این سند راهنماییهای لازم را برای ایجاد وضعیت پیکربندی ایمن برای ویندوز سرور 2012 ارائه میدهد. لازم به ذکر است که مستندات CIS یکی از منابع معتبر در امن سازی ویندوز سرور می باشد. برای دریافت آخرین نسخه از این راهنما میتوانید به آدرس https://www.cisecurity.org/cis-benchmarks مراجعه نمایید.
Intended Audience
مخاطبان در نظر گرفته شده برای این سند، مدیران سیستم و اپلیکیشن، متخصصان امنیتی، Auditor ها، Help Desk ها و کلیه توسعهدهندگان و ارائه دهندگان راهکارهای امنیتی میباشند.
Consensus Guidance
این Benchmark با استفاده از یک فرآیند بررسی اجماع، متشکل از متخصصان این موضوع ایجاد شده است. شرکت کنندگان در اجماع، چشم اندازهایی را از مجموعه متنوعی از پیش زمینهها شامل مشاوره، توسعه نرم افزار، ممیزی و انطباق، تحقیقات امنیت، عملیات، موارد دولتی و قانونی ارائه میدهند.
هر معیار از CIS دو مرحله از بررسی اجماع را پشت سر میگذارد:
مرجله اول در هنگام توسعه Benchmark اولیه اتفاق میافتد. در این مرحله، کارشناسان موضوع برای بحث، ایجاد و آزمایش پیشنویسهای کاری Benchmark دور هم جمع میشوند. این بحث تا زمان دستیابی به اجماع در مورد توصیه های Benchmark ادامه مییابد.
مرحله دوم، پس از انتشار Benchmark آغاز میشود. در این مرحله، کلیه بازخوردهای ارائه شده توسط جامعه اینترنت، توسط تیم اجماع برای گنجاندن آن ها در Benchmark بررسی میشود.
اگر علاقمند به شرکت در فرآیند اجماع هستنید، میتوانید به آدرس https://workbench.cisecurity.org مراجعه نمایید.
قراردادهای موجود در این مجموعه
قوانین چاپی زیر در سرتاسر این راهنما استفاده شده است:
Scoring Information
وضعیت امتیازدهی نشان میدهد که آیا پیروی از توصیههای پیشنهادی بر معیار هدف ارزیابی شده، تاثیر میگذارد یا خیر.
وضعیت امتیاز دهید در این Benchmark به صورت زیر میباشد:
Scored: عدم رعایت توصیههای Scored، نمره نهایی Benchmark را کاهش میدهد و بالطبع رعایت آن ها نیز منجر به افزایش نمره نهایی Benchmark میگردد.
Not Scored: عدم رعایت توصیههای Not Scored نمره نهایی Benchmark را کاهش نداده و رعایت آنها نیز منجر به افزایش نمره نهایی Benchmark نخواهد شد.
Profile Definitions
اغلب Benchmark های CIS شامل پروفایلهای مختلف پیکربندی هستند. یک پروفایل در واقع تنظیمات اختصاص داده شده به یک Benchmark را توصیف میکند.
پروفایل سطح یک، یک توصیه اساسی بوده که میتواند به درستی اجرا شود و به گونهای طراحی شده است که تاثیر عملکرد گسترده ای نداشته باشد. هدف از معیار سطح یک، پایین آوردن سطح حمله (attack surface) در سازمان شما میباشد و این موضوع به گونهای خواهد بود که تا حد امکان سرورهای شما قابل استفاده بوده و اختلالی در وظیفه اصلی آن در کسب و کار شما ایجاد نگردد.
پروفایل سطح دو، به عنوان “دفاع در عمق” در نظر گرفته میشود و برای محیطهایی در نظر گرفته میشود که امنیت در آن حائز اهمیت باشد. توصیههای مرتبط با پروفایل سطح دو در صورت عدم اجرای صحیح یا بدون مراقبت مناسب میتواند تاثیرات منفی بر سازمان شما بگذارد.
توجه داشته باشید که هر معیار یا Benchmark در CIS حداقل با یک پروفایل همراه است. صرف نظر از این که قصد دارید کدام سطح را در محیط خود پیاده سازی کنید، توصیه میکنیم که برای تعیین تاثیرات احتمالی، ابتدا از این راهنماییها در یک محیط آزمایشی استفاده نمایید.
پروفایلهای پیکربندی زیر در این Benchmark تعریف میگردد:
Level1 – Domain Controller
موارد موجود در این پروفایل به دامین کنترلر اعمال میشوند.
Level1 – Member Server
موارد موجود در این پروفایل به Member Server ها اعمال میشوند.
مواردی که در این پروفایل به Member Server هایی که Role های زیر بر روی آنها فعال هست نیز اعمال میگردد:
AD Certificate Services
DHCP Server
DNS Server
File Server
Hyper-V
Network Policy and Access Services
Print Server
Remote Access Services
Remote Desktop Services
Web Server
Level 2 – Domain Controller
این پروفایل، سطح یک دامین کنترلر را توسعه داده و همانطور که در توضیحات پروفایل نیز به آن اشاره شد، به عنوان دفاع در عمق در نظر گرفته شده و بر روی محیطهایی که امنیت در آنها حائز اهمیت میباشد، استفاده میشوند. همچنین ممکن است تاثیراتی بر روی کارکرد سرورها نیز داشته باشند.
Level2 – Member Server
این پروفایل، سطح یک Member Server را توسعه داده و همانطور که در توضیحات پروفایل نیز به آن اشاره شد، به عنوان دفاع در عمق در نظر گرفته شده و بر روی محیطهایی که امنیت در آنها حائز اهمیت میباشد، استفاده میشوند. همچنین ممکن است تاثیراتی بر روی کارکرد سرورها نیز داشته باشند.
در بخش های بعدی به توضیحات مربوط به هر یک از بندهای مستند CIS که مربوط به امن سازی ویندوز سرور 2012 می باشد، خواهیم پرداخت.
