درک Windows Server Hardening

خیلی وقت است که از امنیت ویستا مطلب ننوشتم و دائم درحال نوشتن موضوعات مختلف بودم. توی این پست من Windows Server Hardening را به شما معرفی میکنم و کاری میکنم که خوب درکش کنید. البته این پست را تکمیل کننده پست قبلی که از windows server hardening نوشتم ارسال کردم. اگر حوصله یاد گرفتن تخصصی و ریزه کاری ندارید پست قبلی بسیار کوتاه و خلاصه درباره اش نوشتم و آنرا مطالعه کنید.

توجه کنید که با دو اسم خوانده میشه و هیچ فرقی هم نداره میشه windows service hardening گفت و یا میشه windows server hardening گفت. این بخاطر این هست که بار اول در ویندوز ۲۰۰۳ سرور ظهور کرد و بعد روی ویستا هم اجرا شد در ویستا service میگن در سرور هم server که هیچ فرقی هم ندارند اگر جای همدیگر مثال بزنید.
در نسخه های قبلی windows دسترسی وسیع به سرویسهای سطح سیستم اجرا شونده در کامپیوتر را اعطا میکنند. که بیشتر این سرویسها تحت local system اجرا میشوند که هر تخلف میتوانست:
– دسترسی وسیع به داده های کامپیوتر را اعطا کند.
– امکان اصلاح پیکربندی سیستم را به برنامه های مغرض بدهد.
– کامپیوتر را به سایر انواع حملات باز کند.
windows vista از windows server hardening برای فراهم کردن لایه اضافی محافظتی استفاده میکند به گونه ای که نتوان سرویسها را به مخاطره انداخت. با پیروی از اصل امنیتی دفاع در عمق windows server hardening این موارد زیر را انجام میدهد:
– سرویس های کلیدی windows را از انجام فعالیتهای غیر نرمالی که بر سیستم فایل رجیستری، شبکه یا سایر منابعی که میتوانند امکان فعالیت به نرم افزارهای مغرض بدهند تا خود را نصب کنند یا به سایر کامپیوترها حمله کنند محدود میکند. سرویس ها را میتوان از جایگزین کردن فایلهای سیستم یا اصلاح رجیستری محدود کرد. همچنین سرویسهای غیر ضروری windows نظیر توانایی انجام اشکال زدایی بر پایه پیش سرویس حذف شده اند.
– تعداد سرویسهایی را که بطور پیش فرض در حال اجرا یا عمیلیاتی هستند محدود میکند تا سطح کلی حمله را در windows کاهش دهد. حال برخی سرویسها را میتوان پیکربندی کرد که هنگامی که احتیاج داریم بطور دستی شروع بشند و نه بصورت خودکار در هنگام شروع سیستم عامل. (توی این مورد منظورم به blocked statup programs نیز برمیگردد.)
با محدود کردن تعداد سرویسهایی که در حساب local system اجرا میشوند سطح امتیاز سرورها را محدود میکند. برخی سرویسهایی که قبلا در حساب local system اجرا میشدند اکنون در حساب کم امتیاز تری اجرا میشوند. از قبیل حساب local system یا network service این سطح کلی امتیاز سرویس را کاهش میدهد که مشابه فواید مشتق شده از uac است. (برای اینکه این قسمت را بیشتر درک کنید اینجا را بخوانید.)
windows server hardening ویژگی های کاملا جدیدی را معرفی کرده است که در بسط سرویسهای windows نیز مورد استفاده قرار میگیره. مثل حسابهای کاربری، هر سرویس شناسه امنیتی هست که برای مدیریت مجوزهای امنیتی داده شده به سرویس استفاده میشود.

شناسه های امنیتی پیش سرویس sid ها هویت پیش سرویس را فعال میکنند. هویت پیش سرویس به نوبه خود پارتیشن بندی کنترل دسترسی را از طریق مدل کنترل دسترسی موجود ویندوز فعال کرده، تمام اشیاء و مدیران را که از اولویت های کنترل دسترسی acl ها استفاده میکنند پوشش میدهد. اکنون سرویسها میتوانند aclهای تصریحی را به منابعی که نزد سرویس ، خصوصی هستند اعمال کند و این مانع از آن میشود که سایر سرویس ها و نیز کاربر به سایر منابع دسترسی پیدا کند.
حالا تمام سرویسها محدود در نوشتن هستند تلاشهایی که برای نوشتن روی منابعی که اجازه ندارند میسر نیست. هنگامیکه windows server hardening یا وخففش wsh نمیتواند جلوی به خطر انداختن سرویس آسیب پذیر شود سعی میکند میزان خسارت را محدود کند.
در پایان کلا کامپیوترهایی که ویستا برروی آنها نصب هست با وجود ویندوز فایروال و ویندوز دیفندر و کلی ابزارهای امنیتی که من معرفی کردم و بعضی هم معرفی نکردم کمتر آسیب میبینند تا کامپیوترهایی که نسخه های قبلی ویندوز دارند. توجه کنید که آسیب پذیری را فقط به خرابی ویندوز نگیرید میتواند خرابی سخت افزاری باشد.