زمان مطالعه : ۷ دقیقه

امروزه سیستم‌عامل‌های ماکروسافت به دلیل محیط گرافیکی راحت و کاربرپسند، یکی از محبوب‌ترین سیستم‌های کلاینت و سرور کشور عزیزمان ایران می‌باشند.
ویندوز سرور شرکت ماکروسافت همچنین دارای ضعف‌های امنیتی در سیستم‌عامل و سرویس‌های خود نیز می‌باشد که مدیران و متخصصین شبکه باید این مشکلات و آسیب‌پذیری های امنیتی را در سیستم‌عامل‌های ویندوز سرور و لینوکس خود شناسایی کرده تا بتوانند در سریع‌ترین زمان جهت افزایش امنیت سیستم‌عامل‌های خود، به حل آن‌ها بپردازند.
من در این مقاله آموزشی چک‌لیستی کامل از تمام نکات امنیتی ویندوز سرور فراهم کردم که به شما عزیزان کمک می‌کند سرویس‌های خود را به‌صورت امن‌تری و با اختلال کمتری در اختیار کاربرانتان قرار دهید.

چک‌لیست امنیتی ویندوز سرور

چک‌لیست امنیتی شبکه و سازمان

  1. حتماً برای هر سرور یک نام اختصاصی لحاظ کنید تا پس از اضافه شدن به Domain Controller و DNS Server دارای یک رکورد منحصربه‌فرد باشد.
  2. محل قرارگیری سرورهای فیزیکی در مکانی امن باشد و تا جای ممکن کسی جز افراد موردنظر به آن‌ها دسترسی نداشته باشند.
  3. حتماً بر روی تمام سرورهایی مورداستفاده کاربران دو کارت شبکه، یکی برای مدیریت سرور و دیگری جهت اتصال کاربران متصل کنید.
  4. حتماً برای هرکدام از کارت شبکه‌های تعریف‌شده بر روی سرور یک کارت شبکه دیگر به‌عنوان Redundancy قرار دهید.
  5. همه سرورها را به‌صورت مرتب و پیوسته بازبینی کنید.
    یک Encryption قوی و مناسب برای Remote Desktop سرورهای شبکه و سازمان خود انتخاب کنید و قابلیت‌های Account Lockout و Session Timeout را برای آن فعال کنید.
  6. قبل از اعمال هر تغییر در سخت‌افزار یا نرم‌افزار سرور، آن تغییر را موردمطالعه فرار داده و آزمایش کنید.
  7. پیوسته ریسک‌ها را آنالیز کنید و فهرستی اولویت‌بندی شده از همه سرورها ایجاد کنید تا اطمینان پیدا کنید که ضعف‌های امنیتی طبق برنامه زمانی‌ترمیم می‌شوند.
  8. پورت‌های مورداستفاده‌ی سازمان را بررسی کرده و دیگر پورت‌های غیرقابل استفاده را مسدود یا بلاک کنید.

چک‌لیست امنیتی سخت افزار ویندوز سرور

  1. بایوس سخت‌افزار سازمانی پسورد تنظیم شود تا از تغییرات غیرمجاز هنگام بالا آمدن سیستم‌عامل جلوگیری شود.
  2. هنکام بوت کردن سیستم‌عامل خود مطمئن شوید عملیات بوت از بوت امن (Secure Boot) استفاده کرده است زیرا Secure Boot تنها سیستم‌عامل و نرم‌افزارهایی را بوت می‌کند که توسط شرکت سازنده دستگاه تأیید شده باشند.
  3. لاگین خودکار با اکانت های گروه Administrators در Recovery Console را غیرفعال کنید.
  4. ترتیب بوت شدن سرورهای فیزیکی یا ماشین‌های مجازی را طوری تنظیم کنید که به‌طور خودکار و غیرمجاز از رسانه‌های دیگر بوت نشوند.

چک‌لیست امنیتی در سیستم عامل ویندوز سرور

  1. مراقب خاموش نشدن سیستم‌عامل در هنگام نصب باشید.
  2. هنگام پیکربندی بر اساس یک نقش خاص از Security Configuration Wizard استفاده کنید.
  3. تمام آپدیت‌هایی چون سرویس پک، Patch های ارائه‌شده توسط شرکت ماکروسافت را بر روی ویندوز سرورهای خود نصب کنید. (می‌توانید ازWSUS یا SCCM برای دریافت جدیدترین آپدیت‌ها می‌توانید استفاده کنید.)
  4. همیشه مطمئن شوید که سیستم‌عامل ازلحاظ امنیتی در شرایط خوبی می‌باشد.
  5. هرگز بر روی سرورهای خود نرم‌افزار های غیر لازم که مخصوص ویندوزهای کلاینت می‌باشد را نصب نکنید.
  6. سرویس‌های غیر لازم بر روی سرورها را غیرفعال کنید.
  7. دسترسی کاربران به سرویس‌های فعال ویندوز سرورها را محدود کنید.
  8. سرویس Telnet را حتماً غیرفعال کنید تا دسترسی ریموت به‌صورت Clear Text از روی ویندوز سرورها غیرفعال شود.
  9. حتماً تنظیمات امنیتی مربوط به CMOS را انجام دهید.
  10. استفاده از آنتی‌ویروس های قدرتمند و تحت شبکه یا حداقل ویندوز دیفندر (Windows Defender) که به‌طور پیش‌فرض در ویندوز سرور ۲۰۱۶ و ویندوز سرور ۲۰۱۹ فعال است و می‌توانید ویندوز دیفندر را را با استفاده از Group Policy، PoweShell، Windows Management Instrumentation (WMI) یا از رابط کاربری خود ویندوز دیفندر پیکربندی کنید.
  11. CD-ROM و USB Driveرا در صورت نیاز با فراهم کردن مباحث امنیتی در سیستم فعال کنید.
  12. اگر در سازمان خود فایروال‌های قدرتمند ندارید هرگز فایروال ویندوز را غیرفعال نکنید و آن را طبق
    Best Practice های ارائه‌شده تنظیم کنید.
  13. دیسک‌های حساس خود در سیستم‌عامل از رمزگذاری دیسک ویندوز (Bitlocker Drive) استفاده کنید.
  14. استفاده از Device Guard کمک می‌کند سیاست‌هایی یک پارچه سازی کد code integrity policy کدام کدهای user mode و kernel mode اجازه دارند بر روی سرور اجرا شوند که از اجرای کدهای مخرب بر روی ویندوز سرور جلوگیری می‌کند.
  15. با استفاده از Operating Management Suite می‌توانید تهدیدهای سیستم عامل‌هایی که نرم‌افزارها و ضدویروس‌هایشان آپدیت نشده است را شناسایی کنید.گزینه Enable LMhosts lookup را حذف کنید.
  16. گزینه NetBIOS over TP/IP را غیرفعال کنید.
  17. گزینه ncacn_ip_tcp را حذف کنید.
  18. پیکربندی Microsoft Network Client و Microsoft Network Server را طوری انجام دهید که ارتباطشان دیجیتالی امضا شود.
  19. Local System NULL session fallback را غیرفعال کنید.

چک‌لیست امنیتی حساب های کاربری ویندوز سرور

  1. یک پسورد پیچیده را برای حساب‌های کاربری خود انتخاب کنید که قابل‌ردیابی نباشد.
  2. سیاست‌های مناسب طبق Best Practice های ارائه‌شده برای Group Policy ها جهت محدودسازی اکانت‌ها تنظیم کنید.
  3. حساب‌های کاربری غیر لازم بر روی سرور و سیستم‌ها را غیرفعال و حذف کنید، مثل حساب کاربری Guest
  4. نام کاربر Administrator را تغییر دهید یا یک اکانت دیگری با همان دسترسی ایجاد کنید و نام کاربر Administrator را غیرفعال کنید.
  5. اگر حساب کاربری IUSR_MACHINE توسط برنامه‌ها استفاده نمی‌شود، آن را غیرفعال کنید.
  6. اگر سرویس anonymous account را استفاده می‌کنید، یک حساب کاربری با دسترسی محدود برای آن ایجاد کنید.
  7. کاربر anonymous نباید دسترسی نوشتن و تغییر محتوای Directory و پوشه‌ها و اجرای دستورات بر روی سرور را داشته باشد.
  8. اگر چندین Web Application بر روی سرور دارید، باید هرکدام کاربر anonymous جداگانه داشته باشد. نباید از اکانت پیش فرضی که برای ASP.NET ایجادشده است استفاده کنید و باید حساب‌های کاربری با دسترسی محدود با کمترین سطح دسترسی برای ASP.NET ایجاد کنید.
  9. یک Password Policy بسیار قوی برای تمام حساب‌های کاربری بر روی سرورها ایجاد کنید.
  10. دسترسی Remote را بر روی سرورها به حداقل برسانید، گروه Everyone را ازAccess this computer from network حذف کنید.
  11. برای هرکدام از مدیران و متخصصین شبکه یک حساب کاربری مجزا ایجاد کنید و از اکانت مشترک استفاده نکنید.
  12. Anonymous Logon یا Null Session را غیرفعال کنید.
  13. کاربران دیگر نباید بتوانند به یکدیگر اجازه‌ی دسترسی دهند و تنها باید دسترسی‌های لازم را به آن‌ها داد.
  14. گروه Administrators نباید برای بیشتر از ۳ کاربر تعریف‌شده باشد.
  15. حتماً از رمزنگاری برای Logon به‌صورت Remote Desktop استفاده کنید.
  16. هرگز به فایلSAM اجازه دسترسی به‌صورت ناشناس و غیرمجاز داده نشود زیرا تمام اطلاعات کاربران و پسورد آن‌ها در آن ذخیره می‌شود (در دوره‌ی CEH به پیدا کردن پسوردهای آن اشاره‌شده است).
  17. ترجمه SID/Name به‌صورت ناشناس را غیرفعال کنید.
  18. شبکه را طوری تنظیم کنید که تنها کاربران احراز هویت شده بتوانند از شبکه و کامپیوترهای آن استفاده کنند.
  19. اکانت‌های میهمان نباید با مجوز سرویس (Log on as a service)، رشته وظایف (log on as a batch job)، را به‌صورت محلی (log on locally) یا از طریق RDP لاگین کنند.
  20. از ارسال پسوردهای رمزنگاری نشده به سرورهای SMB پرهیز کنید.
  21. هرگز کاربران ناشناس نباید به داده‌های اشتراکی دسترسی پیدا کنند.
  22. کامپیوترها در سیستم محلی (Local System)باید امکان احراز هویت برای NTLM را داشته باشند.
  23. انواع رمزنگاری‌ها را برای Kerberos فراهم کنید.
  24. مقادیر LAN Manager hash را ذخیره نکنید.
  25. سطح احراز هویت مدیریت LAN را فقط بر روی NTLMv2 تنظیم کنید و احراز هویت از LM و NTLM را انجام ندهید.

چک‌لیست پیکربندی امنیتی رجیستری ویندوز سرور

  1. راهکارهایی پیدا کنید تا مدیران بتوانند عملکرد و هدف رجیستری را بدانند، زیرا بسیاری از ضعف‌های سیستم‌عامل ویندوز با ترمیم کلیدهای رجیستری انجام می‌شود.
  2. دسترسی به سرویس Remote Registry را غیرفعال کنید تا کاربران ناشناس نتوانند به آن دسترسی یابند.
  3. سرورهای Standalone باید تنظیمات رجیستری NoLMHash را برای امن کردن فایل SAM فعال کنید.
  4. حتماً قابلیت‌های Auditing و Logging را بر روی سرورها فعال کنید.
  5. مقادیر MaxCachedSockets (REG_DWORD)، SmbDeviceEnabled (REG)DWORD، AutoShareServer و AutoShareWks را روی صفر قرار دهید.
  6. تمام مقادیر درون کلید NullSessionShares و NullSessionPipes را پاک‌کنید.

نکات امنیتی فایل، پوشه و Virtual Directory ها

  1. هارددیسک باید چندین پارتیشن داشته باشد.
  2. حتماً فایل سیستم پارتیشن‌های ویندوز سرورتان را NTFS ایجاد کنید.
  3. محتویات هر وب‌سایت را در یک پارتیشن NTFS جدا غیر از Home Directory وب سرور قرار دهید.
  4. دسترسی گروه Anonymous و Everyoneبه پوشه‌های system32 و وب‌سایت را به حداقل برسانید.
  5. مطمئن شوید کاربران عادی به پوشه اصلی یا پوشه‌هایی که اطلاعات مهم و حساس دارید مثل پوشه‌ی اصلی وب سرور، دسترسی نداشته باشند.
  6. قابلیت Remote IIS Administration یا Remote WWW Administration همراه با سرویس  را غیرفعال و حذف کنید.
  7. تمامی ابزار های Resource Kit را به همراه SDK ها باید از روی وب سرور حذف کنید.
  8. از ابزارهای امنیتی Control Flow Guard ویندوز سرور که از نسخه‌ی۲۰۱۶ اضافه گردید برای جلوگیری از حملات تغییر محتوای حافظه  استفاده کنید.
  9. برای دیسک‌های حساس خود در سیستم‌عامل از  رمزگذاری دیسک ویندوز (Bitlocker Drive) استفاده کنید.
  10. Virtual Directory های پر ریسک مثل IISSamples ،IISAdmin ، IISHelp ، Scripts  و IIS Internet Printing  را حذف کنید.
  11. Virtual Directory  مربوط به MSADC را حذف کنید.

نکات امنیتی اشتراک‌گذاری در شبکه

  1. تمامی اشتراک‌گذاری بدون استفاده پیش‌فرض مثل Administrative share را غیرفعال کنید. (دقت کنید سیستم‌های مانیتورینگی مثل SCOM و SCCM از System Center با Administrative Share استفاده می‌کنند.)
  2. حتماً برای اعمال دسترسی‌های مجاز به افراد، در اشتراک‌گذاری فایل‌ها دقت کنید و به همه توسط گروه everyone دسترسی ندهید.
  3. تنها پورت‌های مورداستفاده در File and Printer Sharing را بر روی فایروال اجازه دسترسی دهید.
  4. تنها دسترسی به اینترنت را بر روی پورت‌های ۸۰ یا ۴۴۳ را مجاز کنید.
  5. حتماً برای استفاده از اینترنت پروتکل‌های امن مثل SSL را مورداستفاده قرار دهید.
  6. اگر تعداد افراد استفاده‌کننده از فایل‌های اشتراک‌گذاری مشخص است، حتماً از محدودیت Concurrent Connections استفاده کنید.

نکات امنیتی در مورد وب سرور IIS (میزبان وب‌سایت)

  1. وب سرور IIS  را بر روی Domain Controller  نصب نکنید.
  2. هرگز Home Directory سیستم عامل وب سرور را درون آن قرار ندهید.
  3. حتما تمامی تنظیمات و برنامه های پیش فرض مثل وب سایت IIS را حذف کنید و با دقت آن ها را تنظیم و راه اندازی کنید.
  4. هیچگاه از وب سایت پیشفرض یا Default Site استفده نکنید و یک وب سایت جدید بسازید.
  5. آدرس IP را از Header به دلیل جلوگیری از شناسایی حذف کنید.
  6. ابزار IIS Lockdown را بر روی ویندوز سرور و IIS های قدیمی فعال کنید.
  7. تنظیمات Parent Path وب سرور را غیرفعالکنید.
  8. حتماًCertificate های معتبر و به‌روزی را برای سرورهای خود تهیه کنید و همیشه از آن‌ها اطمینان حاصل کنید.
  9. از معتبر بودن Public Key که مربوط به Certificate تهیه‌شده است و اینکه Revoke نشده باشد مطمئن شوید.
  10. ISAPI Filter غیر قابل‌استفاده را از روی سرور حذف کنید.
  11. دسترسی به فایل Metabase.bin مربوط به وب سرور IIS را همیشه چک کنید.
  12. تنظیمات IIS را به‌گونه‌ای انجام دهید که W3C Extended Log File چک شود.
  13. نصب و راه‌اندازی ابزار امنیتی URLScan را بر روی وب سرور IIS انجام دهید.
  14. اگر سرویس‌های FTP ، SMTP و NNTPرا نیاز ندارید غیرفعال کنید.
  15. اگر سرویس‌های ASP.NET ، ASP.NET State ServiceیاWebDAV توسط برنامه‌ها استفاده نمی‌شود، آن‌ها را غیرفعال کنید. اگر فعال بودند حتماً پارامتر و مباحث امنیتی را رعایت کنید.
  16. اگر Data Access Components را نیاز ندارید حتماً آن را حذف کنید.
  17. اگر MS Index Server را نیاز ندارید نصب نکنید.
  18. گزینه HTML Version ازInternet Service Manager را فعال یا نصب نکنید.
  19. اگر MS FrontPage Server extensions را نیاز ندارید حتماً حذف کنید.
  20. TCP/IP Stack ازلحاظ امنیتی در شرایط خوبی باشد.
  21. پورت‌های NetBIOS و SMB که داری پورت‌های ۱۳۷ ، ۱۳۸ ، ۱۳۹ و ۴۴۵ می باشد را در فایروال مسدود کنید.
  22. پالیسی های مربوط به Recycle Bin و Paging File System را متناسب با وب سرور راه‌اندازی کنید.

نکات امنیتی Log برداری و Audit Policy

  1. Audit Policy را به‌درستی در ویندوز فعال کنید زیرا با استفاده از Audit Policy می‌توانید رخداد و رویدادهاییکه درون ویندوز سرور اتفاق افتاده را از بخش log Security  ویندوز سرور ثبت و بررسی کنید.
  2. ذخیره‌سازی پیوسته Event log را طوری تنظیم کنید که در صورت نیاز بازنویسی شود.
  3. حتماً تلاش‌های ورود ناموفق بر روی سرور را چک کنید.
  4. حداقل باید هرچند وقت یک‌بار Log  های امنیتی درون سرور و شبکه  را پس از آرشیو، تجزیه‌وتحلیل کنید.
  5. حداکثر اندازه Log File شبکه خود را مشخص کنید.
  6. همیشه از تمام ویندوز سرورهای خود در سرور و دیسک مجزا Log برداری کنید و آن‌ها را به‌صورت مرتب موردبررسی قرار دهید.
  7. به‌صورت مرتب و پیوسته از سرورها در فضا یا هارددیسک های جدا Backup بگیرید .(حتماً از نرم‌افزار های قدرتمند Backup گیری  استفاده کنید.)