امنیت فولادی در ویندوز

امنیت فولادی در ویندوز

امنیت به وضعیتی گفته میشود که خالی از تهدید و خطر باشد. حال آیا میدانید همین وضعیت را میتوان در ویندوز بدون آنتی ویروس فقط با ابزارهای داخلی ویندوز همانند فولاد مستحکم ساخت؟ ویندوز دارای ویژگیهای امنیتی زیادی میباشد اما چند چیز باعث شده که کاربران از این ویژگیها هیچ استفاده ای نکنند یکی از این موارد دشواری در راه اندازی این ویژگیها میباشد یا مثلا سخت شدن کار با ویندوز و یا کاهش سرعت. این عوامل باعث شده تا کاربران ویندوز سراغ استفاده از این ویژگیها نروند (گرچه باید گفت که تمام این مشکلات با کمی کار رفع میشود.) اما در این پست یعنی امنیت فولادی در ویندوز میخواهم بعضی از ویژگیهای امنیتی در ویندوز را روی ویندوز 7 راه اندازی کنیم البته ویژگیهای که راه میاندازیم روی ویندوز 8 و 10 هم راه اندازی نمود. به طور کلی این آموزش در چهار بخش مختلف میباشد. یک اطلاعات پایه در حفظ امنیت دو بررسی امنیت پایه در ویندوز سه فعال کردن ویژگیهای خاص امنیتی در ویندوز چهار غیر فعال نمودن سرویس های اضافی، پس در ادامه با نووا بلاگ همراه باشید تا امنیت سیستم عامل خود را همانند فولاد مستحکم سازید.

اطلاعات پایه در حفظ امنیت

از آنجا که داشتن اطلاعات پایه در باره امنیت کمک زیادی به حفظ امنیت میکند بخش اول این آموزش درباره مباحث تئوری امنیت میباشد که قبلا این اطلاعات را در پستی با نام نکات امنیتی در کار با کامپیوتر به طور کامل شرح داده ام پس دیگر احتیاج به باز گو کردن این اطلاعات نیست.

بررسی امنیت پایه در ویندوز

معمولا پس از گذشت چند هفته بعد از نصب ویندوز امنیت ویندوز به تدریج کاهش میابد مثلا به طور عمومی در ایران افراد برای راحتی کار خود یا نصب بدون مشکل نرم افزار ها UAC ویندوز را غیر فعال میکنند. پس گزینه های زیر را بررسی و در صورت نیاز تغییرات را انجام دهید.

1. برای فهمیدن از این که UAC در چه وضعیتی میباشد UserAccountControlSettings را در RUN تایپ کنید یا از آدرس Control Panel\System And Security\ پنجره UAC را باز کنید بهترین حالت UAC روی گزینه دوم یعنی Recommended if you use familiar app and website میباشد که اگر روی گزینه اول بیاید امنیت بیشتر هم میشود.
2. مطمئن شوید که دیوار آتش فعال میباشد تا از ورودی خروجی های غیر مجاز جلوگیری کند firewall.cpl را در Run تایپ کنید یا از آدرس Control Panel\System And Security گزینه Firewall را انتخاب کنید. در صورتی که Firewall خاموش باشد رنگ آن قرمز میشود برای فعال کردن روی گزینه Turn Windows Firewall on or off کلیک کنید و گزینه های اول را انتخاب کنید (Turn On Windows Firewall)
3. از فعال بودن Anti-Malware ویندوز یعنی Windows Defender اطمینان حاصل کنید programfiles%\Windows Defender\MSASCui.exe% را در Run تایپ کنید یا در جستجوی استارت Windows Defender را جستجو کنید و مطمئن شوید که فعال میباشد رنگ سبز به معنای فعال بود و رنگ زرد به معنای نیاز به آپدیت است و رنگ قرمز در بعضی مواقع به معنای غیر فعال بود و در بعضی دیگر از مواقع به معنای نیاز به بروز رسانی جدی میباشد (Database out Dated) در صفحه اول روی گزینه Fix یا Clean یا Update کلیک کنید تا ه وضعیت آن سبز شود.
4. یک رمز عبور قوی برای سیستم عامل خود انتخاب کنید مثلا 123 البته نه به این قدرت یکم ضعیف تر همون 1 کافیه؟ 🙂 خدای خجالت نمیکشید به 1 تا 8 میگید رمز؟ سعی کنید حد اقل رمز عبور شما دارای 8 حرف باشه که حداقل از دو نوع کاراکتر مثلا حروف و عدد استفاده کرده باشید. مثل سه حرف اول اسم و پنج حرف آخر شماره کارت عابر بانک درسته؟ باور کنید این هم خوب نیست سعی کنید رمز رو از روی اطلاعات شخصی خودتون نگذارید به نظر من این رمز واقعاً رمزه (df98kG#0) چرا که هم حروف بزرگ هم حروف کوچک هم اعداد هم علامت ها درون این رمز استفاده شدن همچنین از چیز خاص معروفی مثل شماره کارت ملی الگو نگرفته شده. برای رمز گذاشتن از آدرس Control Panel\User Account وارد شوید سپس حساب کاربری خود را انتخاب کرده و روی آن رمز بگذارید.
5. ویندوز آپدیت را فعال کنید برای فعال کردن ویندوز آپدیت از آدرس Control Panel\System And Security گزینه Windows Update را انتخاب کرده سپس آن را در وضعیت Recommended قرار دهید.
6. درایو های که در آن اطلاعات شخصی دارید قفل کنید میتوانید با برنامه های مثل BitLocker درایو های که در آن اطلاعات شخصی دارید را قفل کنید برای آموزش فعال سازی BitLocker به پست آموزش ایمن سازی اطلاعات با استفاده از BitLocker مراجعه کنید.
7. به آدرس Control Panel\Network and Internet\Network and Sharing Center\Advanced sharing settings بروید سپس طبق شبکه ای که از آن استفاده میکنید مثلا All Network در زیر قسمت Password Protected Sharing گزینه اول یعنی Turn On Password Protected Sharing را انتخاب کنید تا هر فردی نتواند بدون اجازه از منابع به اشتراک گذاشته شده شما سوء استفاده کند.

تا اینجا ی کار امنیت پایه سیستم عامل شما تامین شده اما در ادامه به مطالبی اشاره میشود که امنیت سیستم عامل شما را همانند فولاد مستحکم میسازد

فعال کردن ویژگیهای خاص امنیتی در ویندوز

• ابتدا حساب کاربری Administrator را فعال کنید برای فعال سازی lusrmgr.msc را در پنجره Run تایپ کنید سپس از قسمت Users روی حساب کاربری Administrator کلیک راست کرده روی گزینه Properties کلیک کنید سپس تیک گزینه Account is Disabled را بردارید. و برای آن یک رمز عبور قوی و پیچیده که یادتان بماند بگذارید.
• حساب کاربری فعلی خود را روی Standard بگذارید برای اینکار در همان پنجره lusrmgr.msc گزینه Group را از سمت چپ انتخاب کرده سپس روی گروه Administrators دو بار کلیک کرده و نام کاربری خود را از آنجا حذف کنید مثلا نام حساب کاربری من MOHAMMAD میباشد پس باید روی MOHAMMAD کلیک کنم و سپس روی گزینه Remove قسمت پایین همان پنجره کلیک کنم.
• از سیاست های رمز عبور (Password Policy) برای حساب های کاربری در سیستم عامل خود استفاده کنید. برای این عمل باید Group Policy سیستم خود را ویرایش کنید. gpedit.msc را در پنجره Run تایپ کنید سپس از قسمت Computer Configuration به آدرس Windows Settings\Security Settings\Account Policy\Password Policy رفته و مقادیر سمت راست را هر یک به نوبت ویرایش کنید مثل:

گزینه Enforce Password History برای ذخیره کردن رمز ها در حافظه ویندوز میباشد تا فرد نتواند از رمز هی قدیمی خود دوباره استفاده کند این گزینه را روی عدد 15 یا 20 بگذارید. کافیست تا روی آن دو بار کلیک کرده و سپس آن را تغییر دهید.

گزینه Maximum Password Age طول عمر یک رمز عبور را مشخص میکند این گزینه را بین 45 تا 60 قرار دهید تا بعد از این مدت فرد مجبور به تعویض رمز عبور خود شود در صورتی که از رمز Complex استفاده میکنید این گزینه را میتوانید روی 175 تا 200 هم قرار دهید

گزینه Minimum Password Age هم کمترین عمر یک رمز عبور را مشخص میکند آن را بین 3 تا 5 بگذارید.

گزینه Minimum Password Length تعداد کاراکتر های رمز عبور را مشخص میکند آن را بین 6 تا 12 رقم قرار دهید به نظر من 8 خوبه

گزینه Password Must Meet the Complexity Requirement مشخص میکند که یک رمز عبور باید پیچیده باشد یعنی حداقل باید از سه نوع کاراکتر در آن استفاده نمود مثل حروف بزرگ ، حروف کوچک و عدد یا علامت این گزینه را هم Enable کنید تا کار حدس زدن رمز عبور را به کمتر از %3 برسانید.

گزینه Store passwords using reversible encryption را هم برای کد گذاری رمز های عبور Enable کنید.

• ورودی خروجی های سیستم عامل خود را کنترل کنید برای کار در همان Group Policy و قسمت Computer Configuration به آدرس Windows Settings\Account Policy\Account Lockout Policy رفته سپس همانند زیر عمل کنید.

روی گزینه Account lockout threshold کلیک کرده و یک عدد بین 5 تا نهایتا 7 را به آن بدهید این گزینه تعداد تلاش های نا موفق به حساب کاربری را مشخص میکند یعنی بعد از 5 بار اشتباه وارد کردن رمز عبور دسترسی به سیستم تا مدت زمان مشخصی قطع شود.

گزینه های Account lockout duration و Reset account lockout counter after زمان تلاش مجدد را مشخص میکنند یعنی بعد از این زمان مشخص دوباره میتوان رمز عبور را وارد کرد به نظر من همان 30 دقیقه مطلوب میباشد.

• فعال نمودن نیاز به ALT+CTRL+DEL برای بالا بردن امنیت ورود به حساب کاربری (User Logging) از طریق همان gpedit.msc وارد قسمت Computer Configuration شوید سپس به آدرس Windows Settings\Security Settings\Local Policy\Security Option رفته و دنبال گزینه Interactive logon: Do not require CTRL+ALT+DEL رفته و این گزینه را Disable کنید تا برای ورود نیاز به CTRL+ALT+DEL باشد.
• تغییر نام حساب کاربری Administrator میتوانید برای افزایش امنیت نام حساب کاربری Administrator را به چیز دیگری مثلا Root تغییر دهید یا هر چه که خود میخواهید. در همان آدرس قبل به دنبال Accounts: Rename administrator account بگردید و آن را به هر چه که میخواهید تغییر دهید.
• افزایش امنیت با نشان ندادن نام کاربری هنگام ورود به سیستم (User Logging) در همان آدرس قبل به دنبال Interactive logon: Do not display last user name بگردید و این گزینه را هم Enable کنید

فکر میکنم همین هفت مورد کافی باشه البته خیلی بیش از این ها میشه رو امنیت کار کرد که خدایی حوصله میخواد 🙂 .

غیر فعال نمودن سرویس های اضافی

1. غیر فعال کردن سرویس های که به آنها نیاز ندارید مثلا برنامه های نصب نموده اید که حال دیگر از آن استفاده نمیکنید مثل Teamviewer یا به ندرت از آن استفاده میکنید msconfig را در Run تایپ کنید و به قسمت Services بروید و تیک گزینه Hide All Microsoft Services را بگذارید تا سرویس های حیاتی ویندوز نمایش داده نشود سپس در این قسمت هر چه که استفاده نمیکنید را غیر فعال کنید. کافیست تا تیک این سرویس ها را بردارید تا آنها غیر فعال شوند.
2. پوشه های بدون استفاده که به اشتراک گذاشته شده اند را از اشتراک در بیاورید برای اینکار آدرس 127.0.0.1\\ را در آدرس بار Explore ویندوز خود تایپ کنید و هر پوشه ای که دیگر نیاز به مشترک بودن آن نیست حذف کنید.
3. حذف Task های که زمانبندی شده اند و دیگر استفاده نمیشوند Task Scheduler را در استارت جستجو کنید سپس هر Task که اضافی میباشد را حذف کنید.

اگر سوال یا انتقادی دارید نووا بلاگ را از محبت خودتون محروم نکنید یا در صورتی که اطلاعاتی در این زمینه دارید میتوانید آن را با ما به اشتراک بگذارید تا همه از اطلاعات مفید شما استفاده کنند.