ابزار هدایت به بالای صفحه

حجم ناکافي گزارش‌ها

حجم گزارش‌ها به طور معمول بر روي اندازه‌ي پيشفرض خود باقي مي‌مانند. گرچه اين مسأله به خودي خود براي کارگزار خطري محسوب نمي‌شود، اما خطر آن زماني نمايان مي‌شود که به سامانه نفوذ شده و نياز به واکنش به رخداد و جرم‌شناسي باشد.

در صورت باقي‌ماندن تنظيمات و حجم گزارش‌ها به صورت پيشفرض، اين احتمال وجود دارد که به دليل کمبود فضا، اطلاعات مهم از بين رفته و يا بازنويسي شده و در نتيجه شناسايي ابعاد رخداد دشوار شود.

سرويس‌هاي غيرضروري

به طور پيشفرض سرويس‌هايي بر روي ويندوز فعال هستند که يا به آن‌ها نيازي نيست و يا ارتباطي به کارکرد کارگزار ندارند. به عنوان مثال مي‌توان به سرويس telephony و يا سرويس کارت هوشمند اشاره کرد که بسياري از کارگزارها به آن‌ها نيازي ندارند. فعال بودن سرويس‌هاي غيرضروري باعث قرار گرفتن سامانه در معرض خطر بيشتر است. اگر در هنگام بهره‌برداري از يک سرويس، آسيب‌پذيري شناخته‌شده‌اي در آن وجود نداشته باشد، به اين معني نخواهد بود که در آينده نيز يافته نخواهد شد. همچنين نفوذگرها مي‌توانند از اين سرويس‌ها براي اهداف شناسايي استفاده کنند. مثالي از اين مورد، بدافزار Shylock است که تنها در صورتي نصب مي‌شد که سرويس کارت هوشمند در حال اجرا بود.

تنظيمات ارتباطي ضعيف (LANMAN)

تنظمياتي که در اين دسته قرار مي‌گيرند، مي‌توانند با حملات مرد مياني و يا مجوزهاي ناصحيح، سامانه را در معرض خطر قرار دهند. اين تنظيمات معمولاً شامل اين موارد مي‌شود: ارتباطات امضا شده ميان کارگزار و مشتري، اجازه دادن به کاربران ناشناس جهت ايجاد اشتراک‌گذاري‌ها و حساب‌هاي SAM، و اجازه‌ي دسترسي ناشناس به اطلاعات اشتراک‌گذاشته شده و خط لوله‌هاي نامگذاري‌شده. اگر هرکسي امکان دسترسي به داده‌هاي اشتراک‌گذاشته‌شده يا خط لوله‌هاي نامگذاري‌شده را داشته باشد، به داده‌هايي دسترسي خواهد داشت که مي‌تواند براي دسترسي به سامانه را ممکن سازد. اين تنظيمات را مي‌توان در (Group Policy Object) GPO در مسير زير يافت:  

Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options

مثالي از اين مورد، اسکريپت‌هاي مديريتي هستند که بر روي رايانه اجرا شده و شامل گذرواژه‌ي رايانه‌هاي ديگر و يا سرويس‌هاي در حال اجرا بر روي آن رايانه‌ها مي‌شوند.

استفاده از گذرواژه‌ي ضعيف

تنظيماتي مانند «require domain controller to login» يا «unlock workstations and cache passwords» در صورتي که بر روي مقادير پيشفرض و نا‌امن خود باقي بمانند، کارگزار يا رايانه‌ي کاربر را در معرض حملات متعددي قرار خواهند داد. در صورتي که اين تنظميات بر روي مقادير پيشفرض باشند، کارگزاري که امکان تماس با کنترلر دامنه جهت تأييد گذرواژه‌ي کاربر را نداشته باشد، به حافظه‌ي کش خود رجوع خواهد کرد.اگر هش گذرواژه با هش گذرواژه‌ي موجود در حافظه‌ي کش کارگزار همخواني داشته باشد، به کاربر اجازه‌ي دسترسي به کارگزار، با مجوزهايي که در زمان ايجاد اطلاعات موجود در حافظه‌ي کش داشته، داده خواهد شد. اين تنظميات را مي‌توان در مسير زير در GPO (Group Policy Object) يافت:

Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options

پيکربندي TCP/IP ضعيف

يکي از تنظمياتي که معمولاً به حالت فعال رها مي‌شوند، «MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes» است. زماني که اين گزينه فعال باشد، دستگاه‌هاي راه‌دور امکان خواهند داشت با ارسال يک پيام ICMP دروازه‌ي پيشفرض ميزبان را تغيير دهند. اين پيام را مي‌توان به آساني با استفاده از Scapy جعل کرده و کارگزار را براي تغيير آدرس دروازه به يک آدرس آي‌پي مخرب، فريب داد و از آن براي انجام حملات مرد مياني استفاده کرد. اين تنظيمات را مي‌توان در Group Policy Object (GPO) در مسير زير يافت:

Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options

تنظيمات سياست‌هاي اشاره شده در اين نوشتار، معمولاً در هنگام استحکام‌بخشي پيکربندي کارگزارهاي تحت ويندوز ناديده گرفته مي‌شوند. اين تنظميات شايد به اندازه‌ي SeDebugPriviledge و يا AutoPlay با اهميت به نظر نرسند، اما پيکربندي صحيح آن‌ها به استحکام سامانه افزوده و به حفاظت از سامانه در برابر برخي از حملات هدفمند، کمک خواهد کرد.