الفصل : 9
الجزء : 2
العنوان : تصلب والأمن (Hardening and Security)
إنشاء قاعدة للسماح بالـ pings (ICMP)
غالبًا ما أجد نفسي بحاجة إلى إنشاء قاعدة للسماح أو الحظر للـ ICMP. بمعنى آخر، أحتاج كثيرًا إلى تعديل الجدار الناري على الخوادم لتمكين أو تعطيل قدرتها على الرد على طلبات ping. ربما لاحظت مع أنظمة التشغيل الأحدث أن الجدار الناري يعيق تلقائيًا الـ pings (ICMP) بشكل افتراضي.
هذه مشكلة في البيئات التي يكون فيها ping هو الطريقة القياسية لاختبار ما إذا كان عنوان IP مستهلكًا أم متاحًا. قد تضحك، لكن صدقني، لا يزال هناك الكثير من مديري تكنولوجيا المعلومات الذين لا يحتفظون بسجل لعناوين IP التي استخدموها داخل شبكاتهم، وعندما يواجهون حاجة إلى إعداد خادم جديد وتحديد عنوان IP لإعطائه، يبدأون ببساطة في pinging عناوين IP في شبكتهم حتى يجدوا واحدًا ينتهي وقته! لقد رأيت هذا كثيرًا. في حين أن هذه ليست طريقة جيدة لإدارة عناوين IP، فإنها تحدث. لسوء الحظ، تواجه هذه الطريقة مشاكل كبيرة، لأن معظم تثبيتات Windows الجديدة مصممة لحظر استجابات ICMP افتراضيًا، مما يعني أنك قد تقوم بعمل ping لعنوان IP وتحصل على انتهاء الوقت، ولكن قد يكون هناك بالفعل خادم آخر أو جهاز كمبيوتر يعمل على ذلك العنوان.
إذن، إلى النقطة الرئيسية. قد تحتاج إلى تمكين ICMP على خادمك الجديد، حتى يستجيب عندما يحاول شخص ما بعمل ping. عندما نحتاج إلى إنشاء قاعدة جديدة تسمح بالـ pings، نقوم بإعداد قاعدة تمامًا كما فعلنا مع RDP، ولكن هناك مشكلة كبيرة. في تلك الشاشة الأولى لإنشاء القاعدة، حيث يجب عليك تحديد نوع القاعدة التي تنشئها، لا توجد خيارات أو تعريفات مسبقة للـ ICMP. أجد هذا غريبًا لأن هذه قاعدة شائعة جدًا لوضعها، ولكن للأسف، اختيار ICMP من القائمة المنسدلة سيكون سهلًا جدًا. بدلاً من ذلك، ما تحتاج إلى فعله هو إنشاء قاعدة جديدة للوارد تمامًا كما فعلنا مع RDP، ولكن في الشاشة الأولى لنوع القاعدة، تأكد من تحديد الخيار الذي يقول Custom.
بعد ذلك، اترك الخيار محددًا لتحديد هذه القاعدة لجميع البرامج. انقر على التالي مرة أخرى، وستجد الآن صندوقًا منسدلًا يسمى نوع البروتوكول. هذه هي القائمة التي يمكنك من خلالها اختيار قاعدتك الجديدة لمعالجة حركة مرور ICMP. كما ترى في الصورة 9.15، يمكنك اختيار ICMPv4 أو ICMPv6، اعتمادًا على شكل حركة المرور الشبكية الخاصة بك. مختبري التجريبي هو IPv4 فقط، لذا سأختار ICMPv4:
لبقية عملية إنشاء قاعدة ICMP، اتبع نفس الإجراءات التي تم توضيحها عند إنشاء قاعدة RDP، واختيار السماح أو حظر هذه الحركة، ولأي ملفات تعريف جدار الحماية. بمجرد الانتهاء، يتم تنفيذ قاعدة ICMPv4 الجديدة الخاصة بك فورًا، وإذا كنت قد قمت بتكوين قاعدة السماح، فسيتم الآن استجابة خادمك الجديد لطلبات ping بنجاح:
إذا كنت بحاجة في أي وقت إلى تعديل قاعدة أو الدخول في خصائص متقدمة أكثر لقاعدة الجدار الناري، في شاشة قواعد الوارد يمكنك النقر بزر الماوس الأيمن على أي قاعدة جدار ناري فردية والدخول إلى الخصائص. داخل هذه التبويبات توجد فرصة لتعديل أي معايير حول القاعدة. على سبيل المثال، يمكنك تكييف منافذ إضافية، يمكنك تعديل أي ملفات تعريف الجدار الناري التي تنطبق عليها، أو يمكنك حتى تقييد عناوين IP المحددة التي تنطبق عليها هذه القاعدة من خلال استخدام تبويب النطاق Scope.
هذا يمكنك من تطبيق قاعدة الجدار الناري الخاصة بك فقط على حركة المرور القادمة أو الذهاب من جزء محدد من شبكتك، أو مجموعة معينة من الأجهزة. على سبيل المثال، هنا قمت بتعديل تبويب النطاق الخاص بي ليعكس أنني أريد فقط أن تنطبق هذه القاعدة الجدار الناري على حركة المرور القادمة من الشبكة الفرعية 192.168.0.0/16:
إدارة WFAS باستخدام Group Policy
إدارة قواعد الجدار الناري على خوادمك وأجهزتك يمكن أن تكون خطوة كبيرة نحو بيئة أكثر أمانًا لشركتك. الجزء الأفضل؟ هذه التقنية على مستوى المؤسسة ومجانية للاستخدام لأنها مدمجة بالفعل في أنظمة التشغيل التي تستخدمها. التكلفة الوحيدة المرتبطة بالجدار الناري على هذا المستوى هي الوقت الذي يستغرقه وضع كل هذه القواعد، وهو كابوس إداري إذا كان عليك تنفيذ قائمة السماح والحظر بأكملها على كل جهاز بشكل فردي.
شكرًا لله على Group Policy. كما هو الحال مع معظم الإعدادات والوظائف داخل منصة Microsoft Windows، فإن إعداد سياسة جدار ناري تنطبق على الجميع هو أمر سهل لأجهزتك المتصلة بالمجال. يمكنك حتى تقسيمها إلى مجموعات متعددة من السياسات، وإنشاء GPO واحد ينطبق على قواعد الجدار الناري لأجهزتك وGPO منفصل ينطبق على قواعد الجدار الناري لخوادمك، حسبما ترى مناسبًا. النقطة هي أنك يمكنك تجميع العديد من الأجهزة في فئات، وإنشاء مجموعة قواعد GPO لكل فئة، وتطبيقها تلقائيًا على كل جهاز باستخدام قدرات التوزيع القوية لـ Group Policy.
أنت بالفعل مألوف بإنشاء GPOs، لذا تقدم وأنشئ واحدًا الآن يحتوي على بعض إعدادات الجدار الناري للعب بها. قم بربط وتصفية GPO وفقًا لذلك حتى تحصل فقط الأجهزة التي تريدها على الإعدادات. ربما يكون مكانًا جيدًا للبدء هو OU للاختبار، حتى تتمكن من التأكد من أن جميع القواعد التي ستضعها داخل GPO تعمل جيدًا معًا ومع جميع السياسات الموجودة الأخرى، قبل طرح السياسة الجديدة على العاملين لديك.
بمجرد إنشاء GPO الجديد، انقر بزر الماوس الأيمن عليه من داخل Group Policy Management Console وانقر على تحرير...:
الآن بعد أن نظرنا داخل هذا GPO الجديد، نحتاج فقط إلى معرفة المكان الصحيح لإنشاء بعض قواعد الجدار الناري الجديدة. عند النظر داخل القواعد على الجهاز المحلي نفسه، كل شيء مدرج تحت عنوان Windows Defender Firewall with Advanced Security، وهو موجود في
Computer Configuration | Policies | Windows Settings | Security Settings | Windows Defender Firewall with Advanced Security | Windows Defender Firewall with Advanced Security:
كما ترى، هذا هو المكان أيضًا الذي يجب الذهاب إليه عندما تريد التأكد من أن ملفات تعريف الجدار الناري المحددة، أو Windows Firewall ككل، يتم تشغيلها أو إيقافها بشكل محدد. لذلك، هذا هو نفس المكان الذي تذهب إليه إذا كنت تريد تعطيل Windows Firewall للجميع.
من خلال النقر على رابط خصائص Windows Defender Firewall الموضح في الشكل 9.19، يمكنك تحديد حالة كل ملف تعريف جدار ناري على حدة.
بمجرد الانتهاء من ضبط ملفات التعريف الخاصة بك وفقًا لاحتياجاتك، انقر على "موافق" وستجد نفسك مرة أخرى في جزء WFAS من GPO. تمامًا مثل داخل وحدة تحكم WFAS المحلية، لديك فئات لقواعد الوارد والصادر. ببساطة انقر بزر الماوس الأيمن على "قواعد الوارد" ثم انقر على "قاعدة جديدة..." لبدء إنشاء قاعدة جديدة داخل هذا الـGPO. اتبع نفس المعالج الذي أنت بالفعل مألوف به من إنشاء قاعدة في وحدة التحكم المحلية WFAS، وعندما تنتهي، ستظهر قاعدة الجدار الناري الجديدة الخاصة بك داخل الـGPO:
تقنيات التشفير
إن فكرة التشفير قد أخذت خطوة سريعة من شيء تلعب به المنظمات الكبيرة إلى شيء يحتاجه الجميع. معظمنا كان يقوم بتشفير حركة مرور مواقع الويب الخاصة بنا لسنوات عديدة باستخدام مواقع HTTPS، ولكن حتى في هذا المجال، هناك استثناءات مفاجئة، مع الكثير من شركات استضافة الويب الرخيصة التي لا تزال تقدم صفحات تسجيل الدخول التي تنقل حركة المرور بنص عادي. هذا أمر فظيع، لأنه مع أي شيء ترسله عبر الإنترنت الآن باستخدام HTTP العادي أو بريد إلكتروني غير مشفر، عليك أن تفترض أنه يتم قراءته من قبل شخص آخر. هناك احتمال أن تكون مهووسًا بالأمان ولا أحد يلتقط ويقرأ حركة مرورك بالفعل، ولكنك تحتاج إلى معرفة أنه إذا كنت تدخل موقع ويب يقول HTTP في شريط العناوين، أو إذا كنت ترسل بريدًا إلكترونيًا من أي من خدمات البريد الإلكتروني المجانية، فإن أي بيانات يتم إدخالها في صفحة الويب أو في هذا البريد الإلكتروني يمكن أن تُسرق بسهولة من قبل شخص ما في نصف العالم الآخر. التشفير ضروري تمامًا للمعلومات الشركة التي تحتاج إلى الانتقال عبر الإنترنت؛ على الرغم من أنني أقول ذلك، فإن الجزء الخلفي من ذهني يخبرني أن الغالبية العظمى من الشركات لا تزال لا تستخدم أي نوع من تقنيات التشفير على نظام البريد الإلكتروني الخاص بها، وبالتالي فإن ذلك لا يزال كارثة محتملة تنتظر الحدوث للعديد من الشركات.
بينما نحن نتحسن أكثر فأكثر في حماية متصفح الإنترنت وحركة مرور الويب، فإننا لا نولي تقليديًا الكثير من الاهتمام للبيانات التي "آمنة" داخل جدران مؤسستنا. الأشرار ليسوا أغبياء، ولديهم صندوق أدوات كبير من الحيل الاجتماعية لاختراق شبكاتنا. بمجرد دخولهم، ماذا يجدون؟ في معظم الحالات، إنها غنيمة كبيرة. احصل على حساب مستخدم واحد أو كمبيوتر واحد ولديك مفاتيح لجزء كبير من المملكة. لحسن الحظ، هناك العديد من التقنيات المضمنة في Windows Server 2022 التي صُممت لمكافحة هذه الاختراقات وحماية بياناتك حتى وهي جالسة داخل جدران مركز بياناتك. دعونا نلقي نظرة على بعض المعلومات عنها حتى تتمكن من استكشاف إمكانية استخدام هذه التقنيات التشفيرية لحماية بياناتك بشكل أكبر.
ال BitLocker والـTPM الافتراضي
ال BitLocker هي تقنية أصبحت مألوفة على أنظمتنا العميلة داخل الشبكات الشركة. إنها تقنية تشفير القرص الكامل، مما يمنحنا ميزة التأكد من حماية بياناتنا بالكامل على أجهزة الكمبيوتر المحمولة أو الكمبيوترات التي قد تُسرق. إذا حصل لص على جهاز كمبيوتر محمول من الشركة، وسحب القرص الصلب ووصلّه بجهاز الكمبيوتر الخاص به... عذرًا، يا شارلي، لا يمكن الوصول. يتم تشفير كل الحجم. هذا منطقي تمامًا للأجهزة المحمولة التي يمكن فقدانها أو سرقتها بسهولة. لكن في المراحل الأولى من هذه التقنية، لم يكن هناك اعتبار حقيقي لاستخدام BitLocker لحماية خوادمنا.
مع التبني المتزايد لموارد الحوسبة السحابية، يصبح من المنطقي بشكل كبير استخدام BitLocker على خوادمنا. وأكثر من ذلك عندما نتحدث عن السحابة، ما نريده حقًا هو BitLocker على Virtual Machines (VMs)، سواء كانت أنظمة تشغيل العميل أو الخادم. سواء كنت تخزن VMs في بيئة سحابية حقيقية مقدمة من مقدم خدمة سحابة عامة أو تستضيف سحابتك الخاصة حيث يصل المستأجرون لإنشاء وإدارة VMs الخاصة بهم، بدون إمكانية تشفير تلك الأقراص الصلبة الافتراضية – ملفات VHD وVHDX – فإن بياناتك ليست آمنة على الإطلاق.
لماذا؟ لأن أي شخص لديه حقوق إدارية على منصة استضافة الافتراضية يمكنه بسهولة الوصول إلى أي بيانات موجودة على الأقراص الصلبة لخادمك، حتى بدون أي نوع من الوصول إلى شبكتك أو حساب المستخدم الخاص بك على نطاقك. كل ما عليه فعله هو أخذ نسخة من ملف VHDX الخاص بك (المحتويات الكاملة للقرص الصلب لخادمك)، نسخه إلى ذاكرة USB، إحضاره إلى المنزل، تركيب هذا القرص الصلب الافتراضي على نظامه الخاص، وهكذا – لديهم وصول إلى القرص الصلب لخادمك وبياناتك. هذه مشكلة كبيرة بالنسبة للامتثال لأمان البيانات.
لماذا لم يكن من الممكن تاريخيًا تشفير VMs؟ لأن BitLocker يأتي بمتطلب مثير للاهتمام. يتم تشفير القرص الصلب، مما يعني أنه لا يمكنه الإقلاع بدون فك تشفير التشفير. كيف يمكننا فك تشفير القرص الصلب حتى تتمكن آلتنا من الإقلاع؟ هناك طريقتان. الطريقة الأفضل هي تخزين مفاتيح فك التشفير داخل Trusted Platform Module (TPM). هذه شريحة مادية مدمجة في معظم أجهزة الكمبيوتر التي تشتريها اليوم. تخزين مفتاح فك تشفير BitLocker على هذه الشريحة يعني أنك لا تحتاج إلى توصيل أي شيء ماديًا بجهاز الكمبيوتر الخاص بك لجعله يقلع، ببساطة تدخل رمزًا للوصول إلى TPM، ثم يقوم TPM بفك تشفير BitLocker. من ناحية أخرى، إذا اخترت نشر BitLocker بدون وجود TPM، لفك تشفير حجم BitLocker وجعله قابلًا للإقلاع، تحتاج إلى توصيل ذاكرة USB مادية تحتوي على مفاتيح فك التشفير لـ BitLocker. هل ترى المشكلة في أي من طريقتي التثبيت هاتين في سيناريو VM؟ لا يمكن لـ VMs أن تحتوي على شريحة TPM مادية، وليس لديك أيضًا طريقة سهلة لتوصيل ذاكرة USB! إذن، كيف يمكننا تشفير تلك VMs حتى لا تتمكن الأعين المتطفلة في شركة الاستضافة السحابية من رؤية جميع معلوماتنا؟
الحل هو virtual TPM. هذه القدرة جاءت إلينا جديدة تمامًا في Windows Server 2016؛ لدينا الآن القدرة على منح الخوادم الافتراضية TPM افتراضي يمكن استخدامه لتخزين هذه المفاتيح! هذه أخبار مذهلة وتعني أننا يمكننا أخيرًا تشفير خوادمنا، سواء كانت مستضافة على خوادم Hyper-V المادية في مركز بياناتنا أو في سحابة Azure.
الVMs المحمية
استخدام BitLocker و virtual TPMs لتشفير وحماية ملفات الأقراص الصلبة الافتراضية ينتج شيئًا يسمى VMs المحمية. تم تقديم هذه القدرة لأول مرة في Windows Server 2016 وتم تحسينها بشكل كبير في Server 2019. مع تركيز مايكروسوفت المعاد توجيهه نحو استضافة السحابة والخوادم المدعومة من Azure، فمن المحتمل أن مايكروسوفت لن تضيف تطويرات أو قدرات إضافية لـ VMs المحمية الموجودة محليًا في المستقبل، لكنها لا تزال موجودة في Server 2022 وتظل مدعومة بالكامل. سنغطي المزيد من التفاصيل حول VMs المحمية في الفصل 14، Hyper-V.
الشبكات الافتراضية المشفرة
ألن يكون رائعًا إذا استطعنا تكوين وإدارة والتحكم في شبكاتنا من واجهة إدارية رسومية، بدلاً من النظر إلى واجهات سطر الأوامر الخاصة بالموجهات طوال اليوم؟ ألا نستفيد من المرونة الشبكية لنقل الخوادم وأعباء العمل من شبكة فرعية إلى أخرى، دون الحاجة إلى تغيير العنونة أو التوجيه على تلك الخوادم؟ ألا يمكننا أن نجد طريقة لتشفير كل حركة المرور التي تتدفق بين خوادمنا تلقائيًا، دون الحاجة إلى تكوين هذا التشفير على الخوادم نفسها؟
نعم، نعم، ونعم! من خلال استخدام الشبكات المعرفة بالبرمجيات (SDN) وقدرة جديدة تُسمى الشبكات الافتراضية المشفرة، يمكننا تحقيق كل هذه الأمور. هذا القسم من النص هو حقًا مجرد نقطة مرجعية، مكان لتوجيهك نحو الفصل السابع، الشبكات مع Windows Server 2022، إذا قفزت فوقه ووصلت إلى هنا بدلاً من ذلك. لقد ناقشنا بالفعل SDN وقدرته الجديدة على إنشاء وتشفير الشبكات الافتراضية تلقائيًا التي تتدفق بين أجهزة Hyper-V VMs وخوادم Hyper-V المضيفة، لذا إذا أثارت هذه الفكرة اهتمامك، تأكد من العودة وإعادة زيارة ذلك الفصل.
نظام الملفات المشفر (Encrypting File System)
نظام الملفات المشفر Encrypting File System (EFS) هو مكون من مكونات Microsoft Windows الذي كان موجودًا على أنظمة التشغيل العميلة والخوادم لسنوات عديدة. بينما يكون BitLocker مسؤولاً عن تأمين حجم أو قرص كامل، يكون EFS أكثر تحديدًا بعض الشيء. عندما تريد تشفير مستندات أو مجلدات معينة فقط، فإن هذا هو المكان الذي تلجأ إليه. عندما تختار تشفير الملفات باستخدام EFS، من المهم أن تفهم أن Windows يحتاج إلى استخدام شهادة مستخدم كجزء من عملية التشفير/فك التشفير، وبالتالي فإن توافر PKI داخلي هو المفتاح لنشر ناجح. أيضًا من المهم ملاحظة أن مفاتيح المصادقة مرتبطة بكلمة مرور المستخدم، لذا فإن حساب المستخدم المخترق بالكامل يمكن أن يبطل الفوائد التي يوفرها EFS.
ال IPsec
الكثير من تقنيات التشفير المدمجة في أنظمة التشغيل تدور حول حماية البيانات أثناء التخزين. لكن ماذا عن بياناتنا أثناء الانتقال؟ تحدثنا عن استخدام SSL على مواقع HTTPS كطريقة لتشفير بيانات المتصفح التي تنتقل عبر الإنترنت، ولكن ماذا عن البيانات التي لا تتدفق عبر متصفح الويب؟ وماذا إذا لم أكن مهتمًا بالإنترنت؛ ماذا لو كنت مهتمًا بحماية الحركة التي قد تنتقل من نقطة إلى نقطة داخل شبكتي الخاصة؟ هل هناك شيء يمكن أن يساعد في هذه الأنواع من المتطلبات؟ بالتأكيد.
ال IPsec هو مجموعة من البروتوكولات التي يمكن استخدامها للمصادقة وتشفير الحزم التي تحدث أثناء الاتصال الشبكي. IPsec ليس تقنية خاصة بعالم مايكروسوفت، ولكن هناك طرقًا مختلفة في Windows Server 2022 يمكن استخدامها لـ IPsec من أجل تأمين البيانات التي تنتقل بين الأجهزة.
المكان الأكثر شيوعًا الذي يظهر فيه تفاعل IPsec على Windows Server هو عند استخدام Remote Access (RA) role. عند تكوين VPN على خادم RA الخاص بك، سيكون لديك عدد من بروتوكولات الاتصال المختلفة التي يمكن لعملاء VPN استخدامها للاتصال بخادم VPN. مشمولة في هذه القائمة من منصات الاتصال المحتملة هي IPsec (IKEv2) tunnels. التقنية الثانية للوصول عن بعد التي تستخدم IPsec هي DirectAccess.
عند إنشاء DirectAccess في شبكتك، في كل مرة يقوم فيها جهاز العميل بإنشاء نفق DirectAccess عبر الإنترنت إلى خادم DirectAccess، يكون هذا النفق محميًا بواسطة IPsec. لحسن الحظ، فإن Remote Access Management Console التي تستخدمها لنشر كل من VPN وDirectAccess ذكية بما يكفي لمعرفة كل ما هو مطلوب لجعل المصادقة والتشفير عبر IPsec يعملان، ولا تحتاج إلى معرفة شيء واحد عن IPsec لجعل هذه التقنيات تعمل من أجلك!
العامل الكبير المفقود مع IPsec المقدم من دور Remote Access هو الحركة داخل شبكتك. عندما تتحدث عن VPN أو DirectAccess، فأنت تتحدث عن حركة تنتقل عبر الإنترنت. ولكن ماذا لو كنت ترغب ببساطة في تشفير الحركة التي تنتقل بين خادمين مختلفين داخل نفس الشبكة؟ أو الحركة التي تنتقل من أجهزة الكمبيوتر العميلة داخل المكتب إلى الخوادم المحلية الخاصة بهم، الموجودة أيضًا في المكتب؟ هنا تأتي فائدة بعض المعرفة بإعدادات سياسة IPsec لأننا يمكننا تحديد أننا نريد أن تكون الحركة المنتقلة داخل شبكاتنا المحمية مشفرة باستخدام IPsec. تحقيق ذلك يتطلب وضع السياسات الصحيحة في مكانها.
تكوين IPsec
هناك مكانان مختلفان يمكن تكوين إعدادات IPsec فيهما في بيئة Microsoft Windows. يمكن تزويد الأنظمة الحالية والقديمة جدًا بتكوينات IPsec من خلال الأداة التقليدية IPsec Security Policy snap-in. إذا كنت تدير جميع الأنظمة التي تعمل بنظام Windows 7 وServer 2008 أو الأحدث (ونأمل أن تكون كذلك!)، فيمكنك بدلاً من ذلك استخدام WFAS لإعداد سياسات IPsec الخاصة بك. WFAS هو الحل الأكثر مرونة ولكنه ليس دائمًا خيارًا بناءً على حالة الأنظمة القديمة في بيئتك.
أولاً، دعونا نلقي نظرة على وحدة التحكم في سياسة IPsec القديمة. سنبدأ هنا لأن الخيارات المختلفة المتاحة ستساعد في بناء أساس لنا لفهم كيفية عمل تفاعل IPsec بين نقطتين نهائيتين. هناك ثلاثة تصنيفات مختلفة لسياسة IPsec التي يمكن تعيينها لأجهزتك والتي سنواجهها في هذه الوحدة. دعونا نأخذ دقيقة لشرح كل منها، لأن أسماء السياسات يمكن أن تكون مضللة بعض الشيء. فهم هذه الخيارات سيجعلك في خطوة متقدمة لفهم كيفية عمل الإعدادات داخل WFAS أيضًا.
سياسة الخادم (Server policy)
سياسة الخادم يجب أن تعاد تسميتها على الأرجح إلى سياسة الطالب لأنها هذا ما تفعله حقًا. عندما يقوم جهاز كمبيوتر أو خادم بإجراء طلب شبكة صادر إلى جهاز كمبيوتر أو خادم آخر، فإنه يطلب إنشاء اتصال شبكي. على هذه الأجهزة الطالبة – تلك التي تبدأ الحركة – هنا نخبر سياسة خادم IPsec بالتطبيق. بمجرد التطبيق، تخبر سياسة الخادم هذا الكمبيوتر أو الخادم بطلب تشفير IPsec لجلسة الاتصال بين الجهاز البادئ والكمبيوتر البعيد. إذا كان النظام البعيد يدعم IPsec، يتم إنشاء نفق IPsec لحماية الحركة بين الجهازين. سياسة الخادم متساهلة للغاية، وإذا كان الكمبيوتر البعيد لا يدعم IPsec، فإن الاتصال الشبكي يظل ناجحًا ولكن يظل غير مشفر.
سياسة الخادم الآمنة
الفرق هنا هو أن سياسة الخادم الآمنة تتطلب تشفير IPsec للسماح بحدوث الاتصال الشبكي. سياسة الخادم العادية التي تحدثنا عنها سابقًا ستشفر بـ IPsec عند الإمكان، ولكن إذا لم يكن ذلك ممكنًا، فإنها ستستمر في تدفق الحركة غير المشفرة. سياسة الخادم الآمنة، من ناحية أخرى، ستفشل في إنشاء الاتصال على الإطلاق إذا لم يكن بالإمكان التفاوض على IPsec بين الجهازين.
سياسة العميل
سياسة العميل تحتاج إلى أن تُعاد تسميتها إلى سياسة المستجيب، لأن هذه تكون على الطرف الآخر من الاتصال. سياسة العميل لا تهتم بطلب جلسة IPsec؛ إنها تهتم فقط باستقبالها. عندما يقوم جهاز كمبيوتر بطلب شبكة إلى خادم، ولدى هذا الكمبيوتر سياسة الخادم أو سياسة الخادم الآمنة لذلك فإنه يطلب IPsec، فإن الخادم الذي يحاول ذلك الكمبيوتر الاتصال به سيحتاج إلى أن تكون سياسة العميل معينة له لقبول وبناء نفق IPsec. سياسة العميل تستجيب بالسماح بحدوث التشفير على تلك الجلسة.
ال IPsec Security Policy snap-in
وحدة التحكم الأصلية للتلاعب بإعدادات IPsec يمكن الوصول إليها عبر MMC. افتح ذلك، وأضف IP Security Policy Management snap-in. ومن المثير للاهتمام، عند إضافة هذه الأداة، ستلاحظ أنه يمكنك عرض إما سياسة IPsec المحلية للجهاز الذي تسجل الدخول إليه حاليًا، أو يمكنك فتح سياسة IPsec للنطاق. إذا كنت مهتمًا بتكوين تنفيذ IPsec على مستوى النطاق، فسيكون هذا هو المكان الذي تهبط فيه للعمل على تلك الإعدادات. ولكن لأغراض مجرد إلقاء نظرة هنا للتفقد قليلاً، يمكنك اختيار الكمبيوتر المحلي لإلقاء نظرة على وحدة التحكم:
بمجرد الدخول، يمكنك رؤية أي سياسات IPsec موجودة قد تكون في المكان، أو يمكنك البدء في إنشاء سياساتك الخاصة باستخدام إجراء Create IP Security Policy... المتاح عند النقر بزر الماوس الأيمن على IP Security Policies. سيتبع ذلك معالج يقوم بإرشادك خلال تكوين سياسة IPsec الخاصة بك:
استخدام WFAS بدلاً من ذلك
المنصة الأحدث المستخدمة لإنشاء قواعد الاتصال بـ IPsec هي WFAS. افتح ذلك، كما أنك بالفعل على دراية بكيفية القيام بذلك. بمجرد الدخول، انتقل إلى قسم Connection Security Rules، المدرج فورًا تحت Inbound Rules وOutbound Rules. Connection Security Rules هو المكان الذي تقوم فيه بتعريف قواعد الاتصال بـ IPsec. إذا قمت بالنقر بزر الماوس الأيمن على Connection Security Rules واخترت New Rule...، ستمر عبر معالج مشابه لإنشاء قاعدة جدار الحماية:
بمجرد الدخول في المعالج لإنشاء القاعدة الجديدة الخاصة بك، ستبدأ في رؤية أن الخيارات المتاحة لك مختلفة تمامًا عن تلك المعروضة عند إنشاء قاعدة جدار الحماية الجديدة. هذه هي المنصة التي ستنشئ منها قواعد أمان اتصال IPsec، التي تحدد كيفية ظهور أنفاق IPsec وعلى أي أجهزة أو عناوين IP تحتاج إلى أن تكون نشطة:
ليس لدينا مساحة هنا لتغطية جميع الخيارات المتاحة في هذا المعالج، لكنني أوصي بالتأكيد بمتابعة ذلك وأخذ خطوة إضافية مع المقال التالي من Microsoft Docs: [Microsoft Docs](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server2012-R2-and-2012/hh831807(v=ws.11)).
حماية كلمة المرور في Azure AD
إذا كنت عميلاً لـ Azure Active Directory، فإنك بالفعل لديك إمكانية الوصول إلى هذه الوظيفة الجديدة المسماة Azure Active Directory Password Protection، والتي كانت تعرف سابقًا بـ banned passwords. الفكرة هي كالتالي: تحافظ مايكروسوفت على قائمة عالمية مستمرة من كلمات المرور السيئة الشائعة (مثل كلمة password) وتحظر تلقائيًا جميع الأشكال المختلفة لهذه الكلمة، مثل P@ssword، Password123، وهكذا. أي من هذه الكلمات المحتملة سيتم حظرها تمامًا إذا حاول مستخدم ما إنشاء واحدة منها ككلمة المرور الخاصة به. لديك أيضًا القدرة على إضافة كلمات المرور المحظورة الخاصة بك داخل واجهة Azure Active Directory. بمجرد أن تكون كلمات المرور المحظورة مفعلة في Azure، يمكن بعد ذلك نقل هذه القدرة إلى بيئة Active Directory المحلية الخاصة بك أيضًا، من خلال تنفيذ خدمة الوكيل Azure Active Directory Password Protection proxy service (وهي عبارة طويلة).
يعمل هذا الوكيل كعامل يتم تثبيته على خوادم Domain Controller المحلية الخاصة بك ويسحب سياسات كلمة المرور من Azure Active Directory، مما يضمن أن جميع كلمات المرور التي يحاول المستخدمون وضعها على وحدات تحكم النطاق المحلية الخاصة بك تتوافق مع القواعد التي تحددها خوارزميات كلمات المرور المحظورة في Azure. لاستخدام هذه التقنية، يجب بالطبع استخدام Azure Active Directory، لذا فإن هذا ليس للجميع. ومع ذلك، إذا كنت تمتلك وتزامن مع Azure Active Directory، فإن هذه القدرة يمكن أن تكون متاحة حتى للإصدارات القديمة من وحدات تحكم النطاق المحلية. يمكن أن تكون هذه الخوادم قديمة مثل Windows Server 2012. هنا رابط لمزيد من المعلومات حول Azure AD Password Protection for AD DS: [Microsoft Docs](https://docs.microsoft.com/en-us/azure/active-directory/authentication/concept-password-ban-bad-onpremises).
سياسة كلمة المرور الدقيقة
كما وعدنا في وقت سابق خلال مناقشة سياسة كلمة المرور على مستوى النطاق، نحن هنا لشرح بناء سياسة كلمة مرور دقيقة. تتطلب معظم المؤسسات تعقيد كلمة مرور محدد لمستخدميها، ولكن دائمًا تقريبًا عبر سياسة النطاق الافتراضية GPO، مما يعني أن تعقيد كلمة المرور وإعدادات انتهاء الصلاحية هي نفسها تمامًا للجميع داخل النطاق.
ماذا لو كانت لديك متطلبات لتمكين التعقيد لبعض حسابات المستخدمين ولكن ليس للآخرين؟ ربما لديك موظفي مبيعات يسافرون باستمرار ويكون من المنطقي جدًا لهم استخدام كلمات مرور قوية ومعقدة. ولكن لنفترض أيضًا أن لديك ورشة ميكانيكية حيث يجب على المستخدمين تسجيل الدخول إلى أجهزة الكمبيوتر كل يوم، ولكن تلك الأجهزة لا تترك المكتب أبدًا ولا يقوم المستخدمون بإدخال بيانات اعتمادهم في أي أنظمة أخرى بخلاف تلك الأجهزة المادية الآمنة.
هل من الضروري حقًا أن يكون لدى مستخدمي ورشة العمل نفس مستوى تعقيد كلمة المرور مثل موظفي المبيعات المتنقلين؟ هل يجب عليهم أيضًا تحديث كلمات مرورهم كل 30 يومًا لمجرد أنك تطلب ذلك من موظفي المبيعات؟
بدءًا من Windows Server 2012، قم بتسجيل الدخول إلى أي خادم Domain Controller وأطلق Server Manager، وفي أعلى قائمة الأدوات الخاصة بك، سترى شيئًا يسمى Active Directory Administrative Center (ADAC). يمكن استخدام أداة ADAC هذه للتلاعب بالعديد من الأشياء داخل Active Directory، ولكن الأهم بالنسبة لأغراضنا اليوم، هذه الأداة الجديدة هي الآلية التي تمكنك من إنشاء سياسة كلمة مرور دقيقة (FGPP). تمكّن FGPP السيناريو الذي أشرنا إليه في الفقرة السابقة، القدرة على إنشاء سياسات كلمة مرور متعددة وتعيين تلك السياسات لفئات مختلفة من المستخدمين وحسابات المستخدمين.
قم بتسجيل الدخول إلى وحدة تحكم النطاق كمسؤول نطاق وافتح ADAC. في جزء التنقل الأيسر، قم بتوسيع اسم نطاقك الداخلي، ثم System | Password Settings Container. في بيئة مختبري، أنا أنقر على contoso (local) | System | Password Settings Container. حاليًا، الحاوية الخاصة بإعدادات كلمة المرور فارغة، ولكن باستخدام المهمة New | Password Settings ستبدأ الأمور:
شاشة إعدادات كلمة المرور واضحة إلى حد ما. هنا تقوم بتحديد نفس أنواع تعقيد كلمة المرور، الطول، ومعايير انتهاء الصلاحية التي تقوم بتكوينها عادةً داخل سياسة النطاق الافتراضية GPO. يمكنك رؤية في الشكل 9.27 أنني قد أنشأت سياسة إعدادات كلمة مرور تسمى Sales Users، مع عدد من المعايير المحددة.
تمكنت من تكوين إعدادات كلمة المرور وكذلك إعدادات قفل الحساب (وهي إعداد أمان آخر يتم عادةً بشكل شامل عبر GPO) وتصفية هذه السياسة بحيث تنطبق فقط على المستخدمين الذين هم داخل مجموعة AD الخاصة بي المسماة Sales User.
الآن سأقوم بتكرار العملية عدة مرات أخرى، وبعد ذلك يمكنك رؤية أن لدي ثلاث سياسات Password Settings منفصلة داخل حاوية ADAC الخاصة بي:
من المهم ملاحظة أن كل سياسة Password Setting تحتوي على إعلان Precedence. نظرًا لأننا نطبق إعدادات كلمة المرور هذه على المجموعات، فمن الممكن بالتأكيد أن يكون مستخدم معين جزءًا من مجموعات متعددة، مما يمنحه سياسات كلمات مرور متعددة. يساعد رقم Precedence سياسات FGPP على التمييز بين الإعدادات التي يجب تطبيقها.
هذا هو! بمجرد أن تقوم بتعريف سياسة كلمة مرور دقيقة داخل ADAC، ستأخذ هذه الإعدادات الجديدة الأولوية على الإعدادات داخل سياسة النطاق الافتراضية GPO. بدلاً من دفع إعدادات كلمة المرور عبر Group Policy، تستخدم سياسة كلمة المرور الدقيقة كائناتها الخاصة داخل Active Directory للقيام بعملها. تُسمى هذه الكائنات Password Settings Objects (PSOs). إذا كنت تريد رؤية بعض التفاصيل الفنية حول PSO، الآن بعد أن أنشأت FGPP داخل ADAC، توجه إلى Active Directory Users and Computers وقم بتمكين Advanced Features تحت قائمة View. بمجرد تمكين Advanced Features، يمكنك التنقل إلى Domain | System | Password Settings Container ورؤية PSOs الجديدة التي أنشأتها قبل دقيقة.
عند النقر المزدوج على أي من هذه الكائنات ثم زيارة علامة التبويب Attribute Editor ستعرض تفاصيل حول معايير كلمة المرور لهذا الكائن. لا حاجة لزيارة هذه الكائنات من داخل ADUC، حيث يمكنك دائمًا إجراء تعديلات وتغييرات على FGPP من داخل وحدة التحكم ADAC، ولكن رؤية هذه PSOs يساعدنا على فهم كيفية تخزين Active Directory ومعالجة هذه السياسات:
النهاية
نكون هنا انتهينا من الجزء 2 من الفصل 9 تماما من شهادة MCSA المقدمة من Microsoft الأن نغوص في الأعماق
و لا بد وانت تقرا ان تكون مركز جيدا لكل معلومة ومعك ورقة وقلم , لانك بالتاكيد ستحتاجها
واذا واجهتك اي مشكلة في الفهم او ما شابه , يمكنك على الفور الذهاب الى المجتمع الخاص بنا في Telegram للمناقشة والتواصل معنا من هنا
او اذا واجهتك مشكلة في الموقع او تريد اجابة سريعة يمكنك الذهاب الى اخر صفحة في الموقع ستجد صفحة اتصل بنا موجودة يمكنك ارسالة لنا مشكلتك , وسيتم الرد عليها بسرعة جدا ان شاء الله
ويمكنك الأنضمام الى المجتمع Hidden Lock بالكامل مع جميع قنواته للأستفادة في اخر الأخبار في عالم التقنية وايضا الكتب بالمجان والكورسات والمقالات من خلال الرابط التالي لمجموعة القنوات من هنا
يمكنك ايضا متابعتنا في منصات X او Twitter سابقا , لمشاهدة الاخبار والمقالات السريعة والمهمة من
وفقط كان معكم Sparrow اتمنى ان تدعوا لي وتتذكروني في الخير دوما
