کیوان
کیوان
خواندن ۲ دقیقه·۱ سال پیش

ایجاد محدودیت استفاده از منابع Memory و CPU برای سرویس ها در ویندوز سرور

ایجاد محدودیت استفاده از منابع مموری و پردازنده سرور توسط سرویس ها و پراسس های مختلف یکی از مهم ترین موضوعات امن سازی (hardenning) سرورها هست.دلایل امنیتی که میتوان برای انجام آن درنظر گرفت میتوان به موارد زیر اشاره کرد:

محافظت از منابع سرور: با اعمال محدودیت بر میزان منابعی که هر پروسه یا سرویس می‌تواند استفاده کند، می‌توان از مصرف بیش از حد منابع توسط یک پروسه یا سرویس مخرب جلوگیری کرد. این امر به حفظ عملکرد و پایداری سرور کمک می‌کند.

مقابله با حملات DoS: این حملات معمولاً با ارسال حجم زیادی از درخواست‌های جعلی به یک سرور انجام می‌شوند. با اعمال محدودیت بر میزان منابعی که یک پروسه یا سرویس می‌تواند استفاده کند، می‌توان از این حملات در سمت سرور جلوگیری کرد.

شناسایی فعالیت‌های مشکوک: اگر یک پروسه یا سرویس شروع به استفاده بیش از حد از منابع سیستم کند میتواند نشان از فعالیت مخرب باشد که اگر بررسی نشود کلیه منابع سیستم میتواند درگیر شود و سیستم از دسترس خارج شود.

وقتی صحبت از هاردنینگ امنیتی میشود متاسفانه اکثرا بسنده میکنند به چک لیست های عمومی درحالیکه اونا تمام ماجرا نیستند. هاردنینگ موفق به این معناست که در کنار چک لیست های مطرح که وجود دارد روش های متعدد دیگری نیز با محوریت امنیت و با توجه به شرایط نگهداری سرویس و نیازهای سازمان برروی آن پیاده سازی شوند.

محدودسازی میزان مصرف منابع سیستم توسط سرویس ها و پراسس های مختلف در لینوکس به کمک کرنل به راحتی قابل انجام است و تکنولوژی هایی نظیر داکر نیز از این شیوه استفاده میکنند. اما در این ویندوز سرور این بحث نادیده گرفته شده است درحالیکه باتوجه به اینکه اکثریت سرورهای سازمانی در حیطه مایکروسافت ویندوز سرور هستند بنابراین توجه به این مقوله مهم میتواند تاثیر زیادی در فرآیند هاردنینگ سرور داشته باشد.

در این ویدیو دمو که لینک آن را قرار میدهم ابزار Process Governor رو معرفی میکنیم و یک دمو از آن را بصورت عملی بررسی میکنیم.

این ابزار باید تحت فرآیند درستی بکارگیری شود وگرنه موثر نخواهد بود. بعنوان مثال میتوان این ابزار را تحت سرویس در سیستم عاملی اجرا کرد و همچنین با سولوشنی نظیر WatchDog عملکرد آن را ادغام کرد تا خروجی مطلوب تری در سناریوهای عملیاتی بتوانیم داشته باشیم.

https://www.aparat.com/v/2dSEs


ویندوز سرورمایکروسافتامنیت
مهندس امنیت شبکه
شاید از این پست‌ها خوشتان بیاید