تماس با ما

نشانی : تهران خیابان آزادی- روبروی دانشگاه صنعتی شریف- پلاک 454

تلفن : 61903 - 021 - (30خط)
فاكس : 66053652 - 021
صندوق پستی : 1384-13445
پست الكترونيكي : info@samasoft.net

پرتال مشتریان

محافظت از کاربر Administrator در سیستم عامل ویندوز

مقدمه:
حساب کاربری Administrator از گذشته اولین هدف اخلاگران برای تلاش در نفوذ و ورود غیرقانونی به سیستم های شماست.به همین دلیل شما باید بخوبی و بیشتر از هر حساب کاربری دیگری از این حساب کاربری محافظت کنید.این حساب کاربری بالاترین دسترسی را داشته ،توانایی های زیادی دارد و می تواند هرکاری را در سیستم انجام دهد و تاریخچه و آثار آن کارها را نیز از بین ببرد.پس مهم است که شما جلوی هرگونه سو استفاده از این حساب کاربری را بگیرید. بهترین حالتی که شما می توانید تنظیمات مناسبی در این زمینه داشته باشید نصب و راه اندازی یک سرور مجزا بصورت Domain Controller و استفاده از Group Policy در Active Directory است.بهر حال تنظیماتی که توضیح داده می شود برای حساب کاربری Administrator در سیستم مستقل بصورت محلی نیز امکان پذیر است. دقت کنید که کاربر Administrator در روی Domain Controller و Active Directory دسترسی بسیار بالایی دارد بطوری که علاوه بر سرور به تمامی سیستم های عضو آن Domain نیز دسترسی کامل دارد.

گامهای اصلی و مقدماتی برای حفاظت از حساب کاربری Administrator

    تغییر نام حساب کاربری Administrator
    اختصاص رمز قوی حداقل 14 کاراکتر ترکیب حرف و عدد و نشانه ها
    حذف توضیح Built-in account for administering... از این حساب کاربری
    ایجاد حساب کاربری بدلی با نام Administrator بدون هیچگونه دسترسی ای با درج توضیح Built-in account for administering... بطور کامل برای آن
    استفاده نکردن از این حساب کاربری، این کاربر فقط در مواقع بحرانی و ضروری باید استفاده شود.
    تغییر رمز این حساب کاربری هر 45 روز یک بار

گامهای پیشرفته برای حفاظت از حساب کاربری Administrator
ابتدا برروی سیستم عامل یک حساب کاربری با نامی غیرقابل حدس و با رمزی قوی ایجاد کنید و آنرا عضو گروه Administrators کنید. این نام کاربری و رمز آن را بخوبی بخاطر بسپارید.اگر رمز را یادداشت می کنید یادداشت خود را در جای امنی نگهدارید و رمز را بطور کامل ننویسید و یا چیزی از آن کم کنید یا به آن اضافه کنید تا اگر بدست کسی افتاد کمتر قابل استفاده باشد. سپس گامهای زیر را انجام دهید.
از طریق Group Policy

    غیرفعال کردن حساب کاربری Administrator اصلی (Disable Account)
    Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|Accounts: Administrator account status
    غیرفعال کردن دسترسی به کامپیوتر از طریق شبکه Computer Configuration|Windows Settings|Security Settings|Local Policies|User Rights Assignment|Deny access to this computer from the network
    تغییر نام کاربری Administrator تمامی کامپیوترهای عضو Domain Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|Accounts: Rename Administrator account
    پیچیدگی رمز را اجباری کنید (Password Complexity)
    امکان قفل شدن حساب کاربری را فعال کنید.(Account Lockout)
    حساب کاربری Administrator واقعی را با استفاده از ابزارPassprop قفل کنید. (Lockout Administrator Account with passprop.exe resource kit tools)
    بازرسی تلاشهای ورود به سیستم را فعال کنید(Enable Auditing)
    تاریخچه تغییرات (Logs) را بطور مرتب بررسی کنید و موارد مشکوک را پیگیری کنید.

از طریق گزینش صحیح کاربر مدیر سیستم
شما اگر تمامی فرایند های بالا و توصیه های امنیتی را رعایت کنید ولی شخصی که مدیریت سیستم را به او سپرده اید را بخوبی بررسی نرکرده باشید تمام تلاش ها به باد رفته است. پس مدیران سیستم خود را از بین افراد مطمئن انتخاب کنید و سوابق آنها را بررسی کنید.

    مدیر سیستم و مدیر شبکه بطور کامل مورد اعتماد است.
    سوابق کاری مدیر سیستم و مدیر شبکه بررسی شده است.
    در صورت تغییر مدیر سیستم تمامی دسترسی های نفر قبلی حذف و غیر فعال شده است.
    پس از تغییر مدیر سیستم سیستم از نظر امنیتی بررسی کامل شده است.
    مدیر سیستم آموزش های لازم درخصوص امنیت سیستم و کاربری آن را دیده است.
    مدیر سیستم توصیه های امنیتی شرکت را مطالعه کرده و اجرا می کند.

سایر موارد:
نبود شرایط زیر امکان حمله های مخرب برای دستیابی به رمز مدیر سیستم را بالا می برد.

    ویروس کشAntiVirus)) روی سرور ها نصب شده است و مرتب بروزرسانی می شوند.
    نرم افزار ضد نرم افزارهای مخرب (AntiMalware,AntiSpyware) نصب و بروزرسانی می شود
    فایروال نصب شده و بخوبی تنظیم شده است و سرورها با فایروال محافظت می شوند.
    سرویس پک ها نصب شده و بروزرسانی می شوند.(سیستم عامل، درایورها و سایر نرم افزارها)
    با استفاده از ابزار Microsoft Baseline Security Analyzer سرورها مدام بررسی می شوند
    مکان فیزیکی سرور ایمن شده است بطوری که دور از دسترس افراد غیرمجاز است.
    امکان ارتباط از راه دور را فقط روی آدرس IP شرکت فعال کنید و برای پشتیبانی رمز را قوی انتخاب کنید. (با استفاده از 2X SecureRDP می توانید کنترل بهتری روی ارتباط از راه دور داشته باشید و امنیت بیشتری برای آن فراهم کنید.)
    فولدر به اشتراک گذاری شده روی سرورها وجود ندارد.
    دسترسی فولدرهای سرور، بخصوص فولدرهای وب سرور و محل نصب برنامه وب بخوبی تنظیم شده و کاربران غیر مجاز به این فولدرها دسترسی ندارند.
    روی BIOS سیستم ها رمز بگذارید.
    در BIOS اجازه بوت را تنها از طریق هارددیسک فعال کنید.
    برای سرور دیسکت تعمیر اضطراری بسازید. (Emergency Repair Disk:Run..ntBackup)
    پهنای باند شبکه را با استفاده از IPSec یا SSL رمزنگاری کنید.
    روی سرورها به مرور اینترنت و کار با اینترنت نپردازید.
    sss

چک لیست کامل ایمن کردن حساب کاربری Administrator بطور پیوسته
فرایند:

    تغییر نام حساب کاربری Administrator
    اختصاص رمز قوی حداقل 14 کاراکتر ترکیب حرف و عدد و نشانه ها یک رمز ساده 123در کسری از ثانیه توسط ابزارهای Brute Force شناسایی می شود
    حذف توضیح Built-in account for administering... از این حساب کاربری
    ایجاد حساب کاربری بدلی با نام Administrator بدون هیچگونه دسترسی ای با درج توضیح Built-in account for administering... بطور کامل برای آن
    استفاده نکردن از این حساب کاربری، این کاربر فقط در مواقع بحرانی و ضروری باید استفاده شود.
    تغییر رمز این حساب کاربری (Administrator) هر 45 روز یک بار

گامهای پیشرفته:

    غیرفعال کردن حساب کاربری Administrator اصلی (Disable Account)
    غیرفعال کردن دسترسی به کامپیوتر از طریق شبکه
    تغییر نام کاربری Administrator تمامی کامپیوترهای عضو Domain
    پیچیدگی رمز را اجباری کنید (Password Complexity)
    امکان قفل شدن حساب کاربری را فعال کنید.(Account Lockout)
    حساب کاربری Administrator واقعی را با استفاده از ابزارPassprop قفل کنید. (Lockout Administrator Account with passprop.exe resource kit tools)
    بازرسی تلاشهای ورود به سیستم را فعال کنید(Enable Auditing)
    تاریخچه تغییرات (Logs) را بطور مرتب بررسی کنید و موارد مشکوک را پیگیری کنید.

از طریق گزینش صحیح کاربر مدیر سیستم:

    مدیر سیستم و مدیر شبکه بطور کامل مورد اعتماد است.
    سوابق کاری مدیر سیستم و مدیر شبکه بررسی شده است.
    در صورت تغییر مدیر سیستم تمامی دسترسی های نفر قبلی حذف و غیر فعال شده است.
    پس از تغییر مدیر سیستم سیستم از نظر امنیتی بررسی کامل شده است.
    مدیر سیستم آموزش های لازم درخصوص امنیت سیستم و کاربری آن را دیده است.
    مدیر سیستم توصیه های امنیتی شرکت را مطالعه کرده و اجرا می کند.

سایر موارد:

    ویروس کشAntiVirus)) روی سرور ها نصب شده است و مرتب بروزرسانی می شوند.
    نرم افزار ضد نرم افزارهای مخرب (AntiMalware,AntiSpyware) نصب و بروزرسانی می شود
    فایروال نصب شده و بخوبی تنظیم شده است.
    با استفاده از ابزار Microsoft Baseline Security Analyzer سرورها مدام بررسی می شوند
    سرویس های اضافی غیرفعال شده اند.
    مکان فیزیکی سرور ایمن شده است بطوری که دور از دسترس افراد غیرمجاز است.
    توصیه های امنیتی شرکت را بصورت مداوم از وب سایت شرکت گرفته و اعمال کنید.
    امکان ارتباط از راه دور را فقط روی آدرس IP شرکت فعال کنید و برای پشتیبانی رمز را قوی انتخاب کنید. (با استفاده از 2X SecureRDP می توانید کنترل بهتری روی ارتباط از راه دور داشته باشید و امنیت بیشتری برای آن فراهم کنید.)
    فولدر به اشتراک گذاری شده روی سرورها وجود ندارد.
    دسترسی فولدرهای سرور، بخصوص فولدرهای وب سرور و محل نصب برنامه وب بخوبی تنظیم شده و کاربران غیر مجاز به این فولدرها دسترسی ندارند.
    روی BIOS سیستم ها رمز بگذارید.
    در BIOS اجازه بوت را تنها از طریق هارددیسک فعال کنید. (Boot Sequence Hard disk Only)
    برای سرور دیسکت تعمیر اضطراری بسازید. (Emergency Repair Disk:Run..ntBackup)
    پهنای باند شبکه را با استفاده از IPSec یا SSL رمزنگاری کنید.
    روی سرورها به مرور اینترنت و کار با اینترنت نپردازید.

برای اطلاعات بیشتر مراجعه شود به:
Hacking Exposed Windows 3erd Edition , McGraw Hill Press
http://www.windowsecurity.com/articles/Protecting-Administrator-Account.html
Windows Server 2003 Security Guide, Microsoft Press
http://www.microsoft.com/downloads/details.aspx?FamilyId=8A2643C1-0685-4D89-B655-521EA6C7B4DB&;;displaylang=en
http://www.msterminalservices.org/articles/Brute-Force-Hacking-Terminal-Server-Environments.html
http://www.2x.com/securerdp/