نظرة عامة
يصف هذا المستند العديد من تغييرات التكوين التي يمكن إجراؤها على خادم وحدة تحكم الطلب التلقائي الموحدة (CUACA) من Cisco لجعله أكثر أمانا. تعرف عملية جعل نظام Windows أكثر أمانا باسم Windows Hardening. يمكن إستخدام المعلومات المدرجة أدناه كدليل لتوطيد خادم (خوادم) وحدة تحكم الطلب التلقائي الموحدة من Cisco.
نهج جدار الحماية والمجموعة
بمجرد إضافة خادم Windows إلى المجال، يمكن دفع نهج المجموعة إلى Windows. يجب ألا تمنع سياسات جدار الحماية وسياسات المجموعة التي تم دفعها إلى خادم CUACA عمل الخدمات والمنافذ التالية أو تقاطع هذا العمل:
- أجهزة إدارة Windows (WMI)
- منسق المعاملات الموزعة (MDDTC) - مطلوب فقط في حالة إستخدام نسخ/مرونة SQL
- ناقل الرسائل (MBUS) - فتح المنافذ الواردة والصادرة 61616 و 61618 (مطلوب فقط إذا كنت تستخدم النسخ/المرونة من SQL)
- exe - على سبيل المثال: C:\Program Files\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\Binn\sqlservr.exe
- أرقام المنافذ (المستخدمة من قبل CUAC):
| أرقام المنافذ |
نوع المنفذ |
| 80 |
TCP |
| 389 |
TCP |
| 443 |
TCP |
| 636 |
TCP |
| 1433 و 1434 |
TCP |
| 1859 |
TCP |
| 1862 |
TCP |
| 1863 |
TCP |
| 1864 |
TCP |
| 2748 |
TCP |
| 5060 |
UDP |
| 5061 و 5062 |
TCP |
| 11859 |
TCP |
| 61616 |
TCP |
| 61618 |
TCP |
| من 49152 إلى 65535 |
TCP |
| من 1025 إلى 5000 |
TCP |
| رقم المنفذ |
إستخدام |
| 389 |
لا يستخدم خادم LDAP SSL ولم يتم تكوينه ككتالوج عمومي. |
| 636 |
يستخدم خادم LDAP SSL ولم يتم تكوينه ككتالوج عمومي. |
| 3268 |
لا يستخدم خادم LDAP SSL وتم تكوينه ككتالوج عمومي. |
| 3269 |
يستخدم خادم LDAP SSL وتم تكوينه ككتالوج عمومي. |
ارجع إلى أحدث أدلة الإدارة والتثبيت قبل التنفيذ للتحقق من قائمة الاستبعادات.
برامج مكافحة الفيروسات
قم بتثبيت برنامج مكافحة فيروسات على خادم Windows لإبقائه آمنا من البرامج الضارة والفيروسات وما إلى ذلك. ومع ذلك، فإن تطبيق الحماية من الفيروسات يعمل على إبطاء وظائف خادم CUACA حيث أنه يحتاج إلى الوصول المستمر إلى عدد قليل من المجلدات أثناء قيام برنامج مكافحة الفيروسات بفحص هذه المجلدات. وبالتالي، ينصح بإضافة الملفات والمجلدات التالية كإستثناءات لبرنامج مكافحة الفيروسات:
| المجلد الافتراضي |
يحتوي |
| \\DBData |
قواعد بيانات تكوين النظام |
| \\Program Files\Cisco\ |
ملفات تتبع البرامج والتطبيقات |
| \\أباتشي |
مجلد MQ النشط |
| \\Temp\Cisco\Trace |
ملفات تتبع Cisco TSP |
| \\٪AllUserProfile٪\Cisco\Cuaca |
ملف تعريف Cisco |
هذه هي المواقع الافتراضية التي يستخدمها مثبت CUACA. في حالة قيام المسؤول بتغيير موقع هذه المجلدات أو إستخدام بعض المجلدات الأخرى، يجب تغيير الاستبعادات الخاصة بمكافحة الفيروسات وفقا لذلك.
ارجع إلى أحدث أدلة الإدارة والتثبيت قبل التنفيذ للتحقق من قائمة الاستبعادات.
تعطيل توجيه مصدر IP
نادرا ما يتم إستخدام توجيه مصدر IP في الوقت الحالي، ومع ذلك يمكن أن يستخدمه المخترقون لتخطي جدار الحماية، وبالتالي، نصائح Cisco لتعطيله.
فيما يلي الخطوات اللازمة لتعطيل توجيه مصدر IP:
- فتح Regedit
- قم بتعيين أو إنشاء هذه القيم:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip6\Parameters\
اسم القيمة: DisableIPSourceRouting
نوع القيمة: reg_dword
القيمة: 2
تحديثات Windows
تنصح Cisco بالإبقاء على تصحيح Windows Server باستخدام آخر تحديثات Microsoft Windows و SQL Server وحزم الخدمة. يجب تعطيل التحديثات التلقائية والتحقيقات التلقائية للتحديثات.
التحديثات التلقائية ل Java غير مدعومة لأنها تتعطل في بعض الأحيان وقد يؤدي ذلك إلى نظام غير قابل للاستخدام. التحديثات الثانوية مدعومة.
يجب تنفيذ جميع عمليات التحقق من التحديثات وتثبيت التحديثات خارج نطاق الإنتاج. بعد التثبيت قم بإعادة تشغيل نظام تشغيل الخادم.
متطلبات التعزيز الأخرى وفقا لسياسة الشركة
تنصح Cisco بتقييد Windows Server وفقا للمتطلبات/النهج، ومع ذلك، يحتاج المسؤول إلى التأكد من تلبية جميع متطلبات CUACA بعد التعزيز. للحصول على معلومات مفصلة عن متطلبات CUACA، راجع دليل تصميم CUACA ودليل تثبيت CUAC.
التعليقات