هفت گام برای امن کردن ویندوز 7

اگر شما از ویندوز 7 استفاده می­کنید، باید به طور استراتژیک راهکارهای محافظت از داده و کاربران را برای تمامی سیستم­های ویندوز مرور نمایید. راهکارهای زیادی وجود دارد که هر سازمانی، اعم از کوچک یا بزرگ، باید از آنها پیروی نماید تا سیستم­های ویندوز خود را از حملات ویروس­ها، ابزارهای جاسوسی، و سایر انواع بدافزار بر حذر دارد.

1. تهدیدات را متوقف کنید
   یک گام واضح ولی مهم، استفاده از آنتی ویروس برای جلوگیری، تشخیص و حذف تمامی انواع بدافزارهاست که این قابلیت را دارند که به سیستم و داده های شما آسیب وارد کنند. یکی از معمول­ترین روش­های تشخیص ویروس، جستجو در مورد الگوهای شناخته شده، یا امضای ویروس­ها در میان کدهای اجرایی است. البته با افزایش تعداد و پیچیدگی حملات بدافزاری ناشناخته، امکان زیادی وجود دارد که یک کاربر توسط بدافزاری آلوده گردد که هنوز شناخته نشده و امضای آن وجود ندارد. برای مقابله با چنین حملاتی که به حملات «zero-day» معروفند، باید از آنتی ویروسی استفاده کرد که روش­های محافظتی پیشگیرانه را به کار می­برد و ویروس­های جدید را با مطالعه رفتار آنها شناسایی کرده و از اجرای آنها جلوگیری می­نماید. برای حصول اطمینان از اینکه آنتی ویروس به درستی کار مورد نظر شما را انجام می­دهد، باید همیشه آن را به روز نگه دارید. از آنجایی که ویروس­های جدید به سرعت می­توانند منتشر گردند، بسیار مهم است که از یک ساختار خودکار برای دریافت به روز رسانی آنتی ویروس استفاده نمایید. یک روش ساده دیگر برای جلوگیری از تهدیدات این است که همیشه در مورد آنها اطلاع داشته باشید. می­توانید در لیست ایمیل تولید کننده آنتی ویروس خود ثبت نام نمایید و وبلاگ­های مرتبط با امنیت را برای به دست آوردن اطلاعات به روز در مورد تهدیدات ویروس­ها، اطلاعات فنی، و محصولات جدید مطالعه کنید. توصیه:
   ابزار جلوگیری کننده از اجرای داده ها (DEP)، از اجرای کدهای اجرایی در قسمت­هایی از حافظه که برای ذخیره داده در نظر گرفته شده اند، جلوگیری می­کند. توصیه می­شود که در قسمت تنظیمات BIOS، بخش مربوط به فعالسازی پشتیبانی DEP (NX enable) را علامت زده و نیز DEP را برای تمامی برنامه ها فعال نمایید. ابزار ASLR محلی از حافظه سیستم شما را که ویندوز کتابخانه های لازم سیستمی را در آنجا بارگذاری می­کند، به طور تصادفی تعیین می­کند. زمانی که از DEP استفاده می­کنید، ASLR کار بدافزارها را برای استفاده از آسیب پذیری­های امنیتی مرورگر، plugin ها، و برنامه ها سخت می­کند.
2. مرور امن وب
   اینترنت به سرعت به ابزاری برای انجام بسیاری از کارهای تجاری تبدیل شده است. در نتیجه وب سایت­های بی­گناه به هدف نویسندگان بدافزارها تبدیل شده اند و هکرها با هدف سرقت اطلاعات محرمانه، انتشار کدهای خرابکار، یا حتی ساختن botnet ها برای انتشار بیشتر بدافزارها و هرزنامه ها، به کاربران این وب سایت­ها ضربه می­زنند. هزاران سیستم هر روز به خاطر مشاهده وب سایت­های معتبری که هدف حملات تزریق SQL قرار گرفته و یا کدهای خرابکار در آنها جا گرفته اند، آلوده می­شوند. چند راه ساده برای رهایی از این وضعیت وجود دارد.
   توصیه:
   ویندوز 7 به طور پیش فرض IE 8 را به همراه دارد و توسط DEP و ASLR محافظت می­شود. علاوه بر این، این سیستم عامل از یک ویژگی امنیتی جدید برای محافظت در برابر مرور سایت­های خرابکار نیز برخوردار است که SmartScreen نام دارد. SmartScreen یک هشدار برای CSS، سرقت هویت و سایر اهداف خرابکارانه نمایش می­دهد. این ویژگی به همراه وضعیت محافظت شده IE 8، امکان مرور امن تر وب را فراهم می آورد.
3. اصلاحیه ها را نصب کنید
   هکرها بیش از گذشته بر حفره های امنیتی plugin های شرکت­هایی به جز مایکروسافت و هر محتوایی که از اینترنت دریافت می­شود، تمرکز کرده اند. مهاجمان همچنان سیستم عامل را هدف قرار می­دهند، اما به شکل فزاینده ای به دنبال برنامه هایی هستند که مرورگر شما برای مشاهده محتوای چند رسانه ای، اسناد، و سایر انواع فایل­ها لود می­کند. به طور منظم وب سایت تولید کنندگان نرم افزارهای مورد استفاده خود را چک کنید تا در صورت عرضه اصلاحیه، آن را دریافت نمایید. بسیاری از تولید کنندگان نرم افزارها راهنمایی امنیتی نیز ارائه می­دهند. برای مثال، مایکروسافت هشدارهایی در مورد حفره های امنیتی محصولات خود و نیز اصلاحیه های آنها را به لیست ایمیل خود ارسال می­کند. در صورتی­که تولید کنندگان نرم افزارهای مورد استفاده شما دارای چنین لیست ایمیل­هایی هستند، در آنها ثبت نام کنید. زمانی که یک حفره امنیتی جدید در یک سیستم عامل یا یک نرم افزار کشف می­شود و اصلاحیه آن نیز در دسترس است، سازمان­ها باید آماده باشند تا آن اصلاحیه را تست نموده و به سرعت نصب نمایند.
   توصیه:
   Windows Update کمک می­کند که سیستم خود را امن تر نگاه دارید. در ویندوز 7، این قسمت، بخشی از Action Center است که پروسه به روز رسانی را ساده تر می­کند.
4. ابزار جلوگیری از اتلاف داده ها (DLP) را تقویت کنید
   امروزه یکی از جرائم معمول کامپیوتری، سرقت داده های شخصی است. بنابراین شما باید با استفاده از راهکارهایی، از اینکه داده های شما به طور تصادفی در اختیار دیگران قرار گیرند، جلوگیری نمایید.
   چهار جزء برای محافظت از داده ها باید در نظر گرفت:
   • کنترل برنامه، شما را قادر می­سازد که برنامه هایی را که کارمندان مجاز به استفاده از آنها هستند مدیریت نمایید. این کار باعث می­شود که داده های حساس از طریق برنامه هایی مانند برنامه های به اشتراک گذاری P2P یا برنامه های پیغام فوری از سازمان شما خارج نشوند.
   • کنترل ابزار راهی برای تعریف و اعمال یک سیاست جامع در سازمان شما عرضه می­کند که مشخص می­کند کارمندان مجاز به استفاده از چه ابزارهایی هستند یا نیستند.
   • کنترل داده ها این اطمینان را ایجاد می­کند که کاربران به طور تصادفی داده های حساس را به ابزارها و برنامه های خود منتقل نمی­کنند. پیاده سازی یک راه حل جلوگیری از اتلاف داده ها می­تواند هزینه بر و پیچیده باشد.
   • رمزنگاری این اطمینان را ایجاد می­کند که داده های موجود بر روی لپ تاپ­ها و درایوهای USB محافظت شده هستند. ممکن است افراد وسایل خود را گم کنند. پیاده سازی رمزنگاری ممکن است چندان ساده نباشد. بنابراین فاکتورهای زیادی باید در نظر گرفته شود: باید اطمینان حاصل کنید که پیاده سازی اولیه موفق است، باید اطمینان حاصل کنید که سیاست­های رمزنگاری در سازمان شما قابل مدیریت و تغییر هستند، و علاوه بر اینها، باید اطمینان حاصل کنید که راه حل شما مانع وظایف روزمره کاربران شما نیست.

4. توصیه:
   ویندوز 7 تکنولوژی­های محافظت از داده موجود در ویندوز ویستا مانند رمزنگاری سیستم فایل (EFS)، و تکنولوژی سرویس­های مدیریت حقوق Active Directory را داراست. این تکنولوژی­ها یک سکوی (platform) عالی برای محافظت از داده ها فراهم می آورد. ویندوز 7، کنترل­های پورت USB را از طریق به کار گیری Group Policy Objects (GPO) نیز ارائه می­دهد که می­تواند برای محافظت از داده های حساس به شما کمک نماید. همچنین ویندوز 7 با معرفی BitLocker To Go، توسعه هایی در تکنولوژی BitLocker ایجاد کرده است که رمزنگاری درایوهای قابل حمل مبتنی بر FAT32 مانند حافظه های USB و هارد دیسک­های قابل حمل را ممکن می­سازد. BitLocker یک ویژگی رمزگذاری کامل دیسک است که در نسخه های Ultimate و Enterprise ویندوز ویستا و ویندوز 7 وجود دارد. ویندوز 7 AppLocker را نیز معرفی کرده است. AppLocker مدیران را قادر می­سازد که یک روش لیست سفید/لیست سیاه را در پیش گرفته و برنامه ها را مدیریت نمایند.
5. مدیریت حق دسترسی کاربران
   ویندوز 7 راه­های بیشتری برای اطمینان از داشتن یک محیط محاسباتی امن فراهم می­کند. مایکروسافت با معرفی کنترل حساب کاربری (UAC)، کنترل بیشتری برای مدیران شبکه فراهم می آورد تا به سادگی کاربران را به کار با حساب­های کاربری استاندارد وادار نمایند. زمانی که UAC فعال می­شود، از تغییر سطح دسترسی سیستم توسط کاربران بدون موافقت مدیر جلوگیری می­کند. این کار از بسیاری از حملات بدافزاری که با استفاده از حقوق کاربران Admin کار می­کنند، پیشگیری می­نماید. در ضمن پروسه مجوز دادن به رفتارهای امن را نیز برای مدیران ساده تر می­کند.
6. پیشگیری از روزنه های امنیتی با استفاده بیشتر کارمندان از سیستم­های قابل حمل، حصول اطمینان از اینکه سطح امنیتی مورد نظر شما مانند استفاده از آنتی ویروس به روز و فعال کردن فایروال، در تمام این سیستم­ها رعایت شده است کار سختی است.
   توصیه: محافظ دسترسی شبکه (NAP) در ویندوز ویستا معرفی شده و همچنان یک جزء کلیدی در ویندوز 7 است. NAP برای کمک به مدیران طراحی شده است تا سلامتی سیستم­های شبکه را تضمین کنند، که در نهایت منجر به سلامت کل مجموعه شبکه می­شود. این ابزار برای امن کردن یک شبکه در برابر کاربران خرابکار طراحی نشده است.
7. آموزش به کاربران
   یک سیاست امن باید شامل قوانینی باشد که از موارد زیر جلوگیری کند:
   • دانلود فایل­های اجرایی و اسناد مستقیما از اینترنت یا از طریق ایمیل
   • اجرا یا باز کردن فایل­های اجرایی، اسناد، و صفحات گسترده ناخواسته
   • اجرای بازی­های کامپیوتری یا استفاده از محافظ صفحه نمایشی که به همراه سیستم عامل وجود نداشته اند
   به خاطر بسپارید که یک سیاست مدون به اندازه تکنولوژی مورد استفاده برای محافظت از سیستم­ها مهم و موثر است.
   توصیه:
   یک سیاست برای محاسبات امن تدوین کرده و آن را در میان کارمندان منتشر کنید. اطمینان حاصل کنید که آنها این سیاست را مطالعه کرده و آن را درک کرده اند، و می­دانند در زمان وقوع مشکل، با چه کسی تماس بگیرند. در صورتی که ممکن باشد بهترین کار این است که دسترسی به بردارهای خرابکار حمله که از طریق ایمیل یا وب دانلود می­شوند را مسدود کرد. برای مثال می­توان به فایل­های .exe، .com، .msi، .vbs، و .bat اشاره کرد.