هشت کار برای بهبود امنیت در یک شبکه مایکروسافتی
به هرحال، حتی اگر امنیت پایانی نداشته باشد، لازم است که از مسایل موجود در این مسیر آگاه باشید. آن چه که در زیر میآید، مواردی هستند که شما بایستی برای بهبود وضع امنیت سازمانتان انجام دهید.
امنیت فیزیکی میتواند شامل موارد زیر باشد:
• کنترل دسترسی به اتاق های کامپیوتر با استفاده از کارت، کلید و قابلیت های بیومتریک
• ضبط ویدیو از ورود و خروج اتاقهایی که کامیپوترها در آن جای گرفتهاند.
• ثبت و ضبط ورود و خروجها به اتاقهایی که کامپیوترها در آن جای گرفتهاند.
• تعیین نگهبان یا دیگر ناظران برای ورودی و خروجیهایی که کامپیوترها در آن جای گرفتهاند.
برای اجتناب از حملات بزرگ علیه سیستم، امنیت فیزیکی مسیر طولانی در پیش روی دارد. اما این تنها اولین گام است. وقتی که میدانیم همه چیز بسیار عالی است، اگر کامپیوتری به شبکهای متصل باشد، افراد مجرم نمیتوانند دسترسی فیزیکی داشته باشند تا موجب خسارات بزرگ شوند.
در مقابل، «دیوار آتش مبتنی بر سیستم میزبان» قادر به حفاظت کامپیوتر از تمام حملات داخلی و خارجی میباشد. علاوه بر این، دیوارهای آتش مبتنی بر میزبانِ حرفه ای میتوانند به شکلی پیکربندی شوند تا امکان ارتباطات ورودی را تنها برای سرویسهای مشخصی فراهم نمایند. این دیوارهای آتش مبتنی بر میزبان (مانند Windows Firewall with Advanced Security) حتی میتوانند کاربران یا ماشینها را ملزم به تایید هویت در لایه شبکه نماید، به طوری که اگر کاربری معتبر شناخته نشود یا اختیارات لازم را نداشته باشد، هرگز به نزدیکی لایه اپلیکیشن نرسد – لایه اپلیکیشن، لایهایی است که اغلب رخنههای امنیتی در آنجا بوده و دادههای شما تماما در آنجا قرار دارد.
شما بایستی تجهیزات کامپیوتریتان را به مکان های امنیتی متفاوتی تقسیم کنید و سپس پارتیشن های منطقی یا فیزیکی جداکننده بین آن نواحی ایجاد کنید. اگر میخواهید از پارتیشن فیزیکی استفاده کنید، بایستی اطمینان یابید که منابعی سیستمی تقسیم شده در نواحی مختلف با فایروال ها با هر نوع ابزار کنترل دسترسی دیگر از یکدیگر جدا شده باشند.
اگر میخواهید از نواحی امنیتی منطقی استفاده کنید، میتوانید از مزایایی مانند IPsec و سرور و جداسازی دامنه استفاده کنید تا پارتیشن های مجازی بین نواحی امنیتی ایجاد شود.
ایجاد نواحی امنیتی به شما این اجازه را میدهد تا بر با ارزش ترین بخش تجهیزات و اطلاعات تان متمرکز شوید. همچنین تجهیزات با ارزش کمتر که در مناطقی با امنیت پایینتر قرار می گیرند، نیز محافظت شده هستند. اما مقدار زمان و سرمایهای که شما به تجهیزات در مناطقی با امنیت پایینتر اختصاص میدهید بسیار اندک است، چرا که هزینه به خطر افتادن آنها کمتر از هزینه به خطر افتادن دارایی ها در مناطق با امنیت بالاتر است.
هر میزان که سطح دسترسی کاربر یا ادمین سیستم بالاتر از میزان ضروری برای انجام کارش برود، به همان میزان ریسک و خطر نفوذ و رخنه افزایش می یابد. اینکه روز به روز کاربران بیشتری می خواهند به دارایی اطلاعاتی شرکت از طریق آی پدشان دسترسی داشته باشند، اصلا بدین معنی نیست که چنین کاری از نظر امنیتی ایده خوبی است. ما خیلی وقت ها به کاربران و مصرف کننده ها به جای آن چیزی که لازم است داشته باشند، آن چیزی را که می خواهند می دهیم و این خود ریسک امنیتی را در کارمان بالا می برد.
داستان درباره ادمین های سیستم از این هم بدتر است. آنها همیشه می خواهند هر کاری را که دوست دارند انجام دهند، تنها به این دلیل که آنها مدیران (administrators) سیستم هستند.
در مورد کاربران نهایی هم تنها و تنها به آنها دسترسی به چیزی را بدهید که کارشان را راه بیاندازد و نباید به هیچ چیز دیگری دسترسی داشته باشند. در خصوص اپلیکیشن ها و برنامه ها هم داستان به همین صورت است. اگر اپلیکیشنی در لیست برنامه های تایید شده نیست، به صورت خودکار جلوی نصب و فعالیت آن را در سیستم های تان بگیرید.
ابزارهای قابل حمل و حافظه های جانبی که در گوشیهای هوشمند کارمندان سازمانها هم استفاده میشوند، بایستی رمزگذاری شوند. در صورتی که قرار است دادههای شرکت بر روی ابزارهایی مانند درایوهای USB ذخیره شود، قوانین بایستی کاربران را ملزم گرداند که از برنامهها یا سیستم عامل تلفن هوشمندی که از رمزگذاری کارتهای MicroSD پشتیبانی میکند، استفاده کنند. دادههای ذخیره شده بر روی حافظه داخلی گوشی نیز بایستی رمزگذاری شوند. کاربران بایستی از گوشیهای هوشمندی استفاده نمایند که در صورت دزدیده شدن یا مفقود شدن گوشیشان، بتوان از راه دور اطلاعات درون آنها را از بین برد.
به روز رسانی، به روز رسانی، به روز رسانی!
روشی بهتر استفاده از شیوه تعیین اعتبار دو عاملی است، که در آن کاربر ملزم میشود تا دستگاهی مانند کارت را در اختیار داشته و همچنین رمزعبور را نیز بداند. زمانی که تعیین اعتبار دو فاکتوری استفاده شود، حتی اگر رمزعبور به خطر بیافتد، آن رمزعبور ارزش کمی پیدا میکند. مگر اینکه مجرم، مالکیت فیزیکی کارت را نیز در اختیار داشته باشد. برای پیادهسازیهای امنتر، عوامل بیومتریک دیگری نیز میتواند افزوده شود، مانند تصدیق صدا، تصدیق چهره، اثر انگشت یا بررسی شبکیه چشم.
به این فکر کنید که چگونه این دادهها را در برابر کاربران مجاز امن نمایید. اگر از آفیس و شرپوینت و Exchange مایکروسافت استفاده میکنید، میتوانید از مزایای Microsoft Rights Management Services جهت ایجاد قوانینی برای کنترل رفتار کاربرانی که به صورت قانونی به اطلاعات دسترسی یافتند، بهره جویید.
منبع:نگهبان
ارسال توسط کاربر محترم سایت :king007
بهبود امنیت فیزیکی
امنیت فیزیکی میتواند شامل موارد زیر باشد:
• کنترل دسترسی به اتاق های کامپیوتر با استفاده از کارت، کلید و قابلیت های بیومتریک
• ضبط ویدیو از ورود و خروج اتاقهایی که کامیپوترها در آن جای گرفتهاند.
• ثبت و ضبط ورود و خروجها به اتاقهایی که کامپیوترها در آن جای گرفتهاند.
• تعیین نگهبان یا دیگر ناظران برای ورودی و خروجیهایی که کامپیوترها در آن جای گرفتهاند.
برای اجتناب از حملات بزرگ علیه سیستم، امنیت فیزیکی مسیر طولانی در پیش روی دارد. اما این تنها اولین گام است. وقتی که میدانیم همه چیز بسیار عالی است، اگر کامپیوتری به شبکهای متصل باشد، افراد مجرم نمیتوانند دسترسی فیزیکی داشته باشند تا موجب خسارات بزرگ شوند.
استفاده از دیوارهای آتش (فایروال) مبتنی بر میزبان
در مقابل، «دیوار آتش مبتنی بر سیستم میزبان» قادر به حفاظت کامپیوتر از تمام حملات داخلی و خارجی میباشد. علاوه بر این، دیوارهای آتش مبتنی بر میزبانِ حرفه ای میتوانند به شکلی پیکربندی شوند تا امکان ارتباطات ورودی را تنها برای سرویسهای مشخصی فراهم نمایند. این دیوارهای آتش مبتنی بر میزبان (مانند Windows Firewall with Advanced Security) حتی میتوانند کاربران یا ماشینها را ملزم به تایید هویت در لایه شبکه نماید، به طوری که اگر کاربری معتبر شناخته نشود یا اختیارات لازم را نداشته باشد، هرگز به نزدیکی لایه اپلیکیشن نرسد – لایه اپلیکیشن، لایهایی است که اغلب رخنههای امنیتی در آنجا بوده و دادههای شما تماما در آنجا قرار دارد.
تفکیک شبکه به بخش های امنیتی مجزا
شما بایستی تجهیزات کامپیوتریتان را به مکان های امنیتی متفاوتی تقسیم کنید و سپس پارتیشن های منطقی یا فیزیکی جداکننده بین آن نواحی ایجاد کنید. اگر میخواهید از پارتیشن فیزیکی استفاده کنید، بایستی اطمینان یابید که منابعی سیستمی تقسیم شده در نواحی مختلف با فایروال ها با هر نوع ابزار کنترل دسترسی دیگر از یکدیگر جدا شده باشند.
اگر میخواهید از نواحی امنیتی منطقی استفاده کنید، میتوانید از مزایایی مانند IPsec و سرور و جداسازی دامنه استفاده کنید تا پارتیشن های مجازی بین نواحی امنیتی ایجاد شود.
ایجاد نواحی امنیتی به شما این اجازه را میدهد تا بر با ارزش ترین بخش تجهیزات و اطلاعات تان متمرکز شوید. همچنین تجهیزات با ارزش کمتر که در مناطقی با امنیت پایینتر قرار می گیرند، نیز محافظت شده هستند. اما مقدار زمان و سرمایهای که شما به تجهیزات در مناطقی با امنیت پایینتر اختصاص میدهید بسیار اندک است، چرا که هزینه به خطر افتادن آنها کمتر از هزینه به خطر افتادن دارایی ها در مناطق با امنیت بالاتر است.
اختصاص کمترین میزان دسترسی برای تمام منابع
هر میزان که سطح دسترسی کاربر یا ادمین سیستم بالاتر از میزان ضروری برای انجام کارش برود، به همان میزان ریسک و خطر نفوذ و رخنه افزایش می یابد. اینکه روز به روز کاربران بیشتری می خواهند به دارایی اطلاعاتی شرکت از طریق آی پدشان دسترسی داشته باشند، اصلا بدین معنی نیست که چنین کاری از نظر امنیتی ایده خوبی است. ما خیلی وقت ها به کاربران و مصرف کننده ها به جای آن چیزی که لازم است داشته باشند، آن چیزی را که می خواهند می دهیم و این خود ریسک امنیتی را در کارمان بالا می برد.
داستان درباره ادمین های سیستم از این هم بدتر است. آنها همیشه می خواهند هر کاری را که دوست دارند انجام دهند، تنها به این دلیل که آنها مدیران (administrators) سیستم هستند.
در مورد کاربران نهایی هم تنها و تنها به آنها دسترسی به چیزی را بدهید که کارشان را راه بیاندازد و نباید به هیچ چیز دیگری دسترسی داشته باشند. در خصوص اپلیکیشن ها و برنامه ها هم داستان به همین صورت است. اگر اپلیکیشنی در لیست برنامه های تایید شده نیست، به صورت خودکار جلوی نصب و فعالیت آن را در سیستم های تان بگیرید.
رمزگذاری همه چیز
ابزارهای قابل حمل و حافظه های جانبی که در گوشیهای هوشمند کارمندان سازمانها هم استفاده میشوند، بایستی رمزگذاری شوند. در صورتی که قرار است دادههای شرکت بر روی ابزارهایی مانند درایوهای USB ذخیره شود، قوانین بایستی کاربران را ملزم گرداند که از برنامهها یا سیستم عامل تلفن هوشمندی که از رمزگذاری کارتهای MicroSD پشتیبانی میکند، استفاده کنند. دادههای ذخیره شده بر روی حافظه داخلی گوشی نیز بایستی رمزگذاری شوند. کاربران بایستی از گوشیهای هوشمندی استفاده نمایند که در صورت دزدیده شدن یا مفقود شدن گوشیشان، بتوان از راه دور اطلاعات درون آنها را از بین برد.
به روز رسانی، به روز رسانی، به روز رسانی!
احتمالا از این موضوع باخبر هستید، اما یکی از موثرترین معیارهایی که شما میتوانید با استفاده از آن وضعیت کلی امنیتتان را افزایش دهید، به روز نگاه داشتن سیستمتان همراه با برنامهها و به روز رسانیهای امنیتی است. در حالیکه بسیاری از مدیران شکایت میکنند که محصولات مایکروسافت لازم است تا به کرات به دلیل موارد امنیتی به روز رسانی شود، حقیقت این است که مایکروسافت نسبت به دیگر سیستم عاملها امن تر است. چرا که مایکروسافت بسیار درباره به روز رسانی نرمافزارهایش با پشتکار و جدیت عمل میکند. اگر شما از نرمافزاری استفاده میکنید که به ندرت به روز رسانی میشود، خودتان را با فکر اینکه نبود به روز رسانیها ارتباطی با رخنههای امنیتی نرم افزار ندارد فریب ندهید.
استفاده از مکانیسم تایید اعتبار امن
روشی بهتر استفاده از شیوه تعیین اعتبار دو عاملی است، که در آن کاربر ملزم میشود تا دستگاهی مانند کارت را در اختیار داشته و همچنین رمزعبور را نیز بداند. زمانی که تعیین اعتبار دو فاکتوری استفاده شود، حتی اگر رمزعبور به خطر بیافتد، آن رمزعبور ارزش کمی پیدا میکند. مگر اینکه مجرم، مالکیت فیزیکی کارت را نیز در اختیار داشته باشد. برای پیادهسازیهای امنتر، عوامل بیومتریک دیگری نیز میتواند افزوده شود، مانند تصدیق صدا، تصدیق چهره، اثر انگشت یا بررسی شبکیه چشم.
امنیت برای جلوگیری از نشت داده ها
به این فکر کنید که چگونه این دادهها را در برابر کاربران مجاز امن نمایید. اگر از آفیس و شرپوینت و Exchange مایکروسافت استفاده میکنید، میتوانید از مزایای Microsoft Rights Management Services جهت ایجاد قوانینی برای کنترل رفتار کاربرانی که به صورت قانونی به اطلاعات دسترسی یافتند، بهره جویید.
منبع:نگهبان
ارسال توسط کاربر محترم سایت :king007
/ج
