امنسازی زیرساخت (Hardening)
این بخش شامل پیادهسازی مکانیزمهای امنیتی پیشرفته برای جلوگیری از نفوذ، محدودسازی دسترسیها و محافظت از سرویسهای حیاتی دامین است.
مفاهیم پایه و دسترسیها
- رکورد SRV Resource: این رکورد (Service Record) در DNS حیاتی است؛ زیرا به کلاینتها نشان میدهد که سرور ارائهدهنده سرویسهای خاص (مثل LDAP یا Kerberos که همان DC است) دقیقاً در چه آیپی و پورتی قرار دارد.
- جلوگیری از لاگین همزمان: اکتیودایرکتوری به طور پیشفرض گزینهای برای این کار ندارد. راهحل استفاده از ابزارهای جانبی (مثل UserLock) یا نوشتن اسکریپتهای پیچیده (مثل LimitLogin) است.
- پنهان کردن OUها: اگر بخواهیم یوزری (مثل هلپدسک) برخی OUها را نبیند، روی OU راستکلیک کرده (Advanced Features باید روشن باشد)، به تب Security میرویم و پرمیشن
List object یا Read را برای او Deny میکنیم.
مدیریت دسترسی محلی (Restricted Groups)
برای اینکه گروه Help Desk را ادمین لوکال تمام کلاینتها کنیم، از Restricted Groups استفاده میکنیم. دو حالت داریم:
حالت امن (This group is a member of)
گروه هلپدسک را اضافه کرده و میگوییم "عضوِ" گروه Administrators لوکال شود. (بدون تخریب بقیه ادمینها).
حالت خطرناک (Members of this group)
گروه Administrators را انتخاب و اعضای آن را فقط هلپدسک میگذاریم. این کار Overwrite میکند و بقیه ادمینهای لوکال را پاک میکند!
پالیسیهای طلایی هاردنینگ سرور
- پیادهسازی LAPS: تغییر خودکار و رندوم رمز ادمین لوکال کلاینتها و ذخیره امن آن در AD برای جلوگیری از Lateral Movement.
- غیرفعالسازی NTLM: استفاده از پالیسی
Network security: Restrict NTLM برای اجبار به استفاده از Kerberos.
- امضای دیجیتال (SMB Signing): فعالسازی
Digitally sign communications (always) برای جلوگیری از حملات Man-in-the-Middle در فایلشیرینگ.
- تغییر نام پیشفرض: پالیسی
Rename administrator account برای خنثیسازی حملات Brute-force روی یوزرهای دیفالت.
- مسدودسازی WDigest: جلوگیری از کش شدن پسوردها به صورت Clear-text در RAM (مقابله با ابزارهایی مثل Mimikatz).
ترفندهای پیشرفته Join به دامین
مدیریت فرآیند اتصال کلاینتها به شبکه دامین یکی از وظایف مهم ادمین است که سناریوهای مختلفی دارد:
- رفع محدودیت ۱۰ کامپیوتر: یوزر عادی ذاتاً بیشتر از ۱۰ سیستم نمیتواند جوین کند (به خاطر
ms-DS-MachineAccountQuota). برای رفع آن بدون ادمین کردن شخص، روی OU راستکلیک کرده، با Delegate Control فقط پرمیشن Create Computer objects را به او میدهیم.
- جوین گروهی (Bulk Join): برای جوین همزمان ۵۰ کلاینت، از اسکریپتهای PowerShell (دستور
Add-Computer) یا سرویس WDS با فایلهای پاسخگوی Unattended XML استفاده میشود.
Search Offline Join
برای زمانی که کلاینت ارتباط شبکهای با DC ندارد (مثل DMZ):
۱. در سرور با djoin.exe /provision فایل Blob میسازیم.
۲. فایل را با فلش به کلاینت برده و با djoin.exe /requestodj آن را جوین میکنیم!
Search قابلیت Pre-stage
بهجای اینکه کلاینت خودش آبجکتش را در Computers بسازد، ادمین از قبل و دستی، آبجکت کامپیوتر را در OU دلخواه ایجاد کرده و تعیین میکند فقط فلان کاربر خاص حق دارد این سیستم را روشن و جوین کند (امنیت بسیار بالا).
پالیسیهای احراز هویت شبکه (802.x)
این پالیسیها در Security Settings هستند و برای ارتباط با سرورهای RADIUS/NPS استفاده میشوند:
802.3 (Wired): مربوط به تنظیمات امنیت و احراز هویت شبکههای کابلی (LAN).
802.11 (Wireless): مربوط به وایفای سازمانی (WLAN). مثلاً کاری میکنیم کلاینتها بدون وارد کردن رمز، از طریق سرتیفیکیت دامین به طور خودکار به وایفای وصل شوند.
معماری و اهمیت سرویس DHCP
این سرویس از نظر اهمیت نمره ۴ از ۵ میگیرد. برخلاف برخی سرویسها، نصب DHCP الزامی به عضویت سرور در دامین ندارد (اما اگر در دامین باشد، برای جلوگیری از سرورهای غیرمجاز (Rogue)، باید در AD اصطلاحاً Authorize شود).
وظایف فراتر از IP
DHCP فقط آیپی نمیدهد، بلکه پارامترهای حیاتی دیگری به نام Options (مثل Default Gateway، DNS سرور، و تایم سرور) را تزریق میکند و وظیفه اصلی آن جلوگیری از IP Conflict (آیپی تکراری) است.
مراحل دریافت آیپی (فرآیند DORA)
۱. Discover (جستجو)
کلاینت یک پیام برادکست میفرستد: "آیا سرور DHCP در شبکه هست؟"
۲. Offer (پیشنهاد)
سرورهای DHCP پیام را شنیده و یک پیشنهاد (آیپی آزاد) ارسال میکنند.
۳. Request (درخواست)
کلاینت اولین پیشنهاد را انتخاب کرده و برادکست میکند: "من پیشنهاد سرور X را پذیرفتم".
۴. Acknowledge (تایید نهایی)
سرور تاییدیه (ACK) را همراه با Options میفرستد. (اگر آیپی در این حین اشغال شده باشد NACK میدهد).
مرحله پنجم پنهان (DHCP Decline)
کلاینت قبل از ست کردن آیپی، یک بسته به نام Gratuitous ARP در شبکه میفرستد. اگر کسی به این پیام جواب دهد (یعنی آیپی دست شخص دیگری باشد)، کلاینت پیام Decline به DHCP میفرستد تا آیپی را باطل کرده و فرآیند را از اول شروع کند.
چرخه حیات آیپی (Lease Generation)
آیپی فروخته نمیشود، بلکه اجاره (Lease) داده میشود (پیشفرض مایکروسافت: ۸ روز).
تمدید اول (۵۰٪ زمان)
پس از ۴ روز، کلاینت مستقیماً (Unicast) به سرور درخواست تمدید میدهد تا تایمر صفر شود.
تمدید دوم (۸۷.۵٪ زمان)
اگر سرور در مرحله قبل جواب ندهد، در روز هفتم کلاینت برادکست میکند تا هر سرور دیگری آیپی را تمدید کند.
انقضا و APIPA
اگر ۸ روز تمام شود و سروری نباشد، آیپی رها شده و کلاینت یک آیپی 169.254.x.x (APIPA) میگیرد.
تنظیمات پیشرفته و ترفندهای DHCP
بررسی رفتار کلاینتها، مدیریت افزونگی (HA)، امنیت و سلسلهمراتب اعمال تنظیمات در سرویس DHCP.
رفتار کلاینت در شرایط خاص
- ریاستارت سیستم یا کارت شبکه: کلاینت پس از ریاستارت، فرآیند را از صفر (Discover) شروع نمیکند؛ بلکه مستقیماً پیام DHCP Request میفرستد تا همان آیپی قبلی را درخواست کند.
- پیام NACK چه زمانی صادر میشود؟ زمانی که کلاینت آیپی قبلی خود را درخواست کند اما آن آیپی دیگر معتبر نباشد (مثلاً زمان Lease تمام شده و به شخص دیگری داده شده است). سرور با پیام NACK میگوید: "این آیپی دیگر معتبر نیست، از اول Discover کن!"
- ترفند اعمال فوری آیپی رزرو شده: اگر آیپی خاصی رزرو کردهاید اما کلاینت هنوز از آیپی قبلی استفاده میکند، سریعترین راه فیزیکی، خاموش و روشن کردن پورت سوییچ (Shut/No Shut) است تا کلاینت مجبور به درخواست مجدد شود.
DHCP Authorize چیست؟
در اکتیودایرکتوری، برای جلوگیری از فعالیت سرورهای غیرمجاز (Rogue DHCP)، هر سرور DHCP عضو دامین حتماً باید توسط ادمین دامین Authorize شود، وگرنه متوقف میماند. (در شبکههای Workgroup الزامی به این کار نیست).
گروههای امنیتی در DHCP
هنگام نصب این رول، دو گروه لوکال DHCP Administrators و DHCP Users ساخته میشود. با این کار، نیروی Help Desk میتواند بدون داشتن دسترسی Domain Admin، اسکوپها را مدیریت کند.
افزونگی (HA) و سلسلهمراتب Options
مدیریت افزونگی با Subnet Delay
در شبکههای دارای چند سرور DHCP (برای High Availability)، روی سرور بکآپ مقداری تأخیر (Subnet Delay in Milliseconds) تنظیم میکنیم تا سرور اصلی همیشه زودتر به پیام Discover کلاینتها پاسخ دهد و آیپی بدهد.
آپشنهای DHCP (مثل Gateway یا DNS) در ۳ سطح اعمال میشوند:
۱. سطح Server Options
اعمال به تمام اسکوپهای سرور
۲. سطح Scope Options
اعمال فقط به رنجِ همان اسکوپ
۳. سطح DHCP Policy / Class
اعمال محدود بر اساس شرایط خاص (مثل مکآدرس)
قانون حل تضاد (Conflict Resolution)
در صورت تضاد بین سطوح بالا، تنظیماتِ محدودتر و نزدیکتر برنده است! یعنی Policy بر Scope، و Scope بر Server پیروز میشود.