در این مقاله با هشت کار برای بهبود امنیت در یک شبکه مایکروسافتی آشنا خواهیم شد.
امنیت هدف نیست، بلکه یک سفر دائمی است. اغلب میشنوید که ایجاد امنیت پایانپذیر نیست. این موضوع درست است چرا که وقتی امنیت شبکهتان را زیر نظر میگیرید، همیشه بایستی مراقب باشید که یک گام از مجرمان اینترنتی و افرادی که میخواهند به اطلاعات شما دسترسی یابند، جلوتر باشید. شما نمیتوانید برای مدتی طولانی در یک سطح از امنیت باقی بمانید. چرا که مجرمان اینترنتی همواره روشهای نفوذ خود را بهبود بخشیده و سختتر تلاش میکنند و هر روز بر خلاقیت خود میافزایند تا به شبکه شما نفوذ کرده و به اطلاعات آن دست یابند. و در بسیاری موارد، حملات حتی به مسائل امنیتی شبکه مرتبط نیست، بلکه بیشترِ حملاتِ مخرب توسط افرادی که در داخل شبکه بوده و مجوز اتصال به شبکه را دارند ایجاد میشود.
به هرحال، حتی اگر امنیت پایانی نداشته باشد، لازم است که از مسایل موجود در این مسیر آگاه باشید. آن چه که در زیر میآید، مواردی هستند که شما بایستی برای بهبود وضع امنیت سازمانتان انجام دهید.
بهبود امنیت فیزیکی
در مقوله امنیت جملهای است که میگوید: «اگر آدم بده بتوانند کنترل فیزیکی کامپیوتر را به دست گیرد، بازی تمام است». وقتی که دستگاه به دست این افراد افتاد، آنها میتوانند با استفاده از ابزاری که در دست دارند به اطلاعات هارد دیسک و هر اطلاعاتی که به کامپیوتر آمده و از آن خارج میشود دسترسی یابند. از این رو، پیش از اینکه به دیگر روشهای امنیت فکر کنید، امنیت فیزیکی بایستی مساله اصلی تان باشد.
امنیت فیزیکی میتواند شامل موارد زیر باشد:
• کنترل دسترسی به اتاق های کامپیوتر با استفاده از کارت، کلید و قابلیت های بیومتریک
• ضبط ویدیو از ورود و خروج اتاقهایی که کامیپوترها در آن جای گرفتهاند.
• ثبت و ضبط ورود و خروجها به اتاقهایی که کامپیوترها در آن جای گرفتهاند.
• تعیین نگهبان یا دیگر ناظران برای ورودی و خروجیهایی که کامپیوترها در آن جای گرفتهاند.
برای اجتناب از حملات بزرگ علیه سیستم، امنیت فیزیکی مسیر طولانی در پیش روی دارد. اما این تنها اولین گام است. وقتی که میدانیم همه چیز بسیار عالی است، اگر کامپیوتری به شبکهای متصل باشد، افراد مجرم نمیتوانند دسترسی فیزیکی داشته باشند تا موجب خسارات بزرگ شوند.
استفاده از دیوارهای آتش (فایروال) مبتنی بر میزبان
به نظر میرسد به فایروال های سخت افزاری که درون شبکه نصب می شوند، توجه بسیاری میشود. بسیاری آنها را مدافعانی با قدرت های جادویی می دانند. اما امروزه در عمل بیشتر دیوارهای آتش امنیت به مراتب کمتری کمتر از آن چیزی است که باید باشد. به عبارت دیگر، در ظاهر دیواره آتش بخش بزرگی از امنیت است. اما از آن نقشی که قرار است در امنیت شبکه شما بازی کند، سهم بسیار کمتری را بر عهده دارد. یکی از دلایل این موضوع این است که بیشتر حملات شدید اغلب از داخل شبکه حادث میشود، بنابراین وظیفه دیوار آتش در جلوگیری از کاربران بیرونی برای دسترسی به منابع داخلی شبکه بازده کمی دارد.
در مقابل، «دیوار آتش مبتنی بر سیستم میزبان» قادر به حفاظت کامپیوتر از تمام حملات داخلی و خارجی میباشد. علاوه بر این، دیوارهای آتش مبتنی بر میزبانِ حرفه ای میتوانند به شکلی پیکربندی شوند تا امکان ارتباطات ورودی را تنها برای سرویسهای مشخصی فراهم نمایند. این دیوارهای آتش مبتنی بر میزبان (مانند Windows Firewall with Advanced Security) حتی میتوانند کاربران یا ماشینها را ملزم به تایید هویت در لایه شبکه نماید، به طوری که اگر کاربری معتبر شناخته نشود یا اختیارات لازم را نداشته باشد، هرگز به نزدیکی لایه اپلیکیشن نرسد – لایه اپلیکیشن، لایهایی است که اغلب رخنههای امنیتی در آنجا بوده و دادههای شما تماما در آنجا قرار دارد.
تفکیک شبکه به بخش های امنیتی مجزا
هنگامی که قرار بر تفکیک و منطقه بندی امنتیتی باشد، یک وبسرور که سایت را در اختیار بیننده می گذارد با سروری که حاوی پایگاه داده است باید به صورت مجزا نگهداری شوند. یک سرور فایل که فایلهای در دسترس عموم کاربران را میزبانی میکند، متفاوت از سرور شیرپوینت است که طرحهای درون شرکتی مانند بازاریابی محرمانه برای محصولات جدید که قرار است در ماههای آتی ارایه شود را میزبانی میکند. یک سرور ایمیل (SMTP) با یک سرور پراکسی متفاوت است، چرا که در ناحیه امنیتی متفاوتی قرار دارد.
شما بایستی تجهیزات کامپیوتریتان را به مکان های امنیتی متفاوتی تقسیم کنید و سپس پارتیشن های منطقی یا فیزیکی جداکننده بین آن نواحی ایجاد کنید. اگر میخواهید از پارتیشن فیزیکی استفاده کنید، بایستی اطمینان یابید که منابعی سیستمی تقسیم شده در نواحی مختلف با فایروال ها با هر نوع ابزار کنترل دسترسی دیگر از یکدیگر جدا شده باشند.
اگر میخواهید از نواحی امنیتی منطقی استفاده کنید، میتوانید از مزایایی مانند IPsec و سرور و جداسازی دامنه استفاده کنید تا پارتیشن های مجازی بین نواحی امنیتی ایجاد شود.
ایجاد نواحی امنیتی به شما این اجازه را میدهد تا بر با ارزش ترین بخش تجهیزات و اطلاعات تان متمرکز شوید. همچنین تجهیزات با ارزش کمتر که در مناطقی با امنیت پایینتر قرار می گیرند، نیز محافظت شده هستند. اما مقدار زمان و سرمایهای که شما به تجهیزات در مناطقی با امنیت پایینتر اختصاص میدهید بسیار اندک است، چرا که هزینه به خطر افتادن آنها کمتر از هزینه به خطر افتادن دارایی ها در مناطق با امنیت بالاتر است.
اختصاص کمترین میزان دسترسی برای تمام منابع
اصل کمترین دسترسی اظهار میدارد که کاربران و ادمین ها بایستی تنها به منابع و کنترلهایی که برای انجام کارشان لازم است، دسترسی یابند. کاربران بایستی تنها قادر به دسترسی به وبسایتهایی باشند که برای انجام کارشان لازم است. آنها بایستی تنها قادر به استفاده از برنامههایی باشند که برای انجام کارشان لازم دارند. ادمین نیز بایستی تنها قادر به پیکربندی تنظیماتی باشد که مناسب با سطح اختیارات و نیاز کاریش است و دسترسی و قدرت تغییری بالاتر از آن نداشته باشد.
هر میزان که سطح دسترسی کاربر یا ادمین سیستم بالاتر از میزان ضروری برای انجام کارش برود، به همان میزان ریسک و خطر نفوذ و رخنه افزایش می یابد. اینکه روز به روز کاربران بیشتری می خواهند به دارایی اطلاعاتی شرکت از طریق آی پدشان دسترسی داشته باشند، اصلا بدین معنی نیست که چنین کاری از نظر امنیتی ایده خوبی است. ما خیلی وقت ها به کاربران و مصرف کننده ها به جای آن چیزی که لازم است داشته باشند، آن چیزی را که می خواهند می دهیم و این خود ریسک امنیتی را در کارمان بالا می برد.
داستان درباره ادمین های سیستم از این هم بدتر است. آنها همیشه می خواهند هر کاری را که دوست دارند انجام دهند، تنها به این دلیل که آنها مدیران (administrators) سیستم هستند.
در مورد کاربران نهایی هم تنها و تنها به آنها دسترسی به چیزی را بدهید که کارشان را راه بیاندازد و نباید به هیچ چیز دیگری دسترسی داشته باشند. در خصوص اپلیکیشن ها و برنامه ها هم داستان به همین صورت است. اگر اپلیکیشنی در لیست برنامه های تایید شده نیست، به صورت خودکار جلوی نصب و فعالیت آن را در سیستم های تان بگیرید.
رمزگذاری همه چیز
رمزگذاری تمام دیسک با استفاده از BitLocker میتواند کمک بسیاری در حفاظت از اطلاعات حساستان نماید. این کار حتی میتواند در صورت به خطر افتادن فیزیکی سیستم به شما کمک کند. برای مثال، اگر شخصی کامپیوتر سرور را از اتاق سرور شما به سرقت برد، فرد مجرم میتواند درایو را بر روی سرور با کمک بوت لایو لینوکس و خواندن فایلهای سیستمی فراخوانی کند، که به این روش، حمله آفلاین گفته میشود. خبر خوب اما این است که حملات آفلاین با استفاده از BitLocker قابل پیشگیری هستند. اما رمزگذاری تنها به درایوهای سخت داخلی محدود نمیشود. با ویندوز 7 و ویندوز سرور 2008 سرویس پک دو شما میتوانید از برنامه BitLocker در دستگاههای USB، و دیگر ابزارهای مانند آن هم استفاده کنید. بایستی قوانینی در شرکت وضع شود تا ابزارهای قابل حمل مانند درایوهای یو اس بی که دادههای شرکت در آنها ذخیره شده است، همواره با استفاده از BitLocker رمزگذاری شوند.
ابزارهای قابل حمل و حافظه های جانبی که در گوشیهای هوشمند کارمندان سازمانها هم استفاده میشوند، بایستی رمزگذاری شوند. در صورتی که قرار است دادههای شرکت بر روی ابزارهایی مانند درایوهای USB ذخیره شود، قوانین بایستی کاربران را ملزم گرداند که از برنامهها یا سیستم عامل تلفن هوشمندی که از رمزگذاری کارتهای MicroSD پشتیبانی میکند، استفاده کنند. دادههای ذخیره شده بر روی حافظه داخلی گوشی نیز بایستی رمزگذاری شوند. کاربران بایستی از گوشیهای هوشمندی استفاده نمایند که در صورت دزدیده شدن یا مفقود شدن گوشیشان، بتوان از راه دور اطلاعات درون آنها را از بین برد.
به روز رسانی، به روز رسانی، به روز رسانی!
احتمالا از این موضوع باخبر هستید، اما یکی از موثرترین معیارهایی که شما میتوانید با استفاده از آن وضعیت کلی امنیتتان را افزایش دهید، به روز نگاه داشتن سیستمتان همراه با برنامهها و به روز رسانیهای امنیتی است. در حالیکه بسیاری از مدیران شکایت میکنند که محصولات مایکروسافت لازم است تا به کرات به دلیل موارد امنیتی به روز رسانی شود، حقیقت این است که مایکروسافت نسبت به دیگر سیستم عاملها امن تر است. چرا که مایکروسافت بسیار درباره به روز رسانی نرمافزارهایش با پشتکار و جدیت عمل میکند. اگر شما از نرمافزاری استفاده میکنید که به ندرت به روز رسانی میشود، خودتان را با فکر اینکه نبود به روز رسانیها ارتباطی با رخنههای امنیتی نرم افزار ندارد فریب ندهید.
استفاده از مکانیسم تایید اعتبار امن
با پیچیدهتر شدن تکنیکهای شکستن رمزعبور، کشف رمزهای عبور کوتاه آسان شده، و حتی رمزهای عبور طولانیتر نیز قربانی تکنیکهای رمزگشایی پیشرفته میشود. اگر قرار است تنها از رمزعبور و نام کاربری برای مکانیسم تعیین اعتبار استفاده کنید، بنابراین حداقل لازم است که تمام رمزهای عبور ۱۵ کاراکتر یا بیشتر بوده و شامل حروف بزرگ، حروف کوچک، اعداد و کاراکترهای غیرعددی نیز باشد. در دنیای موبایل مشکلی دیگر نیز وجود دارد. اگرچه به خاطر سپردن این نوع رمزهای عبور میتواند آسان باشد، اما واردسازی آنها در کادر رمزعبور یک گوشی هوشمند یا دیگر دستگاههای بدون صفحه کلید فیزیکی میتواند چالش برانگیز باشد.
روشی بهتر استفاده از شیوه تعیین اعتبار دو عاملی است، که در آن کاربر ملزم میشود تا دستگاهی مانند کارت را در اختیار داشته و همچنین رمزعبور را نیز بداند. زمانی که تعیین اعتبار دو فاکتوری استفاده شود، حتی اگر رمزعبور به خطر بیافتد، آن رمزعبور ارزش کمی پیدا میکند. مگر اینکه مجرم، مالکیت فیزیکی کارت را نیز در اختیار داشته باشد. برای پیادهسازیهای امنتر، عوامل بیومتریک دیگری نیز میتواند افزوده شود، مانند تصدیق صدا، تصدیق چهره، اثر انگشت یا بررسی شبکیه چشم.
امنیت برای جلوگیری از نشت داده ها
شما میتوانید کنترلهای دسترسی بسیار مفید را در طول اطلاعات اعمال نمایید به طوری که تنها کاربران مجاز بتوانند به آن اطلاعات دسترسی یابند. اما بعد از آن چه؟ کاربر مجاز چه کاری با آن اطلاعات میتواند انجام دهد؟ آن کاربر میتواند تبدیل به کاربر غیرمجاز شود؟ آن کاربر میتواند آن اطلاعات را پرینت کرده و یا به دیگران ایمیل کند؟ در جایی که قرار است اطلاعات تنها خواندنی باشند، کاربر میتواند تغییراتی در آن اطلاعات ایجاد کرده و آن را همراه با تغییرات به منبع ذخیره دادهها منتقل کند؟
به این فکر کنید که چگونه این دادهها را در برابر کاربران مجاز امن نمایید. اگر از آفیس و شرپوینت و Exchange مایکروسافت استفاده میکنید، میتوانید از مزایای Microsoft Rights Management Services جهت ایجاد قوانینی برای کنترل رفتار کاربرانی که به صورت قانونی به اطلاعات دسترسی یافتند، بهره جویید.
دیدگاه خود را بنویسید