هشت کار برای بهبود امنیت در یک شبکه مایکروسافتی

 

امنیت هدف نیست، بلکه یک سفر دائمی است. اغلب می‌شنوید کهایجاد امنیت پایان‌پذیر نیست.  این موضوع درست است چرا که وقتیامنیت شبکه‌تان را زیر نظر می‌گیرید، همیشه بایستی مراقب باشید کهیک گام از مجرمان اینترنتی و افرادی که می‌خواهند به اطلاعات شما دسترسی یابند، جلوترباشید. شما نمی‌توانید برای مدتی طولانی در یک سطح از امنیت باقی بمانید. چرا کهمجرمان اینترنتی همواره روش‌های نفوذ خود را بهبود بخشیده و سخت‌تر تلاش می‌کنند و هرروز بر خلاقیت خود می‌افزایند تا به شبکه شما نفوذ کرده و به اطلاعات آن دست یابند. و دربسیاری موارد، حملات حتی به مسائل امنیتی شبکه مرتبط نیست، بلکه بیشترِ حملاتِمخرب توسط افرادی که در داخل شبکه بوده و مجوز اتصال به شبکه را دارند ایجاد می‌شود.به هرحال، حتی اگر امنیت پایانی نداشته باشد، لازم است که از مسایل موجود در اینمسیر آگاه باشید. آن چه که در زیر می‌آید، مواردی هستند که شما بایستی برای بهبودوضع امنیت سازمانتان انجام دهید.

 

 

 

بهبود امنیت فیزیکی

 

در مقوله امنیت جمله‌ای است که می‌گوید: «اگر آدم بده بتوانند کنترل فیزیکی کامپیوتر را بهدست گیرد، بازی تمام است». وقتی که دستگاه به دست این افراد افتاد، آنها می‌توانند بااستفاده از ابزاری که در دست دارند به اطلاعات هارد دیسک و هر اطلاعاتی که به کامپیوترآمده و از آن خارج می‌شود دسترسی یابند. از این رو، پیش از اینکه به دیگر روش‌های امنیتفکر کنید، امنیت فیزیکی بایستی مساله اصلی تان باشد.

 

امنیت فیزیکی می‌تواند شامل موارد زیر باشد:

 

• کنترل دسترسی به اتاق های کامپیوتر با استفاده از کارت، کلید و قابلیت های بیومتریک

 

• ضبط ویدیو از ورود و خروج‌ اتاق‌هایی که کامیپوترها در آن جای گرفته‌اند.

 

• ثبت و ضبط ورود و خروج‌ها به اتاق‌هایی که کامپیوترها در آن جای گرفته‌اند.

 

• تعیین نگهبان یا دیگر ناظران برای ورودی‌ و خروجی‌هایی که کامپیوترها در آن جای گرفته‌اند.

 

 

 

برای اجتناب از حملات بزرگ علیه سیستم، امنیت فیزیکی مسیر طولانی در پیش روی دارد.اما این تنها اولین گام است. وقتی که می‌دانیم همه چیز بسیار عالی است، اگر کامپیوتریبه شبکه‌ای متصل باشد، افراد مجرم نمی‌توانند دسترسی فیزیکی داشته باشند تا موجبخسارات بزرگ شوند.

 

 

 

استفاده از دیوارهای  آتش (فایروال) مبتنی بر میزبان

 

به نظر می‌رسد به فایروال های سخت افزاری که درون شبکه نصب می شوند،  توجهبسیاری می‌شود. بسیاری آنها را مدافعانی با قدرت های جادویی می دانند. اما امروزه درعمل بیشتر دیوارهای آتش امنیت به مراتب کمتری کمتر از آن چیزی است که باید باشد. بهعبارت دیگر، در ظاهر دیواره آتش بخش بزرگی از امنیت است. اما از آن نقشی که قرار استدر امنیت شبکه شما بازی کند، سهم بسیار کمتری را بر عهده دارد. یکی از دلایل این موضوعاین است که بیشتر حملات شدید اغلب از داخل شبکه حادث می‌شود، بنابراین وظیفه دیوارآتش در جلوگیری از کاربران بیرونی برای دسترسی به منابع داخلی شبکه بازده کمی دارد.

 

در مقابل، «دیوار آتش مبتنی بر سیستم میزبان» قادر به حفاظت کامپیوتر از تمام حملاتداخلی و خارجی می‌باشد. علاوه بر این، دیوارهای آتش مبتنی بر میزبانِ حرفه ای می‌توانندبه شکلی پیکربندی شوند تا امکان ارتباطات ورودی را تنها برای سرویس‌های مشخصیفراهم ‌نمایند. این دیوار‌های آتش مبتنی بر میزبان (مانند Windows Firewall with Advanced Security) حتی می‌توانند کاربران یا ماشین‌ها را ملزم به تایید هویت در لایهشبکه نماید، به طوری که اگر کاربری معتبر شناخته نشود یا اختیارات لازم را نداشته باشد،هرگز به نزدیکی لایه اپلیکیشن نرسد – لایه اپلیکیشن، لایه‌ایی است که اغلب رخنه‌هایامنیتی در آنجا بوده و داده‌های شما تماما در آنجا قرار دارد.

 

 

 

تفکیک شبکه به بخش های امنیتی مجزا

 

هنگامی که قرار بر تفکیک و منطقه بندی امنتیتی باشد، یک وب‌سرور که سایت را در اختیار بیننده می گذارد با سروری که حاویپایگاه‌داده‌ است باید به صورت مجزا نگهداری شوند. یکسرور فایل که فایل‌های در دسترس عموم کاربران را میزبانی می‌کند، متفاوت از سرورشیرپوینت است که طرح‌های درون شرکتی مانند بازاریابی محرمانه برای محصولات جدید کهقرار است در ماه‌های آتی ارایه شود را میزبانی می‌کند. یک سرور ایمیل (SMTP) با یکسرور پراکسی متفاوت است، چرا که در ناحیه امنیتی متفاوتی قرار دارد.

 

شما بایستی تجهیزات کامپیوتری‌تان را به مکان های امنیتی متفاوتی تقسیم کنید و سپسپارتیشن های منطقی یا فیزیکی جداکننده بین آن نواحی ایجاد کنید. اگر می‌خواهید ازپارتیشن فیزیکی استفاده کنید، بایستی اطمینان یابید که  منابعی سیستمی تقسیم شده در نواحی مختلف با فایروال ها با هر نوع ابزار کنترل دسترسی دیگر از یکدیگر جدا شده باشند.

 

 اگر می‌خواهید از نواحی امنیتی منطقی استفاده کنید، می‌توانید از مزایایی مانند IPsec وسرور و جداسازی دامنه استفاده کنید تا پارتیشن های مجازی بین نواحی امنیتی ایجادشود.

 

ایجاد نواحی امنیتی به شما این اجازه را می‌دهد تا بر  با ارزش ترین بخش تجهیزات و اطلاعات تان متمرکز شوید. همچنین تجهیزات با ارزش کمتر که در مناطقی با امنیت پایین‌ترقرار می گیرند‌، نیز محافظت شده هستند. اما مقدار زمان و سرمایه‌ای که شما به تجهیزاتدر مناطقی با امنیت پایین‌تر اختصاص می‌دهید بسیار اندک است، چرا که هزینه به خطرافتادن آنها کمتر از هزینه به خطر افتادن دارایی ها در مناطق با امنیت بالاتر است.

 

 

 

اختصاص کمترین میزان دسترسی برای تمام منابع

 

اصل کمترین دسترسی اظهار می‌دارد که کاربران و ادمین ها بایستی تنها به منابع وکنترل‌هایی که برای انجام کارشان لازم است، دسترسی یابند. کاربران بایستی تنها قادر بهدسترسی به وب‌سایت‌هایی باشند که برای انجام کارشان لازم است. آنها بایستی تنهاقادر به استفاده از برنامه‌هایی باشند که برای انجام کارشان لازم دارند.  ادمین نیز بایستیتنها قادر به پیکربندی تنظیماتی باشد که مناسب با سطح اختیارات و نیاز کاریش است و دسترسی و قدرت تغییری بالاتر از آن نداشته باشد.

 

هر میزان که سطح دسترسی کاربر یا ادمین سیستم بالاتر از میزان ضروری برای انجام کارش برود، به همان میزان ریسک و خطر نفوذ و رخنه افزایش می یابد. اینکه روز به روز کاربران بیشتری می خواهند به دارایی اطلاعاتی شرکت از طریق آی پدشان دسترسی داشته باشند، اصلا بدین معنی نیست که چنین کاری از نظر امنیتی ایده خوبی است. ما خیلی وقت ها به کاربران و مصرف کننده ها به جای آن چیزی که لازم است داشته باشند، آن چیزی را که می خواهند می دهیم و این خود ریسک امنیتی را در کارمان بالا می برد. 

 

داستان درباره ادمین های سیستم از این هم بدتر است. آنها همیشه می خواهند هر کاری را که دوست دارند انجام دهند، تنها به این دلیل که آنها مدیران (administrators) سیستم هستند.

 

در مورد کاربران نهایی هم تنها و تنها به آنها دسترسی به چیزی را بدهید که کارشان را راه بیاندازد و نباید به هیچ چیز دیگری دسترسی داشته باشند. در خصوص اپلیکیشن ها و برنامه ها هم داستان به همین صورت است. اگر اپلیکیشنی در لیست برنامه های تایید شده نیست، به صورت خودکار جلوی نصب و فعالیت آن را در سیستم های تان بگیرید.

 

 

 

رمزگذاری همه چیز

 

رمزگذاری تمام دیسک با استفاده از BitLocker می‌تواند کمک بسیاری در حفاظت ازاطلاعات حساس‌تان نماید. این کار حتی می‌تواند در صورت به خطر افتادن فیزیکی سیستمبه شما کمک کند. برای مثال، اگر شخصی کامپیوتر سرور را از اتاق سرور شما به سرقتبرد، فرد مجرم می‌تواند درایو را بر روی سرور با کمک بوت لایو لینوکس و خواندن فایل‌هایسیستمی فراخوانی کند، که به این روش، حمله آفلاین گفته می‌شود. خبر خوب اما ایناست که حملات آفلاین با استفاده از BitLocker قابل پیشگیری هستند. اما رمزگذاری تنهابه درایوهای سخت داخلی محدود نمی‌شود. با ویندوز 7 و ویندوز سرور 2008 سرویس پکدو شما می‌توانید از برنامه BitLocker در دستگاه‌های USB، و دیگر ابزارهای مانند آن هماستفاده کنید. بایستی قوانینی در شرکت وضع شود تا ابزارهای قابل حمل مانند درایوهای یواس بی که داده‌های شرکت در آنها ذخیره شده است، همواره با استفاده از BitLockerرمزگذاری شوند.

 

ابزارهای قابل حمل و حافظه های جانبی که در گوشی‌های هوشمند کارمندان سازمان‌هاهم استفاده می‌شوند، بایستی رمزگذاری شوند. در صورتی که قرار است داده‌های شرکتبر روی ابزارهایی مانند درایوهای USB ذخیره شود، قوانین بایستی کاربران را ملزم گرداند کهاز برنامه‌ها یا سیستم‌ عامل تلفن‌ هوشمندی که از رمزگذاری کارت‌های MicroSD پشتیبانیمی‌کند، استفاده کنند. داده‌های ذخیره شده بر روی حافظه داخلی گوشی نیز بایستیرمزگذاری شوند. کاربران بایستی از گوشی‌های هوشمندی استفاده نمایند که در صورتدزدیده شدن یا مفقود شدن گوشی‌شان، بتوان از راه دور اطلاعات درون آنها را از بین برد.

 

 

 

به روز رسانی، به روز رسانی، به روز رسانی!

 

احتمالا از این موضوع باخبر هستید، اما یکی از موثرترین معیارهایی که شما می‌توانید بااستفاده از آن وضعیت کلی امنیت‌تان را افزایش دهید، به روز نگاه داشتن سیستم‌تان همراهبا برنامه‌ها و به روز رسانی‌های امنیتی است. در حالیکه بسیاری از مدیران شکایت می‌کنندکه محصولات مایکروسافت لازم است تا به کرات به دلیل موارد امنیتی به روز رسانی شود،حقیقت این است که مایکروسافت نسبت به دیگر سیستم عامل‌ها امن تر است. چرا کهمایکروسافت بسیار درباره به روز رسانی نرم‌افزارهایش با پشتکار و جدیت عمل می‌کند. اگرشما از نرم‌افزاری استفاده می‌کنید که به ندرت به روز رسانی می‌شود، خودتان را با فکراینکه نبود به روز رسانی‌ها ارتباطی با رخنه‌های امنیتی نرم افزار ندارد فریب ندهید.

 

 

 

استفاده از مکانیسم تایید اعتبار امن

 

با پیچیده‌تر شدن تکنیک‌های شکستن رمزعبور، کشف رمزهای عبور کوتاه آسان شده، وحتی رمزهای عبور طولانی‌تر نیز قربانی تکنیک‌های رمزگشایی پیشرفته می‌شود. اگر قراراست  تنها از رمزعبور و نام کاربری برای مکانیسم تعیین اعتبار استفاده کنید، بنابراین حداقللازم است که تمام رمزهای عبور ۱۵ کاراکتر یا بیشتر بوده و شامل حروف بزرگ، حروفکوچک، اعداد و کاراکترهای غیرعددی نیز باشد. در دنیای موبایل مشکلی دیگر نیز وجود دارد.اگرچه به خاطر سپردن این نوع رمزهای عبور می‌تواند آسان باشد، اما واردسازی آنها در کادررمزعبور یک گوشی هوشمند یا دیگر دستگاه‌های بدون صفحه کلید فیزیکی می‌تواند چالشبرانگیز باشد.

 

روشی بهتر استفاده از شیوه تعیین اعتبار دو عاملی است، که در آن کاربر ملزم می‌شود تادستگاهی مانند کارت را در اختیار داشته و همچنین رمزعبور را نیز بداند. زمانی که تعییناعتبار دو فاکتوری استفاده شود، حتی اگر رمزعبور به خطر بیافتد، آن رمزعبور ارزش کمی پیدامی‌کند. مگر اینکه مجرم، مالکیت فیزیکی کارت را نیز در اختیار داشته باشد. برایپیاده‌سازی‌های امن‌تر، عوامل بیومتریک دیگری نیز می‌تواند افزوده شود، مانند تصدیق صدا،تصدیق چهره، اثر انگشت یا بررسی شبکیه چشم.

 

 

 

امنیت برای جلوگیری از نشت داده ها

 

شما می‌توانید کنترل‌های دسترسی بسیار مفید را در طول اطلاعات اعمال نمایید به طوریکه تنها کاربران مجاز بتوانند به آن اطلاعات دسترسی یابند. اما بعد از آن چه؟ کاربر مجاز چهکاری با آن اطلاعات می‌تواند انجام دهد؟ آن کاربر می‌تواند تبدیل به کاربر غیرمجاز شود؟ آنکاربر می‌تواند آن اطلاعات را پرینت کرده و یا به دیگران ایمیل کند؟ در جایی که قرار استاطلاعات تنها خواندنی باشند، کاربر می‌تواند تغییراتی در آن اطلاعات ایجاد کرده و آن راهمراه با تغییرات به منبع ذخیره داده‌ها منتقل کند؟

 

به این فکر کنید که چگونه این داده‌ها را در برابر کاربران مجاز امن نمایید. اگر از آفیس وشرپوینت و Exchange مایکروسافت استفاده می‌کنید، می‌توانید از مزایای Microsoft Rights Management Services جهت ایجاد قوانینی برای کنترل رفتار کاربرانی که به صورت قانونیبه اطلاعات دسترسی یافتند، بهره جویید.