آنچه تاکنون گفته شده است :
|
- بخش اول : بررسی IIS و MSSQL
- بخش دوم : بررسی Windows Authentication
|
در بخش سوم اين مقاله به بررسی نقاط آسيب پذير (Internet Explorer (IE و Windows Remote Access Services ، خواهيم پرداخت .
چهارمين نقطه آسيب پذير: (Internet Explorer (IE
IE ، مرورگر وب پيش فرض نصب شده در پلات فرم ويندوز مايکروسافت است .در صورتيکه نسخه های نصب شده IE در ادامه Patch و بهنگام نگردند ، تمامی آنان دارای نقاط آسيب پذير خواهند بود . تاکنون حملات متعددی بر اساس نقاط آسيب پذير در مرورگرهای IE توسط مهاجمان انجام شده است . نقاط آسيب پذير در IE را می توان به گروههای متفاوتی نظير : صفحات وب ، بروز اشکال در اينترفيس ويندوز ، کنترل های اکتيو ايکس ، اسکريپت های فعال ، تفسير نادرست محتوی و نوع MIME و سرريز بافر تقسيم بندی نمود. مهاجمان با استناد به نقاط آسيب پذير فوق می تواند حملاتی راانجام دهند که پيامد آن افشاء کوکی ها ، دستيابی به فايل های محلی و داده ، اجراء برنامه های محلی ، دريافت و اجرای کد های دلخواه و يا کنترل کامل سيستم آسيب پذير است .
سيستم های عامل در معرض تهديد
نقاط آسيب پذير اشاره شده بر روی تمامی سيستم هائی که از نسخه های متفاوت ويندوز استفاده می نمايند ، وجود خواهد داشت . مرورگر IE در موارد متعدد و گسترده ای در نرم افزارهای مايکروسافت نصب و عموما" بر روی اغلب سيستم های ويندوز وجود خواهد داشت . مرورگر IE ، حتی بر روی سرويس دهندگانی که شايد ضرورت استفاده از مرورگر برای آنان چندان وجود ندارد نيز نصب می گردد .
نحوه تشخيص آسيب پذير ی سيستم
در صورتيکه بر روی سيستمی مرورگر IE وجود داشته وهنوز آخرين و جديدترين Patch های امنيتی نصب نشده باشند ، سيستم در معرض تهديد و آسيب قرار خواهد داشت . در صورتيک سرويس Windows Update بر روی سيستم فعال باشد با مشاهده سايت http://windowsupdate.microsoft.com ، می توان بررسی لازم در خصوص IE و Patch های نصب شده و مورد نياز را انجام داد. در صورتيکه سرويس Windows Update فعال نشده باشد ، می توان از برنامه HFNetChk و يا Microsoft BaseLine Security Analyzer استفاده نمود. در اين راستا می توان از برنامه های Online موجود در اينترنت ( ابزارهای آناليز مرورگر وب ) نظير : Qualys Browser Check که دارای توانائی بسيار بالا و مطلوبی می باشند در جهت بهبود وضعيت امنيتی IE ، استفاده نمود.
نحوه حفاظت در مقابل نقطه آسيب پذير
Patch های لازم برای نقاط آسيب پذير اشاره شده بمنظور استفاده در مرورگر IE نسخه شش موجود و قابل استفاده است . نسخه های اوليه IE نيز آسيب پذير بوده و متاسفانه Patch های لازم در اينخصوص اغلب موجود نمی باشند. در صورتيکه بر روی سيستمی از نسخه IE 5.5 استفاده می گردد، پيشنهاد می گردد نسخه فوق به شش ، ارتقاء يابد . علت اين امر ، عدم وجود patch های لازم در اينخصوص است . در صورتيکه از نسخه IE 6.0 استفاده می گردد ، آن را با آخرين Service Pack ارائه شده ، ارتقاء و بهنگام نمائيد . برای دريافت Service Pack های می توان از آدرس : Internet Explore 6 SP1 استفاده نمود . در اين رابطه لازم است که آخرين Patch جامع امنيتی ( 822925 ) که باعث اصلاح نقاط آسيب پذير اضافه ديگری می گردد را نيز بر روی سيستم نصب نمود.
ايمن سازی IE
برنامه IE دارای مجموعه ای از امکانات امنيتی بوده که با تنظيم و پيکربندی صحيح آنان می توان وضعيت امنيتی IE رابهبود بخشيد . برای نيل به خواسته فوق ، می توان مراحل زير را دنبال نمود:
- انتخاب گزيته Options از طريق منوی Tools
- انتخاب گزينه Security Tab و فعال نمودن Custom Level مرتبط با Inetnet Zone .
اکثر حملات مبتنی بر نقاط آسيب پذير IE ، بدليل سوء استفاده از پتانسيل های Active Scripting و ActiveX Controls ، محقق می گردند. بنابراين لازم است ، فعال شدن و بهره برداری از پتانسيل های فوق با نظارت و آگاهی کاربر انجام شود :
- دربخش Scripting ، گزينه Prompt for Allow paste operations via script را انتخاب تا يشگيری لازم درخصوص محتوی موردنظر از طريق Clipboard انجام شود. ( لازم است به اين نکته اشاره گردد که Active Scripting نمی بايست غير فعال گردد ،چراکه تعداد زيادی از وب سايت ها از پتانسيل فوق ، استفاده می نمايند ) .
- انتخاب گزينه Prompt برای Download signed ActiveX Controls
- انتخاب گزينه Disable برای Download unsigned ActiveX Controls
- انتخاب گزينه Disable برای Initialize and script ActiveX Controls not marked as safe
اپلت های جاوا دارای قابليت های بمراتب بيشتری نسبت به اسکريپت ها می باشند:
- در بخش Microsoft VM ، گزينه High safety for Java permissions را در ارتباط با مجوزهای لازم بمنظور اجرای صحيح اپلت های جاوا و پيشگيری دستيابی به سيستم ، انتخاب گردد.
- در بخش Miscellaneous ، گزينه Access to data sources across domains ، بمنظور ممانعت از حملات مبتنی بر Cross-site scripting ، غير فعال گردد.
پنجمين نقطه آسيب پذير : Windows Remote Access Services
نسخه های متفاوت ويندوز ، امکانات و تکنولوژی های متفاوتی را در ارتباط با شبکه ارائه و حمايت می نمايند .در اين رابطه برخی از امکانات و پتانسيل های ارائه شده در ارتباط با اکثر پروتکل های شبکه ای استاندارد و توانائی های ارائه شده مربوط به تکنولوژی های شبکه ای مختص ويندوز ، مورد حمايت ذاتی ويندوز قرار می گيرند. پيکربندی غير ايمن و نادرست مواردی همچون اشتراک های شبکه NETBIOS ، جلسات Anonymous Logon NULL ، دستيابی راه دور به ريجستری و فراخوانی از راه دور روتين ها ( RPC ) ، زمينه تهاجمات متعددی را در ارتباط با ويندوز و با استناد به امکانات و قابليت های شبکه ای آن ، فراهم نموده است . در ادامه به تشريح هر يک از موارد فوق ، خواهيم پرداخت :
NETBIOS : عدم حفاظت مناسب از منابع اشتراکی
سيتم عامل ويندوز ، امکان اشتراک فايل و يا فولدرهائی را برای يک ماشين فراهم و بدين ترتيب ساير ميزبانان موجود در شبکه قادر به استفاده از منابع به اشتراک گذاشته شده توسط ساير ميزبانان بوده و خود نيز می توانند ، منابع موجود بر روی سيستم را با سايرين به اشتراک گذاشته تا زمينه استفاده از منابع فوق برای ساير ميزبانان شبکه نيز فراهم گردد . مکانيزم فوق مبتنی بر پروتکل Server Message Block)SMB) و يا Common Internet File System)CIFS) می باشد. پروتکل های فوق ، امکان انجام عمليات بر روی فايل ها را از راه دور برای يک ميزبان فراهم می نمايند. ( دقيقا" مشابه وضعيتی که عمليات بر روی يک کامپيوتر محلی انجام می گيرد ) .پتانسيل فوق يکی از امکانات برجسته و قدرتمند ويندوز بوده ولی بدليل عدم پيکربندی صحيح اشتراک شبکه، می تواند سوءاستفاده از فايل های حياتی سيستم و کنترل يک ميزبان توسط يک مهاجم را بدنبال داشته باشد. برخی از کرم ها و ويروس ها ( نظير نيمدا که در سال 2001 حيات خود را آغاز و در مدت زمانی کوتاه توانست بسرعت درشبکه منتشر شود ) با استناد و بهره برداری از نقاط ضعف فوق و عدم حفاظت مناسب اشتراک شبکه ، توانستند نسخه هائی از خود را بر روی ميزبانان ، مستقر نمايند. بسياری از استفاده کنندگان کامپيوتر بدليل عدم پيکربندی مناسب اشتراک منابع در شبکه ، پتانسيل لازم در خصوص يک تهاجمم و بهره برداری از آن توسط مهاجمان را بصورت ناآگاهانه ايجاد می نمايند. کاربران فوق با اهداف مثبت و تسهيل در ارائه امکان دستيابی ساير همکاران خود ، برخی از منابع موجود بر روی سيتسم ( نظير درايو ها و يا برخی فولدرها و يا فايل ها ) را به اشتراک گذاشته تاامکان خواندن و نوشتن برای ساير کاربران شبکه فراهم گردد.در صورتيکه پيکربندی مناسبی از منابع به اشتراک گذاشته شده در شبکه انجام شود، ريسک و خطر سوء استفاده و يا تهديدات بطرز محسوسی کاهش خواهد يافت .
Anonymouse Logon
Null Session ، عملا" به يک Session ايجاد شده بدون اعتبارنامه ( نام و رمز عبور خالی ) ، اطلاق می گردد. از يک Null Session بمنظور نمايش اطلاعات مرتبط با کاربران ، گروه ها ، منابع اشتراکی و سياست های امنيتی استفاده می گردد . سرويس های ويندوز NT ،بعنوان Local System account بر روی کامپيوتر محلی اجراء و با ساير سرويس ها ی شبکه از طريق ايجاد يک null Session ارتباط برقرار می نمايند. ويندوز 2000 و سرويس های مرتبط ، که بعنوان Local System account بر روی Local Computer اجراء می گردند ، از Local computer account بمنظور تائيد ساير سرويس دهندگان، استفاده می نمايند. اکتيو دايرکتوری در موارديکه بصورت native اجراء می گردد ، قادربه پذيرش درخواست های Null Session نخواهد بود. در حالت ترکيبی ، اکتيو دايرکتوری ، امکان دستيابی را برای نسخه های قبل از ويندوز 2000 فراهم و قادر به پذيرش درخواست های Null Session خواهد بود . بدين ترتيب با اينکه ويندوز 2000 ونسخه های بعد از آن امکان درخواست های مبتنی برNull Session را فراهم نمی نمايند ولی بدليل سازگاری و پاسخگوئی به نسخه های قبل از ويندوز 2000 ، امکان تغيير در سياست فوق در رابطه با اکتيو دايرکتوری فراهم و اين مشکل امنيتی ( Null Session ) می تواند به ويندوز 2000 نيز سرايت نمايد .
دستيابی از راه دور به ريجستری ويندوز
ويندوز 98 ، CE ، NT ، 2000 ، ME و XP از يک بانک اطلاعاتی مرکزی سلسله مراتبی ، که ريجستری ناميده می شود بمنظور مديريت نرم افزار ، پيکربندی دستگاهها و تنظيمات کاربر استفاده می نمايند. مجوزهای نادرست و يا تنظيمات اشتباه امنيتی می تواند زمينه دستيابی از راه دور به ريجستری را توسط مهاجمان فراهم و آنان در ادامه قادر به سوء استفاده از وضعيت فوق و بمخاطره انداختن سيستم و اجرای کدهای مخرب خواهند بود.
فراخوانی از راه دور (Remote Procedure Calls: RPC )
تعداد زيادی از نسخه های ويندوز ( NT ، 2000 ، XP ، 2003 ) از يک مکانيزم ارتباطی Inter-Process استفاده می نمايند. درچنين مواردی يک برنامه در حال اجراء بر روی يک کامپيوتر ميزبان ، قادر به فراخوانی کد موجود در ميزبان ديگر و از راه دور می باشد .تاکنون حملات متعددی با استفاده از نقطه آسيب پذير فوق ، صورت گرفته است . در چنين مواردی يک مهاجم قادر به اجرای کد دلخواه خود بر روی يک ميزبان از راه دور می گردد. (بهمراه مجوزهای مشابه سيستم محلی ) . کرم های Blaster/MSblast/LovSAN و Nachi/Welchia از نقطه آسيب پذير فوق استفاده کرده اند. در برخی موارد با استفاده از ساير نقاط آسيب پذير يک مهاجم قادر به انجام حملات از نوع DoS ، در ارتباط با عناصر RPC است .
سيستم های عامل در معرض آسيب
تمامی نسخه های ويندوز در معرض اين تهديد قرار دارند .
نحوه تشخيص آسيب پذيری سيستم
نحوه تشخيیص آسيب پذيری سيستم در رابطه با مسائل NETBIOS : در اين رابطه می توان از تعداد زيادی ابزار بمنظور تشخيص اشکالات امنيتی مرتبط با NETBIOS استفاده نمود.NAT که از کلمات NetBIOS Auditing Tool اقتباس شده است ،يک محصول نرم افزار در اينخصوص و ارائه شده توسط Afentis Security می باشد . NAT ، بررسی لازم در خصوص سرويس اشتراک فايل مربوط به NETBIOS را بر روی سيستم های مقصد ،انجام و از يک رويکرد مرحله ای بمنظور جمع آوری اطلاعات قبل از تلاش در جهت امکان دستيابی به سيستم فايل، استفاده می نمايد . برای آگاهی از نحوه عملکرد برنامه فوق ، می توان از آدرس http://www.afentis.com/resources/win32/nat استفاده نمود.
کاربران ويندوز 95 و 98 ، می توانند از Legion v2.11 ( آخرين نسخه پويشگر اشتراک فايل Legion ارائه شده توسط Rhino9 ) بمنظور بررسی وضعيت اشتراک شبکه استفاده نمايند. کابران ويندوز 2000 ، می توانند از برنامه Security Fridays Share Password Checker ) SPC) بمنظور بررسی اشتراک فايل سرويس گيرندگان ويندوز (نسخه های 95 ، 98 و CE )استفاده نمايند. برنامه فوق ، امکان تشخيص آسيب پذيری سيستم در ارتباط با Share Level password را فراهم می نمايد. کاربران ويندوز NT ( که بر روی آنان SP4 نصب شده باشد ) ، 2000 ، XP و 2003 ، می توانند از برنامه BaseLine Security Advisor استفاده و با اخذ گزارش لازم در خصوص ميزبانان آسيب پذير در رابطه با SMB ، اقدام به برطرف نمودن مشکل فوق نمايند.
بررسی و تست سيستم های آسيب پذير را می توان بر روی ميزبانان محلی و يا ميزبانان از راه دور انجام داد . کاربران ويندوز NT ، 2000 ، XP و 2003 می توانند با استفاده از دستور net Share و از طريق خط دستور، ليست منابع اشتراکی را مشاهده نمايند (برای آگاهی از اطلاعات تکميلی در ارتباط با دستور فوق ، می توان از ? / Net Share ، استفاده نمود ) .
در اين مقاله اطلاعاتی در رابطه با تغيير و اصلاح منابع اشتراکی ارائه شده است . بنابراين لازم است ، قبل از انجام هر گونه تغييرات در ارتباط با منابع اشتراکی ، دانش کافی در خصوص برگرداندن منابع به حالت اوليه وجود داشته باشد ( انجام هر گونه تست و اعمال تغييرات می بايست بصورت کاملا" آگاهانه انجام شود ) . بمنظور کسب اطلاعات بيشتر در رابطه با منابع اشتراکی ، می توان از مقالات زير استفاده کرد:
- ذخيره و بازيابی منابع اشتراکی ويندوز
- منابع اشتراکی خاص
- نحوه تنظيم ، مشاهده ، تغيير و يا حذف مجوزهای خاصی در ارتباط با فايل و فولدرها در ويندوز XP
- نحوه غير فعال نمودن اشتراک ساده شده و حفاظت رمز عبور يک فولدر اشتراکی در ويندوز XP
- نحوه کپی فايل ها و نگهداری مجوزهای اشتراک NTFS
مجوزهای پيش فرض در ارتباط با منابع اشتراکی در هر يک از نسخه های ويندوز بصورت زير است :
- ويندوز NT ، ويندوز 2000 و ويندوز XP ( قبل از نصب SP1 ) ، دارای مجوز Everyone و بصورت Full Control می باشند .
- ويندوز XP که بر روی آنان SP1 نصب شده است ، دارای مجوز Everyone و بصورت Read می باشد .
- ويندوز XP بصورت پيش فرض دارای يک دايرکتوری اشتراکی با نام " ShareDocs " است (C:Documents and SettingsAll UsersDocuments ) که دارای مجوز Everyone و بصورت Full Control می باشد .
اغلب پويشگرهای موجود، بمنظور بررسی وضعيت منابع استراکی قادر به تشخيص Open Share می باشند ( برخی از برنامه ها رايگان نمی باشند) . يکی از برنانه تست رايگان ،ايمن و سريع بمنظوربررسی وضعيت SMB مربوط به File Sharing و مسائل آسيب پذير مرتبط با آن که قابل استفاده در تمامی نسخه های ويندوز است را می توان از سايت Gibson Research Corporation دريافت نمود . در اين رابطه می توان از ابزارهای پويش اتوماتيک بمنظور تشخيص نقاط آسيب پذير مرتباط با منابع اشتراکی نيز استفاده نمود :
- NesSus : يک ابزار پويش رايگان ، بهنگام شده و ساده بمنظوراستفاده از راه دور .
- Winfingerprint : پويشگر Win32 Host/Network Enumeration
نحوه تشخيص آسيب پذيری سيستم در مقابل Anonymouse Logon و مسائل مرتبط با آن . بمنظور بررسی آسيب پذيری سيستم در رابطه با Anonymouse Logon ، يک null Session را با استفاده از دستور زیر و از طريق خط دستور ، فعال می نمائيم .
From Command Line Prompt :
|
C:>net use ipaddressipc$ "" /user:""
|
دستور فوق ، باعث ايجاد يک اتصال به منبع اشتراکی $IPC در IPaddress مشخص شده و بعنوان کاربر anonymouse ( نام آن در نظر نگرفته شده است "": user / ) و با يک رمز عبور Null می گردد( ايجاد hidden interprocess communications ) .در صورتيکه پس از اجرای دستور فوق ، System error 5 محقق گردد، نشاندهنده عدم وجود مجوز لازم بمنظور انجام اين کار بوده و سيستم در معرض نقطه آسيب پذير فوق ، قرار نخواهد داشت .در صورتيکه پس از اجرای دستور فوق ، پيامی مبنی بر اجرای موفقيت آميز دستور بر روی صفحه نمايش داده شود ، نشاندهنده آسيب پذيری سيستم در مقابل اين ضعف امنيتی خواهد بود. از نزم افزارهای معرفی شده در بخش قبل ( Nessus و Winfingerprint ) نيز می توان بمنظور تشخيص Null Session ،استفاده نمود .
نحوه تشخيیص آسيب پذيری سيستم در مقابل دستيابی از راه دور به ريجستری ، برنامه NT Resource Kit)NTRK) ، قابل دسترس از طريق مايکروسافت، شامل يک فايل اجرائی با نام regdump.exe بوده که بصورت غير فعال مجوزهای دستيابی به ريجستری را از طريق يک ميزبان ويندوز NT در مقابل ساير ميزبانان ويندوز نظير XP ، 2000 و يا NT بر روی اينترنت و يا شبکه داخلی ، بررسی می نمايد . علاوه بر ابزار فوق ، می توان از آدرس http://www.afentis.com/top20 ، بمنظور آشنائی به ساير ابزارهای موجود ( برنامه های خط دستوری ) نيز استفاده نمود .
- نحوه تشخيص آسيب پذيری سيستم در مقابل RPC و مسائل مربوطه : مايکروسافت در اين رابطه يک ابزار hotfix و Patch-cheking را با نام Microsoft Baseline Security Analyzer ، ارائه داده است . استفاده از برنامه فوق ، بهترين روش بمنظور تشخيص آسيب پذيری سيستم است. برنامه فوق را می توان از طريق آدرس http://www.microsoft.com/technet/security/tools/Tools/MBSAhome.asp دريا فت نمود.
نحوه حفاظت در مقابل نقاط آسيب پذير
نحوه حفاظت در مقابل حملات مرتبط با NETBIOS :
در اين رابطه می توان از راهکارهای متعددی بمنظور کاهش تهديدات مربوطه استفاده نمود :
- غير فعال نمودن sharing در موارديکه ضرورتی به استفاده از آن نمی باشد .
- پيشنهاد می گردد سرويس گيرندگان ويندوز 95 ، 98 و CE که بعنوان بخشی از Domain ويندوز NT می باشند ، بصورت User-Level share access control پيکربندی گردند.
- غير فعال نمودن sharing بر روی ميزبانان اينترنت .اشتراک فايل ها با ميزبانان اينترنت می بايست از طريق FTP و يا HTTP صورت پذيرد.
- در صورت ضرورت استفاده از sharing ، امکان دستيابی به منابع به اشتراک گذاشته شده را فقط از طريق کاربران تائيد شده و مجاز انجام دهيد .بدين ترتيب ، بمنظور استفاده از منبع اشتراکی ، درج رمز عبور الزامی خواهد بود.
- sharing را صرفا" محدود به فولدر نمائيد .بدين ترتيب ، sharing صرفا" در رابطه با يک فولدر انجام و در صورت ضرورت، می توان فولدرهای ديگری را درآن ايجاد و آنان را به اشتراک گذاشت .
- بمنظور افزايش ضريب امنيتی ، می توان امکان sharing را محدود به آدرس های IP نمود. ( امکان دستکاری اسامی DNS می تواند وجود داشته باشد ) .
نحوه حفاظت درمقابل مسائل Anonymouse logon .
در اين مقاله ، اطلاعاتی در رابطه با تغيير ريجستری ارائه شده است ، لذا لازم است قبل از اعمال هرگونه تغيير در ريجستری ، از آن Backup گرفته شده تا در صورت ضرورت ، امکان بازيابی مجدد ( Restore ) آنان وجود داشته باشد.در اين رابطه می توان از منابع اطلاعاتی زير استفاده نمود :
- تشريح ريجستری ويندوز
- نحوه Backup ، ويرايش ، و Restore نمودن ريجستری در ويندوز NT 4.0
- نحوه Backup ، ويرايش و Restore نمودن ريجستری در ويندوز 2000
- نحوه Backup ، ويرايش و Restore نمودن ريجستری در ويندوز XP و ويندوز 2003
کامپيوترهائی که بصورت ويندوز NT Domain Controllers پيکربندی شده اند ، نيازمند يک Null sessions بمنظور ارتباطات مورد نياز خود خواهند بود . بنابراين در صورتيکه از يک Windows NT Domain ويا اکتيو دايرکتوری ويندوز 2000 / 2003 که در حالت ترکيبی اجراء شده است ( امکان دستيابی نسخه های قبل از ويندوز 2000 را نيزفراهم می نمايد ) ، استفاده می گردد ، می توان ميزان اطلاعاتی را که ممکن است توسط مهاحمان استفاده گردد را کاهش ولی نمی بايست اين انتظار وجود داشته باشد که با تنظيم ريجستری RestrictAnonymouse به مقدار يک ، تمامی زمينه ها و پتانسيل های مربوطه حذف گردند. راه حل ايده آل در موارديکه از يک اکتيو دايرکتوری ذاتی ويندوز 2000 , 2003 استفاده می گردد ، مقداردهی RestrictAnonymouse به دو خواهد بود . بمنظور اخذ اطلاعات بيشتر در رابطه با اعمال محدوديت بر اساس null sessions ، می توان از مجموعه مقالات زير استفاده نمود:
- اعمال محدوديت در ارائه اطلاعا ت به کاربران Anonymouse در ويندوز NT
- نحوه استفاداره از مقدار ريجستری RestrictAnonymouse در ويندوز 2000
بمنظور اشکال زدائی ، مقدار ريجستری RestrictAnonymouse می توان از مقاله زير استفاده نمود :
مقدار ريجستری ResteictAnonymous ممکن است باعث شکستن Trust در يک Domain ويندوز 2000 گردد .
نحوه حفاظت در مقابل دستيابی به ريجستری سيستم
بمنظور برخورد با تهديد فوق، می بايست دستيابی و مجوزهای مرتبط به کليدهای مهم و حياتی ريجستری ، بررسی و درصورت لزوم بازنويسی گردند . کاربران ويندوز NT 4.0 ، می بايست از نصب Service Pack 3 بر روی سيستم خود قبل از انجام تغييرات مورد نياز در ريجستری ، مطمئن شوند . در اين مقاله ، اطلاعاتی در رابطه با تغيير ريجستری ارائه شده است ، لذا لازم است قبل از اعمال هرگونه تغيير در ريجستری ، از آن Backup گرفته شده تا در صورت ضرورت ، امکان بازيابی مجدد ( restore ) آنان وجود داشته باشد.در اين رابطه می توان از منابع اطلاعاتی زير استفاده نمود :
- تشريح ريجستری ويندوز
- نحوه Backup ، ويرايش ، و Restore نمودن ريجستری در ويندوز NT 4.0
- نحوه Backup ، ويرايش و Restore نمودن ريجستری در ويندوز 2000
- نحوه Backup ، ويرايش و Restore نمودن ريجستری در ويندوز XP و ويندوز 2003
محدوديت دستيابی شبکه : بمنظور اعمال محدوديت دستيابی به ريجستری از طريق شبکه ، مراحل زير را بمنظور ايجاد يک کليد ريجستری دنبال می نمائيم :
create the following Registry key
|
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl
SecurePipeServerswinreg
Description: REG_SZ
Value: Registry Server
|
مجوزهای امنيتی کليد فوق ، کاربران و گروههائی را که دارای مجوز دستيابی از راه دور به ريجستری می باشند را مشخص می نمايد . در زمان نصب ويندوز ، تنظيمات پيش فرض کليد فوق ، Access Control List بوده که امتيازات و مجوزهای کاملی را در اختيار مديريت سيستم و گروههای مديريتی ( Backup Operators در ويندوز 2000 ) قرار می دهد . برای ايجاد يک کليد بمنظور اعمال محدوديت در دستيابی به ريجستری ، مراحل زير را دنبال می نمائيم :
- اجرای برنامه ريجستری ( Regedit32.exe و يا Regedit.exe )
- جستجو جهت يافتن کليد : HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl
- انتخاب گزينه Add Key از طريق منوی Edit
- درج مقادير زير :
Enter the following values:
|
Key Name: SecurePipeServers
Class: REG_SZ
|
- جستجو جهت يافتن کليد : HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurePipeServers
- انتخاب گزينه Add Key از طريق منوی Edit
- درج مقادير زير :
Enter the following values:
|
Key Name: winreg
Class: REG_SZ
|
- جستجو جهت يافتن کليد : HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl SecurePipeServerswinreg
- انتخاب گزينه Add Key از طريق منوی Edit
- درج مقادير زير :
Enter the following values:
|
Value Name: Description
Data Type: REG_SZ
String: Registry Server
|
- جستجو جهت يافتن کليد : HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl SecurePipeServerswinreg
- انتخاب winreg ، کليک بر روی Security و در ادامه Permissions . در اين حالت می توان کاربران و گروه های مجاز بمنظور اعطاء مجوز دستيابی به ريجستری را اضافه نمود .
- از برنامه Registry Editor خارج و بمنظور فعال شدن تنظيمات انجام شده ، سيستم را راه اندازی نمائيد .
در صورتيکه در ادامه قصد تغيير ليست کاربران مجاز دستيابی به ريجستری وجود داشته باشد ، می توان آخرين مرحله اشاره شده را تکرار نمود.
اعمال محدوديت دستيابی از راه دور تائيد شده : اعمال محدوديت صريح در ارتباط با ريجستری، می تواند اثرات جانبی ناسازگاری را در رابطه با سريس های وابسته نظير Directory Replicator و printer Spooler service ، بدنبال داشته باشد . در اين رابطه می توان سطح خاصی از مجوزهای لازم را با افزودن account name مربوط به سرويس در حا ل اجراء به ليست دستيابی کليد winreg ، و يا با پيکربندی ويندوز بمنظور عدم اعمال محدوديت دستيابی به کليدهای خاصی را تعريف نمود ( مشخص نمودن آنان در کليد AllowedPaths مربوط به Machine و يا Users ) :
Bypass the access restriction :
|
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl
SecurePipeServerswinregAllowedPaths
Value: Machine
Value Type: REG_MULTI_SZ - Multi string
Default Data: SystemCurrentControlSetControlProductOptionsSystem
CurrentControlSetControlPrintPrintersSystemCurrentControlSet
ServicesEventlogSoftwareMicrosoftWindowsNTCurrentVersionSystem
CurrentControlSetServicesReplicator
Valid Range: (A valid path to a location in the registry)
Description: Allow machines access to listed locations in the
registry provided that no explicit access restrictions exist for that location.
Value: Users
Value Type: REG_MULTI_SZ - Multi string
Default Data: (none)
Valid Range: (A valid path to a location in the registry)
Description: Allow users access to listed locations in
the registry provided that no explicit access restrictions exist for that location.
|
نحوه حفاظت سيستم در مقابل مسائل مرتبط با RPC
بهترين روش در اين رابطه نصب Patch های ارائه شده توسط MBSA و يا Windows Update می باشد. در اين رابطه روش های متعددی بمنظور غيرفعال نمودن و يا اعمال محدوديت درارتباط با عملکرد RPC وجود دارد . استفاده از آدرس http://www.ntbugtraq.com/dcomrpc.asp در اين رابطه می تواند مفيد باشد . لازم است به اين نکته مهم اشاره گردد که غيرفعال نمودن و يا اعمال محدوديت در رابطه با نحوه عملکرد RPC ، می تواند باعث از کار افتادن برخی سرويس ويندوز گردد ، بنابراين پيشنهاد می گردد که در ابتدا تغييرات مورد نظر خود را يک سيستم غيرعملياتی انجام و پس از اطمينان از صحت عملکرد ، آنان را بر روی سيستم اصلی اعمال نمود.در صورتيکه امکان Patch نمودن سيستم وجود نداشته باشد ، می بايست پورت های مرتبط با RPC در ويندوز ( پورت های 135 و139 و 445 و 593 مربوط به TCP و پورت های 135 ، 137 ، 138 ، و 445 مربوط به UDP) را بلاک نمود.
بمنظور آشنائی با نحوه اعمال محدوديت دستيابی به ريجستری ويندوز و ساير موارد اشاره شده در رابطه با نقطه آسيب پذير Windows Remote Access Services ، می توان از منابع اطلاعاتی زير استفاده نمود:
- Microsofts HotFix & Security Bulletin Service
- نحوه استفاده از ويندوز XP و Windows Server 2003 Registry Editor
- Network access: Remotely accessible registry paths and subpaths
- Windows Server 2003 Security Guide
در بخش چهارم اين مقاله به بررسی ساير نقاط آسيب پذير ويندوز خواهيم پرداخت .