hadeelweb
14-01-2005, 12:36
بسم لله الرحمن الرحيم
بعد أن أصبح الإتصال بالانترنت مطلب مهم تقريباً لكل الشبكات في هذه العصر ، اصبح أيضاً من المهم جداً الحفاض على مستوى الأمن بقدر مانستطيع ، فالأخطار المحتملة قريبة جداً منك ، بريد ملوث ، إنسان حقود ، متطفل ماهر ، موظف كسول !!.
ومع تقدم التقنية الحديثة في عمل الشبكات والأنظمة أصبح الحفاض على مستوى من الأمن جيد في متناول يد الجميع مع قليل من الجهد والصبر ، وذالك لأن جميع التقنيات الخاصة بالحماية وحتى برامج الخوادم نفسها تأتي على هئية تناسب الجميع من حيث المواصفات العامة ، ويتبقى عليك تخصيص ما تحتاج إليه حتى يناسب إحتياجاتك الأمنية الظرورية .
وسنقوم في هذه المراجعة السريعة بذكر أكثر ما يفيد في توسيع مفهوم الأمن على الشبكة ووضع بعض النقاط المفيدة :-
تنسيق مقطع النظام بي NTFS
عند تثبيت الويندوز 2000 سيرفر أو المحترف أو الـ XP يصادفك خيار تهيئة المقطع بنظام NTFS وهذا النظام له مزايا في التحكم في مستوى السرية والتشفير للمجلدات والملفات والتحكم بمشاركة على مستوى الملف تتفوق هذه المزايا على نظام الملفات المعروف FAT 32 ، لذلك ينبقي أن يكون كل مقاطع الملقم مهيئة على الـ NTFS ، وإذا كان مقطع النظام كان على الهيئة FAT ثم حولت إلى NTFS تكون قد فقدت بعض الخصائص المهمة على هذا النظام وحتى تعيده إلى وضعه الطبيعي كما لو كنت إخترته من بداية التثبيت .
تأكد من كلمة مرور مدير النظام قوية جداً
في الويندوز 2000 يمكن أن تضع كلمة مرور مكونه من 127 حرف ، وكلما كانت كلمة المرور طويلة كانت قويه والعكس صحيح عندما تكون قصيرة تكون سهلة التخمين والتحليل ، وكذالك الكلمة المشكلة من فئات مختلفة ( حروف ، أرقام ، إشارات ) تكون أكثر قوة من الكلمة ذات الفئة الواحده ، وبالنسبة لسياسة كلمة المرور العامة تنبه لخمس مسائل في غاية الاهمية
حدد عدد كبير لأحرف الكلمة( 7 )
حدد تاريخ إنتهاء قصير ( 30 يوم )
حدد عدد معقول لتكرار الكلمات القديمة ( 7 )
حدد عدد قليل لمحاولات الدخول الفاشلة ( 3 )
إمنع عودة الحساب بعد قفله حتى تسمح أنت بذالك
حماية سياسة كلمة المرور
يمكن وضع ومراقبة كلمات المرور على الشبكة بإستخدام أداة مثل passprop.exe فمع هذه الأداة يمكن أن تمنع حتى المدير من بعض مميزاته على كلمة المرور مثل عدد محاولات الدخول الفاشلة ، ويمكن كذالك أن تحلل كلمات المرور وتجد الكلمات المشابه للتي سبقتها وتجد هذه الأداة ضمن مجموعة أدوات الإدارة من مايكروسوفت .
حماية حساب المدير
كل المحاولات التي تتم لدخول غير المشروع على أنظمة الويندوز سيرفر تكون بإسم مدير النظام administrator ولحماية هذا الحساب بشكل عملي إتبع أربع خطوات نافعة :-
غير الأسم administrator إلى أي اسم آخر
حتى تتأكد من أنه لا يوجد محاولات امسح سجلّ الحدث بانتظام للبحث عن المحاولات لاستعمال هذا الحساب .
إستخدم الأداة passprop للحد من محاولات الدخول الفاشلة بإسم المدير
عطل حساب المدير المحلي
تعطيل الخدمات
في الوضع العادي تكون كثير من الخدمات تعمل بشكل تلقائي على الملقم يجب أن تراجع جميع هذه الخدمات من أجل تعطيل الخدمة التي لا تكون بحاجة ماسة لها ،
إحمي الملفات والأدلة
راجع وثقية نافعة من مايكروسوفت Default Access Control Settings in Windows 2000 لتتعرف على متطلبات الدخول على العناصر المتشاركة على الشبكة وتخصيصها حسب حاجتك
حساب الضيف Guest
في التثبيت الإفتراضي للويندوز 2000 سيرفر يكون حساب الضيف Guest معطل يجب أن تتأكد من ذالك إذا كان غير معطل عطله .
الدخول على registry
في الوضع الإفتراضي يمكن أن يدخل على سجل النظام registry عن بعد كل من مدير النظام administrator و المجموعة Backup Operators حتى تحد من الدخول غير المشروع إتبع المسار التالي في الـ registry ( HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg ) . حدد winreg ثم من Security ثم من Permissions تأكد أنه لا يوجد مستخدمين ولا مجمموعات غير حساب المدير .
إمنع الدخول على قاعدة الأمن المحلية LSA
يجب أن تتعرف على كل المستخدمين المخولين على شبكتك ، وتمنع غير المصرح لهم بالوصول إلى Local Security Authority LSA التي تتضمن كل الحسابات والتصاريح المحلية وللحصول على ضمان كامل بعدم الوصول لهذه القاعدة من محرر السجلregistry إتبع المسار التالي
( HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\LSA)
ثم من المدخل RestrictAnonymous إجعل القيمة =1 .
حمياة الـ Hubs and routers and Cabling
في كثير من كتب الحماية والنشرات والوثائق يهتم الكتاب عن حماية البرامج من الدخول غير المسموح ويستفيضوا في ذالك - أمر مهم - ونادراً ما تجد من يهتم بالمكان الفيزيائي للشبكة فالأجهزة الموصلة للبيانات مثل الهب والسوتش والموجة والكيابل هي نصف الشبكة الفعال ، فإذا استطاع شخص ما الوصول إلى الهب مثلاً مع وصلة وجهاز محمول يكفيه بضع دقائق لينسخ كل بيانات مهمة يريد ، لذالك ينبقي أن تكون كل هذه الأجهزة في مكان مقفل بعيد عن أماكن المرور ، والكيابل يجب أن لا تكون في مكان مكشوف بل داخل الجدران والأسقف ، لأن الإشارة المرسلة من كمبيوتر إلى آخر لا ترسل له فقط وإنما ترسل على كامل الشبكة فإذا كشف كيبل يمكن أن يتم تخزين كل الإشارات المارة
حماية مكان الخادم
مكان الخادم الفيزيائي مهم جداً أيضاً فلا ينبقي الدخول له ، ومكانه دائما مقفل ، وتنبه لمحركات الأقراص وتعطيلها في بداية التشغيل أفضل من البايوس ووضع كلمة مرور قوية عليه
النسخ الإحتياطي backups
عند الموت لا شيئ ينفع لإعادة الحياة ، ولكن حياة الشبكة يمكن أن تعود عندما يكون هناك نسخ دائم للبيانات ، وهي مهمة شاقة احياناً في الشبكات متتعددة المناطق ، ولكنه مهم جداً على كل حال وأشرطة النسخ مثلها مثل الخادم نفسه فكل البيانات الحساسة الموجودة عليه تكون في أشرطة النسخ لذالك ينبقي أن تحفض في مكان أمين جداً وتتلف فوراً عند نسخ نسخ أحدث منها
تثبيت برنامج مضاد للفيروسات
من الأمور البديهية حماية الشبكة بي antivirus وتحديثة بشكل مستمر ( كل ثلاث أيام ) وعند إنتشار فيروس جديد في المنطقة وليس له حمياة مضادة يجب مخاطبة شركة برنامج الفيروسات ومعرفة أفضل السبل والحلول المؤقته له ، ولمتابعة نشرات مايكروسوفت عن الفيروسات من موقعها TechNet Security
متابعة التحديثات
المتابعة الجيدة والمستمرة تريحك من كثير من عناء التثبيت التراكمي للإصلاح ، فالويندوز 4.0 له إلى هذا التاريخ 6 من الـ Service Pack ، والويندوز 2000 له 2 من الـ Service Pack ، وتجد معلومات عن حزم الإصلاح من مايكروسوفت
http://support.microsoft.com/support/conta...act/default.asp
ختاماً
يبدو هذا المنظر من الحماية المتشددة كأنه سجن وأغلال تعيق الحرية في داخل شبكتك وهي كذالك حتى في نظر المستخدمين ، لذالك يمكن في كل أسبوع مثلاً ترسل رسالة جماعية توضح فيها الأخطار المحتملــة والفيروسات الجديدة والتحديثات المطلوبه - ولا تنسى إعتذار لطيف بسبب التقصير عن خدمتهم كما يرغبون
=======
تحياتي لكم
بعد أن أصبح الإتصال بالانترنت مطلب مهم تقريباً لكل الشبكات في هذه العصر ، اصبح أيضاً من المهم جداً الحفاض على مستوى الأمن بقدر مانستطيع ، فالأخطار المحتملة قريبة جداً منك ، بريد ملوث ، إنسان حقود ، متطفل ماهر ، موظف كسول !!.
ومع تقدم التقنية الحديثة في عمل الشبكات والأنظمة أصبح الحفاض على مستوى من الأمن جيد في متناول يد الجميع مع قليل من الجهد والصبر ، وذالك لأن جميع التقنيات الخاصة بالحماية وحتى برامج الخوادم نفسها تأتي على هئية تناسب الجميع من حيث المواصفات العامة ، ويتبقى عليك تخصيص ما تحتاج إليه حتى يناسب إحتياجاتك الأمنية الظرورية .
وسنقوم في هذه المراجعة السريعة بذكر أكثر ما يفيد في توسيع مفهوم الأمن على الشبكة ووضع بعض النقاط المفيدة :-
تنسيق مقطع النظام بي NTFS
عند تثبيت الويندوز 2000 سيرفر أو المحترف أو الـ XP يصادفك خيار تهيئة المقطع بنظام NTFS وهذا النظام له مزايا في التحكم في مستوى السرية والتشفير للمجلدات والملفات والتحكم بمشاركة على مستوى الملف تتفوق هذه المزايا على نظام الملفات المعروف FAT 32 ، لذلك ينبقي أن يكون كل مقاطع الملقم مهيئة على الـ NTFS ، وإذا كان مقطع النظام كان على الهيئة FAT ثم حولت إلى NTFS تكون قد فقدت بعض الخصائص المهمة على هذا النظام وحتى تعيده إلى وضعه الطبيعي كما لو كنت إخترته من بداية التثبيت .
تأكد من كلمة مرور مدير النظام قوية جداً
في الويندوز 2000 يمكن أن تضع كلمة مرور مكونه من 127 حرف ، وكلما كانت كلمة المرور طويلة كانت قويه والعكس صحيح عندما تكون قصيرة تكون سهلة التخمين والتحليل ، وكذالك الكلمة المشكلة من فئات مختلفة ( حروف ، أرقام ، إشارات ) تكون أكثر قوة من الكلمة ذات الفئة الواحده ، وبالنسبة لسياسة كلمة المرور العامة تنبه لخمس مسائل في غاية الاهمية
حدد عدد كبير لأحرف الكلمة( 7 )
حدد تاريخ إنتهاء قصير ( 30 يوم )
حدد عدد معقول لتكرار الكلمات القديمة ( 7 )
حدد عدد قليل لمحاولات الدخول الفاشلة ( 3 )
إمنع عودة الحساب بعد قفله حتى تسمح أنت بذالك
حماية سياسة كلمة المرور
يمكن وضع ومراقبة كلمات المرور على الشبكة بإستخدام أداة مثل passprop.exe فمع هذه الأداة يمكن أن تمنع حتى المدير من بعض مميزاته على كلمة المرور مثل عدد محاولات الدخول الفاشلة ، ويمكن كذالك أن تحلل كلمات المرور وتجد الكلمات المشابه للتي سبقتها وتجد هذه الأداة ضمن مجموعة أدوات الإدارة من مايكروسوفت .
حماية حساب المدير
كل المحاولات التي تتم لدخول غير المشروع على أنظمة الويندوز سيرفر تكون بإسم مدير النظام administrator ولحماية هذا الحساب بشكل عملي إتبع أربع خطوات نافعة :-
غير الأسم administrator إلى أي اسم آخر
حتى تتأكد من أنه لا يوجد محاولات امسح سجلّ الحدث بانتظام للبحث عن المحاولات لاستعمال هذا الحساب .
إستخدم الأداة passprop للحد من محاولات الدخول الفاشلة بإسم المدير
عطل حساب المدير المحلي
تعطيل الخدمات
في الوضع العادي تكون كثير من الخدمات تعمل بشكل تلقائي على الملقم يجب أن تراجع جميع هذه الخدمات من أجل تعطيل الخدمة التي لا تكون بحاجة ماسة لها ،
إحمي الملفات والأدلة
راجع وثقية نافعة من مايكروسوفت Default Access Control Settings in Windows 2000 لتتعرف على متطلبات الدخول على العناصر المتشاركة على الشبكة وتخصيصها حسب حاجتك
حساب الضيف Guest
في التثبيت الإفتراضي للويندوز 2000 سيرفر يكون حساب الضيف Guest معطل يجب أن تتأكد من ذالك إذا كان غير معطل عطله .
الدخول على registry
في الوضع الإفتراضي يمكن أن يدخل على سجل النظام registry عن بعد كل من مدير النظام administrator و المجموعة Backup Operators حتى تحد من الدخول غير المشروع إتبع المسار التالي في الـ registry ( HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg ) . حدد winreg ثم من Security ثم من Permissions تأكد أنه لا يوجد مستخدمين ولا مجمموعات غير حساب المدير .
إمنع الدخول على قاعدة الأمن المحلية LSA
يجب أن تتعرف على كل المستخدمين المخولين على شبكتك ، وتمنع غير المصرح لهم بالوصول إلى Local Security Authority LSA التي تتضمن كل الحسابات والتصاريح المحلية وللحصول على ضمان كامل بعدم الوصول لهذه القاعدة من محرر السجلregistry إتبع المسار التالي
( HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\LSA)
ثم من المدخل RestrictAnonymous إجعل القيمة =1 .
حمياة الـ Hubs and routers and Cabling
في كثير من كتب الحماية والنشرات والوثائق يهتم الكتاب عن حماية البرامج من الدخول غير المسموح ويستفيضوا في ذالك - أمر مهم - ونادراً ما تجد من يهتم بالمكان الفيزيائي للشبكة فالأجهزة الموصلة للبيانات مثل الهب والسوتش والموجة والكيابل هي نصف الشبكة الفعال ، فإذا استطاع شخص ما الوصول إلى الهب مثلاً مع وصلة وجهاز محمول يكفيه بضع دقائق لينسخ كل بيانات مهمة يريد ، لذالك ينبقي أن تكون كل هذه الأجهزة في مكان مقفل بعيد عن أماكن المرور ، والكيابل يجب أن لا تكون في مكان مكشوف بل داخل الجدران والأسقف ، لأن الإشارة المرسلة من كمبيوتر إلى آخر لا ترسل له فقط وإنما ترسل على كامل الشبكة فإذا كشف كيبل يمكن أن يتم تخزين كل الإشارات المارة
حماية مكان الخادم
مكان الخادم الفيزيائي مهم جداً أيضاً فلا ينبقي الدخول له ، ومكانه دائما مقفل ، وتنبه لمحركات الأقراص وتعطيلها في بداية التشغيل أفضل من البايوس ووضع كلمة مرور قوية عليه
النسخ الإحتياطي backups
عند الموت لا شيئ ينفع لإعادة الحياة ، ولكن حياة الشبكة يمكن أن تعود عندما يكون هناك نسخ دائم للبيانات ، وهي مهمة شاقة احياناً في الشبكات متتعددة المناطق ، ولكنه مهم جداً على كل حال وأشرطة النسخ مثلها مثل الخادم نفسه فكل البيانات الحساسة الموجودة عليه تكون في أشرطة النسخ لذالك ينبقي أن تحفض في مكان أمين جداً وتتلف فوراً عند نسخ نسخ أحدث منها
تثبيت برنامج مضاد للفيروسات
من الأمور البديهية حماية الشبكة بي antivirus وتحديثة بشكل مستمر ( كل ثلاث أيام ) وعند إنتشار فيروس جديد في المنطقة وليس له حمياة مضادة يجب مخاطبة شركة برنامج الفيروسات ومعرفة أفضل السبل والحلول المؤقته له ، ولمتابعة نشرات مايكروسوفت عن الفيروسات من موقعها TechNet Security
متابعة التحديثات
المتابعة الجيدة والمستمرة تريحك من كثير من عناء التثبيت التراكمي للإصلاح ، فالويندوز 4.0 له إلى هذا التاريخ 6 من الـ Service Pack ، والويندوز 2000 له 2 من الـ Service Pack ، وتجد معلومات عن حزم الإصلاح من مايكروسوفت
http://support.microsoft.com/support/conta...act/default.asp
ختاماً
يبدو هذا المنظر من الحماية المتشددة كأنه سجن وأغلال تعيق الحرية في داخل شبكتك وهي كذالك حتى في نظر المستخدمين ، لذالك يمكن في كل أسبوع مثلاً ترسل رسالة جماعية توضح فيها الأخطار المحتملــة والفيروسات الجديدة والتحديثات المطلوبه - ولا تنسى إعتذار لطيف بسبب التقصير عن خدمتهم كما يرغبون
=======
تحياتي لكم