IRCERT - مقالات - Windows XPبخش اول

صفحه اول > مقالات

ایمن سازی Windows XP (بخش 1)

جهت برقراری امنیت نسبی در Windows XP انجام دادن برخی تنظیمات و رعایت بعضی معیارها لازم است. این معیارها در سه سطح مقدماتی، متوسط و پیشرفته قابل دسته بندی است. نکاتی که در زیر ذکر می شود برای نسخه Windows XP Professional بوده و برخی موارد ذکر شده در نسخه Home Edition قابل انجام نیست.

الف) معیارهای مقدماتی امنیتی

1- امنیت فیزیکی

واضح است که جلوگیری از دسترسی فیزیکی افراد غیر مجاز به کامپیوتر ضرروی است و نادیده گرفتن این امر واضح، صحیح نیست. واقعیت این است که بیشترین نفوذ ها به سیستمهای کامپیوتری از درون سازمانها، ادارات یا شرکتها اتفاق می افتد. قفل کردن در اتاقی که کامپوتر در آن قرار دارد، استفاده از قفلهای ویژه برای case، قرار ندادن کلید قفل در کنار کامپیوتر و ... از جمله مواردی است که رعایت آنها اولین سطح امنیت را فراهم می کند.

2- استفاده از قابلیت NTFS

همه درایوهای سیستم خود را بصورت NTFS در آورید. سیستم فایل NTFS سریعتر از FAT32 بوده، امکان مجوز گذاری برای فایلها و پوشه ها را فراهم می کند. همچنین می توانید با امکان EFS اطلاعات خود را به رمز در آورید. برای تبدیل FAT32 به NTFS می توانید از دستور convert.exe و یا نرم افزارPartition Magic استفاده نمایید. (برای استفاده از دستور convert در command prompt بنویسید: convert driveletter: /fs:ntfs)

3- غیر فعال کردن Simple File Sharing

بطور پیش فرض، Windows XP کاربرانی را که می خواهند از طریق شبکه به کامپیوتر متصل شوند، مجبور میکند تا از طریق کاربر Guest وارد شوند. یعنی اگر بدون استفاده از یک فایروال امن به اینترنت متصل شوید، تقریبا هر کسی می تواند به فایلهای share روی کامپوتر شما دسترسی داشته باشد. برای غیر فعال کردن Simple File Sharing مراحل زیر را دنبال کنید :

• به Start > My Computer > Tools > Folder Options مراجعه کنید.
• دکمه View را انتخاب کنید.
• در بخش Advanced Setting علامت Use Simple File Sharing را بردارید و روی Apply کلیک کنید.

4- برای همه کاربران password بگذارید

یک نکته قابل توجه اینکه کاربر Administrator در بخش ControlPanel > User Accounts نمایش داده نمی شود و اگر هنگام نصب برای آن password تعیین نکرده باشیم، هر کسی به راحتی از راه دور یا نزدیک می تواند با مجوز administrator به دستگاه ما دسترسی داشته باشد. جهت گذاشتن password ، می توان از طریق زیر عمل نمود:

Control Panel > Administrative Tools > Computer Management > System Tools > Local Users and Groups > Users

5- استفاده با احتیاط از گروه Administrator

بجز موارد ضرروی برای کاربری که می خواهد با کامپیوتر شما کار کند اکانتی که در گروه administrator باشد درست نکنید. برای کار های معمول با دستگاه خود نیز یک اکانت عادی (limited) استفاده کنید.

6- غیر فعال کردن اکانت Guest

اکانت guest همواره یک روزنه محبوب به کامپیوتر شما برای نفوذگران به شمار می آید. حتی الامکان آنرا غیر فعال کنید و یا در صورت نیاز به وجود آن، یک password مشکل برای آن انتخاب کنید.

7- استفاده از فایروال در صورت ارتباط با شبکه

اگر از شبکه استفاده می کنید و خصوصاً اگر اتصال دائم به اینترنت دارید، حتماً از یک فایروال شخصی(personal firewall) استفاده کنید. به همراه Windows XP یک فایروال بنام ICF وجود، ولی بطور پیش فرض غیر فعال است.برای فعال سازی فایروال ICF مراحل زیر را طی کنید :

• به Control Panel > Network Connections مراجعه کنید.
• بر روی Local Area Connection کلیک راست کنید.
• در بخش Advanced زیر گزینه
Protect my computer and network by limiting or preventing access to this computer from the Internet راانتخاب کنید.

ICF تنها ترافیک ورودی را فیلتر کرده و به ترافیک خروجی کاری ندارد، بنابراین نصب فایروالهای شخصی دیگر پیشنهاد می شود. فایروالهای شخصی معروف عبارتند از ZoneAlarm ، Outpost ، BlackIce ، McAfee و .... البته نمی توان ادعا کرد یک فایروال بهترین است و هیچ ایرادی ندارد، کما اینکه در مورد فایروالهای فوق نیز گزارشات ضد و نقیضی مبتنی بر وجود حفره های امنیتی می رسد. به عنوان مثال در یک گزارش ادعا شده است که ZoneAlarm برای شرکت مایکروسافت جاسوسی می کند؟!!

8- "به روز" نگهداری Windows با hotfix ها و service pack ها

یک روش متداول نفوذگران، استفاده از آخرین شکافهای امنیتی گزارش شده است. 99% نفوذها بخاطر سوء استفاده از شکافهای امنیتی شناخته شده و به روز نگه نداشتن سیستمهای قربانی و نصب نکردن patch های امنیتی است. از امکان Windows Update ویا Automatic Update برای به روز نگهداری Windows خود استفاده نمایید. برای فعال سازی Automatic Update وارد بخش Control Panel ویندوز خود شوید و در مسیر Performance and Maintenance > System تنظیمات مورد نظر خود را در بخش Automatic Update انجام دهید.

9- نصب برنامه های ضد ویروس

از ابتدایی ترین گامها در ایمن سازی سیستم، نصب برنامه های ضد ویروس است. البته درصورتی که آنرا به روز (update) نکنید، تقریباً فایده ای برای شما نخواهد داشت. از جمله ضد ویروسهای معروف Norton و McAfee هستند. McAfee و نسخه های 2002 و 2003 Norton را می توان بمدت یکسال بدون نیاز به خرید به روز نمود.

10- استفاده از password برای Screen Saver

استفاده از password برای Screen Saver باعث می شود اگر برای مدتی از میز کار خود دور شدید، فرد غیر مجاز دیگری نتواند از کامپیوتر شما سوء استفاده نماید. برای password گذاری روی Screensaver باید :

• بر روی desktop کلیک راست کنید.
• گزینه Propertiesرا انتخاب نموده، بخش Screen Saver را انتخاب کنید.
• با تنظیم زمان لازم برای فعال شدن Screen Saveگزینه On resume, display Welcome screen را انتخاب نمایید.

11- ایمنی اطلاعات Backup کامپیوتر

در برخی مؤسسات و شرکتها هزینه زیادی برای بستر سازی امنیت شبکه های کامپیوتری خود و رمزکردن داده های روی کامپیوترها انجام می دهند، ولی با کمال تعجبBackup همان دادهای رمز شده بر روی CD ها و Tapeهایی که نه رمز شده اند و نه قفلی دارند و حتی در برخی موارد در مکان امنی هم نیستند، قرار دارد!

در مقالات بعدی به معیارهای امنیت در سطوح متوسط و پیشرفته نیز اشاره خواهیم کرد.

منبع: Http://www.secinfo.info