ویندوز سرور 2003 SP1

مایکروسافت Service Pack1 ویندوز سرور 2003 را با افزایش مسایل امنیتی منتشر کرد و این قدمی است بزرگ در راهی که مابکروسافت برداشته است.

من همیشه از مقالات برای روشن کردن نقاط ضعف امنیتی ویندوز و شرکت مایکروسافت استفاده می کردم ولی این بار می خواهم بر عکس عمل کنم. بعد از انتشار SP1 برای ویندوز 2003 من ستایشگر مایکروسافت شده ام. بعد از هجده ماه از تست نسخه اول، در حال حاضر SP1 منتشر شده است با امکانات امنیتی اضافی ! و من اینجا برخی از امکانات مورد علاقه خود را بیان می کنم:



رویکردی تازه

آنچه که برای من بسیار جالب و حائز اهمیت است تغییر رویکرد امنیتی و بهبود آن است. مایکروسافت SP1 را با تغییرات امنیتی قابل قبولی ارائه داده است. اسناد زیادی حاکی از آن است که مشتریان از عدم وجود امنیت در سرور های خود رنج می برند. آنها همچنین بیان می کنند که مدیریت به روز رسانی ( Update Management ) بسیار وقت گیر و رنج آور است و از همه مهمتر آنکه باید آنها در انتها تست کنند که آیا این به روز رسانی ها با سیستم های بحرانی آنها تداخل دارند یا نه !

همین اسناد حکایت از آن دارد که ره آورد ویندوز سرور امنیت لازم را برای مشتریان ایجاد نمی کند و این وضعیت قابل قبولی برای آنها نمی باشد.

من واقعا متعجب هستم ! نه توجیهی ، نه مراقبتی ، نه سرزنشی، با فروشنده ناز و افاده ای ! آنها خیلی ساده قبول می کنند که مشکل دارند و حالا برخی اصلاحیه های معقول امنیتی را ارائه داده اند.



مرورگر IE امن شده است

بعد از مدتها انتظارات امنیتی ، این بار مرورگر IE با کلی مسایل امنیتی ارائه شده است که فقط نمونه آن را می توان در XP SP2 دید. این به روز رسانی ها شامل برخی اصلاحیه هایی شامل مدیریت بهتر Add-on ها، پشتیبانی بهتر از Group Policy ها، ممانعت از Pop-up ها و موارد بیشمار دیگر. حداقل این خوبی را دارد که دیگر سوء استفاده از IE در ویندوز سرور کمتر می شود ولی بهتر آن است که برای IE امکانات امنیتی بیشتری در نظر بگیریم.



دیواره آتش

در مقاله های قبلی بیان کردم که هنوز یک دیواره آتش کاملی برای ویندوز سرور وجود ندارد ولی مانند آنچه که در XP SP2 نیز وجود دارد دارای امکانات خوبی است ، همچون XP SP2 آن هم از حفاظت در boot-time پشتیبانی می کند ، پیکربندی های محلی، بازرسی ورودی های کاربران ، یکپارچگی بهتردر Group Policy ، پشتیبانی دستورات خط فرمان از آن و دیگر خصیصه های امنیتی خوبی که ارائه داده است. اما هنوز فاقد برخی خصیصه های همچون کنترل ترافیک ورودی و خروجی می باشد ، ولی برای بسیاری از کاربران مبتدی دارای امکانات خوبی است.



نصب به همراه به روز رسانی امنیتی

یک چیز جالب، این موضوع خیلی معمولی و جالب بود : کاربران شروع به نصب ویندوز می کردند و قبل از اینکه اصلاحیه های امنیتی را دریافت و نصب کنند توسط سیستم های دیگر در شبکه ویروسی می شدند و حتی بودن در پشت یک دیواره آتش نیز کفایت نمی کند. اما دیگر این یک مشکل برای گذشته می باشد. در هنگام نصب SP1 ویندوز تمامی ارتباطات بیرونی شبکه قطع می گردد تا عمل نصب تا پایان انجام گیرد و تمامی اصلاحیه های امنیتی نیز نصب گردد و پیکربندی نحوه به روز رسانی پایان یابد. همین موضوع دلیل مهمی می باشد که شما پس از نصب ویندوز 2003 حتما SP1 را نصب کنید.



امنیت RPC و DCOM

اگرچه برای امنیت RPC و DCOM تکنولوژی های مختلفی وجود دارد و اکثر آنها می توانند از سوءاستفاده مصون بمانند. متاسفانه دستیابی به این برنامه ها بسیار پیچیده می باشد. تا الان اسنادی که برای محکم سازی این سرویس ها در دسترس هست بسیار محدود می باشد و بیشتر تکنیک ها هنوز در سطح آزمایشی می باشد. اگر بهترین تلاش را هم به خرج دهید باز هم ناکافی می باشد.

SP1 خصوصیات زیادی را برای مدیریت کنترل دسترسی به RPC و DCOM به وجود آورده است. به وسیله این خصایص می توان دسترسی های روی DCOM را محدود تر کرد. همچنین یک کلید محدود کردن دسترسی در رجیستری وجود دارد به نام RestrictRemoteClients که می توان توسط آن دسترسی راه دور و anonymous را روی سرویس RPC مسدود کرد. همچنین دیواره آتش جدید پشتیبانی بهتری را از سرویس RPC می کند که شامل کنترل هوشمند و جزیی تر روی سرویس RPC می باشد.



پیشگیری از اجرای داده ها

خصیصه های جدید SP1 برای ویندوز امکانی را فراهم می آورد تا از امکانات سخت افزاری سود بهتری برد تا از اجرای کد ها در محیطهای غیر اجرایی جلوگیری کند. همین موضوع باعث جلوگیری از اجرای کدهای سرریزی بافر عمومی می گردد.



ویزاردهای پیکربندی امنیتی

ویزاردهای جدید پیکربندی امنیتی در SP1 باعث می شود که بدون داشتن دانش کافی، امنیت خوبی را برای سرور ایجاد کرد. این ویزاردها بر اساس پیشنهاد هایی می باشد که بر مبنای امنیت بهتر سیستم در نظر گرفته شده است و از طریق فعال و غیر فعال کردن برخی سرویس ها کار را دنبال می کند. حتی اگر از روش های عمومی و یا پیچیده برای محکم سازی استفاده کنید ، SCW به راحتی می تواند روال بندی شود. SCW فایل پیکربندی خود را در یک فایل XML ذخیره می کند و شما می توانید به راحتی با تغییر آن ، نیازهای خود را مرتفع کنید.



Hot Patching

یکی از خصیصه های مورد علاقه من که به تازگی در SP1 ایجاد شده است نصب اصلاحیه ها ، حتی در زمانی که سرویس مورد نظر در حال استفاده باشد، است. همین امر باعث جلوگیری از دوباره راه اندازی های سیستم پس از نصب اصلاحیه ها می گردد. شما فقط در هنگام به روز رسانی کرنل ویندوز نیاز به راه اندازی دوباره سیستم دارید.

SP1 علاوه بر داشتن خصوصیات بالا تمامی اشکالاتی که تا به حا در سرور 2003 وجود داشته است را نیز اصلاح کرده است و پشتیبانی بهتری را نیز از آن می کند و از لحاظ امنیتی نیز استراتژی های جدیدی را در پیش گرفته است و همین موضوعات است که من را شگفت زده کرده است.

منبع : Securityfocus
نظرات 1 + ارسال نظر
[ بدون نام ] چهارشنبه 11 خرداد‌ماه سال 1384 ساعت 09:57 ق.ظ

برای نمایش آواتار خود در این وبلاگ در سایت Gravatar.com ثبت نام کنید. (راهنما)
ایمیل شما بعد از ثبت نمایش داده نخواهد شد