در بخش سوم اين مقاله به بررسي نقاط آسيب پذير (Internet Explorer (IE و Windows Remote Access Services ، خواهيم پرداخت .

چهارمين نقطه آسيب پذير: (Internet Explorer (IE

IE ، مرورگر وب پيش فرض نصب شده در پلات فرم ويندوز مايکروسافت است .در صورتيکه نسخه هاي نصب شده IE در ادامه Patch و بهنگام نگردند ، تمامي آنان داراي نقاط آسيب پذير خواهند بود . تاکنون حملات متعددي بر اساس نقاط آسيب پذير در مرورگرهاي IE توسط مهاجمان انجام شده است . نقاط آسيب پذير در IE را مي توان به گروههاي متفاوتي نظير : صفحات وب ، بروز اشکال در اينترفيس ويندوز ، کنترل هاي اکتيو ايکس ، اسکريپت هاي فعال ، تفسير نادرست محتوي و نوع MIME و سرريز بافر تقسيم بندي نمود. مهاجمان با استناد به نقاط آسيب پذير فوق مي تواند حملاتي راانجام دهند که پيامد آن افشاء کوکي ها ، دستيابي به فايل هاي محلي و داده ، اجراء برنامه هاي محلي ، دريافت و اجراي کد هاي دلخواه و يا کنترل کامل سيستم آسيب پذير است .

سيستم هاي عامل در معرض تهديد

نقاط آسيب پذير اشاره شده بر روي تمامي سيستم هائي که از نسخه هاي متفاوت ويندوز استفاده مي نمايند ، وجود خواهد داشت . مرورگر IE در موارد متعدد و گسترده اي در نرم افزارهاي مايکروسافت نصب و عموما" بر روي اغلب سيستم هاي ويندوز وجود خواهد داشت . مرورگر IE ، حتي بر روي سرويس دهندگاني که شايد ضرورت استفاده از مرورگر براي آنان چندان وجود ندارد نيز نصب مي گردد .

نحوه تشخيص آسيب پذير ي سيستم

در صورتيکه بر روي سيستمي مرورگر IE وجود داشته وهنوز آخرين و جديدترين Patch هاي امنيتي نصب نشده باشند ، سيستم در معرض تهديد و آسيب قرار خواهد داشت . در صورتيک سرويس Windows Update بر روي سيستم فعال باشد با مشاهده سايت http://windowsupdate.microsoft.com ، مي توان بررسي لازم در خصوص IE و Patch هاي نصب شده و مورد نياز را انجام داد. در صورتيکه سرويس Windows Update فعال نشده باشد ، مي توان از برنامه HFNetChk و يا Microsoft BaseLine Security Analyzer استفاده نمود. در اين راستا مي توان از برنامه هاي Online موجود در اينترنت ( ابزارهاي آناليز مرورگر وب ) نظير : Qualys Browser Check که داراي توانائي بسيار بالا و مطلوبي مي باشند در جهت بهبود وضعيت امنيتي IE ، استفاده نمود.

نحوه حفاظت در مقابل نقطه آسيب پذير

Patch هاي لازم براي نقاط آسيب پذير اشاره شده بمنظور استفاده در مرورگر IE نسخه شش موجود و قابل استفاده است . نسخه هاي اوليه IE نيز آسيب پذير بوده و متاسفانه Patch هاي لازم در اينخصوص اغلب موجود نمي باشند. در صورتيکه بر روي سيستمي از نسخه IE 5.5 استفاده مي گردد، پيشنهاد مي گردد نسخه فوق به شش ، ارتقاء يابد . علت اين امر ، عدم وجود patch هاي لازم در اينخصوص است . در صورتيکه از نسخه IE 6.0 استفاده مي گردد ، آن را با آخرين Service Pack ارائه شده ، ارتقاء و بهنگام نمائيد . براي دريافت Service Pack هاي مي توان از آدرس : Internet Explore 6 SP1 استفاده نمود . در اين رابطه لازم است که آخرين Patch جامع امنيتي ( 822925 ) که باعث اصلاح نقاط آسيب پذير اضافه ديگري مي گردد را نيز بر روي سيستم نصب نمود.

ايمن سازي IE

برنامه IE داراي مجموعه اي از امکانات امنيتي بوده که با تنظيم و پيکربندي صحيح آنان مي توان وضعيت امنيتي IE رابهبود بخشيد . براي نيل به خواسته فوق ، مي توان مراحل زير را دنبال نمود:
• انتخاب گزيته Options از طريق منوي Tools
• انتخاب گزينه Security Tab و فعال نمودن Custom Level مرتبط با Inetnet Zone .
اکثر حملات مبتني بر نقاط آسيب پذير IE ، بدليل سوء استفاده از پتانسيل هاي Active Scripting و ActiveX Controls ، محقق مي گردند. بنابراين لازم است ، فعال شدن و بهره برداري از پتانسيل هاي فوق با نظارت و آگاهي کاربر انجام شود :
• دربخش Scripting ، گزينه Prompt for Allow paste operations via script را انتخاب تا يشگيري لازم درخصوص محتوي موردنظر از طريق Clipboard انجام شود. ( لازم است به اين نکته اشاره گردد که Active Scripting نمي بايست غير فعال گردد ،چراکه تعداد زيادي از وب سايت ها از پتانسيل فوق ، استفاده مي نمايند ) .
• انتخاب گزينه Prompt براي Download signed ActiveX Controls
• انتخاب گزينه Disable براي Download unsigned ActiveX Controls
• انتخاب گزينه Disable براي Initialize and script ActiveX Controls not marked as safe
اپلت هاي جاوا داراي قابليت هاي بمراتب بيشتري نسبت به اسکريپت ها مي باشند:
• در بخش Microsoft VM ، گزينه High safety for Java permissions را در ارتباط با مجوزهاي لازم بمنظور اجراي صحيح اپلت هاي جاوا و پيشگيري دستيابي به سيستم ، انتخاب گردد.
• در بخش Miscellaneous ، گزينه Access to data sources across domains ، بمنظور ممانعت از حملات مبتني بر Cross-site scripting ، غير فعال گردد.

پنجمين نقطه آسيب پذير : Windows Remote Access Services

نسخه هاي متفاوت ويندوز ، امکانات و تکنولوژي هاي متفاوتي را در ارتباط با شبکه ارائه و حمايت مي نمايند .در اين رابطه برخي از امکانات و پتانسيل هاي ارائه شده در ارتباط با اکثر پروتکل هاي شبکه اي استاندارد و توانائي هاي ارائه شده مربوط به تکنولوژي هاي شبکه اي مختص ويندوز ، مورد حمايت ذاتي ويندوز قرار مي گيرند. پيکربندي غير ايمن و نادرست مواردي همچون اشتراک هاي شبکه NETBIOS ، جلسات Anonymous Logon NULL ، دستيابي راه دور به ريجستري و فراخواني از راه دور روتين ها ( RPC ) ، زمينه تهاجمات متعددي را در ارتباط با ويندوز و با استناد به امکانات و قابليت هاي شبکه اي آن ، فراهم نموده است . در ادامه به تشريح هر يک از موارد فوق ، خواهيم پرداخت :

NETBIOS : عدم حفاظت مناسب از منابع اشتراکي

سيتم عامل ويندوز ، امکان اشتراک فايل و يا فولدرهائي را براي يک ماشين فراهم و بدين ترتيب ساير ميزبانان موجود در شبکه قادر به استفاده از منابع به اشتراک گذاشته شده توسط ساير ميزبانان بوده و خود نيز مي توانند ، منابع موجود بر روي سيستم را با سايرين به اشتراک گذاشته تا زمينه استفاده از منابع فوق براي ساير ميزبانان شبکه نيز فراهم گردد . مکانيزم فوق مبتني بر پروتکل Server Message Block)SMB) و يا Common Internet File System)CIFS) مي باشد. پروتکل هاي فوق ، امکان انجام عمليات بر روي فايل ها را از راه دور براي يک ميزبان فراهم مي نمايند. ( دقيقا" مشابه وضعيتي که عمليات بر روي يک کامپيوتر محلي انجام مي گيرد ) .پتانسيل فوق يکي از امکانات برجسته و قدرتمند ويندوز بوده ولي بدليل عدم پيکربندي صحيح اشتراک شبکه، مي تواند سوءاستفاده از فايل هاي حياتي سيستم و کنترل يک ميزبان توسط يک مهاجم را بدنبال داشته باشد. برخي از کرم ها و ويروس ها ( نظير نيمدا که در سال 2001 حيات خود را آغاز و در مدت زماني کوتاه توانست بسرعت درشبکه منتشر شود ) با استناد و بهره برداري از نقاط ضعف فوق و عدم حفاظت مناسب اشتراک شبکه ، توانستند نسخه هائي از خود را بر روي ميزبانان ، مستقر نمايند. بسياري از استفاده کنندگان کامپيوتر بدليل عدم پيکربندي مناسب اشتراک منابع در شبکه ، پتانسيل لازم در خصوص يک تهاجمم و بهره برداري از آن توسط مهاجمان را بصورت ناآگاهانه ايجاد مي نمايند. کاربران فوق با اهداف مثبت و تسهيل در ارائه امکان دستيابي ساير همکاران خود ، برخي از منابع موجود بر روي سيتسم ( نظير درايو ها و يا برخي فولدرها و يا فايل ها ) را به اشتراک گذاشته تاامکان خواندن و نوشتن براي ساير کاربران شبکه فراهم گردد.در صورتيکه پيکربندي مناسبي از منابع به اشتراک گذاشته شده در شبکه انجام شود، ريسک و خطر سوء استفاده و يا تهديدات بطرز محسوسي کاهش خواهد يافت .
Anonymouse Logon
Null Session ، عملا" به يک Session ايجاد شده بدون اعتبارنامه ( نام و رمز عبور خالي ) ، اطلاق مي گردد. از يک Null Session بمنظور نمايش اطلاعات مرتبط با کاربران ، گروه ها ، منابع اشتراکي و سياست هاي امنيتي استفاده مي گردد . سرويس هاي ويندوز NT ،بعنوان Local System account بر روي کامپيوتر محلي اجراء و با ساير سرويس ها ي شبکه از طريق ايجاد يک null Session ارتباط برقرار مي نمايند. ويندوز 2000 و سرويس هاي مرتبط ، که بعنوان Local System account بر روي Local Computer اجراء مي گردند ، از Local computer account بمنظور تائيد ساير سرويس دهندگان، استفاده مي نمايند. اکتيو دايرکتوري در موارديکه بصورت native اجراء مي گردد ، قادربه پذيرش درخواست هاي Null Session نخواهد بود. در حالت ترکيبي ، اکتيو دايرکتوري ، امکان دستيابي را براي نسخه هاي قبل از ويندوز 2000 فراهم و قادر به پذيرش درخواست هاي Null Session خواهد بود . بدين ترتيب با اينکه ويندوز 2000 ونسخه هاي بعد از آن امکان درخواست هاي مبتني برNull Session را فراهم نمي نمايند ولي بدليل سازگاري و پاسخگوئي به نسخه هاي قبل از ويندوز 2000 ، امکان تغيير در سياست فوق در رابطه با اکتيو دايرکتوري فراهم و اين مشکل امنيتي ( Null Session ) مي تواند به ويندوز 2000 نيز سرايت نمايد .

دستيابي از راه دور به ريجستري ويندوز

ويندوز 98 ، CE ، NT ، 2000 ، ME و XP از يک بانک اطلاعاتي مرکزي سلسله مراتبي ، که ريجستري ناميده مي شود بمنظور مديريت نرم افزار ، پيکربندي دستگاهها و تنظيمات کاربر استفاده مي نمايند. مجوزهاي نادرست و يا تنظيمات اشتباه امنيتي مي تواند زمينه دستيابي از راه دور به ريجستري را توسط مهاجمان فراهم و آنان در ادامه قادر به سوء استفاده از وضعيت فوق و بمخاطره انداختن سيستم و اجراي کدهاي مخرب خواهند بود.
فراخواني از راه دور (Remote Procedure Calls: RPC )
تعداد زيادي از نسخه هاي ويندوز ( NT ، 2000 ، XP ، 2003 ) از يک مکانيزم ارتباطي Inter-Process استفاده مي نمايند. درچنين مواردي يک برنامه در حال اجراء بر روي يک کامپيوتر ميزبان ، قادر به فراخواني کد موجود در ميزبان ديگر و از راه دور مي باشد .تاکنون حملات متعددي با استفاده از نقطه آسيب پذير فوق ، صورت گرفته است . در چنين مواردي يک مهاجم قادر به اجراي کد دلخواه خود بر روي يک ميزبان از راه دور مي گردد. (بهمراه مجوزهاي مشابه سيستم محلي ) . کرم هاي Blaster/MSblast/LovSAN و Nachi/Welchia از نقطه آسيب پذير فوق استفاده کرده اند. در برخي موارد با استفاده از ساير نقاط آسيب پذير يک مهاجم قادر به انجام حملات از نوع DoS ، در ارتباط با عناصر RPC است .

سيستم هاي عامل در معرض آسيب

تمامي نسخه هاي ويندوز در معرض اين تهديد قرار دارند .

نحوه تشخيص آسيب پذيري سيستم

نحوه تشخييص آسيب پذيري سيستم در رابطه با مسائل NETBIOS : در اين رابطه مي توان از تعداد زيادي ابزار بمنظور تشخيص اشکالات امنيتي مرتبط با NETBIOS استفاده نمود.NAT که از کلمات NetBIOS Auditing Tool اقتباس شده است ،يک محصول نرم افزار در اينخصوص و ارائه شده توسط Afentis Security مي باشد . NAT ، بررسي لازم در خصوص سرويس اشتراک فايل مربوط به NETBIOS را بر روي سيستم هاي مقصد ،انجام و از يک رويکرد مرحله اي بمنظور جمع آوري اطلاعات قبل از تلاش در جهت امکان دستيابي به سيستم فايل، استفاده مي نمايد . براي آگاهي از نحوه عملکرد برنامه فوق ، مي توان از آدرس http://www.afentis.com/resources/win32/nat استفاده نمود.
کاربران ويندوز 95 و 98 ، مي توانند از Legion v2.11 ( آخرين نسخه پويشگر اشتراک فايل Legion ارائه شده توسط Rhino9 ) بمنظور بررسي وضعيت اشتراک شبکه استفاده نمايند. کابران ويندوز 2000 ، مي توانند از برنامه Security Fridays Share Password Checker ) SPC) بمنظور بررسي اشتراک فايل سرويس گيرندگان ويندوز (نسخه هاي 95 ، 98 و CE )استفاده نمايند. برنامه فوق ، امکان تشخيص آسيب پذيري سيستم در ارتباط با Share Level password را فراهم مي نمايد. کاربران ويندوز NT ( که بر روي آنان SP4 نصب شده باشد ) ، 2000 ، XP و 2003 ، مي توانند از برنامه BaseLine Security Advisor استفاده و با اخذ گزارش لازم در خصوص ميزبانان آسيب پذير در رابطه با SMB ، اقدام به برطرف نمودن مشکل فوق نمايند.
بررسي و تست سيستم هاي آسيب پذير را مي توان بر روي ميزبانان محلي و يا ميزبانان از راه دور انجام داد . کاربران ويندوز NT ، 2000 ، XP و 2003 مي توانند با استفاده از دستور net Share و از طريق خط دستور، ليست منابع اشتراکي را مشاهده نمايند (براي آگاهي از اطلاعات تکميلي در ارتباط با دستور فوق ، مي توان از ? / Net Share ، استفاده نمود ) .
در اين مقاله اطلاعاتي در رابطه با تغيير و اصلاح منابع اشتراکي ارائه شده است . بنابراين لازم است ، قبل از انجام هر گونه تغييرات در ارتباط با منابع اشتراکي ، دانش کافي در خصوص برگرداندن منابع به حالت اوليه وجود داشته باشد ( انجام هر گونه تست و اعمال تغييرات مي بايست بصورت کاملا" آگاهانه انجام شود ) . بمنظور کسب اطلاعات بيشتر در رابطه با منابع اشتراکي ، مي توان از مقالات زير استفاده کرد:
- ذخيره و بازيابي منابع اشتراکي ويندوز
- منابع اشتراکي خاص
- نحوه تنظيم ، مشاهده ، تغيير و يا حذف مجوزهاي خاصي در ارتباط با فايل و فولدرها در ويندوز XP
- نحوه غير فعال نمودن اشتراک ساده شده و حفاظت رمز عبور يک فولدر اشتراکي در ويندوز XP
- نحوه کپي فايل ها و نگهداري مجوزهاي اشتراک NTFS
مجوزهاي پيش فرض در ارتباط با منابع اشتراکي در هر يک از نسخه هاي ويندوز بصورت زير است :
- ويندوز NT ، ويندوز 2000 و ويندوز XP ( قبل از نصب SP1 ) ، داراي مجوز Everyone و بصورت Full Control مي باشند .
- ويندوز XP که بر روي آنان SP1 نصب شده است ، داراي مجوز Everyone و بصورت Read مي باشد .
- ويندوز XP بصورت پيش فرض داراي يک دايرکتوري اشتراکي با نام " ShareDocs " است (C:\Documents and Settings\All Users\Documents ) که داراي مجوز Everyone و بصورت Full Control مي باشد .
اغلب پويشگرهاي موجود، بمنظور بررسي وضعيت منابع استراکي قادر به تشخيص Open Share مي باشند ( برخي از برنامه ها رايگان نمي باشند) . يکي از برنانه تست رايگان ،ايمن و سريع بمنظوربررسي وضعيت SMB مربوط به File Sharing و مسائل آسيب پذير مرتبط با آن که قابل استفاده در تمامي نسخه هاي ويندوز است را مي توان از سايت Gibson Research Corporation دريافت نمود . در اين رابطه مي توان از ابزارهاي پويش اتوماتيک بمنظور تشخيص نقاط آسيب پذير مرتباط با منابع اشتراکي نيز استفاده نمود :
- NesSus : يک ابزار پويش رايگان ، بهنگام شده و ساده بمنظوراستفاده از راه دور .
- Winfingerprint : پويشگر Win32 Host/Network Enumeration
نحوه تشخيص آسيب پذيري سيستم در مقابل Anonymouse Logon و مسائل مرتبط با آن . بمنظور بررسي آسيب پذيري سيستم در رابطه با Anonymouse Logon ، يک null Session را با استفاده از دستور زير و از طريق خط دستور ، فعال مي نمائيم .

From Command Line Prompt :

C:\>net use \\ipaddress\ipc$ "" /user:""

دستور فوق ، باعث ايجاد يک اتصال به منبع اشتراکي $IPC در IPaddress مشخص شده و بعنوان کاربر anonymouse ( نام آن در نظر نگرفته شده است "": user / ) و با يک رمز عبور Null مي گردد( ايجاد hidden interprocess communications ) .در صورتيکه پس از اجراي دستور فوق ، System error 5 محقق گردد، نشاندهنده عدم وجود مجوز لازم بمنظور انجام اين کار بوده و سيستم در معرض نقطه آسيب پذير فوق ، قرار نخواهد داشت .در صورتيکه پس از اجراي دستور فوق ، پيامي مبني بر اجراي موفقيت آميز دستور بر روي صفحه نمايش داده شود ، نشاندهنده آسيب پذيري سيستم در مقابل اين ضعف امنيتي خواهد بود. از نزم افزارهاي معرفي شده در بخش قبل ( Nessus و Winfingerprint ) نيز مي توان بمنظور تشخيص Null Session ،استفاده نمود .
نحوه تشخييص آسيب پذيري سيستم در مقابل دستيابي از راه دور به ريجستري ، برنامه NT Resource Kit)NTRK) ، قابل دسترس از طريق مايکروسافت، شامل يک فايل اجرائي با نام regdump.exe بوده که بصورت غير فعال مجوزهاي دستيابي به ريجستري را از طريق يک ميزبان ويندوز NT در مقابل ساير ميزبانان ويندوز نظير XP ، 2000 و يا NT بر روي اينترنت و يا شبکه داخلي ، بررسي مي نمايد . علاوه بر ابزار فوق ، مي توان از آدرس http://www.afentis.com/top20 ، بمنظور آشنائي به ساير ابزارهاي موجود ( برنامه هاي خط دستوري ) نيز استفاده نمود .
- نحوه تشخيص آسيب پذيري سيستم در مقابل RPC و مسائل مربوطه : مايکروسافت در اين رابطه يک ابزار hotfix و Patch-cheking را با نام Microsoft Baseline Security Analyzer ، ارائه داده است . استفاده از برنامه فوق ، بهترين روش بمنظور تشخيص آسيب پذيري سيستم است. برنامه فوق را مي توان از طريق آدرس http://www.microsoft.com/technet/security/tools/Tools/MBSAhome.asp دريا فت نمود.

نحوه حفاظت در مقابل نقاط آسيب پذير

نحوه حفاظت در مقابل حملات مرتبط با NETBIOS :
در اين رابطه مي توان از راهکارهاي متعددي بمنظور کاهش تهديدات مربوطه استفاده نمود :
- غير فعال نمودن sharing در موارديکه ضرورتي به استفاده از آن نمي باشد .
- پيشنهاد مي گردد سرويس گيرندگان ويندوز 95 ، 98 و CE که بعنوان بخشي از Domain ويندوز NT مي باشند ، بصورت User-Level share access control پيکربندي گردند.
- غير فعال نمودن sharing بر روي ميزبانان اينترنت .اشتراک فايل ها با ميزبانان اينترنت مي بايست از طريق FTP و يا HTTP صورت پذيرد.
- در صورت ضرورت استفاده از sharing ، امکان دستيابي به منابع به اشتراک گذاشته شده را فقط از طريق کاربران تائيد شده و مجاز انجام دهيد .بدين ترتيب ، بمنظور استفاده از منبع اشتراکي ، درج رمز عبور الزامي خواهد بود.
- sharing را صرفا" محدود به فولدر نمائيد .بدين ترتيب ، sharing صرفا" در رابطه با يک فولدر انجام و در صورت ضرورت، مي توان فولدرهاي ديگري را درآن ايجاد و آنان را به اشتراک گذاشت .
- بمنظور افزايش ضريب امنيتي ، مي توان امکان sharing را محدود به آدرس هاي IP نمود. ( امکان دستکاري اسامي DNS مي تواند وجود داشته باشد ) .

نحوه حفاظت درمقابل مسائل Anonymouse logon .

در اين مقاله ، اطلاعاتي در رابطه با تغيير ريجستري ارائه شده است ، لذا لازم است قبل از اعمال هرگونه تغيير در ريجستري ، از آن Backup گرفته شده تا در صورت ضرورت ، امکان بازيابي مجدد ( Restore ) آنان وجود داشته باشد.در اين رابطه مي توان از منابع اطلاعاتي زير استفاده نمود :
- تشريح ريجستري ويندوز
- نحوه Backup ، ويرايش ، و Restore نمودن ريجستري در ويندوز NT 4.0
- نحوه Backup ، ويرايش و Restore نمودن ريجستري در ويندوز 2000
- نحوه Backup ، ويرايش و Restore نمودن ريجستري در ويندوز XP و ويندوز 2003
کامپيوترهائي که بصورت ويندوز NT Domain Controllers پيکربندي شده اند ، نيازمند يک Null sessions بمنظور ارتباطات مورد نياز خود خواهند بود . بنابراين در صورتيکه از يک Windows NT Domain ويا اکتيو دايرکتوري ويندوز 2000 / 2003 که در حالت ترکيبي اجراء شده است ( امکان دستيابي نسخه هاي قبل از ويندوز 2000 را نيزفراهم مي نمايد ) ، استفاده مي گردد ، مي توان ميزان اطلاعاتي را که ممکن است توسط مهاحمان استفاده گردد را کاهش ولي نمي بايست اين انتظار وجود داشته باشد که با تنظيم ريجستري RestrictAnonymouse به مقدار يک ، تمامي زمينه ها و پتانسيل هاي مربوطه حذف گردند. راه حل ايده آل در موارديکه از يک اکتيو دايرکتوري ذاتي ويندوز 2000 , 2003 استفاده مي گردد ، مقداردهي RestrictAnonymouse به دو خواهد بود . بمنظور اخذ اطلاعات بيشتر در رابطه با اعمال محدوديت بر اساس null sessions ، مي توان از مجموعه مقالات زير استفاده نمود:
- اعمال محدوديت در ارائه اطلاعا ت به کاربران Anonymouse در ويندوز NT
- نحوه استفاداره از مقدار ريجستري RestrictAnonymouse در ويندوز 2000
بمنظور اشکال زدائي ، مقدار ريجستري RestrictAnonymouse مي توان از مقاله زير استفاده نمود :
مقدار ريجستري ResteictAnonymous ممکن است باعث شکستن Trust در يک Domain ويندوز 2000 گردد .

نحوه حفاظت در مقابل دستيابي به ريجستري سيستم

بمنظور برخورد با تهديد فوق، مي بايست دستيابي و مجوزهاي مرتبط به کليدهاي مهم و حياتي ريجستري ، بررسي و درصورت لزوم بازنويسي گردند . کاربران ويندوز NT 4.0 ، مي بايست از نصب Service Pack 3 بر روي سيستم خود قبل از انجام تغييرات مورد نياز در ريجستري ، مطمئن شوند . در اين مقاله ، اطلاعاتي در رابطه با تغيير ريجستري ارائه شده است ، لذا لازم است قبل از اعمال هرگونه تغيير در ريجستري ، از آن Backup گرفته شده تا در صورت ضرورت ، امکان بازيابي مجدد ( restore ) آنان وجود داشته باشد.در اين رابطه مي توان از منابع اطلاعاتي زير استفاده نمود :
- تشريح ريجستري ويندوز
- نحوه Backup ، ويرايش ، و Restore نمودن ريجستري در ويندوز NT 4.0
- نحوه Backup ، ويرايش و Restore نمودن ريجستري در ويندوز 2000
- نحوه Backup ، ويرايش و Restore نمودن ريجستري در ويندوز XP و ويندوز 2003
محدوديت دستيابي شبکه : بمنظور اعمال محدوديت دستيابي به ريجستري از طريق شبکه ، مراحل زير را بمنظور ايجاد يک کليد ريجستري دنبال مي نمائيم :

create the following Registry key

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ SecurePipeServers\winreg Description: REG_SZ Value: Registry Server

مجوزهاي امنيتي کليد فوق ، کاربران و گروههائي را که داراي مجوز دستيابي از راه دور به ريجستري مي باشند را مشخص مي نمايد . در زمان نصب ويندوز ، تنظيمات پيش فرض کليد فوق ، Access Control List بوده که امتيازات و مجوزهاي کاملي را در اختيار مديريت سيستم و گروههاي مديريتي ( Backup Operators در ويندوز 2000 ) قرار مي دهد . براي ايجاد يک کليد بمنظور اعمال محدوديت در دستيابي به ريجستري ، مراحل زير را دنبال مي نمائيم :
- اجراي برنامه ريجستري ( Regedit32.exe و يا Regedit.exe )
- جستجو جهت يافتن کليد : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
- انتخاب گزينه Add Key از طريق منوي Edit
- درج مقادير زير :

Enter the following values:

Key Name: SecurePipeServers Class: REG_SZ

- جستجو جهت يافتن کليد : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers
- انتخاب گزينه Add Key از طريق منوي Edit
- درج مقادير زير :

Enter the following values:

Key Name: winreg Class: REG_SZ

- جستجو جهت يافتن کليد : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ SecurePipeServers\winreg
- انتخاب گزينه Add Key از طريق منوي Edit
- درج مقادير زير :

Enter the following values:

Value Name: Description Data Type: REG_SZ String: Registry Server

- جستجو جهت يافتن کليد : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ SecurePipeServers\winreg
- انتخاب winreg ، کليک بر روي Security و در ادامه Permissions . در اين حالت مي توان کاربران و گروه هاي مجاز بمنظور اعطاء مجوز دستيابي به ريجستري را اضافه نمود .
- از برنامه Registry Editor خارج و بمنظور فعال شدن تنظيمات انجام شده ، سيستم را راه اندازي نمائيد .
در صورتيکه در ادامه قصد تغيير ليست کاربران مجاز دستيابي به ريجستري وجود داشته باشد ، مي توان آخرين مرحله اشاره شده را تکرار نمود.
اعمال محدوديت دستيابي از راه دور تائيد شده : اعمال محدوديت صريح در ارتباط با ريجستري، مي تواند اثرات جانبي ناسازگاري را در رابطه با سريس هاي وابسته نظير Directory Replicator و printer Spooler service ، بدنبال داشته باشد . در اين رابطه مي توان سطح خاصي از مجوزهاي لازم را با افزودن account name مربوط به سرويس در حا ل اجراء به ليست دستيابي کليد winreg ، و يا با پيکربندي ويندوز بمنظور عدم اعمال محدوديت دستيابي به کليدهاي خاصي را تعريف نمود ( مشخص نمودن آنان در کليد AllowedPaths مربوط به Machine و يا Users ) :

Bypass the access restriction :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ SecurePipeServers\winreg\AllowedPaths Value: Machine Value Type: REG_MULTI_SZ - Multi string Default Data: System\CurrentControlSet\Control\ProductOptionsSystem\                CurrentControlSet\Control\Print\PrintersSystem\CurrentControlSet\                Services\EventlogSoftware\Microsoft\WindowsNT\CurrentVersionSystem\                CurrentControlSet\Services\Replicator Valid Range: (A valid path to a location in the registry) Description: Allow machines access to listed locations in the registry provided  that no explicit access restrictions exist for that location. Value: Users Value Type: REG_MULTI_SZ - Multi string Default Data: (none) Valid Range: (A valid path to a location in the registry) Description: Allow users access to listed locations in the registry provided that no explicit access restrictions exist for that  location.

نحوه حفاظت سيستم در مقابل مسائل مرتبط با RPC

بهترين روش در اين رابطه نصب Patch هاي ارائه شده توسط MBSA و يا Windows Update مي باشد. در اين رابطه روش هاي متعددي بمنظور غيرفعال نمودن و يا اعمال محدوديت درارتباط با عملکرد RPC وجود دارد . استفاده از آدرس http://www.ntbugtraq.com/dcomrpc.asp در اين رابطه مي تواند مفيد باشد . لازم است به اين نکته مهم اشاره گردد که غيرفعال نمودن و يا اعمال محدوديت در رابطه با نحوه عملکرد RPC ، مي تواند باعث از کار افتادن برخي سرويس ويندوز گردد ، بنابراين پيشنهاد مي گردد که در ابتدا تغييرات مورد نظر خود را يک سيستم غيرعملياتي انجام و پس از اطمينان از صحت عملکرد ، آنان را بر روي سيستم اصلي اعمال نمود.در صورتيکه امکان Patch نمودن سيستم وجود نداشته باشد ، مي بايست پورت هاي مرتبط با RPC در ويندوز ( پورت هاي 135 و139 و 445 و 593 مربوط به TCP و پورت هاي 135 ، 137 ، 138 ، و 445 مربوط به UDP) را بلاک نمود.
بمنظور آشنائي با نحوه اعمال محدوديت دستيابي به ريجستري ويندوز و ساير موارد اشاره شده در رابطه با نقطه آسيب پذير Windows Remote Access Services ، مي توان از منابع اطلاعاتي زير استفاده نمود:
- Microsofts HotFix & Security Bulletin Service
- نحوه استفاده از ويندوز XP و Windows Server 2003 Registry Editor
- Network access: Remotely accessible registry paths and subpaths
- Windows Server 2003 Security Guide
در بخش چهارم اين مقاله به بررسي ساير نقاط آسيب پذير ويندوز خواهيم پرداخت .