צעדים בסיסיים לאבטחת NT

|הדגש|1 - סיסמאות|סיים|
הצעד הראשון לאבטחת מערכת הוא ניהול סיסמאות נכון ויעיל. קודם כל, יש לוודא שלכל משתמש במערכת קיימים שם משתמש וסיסמה יחודיים. רוב מנהלי הרשתות מאפשרים למשתמשים לבחור סיסמה כרצונם (customized password) ולא דורשים להישתמש בסיסמה שסופקה ע"י מנהל הרשת. לצערינו, רוב מוחץ של המשתמשים אינם מודעים לחשיבות הרבה לסיסמה אותה הם בוחרים. המשתמשים נוטים לבחור סיסמה שקלה לזכירה ומהירה להקלדה. סיסמאות נפוצות הן שמות פרטיים, תאריכי ימי הולדת, וצירוף של שניהם - מיותר לציין שסיסמה מסוג dafna למשתמש dafna אינה סיסמה טובה. לכן, אחת הפעולות החשובות ביותר אותן מנהל רשת חייב לבצע (לעיתים גם אחת היעילות) היא הגדרת דרישות מינימליות לסיסמאות. סיסמה טובה (יחסית) היא סיסמה בעלת 7 תווים ויותר ואשר מורכבת מצירוף של אותיות ומספרים. שיטה אחת ליצירת סיסמה מאובטחת וקלה לזכירה היא קיצור של משפט או ביטוי כלשהו, לדוגמא: "Its too nice to stay indoors" יכול בקלות להפוך ל - "i2n2sid".
ב Windows NT קיימת אפשרות של הגדרת Password Policies - נצלו אותה. רצוי להגדיר תוקף סיסמה (חודש-חודשיים), אורך (7 תווים+), סיבוכיות (אותיות ומספרים), ומניעת חזרה על סיסמאות קודמות (history).
כמו-כן, הקפידו לבדוק את הגדרות המשתמשים באופן קבוע, ומחקו חשבונות מיותרים.

|הדגש|2 - הרשאות|סיים|
הרשו לי להזהיר אתכם כבר מההתחלה - אל תיתנו למשתמשים לבחור את שמות המשתמש שלהם! בחרו בעצמכם, שם יחודי, יעיל, ומקצועי (דוגמה טובה: שם פרטי+אות ראשונה של שם משפחה).
לאחר שהגדרתם כל משתמש וסיסמתו, הגיע הזמן לעבוד על ההרשאות שתיתנו לכל קבוצת משתמשים. מומלץ ליצור מספר קבוצות בסיסיות, לדוגמא: Administrators ,Power Users ,Users ,Restricted Users/Guests, ולהגדיר הגדרות מותאמות לכל קבוצה וקבוצה. למשל, ה Administrator יכול לעשות כל העולה על רוחו, ה Power User בעצם כמו ה Administrator, רק שהוא לא יכול לשנות הגדרות של משתמשים אחרים, ה User שהוא בעצם המשתמש "המצוי" - חופשי לעשות כמעט הכל בשטח ובתוכנות המוגדרות לו, ואחרון חביב, ה Restricted User אשר לא יכול לעשות דבר שפוטנציאלית עלול לפגוע בשלמות המערכת (התקנות, מחיקות, וכו').

|הדגש|3 - חשבון ה Administrator |סיים|
כל מי שלפחות פעם אחת התקין את Windows NT נתקל במשתמש ברירת המחדל של המערכת, והוא ה Administrator. לא רק שמותר לו לעשות הכל, מיקרוסופט אף לא חשבו לנכון לתת לו סיסמה כלשהי (לעיתים דווקא החשבון הזה הוא הדרך האהובה על גורמים עויינים לבצע חדירות למערכת). מסיבות אדמיניסטרטיביות לא ניתן למחוק או לבטל את החשבון, אבל כן ניתן לשנות את שמו וסיסמתו - אפילו מומלץ ביותר. שנו את שם החשבון לשם פשוט כלשהו (דוגמת some_guest_user) והגדירו סיסמה טובה. לאחר מכן, תצרו חשבון בשם admin, תנו גם לו סיסמה טובה, אך אפס הרשאות - הדבר יבטיח כמה שעות של שבירת ראש לכל גורם עויין, בנסיון להבין מיהו ה administrator ומי לא.

|הדגש|4 - Logon and Logoff |סיים|
הגדירו מספר מקסימלי של נסיונות כניסה כושלים ולאחר מכן בחרו לנעול (disable) את החשבון, לזמן מסוים או עד שמנהל הרשת יפעילו מחדש. אומנם הדבר שנוא על רוב המשתמשים, הוא בלתי נמנע על מנת לשמור על בטחון המערכת. כמו כן, הפעילו את האפשרות של מעקב אחר נסיונות כניסה (מוצלחים וכושלים כאחד) – ;login logging, ואל תשכחו לבדוק את הלוגים פעם במספר ימים. חפשו רשומות חשודות (כגון: המנכ"ל התחבר ב 3 לפנות בוקר, כאשר אתם בטוחים שהמנכ"ל הוא אדם בריא בנפשו, ובכלל הוא בנופש כבר שבוע שלם).

|הדגש|5 - NTFS |סיים|
מערכת אירגון הקבצים NTFS תוכננה במיוחד כדי לספק אבטחת מידע ברמה הגבוהה ביותר - השתמשו בה! אם אתם מריצים שרת ואינכם משתמשים ב NTFS, הגיע הזמן לאישפוז... כמובן, ש NT מאפשר שימוש אפילו ב FAT, אבל איך תאבטחו את הנתונים שם?! הגדירו הרשאות לכוננים ולתיקיות, השתמשו בהצפנה ובהגדירו שטח שימוש למשתמשים (Quotas)

|הדגש|6 - אבטחה פיזי|סיים|
כמה שווה הגנה מחדירה "וירטואלית" אם השרת נמצא בחדר פתוח לעיני כול עובר? נעלו את השרת, ה router, ה hub, וכל מה שניתן לנעילה אפקטיבית. הסיבה פשוטה, בד"כ לפני נסיון חדירה רציני למערכת, ההאקר ("הרשע") עושה עבודת מחקר לא קטנה, לעיתים הדבר אף כולל "ביקורי-בית".

|הדגש|7 - הישארו מעודכנים|סיים|
הפיתוח הטכנולוגי המואץ של ימינו לא משאיר ברירה לאנשי המחשבים אלא לרוץ אחר החידושים המופיעים יום-יום בשוק. באבטחה העניין בגדר חובה ולא המלצה - מדי יום מופיעים דיווחים על חורים וחולשות במערכות שונות, ויום לאחר מכן יוצא תיקון חדש, ו patch נוסף אשר מתיימר לתקן את העוול הנוראי. שימו לב ל service packs למיניהם ונסו להתקין לפחות את המרכזיים שביניהם.

|הדגש|8 - אבטחת ה Registry |סיים|
כעקרון הרגיסטר של Windows NT מאובטח בהרבה מזה של ה 9x. אך גם כאן, מתעוררות מספר בעיות הקשורות דווקא ברגיסטר לא מאובטח מספיק. לדוגמא, משתמש מרוחק אשר קיבל גישה כלשהי למערכת יכול לקבל גישה אנונימית לחלוטין לרגיסטר, דבר אשר רצוי מאוד למנוע.

|הדגש|9 - בדיקות בטיחות |סיים|
מדי פעם מומלץ לערוך בדיקות בטיחות למערכת כולה ע"י גורם שלישי כלשהו, ז"א לנסות לפרוץ למערכת מבחוץ. לשם כך, אין צורך לרוץ לעמדת מחשב מרוחקת ולהתחיל לפרוץ, קיימים כלים רבים שנועדו למטרה זו בדיוק. אלו הכללים הבסיסיים (והפשוטים) ביותר אותם מומלץ לקיים בכל מערכת NT אותה רוצים לאבטח.


בהצלחה, וכמו תמיד, כל שאלה מוזמנת לפורום.

ולאד
progman@walla.co.il