Type

جستجو در محصولات

گالری پروژه های افتر افکت
گالری پروژه های PSD
جستجو در محصولات


تبلیغ بانک ها در صفحات
ربات ساز تلگرام در صفحات
ایمن نیوز در صفحات
.. سیستم ارسال پیامک ..
Windows NTچک ليست کشف نفوذ در سيستم عامل
-(9 Body) 
Windows NTچک ليست کشف نفوذ در سيستم عامل
Visitor 411
Category: دنياي فن آوري
اين مقاله به صورت کلي گام هايي را بيان مي کند که براي تشخيص به خطر افتادن سيستم عامل Windows NT مورد استفاده قرار مي گيرند. مديران سيستم مي توانند از اين اطلاعات بهره گرفته و نفوذ هاي احتمالي به سيستم هايي که از اين سيستم عامل بهره مي گيرند را رديابي کنند. مطالعه همه بخش هاي اين مقاله براي مديراني که مايل به شناسايي نقاط ضعف سيستم هاي خود هستند مفيد است.
علاوه بر استفاده از نکات مطرح شده در اين مقاله بهره گيري از نسخه هاي به روز رسان و وصله هاي ارائه شده توسط توليد کنندگان نرم افزار هم بايد به صورت مرتب و جدي انجام شود.
الف) رديابي علائمي که خطرات احتمالي سيستم را نشان مي دهند:
1) Log فايل هاي ايجاد شده بر روي سيستم را بررسي کنيد تا اتصالات به دستگاه از نقاط غيرمعمول و يا فعاليت هاي غيرمعمول شناسايي شوند. مي توان با استفاده از Event Viewer ورود هاي عجيب به سيستم(Logon)، نقص سرويس ها و يا روشن و خاموش شدن هاي غير عادي را بررسي کرد. در صورتي که حفاظ[1]، خادم وب و يا مسيرياب سيستم فعاليت هاي جاري خود را بر روي دستگاهي ديگر ثبت مي کنند، بايد log هاي ذخيره شده بر روي آن دستگاه ها هم بررسي شود. به خاطر داشته باشيد تنها در صورتي اين اطلاعات مفيد مي باشد که فايل هاي ثبت فعاليت ها فقط قابليت اضافه کردن داشته باشند. بسياري از نفوذکنندگان به سيستم ها با ويرايش فايل هاي log ردپاي خود را از روي سيستم پاک مي کنند.
2) کاربران و گروه هاي عجيب را بررسي کنيد. براي اين کار مي توانيد از ابزار User Manager و يا دستورات ‘net user’، ‘net group’ و ‘net localgroup’ بهره بگيريد. اطمينان حاصل کنيد شناسه GUEST که به صورت پيش فرض ساخته مي شود در صورتي که سيستم به آن نياز ندارد، غيرفعال باشد.
3) همه گروه ها را چک کنيد که کاربران نامعتبر عضو آنها نباشند. بعضي از گروه هاي پيش فرضNT اختيارات خاصي را به اعضاي خود مي دهند. اعضاي گروه Administrators مي توانند بر روي سيستم محلي هر گونه فعاليتي را انجام دهند. کاربران Backup operator مي توانند همه فايل هاي موجود بر روي سيستم را بخوانند و کاربران PowerUser امکان به اشتراک گذاشتن منابع سيستم را دارند.
4) حقوق کاربران را بررسي کنيد و امکان انجام فعاليت هاي غيرمنطقي را از آنها بگيرد. براي اين کار مي توان از Administrative Tools آيکون Local Security Settings را انتخاب کنيد. حقوق مختلفي که مي توان به کاربران و گروه هاي مختلف داد در بخش User Rights Assignment قابل مشاهده مي باشد. 27 حق مختلف وجود دارد که قابل تخصيص دادن به کاربران و گروه هاي کاربري مي باشد. پيکربندي پيش فرض حقوق کاربران معمولا امنيت مناسبي را داراست.
5) از عدم اجراي برنامه هاي غير مجاز اطمينان حاصل کنيد. يک نفوذگر مي تواند با استفاده از روش هاي متنوعي يک برنامه درپشتي را اجرا کند. بنابراين از موارد زير مطمئن شويد:
? پوشه هاي Startup موجود بر روي دستگاه را بررسي کنيد. دقت کنيد که دو پوشه Startup وجود دارد که يکي مربوط به کاربر محلي است و ديگري به همه کاربران ارتباط دارد. در زمان ورود يک کاربر به سيستم همه برنامه هاي کاربردي موجود در “All Users” و پوشه Startup کاربران اجرا مي شوند. بازرسي دقيق همه پوشه هاي Startup براي کشف برنامه هاي مشکوک ضروري است.
? رجيستري سيستم را چک کنيد. ليست زير نقاطي که بايد در رجيستري مورد بررسي قرار گيرند را نشان مي دهد:

HKEY_LOCAL_MACHINESystemCurrentControlSetControlSession ManagerKnownDLLs
HKEY_LOCAL_MACHINESystemControlSet001ControlSession ManagerKnownDLLs
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRunOnceEx
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindows ("run=" line)
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionRunOnceEx
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows ("run=" value)
 

? سيستم را براي شناسايي سرويس هاي نامعتبر مورد بازرسي قرار دهيد. برخي از برنامه هاي درپشتي خود را به عنوان سرويس بر روي دستگاه نصب کرده و در زمان روشن شدن دستگاه فعال مي شوند. در چنين شرايطي سرويس مي تواند با استفاده از حق “Logon as Service” به عنوان هر يک از کاربران سيستم اجرا شود. سرويس هايي که به صورت خودکار آغاز مي شوند را بررسي کنيد و از ضرورت وجود آنها اطمينان حاصل کنيد. علاوه بر اين مطمئن شويد که فايل اجرايي سرويس اسب تروا و يا برنامه در پشتي نيست.
دستورات زير که مي توان آنها را در يک فايل دسته اي قرار داد براي جمع آوري اطلاعات در مورد سرويس هايي که در حال اجرا هستند مفيد هستند. خروجي اين برنامه شامل کليد سرويس ها، مقدار پارامتر Startup و فايل اجرايي سرويس مي باشد. اين برنامه از دستور REG.EXE استفاده مي کند که بخشي از NT Resource Kit مي باشد. اجراي اين برنامه باعث تغيير محتويات رجيستري و يا فايل ها نمي شود.

? @echo off
REM The delims parameter of PULLINFO1 and PULLINFO2 should be a single TAB.
for /f "tokens=1 delims=[]" %%I in reg query HKLMSYSTEMCurrentControlSetServices) do
call :PULLINFO1 %%I
set START_TYPE=
? goto :EOF
? :PULLINFO1
for /f "tokens=3 delims= " %%I in (reg query
HKLMSYSTEMCurrentControlSetServices%1 ^| findstr "Start" ') do call :PULLINFO2 %1 %%I
? goto :EOF
? :PULLINFO2
for /f "tokens=3,4 delims= " %%I in (reg query HKLMSYSTEMCurrentControlSetServices%1
^| findstr "ImagePath" ) do call :SHOWINFO %1 %2 %%I %%J
? goto :EOF
? :SHOWINFO
if /i {%2}=={0} set START_TYPE=Boot
if /i {%2}=={1} set START_TYPE=System
if /i {%2}=={2} set START_TYPE=Automatic
if /i {%2}=={3} set START_TYPE=Disabled
if not "%4" == "" (echo %1 %START_TYPE% %3%4) else (echo %1 %START_TYPE% %3)
goto :EOF
 

ساير نکات ضروري براي تامين امنيت سيستم عامل Windows NT در بخش هاي بعدي از اين مجموعه مقالات ارائه خواهد شد.
منبع:www.aftabir.com
ارسال توسط کاربر محترم سايت :mohamadaminsh
Add Comments
Name:
Email:
User Comments:
SecurityCode: Captcha ImageChange Image
پست الکترونیک: info @ imencms . ir
پشتیبانی سیستم پیامک و فروش فایل تا ساعت ده شب: 09395510284
تمام کالا و خدمات این فروشگاه، دارای مجوزلازم از مراجع مربوط می‌باشد و فعالیت‌ این سایت تابع قوانین ومقررات جمهوری اسلامی ایران است.