مدیر امنیتی بودن، نیاز به یادگیری Ùوت Ùˆ ÙÙ† Ùˆ زیر Ùˆ بم ویندوز را هم در ایران دارد. با اینکه هیچ علاقه ای به استÙاده از ویندوز به عنوان سرور (Øتی کلاینت) ندارم ولی باید قبول کرد Ú©Ù‡ جای خودش را در جامعه ایرانی باز کرده است. در اینجا سعی دارم پوشش کاملی به تجربیات خودم در زمینه امنیت ویندوز (2000/xp/2003) بدهم. امیدوارم به کار سایر دوستان هم بیاید. در نمای شبکه من همیشه سرور ویندوز 2000 را Øتما پشت یک Ùایروال لینوکس/یونیکس قرار داده Ùˆ با خیال راØت تنظیمش Ù…ÛŒ کنم مگر در مواردی Ú©Ù‡ شبکه در اختیار من نباشد(هوستینگ خارج از کشور) Ú©Ù‡ توانستم سروری بسازم تقریبا غیر قابل Ù‡Ú©. برای مطالعه کامل مقاله به توضیØات مراجعه کنید.
رسیدن به تعادل Ùˆ کارآیی در امنیت سرورهای ویندوز، اهمیت بالایی دارد. Ùازهایی رسیده بود در آزمایش هام Ú©Ù‡ غیر قابل کردن سرویس های بیش از Øد از سرور یک کتاب گران قیمت ساخته بود. اگر جایی با ناشی گری Ùعالیت سرور را مختل کنید، سرعت Ùˆ کارآیی هم به شدت پایین Ù…ÛŒ آید.
از همه این ØرÙها گذشته به اصل مطلب بپردازیم.
سناریوی ما یک سرور با مشخصات زیر است که ما می خواهیم آنرا امن کنیم:
ویندوز 2000 سرور (یا ادونسد سرور) با سرویس پک 4
http://www.microsoft.com/windows2000/ downloads/servicepacks/sp4/default.asp
همراه با SRP Security Rollout
http://www.microsoft.com/windows2000...01/default.asp
Ùˆ بروز رسانی Øساس IE6
http://www.microsoft.com/windows/ie/...59/default.asp
Ùˆ در Ú©Ù„ آخرین بروز رسانی های مایکروساÙت:
http://v4.windowsupdate.microsoft.com/en/default.asp
دو تا از آخرین بروز رسانی های Øساس IIS (وب سرور)
http://www.microsoft.com/Windows2000...5/download.asp
http://www.microsoft.com/technet/sec...n/MS02-018.asp
ابزار Ù…Øصور کردن IIS
http://www.microsoft.com/technet/tre...s/locktool.asp
Ùایروال نرم اÙزاری سایگیت (sygate)
http://smb.sygate.com/products/spf_pro.htm
Ùایروال مورد علاقه من برای ویندوز Conseal هست چون شباهت خیلی زیادی با Ùایروال IPChains لینوکس دارد.
قدم اول – نگاه کردن به پرتها (port scanning)
در ابتدای کار باید ببینیم این سرور Ú©Ù‡ الان در اختیار ماست در Øال Øاضر Ú†Ù‡ کارهایی را دارد انجام Ùˆ Ú†Ù‡ سرویسهایی دارد Ù…ÛŒ دهد. پرت ها، درگاههایی هستند Ú©Ù‡ کلاینت ها با اتصال به آنها با سرور Øر٠می زنند. این پرتها بر روی سرورها، باید باز باشند تا کلاینتها بتوانند به آنها وصل شوند. اما پرت نا امن باز شده توسط برنامه نا امن راه را برای Ù†Ùوذ باز Ù…ÛŒ کند.
من خودم از برنامه ای به نام nmap Ú©Ù‡ تØت لینوکس است استÙاده Ù…ÛŒ کنم برای این امر. این برنامه هم تمیز Ùˆ کارآمد هست Ùˆ هم اینکه Ù…ÛŒ شود با آن نشتی اطلاعات را هم متوجه شد. مثلا دستگاه سیستم عاملش چیست Ùˆ چند روز دارد سرویس Ù…ÛŒ دهد Ùˆ غیره.
http://www.insecure.org
اما اگر به یک دستگاه لینوکس دسترسی ندارید برنامه Fast Scan را توصیه می کنم برای این کار.
http://www.shaolin-tiger.com/content/files/fastscan.zip
به هر Øال با استÙاده از این نرم اÙزار ها سرور مورد نظر را اسکن کنید (خودتان را) Ùˆ دنبال پرتهای باز بگردید. هر پرت بازی Ú©Ù‡ پیدا کردید سریع به Ú¯ÙˆÚ¯Ù„ رÙته Ùˆ Ú†Ú© کنید ببینید این پرت مال Ú†Ù‡ کاری است. در ابتدا تمام برنامه ها را ببندید Øتی Norton Ghost Ú©Ù‡ پشت صØنه Ùعالیت Ù…ÛŒ کند.
در صورتیکه پرتی پیدا کردید Ú©Ù‡ نیازی نیست آنجا باشد Ùˆ با بستن برنامه هم بسته نمی شود سریع به firewall خود مراجعه کرده Ùˆ از آنجا ببندیدش. اینجاست Ú©Ù‡ من بازهم تاکید Ù…ÛŒ کنم Øتما یک Ùایروال لینوکس (سخت اÙزاری یا نرم اÙزاری) در مدار قرار دهید. ولی Ùایروال نرم اÙزاری تان هم باید بتواند این کار را به راØتی انجام دهد. اگر دوستان علاقه مند باشند من از رامین خان بخواهم Ùایروال sygate را یک ØªÙˆØ¶ÛŒØ Ø¨Ø¯Ù‡Ù†Ø¯.
Øتما این یک مقاله را یخوانید، جلوی خیلی از Øمله ها را Ù…ÛŒ شود از طریق این مقاله گرÙت. اگر بخواهم به زیر این مقاله بپردازم خیلی طول Ù…ÛŒ کشد، پس خودتان سعی خودتان را بکنید Ùˆ اگر سوال دارید از من یا یکی متخصص تر از من بپرسید.
http://support.microsoft.com/default...;en-us;q315669
یک چند تا سایت هم هست که می توانند در این قسمت کمک کنند مانند سایت اسکنر آنلاین"
http://hackerwhacker.com/
http://www.blackcode.com/scan/index.php
قدم دوم – امنیت داخل سرور
چند نکته بسیار مهم Ú©Ù‡ همیشه هم گوشزد Ù…ÛŒ شود، انتخاب کلمه رمز Ùˆ عبور (password) هست. همیشه هم ضربه های بدی شبکه ها از آنجا Ù…ÛŒ خورند. اولین کاری Ú©Ù‡ Ù…ÛŒ کنید، اجبار کاربران سرور به استÙاده از یک کلمه عبور 15 رقم به بالا برای ورود است. چرا؟ برای اینکه با این نوع کلمه رمز، اØتمال Ù‡Ú© شدن کلمه رمز از طریق brute-force یا dictionary attack به عددی نزدیک به صÙر Ù…ÛŒ رسد.در صورتیکه اگر کلمه های عبور به چند رقم تقلیل پیدا کند در کمتر از یک روز هم Ù…ÛŒ شوند به آنها Ù¾ÛŒ برد. این کار را از این طریق انجام دهید:
لطÙا اول کلمه عبور خود را به بیش از 15 رقم تبدیل کنید از منوی Start گزینه های زیر را انتخاب کنید:
Programs -> Administrative Tools -> Local Security Policy.
از منوی Security SettingsØ› به زیر شاخه Account Policy رÙته Ùˆ گزینه Password Policy را انتخاب کنید. بر روی Minimum password length (Øداقل طول کلمه عبور) دو بار کلیک کرده Ùˆ آنرا به 15 اÙزایش دهید.
Øال نوبت اشتراک های داخل سرور است. بهتون توصیه Ù…ÛŒ کنم Øتما Guest را کلا غیر Ùعال کنید Ùˆ Øتی الامکان کاربر administrator را تغییر نام دهید. مثلا کاری Ú©Ù‡ من Ù…ÛŒ کنم تغییر نامش به یک کاربر مثل اسم خودم GHOLI است Ùˆ درست کردن یک کاربر با امکانات مدیر با یک نام دیگست. قبول دارم Ú©Ù‡ اینطور نیست Ú©Ù‡ کلا اختیاراتش را از بین برده باشیم چراکه هنوز ID شماره 500 را دارد ولی در دنیای واقعی خیلی تاثیر دارد.
همه ØرÙها Ú©Ù‡ زده شد، یک مورد Ù…ÛŒ ماند این هم آن است Ú©Ù‡ Øتی الامکان از کاربر Administrator استÙاده نکنید. همیشه با یک کاربر عادی هر کاری Ú©Ù‡ هست انجام دهید.
با تشکر از دوستانم در ایران سرو
رسیدن به تعادل Ùˆ کارآیی در امنیت سرورهای ویندوز، اهمیت بالایی دارد. Ùازهایی رسیده بود در آزمایش هام Ú©Ù‡ غیر قابل کردن سرویس های بیش از Øد از سرور یک کتاب گران قیمت ساخته بود. اگر جایی با ناشی گری Ùعالیت سرور را مختل کنید، سرعت Ùˆ کارآیی هم به شدت پایین Ù…ÛŒ آید.
از همه این ØرÙها گذشته به اصل مطلب بپردازیم.
سناریوی ما یک سرور با مشخصات زیر است که ما می خواهیم آنرا امن کنیم:
ویندوز 2000 سرور (یا ادونسد سرور) با سرویس پک 4
http://www.microsoft.com/windows2000/ downloads/servicepacks/sp4/default.asp
همراه با SRP Security Rollout
http://www.microsoft.com/windows2000...01/default.asp
Ùˆ بروز رسانی Øساس IE6
http://www.microsoft.com/windows/ie/...59/default.asp
Ùˆ در Ú©Ù„ آخرین بروز رسانی های مایکروساÙت:
http://v4.windowsupdate.microsoft.com/en/default.asp
دو تا از آخرین بروز رسانی های Øساس IIS (وب سرور)
http://www.microsoft.com/Windows2000...5/download.asp
http://www.microsoft.com/technet/sec...n/MS02-018.asp
ابزار Ù…Øصور کردن IIS
http://www.microsoft.com/technet/tre...s/locktool.asp
Ùایروال نرم اÙزاری سایگیت (sygate)
http://smb.sygate.com/products/spf_pro.htm
Ùایروال مورد علاقه من برای ویندوز Conseal هست چون شباهت خیلی زیادی با Ùایروال IPChains لینوکس دارد.
قدم اول – نگاه کردن به پرتها (port scanning)
در ابتدای کار باید ببینیم این سرور Ú©Ù‡ الان در اختیار ماست در Øال Øاضر Ú†Ù‡ کارهایی را دارد انجام Ùˆ Ú†Ù‡ سرویسهایی دارد Ù…ÛŒ دهد. پرت ها، درگاههایی هستند Ú©Ù‡ کلاینت ها با اتصال به آنها با سرور Øر٠می زنند. این پرتها بر روی سرورها، باید باز باشند تا کلاینتها بتوانند به آنها وصل شوند. اما پرت نا امن باز شده توسط برنامه نا امن راه را برای Ù†Ùوذ باز Ù…ÛŒ کند.
من خودم از برنامه ای به نام nmap Ú©Ù‡ تØت لینوکس است استÙاده Ù…ÛŒ کنم برای این امر. این برنامه هم تمیز Ùˆ کارآمد هست Ùˆ هم اینکه Ù…ÛŒ شود با آن نشتی اطلاعات را هم متوجه شد. مثلا دستگاه سیستم عاملش چیست Ùˆ چند روز دارد سرویس Ù…ÛŒ دهد Ùˆ غیره.
http://www.insecure.org
اما اگر به یک دستگاه لینوکس دسترسی ندارید برنامه Fast Scan را توصیه می کنم برای این کار.
http://www.shaolin-tiger.com/content/files/fastscan.zip
به هر Øال با استÙاده از این نرم اÙزار ها سرور مورد نظر را اسکن کنید (خودتان را) Ùˆ دنبال پرتهای باز بگردید. هر پرت بازی Ú©Ù‡ پیدا کردید سریع به Ú¯ÙˆÚ¯Ù„ رÙته Ùˆ Ú†Ú© کنید ببینید این پرت مال Ú†Ù‡ کاری است. در ابتدا تمام برنامه ها را ببندید Øتی Norton Ghost Ú©Ù‡ پشت صØنه Ùعالیت Ù…ÛŒ کند.
در صورتیکه پرتی پیدا کردید Ú©Ù‡ نیازی نیست آنجا باشد Ùˆ با بستن برنامه هم بسته نمی شود سریع به firewall خود مراجعه کرده Ùˆ از آنجا ببندیدش. اینجاست Ú©Ù‡ من بازهم تاکید Ù…ÛŒ کنم Øتما یک Ùایروال لینوکس (سخت اÙزاری یا نرم اÙزاری) در مدار قرار دهید. ولی Ùایروال نرم اÙزاری تان هم باید بتواند این کار را به راØتی انجام دهد. اگر دوستان علاقه مند باشند من از رامین خان بخواهم Ùایروال sygate را یک ØªÙˆØ¶ÛŒØ Ø¨Ø¯Ù‡Ù†Ø¯.
Øتما این یک مقاله را یخوانید، جلوی خیلی از Øمله ها را Ù…ÛŒ شود از طریق این مقاله گرÙت. اگر بخواهم به زیر این مقاله بپردازم خیلی طول Ù…ÛŒ کشد، پس خودتان سعی خودتان را بکنید Ùˆ اگر سوال دارید از من یا یکی متخصص تر از من بپرسید.
http://support.microsoft.com/default...;en-us;q315669
یک چند تا سایت هم هست که می توانند در این قسمت کمک کنند مانند سایت اسکنر آنلاین"
http://hackerwhacker.com/
http://www.blackcode.com/scan/index.php
قدم دوم – امنیت داخل سرور
چند نکته بسیار مهم Ú©Ù‡ همیشه هم گوشزد Ù…ÛŒ شود، انتخاب کلمه رمز Ùˆ عبور (password) هست. همیشه هم ضربه های بدی شبکه ها از آنجا Ù…ÛŒ خورند. اولین کاری Ú©Ù‡ Ù…ÛŒ کنید، اجبار کاربران سرور به استÙاده از یک کلمه عبور 15 رقم به بالا برای ورود است. چرا؟ برای اینکه با این نوع کلمه رمز، اØتمال Ù‡Ú© شدن کلمه رمز از طریق brute-force یا dictionary attack به عددی نزدیک به صÙر Ù…ÛŒ رسد.در صورتیکه اگر کلمه های عبور به چند رقم تقلیل پیدا کند در کمتر از یک روز هم Ù…ÛŒ شوند به آنها Ù¾ÛŒ برد. این کار را از این طریق انجام دهید:
لطÙا اول کلمه عبور خود را به بیش از 15 رقم تبدیل کنید از منوی Start گزینه های زیر را انتخاب کنید:
Programs -> Administrative Tools -> Local Security Policy.
از منوی Security SettingsØ› به زیر شاخه Account Policy رÙته Ùˆ گزینه Password Policy را انتخاب کنید. بر روی Minimum password length (Øداقل طول کلمه عبور) دو بار کلیک کرده Ùˆ آنرا به 15 اÙزایش دهید.
Øال نوبت اشتراک های داخل سرور است. بهتون توصیه Ù…ÛŒ کنم Øتما Guest را کلا غیر Ùعال کنید Ùˆ Øتی الامکان کاربر administrator را تغییر نام دهید. مثلا کاری Ú©Ù‡ من Ù…ÛŒ کنم تغییر نامش به یک کاربر مثل اسم خودم GHOLI است Ùˆ درست کردن یک کاربر با امکانات مدیر با یک نام دیگست. قبول دارم Ú©Ù‡ اینطور نیست Ú©Ù‡ کلا اختیاراتش را از بین برده باشیم چراکه هنوز ID شماره 500 را دارد ولی در دنیای واقعی خیلی تاثیر دارد.
همه ØرÙها Ú©Ù‡ زده شد، یک مورد Ù…ÛŒ ماند این هم آن است Ú©Ù‡ Øتی الامکان از کاربر Administrator استÙاده نکنید. همیشه با یک کاربر عادی هر کاری Ú©Ù‡ هست انجام دهید.
با تشکر از دوستانم در ایران سرو
Comment