پنل کاربری

بهترین روش برای hardening ویندوز

علاوه بر استفاده از ابزارهای امنیتی داخلی ویندوز، که در این مقاله توضیح داده شد، چک لیست زیر به شما کمک می کند که از ایمن بودن سیستم عامل ویندوز در برابر تهدیدات امنیتی مطمئن شوید.

برای در یافت مشاوره  در مورد ایمن سازی و hardening  سیستم‌های عامل،  به قسمت خدمات مشاوره و امن سازی مراجعه و یا از طریق این لینک با کارشناسان ما ارتباط بگیرید

  • مدیریت برنامه نرم افزاری

به شدت ترجیح داده می شود که ویندوز را طوری پیکربندی کنید که فقط اجازه نصب برنامه های کاربردی تایید شده از مخازن نرم افزار کنترل شده را بدهد. این می تواند از خطرات امنیتی زیر جلوگیری کند:

مهاجمان می توانند برنامه های مخرب را برای کاربر ایمیل کنند یا از مهندسی اجتماعی برای متقاعد کردن آنها برای دانلود و نصب آن استفاده کنند.

حتی اگر برای نصب نرم افزار به دسترسی مدیریتی در دستگاه محلی نیاز دارید، کاربران می توانند متقاعد شوند که به عنوان سرپرست برای نصب یک برنامه مخرب وارد سیستم شوند.

نصب برنامه‌ها از طریق امتیازات بالا می‌تواند توسط مهاجمان برای ایجاد یک حساب مدیر در معرض خطر در دستگاه کاربر مورد سوء استفاده قرار گیرد.

  • کنترل برنامه

بسیاری از بردارهای حمله به اجرای کدهای مخرب متکی هستند، حتی اگر روی دستگاه کاربر نصب نشده باشند. استفاده از لیست سفید و لیست سیاه برای فایل های اجرایی در ویندوز می تواند در جلوگیری از این حملات بسیار موثر باشد.

توصیه می‌شود یک لیست سفید از فایل‌هایی که مجاز به اجرا در ماشین‌های کاربر نهایی هستند ایجاد کنید و این کار را از ابتدا انجام دهید، بدون اینکه به فایل‌هایی که در حال حاضر روی دستگاه در حال اجرا هستند یا لیستی از یک فروشنده برنامه تکیه کنید. لیست سفید باید به صراحت فایل های اجرایی، کتابخانه ها، اسکریپت ها و نصب کننده هایی را که مجاز به اجرا هستند مشخص کند.

یا برعکس یک لیست سیاه از فایل ها یا extensions  که مخرب  هستند تهیه شود و این موارد exclude شود.

 

  • غیرفعال کردن دسترسی از راه دور

ویژگی Windows Remote Desktop در ویندوز  به کاربران این امکان را می دهد که کامپیوتر خود را از راه دور از طریق اتصال شبکه متصل کنند. یک کاربر با دسترسی از راه دور می تواند کامپیوتر را درست به عنوان یک کاربر با دسترسی مستقیم کنترل کند.

نقطه ضعف Remote Desktop این است که مهاجمان می توانند از دسترسی از راه دور برای کنترل سیستم شما سوء استفاده کنند و اطلاعات حساس را سرقت کنند یا بدافزار نصب کنند. قابلیت دسترسی از راه دور به طور پیش فرض غیرفعال است و پس از فعال شدن می توانید به راحتی آن را غیرفعال کنید. اطمینان حاصل کنید که هر زمان که کاربران به طور فعال از آن استفاده نمی کنند، این ویژگی را خاموش کنید. در این پست شیوه استفاده امن Remote Desktop  توضیح داده ایم

 

  • پاورشل

مایکروسافت PowerShell را برای فعال کردن مدیریت خودکار سیستم از طریق یک رابط یکپارچه توسعه داده ایجاد کرده است. این زبان برنامه نویسی قدرتمند یکی از ویژگی های اصلی جعبه ابزار مدیریت سیستم است، زیرا در همه جا حاضر است و به شما اجازه می دهد تا به راحتی محیط Microsoft Windows خود را کنترل کنید. متأسفانه، مهاجمان نیز می توانند از این روش  برای کنترل کامل سیستم شما سوء استفاده کنند.

به صورت خاص، نسخه های قبلی PowerShell به دلیل آسیب پذیری های امنیتی خطرناک هستند، بنابراین باید PowerShell 2.0 و کمتر را از سیستم عامل خود حذف کنید. شما باید حالت زبان را روی حالت زبان محدود تنظیم کنید، که به شما کمک می کند عملکرد و نیازهای امنیتی خود را متعادل کنید.

سامانه های دریافت کننده رویداد امنیتی مانند SIEM ها  و یا EDR ,XDR  های قدرتمندی مانند سنگفورمی‌توانند از عملکرد گزارش‌گیری PowerShell (مانند رونویسی، ثبت ماژول و ثبت بلوک اسکریپت) برای استخراج اطلاعات مهم پس از یک حادثه امنیتی که شامل سوءاستفاده مخرب از PowerShell است، استفاده کنند.

  • به روز رسانی سیستم عامل

مطمئن شوید که هر به‌روزرسانی امنیتی ضروری فوراً نصب شده باشد. هرچه سریع‌تر یک وصله امنیتی جدید را اعمال کنید، سریع‌تر می‌توانید آسیب‌پذیری‌ها را برطرف کنید و از خود در برابر آخرین تهدیدات شناخته شده محافظت کنید.

سازمان شما احتمالاً یک خط مشی امنیتی برای به روز رسانی سیستم عامل ها دارد. کاربران باید از این خط‌مشی آگاه شوند تا بدانند که آیا باید فوراً به‌روزرسانی‌ها را نصب کنند یا منتظر بمانند تا از طریق بخش IT مطلع شوند که چه زمانی به‌روزرسانی‌ها را نصب کنند. برخی از شرکت ها مسئولیت به روز رسانی سیستم عامل ها را به صورت متمرکز به تیم فناوری اطلاعات می دهند.

مشاغلی که از نسخه های قدیمی ویندوز استفاده می کنند بیشتر در معرض خطر هستند. به عنوان مثال، مایکروسافت پشتیبانی از ویندوز 7 را در ژانویه 2020 پایان داد، بنابراین هر کسی که هنوز از آن استفاده می کند در معرض خطر حملات جدید قرار دارد. بنابراین، مهم است که اطمینان حاصل کنید که سیستم عامل شما قبل از قرار گرفتن در معرض  آسیب پذیری ها ارتقا یافته است.

اگر کمتر از 10 رایانه در شبکه خود دارید، ممکن است به سیستم مدیریت وصله خودکار نیاز نداشته باشید. اما وصله سرورهای ویندوز و دسکتاپ در یک شبکه بزرگ نیاز به یک سیستم مدیریت پچ (patch management ) قوی دارد. یک سیستم مدیریت پچ ایده‌آل می‌تواند به طور خودکار فهرستی از وصله‌های ضروری را به کلاینت‌ها و سرورها ارسال کند، که در آن مدیر کنترل کاملی بر روی وصله امنیتی که قرار است نصب شود را خواهد داشت. علاوه بر این، وصله‌ها باید در یک محیط آزمایشی آزمایش شوند تا مطمئن شوید که آیا به‌روزرسانی‌ها باعث ایجاد مشکلی در برنامه‌های موجود در محیط تولید می‌شوند.

 

  • فعال کردن پشتیبان‌گیری از فایل

تنظیم پشتیبان‌گیری از فایل‌ها به طور منظم می‌تواند به جلوگیری از از دست رفتن داده‌های مهم در هنگام بلایایی مانند خرابی سخت‌افزار یا حملات بدافزار و ransomware ها  کمک کند. برای کمک به محافظت از داده های خود، ویندوز چندین ابزار و ویژگی را ارائه می دهد، از جمله:

– File History : این ابزار رایگان می تواند به شما کمک کند به راحتی از فایل ها پشتیبان تهیه کنید.

– درایوهای بازیابی : به عنوان image پشتیبان که می توانید یک سیستم را از آن بازیابی کنید، استفاده می شود.

– پشتیبان‌گیری در فضای ابری : از سرویس‌های ذخیره‌سازی ابری، مانند Dropbox، Google Drive، و OneDrive یا راه‌حل‌های پشتیبان‌گیری ابری سازمانی برای پشتیبان‌گیری مداوم از داده‌های خود استفاده کنید.

  • آنتی ویروس

 یک آنتی ویروس برای شبکه های با هر اندازه ضروری است. هنگامی که آنتی ویروس را نصب می کنید، به یاد داشته باشید که برای به روز رسانی خودکار پیکربندی شده است. آنتی ویروس بدون امضای ویروس (signatures)به روز شده بی فایده است.

  • سیستم پیشگیری از نفوذ مبتنی بر میزبان

اکثر راه حل های آنتی ویروس های قدیمی به شدت به تشخیص مبتنی بر امضا (signature)، که الگوهای شناخته شده کدهای مخرب را جستجو می کند، متکی هستند. این تکنیک می تواند به شناسایی تهدیدهای شناخته شده کمک کند، اما نمی تواند در برابر متغیرهای ناشناخته مانند بدافزارهای جدید و حملات روز صفر(zero-day Atacks) محافظت کند.

سیستم های پیشگیری از نفوذ مبتنی بر میزبان (HIPS) می توانند به محافظت در برابر تهدیدات ناشناخته کمک کنند. HIPS از دو فناوری اصلی استفاده می کند

– تشخیص از طریق تجزیه و تحلیل رفتاری

– فیلتر شبکه.

این سیستم یک خط پایه از رفتار عادی ایجاد می‌کند و سپس به دنبال رفتار غیرعادی می‌گردد که ممکن است نشان‌دهنده یک حمله باشد، مانند ثبت با ضربه زدن به کلید و تزریق فرآیند. HIPA خط دوم دفاعی مهمی است که می‌تواند حملات را در صورتی که توسط آنتی‌ویروس‌ها و اقدامات حفاظتی نقطه پایانی شناسایی نشود، متوقف کند.

  • استفاده از بررسی‌کننده یکپارچگی فایل

اگر سیستم فهرستی از داده‌های حساس دارد، می‌توانید از بررسی‌کننده یکپارچگی فایل برای بررسی اینکه آیا کسی داده‌های شما را تعدیل کرده است استفاده کنید. می‌توانید بر اساس نیازها و سطح حساسیت داده‌هایتان، حداقل یک بار در هفته، به طور مرتب بررسی یکپارچگی را انجام دهید.

  • مدیریت گزارش

سیستمی که هم از نظر عملکرد و هم برای امنیت باید به‌خوبی تنظیم شود، باید سیستم مدیریت گزارش را داشته باشد. مدیریت گزارش همه چیز در مورد تولید گزارش ها و بررسی منظم آن است. هنگام تنظیم انواع اطلاعاتی که باید ثبت شوند، باید تنظیمات خود را طوری تنظیم کنید که فقط اطلاعات مهمی را که برای ارزیابی عملکرد سیستم و مسائل امنیتی باید نظارت کنید، ثبت کنید. گزارش‌های بیش از حد می‌تواند بر سیستم تأثیر منفی بگذارد.

  • غیرفعال سازی خدمات استفاده نشده

روشی برای کاهش سطح حمله است. هنگامی که تعداد کمتری از کدها/خدمات را در معرض دنیای خارج قرار می دهید، سطح حمله کاهش می یابد.

  • حذف برنامه های غیرضروری و بی استفاده

این روش دیگری برای به حداقل رساندن سطح حمله است. هرچه برنامه بیشتری داشته باشید، سیستم شما مستعد آسیب‌پذیری‌های شناخته شده‌تر می‌شود و احتمال آسیب‌پذیری‌های روز صفر را کنار می‌گذاریم. بنابراین، اگر دیگر از برنامه ای استفاده نمی کنید، به سادگی آن را حذف کنید.

  • port filtering

باید از پورت‌های مورد نیاز خدمات سیستم خود آگاه باشید. مطمئناً به پورت های در حال اجرا برای FTP (20 و 21 TCP) یا Telnet (23 TCP) در رایانه ای که برای مرور اینترنت استفاده می شود یا سروری که سرویس DNS را ارائه می دهد، نیاز ندارید.

  • IP filtering

اگر همه نیازی به دسترسی به سرور شما ندارند، می‌توانید از فیلتر IP استفاده کنید تا به IPهایی که فقط نیاز به دسترسی به سرور شما دارند اجازه دهید و همه موارد دیگر را رد کنید.

  • اسکریپت‌های سفارشی

اگر از اسکریپت سفارشی برای تهیه نسخه پشتیبان یا اشتراک‌گذاری دایرکتوری استفاده می‌کنید، مطمئن شوید که اسکریپت‌های شما نمایش داده نمی‌شوند.

  • حذف اشتراک‌های پنهان/اشتراک‌های غیرضروری پیش‌فرض

اگر سرور شما اشتراک‌گذاری‌های غیرضروری دارد، می‌توانید اشتراک‌گذاری آن را لغو کنید. اگر اشتراک‌گذاری درایو ضروری است، مطمئن شوید که کاربران عادی هنگام دسترسی به پوشه مشترک شما چه نوع مجوزی باید داشته باشند. آیا آنها دسترسی نوشتن دارند؟ اگر آنها دسترسی نوشتن دارند، باید آن را به دسترسی فقط خواندنی تغییر دهید.

  • کنترل دسترسی فیزیکی و منطقی

مطمئن شوید که سرور شما از نظر فیزیکی ایمن است و دسترسی پورت USB و سایر دسترسی های خارجی به سرور خود را غیرفعال کنید. سعی کنید یک سیاست برای کنترل دسترسی ایجاد کنید. سیاست دسترسی مبتنی بر نیاز را اعمال کنید تا فقط کسانی که باید روی سرور کار کنند، حقوق و مجوزهای دسترسی مناسب داشته باشند.

  • کنترل مجوزهای پیش‌فرض

مجوز پیش‌فرض درایوها و برنامه‌های خود را بررسی کنید. اگر چندین کاربر ممتاز برای کار تعمیر و نگهداری به سرور دسترسی دارند، باید بر اساس نیازهایشان به آنها اجازه دهید. اگر کسی به آنها نیاز ندارد، به کسی دسترسی ممتاز ندهید.

  • ارزیابی امنیتی

می‌توانید از ابزارهای ارزیابی آسیب‌پذیری منبع باز یا تجاری برای ارزیابی وضعیت فعلی سرورهای ویندوز خود استفاده کنید.

 

  • غیر فعال سازی حساب کاربری مهمان(guest)

اگر سیستم شما یک حساب پیش‌فرض یا مهمان دارد، باید آن را غیرفعال کنید. همچنین، مطمئن شوید که همه برنامه‌های نصب شده روی سرور شما از نام کاربری و رمز عبور پیش‌فرض استفاده نمی‌کنند.

  • رمزگذاری

از یک الگوریتم رمزگذاری قوی برای رمزگذاری داده های حساس ذخیره شده در سرورهای خود استفاده کنید. همچنین، مطمئن شوید که داده‌های حین حرکت نیز در قالب رمزگذاری شده منتقل می‌شوند.

  • تغییر نام حساب کاربری مدیریت(administrator) پیش فرض

این اساسی ترین چیزی است که باید به آن توجه کنید.

  • غیر فعال سازی کاربرانی با رمز عبور خالی

باید برای همه حساب‌هایی که رمز عبور ندارند، رمز عبور تنظیم کنید. مطمئن شوید که برای هر نوع کاربر یک خط مشی رمز عبور دارید.

 

برای در یافت مشاوره  در مورد ایمن سازی و hardening  سیستم‌های عامل،  به قسمت خدمات امنیت شبکه (مشاوره امنیت) و  یا مقاوم‌سازی (امن سازی) (Hardening)  مراجعه و یا از طریق این لینک با کارشناسان ما ارتباط بگیرید

administrator

نظر دهید

Social

نوشته های مرتبط
cisco نوشته شده در 1 سال پیش
راهنمای کامل لایسنس‌های امنیتی سیسکو: انواع، کاربردها و اهمیت آنها

پیش‌گفتاردر دنیای فناوری اطلاعات، امنیت شبکه ..

0 1867
راهنمای جامع نصب سنگفور بخش دوم
امنیت شبکه نوشته شده در 2 ماه پیش
حالت‌های استقرار (Deployment Mode) | راهنمای کاربردی سنگفور- بخش دوم

در بخش اول از راهنمای گام به گام SANGFOR NGAF  به معر ..

0 1064
امنیت شبکه نوشته شده در 12 ماه پیش
امن سازی شبکه: مفاهیم و المان ها

شبکه‌های کامپیوتری چندین بخش مختلف دارند که ه ..

0 2577