برخی تنظیمات امنیتی معمول، مهم و کلیدی وجود دارند که اغلب بهطور کلی مورد توجه قرار نگرفته یا اینکه به درستی تنظیم نمیگردند. در این مقاله به این تنظیمات خواهیم پرداخت.
ضعف خط مشی کلمات عبور
اغلب سازمانها به کارمندان خود اجازه میدهند که از کلمات عبور ضعیف استفاده کنند. نیازمندیهای کلمات عبور که مایکروسافت برای اکتیو دایرکتوری به شکل پیشفرض تنظیم کرده است، از کیفیت مناسبی برخوردار نیست. البته داشتن یک کلمه عبور ضعیف قطعاً بهتر از نداشتن کلمه عبور است، ولی با تکنولوژیهای موجود، برتری این وضعیت نسبت به وضعیت بدون کلمه عبور چندان قابل توجه نیست. ابزارهایی مانند L0phtCrack، Cain و ابزارهای دیگر میتوانند کلمات عبور ضعیف و نسخه درهمسازی شده آنها را به سرعت بشکنند. با استفاده از تکنولوژیهای دیگری مانند جداول RainBow و حملات دیکشنری، این ابزارها بینهایت دقیق و کامل عمل خواهند کرد.
باید اطمینان حاصل کرد که کلمات عبور ایجاد شده و در برابر تمامی تکنولوژیهای مختلف، تست شدهاند. کلمات عبور به شکل ایدهآل باید از حداقل ۱۵ کاراکتر تشکیل شده باشند. یک راه برای کمک به رسیدن به این منظور، استفاده از عبارات عبور است. در زیر مثالهایی از عبارات عبور را مشاهده میکنید:
- I love my doll Hercules.
- Honesty is the best policy.
عبارات فوق بیش از ۱۵ کاراکتر بوده و به خاطر سپردن و تایپ آنها نیز راحتتر از کلمات عبور معمول است.
پیکربندی نامناسب خط مشی کلمات عبور
هنوز شرکتها و مدیران شبکهای وجود دارند که خط مشی کلمات عبور اکتیو دایرکتوری را بهطور کامل درک نمیکنند. از سال ۲۰۰۰ و بهطور دقیقتر با عرضه ویندوز ۲۰۰۰، خط مشی کلمات عبور برای کاربران دامنه یکسان بوده است. بهطور پیشفرض خط مشی کلمات عبور در خط مشی دامنه پیشفرض (Default Domain Policy) تعریف شده است. تعریف مجدد تمام یا بخشی از تنظیمات خط مشی کلمات عبور در یک GPO متفاوت ممکن است. اما آن GPO باید با دامنه مرتبط باشد و اولویت بیشتری نسبت به خط مشی دامنه پیشفرض داشته باشد. پس از انجام این تنظیمات، GPO جدید، خط مشی کلمات عبور اصلی را در مورد تنظیمات جدید تحت الشعاع قرار خواهد داد.
اما باید توجه داشت که کنترل کلمات عبور محدود در یک OU برای یک GPO لینک شده به آن OU ممکن نیست. اولاً تنها راه کنترل خط مشی کلمات عبور برای کاربران دامنه، یک GPO لینک شده به دامنه است. ثانیاً مجموعه تنظیمات خط مشی کلمات عبور، فقط کامپیوترها را تحت تأثیر قرار خواهد داد و نه کابران را.
تنظیمات مربوط به دسترسی ناشناس
۴ تنظیم Anonymous کلیدی وجود دارند که باید برای مسدود کردن دسترسی ناشناس، پیکربندی گردند. روش ایجاد ارتباطات ناشناس و اینکه هر نوع دسترسی چه مجوزی را صادر میکند، با این تنظیمات در ارتباط است. مایکروسافت اغلب تنظیمات را بهخوبی انجام داده است، اما لازم است که تمامی تنظیمات به درستی انجام گیرند.
حتی با یک دامنه ویندوز سرور ۲۰۱۲ تازه نصب شده نیز، تمامی تنظیمات در خط مشی گروهی (Group Policy) تعریف نمیشوند. تنظیماتی که نیاز به پیکربندی دارند در شکل زیر فهرست شدهاند.
همانطور که در این شکل مشاهده میکنید، فقط یکی از چهار تنظیم در یک GPO از اکتیو دایرکتوری تعریف شده است. این استفاده مناسبی از خط مشی گروهی نیست و نیاز به پیکربندی مناسب در دامنه اکتیو دایرکتوری دارد.
این تنظیمات باید بهصورت زیر پیکربندی گردند:
- Network access: Allow anonymous SID/Name translation – Disabled
- Network access: Do not allow anonymous enumeration of SAM accounts – Enabled
- Network access: Do not allow anonymous enumeration of SAM accounts and Shares – Enabled
- Network access: Let Everyone permissions apply to anonymous users – Disabled
درست است که سه تنظیم از چهار تنظیم یاد شده صحیح هستند. اما دو نکته در اینجا وجود دارد. نخست اینکه تمامی چهار تنظیم باید صحیح باشند. دوم اینکه تمامی تنظیمات باید از یک GPO در اکتیو دایرکتوری پیکربندی شوند و نه فقط یک تنظیم.
کنترل حساب کاربری (UAC)
UAC نخستین بار در ویندوز ویستا عرضه شد. این تکنولوژی نباید نادیده گرفته شود، بلکه کارکرد آن و چگونگی پیکربندی صحیح آن باید در نظر گرفته شود.
اطمینان حاصل کنید که UAC فعال بوده و به درستی پیکربندی شده است. نحوه مناسب پیکربندی UAC در شکل زیر که مربوط به یک سیستم ویندوز ۷ است نمایش داده شده است.
خلاصه
بسیاری میگویند که ویندوز یک سیستم عامل امن نیست که البته این موضوع صحیح نیست. مهم این است که تنظیمات و پیکربندیهای امنیتی صحیح در مورد آن اعمال گردد. امنیت Windows Active Directory شما و پایداری آن، وابسته به امنیتی است که بر روی کنترل کنندههای دامنه، سرورها و دسکتاپها پیکربندی میکنید. با توجه به اینکه کلمه عبور مهمترین راه ورودی کامپیوتر است، امنیت کلمات عبور میتواند امنیت کلی سیستم و شبکه را تحت تأثیر قرار دهد.
دسترسی ناشناس، کلید ورودی به یک شبکه ویندوز است. چرا که فقط کافی است که مهاجم دسترسی به شبکه داشته باشد تا بتواند از آسیبپذیری سوء استفاده نماید. تمامی تنظیمات بر روی تمامی کنترل کنندههای دامنه، سرورها و دسکتاپها باید ۱۰۰% صحیح باشد. حتی اگر فقط یک سیستم مجوز دسترسی ناشناس را صادر کرده باشد، میتواند باعث دسترسی غیرمجاز و حمله بر روی شبکه گردد. اگرچه UAC تکنولوژی چندان محبوبی نیست، ولی فواید امنیتی آن قابل توجه است.
http://www.certcc.ir/index.php?module=cdk&func=loadmodule&system=cdk&sismodule=user/content_view.php&cnt_id=6567&ctp_id=89&id=209&sisOp=view