افزایش امنیت ویندوز

افزایش امنیت ویندوز (آموزش ایمن سازی ویندوز)

چقدر نسبت به ویندوز شناخت دارید؟ آیا مشکلات ایمنی ویندوز را میشناسید؟ آیا فکر میکنید با نصب یک آنتی ویروس از ویندوز در برابر انواع تهدید ها محافظت میکنید؟ شاید ندانید ویندوز دارای ویژگی های امنیتی زیادی میباشد که با فعال سازی آنها حتی دیگر نیاز به نصب آنتی ویروس نیست. چرا که این ویژگی ها سیستم عامل ویندوز را در برابر اکثر تهدید ها محافظت میکند. بگذارید بیشتر برایتان این موضوع را با یک مثال روشن کنم. مثلا زمانی که از ویژگی UAC صحبت میشود اکثر کاربران ایرانی با افتخار دم از خاموش بود این ویژگی میزنند. UAC از سیستم عامل ویندوز در برابر انواع بد افزارها محافظت میکند. فقط با اجازه گرفتن از شما در مواقعی که قرار است ویرایش یا تغییر مدیریتی رو ویندوز ایجاد شود. (یعنی در واقع بد افزارها باید از شما برای انجام کارهای شیطانی خود اجازه بگیرند) در آموزش ایمن سازی ویندوز شما با ویژگی های آشنا میشوید که به صورت پیشفرض غیر فعال هستند. یا اگر هم فعال بودند توسط خود کاربر برای راحتی در امور انجام کارهای کامپیوتری غیر فعال شده اند. اگر شما هم به ایمن سازی ویندوز علاقه دارید در ادامه نووا بلاگ را با نگاه گرم خود یاری کنید.

دانش پایه در امنیت

از آنجا که داشتن اطلاعات پایه در باره امنیت کمک زیادی به حفظ امنیت میکند. بخش اول این آموزش درباره مباحث تئوری امنیت میباشد که قبلا این اطلاعات را در پستی با نام نکات امنیتی در کار با کامپیوتر به طور کامل شرح داده ام. پس دیگر احتیاج به باز گو کردن این مطالب نمیباشد.

بررسی امنیت پایه در ویندوز

ابتدا به بررسی بعضی از ویژگی های امنیتی ویندوز میپردازیم. مثلا همان ویژگی UAC یا User Account Control که بسیار در حفظ امنیت ویندوز کمک کننده میباشد.

1. برای فهمیدن از این که UAC در چه وضعیتی میباشد UserAccountControlSettings را در RUN تایپ کنید یا از آدرس Control Panel\System And Security\ پنجره UAC را باز کنید بهترین حالت UAC روی گزینه دوم یعنی Recommended if you use familiar app and website میباشد که اگر روی گزینه اول بیاید امنیت بیشتر هم میشود.
2. مطمئن شوید که دیوار آتش فعال میباشد تا از ورودی خروجی های غیر مجاز جلوگیری کند firewall.cpl را در Run تایپ کنید یا از آدرس Control Panel\System And Security گزینه Firewall را انتخاب کنید. در صورتی که Firewall خاموش باشد رنگ آن قرمز میشود برای فعال کردن روی گزینه Turn Windows Firewall on or off کلیک کنید و گزینه های اول را انتخاب کنید (Turn On Windows Firewall)
3. از فعال بودن Anti-Malware ویندوز یعنی Windows Defender اطمینان حاصل کنید %programfiles%\Windows Defender\MSASCui.exe را در Run تایپ کنید. یا در جستجوی استارت Windows Defender را جستجو کنید و مطمئن شوید که فعال میباشد رنگ سبز به معنای فعال بود و رنگ زرد به معنای نیاز به آپدیت است و رنگ قرمز در بعضی مواقع به معنای غیر فعال بود و در بعضی دیگر از مواقع به معنای نیاز به بروز رسانی جدی میباشد (Database out Dated) در صفحه اول روی گزینه Fix یا Clean یا Update کلیک کنید تا ه وضعیت آن سبز شود.
4. یک رمز عبور قوی برای سیستم عامل خود انتخاب کنید مثلا 123 البته نه به این قدرت یکم ضعیف تر همون 1 کافیه ؟ 🙂 خدای خجالت نمیکشید به 1 تا 8 میگید رمز؟ سعی کنید حد اقل رمز عبور شما دارای 8 حرف باشه که حداقل از دو نوع کاراکتر مثلا حروف و عدد استفاده کرده باشید مثل سه حرف اول اسم و پنج حرف آخر شماره کارت عابر بانک؟ باور کنید این هم خوب نیست سعی کنید رمز رو از روی اطلاعات شخصی خودتون نگذارید به نظر من این رمز واقعاً رمزه (df98kG#0) چون قاتی پاتی و از چیز خاص معروفی هم الگو نگرفته شده. برای رمز گذاشتن از آدرس Control Panel\User Account وارد شوید سپس حساب کاربری خود را انتخاب کرده و روی آن رمز بگذارید.
5. ویندوز آپدیت را فعال کنید برای فعال کردن ویندوز آپدیت از آدرس Control Panel\System And Security گزینه Windows Update را انتخاب کرده سپس آن را در وضعیت Recommended قرار دهید.
6. درایو های که در آن اطلاعات شخصی دارید قفل کنید میتوانید با برنامه های مثل BitLocker درایو های که در آن اطلاعات شخصی دارید را قفل کنید برای آموزش فعال سازی BitLocker به پست آموزش ایمن سازی اطلاعات با استفاده از BitLocker مراجعه کنید.
7. به آدرس Control Panel\Network and Internet\Network and Sharing Center\Advanced sharing settings بروید سپس طبق شبکه ای که از آن استفاده میکنید مثلا All Network در زیر قسمت Password Protected Sharing گزینه اول یعنی Turn On Password Protected Sharing را انتخاب کنید تا هر فردی نتواند بدون اجازه از منابع به اشتراک گذاشته شده شما سوء استفاده کند.

تا اینجای کار امنیت پایه سیستم عامل ویندوز تامین شده، اما در ادامه به مطالبی اشاره میشود که امنیت سیستم عامل ویندوز راتا حد زیادی افزایش میدهد.

افزایش امنیت ویندوز با ویژگی های خاص

در این قسمت به ویژگیهای از ویندوز میپردازم که فقط کاربران حرفه ای ویندوز از اونها با خبر هستند. مثل افرادی که در زمینه شبکه های کامپیوتری کار میکنند.

1- ابتدا حساب کاربری Administrator را فعال کنید برای فعال سازی lusrmgr.msc را در پنجره Run تایپ کنید سپس از قسمت Users روی حساب کاربری Administrator کلیک راست کرده روی گزینه Properties کلیک کنید سپس تیک گزینه Account is Disabled را بردارید. و برای آن یک رمز عبور قوی و پیچیده که یادتان بماند بگذارید.

2- حساب کاربری فعلی خود را روی Standard بگذارید برای اینکار در همان پنجره lusrmgr.msc گزینه Group را از سمت چپ انتخاب کرده سپس روی گروه Administrators دو بار کلیک کرده و نام کاربری خود را از آنجا حذف کنید مثلا نام حساب کاربری من MOHAMMAD میباشد پس باید روی MOHAMMAD کلیک کنم و سپس روی گزینه Remove قسمت پایین همان پنجره کلیک کنم.

3- از سیاست های رمز عبور (Password Policy) برای حساب های کاربری در سیستم عامل خود استفاده کنید. برای این عمل باید Group Policy سیستم خود را ویرایش کنید. gpedit.msc را در پنجره Run تایپ کنید سپس از قسمت Computer Configuration به آدرس Windows Settings\Security Settings\Account Policy\Password Policy رفته و مقادیر سمت راست را هر یک به نوبت ویرایش کنید مثل:

گزینه Enforce Password History برای ذخیره کردن رمز ها در حافظه ویندوز میباشد تا فرد نتواند از رمز های قدیمی خود دوباره استفاده کند این گزینه را روی عدد 15 یا 20 بگذارید. کافیست تا روی آن دو بار کلیک کرده و سپس آن را تغییر دهید.

گزینه Maximum Password Age طول عمر یک رمز عبور را مشخص میکند این گزینه را بین 45 تا 60 قرار دهید تا بعد از این مدت فرد مجبور به تعویض رمز عبور خود شود در صورتی که از رمز Complex استفاده میکنید این گزینه را میتوانید روی 175 تا 200 هم قرار دهید

گزینه Minimum Password Age هم کمترین عمر یک رمز عبور را مشخص میکند آن را بین 3 تا 5 بگذارید.

گزینه Minimum Password Length تعداد کاراکتر های رمز عبور را مشخص میکند آن را بین 6 تا 12 رقم قرار دهید به نظر من 8 خوبه

گزینه Password Must Meet the Complexity Requirement مشخص میکند که یک رمز عبور باید پیچیده باشد یعنی حداقل باید از سه نوع کاراکتر در آن استفاده نمود مثل حروف بزرگ ، حروف کوچک و عدد یا علامت این گزینه را هم Enable کنید تا کار حدس زدن رمز عبور را به کمتر از 3% برسانید.

گزینه Store passwords using reversible encryption را هم برای کد گذاری رمز های عبور Enable کنید.

4- ورودی خروجی های سیستم عامل خود را کنترل کنید برای کار در همان Group Policy و قسمت Computer Configuration به آدرس Windows Settings\Account Policy\Account Lockout Policy رفته سپس همانند زیر عمل کنید.

روی گزینه Account lockout threshold کلیک کرده و یک عدد بین 5 تا نهایتا 7 را به آن بدهید این گزینه تعداد تلاش های نا موفق به حساب کاربری را مشخص میکند یعنی بعد از 5 بار اشتباه وارد کردن رمز عبور دسترسی به سیستم تا مدت زمان مشخصی قطع شود.

گزینه های Account lockout duration و Reset account lockout counter after زمان تلاش مجدد را مشخص میکنند یعنی بعد از این زمان مشخص دوباره میتوان رمز عبور را وارد کرد به نظر من همان 30 دقیقه مطلوب میباشد.

5- فعال نمودن نیاز به ALT+CTRL+DEL برای بالا بردن امنیت ورود به حساب کاربری (User Logging) از طریق همان gpedit.msc وارد قسمت Computer Configuration شوید سپس به آدرس Windows Settings\Security Settings\Local Policy\Security Option رفته و دنبال گزینه Interactive logon: Do not require CTRL+ALT+DEL رفته و این گزینه را Disable کنید تا برای ورود نیاز به CTRL+ALT+DEL باشد.

6- تغییر نام حساب کاربری Administrator میتوانید برای افزایش امنیت نام حساب کاربری Administrator را به چیز دیگری مثلا Root تغییر دهید یا هر چه که خود میخواهید. در همان آدرس قبل به دنبال Accounts: Rename administrator account بگردید و آن را به هر چه که میخواهید تغییر دهید.

7- افزایش امنیت با نشان ندادن نام کاربری هنگام ورود به سیستم (User Logging) در همان آدرس قبل به دنبال Interactive logon: Do not display last user name بگردید و این گزینه را هم Enable کنید

اگر فقط همین هفت تا ویژگی امنیتی رو فعال کنید امینت سیستم عامل ویندوز رو تا حد بسزای افزایش دادید.

غیر فعال سازی برنامه ها یا سرویس های اضافی

1. غیر فعال کردن سرویس های که به آنها نیاز ندارید مثلا برنامه های نصب نموده اید که حال دیگر از آن استفاده نمیکنید مثل Teamviewer یا به ندرت از آن استفاده میکنید msconfig را در Run تایپ کنید و به قسمت Services بروید و تیک گزینه Hide All Microsoft Services را بگذارید تا سرویس های حیاتی ویندوز نمایش داده نشود سپس در این قسمت هر چه که استفاده نمیکنید را غیر فعال کنید. کافیست تا تیک این سرویس ها را بردارید تا آنها غیر فعال شوند.
2. پوشه های بدون استفاده که به اشتراک گذاشته شده اند را از اشتراک در بیاورید برای اینکار آدرس 127.0.0.1\\ را در آدرس بار Explore ویندوز خود تایپ کنید و هر پوشه ای که دیگر نیاز به مشترک بودن آن نیست حذف کنید.
3. حذف Task های که زمانبندی شده اند و دیگر استفاده نمیشوند Task Scheduler را در استارت جستجو کنید سپس هر Task که اضافی میباشد را حذف کنید.

نکته: آموزش ایمن سازی ویندوز نسخه بهبود داده شده آموزش امنیت فولادی در ویندوز میباشد. فقط نام آموزش و توضیح آن بهبود داده شده است.

در صورت داشتن هر گونه سوال یا انتقاد نووا بلاگ را از محبت خود محروم نکنید. همچنین در صورت داشتن هر گونه نظر یا پیشنهاد در زمینه ایمن سازی ویندوز آن را در بخش نظرات بیان کنید تا همه از علکم مفید شما بهره مند شوند.