از طریق منوی جستجو مطلب مورد نظر خود در وبلاگ را به سرعت پیدا کنید
۵ مرحله جهت امنیت Active Directory
Active Directoryیکی از سرویس های شرکت مایکروسافت که برای مدیرت منابع است و همچنین کنترل کننده ی متمرکز برای سرویس دهنده های مبتنی بر ویندوز سرور است. بر این اساس برقراری امنیت در آن بسیار حائز اهمیت است.
امنیت در (AD(Active Directory آسان نیست اما یکسری اقدامات اولیه را شما می توانید اجرا نمایید.در این مقاله پنج مرحله ی امنیتی به شما گفته شده که هزینه ی پیاده سازی زیادی نیاز ندارد و به طور قابل توجهی امنیت را افزایش می دهد.
مرحله ی اول: از بهترین روش های مدیران پیروی کنید.
شما همیشه می توانید با استفاده از خودکاری سازی فرآیندهای دستی, مانند ساختن کنترل کننده های دامنه(DCs) امنیت AD را بهبود بخشید.هنوز زبان برنامه نویسی پیشرفته ای وجود ندارد که رفتار انسانی را خودکارسازی نماید به همین دلیل شما نیاز به تنظیم دستورالعمل هایی در مورد نحوه ی مدیریت AD دارید.شما باید اطمینان حاصل نمایید که مدیران از بهترین شیوه های زیر پیروی می کنند.
- از حساب های اداری جداگانه استفاده نمایید.
اگر چه استفاده از حساب های اداری جداگانه برای بسیاری از سازمان ها معمول است, اما این مورد هنوز هم تذکر داده می شود.اگر اکانت مدیریت به طور تصادفی آلوده به ویروس شود, آن ویروس می تواند برنامه ها و اسکریپت های دیگر را اجرا نماید, بنابراین مدیران باید حساب جداگانه ای از حساب های اداری که برای انجام وظایف اختصاصی AD است داشته باشند.
- از ایستگاه های کاری مدیریتی امن استفاده نمایید.
اگر شما نمی توانید امنیت رایانه های مدیران خود را تضمین کنید، باید یک ایستگاه کاری مجاز امن را ایجاد کنید و مدیران برای دسترسی به آن ایستگاه کاری از سرویس های ترمینال استفاده می کنند. برای ایمن سازی این ایستگاه کاری می توانید آن را در یک واحد سازمانی مشخص (OU) قرار دهید و تنظیمات گروه محدود کننده را اعمال کنید.
- بررسی دوره ای اعضای گروه اداری
به صورت دوره ای اعضای گروه بررسی شود و در صورتی که فردی حذف شده باشد, از گروه خارج شود و یا اضافه گردد.
- محدود کردن کسانی که به پسورد حساب ادمین, دسترسی دارند.
اگر یک مهاجم به رمز عبور حساب ادمین دسترسی داشته باشد, ممکن است مشکلات جبران ناپذیری بوجود بیاورد, بنابراین تا جای ممکن نباید از حساب های کاربری ,Admin برای کارهای اداری Active Directory استفاده شود.در عوض, باید از حساب های جایگزین برای انجام هر نوع تابع مدیریتی استفاده کرد.حساب Admin باید به عنوان آخرین راه حل مورد استفاده قرار گیرد و افرادی که به رمز عبور آن دسترسی دارند, باید محدود باشد.
- روندی جهت سرعت بخشی به غیر فعال سازی حساب های اداری وجود داشته باشد.
برای اکثر سازمان هایی که از AD استفاده می کنند, خطر امنیتی این است که, مدیران به هر علتی قصد ترک شرکت و عدم ادامه ی همکاری را داشته باشند که در این صورت باید فرآیندی وجود داشته باشد که بتوان فورا دسترسی را از مدیر سلب کرد.
- روند سرعت بخشیدن به تغییر پسورد حسابAdmin :
زمانی که دسترسی به حساب Admin برای چند نفر محدود است, برای تغییر سریع رمز عبور باید روندی وجود داشته باشد که اگر هر زمان یکی از افرادی که به این رمز عبور دسترسی دارند ترک کار کند, امکان تغییر سریع پسورد باشد و برای اینکار می توان از Directory Service Restore Mode یا (DSRM) استفاده نمود.در کل ایده ی خوبی است که هر ماه رمز عبور تغییر داده شود.
مرحله ی دوم:پس از اطمینان از روش های مدیریتی, به DC های خود(Domain controller ) توجه نمایید.اگر یک مهاجم بتواند به صورت موفقیت آمیز به DC نفوذ کند کل سیستم در خطر خواهد بود.
- اطمینان از امنیت فیزیکی DCها:
امنیت فیزیکی DC ها یکی از مسائل مهمی است که شما باید جهت استقرار AD در نظر داشته باشید.اگر مهاجم بتواند به DCدسترسی داشته باشد تقریبا می تواند همه ی اقدامات امنیتی را مشکل ساز کند.
- فرآیندها به صورت خودکار انجام شوند:
اینکه هرکاری خودکار انجام شود و نه به صورت دستی, امنیت بیشتری به دنبال خواهد داشت.البته این مورد در ارتباط با DCها کاربرد بیشتری دارد.با خودکارسازی فرآیند ساخت و پیکربندی می توانید مطمئن شوید که تمام DC ها به طور مشابه پیکربندی و امن شدند.
- نصب سریع آپدیت های مهم:
زمانی که از ویندوز NT استفاده می شود, اکثر مدیران بروزرسانی های امنیتی را نصب نمی کنند, مگر اینکه نیاز باشد.در اکثر بروزرسانی ها مشکلات بیشتری بوجود خواهد آمد.خوشبختانه کیفیت بروزرسانی ها در مایکروسافت بسیار بهتر است و از آنجا که معمولا DC ها مورد هدف قرار میگیرند نصب همه ی آپدیت های امنیتی بر روی آن حائز اهمیت است.
- ایجاد فایل رزرو:
در ویندوزهای قبل از ۲۰۰۳, اگر به کاربران دسترسی برای ایجاد فایل داده شود هیچ راهی برای محدود کردن تعداد فایل های ایجاد شده وجود ندارد که همین مورد ممکن است موجب ایجاد فایل های زیاد توسط مهاجم و در پی آن پرشدن هارددیسک DC شود.شما می توانید این امکان را با ایجاد فایل رزرو ۱۰ تا ۲۰ مگابایت در هر DC انجام دهید.تا زمانی که نیاز به فضا دارید با حذف این فایل اتاق تنفسی برای خود ایجاد نمایید.این کار به سادگی ایجاد یک سند در مایکروسافت و یا فایل متنی است.
- اجرای نرم افزار ویروس اسکن:
اجرای ویروس اسکن در DC بسیار حائز اهمیت است زیرا Dc ها علاوه بر اطلاعات دایرکتوری شامل فایل های که توسط سرویس FRS تکرار می شوند, نیز هستند و به همین علت مورد هجوم مهاجمان قرار خواهند گرفت و استفاده از نرم افزار ویروس اسکن این خطرات را کاهش می دهد.
مرحله ی سوم: دنبال کردن شیوه های هیات نمایندگان:
- به کاربران مجوز داده نشود:
یکی از قوانین نمایندگان این است که به گروه ها مجوز داده شود اما به کاربرانداده نشود.مگر اینکه دلیل قانع کننده ای وجود داشته باشد زیرا با ترک کاربری خاص که مجوزها به آن داده شده ممکن است مشکلاتی پیش بیاید.
حتی اگر نیاز است که به کاربری مجوز داده شود بهتر است ابتدا گروهی ایجاد شود و سپس کاربر موردنظر در آن قرار گیرد.
- به موارد خاص مجوز داده نشود:
وقتی مجوزها به طور مستقیم به موارد خاص یا کاربران داده می شود, مسائل پیچیده تر خواهد شد.چنین مجوزهایی نیاز به نگهداری بیشتری دارند, به همین جهت توصیه می شود این مورد انجام نگیرد.
مرحله ی ۴:نظارت و بررسی تشکیلات AD:
از آنجاییکه AD دارای اجزای زیادی است و مدیریت آن دشوار است زمانی که افرادی سعی در از بین بردن امنیت داشته باشند,علاوه بر شیوه هایی که تا به حال گفته شد, مواردزیر را نیز مورد توجه قرار دهید.
- در ابتدا باید بر روی دسترسی های DC نظارت شود.از نظر امنیتی در صورتی که مشکلی برای DC بوجود بیاید در اسرع وقت امکان برطرف شدن مورد وجود دارد و مشکل بزرگتر نمی شود.
- علاوه بر نظارت بر دسترسی ,DC می توان از مانیتورینگ های کارآمد جهت مانیتور بسیاری از اقدامات AD استفاده نمود.
مرحله ی پنجم:آمادگی برای هر نوع مشکل:
با توجه به اقدامات گفته شده در بالا ممکن است مهاجمان برای حمله از یک روش ناشناخته استفاده نمایند که در این شرایط شما هیچ شناختی از مشکل پیش آمده ندارید و مطمئنا زمان را از دست خواهید داد, جهت جلوگیری از این اتفاقات ناگهانی, توصیه می شود به صورت دوره ای از اطلاعات سرور خود بکاپ تهیه کرده باشید و همینطور شیوه ی بازیابی اطلاعات مستند شود.
۵ مرحله جهت امنیت Active Directory