نوشته‌ها

ایمن سازی زیرساخت اکتیو دایرکتوری

ایمن سازی زیرساخت اکتیو دایرکتوری

سرویس اکتیو دایرکتوری به عنوان زیرساخت اصلی اکثر سازمان های مالی و بانکی سراسر جهان معرفی گردیده است که دارای ملاحظات قابل توجهی در زمینه امنیت کاربران در منابع سازمان می باشد. به دلیل حساسیت و اهمیت سرویس فوق، امنیت اطلاعات در ساختار از اهمیت بالایی برخوردار است. بدلیل اهمیت موضوع فوق، در این مقاله به روشهای ایمن سازی این ساختار پرداخته خواهد شد.

لیست موارد
این لیست شامل 24 مورد اصلی بوده که در ابتدای امر به معرفی آنها پرداخته و سپس توضیح مربوط به هرکدام از آنها ارائه خواهد شد. لازم به ذکر است که اکثر موارد موجود در لیست فوق در حال حاضر در اغلب سازمان ها پیاده سازی گردیده اند.

1-مستند سازی موجودیت ها
2-کنترل نمودن بار مدیریتی
3-محدود کردن تعداد کاربران Admin
4-آزمایش و تست تنظیمات Group Policy
5-استفاده از حساب های کاربری مجزا برای موارد مدیریتی
6-محدود کردن عضویت در گروه های Built-in
7-استفاده از ترمینال سرور مجزا برای موارد مدیریتی
8-غیرفعال نمودن کاربر Guest و تغییر نام کاربر Administrator
9-محدود کردن دسترسی به کاربران Administrator
10-مراقبت از رمزعبور DSRM
11-پیاده سازی سیاست های رمزعبور قدرتمند
12-محافظت از رمز عبور حساب های کاربری سرویس
13-اطمینان از ایمن بودن هر کنترل کننده دامنه (DC) به صورت فیزیکی
14-کمینه سازی سرویس های غیر ضروری و پورتهای باز
15-امن نمودن منبع زمان کنترل کننده دامنه (DC)
16-ممیزی رخدادهای مهم
17-استفاده از IPSec
18-ذخیره نکردن مقادر Hash پروتکل LAN Manager
19-مدیریت وصله های ترمیمی
20-عدم دسترسی به اینترنت برای سرویس های حساس
21-تمهیدات لازم جهت ایمن سازی میزبانهای مدیریتی (Administrative Hosts)
22-استفاده از تکنیک Authentication Mechanism Assurance
23-محدود نمودن نرم افزارهای اجرایی بر روی کنترل کننده های دامنه با استفاده از Applocker
24-اعطای سطح دسترسی برحسب روشهایی مانند RBAC

مستند سازی موجودیت ها

اولین قدم در زمینه ایمن سازی زیرساخت اکتیو دایرکتوری مستند سازی پیکربندی موجود است. اگرچه این مرحله ممکن است تا حدودی پیش پا افتاده به نظر برسد، اما تا زمانی که نقطه حال حاضر پروژه مشخص و شفاف نباشد، امکان حرکت به جلو موجود نخواهد بود. یکی از نقاط مناسب برای شروع این فعالیت، ساختارهای سطح بالا مانند Forest و پیکربندی دامنه ها، مستند سازی توپولوژی سایت ها مانند لیست کردن سایت ها می باشد.

مستند سازی سیاست های دامنه (GPO) نیز از جمله مواردی است که رعایت نمودن آن بسیار ضروری بوده و در ساختار حائز اهمیت می باشد. این سند علاوه بر اینکه مواردی مانند سیاست های مرتبط به رمزعبور (Password Policies) و سیاست های ممیزی (Audit Policies) را ارائه می دهد، باید امکان بررسی اینکه سیاست های فوق به چه کسانی اعمال شده و کدام گروه از کاربران امکان تغییر آن را دارند را فراهم آورد.

همچنین باید تمام تغییرات اعمال شده مانند تغییرات Schema به طور کامل مستند سازی شوند. علاوه بر موارد فوق باید نام کنترل کننده دامنه (DC)ها، نسخه سیستم عامل آنها، نرم افزارهای امنیتی مانند آنتی ویروس، نحوه تهیه نسخه پشتیبان ذکر گردند تا در موقعیت های حیاتی، کمبود این اطلاعات احساس نشود.

کنترل نمودن بار مدیریتی
در صورتی که به زیرساخت اکتیودایرکتوری مانند یک هرم بنگریم، امنیت در آن دقیقا از نقاط بالایی شروع شده و برقرار می گردد. کنترل نمودن وظایف مدیریتی هر دامنه مهم ترین و شاید دشوارترین مرحله در برقراری امنیت باشد. پیشنهاد می گردد دسترسی های مدیریتی هر دامنه و گروه مدیریت آن دامنه (Domain Admins) در اختیار مدیران Forest باشد تا از بروز نا همسانی در ساختار جلوگیری شود. باید در نظر داشت که دسترسی مدیریتی به حتی یک کنترل کننده دامنه (DC) در دامنه ها ممکن است موجب بروز نا همسانی گردد. در صورتی که مدیریت دامنه ها در اختیار گروه مجزایی قرار دارد، باید رابطه ای نزدیک با آن گروه ایجاد شده و قوانین و مقرراتی برای مدیریت ارائه گردد تا تمام گروههای مدیریتی از این مقررات یکسان تبعیت نمایند.

محدود کردن تعداد کاربران Admin
در تمام مدت باید در نظر داشت که تعداد کاربران گروه Admin در ساختار کمینه گردد. اگرچه ساختار امنیتی اکتیو دایرکتوری حال حاضر با ساختار گذشته خود در NT کاملا متفاوت بوده و دارای تغییرات زیادی می باشد اما همچنان یک نقطه ضعف اصلی در این ساختار به چشم می خورد که آن عدم امکان مدیریت کامل یک کنترل کننده دامنه (DC) بدون نیاز به عضویت در گروه Domain Admin می باشد. تحت هیچ شرایط پیشنهاد نمی گردد که وظایف مدیریتی خاص هر کنترل کننده دامنه (DC) به عهده گروه و افرادی واگذار گردد که در آینده مجبور باشیم آنها را به عضویت در گروه Domain Admins در آوریم. به جای اعطای سطح دسترسی Domain Admin به اپراتورهای رایانه راه حلی مناسبی با ترکیبی از نر افزارهای موجود در بازار و پیاده سازی سیاست های امنیتی ارائه کنید.

 

آزمایش و تست تنظیمات Group Policy
تنظیمات و سیاست های دامنه (GPO) به دلیل اهمیت بالایی که در امنیت ساختار دارند باید حتما به صورت تست پیاده سازی شوند تا از صحت عملکرد آنها اطمینان حاصل شود. همچنین پیشنهاد می شود سیاست هایی که در دامنه اعمال شوند را ابتدا در OU های خاص اعمال کرده و پس از بررسی نتایج و مثبت بودن آن، در کل دامنه اعمال گردد

استفاده از حساب های کاربری مجزا برای موارد مدیریتی
بعد از اینکه تعداد کاربران Administrator در ساختار کمینه گردید، باید اطمینان حاصل کرد که تمام کاربرانی که فعالیتی انجام می دهند که نیاز به سطح دسترسی بالاتری دارند، باید از حساب کاربری خاص دیگری، مجزا از حساب کاربری خود به این منظور استفاده نمایند. این حسابهای کاربری مجزا باید از روش نامگذاری متفاوتی استفاده نموده و در OU مشخصی قرار داشته باشند تا بتوان به راحتی به آن ها سیاست های خاصی اعمال گردد. همچنین می توان این کاربران را گروه بندی کرده و با نامگذاری خاص مانند HQ\Account Admins مشخص نماییم و بعد از آن گروه ذکر شده را به عضویت Account Operators در آوریم.

محدود کردن عضویت در گروه های Built-in
سناریویی را در نظر بگیرید که یک کاربر با سطح دسترسی مدیریتی غیر مجاز (Rogue Administrator) خود را به عضویت گروه مدیران دامنه (Domain Admins) در آورد. در آن صورت قادر خواهد بود تا مقاصد خرابکانه خود را پیاده سازی نماید. استفاده از سیاست های موجود برای کنترل نمودن این امر مانند RestrictedrGroups این اطمینان را به ما می دهد که کاربرانی که عضو گروههای حساس مانند Domain Admins و Schema Admins هستند به صورت دائم و در فاصله های زمانی 5 دقیقه ای مجددا بررسی می شوند و درصورت اضافه شدن شخص دیگری به این گروه ها، لیست به حالت پیش فرض خود بازگردد.

استفاده از ترمینال سرور مجزا برای موارد مدیریتی
بدلیل دسترسی بالای کاربران مدیر به کنترل کننده دامنه (DC)ها ، توپولوژی سایت ها و Schema پیشنهاد می شود که کاربران فوق از یک سیستم مرکزی جهت اتصال به رایانه های Server استفاده نمایند. پیاده سازی این روش باعث بوجود آمدن یک نقطه مرکزی جهت ارتباطات می شود. اما نکته ای که باید در این روش مورد توجه قرار گیرد این است که سیستم فوق باید از لحاظ امنیتی کاملا واکسینه شده و فایل های بروزرسانی سیستم عامل به طور متناوب بر روی سیستم نصب شده و نرم افزارهای امنیتی سیستم کاملا بروز باشد.

غیرفعال نمودن کاربر Guest و تغییر نام کاربر Administrator
این اقدام یکی از اقدامات اصلی جهت ایمن سازی ساختار اکتیو دایرکتوری بر علیه حملات هکر ها می باشد. علاوه بر غیرفعال نمودن کاربر Guest و تغییر نام کاربر Administrator، فیلد Description انها نیز باید تغییر گردند تا نشان دهنده سطح دسترسی هر کدام از آنها نباشد.

محدود کردن دسترسی به کاربران Administrator
علاوه بر گروه مدیران دامنه (Domain Admins) کاربران عضو گروه مدیران محلی نیز از اهمیت بالایی برخوردار هستند. باید اطمینان حاصل نمود که رمز عبور کاربران فوق نیز در اختیار همه قرار نگیرد و تنها کاربرانی که مجاز به مدیریت سیستم ها هستند دارای رمز عبور باشند.

مراقبت از رمزعبور DSRM
این رمز عبور که منحصرا به هر کدام از کنترل کننده دامنه (DC) ها اختصاص داده می شود، از اهمیت ویژه ای در اکتیو دایرکتوری برخوردار است. بهترین پیشنهاد برای ایمن سازی این رمز عبور راهکاری به جز تغییر متوالی این رمز عبور در فاصله های زمانی مشخص نیست چرا که فاش شدن این رمز عبور می تواند روند دستیابی به پایگاه داده اکتیودایرکتوری (NTDS.DIT) بسیار هموار سازد.

پیاده سازی سیاست های رمزعبور قدرتمند
اگرچه تاکنون هر کدام از ما به قابلیت ها و امنیت یک رمز عبور قدرتمند پی برده ایم، درک مفهوم این موضوع و مجاب کردن کاربران به استفاده از رمز عبور قدرتمند کار دشواری خواهد بود. اما با توجه به اینکه امنیت در ساختار از اهمیت بسیار بالاتری برخورداد است، باید در مجاب کردن کاربران به استفاده از رموز عبور قدرتمند و پیچیده کوشش ورزید.

محافظت از رمز عبور حساب های کاربری سرویس
همانطور که از نام این حساب های کاربری پیداست، برای راه اندازی سرویس های مورد نیاز در ساختار مانند SQL و غیره از این حساب های کاربری استفاده می شود. اما نکته ای که از لحاظ امنیتی در این حسابهای کاربری حائز اهمیت است Expire شدن رمزعبور این حسابهای کاربری است. اکثر مدیران عموما برای حساب های کاربری مرتبط به سرویس امکان Expire شدن آنها را غیر فعال می کنند تا درگیر تعویض متناوب رمز عبور نشوند. اگر چه رویارویی با این مشکل دشواری های خاص خود را دارد، اما راهکارهایی به منظور ایمن سازی این حساب های کاربری پیشنهاد می شود. برای این منظور میتوان تمام حساب های کاربری مرتبط به سرویس ها را در یک گروه واحد و OU مجتمع کرده و سیاست Allow Logon Locally را برای رایانه Server های برنامه های کاربردی غیر فعال نموده و Log on as service را فعال نمایید.

اطمینان از ایمن بودن هر کنترل کننده دامنه (DC) به صورت فیزیکی
با توجه به اینکه کنترل کننده دامنه (DC)ها بعد فیزیکی اکتیو دایرکتوری هستند که در سرتاسر Forest پراکنده هستند محافظت فیزیکی از کنترل کننده دامنه (DC) جزو لاینفک برقراری امنیت در ساختار اکتیو دایرکتوری هستند. به دلیل اینکه کنترل کننده های دامنه (DC) پایگاه داده اکتیو دایرکتوری (NTDS.DIT) را در اختیار دارند، دسترسی فیزیکی به این پایگاه داده و استفاده از نرم افزارهای مخرب، احتمال فاش شدن نام های کاربری و رمز عبور را افزایش می دهند.

کمینه سازی سرویس های غیر ضروری و پورتهای باز
علاوه بر بستن پورتهای غیر ضروری اقداماتی نیز باید در جهت جلوگیری از حملات DoS بر روی کنترل کننده های دامنه (DC) اعمال گردد.روشهای زیادی موجود است تا کنترل کننده دامنه (DC) را مورد حمله DoS قرار دهد و از دور خارج کند. یکی از این روشها پر کردن فضای دیسک کنترل کننده دامنه (DC) است. این روش با ساخت پی در پی اشیا در اکتیودایرکتوری و بالابردن حجم NTDS.DIT انجام می شود. علاوه بر اینکه فایل NTDS.DIT باید در پارتیشن ای قرار گیرد که فضای خالی زیادی داشته باشد، باید با استفاده از دستورات DSMOD PARTITION و DSMOD QUOTA میزان رشد پایگاه داده را تعریف نماییم تا از ایجاد بی رویه اشیا در اکتیو دایرکتوری جلوگیری نماییم.

یکی دیگر از حملات DoS که بر روی کنترل کننده دامنه (DC) انجام می پذیرد، ارسال سیل فایل (File Flooding) به پوشه SYSVOL می باشد که باعث از کار افتادگی کنترل کننده دامنه (DC) خواهد شد. در این مورد خاص امکان تعریف Quota وجود ندارد اما میتوان با تعریف نمودن مقداری از فضای پوشه SYSVOL به عنوان فضای رزرو مانع از بوجود آمدن این مشکل شد. در صورت بوجود آمدن مشکل و پر شدن فضای دیسک می توان فضای رزرو شده را پاک کرد تا فضای خالی ایجاد گردد. این امکان با استفاده از دستور FSUTIL FILE CREATENEW انجام می شود.

امن نمودن منبع زمان کنترل کننده دامنه (DC)
بدلیل وابستگی شدید سرویس اکتیو دایرکتوری به پروتکل Kerberos ، این سرویس به شدت به اختلاف زمان حساس می باشد. به صورت پیش فرض کنترل کننده دامنه (DC) موجود در ریشه اصلی Forest مسئولیت همسان سازی زمان سایر کنترل کننده های دامنه (DC) را بر عهده دارد. این بدین معنی است که سایر کنترل کننده های دامنه (DC) ها زمان خود را با کنترل کننده دامنه (DC) اصلی موجود در ریشه تنظیم می کنند تا از عدم اختلاف زمانی در ساختار جلوگیری شود. باید در نظر داشت، حال که کنترل کننده دامنه (DC) موجود در ریشه Forest به عنوان منبع اصلی رمان در کل ساختار به ایفای نقش می پردازد، زمان خود را با یک منبع خارج از سازمان تنظیم می نماید. آیا این منبع زمانی که در خارج از سازمان قرار دارد امن است؟

ممیزی رخدادهای مهم
باید قابلیت ممیزی (Audit) رخدادهای مهم را در سطح دامنه فعال کرده تا امکان ثبت آن رخدادها برای تمام سیستم ها به وجود آید. پیشنهاد می شود ثبت رخدادهای مرتبط با احراز هویت های ناموفق و موفق، دسترسی به فایلها و پوشه های حساس و تغییرات GPO تنظیم گردد.

استفاده از IPSec
پیاده سازی IPSec برای ارتباطات بین کلاینت و کنترل کننده دامنه (DC) اگرچه کار پیچیده ای بوده و نیازمند صرف زمان قابل توجهی می باشد، امکان پیاده سازی آن برای ارتباطات بین کنترل کننده دامنه (DC) به میزان قابل توجهی آسان تر می باشد. از این پروتکل برای ارتباطات بین کنترل کننده های دامنه (DC) استفاده نمایید.

ذخیره نکردن مقادیر Hash پروتکل LAN Manager
با توجه به قدیمی بودن پروتکل LM و ساختار ضعیف آن، باید هرچه سریعتر ساختار خود را از این ضعف امنیتی رها کنید. بسیاری از حملات مرتبط به رمز عبور با حمله به Hash این پروتکل شروع شده و با استنتاج نتایج بدست آمده به پروتکل های دیگری مانند NTLM حمله می نمایند. سیاست امنیتی که باید در این سناریو مورد بازبینی قرار گیرد Do Not Store LAN Manager Hash Value on Next Password Change می باشد. همچنین سیاست امنیتی دیگری که باید مورد توجه قرار گیرد سیاست Send NTLMv2 Response Only, Refuse LM and NTLM است. اکثز کلاینت ها میتوانند تنظیم گردند تا از NTLMv2 به عنوان پروتکل اصلی استفاده نمایند، اگرچه پیاده سازی این سیاست های امنیتی نیاز به تست در محیط آزمایشی و اطمینان حاصل نمودن از صحت عملکرد آنها می باشد.

مدیریت وصله های ترمیمی
بسیاری از حملاتی که به سرویس های یک سازمان انجام می شود بدلیل به روز نبودن آن سرویس از وصله های ترمیمی می باشد. سازمانهای کوچک ازابزار WSUS برای مدیریت و گسترش دادن وصله های ترمیمی و سازمانهای بزرگ از نرم افزارهای مدیریتی مثل SCCM برای این منظور استفاده می کنند. بدون توجه به مکانیزمی که برای گسترش وصله های ترمیمی به سرورها و ایستگاهای کاری استفاده می شود، باید آنها را برای سیستمهای با امنیت بالا مانند کنترل کننده های دامنه جدا کنید.

عدم دسترسی به اینترنت برای سرویس های حساس
بدلیل اینکه اکثر حملاتی که به سازمان صورت می پذیرد از نقاطی خارج از سازمان انجام می شود، میتوان نتیجه گرفت که اینترنت دروازه حملات به داخل سازمان می باشد. برای رفع این مشکل امنیتی بهتر است که دسترسی به اینترنت را برای سیستم های حساس محدود نمایید. دلیلی قابل توجیهی برای اینکه کنترل کننده های دامنه به اینترنت متصل باشند وجود ندارد.

تمهیدات لازم جهت ایمن سازی میزبانهای مدیریتی (Administrative Hosts)
پیشنهاد می شود میزبانهایی که دارای بار عملیاتی و مدیریتی حساس هستند برای احراز هویت کاربران، علاوه بر رمز عبور از تکنولوژی های دیگری مانند Smartcard استفاده نمایند. همچنین میتوان از طریق پیاده سازی سیاست های امنیتی (GPO) مشخص کرد که چه کسانی قادر به استفاه از آن سیستم به صورت محاوره ای (Interactive) هستند تا مانع دسترسی افراد غیر مجاز به آن میزبان گردد.

استفاده از تکنیک Authentication Mechanism Assurance
با استفاده از قابلیت جدید اضافه شده در Windows Server 2008 R2 که با نام Authentication Mechanism Assurance شناخته می شود، می توان دسترسی به منابع را بر حسب نوع احراز هویت کاربران کنترل نمود. به عنوان مثال سناریویی را در نظر بگیرید که در آن کاربر می تواند با استفاده از کارت هوشمند و یا نام کاربری و رمز عبور مورد احراز هویت قرار بگیرد. این قابلیت به راهبران این اجازه را میدهد که سطع وسیعی از دسترسی ها را بر حسب نوع اهمیت و محرمانگی داده ها تعیین نمایند. به عنوان نمونه اگر کاربر فوق با استفاده از کارت هوشمند مورد احراز هویت قرار گرفت به داده های حساس تری دسترسی داشته باشد تا در حالتی که همان کاربر با استفاده از نام کاربری و رمز عبور وارد دامنه شده باشد.

محدود نمودن نرم افزارهای اجرایی بر روی کنترل کننده های دامنه با استفاده از Applocker
قابلیت Applocker یک کنترل کننده نرم افزار های اجرایی بر روی ویندوز می باشد که به صورت پیش فرض نصب شده ولی غیرفعال می باشد. این قابلیت به راهبران اجازه می دهد که لیستی موسوم به “لیست سفید” تهیه کرده که در آن نرم افزارهایی که مجاز به اجرا بر روی کنترل کننده های دامنه هستند تعریف می گردند و هرگونه نرم افزار که خارج از لیست فوق باشد اجازه اجرا نخواهد داشت. پس از پیاده سازی کامل کنترل کننده های دامنه و نصب نرم افزار های مورد نیاز از قبیل نرم افزار های امنیتی ضد ویروس، نرم افزار های مانیتورینگ و سایر نرم افزارها، پیشنهاد می شود که لیستی از نرم افزارهای نصب شده تهیه کرده و آن را به Applocker ارائه دهید. در اینصورت در شرایطی که دسترسی غیرمجاز به هر نحوی بر روی کنترولرهای دامنه انجام گیرد، شخص مهاجم اجازه نصب و احرای نرم افزارهای خارج از لیست را نخواهد داشت.

اعطای سطح دسترسی برحسب روشهایی مانند RBAC
پیشنهاد می شود راهبرانی که در سطح دامنه مشغول فعالیت هستند را با توجه به موقعیت شغلی آنها دسته بندی کرده و دسترسی های لازم را بر اساس موقعیت شغلی به آنها اعمال نماییم. به عنوان مثال راهبرانی که وظیفه مدیریت نام های کاربری و رمز عبور را بر عهده دارند را در گروهی به نام Account_Admins قرار داده و سطوح دسترسی مورد نیاز را با استفاده از تکنیک Delegation به آن گروه اعمال نمایید.

نتیجه گیری
با توجه به گسترش روزافزون استفاده از سرویس Active Directory در سازمان ها و اهمیت امنیت در این ساختار، در این مقاله سعی گردید تا راهکارهایی به منظور ایمن سازی امنیت در اکتیو دایرکتوری ارائه گردد. این مقاله در 24 بند طراحی گردیده است که رعایت نمودن بندهای فوق الذکر امنیت ساختار را تا حد مطلوبی بالا برده و مانع از مشکلات احتمالی که در اثر دسترسی های غیرمجاز ایجاد می شوند خواهد گردید.

منبع: geekboy.pro

نکات امنیتی مهم برای کاربران سازمان‌ها

در حالي که کارشناسان امنيتي مرتباً به کاربران هشدار مي‌دهند که به حداقل اصول امنيتي توجه کنند، اما باز هم شاهد سهل‌انگاري‌هاي کاربران هستيم. اين سهل‌انگاري‌ها نه تنها آرامش کاربران را به هم مي‌ريزد، بلکه در بيشتر موارد تبعات مالي فراواني را براي آن‌ها به همراه دارد.

اين مقاله به کاربران سامانه‌هاي مهم و سازمان‌هاي بزرگ در زمينه پياده‌سازي استراتژي‌هاي امنيتي کارآمد براي دوري جستن از مخاطرات امنيتي، توصيه‌هايي کرده است.همچنين به طور مختصر به نحوه پياده‌سازي خط‌مشي‌هاي امنيت شبکه نيز خواهيم پرداخت. پيشنهاد مي‌کنيم از ابتداي سال جاري به اين توصيه‌ها توجه کنيد تا يک سال را به دور از استرس و نگراني درباره بدافزارها و انواع مختلف تهديدها پشت سر نهيد.

عواقب بي‌توجهي به مسائل امنيتي فراتر از حد تصور است

تشويش و بي‌قراري از جمله عادت‌هاي ناپسند به شمار مي‌روند، اما هيچ‌يک از اين رفتارها به اندازه‌ کافي مخرب نيستند که بتوانند شرکتي را به زانو درآورند. اما زماني که صحبت از امنيت به ميان مي‌آيد، شاهد رفتارها و عادت‌هاي ناپسندي از کاربران سازماني هستيم که مي‌توانند زمينه‌ساز ورشکستگي سازمان شوند؛ به‌طوري که شرکتي را در برابر حملات هکري آسيب‌پذير مي‌کنند و در نهايت منجر به از دست رفتن داده‌ها يا سرقت آن‌ها مي‌شوند. همه اين اتفاقات به دليل رخنه‌هاي امنيتي شبيه به يکديگر رخ مي‌دهد. اما خبر خوب اين است که با توجه و دقت به اصول اوليه و ساده دنياي فناوري، آموزش کاربران در خصوص مسائل امنيتي، انتخاب بهترين مکانيزم امنيتي و به‌کارگيري راه‌حل‌هايي که در اين زمينه وجود دارد، مي‌توانيم تا حدود بسيار زيادي مخاطرات امنيتي را کاهش دهيم. «جاناتان کرو»، مدير ارشد محتوا در شرکت امنيتي «بارکلي» توصيه‌هاي ساده‌اي را براي بهبود وضعيت امنيتي سازمان‌ها و کاربران پيشنهاد کرده است. اگر کارمندان سازمان‌ها به اين نکات توجه کرده و از آن‌ها در زمان کار با سامانه‌هاي مهم استفاده ‌کنند، نه تنها سطح درک آن‌ها از اصول امنيتي بالاتر مي‌رود، بلکه توانايي مقابله با تهديدات امنيتي را نيز خواهند داشت.

خط مشي امنيت شبکه سازماني خود را مطابق با استانداردهاي جهاني آماده‌سازي کنيد

براي هر کارشناس امنيتي، تلاش براي نگارش سياست امنيتي (Security Policy) رويکرد دشواري به شمار مي‌رود. به دليل اينکه ماهيت اين مفهوم، به خودي خود پيچيده است و پياده‌سازي چنين الگويي کار چندان ساده‌اي نيست. کارشناس امنيتي ابتدا بايد توانايي درک مشکلات و چالش‌هاي پيش رو را داشته باشد. وي همواره با پرسش‌هايي نظير چه چيزي بايد نگارش شود؟ چگونه بايد نگارش شود؟ چه کسي مسئول آن خواهد بود؟ و موضوعاتي از اين دست روبه‌رو خواهد بود. اين‌ها از جمله سؤالات راهبردي هستند که پيش روي هر کارشناس امنيت شبکه قرار دارند. تدوين و آماده‌سازي استراتژي امنيت اطلاعات بيشتر از اينکه فن باشد، هنر است. هيچ کارشناس امنيتي را پيدا نخواهيد کرد که اعلام کند در مدت‌زمان دو روز، توانايي آماده‌سازي دستورالعمل 80 صفحه‌اي را براي سازمان شما دارد. در حالي که تعدادي از نيازمندي‌هاي مربوط به اين سياست‌گذاري ممکن است باعث کاهش هزينه‌ يا کم کردن دردسرهاي تدارکاتي براي محيط‌هاي مشخصي باشد، اما فهرستي که در ادامه مشاهده خواهيد کرد، شبيه به فهرستي است که مردم در زمان تعطيلات آماده کرده‌اند و هر آن چيزي را که به آن علاقه‌مند‌ هستند، در آن قرار مي‌دهند؛ به استثناي اين مورد که اين فهرست ويژه يک محيط امنيتي، آماده‌سازي شده است، اين سياست‌گذاري به‌گونه‌اي است که به مرور زمان و همگام با افزايش سطح تجربيات شخصي به تکامل رسيده، الگوي تهديداتي که شبکه را به مخاطره مي‌اندازند تغيير داده است و در نهايت، امنيتي سازگار با اين حملات را ارائه مي‌کند. مهم‌ترين اصلي که در زمان نگارش دستورالعمل امنيت شبکه لازم است به آن توجه کنيم، اين است که مجال تنفسي براي الگوي سياست‌گذاري امنيتي در نظر بگيريم تا همواره سند پويا و زنده‌اي در اختيار داشته باشيم. در حوزه امنيت همه چيز به‌سرعت در حال تغيير است، در نتيجه سياست امنيتي همواره بايد سرعت خود را با اين تغييرات حفظ کند.

منابع موجود و تکامل تدريجي سياست‌گذاري

اولين پرسش کارشناس امنيت شبکه از خود، اين است که چگونه مي‌تواند ايده‌ها و استراتژي‌هاي خود را به شکلي مدون و کاربردي به سياست امنيتي تبديل کند؟ اکثر کارشناسان امنيتي سريعاً به اين حقيقت آگاه مي‌شوند که پشتيباني مديران اجرايي براي اجرا و حمايت از خط مشي امنيتي، از ارکان اصلي موفقيت برنامه امنيت اطلاعات است. براي اينکه پشتيباني به وجود بيايد و تداوم پيدا کند، کارشناس امنيت شبکه بايد به دو نکته توجه کند. در گام اول، ضروري است که دامنه سياست‌گذاري به‌درستي و روشني تشريح شود و دوم اينکه اطلاع‌رساني درباره دستورالعمل‌هاي مرتبط با سياست‌گذاري به شيوه جامع و کارآمدي به کارکنان منتقل شود. منابع موجود به‌خوبي نشان مي‌دهند که فرايند عنوان‌بندي دستور العمل مرتبط با سياست امنيتي، دربرگيرنده مؤلفه‌هايي همچون مقصود (Purpose)، هدف (Objective)، کارکرد (Applicability)، توزيع (Distribution)، اجرا (Enforcement) و نظارت (Monitoring) است. براي مثال، در بسياري از کشورها از استاندارد بين‌المللي ISO/IEC 27001:2005 به‌عنوان الگويي براي استقرار سيستم مديريت امنيت اطلاعات استفاده مي‌شود.

کارشناس امنيت شبکه ممکن است در نظر داشته باشد سياست‌گذاري مدنظر خود را با هدف نشان دادن مخاطرات آماده‌سازي کند. اما اين جمله به چه معنا است؟ ريسک‌هاي امنيت شبکه با نشان دادن استانداردهاي امنيتي تعريف مي‌شوند. راهنماي خط مشي امنيت شبکه NSPM ، سرنام Network Security Policy Manual، هم بر استاندارد ISF ، سرنام Information Security Forum، که متشکل از تجربيات 260 شرکت و سازمان بين‌المللي در زمينه اطلاعات و امنيت اطلاعات است تأکيد دارد و هم بر ايزو 17799:2005 که از استانداردهاي ارائه‌شده از سوي ISO است. سند عمومي NSP که سند بلندبالايي است بر کنترل دسترسي به داده‌ها، رفتارهاي مرورگرها، نحوه به‌کارگيري گذرواژه‌ها، رمزنگاري، ضميمه‌هاي ايميلي و در کل مواردي که قوانين و ضوابطي را براي افراد و گروه‌ها ارائه مي‌کند، تأکيد دارد. در اين سند اعلام شده است که کارشناس امنيت شبکه که مسئوليت تنظيم خط مشي امنيتي شبکه را بر عهده دارد، بايد سلسله مراتبي از مجوزهاي دسترسي کاربران را آماده‌سازي کند و به هر کاربر بر اساس شرح وظايفش اجازه دسترسي به منابع مختلف را دهد. براي اين منظور سازمان‌هاي بزرگي در هر کشور همچون مؤسسه ملي فناوري و استانداردها NIST، سرنام National Institute of Standards and Technology، در ايالات متحده، مسئوليت تدوين استانداردها و خط مشي‌ها در امنيت اطلاعات را بر عهده دارند. روش ساده براي نوشتن دستورالعمل‌هاي خط مشي تبديل زبان استاندارد به يک دستورالعمل خط مشي، با نشان دادن سطح قابل پذيرش ريسک‌پذيري سازمان است. در زمان نگارش خط مشي سازمان بايد به اين نکته توجه کرد که مقدمه بايد هم بر خط مشي و هم هدف کنترلي خط مشي تقدم داشته باشد. براي اين منظور پيشنهاد مي‌کنيم نگاه دقيقي به استاندارد ISF و همچنين ايزو 17799 بيندازيد. براي مثال، نمونه‌اي از تدوين يک دستورالعمل خط مشي در خصوص عيب فني منابع شبکه و اطمينان پيدا کردن از اين موضوع که مؤلفه‌هاي شبکه مي‌توانند به حالت اول خود بازگردند، مي‌تواند همانند مثال زير باشد:

کنترل قابليت ارتجاعي شبکه برگرفته از ISF Network Resilience Controlم(NW1.3.3)

مقدمه: ريسک درست عمل نکردن تجهيزات حياتي ارتباطي، نرم‌افزار، پيوندها و سرويس‌ها بايد کاهش پيدا کند؛ به‌طوري که اطمينان حاصل شود مي‌توان مؤلفه‌هاي کليدي شبکه را در بازه‌هاي زماني بحراني جايگزين کرد.

دستور العمل خط مشي: به‌منظور برطرف کردن موقتي خطر و تأثير خرابي‌ها، ضروري است براي بخش‌هاي حياتي سيستم اولويت‌هايي در نظر گرفته شده و اطمينان حاصل شود که مؤلفه‌هاي کليدي شبکه در بازه زماني هدف قابليت جايگزيني و برگشت به حالت اوليه را دارند.

به‌کارگيري گذرواژه‌هاي يکسان يا ساده براي حساب‌هاي کاربري مختلف

شرکت امنيتي مديريت گذرواژه «SplashData» هر سال از گذرواژه‌هاي غيرايمن به‌عنوان يکي از عادت‌هاي بد کاربران اينترنتي ياد کرده و فهرستي از بدترين گذرواژه‌ها را فهرست و منتشر مي‌کند. لازم به توضيح نيست که هنوز هم بسياري از کاربران از گذرواژه‌هايي همچون 123456 يا Password به صورت کاملاً عادي استفاده مي‌کنند. گذرواژه‌هايي اين‌چنيني مصداق ارسال دعوت‌‌هاي جذاب براي هکرها هستند. در حالي که کاربران به‌راحتي مي‌توانند گذرواژه‌هاي مختلف و پيچيده را براي حساب‌هاي کاربري خود به ياد بياورند، مشخص نيست به چه دليل از گذرواژه‌هاي ساده و بدتر از آن يکسان استفاده مي‌کنند.

راه‌حل:از يکي از برنامه‌هاي مديريت گذرواژه‌ها استفاده کنيد. اين برنامه‌ها نه تنها توانايي توليد گذرواژه‌هاي تصادفي و ايمن را دارند، بلکه به ويژگي رمزنگاري و يادآوري آن‌ها مجهز هستند. به همين دليل کاربران در اين زمينه با مشکل خاصي روبه‌رو نخواهند بود.»

کليک کردن روي لينک‌ها يا ضميمه‌ها بدون بررسي دقيق آن‌ها

اين روزها هکرها استراتژي‌‌هاي خود را به طرز بسيار وحشتناکي تغيير داده‌اند؛ به‌گونه‌اي که سعي مي‌کنند پيامي که براي کاربر ارسال مي‌کنند، ظاهري قانوني داشته باشد. براي اين منظور آن‌ها از ترفندهاي مهندسي اجتماعي براي ارسال ويروس يا دسترسي به سيستم‌هاي خصوصي استفاده مي‌کنند. پيام‌هاي ارسال‌شده حتي در ظاهر ممکن است از سوي منابعي ارسال شوند که کاربران آن‌ها را مي‌شناسند يا به آن‌ها اعتماد دارند.

راه حل:به کاربران خود آموزش‌ دهيد که چگونه مي‌توانند با نگهداشتن ماوس روي لينک‌ها يا ابرلينک‌ها مکاني را مشاهده کنند که سمت آن هدايت خواهند شد. اگر سايتي با لينکي هماهنگ نبود يا مشکوک به نظر مي‌رسيد، روي آن لينک کليک نکنيد. همچنين کاربران نبايد هر ضميمه‌اي را که براي آن‌ها ارسال مي‌شود، باز کنند؛ به ويژه ضميمه‌هايي که انتظار دريافت آن‌ها را نداشته‌‌اند.

ابزارها و دستگاه‌هايي که تازه به بازار عرضه مي‌شوند، بيشتر همراه با برنامه‌هاي تبليغاتي در اختيار کاربران قرار مي‌گيرند. در بيشتر موارد اين برنامه‌هاي تبليغاتي آسيب‌پذيري‌هاي مختلفي را در خود جاي داده‌اند.

به کارگيري دستگاه‌هاي جديد ضامن موفقيت

بسياري از کاربران بر اين باور هستند که با خريد دستگاه‌هايي که تازه به بازار عرضه شده است، در برابر بسياري از حملات مصون هستند و به مرور زمان است که دستگاه آن‌ها در برابر حملات هکري ضعيف مي‌شود. اما اين طرز تفکر درست نيست. «الينور سايتا» مدير بخش فني مؤسسه «International Modern Media» در اين باره مي‌گويد: «ابزارها و دستگاه‌هايي که تازه به بازار عرضه مي‌شوند، بيشتر همراه با برنامه‌هاي تبليغاتي در اختيار کاربران قرار مي‌گيرند. در بيشتر موارد اين برنامه‌هاي تبليغاتي آسيب‌پذيري‌هاي مختلفي را در خود جاي داده‌اند.»

راه حل: در زمان خريد ابزارهاي جديد به اين نکته توجه کنيد که جديد بودن هميشه تضمين‌کننده امنيت نيست. اگر در نظر داريد دستگاه جديدي به‌ويژه دستگاهي هوشمند خريداري کنيد، سعي کنيد در خريد آن کمي تأمل کنيد تا به بازار عرضه شود و در ادامه ايرادات يا آسيب‌پذيري‌هاي آن شناسايي شوند.

سهل‌انگاري در نصب به‌روزرساني‌ها يا وصله‌ها

زماني که يک آسيب‌پذيري در نرم‌افزاري شناسايي شده و وصله مربوط به آن عرضه مي‌شود، شمارش معکوسي آغاز مي‌شود که در فرصت باقي‌مانده نهايت بهره‌برداري از آسيب‌پذيري انجام شود. کرو در اين خصوص مي‌گويد: «آمارها نشان مي‌‌دهند که هکرها هيچ‌گاه زمان را هدر نمي‌‌دهند، در سال 2014 ميلادي، نزديک به نيمي از آسيب‌پذيري‌ها و سوءاستفاده‌هايي که از آن‌ها شده بود؛ به‌طور ميانگين در مدت زمان دو هفته انجام گرفته بود؛ در حالي که وصله‌ها معمولاً در همان ابتداي کار عرضه مي‌شوند.»

راه حل:سعي کنيد در زمينه دريافت وصله‌ها از برنامه منظم و ساختمندي استفاده کنيد. اين کار باعث مي‌شود تا به طور خودکار به‌روزرساني‌ها و وصله‌ها دريافت ‌شوند. مزيت اين راهکار در اين است که حتي اگر به دليل مشغله کاري فراموش کرديد وصله‌اي را دريافت کنيد، اين کار به طور خودکار انجام مي‌شود و همراه شما را در امنيت نگه مي‌دارد.

به‌کارگيري واي‌فاي عمومي

هر کاربري با شنيدن اين جمله که واي‌فاي رايگان در اختيار او قرار دارد، وسوسه مي‌شود تا از آن استفاده کند. در مکان‌هايي همچون رستوران‌ها يا فرودگاه‌ها که واي‌فاي عمومي عرضه مي‌شود، مردم براي انجام کارهاي خود از آن استفاده مي‌کنند .بايد به اين نکته توجه کنيم که رايگان بودن و عمومي بودن هميشه به معناي در اختيار داشتن فناوري به شکل ايمن نيست. اين چنين ارتباطاتي به ميزان قابل توجهي خطرناک هستند.

راه حل:در چنين شرايطي بهتر است از VPN استفاده کنيد. اين مکانيزم ترافيک را رمزنگاري کرده و نشست‌هاي مرورگر شما را ايمن مي‌سازد. حتي اگر شرکت، سازوکار VPN را در اختيارتان قرار نمي‌دهد، سعي کنيد در خصوص فوايد و مزاياي چنين مکانيزم ارتباطي اطلاعات مورد نياز را به دست آوريد.

رايگان بودن و عمومي بودن هميشه به معناي در اختيار داشتن فناوري به شکل ايمن نيست. اين چنين ارتباطاتي به ميزان قابل توجهي خطرناک هستند

به‌کار نگرفتن مکانيزم احراز هويت دوعاملي

«الکس استاموس» مدير ارشد امنيت شرکت فيسبوک درباره گذرواژه‌ها گفته است: «سايت‌هاي خبري به طور گسترده بر مکانيزم‌هاي پيچيده و چندلايه حمله که هکرها استفاده مي‌کنند، متمرکز شده‌اند. اين شيوه اطلاع‌رساني به کاربر اين پيام را القا مي‌کند که او در برابر حملات کاملاً آسيب‌پذير بوده و هيچ راه دفاعي در اختيار ندارد. اما در بيشتر موارد اين جمله درست نيست. تنها سازمان‌هاي دولتي آن هم در رده‌هاي بسيار بالا، توانايي نفوذ به هر سيستمي را دارند. اما در مقابل هکرها، حتي هکرهاي سازمان‌يافته، دفاع قابل قبولي وجود دارد.»

راه حل: مکانيزم احراز هويت دوعاملي را که اغلب با ارسال کدهايي براي تلفن‌هاي هوشمند کار مي‌کنند، در حساب‌هاي کاربري و شبکه‌هاي اجتماعي استفاده کنید. هکرها عمدتاً در تلاش هستند حساب‌هاي کاربري را که روي شبکه‌هاي اجتماعي قرار دارند، هک کنند و کنترل آن‌ها را به دست گيرند. به دست آوردن حساب کاربري افراد در شبکه‌هاي اجتماعي تنها براي آسيب رساندن به افراد هک نمي‌شوند، هکرها مي‌توانند از چنين حساب‌هايي به بهترين شکل ممکن استفاده کنند و سودهاي کلاني به جيب بزنند. در کنار مکانيزم احراز هويت دو عاملي، سعي کنيد از ابزار مديريت‌کننده گذرواژه‌ها براي حساب‌ها و سرويس‌هاي کاربري خود استفاده کنيد.

اين فرض که يادآوري گذرواژه‌هاي طولاني کار مشکلي است

بسياري از کاربران اعلام مي‌کنند که توانايي يادآوري گذرواژه‌هاي طولاني را ندارند. به همين دليل بسياري از کاربران براي سادگي کار سعي مي‌کنند از ترکيباتي همچون سال تولد و شماره شناسنامه خود براي ورود به سايت‌هاي مختلف استفاده کنند؛ به دليل اينکه يادآوري گذرواژه‌هاي مختلف براي سايت‌هاي مختلف کار سختي به شمار مي‌رود. همچنين بعضي از کاربران نيز تمايلي به استفاده از برنامه‌هاي مديريت گذرواژه‌ها ندارند. اگر جزو اين گروه از کاربران هستيد، هنوز هم راهکاري براي شما در زمينه ساخت گذرواژه‌هاي منحصربه‌فرد وجود دارد.

راه حل: براي اينکه نيازي به يادداشت کردن گذرواژه‌هاي خود نداشته باشيد و همچنين بتوانيد به ساده‌ترين شکل ممکن گذرواژه‌هاي خود را به ياد آوريد، مي‌توانيد از ترکيب نام سايت مورد بازديد در انتهاي گذرواژه خود استفاده کنيد. «لوييس کرنر» مدير فني بخش امنيتي کلاود شرکت «پاندا» در اين باره گفته است: «براي ساخت گذرواژه‌اي منحصربه‌فرد و يادآوري ساده آن، نام سايت را به انتهاي گذرواژه انتخابي خود اضافه کنيد. براي مثال براي سايت bank.com واژه -bank را به‌عنوان پسوند گذرواژه يا در حساب‌هاي مورد استفاده در شبکه‌هاي اجتماعي از -linkedin يا -twit و مانند اين‌ها به‌عنوان پسوند گذرواژه خود استفاده کنيد.»

اين فرض که امنيت، مشکل فناوري اطلاعات است

در بيشتر شرکت‌ها بسياري از کاربران بر اين باور هستند که همواره گروه‌هاي فني و راه‌حل‌هاي امنيتي در محل وجود دارند تا براي حفاظت و کمک به تعاملات آنلاين وارد عمل شوند. اين موضوع کاملاً صحيح است، اما هر کاربري خود مسئول آن چيزي است که انتخاب کرده و اين انتخاب بر امنيت فردي و امنيت شرکتي که در آن کار مي‌کند، تأثيرگذار خواهد بود. بخش عمده‌اي از نقص‌هاي داده‌اي و حملات سايبري از زماني آغاز مي‌شوند که کاربر روي لينکي که نبايد کليک مي‌کرده، کليک کرده، لپ‌تاپ‌ خود را در تاکسي جا گذاشته يا آن را به شبکه واي فاي عمومي متصل کرده است.

راه حل:آموزش، يادگيري و تکرار نکات آموزشي، رمز دوري جستن از چنين مشکلاتي است. اطمينان حاصل کنيد کاربران شما بهترين اقدامات امنيتي را به طور روزانه انجام مي‌دهند. يادگيري بيشتر درباره مخاطرات امنيتي، باعث کم شدن تهديدها مي‌شود و کاربران مي‌توانند به‌خوبي با تکنيک‌هاي اوليه دفاعي در برابر پيوندهاي ضعيف آشنا شوند.

 

منبع:Geekboy.ir

10 دلیل برای استفاده از Windows Server 2016

Windows server 2016 سيستم عاملي Cloud-ready است و از پس حجم کار فعلي شما هر چند بزرگ، بخوبي بر مي آيد و همچنين انتقال به فضاي ابري (cloud) را به سادگي براي شما ميسر ميسازد ما در اين جا 10 دليل که شما را به Windows Server 2016 علاقمند ميکند به نقل از مايکروسافت بازگو مي کنيم.

1- Control the keys to your sensitive data

بهبود امنيت با محدود کردن دسترسي کاربراني که سطح دسترسي Administrator دارند با دو روش Just Enough و Just-in-Time. شما در windows server 2016 ميتوانيد براي هر Admin کليد هاي امنيتي خاص فارق از هر دسترسي با زمان کاري مشخص تعريف کنيد.

2- Manage your servers from anywhere, even your mobile device


Windows server 2016 يک ابزار جديد ميزباني (host) در فضاي ابري (cloud) بنام Server Management Tools دارد. در واقع اين سرويس يک رابط گرافيکي (GUI) از راه دور و web-based ميباشد که به شما اجازه مي دهد از هر جايي و با هر دستگاهي بتوانيد سرور هايتان را کنترل کنيد.

3- Deploy servers in an exact configuration and keep them that way

بهبود عملکرد powershell در قسمت (Desired State Configuration (DSC و اضافه کردن قسمت هايي به ويندوز که قابليت هاي استفاده از open source software را به کاربر مي دهد.

4- Easily handle the 9:00 A.M or logon storm

بهبود امنيت سرويس Remote Desktop Service و ارتقاع وضعيت گرافيکي و compatibility بيتشر با ديگر تجهيزات از ديگر محاسن اين سيستم عامل جديد است.

5- Do-it-yourself storage

در صنعت Storage هر شرکتي يک نرم افزار سفارشي مخصوص خود دارد اما با Windows Server Storage Spaces ما همه امکانات را در سيستم عامل خود داريم و اين يعني بهبود سرعت سرويس ها بدون هزينه اضافه.

6- Upgrade without the downtime

دو سرويس Cluster Upgrades و Mixed Mode Cluster به شما اجازه مي دهد سرورهايتان را بدون down-time بروزرساني و مديريت کنيد.

همه اينها طراحي شده اند تا شما هنگام انجام کارهايتان با مشکلي مواجه نشويد.

7- Click, click, done—just like in Azure

اين قسمت از ويژگي هاي network virtualization الهام گرفته شده و يک کنترل متمرکز بر روي منابع شبکه را به شما ميدهد.

8- Move beyond passive security

windows server 2016 براي محافظت از Virtual Machine محيطي کاملا امنيتي ايجاد کرده است.

9- Use Containers to streamline app deployment from keyboard to production

هيجان انگيزترين بخش، Containers ها در windows server 2016 است که به گسترش سريع تر برنامه هاي کاربران کمک ميکند.

10- A super small server that packs a big punch

Nano server يک بخش جديد در windows server 2016 مي باشد و فقط براي عناصري در ويندوز مي باشد که حجم کاري خاصي دارند و نتيجه آن faster boot times و simpler operations مي باشد.

منبع: newadmin