در این سری از مقالات سعی خواهد شد به بررسی مواردی پرداخته شود که بوسیله آنها می‌توان ساختار را امن تر کرد. در اصطلاحات شبکه‌ای به این موضوع Server Hardening گفته می‌شود. در این حالت تنظیم‌هایی بر روی سرورها انجام می‌شود تا در مقابل حملات هکرها و نفوذگران مقاومتر باشند و تا حدی جلوی حملات هکرها گرفته شود.

این مقالات دارای چندین بخش خواهد بود و احتمالا تا زمانی که بشود این سری از مقالات ادامه پیدا خواهند کرد. در قسمت اول می‌خواهیم به امن سازی سرورهای اکتیو دایرکتوری بپردازیم.

امن سازی سرورهای اکتیو دایرکتوری

سرورهای اکتیو دایرکتوری از مهمترین و حیاتی ترین سرورهای سازمانی می‌باشند. این سرورها در صورتی که هک شوند تقریبا کل سازمان را درگیر خواهند کرد. به همین خاطر باید این سرورها امن سازی شوند. اکتیو دایرکتوری ابزارهای بسیار زیادی درون خود برای برقراری امنیت دارد. اما رعایت نکردن یک سری از مسایل باعث می‌شود این سرورها دچار مشکلات امنیتی زیادی شوند.

گروه‌های ادمین را پاکسازی کنید

بر روی ساختار اکتیو دایرکتوری چندین گروه بصورت پیش فرض مجوزهای بسیار سطح بالا را دارا می‌باشند.

Administrators

Domain Admins

Enterprise Admins
 
Schema Admins

Account Operators

Backup Operators

تمامی عضوهای این گروه باید واقعا به این عضویت نیاز داشته باشند. یعنی نیازی نیست که برای ادمین شدن یک نفر بر روی کامپیوتر خود مجوز Domain Admins به آن کاربر ارائه شود. این نوع دسترسی باعث می‌شود که بشدت امنیت ما به خطر افتاده و ما را دچار مشکلات بسیار زیادی کند. برای اینکه بخواهیم به فردی اجازه دسترسی بدهیم باید حتما بر اساس  Least-Privilege رفتار کنیم. در این روش باید کمترین مقدار مورد درخواست کاربر برای دسترسی را به اون بدهیم. در حدی که برای انجام کار خود دچار مشکل نگردد و از طرفی بیش از میزان مورد نیاز هم دسترسی به او داده نشود.

https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/implementing-least-privilege-administrative-models

مقاله بالا در سایت مایکروسافت در این مورد بسیار مفصل و خوب توضیحاتی را ارائه کرده است که به تمامی دوستان پیشنهاد می‌شود که آن را مطالعه نمایند.

کلا باید سیاست حداقل دسترسی برای ادمین‌های سازمانی به یک مورد پیش فرض تبدیل شود و شعار آن دسترسی به اندازی کافی باشد. در این حالت می‌توان بسیاری از مواردی که امنیت سازمانی را به خطر می‌اندازند را پیشگیری کرد.

ویندوزهای خود را آپدیت کنید

حتما و حتما ویندوزهای سرور خود را آپدیت کنید. مطمئن باشید که آپدیت نکردن ویندوزها صدمات بسیار زیادی به شما وارد می‌کند در مقابل اینکه شما ویندوزهای خود را آپدیت نکنید. این فرآیند اهمیت بسیار بالایی دارد.

برای ادمین‌ها Account جداگانه ایجاد کنید

به هیچ عنوان از کاربرهای اشتراکی مخصوصا برای مدیریت سرویس‌ها استفاده نکنید. این موضوع بسیار از لحاظ امنیتی خطرناک می‌باشد و باعث می‌شود که با مشکلات زیادی مواجه گردید. به ادمین‌های خود یادآور شوید که باید برای کارهای مدیریتی از اکانت‌های مخصوص استفاده کنند و در اکثر موارد برای ورود به سیستم خود و انجام کارهای روزمره مانند چک کردن اتوماسیون و ورود به کامپیوتر سازمانی حتما از کاربری با سطح دسترسی معمولی استفاده کنند. 

اهمیت این موضوع را با شدت بالایی به ادمین‌های خود یادآور شوید.

سیاست‌های پسورد را جدی بگیرید

همه موارد بالا در صورتی که از سیاست‌ پسورد قوی استفاده نکنید دارای نقطه ضعف خواهند بود. حتما کابران و ادمین‌های خود را مجبور کنید که از پسوردهای طولانی استفاده کنند و در بازه‌های زمانی مشخص مجبور به تغییر پسورد شوند. در صورتی که پسوردی چند بار اشتباه زده شد باید اکانت مورد نظر قفل شود و سپس طبق سیاست مشخصی از حالت قفل خارج گردد.

از ابزارهای آنالیز لاگ استفاده کنید

حتما از ابزارهای آنالیز لاگ استفاده کنید تا بتوانید به راحتی موارد غیر معقول را شناسایی و بررسی کنید. شرکت کاوش اطلاعات رادین پارسیان ابزارهای بسیار کاملی در این زمینه ارائه می‌کند که می‌تواند راهگشای شرکت‌ها و سازمان‌ها باشد. این ابزارها به ما اجازه می‌دهد که بتوانیم ورود و خروج و تغییرات بر روی ساختار و سرورهای خود را بخوبی دیده و تصمیم‌های اساسی در این زمینه اتخاذ کنیم.

کامپیوترهای و کاربران قدیمی را پاک کنید

حتما باید کامپیوترها و یوزرهایی که دیگر در ساختار وجود ندارند و یا اینکه این حساب‌های کاربری دیگر استفاده نمی‌شوند را Disable در صورتی که واقعا به آنها نیازی نمی‌باشد پاک کنید.

نرم افزارهای اضافی بر روی سرورها نصب نکنید

به یاد داشته باشید که هر نرم افزاری که شما بر روی سرور نصب می‌کنید باید آخرین نسخه باشد و به هیچ عنوان نرم افزارهای اضافی بر روی سرورها وجود نداشته باشد. تنها ابزارهایی باید بر روی سرور وجود داشته باشد که نبود آنها باعث عدم سرویس دهی می‌شود. مثلا نصب کردن فایرفاکس بر روی سرور هیچ گونه توجیهی ندارد و در صورتی که باید چیزی چک شود باید از بیرون از سرور تست شود نه اینکه بخاطر راحتی برنامه نویس و یا ادمین سرویس شما ابزارهایی که می‌تواند امنیت سازمان و سرورهای سازمانی را بخطر بیاندازد نصب کنید. این موضوع از اهمیت بسیار بالایی برخوردار می‌باشد.

سرورها نیازی به اینترنت ندارند

به یاد داشته باشید که اکثر سرورها و سرویس‌های سازمانی هیچ نیازی به اینترنت ندارند و دسترسی سرورها به اینترنت باید بر اساس یک سیاست سخت گیرانه صورت گیرد. فقط در صورتی که نیاز هست به سرورهای خود دسترسی اینترنت بدهید. در ضمن برای اینکه سروری از بیرون سازمان دیده شود و بتواند سرویس دهد نیازی به دسترسی آن سرور به اینترنت وجود ندارد و اکثر فایروال‌های سازمانی می‌توانند این دسترسی از بیرون را امکان پذیر کنند بدون اینکه نیاز باشد خود سرور به اینترنت دسترسی داشته باشد.