هفت گام برای امن كردن ویندوز 7
اگر شما از ویندوز 7 استفاده می­كنید، باید به طور استراتژیك راهكارهای محافظت از داده و كاربران را برای تمامی سیستم­های ویندوز مرور نمایید. راهكارهای زیادی وجود دارد كه هر سازمانی، اعم از كوچك یا بزرگ، باید از آنها پیروی نماید تا سیستم­های ویندوز خود را از حملات ویروس­ها، ابزارهای جاسوسی، و سایر انواع بدافزار بر حذر دارد.
  1. تهدیدات را متوقف كنید
    یك گام واضح ولی مهم، استفاده از آنتی ویروس برای جلوگیری، تشخیص و حذف تمامی انواع بدافزارهاست كه این قابلیت را دارند كه به سیستم و داده های شما آسیب وارد كنند. یكی از معمول­ترین روش­های تشخیص ویروس، جستجو در مورد الگوهای شناخته شده، یا امضای ویروس­ها در میان كدهای اجرایی است. البته با افزایش تعداد و پیچیدگی حملات بدافزاری ناشناخته، امكان زیادی وجود دارد كه یك كاربر توسط بدافزاری آلوده گردد كه هنوز شناخته نشده و امضای آن وجود ندارد. برای مقابله با چنین حملاتی كه به حملات «zero-day» معروفند، باید از آنتی ویروسی استفاده كرد كه روش­های محافظتی پیشگیرانه را به كار می­برد و ویروس­های جدید را با مطالعه رفتار آنها شناسایی كرده و از اجرای آنها جلوگیری می­نماید. برای حصول اطمینان از اینكه آنتی ویروس به درستی كار مورد نظر شما را انجام می­دهد، باید همیشه آن را به روز نگه دارید. از آنجایی كه ویروس­های جدید به سرعت می­توانند منتشر گردند، بسیار مهم است كه از یك ساختار خودكار برای دریافت به روز رسانی آنتی ویروس استفاده نمایید. یك روش ساده دیگر برای جلوگیری از تهدیدات این است كه همیشه در مورد آنها اطلاع داشته باشید. می­توانید در لیست ایمیل تولید كننده آنتی ویروس خود ثبت نام نمایید و وبلاگ­های مرتبط با امنیت را برای به دست آوردن اطلاعات به روز در مورد تهدیدات ویروس­ها، اطلاعات فنی، و محصولات جدید مطالعه كنید. توصیه:
    ابزار جلوگیری كننده از اجرای داده ها (DEP)، از اجرای كدهای اجرایی در قسمت­هایی از حافظه كه برای ذخیره داده در نظر گرفته شده اند، جلوگیری می­كند. توصیه می­شود كه در قسمت تنظیمات BIOS، بخش مربوط به فعالسازی پشتیبانی DEP (NX enable) را علامت زده و نیز DEP را برای تمامی برنامه ها فعال نمایید. ابزار ASLR محلی از حافظه سیستم شما را كه ویندوز كتابخانه های لازم سیستمی را در آنجا بارگذاری می­كند، به طور تصادفی تعیین می­كند. زمانی كه از DEP استفاده می­كنید، ASLR كار بدافزارها را برای استفاده از آسیب پذیری­های امنیتی مرورگر، plugin ها، و برنامه ها سخت می­كند.
  2. مرور امن وب
    اینترنت به سرعت به ابزاری برای انجام بسیاری از كارهای تجاری تبدیل شده است. در نتیجه وب سایت­های بی­گناه به هدف نویسندگان بدافزارها تبدیل شده اند و هكرها با هدف سرقت اطلاعات محرمانه، انتشار كدهای خرابكار، یا حتی ساختن botnet ها برای انتشار بیشتر بدافزارها و هرزنامه ها، به كاربران این وب سایت­ها ضربه می­زنند. هزاران سیستم هر روز به خاطر مشاهده وب سایت­های معتبری كه هدف حملات تزریق SQL قرار گرفته و یا كدهای خرابكار در آنها جا گرفته اند، آلوده می­شوند. چند راه ساده برای رهایی از این وضعیت وجود دارد.
    توصیه:
    ویندوز 7 به طور پیش فرض IE 8 را به همراه دارد و توسط DEP و ASLR محافظت می­شود. علاوه بر این، این سیستم عامل از یك ویژگی امنیتی جدید برای محافظت در برابر مرور سایت­های خرابكار نیز برخوردار است كه SmartScreen نام دارد. SmartScreen یك هشدار برای CSS، سرقت هویت و سایر اهداف خرابكارانه نمایش می­دهد. این ویژگی به همراه وضعیت محافظت شده IE 8، امكان مرور امن تر وب را فراهم می آورد.
  3. اصلاحیه ها را نصب كنید
    هكرها بیش از گذشته بر حفره های امنیتی plugin های شركت­هایی به جز مایكروسافت و هر محتوایی كه از اینترنت دریافت می­شود، تمركز كرده اند. مهاجمان همچنان سیستم عامل را هدف قرار می­دهند، اما به شكل فزاینده ای به دنبال برنامه هایی هستند كه مرورگر شما برای مشاهده محتوای چند رسانه ای، اسناد، و سایر انواع فایل­ها لود می­كند. به طور منظم وب سایت تولید كنندگان نرم افزارهای مورد استفاده خود را چك كنید تا در صورت عرضه اصلاحیه، آن را دریافت نمایید. بسیاری از تولید كنندگان نرم افزارها راهنمایی امنیتی نیز ارائه می­دهند. برای مثال، مایكروسافت هشدارهایی در مورد حفره های امنیتی محصولات خود و نیز اصلاحیه های آنها را به لیست ایمیل خود ارسال می­كند. در صورتی­كه تولید كنندگان نرم افزارهای مورد استفاده شما دارای چنین لیست ایمیل­هایی هستند، در آنها ثبت نام كنید. زمانی كه یك حفره امنیتی جدید در یك سیستم عامل یا یك نرم افزار كشف می­شود و اصلاحیه آن نیز در دسترس است، سازمان­ها باید آماده باشند تا آن اصلاحیه را تست نموده و به سرعت نصب نمایند.
    توصیه:
    Windows Update كمك می­كند كه سیستم خود را امن تر نگاه دارید. در ویندوز 7، این قسمت، بخشی از Action Center است كه پروسه به روز رسانی را ساده تر می­كند.
  4. ابزار جلوگیری از اتلاف داده ها (DLP) را تقویت كنید
    امروزه یكی از جرائم معمول كامپیوتری، سرقت داده های شخصی است. بنابراین شما باید با استفاده از راهكارهایی، از اینكه داده های شما به طور تصادفی در اختیار دیگران قرار گیرند، جلوگیری نمایید.
    چهار جزء برای محافظت از داده ها باید در نظر گرفت: 
    • كنترل برنامه، شما را قادر می­سازد كه برنامه هایی را كه كارمندان مجاز به استفاده از آنها هستند مدیریت نمایید. این كار باعث می­شود كه داده های حساس از طریق برنامه هایی مانند برنامه های به اشتراك گذاری P2P یا برنامه های پیغام فوری از سازمان شما خارج نشوند.
    • كنترل ابزار راهی برای تعریف و اعمال یك سیاست جامع در سازمان شما عرضه می­كند كه مشخص می­كند كارمندان مجاز به استفاده از چه ابزارهایی هستند یا نیستند.
    • كنترل داده ها این اطمینان را ایجاد می­كند كه كاربران به طور تصادفی داده های حساس را به ابزارها و برنامه های خود منتقل نمی­كنند. پیاده سازی یك راه حل جلوگیری از اتلاف داده ها می­تواند هزینه بر و پیچیده باشد.
    • رمزنگاری این اطمینان را ایجاد می­كند كه داده های موجود بر روی لپ تاپ­ها و درایوهای USB محافظت شده هستند. ممكن است افراد وسایل خود را گم كنند. پیاده سازی رمزنگاری ممكن است چندان ساده نباشد. بنابراین فاكتورهای زیادی باید در نظر گرفته شود: باید اطمینان حاصل كنید كه پیاده سازی اولیه موفق است، باید اطمینان حاصل كنید كه سیاست­های رمزنگاری در سازمان شما قابل مدیریت و تغییر هستند، و علاوه بر اینها، باید اطمینان حاصل كنید كه راه حل شما مانع وظایف روزمره كاربران شما نیست.
    توصیه:
    ویندوز 7 تكنولوژی­های محافظت از داده موجود در ویندوز ویستا مانند رمزنگاری سیستم فایل (EFS)، و تكنولوژی سرویس­های مدیریت حقوق Active Directory را داراست. این تكنولوژی­ها یك سكوی (platform) عالی برای محافظت از داده ها فراهم می آورد. ویندوز 7، كنترل­های پورت USB را از طریق به كار گیری Group Policy Objects (GPO) نیز ارائه می­دهد كه می­تواند برای محافظت از داده های حساس به شما كمك نماید. همچنین ویندوز 7 با معرفی BitLocker To Go، توسعه هایی در تكنولوژی BitLocker ایجاد كرده است كه رمزنگاری درایوهای قابل حمل مبتنی بر FAT32 مانند حافظه های USB و هارد دیسك­های قابل حمل را ممكن می­سازد. BitLocker یك ویژگی رمزگذاری كامل دیسك است كه در نسخه های Ultimate و Enterprise ویندوز ویستا و ویندوز 7 وجود دارد. ویندوز 7 AppLocker را نیز معرفی كرده است. AppLocker مدیران را قادر می­سازد كه یك روش لیست سفید/لیست سیاه را در پیش گرفته و برنامه ها را مدیریت نمایند.
  5. مدیریت حق دسترسی كاربران
    ویندوز 7 راه­های بیشتری برای اطمینان از داشتن یك محیط محاسباتی امن فراهم می­كند. مایكروسافت با معرفی كنترل حساب كاربری (UAC)، كنترل بیشتری برای مدیران شبكه فراهم می آورد تا به سادگی كاربران را به كار با حساب­های كاربری استاندارد وادار نمایند. زمانی كه UAC فعال می­شود، از تغییر سطح دسترسی سیستم توسط كاربران بدون موافقت مدیر جلوگیری می­كند. این كار از بسیاری از حملات بدافزاری كه با استفاده از حقوق كاربران Admin كار می­كنند، پیشگیری می­نماید. در ضمن پروسه مجوز دادن به رفتارهای امن را نیز برای مدیران ساده تر می­كند.
  6. پیشگیری از روزنه های امنیتی با استفاده بیشتر كارمندان از سیستم­های قابل حمل، حصول اطمینان از اینكه سطح امنیتی مورد نظر شما مانند استفاده از آنتی ویروس به روز و فعال كردن فایروال، در تمام این سیستم­ها رعایت شده است كار سختی است. 
    توصیه: محافظ دسترسی شبكه (NAP) در ویندوز ویستا معرفی شده و همچنان یك جزء كلیدی در ویندوز 7 است. NAP برای كمك به مدیران طراحی شده است تا سلامتی سیستم­های شبكه را تضمین كنند، كه در نهایت منجر به سلامت كل مجموعه شبكه می­شود. این ابزار برای امن كردن یك شبكه در برابر كاربران خرابكار طراحی نشده است.
  7. آموزش به كاربران 
    یك سیاست امن باید شامل قوانینی باشد كه از موارد زیر جلوگیری كند:
     
    • دانلود فایل­های اجرایی و اسناد مستقیما از اینترنت یا از طریق ایمیل
    • اجرا یا باز كردن فایل­های اجرایی، اسناد، و صفحات گسترده ناخواسته
    • اجرای بازی­های كامپیوتری یا استفاده از محافظ صفحه نمایشی كه به همراه سیستم عامل وجود نداشته اند
    به خاطر بسپارید كه یك سیاست مدون به اندازه تكنولوژی مورد استفاده برای محافظت از سیستم­ها مهم و موثر است. 
    توصیه: 
    یك سیاست برای محاسبات امن تدوین كرده و آن را در میان كارمندان منتشر كنید. اطمینان حاصل كنید كه آنها این سیاست را مطالعه كرده و آن را درك كرده اند، و می­دانند در زمان وقوع مشكل، با چه كسی تماس بگیرند. در صورتی كه ممكن باشد بهترین كار این است كه دسترسی به بردارهای خرابكار حمله كه از طریق ایمیل یا وب دانلود می­شوند را مسدود كرد. برای مثال می­توان به فایل­های .exe، .com، .msi، .vbs، و .bat اشاره كرد.




تاريخ : جمعه 12 مهر 1392برچسب:, | | نویسنده : مقدم |