ویندوز یا لینوکس؟ سوالی که شاید اغلب کاربران رایانه به آن برخورد
کرده باشند اما در این گزارش نگاهی میاندازیم به تنظیمات امنیتی ویندوز،
سیستمعاملی که امروزه روی اکثر رایانهها در ایران نصب است.
به گزارش سافتگذر به نقل از فناوری اطلاعات ایران؛ برخی تنظیمات امنیتی معمول، مهم و کلیدی وجود دارند که اغلب بهطور کلی
مورد توجه قرار نگرفته یا اینکه به درستی تنظیم نمیگردند. امنیت Windows
Active Directory و پایداری آن، وابسته به امنیتی است که کاربر روی کنترل
کنندههای دامنه، سرورها و دسکتاپ ها پیکربندی میکند. با توجه به اینکه
کلمه عبور مهمترین راه ورودی کامپیوتر است، امنیت کلمات عبور میتواند
امنیت کلی سیستم و شبکه را تحت تأثیر قرار دهد.
اغلب سازمانها به کارمندان خود اجازه میدهند که از کلمات عبور ضعیف
استفاده کنند. نیازمندیهای کلمات عبور که مایکروسافت برای اکتیو دایرکتوری
به شکل پیش فرض تنظیم کرده است، از کیفیت مناسبی ندارد. البته داشتن یک
کلمه عبور ضعیف قطعاً بهتر از نداشتن کلمه عبور است، ولی با تکنولوژیهای
موجود، برتری این وضعیت نسبت به وضعیت بدون کلمه عبور چندان قابل توجه
نیست. نباید این نکته را فراموش کنیم که میتوان کلمههای ورود ضعیف را
بوسیلهی نرمافزارهایی شناسایی کرد.
باید اطمینان حاصل کرد که کلمات عبور ایجاد شده و در برابر تمامی
تکنولوژیهای مختلف، تست شدهاند. کلمات عبور به شکل ایدهآل باید از حداقل
۱۵ کاراکتر تشکیل شده باشند. یک راه برای کمک به رسیدن به این منظور،
استفاده از عبارات عبور است. عبارت هایی که اگرچه ممکن است طولانی باشند
اما به خاطر سپردن آنها بسیار ساده است.
در کنار کلمهی عبور مناسب، ۴ تنظیم کلیدی وجود دارند که باید برای
مسدود کردن دسترسی ناشناس، پیکربندی گردند. روش ایجاد ارتباطات ناشناس و
اینکه هر نوع دسترسی چه مجوزی را صادر میکند، با این تنظیمات در ارتباط
است. مایکروسافت اغلب تنظیمات را بهخوبی انجام داده است، اما لازم است که
تمامی تنظیمات به درستی انجام گیرند.
حتی با یک دامنه ویندوز سرور ۲۰۱۲ تازه نصب شده نیز، تمامی تنظیمات در
خط مشی گروهی (Group Policy) تعریف نمیشوند. تنظیماتی که نیاز به پیکربندی
دارند در شکل زیر فهرست شدهاند.همانطور که در این شکل مشاهده میشود، فقط
یکی از چهار تنظیم در یک GPO از اکتیو دایرکتوری تعریف شده است. این
استفاده مناسبی از خط مشی گروهی نیست و نیاز به پیکربندی مناسب در دامنه
اکتیو دایرکتوری دارد.
این تنظیمات باید بهصورت زیر پیکربندی گردند:
•Network access: Allow anonymous SID/Name translation – Disabled
•Network access: Do not allow anonymous enumeration of SAM accounts – Enabled
•Network access: Do not allow anonymous enumeration of SAM accounts and Shares – Enabled
•Network access: Let Everyone permissions apply to anonymous users – Disabled
درست است که سه تنظیم از چهار تنظیم یاد شده صحیح هستند. اما دو نکته در
اینجا وجود دارد. نخست اینکه تمامی چهار تنظیم باید صحیح باشند. دوم اینکه
تمامی تنظیمات باید از یک GPO در اکتیو دایرکتوری پیکربندی شوند. برای
بالاتر رفتن امنیت ویندوز بهتر است نگاهی هم به UAC بیندازیم. UAC نخستین
بار در ویندوز ویستا عرضه شد. این تکنولوژی نباید نادیده گرفته شود. نحوه
مناسب پیکربندی UAC در شکل زیر که مربوط به یک سیستم ویندوز ۷ است نمایش
داده شده است.