ואצאפ
כפתור הקפץ למעלה

אבטחת Windows

מערכת ההפעלה Windows היא מערכת ההפעלה הנפוצה ביותר בעולם, והיא משמשת במגוון רחב של מכשירים, החל ממחשבים אישיים ועד למכשירי IoT. מכיוון ש-Windows היא מערכת הפעלה מורכבת, היא מהווה מטרה אטרקטיבית לתוקפים.

על מנת להגן על מערכת הפעלה Windows מפני התקפות, חשוב להקפיד על תצורה ומדיניות אבטחה נכונות, להשתמש בכלי הגנה וניטור מתאימים, ולהקשיח את המערכת לפי מדריך ה-NSA. להלן צעדים לשיפור אבטחת Windows:

 

שיטות אבטחה של מערכות הפעלה WINDOWS

תצורה ומדיניות

הצעדים הראשונים להגנה על מערכת הפעלה Windows הם הגדרת תצורה ומדיניות אבטחה נכונות. בין היתר, חשוב לבצע את הפעולות הבאות:

  • ניהול משתמשים והרשאות: יצירת חשבונות משתמש עם הרשאות מינימליות נדרשות והפעלת UAC (User Account Control) לניהול הרשאות.
  • פריטי מדיניות קבוצתית (Group Policy Objects): ניצול כלים של Windows להגדרת מדיניות אבטחה ברמת הארגון.
  • הגדרות פרטיות ואבטחה: תצורת הגדרות פרטיות ואבטחה ב-Settings וב-Control Panel למניעת חשיפה לא רצויה של מידע.
  • המלצות כלליות קריטיות: התקנת  עדכוני אבטחה ותיקונים, סיסמאות חזקות, אמצעי אימות דו-שלבי, חומת אש, מערכת אנטי-וירוס, הגבלת גישה לחשבונות המנהל.

כלי הגנה וניטור

בנוסף לתצורה ומדיניות אבטחה נכונות, חשוב להשתמש בכלי הגנה וניטור מתאימים. כלי הגנה וניטור יכולים לעזור לכם לזהות ולעצור התקפות לפני שהן גורמות נזק.

בין הכלים הפופולריים להגנה על מערכת הפעלה Windows ניתן למנות את:

  • חומת אש Windows Firewall: חומת אש מתקדמת לניהול תעבורת רשת נכנסת ויוצאת, המונעת גישה לא מורשית לרשת.
  • מערכת אנטי-וירוס Windows Defender: כלי אנטי-וירוס ואנטי-מלוור מובנה המספק הגנה בזמן אמת.
  • מערכת ניהול זהויות ואבטחה (IAM): מערכת IAM מסייעת בניהול הרשאות המשתמשים וההתקנים.
  • Event Viewer: כלי לניטור אירועים ויומנים במערכת לזיהוי פעילות חשודה או ניסיונות חדירה.
  • מערכת ניטור (SIEM): מערכת SIEM מרכזת מידע מכל רחבי הרשת ומאפשרת זיהוי של חריגות אבטחה.

חלוקה נושאית של שיטות האבטחה

1.  חשבונות משתמשים

  • הגבל את מספר חשבונות המשתמש במחשבי השרת. חשבונות משתמש מיותרים ולא עדכניים מגבירים את מורכבות המערכת ומייצרים פגיעויות במערכת. פחות חשבונות משתמשים מפחיתים את משך הזמן שמנהלי מערכת מקדישים לניהול חשבונות.
  • ודא שרק למעט משתמשים מהימנים יש גישה מנהלתית למחשבי השרת. פחות מנהלי מערכת מקלים על שמירה על אחריות. המנהלים חייבים להיות מוסמכים.
  • הקצה את הרשאות הגישה המינימליות הנדרשות לחשבון המריץ את היישום. אם תוקפים מקבלים גישה לאפליקציה, יש להם הרשאות של המשתמש שמפעיל את האפליקציה.

2. מדיניות חשבון  - Account Policies

  • לפתח ולנהל מדיניות סיסמאות המקדם את אבטחת מערכת ההפעלה. דוגמאות למדיניות כזו: סיסמה חזקה ותזמונים לשינוי הסיסמה.
  • בדוק את עוצמת הסיסמאות של המשתמשים על ידי ניסיונות ל'שבירת' הסיסמאות. המשתמשים שאינם עומדים בכלל הסיסמה החזקה צריכים לקבל התראה ולעדכן את הסיסמאות שלהם בהתאם למדיניות הסיסמאות של הארגון. קיימות תוכנות זמינות כדי לבצע משימה זו.

3. מערכת קבצים

  • הענק למשתמשים הרשאות קריאה בלבד עבור ספריות נדרשות. אם תוקפים מקבלים גישה לאפליקציה, יש להם הרשאות המשתמש.
  • מדיניות שלפיה ברירת מחדל היא: 'דחיית גישה'. גישה למשאבים נמנעת מכולם מלבד המשתמשים להם ניתנת גישה מפורשת. ניתן לדחות הרשאות קריאה וכתיבה עבור כל מבני הספריות עבור כל המשתמשים. רק למשתמשים שההרשאות הללו ניתנות להם יש גישה מפורשת לספריות ולקבצים. מדיניות זו מגנה גם על כל משאבים שמנהל מערכת התעלם מהם.

4. שירותי רשת

  • ספק את המספר המינימלי של שירותים נדרשים במחשב השרת. השתמש רק בשירותים הדרושים לך כדי להפעיל את היישום. כל שירות מהווה נקודת כניסה פוטנציאלית להתקפה זדונית. הפחתת מספר השירותים הפועלים הופכת את המערכת לניתנת לניהול.
  • הפחת את רמת הרשאות הגישה למשתמשי שירותי הרשת. שירותי רשת חשופים לציבור.
  • ודא שלחשבונות המשתמש שיש להם גישה לשרת האינטרנט אין גישה לפונקציות המעטפת.
  • ודא ששירותים שאינם בשימוש לא פועלים ולא מופעלים אוטומטית במערכות ההפעלה של Windows.
  • ודא שהשירותים הנדרשים פועלים ב-UNIX.
  • צמצם את מספר היציאות המהימנות.
  • מחק או הערה את היציאות שאינך מתכנן להשתמש בהן כדי לבטל נקודות כניסה אפשריות למערכת.
  • הגן על המערכת מפני איומי NetBIOS הקשורים ליציאות 137, 138 ו-139.
  • השתמש בשירותי עטיפה, כגון iptables.
  • ודא שהשירותים מעודכנים על ידי בדיקה תכופות של עדכוני אבטחה.
  • הימנע משימוש בשירותים בעלי ממשק משתמש גרפי (GUI), אם אפשר. שירותים כאלה מאפשרים פרצות אבטחה ידועות רבות.

5. תיקוני מערכת

  • הפעל את התיקונים העדכניים ביותר המומלצים על ידי הספק עבור מערכת ההפעלה. התיקונים עשויים להיות תיקוני ליבה של מערכת ההפעלה, או תיקונים הנדרשים על ידי יישומים נוספים.
  • תזמן תחזוקה שוטפת של תיקוני אבטחה.

6. מזעור מערכת הפעלה

  • הסר יישומים לא חיוניים כדי להפחית פגיעויות אפשריות במערכת.
  • הגבל את השירותים המקומיים לשירותים הנדרשים לתפעול.
  • הטמע הגנה כנגד buffer overflow. ייתכן שתזדקק לתוכנת צד שלישי כדי לעשות זאת.

7. רישום וניטור

  • רישום אירועים הקשורים לאבטחה, כולל כניסות מוצלחות ונכשלות, יציאות ושינויים בהרשאות משתמש.
  • מעקב אחר קובצי יומן מערכת.
  • השתמש בשרת זמן כדי לתאם זמן לזיהוי פלילי.
  • אבטח את קובצי יומן המערכת על ידי הגבלת הרשאות הגישה אליהם. לוגים חשובים לתחזוקה יומיומית וככלי התאוששות מאסון. לכן, יש להגן עליהם מפני תקלות מערכת וחבלה של משתמשים.
  • השתמש ברישום IPF כדי לבנות מערכת רישום מתוחכמת יותר. כדי להגביר את האבטחה של מערכת קבצי היומן.
  • הצב את כל קבצי היומן במיקום אחד, בשרת אחד, כדי לפשט את הניהול של קובצי יומן.
  • הגדר שרתי רישום מרובים עבור יתירות.
  • השתמש בשרת מרוחק לרישום כדי להגן על היומנים אם המערכת נפגעת, למשל, הכונן הקשיח נהרס. מכיוון שלשרת IPF יש גישה דרך הרשת, ניתן למקם אותו בכל מקום בעולם.
  • אבטח את קובץ תצורת הרישום. קובץ התצורה מכיל הגדרות שאם ישתנו, עלולות לפגוע באמינות מערכת היומן. לדוגמה, הגדרה שגויה של רמת היומן עלולה לגרום לכשלים מסוימים שלא יירשמו.
  • אפשר רישום של בקשות גישה בשרת האינטרנט. זה יכול להיות שימושי בזיהוי פעילות זדונית.

8. שלמות המערכת

  • בניית מערכות ייצור מתהליך ידוע וניתן לחזור על עצמו כדי להבטיח את שלמות המערכת.
  • בדוק מערכות מעת לעת מול צילומי מצב של המערכת המקורית.
  • השתמש בתוכנת ביקורת זמינה של צד שלישי כדי לבדוק את תקינות המערכת.
  • גבה את משאבי המערכת על בסיס קבוע.

המלצות הקשחה לפי ה-NSA

הקשחה לפי מדריך ה-NSA (National Security Agency) מתייחסת לסדרת המלצות והנחיות שנועדו לשפר את אבטחת מערכות המידע, במיוחד מערכות ההפעלה. ה-NSA, שהיא אגף אינטליגנציה מתקדם של ממשלת ארצות הברית, מפרסמת מדריכים שמכוונים ארגונים בכיצד להגן על המערכות שלהם מפני התקפות סייבר ולשמור על אבטחת המידע. עקרונות עיקריים של ה-NSA:

  • עדכונים ותיקוני אבטחה: לוודא שכל התוכנות ומערכות ההפעלה מעודכנות באופן קבוע. זה כולל התקנת כל התיקונים והעדכונים האבטחתיים שמוצעים על ידי היצרנים.
  • מינימיזציה של השירותים הפעילים: הפעלת רק השירותים הנחוצים לתפקוד המערכת והשבתת כל השירותים שאינם נחוצים, כדי למזער את נקודות הפגיעה האפשריות.
  • הגבלת גישה רשת: יישום מדיניות אבטחת רשת קפדנית, כולל הגבלת גישה לפורטים, שירותים ואפליקציות רשת.
  • ניהול משתמשים והרשאות: הקפדה על הגדרת הרשאות משתמש באופן מחמיר, ווידוא שלא מעניקים יותר הרשאות ממה שנחוץ לכל משתמש.
  • הצפנה ואבטחת נתונים: הצפנת נתונים חשובים, כולל נתונים יוצאים ונכנסים מהמערכת, והצפנת נתונים אחסוניים ומידע רגיש.
  • אימות ובקרת גישה: שימוש באימות רב-גורמי ובקרת גישה לזיהוי ומניעת גישה לא מורשית.

מדריכי ההקשחה של ה-NSA נחשבים למקור מהימן ומוערך למיטב הפרקטיקות בתחום האבטחת מידע. הם מספקים הדרכה מפורטת ומעמיקה על כיצד להקשיח ולהגן על מערכות ההפעלה בסביבות העבודה השונות.

Active Directory

Active Directory הוא שירות של Microsoft, חבילת שירותי ספרייה המבוססים על פרוטוקול LDAP‏, המאפשר לארגונים לנהל משתמשים, מחשבים ומשאבים אחרים ברשת. הוא משמש לניהול זהויות, הרשאות ומדיניות אבטחה.

Active Directory הוא בסיס הנתונים המכיל מידע על משתמשים, מחשבים, קבוצות, מכונות ופריטים אחרים ברשת. הוא משמש לארגונים כדי לספק את זה, כולל שמות משתמש, סיסמאות, הרשאות גישה ומידע אישי אחר, מסוג Windows, שירותי אימות (משתמשים) המבוססים על פרוטוקול קרברוס, שירותי DNS, ושירות אכיפת מדיניות קבוצה על מחשבים או משתמשים בארגון.

חבילת השירותים מאפשרת ניהול מרכזי של רשת המחשבים בארגונים. בעת הוספת מחשב לארגון מתבצע תהליך לצירופו לספריית הניהול. כחלק מתהליך אתחול המחשב הוא מזדהה באמצעות מזהה ייחודי (GUID) מול הספרייה, המשתמש במחשב מזדהה באמצעות שם משתמש וסיסמה (או כל שיטת אימות זהות אחרת) ונקבעות עבורם כל ההרשאות הרלוונטיות.

מערכת של AD פשוטה לשימוש. למערכת יש מבנה היררכי המורכב מדומיינים ומאובייקטים שונים, עם הגדרות, חוקים ומאפייני רשת שהמערכת מנהלת. האובייקטים נחלקים למשתמשים, שירותים ומשאבים, ולכל אובייקט יש ישות ומידע משלו. כל אירוע המתרחש בה מקבל מספור קבוע שנקרא גם Event ID. דוגמה ללוגים שהמערכת יכולה לספק: 

  • יצירת User Account - לוג המעיד שנוצר User account חדש במערכת.
  • סיסמא השתנתה - לוג המעיד שמשתמש שינה את הסיסמא שלו או כאשר משתמש אחר בעל הרשאות שינה סיסמא למשתמש אחר.
  • קבוצה השתנתה - לוג המעיד שמשתמש נכנס או יצא מקבוצה מסוימת.

ל- Active Directory מספק מספר יתרונות לארגונים, כולל:

  • ניהול זהויות: Active Directory מאפשר לארגונים את זהויות המשתמשים שלהם בצורה מאובטחת. הוא עושה זאת על ידי שמירת מידע על משתמשים, למשל שמות משתמש, סיסמאות והרשאות גישה.
  • ניהול הרשאות: Active Directory מאפשר לארגון לנהל את הרשאות הגישה של המשתמשים למחשבים, קבצים ומשאבים אחרים. זה עוזר לארגונים להגן על ידיהם מפני החדירה.
  • מדיניות אבטחה: Active Directory מאפשרת לארגונים ליצור ולשם מדיניות אבטחה. זה עוזר לארגונים להגן על ידיהם מפני איומים חיצוניים ופנימיים.

הגנה על Active Directory:

  • השתמשו בסיסמאות חזקות: השתמשו בסיסמאות חזקות עבור Active Directory. סיסמאות חזקות הן סיסמאות בעלות 8 תווים לפחות, מכילות אותיות, מספרים וסימנים.
  • השתמש באימות דו-גורמי: מתאים דו-גורמי מוסיף שכבת הגנה נוספת עבור Active Directory. הוא דורש מהמשתמשים להזין גם קוד של הטלפון שלהם בנוסף לסיסמה שלהם.
  • עדכן את Microsoft :Active Directory משחררת עדכוני אבטחה שוטפים עבור Active Directory. חשוב להתקין את העדכונים האלה כדי להגן על Active Directory מפני איומים חדשים.
  • השתמש בתוכנה אנטי-וירוס: התקן תוכנת אנטי-וירוס על כל המחשבים המשתמשים ב-Active Directory. תוכנה אנטי-וירוס יכולה לעזור להגן על המחשבים מפני וירוסים, תוכנות זדוניות ותוכנות ריגול.
  • השתמש במדיניות אבטחה: פיתוח ויישום מדיניות אבטחה עבור Active Directory.

עצות נוספות להגנה על Active Directory:

  • השתמש ב-Group Policy כדי להגביל את הגישה לאובייקטים רגישים.
  • השתמש ב-Active Directory auditing כדי לעקוב אחר מערכת פעילות.
  • השתמש ב-Active Directory שכפול כדי ליצור עותק של הבסיס שלך במיקומים מרוחקים.

 

עבור למאמר הבא

MORE ARTICLES

ניהול תצורה (Configuration Management)
עבור למאמר
הצפנת דיסק (FDE) Disk Full Encryption
עבור למאמר
ניהול עדכונים - Patch Management
עבור למאמר