یکشنبه , ۳۱ تیر ۱۳۹۷

بررسی ویژگی‌های جدید امنیتی ویندوز سرور ۲۰۱۲ (بخش اول)

 

امنیت ویندوز سرور ۲۰۱۲

با انتشار ويندوز8  و مواجه شدن مردم با رابط كاربري جديد مترو مايكروسافت، بسياري از مردم متعجب شده و با خود مي‌گويند آیا واقعاً اين سيستم‌عامل براي من مناسب است؟ اين وضعيت در حالي است كه تغييرات مايكروسافت در سيستم‌عامل جديدش بسيار بيشتر از تغيير رابط كاربري مترو است و افرادي كه ويندوز سرور 2012 را نصب كرده باشند يا سيستم‌عامل سرور 2008 خود را به ويندوز سرور 2012 ارتقا داده‌اند، به‌خوبي اين موضوع و سطح گستردگي تغييرات را درك خواهند كرد. البته آن‌ها هم دچار ترديد مي‌شوند كه چنين محصولي براي‌شان مناسب است يا خير! در ماه ژوئن، الیور ریست از تيم نويسندگان سايت اينفوورلد به من گفت: «وقتي مايكروسافت مي‌گويد ويندوز8 يك انتشار بزرگ و اصلي است، شوخي نمي‌كند.» اين شركت در ويندوز سرور 2012 قاعده بازي را تغيير داده و در تمام بخش‌ها مانند اشتراك‌گذاري فايل‌ها (File Sharing)، شناسايي (Identity)، ذخيره‌سازي (Storage)، ساختار دسكتاپ مجازي، مجازي‌سازي سرور و كلاود، شاهد ويژگي‌ها و تغييرات جديدي هستيم. من به همه اين تغييرات مي‌خواهم پيشرفت‌هاي امنيتي ويندوز سرور 2012 را نيز اضافه كنم كه به‌‌تنهايي ممكن است عاملی براي استقبال و خريد سازمان‌ها و شركت‌ها از اين سيستم‌عامل سرور باشد. در ادامه مي‌خواهیم اين پيشرفت‌هاي امنيتي مايكروسافت در ويندوز سرور 2012 را به‌طور سريع مرور كنیم.

 

بوت امن با UEFI
همانند ويندوز8، در ويندوز سرور 2012 نيز ROM-BIOS سنتي جاي خود را به استاندارد جديد صنعتي و بهبوديافته بوت موسوم به UEFI (سرنامUnified Extensible Firmware Interface) داده است. مايكروسافت در اين بوت از نسخه 2.3.1 با امنیت تقویت شده استفاده كرده است كه مانع از به‌روزرساني كدهاي بوت بدون داشتن گواهي‌نامه معتبر يا امضاي ديجيتالي مي‌شود. در ويندوز8 و ويندوز سرور 2012 براي دستكاري فرآيند بوت يا به‌روزرساني آن بايد گواهي‌نامه معتبر از مايكروسافت يا شركت‌هاي همكار آن تهيه كنيد. در حقيقت توسعه بوت ويندوز مستلزم طي كردن فرآيندهاي اعتبارسنجي و تأييد هويت است و تا قابل اعتماد نباشيد، نمي‌توانيد در كل بوت ويندوز8 تغييري ايجاد كنيد. اين فرآيند كه از آن به عنوان بوت امن نام برده مي‌شود، مي‌تواند از بسياري تهديدات و خطرات مبتني‌بر اجراي كدهاي مخرب مانند روت‌كيت‌ها و ويروس‌هاي مبتني‌بر بوت جلوگيري كند و امكان به دست گرفتن كنترل سيستم‌عامل را كاهش دهد.

رمزنگاري داده‌ها در مراكز داده با BitLocker
ابزار BitLocker بالاخره براي سرورها قابل استفاده شد. تا قبل از عرضه ويندوز سرور 2012 براي استفاده از BitLocker در سرورها یا بايد از مود TPM(سرنامTrusted Platform Module) مبتني بر چيپ‌ست استفاده مي‌شد كه يكي از ضعيف‌ترين روش‌هاي رمزنگاري از نظر اجرايي است یا باید در هربار بوت، یکی از مدیران سیستم براي وارد كردن پين‌كد، رمزعبور يا كليدهاي USB حاضر می‌شد. همچنین، اين ابزار روي مراكز داده به‌خوبي كار نمي‌كرد. اما نسخه جديد ابزار رمزنگاري درايوهاي BitLocker كه به ويندوز سرور 2012 (و البته ويندوز8) افزوده شده است، به مديران سرور اجازه مي‌دهد تا بدون هيچ دردسري قابليت‌هاي رمزنگاري ديسك را فعال كنند. به‌طور خاص، بسياري از مديران شبكه‌ علاقه‌مند هستند از حالت محافظ شبکه (network protecter) استفاده کرده وبتوانند به‌طور خودكار ديسك‌هاي رمزنگاري شده را بازگشايي كرده و تا زمانی كه سرور به شبكه متصل است، به‌طور معمولي با اكتيو دايركتوري كار كنند. با بهبودهايي كه در نسخه جديد BitLocker صورت گرفته است، از رمزنگاري سخت‌افزاري ديسك‌ها كه تحت عناوين SED يا ED شناخته مي‌شوند، حساب‌هاي كاربري اكتيو دايركتوري و گروه‌هاي كاري محافظت شده، پشتيباني مي‌شود. همچنین، مي‌توان از رمزنگاري Cluster-Aware استفاده كرد كه اجازه مي‌دهد يك ديسك به‌طور صحيحي به حالت Failover (حالتي كه ديسك به‌طور خودكار به حالت افزونگي يا استندباي مي‌رود) برود و براي كامپيوترهاي عضو كلاستر، از حالت رمزنگاري خارج شود. با اين ويژگي‌هاي پيشرفته BitLocker، ويندوز سرور 2012 به‌راحتي مي‌تواند اقدام به رمزنگاري اطلاعات و ديسك‌ها کند.

اجراي زود هنگام  ضدبدافزار
يكي ديگر از وجه اشتراك‌هاي امنيتي ويندوز8  و ويندوز سرور 2012 در ELAM (Early Launch Anti-Malware) است كه اجازه مي‌دهد يك نرم‌افزار ضدبدافزار احراز هويت شده و داراي گواهي‌نامه معتبر يا امضاي ديجيتالي، خيلي سريع و بعد از بوت اوليه UEFI اجرا شود. اين روش كمك مي‌كند كه يك برنامه امنيتي سالم و مطمئن قبل از كدهاي ويروس‌ها يا بدافزارهاي ديگر به حافظه و منابع ديگر سيستم دسترسي داشته باشد و كار خود را شروع كند. تا قبل از ELAM كدهاي مخرب بدافزارها مي‌توانستند با روش زنجيره‌اي بردارها يا وقفه‌ها (interrupt or vector chaining) قبل از برنامه‌هاي ديگر اجرا شوند و كنترل سيستم‌عامل را به‌دست بگيرند و اجازه اجراي برنامه‌های ضدبدافزار را ندهند.

 

DNS امن
اغراق‌آميز نيست اگر بگوييم استفاده از DNS در سرورها بدون قابليت DNSSEC اصلاً امن و قابل اعتماد نيست. ابزار DNSSEC سروري را كه مي‌خواهد به يك درخواست DNS جواب بدهد، مجبور مي‌كند تا پاسخ خود را با کلیدهای دیجیتال امضا کرده و اثبات کند که مالک آن ناحیه یا Zone خاص است. در ويندوز سرور 2008 R2 و حتي قبل از آن، در ويندوز ويستا قابليت DNSSEC وجود داشت اما با سكوهايي غير از سكوي مايكروسافت قابل استفاده نبودند. در اين وضعيت چون هر سرور DNS با زنجيره‌اي از درخواست‌ها مواجه مي‌شود كه از سوي اينترنت ارسال شده‌اند و براي تمامي آن‌ها نياز به اجرا و استفاده از DNSSEC هست، نمي‌توان فقط محدود به استفاده از Microsoft DNS با قابليت امنيتي DNSSEC بود و يك مشكل اساسي به وجود خواهد آمد. در ويندوز سرور 2012 اين مشكل حل شده است و نه‌تنها DNSSEC با آخرين مستندات RFC و استانداردهاي رمزنگاري سازگاري دارد بلكه از پيكربندي بسيار ساده‌تري بهره مي‌برد. به عبارت ساده، پيكربندي DNSSEC در ويندوز سرور 2008 R2 بيشتر شبيه يك كابوس بود! به انواع دستورات خط فرمان پيچيده نياز داشت، فقط با زون‌هاي (Zone) استاتيك كار مي‌كرد و به بررسي دوباره امضاها هنگامي كه يك ركورد به‌روزرساني مي‌شد، نياز داشت. اما اكنون DNSSEC مبتني بر رابط‌گرافيكي است و با اكتيو دايركتوري مجتمع شده است كه به‌طور خودكار عمليات re-signing را انجام مي‌دهد. DNSSEC در ويندوز سرور 2012 ساده‌تر و به‌روزتر شده است و ديگر فكر نمي‌كنم دليلي براي استفاده نکردن از آن در سازمان‌ها و شركت‌ها به همراه يك يا چند سرور DNS وجود داشته باشد.

طبقه‌بندي اطلاعات
اسناد به‌طور خودكار مي‌توانند براساس محتويات يا ويژگي‌هاي اكتيو دايركتوري طبقه‌بندي شوند. اين طبقه‌بندي مي‌تواند با ويژگي‌هاي جديد طبقه‌بندي و امنيتي ويندوز سرور 2012 تركيب و يكپارچه شده و به‌صورت هوشمندانه و با آگاهي بيشتري استفاده شود. براي مثال، ابزار Management Service مي‌تواند اقدام به رمزنگاري اسنادي كند كه طبقه‌بندي يا محتويات خاصي دارند. همچنين شما مي‌توانيد كاربران و گروه‌هاي كاري را كه به اين محتويات يا طبقه‌بندي خاص دسترسي دارند، كنترل و مديريت كنيد. اين قابليت يك وضعيت شسته و رفته را در‌اختيار شما قرار مي‌دهد و يك ساختار کاملاً مشخص است.

 

منبع: ماهنامه شبکه

Print Friendly, PDF & Email

جوابی بنویسید

ایمیل شما نشر نخواهد شدخانه های ضروری نشانه گذاری شده است. *

*