ایمن سازی ویندوز سرور 2003(شماره 29)

اگر تا به حال از ویندوز سرورNTیندوز سرور 2000استفاده کرده با شید ، احتمالا متوجه شده اید که مایکرو سافت آنها را به صورت پیش فرض، غیر ایمن طراحی کرده است . گرچه مایکروسافت و ساز و کارهای امنیتی متعددی ایجاد کرده است ، اما نصب آنها به عهده کاربران است . این در حالی است که وقتی مایکرو سافت ویندوز 2003 را انتشارداد ، با این کار ، فلسفه جدید این است که باید به صورت پیش فرض ایمن باشد. به باشید کلی این ایده بسیار خوبی است ، اما مایکروسافت نتوانید آن را به طور کامل پیاده کند . با آن که سرور باید به طور کامل پیاده کند . با آن که ویندوز 2003 را انتشار داد ، با این کار ، فلسفه خود را تغییر داد .

فلسفه جدید این است که سرور با ید به صورت پیش فرض ایمن باشد. به طور کلی این ایده بسیار خوبی است ، اما مایکروسافت نتوانست آن را به طور کامل پیاده کند . با آن که ویندوز 2003 بدون شک ایمن تر از ویندوز NTیا ویندوز2000است ، اما هنوز هم نقصانی در آن دیده می شود . در اینجا ما اعمال ساده ای را که شما می توانید برای ایمن تر کردن ویندوز سرور 2003 انجام دهید شرح می دهیم .

نقش خود را بدانید
شناخت نقش سروردر روند ایمن سازی بسیار حیاتی است. نقش های متعددی وجود دارد که ویندوز سرور ممکن است بر عهده داشته با شد .
برای مثال سرور ممکن است بر عهده داشته باشد . برای مثال ویندوز سرور 2003 میتوانید در نقش یک کنترل کننده دامنه ( domin Contoller ) ، یک سرور عضو ( member server )، سرور پایه( )سرور فایل ( )، سرور پرینت ( ) ، سرور پایانه ( ) و یا حالت های متعدد دیگر عمل کند. یک سرور همچنین می تواند ترکیبی از این نقش ها را به عهده داشته باشد.
مشکل اینجاست که سرئر در هر کدام از این نقش ها ، نیازهای امنیتی خاص خودش رادارد . برای مثال ، اگر قرار است که سرور شما در نقش یک سرو ر IISکار کند ، شما باید سرویس ها ی IISرا فعال کنید، در حالی که اگر سرور قرار است فقط به عنوان یک سرور فایل و پرینت کار کند، فعال کردن IISریسک امنیتی بزرگی خواهد بود. این موضوع رابد ین د لیل مطرح کرد م که بدانید روش خاصی وجود ندارد که بتوانید در هر شرایطی آن را دنبال کرده و انتظار نتیجه از آن داشته باشید . نیازهای امنیتی یک سرور با توجه به نقش سرور و محیط سرور ( server`s environment ) تفاوت های بسیاری دارند . از آنجا که روشهای متعددی برای ایمن سازی یک سرور وجود دارد ، من فقط موارد ضروری و اساسی را برای فعال کردن یک سرور فایل ساده و در عین حال ایمن ، شرح خواهم داد . سعی خواهم کرد مواردی را مشخص کنم که وقتی سرور در نقش های مختلف کار ، شما باید به طور متفاوت انجام دهید اما حتما به این نکته توجه داشته باشید که ااین اعامال در حکم یک راهنمای عمومی برای ایمن سازی همه انواع سرور نیست.

امنیت فیزیکی
برای رسیدن به امنیت واقعی سرور شما باید در مکان امنی قرار گیرد معمولا" این به معنی قرار دادن سرور پشت درهای بسته است امنیت فیزیکی بسیار همه ماست زیرا بسیاری از بازارهای مدیریتی می‌تواند به عنوان ابزار هک کننده به کارگرفته شود هر شخصی با حداقل مهارت و با استفاده از چنین ابزارهایی در صورت یکه دسترسی فیزیکی به ماشین داشته باشد می‌تواند یک سرور را در عرض چند دقیقه هک کند تنها راه گلوگیری از چنین حمله‌هایی قراردادن سرور در یک محجیط امن است. این در مورد هر سرور ویندوز 2003 صرف نظر از نقش ان، صادق است.


ایجاد یک لیست پایه (baseline)
در کنار امنیت فیزیکیک خوب، توصیه مهم بعدی من این است که قبل ز استفاده از یک سرور ویندوز 2003 نیازهای امنیتی خود را مشخص کنید و به محض به کارگرفتن سرور مومارد مربوطه در خصوص امنیت و سیاست های مبتنی ب ر آنها را نیرز فعال کنید.
بهترین روش در این زمینه ایجاد یک لیست پایه امنیتی است این لیست شامل مدارک و تنظیمات مورد قبول امنیتی است در اکثر شرایط تنظیمایت لیست پایه شما بر اساس نقش سرور کاملا" فرق خواهد داشت.
بنابر این بهترین کار، ایجاد تعدادی لیست‌های پایه متفاوت است که بتوانید آنها را برای انواع مختلف سرور به کابر ببرید. برای مثال، ممکن است شما یک یست پایه برای سرورهای فایل، یک لیست پایه برای کنترل کننده‌های دامنه و لیست دیگری برای سرورهای IIS داشته باشید.

ویندوز2003 از ابزاری برخوردار است که محدوده امنیتی و ابزار تحلیل ( And Analysis Tool Security Configuration ) نامیده می شود . این ابزار به شما اجازه می دهد که خط مشی امنیتی جاری سرور را با خط مشی امنیتی لیست پایه که درون یک فایل الگو قرار دارد ، مقایسه کنید . شما می توانید این فایل های الگو را خودتان ایجاد کنید یا اینکه از یکی از انواع آماده آنها استفاده کنید . الگو های امنیتی یک رشته متن براساس فایل های INF هستید که در فولدرSECU %SYSTEMROOT% RITY TEMPLATES ذخیره شده اند . ساده ترین روش برا آزمایش و تغییر الگو های شخصی ، از طریق کنسول مدیریت مایکر سافت ( Console MMC Microsoft Management ) است . برای باز کردن کنسول ، دستور MMCرا در خط دستور Run وارد کنید . وقتی که کنسول خالی بالا می آید ، دستور Add Remove Snap-in را نمایش دهد . کلید Add را کلید کنید ،‌ لیستی از تمام کنسول های Snap-in موجود را خواهید دید . الگو های امنیتی Snap-in را از لیست انتخاب کنید و سپس کلید های Add ، Close و OKرا کلید کنید.

زمانی که الگو های امنیتی Snap-in بالا آمد ، می توانید هر کدام از الگو ها را مشخص کنید . به هنگام مرور درخت کنسول ، خواهید دید که هر الگویی از خط مشی گروه خود تقلید می کند و نام هر الگو ، اهداف آن الگو را منعکس می کند . برای مثال ، HISECDC، یک الگو با امنیت بالا برای کنترل کننده های دامنه ( security domain Controller high) است اگر قصد ایمن سازی یک سرور فایل را دارید ، من استفاده از الگو ی SECUREWS را به شما توصی همی کنم . با دقت در نوع تنظیمات این الگو شاید متو جه شوید که این الگو با وجود ایمن تر کردن سرور نسبت به قبل ، ممکن است جوابگوی نیاز های شما نبا شد . تنظیمات امنیتی خاص ممکن است بیش از حد سخگیرا نه یا اغماضگرا نه با شد . من تو صیه می کنم که یا با تغییرات جزیی در نوع تنظیمات مو جود ، آنها را با نیازهایتان متناسب کنید و یا خط مشی های جدیدی ایجاد کنید . شما می توانید به آسانی با کلیک راست روی فولد ر C: WINDOWS Security Template، داخل کنسول و انتخاب دستور Template New شده و از منوی ایجاد شده یک الگو ( template) جدید ایجاد کنید .
وقتی شما یک الگو یامنیتی را مطابق با نیاز خود ایجاد کردید ، به گزینه Add Remove در صفحه Snap-in properties ، یک S nap-in به نام Security Configuration And Analysis را اضافه کنید . زمانی که Snap-in بالا می آ ید ، روی Security Configuration کلیک راست کنید وسپس دستور Open Database را از منو انتخاب کنید . Open را کلید کنید ، آ نگاه دیتابیس لازم ، با نامی که شما برایش در نظر گرفته بو دید ، ایجاد می شود.

سپس ، روی Security Configuration And Analysis کلید راست کنید و دستور Template Import را از منوی میانبر انتخاب کنید. آنگاه لیستی از کلیه الگوهای موجود را خواهید دید . الگویی که تنظیمات امنیتی شما را در بر می گیرد ،‌انتخاب کنید و سپس Open را کلید کنید . پس از آنکه الگوی شما وارد شد ، دوباره روی Security Configuration And Analysis کلیک راست کرده ودستور Analyze Computer Now را از منوی میانبر انتخاب کنید . ویندوز مکانی برای نوشتن گزارش خطا ( error log )در اختیار شما قرار می دهد . مسیر فایل را وارد کرده و OK را کلیک می کنیم . در این مرحله ،‌ویندوز تنظیمات امنیتی موجود در سرور شما را با فایل الگو مقایسه می کند . شما می توانید نتایج این مقایسه را با مرور در کنسول Security Configuration And Analysis مشاهده کنید . تنظیمات خط مشی هر گروهی ، هم تنظیمات جاری و هم تنظیمات الگو زا نمایش می دهد . وقتی که به این لیست دست پیدا کنید، یعنی ان که زمان اجرای خط مشی امنیتی مبتنی بر الگو فرا رسیده است . به همین منظور ، برای آخرین بار روی Security Configure And Analysis کلیک راست کنید و دستور Configure Computer Now را از منوی میانبر انتخاب کنید . آنگاه این ابزار خط مشی امنیتی کامپیوتر شما را برای هماهنگ شدن با خط مشی الگو تغییر می دهد . خط مشی های گروهی از یک خصلت موروثی بر خوردارند.
یک خط مشی گروهی ممکن است در سطح کامپیوتر محلی ، سایت ، دامنه یا در سطح OU به کار رود . وقتی که شما یک سرویس امنیتی مبتنی بر الگو را نصب می کنید ، در حقیقت در این سطوح کاربردی تغییر ایجاد می کنید . سایر خط مشی های گروهی نیز به طور مستقیم تحت تاثیر قرار نمی گیرند ، گر چه خط مشی های نهایی ممکن است باعث تغییری در تنظیمات نوعی خط مشی شود که از سطوح بالاتر به به ارث برده شده .

تغییر دادن اعتبارهای داخلی
سالها مایکرو سافت به شما توصیه کرده است که نام کاربر مدیر ا( Administrator account ) را تغییر دهید و قابلیت ایجاد کاربر میهمان ( Quest account ) را غیر فعال کنید تا به وضعیت امنیتی خوبی دست یابید. در ویندوز سرور 2003، به صورت پیش فرض ، قابلیت ایجاد کاربر مهمان غیر فعال شده است ، اما وظیفه تغییر نام مدیر سیستم همچنان بر عهده شما است . این تغییر نام ، ایده خوبی است زیرا هکر ها و مهاجمان معمولی سعی می کنند تا به ( Administrator account ) آسیب بر سانند . تعداد زیادی از ابزارهای هک وجود دارد که نام اصلی Administrator account را از طریق امتحان S I D پیدا می کنید ،‌متاسفانه ، شما نمی توانید این account را تغییر دهید و به همین دلیل راهی برای جلوگیری از دستیابی چنین ابزارهایی به نام اصلی Administrator account و تغییر توضیحات این account را به همه توصیه می کنم و برای این کار دو دلیل دارم .
اول اینکه ; بسیاری ار هکرهای تازه کار یا غیر حرفه ای ممکن است از وجود چنین ابزارهایی اطلاع نداشته باشند و دوم آنکه ،‌تغییر نام Administrator account به یک نام خاص ،‌امکان ردیابی و کنترل حملات روی این account را برای شما فراهم می کند .
نکته دیگر مربوط به سرورهای عضو است. سرورهای عضو هر کدامAdministrator account داخلی خاص خود را دارند که کاملا با Administrator account دامنه فرق دارد . شما می توانید سیستمی ایجاد کنید که سرور عضو برای خود از یک نام Administrator account و کلمه عبور جداگانه استفاده کنند . هدف این است که اگر افرادی نام Administrator account و کلمه عبور یک سرور عضو را پیدا کردند ،‌ نتوانند از طریق این اطلا عات بقیه سرور ها را هک کنند. البته ؛ اگر شما وضعیت امنیتی فیزیکی خوبی د ر محل داشته با شید ،‌طبیعی است از آنجا که کسی نمی تواند به هیچ سروری دسترسی پیدا کند ،‌نخواهد توانست account محلی آن را هم پیدا کند.