تتراپایش
تحقیقات ، نوآوری ، بهینه سازی و توسعه فن آوری اطلاعات

Server Hardening

سرور هاردنینگ (Server Hardening )؛

 

توی این مقاله ما قصد داریم به تهدید و آسیب پذیری سیستم عامل سرورها و کلاینتها در صورت عدم ایمن سازی اون ها بپردازیم.

برای بالا بردن امنیت  تمامی سیستم عامل ها ( قدیمی و جدید ) نیاز به انجام OS Hardening  داریم که این کار  معمولا یک متخصص  امنیت که با روش های نفوذ و هک و همین طور با اون سیستم عامل مربوطه و سرویس های مورد استفاده در اون OS به خوبی آشناست می تونه انجام بده.

 برای مثال برخی  از کار هایی که در OS Hardening روی یک سیستم عامل Windows Server  می تونیم انجام بدیم ؛

  • نصب تمامی آپدیت های امنیتی مربوطه.
  • حذف تمامی  سرویس های غیر ضروری.
  • حذف و یا ایمن سازی سرویس های غیر ایمن( که این سرویس ها یا به خودی خود حفره امنیتی دارن و یا  برای مثال استفاده کاربران از اون سرویس ها  می تونه به افشای یک کلمه ی عبور روی سرور منجر بشه).
  • استفاده از فایروال و آنتی ویروس مناسب.
  • انجام برخی تغییرات در محل هایی مانند Group Policy و Registry  به منظور تغییر رفتار سیستم عامل برای بالا رفتن امنیت اون.
  • Service Hardening ایمن کردن سرویس و یا سرویس های مورد نظر، (برای مثال سرویس وب) و علتش هم کاملا مشخص هست، چرا که اگه ما OS خودمون رو ایمن کنیم اما مابقی سرویس های جانبی اون رو به حال خودش بگذاریم ممکنه حمله و یا نفوذ از طریق اون سرویس جانبی مثل وب و یا SQL و یا ریموت دسکتاپ به سیستم عامل ما انجام بشه.

اهدافOS & Service Hardening؛

  • جلوگیری از هک شدن و نفوذ غیر مجاز به سیستم عامل و یا اگر نفوذی انجام شد ، هکر کمترین کار ممکن روبتونه انجام بده و یا هیچ کاری نتونه انجام بده.
  • جلوگیری از افشای اطلاعات و دیتاهای مهم سرور.
  • یکپارچگی اطلاعات و عدم تغییر در دیتا های مهم سازمان.
  • جلوگیری از آلوده شدن سیستم عامل  به انواع ویروس ها و یا اگه OS آلوده شد، کمترین خسارت به بار بیاد.
  • ادامه داشتن کسب و کار (یا بطور ساده، جلوگیری از قطع شدن سرویس دهی سیستم ها).

راهــکـــار ؛

. مهمترین نقاط آسیب پذیر ویندوز ؛

  • Internet Information Services (IIS)
  • Microsoft SQL Server (MSSQL )
  • Windows Authentication
  • Internet Explorer (IE )
  • Windows Remote Access Services
  • Microsoft Outlook Express
  • Simple Network Management Protocol (SNMP)

· چک لیست امنیتی سرور و سرویس وب سرور IIS ؛

  1. به هیچ عنوان سروری که بصورت کامل فرآیند Hardening روی اون انجام نشده به اینترنت متصل نکنید.
  2. سرور در محل فیزیکی امن باید قرار داشته باشه، امنیت فیزیکی از اولین مواردی هستش که در حوزه امنیت بایستی رعایت بشه.
  3. به هیچ عنوان وب سرور IIS بر روی Domain Controller نصب نشه.
  4. بر روی وب سرور IIS هرگز پرینتر نصب نشه.
  5. حتما Service Pack ها ، Patch ها و البته Hotfix های لازم رو بر روی سیستم عامل سرور نصب کنید.
  6. حتما برای Remote Desktop از Encryption مناسب استفاده بشه.
  7. حتما برای Remote Desktop قابلیت های Account Lockout و Session Timeout رو تنظیم کنیم.
  8. هرگونه سرویس بلااستفاده بر روی سیستم عامل ویندوز رو باید غیر فعال کنیم.
  9. اطمینان حاصل کنیم از اینکه همگی سرویس ها با حداقل دسترسی کاربری دارن اجرا می شن.
  10. اگر به سرویس های FTP ، SMTP نیازی نداریم ، باید غیرفعال یا حذف شون کنیم.
  11. سرویس Telnet حتما غیرفعال و از روی سیستم عامل حذف بشه.
  12. گزینه HTML Version از قسمت Internet Service Manager اصلا فعال یا نصب نشه.
  13. قسمت MS FrontPage Server extensions فقط در صورت نیاز نصب و در غیر اینصورت پیشنهاد میشه که حذفش کنیم.
  14. فرآیند Hardening رو برای TCP/IP Stack هم انجام بدیم.
  15. پروتکل های NetBIOS و SMB غیرفعال ، پورت های ۱۳۷ ، ۱۳۸ ، ۱۳۹ و ۴۴۵ مسدود بشن.
  16. Policy های مربوط به Recycle Bin و Paging File System مجددا به تناسب سرور باید پیکربندی کنیم.
  17. امنیت فیزیکی مربوط به CD-ROM و USB Drive ها و … رو هم نباید فراموش کرد.

·  چک لیست امنیتی Account ها یا حساب های کاربری؛

  1. هرگونه حساب کاربری اضافه و بلااستفاده از روی سرور رو باید حذف کنیم.
  2. حساب کاربری Guest دلیلی نداره فعال باشه.
  3. نام کاربر Administrator را عوض کنیم و یک پسورد قوی براش در نظر بگیریم.
  4. حساب کاربری IUSR_MACHINE را در صورتیکه Application ای از اون استفاده نمی کنه رو غیرفعال کنیم.
  5. دسترسی های حساب کاربری process هایNET با کمترین سطح دسترسی ممکن تعریف بشه.
  6. از یک Password Policy قوی برای تمامی اکانت های موجود بر روی سرور استفاده کنیم.
  7. دسترسی Remote به حداقل ممکن رسونده بشه ودلیلی هم نداره که گروه Everyone توی قسمت Access this computer from network وجود داشته باشه.
  8. در گروه Administrators بیشتر از دو کاربر تعریف نکنیم.
  9. فقط اجازه Logon بصورت Local داده بشه یا برای Remote Desktop حتما از رمزنگاری استفاده کنیم.

البته باید در نظر داشته باشیم که تنظیماتی که بالا گفته شد از حمله موارد عام و بدیهی هستش.حالا این ما هستیم که بعنوان Admin شرکت یا سازمان می تونیم استراتژی های دیگه ای رو تعریف کنیم و با توجه به سیاست های شرکت یا سازمان هاردنینگ رو انجام بدیم. 

 

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.