حجم ناکافي گزارشها
حجم گزارشها به طور معمول بر روي اندازهي پيشفرض خود باقي ميمانند. گرچه اين مسأله به خودي خود براي کارگزار خطري محسوب نميشود، اما خطر آن زماني نمايان ميشود که به سامانه نفوذ شده و نياز به واکنش به رخداد و جرمشناسي باشد.
در صورت باقيماندن تنظيمات و حجم گزارشها به صورت پيشفرض، اين احتمال وجود دارد که به دليل کمبود فضا، اطلاعات مهم از بين رفته و يا بازنويسي شده و در نتيجه شناسايي ابعاد رخداد دشوار شود.
سرويسهاي غيرضروري
به طور پيشفرض سرويسهايي بر روي ويندوز فعال هستند که يا به آنها نيازي نيست و يا ارتباطي به کارکرد کارگزار ندارند. به عنوان مثال ميتوان به سرويس telephony و يا سرويس کارت هوشمند اشاره کرد که بسياري از کارگزارها به آنها نيازي ندارند. فعال بودن سرويسهاي غيرضروري باعث قرار گرفتن سامانه در معرض خطر بيشتر است. اگر در هنگام بهرهبرداري از يک سرويس، آسيبپذيري شناختهشدهاي در آن وجود نداشته باشد، به اين معني نخواهد بود که در آينده نيز يافته نخواهد شد. همچنين نفوذگرها ميتوانند از اين سرويسها براي اهداف شناسايي استفاده کنند. مثالي از اين مورد، بدافزار Shylock است که تنها در صورتي نصب ميشد که سرويس کارت هوشمند در حال اجرا بود.
تنظيمات ارتباطي ضعيف (LANMAN)
تنظمياتي که در اين دسته قرار ميگيرند، ميتوانند با حملات مرد مياني و يا مجوزهاي ناصحيح، سامانه را در معرض خطر قرار دهند. اين تنظيمات معمولاً شامل اين موارد ميشود: ارتباطات امضا شده ميان کارگزار و مشتري، اجازه دادن به کاربران ناشناس جهت ايجاد اشتراکگذاريها و حسابهاي SAM، و اجازهي دسترسي ناشناس به اطلاعات اشتراکگذاشته شده و خط لولههاي نامگذاريشده. اگر هرکسي امکان دسترسي به دادههاي اشتراکگذاشتهشده يا خط لولههاي نامگذاريشده را داشته باشد، به دادههايي دسترسي خواهد داشت که ميتواند براي دسترسي به سامانه را ممکن سازد. اين تنظيمات را ميتوان در (Group Policy Object) GPO در مسير زير يافت:
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
مثالي از اين مورد، اسکريپتهاي مديريتي هستند که بر روي رايانه اجرا شده و شامل گذرواژهي رايانههاي ديگر و يا سرويسهاي در حال اجرا بر روي آن رايانهها ميشوند.
استفاده از گذرواژهي ضعيف
تنظيماتي مانند «require domain controller to login» يا «unlock workstations and cache passwords» در صورتي که بر روي مقادير پيشفرض و ناامن خود باقي بمانند، کارگزار يا رايانهي کاربر را در معرض حملات متعددي قرار خواهند داد. در صورتي که اين تنظميات بر روي مقادير پيشفرض باشند، کارگزاري که امکان تماس با کنترلر دامنه جهت تأييد گذرواژهي کاربر را نداشته باشد، به حافظهي کش خود رجوع خواهد کرد.اگر هش گذرواژه با هش گذرواژهي موجود در حافظهي کش کارگزار همخواني داشته باشد، به کاربر اجازهي دسترسي به کارگزار، با مجوزهايي که در زمان ايجاد اطلاعات موجود در حافظهي کش داشته، داده خواهد شد. اين تنظميات را ميتوان در مسير زير در GPO (Group Policy Object) يافت:
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
پيکربندي TCP/IP ضعيف
يکي از تنظمياتي که معمولاً به حالت فعال رها ميشوند، «MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes» است. زماني که اين گزينه فعال باشد، دستگاههاي راهدور امکان خواهند داشت با ارسال يک پيام ICMP دروازهي پيشفرض ميزبان را تغيير دهند. اين پيام را ميتوان به آساني با استفاده از Scapy جعل کرده و کارگزار را براي تغيير آدرس دروازه به يک آدرس آيپي مخرب، فريب داد و از آن براي انجام حملات مرد مياني استفاده کرد. اين تنظيمات را ميتوان در Group Policy Object (GPO) در مسير زير يافت:
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
تنظيمات سياستهاي اشاره شده در اين نوشتار، معمولاً در هنگام استحکامبخشي پيکربندي کارگزارهاي تحت ويندوز ناديده گرفته ميشوند. اين تنظميات شايد به اندازهي SeDebugPriviledge و يا AutoPlay با اهميت به نظر نرسند، اما پيکربندي صحيح آنها به استحکام سامانه افزوده و به حفاظت از سامانه در برابر برخي از حملات هدفمند، کمک خواهد کرد.
بخش نظرات