چگونه رایانه های شخصی ویندوز 10 خود را برای جلوگیری از مشکلات امنیتی رایج پیکربندی می کنیم؟
متاسفانه هیچ بسته نرم افزاری وجود ندارد که بتواند تمامی این مشکلات را رفع نماید. تمامی ابزارهای موجود برای مشاغل و شرکت های کوچک متفاوت است. در اینجا نکته حائز اهمیت این است که باید مراقب باشیم. وسوسه انگیز است که فکر کنیم فرآیند ایمن سازی یک دستگاه با سیستم عامل ویندوز 10 می تواند به یک چک لیست و چند نرم افزار امنیتی و یا برخی تنظیمات اعمال شده ختم شود. یا با برگزاری یک یا دو جلسه آموزشی این مورد مهم را انجام داده و به موارد کاری دیگر خود بپردازید.
دنیای واقعی بسیار پیچیده تر از این است. همانطور که گفتیم هیچ نرم افزار جادویی برای انجام تمام و کمال امنیت رایانه شخصی شما وجود ندارد. با انجام تنظیمات ساده، شما تنها پایه امنیت سیستم خود را برقرار کرده اید. پس از تکمیل پیکربندی های اولیه، امنیت مستلزم هوشیاری مداوم و تلاش مداوم است. بسیاری از کارهای ایمن سازی یک دستگاه با سیستم عامل ویندوز 10 از راه دور انجام می شود. یک قانون امنیتی خوب و برنامه ریزی شده به ترافیک شبکه، حساب های ایمیل، مکانیسم های احراز هویت، سرورهای مدیریت و سایر اتصالات خارجی توجه می کند.
این راهنما طیف گسترده ای از موارد استفاده تجاری را پوشش می دهد. هر عنوان در مورد موضوعی بحث می کند که تصمیم گیرندگان باید هنگام استقرار رایانه های شخصی ویندوز 10 در نظر بگیرند. اگرچه این مقاله بسیاری از گزینه های موجود را پوشش می دهد اما جز راهنمای عملی نیست.
در یک کسب و کار بزرگ، کارشناسان فناوری اطلاعات شما باید دارای تخصص های امنیتی باشند که بتوانند این مراحل را مدیریت کنند. دریک کسب و کار کوچک بدون کارشناسان متخصص در فناوری اطلاعات، مسئله مد نظر این است که از کمک گرفتن از یک مشاور با تخصص لازم بهترین رویکرد می باشد. قبل از اینکه پیکربندی ویندوز 10 را انجام دهید. بهتر است کمی برای ارزیابی نوع تهدیدات وقت بگذارید. به ویژه، از مسئولیت های قانونی و نظارتی خود در صورت نقض داده ها یا سایر رویدادهای مرتبط با امنیت آگاه باشید. برای مشاغلی که نیازمند داشتن یک متخصص امنیت هستند، یک متخصص را استخدام کنید که صنعت شما را می شناسد و بتواند اطمینان حاصل که سیستم های شما همه الزامات قابل اجرا را برآورده می کند. موارد زیر برای مشاغل در هر اندازه ای اعمال می شود.
مدیریت بروز رسانی های امنیتی
مهم ترین تنظیم امنیتی برای هر رایانه شخصی که از سیستم عامل ویندوز 10 استفاده می کند. این است که اطمینان حاصل شود که بروزرسانی ها در یک برنامه منظم و قابل پیش بینی نصب و اجرا می شوند. البته این موضوع برای هر دستگاه محاسباتی صادق است. در ویندوز 10 شرکت مایکروسافت مدل Windows as a service را ارائه کرده است که در این مدل نحوه مدیریت بروزرسانی ها را تغییر می دهد. قبل از شروع، مهم است که انواع مختلف بروزرسانی های ویندوز 10 و نحوه عملکرد آنها را بشناسیم.
Quality updates:
این نوع بروزرسانی به صورت ماهیانه و از طریق بروزسانی ویندوز (Windows Update) در دومین سه شنبه هر ماه (ماه میلادی) ارائه می شود. این نوع بروزرسانی به مسائل امنیتی و قابلیت اطمینان می پردازد و ویژگی های جدیدی را شامل نمی شوند. همچنین این بروزرسانی ها شامل وصله هایی برای نقص های میکروکد در ریزپردازنده های اینتل می شوند. برای مشکلات امنیتی خاص، ممکن است شرکت مایکروسافت تصمیم بگیرد به روزرسانی خارج از باند را منتشر کند که به برنامه ماهانه معمولی مرتبط نباشد. تمامی بروزرسانی های Quality به صورت تجمعی یا Cumulative ارائه می شوند. بنابراین شما مجبور به نصب ده ها یا حتی صد ها به روزرسانی بعد از نصب یک ویندوز 10 تازه نصب شده نیستید. به عبارت دیگر بعد از نصب ویندوز 10 شما می توانید آخرین Cumulative updates موجود را نصب کنید و به صورت کاملاً به روز خواهید بود.
Feature updates:
بروزرسانی ویژگی های ویندوز یا Feature updates معادل چیزی است که قبلاً ارتقا نسخه یا upgrade نامیده می شد. این نوع آپدیت ها دارای ویژگی های جدید هستند و ممکن است به حجم چند گیگابایتی هم برسند. همچنین نیاز به راه اندازی کامل دارند. بروزرسانی ویژگی های ویندوز 10 در سال دو مرتبه در ماه های آوریل و اکتبر در تاریخ میلادی و مابین ماه های اردیبهشت و خرداد و همچنین مابین ماه های مهر و آبان در تاریخ شمسی منتشر می شود. این نوع بروزرسانی ها از طریق بروزرسانی ویندوز یا Windows Update در دسترس قرار خواهند گرفت. این آپدیت ها به صورت خودکار نصب نمی شوند، مگر اینکه نسخه فعلی سیستم عامل ویندوز 10 شما به پایان چرخه عمر پشتیبانی خود رسیده باشد.
به طور پیش فرض سیستم عامل ویندوز 10 آپدیت های quality را به محض انتشار بر روی سرور های آپدیت مایکروسافت دریافت و نصب می کند. رایانه های شخصی ای که ویندوز 10 خانگی یا Home را استفاده می کنند هیچ روش پشتیبانی ای برای تعیین دقیق زمان نصباین بروزرسانی ها وجود ندارد، اگرچه برای تمامی کاربران این امکان فراهم شده است که بروزرسانی ها را تا 7 روز متوقف کنند. همچنین در رایانه های شخصی ای که نسخه تجاری (Education یا Pro ویا Enterprise) نصب شده است، به روزرسانی ها تا 35 روز قابل متوقف شدن هستند. و مدیران شبکه می توانند از طریق Group Policy یا تنظیمات مربوط به قوانین گروهی تنظیماتی جهت به تعویق انداختن دانلود و نصب این بروزرسانی ها تا 30 بعد از انتشار روز اقدام کنند.
همانند تمام تنظیمات امنیتی، انتخاب زمان مناسب نصب بروزرسانی ها مستلزم داشتن برنامه دقیق است. نصب بلافاصله آپدیت ها پس از انتشار بهترین محافظت را در برابر حملات سایبری برای شما ارائه می دهد. تعویق در نصب بروز رسانی ها این امکان را فراهم می کند که پتاسیل کارایی آن بروزرسانی به حداقل برسد.
با استفاده از ویژگی های Windows Update برای نسخه های تجاری که شامل ویندوزهای Enterprise، Pro و Education(آموزشی) می شود می توان نصب بروزرسانی ها نوع Quality که وصله های امنیتی را شامل می شود را تا 30 روز به تعویق بیندازید. حتی بسته به نسخه ویندوز، بروزرسانی ها را می توان تا دو سال به تاخیر انداخت. به تعویق انداختن بروزرسانی هایی که مرتبط با وصله های امنیتی هستند بین 7 الی 15 روز روشی کم خطر برای جلوگیری از نصب بروزرسانی های معیوب است. این بروزرسانی های معیوب می توان باعث ایجاد مشکلات پایداری شوند. از مسیر زیر می توانید تنظیمات رایانه شخصی خود را با استفاده از کنترل های موجود تنظیم کنید.
Settings > Update & Security > Advanced Options
در سازمان های بزرگتر، مدیران می توانند تنظیمات Windows Update برای نسخه های تجاری خود را با استفاده از Group Policy یا نرم افزار مدیریت مدیریت دستگاه تلفن همراه (MDM) اعمال کنند. همچنین می توانید با استفاده از ابزار مدیریتی System Center Configuration Manager یا Windows Sever Update Services، بروزرسانی ها را به طور مرکزی مدیریت کنید. در نهایت، استراتژی به روزرسانی نرم افزار شما نباید در خود ویندوز متوقف شود. مطمئن شوید که به روزرسانی های برنامه های ویندوز، از جمله برنامه های Microsoft Office و Adobe، به صورت خودکار نصب می شوند.
مدیریت احراز هویت و حساب کاربری
هر رایانه شخصی ویندوز 10 حداقل به یک حساب کاربری نیاز دارد که به نوبه خود توسط گذرواژه و مکانیزم تائید هویت اختیاری محافظت می شود. نحوه راه اندازی حساب کاربری و یا هر حساب ثانویه تا حد زیادی به تضمین امنیت دستگاه کمک می کند.رایانه هایی که ویندوز 10 نسخه تجاری را اجرا می کنند را می توان به دامنه ویندوز متصل کرد. در این نوع پیکربندی، مدیران دامنه به ویژگی های Active Directory دسترسی دارند و می توانند به کاربران، گروه ها و رایانه ها اجازه دسترسی منباع محلی و شبکه را بدهند.
اگر مدیر دامنه هستید، می توانید رایانه های شخصی ویندوز 10 را با استفاده از مجموعه کامل ابزارهای Active Directory مبتنی بر سرور مدیریت کنید. برای رایانه های شخصی ویندوز 10 که عضو دامنه (Domain) نیستند، همانطور که در اکثر مشاغل کوچک این مسئله وجود دارد، شما می توانید از سه نوع حساب کاربری استفاده کنید.
- حساب های محلی یا Local accounts از اعتبار نامه هایی استفاده می کنند که در دستگاه ذخیره می شوند.
- حساب های مایکروسافت یا Microsoft accounts برای کاربران رایگان هستند و امکان همگام سازی داده ها(Data Sync) و تنظیمات را در رایانه های شخصی و دستگاه ها فراهم می کنند. این نوع حساب های کاربری از احراز هویت دو مرحله ای (Two-factor authentication) و گزینه های بازیابی رمز عبور پشتیبانی می کنند.
- حساب های Azure Active Directory (Azure AD) با یک دامنه سفارشی مرتبط هستند و می توانند به صورت مرکزی مدیریت شوند. ویژگی های پایه این نوع حساب رایگان است و در اشتراک های تجاری و سازمانی Microsoft 365 و Office 365 گنجانده شده اند. دیگر ویژگی های Azure AD به عنوان ارتقاء به صورت پولی در دسترس است.
اولین حساب کاربری در رایانه شخصی ویندوز 10 عضوی از گروه Administrators است و حق نصب نرم افزار و تغییر پیکربندی سیستم را دارد. حسابهای ثانویه باید بهعنوان کاربران استاندارد راهاندازی شوند تا از آسیب رساندن ناخواسته به سیستم یا نصب نرمافزارهای ناخواسته توسط کاربران آموزشدیده جلوگیری شود. بدون در نظر گرفتن نوع حساب، استفاده از رمز عبور قوی یک مرحله ای ضروری است. در شبکه های مدیریت شده، مدیران می توانند از Group Policy یا نرم افزار MDM برای اعمال سیاست های رمز عبور سازمان استفاده کنند.
برای افزایش امنیت فرآیند ورود به سیستم در یک دستگاه خاص، می توانید از ویژگی ویندوز 10 به نام Windows Hello استفاده کنید. برای استفاده از ویژگی Windows Hello نیازمند استفاده از هویت شخص ثالث (two-step verification) دارید که از FIDO نسخه 2.0 پشتیبانی می کند. با این ویژگی می توانید برای حساب های کاربری مایکروسافت، Active Directory و Azure AD دستگاه خود را رجیستر کنید. وقتی این ثبتنام کامل شد، کاربر میتواند با استفاده از یک پین یا با سختافزار پشتیبانیشده، احراز هویت بیومتریک مانند اثر انگشت یا تشخیص چهره وارد سیستم شود. داده های بیومتریک فقط در دستگاه ذخیره می شود و از انواع حملات متداول و سرقت رمز عبور جلوگیری می کند. در دستگاههای متصل به حسابهای تجاری، مدیران شبکه میتوانند از Windows Hello for Business برای تعیین پیچیدگی پین مورد نیاز استفاده کنند.
هنگام استفاده از حسابهای Microsoft یا Azure AD در رایانههای شخصی با نصب نسخه تجاری، باید احراز هویت چند عاملی (MFA) را برای محافظت از حساب در برابر حملات خارجی تنظیم کنید. در حسابهای مایکروسافت، تنظیمات تأیید صحت دو مرحلهای یا Two-factor authentication در آدرس زیر موجود است:
برای حسابهای تجاری و سازمانی Office 365، یک مدیر باید ابتدا این ویژگی را از پورتال آفیس فعال کند، پس از آن کاربران میتوانند تنظیمات MFA را با ورود به سیستم در آدرس زیر مدیریت کنید:
لازم به توضیح است با توجه به محدودیت هایی که کاربران ایرانی از سوی شرکت مایکروسافت اعمال شده است دسترسی به این امکانات مقدور نیست.
حفاظت اطلاعات (Data Protection)
امنیت فیزیکی به اندازه مسائل مربوط به نرم افزار یا شبکه مهم است. لپتاپ دزدیده شده یا لپتاپ رها شده در تاکسی یا رستوران میتواند منجر به خطر قابل توجهی از دست دادن اطلاعات شود. برای یک کسب و کار یا یک سازمان دولتی، این تأثیر می تواند فاجعه بار باشد و عواقب آن در صنایع تحت نظارت یا جایی که قوانین نقض داده ها مستلزم افشای عمومی است، بدتر است. در یک رایانه که ویندوز 10 بر روی آن در حال اجرا است، تنها مهم ترین پیکربندی ای که می توانید انجام دهید، فعال کردن رمزگذاری دستگاه BitLocker است. BitLocker نام تجاری است که مایکروسافت برای ابزارهای رمزگذاری موجود در نسخه های تجاری ویندوز استفاده می کند.
با فعال بودن BitLocker، هر بیت داده روی دستگاه با استفاده از استاندارد XTS-AES رمزگذاری می شود. با استفاده از تنظیمات Group Policy یا ابزارهای مدیریت دستگاه، میتوانید قدرت رمزگذاری را از تنظیمات پیشفرض ۱۲۸ بیتی به ۲۵۶ بیتی افزایش دهید. فعال کردن BitLocker به دستگاهی نیاز دارد که شامل یک تراشه ماژول پلتفرم قابل اعتماد (TPM) باشد. هر رایانه شخصی تجاری که در شش سال گذشته ساخته شده است باید در این زمینه واجد شرایط باشد. علاوه بر این، BitLocker به نسخه تجاری ویندوز 10 (Pro، Enterprise یا Education) نیاز دارد. نسخه Home از رمزگذاری قوی دستگاه پشتیبانی می کند، در صورتی که یک حساب مایکروسافت داشته باشید، اما اجازه مدیریت دستگاه BitLocker را ندارید.
برای مدیریت کامل، باید BitLocker را با استفاده از یک حساب Active Directory در دامنه Windows یا یک حساب Active Directory Azure راه اندازی کنید. در هر یک از پیکربندیها، کلید بازیابی در مکانی ذخیره میشود که در دسترس دامنه یا مدیر AAD است. در دستگاه مدیریت نشده ای که نسخه تجاری ویندوز 10 را اجرا می کند، می توانید از یک Local account یا حساب محلی استفاده کنید، اما برای فعال کردن رمزگذاری در درایوهای موجود باید از ابزار مدیریت BitLocker استفاده کنید.
و رمزگذاری دستگاه های ذخیره سازی قابل حمل را فراموش نکنید. درایوهای فلش USB. کارتهای MicroSD که بهعنوان فضای ذخیرهسازی توسعهیافته و هارد دیسکهای قابل حمل استفاده میشوند به راحتی از بین میروند، اما دادهها را میتوان با استفاده از BitLocker To Go که از رمز عبور برای رمزگشایی محتویات درایو استفاده میکند، از چشمان کنجکاو محافظت کرد.
مسدود کردن کدهای مخرب
همانطور که دنیا بیشتر به هم متصل شده و مهاجمان آنلاین پیچیده تر شده اند، نقش نرم افزار آنتی ویروس سنتی تغییر کرده است. نرم افزار امنیتی به جای اینکه ابزار اصلی برای جلوگیری از نصب کدهای مخرب باشد، اکنون لایه دیگری در استراتژی دفاعی در برابر حملات است. هر نصب ویندوز 10 شامل آنتی ویروس داخلی و نرم افزار ضد بدافزاری به نام Microsoft Defender Antivirus (ویندوز دیفندر سابق) است که با استفاده از مکانیزم مشابه Windows Update به روز می شود. آنتی ویروس Microsoft Defender به گونه ای طراحی شده است که قابلیت set-it-and-forget-it آن را داشته باشد و به پیکربندی دستی نیاز ندارد. اگر بسته امنیتی شخص ثالث یا third-party را نصب کنید، ویندوز حفاظت داخلی را غیرفعال می کند و به آن نرم افزار اجازه می دهد تهدیدات احتمالی را شناسایی و حذف کند.
سازمانهای بزرگی که از نسخه Windows Enterprise استفاده میکنند میتوانند Microsoft Defender Advanced Threat Protection را به کار گیرند، یک پلت فرم امنیتی که نقاط پایانی مانند رایانههای شخصی ویندوز 10 را با استفاده از حسگرهای رفتاری نظارت میکند. با استفاده از تجزیه و تحلیل مبتنی بر ابر، Microsoft Defender ATP می تواند رفتار مشکوک را شناسایی کرده و مدیران شبکه را در مورد تهدیدات احتمالی آگاه کند. برای کسب و کارهای کوچکتر، مهمترین چالش جلوگیری از رسیدن کدهای مخرب به رایانه شخصی در وهله اول است. فناوری SmartScreen مایکروسافت یکی دیگر از ویژگیهای داخلی است که دانلودها را اسکن میکند و اجرای آنهایی را که به عنوان مخرب شناخته میشوند مسدود میکند. فناوری SmartScreen همچنین برنامههای ناشناخته را مسدود میکند اما به کاربر اجازه میدهد در صورت لزوم آن تنظیمات را لغو کند.
شایان ذکر است که SmartScreen در ویندوز 10 مستقل از فناوری مبتنی بر مرورگر مانند سرویس Safe Browsing گوگل و سرویس SmartScreen Filter در Microsoft Edge کار می کند. در رایانه های شخصی بدون مدیریت یا رایانه هایی که به Domain متصل نیستند، SmartScreen یکی دیگر از ویژگی هایی است که نیازی به پیکربندی دستی ندارد. پیکربندی آن را با استفاده از تنظیمات App & Browser Control در برنامه Windows Security در ویندوز 10 می توانید تنظیم کنید. یکی دیگر از بردارهای مهم برای مدیریت کدهای مخرب، ایمیل است، که در آن پیوستهای فایلهای به ظاهر بیضرر و لینکهایی به وبسایتهای مخرب میتوانند منجر به تخریب شوند. اگرچه نرم افزار سرویس گیرنده ایمیل (Email Client Software) می تواند محافظت در این زمینه را ارائه دهد، اما مسدود کردن این تهدیدات در سطح سرور موثرترین راه برای جلوگیری از حملات به رایانه های شخصی است.
یک روش مؤثر برای جلوگیری از اجرای برنامههای ناخواسته (از جمله کدهای مخرب) توسط کاربران این است که رایانه شخصی که ویندوز 10 در آن در حال اجراست را برای اجرای هر برنامهای به جز برنامههایی که بهطور خاص مجوز میدهید، پیکربندی کنید. برای پیکربندی این تنظیمات در یک رایانه، به آدرس زیر می توانید بروید.
Settings > Apps > Apps & Features
در قسمت Installing Apps گزینه Allow Apps From The Store Only را انتخاب کنید. این تنظیم به برنامههای نصبشده قبلی اجازه اجرا میدهد، اما از نصب برنامههای دانلود شده از خارج از فروشگاه مایکروسافت (Microsoft Store) جلوگیری میکند و نیاز به تائید کار جهت نصب و اجرا دارد. در یک شبکه کامپیوتری مدیران می توانند تنظیمات نصب برنامه ها را از Group Policy کنترل نمایند
Computer Configuration > Administrative Templates > Windows Components > Windows Defender SmartScreen > Explorer > Configure App install Control
شدیدترین روش برای قفل کردن رایانه شخصی ویندوز 10 استفاده از ویژگی Assigned Access برای پیکربندی دستگاه است تا بتواند تنها یک برنامه را اجرا کند. اگر Microsoft Edge مرورگر مایکروسافت را به عنوان برنامه انتخاب کنید، میتوانید دستگاه را به گونهای پیکربندی کنید که در حالت تمام صفحه یا Full-Screen قفل شده و تنها در یک سایت یا به عنوان یک مرورگر عمومی با مجموعهای از ویژگیهای محدود اجرا شود. برای پیکربندی این ویژگی، به مسیر زیر بروید:
Settings > Family & Other Users
و روی Assigned Access کلیک کنید. در رایانه شخصی متصل به Business Accounts، این گزینه در قسمت
Settings > Other Users
کاربران قرار دارد.
شبکه سازی یا Networking
نسخه های ویندوز در 15 سال گذشته دارای یک فایروال بوده است. در ویندوز 10، این فایروال به صورت پیش فرض فعال است و برای کنترل درخواست های ورودی و خروجی به سیستم شما نیازی به اصلاح ندارد. مانند نسخه های قبلی، فایروال ویندوز 10 از سه پیکربندی سه شبکه مختلف Domain، Private و Public پشتیبانی می کند. برنامه هایی که نیاز به دسترسی به منابع شبکه دارند عموماً می توانند خود را پیکربندی اولیه کنند. برای پیکربندی تنظیمات اولیه فایروال ویندوز، از تب Firewall & Network Protection در برنامه Windows Security استفاده کنید. برای مجموعه ابزارهای پیکربندی بسیار جامع تر که مختص متخصصان است، روی Advanced Settings کلیک کنید تا فایروال قدیمی Windows Defender با کنسول Advanced Security باز شود. در شبکه های مدیریت شده، این تنظیمات را می توان از طریق ترکیبی از Group Policy و تنظیمات سمت سرور یا Server-side settings کنترل کرد.
از لحاظ امنیتی، اتصال به شبکه های بی سیم بزرگترین تهدید مبتنی بر شبکه برای رایانه های شخصی ویندوز 10 ایجاد می شود. سازمانهای بزرگ میتوانند امنیت اتصالات بیسیم را با افزودن پشتیبانی از استاندارد 802.1x، که از کنترلهای دسترسی به جای رمزهای عبور مشترک مانند شبکههای بیسیم WPA2 استفاده میکند، بهطور قابل توجهی بهبود بخشند. ویندوز 10 هنگام تلاش برای اتصال به این نوع شبکه از یک نام کاربری و رمز عبور درخواست می کند و اتصالات غیرمجاز یا unauthorized را رد می کند. در شبکه های که به صورت Domain در ویندوز پیاده سازی شده اند، می توانید از ویژگی اصلی DirectAccess استفاده کنید تا امکان دسترسی از راه دور ایمن را فراهم کنید.
برای مواقعی که نیاز به استفاده از یک شبکه بی سیم غیرقابل اعتماد دارید، بهترین جایگزین راه اندازی یک شبکه خصوصی مجازی (VPN) است. ویندوز 10 از محبوب ترین بسته های VPN مورد استفاده در شبکه های شرکتی پشتیبانی می کند. برای پیکربندی این نوع اتصال، به مسیر زیر بروید:
Settings > Network & Internet > VPN
مشاغل کوچک و افراد می توانند از بین انواع خدمات VPN-third-party سازگار با ویندوز را انتخاب کنند.