سيستم عامل ويندوز، يکي از ده ها سيستم عامل موجود در جهان است که مديريت منابع سخت افزاري و نرم افزاري در يک کامپيوتر را برعهده دارد . استفاده از ويندوز بعنوان سيستم عاملي شبکه اي ، همزمان با عرضه NT ، وارد مرحله جديدي گرديد . در ادامه و بدنبال ارائه نسخه هاي ديگري از ويندوز ، فصل جديدي از بکارگيري سيستم عامل فوق در شبکه هاي کامپيوتري گشوده گرديد . استفاده از سيستم عامل ويندوز ( نسخه هاي متفاوت ) در ايران بطرز محسوسي افزايش و هم اينک، در اکثر شبکه هاي کامپيوتري از سيستم عامل فوق، استفاده مي گردد . دامنه استفاده از ويندوز، از شبکه هاي کوچک سازماني تا شبکه هاي بزرگ را شامل و حتي اکثر مراکز ASP ، براي ميزباني وب سايت ها از گزينه فوق ، بهمراه مجموعه نرم افزارهاي مربوطه استفاده مي نمايند . با توجه به جايگاه سيستم عامل در کامپيوتر و نقش آنان در برپاسازي يک شبکه مقتدر و ايمن ، لازم است با نگاهي دقيق به ارزيابي امکانات امنيتي آنان پرداخته و پس از شناسائي نقاط آسيب پذير، در اسرع وقت نسبت به برطرف نمودن حفره هاي امنيتي اقدام لازم صورت گيرد . ما عادت کرده ايم اکثر نرم افزارها را با تنظيمات پيش فرض نصب و در اين راستا از دکمه طلائي Next ، بدفعات استفاده نمائيم! بديهي نصب و پيکربندي مناسب يک سيستم عامل شبکه اي با رويکرد فوق، مي تواند اثرات مخربي را در رابطه با حفاظت از اطلاعات در يک سازمان بدنبال داشته باشد . طراحي و پياده سازي يک سيستم ايمني مناسب در شبکه هاي کامپيوتري ، يکي از مهمترين چالش هاي موجود در دنياي گسترده تکنولوژي اطلاعات است . در اين راستا لازم است، سازمان ها و موسسات در اين رابطه با يک هدفمندي خاص بسمت برپاسازي يک محيط ايمن در شبکه هاي کامپيوتري حرکت نموده و قبل از وقوع هرگونه پيشامد ناگوار اطلاعاتي ، پيشگيري هاي لازم صورت پذيرد .
با توجه به استفاده گسترده از سيستم عامل ويندوز در ايران ، لازم است به بررسي و ارزيابي امنيتي سيستم عامل فوق پرداخته گردد . شرکت ماکروسافت خود در اين زمينه تلاش هاي گسترده اي را آغاز و اخيرا" توجه خاصي را به اين مقوله اختصاص و پروژه هاي بزرگي را بمنظور نيل به يک سيستم عامل شبکه اي ايمن با توجه واقعيت هاي موجود تعريف و دنبال مي نمايد .
شرکت ماکروسافت پس از عرضه نسخه هاي خاصي از ويندوز و با مشاهده اشکالات و نواقص خصوصا" نواقص امنيتي اقدام به ارائه نرم افزارهاي تکميلي بمنظور بهنگام ساري ويندوز مي نمايد . Hotfix,Patch و Service pack نمونه هاي متفاوتي در اين زمينه مي باشند . با توجه به نقش نرم افزارهاي فوق در صحت عملکرد امنيتي ويندوز ، لازم است در ابتدا به نرم افزارهاي فوق اشاره گردد .
Service Pack و HotFix
Service Pack ، يک بهنگام سازي ادواري در رابطه با سيستم عامل بمنظور رفع اشکالات و نواقص موجود است . ماکروسافت براي ويندوز NT 4.0 ( نسخه قبل از ويندوز 2000 با نگرش امکانات شبکه اي ) شش و براي ويندوز 2000 تاکنون ، سه Service Pack متفاوت را ارائه کرده است . بمنظور برطرف نمودن مشکلات احتمالي در فاصله زماني بين دو service pack ، اقدا م به عرضه Hotfix مي گردد. هر service Pack ، شامل تمام hotfix هاي قبلي نسبت به نسخه service pack قبلي است .
علاوه بر نصب آخرين نسخه هاي service Pack ، مي بايست اقدام به نصب نسخه هاي hotfix نيز گردد . معمولا" hotfix ، با توجه به شيوع و گسترش يک مسئله خاص (مثلا" يک حمله اينترنتي ) در شبکه ، از طرف شرکت ماکروسافت، ارائه مي گردد . با اينکه شرکت ماکروسافت توصيه کرده است در صورت بروز مشکل، اقدام به نصب نسخه هاي Hotfix گردد، ولي پيشنهاد مي گردد که بلافاصله پس از نصب آخرين نسخه Service Pack ، اقدام به نصب تمام نسخه هاي امنيتي Hotfix مربوطه نيز گردد .
يکي از مهمترين چالش هاي مديران شبکه ، بهنگام سازي سيستم و نصب آخرين نسخه هاي Patch است . ماکروسافت در اين راستا ، يک برنامه خاص را بمنظور بررسي وضعيت امنيتي Hotfix ها ، ارائه که مديران شبکه را قادر به پيمايش سرويس دهنده هاي موجود در شبکه مي نمايد ( برنامه Hfnetchk.exe) . برنامه فوق قادر به تشخيص صحت نصب تمام نسخه هاي Patch در رابطه با ويندوز 2000 و ساير نرم افزارهاي سرويس دهنده نظير IIS ، IE و SQL است ( وضعيت موجود را تشخيص و کمبودها را اعلام مي نمايد ) . برنامه HFNetChk يک ابزار خط دستوري بوده که مديران شبکه را قادر به بررسي آخرين وضعيت Patch ها در رابطه با تمام کامپيوترهاي موجود در شبکه از يک محل مرکزي مي نمايد .( مشاهده جزئيات برنامه HFNetChk ) . شرکت ماکروسافت در اين زمينه ، برنامه جامعي را بمنظور بررسي وضعيت سيستم امنيتي ارائه نموده که برنامه Hfnetchk.exe نيز بخشي از آن است ( مشاهده جزئيات و دريافت برنامه Microsoft Baseline Security Analyzer ).
پس از معرفي امکانات موجود براي بهنگام سازي ويندوز و برطرف نمودن مشکلات و مسائل موجود در هر يک از نسخه هاي ويند وز، در ادامه به بررسي و ارزيابي سيستم امنيتي ويندوز پرداخته و در اين راستا پيشنهاداتي مطرح مي گردد.
سنجش امنيت در ويندوز 2000
تاکنون بيش از 400 نقطه آسيب پذير در نسخه هاي ويندوز 2000 ، NT و برنامه هاي مرتبط با آنان شناخته شده و نحوه برطرف نمودن آنان مستند شده است . در اين بخش به بررسي برخي از نقاط آسيب پذير اشاره و نحوه برخورد با آنان بيان مي گردد. لازم است به اين نکته مهم دقت شود که کاهش برخي از نقاط آسيب پذير در يک شبکه به معني عرضه يک شبکه ايمن نمي باشد ( تلاشي است در جهت ايمن شدن ) .
• از سيستم فايل NTFS در مقابل FAT استفاده شود . سيستم فايل فوق ، امکان کنترل دستيابي به فايل ها را برخلاف FAT فراهم مي نمايد .
• اطلاعات و ميدان عمل اتصالات بي هويت (Anonymous users) ، مي بايست به حداقل مقدار خود برسد . يک اتصال بي هويت ( کاربران ناشناس و گمنام ) عضوي از گروه Everyone ( گروه از قبل ايجاد شده ) خواهد بود . بدين ترتيب آنان قادر به دستيابي تمام منابعي خواهند بود ، که براي گروه Everyone مجاز شناخته شده است . ويندوز NT پس از نصب آخرين نسخه ( Servic Pack ( 6a ، اکثر عملياتي را که يک کاربر گمنام قادر به انجام آنها مي باشد ، محدود مي نمايد . بمنظورر پيشگيري از شمارش اسامي account ها ، توسط کاربران گمنام ، از کليد ريجستري زير بهمراه تتنظيمات مربوطه استفاده مي شود .
Hive: HKEY_LOCAL_MACHINE
Key: System\CurrentControlSet\Control\Lsa
Name: RestrictAnonymous
Type: REG_DWORD
Value: 1 |
• امتياز Access this computer from the network را در رابطه با کاربران عضوء گروه Everyone حذف و آن را با گروه معتبر Users ، جايگزين نمائيد . در ويندوز NT 4.0 ، براي انجام عمليات فوق از مسير زير و در ويندوز 2000 از Group Policy و يا Security Configuration Toolset استفاده مي شود.
User Manager -> Policies -> User Rights |
• امکان دستيابي از راه دور به ريجستري را سلب نمائيد . کليدهاي ريجستري متعددي وجود دارد، که اين امکان را به گروه Everyone و بالطبع کاربران ناشناس خواهد داد که از راه دور قادر به ويرايش ريجستري باشند( خواندن و تنظيم مقادير مربوط به مجوزها ). در صورتيکه کاربر تاييد نشده اي ، قادر به ويرايش مقادير موجود در ريجستري گردد، امکان تغيير مقادير موجود و بدست آوردن امتيازات با درجه بالا نيز در اختيار وي قرار خواهد گرفت. توصيه مي گردد که صرفا" مديران شبکه و سيستم ، داراي امکان دستيابي از راه دور به ريجستري باشند . بمنظور اعمال محدوديت در رابطه با دستيابي از راه دور به ريجستري ، از کليد زير براي تنظيم مجوزهاي امنيتي استفاده مي شود .
HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg |
• Account مربوط به Guest غير فعال گردد.در اين راستا پيشنهاد مي گردد، که تمام Account ها ( سرويس ها و کاربران ) داراي رمز عبورگردند .( صرفنظر از اينکه account فعال و يا غير فعال باشد ) .
• تاييد اعتبار LanMan را غير فعال نمائيد . رمز عبورهاي LanMan بمنظور سازگاري با نسخه هاي قبلي ويندوز ( 9X ) مطرح و عملا" رمزهاي عبوري مشابه ويندوز 2000 بوده که تماما" به حروف بزرگ تبديل و با استفاده از يک روش خاص رمز شده اند .رمزهاي عبور LanMan ، نسبت به ساير رمزهاي عبور بمراتب ساده تر کشف و مورد استفاده متجاوزان اطلاعاتي قرار مي گيرند . پيشنهاد مي گردد، رمزهاي عبور LanMan غير فعال گردند . بمنظور غير فعال نمودن رمزهاي عبور فوق ، کليد ريجستري مربوطه ، مي بايست مطابق زير تغيير تنظيم گردد .
Hive: HKEY_LOCAL_MACHINE
Key: System\CurrentControlSet\Control\Lsa
Name: LMCompatibilityLevel
Type: REG_DWORD
Value: 5 |
• پورت هاي 135,137,138 و 139 در محدوده روتر و يا فايروال را غير فعال نمائيد (Colse) . براي شبکه هاي مبتني بر ويندوز 2000 ، مي بايست پورت 445 نيز بلاک گردد . پورت هاي فوق، براي شبکه هاي داخلي لازم بوده ولي براي شبکه هاي خارجي مورد نياز نخواهند بود . با بلاک نمودن پورت هاي فوق ، از تعداد حملات متجاوزان اطلاعاتي در شبکه هاي مبتني بر ويندوز NT 4.0 و 2000 بنحو چشمگيري کاسته خواهد شد . در اين راستا لازم است ، پروتکل هاي غير ضروري ( نظير NetBeui و IPX) نيز غير فعال گردند .
• بر روي فولدرها و فايل هاي سيستمي ويندوز نيز مي بايست لايه هاي امنيتي مناسبي ايجاد گردد. در اين راستا لازم است بر روي فولدرهاي حياتي سيستم نظير WINNT و System32 و کليدهاي ريجستري HKLM\Software\Microsoft\Windows\Run و HKLM\Software\Microsoft\WindowsNT\CurrentVersion\AEDebug امکان استفاده از گروه Everyone سلب و به گروه معتبر Users ( شامل ليست کاربران مجاز ) اختصاص يابد .
• در رابطه با منابع اشتراکي در شبکه ، مي بايست محدوديت هاي لازم اعمال گردد. زمانيکه منبعي در شبکه به اشتراک گذاشته مي شود، کنترل دستيابي بصورت پيش فرض گروه Everyone با امتيازFull control خواهد بود . در اين راستا پيشنهاد مي گردد ، امکان استفاده از منابع اشتراکي ، صرفا" در اختيار کاربراني قرار گيرد که نيازمند دستيابي به منابع فوق، مي باشند .
• تمام سرويس هاي غير ضروري نظير Telnet,FTP,WEB را غير فعال نمائيد. از صحت محل استقرار سرويس ها بر روي شبکه اطمينان حاصل نمائيد . مثلا" سرويس دهنده RAS و WEB نبايد بر روي يک کنترل کننده Domain ، نصب گردند .
• امکان مميزي (auditing) در شبکه را فعال نمائيد . در ساده ترين حالت مميزي مربوط به ورود و خروج از شبکه ، دستيابي به امتيازات کاربران و رويدادهاي سيستمي نظير غير فعال نمودن سيستم (Shutdown) است .
• اعتماد (Trust) موجود بين حوزه ها (Domian) را بررسي و در صورت امکان، موارد غير ضروري را حذف نمائيد .
برنامه هاي ماکروسافت
وجود نقاط آسيب پذير در برنامه هائي نظير outlook,Microsoft Exchange,SQL Server و IIS ، بستر مناسب براي متجاوران اطلاعاتي بمنظور نفوذ در شبکه را ايجاد مي نمايد . بنابراين لازم است که از آخرين Service Pack و Patch مربوط به هر يک از برنامه ها استفاده گردد . شرکت ماکروسافت، بمنظور بهبود امنيت برنامه ها ، ابزارهاي متعددي را ارائه نموده است . ليست برخي از اين برنامه ها در جدول زير نشان داده شده است .
توضيحات | برنامه |
به مديران سرويس دهنده وب امکان اعمال محدوديت در رابطه با پاسخ به درخواست هاي معتبر را خواهد داد .
| URL Scan Security Tool |
ابزاري براي ايمن سازي سرويس دهنده وب IIS، نسخه هاي چهار و پنج .
| IIS Lockdown Tool |
يک نسخه جديد از برنامه بهنگام سازي Outlookبمنظور حفاظت در مقابل انواع حملات اينترنتي مبتني بر نامه هاي الکترونيکي .
| Improved Outlook E-mail Security Update |
ابزاري بمنظور بررسي آخرين نسخه هاي Patchنصب شده در رابطه با سيستم عامل و برخي از برنامه ها نظير IIS, IEو SQL.
| HFNetChk Security Tool |
ابزاري بمنظور بررسي صحت عملکرد امنيتي سرويس گيرندگان .
| Microsoft Personal Security Advisor |
برنامه اي جامع براي بررسي وضعيت امنيتي يک کامپيوتر .
| Microsoft Baseline Security Analyzer |