تعداد بسيار زيادي از کاربران کامپيوتر از سيستم هاي ويندوز 7، که در مقايسه با نسخه هاي قبلي ويندوز ايمن تر به نظر مي رسد، استفاده مي کنند. ما در اين مقاله سه هدف اصلي را دنبال مي کنيم: ايجاد نسخه هاي پشتيبان، استفاده از نرم افزارهاي امنيتي و کنترل اينترفيس هايي که با سيستم ارتباط برقرار مي کنند. شايد فکر کنيد ايجاد امنيت بيش تر براي ويندوز 7 کاري محال است اما من شما را با تنظيمات امنيتي که حاصل تجربه تدريس و آموزش من به عنوان يک مدير ديواره آتش است، آشنا مي کنم.
بله مي دانم، خيلي از شماها از اين فرآيند وحشت داريد. شما فکر مي کنيد توصيه هاي من از Group Policies که فقط در سيستم هايي که به Active Directory ملحق شده اند امکان پذير است نشات مي گيرد. ممکن است راهنماهاي امنيتي مايکروسافت را مطالعه کرده باشيد، اسناد خوش رنگ و لعابي که پر است از صدها يا هزاران تنظيمات امنيتي که براساس عملکرد سيستم طبقه بندي شده اند. نه؛ من چنين قصدي ندارم.
خيلي ها کاربران خانگي هستند، افرادي که هيچ اطلاعي از Group Policies در اسناد مايکروسافت ندارند. کاربران به روش هاي ساده اي براي به کارگيري و سپس تست تنظيمات امنيتي نياز دارند. خيلي ها به روشي سريع براي بازگرداندن سيستم به تنظيمات پيش فرض احتياج دارند. و دست آخر اين که همه بايد از استفاده از RegEdit، ابزاري که؛ آن گونه که خود مايکروسافت هشدار مي دهد مي تواند ساختارهاي حياتي سيستم را نابود کند پرهيز کنند. به عنوان کاربر خانگي، تعداد زيادي از افراد به دنبال استفاده از ابزار رايگان هستند.
اجازه دهيد کارمان را شروع کنيم. هدف ما در موارد زير خلاصه مي شود:
*تهيه نسخه پشتيبان
*بحث درباره نرم افزارهاي امنيتي
*کنترل اينترفيس هايي که با سيستم ارتباط برقرار مي کنند
قبل از ادامه مقاله چند توصيه را آويزه گوش خود کنيد: تغييرات را با احتياط کامل و هوشيارانه اعمال کنيد: هر بار چند تغيير کوچک. قبل از اين که تغييرات جديدي انجام دهيد تأثير تغييرات قبلي را به دقت تست کنيد. هميشه از سيستم خود نسخه پشتيبان تهيه کنيد. تغييرات را دقيقاً ثبت کنيد تا بتوانيد آن ها را از طريق پرسنل پشتيباني بازبيني نمائيد. دست آخر اين که نماي Control Panel را در حالت icon قرار دهيد نه categories زيرا در نماي icon، پيمايش ساده تر است. آيا آماده ايد؟

آماده براي بازيابي
 

اطلاعات خود را بر روي رسانه اي مثل درايوهاي USB,DVD يا فلش هاي USB کپي کنيد. از برنامه کاربردي System Protection استفاده کنيد. اين ويژگي، يک System image (که مي توانيد از آن براي بازيابي تنظيمات قبلي استفاده کنيد)، ايجاد مي کند. با باز کردن Control Panel مي توانيد به اين اپلت دسترسي پيدا کنيد. اگر اپلت System را باز کنيد، مي توانيد براي ايجاد يک restore image بر روي برگه System Protection کليک کنيد. (شکل 1)
از دکمه Create براي ايجاد يک baseline براي سيستم خود قبل از ايجاد تغييرات استفاده کنيد. از يک اسم با معني استفاده کنيد، اسمي که به شما کمک کند به پايدارترين تغييرات اعمال شده قبلي بر گرديد.
تغييرات جديد شما ممکن است باعث بوت نشدن ويندوز شوند. اگر اين اتفاق رخ داد، گزينه اي براي بازيابي سيستم به حالت قبلي در اختيار داريد. آيا از بک آپ هاي تان راضي نيستيد؟
آماده گام دوم هستيد؟ اصول را سر جاي خود قرار دهيد؟

اصول اوليه (Anti-Everything و Auto-updates)
 

خوب آيا ديواره آتش ويندوز شما فعال است؟ اگر فعال نيست سريعاً به Control Panel برويد. براي برخورداري از حداکثر امنيت، تمام اتصال هاي ورودي را بلوکه کنيد. اين کار از طريق Change Notification Settings ديواره آتش انجام مي گيرد. شروع خوبي است.
حالا، همه بايد استفاده از يک برنامه ضدويروس را در نظر بگيرند. يک محصول رايگان يا تجاري که از قابليت هاي ضد spyware برخوردار باشد، پيدا کند. براي مطالعه ريويوهاي موجود در اين زمينه، از جست و جوهاي Bing يا Google استفاده کنيد. اگرچه مي توانيد چندين نسخه از چنين نرم افزارهايي را برروي سيستم اجرا کنيد، اين کار باعث ايجاد تداخل، آلارم هاي نادرست و کاهش کارآيي سيستم مي شود. نرم افزار جديد شما بايد Windows Defender که يک نرم افزار ضد spyware خوب است را غيرفعال کند.
خوب درباره دانلود اتوماتيک ارتقاهاي ويندوز چکار بايد کرد؟ سيستم خود را هميشه و در اسرع وقت patch کنيد. در حالي که در Control Panel هستيد Windows Update را باز کنيد و از Change Settings براي تنظيم اتوتيک دانلودها استفاده کنيد. اما يک نکته را در نظر داشته باشيد: بعضي ها فکر مي کنند وصله هاي ماهانه نشان دهنده وجود مشکلات امنيتي عمده است؛ نه اين طور نيست.
ويندوز يکي از اولين سيستم عامل هايي بود که وصله ها را، هم براي سيستم عامل و هم براي برنامه هاي کاربردي کليدي دانلود و نصب مي کرد.
خوب، Adobe Flash، افزودني هاي مرورگر، کُدِک هاي ويدئويي و ساير نرم افزارهاي اختياري که ممکن است نصب کنيد چه مي شوند؟ اين ها ممکن است در داخل Update Center گنجانده شده يا نشده باشند. اين برنامه هاي کاربردي ممکن است يک سرويس Update راضي کننده و ساده را ارائه بکنند يا نکنند. آن ها ممکن است همه چيز را وصله بکنند يا نکنند و ترجيح دهند اميدوار بمانند که هکرها راهي براي سوءاستفاده از خطاها پيدا نکنند. برنامه هاي کاربردي يا add-on هايي را که نصب مي نمائيد محدود کنيد. قبل از دانلود يک ابزار امنيتي و اطمينان به آن براي تحقيق در مورد ابزار مورد نظر به (National Vulnerability Database (http://nvd.nist.gov مراجعه کنيد. (OSVDB.org (Open Source Vulnerability DataBase نيز اطلاعات مشابهي دارد. ‎‏‎Internet Options اهميت بسيار زيادي دارد.
Control Panel را باز کنيد و به اين اپلت برويد.Internet Options تنظيمات Internet Explorer را کنترل مي کند. مرورگر هاي ديگر نيز در داخل اينترفيس خود داراي چنين تنظيماتي هستند. تعداد روزهايي که به صورت Cache در History مي ماند، ميزان حافظه Cached، تعداد کوکي هاي Cached و غيره را کاهش دهيد. در اتصال هاي اينترنتي سريع تر اين ها اهميت کم تري دارند. چرا همين حالا امتحان نمي کنيد؟
برگه Programs به شما اجازه مي دهد Add-On هايي را که ممکن است بر روي مرورگر شما نصب شده باشند، بازبيني کنيد. از Snipping Tool براي آگاهي از تصويري از برنامه هاي نصب شده در مرورگر که به شکل پيش فرض فعال هستند، استفاده کنيد. اين کار به شما اجازه مي دهد کدهاي مشکوک را غيرفعال کنيد و مجدداً و در صورت نياز به آن ها؛ فعال شان نمائيد.
اطمينان حاصل کنيد که ويرايش گر HTMLي را که قادر نيست HTML را به عنوان يک برنامه helper اجرا کند، انتخاب و تنظيم نمائيد. اگر نمي دانيد معني اين چيست، يک ويرايش گر بسيار محدود مثل Notepad را انتخاب کنيد. علاوه بر اين، اگر محتواي فعال بتواند بر روي کامپيوتر شما اجرا شود يا Signature هاي نامعتبر نرم افزاري امکان اجراي نرم افزار را فراهم کنند به سيستم خود شک کنيد. اين ها مي توانند نشانه اي از هک شدن کامپيوتر شما باشند. فعال سازي تائيد اعتبار موجود در ويندوز مي تواند اطلاعات تائيد اعتبار شما را به هر جايي ارسال کند. اين اطلاعات اگرچه رمزگذاري شده هستند، مي توانند کمک مناسبي براي شروع يک فعاليت هک باشند.
و دست آخر اين که تحت Advanced، من دوست دارم تمام فايل هاي موقتي (temporary) را هنگام خروج از هر مرورگري پاک کنم.(شکل 2) اين توصيه ها به نظر بسيار زياد و اعمال آن ها دشوار به نظر مي رسد. شما چگونه بايد بفهميد و مطمئن شويد که تنظيمات صحيح را اعمال و نرم افزارهاي مورد نياز را نصب کرده ايد؟ خوشبختانه در Windows Action Center (شکل 3) به اين موضوع پرداخت شده است. وقتي آن را باز و Security List را بررسي کنيد، تائيد خواهد کرد که تنظيمات شما معادل يا بيش تر از پيش فرض هاي توصيه شده امنيتي است حتي اگر نرم افزار امنيتي خود را از يک کمپاني به غير از مايکروسافت تهيه کرده باشيد. اگر در Action Center متوجه مشکلاتي شديد، نرم افزار مجتمع با آن را انتخاب کنيد: اين کار باعث مي شود زماني که يک برنامه مشکوک بتواند نرم افزار امنيتي شما را از کار بيندازد يا آن را از نو پيکره بندي کند يک هشدار دريافت کنيد.

کنترل دسترسي کاربر (UAC: User Access Control)
 

Action Center يکي از چندين مسير موجود براي تنظيم پيکره بندي بسيار با اهميت UAC به شمار مي رود. ويندوز 7 با معرفي يک تنظيم جديد، تنظيمي که به تمام باينري هاي تائيد شده مايکروسافت اعتماد دارد تعداد هشدارها را کاهش داده است. محصولات مايکروسافت اينترفيس هاي برنامه ريزي شده بسيار غني را؛ هم به هکرها و هم به افراد مجاز ارائه مي کنند. زبانه را به بالاترين تنظيمات امنيتي موجود بکشيد (شکل 4)
و نکته آخر اين که براي انجام کارهاي روزانه خود با حساب هاي کاربري Administrator به سيستم وارد نشويد. براي دسترسي به user Accounts به Control Panel برويد. براي مشخص نمودن مجوزهايي که حساب login شما دارد Manage Users را چک کنيد. براي کارهاي روزانه خود، حسابي بدون امتيازات ويژه ايجاد کنيد. ويندوز به شما اجازه مي دهد در زمان نياز به استفاده از حساب کاربري Administrator به سيستم Login کنيد.
خوب در اين جا شما آماده تهيه نسخه هاي پشتيبان هستيد. شما بايد تنظيمات و نرم افزارهاي مهم امنيتي شامل استراتژي حساب هاي کاربري را که اجاره انجام فعاليت هاي هکينگ را، نه با اجازه Administrator و نه بدون اعلام هشدار ويندوز مبني بر اين که شما اجازه يک تغيير را صادر کرده ايد فراهم نمي کنند فعال نمائيد. اجازه دهيد پا را فراتر بگذاريم.

از دسترسي راه دور Remote Access ممانعت کنيد
 

ممکن است شما دوست قابل اعتمادي داشته باشيد که از راه دور به کامپيوتر شما دسترسي دارد و مشکلات آن را بر طرف مي کند. البته اغلب ما چنين دوستي نداريم؛ در اين صورت تا زمان نياز، Remote Access را غيرفعال کنيد.
در Control Panel، به اپلت System برويد. بر روي Remote Settings کليک کنيد و سپس براي انتخاب تنظيمات امنيتي بر روي برگه Remote Settings کليک کنيد (شکل 5).

با محکم کاري تنظيمات شبکه، دروازه هاي ورودي به سيستم خود را قفل کنيد.
 

امنيت شبکه در ويندوز يکي از نقاط ضعف آن به شمار مي رود. پروتکل هاي قديمي مثل NetBIOS اطلاعات بسيار زيادي را منتشر مي سازد. پروتکل هاي جديد مثل IPv6 دسترسي را که ممکن است آماده آن نباشيد، فراهم مي کند. ضمن اين که fileshare هاي فعال، موقعيت هاي زيادي در اختيار ويروس هايي مثل Conficker قرار مي دهد. بنابراين با استفاده از ابزار Ultimate Windows Tweaker که استفاده از آن بسيار ساده است تنظيمات شبکه را محکم کاري کنيد.

من علاقه اي به Default Shares ندارم
 

پس از اين که دانلودها را براي ويروس ها چک کرديد (شما تمام دانلودها را براي ويروس ها چک مي کنيد ديگر؛ نه؟!) UWT را اجرا کنيد. تنظيمات امنيتي متعددي براي شبکه وجود دارد. من دوست دارم کار را با غيرفعال کردن default fileshares شروع کنم. (شکل 6)
من به دلايل متعددي به UWT علاقه مند هستم. UWT به شما اجازه مي دهد يک checkpoint را به عنوان يک بک آپ ايجاد کنيد. به شما اجازه مي دهد از طريق يک پانل واحد، چندين تنظيم مهم امنيتي را ست کنيد. شما را از شر ويرايش هاي دشوار رجيستري خلاص مي کند. لطفاً تنظيماتي را که در بالا اشاره کردم انجام دهيد. اجازه دهيد ببينيم چرا اين ها مهم هستند:
Disable default Admin and Disk Drive share server
Filesharesرا که معلوم نيست چرا در اکثر نسخه هاي ويندوز فعال است غيرفعال مي کند.
Restrict Access of IPC$ for anonymous users
اين share براي "enumrate" تعداد زيادي از تنظيمات بر روي سيستم شما استفاده مي شود. اين تنظيم، از درز و آشکار شدن اطلاعات براي افرادي که بر روي شبکه هستند جلوگيري به عمل مي آورد.
Disable recent shares in Network Places
اين گزينه از جلب توجه سايرين به share هايي که استفاده کرده ايد جلوگيري مي کند.
Enable NTLM2 support
NTML نسخه 2 يک پروتکل تائيد اعتبار پيشرفته است. استفاده از آن، تهاجم رابسيار دشوارتر مي کند.
ممکن است بخواهيد تنظيمات ديگري را نيز امتحان کنيد. قبل از اعمال هر نوع تغيير، يک checkpoint ايجاد کنيد. شما بعداً مي توانيد تنظيمات قديمي را بازيابي کنيد. پس از اين که سيستم را از نو راه اندازي کرديد، اين تغييرات بايد فعال شوند. اگر Administrative Tools را در Control Panel باز و Computer Management را انتخاب کنيد، برگه shares نبايد shares را نشان دهد (شکل 7).

تنظيمات محدود کننده بيش تر در حوزه شبکه
 

ويندوز 7 فرض مي کند که يک شبکه خانگي (Home network) در مقايسه با يک شبکه عمومي (Public network) ايمن تر است. اين اعتماد به هکرها اجازه مي دهد يکي از سيستم هاي شبکه خانگي شما را دستکاري و سپس به شما حمله کنند. نوع و مکان شبکه خود را به Public پيکره بندي کنيد (شکل 8).
وقتي به شبکه خانگي تان متصل شديد، روي لينکي که در زير نام شبکه واقع شده کليک کنيد و به شکلي که در کمک آن لاين ويندوز 7 نيز تشريح شده، آن را به Public network تغيير دهيد.
اجازه دهيد با عمق بيش تري به تنظيمات مربوط به شبکه نگاه کنيم. براي انجام چنين کاري، Network and Sharing Center را که در شکل 8 نشان داده شده باز کنيد و Change Adapter Settings را که در ستون چپ قرار دارد انتخاب کنيد. اگر بر روي يک کانکشن کليک راست کنيد، مي توانيد تمام چيزهايي که به شکل پيش فرض فعال هستند را مشاهده کنيد. آيا واقعاً به فعال سازي IPv6 نياز داريد؟ آيا اين امکان بر روي شبکه شما پيکره بندي شده است؟ آيا يک چاپگر را به اشتراک گذاشته ايد يا Fileshares را بر روي شبکه خانگي تان ايجاد مي کنيد؟ ممکن است بخواهيد اين گزينه ها را به شکل گزينشي غيرفعال کنيد البته به غير از IPv4 که پروتکل اينترنتي است که اغلب ما از آن استفاده مي کنيم (به شکل 9 نگاه کنيد). در صورتي که برنامه هاي کاربردي شما در دسترسي به اطلاعات شبکه اي شده با مشکل مواجه شدند مي توانيد آن ها را دوباره فعال کنيد. وقتي IPv4 را انتخاب کرديد بر روي دکمه Properties کليک کنيد. حالا زمان غيرفعال نمودن ارتباطات NetBIOS فرارسيده است. Enable LMHOSTS Lookup و Disable NetBIOS over TCP/IP را غيرفعال کنيد (شکل 10).
تا اين جا کارهاي زيادي انجام داده ايم. در اين مرحله ممکن است سيستم شما مشکلاتي داشته باشد يا نداشته باشد. هيچ کس نمي تواند تنظيمات کاملاً دقيقي را که بايد انجام دهيد مشخص کند. ممکن است برنامه هاي کاربردي شما به تنظيماتي که حتماً بايد فعال بمانند نياز داشته باشند. اين موضوع خصوصاً زماني که از برنامه هاي کاربردي بسيار بسيار قديمي ويندوز که بسياري از آن ها بايد به طور ناشناس به منابع ويندوز دسترسي پيدا کنند استفاده مي کنيد اهميت مي يابد. بنابراين بايد ارتقاي اين برنامه را در دستور کار خود قرار دهيد.

Auditing و Good Password Setting را فعال کنيد
 

اگر در Control Panel به Administrative Tools برويد مي توانيد از اپلت Local Security Policy استفاده کنيد. ممکن است مجوزهاي لازم براي استفاده مستقيم از اين ابزار را نداشته باشيد (ورود به سيستم با استفاده از حساب Administrator نيز خطرآفرين است). بر روي خط فرمان کليک راست کنيد و Run as Administrator را انتخاب کنيد. با استفاده از حساب و کلمه عبور Administrator به سيستم Login کنيد.
حالا مي فهميد که افراد حرفه اي چگونه با مجوز مناسب به ابزار دسترسي پيدا مي کنند. براي شروع، برنامه کاربردي secpol.msc را اجرا کنيد. (به شکل 11 نگاه کنيد)
در اين جا تنظيمات متعددي وجود دارد. من توصيه مي کنم به The Center for Internet Security در آدرس www.cisecurity.org سر بزنيد يا Microsoft Security Guide for Windows 7 را از آدرس technet.microsoft.com/en-us/library/ee712767.aspx دانلود کنيد. شما حقيقتاً بايد Account and Local Policies را پيکره بندي کنيد. اين وب سايت ها و اسناد موجود در آن ها تنظيمات امنيتي مناسبي براي شما فراهم مي کنند.
چي شد؟ شما secpol.msc يا gpedit را بر روي نسخه محدود ويندوز 7 خود نداريد؟ اين يک محدوديت واقعي در اين نسخه هاي ويندوز که از نظر عملکرد محدوديت دارند به شمار مي رود. هيچ راه ساده اي براي به کارگيري اين تنظيمات بسيار ابتدايي و بسيار الزامي وجود ندارد.

به چيزهاي بيش تري نياز داريد؟
 

من مي توانم اين مطلب را همين طور ادامه دهم. در ويندوز امروز، تنظيمات امنيتي بسيار زيادي وجود دارد. سرويس هاي غيرضروري زيادي براي بازبيني و تست وجود دارد. ابزاري وجود دارد که به شما امکان مي دهند کارآيي سيستم تان را افزايش دهيد. براي به کارگيري برخي از ويژگي هاي امنيتي به استفاده از RegEdit، حتي در نسخه هاي خانگي ويندوز 7 نياز داريد. سرفصل هاي پيشرفته اي براي يک کاربر خانگي وجود دارد که من در آينده در مورد آن ها خواهم نوشت.
اما اين مطلب بايد به اتمام برسد. شما براي تهيه بک آپ، بارگذاري ابزار امنيتي و تست اين تنظيمات به زمان نياز داريد. ممکن است به ارتقاي نرم افزارهاي قديمي نياز داشته باشيد. حملات جديد اين ليست را تغيير مي دهند و ممکن است باعث شوند اعمال برخي از تغييرات اهميت بيش تري پيدا کنند. به طور خلاصه، هيچ تضميني براي مطالب مطرح شده در اين مقاله وجود ندارد. هک ها هميشه اتفاق مي افتند. اين مقاله را از نو مطالعه کنيد.
منبع: بزرگراه رايانه، شماره ي 140