هل هناك بعض البيانات المهمة على الخادم الخاص بك والتي لا يمكن الكشف عنها حسب الرغبة؟ بالطبع هناك، أليس كذلك؟ في الآونة الأخيرة، أصبحت الخوادم معرضة لخطر كبير بشكل خاص، حيث يستهدف المزيد والمزيد من الفيروسات والمتسللين الخبيثين والجواسيس التجاريين الخوادم. من الواضح أنه لا يمكن تجاهل مشكلات أمان الخادم للحظة.
نصيحة 1: ابدأ بالأساسيات
البدء من الأساسيات هو الطريقة الأكثر أمانًا. يجب عليك تحويل كافة المناطق الموجودة على الخادم والتي تحتوي على بيانات سرية إلى تنسيق NTFS، وبالمثل، يجب تحديث برامج مكافحة الفيروسات في الوقت المحدد. يوصى بتثبيت برنامج مكافحة الفيروسات على كل من أجهزة الكمبيوتر المكتبية والخادم. يجب أيضًا إعداد البرنامج لتنزيل أحدث ملفات تعريف الفيروسات تلقائيًا كل يوم. بالإضافة إلى ذلك، يجب أيضًا أن يكون خادم Exchange (خادم البريد) مزودًا ببرنامج مكافحة الفيروسات. يمكن لهذا النوع من البرامج فحص جميع رسائل البريد الإلكتروني الواردة للبحث عن المرفقات المصابة بالفيروسات، وإذا تم العثور على فيروس، فسيتم عزل البريد الإلكتروني على الفور تقليل فرصة إصابة المستخدم.
هناك طريقة أخرى جيدة لحماية شبكتك وهي تقييد وصول المستخدم إلى الشبكة بناءً على ساعات عمل الموظف. على سبيل المثال، يجب ألا يتمكن الموظفون الذين يعملون أثناء النهار من الوصول إلى الشبكة في منتصف الليل.
وأخيرًا، يتطلب الوصول إلى أي بيانات على الشبكة تسجيل الدخول بكلمة مرور. إجبار الجميع على استخدام مزيج من الأحرف الكبيرة والصغيرة والأرقام والأحرف الخاصة عند تعيين كلمات المرور. يوجد برنامج الأدوات هذا في Windows NT Server Resource Kit. يجب عليك أيضًا تعيين كلمة مرور تقوم بتحديثها بانتظام ويجب أن تتكون من ثمانية أحرف على الأقل. إذا كنت قد اتخذت هذه الإجراءات ولكنك لا تزال تشعر بالقلق من أن كلمات المرور الخاصة بك ليست آمنة، فيمكنك محاولة تنزيل بعض أدوات القرصنة من الإنترنت واختبار مدى أمان كلمات المرور هذه.
نصيحة 2: حماية النسخ الاحتياطية الخاصة بك
ما لا يدركه معظم الناس هو أن النسخ الاحتياطية في حد ذاتها تمثل ثغرة أمنية كبيرة، أليس كذلك؟ فقط تخيل أن معظم مهام النسخ الاحتياطي تبدأ في الساعة 10 أو 11 مساءً، اعتمادًا على كمية البيانات، قد يكون منتصف الليل بعد اكتمال النسخ الاحتياطي. الآن، تخيل أن الساعة الرابعة صباحًا وأن عملية النسخ الاحتياطي قد انتهت. هذا هو الوقت المثالي لشخص ما لسرقة قرص النسخ الاحتياطي واستعادته على خادم في المنزل أو في مكتب منافسك. ومع ذلك، يمكنك منع حدوث ذلك. أولاً، يمكنك حماية القرص الخاص بك بكلمة مرور، وإذا كان برنامج النسخ الاحتياطي لديك يدعم التشفير، فيمكنك أيضًا تشفير البيانات. ثانيًا، يمكنك ضبط الوقت لاستكمال عملية النسخ الاحتياطي عند دخولك المكتب في الصباح، وفي هذه الحالة، حتى لو أراد شخص ما التسلل وسرقة القرص في منتصف الليل، فلن يتمكن من ذلك لأن القرص قيد الاستخدام، إذا أخذ اللص القرص بالقوة، فمن المستحيل أيضًا قراءة البيانات التالفة.
نصيحة 3: استخدم وظيفة رد الاتصال الخاصة بـ RAS
أحد أروع ميزات Windows NT هو دعم خادم الوصول البعيد (RAS). لسوء الحظ، تعتبر خوادم RAS مناسبة جدًا للمتسللين، كل ما يحتاجون إليه هو رقم هاتف، وقليل من الصبر، وبعد ذلك يمكنهم الوصول من خلال مضيف RAS . ومع ذلك، يمكنك اتخاذ بعض الإجراءات لحماية أمان خادم RAS الخاص بك.
تعتمد التقنية التي تستخدمها إلى حد كبير على كيفية عمل جهاز الوصول عن بعد. إذا كان المستخدم البعيد غالبًا ما يصل إلى الإنترنت من المنزل أو من مكان ثابت، فمن المستحسن استخدام وظيفة رد الاتصال، فهي تسمح للمستخدم البعيد بإنهاء المكالمة بعد تسجيل الدخول، ثم سيقوم خادم RAS بطلب رقم الهاتف المحدد مسبقًا للاتصال لأنه بمجرد برمجة رقم الهاتف مسبقًا، لن يكون لدى المتسلل فرصة لتحديد الرقم الذي يجب على الخادم الاتصال به مرة أخرى.
هناك طريقة أخرى تتمثل في تقييد المستخدمين البعيدين للوصول إلى خادم واحد. يمكنك نسخ البيانات المستخدمة بشكل متكرر إلى نقطة مشتركة خاصة على خادم RAS، ثم تقييد تسجيلات دخول المستخدم عن بعد إلى خادم واحد بدلاً من الشبكة بأكملها. وبهذه الطريقة، حتى إذا قام المتسللون بغزو المضيف، فلن يتمكنوا إلا من التسبب في مشاكل على جهاز واحد، مما يقلل الضرر بشكل غير مباشر.
إحدى الحيل الأخيرة هي استخدام بروتوكول شبكة "بديل" على خادم RAS. يستخدم العديد من الأشخاص بروتوكول TCP/ip كبروتوكول RAS. من خلال الاستفادة من طبيعة وقبول بروتوكول TCP/IP نفسه، يعد هذا الاختيار معقولًا تمامًا، ولكن RAS يدعم أيضًا بروتوكولات IPX/SPX وNetBEUI. إذا كنت تستخدم NetBEUI كبروتوكول RAS، فمن المؤكد أنه سيتم الخلط بين المتسللين إذا لم يكونوا كذلك حذرا للحظة.
نصيحة 4: خذ بعين الاعتبار أمان محطة العمل
قد يبدو من غير المناسب ذكر أمان محطة العمل في مقالة حول أمان الخادم، ومع ذلك، فإن محطة العمل هي المدخل إلى الخادم. يمكن أن يؤدي تعزيز أمان محطة العمل إلى تحسين أمان الشبكة بشكل عام. بالنسبة للمبتدئين، يوصى باستخدام Windows 2000 على كافة محطات العمل. يعد Windows 2000 نظام تشغيل آمنًا للغاية. إذا لم يكن لديك Windows 2000، فاستخدم Windows NT على الأقل. بهذه الطريقة يمكنك تأمين محطة العمل الخاصة بك، وبدون إذن، سيكون من الصعب على الشخص العادي الحصول على معلومات تكوين الشبكة.
نصيحة أخرى هي تقييد المستخدمين لتسجيل الدخول من محطات عمل محددة. الحيلة الأخرى هي التعامل مع محطة العمل كمحطة غبية، أو بمعنى آخر، محطة غبية ذكية. بمعنى آخر، لن تكون هناك أي بيانات أو برامج على محطة العمل عند استخدام الكمبيوتر كمحطة طرفية، يجب على الخادم تنفيذ برنامج Windows NT Terminal Service، ولا يمكن تشغيل كافة التطبيقات إلا على الخادم تلقي وعرض البيانات فقط. وهذا يعني أن محطة العمل تحتوي فقط على الحد الأدنى من إصدار Windows المثبت، ونسخة من Microsoft Terminal Server Client. يجب أن يكون هذا الأسلوب هو خيار تصميم الشبكة الأكثر أمانًا.
نصيحة 5: تنفيذ أحدث التصحيحات
لدى Microsoft مجموعة من القوى العاملة المخصصة لفحص الثغرات الأمنية وتصحيحها، ويتم أحيانًا جمع هذه الإصلاحات (التصحيحات) في حزم الخدمة وإصدارها. تأتي حزم الخدمة عادةً في إصدارين مختلفين: إصدار 40 بت يمكن لأي شخص استخدامه، وإصدار 128 بت متوفر فقط في الولايات المتحدة وكندا. يستخدم الإصدار 128 بت خوارزمية تشفير 128 بت، وهي أكثر أمانًا بكثير من الإصدار 40 بت.
في بعض الأحيان، يستغرق إصدار حزمة الخدمة عدة أشهر، ولكن إذا تم اكتشاف ثغرة أمنية خطيرة، فبالطبع تريد تصحيحها على الفور ولا تريد انتظار حزمة الخدمة المتأخرة. لحسن الحظ، لا تحتاج إلى الانتظار. ستصدر Microsoft بانتظام تصحيحات مهمة على موقع FTP الخاص بها، ولم يتم تضمين هذه التصحيحات الأخيرة بعد في أحدث إصدار من حزمة الخدمة. تذكر أنه يجب استخدام التصحيحات بترتيب زمني، وإذا تم استخدامها بشكل غير مرتب، فقد يؤدي ذلك إلى إصدارات غير صحيحة لبعض الملفات وقد يتسبب أيضًا في تعطل Windows.
النصيحة السادسة: وضع سياسات أمنية صارمة
هناك طريقة أخرى لتحسين الأمان وهي تطوير سياسة أمنية قوية والتأكد من فهم الجميع لها وتنفيذها. إذا كنت تستخدم Windows 2000 Server، فيمكنك تخويل بعض الأذونات لوكلاء محددين دون التنازل عن كافة حقوق إدارة الشبكة. حتى إذا وافقت على أذونات معينة للوكيل، فلا يزال بإمكانك تحديد مستوى أذوناته، على سبيل المثال، لا يمكنه فتح حسابات مستخدمين جديدة أو تغيير الأذونات.
نصيحة 7: جدار الحماية، تحقق، تحقق مرة أخرى
نصيحة أخيرة هي التحقق مرة أخرى من إعدادات جدار الحماية لديك. تعد جدران الحماية جزءًا مهمًا من تخطيط الشبكة لأنها تحمي أجهزة الكمبيوتر الخاصة بالشركة من الأضرار الضارة من الخارج.
أولاً، لا تنشر عناوين IP غير الضرورية. يجب أن يكون لديك عنوان IP خارجي واحد على الأقل، ويجب أن تمر جميع اتصالات الشبكة عبر هذا العنوان. إذا كان لديك أيضًا خادم ويب أو خادم بريد إلكتروني مسجل في DNS، فيجب أيضًا نشر عناوين IP هذه من خلال جدار الحماية. ومع ذلك، يجب إخفاء عناوين IP الخاصة بمحطات العمل والخوادم الأخرى.
يمكنك أيضًا التحقق من جميع منافذ الاتصال للتأكد من إغلاق جميع المنافذ التي لا تستخدمها بشكل متكرر. على سبيل المثال، يتم استخدام منفذ TCP/IP رقم 80 لحركة مرور HTTP، لذلك لا يمكن حظر هذا المنفذ. ربما لن يتم استخدام المنفذ 81 أبدًا، لذا يجب إيقاف تشغيله.