با توجه به اهمیت امنیت شبکه و مباحث مربوط به امنیت، با توجه به اینکه اولین حساب کاربری که مورد حمله قرار می گیرد، حساب کاربری Administrator می باشد، تصمیم دارم در این مقاله به چگونگی بالا بردن امنیت شبکه در مقابل این حساب کاربری بپردازم.
محافظت از حساب کاربری Administrator
بی تردید حساب کاربری Administrator هدف اول افرادی است که قصد دسترسی غیر مجاز به شبکه و منابع شبکه ای شما را دارند. بیشتر از هر حساب کاربری دیگری، شما بایستی از این حساب کاربری محافظت کنید و اطمینان حاصل کنید که این حساب کاربری در مقابل ابزارها، ترفندها و … به اندازه کافی مقاوم است. تنظیمات مقدماتی و پیشرفته ای در داخل Active Directory به منظور محافظت از این حساب کاربری با ارزش، موجود می باشد.
مقدمه
زمانی که Active Directory را روی ویندوز سرور نصب می کنید، حساب های کاربری زیادی به صورت پیش فرض روی آن وجود ندارند. به هر حال، حساب کاربری که بیش از هر حساب کاربری دیگری نیاز به محافظت دارد، حساب کاربری Administrator است. این حساب کاربری، یکی از حساب های کاربری پیش فرض است که بیشترین اجازه دسترسی به Active Directory، دامین کنترلرها، Member Server ها و سرویس های شبکه را دارا می باشد. حساب کاربری Administrator در Active Directory، یکی از معدود حساب های کاربری Administrator در شبکه است. هر Member Server و کلاینتی دارای یک حساب کاربری Local Administrator است که کنترل سیستمی که روی آن قرار دارد را تماما در دست دارد. از بیشتر اطلاعاتی که در این مقاله مورد بحث قرار می گیرد، میتوان برای محافظت از حساب کاربری Local Administrator نیز استفاده کرد. بهترین راه کنترل کردن امنیت این حساب کاربری، استفاده از Group Policy در Active Directory می باشد.
از آنجایی که حساب کاربری Administrator در Active Directory بزرگترین حیطه تاثیر (با توجه به اهمیت و کاربرد این حساب کاربری در دامین ها و فارست های مختلف) را دارد، در این مقاله روی محافظت از آن تمرکز می کنم. به خاطر بیاورید که چه تعداد حساب کابری Administrator در سطح Active Directory در شبکه خود دارید. هر دامینی دارای یک حساب کاربری Administrator است که مسئول کنترل کردن تمامی Object ها در همان دامین است. حساب کاربری Administrator که در اولین دامین Active Directory قرار دارد، دارای اجازه دسترسی های ویژه ای می باشد. این حساب کاربری عضو گروه های Enterprise Admins و Schema Admins نیز خواهد بود که از این طریق، کنترل تمام Object ها در تمام فارست و نیز کنترل Forest Schema را در اختیار خواهد داشت.
چرا این حساب کاربری اینقدر اهمیت دارد؟
حساب کاربری Administrator در سطح Active Directory قدرت کنترل تمام کامپیوترها، بانضمام دامین کنترلر ها در درون دامین را دارا می باشد. این به آن معناست که این حساب کاربری به صورت پیش فرض می تواند به هر کامپیوتری درون شبکه Login کند، به هر فایلی دسترسی داشته باشد و هر نرم افزاری را نصب کند. حتی اگر Local Administrator دسترسی های Domain Administrator را ببندد، Domain Administrator می تواند اجازه دسترسی های خود را پس بگیرد. اجازه دسترسی های مهم دیگری نیز وجود دارند که در اختیار Domain Administrator هستند و قدرت زیادی را به این حساب کاربری می دهند. بی تردید Administrator می تواند کامپیوتر ها را به شبکه اضافه کند، هر حساب کاربری را ویرایش کند (شامل عوض کردن Password نیز می شود) و همچنین می تواند GPO ایجاد کند. این اجازه دسترسی ها نمی توانند از این حساب کاربری گرفته شوند، زیرا که تاروپود و عناصر وجودی این حساب کاربری هستند.
در سیستم عامل های قبلی، فاکتور کلیدی دیگری که باید در نظر گرفته شود این است که نمی توان این حساب کاربری را حذف و یا غیر فعال کرد که این امر، مشکل منحصر به فردی برای خیلی از مدیران شبکه و شبکه های ویندوزی برای محافظت از این حساب کاربری به وجود می آورد. پس از عرضه ویندوز سرور 2003، مایکروسافت قابلیت غیر فعال کردن حساب کاربری Administrator را فراهم کرده است. طی این مقاله، در مورد این ویژگی و همینطور کارهایی که برای محافظت از این حساب کاربری می توان انجام داد، بحث خواهم کرد.
چرا این حساب کاربری را مورد هدف قرار می دهند؟
هکرها و مهاجمان به دلایل زیادی این حساب کاربری را مورد حمله قرار می دهند. به غیر از دلایلی که به آنها اشاره کردم، مهاجمان اطلاعات زیادی در مورد این حساب کاربری در اکثر محیط ها دارند. اول، حساب کاربری Administrator روی هر کامپیوتر با سیستم عامل ویندوز دارای یک SID یا Security Identifier مشابه است. SID یک دسته کاراکتر الفبا عددی (Alpha-Numeric) است که توسط سیستم عامل با هدف پیگیری حساب کاربری و دادن دسترسی به منابع، مورد استفاده قرار می گیرد. چه در مورد حساب کاربری Administrator در اولین دامین Active Directory صحبت کنیم، چه در مورد این حساب کاربری روی ویندوز 2000 پروفشنال، SID همیشه با عدد 500 پایان میابد.
دانستن این اطلاعات، حساب کاربری Administrator را به هدفی راحت برای مهاجمان تبدیل می کند. از آنجایی که SID مربوط به Administrator همیشه با عدد 500 پایان میابد، مهاجمان به راحتی می توانند این حساب کاربری را با استفاده از Enumerate کردن SID ها از Active Directory یا SAM روی کامپیوتر کلاینت، مورد هدف قرار دهند. این کار ممکن است سخت به نظر برسد، اما ابزارهایی در اینترنت برای این کار وجود دارند که بخش سخت این کار را برای شما انجام می دهند. دوم، این حساب کاربری از نسخه های اولیه ویندوز وجود داشته و دامین های Active Directory روی ویندوز 2000 و ویندوز NT، قادر به حذف یا غیر فعال کردن آن نبودند. با ظهور ویندوز سرور 2003 بود که میشد این حساب کاربری را غیر فعال کرد.
این اطلاعات، مهاجمان را به حساب کاربری شناخته شده “administrator” راهنمایی می کرد که می توانستند آن را مورد هدف قرار دهند.
در نهایت، حساب کاربری Administrator هدف راحتی برای اکثر نسخه های ویندوز و Active Directory محسوب می شود. شما ممکن است متعجب شوید از اینکه بدانید تعداد زیادی از شبکه های بزرگ از این حساب کاربری محافظت نمی کنند. قبل از عرضه ویندوز سرور 2003، حساب کاربری Administrator بدون Password نصب می شد. همه ما میدانیم که به خاطر سپردن و مدیریت کردن Password ها چه کار سختی است، به همین خاطر خیلی از شرکت ها از این حساب کاربری محافظت نمی کنند (با تغییر ندادن اسم و یا تنظیم نکردن Password مناسب برای آن و یا تنظیم کردن هیچ گونه Password برای آن).
روش های پایه ای:
با توجه به دلایل زیاد محافظت از این حساب کاربری، در این بخش روش های مقدماتی برای محافظت از این حساب کاربری را معرفی می کنم.
1- اسم این حساب کاربری را تغییر دهید
اگر اسم این حساب کاربری را به صورت پیش فرض نگاه دارید، عملا نیمی از اطلاعات لازم برای وارد شدن به این حساب کاربری را به مهاجم داده اید. خیلی از شرکت ها این اسم را بر اساس ساختار سازمانی اسم گذاری خود تغییر می دهند. برای مثال ممکن است حساب کاربری Joe Smith به عنوان Administrator باشد تا کاربران و هکر های مبتدی را گیج کند.
2- Description مربوط به این حساب کاربری را تغییر دهید
از آنجایی که در توضیح مربوط به حساب کاربری Administrator نوشته شده است حساب کاربری پیش فرض مدیر، تغییر دادن و یا حذف کردن این توضیح به محافظت بیشتر از این حساب کاربری کمک می کند.
3- حساب کاربری جعلی با نام “Administrator” ایجاد کنید
خیلی از هکر ها هستند که فقط به دنبال اسم Administrator می گردند. بنابراین اگر حساب کاربری دروغی با این اسم و بدون هیچ گونه اجازه دسترسی ایجاد کنید (و حتی آن را غیر فعال کنید)، مهاجم شانسی برای به دست آوردن دسترسی به شبکه شما تحت این حساب کاربری را نخواهد داشت.
4- پسووردی پیچیده برای Administrator انتخاب کنید
منظور من از پیچیدگی در Password، با مفهومی که مد نظر سیستم عامل است، متفاوت است. پیشنهاد می کنم از عبارات طولانی به عنوان Password استفاده کنید. من به شما عبارتی مثل زیر را پیشنهاد می کنم: من در ایران زندگی می کنم. من از سایت GeekBoy دیدن میکنم.
5- از این حساب کاربری استفاده نکنید
من پی برده ام که خیلی از شرکت ها برای انجام امور حفظ و نگهداری دوره ای، کارها و مدیریت شبکه از این حساب کاربری استفاده می کنند. همچنین فهمیده ام که این حساب کاربری به عنوان Service Account برای خیلی از سرویس های شبکه مورد استفاده قرار می گیرد. این حساب کاربری هرگز نباید مورد استفاده قرار بگیرد. مگر اینکه فاجعه ای رخ دهد و برای دسترسی به دامین کنترلر، نیاز به استفاده از این حساب کاربری باشد.
روش های پیشرفته:
علاوه بر کارهای پایه ای که برای محافظت از این حساب کاربری می توان انجام داد، در این بخش ترفند های پیشرفته ای را معرفی می کنم که با کمک آنها می توانید امنیت و دسترسی این حساب کاربری را به یک سطح بالاتری ببرید.
1- حساب کاربری لوکال Administrator را غیرفعال کنید.
تنظیماتی در Group Policy روی دامین و روی SAM موجود روی کلاینت ها برای غیرفعال کردن این حساب کاربری وجود دارد. این Policy در زیرشاخه تنظیمات GPO زیر موجود است:
Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options > Accounts: Administrator Account Status
برای فعال کردن ای Policy کافیست آن را روی گزینه Enabled قرار دهید.
2- اسم حساب کاربری لوکال Administrator را از طریق GPO تغییر دهید.
با توجه به نرم افزارها و موارد مورد نیاز دیگر، غیر فعال کردن تمامی حساب های کاربری Administrator روی هر کامپیوتر، کار سختی نمی باشد. در این مورد می توانید از راه ساده ای برای تغییر نام این حساب کاربری استفاده کنید. برای این منظور می توانید از GPO زیر استفاده کنید تا تمامی حساب های کاربری Administrator روی همه کامپیوترها را تغییر نام دهید:
Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options > Accounts: Rename Administrator Account
3- حق “دسترسی به کامپیوتر از طریق شبکه” برای این حساب کاربری را سلب کنید.
به طور پیشفرض حساب کاربری Administrator عضو گروه های Everyone و Authenticated Users می باشد که به موجب آن، قادر به دسترسی به تمامی کامپیوترها از طریق شبکه است. از آنجایی که از این حساب کاربری برای مدیریت دوره ای شبکه استفاده نخواهد شد، واقعا نیازنیست که این حساب کاربری به منابع روی هر سروری از طریق شبکه دسترسی داشته باشد. با اعمال تنظیمات GPO زیر برای این حساب کاربری، حمله هکرها به حساب کاربری Administrator را کاهش خواهید داد:
Computer Configuration > Policies > Windows Settings > Security Settings> Local Policies > User Rights Assignment > Deny Access to This Computer From The Network
خلاصه:
در دنیای ویندوز، حساب کاربری Administrator بسیار قدرتمند می باشد. چه در مورد Administrator موجود در Active Directory حرف بزنیم و چه در مورد Administrator موجود روی SAM در یک کلاینت، این حساب کاربری به طور پیشفرض بالاترین اجازه دسترسی در میان تمام حساب های کاربری را دارا است. شما می بایست گام های مناسبی در راستای محافظت از این حساب کاربری بردارید و اطمینان حاصل کنید که این حساب کاربری در معرض دید نیست تا احتمال لو رفتن آن را کاهش دهید. روش هایی مقدماتی وجود دارند (که اغلب نادیده گرفته می شوند) که می توانید با استفاده از آنها از این حساب کاربری محافظت کنید. به علاوه این راه های مقدماتی، می توانید تنظیمات پیشرفته تری را در راستای کاهش احتمال لو رفتن این حساب کاربری انجام دهید.
نویسنده: سعید خلیفی
عالی بود.
تغییر اسم سایت هم حرکت خوبی بود.