x
تبلیغات

Windows Server Top Image


به دلیل خلق روش های جدید و پیچیده از سوی نفوذگران، شاهد ارائه قابلیت های گوناگون امنیتی در بروزرسانی های ارائه شده از سوی شرکت مایکروسافت هستیم.

 

با این توضیحات، می توان براحتی حدس زد که Windows Server 2016 نیز از این قائده مستثنی نبوده و لذا شاهد ارائه قابلیت های امنیتی جذابی در این نسخه از سیستم عامل هستیم.

 

در این مقاله قصد داریم به اهم قابلیت های امنیتی معرفی شده در Windows Server 2016 بپردازیم.

 

Nano Server


بر اساس گفته مایکروسافت، این نسخه از سیستم عامل، سبکترین و سریعترین سیستم عامل سمت سرور ارائه شده از سوی شرکت مایکروسافت است.

 

از جمله محاسن این نسخه از سیستم عامل را می توان در کاهش تعداد وصله های امنیتی و غیر امنیتی مورد نیاز، ری استارت شدن های بسیار سریع، استفاده بسیار مناسب از منابع و امنیت بسیار بالای آن، نام برد.


این نسخه دارای حجم بسیار پایینی بوده و براحتی قابل سفارشی سازی بر اساس انباره های (repositories) داخلی و یا موجود در فضای ابری می باشد. به عبارت دیگر، از آنجایی که اغلب قابلیت های موجود در نسخه معمولی Windows Server 2016، در این نسخه به صورت پیش فرض حذف شده اند، لذا جهت اضافه کردن این قابلیت ها، می توان از انباره های داخل سازمانی و یا موجود در فضای ابری استفاده کرد.


به طور کلی می توان Nano Server را قدم دیگر مایکروسافت در راستای Windows Server Core دانست. در Windows Core که برای اولین بار در Windows Server 2008 معرفی گردید، شاهد کاهش استفاده از منابع سخت افزاری و عدم استفاده از محیط گرافیکی هستیم. در Nano Server، مایکروسافت، پا فراتر نهاده و بسیاری از قابلیت های پیش فرض موجود در Server Core نیز در دسترس نمی باشد.


در این نسخه، همانند نسخه Core، شاهد عدم وجود واسط گرافیکی هستیم و به دلیل وجود حداقل قابلیت ها، آن را در مقابل حملات موجود، به طرز قابل توجهی مقاوم نموده است. توجه داشته باشید که تنها روش مدیریت Nano Server، مدیریت از راه دور بوده و تنها از ابزارهای 64 بیتی می توان بر روی Nano Server استفاده کرد.


با توجه به مطالب فوق می توان نتیجه گرفت که در صورت استفاده از Nano Server، میزان فضای ذخیره سازی اطلاعات مورد نیاز سیستم عامل بر روی هارد دیسک، بسیار اندک بوده و میزان تعدد وصله های امنیتی و غیر امنیتی و به تبع آن، ری استارت شدن سیستم، نیز بسیار کاهش می یابد.


نکته: می بایست توجه داشت که Nano Server نمی تواند تمامی نقش هایی که Windows Server 2016 بر عهده می گیرد، در اختیار قرار دهد. اما از آنجایی که این نسخه می تواند پرکاربردترین نقش ها را که عبارتند از Hyper-V و IIS را بر عهده بگیرد، این کاستی آنچنان به نظر نمی رسد.

 

قابلیت Just Enough Administration و PowerShell نسخه 5


قابلیت Just Enough Administration و یا به اختصار JEA، یک تکنولوژی امنیتی پیاده سازی شده در Windows Management Framework 5.0 می باشد.


نکته: Windows Management Framework شامل ابزارها و روش هایست که بواسطه آنها می توان از روش های یکپارچه اقدام به مدیریت نسخ مختلف سیستم عامل های ارائه شده از سوی مایکروسافت نمود.

با نصب Windows Management Framework، قابلیت های زیر به سیستم مورد نظر اضافه و یا قابلیت موجود در سیستم عامل (که در ادامه به آنها شاره شده است) بروزسانی می گردند:


 Windows PowerShell -
 (Windows PowerShell Desired State Configuration (DSC -
 (Windows PowerShell Integrated Script Environment (ISE -
 (Windows Remote Management (WinRM -
 (Windows Management Instrumentation (WMI -
 (Windows PowerShell Web Services (Management OData IIS Extension -
 (Software Inventory Logging (SIL -
Server Manager CIM Provider -

 

آخرین نسخه ارائه شده از سوی مایکروسافت، نسخه Windows Management Framework 5.1 هست که مایکروسافت آن را برای اولین بار در Windows Server 2016 ارائه داده است. جهت کسب اطلاعات بیشتر در این خصوص، اینجا را کلیک کنید.


بر اساس گفته مایکروسافت، این قابلیت می تواند به سازمان ها در محدود کردن توانایی های مدیران شبکه، یاری رساند. بر اساس این قابلیت، می توان تنظیماتی را اعمال نمود که به عنوان مثال، یک کاربر موجود در گروه Domain Admins، تنها به تعدادی از سرورها دسترسی مدیریتی و کامل داشته باشد و این در حالی است که در دیگر سرورها، دسترسی وی، در حد یک کاربر محدود باشد.


همچنین می توان کاری کرد که تنها تعداد قابل اندکی از دستورات مرتبط با PowerShell، در اختیار کاربر قرار گیرد. یا می توان کاری کرد که کاربر مورد نظر، تا زمانی که session آن در حالت فعال قرار دارد، توانایی انجام فعالیت های مدیریتی را داشته باشد و به محض بسته شدن session مورد نظر، این توانایی به صورت خودکار از میان برداشته شود.

 

Best security features of Windows Server 2016

 

همچنین شاهد قابلیت های جدیدی در Windows PowerShell ارائه شده در Windows Server 2016، هستیم. به عنوان مثال، می توان به صورت مستقیم از Windows PowerShell 5.0 در محیط Nano Server استفاده نمود که این قابلیت، مدیریت Nano Server را به طرز چشمیگری آسانتر می نماید.


نکته: تمامی Cmdletها، Providerها، Moduleها، اسکریپت ها پروفایل هایی که برای نسخه قدیمی تر Windows PowerShell تولید شده اند، در این نسخه براحتی، بدون هیچگونه تغییری کار می کنند.

 

معرفی قابلیت های Credential Guard و Device Guard


یکی از رویکردهای جدید مایکروسافت در راستای ارتقاء توان امنیتی سیستم عامل و سرویس های حیاتی آنها، ایجاد زیرساخت Virtual Secure Mode می باشد. هدف این قابلیت آنست که سیستم عامل Windows می تواند از نقطه نظر امنیتی در سطح بالاتری قرار گیرد و این مستلزم آنست که اجرای بعضی از فعالیت های امنیتی، به جای اجرا در لایه نرم افزار، به صورت مستقیم در لایه سخت افزار به اجرا درآیند. در خصوص این زیر ساخت، می بایست به دو نکته مهم توجه نمود.


نکته اول: زیر ساخت Virtual Secure Mode، فی نفسه، هیچگونه مزیتی در ارتقاء توان امنیتی سیستم ایفا نمی نماید. در عوض، این قابلیت می تواند خواستگاه دیگر قابلیت های امنیتی در نظر گرفته شود. به عبارت دیگر، قابلیت های امنیتی دیگر، همانند قابلیت Device Guard می تواند از این بستر جهت امن سازی سیستم عامل استفاده کند.


نکته دوم: درج عبارت Virtual در نام گذاری این زیر ساخت می باشد که به دلایلی که در ادامه به آن خواهم پرداخت، از اهمیت بالایی برخوردار است. جهت درک این موضوع، بررسی عملکرد زیر ساخت های مجازی سازی سمت سرور (Server Virtualization)، می تواند راه گشا باشد.

 

همانطور که می دانید، پردازنده (CPU)های مدرن امروزی، از نقطه نظر مجازی سازی، دارای افزونه هایی هستند که از آنها جهت پیاده سازی زیر ساخت پردازشی راه حل های مجازی سازی، استفاده می شود.

 

در این زیر ساخت، لایه hypervisor در بالای CPU قرار داشته و به عنوان واسط میان ماشین های مجازی و سخت افزار عمل می کند. یکی از منافع این راه حل در مجازی سازی سمت سرور آنست که لایه Hypervisor به عنوان یک لایه واسط، اطمینان حاصل می نماید که ماشین های مجازی به صورت کامل از یکدیگر مجزا هستند و مشکلات امنیتی رخداده در یک ماشین مجازی، امکان سوء استفاده از یک ماشین مجازی دیگر را از نفوذگر سلب می نماید (البته وجود مشکلات امنیتی در لایه Hypervisor، امکان بروز چنین مشکلات امنیتی را امکان پذیر می نمایند. این گونه مشکلات امنیتی، با عنوان VM Jumping شناخته می شوند).


زیر ساخت Virtual Secure Mode نیز مانند زیر ساخت مجازی سازی سمت سرور، عمل می نماید. عملیات های حساس می توانند در فضای اختصاصی ایجاد شده از سوی این زیر ساخت، به صورت کاملا امن و مجزا از یکدیگر و همچنین به صورت کامل مجزا از سیستم عامل میزبان، فعالیت نمایند.


دو قابلیت Credential Guard و Device Guard، قابلیت هایی هستند که از زیر ساخت در اختیار قرار داده شده از سوی Virtual Secure Mode، در راستای پیشبرد اهداف خود، استفاده می نمایند.


همانطور که از نام قابلیت Credential Guard بر می آید، این قابلیت مانع از سوء استفاده از اطلاعات حساس کاربران (اطلاعاتی که به احراز هویت آنها و استفاده اختصاصی آنها از منابع، باز می گردد)، که در فضای RAM قرار گرفته اند، می شود.


در مقابل، قابلیت Device Guard، به صورت کاملا دقیق اقدام به پایش دانلود نرم افزارها بر روی سیستم هایی که این قابلیت بر روی آنها فعال شده است، می نماید. در این حالت، تنها ابزارهایی امکان دانلود را خواهند داشت که اولا توسط یک مرجع مورد اعتماد امضاء (digital sign) شده باشند و یا آنکه مدیر سیستم، امکان دانلود را با استفاده از سیاست های قابل ویرایش، پیکربندی نموده باشد.
قابلیت Device Guard، خود دارای سه قابلیت امنیتی مستقل می باشد. این سه قابلیت عبارتند از:


 Configurable Code Integrity -
 VSM Protected Code Integrity -
 Platform and UEFI Secure Boot -

 

از آنجایی که قطعا تمامی نرم افزارهای کاربردی، از سوی مراجع مورد اعتماد امضاء نشده اند، لذا مایکروسافت جهت حل این مشکل، اقدام به ارائه نرم افزار SignTool.exe نموده است. با استفاده از این نرم افزار، شما می توانید نرم افزارهایی که از سوی تولید کننده آنها و یا نرم افزارهایی که توسط سازمان خودتان، تولید شده اند را، امضاء دیجیتالی نمایید.


نکته: اگر چنانچه نرم فزاری قبل از استفاده از قابلیت Device Guard، بر روی سیستم نصب شده باشد و نرم افزار مذکور فاقد پیشنیازهای لازم (از منظر قابلیت Device Guard) باشد، امکان اجرای آن از سوی کاربر سلب خواهد شد.