پیشنهاد و معرفی سناریوها و استانداردهای راه اندازی اکتیودایرکتوری
سلام دوستان ؛ من چند روز قبل یک سرور Active Directory راه انداختم(فعلا فقط یک سرور رو به این کار اختصاص دادم و هنوز به غیر از A.D چیز دیگه ای نصب نکردم.) سعی کردم Raid راه بندازم که خدای نکرده اتفاقی نیفته. بغیر از DHCP و سایر موارد مورد لزوم و نیاز برای راه اندازی چنین شبکه ای چه سناریوهایی رو باید در ادامه انجام بدم؟؟
- الف) بعنوان مثال اولین پالیسی که ایجاد کردم محدود کردن کاربران در ورود از واحدهای دیگه به شبکه ست.
- ب) مرحله بعد میخوام USB ها رو ببندم که نتونن فلش رو بزنن.
و برای مراحل بعدی شما که تجربه تون تو این زمینه بیشتره چه مواردی رو توصیه می کنید؟ ممنونم ازتون
16 پاسخ
ویندوز XP رو میشه usb هاش رو بست اما از طرق رجیستری یا نرم افزار های جانبی و با خود پالیسی های سرور نه امکانش نیست.
از طریق GPO در ویندوز سرور نمیشه Removable Storage ها یا همون فلش مموری ها رو بست، باید از یک نرم افزار جانبی مثل GFI Endpoint Security استفاده کنید یا از طریق کنسول آنتی ویروس سرورتون اینکار رو انجام بدین.
از طریق رجیستری روی هر کلاینت هم میتونید به راحتی بدون نرم افزار جانبی این کار رو انجام بدید به مسیر زیر رفته
HKEY_LOCAL_MACHINE > System > CurrentControlSet > services > USBSTOR
بر روی USBSTOR دابل کلیک کنید و مقدار 3 رو به 4 تغییر بدید ، دیگه نمی تونید از USB FLASH MEMORY استفاده کنید ، برای فعال کردنش هم 4 رو به 3 تبدیل کنید و البته به مسیر C:\Windows\Inf رفته و دسترسی کاربران به فایل های USBstor.inf و USBstor.pnf رو بگیرین.
البته که فرهاد جان ادمین لوکال بودن مورد امنیتی نیست بخودی خود ولی قراره ما امنیتیش بکنیم دیگه
من فکر کنم این مطلب جون میده واسه یه بحث که جداگونه بزاریم
ولی این مواردی که گفتید فقط آیتمهایی هست که مایکرو بصورت پیشفرض قرار داده
طیف بسیار گسترده ای رو میشه توی NAP چک کرد میشه VHS های دیگه ای رو بهش اضافه کرد
بنظر من NAP رو دست کم گرفتی البته خودمم خیلی دوست دارم مفصل روش کار کنم
گفتم که من اینو دقیق نمیدونم
به هر حال به قول شما جای بحث داره من زیاد باهاش کار نکردم به هر حال بهتره دیگه تو این پست راجع به این مطلب پست ایجاد نشه.
یا حق
ممنونم داداش فرهاد عزیز؛ دستت درد نکنه، به نکات خیلی خوبی اشاره کردی که بعضیهاش مد نظر خودمم بود.
برای بستن همین پورتهای USB چون کلاینتهای XP هستن، بنظرت از کدوم نرم افزار استفاده کنم بهتره؟ GFI EndPointSecuri فکر کنم بدقلقی در میاره.
در خصوص Port security هم ممنونم ازت. یه خورده ای میدونم ازشون که به گفته شما انشاالله اگه بتونم عملی میکنم.
برای بستن پورت های usb میتونید از خود پالیسی های ویندوز سرور استفاده کنید البته اون نرم افزار هم خوبه ولی به نظر من وقتی شما ou ها رو دسته بندی کنید و توسط خود سرور اعمال کنید خیلی بهتره فقط یادتون باشه تغییرات پالیسی خیلی مهم و حساس هستند یه وقت روی خود سرور پیاده نکنید روی Default هم کار نکنید فقط روی ou ها کار کنید.
راستی یکی از مهمترین اقدامات دیگه تصب نکردن هر برنامه ای توسط کاربران هست خب زمانی که سیستم ها با یوزر limite میان بالا فقط باید برای نصب نرم افزار ها به شما بگن اگر دسترسی به admin لوکال هم داشته باشن زیاد جالب نیست پس پسورد ادمین اوکال رو باید حفظ کنید و برای بایوس سیستم پسورد بزارید و بهتره در کیس ها پلمپ شن تا نتونن باطری رو در بیارن تا پسورد بایوس ریست شه چون به راحتی آب خوردن پسورد ادمین لوکال هم با نرم افزار هایی همچون هایرنس ریست میشه و مشکلاتی رو برای شما ادمین شبکه به وجود میاره.
باید پله پله بریدجلو و تا زمانی که سناریو شما تموم نشده سراغ مرحله بعدی که پالیسی بعدی هست نرید تا مطمئن باشید همه چیز به درستی کار میکنه.
سرویس wsus راه بندازید تا تمام آپدیت ها رو سرور بگیده و به کلاینت ها پخش کنه اینجوری درگیر آپدیت ها هم نیستید.
از داشتن یک آنتی ویروس خوب و به روز هم قافل نشید چون نبودش ممکنه بعدها کل شبکه رو با چالش روبرو کنه.
راستی میتونید یک کار دیگه هم کنید زمانی که با admin لوکال سیستم میاد بالا DHCP آی پی نده اینجوری مطمئن هستی اگر اگر یک درصد هم کاربر پسورد ادمین لوکال رو پیدا کرد و اومد بالا حداقل شبکه اش قطع شه و نتونه کاری توی شبکه انجام بده و این هم لاگ برای شما میندازه میتونید بررسی کنید .
ولی قدیمیا گفتن مالتو سفت بچسب همسایه رو دزد نکن(برقراری امنیت وظیفه شماست ) پس رعایتش کن و تمام راه های نفوذ رو بررسی کن.
موفق باشید دوست من.
دوست عزیز سلام
به نظر من اول طرحی رو که میخوای از شبکه داشته باشی اول روی کاغذ پیاده کن (منظورم AD و OUهای اون رو ) که بدونی چه کاری میخوای انجام بدی و توقع داری نتیجه کارت چی بشه
دوم در رابطه به راه اندازی سرورها زیاد عجله نکن وقتی توی یک شبکه سرور های زیادی ایجاد میشن به طبع دردسرهای Admin شبکه هم زیاد میشه اگه از من سوال بشه برای شبکه ای که تعداد کلاینتاش زیر 100-150 تا باشه اصلا DHCPراه اندازی نمیکنم .
در رابطه با پالیسی ها هم هر موقع که بخوای میتونی یک پالیسی ایجاد یا حذف کنی .
شبکه ای که با شاخ و برگ زیادی داشته باشه کنترل بیشتری هم میخواد.
ممنونم فرهاد جان،
فرهاد یعنی واقعا از طریق پالیسی خود ویندزو سرور میشه usb های کلاینتهای XP رو محدود کرد؟ امکانش هست راهنمایی بیشتری بکنی؟ من هر چی مقاله دیدم و حتی تو سایتهای خارجی هم جستجو کردم نوشته بودن از ویندوز ویستا به قبل رو این پالیسی محدود کردن USB پاسخگو نیست براشون.
این نکته برام خیلی مهم و ارزشمنده.
فرهاد جان این IP ندادن DHCP به ادمین یا یوزر لوکال رو با NAP سرور هم میشه انجام داد ؟
ببخشید چرا فکر کردید که نمیشه؟!
چون XP هست دلیل بر این نیست که نشه.
کلاً دلیلی نداره یوزر ها Local بخوان بیان بالا بنا بر این آی پی نگیرن بهتره.
ضمن اینکه admin لوکال بیشتر برای رفع خطا ها هست و ازش استفاده میشه اما به نظر من چند تا یوزر باید تو شبکه داشته باشی که قابلیت ادمین لوکال رو داشته باشن نه در حد ادمین دامین اما در حد ادمین لوکال که همه کار انجام بدن و اصلاً نیازی به ادمین لوکال نباشه و وقتی اون یوزر هااومدن تو ویندوز های کلاینت شبکه همچنان برقرار باشه تا بتونن از منابع شبکه استفاده کنن.
دوست عزیز Dot One x یک سرویس برای ویندوز سرور نیست یعنی اینجوری نیست که مثل DHCP یا DNS یا ActiveDirectory نصب شه بلکه یه جور نرم افزار هست به نام access control server یا ACS که البته باید سوئیچ شما این قابلیت رو ساپورت کنه مثل سیسکو
Cisco Secure Access Control Server for Windows
ضمناً بدونید که DHCP خیلی خنگ تر از این حرفا هست که بخواد بفهمه طرف با ادمین لوکال اومده یا خیر کلاً بخوایی با DHCP کار کنی باید بهش درخواست بدی تا اون آی پی اختصاص بده اما تا زمانی که certificate مشخص نشده باشه درخواستی برای سرور DHCP ارسال نمیشه که نخواد آی پی بده پس Dot one x میاد توسطخودش و سوئیچ و سیستم تشخیص میده که certificate اوکی هست یاخیر اگر بله درخواست میره سمت DHCP اگر خیر هیچ درخواستی سمت DHCP نمیره پس آی پی نمیگیره و تو شبکه وارد نمیشه.
مهندس باقری عزیز
NAP برای اعمال تأیید و یا عدم تأیید کلاینت ها از راهکاری برای جلوگیری از دسترسی کلاینت های تأیید نشده میباشد که به شرح زیر لیست میشود
- IP Sec
- 802.1 X
- VPN
- DHCP
همونطور که پیداست اگر مجوز های امنیتی وجود نداشته باشه به سمت DHCP هم هدایت نخواهد شد ولی به نظر شما Admin لوکال بودن جزء موارد امنیتی محسوب میشه؟ من اینو دقیقاً نمیدونم اما تو مقاله آقای عدالتی پور خوندم که مواردی نظیر زیر رو چک میکنه
- داشتن آنتی ویروس
- به روز بودن آنتی ویروس
- آپدیت بودن ویندوز
- براساس سرویس پک ویندوز
- غیرفعال بودن فایروال و البته ...
از طرفی NAP یک راهکار امنیتی دقیقی نیست پس نمیش برای این مورد حساس بهش دل بست
البته این نظر شخصی منه شاید دوستان نظری غیر از این داشته باشن.
ضمن اینکه میتونید پورت های usb رو برای انواع فلش ها و هارد های اکسترنال ببندید ، dvd Rom ها رو ببندید میتونید یک درایو رو توی سرور به اشتراک بگذارید و تمام سیستم ها اون رو به عنوان MAP Drive شناسایی کنند و بتونن مثلاً 100 مگابایت اطلاعات مهمشون رو روی سرور ذخیره کنند (مثلاً)
میتونید بگید اگر طرف پسوردش رو بیش از 5 بار اشتباه زد یوزرش Lock شه چون احتمالاً یا داره از نرم افزار هک پسورد استفاده میکنه یا داره به سیستم طرف نفوذ میکنه بلاخره عادی نیست که 5 بار اشتباه بزنه و خیلی از مواردی که توی خود سرور هست و میتونید راه اندازی کنید اما این که چیکار میکنید و چه سیاست هایی رو میخواهید پیاده کنید کاملاً مربوط میشه به سازمانتون که چی ازتون بخوان.
امنیت جزء مهمترین عواملی هست که در هر شبکه ای مورد بحث قرار میگیره و اینکه چه پالیسی هایی رو میخواهید اعمال کنید علاوه بر خود سیستم عامل سرورتون یک سری از پالیسی ها رو هم خو سخت افزار هاتون معین میکنن مثلاً سیسکو دارید یا برند های دیگه فایروال سخت افزاری یا نرم افزاری به هر حال این Device ها خیلی امکانات رو برای شما اضافه میکنن.
Dot 1x کاری میکنه که اگر کابل LAN از سیستم در اومد و دوباره به یه پورت دیگه خورد آی پی بگیره یا نه؟ یا اگر LAN از سیستم جدا شد و دوباره به همون پورت وصل شد چی باز هم DHCP آی پی بده یا نده یا اصلاً یه لپ تاپ شخصی چی؟ بتواند به شبکه وصل شود یا خیر که البته تمام MAC Address های سیستم های شبکه باید لیست بشن و شما باید بگید فقط به این MAC ها آِی پی بده.
اینجوری اگر فلان سیستم خواست از واحد مالی بره به واحد اداری باید به شما اطلاع بده چون اگر اطلاع نده و جابجا کنه اصلاً آی پی نمیگیره و خودشون مجبور میشن به شما اطلاع بدن و اینجوری مدیریت شما متمرکز تر خواهد بود
سلام
من برای بستن پورت های USB از Kaspersky Security Center استفاده می کنم.امکاناتش فوق العادست.شما هم که حتما آنتی ویروس لازم دارین.
راستی در این خصوص (بستن پورت usb برای ویندوز های XP ) قبلاً سوالی مطرح شده بود بهتره لینک زیر رو ببینید تا اطلاعاتی داشته باشید
آیا برای بستن پورت USB در ویندزو XP با سرور 2008 نیز نیاز به نرم افزارهای Third party است؟
سلام . " زمانی که با admin لوکال سیستم میاد بالا DHCP آی پی نده" رو چطور باید کانفیگ کرد؟ / ممنون
مجدداً سپاسگزارم فرهاد جان؛ ولی چند تا نکته:
در اینجا که فرمودین:
" برای بستن پورت های usb میتونید از خود پالیسی های ویندوز سرور استفاده کنید البته اون نرم افزار هم خوبه ولی به نظر من وقتی شما ou ها رو دسته بندی کنید و توسط خود سرور اعمال کنید خیلی بهتره فقط یادتون باشه تغییرات پالیسی خیلی مهم و حساس هستند یه وقت روی خود سرور پیاده نکنید روی Default هم کار نکنید فقط روی ou ها کار کنید. "
منهم خیلی دوست دارم توسط سرور این کار رو انجام بدم، ولی متاسفانه فکر کنم وقتی که کلاینتها XP باشن با سرور نمیشه این کار رو کرد و باید دنبال نرم افزارهای third party باشیم اصطلاحاً.میشه بدون نرم افزار؟؟
ضمنا حتما هم باید DHCP راه اندازی بشه، و نکته ی جالبی رو هم گفتی در خصوص اینکه وقتی که لوکال بیان بالا نتونن IP بگیرن. این مورد بفکرم نرسیده بود.
سرویس wsus هم عالی بود. ممنون