امنيت كنترل‌كننده‌های دامنه در ويندوز Sever 2003

IRCAR201008070
از آنجايي كه كنترل كننده هاي دامنه از راه هاي مختلف و متعددي بر روي دامنه ويندوز شما و تمامي كامپيوترهايي كه به آن متعلق هستند كنترل دارند، بايد احتياطات لازم را براي حصول اطمينان از اينكه كنترل كننده هاي دامنه شما امن بوده و امن باقي مي­مانند به كار ببنديد. در اين مقاله، تعداد كمي از معيارهاي امنيتي مهم كه بايد در مورد كنترل كننده هاي دامنه در نظر گرفته شوند، مورد بررسي قرار مي­گيرند.

امنيت فيزيكي كنترل كننده هاي دامنه
نخستين گام در امن كردن كنترل كننده هاي دامنه شبكه، حصول اطمينان از اين نكته است كه امكان دسترسي فيزيكي به آنها وجود ندارد. اين بدان معناست كه بايد آنها را در يك اتاق سرور قفل شده كه دسترسي به آن مستقيما و به صورت مستند كنترل مي­شود قرار داد.
البته هيچ راهي براي صد در صد امن كردن يك خانه، يك اتومبيل، يك دفتر كار و يا يك سرور وجود ندارد. معيارهاي امنيتي مختلفي در هر مورد در نظر گرفته مي­شوند، ولي اين كار با هدف غير ممكن ساختن دسترسي خرابكاران به دارايي­هاي شما انجام نمي­شود. بلكه هدف در تمام اين موارد اين است كه كار براي خرابكاران سخت گردد. ايجاد مانع بر سر راه خرابكاران باعث مي­شود كه آنها دست از تلاش براي نفوذ بردارند و همچنين به شما فرصت مي­دهد كه با آنها مقابله نماييد.
امنيت فيزيكي بايد در لايه هاي مختلفي اعمال گردد. قفل اتاق سرور صرفا لايه اول است. اما اگر اين لايه از امنيت به هر دليلي دچار مشكل گردد، بايد موانع امنيتي ديگري نيز بر سر راه فرد خرابكار قرار داشته باشد. استفاده از سيستم هشدار در محل در ورودي اتاق سرور كه در صورت ورود غير مجاز زنگ هشدار را به صدا در آورد، مي­تواند لايه ديگري از امنيت فيزيكي باشد. همچنين در صورتي كه اتاق داراي ورودی‌هاي ديگري مانند پنجره است، اين ورودي­ها نيز بايد در نظر گرفته شده و از سيستم تشخيص حركت استفاده شود.
در هنگام تهيه نقشه امنيت فيزيكي خود، پس از مرحله از خود بپرسيد كه «در صورتيكه اين لايه امنيتي مورد نفوذ قرار گرفت، چه مانعي بر سر راه مهاجم خواهد بود؟» به منظور امنيت بيشتر، موارد زير را در نظر بگيريد:

• حذف كليه درايوهاي خارجي قابل حمل مانند فلاپي درايو، درايورهاي CD و DVD، هارد ديسك­هاي خارجي، دريواهاي zip، درايوهاي حافظه فلش و غيره. اين كار باعث مي­شود كه فرد نفوذگر به سختي قادر باشد يك برنامه را بر روي سرور بارگذاري كرده و يا داده ها را از آن دريافت نمايد. همچنين غير فعال كردن پورت­هايي كه براي اتصال وسايل خارجي مورد استفاده قرار مي­گيرند (پورت­هاي سريال، پورت­هاي موازي، پورت­هاي USB، پورت­هاي SCSI و غيره) نيز در صورتي كه مورد نياز نيستند، توصيه مي­شود.
• قفل كردن كيس به صورتي كه افراد ناشناس قادر به سرقت هارد ديسك يا ضربه وارد كردن به اجزاي سخت افزاري سيستم نباشند.
• قرار دادن سرور در يك كمد يا محفظه قفل شده به طوريكه فرد نفوذگر قادر نباشد به سادگي به منبع تغذيه و UPS سيستم دسترسي پيدا كند.

محافظت از كنترل كننده هاي دامنه در برابر نفوذهاي راه دور
زماني كه از امنيت فيزيكي سرور خود مطمئن شديد، بايد سعي كنيد از دسترسي هكرها و مهاجمان به كنترل كننده هاي دامنه از طريق شبكه جلوگيري كنيد. قطعا بهترين راه براي اين كار اين است كه اين سيستم­ها را از شبكه خارج نماييد كه البته اين كار غير منطقي بوده و آنها را بلا استفاده مي­كند. بنابراين بايد گام­هايي را براي مستحكم ساختن آنها در برابر روش­هاي معمول حمله از راه دور انجام دهيد.

امن كردن حساب­هاي كاربري دامنه
يكي از ساده ترين و معمولترين راه هاي دسترسي به شبكه و كنترل كننده هاي دامنه، ورود با استفاده از يك حساب كاربري و كلمه عبور معتبر است.
فقط دو نكته وجود دارد كه هكرها بايد بدانند تا بتوانند وارد شبكه گردند: يك نام حساب كاربري معتبر و كلمه عبور مربوط به آن حساب كاربري. استفاده از حساب كاربري administrator با نام كاربري Administrator كه هر هكري آن را مي­داند، كار هكرها را بسيار راحت­تر مي­كند. چرا كه در اين صورت هكر مزبور بايد صرفا به دنبال كلمه عبور بگردد. بر خلاف ساير حساب­هاي كاربري، در صورتي كه چندين بار براي ورود به حساب كاربري Administrator با كلمات عبور مختلف تلاش شود، اين حساب قفل نخواهد شد. اين بدان معناست كه فرد هكر به سادگي مي­تواند تا زمان پيدا كردن كلمه عبور، به حدس زدن در مورد آن ادامه دهد.
به همين دليل شما هميشه بايد در ابتداي كار، نام پيش فرض حساب كاربري Administrator را تغيير دهيد. اين كار به اين منظور انجام مي­شود كه حساب كاربري با حق دسترسي administrator به سادگي در اختيار فرد نفوذگر قرار نگيرد. به خاطر داشته باشيد كه شما با اين كارها صرفا سرعت كار فرد نفوذگر را كم مي­كنيد. يك هكر با تجربه و داراي اطلاعات، مي­تواند راه­هاي ديگري براي عبور از معيارهاي امنيتي شما پيدا كند (براي مثال، SID مربوط به حساب administrator قابل تغيير نبوده و هميشه با 500 تمام مي­شود. برنامه هاي نرم افزاري هك وجود دارند كه مي­توانند براي كشف SID و در نتيجه شناسايي حساب كاربري admin مورد استفاده قرار گيرند).
در Server 2003 اين امكان وجود دارد كه حساب كاربري administrator پيش فرض به طور كلي غير فعال گردد. در اين حالت، شما بايد ابتدا يك حساب كاربري ديگر با حق دسترسي administrator ايجاد نماييد. در غير اينصورت قادر نخواهيد بود برخي كارهاي ضروري را انجام دهيد. حساب كاربري مهمان كه به صورت پيش فرض بر روي سيستم وجود دارد، بايد هميشه غير فعال باشد. در صورتي كه شما مايليد حق دسترسي مهمان براي كاربري ايجاد نماييد، يك حساب جديد با نام ديگري ايجاد كرده و حق دسترسي آن را به مهمان محدود نماييد.
تمامي حساب­هاي كاربري و مخصوصا حساب­هاي administrator، بايد كلمات عبور محكمي متشكل از حداقل 8 كاراكتر داشته باشند. اين كلمات عبور بايد شامل حروف كوچك و بزرگ الفبا، ارقام و كاراكترهاي نمادين بوده و از كلمات موجود در ديكشنري نباشند. كاربران بايد بدانند كه نبايد كلمه عبور خود را جايي يادداشت كنند يا آن را در اختيار كسي قرار دهند (مهندسان اجتماعي با پرسيدن كلمه عبور كاربران ناآگاه، به سيستم­هاي شبكه دسترسي پيدا مي­كنند). همچنين بايد سياست مدوني براي تغيير كلمه عبور به طور منظم (مثلا ماهانه) وجود داشته باشد.

تغيير محل پايگاه داده Active Directory
پايگاه داده Active Directory پر از اطلاعات حساس است و بايد در برابر حملات محافظت گردد. يك راه براي محافظت از اين پايگاه داده، انتقال اين فايل­ها از محل پيش فرض آن (بر روي درايو system) است. چرا كه مهاجمان اين محل پيش فرض را مي­شناسند. براي محافظت بيشتر، بهتر است اين فايل­ها بر روي يك درايو ديگر نيز قرار گيرند تا در صورت خرابي ديسك، قابل بازيابي باشند.
اين فايل­ها عبارتند از:

•  Ntds.dit
•  Edb.log
•  Temp.edb

شما مي­توانيد با استفاده از ابزار NTDSUTIL.EXE، پايگاه داده و فايل­هاي log را منتقل نماييد. اين كار را بنا بر دستورات زير انجام دهيد:
1- كنترل كننده دامنه را راه اندازي مجدد نماييد.
2- در زمان راه اندازي مجدد F8 را فشار داده و به منوي Advanced Options دسترسي پيدا كنيد.
3- از اين منو، Directory Services Restore Mode را انتخاب كنيد.
4- اگر بيش از يك ويندوز Server 2003 نصب كرده ايد، ويندوز مورد نظر خود را انتخاب كرده و كليد Enter را فشار دهيد.
5- در زمان ورود، با حساب كاربري administrator كه در طول پروسه DCPROMO براي استفاده براي Active Directory Restore انتخاب شده بود، وارد شويد.
6- روي Start كليك كرده و Run را انتخاب نموده و دستور cmd را تايپ كنيد تا يك پنجره واسط خط دستور باز شود.
7- در پنجره خط دستور، NTDSUTIL.EXE را وارد كنيد.
8- در پيغام NTDSUTIL، FILES را وارد نماييد.
9- پايگاه داده يا فايل لاگي را كه مي­خواهيد انتقال دهيد انتخاب كنيد. دستور MOVE DB TO يا MOVE LOGS TO را وارد كنيد.
10- دوبار دستور QUIT را وارد كنيد تا به محيط خط دستور برگرديد و سپس پنجره واسط خط دستور را ببنديد.
11- دوباره سيستم را راه اندازي مجدد نماييد تا به صورت عادي وارد Server 2003 گرديد.

امن كردن اطلاعات كلمه عبور با Syskey
يكي از حساس­ترين داده هاي ذخيره شده در Active Directory، اطلاعات مربوط به كلمات عبور حساب­هاي دامنه است. System Key (Syskey) براي رمزگذاري اطلاعات كلمه عبور ذخيره شده در پايگاه داده سرويس­هاي دايركتوري روي كنترل كننده دامنه به كار مي­رود.
Syskey در سه مود كار مي­كند. در مود اول، كه بر روي تمامي سيستم­هاي Server 2003 به صورت پيش فرض فعال است، يك كليد سيستم به طور تصادفي توسط كامپيوتر توليد شده و نسخه رمز شده آن نيز به صورت محلي ذخيره مي­شود. در اين مود، شما هنوز مي­توانيد كامپيوتر را به صورت عادي راه اندازي مجدد نماييد.
در مود دوم، كليد سيستم توليد شده و به روشي مشابه مود اول ذخيره مي­شود، ولي يك كلمه عبور ديگر كه توسط administrator انتخاب شده است، محافظت بيشتري ايجاد مي­كند. زماني كه شما سيستم را راه اندازي مجدد مي­نماييد، بايد اين كلمه عبور كليد سيستم را نيز وارد كنيد. اين كلمه عبور اضافي، به صورت محلي ذخيره نمي­شود.
مود سوم، امن ترين مود محافظتي است. كليد توليد شده توسط كامپيوتر بر روي يك فلاپي ديسك ذخيره مي­شود. شما بدون داشتن آن فلاپي، قادر به راه اندازي مجدد سيستم نخواهيد بود.
نكته:
پيش از پياده سازي مودهاي دوم و سوم، فاكتورهاي منطقي را در نظر بگيريد. براي مثال، استفاده از مود سوم به اين معناست كه شما براي راه اندازي مجدد سيستم حتما بايد در محل حضور داشته باشيد و نمي­توانيد اين كار را از راه دور انجام دهيد.
نحوه توليد كليد سيستم به صورت زير است:
1- از منوي Start گزينه Run را انتخاب كرده و دستور cmd را تايپ نماييد.
2- در پنجره واسط خط دستور، SYSKEY را وارد كنيد.
3- بر روي UPDATE كليك كنيد. گزينه ENCRYPTION ENABLED بايد انتخاب شده باشد.
4- براي ايجاد كلمه عبور اضافي در هنگام راه اندازي مجدد، بر روي PASSWORD STARTUP كليك كنيد.
5- يك كلمه عبور قوي وارد كنيد (بين 12 تا 128 كاراكتر)
6- اگر استفاده از كلمه عبور اضافي مورد نظر شما نيست، بر روي SYSTEM GENERATED PASSWORD كليك كنيد.
7- گزينه پيش فرض STORE STARTUP KEY LOCALLY است. اگر مايليد كلمه عبور را بر روي فلاپي ذخيره كنيد، STORE STARTUP KEY ON FLOPPY DISK را انتخاب كنيد.

اگر از مود سوم استفاده مي­كنيد، اطمينان حاصل كنيد كه يك نسخه پشتيبان از فلاپي ديسك مزبور ايجاد كرده باشيد.
بايد بدانيد كه در صورت گم شدن فلاپي ديسك يا خراب شدن آن، يا در صورت فراموش كردن كلمه عبور syskey انتخاب شده توسط administrator، هيچ راهي براي بازيابي نداريد و مجبور خواهيد بود كنترل كننده دامنه را مجددا نصب نماييد.

خلاصه
محافظت از كنترل كننده هاي دامنه، بخشي مهم از استراتژي امنيتي شبكه شما است. در اين مقاله، ما در مورد نحوه محافظت فيزيكي از كنترل كننده هاي دامنه، امن كردن حساب­هاي دامنه، تغيير محل فايل‌هاي پايگاه داده Active Directory، و چگونگي استفاده از ابزار Syskey براي محافظت از اطلاعات كلمات عبور توضيح داديم.