چک لیست امنیتی ویندوز سرور چیست؟

برای افزایش امنیت ویندوز سرور (Windows Server) باید ضعف‌های امنیتی محیط و اپلیکیشن‌ها شناسایی و سپس رفع شوند. برای این منظور یک فهرست یا اصطلاحا چک لیست امنیتی تهیه می‌شود که مدیران شبکه همه بندهای آن را یک به یک اجرا می‌کنند. بندهای چک لیست امنیتی ویندوز سرور در واقع تنظیمات یا تمهیداتی هستند است که باید در سیستم‌عامل اعمال شوند.

بندهای چک لیست همیشه و برای همه سازمان‌ها/شرکت‌ها یکسان نیستند، بلکه بسته به وظایف، سیاست‌ها و اولویت‌های هر سازمان/شرکت فرق می‌کنند. با تهیه چک لیست دقیق و سپس اجرای صحیح بندهای آن می‌توانید امنیت ویندوز سرور و به تبع آن، امنیت شبکه و سازمان را ارتقا دهید. البته ارتقای امنیت ویندوز سرور به‌ تنهایی کافی نیست و مدیران شبکه برای پشتیبانی شبکه و تامین امنیت کلاینت‌ها و زیرساخت شبکه نیز باید برنامه جامعی داشته باشند که چنین مواردی خارج از موضوع این مقاله است.

در ادامه این مقاله فالنیک، نخست خلاصه‌ای از توضیحات و توصیه‌های مایکروسافت درباره اهمیت امنیت شبکه و قابلیت‌های امنیتی ویندوز سرور بازگو می‌شود. سپس برای آشنایی بیشتر با محتوای چک لیست‌های امنیتی ویندوز سرور، نمونه‌ای از آن‌ها به نقل از سایت شرکت Netwrix بیان می‌کنیم.

چرا چک لیست امنیتی ویندوز سرور مهم است؟

مایکروسافت می‌گوید، سطح امنیت یک سازمان بر همه اعضا و زیرمجموعه‌های آن سازمان تاثیر دارد. نبود یا کمبود امنیت برای سازمان‌ها خطرناک است. گاهی وقوع یک حمله امنیتی همه امور عادی و روزمره شرکت/سازمان را مختل یا متوقف می‌کند. هرچه شما زودتر متوجه حمله شوید، بهتر می‌توانید با آن مقابله کنید و از اثراتش بکاهید.

هکرها و مهاجمان سایبری اغلب کار خود را با تحقیق و جستجو شروع می‌کنند. آن‌ها ابتدا نقاط ضعف‌ شبکه یا محیط کارتان را پیدا و سپس حمله می‌کنند. پس از آن‌که مهاجم (به طرق مختلف) به محیط نفوذ کرده، با شیوه‌ای موسوم به حرکت تدریجی (lateral movement) به دنبال راه‌هایی می‌گردد که او را به‌ هدفش نزدیک‌تر می‌کند. مثلا شاید مهاجم بکوشد سطح دسترسی خود را افزایش دهد تا بتواند ظرف مدت کوتاهی (اغلب 24 تا 48 ساعت پس از اولین نفوذ) کنترل سازمان را به دست بگیرد. هدف شما از تهیه و اجرای چک لیست امنیتی ویندوز، شناسایی هرچه زودتر این‌گونه حملات و پاسخ دادن به آن‌هاست. هرچه مهاجم دیرتر شناسایی شود، خسارت بیشتری می‌تواند به بار آورد و سخت‌تر می‌شود او را از شبکه بیرون انداخت.

مطالعه مقاله “ویندوز سرور چیست و چه تفاوتی با ویندوز معمولی دارد؟” پیشنهاد می‌شود.

شما با اجرای بندهای چک لیست امنیتی ویندوز سرور می‌کوشید زمانی را که مهاجم لازم دارد تا کنترل شبکه را به دست بگیرد، از چند ساعت به چند هفته یا حتی چند ماه افزایش دهید. هرچه این زمان طولانی‌تر شود، احتمال شناسایی حمله و مهاجم افزایش می‌یابد، در نتیجه شما برای خنثی کردن حمله زمان بیشتری خواهید داشت. برای این منظور باید جلوی حرکت تدریجی مهاجم را بگیرید و امنیت سیستم‌های‌تان را افزایش دهید. آن‌گاه با ارتقای علائم هشداردهنده مختلف می‌توانید حمله را شناسایی کنید و با حذف موجودیت‌ها (identities) و سیستم‌های آسیب‌دیده، به حمله پاسخ دهید.

بخش بعدی مقاله بر این موضوع تمرکز دارد که چطور می‌توانید دستیابی مهاجم به مجوزهای بیشتر و گردش آزادانه او در شبکه‌ را برایش دشوار و حملات را زودتر شناسایی کرد.

چک لیست حیاتی ادمین‌ های شبکه

اگر ادمین شبکه هستید یا به طور کلی مدیریت یک شبکه، هر چند کوچک، در دست شماست، باید چک لیست حیاتی زیر را به صورت منظم بررسی کنید. در ویدئوی زیر مهم‌ترین نکاتی که باید در زمینه نگهداری از شبکه و موارد مرتبط بررسی شود را به طور مفصل شرح داده‌ایم. چک لیست حیاتی ادمین‌های شبکه شامل موارد زیر است:

1. مانیتورینگ سخت افزار و نرم افزار به صورت روزانه
2. تهیه بکاپ و پشتیبان گیری براساس استاندارد بکاپگیری
3. بررسی و تست بی نقص بودن بکاپ‌ها
4. بررسی آنتی ویروس‌ها
5. بررسی مفهوم accounting برای حفظ امنیت شبکه
6. مانیتورینگ ورودی و خروجی‌های شبکه
7. مدیریت و تمدید سرویس‌ها و پرداخت‌ها
8. بررسی UPSها و Stabilizerها
9. بررسی وضعیت سرمایش، رطوبت و ایزوله بودن اتاق سرور

چک لیست امنیتی ویندوز سرور به توصیه مایکروسافت برای افزایش امنیت، کشف حملات و جلوگیری از آن‌ها

ویندوز سرور و به‌ویژه نسخه 2016 و 2019 قابلیت‌های امنیتی بومی‌ای دارند که به تقویت سیستم‌عامل و کشف فعالیت‌های خرابکارانه کمک می‌کند. در ادامه، برخی از توصیه‌های مایکروسافت برای ارتقای امنیت ویندوز سرور و استفاده هرچه بهتر از قابلیت‌های این سیستم‌عامل خلاصه‌وار توضیح داده می‌شود.

1- بنیان کارتان را امن بنا کنید

ویندوز سرور پیکربندی امنی دارد. اگر می‌خواهید همچنان امن‌ بماند، حتما آن را به‌روز نگه دارید، از داده‌های‌تان نسخه پشتیبان بگیرید و تنظیمات امنیتی ویندوز سرور را مبتنی بر توصیه‌های مایکروسافت و استانداردهای امنیتی سازمان متبوع‌تان پیکربندی کنید.

3- از جدیدترین به‌روزرسانی‌های امنیتی ویندوز سرور غافل نشوید

مایکروسافت مرتبا برای سیستم‌عامل‌های خود از جمله ویندوز کلاینت و ویندوز سرور، آپدیت‌ها و وصله‌های جدیدی منتشر می‌کند. برخی از این آپدیت‌ها امنیتی هستند و ویندوز سرور را در برابر خطرها و ضعف‌هایی که تازه کشف شده‌اند، محافظت می‌کنند. برخی از به‌روزرسانی‌ها نیز به نرم‌افزار امنیتی ویندوز دیفندر اختصاص دارند تا بدافزارها و جاسوس‌افزارهای جدید را شناسایی کند.

4- تنظیمات امنیتی ویندوز سرور را پیکربندی کنید

همه نسخه‌های ویندوز تنظیمات امنیتی دارند. تنظیمات امنیتی ویندوز به امن‌تر شدن کامپیوترهای‌تان کمک می‌کنند. مایکروسافت بر مبنای توصیه‌های امنیتی خود، حداقل‌های امنیتی موردنیاز شرکت‌ها/سازمان‌ها را منتشر می‌کند. این توصیه‌ها حاصل تجارب امنیتی در دنیای واقعی است که در نتیجه همکاری با سازمان‌های تجاری و دولتی آمریکا به دست آمده است.

در حداقل‌های امنیتی ویندوز سرور مواردی همچون تنظیمات پیشنهادی برای ویندوز فایروال، ویندوز دیفندر و دیگر تنظیمات امنیتی لحاظ می‌شود.

نکات کلیدی برای نگهداری اصولی سرور را در مقاله چک لیست نگهداری سرور بخوانید.

5- از اطلاعات و سیستم‌های‌تان بک‌آپ بگیرید

شما باید در بازه‌های زمانی منظم از سیستم‌عامل ویندوز سرور، از جمله اپلیکیشن‌ها و داده‌های ذخیره شده در آن بک‌آپ‌ بگیرید. این کار آثار حمله باج‌افزارها به ویندوز سرور را کاهش می‌دهد. بک‌آپ‌گیری باید مرتبا انجام شود تا در صورت حمله باج‌افزارها اطلاعات‌ به‌راحتی قابل بازیابی باشند. 

اگر می‌خواهید نسخه‌های پشتیبان در محل فیزیکی مجموعه خودتان تهیه و ذخیره شوند، می‌توانید از راهکارهایی مثل System Center Data Protection Manager استفاده کنید. برای بک‌آپ‌‌گیری ابری نیز می‌‌توانید از Microsoft Azure Backup Server بهره ببرید. شرکای مایکروسافت نیز برای بک‌آپ‌گیری محصولاتی ارائه داده‌اند.

6- مدیریت و پایش با استفاده از Operations Management Suite

راهکار مدیریت آی‌تی ابری Operations Management Suite که به‌اختصار OMS نیز خوانده می‌شود، کمک‌تان می‌کند تا زیرساخت‌های فیزیکی و ابری خود را مدیریت و محافظت کنید. این راهکار به‌صورت یک سرویس ابری پیاده‌سازی شده‌است و کاربر می‌تواند مدیریت اپلیکیشن‌ها، خدمات و زیرساخت‌های‌تان را با کمترین هزینه اضافی آغاز کند. ضمنا OEM مرتبا با قابلیت‌های جدید آپدیت می‌شود و هزینه‌های مداوم نگهداری و ارتقا را به‌طرز چشمگیری کاهش می‌دهد.

7- محافظت از موجودیت‌های ممتاز (Privileged identities)

موجودیت‌های ممتاز (Privileged identities) حساب‌ها یا اکانت‌هایی هستند که مجوزهای دسترسی سطح بالایی دارند. مثلا کاربرانی که عضو گروه‌ Domain Admins، مدیران (Administrators) محلی یا حتی Power Users هستند، موجودیت‌ ممتاز محسوب می‌شوند. اکانت‌هایی که برای انجام امور مهمی مثل تهیه بک‌آپ، خاموش کردن سیستم یا دیگر مجوزهای فهرست شده در گروه User Rights Assignment در کنسول Local Security Policy مجوز مستقیم دارند نیز می‌توانند موجودیت‌ ممتاز به حساب آیند.

شما باید از موجودیت‌های ممتاز در برابر حملات محافظت کنید. پس اول باید بدانید که موجودیت‌های ممتاز چگونه آسیب می‌بینند تا بتوانید برای محافظت از آن‌ها در برابر مهاجمان برنامه‌ریزی کنید.

 موجودیت‌های ممتاز چطور آسیب می‌بینند؟

موجودیت‌های ممتاز اغلب وقتی آسیب می‌بینند که سازمان‌ها برای محافظت از آن‌ها دستورالعملی نداشته باشند. مثلا اقدامات نسنجیده زیر از جمله مواردی هستند که موجودیت‌های ممتاز را به خطر می‌اندازند:

• اعطای مجوزهای بیش از حد نیاز: سطح دسترسی کاربران به شبکه فقط باید به‌اندازه‌ای باشد که بتوانند وظایف‌شان را انجام دهند و نه بیشتر. اما یکی از رایج‌ترین مشکلات امنیتی در شبکه‌ها این است که به کاربران بیش از آن‌چه که واقعا لازم است، مجوز دسترسی اعطا می‌شود. مثلا ممکن است به کاربری که DNS را مدیریت می‌کند، مجوز مدیریت اکتیو دایرکتوری هم اعطا شود. اغلب علت اعطای مجوزهای چندگانه، این است که مدیران شبکه نمی‌خواهند سطوح مدیریت مختلفی پیکربندی کنند. اما این کار خطرناک است، چون اگر مهاجم به چنین اکانتی دسترسی پیدا کند، همزمان به چند مجوز مهم دست‌ می‌یابد.
• ثبت ورود، همیشه با مجوزهای سطح بالا: یکی دیگر از اشتباه‌‌های رایج امنیتی، امکان استفاده کاربران از مجوزهای سطح بالا برای مدت نامحدود است. این اشتباه حتی بین حرفه‌های آی‌تی نیز رایج است؛ آن‌ها نیز گاهی با اکانت‌های ممتاز در کامپیوترهای دسکتاپ لاگین می‌کنند و با همان اکانت کارشان را انجام می‌دهند، وب‌‌گردی می‌کنند و به ایمیل‌های عادی‌شان سر می‌زنند.
• تحقیق و مهندسی اجتماعی: اکثر تهدیدهای مهم با تحقیق درباره سازمان آغاز می‌شود و سپس از طریق مهندسی اجتماعی پیش می‌رود. مثلا مهاجم می‌تواند با جعل (فیشینگ) ایمیل به اکانت‌های معتبر (و نه الزاما اکانت‌های سطح بالا) نفوذ کند و سپس از این اکانت‌های معتبر برای تحقیق بیشتر درباره شبکه و شناسایی اکانت‌های ممتاز (با مجوزهای مدیریتی) بهره ببرد.
• اکانت‌های سطح بالا با مجوزهای سطح بالا: مهاجمان حتی با یک حساب کاربری معمولی بدون مجوزهای سطح بالا نیز می‌توانند به اکانت‌هایی با مجوزهای سطح بالا دست پیدا کنند. یکی از رایج‌ترین روش‌ها برای این منظور استفاده از حملات Pass-the-Hash یا Pass-the-Token است. البته مهاجمان برای نفوذ به اکانت‌های ممتاز روش‌هایی دیگری هم دارند، چون پیوسته روش‌های جدیدی پیدا می‌کنند. پس حتما ترتیبی اتخاذ کنید تا کاربران با اکانت‌هایی که کمترین سطح دسترسی را دارند در شبکه لاگین کنند. با این کار، توانایی مهاجمان برای دسترسی به موجودیت‌های ممتاز کاهش می‌یابد.

8- تقویت امنیت ویندوز سرور

ویندوز سرور مکانیسم‌های امنیتی داخلی و ابزارهای امنیتی قدرتمندی دارد که با پیکربندی آن‌ها سرور امن‌تر و دسترسی به آن سخت‌تر می‌شود. ابزارهای ویندوز سرور برای این منظور عبارتند از:

• Control Flow Guard

یکی از ابزارهای امنیتی ویندوز سرور که در نسخه 2016 معرفی شد، Control Flow Guard است. این ابزار، سیستم‌عامل و اپلیکیشن‌ها را در برابر حملاتی که اساس کارشان ایجاد تغییر در محتوای حافظه است، محافظت می‌کند.

• Windows Defender

ویندوز دیفندر (Windows Defender) از زمان انتشار Windows 8 جزو این سیستم‌عامل بوده است و هنوز هم هست. این نرم‌افزار امنیتی بومی، تجهیزات ویندوزی را در برابر ویروس‌ها، بدافزارها، جاسوس‌افزارها و دیگر تهدیدهای امنیتی محافظت می‌کند. ویندوز دیفندر برای اجرا روی ویندوز سرور بهینه شده‌است و به‌طور پیش‌فرض در ویندوز سرور 2016 و ویندوز سرور 2019 فعال است. می‌توانید ویندوز دینفدر را با استفاده از Group Policy، پاورشل، Windows Management Instrumentation (WMI) یا از رابط کاربری خود ویندوز دیفندر پیکربندی کنید.

• Device Guard

با استفاده از Device Guard می‌توانید مشخص کنید کدام کدها (از جمله کدهای user mode و kernel mode) اجازه دارند، روی سرور اجرا شوند. با تعریف سیاستی جهت یکپارچه‌سازی کد (code integrity policy) می‌توانید کدهای مد کرنل و مد کاربر خاصی تعریف کنید که فقط آن‌ها روی سیستم اجرا شوند. این سیاست، جلوی اجرای کدهای مخرب را می‌گیرد.  

• Secure Boot

بوت امن یا Secure Boot یکی از استانداردهای صنعت کامپیوترهای شخصی است که کمک می‌کند دستگاه شما فقط نرم‌افزاری را که صلاحیت آن توسط شرکت سازنده دستگاه تایید شده‌است، بوت کند. بوت امن با بلوکه کردن نرم‌افزارهای تایید نشده (فاقد امضا) به ایمن ماندن تجهیزات کامپیوتری در برابر حمله روت‌کیت‌ها و دیگر حملات بدافزاری سطح پایین (نزدیک به سطح سخت‌افزار)، کمک می‌کند.

وقتی یک دستگاه کامپیوتری روشن می‌شود، سفت‌افزار آن (firmware)، امضای همه قطعات نرم‌افزار بوت را بررسی می‌کند تا از اعتبارشان اطمینان یابد. اگر همه امضاهای نرم‌افزار تایید شدند، سفت‌افزار، سیستم‌عامل را استارت می‌زند. اطمینان حاصل کنید که Secure Boot در سفت‌افزار دستگاه‌تان فعال شده باشد.

• Operating Management Suite

می‌توانید با استفاده از Operating Management Suite (به‌اختصار، OMS)، تهدیدها و نیز دستگاه‌هایی را که نرم‌افزارها و ضدویروس‌های‌شان آپدیت نشده است، شناسایی کنید.

9- ارتقای سازوکارهای تشخیص خطر

تشخیص خطر یکی از بخش‌های ضروری امنیت ویندوز سرور است. هرچه خطرها را زودتر شناسایی کنید، راحت‌تر و پیش از آن‌که مهاجم کنترل کامل شبکه را به دست گیرد، می‌توانید به آن پاسخ دهید. مایکروسافت برای این منظور ابزارها و قابلیتی در ویندوز سرور فراهم آورده است که Windows Defender Advanced Thread Protection (به‌اختصار ATP) نام دارد. ویندوز سرور همیشه اطلاعات مهم امنیتی را در بخش ثبت رویدادها (events log) ذخیره می‌کند. ویندوز سرور با ثبت این اطلاعات کمک‌تان می‌کند تا بر فعالیت‌های مشکوک در سرور متمرکز شوید؛ فعالیت‌های مشکوکی همچون:

• متصل شدن یک وسیله USB به یک سرور
• ریست کردن پسوردی که انتظارش را نداشتید
• قفل کردن یک حساب کاربری
• دسترسی راه دور به پایگاه‌داده‌های SAM (مخفف Security Account Manager)

10- تقویت محیط‌های Hyper-V

بسیاری از سازمان‌ها به مراکز داده مجازی متکی هستند. مراکز داده مجازی نیز باید مانند زیرساخت‌های فیزیکی‌ به‌خوبی محافظت شوند. هایپروایزر یا مجازی‌ساز بومی ویندوز موسوم به Hyper-V نیز از این قاعده مستثنی نیست. ویندوز سروری که در ماشین مجازی اجرا می‌شود، باید درست مانند زمانی که در سرور فیزیکی اجرا می‌شود، از نظر امنیتی تقویت شود. محیط‌های مجازی چندین ماشین مجازی دارند که هاست فیزیکی آن‌ها مشترک است.

لذا هم هاست فیزیکی و هم ماشین‌های مجازی‌ای که روی آن هاست اجرا می‌شوند باید محافظت شوند، زیرا اگر مهاجم به یک هاست نفوذ کند، می‌تواند به چندین ماشین مجازی آسیب بزند و جریان کار و خدمات شبکه را بیشتر مختل کند. برای افزایش امنیت ویندوز سرور در محیط‌های مجازی می‌توانید از همان روش‌های امن‌سازی ویندوز سرور در محیط‌های فیزیکی بهره ببرید. ویندوز سرور 2016 و 2019 برای تقویت محیط‌های Hyper-V سه قابلیت ویژه دارد:

• Shielded Virtual Machine و Guarded fabric: چون وضعیت و حافظه ماشین‌های مجازی در یک فایل ذخیره می‌شود، بعید نیست که این فایل از طریق سیستم ذخیره‌سازی، از شبکه یا حین بک‌آپ‌گیری مورد حمله واقع شود. امروزه همه ماشین‌های مجازی و از جمله Hyper-V در معرض این ضعف هستند. مهاجم می‌تواند فایل ماشین مجازی را مستقیما دستکاری یا فایل‌های ماشین مجازی را در محیط دیگری کپی کند. ماشین‌ مجازی محافظت شده (shielded virtual machine) می‌تواند از چنین حملاتی جلوگیری کند. قابلیت بعدی یعنی Guard fabric سه جزء دارد: Host Guardian Service، یک یا چند هاست محافظت شده (guarded host)، و ماشین‌های مجازی محافظت شده (Shielded virtual machine).
• Virtual machine Trusted Platform Module (TPM): ویندوز سرور 2016 و ویندوز سرور 2019 از TPM در ماشین‌های مجازی پشتیبانی می‌کنند. این ماژول به شما اجازه می‌دهد فناوری‌های امنیتی پیشرفته‌ای مانند BitLocker Drive Encryption را در ماشین‌های مجازی به کار بگیرید.
• Software-Defined Networking – Micro-segmentation firewall: ویندوز سرور 2016 و ویندوز سرور 2019 از شبکه‌سازی نرم‌افزارمحور یا SDN (مخفف Software-Defined Networking) پشتیبانی می‌کند. شبکه‌سازی نرم‌افزارمحور روشی برای پیکربندی و مدیریت متمرکز تجهیزات شبکه مجازی (مثل Hyper-V Virtual Switch) است. شبکه نرم‌افزارمحور اجازه می‌دهد شبکه مجازی مرکز داده و نحوه تعامل آن با شبکه فیزیکی‌تان را به‌صورت پویا مدیریت کنید. یکی از فناوری‌های SDN، فایروال مرکز داده (Datacenter Firewall) است. این فناوری، مدیریت متمرکز سیاست‌های فایروال را امکان‌پذیر و به محافظت از ماشین‌های مجازی در برابر ترافیک نامطلوب اینترنت و شبکه‌های اینترانت شما کمک می‌کند. در چک لیست امنیتی ویندوز سرور چه مواردی درج می‌شود

چک لیست امنیتی ویندوز سرور حاوی بندهایی است که نشان می‌دهد هر یک از بخش‌های خاص ویندوز سرور چگونه باید تنظیم شود تا سیستم‌عامل و به تبع آن، شبکه در برابر حملات احتمالی مقاومت بیشتری داشته باشد. بندهای چک لیست امنیتی ویندوز سرور بسته به شرایط، نیازها و اولویت‌های هر سازمان ممکن است متفاوت باشد. چک لیست‌ امنیتی معمولا به چند حوزه خاص می‌پردازد که هر حوزه شامل بندهایی است. برای آشنایی با محتوای چک لیست‌های امنیتی ویندوز سرور یک نمونه از آن در ادامه بیان شده است.  

نمونه‌ای از یک چک لیست امنیتی ویندوز سرور

1- رعایت فاکتورهای حفظ امنیت سازمانی

• برای هر سرور رکوردی از موجودی‌های آن داشته باشید. این رکورد، حداقل‌های پیکربندی را به‌شکل مستند مشخص و هر تغییر در سرور را ثبت می‌کند.
• پیش از اعمال هر تغییری در سخت‌افزار یا نرم‌افزار سرور، آن تغییر را کاملا بیازمایید و ارزیابی کنید.
• مرتبا ریسک‌ها را برآورد کنید. برای به‌روزرسانی برنامه مدیریت ریسک، از نتایج این برآورد بهره ببرید. فهرستی اولویت‌بندی شده از همه سرورها داشته باشید تا اطمینان یابید که ضعف‌های امنیتی طبق برنامه زمانی ترمیم می‌شوند.
• همه سرور را در سطح بازبینی یکسان نگه دارید.

2- آماده‌سازی ویندوز سرور

• تا زمانی که سیستم‌عامل نصب و تقویت شود، کامپیوترهای تازه نصب شده را از ترافیک شبکه متخاصم (hostile network traffic) محافظت کنید. همه سرورهای جدید در شبکه DMZ را که به اینترنت وصل نیستند، تقویت کنید.
• برای بایوس/سفت‌افزار پسورد تعیین کنید تا از تغییرات غیرمجاز در تنظیمات استارت‌آپ سرور جلوگیری شود.
• لاگین کردن خودکار با اکانت مدیریتی در کنسول بازیابی (ریکاوری) را غیرفعال کنید.
• ترتیب بوت دستگاه‌ها را طوری تنظیم کنید که به‌طور غیرمجاز و خودکار از رسانه‌های دیگر بوت نشوند.

3- نکات امنیتی در نصب ویندوز سرور

• مراقب باشید سیستم طی فرآیند نصب خاموش نشود.
• برای پیکربندی سیستم براساس یک نقش (role) خاص، از Security Configuration Wizard استفاده کنید.
• مراقب باشید همه وصله‌های مناسب، ترمیم‌های فوری و سرویس‌پک‌ها به‌درستی اعمال شوند. وصله‌های امنیتی، ضعف‌های شناخته‌شده‌ای را که مهاجمان برای نفوذ به سیستم ممکن است از آن‌ها بهره ببرند، ترمیم می‌کنند. پس از نصب ویندوز سرور، بلافاصله آن را به‌وسیله WSUS یا SCCM با جدیدترین وصله‌ها آپدیت کنید.
• قابلیت اعلام خودکار انتشار وصله‌های جدید را فعال کنید. هرگاه وصله‌ای منتشر شد، آن وصله باید فورا با استفاده از WSUS یا SCCM تحلیل، تست و نصب شود.

4- تقویت امنیت حساب کاربری در ویندوز سرور

• از استاندارد بودن و قوی بودن پسوردهای مدیریتی و سیستمی‌تان اطمینان حاصل کنید. به خصوص مراقب باشید که در پسورد اکانت‌های ممتاز (اکانت‌هایی که سطح دسترسی بالایی دارند)، از کلمات معنادار یا لغت‌نامه‌ای استفاده نشود. هر پسورد باید دست‌کم 15 کاراکتر داشته و ترکیبی از حرف، عدد، علائم خاص و کاراکترهای نامرئی (مثل CTRL) باشد. همه پسوردها را هر 90 روز یک‌بار عوض کنید.
• سیاست‌های گروهی (Group Policy) جهت مسدودسازی اکانت‌ها را طبق بهترین شیوه‌های پیشنهادشده تنظیم کنید.
• اجازه ندهید کاربران، اکانت‌ مایکروسافتی ایجاد و با آن در کامپیوترها لاگین کنند.
• اکانت میهمان (Guest account) را غیرفعال کنید.
• نباید اجازه دهید به کاربران ناشناس، مجوز Everyone اعطا شود.
• برای شمارش اکانت‌ها و داده‌های به‌ اشتراک‌ گذاشته شده SAM به‌صورت ناشناس، مجوز صادر نکنید.
• ترجمه SID/Name به‌صورت ناشناس را غیرفعال کنید.
• حساب‌های کاربری بلااستفاده را فورا غیرفعال یا حذف کنید.

5- پیکربندی امنیت شبکه

• دیواره آتش (فایروال) ویندوز را در همه پروفایل‌ها (دامنه‌ها، خصوصی، عمومی) فعال و طوری پیکربندی کنید که به‌طور پیش‌فرض ترافیک ورودی را بلوکه کند.
• مسدودسازی پورت را در سطح تنظیمات شبکه فعال کنید. دریابید که کدام پورت‌ها باید باز باشند. دسترسی به تمام دیگر پورت‌ها را محدود کنید.
• تنظیمات‌تان طوری باشد که فقط کاربران احراز هویت شده، بتوانند از شبکه به هر کامپیوتری دسترسی یابند.
• به هر کاربری مجوز act as part of the operating system اعطا نکنید.
• به اکانت‌های میهمان اجازه ندهید با مجوز سرویس (Log on as a service)، رشته وظایف (log on as a batch job)، به‌صورت محلی (log on locally) یا از طریق RDP لاگین کنند.
• اگر از RDP استفاده می‌شود، سطح رمزنگاری اتصال RDP را بالا ببرید.
• گزینه Enable LMhosts lookup را حذف کنید.
• گزینه NetBIOS over TP/IP را غیرفعال کنید.
• گزینه ncacn_ip_tcp را حذف کنید.
• هم Microsoft Network Client و هم Microsoft Network Server را طوری پیکربندی کنید که همیشه ارتباطات‌شان را دیجیتالی امضا کنند.
• ارسال پسوردهای رمزنگاری نشده به سرورهای SMB طرف سوم را غیرفعال کنید.
• اجازه ندهید کاربر به‌صورت ناشناس به داده‌های ‌اشتراکی‌شده دسترسی پیدا کند.
• به سیستم محلی (Local System) اجازه دهید برای NTLM از هویت کامپیوتر استفاده کند.
• Local System NULL session fallback را غیرفعال کنید.
• انواع رمزنگاری‌های ممکن برای کربروس (پروتکل احراز هویت Kerberos) را پیکربندی کنید.
• مقادیر LAN Manager hash را ذخیره نکنید.
• سطح احراز هویت LAN Manager را طوری تنظیم کنید که فقط NTLMv2 را بپذیرد و LM و NTLM را رد کند.
• امکان اشتراک‌گذاری فایل و پرینتر از شبکه را حذف کنید. اشتراک‌گذاری فایل و پرینتر به هر کسی اجازه می‌دهد تا به سرور متصل شود و بدون نیاز به شناسه کاربری یا پسورد به داده‌های مهم دسترسی پیدا کند.

6- پیکربندی امنیتی رجیستری ویندوز سرور

تمهیدی بیاندیشید تا همه مدیران‌ برای درک جامع نحوه عملکرد رجیستری و هدف هر یک از کلیدهای مختلف آن وقت بگذراند. در سیستم‌عامل ویندوز بسیاری از ضعف‌ها را می‌توانید با تغییر کلیدهای خاص رجیستری ترمیم کنید. در ادامه به برخی از آن‌ها اشاره می‌کنیم:

• مجوزهای رجیستری را پیکربندی کنید. رجیستری را از دسترس کاربران ناشناس دور نگه دارید. اگر دسترسی راه دور به رجیستری را لازم ندارید، برایش مجوز صادر نکنید.
• مقدار MaxCachedSockets (REG_DWORD) را روی 0 تنظیم کنید.
• مقدار SmbDeviceEnabled (REG)DWORD را روی 0 تنظیم کنید.
• مقدار AutoShareServer را روی 0 تنظیم کنید.
• مقدار AutoShareWks را روی 0 تنظیم کنید.
• همه مقادیر داده درون کلید NullSessionPipes را پاک کنید.
• همه مقادیر داده درون کلید NullSessionShares را پاک کنید.

7- تنظیمات امنیتی عمومی ویندوز سرور

• سرویس‌هایی را که لازم ندارید، غیرفعال کنید. در اکثر سرورها سیستم‌عامل با تنظیمات پیش‌فرض نصب می‌شود. در تنظیمات پیش‌فرض، اغلب سرویس‌های اضافی که سیستم نیازی به آن‌ها ندارد، نیز روشن هستند که این به بروز ضعف‌های امنیتی منجر می‌شود. پس همه سرویس‌های غیر ضروری حتما باید از سیستم حذف شوند.
• اجزا یا کامپیوننت‌های غیر ضروری ویندوز را حذف کنید. اجزای غیرضروری ویندوز باید از سیستم‌های مهم حذف شوند تا سرورها امن بمانند.
• با انتخاب NTFS یا BitLocker در ویندوز سرور، قابلیت رمزنگاری سیستم فایل (EFS) بومی ویندوز را فعال کنید.
• اگر ایستگاه کاری (workstation) حافظه رم زیادی دارد، swapfile ویندوز را غیرفعال کنید. این کار بازده و امنیت را افزایش می‌دهد زیرا هیچ داده مهمی نمی‌تواند روی هارددیسک نوشته شود.
• از AUOTORUN استفاده نکنید؛ در غیر این‌صورت کدهای نامطمئن می‌توانند بدون اطلاع مستقیم کاربر اجرا شوند؛ مثلا مهاجم می‌تواند از روی سی‌دی اسکریپت خودش را اجرا کند.
• سیستم را طوری پیکربندی کنید که پیش از لاگین کردن کاربر، پیغامی رسمی به وی نمایش داده شود. متن پیغام برای مثال می‌تواند چنین باشد: «استفاده غیرمجاز از این کامپیوتر و منابع شبکه ممنوع است…»
• برای لاگین کردن تعاملی، استفاده از کلیدهای ترکیبی Ctrl + Alt + Del را الزامی کنید (در لاگین تعاملی، کاربر نه از راه دور بلکه به‌صورت محلی در کامپیوتر لاگین می‌کند.)
• برای بیکار ماندن کامپیوتر، محدودیت زمانی تعیین کنید تا جلسه‌های تعاملی بلااستفاده (idle interactive sessions) محافظت شوند.
• مراقب باشید همه فضاهای ذخیره‌سازی (volume) از سیستم فایل NTFS استفاده ‌کنند.
• مجوزهای Local File/folder را پیکربندی کنید. از دیگر اقدام امنیتی مهم که عمدتا مغفول می‌ماند، مسدودسازی مجوزهای سطح فایل (file-level) برای سرور است. به‌طور پیش‌فرض، ویندوز روی همه فایل‌ها یا فولدرهای محلی محدودیت‌های خاصی اعمال نمی‌کند؛ در اکثر کامپیوترها به گروه Everyone مجوزهای کامل اعطا می‌شود. گروه Everyone  را حذف و در عوض براساس نقش کاربران، گروه‌های مختلف تعریف کنید. به یاد داشته باشید مجوز و سطح دسترسی هر گروه فقط باید به‌اندازه‌ای باشد که بتواند وظایفش را انجام دهد و نه بیشتر. سپس بر پایه همین اصل، به گروه‌ها مجوز دسترسی به فایل و فولدر اعطا کنید. گروه‌های‌ Guest و Everyone و نیز قابلیت لاگین کردن به‌صورت ناشناس را با جدیت از فهرست مجوزهای کاربر حذف کنید. ویندوز با این پیکربندی، امن‌تر خواهدشد.
• تاریخ/زمان سیستم را تنظیم و آن را طوری پیکربندی کنید که با تایم‌ سرورهای دامنه هماهنگ باشد.
• یک محافظ صفحه‌نمایش (screensaver) پیکربندی کنید تا هرگاه کنسول بی‌کار بود، صفحه نمایش کنسول به‌طور خودکار قفل شود.

8- تنظیمات Audit Policy

• Audit Policy را به‌‌درستی در ویندوز فعال کنید. شما با Audit Policy مشخص می‌کنید که چه نوع رویدادهایی باید ردگیری و در بخش log Security ویندوز سرور ثبت ‌شوند.
• روش ذخیره‌سازی مستمر Event log را طوری پیکربندی کنید که در صورت نیاز نونویسی شود. اندازه آن را تا 4 گیگابایت تعیین کنید.
• به‌منظور مانیتورینگ، کپی روی‌ داد‌های ثبت شده را به SIEM (مخفف Security Information and Event Management) ارسال کنید (log shipping).

9- راهنمای امنیت نرم‌افزار

• نرم‌افزار آنتی ویروس نصب و آن را فعال کنید. آن را طوری پیکربندی کنید که روزانه آپدیت شود.
• نرم‌افزار ضدجاسوس‌افزار نصب و آن را فعال کنید. آن را طوری پیکربندی کنید که روزانه آپدیت شود.
• نرم‌افزاری نصب کنید که یکپارچگی فایل‌های مهم سیستم‌عامل را بررسی کند. ویندوز قابلیتی موسوم به Resource Protection دارد که فایل‌های مهم خاص را به‌طور خودکار بررسی و هر کدام را که معیوب بود با نسخه سالم جایگزین‌ می‌کند.

10- پایان کار

• با استفاده از GHOST یا Clonezilla از سیستم‌عامل‌های‌تان ایمیج بگیرید تا همه آنچه روی سیستم‌عامل نصب شده‌است و نیز همه تنظیمات امنیتی آن در فایل ایمیج کپی ‌شود. در این‌صورت اگر برای مثال لازم شد که ویندوز سرور را از نو نصب کنید، همه برنامه‌ها و تنظیمات امنیتی پیشین از روی فایل ایمیج روی ویندوز پیاده می‌شود و دیگر لازم نیست پس از نصب ویندوز همه نرم‌افزارها و تنظیمات امنیتی موردنیازتان را دوباره یک به‌ یک اعمال کنید.
• کلید لایسنس ویندوز سرورتان را با توجه به نسخه آن (2019/2016/2012/2008/2003) وارد کنید.
• سرور را به دامنه متصل و سیاست‌های موردنیاز گروه دامنه (domain group) را اعمال کنید.

در پایان یادآوری می‌شود که چک لیست امنیتی ویندوز سرور هر شرکت/سازمان بسته به اولویت‌ها و شرایط خاص همان شرکت/سازمان تهیه و اجرا می‌شود. اجرای بندهای چنین چک لیستی به تقویت ویندوز سرور و امن‌تر شدن شبکه کمک می‌کند.

برای دانلود چک لیست امنیتی سرور روی لینک زیر کلیک کنید:

دانلود فایل چک لیست امنیتی ویندوز سرور