تنظیمات امنیتی ویندوز که اغلب نادیده گرفته می‌شوند

برخی تنظیمات امنیتی معمول، مهم و کلیدی وجود دارند که اغلب به‌طور کلی مورد توجه قرار نگرفته یا اینکه به درستی تنظیم نمی‌گردند. در این مقاله به این تنظیمات خواهیم پرداخت.

ضعف خط مشی کلمات عبور

اغلب سازمان‌ها به کارمندان خود اجازه می‌دهند که از کلمات عبور ضعیف استفاده کنند. نیازمندی‌های کلمات عبور که مایکروسافت برای اکتیو دایرکتوری به شکل پیش‌فرض تنظیم کرده است، از کیفیت مناسبی برخوردار نیست. البته داشتن یک کلمه عبور ضعیف قطعاً بهتر از نداشتن کلمه عبور است، ولی با تکنولوژی‌های موجود، برتری این وضعیت نسبت به وضعیت بدون کلمه عبور چندان قابل توجه نیست. ابزارهایی مانند L0phtCrack، Cain و ابزارهای دیگر می‌توانند کلمات عبور ضعیف و نسخه درهم‌سازی شده آنها را به سرعت بشکنند. با استفاده از تکنولوژی‌های دیگری مانند جداول RainBow و حملات دیکشنری، این ابزارها بی‌نهایت دقیق و کامل عمل خواهند کرد.

باید اطمینان حاصل کرد که کلمات عبور ایجاد شده و در برابر تمامی تکنولوژی‌های مختلف، تست شده‌اند. کلمات عبور به شکل ایده‌آل باید از حداقل ۱۵ کاراکتر تشکیل شده باشند. یک راه برای کمک به رسیدن به این منظور، استفاده از عبارات عبور است. در زیر مثال‌هایی از عبارات عبور را مشاهده می‌کنید:

I love my doll Hercules.
Honesty is the best policy.

عبارات فوق بیش از ۱۵ کاراکتر بوده و به خاطر سپردن و تایپ آنها نیز راحت‌تر از کلمات عبور معمول است.

پیکربندی نامناسب خط مشی کلمات عبور

هنوز شرکت‌ها و مدیران شبکه‌ای وجود دارند که خط مشی کلمات عبور اکتیو دایرکتوری را به‌طور کامل درک نمی‌کنند. از سال ۲۰۰۰ و به‌طور دقیق‌تر با عرضه ویندوز ۲۰۰۰، خط مشی کلمات عبور برای کاربران دامنه یکسان بوده است. به‌طور پیش‌فرض خط مشی کلمات عبور در خط مشی دامنه پیش‌فرض (Default Domain Policy) تعریف شده است. تعریف مجدد تمام یا بخشی از تنظیمات خط مشی کلمات عبور در یک GPO متفاوت ممکن است. اما آن GPO باید با دامنه مرتبط باشد و اولویت بیشتری نسبت به خط مشی دامنه پیش‌فرض داشته باشد. پس از انجام این تنظیمات، GPO جدید، خط مشی کلمات عبور اصلی را در مورد تنظیمات جدید تحت الشعاع قرار خواهد داد.

اما باید توجه داشت که کنترل کلمات عبور محدود در یک OU برای یک GPO لینک شده به آن OU ممکن نیست. اولاً تنها راه کنترل خط مشی کلمات عبور برای کاربران دامنه، یک GPO لینک شده به دامنه است. ثانیاً مجموعه تنظیمات خط مشی کلمات عبور، فقط کامپیوترها را تحت تأثیر قرار خواهد داد و نه کابران را.

تنظیمات مربوط به دسترسی ناشناس

۴ تنظیم Anonymous کلیدی وجود دارند که باید برای مسدود کردن دسترسی ناشناس، پیکربندی گردند. روش ایجاد ارتباطات ناشناس و اینکه هر نوع دسترسی چه مجوزی را صادر می‌کند، با این تنظیمات در ارتباط است. مایکروسافت اغلب تنظیمات را به‌خوبی انجام داده است، اما لازم است که تمامی تنظیمات به درستی انجام گیرند.

حتی با یک دامنه ویندوز سرور ۲۰۱۲ تازه نصب شده نیز، تمامی تنظیمات در خط مشی گروهی (Group Policy) تعریف نمی‌شوند. تنظیماتی که نیاز به پیکربندی دارند در شکل زیر فهرست شده‌اند.

همانطور که در این شکل مشاهده می‌کنید، فقط یکی از چهار تنظیم در یک GPO از اکتیو دایرکتوری تعریف شده است. این استفاده مناسبی از خط مشی گروهی نیست و نیاز به پیکربندی مناسب در دامنه اکتیو دایرکتوری دارد.

این تنظیمات باید به‌صورت زیر پیکربندی گردند:

Network access: Allow anonymous SID/Name translation – Disabled
Network access: Do not allow anonymous enumeration of SAM accounts – Enabled
Network access: Do not allow anonymous enumeration of SAM accounts and Shares – Enabled
Network access: Let Everyone permissions apply to anonymous users – Disabled

درست است که سه تنظیم از چهار تنظیم یاد شده صحیح هستند. اما دو نکته در اینجا وجود دارد. نخست اینکه تمامی چهار تنظیم باید صحیح باشند. دوم اینکه تمامی تنظیمات باید از یک GPO در اکتیو دایرکتوری پیکربندی شوند و نه فقط یک تنظیم.

کنترل حساب کاربری (UAC)

UAC نخستین بار در ویندوز ویستا عرضه شد. این تکنولوژی نباید نادیده گرفته شود، بلکه کارکرد آن و چگونگی پیکربندی صحیح آن باید در نظر گرفته شود.

اطمینان حاصل کنید که UAC فعال بوده و به درستی پیکربندی شده است. نحوه مناسب پیکربندی UAC در شکل زیر که مربوط به یک سیستم ویندوز ۷ است نمایش داده شده است.

خلاصه

بسیاری می‌گویند که ویندوز یک سیستم عامل امن نیست که البته این موضوع صحیح نیست. مهم این است که تنظیمات و پیکربندی‌های امنیتی صحیح در مورد آن اعمال گردد. امنیت Windows Active Directory شما و پایداری آن، وابسته به امنیتی است که بر روی کنترل کننده‌های دامنه، سرورها و دسکتاپ‌ها پیکربندی می‌کنید. با توجه به اینکه کلمه عبور مهمترین راه ورودی کامپیوتر است، امنیت کلمات عبور می‌تواند امنیت کلی سیستم و شبکه را تحت تأثیر قرار دهد.

دسترسی ناشناس، کلید ورودی به یک شبکه ویندوز است. چرا که فقط کافی است که مهاجم دسترسی به شبکه داشته باشد تا بتواند از آسیب‌پذیری سوء استفاده نماید. تمامی تنظیمات بر روی تمامی کنترل کننده‌های دامنه، سرورها و دسکتاپ‌ها باید ۱۰۰% صحیح باشد. حتی اگر فقط یک سیستم مجوز دسترسی ناشناس را صادر کرده باشد، می‌تواند باعث دسترسی غیرمجاز و حمله بر روی شبکه گردد. اگرچه UAC تکنولوژی چندان محبوبی نیست، ولی فواید امنیتی آن قابل توجه است.

http://www.certcc.ir/index.php?module=cdk&func=loadmodule&system=cdk&sismodule=user/content_view.php&cnt_id=6567&ctp_id=89&id=209&sisOp=view