بررسي ويژگي‌هاي جديد امنيتي ويندوز سرور 2012 بخش پاياني

با انتشار ويندوز8  و مواجه شدن مردم با رابط كاربري جديد مترو مايكروسافت، بسياري از مردم متعجب شده و با خود مي‌گويند آیا واقعاً اين سيستم‌عامل براي من مناسب است؟ اين وضعيت در حالي است كه تغييرات مايكروسافت در سيستم‌عامل جديدش بسيار بيشتر از تغيير رابط كاربري مترو است و افرادي كه ويندوز سرور 2012 را نصب كرده باشند يا سيستم‌عامل سرور 2008 خود را به ويندوز سرور 2012 ارتقا داده‌اند، به‌خوبي اين موضوع و سطح گستردگي تغييرات را درك خواهند كرد. البته آن‌ها هم دچار ترديد مي‌شوند كه چنين محصولي براي‌شان مناسب است يا خير! در ماه ژوئن، الیور ریست از تيم نويسندگان سايت اينفوورلد به من گفت: «وقتي مايكروسافت مي‌گويد ويندوز8 يك انتشار بزرگ و اصلي است، شوخي نمي‌كند.» اين شركت در ويندوز سرور 2012 قاعده بازي را تغيير داده و در تمام بخش‌ها مانند اشتراك‌گذاري فايل‌ها (File Sharing)، شناسايي (Identity)، ذخيره‌سازي (Storage)، ساختار دسكتاپ مجازي، مجازي‌سازي سرور و كلاود، شاهد ويژگي‌ها و تغييرات جديدي هستيم. من به همه اين تغييرات مي‌خواهم پيشرفت‌هاي امنيتي ويندوز سرور 2012 را نيز اضافه كنم كه به‌‌تنهايي ممكن است عاملی براي استقبال و خريد سازمان‌ها و شركت‌ها از اين سيستم‌عامل سرور باشد. در ادامه مي‌خواهیم اين پيشرفت‌هاي امنيتي مايكروسافت در ويندوز سرور 2012 را به‌طور سريع مرور كنیم. 

مجوزهاي كاربران و گروه‌ها
ويندوز سرور 2012 داراي ويژگي‌هاي بسيار پيشرفته‌اي براي مجوزدهي و دسترسي به فايل‌ها و پوشه‌ها است. اين ويژگي‌ها و امكانات در بخش‌هاي Dynamic Access Controls، Expression-Based Access Control Entries و  Centralized Authorization and Auditing Rules كه با نام Central Access Policies مي‌شناسيم، قابل دسترسي و استفاده هستند. در وهله اول مي‌توان تقريباً به هر آبجكتي مانند كاربر، گروه، كامپيوتر و مواردي ديگر هر نوع ويژگي مجوزي و دسترسي كه تمايل داريم را نسبت بدهيم و تعريف كنيم. این خصوصیات که به اصطلاح Claim نامیده می‌شوند، ممکن است عبارت « I’m a Dell laptop with MAC address of 00-aa-00-62-c2-06 » برای یک کامپیوتر يا ويژگي خاصي مانند «a manager in the finance group working from home» برای يك آبجكت باشند. اين Claim‌ها  بعداً در اعتبارسنجي و احراز هويت دستگاه‌ها يا فايل‌ها/پوشه‌ها به شما كمك خواهند كرد. براي مثال، ممكن است فقط كاربران مالي كه در خانه كار مي‌كنند و از دستگاه‌هاي iMac يا Microsoft Surface Pro استفاده مي‌كنند، اجازه دسترسي به سرور مالی Share Point  از روي شبكه خصوصي مجازي (VPN) را داشته باشند و بتوانند وارد آن شده و اسنادي با سطح دسترسي متوسط‌(Medium) يا پايين‌(Lower) را باز كنند. در اين وضعيت، اسناد مالي با سطح دسترسي بالا‌(High) مي‌توانند طوري طبقه‌بندي و تعريف شوند كه فقط كاربراني كه در سايت اصلي حضور فيزيكي دارند و در يك نام دامنه خاص تعريف شده‌اند، توانايي دسترسي به آن‌ها را داشته‌باشند. 
اين تصميم‌گيري‌هاي امنيتي از يك منطق جبري بولي (Boolean Logic) پيروي مي‌كنند. اين ويژگي‌ را با شرایط پیش از ويندوز سرور 2012 مقايسه كنيد كه فقط مي‌توانستيد براساس حساب‌هاي كاربري و گروه‌هاي كاري، مجوزها و دسترسي‌ها را تعريف و تصميم‌گيري‌هاي امنيتي را در كل سطح سيستم‌عامل پياده‌سازي کنید.

بهبودهاي Kerberos
Kerberos ثابت كرده است كه يك پروتكل احراز هويت امن و قدرتمند است. در ويندوز سرور 2012 اين پروتكل بهبود یافته و استفاده از آن ساده‌تر شده است. نه‌تنها اين پروتكل از احراز هويت روي كلاود و Cross-forest و حتی claim‌ها پشتيباني مي‌كند، بلكه کنترل کننده‌های دامنه DC (سرنام Domain Controller) مي‌توانند با استفاده از Kerberos فشرده‌سازي‌هاي گروهي را پیاده کنند. همچنین حداکثر اندازه تیکت‌های Kreberos تا ۴۸ کیلوبایت افزایش یافته است. تا قبل از ويندوز سرور 2012 به‌طور ساده‌اي مي‌شد يك كاربر را عضو صد گروه كاري كرد كه از آن با نام token bloat ياد مي‌كنيم؛ البته احراز هويت آن با مشكل مواجه مي‌شد. اما اكنون بخشKerberos   درConstrained Delegation به‌طوري ارتقا داده شده كه مي‌تواند عمليات احراز هويت يك دامنه يا forest (شبكه‌اي با چندين هزار كامپيوتر كه همه با يكديگر در ارتباط هستند) را انجام دهد. در نسخه‌های قبلی ويندوز سرور Constrained Delegation براي احراز هويت يك دامنه نياز به نام و آدرس كامپيوتر ابتدايي و انتهايي داشته و اين موضوع كار را سخت مي‌كرد. به‌تازگی Kerberos از مستندات RFC 6113 نيز پشتيباني مي‌كند. از اساس، كانال‌هاي ارتباطي محافظت شده میان كاربران عضو دامنه و كنترل‌كنندگان دامنه برقرار می‌شوند تا از داده‌هایی که قبل از احراز هویت ردوبدل می‌شوند، محافظت شود. با پشتيباني Kerberos از RFC6113 امنيت كانال‌هاي ارتباطي بيشتر شده و هك كردن آن‌ها سخت‌تر خواهد بود.

حساب‌هاي كاربري با مدیریت گروهی
حساب‌های خدماتی مدیریت شده  MSA (سرنام Managed Service Account) در ويندوز سرور 2008 R2 معرفي شده است. وقتي اين سرويس‌هاي جديد مربوط به حساب‌هاي كاربري در اكتيو دايركتوري معرفي و ساخته شدند، مي‌توانند به كامپيوترها يا سرويس‌هاي خاصي نسبت داده شوند تا از اين پس به‌طور خودكار نگه‌داری، مانيتور و كنترل شده و هر سي روز يك بار رمزهاي عبور بسيار طولاني آن‌ها به‌طور خودكار ري‌ست شوند و به همراه رمز ماشین فیزیکی تغيير کنند. ويندوز سرور 2012 به روش‌هاي مختلفي MSA را ارتقا داده و با معرفي ابزار gMSA (سرنام Group Managed Service Accounts) ويژگي‌هاي امنيتی جديد را براي حساب‌هاي كاربري گروهي مطرح كرده است. با استفاده از اين ويژگي‌هاي امنيتي مي‌توان يك gMSA را در ميان چندين كامپيوتر به اشتراك گذاشت. پیش از آن، بايد براي هر كامپيوتر از يك MSA استفاده مي‌شد. ويژگي‌هاي MSA و gMSA  نياز به یک اسکیمای (Schema) به‌روز شده دارند و gMSA تنها با ويندوز8 و ويندوز سرور 2012 سازگاري دارد. همچنين MSAها در ويندوز سرور 2012 از كلاسترينگ و بالانسينگ نيز پشتيباني مي‌كنند.

بهبودهاي IIS 8
Internet information Service 8 بهبودهاي امنيتي جديد زيادي داشته است. به‌خصوص اين پيشرفت‌ها براي واکنش‌‌های امنيتي خودكار و محافظت از دسترسي‌هاي چندگانه كاملاً مشهود است. Dynamic IP Restrictions ويژگي‌ای است كه اجازه مي‌دهد IIS آدرس‌هاي IP را براساس قوانین از پيش تعريف شده در سرور، مانند همزماني يا درخواست‌هاي HTTP بلوک كند. اين ويژگي FTP را نیز شامل می‌شود. در IIS 7 بلوک کردن آدرس‌هاي IP به‌صورت دستي و كاملاً ايستا بود. در IIS 8 علاوه‌بر اين‌كه سياست‌هاي سخت‌گيرانه‌تري در SandBox اعمال مي‌شود، نرم‌افزارها مي‌توانند در چندين SandBox با دسترسي‌هاي چندگانه تعريف شوند تا جلوي هرگونه رفتار مشكوك يا فريبنده گرفته شود.

رابط كاربري گرافيكي و رمزهاي عبور
در ويندوز سرور 2003 و ويندوزهاي قبل از آن سياست‌هاي تعريف رمز عبور تنها محدود به يك دامنه یا  كاملاً محلي (Local) بودند. اين ويژگي دردسرهاي بزرگي ايجاد مي‌كرد. به‌طور مثال، اگر مي‌خواستيد مجموعه‌ای از سياست‌هاي رمز عبور را براي كاربران يك گروه و مجموعه‌ای دیگر را برای كاربران ديگري تعريف كنيد، عملاً ناممکن بود. براي نمونه اگر می‌خواستید  مديران دامنه (Domain Admin) از 15 كاركتر براي تعريف رمزعبور استفاده کنند، در حالي كه رمز عبور يك حساب كاربري معمولي فقط 12 كاركتر باشد با دردسر بسیاری روبه‌رو می شدید. در ويندوز سرور 2008 استفاده از FGPP (سرنامFine Grained Password Policy) شروع شد كه اجازه تعريف و اجراي سياست‌هاي سختگيرانه‌تري را براي رمزعبور در سطح دامنه‌ها مي‌داد. اما در ويندوز سرور 2008 اين كارها فقط توسط ابزارهاي ويراستار اكتيو دايركتوري يا PowerShell صورت مي‌گرفت. در ويندوز سرور 2012 مي‌توان FGPP را با يك رابط‌كاربري گرافيكي در بخش جديد Active Directory Administrative Center مديريت كرد كه نه‌تنها مي‌توان به Active Directory Recycle Bin و Active Directory PowerShell Viewer دسترسي داشت بلكه اين بخش جايگزين بخش Active Directory Users and Computers شده است. اين ابزار باعث می‌شود پیاده‌سازی FGPP همانند آب خوردن ساده شده و كار با آن راحت‌تر شود. همين امر باعث مي‌شود كه شركت‌ها و سازمان‌ها استقبال بيشتري از FGPP داشته باشند و استفاده بهتري از آن بكنند. در ويندوز سرور 2012می‌توان با راست كليك روي حساب یک کاربر  سياست‌هاي امنيتي اعمال شده  بر آن‌ را تحت عنوان Resultant Password Settings مشاهده کرد. همچنین چندين FGPP مي‌توانند سياست‌هاي خود را براي يك كاربر تعريف و اعمال كنند.

جمع‌بندي
علاوه‌بر ويژگي‌هاي امنيتي جديدي كه در بالا براي ويندوز سرور 2012 برشمردیم، قابليت‌هاي ديگري در سطح مدير سيستم سرور مانند PowerSell 3.0 كه از 2000 دستور خط فرمان پشتيباني مي‌كند يا اجرا/عدم اجراي رابط كاربري گرافيكي در مود هسته سرور، وجود دارند. همچنين نبايد از بهبودهاي امنيتي و چندگانه در قابليت‌هاي كلاستري ويندوز سرور 2012 غافل شد. اكنون ويندوز سرور 2012 با حجم عظیمی از به روزرسانی‌ها و قابلیت‌های پیشرفته عرضه شده است و مجهز به صدها قابليت امنيتي است كه به‌مراتب بيشتر از قبل، مديران سيستم و مديران شبكه شركت‌ها را مجذوب خود مي‌كند و مي‌بلعد. امنيت در ويندوز سرور 2012 به سطح بالاتری صعود کرده است و نتایج آن در تمام سیستم قابل مشاهده است

 

 

نوشته های مرتبط
یک پاسخ بنویسید

نشانی ایمیل شما منتشر نخواهد شد.فیلد های مورد نیاز علامت گذاری شده اند *