IRCERT - مقالات - Windows XPبخش اول

صفحه اول > مقالات

ايمن سازي Windows XP (بخش 1)

جهت برقراري امنيت نسبي در Windows XP انجام دادن برخي تنظيمات و رعايت بعضي معيارها لازم است. اين معيارها در سه سطح مقدماتي، متوسط و پيشرفته قابل دسته بندي است. نکاتي که در زير ذکر مي شود براي نسخه Windows XP Professional بوده و برخي موارد ذکر شده در نسخه Home Edition قابل انجام نيست.

الف) معيارهاي مقدماتي امنيتي

1- امنيت فيزيکي

واضح است که جلوگيري از دسترسي فيزيکي افراد غير مجاز به کامپيوتر ضرروي است و ناديده گرفتن اين امر واضح، صحيح نيست. واقعيت اين است که بيشترين نفوذ ها به سيستمهاي کامپيوتري از درون سازمانها، ادارات يا شرکتها اتفاق مي افتد. قفل کردن در اتاقي که کامپوتر در آن قرار دارد، استفاده از قفلهاي ويژه براي case، قرار ندادن کليد قفل در کنار کامپيوتر و ... از جمله مواردي است که رعايت آنها اولين سطح امنيت را فراهم مي کند.

2- استفاده از قابليت NTFS

همه درايوهاي سيستم خود را بصورت NTFS در آوريد. سيستم فايل NTFS سريعتر از FAT32 بوده، امکان مجوز گذاري براي فايلها و پوشه ها را فراهم مي کند. همچنين مي توانيد با امکان EFS اطلاعات خود را به رمز در آوريد. براي تبديل FAT32 به NTFS مي توانيد از دستور convert.exe و يا نرم افزارPartition Magic استفاده نماييد. (براي استفاده از دستور convert در command prompt بنويسيد: convert driveletter: /fs:ntfs)

3- غير فعال کردن Simple File Sharing

بطور پيش فرض، Windows XP کاربراني را که مي خواهند از طريق شبکه به کامپيوتر متصل شوند، مجبور ميکند تا از طريق کاربر Guest وارد شوند. يعني اگر بدون استفاده از يک فايروال امن به اينترنت متصل شويد، تقريبا هر کسي مي تواند به فايلهاي share روي کامپوتر شما دسترسي داشته باشد. براي غير فعال کردن Simple File Sharing مراحل زير را دنبال كنيد :

• به Start > My Computer > Tools > Folder Options مراجعه کنيد.
• دکمه View را انتخاب کنيد.
• در بخش Advanced Setting علامت Use Simple File Sharing را برداريد و روي Apply کليک كنيد.

4- براي همه کاربران password بگذاريد

يک نکته قابل توجه اينکه کاربر Administrator در بخش ControlPanel > User Accounts نمايش داده نمي شود و اگر هنگام نصب براي آن password تعيين نکرده باشيم، هر کسي به راحتي از راه دور يا نزديک مي تواند با مجوز administrator به دستگاه ما دسترسي داشته باشد. جهت گذاشتن password ، مي توان از طريق زير عمل نمود:

Control Panel > Administrative Tools > Computer Management > System Tools > Local Users and Groups > Users

5- استفاده با احتياط از گروه Administrator

بجز موارد ضرروي براي کاربري که مي خواهد با کامپيوتر شما کار کند اکانتي که در گروه administrator باشد درست نکنيد. براي کار هاي معمول با دستگاه خود نيز يک اکانت عادي (limited) استفاده كنيد.

6- غير فعال کردن اکانت Guest

اکانت guest همواره يک روزنه محبوب به کامپيوتر شما براي نفوذگران به شمار مي آيد. حتي الامکان آنرا غير فعال كنيد و يا در صورت نياز به وجود آن، يک password مشكل براي آن انتخاب كنيد.

7- استفاده از فايروال در صورت ارتباط با شبکه

اگر از شبکه استفاده مي کنيد و خصوصاً اگر اتصال دائم به اينترنت داريد، حتماً از يک فايروال شخصي(personal firewall) استفاده كنيد. به همراه Windows XP يک فايروال بنام ICF وجود، ولي بطور پيش فرض غير فعال است.براي فعال سازي فايروال ICF مراحل زير را طي كنيد :

• به Control Panel > Network Connections مراجعه کنيد.
• بر روي Local Area Connection کليک راست كنيد.
• در بخش Advanced زير گزينه
Protect my computer and network by limiting or preventing access to this computer from the Internet راانتخاب كنيد.

ICF تنها ترافيک ورودي را فيلتر کرده و به ترافيک خروجي کاري ندارد، بنابراين نصب فايروالهاي شخصي ديگر پيشنهاد مي شود. فايروالهاي شخصي معروف عبارتند از ZoneAlarm ، Outpost ، BlackIce ، McAfee و .... البته نمي توان ادعا كرد يک فايروال بهترين است و هيچ ايرادي ندارد، کما اينکه در مورد فايروالهاي فوق نيز گزارشات ضد و نقيضي مبتني بر وجود حفره هاي امنيتي مي رسد. به عنوان مثال در يک گزارش ادعا شده است که ZoneAlarm براي شرکت مايکروسافت جاسوسي مي کند؟!!

8- "به روز" نگهداري Windows با hotfix ها و service pack ها

يک روش متداول نفوذگران، استفاده از آخرين شکافهاي امنيتي گزارش شده است. 99% نفوذها بخاطر سوء استفاده از شکافهاي امنيتي شناخته شده و به روز نگه نداشتن سيستمهاي قرباني و نصب نکردن patch هاي امنيتي است. از امکان Windows Update ويا Automatic Update براي به روز نگهداري Windows خود استفاده نماييد. براي فعال سازي Automatic Update وارد بخش Control Panel ويندوز خود شويد و در مسير Performance and Maintenance > System تنظيمات مورد نظر خود را در بخش Automatic Update انجام دهيد.

9- نصب برنامه هاي ضد ويروس

از ابتدايي ترين گامها در ايمن سازي سيستم، نصب برنامه هاي ضد ويروس است. البته درصورتي كه آنرا به روز (update) نکنيد، تقريباً فايده اي براي شما نخواهد داشت. از جمله ضد ويروسهاي معروف Norton و McAfee هستند. McAfee و نسخه هاي 2002 و 2003 Norton را مي توان بمدت يکسال بدون نياز به خريد به روز نمود.

10- استفاده از password براي Screen Saver

استفاده از password براي Screen Saver باعث مي شود اگر براي مدتي از ميز کار خود دور شديد، فرد غير مجاز ديگري نتواند از کامپيوتر شما سوء استفاده نمايد. براي password گذاري روي Screensaver بايد :

• بر روي desktop کليک راست کنيد.
• گزينه Propertiesرا انتخاب نموده، بخش Screen Saver را انتخاب کنيد.
• با تنظيم زمان لازم براي فعال شدن Screen Saveگزينه On resume, display Welcome screen را انتخاب نماييد.

11- ايمني اطلاعات Backup کامپيوتر

در برخي مؤسسات و شرکتها هزينه زيادي براي بستر سازي امنيت شبکه هاي کامپيوتري خود و رمزکردن داده هاي روي کامپيوترها انجام مي دهند، ولي با کمال تعجبBackup همان دادهاي رمز شده بر روي CD ها و Tapeهايي که نه رمز شده اند و نه قفلي دارند و حتي در برخي موارد در مکان امني هم نيستند، قرار دارد!

در مقالات بعدي به معيارهاي امنيت در سطوح متوسط و پيشرفته نيز اشاره خواهيم كرد.

منبع: Http://www.secinfo.info