4 ویژگی امنیتی در ویندوز سرور 2008

(قسمت اول)

مایکروسافت به همراه ارائه ی سیستم عامل های سمت کلاینت مانند ویستا و 7، در ویندوز سرور 2008 نیز اقدام به بالا بردن ضریب امنیتی در بخش های مختلفی نموده است، شامل: یک دیواره آتش بهبود یافته و پیشرفته، مکانیزم رمزنگاری (دیسک سخت) Hard Drive، توسعه ی زمینه های کنترلی و مدیریتی در سیستم مدیریت یکپارچه دامنه (Active Directory)، امنیت در قابلیت برنامه ریزی برنامه های وابسته (Independent Software Vendor)، قابلیت های کنترلی دسترسی به شبکه (Network Access) و سایر بروز رسانی ها و پیشرفت های اعمال شده در تکنولوژی های امنیتی.

پایه های کدنویسی و برنامه نویسی مشابه در ویندوز سرور 2008 و کلاینت ویستا و 7، بصورت استاندارد محیطی امن فراهم کرده است. اما علاوه بر این امکان اعمال مدیریت از طریق ابزارها و تکنولوژی ها به منظور استحکام بیشتر و مدیریت امنیت، در دنیای پر از تغییرات گسترده و سریع شبکه، در اختیار قرار داده شده است.

در این مقاله به طور مختصر به 4 ویژگی مهم امنیتی در ویندوز سرور 2008 می پردازیم:

قابلیت جدید و پیشرفته‌ی دیواره آتش (Advanced Firewall)

ویندوز سرور 2008 یک نسخه ی جدید و بهبود یافته از دیواره آتش ارائه کرده است، که شامل یک پک بسیار پیشرفته تر نسبت به اولین نسخه های ارائه شده در دیواره آتش ویندوز XP SP2 می باشد. مایکروسافت یک راه حل کاملا اساسی و سمت سرور ارائه نموده است که امکان اعمال تنظیمات پیشرفته تر و دقیق تر را در ویندوز دیواره آتش فراهم آورده است . فیلتر های ورودی (Incoming) و خروجی (Outgoing) می توانند بصورت قوانین های (Rules) کاملا پیشرفته برای فیلتر کردن ترافیک شبکه براساس آدرس مبدا و آدرس مقصد، پورت، سرویس، پروتکل ها و حتی رابط های شبکه (Interface)ها، به کار گرفته شوند.

دیواره آتش به صورت استاندارد پیشفرض، کلیه ی اطلاعاتی که از شبکه بیرونی به سمت داخل بیایند را رد (Deny) کرده و کلیه ی ترافیک های خروجی به هر مقصدی دارای اجازه عبور می باشند. اگرچه شما می توانید تنها از تنظیمات پایه ای موجود در دیواره آتش در قسمت مدیریتی ویندوز (Control Panel) استفاده کنید، ولی دیگر از این مسیر نمی توانید به تنظیمات پیشرفته ی ذکر شده دسترسی داشته باشید. تنظیمات پیشرفته از طریق کنسول MMC snap-in با نام Windows Firewall With Advanced Security قابل دسترسی می باشد. همچنین این Snap-in در ابزار مدیریتی (Administrative tools) نیز قابل دسترس می باشد.

قابلیت‌های امنیتی پیشرفته ارائه شده شامل یکپارچگی کامل با کاربرها و پروژه های سرویس مدیریت یکپارچه دامنه بوده، و همین‌طور اعمال تنظیمات از طریق کاربران راه دور (Remote Client) به صورت خط فرمان (Command Line) و هم‌چنین Snap-in قابل انجام است. هم‌چنین یک قابلیت جدید دیگر در ویندوز دیواره آتش مجتمع شدن با پروتکل امنیتی IPsec می باشد که تنظیمات مربوط به IPsec را بسیار ساده تر کرده و از ایجاد تداخل با قوانین‌های دیواره آتش جلوگیری به عمل می‌آورد، چرا که هردوی این برنامه ریزی ها از طریق یک واسط میانی یا رابط شبکه اعمال می گردند.

Bit Locker؛ تلاشی برای امنیت و حفاظت

رمزنگاری دیسک سخت یا (Drive Encryption)، آخرین تکنولوژی به دست آمده در تلاش برای رسیدن به پردازش امن و حفاظت اطلاعات می باشد. ویندوز سرور 2008 این قابلیت سودمند را با نام Bit Locker Drive Encryption با دو تکنولوژی کلیدی برای حفاظت از اطلاعات حساس قرار داد که شامل رمزنگاری و بررسی امنیت سیستم در مرحله ی استارت سیستم (Boot) می باشد. اگرچه سرورها در معرض دستبرد فیزیکی قرار ندارند اما باز هم بعضا شاهد دستبردهای سخت افزاری اطلاعات می باشیم. بطور مثال حین تعمیرات تجهیزات سخت افزاری سرورها و یا حین جابجایی مکانی سرورها. Bit Locker به مدیرها امکان رمزنگاری کلیه درایوهای مربوط به سیستم عامل، مانند سایر درایوهای مربوط به اطلاعات را خواهد داد. اما این نکته قابل توجه است که درایوهای سیستم عامل و دیتا بصورت جداگانه نمی توانند رمزگشائی (Decrypt) شوند؛ اگر درایو سیستم عامل از حالت رمز شده و بلاک خارج گردد، سایر درایوهای دیتا نیز به تبع آن رمزگشائی خواهند شد. همچنین این نکته قابل ذکر است که Bit Locker تنها قابلیت رمزنگاری درایوهای مجازی یا logical را روی سیستم دارا می باشد نه درایوهای فیزیکی را.

Bit Locker بصورت پیشفرض بر روی ویندوز سرور 2008 نصب نمی باشد، چراکه ممکن است برای بعضی طراحی ها و محیط ها در سرور مطلوب نباشد. مثلا ذکر این نکته که Bit locker قابلیت پشتیبانی از طراحی های خوشه ای (Cluster) را ندارد گواهی بر این موضوع می باشد. امنیت در Bit locker با در نظرگرفتن فاکتور مشخصه های ماژول های روی یک پلت فرم خاص، یک امنیت در سطح سخت افزاری برای جلوگیری از دزدی های فیزیکی و Offline اطلاعات می باشد.

Bit Locker توسط یک ویزارد ساده امکان اعمال تنظیمات و مدیریت را به شما خواهد داد. همچنین مدیر سیستم می تواند از طریق کدها و اسکریپت ها، از طریق واسط های سیستم عامل تنظیمات مورد نظرخود را اعمال کند.

شخص می تواند از طریق کنسول Recovery در Bit locker در صورت داشتن کلید و کدرمزهای صحیح و یا شماره Pin مورد تایید، به آسانی اجازه دسترسی به اطلاعات رمز شده را پیدا کنند.