چک لیست امنیتی ویندوز سرور چیست؟
مایکروسافت میگوید، سطح امنیت یک سازمان بر همه اعضا و زیرمجموعههای آن سازمان تاثیر دارد. نبود یا کمبود امنیت برای سازمانها خطرناک است. گاهی وقوع یک حمله امنیتی همه امور عادی و روزمره شرکت/سازمان را مختل یا متوقف میکند. هرچه شما زودتر متوجه حمله شوید، بهتر میتوانید با آن مقابله کنید و از اثراتش بکاهید. هکرها و مهاجمان سایبری معمولا کار خود را با تحقیق و جستجو شروع میکنند. آنها ابتدا نقاط ضعف شبکه یا محیط کارتان را پیدا و سپس حمله میکنند. پس از آنکه مهاجم (به طرق مختلف) به محیط نفوذ کرد، با شیوهای موسوم به lateral movement به دنبال راههایی میگردد که او را به هدفش نزدیکتر میکند. مثلا شاید مهاجم سطح دسترسی خود را افزایش دهد تا بتواند ظرف مدت کوتاهی (معمولا 24 تا 48 ساعت پس از اولین نفوذ) کنترل سازمان را به دست بگیرد. هدف شما از تهیه و اجرای چک لیست امنیتی ویندوز، شناسایی هرچه زودتر اینگونه حملات و پاسخ دادن به آنهاست. هرچه مهاجم دیرتر شناسایی شود، خسارت بیشتری میتواند به بار آورد و سختتر میشود او را از شبکه بیرون انداخت.
شما با اجرای بندهای چک لیست امنیتی ویندوز سرور، زمانی را که مهاجم لازم دارد تا کنترل شبکه را به دست بگیرد، از چند ساعت به چند هفته یا حتی چند ماه افزایش دهید. هرچه این زمان طولانیتر شود، احتمال شناسایی حمله و مهاجم افزایش مییابد فلذا شما برای خنثی کردن حمله زمان بیشتری خواهیدداشت. برای این منظور باید جلوی حرکت تدریجی مهاجم را بگیرید و امنیت سیستمهایتان را افزایش دهید. آنگاه با ارتقای علائم هشداردهنده مختلف میتوانید حمله را شناسایی کنید و با حذف موجودیتها (Identities) و سیستمهای آسیبدیده، به حمله پاسخ دهید.
نمونهای از یک چک لیست امنیتی ویندوز سرور
امنیت سازمانی
- برای هر سرور رکوردی از موجودیهای آن داشته باشید. این رکورد، حداقلهای پیکربندی را بهشکل مستند مشخص و هر تغییر در سرور را ثبت میکند.
- پیش از اعمال هر تغییری در سختافزار یا نرمافزار سرور، آن تغییر را کاملا بیازمایید و ارزشیابی کنید.
- مرتبا ریسکها را برآورد کنید. برای بهروزرسانی برنامه مدیریت ریسک، از نتایج این برآورد استفاده کنید. فهرستی اولویتبندی شده از همه سرورها داشته باشید تا اطمینان یابید که ضعفهای امنیتی طبق برنامه زمانی رفع میشوند.
آمادهسازی ویندوز سرور
- همه سرورهای جدید در شبکه DMZ را که به اینترنت وصل نیستند، تقویت کنید.
- برای بایوس پسورد تعیین کنید تا از تغییرات غیرمجاز در تنظیمات جلوگیری شود.
- لاگین کردن خودکار با اکانت مدیریتی در کنسول بازیابی (ریکاوری) را غیرفعال کنید.
- ترتیب بوت دستگاهها را طوری تنظیم کنید که بهطور غیرمجاز و خودکار از رسانههای دیگر بوت نشوند.
تقویت امنیت حساب کاربری در ویندوز سرور
- از استاندارد بودن و قوی بودن پسوردهای مدیریتی و سیستمی اطمینان حاصل کنید. مخصوصا مراقب باشید که در پسورد اکانتهای ادمین (اکانتهایی که سطح دسترسی بالایی دارند)، از کلمات معنادار یا لغتنامهای استفاده نشود. هر پسورد باید دستکم 12 کاراکتر داشته و ترکیبی از حروف، اعداد، علائم خاص و کاراکترهای نامرئی (مثل CTRL) باشد. همه پسوردها را هر 90 روز یکبار عوض کنید.
- Group Policy جهت مسدودسازی اکانتها را طبق استاندارد تنظیم کنید.
- اکانت میهمان (Guest account) را غیرفعال کنید.
- نباید اجازه دهید به کاربران ناشناس، مجوز Everyone اعطا شود.
- ترجمه SID/Name بهصورت ناشناس را غیرفعال کنید.
- حسابهای کاربری بلااستفاده را فورا غیرفعال یا حذف کنید.
پیکربندی امنیت شبکه
- دیواره آتش (فایروال) ویندوز را در همه دامنه ها فعال و طوری پیکربندی کنید که بهطور پیشفرض ترافیک ورودی را مسدود کند.
- مسدودسازی پورت را در سطح تنظیمات شبکه فعال کنید. دریابید که کدام پورتها باید باز باشند. دسترسی به تمام دیگر پورتها را محدود کنید.
- تنظیماتتان طوری باشد که فقط کاربران احراز هویت شده بتوانند از شبکه به هر کامپیوتری دسترسی یابند.
- به هر کاربری مجوز act as part of the operating system اعطا نکنید.
- اگر از RDP استفاده میشود، سطح رمزنگاری اتصال RDP را بالا ببرید.
- اجازه ندهید کاربر بهصورت ناشناس به دادههای اشتراکیشده دسترسی یابد.
- به سیستم محلی (Local System) اجازه دهید برای NTLM از هویت کامپیوتر استفاده کند.
- Local System NULL session fallback را غیرفعال کنید.
- انواع رمزنگاریهای ممکن برای Kerberos را پیکربندی کنید.
- سطح احراز هویت LAN Manager را طوری تنظیم کنید که فقط NTLMv2 را بپذیرد و LM و NTLM را رد کند.
- امکان بهاشتراکگذاری فایل از شبکه را حذف کنید. دسترسی به اشتراکگذاری فایل به هر کسی اجازه میدهد تا به یک سرور متصل شود و بدون نیاز به شناسه کاربری یا پسورد به دادههای مهم دسترسی یابد.
تنظیمات امنیتی عمومی ویندوز سرور
- سرویسهایی را که لازم ندارید غیرفعال کنید. در اکثر سرورها سیستمعامل با تنظیمات پیشفرض نصب شده است. در تنظیمات پیشفرض، اغلب سرویسهای اضافی که سیستم نیازی به آنها ندارد نیز فعال هستند. که این به بروز ضعفهای امنیتی منجر میشود.
- با انتخاب NTFS یا BitLocker در ویندوز سرور، قابلیت رمزنگاری سیستم فایل (EFS) بومی ویندوز را فعال کنید.
- اگر workstation حافظه رم زیادی دارد، swapfile ویندوز را غیرفعال کنید. این کار بازده و امنیت را افزایش میدهد زیرا هیچ داده مهمی نمیتواند روی هارددیسک نوشته شود.
- از AUOTORUN استفاده نکنید؛ در غیر اینصورت کدهای مخرب میتوانند بدون اطلاع مستقیم کاربر اجرا شوند؛ مثلا مهاجم میتواند از روی سیدی، اسکریپت خودش را اجرا کند.
- سیستم را طوری پیکربندی کنید که پیش از لاگین کردن کاربر، پیغامی به وی نمایش داده شود.
- مراقب باشید همه فضاهای ذخیرهسازی (volume) از سیستم فایل NTFS استفاده کنند.
- تاریخ/زمان سیستم را تنظیم و آن را طوری پیکربندی کنید که با زمان سرورهای دامنه هماهنگ باشد.
تنظیمات Audit Policy
- Audit Policy را بهدرستی در ویندوز فعال کنید. شما با Audit Policy مشخص میکنید که چه نوع رویدادهایی باید ردگیری و در بخش log Security ویندوز سرور ثبت شوند.
- Event log را مختص به نوع کسب وکار پیکربندی کنید.
- بهمنظور مانیتورینگ، رویدادهای ثبت شده را به SIEM (مخفف Security Information and Event Management) ارسال کنید (log shipping).
