Loading…

جزیره امنیت اطلاعات و ارتباطات

امتیازات این مطلب
مقاله: 10 نکته امنیتی به منظور بالا بردن امنیت سازمان
با سلام ، همون طور که دوستان آی تی پرویی عزیرمیدونند در سازمان ها، یکی از راه های معمول اعمال قوانین واجازه سطح دسترسی های مختلف در کامپیوترهای ویندوزی مایکروسافت گروپ پالیسی ها میباشد.در اکثر موارد گروپ پالیسی ها تنطیماتی هستند که به منظور پیکره بندی تنظیمات امنیتی و دیگر رفتارهای عملیاتی هستند که بر روی رجیستری کامپیوترها مینشینند.گروپ پالیسی ها میتونند توسط اکتیو دایرکتوری یا Local group policy پیکره بندی و اعمال شوند. این قابلیت تنظیم و پیکره بندی تنظیمات امنیتی با استفاده از گروپ پالیسی یکی از بزرگترین مزیت های کار کردن با کامپیوترهای است سیستم عامل های آنها ویندوزی است. در مقاله زیر میخواهیم به 10 نکته بپردازیم که در صورت در نظر گرفتن آنها تا حد قابل قبولی امنیت سازمان شما حفظ میشود،اکثر این تنظمات مربوط میشود به تنظیمات Group Policy و به همین دلیل توضیحات مختصری ابتدا در موردGroup Policy عنوان کردیم.

1- LM وNTLM v1 را غیر فعال کنید:(LM(LAN Manager و پروتکل های احراز هویت NTLM v1 پروتکل های احراز هویتی میباشند که دارای نقاط آسیب پذیری ای میباشند وترجیحا پیشنهاد میشود از پروتکل های NTLM v2 و Kerberos استفاده شود که از دارای امنیت قابل قبولی هستند. به صورت پیش فرض اغلب سیستم های ویندوزی تمام 4 پروتکل ذکر شده را پشتیبانی میکنند،مگر اینکه سیستم عاملی که شما دارید استفاده میکنید خیلی قدیمی باشد. نکته:این Policy به صورت پیشفرض کانفیگ نشده است،برای کانفیگ و اعمال تغییرات میتوانید به مسیر زیر که در شکل زیر مشخص است رجوع کنید.
Image


2- LM Hash Storage را غیر فعال کنید: LM قبلا در ویندوز برای سازگاری با کلاینت های قدیمی مورد استفاده قرار میگیرفت،بویژه برای ویندوز 98 به پایین.زمانیکه شما این گزینه را فعال کنید ویندوز به صورت خودکار LAN Manager hash (LM hash) و Windows NT hash(NT hash) مربوط به پسورد ها را تولید میکند که این LM password Hash ها به آسانی به رمزهای عبور متنی قابل تبدیل هستند و از این رو هکرها با ابزار hash dump میتواند پسورد ها را بدست بیاورد. وقتی شما LM Hash Storage را غیر فعال میکنید با این کار از ذخیره شدن پسورد ها بر روی هارد دیسک کامپیوترتون جلوگیری میکنید.اما مشکلاتی که در صورت فعال کردن این گزینه بوجود خواهد آمد:

  • پسوردها دیگر case sensitive نیستند یعنی PASSWORD با password تفاوتی ندارد،و این به این معنی است که پیچیدگی پسورد شما کاهش میابد.
  • پسوردها به کاراکترهای 7 تایی تقسیم میشوند و به صورت جداگانه Hash میشوند، (ممکن است مورد حمله Brute force قرار بگیرید).
  • پسورد ها حداکثر به 14 کاراکتر ختم میشوند یعنی شما نمیتوانید پسوردی بیشتر از 14 کاراکترداشته باشید.

در شکل زیر میتوانید مسیر تنظیمات مربوطه را مشاهده کنید.
Image


  • نکته:درویندوز این تنظیمات به صورت پیش فرض غیر فعال میباشد.
  • نکته:دومین کنترولر پسورد مربوط به یوزرهایی که درEvent طولشان از 15 کاراکتر بیشتر است،LM hash مربوط به آن یوزرها را ذخیره نمیکند.

3-کوتاه نبودن طول پسورد(Minimum password length):حداقل تعداد پسورد شما باید 12 کاراکتر یا بیشتر باشد.البته در برخی موارد 8 کاراکتر ذکر شده است و در برخی موارد 15 کاراکتر بعنوان یک پسورد قوی عنوان شده است که در دنیای احراز هویت کامپیوترها از آن بعنوان یک پسورد جادویی یاد میشود.و پیشنهاد میشود از پسوردهای 15 کاراکتری استفاده کنید.

Image


4-بیشترین دوره پسورد(Maximum password age):به این معنی که برخی از پسوردها نباید بیشتر از 90 روز مورد استفاده قرار بگیرند.و هر 90 روز یکبار بهتره که تغییر کنند. البته این به نوع سازمان برمیگردد که چقدر امنیت در آنجا مهم است،در برخی از سازمان هایی که امنیت در آنها بسیار مهم است حتی از پسوردهای یکبار مصرف استفاده میشود.یعنی بعنوان مثال اگر مدیر شبکه از این پسورد برای ورود به سیستم استفاده کند دیگر آن پسورد Expire میشود و بعد از آن حتی شخص مدیر شبکه هم نمیتواند از آن استفاده کند و باید از پسورد جدیدی که تولید شده است استفاده کند.(این مورد در برابر حملات Sniffing شگرد خوبی میباشد).البته در ویندوز این مدت 42 است که شما میتوانید طبق شکل زیر به مسیر آن دست پیدا کنید و بسته به سطح امنیتی که میخواهید آن را تغییر دهید.

Image


5-رویداد ثبت وقایع(Event Logs :(Evnet Logsها را فعال کنید به منظورLog کردن رویدها.Event Logs فایل های ویژه ای هستند که رویدادهای مهم کامپیوتر شما را ثبت میکنند،بعنوان مثال زمانی که یک یوزر وارد کامپیوتر میشود یا برنامه ای با Error مواجه میشود.هرگاه این مورد از حوادث رخ میدهد ویندوز این وقایع را در Event Log ذخیره میکند که شما میتوانید با استفاده از Event Viewer آنها را بخوانید.کاربران حرفه ای زمانیکه اشکال زدایی میکنند مشکلات را از طریق ویندوز یا دیگر نرم افزارها با استفاده از این روش میتوانند جزئیات سودمندی را بدست بیاورند.

Image


6-غیر فعال کردن شمارش Anonymous SID :SID ها (شناسه امنیت) شماره هایی هستند که اختصاص داده شده به هر یوزر،گروه،و دیگر اشیاء امنیتی درویندوز یا دراکتیو دایرکتوری.در ورژن های قبلی سیستم عامل،کاربران احراز هویت نشده میتوانستند ( Queryپرس و جو کنند ) این شماره ها رو برای تشخیص یوزرهای مهم بعنوان مثال Administrator ها ،درواقع این یکی از مشکلات امنیتی بود که هکرها عاشق بهره برداری از آن بودند.به این منظور در Run تایپ کنید Secpol.msc و Enter کنید و با توجه به شکل زیر مسیر را ادمه بدهید.

Image


7-اجازه ندادن به اقامت حساب های Anonymous درهر گروهی: این بدین معنی است که شما باید تعداد یوزرهاتون با تعداد افرادی که در سازمانتان قرار دارند و کامپیوتر دارند یکسان باشد و نباید هیچ یوزر اضافه یا ناشناخته ای در بین یوزرهاتون وجود داشته باشد.اگر این تنطیمات به درستی تنظیم نشود،هکرهای ناشناخته میتوانند از راه دور به وسیله همین یوزرهای اضافی و ناشناس که در بین یوزرهای شما قرار دارند دسترسی کاملی داشته باشند بر روی سیستم های داخل سازمان.

8-User Account Control یا به اختصار UAC را فعال کنید:اخیرا،از ویندوز ویستا به بعد UAC به یکی از مهمترین ابزار حفاظتی برای ویندوز و کاربرانی که در وب جستجو میکنن تبدیل شده است.متاسفانه تعداد زیادی از کاربران این ابزار امنیتی را به خاطر بوجود آوردن برخی از مشکلات عدم سازگاری نرم افزارها به پایین ترین حد امنیتی کاهش میدهدند که کاملا کار اشتباهی است. این درست است که ممکن است برخی از این مشکلات رفع شود ولی ممکن است در معرض آسیب هایی قرار بگیریم که ممکن است به سیستم ما آسیب برساند.و پیشنها میشود که ابزار را از کار نیندازید.

Image


9-نام مربوط به Local Administrator Account را تغییر دهید:زمانیکه شما نام Administrator Account را تغییر میدهید برخی از هکرهای مبتدی که دانش زیادی ندارند که به جوجه هکرها معروف هستند نمیتوانند سیستم شما را هک کنند که این امر درصد هک شدن شما را کاهش میدهد،البته این نکته رو هم باید ذکر کرد که هکرهایی که دانش بالایی دارن میتوانند یوزرهایی که دسترسی Admin دارند را از روی SID آنها تشخیص دهند.

Image


10-Guest Account را غیرفعال کنید:البته یوزرGuest بصورت پیشفرض در ویندوز غیر فعال است و بیان این موضوع صرفا برای این است که شما آن را فعال نکنید.

Image



نتیجه گیری


دوستان توجه داشته باشند هیچ شخصی با هیچ ابزاری نمیتوانند امنیت را به طور صد درصد تضمین کند اما ما همیشه امنیت را باید تا سطح قابل قبولی برسانیم تا کمتر مورد آسیب قرار بگیریم و این نکته رو هم اضافه کنم که هر کدام از مطالب بالا میتوانند به خودی خود یک مقاله جداگانه باشند اما صرفا بنده خواستم تا دوستان یکسری آشنایی های اولیه با این نکات داشته باشند.امیدورام مورد پسند دوستان قرار گرفته باشد و اگر نکات دیگری هست ذکر کنند تا همه ما آی تی پرویی ها از آن بهره ببریم.

با احترام
موفق باشید.


نویسنده : شهاب زیرکی جعفر پور
منبع : انجمن تخصصی فناوری اطلاعات ایران
هرگونه برداشت و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
دیدگاه ها
  • ارسال توسط:
  • زمان ارسال: 25 ماه قبل
مرسی عالی بود مهندس
چند وقت پیش با یکی از متخصصین مایکروسافت چت میکردم و برای مشکلی ازش راهنمایی میخواستم وقتی کفتم مشکلم توی ویندوز xp هست چند ثانیه هنگ کرد و بعد با تعجب گفت مگه شما هنوز از xp استفاده میکنید اینرو مقدمتا عرض کردم تا از سوالم جا نخورید
یه سازمانی هست که بدلیلی هنوز از ME استفاده میکنن بله من درست نوشتم و شما هم درست خوندید ME :(
حالا بنظر شما رعایت نکات 1و2و6 مشکل ساز نمیشه ؟
  • ارسال توسط:
  • زمان ارسال: 25 ماه قبل
با سلام

دوست عزیر جناب مهندس مهدی باقری(mahdi_dsgn ) اولا بابت مطالعه مطلب بنده ازتون تشکر میکنم و خوشحالم که نکاتی را ذکر کردید.
اما درخصوص نکته اول باید خدمتتون عرض کنم که اگر اشنباه نکنم این ویژه گی از ویندوز 7 و ویندوز سرور 2003 به بالا اضافه شده است و در ویندوز ME چنین ویژه گی ای وجود نداشته است و این ویژه گی هم در ویندوز 7 و سرور به صورت پیشفرض تنظیم شد است و اگر در سازمان ما سیستم قدیمی ای وجود داشته باشد امنیت آن سیستم کاهش میابد و مشکلی به وجود نخواهد آمد و بخاطر همین مسائل میباشد که هیچ وقت امنیت صد در صد تضمین نمیشود.

در خصوص نکته دوم باید خدمدتون عرض کنم که این گزینه هم در ویندوز به صورت پیشفرض غیر فعال است و اگر باز هم ما سیستمی در سازمان داشته باشیم که دارای ویندوز قدیمی مثل ME باشد مشکلاتی که در بالا ذکر شد برای آن پیش می آید و باز هم امنیت زیر سوال میرود.

در مورد نکته ششم هم باید خدمدتون عرض کنم که در سیستم هایی که ویندوز Me دارند اگر هکر بخواهد میتواند باز هم SID ها را بدست بیاورد.بعالاوه بنده اعتقاد دارم که هکرهای با دانش بالا در ویندوزهای جدید مثل مثلا ویندوز 7 هم میتوانند SID ها ی مهم را بدست بیاورد.

ولی در کل در رابطه با سه نکته ای که شما بهش اشاره کردید اگر در سازمان شما ویندوز قدیمی وجود دلشته باشد مشکلی به وجود نمی آید و فقط امنیت کاهش پیدا میکند که یک امر بدیهی میباشد و بخاطر همین هست زمانی که ویندوز 7 به بازار آمد (به قول استادم) واقعا تحول عظیمی در سیستم عامل ها بوجود آمد بخاطر همین نکات امنیتی و خیلی نکات امنیتی دیگری که بهش اضافه شده بود.و به نظر بنده کلا در رابطه با سازمانی هم که با سخت افزار و نرم افزار قدیمی کار میکند امنیتش هم در همان حد قدیمی باقی خواهد ماند.

دوست عزیز امیدوارم که مطالبی که نوشتم خدمدتون قانع کننده باشد و همچنان منتظر ارسال نکات مفید شما دوستان عزیر در این سایت میباشیم.

با احترام
موفق باشید.
برای ارسال نظر وارد شوید.