پنجشنبه, ۱۳ اردیبهشت, ۱۴۰۳ / 2 May, 2024
مجله ویستا
ارزیابی امنیتی سیستم عامل ویندوز
با توجه به استفاده گسترده از سیستم عامل ویندوز در ایران ، لازم است به بررسی و ارزیابی امنیتی سیستم عامل فوق پرداخته گردد . شرکت ماکروسافت خود در این زمینه تلاش های گسترده ای را آغاز و اخیرا" توجه خاصی را به این مقوله اختصاص و پروژه های بزرگی را بمنظور نیل به یک سیستم عامل شبکه ای ایمن با توجه واقعیت های موجود تعریف و دنبال می نماید .
شرکت ماکروسافت پس از عرضه نسخه های خاصی از ویندوز و با مشاهده اشکالات و نواقص خصوصا" نواقص امنیتی اقدام به ارائه نرم افزارهای تکمیلی بمنظور بهنگام ساری ویندوز می نماید . Hotfix,Patch و Service pack نمونه های متفاوتی در این زمینه می باشند . با توجه به نقش نرم افزارهای فوق در صحت عملکرد امنیتی ویندوز ، لازم است در ابتدا به نرم افزارهای فوق اشاره گردد .
●Service Pack و HotFix
Service Pack ، یک بهنگام سازی ادواری در رابطه با سیستم عامل بمنظور رفع اشکالات و نواقص موجود است . ماکروسافت برای ویندوز NT ۴.۰ ( نسخه قبل از ویندوز ۲۰۰۰ با نگرش امکانات شبکه ای ) شش و برای ویندوز ۲۰۰۰ تاکنون ، سه Service Pack متفاوت را ارائه کرده است . بمنظور برطرف نمودن مشکلات احتمالی در فاصله زمانی بین دو service pack ، اقدا م به عرضه Hotfix می گردد. هر service Pack ، شامل تمام hotfix های قبلی نسبت به نسخه service pack قبلی است .
علاوه بر نصب آخرین نسخه های service Pack ، می بایست اقدام به نصب نسخه های hotfix نیز گردد . معمولا" hotfix ، با توجه به شیوع و گسترش یک مسئله خاص (مثلا" یک حمله اینترنتی ) در شبکه ، از طرف شرکت ماکروسافت، ارائه می گردد . با اینکه شرکت ماکروسافت توصیه کرده است در صورت بروز مشکل، اقدام به نصب نسخه های Hotfix گردد، ولی پیشنهاد می گردد که بلافاصله پس از نصب آخرین نسخه Service Pack ، اقدام به نصب تمام نسخه های امنیتی Hotfix مربوطه نیز گردد .
یکی از مهمترین چالش های مدیران شبکه ، بهنگام سازی سیستم و نصب آخرین نسخه های Patch است . ماکروسافت در این راستا ، یک برنامه خاص را بمنظور بررسی وضعیت امنیتی Hotfix ها ، ارائه که مدیران شبکه را قادر به پیمایش سرویس دهنده های موجود در شبکه می نماید ( برنامه Hfnetchk.exe) . برنامه فوق قادر به تشخیص صحت نصب تمام نسخه های Patch در رابطه با ویندوز ۲۰۰۰ و سایر نرم افزارهای سرویس دهنده نظیر IIS ، IE و SQL است ( وضعیت موجود را تشخیص و کمبودها را اعلام می نماید ) . برنامه HFNetChk یک ابزار خط دستوری بوده که مدیران شبکه را قادر به بررسی آخرین وضعیت Patch ها در رابطه با تمام کامپیوترهای موجود در شبکه از یک محل مرکزی می نماید .( مشاهده جزئیات برنامه HFNetChk ) . شرکت ماکروسافت در این زمینه ، برنامه جامعی را بمنظور بررسی وضعیت سیستم امنیتی ارائه نموده که برنامه Hfnetchk.exe نیز بخشی از آن است ( مشاهده جزئیات و دریافت برنامه Microsoft Baseline Security Analyzer ).
پس از معرفی امکانات موجود برای بهنگام سازی ویندوز و برطرف نمودن مشکلات و مسائل موجود در هر یک از نسخه های ویند وز، در ادامه به بررسی و ارزیابی سیستم امنیتی ویندوز پرداخته و در این راستا پیشنهاداتی مطرح می گردد.
●سنجش امنیت در ویندوز ۲۰۰۰
تاکنون بیش از ۴۰۰ نقطه آسیب پذیر در نسخه های ویندوز ۲۰۰۰ ، NT و برنامه های مرتبط با آنان شناخته شده و نحوه برطرف نمودن آنان مستند شده است . در این بخش به بررسی برخی از نقاط آسیب پذیر اشاره و نحوه برخورد با آنان بیان می گردد. لازم است به این نکته مهم دقت شود که کاهش برخی از نقاط آسیب پذیر در یک شبکه به معنی عرضه یک شبکه ایمن نمی باشد ( تلاشی است در جهت ایمن شدن ) .
▪از سیستم فایل NTFS در مقابل FAT استفاده شود . سیستم فایل فوق ، امکان کنترل دستیابی به فایل ها را برخلاف FAT فراهم می نماید .
▪اطلاعات و میدان عمل اتصالات بی هویت (Anonymous users) ، می بایست به حداقل مقدار خود برسد . یک اتصال بی هویت ( کاربران ناشناس و گمنام ) عضوی از گروه Everyone ( گروه از قبل ایجاد شده ) خواهد بود . بدین ترتیب آنان قادر به دستیابی تمام منابعی خواهند بود ، که برای گروه Everyone مجاز شناخته شده است . ویندوز NT پس از نصب آخرین نسخه ( Servic Pack ( ۶a ، اکثر عملیاتی را که یک کاربر گمنام قادر به انجام آنها می باشد ، محدود می نماید . بمنظورر پیشگیری از شمارش اسامی account ها ، توسط کاربران گمنام ، از کلید ریجستری زیر بهمراه تتنظیمات مربوطه استفاده می شود .
Hive: HKEY_LOCAL_MACHINE
Key: SystemCurrentControlSetControlLsa
Name: RestrictAnonymous
Type: REG_DWORD
Value: ۱
▪امتیاز Access this computer from the network را در رابطه با کاربران عضوء گروه Everyone حذف و آن را با گروه معتبر Users ، جایگزین نمائید . در ویندوز NT ۴.۰ ، برای انجام عملیات فوق از مسیر زیر و در ویندوز ۲۰۰۰ از Group Policy و یا Security Configuration Toolset استفاده می شود.
User Manager -> Policies -> User Rights
▪امکان دستیابی از راه دور به ریجستری را سلب نمائید . کلیدهای ریجستری متعددی وجود دارد، که این امکان را به گروه Everyone و بالطبع کاربران ناشناس خواهد داد که از راه دور قادر به ویرایش ریجستری باشند( خواندن و تنظیم مقادیر مربوط به مجوزها ). در صورتیکه کاربر تایید نشده ای ، قادر به ویرایش مقادیر موجود در ریجستری گردد، امکان تغییر مقادیر موجود و بدست آوردن امتیازات با درجه بالا نیز در اختیار وی قرار خواهد گرفت. توصیه می گردد که صرفا" مدیران شبکه و سیستم ، دارای امکان دستیابی از راه دور به ریجستری باشند . بمنظور اعمال محدودیت در رابطه با دستیابی از راه دور به ریجستری ، از کلید زیر برای تنظیم مجوزهای امنیتی استفاده می شود .
HKLMSYSTEMCurrentControlSetControlSecurePipeServerswinreg
▪ Account مربوط به Guest غیر فعال گردد.در این راستا پیشنهاد می گردد، که تمام Account ها ( سرویس ها و کاربران ) دارای رمز عبورگردند .( صرفنظر از اینکه account فعال و یا غیر فعال باشد ) .
▪تایید اعتبار LanMan را غیر فعال نمائید . رمز عبورهای LanMan بمنظور سازگاری با نسخه های قبلی ویندوز ( ۹X ) مطرح و عملا" رمزهای عبوری مشابه ویندوز ۲۰۰۰ بوده که تماما" به حروف بزرگ تبدیل و با استفاده از یک روش خاص رمز شده اند .رمزهای عبور LanMan ، نسبت به سایر رمزهای عبور بمراتب ساده تر کشف و مورد استفاده متجاوزان اطلاعاتی قرار می گیرند . پیشنهاد می گردد، رمزهای عبور LanMan غیر فعال گردند . بمنظور غیر فعال نمودن رمزهای عبور فوق ، کلید ریجستری مربوطه ، می بایست مطابق زیر تغییر تنظیم گردد .
Hive: HKEY_LOCAL_MACHINE
Key: SystemCurrentControlSetControlLsa
Name: LMCompatibilityLevel
Type: REG_DWORD
Value:
▪پورت های ۱۳۵,۱۳۷,۱۳۸ و ۱۳۹ در محدوده روتر و یا فایروال را غیر فعال نمائید (Colse) . برای شبکه های مبتنی بر ویندوز ۲۰۰۰ ، می بایست پورت ۴۴۵ نیز بلاک گردد . پورت های فوق، برای شبکه های داخلی لازم بوده ولی برای شبکه های خارجی مورد نیاز نخواهند بود . با بلاک نمودن پورت های فوق ، از تعداد حملات متجاوزان اطلاعاتی در شبکه های مبتنی بر ویندوز NT ۴.۰ و ۲۰۰۰ بنحو چشمگیری کاسته خواهد شد . در این راستا لازم است ، پروتکل های غیر ضروری ( نظیر NetBeui و IPX) نیز غیر فعال گردند .
▪بر روی فولدرها و فایل های سیستمی ویندوز نیز می بایست لایه های امنیتی مناسبی ایجاد گردد. در این راستا لازم است بر روی فولدرهای حیاتی سیستم نظیر WINNT و System۳۲ و کلیدهای ریجستری HKLMSoftwareMicrosoftWindowsRun و HKLMSoftwareMicrosoftWindowsNTCurrentVersionAEDebug امکان استفاده از گروه Everyone سلب و به گروه معتبر Users ( شامل لیست کاربران مجاز ) اختصاص یابد .
▪در رابطه با منابع اشتراکی در شبکه ، می بایست محدودیت های لازم اعمال گردد. زمانیکه منبعی در شبکه به اشتراک گذاشته می شود، کنترل دستیابی بصورت پیش فرض گروه Everyone با امتیازFull control خواهد بود . در این راستا پیشنهاد می گردد ، امکان استفاده از منابع اشتراکی صرفا" در اختیار کاربرانی قرار گیرد که نیازمند دستیابی به منابع فوق، می باشند .
▪تمام سرویس های غیر ضروری نظیر Telnet,FTP,WEB را غیر فعال نمائید. از صحت محل استقرار سرویس ها بر روی شبکه اطمینان حاصل نمائید . مثلا" سرویس دهنده RAS و WEB نباید بر روی یک کنترل کننده Domain ، نصب گردند .
▪امکان ممیزی (auditing) در شبکه را فعال نمائید . در ساده ترین حالت ممیزی مربوط به ورود و خروج از شبکه ، دستیابی به امتیازات کاربران و رویدادهای سیستمی نظیر غیر فعال نمودن سیستم (Shutdown) است .
▪اعتماد (Trust) موجود بین حوزه ها (Domian) را بررسی و در صورت امکان، موارد غیر ضروری را حذف نمائید .
●برنامه های ماکروسافت
وجود نقاط آسیب پذیر در برنامه هائی نظیر outlook,Microsoft Exchange,SQL Server و IIS ، بستر مناسب برای متجاوران اطلاعاتی بمنظور نفوذ در شبکه را ایجاد می نماید . بنابراین لازم است که از آخرین Service Pack و Patch مربوط به هر یک از برنامه ها استفاده گردد . شرکت ماکروسافت، بمنظور بهبود امنیت برنامه ها ، ابزارهای متعددی را ارائه نموده است
منبع : شرکت سخاروش
