امنیت در ویندوز xp در قالب یک چک لیست

[atn_1366]

سلام به دوستان عزیز ...

مطلبی را که میخوانید جزو مطالبی است که من ازش خوشم اومد و استفاده کردم وتصمیم گرفتم تا اونو در این جمع دوستانه هم ارائه کنم . امیدوارم که شما هم خوشتون بیاد و به دردتون بخوره بهر حال نظرتون رو بگید .
( منبع این موضوع : www. labmice.net )

این چک لیست به سه بخش تقسیم می شود .

Advanced Action : 3 Intermediat Action :2 Basic Action :1

قسمت اول :

Basic Security Action

>Provide Pphysical Security for the machine

امنیت فیزیکی کامپیوتر هارا تامین کنید . ( این کار بسته به محیط و شرایط میتونه ساده و یا پیچیده باشه ) . در حالت ساده میتوان چند نمونه را ذکر کرد . مثلا راههای نفوذ به شرکت را مسدود کنید . کامپیوتر ها را در مکانی نگهداری کنید که امکان قفل کردن داشته باشد . روی کیسها قفل بگذارید و کلید های آنها را دور از کامپیوتر ها و در جای امنی نگهداری کنید . و ........

>Use NTFS on all your partitions

برای همه پارتیشن ها از NTFS استفاده کنید .

چند ویژگی NTFS نسبت به FAT , FAT32 :
1- حقوق فایل و دایرکتوری در NTFS بیشتر است .
2- NTFS نسبت به FAT , FAT32 دارای سرعت بیشتری است .
3-در NTFS امکان استفاده از ویژگی Encrypted File System را داریم (EFS)
4-در NTFS امکان استفاده از Qota را داریم .
5- در NTFS قابلیت File Compression را داریم .
6- تعداد Atribute های فایل در NTFS بیشتر است .

>Disable Simple File Sharing

حتما این گزینه رو غیر فعال کنید .
برای این کار مراحل زیر طی شود :
1- START > MY COMPUTER > TOOLS > FOLDER OPTION
2- Select the View tab
3- Go to Advanced Settings
4- Clear the use Simple File Sharing box
5- click Apply

متاسفانه ویندوز اکس پی HOME EDITION اجازه غیر فعال کردن این گزینه رو به شما نمیده و همینطور نمیتونید به DOMAIN وارد بشید . بهترین کار برای این مورد اینه که فولدر های SHARE شده رو Read Only کنید . فولدرهای Share شده را توسط یک علام $ در جلوی نام آنها مخفی کنید . اگر از NTFS استفاده میکنید از گزینه MAKE PRIVATE در Folder Properties استفاده کنید


>Use Password on all user accunts

از accunt های بدون پسورد دوری کنید .

نکته : در ویندوز اکس پی home edition تمام User ها در درجه Administrator هستند و بدون پسورد که این یک سوراخ امنیتی بسیار بزرگ است که باید سریعا این سوراخ را پر کرد .

>Use the Administrator Group with care

از گروه Administrator به دقت استفاده کنید .

تا جایی که میتوانید به کاربرانتان قدرتهای خاص اعطا نکنید . اگر مجبور به این کار هستید آنهارا در گروه local power Group قرار دهید .

>Disable the Guest Accunt

یوزر Guest را غیر فعال کنید .

نکته : در ویندوز اکس پی Home edition نمیتوان یوزر Guest را از کار انداخت . کاری که باید انجام داد این است که قدرت آن را تاحد بسیار زیادی پایین آورد و یک Password خیلی بزرک هم برای آن درنظر گرفت مثلا 20 یا 30 کاراکتر .

>Use a firewall if you have a full time internet connection

در صورت اتصال به اینترنت از فایروال استفاده کنید .

نکته : فایروال XP را با نام ICF یا Internet connection firewall می شناسیم . ولی این ICF دومشکل دارد : 1- به شکل پیش فرض فعال نیست 2- بسته های خروجی را چک نکرده و فقط بسته های ورودی را چک می کند . پس بهتر است بجای آن از فایروالهای دیگر مثل Black ICC استفاده شود .

>Use a router instead of ICS

بجای استفاده از ICS یا Internet Connection Sharing از یک روتر استفاده کنید .

ICS برای اتصال کامپیوتر های یک home or small ofice ایده خوبیه ولی اگر شما یک ارتباط پرسرعت دارید بهترین کار استفاده از یک روتر ساده است بدلیل اینکه هم سرعت بیشتری ارائه میدهد و هم تنظیمات بیشتر و هم امنیت بیشتری دارد .
روتری مثل linksys cable/DSL router که حدود 100 دلار می باشد .

>Install AntiVirus Software on all workstation

روی تمام کامپیوترهای شبکه خود AntiVirus را نصب کنید

>Keep up to date with hotfixes and service packs

همیشه کامپیوتر های خود را update نگه دارید .

نکته : سعی کنید Automatic Update را بر روز ویندوز خود روشن کنید . برای این کار مسیر زیر را طی کنید :

1- START \ CONTROL PANEL \ PERFORMANCE AND MAINTENANCE \ SYSTEM
2- در TAB با عنوان AUTOMATIC UPDATE گزینه مناسب را انتخاب کنید

>Password Protect the screensaver

در Screensaver گزینه Password protect را فعال کنید .

>Secure your wireless network


شبکه های بی سیم خود را امن کنید .( در سایت www.labmice.net یک چک لیست برای امن کردن شبکه های بی سیم وجود دارد که انشااله در آینده نیز آنرا به صورت مفصل ارائه خواهم کرد )

>Secure your backup tapes

back up های خود را در جای امن قرار دهید .

[atn_1366]

اگر قسمت اول این مطلب رو خونده باشید میدونید که به سه بخش تقسیم شده است که بخش اول به Basic Security Action اختصاص داده شده بود . بخش دوم به Intermediate Security Action
اختصاص می گیرد .


Intermediate Security Action


>use the security configuration manager and templates

از Security Configuration Management که توسط خود ویندوز ارائه شده استفاده کنید. SCM مجموعه ابزاری است (کنسول) که توسط آن پیکربندی امنیتی انجام میگیرد .
برای این منظور باید از تعدادی snap-in موجود در ویندوز استفاده کرد . از جمله می توان به سه snap-in زیر اشاره کرد :

1- Securitytemplates
2- securityconfiguration and analysis
3- security settingextension to group policy

شاید بد نباشه روش دستیابی به snap-in هارو هم توضیح بدم .

برای دستیابی به snap-in ها بهتره که اول یک کنسول مدیریتی بسازیم . و snap-in ها رو درون آن اضافه کنیم برای این کار مراحل زیر را پی می گیریم :
در قسمت RUN تایپ کنید MMC که مخفف Microsoft Management Console هستش .
یک کنسول خالی باز می شود . در قست File گزینه Add/Remove snap-in را انتخاب می کنیم . در tab با عنوان Standalone دکمه Add را کلیک می کنیم . در پنجره ای که باز می شود snap-in های زیادی دیده می شود که اگر کمی به پایین بیاییم دوsnap-in مورد نیاز را خواهیم دید یعنی security templates و security config and analysis . حال که این دو را add کردیم کلید ok را زده و میتوانیم این کنسول را با نام دلخواه خود save نماییم تا هرگاه نیاز شد به سرعت به آنها دسترسی پیدا کنیم .
حال باید از securityconfiguration and analysis استفاده کنیم تا بتوانیم کامپیوتر را بر اساس امنیت پیشنهادی Microsoft امن کنیم .
کنسولی را که ساختید باز کنید . روی security configuration and analysis رایت کلیک کنید . opendatabase را انتخاب کرده و در پنجره باز شده یک نام جدید برای data base خود انتخاب کنید و open را بکلیکید . از لیست template ها آن گزینه ای را که می خواهید انتخاب کنید مثلا hisecws برای امن کردن workstasion هاست و یا hisecdc برای امنیت زیاد Domain Control است . هر کدام را که انتخاب کردید کلید open را بزنید . دوباره برمیگردید به همان کنسول بدون اینکه اتفاقی افتاده باشد . حال برای اینکه اتفاقی بیافتد و آن چه را که شما انتخاب کردید بر روی سیستم انجام شود روی securityconfiguration and analysis رایت کلیک کرده و گزینه configure computer now را انتخاب کنید . مدتی طول می کشد تا کامپیوتر شما امن شود .


>Password Security

از passwordsecurity مناسب استفاده کنید .

برای این کار از مسیر زیر استفاده کنید .
Control panel < Administrative tools < Local security policy
در این پنجره option های زیادی وجود دارد که باید Local policies را انتخاب کرد و در این بخش باید security option را انتخاب کنید .
نکته : این بخش از group policy هم قابل دسترسی است .

در این بخش باید قواعد خاصی برای Password درنظر بگیرید از جمله طول عمر پسورد مثلا پسورد ها باید هر 60 روز تغییر کند . یا پیچیدگی پسورد ( Complexity ) مثلا در پسورد ها حتما باید از اعداد ، حروف کوچک و حروف بزرگ و ... استفاده شود . یا تعداد کاراکتر های پسورد که نباید از 8 کاراکتر کمتر باشد جدیدا باید از 9 بیشتر باشد چون اخیرا نرم افزارهای کرک به طور پیش فزض 8 کاراکتر را اسکن میکنند . و مورد دیگر اینکه تعین کنید که چند بار خطا در وارد کردن پسورد مجاز است ( حتما از این مورد استفاده کنید ) .

نکته : سخت گیری در مورد پسورد خیلی خوب است اما مواظب باشید آنقدر سخت گیری نکنید که کاربران پسورد را نتوانند حفظ کنند و آنرا در جایی یادداشت کنند که این کار خطرناک تر است .


>Use Software restriction

از Software restriction policy مناسب استفاده کنید تا از نصب برنامه هایی ناخواسته نصب و اجرا شوند که ممکن است حاوی Trojan ها و ویروسها باشند .
این کار از مسیر زیر قابل اجراست :
در بخش RUN تایپ کنید GPEDIT.MSC در این قسمت مسیر زیر را دنبال کنید :
Computer Configuration > Windows setting > Security setting و در این مسیر به بخش Software Restriction Policies رفته و تنظیمات را انجام می­هیم .
نکته : این گزینه در ویندوز home edition وجود ندارد .

>Limit the number of unnecessary accounts


تعداد account های غیر لازم را محدود کنید .

سعی کنید از user های تکراری و سریالی استفاده نکنید مثلا user 1 ، user 2 ، user 3 و شبیه به اینها . account های test و ااز این قبیل را حذف کنید . account های اشتراکی را مثل Guest حذف کنید . اگر کارمندی از سازمان شما رفته و دیگر از account او استفاده نمی­شود آن را حذف کنید .


>Rename the Administrator Account


نام کاربر Administrator را تغییر دهید .

بهتر است تا نام مدیر اصلی شبکه اسامی مثل admin ، manager ، main ، sysop و ...
که نشاندهنده قدرت account است نباشد .

نکته : بعضی از هکر ها بجای نام از SID برای یافتن کاربر قدرتمند استفاده می کنند لذا این ترفند فقط در مورد هکرهای آماتور کاربرد دارد و در مقابل هکرهای باتجربه مفید نیست


>Consider create a Dummy administrator account

حتما یک administrator مصنوعی بسازید .

به عمل فوق honey pot گویند . به این صورت که شما یک user کم قدرت را admin معرفی کنید و یک پسورد بزرگ مثلا بیشتر از 10 کاراکتر به آن اختصاص دهید . این کار باعث می شود تا هکر ها به هک کردن این user مشغول شوند . از محاسن این کار auditing می باشد که شما می توانید هکر را ردیابی کنید .


>Replace the “everyone” group with “Authenticated user” group on file share

بر روی فایلهای share شده بجای everyone از authenticated group استفاده کنید .


>Hide last username on login dialog box

نام آخرین کاربری که به سیستم log on نموده نمایش داده نشود .
برای این کار مسیر زیر طی شود :
در بخش RUN تایپ کنید GPEDIT.MSC
Computer Configuration > windows setting > security setting > local policy
در مسیر بالا به بخش security option رفته و گزینه زیر را بیابید و آنراEnable کنید .
Interactive logon : do not display last user name


>Make sure that Remote Desktop is disabled

مطمئن شوید که Remote desktop غیر فعال است .

خوشبختانه این گزینه به طور پیش فرض در ویندوز اکس پی غیر فعال است و در نسخه home edition هم اصلا وجود ندارد ولی با این حال از غیر فعال بودن آن اطمینان حاصل کنید .


>Disable unnecessary services


سرویس های غیر ضروری را از کار بیاندازید .

این کار توسط مسیر زیر امکان پذیر است :
Control panel > Administrative tools > services

سرویس های زیر را در صورتی که نیاز ندارید از کار بیاندازید :

1 : IIS
2 : Netmeeting Remote Desktop Sharing
3 : Remote Registry
4 : Routing & Remote Access
5 : SSDP Discovery service
6 : Universal plug and play device host
7 : Telnet


> EFS) < Encrypt file system)

ویندوز اکس پی این قابلیت قدرتمند زمزگذاری را ارائه کرده که یک لایه امنیتی اضافی بر روی سیستم ایجاد می کند . این قابلیت به این کار می آید که اگر هکری به کامپیوتر شما نفوذ کرد و توانست به فایلهای شما دسترسی پیدا کند ، نتواند از آن فایلها در ویندوز دیگری استفاده کند .



>if you use offline folders , encrypt the local cache


اگر از offline folder ها استفاده می کنید آنهارا رمزگذاری کنید .

در ویندوز شما می توانید بعضی از فولدرهای share شده را علامت گذاری کرده که در شبکه به صورت offline هم قابل دسترسی باشند . بدین معنی که زمانی که به شبکه وارد نمی شوید هم به این فایلها دسترسی داشته باشید .برای این کار ویندوز آن فایلهارا در یک OFLINE FILE DATABASE کپی می کند که آنرا با نام CACHE سمت کلاینت میخوانند .
برای این منظور مسیر زیر را طی کنید :
در کنترل پنل قسمت FOLDER OPTION را باز کنید . وارد TAB با عنوان OFFLINE FILE شوید . اگر Enable Offline files تیک نخورده آنرا تیک بزنید . حال باید چک باکس زیر را تیک بزنید : Encrypt Offline files to secure data

نکته : اگر از Fast user switching استفاده می کنید ، از این گزینه نمی توانید استفاده کنید .


>Encrypt the temp folder

بعضی از نرم افزارها مثل Microsoft Office از فولدر temp برای نگهداری یک کپی از فایلهای شما استفاده می کند و معمولا این نرم افزارها این فولدر را خالی نمی کنند . بنابراین با رمز گذاری روی این فولدر یک لایه امنیتی به سیستم خود اضافه کنید .


>Clear the page file at shutdown

Page file ویندوز حاوی پسورد و مسائل حساس دیگری است که سیستم آنرا در حافظه نگهداری می کند . شما می توانید سیستم عامل را مجبور کنید که هنگام خروج از سیستم این page file را پاک کند .
برای این کار مسیر زیر را طی کنید :
در بخش RUN تایپ کنید GPEDIT.MSC
Computer Configuration > windows setting > local policy > security option
گزینه زیر را در پایین های صفحه پیدا کنید و آنرا Enable کنید :
Shutdown : Clear Virtual memory page file

[atn_1366]

قسمت سوم که قسمت آخر این مطلب هستش رو ارائه می کنم .


Advanced Security Action


>Enable Auditing on your workstations

این کاری است که برای سرور ها مناسب است و معمولا انجام می گیره . معمولا روی کامپیوتر های معمولی انجام نمیشه مگر اینکه در معرض خطر از دست دادن اطلاعات مهم باشه .
پیشنهاد میشه که برای اعمال Auditing فعال بشه :


-------------Event-------------------- Level of Auditng ------------
+++++++________________+++++++ ______________+++++


------------Account Logon events--------- Success , failure
------------Account management---------- Success , failure
------------logon event--------------------- Success , failure
---------------------Object access------------------- Success
------------Policy change -------------------Success , failure
------------privilege use --------------------Success , failure
------------System event------------------- Success , failure

>Disable default shares

ویندوز xp به طور اتوماتیک چندین درایو رو به شکل مخفی (hidden ) , به اشتراک میذاره . به این دلیل که سیتم عامل بتونه محیط کامپیوتر ها را از طریق شبکه کنترل و مدیریت کنه . این درایو ها را می توان از طریق کنترل پنل disable کرد ولی تا زمانی کاربرد دارد که کامپیوتر شما restart نشود چون دوباره آن درایو ها share می شوند .

نکته : بعضی از سرویس های ویندوز و همینطور بعضی از برنامه ها به این درایو های share شده نیاز دارند مثلا بعضی از برنامه های Backup اینچنینند . بنابراین شما باید قادر باشید تا زمانهایی که به این قابلیت نیاز دارید آن را فعال کنید .

نحوه از کار انداختن Default share ها برای همیشه :

در منوی Run تایپ کنید :Regedit و کلید enter را بزنید .
به مسیر زیر بروید :
HKEY_LOCAL_MACHINE / SYSTEMS / CurrentControlSet / Services / LanManServers / Parameters
حال در این قسمت یک صفحه در مقابل شما باز می شود . رایت کلیک کرده و New را زده و یک DWORD بسازید نام آن را بگذارید AutoShareWks و روی آن دوبار کلیک کنید و پارامتر آنرا روی صفر set کنید .
به این ترتیب حتی با Restart کردن کامپیوتر هم این درایو ها Share نخواهند شد .

>Disable Dump File Creation

یک Dump file میتونه به عنوان یک ابزار Troubleshooting به ما کمک کنه مخصوصا زمانی که یک سیستم یا یک نرم افزار دجار مشکل میشه و یا پیام معروف و مفتضح "Blue Screen of Death " رو میده . ولی همین dump file میتونه به هکر ها توسط اطلاعات حساس برنامه ها مثل password و ... کمک کنه .
شما میتونید از مسیر زیر این قابلیت رو از کار بیاندازید :
Control panel / System / Advanced / Sturtup and Recovery
در اینجا در بخش Write Debugging information پارامتر مربوطه را به None تغییر دهید .

>Disable the ability to boot from a floppy or cd ROM

نرم افزارهایی هستند که میتونن امنیت کامپوتر شما را به خطر بیاندازند . مثلا بعضی نرم افزارها قابلیت reset the local administrator password دارند که این امر بسیار خطرناک است .
شما می توانید این کار را از مسیر زیر انجام دهید :
در منوی Run تایپ کنید GPedit.msc
Computer configuration / Windows settings / Security settings / local policy / security policy / Security option

>Disable AutoRun for the cd-ROM

یکی از راه های دسترسی فیزیکی هکر ها به کامپیوتر های یک شرکت انتشار کدهای مخرب توسط CD-ROM می باشد . اونها توسط برنامه هایی که توسط autorun یک سی دی اجرا میشوند می تونن حتی بدون لمس کرد keyboard دست به عملیات خرابکارانه بزنن .یکی از راه هایی که هکر ها استفاده می کنند این است که این سی دی ها را تهیه کرده و لیبل های دروغین روی آن نصب می کنند مثلا روی سی دی مینویسند mp3 ویا ... که کارمند آن شرکت با قراردادن آن سی دی درون درایو مراحل کاری هکر را کامل می کند .
برای از کار انداختن این مورد مسیر زیر طی شود :

در بخش RUN تایپ کنید GPedit.msc و اینتر را بزنید
Computer Configuration / Administrative templates / system
به دنبال Turn of autoplay off بگردید .

> Consider using Smart card or Biometric devices

بهتر است که در کنار پسورد از smart card و یا Biometric devices مثل اثر انگشت یا مردمک چشم یا صدا و ... استفاده کنید که البته این موارد برای امنیت بسیار بالا می باشد .

>Consider implementing IPsec

پایان

با تشکر از YASER عزیز ...