امنیت کنترل کننده های دامنه در ویندوز Sever 2003

از آنجایی که کنترل کننده های دامنه از راه های مختلف و متعددی بر روی دامنه ویندوز شما و تمامی کامپیوترهایی که به آن متعلق هستند کنترل دارند، باید احتیاطات لازم را برای حصول اطمینان از اینکه کنترل کننده های دامنه شما امن بوده و امن باقی می مانند به کار ببندید. در این مقاله، تعداد کمی از معیارهای امنیتی مهم که باید در مورد کنترل کننده های دامنه در نظر گرفته شوند، مورد بررسی قرار می گیرند.

امنیت فیزیکی کنترل کننده های دامنه

نخستین گام در امن کردن کنترل کننده های دامنه شبکه، حصول اطمینان از این نکته است که امکان دسترسی فیزیکی به آنها وجود ندارد. این بدان معناست که باید آنها را در یک اتاق سرور قفل شده که دسترسی به آن مستقیما و به صورت مستند کنترل می شود قرار داد.

البته هیچ راهی برای صد در صد امن کردن یک خانه، یک اتومبیل، یک دفتر کار و یا یک سرور وجود ندارد. معیارهای امنیتی مختلفی در هر مورد در نظر گرفته می شوند، ولی این کار با هدف غیر ممکن ساختن دسترسی خرابکاران به دارایی های شما انجام نمی شود. بلکه هدف در تمام این موارد این است که کار برای خرابکاران سخت گردد. ایجاد مانع بر سر راه خرابکاران باعث می شود که آنها دست از تلاش برای نفوذ بردارند و همچنین به شما فرصت می دهد که با آنها مقابله نمایید.

امنیت فیزیکی باید در لایه های مختلفی اعمال گردد. قفل اتاق سرور صرفا لایه اول است. اما اگر این لایه از امنیت به هر دلیلی دچار مشکل گردد، باید موانع امنیتی دیگری نیز بر سر راه فرد خرابکار قرار داشته باشد. استفاده از سیستم هشدار در محل در ورودی اتاق سرور که در صورت ورود غیر مجاز زنگ هشدار را به صدا در آورد، می تواند لایه دیگری از امنیت فیزیکی باشد. همچنین در صورتی که اتاق دارای ورودی های دیگری مانند پنجره است، این ورودی ها نیز باید در نظر گرفته شده و از سیستم تشخیص حرکت استفاده شود.

در هنگام تهیه نقشه امنیت فیزیکی خود، پس از مرحله از خود بپرسید که «در صورتیکه این لایه امنیتی مورد نفوذ قرار گرفت، چه مانعی بر سر راه مهاجم خواهد بود؟» به منظور امنیت بیشتر، موارد زیر را در نظر بگیرید:

· حذف کلیه درایوهای خارجی قابل حمل مانند فلاپی درایو، درایورهای CD و DVD، هارد دیسک های خارجی، دریواهای zip، درایوهای حافظه فلش و غیره. این کار باعث می شود که فرد نفوذگر به سختی قادر باشد یک برنامه را بر روی سرور بارگذاری کرده و یا داده ها را از آن دریافت نماید. همچنین غیر فعال کردن پورت هایی که برای اتصال وسایل خارجی مورد استفاده قرار می گیرند (پورت های سریال، پورت های موازی، پورت های USB، پورت های SCSI و غیره) نیز در صورتی که مورد نیاز نیستند، توصیه می شود.

· قفل کردن کیس به صورتی که افراد ناشناس قادر به سرقت هارد دیسک یا ضربه وارد کردن به اجزای سخت افزاری سیستم نباشند.

· قرار دادن سرور در یک کمد یا محفظه قفل شده به طوریکه فرد نفوذگر قادر نباشد به سادگی به منبع تغذیه و UPS سیستم دسترسی پیدا کند.


محافظت از کنترل کننده های دامنه در برابر نفوذهای راه دور

زمانی که از امنیت فیزیکی سرور خود مطمئن شدید، باید سعی کنید از دسترسی هکرها و مهاجمان به کنترل کننده های دامنه از طریق شبکه جلوگیری کنید. قطعا بهترین راه برای این کار این است که این سیستم ها را از شبکه خارج نمایید که البته این کار غیر منطقی بوده و آنها را بلا استفاده می کند. بنابراین باید گام هایی را برای مستحکم ساختن آنها در برابر روش های معمول حمله از راه دور انجام دهید.


امن کردن حساب های کاربری دامنه

یکی از ساده ترین و معمولترین راه های دسترسی به شبکه و کنترل کننده های دامنه، ورود با استفاده از یک حساب کاربری و کلمه عبور معتبر است.

فقط دو نکته وجود دارد که هکرها باید بدانند تا بتوانند وارد شبکه گردند: یک نام حساب کاربری معتبر و کلمه عبور مربوط به آن حساب کاربری. استفاده از حساب کاربری administrator با نام کاربری Administrator که هر هکری آن را می داند، کار هکرها را بسیار راحت تر می کند. چرا که در این صورت هکر مزبور باید صرفا به دنبال کلمه عبور بگردد. بر خلاف سایر حساب های کاربری، در صورتی که چندین بار برای ورود به حساب کاربری Administrator با کلمات عبور مختلف تلاش شود، این حساب قفل نخواهد شد. این بدان معناست که فرد هکر به سادگی می تواند تا زمان پیدا کردن کلمه عبور، به حدس زدن در مورد آن ادامه دهد.

به همین دلیل شما همیشه باید در ابتدای کار، نام پیش فرض حساب کاربری Administrator را تغییر دهید. این کار به این منظور انجام می شود که حساب کاربری با حق دسترسی administrator به سادگی در اختیار فرد نفوذگر قرار نگیرد. به خاطر داشته باشید که شما با این کارها صرفا سرعت کار فرد نفوذگر را کم می کنید. یک هکر با تجربه و دارای اطلاعات، می تواند راه های دیگری برای عبور از معیارهای امنیتی شما پیدا کند (برای مثال، SID مربوط به حساب administrator قابل تغییر نبوده و همیشه با 500 تمام می شود. برنامه های نرم افزاری هک وجود دارند که می توانند برای کشف SID و در نتیجه شناسایی حساب کاربری admin مورد استفاده قرار گیرند).

در Server 2003 این امکان وجود دارد که حساب کاربری administrator پیش فرض به طور کلی غیر فعال گردد. در این حالت، شما باید ابتدا یک حساب کاربری دیگر با حق دسترسی administrator ایجاد نمایید. در غیر اینصورت قادر نخواهید بود برخی کارهای ضروری را انجام دهید. حساب کاربری مهمان که به صورت پیش فرض بر روی سیستم وجود دارد، باید همیشه غیر فعال باشد. در صورتی که شما مایلید حق دسترسی مهمان برای کاربری ایجاد نمایید، یک حساب جدید با نام دیگری ایجاد کرده و حق دسترسی آن را به مهمان محدود نمایید.

تمامی حساب های کاربری و مخصوصا حساب های administrator، باید کلمات عبور محکمی متشکل از حداقل 8 کاراکتر داشته باشند. این کلمات عبور باید شامل حروف کوچک و بزرگ الفبا، ارقام و کاراکترهای نمادین بوده و از کلمات موجود در دیکشنری نباشند. کاربران باید بدانند که نباید کلمه عبور خود را جایی یادداشت کنند یا آن را در اختیار کسی قرار دهند (مهندسان اجتماعی با پرسیدن کلمه عبور کاربران ناآگاه، به سیستم های شبکه دسترسی پیدا می کنند). همچنین باید سیاست مدونی برای تغییر کلمه عبور به طور منظم (مثلا ماهانه) وجود داشته باشد.


تغییر محل پایگاه داده Active Directory

پایگاه داده Active Directory پر از اطلاعات حساس است و باید در برابر حملات محافظت گردد. یک راه برای محافظت از این پایگاه داده، انتقال این فایل ها از محل پیش فرض آن (بر روی درایو system) است. چرا که مهاجمان این محل پیش فرض را می شناسند. برای محافظت بیشتر، بهتر است این فایل ها بر روی یک درایو دیگر نیز قرار گیرند تا در صورت خرابی دیسک، قابل بازیابی باشند.

این فایل ها عبارتند از:

· Ntds.dit

· Edb.log

· Temp.edb



شما می توانید با استفاده از ابزار NTDSUTIL.EXE، پایگاه داده و فایل های log را منتقل نمایید. این کار را بنا بر دستورات زیر انجام دهید:

1- کنترل کننده دامنه را راه اندازی مجدد نمایید.

2- در زمان راه اندازی مجدد F8 را فشار داده و به منوی Advanced Options دسترسی پیدا کنید.

3- از این منو، Directory Services Restore Mode را انتخاب کنید.

4- اگر بیش از یک ویندوز Server 2003 نصب کرده اید، ویندوز مورد نظر خود را انتخاب کرده و کلید Enter را فشار دهید.

5- در زمان ورود، با حساب کاربری administrator که در طول پروسه DCPROMO برای استفاده برای Active Directory Restore انتخاب شده بود، وارد شوید.

6- روی Start کلیک کرده و Run را انتخاب نموده و دستور cmd را تایپ کنید تا یک پنجره واسط خط دستور باز شود.

7- در پنجره خط دستور، NTDSUTIL.EXE را وارد کنید.

8- در پیغام NTDSUTIL، FILES را وارد نمایید.

9- پایگاه داده یا فایل لاگی را که می خواهید انتقال دهید انتخاب کنید. دستور MOVE DB TO یا MOVE LOGS TO را وارد کنید.

10- دوبار دستور QUIT را وارد کنید تا به محیط خط دستور برگردید و سپس پنجره واسط خط دستور را ببندید.

11- دوباره سیستم را راه اندازی مجدد نمایید تا به صورت عادی وارد Server 2003 گردید.


امن کردن اطلاعات کلمه عبور با Syskey

یکی از حساس ترین داده های ذخیره شده در Active Directory، اطلاعات مربوط به کلمات عبور حساب های دامنه است. System Key (Syskey) برای رمزگذاری اطلاعات کلمه عبور ذخیره شده در پایگاه داده سرویس های دایرکتوری روی کنترل کننده دامنه به کار می رود.

Syskey در سه مود کار می کند. در مود اول، که بر روی تمامی سیستم های Server 2003 به صورت پیش فرض فعال است، یک کلید سیستم به طور تصادفی توسط کامپیوتر تولید شده و نسخه رمز شده آن نیز به صورت محلی ذخیره می شود. در این مود، شما هنوز می توانید کامپیوتر را به صورت عادی راه اندازی مجدد نمایید.

در مود دوم، کلید سیستم تولید شده و به روشی مشابه مود اول ذخیره می شود، ولی یک کلمه عبور دیگر که توسط administrator انتخاب شده است، محافظت بیشتری ایجاد می کند. زمانی که شما سیستم را راه اندازی مجدد می نمایید، باید این کلمه عبور کلید سیستم را نیز وارد کنید. این کلمه عبور اضافی، به صورت محلی ذخیره نمی شود.

مود سوم، امن ترین مود محافظتی است. کلید تولید شده توسط کامپیوتر بر روی یک فلاپی دیسک ذخیره می شود. شما بدون داشتن آن فلاپی، قادر به راه اندازی مجدد سیستم نخواهید بود.


نکته:

پیش از پیاده سازی مودهای دوم و سوم، فاکتورهای منطقی را در نظر بگیرید. برای مثال، استفاده از مود سوم به این معناست که شما برای راه اندازی مجدد سیستم حتما باید در محل حضور داشته باشید و نمی توانید این کار را از راه دور انجام دهید.



نحوه تولید کلید سیستم به صورت زیر است:

1- از منوی Start گزینه Run را انتخاب کرده و دستور cmd را تایپ نمایید.

2- در پنجره واسط خط دستور، SYSKEY را وارد کنید.

3- بر روی UPDATE کلیک کنید. گزینه ENCRYPTION ENABLED باید انتخاب شده باشد.

4- برای ایجاد کلمه عبور اضافی در هنگام راه اندازی مجدد، بر روی PASSWORD STARTUP کلیک کنید.

5- یک کلمه عبور قوی وارد کنید (بین 12 تا 128 کاراکتر)

6- اگر استفاده از کلمه عبور اضافی مورد نظر شما نیست، بر روی SYSTEM GENERATED PASSWORD کلیک کنید.

7- گزینه پیش فرض STORE STARTUP KEY LOCALLY است. اگر مایلید کلمه عبور را بر روی فلاپی ذخیره کنید، STORE STARTUP KEY ON FLOPPY DISK را انتخاب کنید.

اگر از مود سوم استفاده می کنید، اطمینان حاصل کنید که یک نسخه پشتیبان از فلاپی دیسک مزبور ایجاد کرده باشید.

باید بدانید که در صورت گم شدن فلاپی دیسک یا خراب شدن آن، یا در صورت فراموش کردن کلمه عبور syskey انتخاب شده توسط administrator، هیچ راهی برای بازیابی ندارید و مجبور خواهید بود کنترل کننده دامنه را مجددا نصب نمایید.


خلاصه

محافظت از کنترل کننده های دامنه، بخشی مهم از استراتژی امنیتی شبکه شما است. در این مقاله، ما در مورد نحوه محافظت فیزیکی از کنترل کننده های دامنه، امن کردن حساب های دامنه، تغییر محل فایل های پایگاه داده Active Directory، و چگونگی استفاده از ابزار Syskey برای محافظت از اطلاعات کلمات عبور توضیح دادیم.