امن‌سازی حساب‌های سرويس (بخش دوم)

IRCAR201311193
تاريخ: 29/08/92
در بخش دوم از اين مجموعه مقالات، به چك‌هاي پيكربندي و دلايل نياز به امن بودن حساب‌هاي سرويس مي‌پردازيم.

مقدمه
هركس كه با امنيت ويندوز در ارتباط باشد، حساب‌هاي سرويس را مي‌شناسد. تنظيم حساب‌هاي سرويس و حصول اطمينان از اينكه به ازاي هر برنامه نصب شده‌اي كه به آن نياز دارد كار مي‌كنند، دردسر ساز است. ما مي‌دانيم كه حساب‌هاي سرويس به درستي امن نشده‌اند. در واقع حساب‌هاي سرويس از دو جنبه پيچيدگي و امنيت قابل بررسي هستند. با پيش گرفتن گام‌هاي صحيح براي امن‌سازي اين حساب‌ها، سطح كلي حملات براي حساب‌هاي سرويس به شكل قابل توجهي كاهش خواهد يافت.

اطمينان حاصل كنيد كه حساب‌هاي سرويس، حساب‌هاي كاربري انساني نيستند
اغلب مشاهده مي‌شود كه حساب‌هاي سرويس از حساب‌هاي كاربري كارمندان بخش آي‌تي استفاده مي‌كنند. اگرچه دليل اين موضوع قابل درك است، اما نتيجه آن وحشتناك است. دليل اين اتفاق اين است كه كارمندان بخش آي‌تي به دليلي تحت فشار قرار مي‌گيرند تا سريعاً برنامه‌اي را نصب كنند و فرصتي هم براي ايجاد يك كاربر جديد براي اين كار ندارند، لذا براي اين منظور از همان حساب كاربري خودشان استفاده مي‌كنند. اما فاجعه اينجاست كه معمولاً كلمه عبور مورد استفاده از آن زمان تغيير نكرده است.
اين مسأله همچنان ادامه مي‌يابد، چرا كه حساب سرويس اكنون با يك حساب كاربري انساني مرتبط است. نخست اينكه اگر سمت كاربر مذكور تغيير كند و مثلاً از بخش آي‌تي خارج شود، ديگر نبايد آن حساب كاربري مجوز admin آن دامنه را در اختيار داشته باشد. اكنون چه اتفاقي مي‌افتد؟ دوم اينكه اگر اين كاربر شركت را ترك كند، چه اتفاقي براي حساب كاربري وي رخ مي‌دهد؟ اين حساب كاربري بايد به سرعت غيرفعال شده و حذف گردد، اما با توجه به اينكه اين حساب به عنوان يك حساب سرويس نيز مورد استفاده قرار مي‌گيرد، اين كار ممكن نيست. به اين ترتيب يك راه نفوذ براي كارمندي كه شركت را ترك كرده است باقي مي‌ماند. سوم اينكه حتي اگر اين كاربر در بخش آي‌تي باقي بماند، تغيير كلمه عبور براي وي ممكن نخواهد بود، چرا كه سرويسي كه اين حساب سرويس براي آن مورد استفاده قرار مي‌گيرد خراب خواهد شد.
چنين حساب سرويسي بايد تغيير كند. شما بايد تمامي مكان‌هايي را كه اين حساب مورد استفاده قرار گرفته است پيدا كنيد و نام كاربري را به يك حساب سرويس واقعي تغيير دهيد.

اطمينان حاصل كنيد كه حساب‌هاي سرويس داراي محدوديت‌هاي ايستگاه كاري براي ورود هستند
اغلب گفته مي‌شود كه با توجه به اينكه مدير IT تمامي مكان‌هايي را كه حساب سرويس در آن مورد استفاده قرار مي‌گيرد نمي‌داند، كلمات عبور حساب‌هاي سرويس نمي‌توانند تغيير كنند. اما در واقع مدير IT بايد از چنين جزئياتي حتي در محيط‌هاي بسيار بزرگ اطلاع داشته باشد. در واقع در يك محيط بسيار بزرگ اين مسأله اهميت بيشتري پيدا مي‌كند. چرا كه مسائلي مانند آسيب‌پذيري‌ها، كلمات عبور ضعيف و مسائلي از اين قبيل تأثير بيشتري خواهند داشت و حل آنها نيز مشكل‌تر خواهد بود.
در اين موارد به كارمندان IT توصيه مي‌‎شود كه auditing را بر روي كنترل كننده‌هاي دامنه فعال نمايند تا بتوانند ورود اين حساب‌ها را ردگيري كنند. از آنجايي كه اين حساب‌ها فقط توسط سرويس‌ها مورد استفاده قرار مي‌گيرند (نه حساب‌هاي كاربري انساني)، audit با دقت جزئيات اينكه حساب سرويس از كدام سرويس و كدام سرور درخواست ورود داده است را مشخص مي‌كند. توصيه مي‌شود كه بازه‌هاي زماني 30 روزه لاگ برداري گردد تا برنامه‌هايي كه فقط ماهي يك بار مورد استفاده قرار مي‌گيرند، در نظر گرفته شوند.
چند نكته در اين مورد:

• اطمينان حاصل كنيد كه «Audit Account Logon Events» را در GPOيي ست مي‌كنيد كه به كنترل كننده دامنه OU متصل است.
• اطمينان حاصل كنيد كه تمامي لاگ‌هاي امنيتي تمامي كنترل كننده‌هاي دامنه را براي بررسي تمامي ورودها مورد بازبيني قرار دهيد يا اينكه Event Log Forwarding را فعال نماييد تا لاگ‌هاي تمامي كنترل كننده‌هاي دامنه در يك جا متمركز گردد.

وقتي شما فهرستي از هر سروري كه از اين حساب سرويس استفاده كرده است داشته باشيد، مي‌توانيد در مورد پيكربندي صحيح حساب سرويس تصميم‌گيري نماييد. نخست، اگر حساب سرويس بين سرويس‌هاي زيادي مشترك است، مي‌توانيد حساب‌هاي سرويس مجزايي به ازاي هر سرويس ايجاد كنيد تا خطر كلي كاهش يابد. دوم اينكه مي‌توانيد فهرستي از سرورهايي كه اين حساب سرويس مجاز به ورود به آنها است تهيه كنيد. اين مسأله در حساب كاربري در Active Directory قابل پيكربندي است.
كاري كه اين پيكربندي انجام مي‌دهد اين است كه كاربر را فقط به ورود به سرورهاي فهرست محدود مي‌كند. اين كار سطح حمله را از تمامي كامپيوترهاي دامنه به سرورهاي اين فهرست كاهش مي‌دهد.

اطمينان حاصل كنيد كه حساب‌هاي سرويس داراي كلمات عبور امن هستند
بارها در مورد پيكربندي مناسب، طول، تنظيم و مديريت كلمات عبور مرتبط با حساب‌هاي كاربري صحبت كرده‌ايم. در مورد حساب‌هاي سرويس، كلمات عبور بايد از حساب‌هاي كاربري عادي نيز مستحكم‌تر باشند.
از آنجايي كه حساب‌هاي سرويس حساب‌هاي Administrator نيستند و حساب‌هاي كاربران حقيقي نيز نيستند، نياز نيست كلمه عبور اين حساب‌ها به جز در پيكربندي اوليه مورد استفاده قرار گيرد. لذا اين كلمات عبور مي‌توانند طولاني‌تر، پيچيده‌تر، و مستحكم‌تر باشند. در اين مورد كلمات عبوري به‌صورت زير پيشنهاد مي‌شود:

• بيش از 30 كاراكتر
• استفاده از حروف بزرگ، حروف كوچك، ارقام، نشانه‌هاي خاص و فاصله
• استفاده از يك عبارت عبور به جاي كلمه عبور (مثلاً يك جمله بامعنا) در اين موارد توصيه مي‌شود.

خلاصه
حساب‌هاي سرويس يكي از دردسرسازترين و در عين حال مهمترين جنبه‌هاي امن‌سازي زيرساخت ويندوز هستند. شكي وجود ندارد كه ما به حساب‌هاي سرويس احتياج داريم. ما بايد از آنها استفاده كنيم، اما بدون معيارهاي امنيتي خوب، اين حساب‌ها را آسيب‎‌پذير باقي مي‌گذاريم. ما بايد بر روي حساب‌هاي سرويس كنترل داشته باشيم و اطمينان حاصل كنيم كه اين حساب‌ها از بهترين امنيت برخوردار هستند. در اين مقالات به برخي روش‌هاي ساده براي امن‌سازي حساب‌هاي سرويس پرداختيم. نخست، اطمينان حاصل كنيد كه اين حساب‌ها، حساب‌هاي پيش‎‌ساخته administrator نيستند. اين مسأله باعث ايجاد تداخل در نقش‌ها مي‌شود و نبايد اتفاق بيفتد. دوم اطمينان حاصل كنيد كه يك حساب سرويس، يك حساب كاربري انساني نباشد. سوم اينكه محدوديت‌هاي ايستگاه‌هاي كاري براي حساب‌هاي سرويس بايد طوري پيكربندي گردد كه فقط سرورهايي را شامل شود كه حساب سرويس در آنها مورد استفاده قرار مي‌گيرد. اين كار سطح حمله را كاهش مي‌دهد. در نهايت نيز اطمينان حاصل كنيد كه حساب سرويس از يك كلمه عبور طولاني، مستحكم و پيچيده استفاده مي‌كند. اين كلمه عبور بايد بيش از 30 كاراكتر داشته و از تمامي كاراكترهاي ممكن استفاده كند و با سايرين به اشتراك گذاشته نشود.