اگر شما از ویندوز 7 استفاده میكنید، باید به طور استراتژیك راهكارهای محافظت از داده و كاربران را برای تمامی سیستمهای ویندوز مرور نمایید. راهكارهای زیادی وجود دارد كه هر سازمانی، اعم از كوچك یا بزرگ، باید از آنها پیروی نماید تا سیستمهای ویندوز خود را از حملات ویروسها، ابزارهای جاسوسی، و سایر انواع بدافزار بر حذر دارد.
1. تهدیدات را متوقف كنید
یك گام واضح ولی مهم، استفاده از آنتی ویروس برای جلوگیری، تشخیص و حذف تمامی انواع بدافزارهاست كه این قابلیت را دارند كه به سیستم و داده های شما آسیب وارد كنند. یكی از معمولترین روشهای تشخیص ویروس، جستجو در مورد الگوهای شناخته شده، یا امضای ویروسها در میان كدهای اجرایی است. البته با افزایش تعداد و پیچیدگی حملات بدافزاری ناشناخته، امكان زیادی وجود دارد كه یك كاربر توسط بدافزاری آلوده گردد كه هنوز شناخته نشده و امضای آن وجود ندارد. برای مقابله با چنین حملاتی كه به حملات «zero-day» معروفند، باید از آنتی ویروسی استفاده كرد كه روشهای محافظتی پیشگیرانه را به كار میبرد و ویروسهای جدید را با مطالعه رفتار آنها شناسایی كرده و از اجرای آنها جلوگیری مینماید. برای حصول اطمینان از اینكه آنتی ویروس به درستی كار مورد نظر شما را انجام میدهد، باید همیشه آن را به روز نگه دارید. از آنجایی كه ویروسهای جدید به سرعت میتوانند منتشر گردند، بسیار مهم است كه از یك ساختار خودكار برای دریافت به روز رسانی آنتی ویروس استفاده نمایید. یك روش ساده دیگر برای جلوگیری از تهدیدات این است كه همیشه در مورد آنها اطلاع داشته باشید. میتوانید در لیست ایمیل تولید كننده آنتی ویروس خود ثبت نام نمایید و وبلاگهای مرتبط با امنیت را برای به دست آوردن اطلاعات به روز در مورد تهدیدات ویروسها، اطلاعات فنی، و محصولات جدید مطالعه كنید.
توصیه:
ابزار جلوگیری كننده از اجرای داده ها (DEP)، از اجرای كدهای اجرایی در قسمتهایی از حافظه كه برای ذخیره داده در نظر گرفته شده اند، جلوگیری میكند. توصیه میشود كه در قسمت تنظیمات BIOS، بخش مربوط به فعالسازی پشتیبانی DEP (NX enable) را علامت زده و نیز DEP را برای تمامی برنامه ها فعال نمایید. ابزار ASLR محلی از حافظه سیستم شما را كه ویندوز كتابخانه های لازم سیستمی را در آنجا بارگذاری میكند، به طور تصادفی تعیین میكند. زمانی كه از DEP استفاده میكنید، ASLR كار بدافزارها را برای استفاده از آسیب پذیریهای امنیتی مرورگر، plugin ها، و برنامه ها سخت میكند.
2. مرور امن وب
اینترنت به سرعت به ابزاری برای انجام بسیاری از كارهای تجاری تبدیل شده است. در نتیجه وب سایتهای بیگناه به هدف نویسندگان بدافزارها تبدیل شده اند و هكرها با هدف سرقت اطلاعات محرمانه، انتشار كدهای خرابكار، یا حتی ساختن botnet ها برای انتشار بیشتر بدافزارها و هرزنامه ها، به كاربران این وب سایتها ضربه میزنند. هزاران سیستم هر روز به خاطر مشاهده وب سایتهای معتبری كه هدف حملات تزریق SQL قرار گرفته و یا كدهای خرابكار در آنها جا گرفته اند، آلوده میشوند. چند راه ساده برای رهایی از این وضعیت وجود دارد.
توصیه:
ویندوز 7 به طور پیش فرض IE 8 را به همراه دارد و توسط DEP و ASLR محافظت میشود. علاوه بر این، این سیستم عامل از یك ویژگی امنیتی جدید برای محافظت در برابر مرور سایتهای خرابكار نیز برخوردار است كه SmartScreen نام دارد. SmartScreen یك هشدار برای CSS، سرقت هویت و سایر اهداف خرابكارانه نمایش میدهد. این ویژگی به همراه وضعیت محافظت شده IE 8، امكان مرور امن تر وب را فراهم می آورد.
3. اصلاحیه ها را نصب كنید
هكرها بیش از گذشته بر حفره های امنیتی plugin های شركتهایی به جز مایكروسافت و هر محتوایی كه از اینترنت دریافت میشود، تمركز كرده اند. مهاجمان همچنان سیستم عامل را هدف قرار میدهند، اما به شكل فزاینده ای به دنبال برنامه هایی هستند كه مرورگر شما برای مشاهده محتوای چند رسانه ای، اسناد، و سایر انواع فایلها لود میكند. به طور منظم وب سایت تولید كنندگان نرم افزارهای مورد استفاده خود را چك كنید تا در صورت عرضه اصلاحیه، آن را دریافت نمایید. بسیاری از تولید كنندگان نرم افزارها راهنمایی امنیتی نیز ارائه میدهند. برای مثال، مایكروسافت هشدارهایی در مورد حفره های امنیتی محصولات خود و نیز اصلاحیه های آنها را به لیست ایمیل خود ارسال میكند. در صورتیكه تولید كنندگان نرم افزارهای مورد استفاده شما دارای چنین لیست ایمیلهایی هستند، در آنها ثبت نام كنید. زمانی كه یك حفره امنیتی جدید در یك سیستم عامل یا یك نرم افزار كشف میشود و اصلاحیه آن نیز در دسترس است، سازمانها باید آماده باشند تا آن اصلاحیه را تست نموده و به سرعت نصب نمایند.
توصیه:
Windows Update كمك میكند كه سیستم خود را امن تر نگاه دارید. در ویندوز 7، این قسمت، بخشی از Action Center است كه پروسه به روز رسانی را ساده تر میكند.
4. ابزار جلوگیری از اتلاف داده ها (DLP) را تقویت كنید
امروزه یكی از جرائم معمول كامپیوتری، سرقت داده های شخصی است. بنابراین شما باید با استفاده از راهكارهایی، از اینكه داده های شما به طور تصادفی در اختیار دیگران قرار گیرند، جلوگیری نمایید.
چهار جزء برای محافظت از داده ها باید در نظر گرفت
كنترل برنامه، شما را قادر میسازد كه برنامه هایی را كه كارمندان مجاز به استفاده از آنها هستند مدیریت نمایید. این كار باعث میشود كه داده های حساس از طریق برنامه هایی مانند برنامه های به اشتراك گذاری P2P یا برنامه های پیغام فوری از سازمان شما خارج نشوند.
كنترل ابزار راهی برای تعریف و اعمال یك سیاست جامع در سازمان شما عرضه میكند كه مشخص میكند كارمندان مجاز به استفاده از چه ابزارهایی هستند یا نیستند.
كنترل داده ها این اطمینان را ایجاد میكند كه كاربران به طور تصادفی داده های حساس را به ابزارها و برنامه های خود منتقل نمیكنند. پیاده سازی یك راه حل جلوگیری از اتلاف داده ها میتواند هزینه بر و پیچیده باشد.
رمزنگاری این اطمینان را ایجاد میكند كه داده های موجود بر روی لپ تاپها و درایوهای USB محافظت شده هستند. ممكن است افراد وسایل خود را گم كنند. پیاده سازی رمزنگاری ممكن است چندان ساده نباشد. بنابراین فاكتورهای زیادی باید در نظر گرفته شود: باید اطمینان حاصل كنید كه پیاده سازی اولیه موفق است، باید اطمینان حاصل كنید كه سیاستهای رمزنگاری در سازمان شما قابل مدیریت و تغییر هستند، و علاوه بر اینها، باید اطمینان حاصل كنید كه راه حل شما مانع وظایف روزمره كاربران شما نیست.
توصیه:
ویندوز 7 تكنولوژیهای محافظت از داده موجود در ویندوز ویستا مانند رمزنگاری سیستم فایل (EFS)، و تكنولوژی سرویسهای مدیریت حقوق Active Directory را داراست. این تكنولوژیها یك سكوی (platform) عالی برای محافظت از داده ها فراهم می آورد. ویندوز 7، كنترلهای پورت USB را از طریق به كار گیری Group Policy Objects (GPO) نیز ارائه میدهد كه میتواند برای محافظت از داده های حساس به شما كمك نماید. همچنین ویندوز 7 با معرفی BitLocker To Go، توسعه هایی در تكنولوژی BitLocker ایجاد كرده است كه رمزنگاری درایوهای قابل حمل مبتنی بر FAT32 مانند حافظه های USB و هارد دیسكهای قابل حمل را ممكن میسازد. BitLocker یك ویژگی رمزگذاری كامل دیسك است كه در نسخه های Ultimate و Enterprise ویندوز ویستا و ویندوز 7 وجود دارد. ویندوز 7 AppLocker را نیز معرفی كرده است. AppLocker مدیران را قادر میسازد كه یك روش لیست سفید/لیست سیاه را در پیش گرفته و برنامه ها را مدیریت نمایند.
5. مدیریت حق دسترسی كاربران
ویندوز 7 راههای بیشتری برای اطمینان از داشتن یك محیط محاسباتی امن فراهم میكند. مایكروسافت با معرفی كنترل حساب كاربری (UAC)، كنترل بیشتری برای مدیران شبكه فراهم می آورد تا به سادگی كاربران را به كار با حسابهای كاربری استاندارد وادار نمایند. زمانی كه UAC فعال میشود، از تغییر سطح دسترسی سیستم توسط كاربران بدون موافقت مدیر جلوگیری میكند. این كار از بسیاری از حملات بدافزاری كه با استفاده از حقوق كاربران Admin كار میكنند، پیشگیری مینماید. در ضمن پروسه مجوز دادن به رفتارهای امن را نیز برای مدیران ساده تر میكند.
6. پیشگیری از روزنه های امنیتی با استفاده بیشتر كارمندان از سیستمهای قابل حمل، حصول اطمینان از اینكه سطح امنیتی مورد نظر شما مانند استفاده از آنتی ویروس به روز و فعال كردن فایروال، در تمام این سیستمها رعایت شده است كار سختی است.
توصیه: محافظ دسترسی شبكه (NAP) در ویندوز ویستا معرفی شده و همچنان یك جزء كلیدی در ویندوز 7 است. NAP برای كمك به مدیران طراحی شده است تا سلامتی سیستمهای شبكه را تضمین كنند، كه در نهایت منجر به سلامت كل مجموعه شبكه میشود. این ابزار برای امن كردن یك شبكه در برابر كاربران خرابكار طراحی نشده است.
7. آموزش به كاربران
یك سیاست امن باید شامل قوانینی باشد كه از موارد زیر جلوگیری كند:
دانلود فایلهای اجرایی و اسناد مستقیما از اینترنت یا از طریق ایمیل
اجرا یا باز كردن فایلهای اجرایی، اسناد، و صفحات گسترده ناخواسته
اجرای بازیهای كامپیوتری یا استفاده از محافظ صفحه نمایشی كه به همراه سیستم عامل وجود نداشته اند
به خاطر بسپارید كه یك سیاست مدون به اندازه تكنولوژی مورد استفاده برای محافظت از سیستمها مهم و موثر است.
توصیه:
یك سیاست برای محاسبات امن تدوین كرده و آن را در میان كارمندان منتشر كنید. اطمینان حاصل كنید كه آنها این سیاست را مطالعه كرده و آن را درك كرده اند، و میدانند در زمان وقوع مشكل، با چه كسی تماس بگیرند. در صورتی كه ممكن باشد بهترین كار این است كه دسترسی به بردارهای خرابكار حمله كه از طریق ایمیل یا وب دانلود میشوند را مسدود كرد. برای مثال میتوان به فایلهای .exe، .com، .msi، .vbs، و .bat اشاره كرد.
منبع: مرکز ماهر
