متخصص و مدرس امنيت  شبكه

بررسي ويژگي‌هاي جديد امنيتي ويندوز سرور 2012

با انتشار ويندوز8  و مواجه شدن مردم با رابط كاربري جديد مترو مايكروسافت، بسياري از مردم متعجب شده و با خود مي‌گويند آیا واقعاً اين سيستم‌عامل براي من مناسب است؟ اين وضعيت در حالي است كه تغييرات مايكروسافت در سيستم‌عامل جديدش بسيار بيشتر از تغيير رابط كاربري مترو است و افرادي كه ويندوز سرور 2012 را نصب كرده باشند يا سيستم‌عامل سرور 2008 خود را به ويندوز سرور 2012 ارتقا داده‌اند، به‌خوبي اين موضوع و سطح گستردگي تغييرات را درك خواهند كرد. البته آن‌ها هم دچار ترديد مي‌شوند كه چنين محصولي براي‌شان مناسب است يا خير! در ماه ژوئن، الیور ریست از تيم نويسندگان سايت اينفوورلد به من گفت: «وقتي مايكروسافت مي‌گويد ويندوز8 يك انتشار بزرگ و اصلي است، شوخي نمي‌كند.» اين شركت در ويندوز سرور 2012 قاعده بازي را تغيير داده و در تمام بخش‌ها مانند اشتراك‌گذاري فايل‌ها (File Sharing)، شناسايي (Identity)، ذخيره‌سازي (Storage)، ساختار دسكتاپ مجازي، مجازي‌سازي سرور و كلاود، شاهد ويژگي‌ها و تغييرات جديدي هستيم. من به همه اين تغييرات مي‌خواهم پيشرفت‌هاي امنيتي ويندوز سرور 2012 را نيز اضافه كنم كه به‌‌تنهايي ممكن است عاملی براي استقبال و خريد سازمان‌ها و شركت‌ها از اين سيستم‌عامل سرور باشد. در ادامه مي‌خواهیم اين پيشرفت‌هاي امنيتي مايكروسافت در ويندوز سرور 2012 را به‌طور سريع مرور كنیم.

بوت امن با   UEFI
همانند ويندوز8، در ويندوز سرور 2012 نيز ROM-BIOS سنتي جاي خود را به استاندارد جديد صنعتي و بهبوديافته بوت موسوم به UEFI (Unified Extensible Firmware Interface) داده است. مايكروسافت در اين بوت از نسخه 2.3.1 با امنیت تقویت شده استفاده كرده است كه مانع از به‌روزرساني كدهاي بوت بدون داشتن گواهي‌نامه معتبر يا امضاي ديجيتالي مي‌شود. در ويندوز8 و ويندوز سرور 2012 براي دستكاري فرآيند بوت يا به‌روزرساني آن بايد گواهي‌نامه معتبر از مايكروسافت يا شركت‌هاي همكار آن تهيه كنيد. در حقيقت توسعه بوت ويندوز مستلزم طي كردن فرآيندهاي اعتبارسنجي و تأييد هويت است و تا قابل اعتماد نباشيد، نمي‌توانيد در كل بوت ويندوز8 تغييري ايجاد كنيد. اين فرآيند كه از آن به عنوان بوت امن نام برده مي‌شود، مي‌تواند از بسياري تهديدات و خطرات مبتني‌بر اجراي كدهاي مخرب مانند روت‌كيت‌ها و ويروس‌هاي مبتني‌بر بوت جلوگيري كند و امكان به دست گرفتن كنترل سيستم‌عامل را كاهش دهد.

رمزنگاري داده‌ها در مراكز داده با  BitLocker
ابزار BitLocker بالاخره براي سرورها قابل استفاده شد. تا قبل از عرضه ويندوز سرور 2012 براي استفاده از BitLocker در سرورها یا بايد از مود TPM(Trusted Platform Module) مبتني بر چيپ‌ست استفاده مي‌شد كه يكي از ضعيف‌ترين روش‌هاي رمزنگاري از نظر اجرايي است یا باید در هربار بوت، یکی از مدیران سیستم براي وارد كردن پين‌كد، رمزعبور يا كليدهاي USB حاضر می‌شد. همچنین، اين ابزار روي مراكز داده به‌خوبي كار نمي‌كرد. اما نسخه جديد ابزار رمزنگاري درايوهاي BitLocker كه به ويندوز سرور 2012 (و البته ويندوز8) افزوده شده است، به مديران سرور اجازه مي‌دهد تا بدون هيچ دردسري قابليت‌هاي رمزنگاري ديسك را فعال كنند. به‌طور خاص، بسياري از مديران شبكه‌ علاقه‌مند هستند از حالت محافظ شبکه (network protecter) استفاده کرده وبتوانند به‌طور خودكار ديسك‌هاي رمزنگاري شده را بازگشايي كرده و تا زمانی كه سرور به شبكه متصل است، به‌طور معمولي با اكتيو دايركتوري كار كنند. با بهبودهايي كه در نسخه جديد BitLocker صورت گرفته است، از رمزنگاري سخت‌افزاري ديسك‌ها كه تحت عناوين SED يا ED شناخته مي‌شوند، حساب‌هاي كاربري اكتيو دايركتوري و گروه‌هاي كاري محافظت شده، پشتيباني مي‌شود. همچنین، مي‌توان از رمزنگاري Cluster-Aware استفاده كرد كه اجازه مي‌دهد يك ديسك به‌طور صحيحي به حالت Failover (حالتي كه ديسك به‌طور خودكار به حالت افزونگي يا استندباي مي‌رود) برود و براي كامپيوترهاي عضو كلاستر، از حالت رمزنگاري خارج شود. با اين ويژگي‌هاي پيشرفته BitLocker، ويندوز سرور 2012 به‌راحتي مي‌تواند اقدام به رمزنگاري اطلاعات و ديسك‌ها کند.

اجراي زود هنگام  ضدبدافزار
يكي ديگر از وجه اشتراك‌هاي امنيتي ويندوز8  و ويندوز سرور 2012 در ELAM است كه اجازه مي‌دهد يك نرم‌افزار ضدبدافزار احراز هويت شده و داراي گواهي‌نامه معتبر يا امضاي ديجيتالي، خيلي سريع و بعد از بوت اوليه UEFI اجرا شود. اين روش كمك مي‌كند كه يك برنامه امنيتي سالم و مطمئن قبل از كدهاي ويروس‌ها يا بدافزارهاي ديگر به حافظه و منابع ديگر سيستم دسترسي داشته باشد و كار خود را شروع كند. تا قبل از ELAM كدهاي مخرب بدافزارها مي‌توانستند با روش زنجيره‌اي بردارها يا وقفه‌ها قبل از برنامه‌هاي ديگر اجرا شوند و كنترل سيستم‌عامل را به‌دست بگيرند و اجازه اجراي برنامه‌های ضدبدافزار را ندهند.

DNS امن
اغراق‌آميز نيست اگر بگوييم استفاده از DNS در سرورها بدون قابليت DNSSEC اصلاً امن و قابل اعتماد نيست. ابزار DNSSEC سروري را كه مي‌خواهد به يك درخواست DNS جواب بدهد، مجبور مي‌كند تا پاسخ خود را با کلیدهای دیجیتال امضا کرده و اثبات کند که مالک آن ناحیه یا Zone خاص است. در ويندوز سرور 2008 R2 و حتي قبل از آن، در ويندوز ويستا قابليت DNSSEC وجود داشت اما با سكوهايي غير از سكوي مايكروسافت قابل استفاده نبودند. در اين وضعيت چون هر سرور DNS با زنجيره‌اي از درخواست‌ها مواجه مي‌شود كه از سوي اينترنت ارسال شده‌اند و براي تمامي آن‌ها نياز به اجرا و استفاده از DNSSEC هست، نمي‌توان فقط محدود به استفاده از Microsoft DNS با قابليت امنيتي DNSSEC بود و يك مشكل اساسي به وجود خواهد آمد. در ويندوز سرور 2012 اين مشكل حل شده است و نه‌تنها DNSSEC با آخرين مستندات RFC و استانداردهاي رمزنگاري سازگاري دارد بلكه از پيكربندي بسيار ساده‌تري بهره مي‌برد. به عبارت ساده، پيكربندي DNSSEC در ويندوز سرور 2008 R2 بيشتر شبيه يك كابوس بود! به انواع دستورات خط فرمان پيچيده نياز داشت، فقط با زون‌هاي (Zone) استاتيك كار مي‌كرد و به بررسي دوباره امضاها هنگامي كه يك ركورد به‌روزرساني مي‌شد، نياز داشت. اما اكنون DNSSEC مبتني بر رابط‌گرافيكي است و با اكتيو دايركتوري مجتمع شده است كه به‌طور خودكار عمليات re-signing را انجام مي‌دهد. DNSSEC در ويندوز سرور 2012 ساده‌تر و به‌روزتر شده است و ديگر فكر نمي‌كنم دليلي براي استفاده نکردن از آن در سازمان‌ها و شركت‌ها به همراه يك يا چند سرور DNS وجود داشته باشد.

طبقه‌بندي اطلاعات
اسناد به‌طور خودكار مي‌توانند براساس محتويات يا ويژگي‌هاي اكتيو دايركتوري طبقه‌بندي شوند. اين طبقه‌بندي مي‌تواند با ويژگي‌هاي جديد طبقه‌بندي و امنيتي ويندوز سرور 2012 تركيب و يكپارچه شده و به‌صورت هوشمندانه و با آگاهي بيشتري استفاده شود. براي مثال، ابزار Management Service مي‌تواند اقدام به رمزنگاري اسنادي كند كه طبقه‌بندي يا محتويات خاصي دارند. همچنين شما مي‌توانيد كاربران و گروه‌هاي كاري را كه به اين محتويات يا طبقه‌بندي خاص دسترسي دارند، كنترل و مديريت كنيد. اين قابليت يك وضعيت شسته و رفته را در‌اختيار شما قرار مي‌دهد و يك ساختار کاملاً مشخص است.

ویندوز 8

 همون‌طور که در جریان هستید و قبلا در برنامه به‌روز هم به این موضوع اشاره کردیم، نسخه آزمایشی ویندوز 8 مدتیه که برای دسترسی عموم کاربرا روی اینترنت قرار گرفته و احتمال داده شده که نسخه نهایی این ویندوز، مهر ماه راهی بازار بشه. ما هم فعلا نگاهی به نسخه آزمایشی انداختیم تا ببینیم این ویندوز نسبت به نسخه‌های قبلی چه تغییراتی داشته.

با  همه‌گیر شدن پدیده‌ی استفاده از گوشی‌های هوشمند و تبلت‌ها، یکی از مهم‌ترین دغدغه‌های شرکت‌های فعال در دنیای تکنولوژی، حضور فعال در این حوزه و به دست گرفتن نبض این بازاره. اما مایکروسافت که غول کامپیوترای خونگی جهان به شمار می‌ره، توی این بازار موفقیت چندانی به دست نیاورده بود و هر روز داشت از رقبای خودش عقب‌تر و عقب‌تر می‌افتاد. چرا که ویندوز هفت قابلیت اجرای یکسان روی کامپیوترهای خونگی و گجت‌های کوچیک‌تر مثل اسمارت‌‎فون و تبلت رو نداشت و به همین جهت سازنده‌های کمتری برای راه‌اندازی تبلتشون سراغ اون می‌رفت.

بنابراین مایکروسافتی‌ها دور هم نشستند و دنبال راه چاره گشتند. نتیجه نهایی هم این شد که سیستم عاملی رو طراحی کنن که رابط کاربری مناسبی برای اجرای یکسان روی همه‌ی رایانه‌ها داشته باشه. یعنی علاوه بر کامپیوترای خونگی، موبایل‌ها و تبلت‌ها رو هم پوشش بده، البته با نام‌ها و مدل‌های مختلف.

ویندوز جدید مایکروسافت سه نسخه‌ی اصلی داره: ویندوز 8، ویندوز 8 Pro و ویندوز RT. اگه در حال حاضر کاربر ویندوز 7 باشید و بخواهید که اونو ارتقا بدید، فقط نسخه‌های 8 و 8 Pro به کار شما می‌آن. فرق نسخه‌ی Pro در مقایسه با نسخه‌ی معمولی اینه که نسخه‌ی Pro دارای قابلیت‌هایی مثل رمزگذاری اطلاعات، استفاده از سیستم BitLocker، ریموت دسکتاپ و مواردی شبیه به این‌هاست. البته اگه بخواهید مستقیما به نسخه‌ی Pro آپگرید کنید، باید کاربر نسخه‌ی آلتیمیت یا پروفشنال ویندوز 7 باشید.

در مورد نسخه‌های 8 و 8Pro صحبت کردیم، اما نسخه ی RT. در حقیقت نسخه RT همون چیزیه که مدت‌ها مایکروسافت وعده‌شو می‌دادم و این‌ور اون‌ور ازش زیاد خبر می‌شنیدیم.

ویندوز RT سیستم عاملیه که می‌تونه روی دستگاه‌های دارای پردازنده‌ی ARM نصب بشه. پردازنده‌های ARM، پردازنده‌هایی هستن که به دلیل مصرف پایین‌تر انرژی، عمدتا برای ساختن دستگاه‌های قابل حمل، مثل گوشی‌های هوشمند و تبلت‌ها به کار می‌رن.

وقتی در مورد تبلت و گوشی هوشمند حرف می‌زنیم، طبیعتا از یک گجت یا دستگاه با یک صفحه نمایش لمسی حرف می‌زنیم. بنابراین سیستم عاملی هم که روی چنین گجتی نصب می‌شه، باید حتما یه رابط کاربری لمسی رو در اختیار کاربر قرار بده. شاید مهم‌ترین تغییر ویندوز 8 نسبت به نسخه‌های قبلی اون، اینه که یه رابط کاربری لمسی قوی‌تری و راحتر‌تر به نام مترو براش تعریف شده. به این ترتیب برای کار کردن با نسخه‌ی جدید ویندوز، هم می‌تونید از موس و کی‌بورد استفاده کنید و هم این‌که اگه دستگاه‌تون صفحه نمایش لمسی داره، از طریق رابط کاربری مترو باهاش کار کنید. به عبارت دیگه ویندوز 8 طوری طراحی شده که هر حرکت دست روی صفحه‌ی لمسی، یک معادل کلیدی هم روی صفحه کلید یا موس داشته باشه و به این ترتیب هر کاری که با لمس کردن صفحه نمایش انجام می‌شه رو می‌تونید با استفاده از موس و کی‌بورد انجام بدین.

یکی از تغییراتی که ممکنه در وهله‌ی اول شما رو شگفت‌زده بکنه اینه که در ویندوز 8 خبری از دکمه‌ی استارت نیست. توی نسخه‌های قبلی ویندوز گوشه‌ی پایین سمت چپ صفحه یک دکمه استارت وجود داره که می‌تونید با کلیک کردن روی اون، به منوها و نرم‌افزارهای مختلف دست‌رسی داشته باشید. اما توی ویندوز هشت این دکمه به کلی ناپدید شده و به جای اون با یه رابط کاربری کاملا جدید سر و کار داریم. البته با فشردن دکمه فیزیکی استارت روی کی‌بورد، یه منوی استارت باز می‌شه که از طریق اون می‌تونیم به یک سری از نرم‌افزارها دست‌رسی داشته باشیم.

دیدیم که در ویندوز هشت با یه چیز جدید به اسم مترو سر و کار داریم. اجازه بدید بریم سراغ رابط کاربری مترو و ببینیم که این رابط چه امکاناتی رو در اختیار ما قرار می‌ده.

اولین چیزی که در برخورد با رابط کاربری مترو نظر ما رو جلب می‌کنه، قابلیت زوم این و زوم آوت کردنه. شما می‌تونین به کمک انگشتاتون مجموعه‌ی آیکون‌های روی صفحه رو بزرگ یا کوچیک کنید. زوم آوت کردن این امکان رو به شما می‌ده که به راحتی آیکون همه‌ی نرم‌افزارها رو ببنید و خیلی سریع به اون دسترسی داشته باشید یا این‌که اونا رو ساماندهی بکنید.  در این حالت می‌بینن که نرم‌افزارها هر کدوم توی دسته‌های جداگونه‌ای قرار گرفتن. شما می‌تونین هر کدوم از این دسته‌ها رو با درگ کردن به هر قسمتی که می‌خواین منتقل کنین. در حالت زوم این می‌تونین این کارو با تک تکِ نرم‌افزارا انجام بدین.

یکی دیگه از قابلیت‌های منحصر به فرد مترو، امکان درگ کردن دو تا آیکون به صورت هم‌زمانه. به کمک درگ چندگانه می‌تونین یه آیکون رو زیر یکی از انگشت‌تاتون نگه دارین و کل صفحه رو به کمک یکی دیگه از انگشتاتون، حرکت بدین و اون آیکون رو جایی بذارین که خودتون می‌خواین.

اگه با انگشت‌تون آیکون یه نرم‌‎افزار رو لمس کنید و کمی به سمت پایین بکشید، یه منو باز می‌شه که امکانات مدیریت کردن اون آیکون رو در اختیار شما می‌ذاره. این کار در واقع معادل راست کلیک کردن روی آیکون‌ها و فایل‌ها در نسخه‌های قبلی ویندوزه.

رابط مترو طوری طراحی شده که بتونه صفحه رو به دو قسمت تقسیم کنه و در هر کدوم از این قسمت‌ها امکانات خاصی رو در اختیار کاربر بذاره. مثلا می‌تونین یه قسمت رو به خوندن یه متن اختصاص بدین و توی قسمتِ دیگه‌ی صفحه نمایش‌تون، با یه نرم‌افزار دیگه کار کنین.

بستن نرم‎‌افزارهای در حال اجرا هم در این ویندوز به راحتی آب خوردنه. فقط کافیه انگشت‌تون رو از بالای صفحه نمایش به سمت پایین بکشید تا نرم‌افزارهای در حال اجرا به طور کامل بسته بشن. البته اگه کار ذخیره نشده‌ای داشته باشین، سیستم عامل مثل همیشه از شما می‌پرسه که آیا می‌خواید کارتون رو سیو کنید یا نه.

مجموعه چنین امکاناتی باعث شده که ظاهر ویندوز 8، نسبت به نسخه‌های قبلی ویندوز، تفاوت چشم‌گیری داشته باشه. حرکات لمسی رابط متروی ویندوز 8، نسبت به سیستم عامل‌های لمسی دیگه پیچیده‌تره که ممکنه در نگاه اول کار کردن با اون کمی سخت به نظر بیاد. ولی این حرکات پیچیده به همون نسبت، امکانات بهتری رو هم در اختیار کاربر قرار می‌ده. بنابراین شاید بد نباشه که خودمون رو برای این حرکات لمسی پیچیده آماده کنیم.

البته لازم نیست همیشه در حالت مترو با ویندوز 8 کار کنیم. ویندوز 8 حالت دسکتاپ هم داره که اگه دوست داشته باشین می‌تونین از این طریق باهاش کار کنین.

این حالت هم نسبت به نسخه‌های قبلی دچار تغییراتی شده. مثلا Taskbar دیگه به شکل سابق نیست و توی ویندوز جدید برای این‌که نرم‌افزاری رو به حالت فعال در بیارید، باید به گوشه‌ی سمت راست برید و یه قسمت رو پایین بکشید و نرم‌افزار مورد نظرتون رو فعال کنید.