مهمترين نقاط آسيب پذير ويندوز

شروع موضوع توسط esmaeili در ‏5/3/15 در انجمن ویندوز

  1. esmaeili

    esmaeili Registered User

    تاریخ عضویت:
    ‏5/1/15
    ارسال ها:
    15,045
    تشکر شده :
    103
    امتیاز:
    0
    محل سکونت:
    مشهد
    پس انداز شما
    انجمن های تخصصی موبایل راژان:

    مهمترين نقاط آسيب پذير ويندوز ( بخش اول )


    سيستم عامل، يکی از عناصر چهار گانه در يک سيستم کامپيوتری است که دارای نقشی بسيار مهم و حياتی در نحوه مديريت منابع سخت افزاری و نرم افزاری است . پرداختن به مقوله امنيت سيستم های عامل ، همواره از بحث های مهم در رابطه با ايمن سازی اطلاعات در يک سيستم کامپيوتری بوده که امروزه با گسترش اينترنت ، اهميت آن مضاعف شده است . بررسی و آناليز امنيت در سيستم های عامل می بايست با ظرافت و در چارچوبی کاملا" علمی و با در نظر گرفتن تمامی واقعيت های موجود ، انجام تا از يک طرف تصميم گيرندگان مسائل استراتژيک در يک سازمان قادر به انتخاب مستند و منطقی يک سيستم عامل باشند و از طرف ديگر امکان نگهداری و پشتيبانی آن با در نظر گرفتن مجموعه تهديدات موجود و آتی ، بسرعت و بسادگی ميسر گردد .
    اکثر کرم ها و ساير حملات موفقيت آميز در اينترنت ، بدليل وجود نقاط آسيب پذير در تعدادی اندک از سرويس های سيستم های عامل متداول است . مهاجمان ، با فرصت طلبی خاص خود از روش های متعددی بمنظور سوء استفاده از نقاط ضعف امنيتی شناخته شده ، استفاده نموده و در اين راستا ابزارهای متنوع ، موثر و گسترده ای را بمنظور نيل به اهداف خود ، بخدمت می گيرند . مهاجمان ، در اين رهگذر متمرکز بر سازمان ها و موسساتی می گردند که هنوز مسائل موجود امنيتی ( حفره ها و نقاط آسيب پذير ) خود را برطرف نکرده و بدون هيچگونه تبعيضی آنان را بعنوان هدف ، انتخاب می نمايند . مهاجمان بسادگی و بصورت مخرب ، کرم هائی نظير : بلستر ، اسلامر و Code Red را در شبکه منتشر می نمايند. آگاهی از مهمترين نقاط آسيب پذير در سيستم های عامل ، امری ضروری است . با شناسائی و آناليز اينگونه نقاط آسيب پذير توسط کارشناسان امنيت اطلاعات ، سازمان ها و موسسات قادر به استفاده از مستندات علمی تدوين شده بمنظور برخورد منطقی با مشکلات موجود و ايجاد يک لايه حفاظتی مناسب می باشند.
    در مجموعه مقالاتی که ارائه خواهد شد ، به بررسی مهمترين نقاط آسيب پذير ويندور خواهيم پرداخت . در اين راستا ، پس از معرفی هر يک از نقاط آسيب پذير ، علت وجود ضعف امنيتی ، سيستم های عامل در معرض تهديد ، روش های تشخيص آسيب پذيری سيستم و نحوه مقابله و يا پيشگيری در مقابل هر يک از نقاط آسيب پذير ، بررسی می گردد .همزمان با ارائه مجموعه مقالات مرتبط با ويندوز ( پنج مقاله ) ، به بررسی مهمترين نقاط آسيب پذير در يونيکس و لينوکس ، طی مقالات جداگانه ای خواهيم پرداخت .
    همانگونه که اشاره گرديد ، اغلب تهديدات و حملات ، متاثر از وجود نقاط آسيب پذير در سيستم های عامل بوده که زمينه تهاجم را برای مهاجمان فراهم می آورد . شناسائی و آناليز نقاط آسيب پذير در هر يک از سيستم های عامل ، ماحصل تلاش و پردازش دهها کارشناس امنيتی ورزيده در سطح جهان است و می بايست مديران سيستم و شبکه در يک سازمان بسرعت با آنان آشنا و اقدامات لازم را انجام دهند.
    نقاط آسيب پذير موجود در هر سيستم عامل که در ادامه به آنان اشاره می گردد ، سندی پويا و شامل دستورالعمل های لازم بمنظور برخورد مناسب با هر يک از نقاط آسيب پذير و لينک هائی به ساير اطلاعات مفيد و تکميلی مرتبط با ضعف امنيتی است .


    مهمترين نقاط آسيب پذير ويندوز : ويندوز ، يکی از سيستم های عامل رايج در جهان بوده که امروزه در سطح بسيار وسيعی استفاده می گردد . تا کنون حملات متعددی توسط مهاجمين متوجه سيستم هائی بوده است که از ويندوز ( نسخه های متفاوت ) بعنوان سيستم عامل استفاده می نمايند . با توجه به حملات متنوع و گسترده انجام شده ، می توان مهمترين نقاط آسيب پذير ويندوز را به ده گروه عمده تقسيم نمود :


    • Internet Information Services (IIS)

    • Microsoft SQL Server (MSSQL )

    • Windows Authentication

    • Internet Explorer (IE )

    • Windows Remote Access Services

    • Microsoft Data Access Components (MDAC)

    • Windows Scripting Host (WSH)

    • Microsoft Outlook Outlook Express

    • Windows Peer to Peer File Sharing (P2P)

    • Simple Network Management Protocol (SNMP)
    در بخش اول اين مقاله ، به بررسی IIS وMSSQL (موارد يک و دو) ، خواهيم پرداخت .

    اولين نقطه آسيب پذير : ( Internet Information Services (IISنصب برنامه IIS با تنظيمات و پيکربندی پيش فرض ، آسيب پذيری خود را در موارد متعددی به اثبات رسانده و می تواند زمينه تهديدات زير را فراهم نمايد :


    • غير فعال نمودن سرويس ( DoS )
    • نمايش و بمخاطره انداختن فايل ها و داده های حساس
    • اجراء دستورات خودسرانه ( اختياری )
    • بمخاطره انداختن کامل سرويس دهنده
    IIS از پتانسل شناخته شده ISAPI ( فايل هائی با انشعاب DLL که به آنان فيلترهای ISAPI هم گفته می شود ) بمنظور همبستگی و ارتباط با فايل هائی که دارای انشعاباتی خاص می باشند ، استفاده می نمايد . پيش پردازنده هائی نظير ColdFusion و PHP از ISAPI استفاده می نمايند.IIS ، از فيلترهای ISAPI ديگر برای انجام عمليات مرتبط با ASP)Active Server Pages ، ( SSI)Server Side Includes) و اشتراک چاپ مبتنی بر وب ، استفاده می نمايد.تعداد زيادی از فيلترهای ISAPI ، مستلزم عمليات خاص و جداگانه ای برای نصب نبوده و عملا" بصورت پيش فرض و در زمان نصب IIS بر روس سيستم مستقر ( نصب ) می گردند . اکثر فيلترهای فوق ، قابل سوء استفاده توسط مهماجمان می باشند. Code red و Code Red 2 ، نمونه هائی از برنامه های مخرب می باشند که از ضعف فوق در جهت پيشبرد اهداف خود استفاده نموده اند .
    IIS نيز نظير ساير سرويس دهندگان وب ، شامل برنامه های نمونه ای است که بمنظور اثبات توانائی سرويس دهنده وب ، طراحی شده اند . در طراحی برنامه های فوق ، عملکرد آنان با لحاظ نمودن مسائل امنيتی در يک محيط عملياتی و توليدی مورد توجه قرار نگرفته است . برخی ازنمونه برنامه های ارائه شده بهمراه IIS ، امکان مشاهده و بازنويسی فايل های دلخواه ويا دستيابی از راه دور به اطلاعات حساس نظير رمز عبور مديريت سيستم را فراهم می نمايند .
    عدم بهنگام سازی و نگهداری مناسب IIS پس از نصب اوليه ، از ديگر مواردی است که زمينه تهاجم برای مهاجمان را فراهم می آورد .مثلا" نقاط آسيب پذير WebDAV ntdll.dll در IIS 5.0 ، امکان حملات از نوع DoS ( غيرفعال نمودن سرويس ) را فراهم و مهاجمان در ادامه قادر به ايجاد و اجرای اسکريپت های مورد نظر خود بر روی سرويس دهنده می گردند . در مواردی ديگر و با توجه به نقاط آسيب پذير موجود ، مهاجمان قادر به اجرای دستورات دلخواه خود بر روی سرويس دهنده می باشند ( درخواست دقيق و ماهرانه آدرس های URL ) .
    امکانات و پتانسيل هائی که در ادامه و با توجه به ضرورت بر روی IIS نصب می گردند ( نظير ColdFusion و PHP ) نيز می تواند زمينه بروز نقاط آسيب پذير جديدی را فراهم نمايد .اينگونه نقاط آسيب پذير، می تواند بدليل عدم پيکربندی صحيح و يا وجود ضعف و اشکال امنيتی در محصول نصب شده ای باشد که به IIS نيز سرايت می نمايد ( توارث مشکلات و ضعف های امنيتی از يک محصول به محصول ديگر) .

    سيستم های عامل در معرض تهديد :

    • ويندوز NT 4.0 که از IIS 4.0 استفاده می نمايد .
    • ويندوز 2000 سرويس دهنده که از IIS 5.0 استفاده می نمايد .
    • ويندوز XP نسخه Professional که از نسخه IIS 5.1 استفاده می نمايد .
    در رابطه با نقطه آسيب پذير فوق بر روی ويندوز 2003 که از IIS 6.0 استفاده می نمايد ، تاکنون گزارشی ارائه نشده است .

    نحوه تشخيص آسيب پذيری سيستم در صورتيکه برنامه IIS بصورت پيش فرض و استاندارد نصب و يا Patch های مربوطه بر روی آن نصب نشده باشند ، آسيب پذيری برنامه فوق در مقابل حملات قطعی خواهد بود . مديران سيستم وشبکه که مسئوليت نصب ، نگهداری و بکارگيری IIS را بر عهده دارند ، می بايست خود را با جديدترين ابزارهای مايکروسافت و مستندات امنيتی ارائه شده در رابطه با مديريت مناسب IIS ، بهنگام نمايند. در اين رابطه می توان بمنظور دستيابی به مستندات امنيتی مرتبط با IIS از مرکز امنيتی IIS شرکت مايکروسافت استفاده نمود. پيشنهاد می گردد ، برنامه Microsoft BaseLine Security Analyzer را که شامل روتين های حفاظتی مناسب و مرتبط به IIS می باشد را دريافت و از آن بمنظور بررسی وضعيت امنيتی IIS استفاده بعمل آيد . مديران شبکه ، می بايست با استفاده از منابع اطلاعاتی متعدد ارائه شده نظير : Checklists ، مستنداتی که توصيه های لازم در جهت ارتقاء سطح امنيتی را ارائه و مستندات آموزشی نقاط آسيب پذير که توسط مايکروسافت ارائه شده است ، دانش خود را بهنگام و با دنبال نمودن فرآيندهای مناسب فنی ، از صحت عملکرد امنيتی IIS بر روی سيستم های سازمان خود اطمينان حاصل نمايند.مقايسه وضعيت موجود IIS با وضعيت مطلوب ، يکی از روش هائی است که می تواند در اين زمينه مفيد واقع گردد .


    نحوه حفاظت در مقابل نقطه آسيب پذير نصب آخرين Patch ارائه شده : در اولين مرحله ، می بايست سيستم را با استفاده از Patch های ارائه شده ، بهنگام نمود. Patching يک سرويس دهنده نصب شده ، امری ضروری است ولی بتنهائی کافی نخواهد بود . بموازات کشف نقاط ضعف جديد در IIS ، می بايست از Patch مربوطه بسرعت استفاده گردد. Windows Update و AutoUpdate گزينه هائی مناسب بمنظور بهنگام سازی IIS با توجه به آخرين Patch های ارائه شده است .
    برنامه ( HFNetChk ( Network Security Hotfix Checker ، به مديران سيستم کمک لازم در پويش و بررسی محلی و يا از راه دور سيستم ها برای Patch های موجود را ارائه می نمايد . ابزار فوق ، قابل استفاده بر روی ويندوز NT 4.0 ، ويندوز 2000 و ويندوز XP می باشد . آخرين نسخه ابزار فوق را می توان از آدرس http://www.microsoft.com/technet/security/tools/hfnetchk.asp دريافت کرد .
    در صورتيکه از برنامه های اضافه شده ای نظير CouldDusion ،PerlIIS و يا PHP بهمراه IIS استفاده می گردد ، لازم است به سايت های عرضه کنندگان هر يک از محصولات فوق مراجعه و نسبت به آخرين patch ارائه شده در رابطه با هر محصول آگاه و آنان را با توجه به توصيه های انجام شده بر روی سيستم نصب نمود . امکان Windows Update و ساير سرويس های بهنگام سازی ارائه شده توسط مايکروسافت ، شامل Patch های لازم و مرتبط با محصولات اضافه شده ساير شرکت ها در برنامه IIS مايکروسافت نبوده و لازم است مديران سيستم بهنگام سازی محصولات اضافه شده ( غير مايکروسافت ) در IIS را خود راسا" انجام دهند .
    استفاده از برنامه کمکی IIS Lockdown بمنظورنصب مطمئن تر : مايکروسافت ، ابزاری ساده بمنظور ايمن سازی نصب IIS را ارائه که ويزارد IIS Lockdown ناميده می شود. نسخه موجود را می توان از آدرس http://www.microsoft.com/technet/security/tools/locktool.asp ، دريافت نمود. با اجرای برنامه فوق در حالت " Custom " و يا " Expert" ، می توان تغييرات مورد نظر خود را در ارتباط با نصب IIS مشخص نمود. بدين ترتيب ، امکان اعمال تغييرات زير در رابطه با نصب IIS ، فراهم می گردد :


    • غير فعال نمودن WebDAV ( مگر اينکه محيط مورد نظر شما به وجود آن برای نشر محتوی وب ، نياز داشته باشد )
    • غير فعال نمودن ISAPI extensions های غير ضروری ( نظير : htr، .idq , .ism ، .printer . )
    • حذف نمونه برنامه های ارائه شده بهمراه IIS
    • منع سرويس دهنده وب از اجراء دستورات سيستمی متداول که عموما" توسط مهاجمان استفاده می گردد( نظير cmd.exe و يا tftp.exe ) .
    استفاده از URLScan بمنظور فيلتر نمودن درخواست های HTTP : تعدادی زيادی از حملات مرتبط با نقاط آسيب پذير IIS نظير Code Blue و خانواده Code Red ، از کدهای مخربی که بصورت درخواست های HTTP سازماندهی می شوند،استفاده می نمايند( حملاتی از نوع Buffer Overflow ) . فيلتر URLScan را می توان بگونه ای پيکربندی نمودکه باعث عدم پذيرش اينچنين درخواست هائی قبل از پردازش آنان توسط سرويس دهنده باشد.برنامه فوق،بهمراه ويزارد IIS Lockdown ارائه ولی می توان آن را از آدرس : http://www.microsoft.com/technet/security/tools/urlscan.asp نيز دريافت کرد .


    srco.ir
     
  2. esmaeili

    esmaeili Registered User

    تاریخ عضویت:
    ‏5/1/15
    ارسال ها:
    15,045
    تشکر شده :
    103
    امتیاز:
    0
    محل سکونت:
    مشهد
    پس انداز شما
    دومين نقطه آسيب پذير : ( Microsoft SQL Server (MSSQL
    سرويس دهنده SQL مايکروسافت ( MSSQL ) ، دارای چندين نقطه آسيب پذير جدی است که امکان دريافت اطلاعات حساس، تغيير در محتويات بانک اطلاعاتی وبمخاطره انداختن حيات سرويس دهندگان SQL توسط مهاجمان را فراهم می نمايد . در برخی موارد خاص و بدليل عدم پيکربندی صحيح سيستم ، ميزبانان سرويس دهنده نيز ممکن است در معرض تهديد و آسيب قرار گيرند . نقاط آسيب پذير MSSQL ، مورد توجه خاص عموم مهاجمان بوده و آنان بسرعت از ضعف های امنيتی کشف شده در جهت اهداف خود استفاده می نمايند. دو کرم SQLSnake/Spida و SQL-Slammer/SQL-Hell/Sapphire در ساليان اخير ( سال های 2002 و 2003 ) از نقاط ضعف شناخته شده MSSQL استفاده و توانستند در مدت زمان کوتاهی حملات گسترده ای را با توجه به نقظه آسيب پذير فوق ،انجام دهند. ميزبانان آلوده به کرم ها ی فوق ، بمنظور گسترش آلودگی و جستجو جهت يافتن ساير سيستم های آسيب پذير ، ترافيک شبکه را در حد بالائی افزايش داده بودند( اشغال درصد بسيار بالائی از پهنای باند محيط انتقال ). برای دريافت اطلاعات تکميلی در رابطه با کرم های فوق ، می توان از منابع و آدرس های زير استفاده نمود :


    اطلاعات تکميلی در رابطه با کرم SQLSnake/Spida ( فعال شده در May 2002 ) :



    اطلاعات تکميلی در رابطه با کرم SQL-Slammer/SQL-Hell/Sapphire ( فعال شده در تاريخ January 2003 ) :



    براساس گزارش ارائه شده توسط Internet Storm Center ، پورت های 1433 و 1434 ( پورت های پيش فرض سرويس دهنده MSSQL ) ، از جمله پورت هائی می باشند که بصورت دائم توسط مهاجمين مورد بررسی ( نگاه موشکافانه ) قرار می گيرد. نحوه عملکرد کرم SQLSnake ، به account مديريتی پيش فرض ( sa" account" که دارای يک رمز عبور Null می باشد ) بستگی دارد.در اين رابطه لازم است پيکربندی سيستم بطرز صحيحی انجام و هر يک از سيستم های موجود بمنظور حصول اطمينان از دارا بودن رمز عبور مرتبط با account مربوطه بررسی و بدرستی حفاظت گردند . در صورتيکه از account خاصی استفاده نمی شود ، می بايست نسبت به غير فعال نمودن آنان اقدام گردد.. بمنظوردريافت اطلاعات تکميلی در رابطه تنظيم و مديريت sa Account ، می توان از مستندات ارائه شده در آدرس " Changing the SQL Sever Administrator Login " استفاده نمود . sa Account ، می بايست دارای يک رمز عبور پيچيده بوده که حدس و تشخيص آن مشکل باشد( حتی اگر از آن بمنظور اجراء SQL/MSDE استفاده نمی شود ) .
    نحوه عملکرد کرم SQL Slammer ، بر اساس يک Buffer Overflow در SQL Server Resolution Service است . Buffer Overflow فوق ، موجب گسترش ( حمل ) مشکل از سيستمی به سيستم ديگر شده و در اين راستا امنيت ميزبان زمانيکه کرم اقدام به ارسال بسته های اطلاعاتی تهديد آميز خود به پورت 1434 سيستم های مقصد آسيب پذير می نمايد، در معرض تهديد و آلودگی قرار می گيرد. در صورتيکه بر روی يک ماشين ، سرويس هائی از SQL اجراء که مرتبط با اين نوع Stack Buffer Overflow می باشند و بسته های اطلاعاتی خود را بر اساس واقعيت فوق دريافت می نمايد ، تمامی سيستم ها و سرويس دهندگان در معرض تهديد قرار خواهند گرفت .موثرترين روش دفاع در مقابل کرم فوق، Patching مستمر ، اقدامات لازم در جهت پيکربندی سيستم بصورت کنشگرايانه ، پيشگيری سيستم بصورت پويش های ادواری و فيلترينگ پورت 1434 مربوط به UDP در gatway های شبکه است ( اجازه ورود و خروج بسته های اطلاعاتی مرتبط با پورت اشاره شده ) .
    عملکرد Microsoft Server 2000 Desktop Engine ) ، MSDE 2000)، را می توان بعنوان " SQL Server Lite" ( زير بناء سرويس دهنده SQL ) در نظرگرفت . تعداد زيادی از صاحبان سيستم حتی نسبت به اين موضوع که بر روی سيستم آنان MSDE اجراء و آنان دارای يک نسخه از SQL Server نصب شده بر روی سيستم می باشند ، آگاهی و شنخت مناسبی را ندارند. MSDE 2000 ، بعنوان يکی از اجزاء اساسی بهمراه محصولات زير نصب می گردد :


    • SQL/MSDE Server 2000 (Developer, Standard and Enterprise Editions)
    • Visual Studio .NET (Architect, Developer and Professional Editions)
    • ASP.NET Web Matrix Tool
    • Office XP
    • Access 2002
    • Visual Fox Pro 7.0/8.0

    علاوه بر موارد فوق،نرم افزارهای متعدد ديگری وجود دارد که از MSDE 2000 استفاده می نمايند . برای مشاهده ليست تمامی محصولات مربوطه ، می توان از اطلاعات موجود در آدرس : http://www.SQLsecurity.com/forum/applicationslistgridall.aspx استفاده نمود . باتوجه به اينکه، نرم افزارهای فوق ، از MSDE بعنوان هسته اساسی بانک اطلاعاتی استفاده می نمايند ، آنان نيز دارای نقاط آسيب پذير مشابه سرويس دهنده SQL/MSDE خواهند بود.پيکربندی MSDE 2000 را می توان بگونه ای انجام داد که با استفاده از روش های مختلف به درخواست های اتصال به بانک اطلاعاتی توسط سرويس گيرندگان،گوش داده شود. مثلا" پيکربندی فوق را می توان بصورتی انجام داد که سرويس گيرندگان قادر به استفاده از named pipes بر روی يک NetBIOS Session ( پورت 139/445 پورت TCP ) بوده و يا از سوکت هائی که سرويس گيرندگان با استفاده از پورت 1433 مربوط به TCP به آن متصل می گردند ( امکان استفاده از هر دو رويکرد اشاره شده نيز وجود دارد ) . صرفنظر ازروش انتخابی ، سرويس دهنده SQL و MSDE همواره به پورت 1434 مربوط به UDP گوش خواهند داد . پورت فوق بعنوان يک پورت هماهنگ کننده طراحی شده است . سرويس گيرندگان يک پيام را برای پورت فوق ارسال تا نحوه اتصال سرويس گيرنده به سرويس دهنده ، مشخص گردد .
    هسته MSDE 2000 ،در موارديکه با يک بسته اطلاعاتی تک بايتی 0x02 ، بر روی پورت 1434 مربوط به UDP مواجه گردد ، اطلاعاتی در رابطه با خود را برمی گرداند . ساير بسته های اطلاعاتی تکی بايت بدون اينکه الزامی به تائيد آنان برای سرويس دهنده وجود داشته باشد،باعث بروز يک Buffer overflow می گردند .با توجه به اينکه سازماندهی حملات ازاين نوع بر اساس UDP انجام خواهد شد ، وضعيت تهاجم فوق وخيم تر خواهد شد . (صرفنظر از اينکه پردازه های MSDE 2000 در يک بافتار امنيتی مربوط به يک Domain User و يا account مربوط به Local System اجراء می گردند). استفاده موفقيت آميز از حفره های امنيتی موجود ، می تواند سيستم مقصد را در معرض مخاطره و تهديد قرار دهد .
    با توجه به اينکه SQL Slammer از يک Buffer overflow بر روی سيستم مقصد استفاده می نمايد ،استفاده مستمر از Patching و پيکربندی دقيق سيستم ، کمک لازم در جهت کاهش تهديد فوق را ارائه می نمايد . با دريافت و استفاده از ابزارهای دفاعی نظير : Microsoft SQL Critical Update Kit ، می توان تمام Domain و يا شبکه های شامل سيستم های آسيب پذير را بررسی و بصورت فايل های متاثر را بهنگام نمود. برای آشنائی و آناليز جزيئات مربوط به کرم اسلامر SQL/MSDE ، می توان از آدرس Incidents.org استفاده نمود .


    سيستم های عامل در معرض تهديد : هر يک از نسخه های ويندوز که بهمراه آنان SQL/MSDE Server 7.0 ، SQL/MSDE Server 2000 و يا Microsoft SQL/MSDE Desktop Engine 2000 نصب شده باشد و هر سيستم نرم افزاری ديگری که بصورت جداگانه از موتور MSDE 2000 استفاده می نمايد، در معرض اين تهديد و آسيب قرار خواهد شد .


    نحوه تشخيص آسيب پذيری سيستم شرکت مايکروسافت مجموعه ای از ابزارهای امنيتی را در اين رابطه ارائه که می توان از طريق آدرس http://www.microsoft.com/sql/downloads/securitytools.asp به آنان دستيابی پيدا نمود . Toolkit ارائه شده ،SQL Critical Update Kit ناميده شده و شامل ابزارهائی نظير SQL Scan و SQL Critical Update است . سايت SqlSecurity.com نيز در اين رابطه ابزاری با نام SQLPingv2.2 را ارائه داده است .ابزار فوق ، يک بسته اطلاعاتی UDP تک بايتی ( مقدار بايت 0X02 ) را به پورت 1434 مربوط به يک ميزبان و يا تمامی Subnet ارسال می نمايد .سرويس دهندگان SQL که به پورت UDP 1434 گوش می دهند ، به آن پاسخ لازم را داده و اطلاعاتی در ارتباط با سيستم نظير شماره نسخه و ساير موارد مربوطه را اعلام می نمايد . عملکرد نرم افزار فوق مشابه Microsoft SQL Scan است .


    نحوه حفاظت در مقابل نقطه آسيب پذير :بمنظور حفاظت سيستم ها در مقابل نقطه آسيب پذير فوق ، عمليات زير را دنبال می نمائيم :





      • غير فعال نمودن SQL/MSDE Monitor Service در پورت UDP 1434 . بمنظورانجام خواسته فوق، می توان اقدام به نصب و استفاده از قابليت های ارائه شده بهمراه SQL Server 2000 Service Pack 3a نمود. موتور MSDE 2000 دارای دو نقطه آسيب پذير Buffer Overflow است که می تواند توسط يک مهاجم استفاده و از راه دور و بدون هيچگونه الزامی جهت تائيد کاربر، به سرويس دهنده متصل و يک تهاجم از طريق UDP را باعث شود. صرفنظر از اينکه پردازه های MSDE 2000 در بافتار امنيتی يک Domain User و يا account مربوط به Local System اجراء می گردند ، استفاده موفقيت آميز از حفره های امنيتی موجود، ممکن است سيستم مقصد را در معرض مخاطره و تهديد قرار دهد . کرم MS-SQL/MSDE Slammer يک بسته اطلاعاتی شامل 376 بايت را از طريق پورت UDP 1434 برای مقصد مورد نظر خود که بصورت تصادفی انتخاب می گردد، ارسال می نمايد. سيستم های در معرض تهاجم پس از آلودگی ، اقدام به ارسال بسته های اطلاعاتی مشابه 376 بايتی می نمايند . کرم فوق ، ترافيک موجود در شبکه را افزايش خواهد داد .آدرس های IP که بصورت تصادفی انتخاب می گردند ، از نوع multicast بوده و در نهايت يک تهاجم از نوع DoS ( غير فعال نمودن يک سرويس ) بر روی شبکه مقصد، محقق خواهد شد. بر اساس گزارشات ثبت شده ، يک ماشين آلوده بيش از پنجاه MB/Sec از ترافيک شبکه رابخود اختصاص و عملا" امکان انجام ساير عمليات بر روی شبکه سلب می گردد.
      • بکارگيری آخرين Service Pack برای سرويس دهنده SQL/MSDE و MSDE 2000 . آخرين نسخه های Service Pack در رابطه با سرويس دهنده SQL/MSDE عبارتند از :
        - SQL/MSDE Server 7.0 Service Pack 4
        - MSDE/SQL Server 2000 Service Pack 3a
        بمنظور اطمينان از بهنگام بودن سيستم می توان از " Make Your SQL/MSDE Servers Less Vulnerable " استفاده نمود.
      • بکارگيری آخرين Patch ارائه شده پس از آخرين Service Pack . بمنظور آگاهی از آخرين Patch های ارائه شده برای تمامی نسخه های سرويس دهنده SQL/MSDE/MSDE می توان از بولتن امنيتی ارائه شده توسط مايکروسافت استفاده نمود . بمنظور اطمينان از نصب آخرين Patch موجود در رابطه با سرويس دهنده SQL/MSDE می توان از آدرس های زير استفاده کرد :
        - Microsoft SQL/MSDE Server 7.0
        - Microsoft SQL Server 2000
        - MSDE Server Desktop Engine 2000 (MSDE 2000)
      • فعال نمودن SQL Server Authentication Logging . امکان فوق عموما" غير فعال است . بمنظور فعال نمودن آن می توان از طريق برنامه Enterprise Manager اقدام نمود( Server Properties|Tab Security )
      • ايمن سازی سرويس دهنده در سطح سيستم و شبکه . يکی از متداولترين حملات MSSQL/MSDE ، برخاسته از account مديريتی پيش فرض ( شناخته شده با نام "sa" ) بوده که دارای يک رمز عبور تهی ( blank ) است. در صورتيکه sa Account مربوط به SQL/MSDE دارای رمز عبور حفاظت شده ای نمی باشد ، سيستم در معرض تهديد جدی قرار خواهد داشت . لازم است در اين راستا از پيشنهادات ارائه شده در بخش System Administrator(SA) Login مربوط به SQL/MSDE Server Book Online استفاده تا اطمينان لازم در خصوص مطمئن بودن رمز عبور sa Account حاصل گردد . ( حتی اگر سرويس دهنده SQL/MSDE مربوطه از account فوق استفاده نمی نمايد، نيز می بايست اقدامات امنيـتی لازم ضورت پذيرد ) . با استفاده از مستندات ارائه شده در MSDN مايکروسافت و در بخش Changing the SQL Server Administrator Login ، و Verify and Change the System Administrator Password by Using MSDE می توان از آخرين امکانات و توصيه های ارائه شده بمنظور پيکربندی و تنظيم مناسبsa Account ، استفاده نمود .
      • به حداقل رساندن امتيازات مربوط به سرويس MSSQL/MSDE و سرويس دهنده SQL/MSDE Server Agent. در اين رابطه پيشنهاد می گردد که سرويس MSSQL/MSDE سرويس دهنده و SQL/MSDE Server Agent ، تحت يک Valid Domain account با حداقل امتيازات مربوط اجراء گردد( نه بعنوان يک domain administrator و يا SYSTEM ( در ويندوز NT ) و يا LocalSystem ( در ويندوز 2000 و يا XP ) ) . يک سرويس در معرض آسيب که بهمراه امتيازات محلی و يا Domain اجراء می گردد ،به يک مهاجم امکان کنترل کامل سيستم و يا شبکه را خواهد داد . در اين رابطه موارد زير پيشنهاد می گردد :
        -فعال نمودن Windows NT Authenticationوauditing برای Login های موفقيت آميز و يا با شکست مواجه شده ، در ادامه سرويس MSSQL/MSDEServer رامتوقف و مجددا" آنان را فعال نمائيد . در صورت امکان ، پيکربندی سرويس گيرندگان را بگونه ای انجام دهيد که از NT Authentication استفاده نمايند .
        - فيلترينگ بسته های اطلاعاتی می بايست در محدوده های مرزی شبکه انجام تا پيشگيری و ممانعت لازم در خصوص اتصالات ورودی و خروجی غير مجاز به MSSQL و مرتبط با سرويس های خاص صورت پذيرد . فيلترينگ نقطه ورود و خروج پورت های 1434 و 1433 مربوط به TCP/UDP می تواند باعث ممانعت مهاجمان داخلی و يا خارجی از پويش و آلودگی سرويس دهندگان SQL/MSDE که دارای پتانسيل آسيب پذيری می باشند، گردد .
        - درصورتيکه لازم است از پورت های 1433 و 1434 مربوط به TCP/UDP استفاده گردد ، می بايست فيلترينگ مناسبی در ارتباط با استفاده نادرست از پورت های فوق را انجام داد .
    بمنظور آگاهی از ايمن سازی سرويس دهنده SQL/MSDE ، می توان از آدرس های زير استفاده نمود :


     
  3. esmaeili

    esmaeili Registered User

    تاریخ عضویت:
    ‏5/1/15
    ارسال ها:
    15,045
    تشکر شده :
    103
    امتیاز:
    0
    محل سکونت:
    مشهد
    پس انداز شما
    مهمترين نقاط آسيب پذير ويندوز ( بخش دوم )


    در بخش اول اين مقاله به بررسی دو مورد از نقاط آسيپ پذير ويندوز پرداخته گرديد . در اين بخش به بررسی سومين نقطه آسيب پذير ويندوز ، اشاره می گردد.
    سومين نقطه آسيب پذير : Windows Authenticationاستفاده از رمزعبور، روش های تائيد کاربر و کدهای امنيتی در هر گونه تعامل ارتباطی بين کاربران وسيستم های اطلاعاتی ، امری متداول و رايج است . اکثر روش ها ی تائيد کاربران ، نظير حفاظت فايل و داده ، مستقيما" به رمزهای عبور ارائه شده توسط کاربران ، بستگی خواهد داشت . پس از تائيد کاربران ، امکان دستيابی آنان به منابع مشخص شده فراهم و هر يک از آنان با توجه به امتيازات و مجوزهای نسبت داده شده ، قادر به استفاده از منابع موجودخواهند بود. در اغلب موارد ، فعاليت کاربرانی که مجاز بودن آنان برای دستيابی به منابع ، تائيد شده است ، لاگ نشده و يا در صورتيکه فعاليت آنان ثبت گردد ، کمتر سوء ظنی به آنان می تواند وجود داشته باشد . ( آنان پس از تائيد وارد ميدانی شده اند که بدون هيچگونه رديابی ، قادر به انجام فعاليت های گسترده ای خواهند بود) . بنابراين ، رمز عبور دارای نقشی حياتی و اساسی در ايجاد اولين سطح دفاع در يک سيستم اطلاعاتی بوده و از دست رفتن رمز عبور و يا ضعف آن می تواند سيستم را در معرض تهديدات جدی قرار دهد . مهاجمان پس از دستيابی به رمز عبور کاربران تائيد شده ( استفاده از مکانيزم های متفاوت ) قادر به دستيابی منابع سيستم و حتی تغيير در تنظيمات ساير account های تعريف شده و موجود بر روی سيستم خواهند بود،عملياتی که می تواند پيامدهای بسيار منفی را بدنبال داشته باشد . پس می بايست بپذيريم که وجود يک account ضعيف و يا فاقد رمز عبور می تواند تهديدی جدی در يک سازمان باشد . در اين راستا علاوه بر اينکه می بايست از پتانسيل های ارائه شده توسط سيستم عامل با دقت استفاده نمود ، ضروری است ، تابع يک سياست امنيتی تدوين شده در رابطه با رمز عبور در سازمان متبوع خود باشيم . تعريف و نگهداری يک account بهمراه رمز عبور مربوطه در سازمان ما تابع چه سياست امنيتی است ؟ مهمترين و متداولترين نقاط آسيب پذير در ارتباط با رمز عبور شامل موارد زير است :


    • Account تعريف شده دارای رمز عبور ضعيف و يا فاقد رمز عبور است .
    • عدم حفاظت مناسب کاربران از رمزهای عبور ،صرفنظر از استحکام رمزهای عبور تعريف شده .
    • سيستم عامل و يا ساير نرم افزارهای موجود ، امکان ايجاد account مديريتی ضعيف و فاقد رمز عبور را فراهم می نمايند .
    • الگوريتم های Hashing رمز عبور( رمزنگاری مبتنی بر کليد عمومی بر پايه يک مقدار hash ، استوار بوده و بر اساس يک مقدار ورودی که دراختيار الگوريتم hashing گذاشته می گردد ، ايجاد می گردد. در حقيقت مقدار hash ، فرم خلاصه شده و رمز شده ای از مقدار اوليه خود است ) ، شناخته شده بوده و در اغلب موارد مقدار Hashe بدست آمده ، بگونه ای ذخيره می گردد که امکان مشاهده آن توسط سايرين وجود خواهد داشت. مناسبترين نوع حفاظت در اين راستا ، تبعيت از يک سياست رمز عبور قدرتمند بوده که در آن دستورالعمل ها ی لازم برای تعريف يک رمز عبورمناسب مشخص و در ادامه با استفاده از ابزارهای موجود، بررسی لازم در خصوص استحکام و بی نقص بودن رمز عبور صورت گيرد.
    ويندوز، رمزهای عبور را بصورت متن شفاف ذخيره و يا ارسال نمی نمايد و در اين راستا از يک مقدار Hash متناظر با رمزعبور ، بمنظور تائيد کاربران ، استفاده می نمايد . يک مقدار Hash دارای طولی ثابت است که توسط بکارگيری يک تابع رياضی ( الگوريتم hashing ) بر روی حجم دلخواهی از داده ( message digest ناميده می شود) ايجاد می شود.در وينوز سه نوع الگوريتم تائيد وجود دارد :

    • LM ( ايمنی کمتر و سازگاری بيشتر )
    • NTLM
    • NTLMv2 ( ايمنی بيشتر و سازگاری کمتر )
    با اينکه اکثر محيط های فعلی ويندوز ، ضرورتی به حمايت از (Lan Manager (LM را ندارند، ولی ويندوز بصورت محلی رمز های عبور Hash شده مربوط به LM را ( LANMAN Hashes نيز ناميده می شود ) بصورت پيش فرض در ويندوز NT ، 2000و XP ( در ويندوز 2003 وضعيت بدين شکل نيست ) ذخيره می نمايد. با توجه به اينکهLM از يک مدل رمزنگاری بمراتب ضعيف تر نسبت به رويکردهای فعلی مايکروسافت ( NTLM,NTLMv2 ) ، استفاده می نمايد، رمزهای عبور LM می توانند در مدت زمانی کوتاه شکسته گردند. حتی رمزهای عبوری که دارای قدرت و استحکام مناسبی می باشند ، در کمتر از يک هفته با استفاده از روش هائی خاص و با اتکاء به قدرت سخت افزارهای موجود ، شکسته خواهند شد http://www.msdn.miscrosoft.com/library/default.asp?url=/library/en-us/security/Security/h_gly.asp


    ضعف LM hashes بدلايل زير است :

    • رمزهای عبور محدود به چهارده کاراکتر می باشند .
    • رمزهای عبور با استفاده از فضای خالی ، به چهارده کاراکتر تبديل می شوند .
    • رمزهای عبور تماما" به حروف بزرگ تبديل می گردند .
    • رمزهای عبور به دو بخش هفت کاراکتری مجزا تقسيم می گردند .
    با توجه به ماهيت فرآيند hashing ،يک مهاجم صرفا" می بايست عمليات تشخيص رمز عبور( cracking) را محدود به دو مجموعه نمايد که هر يک دارای هفت کاراکتر بوده که به حروف بزرگ تبديل شده اند . با تکميل عمليات فوق و اخد نتايج مثبت ، يک مهاجم قادر به تشخيص رمز عبور يک کاربر تائيد شده می گردد وبدين ترتيب ، امکان دستيابی وی به منابع سيستم فراهم خواهد شد. پيچيدگی عمليات تشخيص Hashe ، متنا سب با طول Hash افزايش می يابد ، بنابراين رشته هائی که صرفا" شامل هفت کاراکتر می باشند ، بمراتب راحت تر نسبت به رشته هائی که دارای چهارده کاراکتر می باشند ، تشخيص داده و اصطلاحا" شکسته می گردند. با توجه به اين موضوع که تمامی رشته ها شامل هفت کاراکتر بوده و تمامی آنان به حروف بزرگ نيز تبديل می گردند ، يک تهاجم به "سبک - ديکشنری" ( dictionary-style ) نيز بسادگی محقق و موفقيت آن تضمين شده خواهد بود. بنابراين، روش LM hashing ، آسيبی جدی را متوجه سياست های امنيتی رمز عبور نموده و سيستم را در معرض تهديد قرار خواهد داد .
    علاوه بر تهديد و خطر ذخيره سازی LM hashes در SAM ، فرآيند تائيد Lan Manager ، اغلب و بصورت پيش فرص بر روی سرويس گيرندگان فعال و توسط سرويس دهنده پذيرفته می گردد . لازم است به اين نکته اشاره گردد که ، ماشين هائی که بر روی آنان ويندوز نصب شده است ، قادر به استفاده از الگوريتم های hash بمراتب قويتر در مقابل روش ضعيف LM hashes بمنظور ارسال داده های حساس نظير رمز عبور می باشند .حداقل پيامد منفی استفاده از روش LM hashes ، آسيب پذيری سيستم تائيد کاربران در ويندوز بوده و قطعا" در چنين مواردی نمی توان به فرآيند تائيد کاربران ، اعتماد نمود چراکه در اين وضعيت عملا" امکان استراق سمع ( شنود اطلاعاتی ) فراهم و يک مهاجم قادر به تشخيص و بدست آوردن رمزهای عبور خواهد بود.

    سيستم های عامل در معرض تهديد : تمامی نسخه های ويندوز در معرض اين تهديد قرار دارند .


    نحوه تشخيص آسيب پذيری سيستم با اينکه دلايل و علل متفاوتی می تواند در در رابطه با ضعف رمز عبور مورد توجه قرار گيرد ، مثلا" وجود Account های فعال برای کاربرانی که سازمان خود را ترک نموده ويا سرويس هائی که اجراء نشده اند، ولی يکی از مناسبترين روش ها بمنظور آگاهی از استحکام يک رمز عبور ، بررسی و تست تمامی آنان در مقابل نرم افزارهای cracking رمزهای عبور استفاده شده توسط مهاجمان است . لازم است به اين نکته مهم اشاره گردد که از برنامه های تشخيص دهنده رمز عبور بر روی سيستم هائی که حتی مجوز دستيابی به آنان را داريد ، بدون اخذ مجوزهای لازم از مديران ارشد سيستم ، نمی بايست استفاده نمود. برای دريافت نمونه برنامه هائی در اين زمينه می توان از LC4 )l0phtcrack version 4) و John the Ripper استفاده کرد . صرفنظر از رويکرد ذخيره سازی محلی LAN Manager hash ، موارد زير می بايست موردتوجه قرار گيرد :


    • در صورتيکه ويندوز NT ، 2000و يا XP بصورت پيش فرض نصب شده اند،سيستم در معرض آسيب خواهد بود. در چنين مواردی Lan Manager hashes بصورت پيش فرض و محلی ذخيره می گردد.

    • در صورتيکه ، بدلايلی نيازمند تائيد مبتنی بر LM در يک سازمان بمنظور ارتباط با سرويس دهنده وجود داشته باشد ، سيستم مجددا" در معرض آسيب قرار خواهد گرفت .چراکه اين نوع از ماشين ها اقدام به ارسال LM hashes نموده و پتانسيل شنود اطلاعاتی در شبکه را ايجاد خواهند کرد.
    نحوه حفاظت در مقابل نقطه آسيب پذير :بهترين و مناسبترين دفاع در مقابل رمزهای عبور ضعيف ، استفاده از يک سياست مستحکم مشتمل بر دستورالعمل های لازم بمنظور ايجاد رمز عبور قدرتمند و بررسی مستمر آنان بمنظور اطمينان از استحکام و صحت عملکرد می باشد . در اين رابطه موارد زير پيشنهاد می گردد :


    • اطمينان ازاستحکام و انسجام رمز های عبور . با استفاده از سخت افزار مناسب و اختصاص زمان کافی ، می توان هر رمز عبوری را crack نمود. در اين راستا می توان با استفاده ازروش های ساده و در عين حال موفقيت آميز، عمليات تشخيص رمز عبور را انجام داد . اغلب برنامه های تشخيص دهنده رمزعبوراز روشی موسوم به "حملات مبتنی بر سبک ديکشنری " ، استفاده می نمايند. با توجه به اينکه روش های رمز نگاری تا حدود زيادی شناخته شده می باشند ، برنامه های فوق ، قادر به مقايسه شکل رمز شده يک رمز عبور در مقابل شکل های رمز شده کلمات ديکشنری می باشند( در زبان های متعدد و استفاده از اسامی مناسب بهمراه جايگشت های مختلف آنان ) . بنابراين ، رمز عبوری که ريشه آن در نهايت يک کلمه شناخته شده باشد ، دارای استعداد ذاتی در رابطه با اين نوع از حملات خواهد بود . تعداد زيادی از سازمان ها ، آموزش های لازم در خصوص نحوه تعريف رمزهای عبور را به کارکنان خود داده و به آنان گفته شده است که رمزهای عبور مشتمل بر ترکيبی از حروف الفبائی و کاراکترهای ويژه را برای خود تعريف نمايند.متاسفانه اکثر کاربران اين موضوع را رعايت ننموده و بمنظور تعريف يک رمز عبور با نام "password" ، صرفا" اقدام به تبديل حروف به اعداد و يا حروف ويژه می نمايند ( pa$$w0rd) . چنين جايگشت هائی نيز قادر به مقاومت در مقابل يک تهاجم مبتنی بر ديکشنری نبوده و "pa$$w0rd" به روش مشابهی که "password" تشخیص داده می شود ، crack خواهد شد .
      يک رمز عبور خوب ، نمی بايست از ريشه يک کلمه و يا نام شناخته شده ای اقتباس شده باشد .در اين راستا لازم است به کاربران آموزش لازم در خصوص انتخاب و ايجاد رمزهای عبور از موارد تصادفی نظير يک عبارت ، عنوان يک کتاب ،نام يک آواز و يا نام يک فيلم داده شود. با انتخاب يک رشته طولانی که بر اساس رويکردهای خاصی می تواند انتخاب گردد( گرفتن اولين حرف هر کلمه ، جايگزينی يک کاراکتر خاص برای يک کلمه ، حذف تمامی حروف صدادارو ساير موارد ) ، کاربران قادر به ايجاد رمزهای عبور مشتمل بر ترکيبی از حروف الفبائی و حروف ويژه بوده که در صورت مواجه شدن با حملات مبتنی بر ديکشنری ، تشخيص آنان بسختی انجام می شود. لازم است به اين نکته نيز اشاره گردد که رمزعبور می بايست براحتی بخاطر سپرده شده و بازيابی ( يادآوری)آن مشکل نباشد ( هدف از ذخيره سازی ، بازيابی است اگر چيزی را ذخيره نمائيم ولی در زمان مورد نظر قادر به بازيابی آن نباشيم ، سيستم ذخيره و بازيابی ما با اشکال مواجه شده است ! ). پس از تدوين دستورالعمل لازم بمنظور توليد رمزهای عبور مناسب و آموزش کاربران بمنظور پايبندی به اصول امنيتی تعريف شده ، می بايست از روتين ها ی جانبی متعددی بمنظور اطمينان از پيروی کاربران از دستوراالعمل های اعلام شده ، استفاده گردد. بهترين گزينه در اين راستا ، بررسی صحت رمزهای عبور پس از اعمال تغييرات توسط کاربران است .
      ويندوز 2000، XP و 2003 دارای ابزارهای قدرتمندی بمنظورافزايش توان سياست های امنيتی می باشند . در اکثر نسخه های ويندوز بمنظور مشاهده سياست تعريف شده در رابطه با رمز می توان از مسير زير استفاده و برنامه Local Security Policy را فعال نمود:

      Local Security Policy Program

      Start| Programs|Administrative Tools |Local Security Policy
      Select : Account Policies , Then Password Policy

      برنامه Local Security Policy دارای تنظيمات زير است :
      Password must meet complexity requirements ، با فعال نمودن سياست فوق ، رمزهای عبور ملزم به رعايت استانداردهای موجود بمنظور استحکام و پيچيدگی بيشتر در زمان ايجاد و يا تغيير می باشند. در چنين حالتی ، رمزهای عبور تعريف شده می بايست با لحاظ نمودن موارد زير ايجاد گردند:

      ◄ رمز عبور، نمی بايست شامل تمام و يا بخشی از نام account کاربر باشد .
      ◄ رمز عبور می بايست دارای حداقل شش کاراکتر باشد .
      ◄ رمز عبور می بايست شامل کاراکترهائی از سه گروه از چهار مجموعه زير باشد :
      ● حروف بزرگ الفبای انگليسی ( A تا Z )
      ● حروف کوچک الفبای انگليسی ( a تا z )
      ● ارقام پايه دهدهی ( رقم های 0 تا 9 )
      ● کاراکترهای غير الفبائی ( مثلا" ! ، $ ، # ، % )

      ( Enforce password history (range: 0-24 . اغلب کاربران تمايل دارند که پس از انقضاء تاريخ استفاده از رمز عبور خود ، مجددا" همان رمز عبور قبلی را تعريف و از آن استفاده نمايند . با استفاده از سياست فوق ، می توان مشخص نمود که در چه زمانی و پس از چندين رمز عبور تعريف شده جديد ، کاربران مجاز به استفاده از رمزهای عبور قبلی خود برای وضعيت جديد می باشند .بدين ترتيب ،مديران شبکه اطمينان لازم در خصوص عدم استفاده مستمر و دائمی يک رمز عبور توسط کاربران را بدست آورده و اين موضوع می تواند از زوايای مختلفی بهبود وضعيت امنيتی شبکه را بدنبال داشته باشد . بمنظور نگهداری موثر تاريخچه رمز عبور، نمی بايست امکان تغيير رمزهای عبور بلافاصله پس از پيکربندی سياست minimum password age ، وجود داشته باشد .
      ( Maximum password age (range: 0-999 days . سياست فوق ، حداکثر عمر( اعتبار) يک رمز عبور را بر حسب روز ، مشخص می نمايد.( قبل از اينکه سيستم کاربر را ملزم به تغيير رمز عبور نمايد) . با در نظر گرفتن مقدار صفر ، رمز عبور دارای عمری جاودانه خواهد شد !
      (Minimum password age (range: 0-999 days . سياست فوق ، حداقل عمر( اعتبار) يک رمز عبور را بر حسب روز ، مشخص می نمايد( قبل از اينکه کاربر قادر به تغيير رمزعبور گردد) . با در نظر گرفتن مقدار صفر ، به کاربران اجازه داده خواهد شد که بلافاصله رمز عبور خود را تغيير دهند. minimum password age می بايست کمتر از maximum password age باشد . پيکربندی minimum password age می بايست بگونه ای انجام شود که دارای مقداری بيش از صفر باشد تا سياست password history نيز لحاظ شده باشد. بدون وجود يک minimum password age ، کاربران قادر به تغيير ادواری و زمانبندی نشده رمزهای عبور شده و امکان استفاده مجدد از رمزهای عبور قديمی در يک محدوده زمانی کمتر برای آنان فراهم می گردد.مقادير پيش فرض تامين کننده اهداف و خواست های امنيتی در يک سازمان نبوده و لازم است مديران سيستم در ابتدا يک رمز عبور مناسب را برای کاربر تعريف و پس از سپری شدن مدت زمان مشخصی ( مدت زمان فوق را minimum password age مشخص می نمايد ) کاربر را ملزم به تعريف ( تغيير ) رمز عبور تعريف شده توسط مديريت شبکه نمايند. زمانيکه کاربران ،عمليات Log on را انجام و در صورتيکه password history مقدار صفر را دارا باشد ، الزامی در رابطه با انتخاب يک رمز عبور جديد برای کاربران وجود نخواهد داشت . بدين دليل password history دارای مقدار پيش فرض يک است .

      (Minimum password length (range: 0-14 characters ، سياست فوق ، حداقل تعداد کاراکتر لازم برای تعريف يک رمز عبور را مشخص می نمايد( حداقل طول يک رمز عبور) می توان در اين رابطه حداقل طول يک رمز عبور را بين يک تا چهارده کاراکتر در نظر گرفت . با اختصاص مقدار صفر ، ضرورت وجود رمز عبور حذف می گردد. حداقل طول رمز عبور، می بايست متناسب و سازگار با سياست های امنيتی سازمان باشد. در صورتيکه در اين رابطه سياست مشخص و شفافی وجود ندارد می توان مقدار هشت را در نظر گرفت .برخی از سازمان های امنيت اطلاعات شبکه ، مقدار دوازده را در اين رابطه پيشنهاد داده اند .

      Store password using reversible encryption for all users in the domain . سياست فوق ، مشخص می نمايد که می بايست رمزعبور با استفاده از رمزنگاری وارونه ، ذخيره گردد . در اين رابطه ، امکانات حمايتی لازم درخصوص برنامه هائی که از پروتکل هائی بمنظور آگاهی از رمز عبور کاربر بمنظور انجام فرآيند تائيد کاربران استفاده می نمايند، نيز ارائه شده است . ذخيره سازی رمزهای عبوری که از رمزنگاری وارونه استفاده می نمايند ، مشابه رمزهای عبورمعمولی است ( رمز عبور بصورت متن ذخيره می گردد). بنابراين فعال شدن سياست فوق می بايست با لحاظ نمودن پارامترهای متعددی نظير الزام يک برنامه بمنظور استفاده از يک رمز عبور حفاظت شده ، صورت پذيرد .
      يکی از روش هائی که می توان از آن بمنظور ايجاد اتوماتيک و نسبت دهی رمزهای عبور پيچيده به هر يک از account های کاربران استفاده نمود ، اجرای دستورالمل زير از طريق خط دستور است :

      From Command Line Prompt :

      Net User Username / random

      با اجرای دستورالعمل فوق ، رمزهای عبور تصادفیو پيچيده (همواره هشت کاراکتر طول ) به يک account نسبت داده شده و در ادامه رمزعبور مورد نظر بر روی صفحه نمايش داده می شود. روش فوق ، امکانی مناسب بمنظور نسبت دهی رمزهای عبوردر ارتبط با Service accounts بوده و کمتر در ارتباط با کاربران واقعی استفاده می گردد.
      بهترين روش برای مميزی کيفيت رمزهای عبور ، اجرای برنامه های cracking رمز عبور در وضعيتStand-alone است (بخشی از فرآيند بررسی رمزهای عبور) . لازم است مجددا" به اين موضوع اشاره گردد که بدون کسب مجوز لازم از مديران ارشد سيستم در سازمان ، نمی بايست از برنامه های cracking استفاده شود.پس از کسب مجوز لازم بمنظور اجرای برنامه های cracking رمز عبور ، می بايست عمليات فوق را بر روی يک ماشين حفاظت شده انجام داد.کاربرانی که رمزهای عبور آنان crack می گردد، می بايست موضوع بصورت محرمانه به اطلاع آنان رسيده و دستورالعمل های لازم در خصوص نحوه انتخاب يک رمز عبور مناسب ، در اختيار آنان قرار داده شود.اخيرا" و در پاسخ به رمزهای عبور ضعيف ، استفاده از روش هائی ديگر بمنظور تائيد کاربران، نظير بيومتريک (زيست سنجی ) ، نيز مورد توجه واقع شده است .

     
  4. esmaeili

    esmaeili Registered User

    تاریخ عضویت:
    ‏5/1/15
    ارسال ها:
    15,045
    تشکر شده :
    103
    امتیاز:
    0
    محل سکونت:
    مشهد
    پس انداز شما



      • حفاظت رمزهای عبور مستحکم . حتی اگر رمزهای عبور ، مستحکم و قدرتمند باشند ، در صورت عدم حفاظت آنان توسط کاربران ، سيستم های موجود در يک سازمان در معرض تهديد قرار خواهند گرفت . يک سياست امنيتی مناسب ، می بايست شامل دستورالعمل های لازم بمنظور آموزش کاربران در رابطه با حفاظت رمزهای عبور می باشد.
      • عدم ارائه رمز عبور به افراد ديگر، عدم نوشتن رمز عبور در محلی که امکان خواندن آن برای ديگران وجود داشته باشد و حفاظت اتوماتيک فايل هائی که رمزهای عبور در آن ذخيره شده اند ، از جمله مواردی می باشند که می بايست به کاربران آموزش داده شود. اغلب کاربران در مواجهه با پيامی مشابه "Your password has expired and must be changed," که نشاندهنده اتمام عمر مفيد يک رمز عبور است ، يک رمز عبور ضعيف را برای خود انتخاب می نمايند ، بنابراين لازم است در فرصت مناسب و قبل از برخورد با اينچنين پيام هائی ، به کاربران آموزش های لازم ارائه گردد.
      • کنترل مستمر account ها . مديران سيستم و شبکه می بايست حضوری موثر و مستمر در ارتباط با مديريت account های موجود داشته باشند .
        - هر گونه account مبتنی بر سرويسی خاص و يا مديريتی که از آن استفاده نمی گردد، می بايست حذف گردد .
        - ممیزی account ها بر روی سيستم را انجام داده و لازم است در اين رابطه يک ليست اصلی ايجاد گردد .در اين رابطه می بايست رمزهای عبور در ارتباط با سيستم هائی نظير روترها ، چاپگرهای ديجيتالی متصل شده به اينترنت و ساير موارد ديگر نيز مورد بررسی قرار گيرد.
        - روتين هائی خاص بمنظور افزودن account های تائيد شده به ليست و يا حذف account هائی که ضرورتی به استفاده از آنان نمی باشد ، پياده سازی و همواره خود را پايبند به آن بدانيم .
        - اعتبار ليست را در فواصل زمانی خاصی بررسی تا از بهنگام بودن آن اطمينان حاصل گردد.
        - از روتين های خاصی بمنظورحذف account متعلق به کارکنان و يا پيمانکارانی که سازمان را ترک نموده اند ، استفاده گردد .
      • نگهداری و پشتيبانی از سياست رمزعبور . بمنظور پشتيبانی و نگهداری مناسب رمز عبور، می توان علاوه بر استفاده از امکانات کنترلی ارائه شده توسط سيستم عامل و يا سرويس های شبکه ، از ابزارهای گسترده ای که در اين رابطه ارائه شده است ،نيز استفاده گردد . بدين ترتيب ،نگهداری سياست رمز عبور ، مبتنی بر آخرين تکنولوژی های موجود خواهد بود.
      • غير فعال نمودن تائيد LM در شبکه . بهترين گزينه بمنظور جايگزينی با Lan Manager ، استفاده از روش NT LAN Manager version 2) NTLMv2) است . متدهای چالش / پاسخ NTLMv2 ، با استفاده از رمزنگاری مستحکم تر و بهبود مکانيزم های تائيد ، اکثر صعف های LM را برطرف نموده است جدول زير ، کليد ريجستری موردنظری را که قابليت فوق را در ويندوز NT و 2000 کنترل می نمايد، نشان می دهد:



        Rgistry key


        Hive: HKEY_LOCAL_MACHINE
        Key: System\CurrentControlSet\Control\LSA
        Value: LMCompatibilityLevel
        Value Type: REG_DWORD - Number
        Valid Range: 0-5
        Default: 0

        پارامتر فوق ، نوع و روش تائيد را مشخص و می تواند مقداری بين صفر تا پنج را دارا باشد :
        0 - ارسال پاسخ بر اساس روش LM و NTLM ، هرگز از امکانات امنيتی NTLMv2 استفاده نمی شود .
        1 - استفاده از امکانات امنيتی NTLMv2
        2 - ارسال بر اساس روش تائيد NTLM
        3 - ارسال بر اساس روش تائيد NTLMv2
        4 - DC باعث رد تائيد LM می گرد.
        5 - DC باعث رد تائيد LM و NTLM شده و صرفا" تائيد NTLMv2 پذيرفته می گردد .

        در ويندوز 2000 ، 2003 و XP نيز امکاناتی ارائه شده است که می توان با استفاده از آنان اقدام به پيکربندی تنظيمات مورد نظر در ارتباط با سطح تائيد Lan Manager نمود . در اين رابطه لازم است برنامه Local Security Policy فعال و در ادامه گزينه های Local Policies و Security Options بترتيب انتخاب گردند . در ويندوز 2000 سياست LAN Manager authentication level ، و در ويندوز XP و 2003سياست Network security: LAN Manager authentication level ، بمنظور پيکربندی ومقداردهی مناسب انتخاب گردند .
        در صورتيکه بر روی تمامی سيستم ها ، ويندوز NT SP4 و يا بعد از آن نصب شده باشد ، می توان مقدارپارامتر فوق را بر روی تمامی سرويس گيرندگان سه و بر روی Domain Controllers مقدار پنج درنظر گرفت (پيشگيری از ارسال LM hashes بر روی شبکه ) . سيستم هائی نظير ويندوز 95 و 98 از NTLMv2 بصورت پيش فرض بهمراه Microsoft Network Client استفاده نمی نمايند ، بنابراين لازم است بمنظور استفاده از قابليت های NTLMv2 ، برنامه Directory Services Client بر روی آنان نصب گردد. پس از نصب سرويس فوق ، مقدار ريجستری با نام LMCompatibility می تواند مقدار صفر و يا سه را دارا باشد .در صورتيکه نمی توان سرويس گيرندگان قديمی ( ويندوز 95 و يا ويندوز 98 ) را ملزم به استفاده از NTLMv2 نمود ، می توان تغيير مورد نظر را در رابطه با LM hashing نسبت به استفاده از NTLM (NT Lan Manager, version )در Domain Controller اعمال نمود.در اين رابطه می توان مقدار LMCompatibilityLevel را چهار در نظر گرفت . درصورت استفاده از ابزاری نظير Local Security Policy،می بايست مقدار LAN Manager authentication level را Send NTLMv2 Response only\Refuse LM درنظر گرفت . لازم است به اين نکنه اشاره گردد که ايمن ترين گزينه در اين رابطه، اعمال محدوديت برروی سرويس گيرندگان است .
      • ممانعت از ذخيره سازی LM hash . يکی از مسائل اصلی در ارتباط با حذف LM hashes در شبکه ، ذخيره سازی آنان در SAM و يا اکتيو دايرکتوری است .مايکروسافت دارای مکانيزمی بمنظور غيرفعال نمودن ايجاد LM hashes بوده ولی امکان استفاده از آن صرفا" در سيستم های ويندوز 2000 ( SP2 و يا بعد بر روی آنان نصب شده است ) ، 2003 و XP بوجود دارد. کليد ريجستری زير، کنترل عمليات فوق راانجام می دهد. در صورتيکه بر روی Windows 2000 Domain Controller کليد فوق ايجاد شده باشد ، LanMan hashes ، در ادامه ايجاد نخواهد شد و در اکتيو دايرکتوری نيز ذخيره نمی گردد. در ويندوز 2003 و XP ، می توان با فعال نمودن گزينه Network security: Do not store LAN Manager hash value on next password change به اهداف موردنظر در رابطه با ذخيره سازی LM hash دست يافت . در اين رابطه لازم است برنامه Local Security Policy فعال و در ادامه گزينه های Local Policies و Security Options بترتيب انتخاب گردند . پس از اعمال تغييرات فوق ، می بايست سيستم راه اندازی شده تا تغييرات ايجاد شده ، موثر واقع شوند . لازم است به اين نکته مهم اشاره گردد که روش های ارائه شده ، صرفا" پيشگيری لازم در خصوص ايجاد LM hashes جديد راانجام داده و LM hashes موجود بصورت انفرادی و در زمانيکه کاربر رمز عبور خود را تغيير دهد ، حذف خواهند شد .



        Rgistry key


        Hive: HKEY_LOCAL_MACHINE
        Key: System\CurrentControlSet\Control\LSA\NoLMHash
      • ممانعت و پيشگيری از تکثير Hash و بانک های اطلاعاتی SAM
        ابزارهای cracking رمزعبور، بمنظور بدست آوردن رمزهای عبور hashes از روش های زير استفاده می نمايند :
        - کشف رمزهای عبور از شبکه . بدين منظور موارد زير پيشنهاد می گردد :
        - استفاده از شبکه های سوئيچ شده .
        - تشخيص و حذف کارت های شبکه بی هدف موجود در شبکه (در اين رابطه می توان از ابزارهای امنيتی خاصی نظير ethereal استفاده کرد) .
        - تکثير فايل SAM . فايل فوق در ويندوز NT4 و 2000 در فولدر SystemRoot%\System32\Config% (عموما" در مسير C:\Winnt\System32\Config ) و در ويندوز XP و يا 2003 در فولدر C:\Windows\System32\Config مستقرمی باشد.، فايل فوق ، توسط سيستم عامل ويندوز Lock و صرفا" زمانی امکان تکثيرآن وجود خواهد داشت که ماشين با يک سيستم عامل ديگر راه اندازی شده باشد. فايل SAM را می توان با استفاده از فايل Backup مربوطه نيز بدست آورد.
        بمنظور پيشگيری از تکثير فايل SAM و افزايش سطح امنيتی سيستم لازم است دستيابی فيزيکی به سيستم های موجود خصوصا" Domain Controllers محدود و همواره از اطلاعات Backup گرفته شده و ديسک Repair نيز بمنظور برخورد با مشکلات آتی ايجاد گردد .
    برای اخد اطلاعات نکميلی می توان از مقالات زير استفاده نمود:

    - How to Disable LM Authentication on Windows NT
    - How to Enable NTLMv2 Authentication for Windows 95/98/2000/NT
    - New Registry Key to Remove LM Hashes from Active Directory and Security Account Manager

    در بخش سوم اين مقاله به بررسی ساير نقاط آسيب پذير ويندوز خواهيم پرداخت .
     
  5. esmaeili

    esmaeili Registered User

    تاریخ عضویت:
    ‏5/1/15
    ارسال ها:
    15,045
    تشکر شده :
    103
    امتیاز:
    0
    محل سکونت:
    مشهد
    پس انداز شما
    مهمترين نقاط آسيب پذير ويندوز ( بخش سوم )

    آنچه تاکنون گفته شده است :

    در بخش سوم اين مقاله به بررسینقاط آسيب پذير (Internet Explorer (IE و Windows Remote Access Services ، خواهيم پرداخت .

    چهارمين نقطه آسيب پذير: (Internet Explorer (IE
    IE ، مرورگر وب پيش فرض نصب شده در پلات فرم ويندوز مايکروسافت است .در صورتيکه نسخه های نصب شده IE در ادامه Patch و بهنگام نگردند ، تمامی آنان دارای نقاط آسيب پذير خواهند بود . تاکنون حملات متعددی بر اساس نقاط آسيب پذير در مرورگرهای IE توسط مهاجمان انجام شده است . نقاط آسيب پذير در IE را می توان به گروههای متفاوتی نظير : صفحات وب ، بروز اشکال در اينترفيس ويندوز ، کنترل های اکتيو ايکس ، اسکريپت های فعال ، تفسير نادرست محتوی و نوع MIME و سرريز بافر تقسيم بندی نمود. مهاجمان با استناد به نقاط آسيب پذير فوق می تواند حملاتی راانجام دهند که پيامد آن افشاء کوکی ها ، دستيابی به فايل های محلی و داده ، اجراء برنامه های محلی ، دريافت و اجرای کد های دلخواه و يا کنترل کامل سيستم آسيب پذير است .

    سيستم های عامل در معرض تهديدنقاط آسيب پذير اشاره شده بر روی تمامی سيستم هائی که از نسخه های متفاوت ويندوز استفاده می نمايند ، وجود خواهد داشت . مرورگر IE در موارد متعدد و گسترده ای در نرم افزارهای مايکروسافت نصب و عموما" بر روی اغلب سيستم های ويندوز وجود خواهد داشت . مرورگر IE ، حتی بر روی سرويس دهندگانی که شايد ضرورت استفاده از مرورگر برای آنان چندان وجود ندارد نيز نصب می گردد .


    نحوه تشخيص آسيب پذير ی سيستم در صورتيکه بر روی سيستمی مرورگر IE وجود داشته وهنوز آخرين و جديدترين Patch های امنيتی نصب نشده باشند ، سيستم در معرض تهديد و آسيب قرار خواهد داشت . در صورتيک سرويس Windows Update بر روی سيستم فعال باشد با مشاهده سايت http://windowsupdate.microsoft.com ، می توان بررسی لازم در خصوص IE و Patch های نصب شده و مورد نياز را انجام داد. در صورتيکه سرويس Windows Update فعال نشده باشد ، می توان از برنامه HFNetChk و يا Microsoft BaseLine Security Analyzer استفاده نمود. در اين راستا می توان از برنامه های Online موجود در اينترنت ( ابزارهای آناليز مرورگر وب ) نظير : Qualys Browser Check کهدارای توانائی بسيار بالا و مطلوبی می باشند در جهت بهبود وضعيت امنيتی IE ، استفاده نمود.


    نحوه حفاظت در مقابل نقطه آسيب پذير Patch های لازم برای نقاط آسيب پذير اشاره شده بمنظور استفاده در مرورگر IE نسخه شش موجود و قابل استفاده است . نسخه های اوليه IE نيز آسيب پذير بوده و متاسفانه Patch های لازم در اينخصوص اغلب موجود نمی باشند. در صورتيکه بر روی سيستمی از نسخه IE 5.5 استفاده می گردد، پيشنهاد می گردد نسخه فوق به شش ، ارتقاء يابد . علت اين امر ، عدم وجود patch های لازم در اينخصوص است . در صورتيکه از نسخه IE 6.0 استفاده می گردد ، آن را با آخرين Service Pack ارائه شده ، ارتقاء و بهنگام نمائيد . برای دريافت Service Pack های می توان از آدرس : Internet Explore 6 SP1 استفاده نمود . در اين رابطه لازم است که آخرين Patch جامع امنيتی ( 822925 ) که باعث اصلاح نقاط آسيب پذير اضافه ديگری می گردد را نيز بر روی سيستم نصب نمود.

    ايمن سازی IE برنامه IE دارای مجموعه ای از امکانات امنيتی بوده که با تنظيم و پيکربندی صحيح آنان می توان وضعيت امنيتی IE رابهبود بخشيد . برای نيل به خواسته فوق ، می توان مراحل زير را دنبال نمود:


    • انتخاب گزيته Options از طريق منوی Tools
    • انتخاب گزينه Security Tab و فعال نمودن Custom Level مرتبط با Inetnet Zone .
      اکثر حملات مبتنی بر نقاط آسيب پذير IE ، بدليل سوء استفاده از پتانسيل های Active Scripting و ActiveX Controls ، محقق می گردند. بنابراين لازم است ، فعال شدن و بهره برداری از پتانسيل های فوق با نظارت و آگاهی کاربر انجام شود :
    • دربخش Scripting ، گزينه Prompt for Allow paste operations via script را انتخاب تا يشگيری لازم درخصوص محتوی موردنظر از طريق Clipboard انجام شود. ( لازم است به اين نکته اشاره گردد که Active Scripting نمی بايست غير فعال گردد ،چراکه تعداد زيادی از وب سايت ها از پتانسيل فوق ، استفاده می نمايند ) .
    • انتخاب گزينه Prompt برای Download signed ActiveX Controls
    • انتخاب گزينه Disable برای Download unsigned ActiveX Controls
    • انتخاب گزينه Disable برای Initialize and script ActiveX Controls not marked as safe
      اپلت های جاوا دارای قابليت های بمراتب بيشتری نسبت به اسکريپت ها می باشند:
    • در بخش Microsoft VM ، گزينه High safety for Java permissions را در ارتباط با مجوزهای لازم بمنظور اجرای صحيح اپلت های جاوا و پيشگيری دستيابی به سيستم ، انتخاب گردد.
    • در بخش Miscellaneous ، گزينه Access to data sources across domains ، بمنظور ممانعت از حملات مبتنی بر Cross-site scripting ، غير فعال گردد.
     
  6. esmaeili

    esmaeili Registered User

    تاریخ عضویت:
    ‏5/1/15
    ارسال ها:
    15,045
    تشکر شده :
    103
    امتیاز:
    0
    محل سکونت:
    مشهد
    پس انداز شما
    پنجمين نقطه آسيب پذير : Windows Remote Access Services

    نسخه های متفاوت ويندوز ، امکانات و تکنولوژی های متفاوتی را در ارتباط با شبکه ارائه و حمايت می نمايند .در اين رابطه برخی از امکانات و پتانسيل های ارائه شده در ارتباط با اکثر پروتکل های شبکه ای استاندارد و توانائی های ارائه شده مربوط به تکنولوژی های شبکه ای مختص ويندوز ، مورد حمايت ذاتی ويندوز قرار می گيرند. پيکربندی غير ايمن و نادرست مواردی همچون اشتراک های شبکه NETBIOS ، جلسات Anonymous Logon NULL ، دستيابی راه دور به ريجستری و فراخوانی از راه دور روتين ها ( RPC ) ، زمينه تهاجمات متعددی را در ارتباط با ويندوز و با استناد به امکانات و قابليت های شبکه ای آن ، فراهم نموده است . در ادامه به تشريح هر يک از موارد فوق ، خواهيم پرداخت :

    NETBIOS : عدم حفاظت مناسب از منابع اشتراکی سيتم عامل ويندوز ، امکان اشتراک فايل و يا فولدرهائی را برای يک ماشين فراهم و بدين ترتيب ساير ميزبانان موجود در شبکه قادر به استفاده از منابع به اشتراک گذاشته شده توسط ساير ميزبانان بوده و خود نيز می توانند ، منابع موجود بر روی سيستم را با سايرين به اشتراک گذاشته تا زمينه استفاده از منابع فوق برای ساير ميزبانان شبکه نيز فراهم گردد . مکانيزم فوق مبتنی بر پروتکل Server Message Block)SMB) و يا Common Internet File System)CIFS) می باشد. پروتکل های فوق ، امکان انجام عمليات بر روی فايل ها را از راه دور برای يک ميزبان فراهم می نمايند. ( دقيقا" مشابه وضعيتی که عمليات بر روی يک کامپيوتر محلی انجام می گيرد ) .پتانسيل فوق يکی از امکانات برجسته و قدرتمند ويندوز بوده ولی بدليل عدم پيکربندی صحيح اشتراک شبکه، می تواند سوءاستفاده از فايل های حياتی سيستم و کنترل يک ميزبان توسط يک مهاجم را بدنبال داشته باشد. برخی از کرم ها و ويروس ها ( نظير نيمدا که در سال 2001 حيات خود را آغاز و در مدت زمانی کوتاه توانست بسرعت درشبکه منتشر شود ) با استناد و بهره برداری از نقاط ضعف فوق و عدم حفاظت مناسب اشتراک شبکه ، توانستند نسخه هائی از خود را بر روی ميزبانان ، مستقر نمايند. بسياری از استفاده کنندگان کامپيوتر بدليل عدم پيکربندی مناسب اشتراک منابع در شبکه ، پتانسيل لازم در خصوص يک تهاجمم و بهره برداری از آن توسط مهاجمان را بصورت ناآگاهانه ايجاد می نمايند. کاربران فوق با اهداف مثبت و تسهيل در ارائه امکان دستيابی ساير همکاران خود ، برخی از منابع موجود بر روی سيتسم ( نظير درايو ها و يا برخی فولدرها و يا فايل ها ) را به اشتراک گذاشته تاامکان خواندن و نوشتن برای ساير کاربران شبکه فراهم گردد.در صورتيکه پيکربندی مناسبی از منابع به اشتراک گذاشته شده در شبکه انجام شود، ريسک و خطر سوء استفاده و يا تهديدات بطرز محسوسی کاهش خواهد يافت .
    Anonymouse Logon Null Session ، عملا" به يک Session ايجاد شده بدون اعتبارنامه ( نام و رمز عبور خالی ) ، اطلاق می گردد. از يک Null Session بمنظور نمايش اطلاعات مرتبط با کاربران ، گروه ها ، منابع اشتراکی و سياست های امنيتی استفاده می گردد . سرويس های ويندوز NT ،بعنوان Local System account بر روی کامپيوتر محلی اجراء و با ساير سرويس ها ی شبکه از طريق ايجاد يک null Session ارتباط برقرار می نمايند. ويندوز 2000 و سرويس های مرتبط ، که بعنوان Local System account بر روی Local Computer اجراء می گردند ، از Local computer account بمنظور تائيد ساير سرويس دهندگان، استفاده می نمايند. اکتيو دايرکتوری در موارديکه بصورت native اجراء می گردد ، قادربه پذيرش درخواست های Null Session نخواهد بود. در حالت ترکيبی ، اکتيو دايرکتوری ، امکان دستيابی را برای نسخه های قبل از ويندوز 2000 فراهم و قادر به پذيرش درخواست های Null Session خواهد بود . بدين ترتيب با اينکه ويندوز 2000 ونسخه های بعد از آن امکان درخواست های مبتنی برNull Session را فراهم نمی نمايند ولی بدليل سازگاری و پاسخگوئی به نسخه های قبل از ويندوز 2000 ، امکان تغيير در سياست فوق در رابطه با اکتيو دايرکتوری فراهم و اين مشکل امنيتی ( Null Session ) می تواند به ويندوز 2000 نيز سرايت نمايد .


    دستيابی از راه دور به ريجستری ويندوز ويندوز 98 ، CE ، NT ، 2000 ، ME و XP از يک بانک اطلاعاتی مرکزی سلسله مراتبی ، که ريجستری ناميده می شود بمنظور مديريت نرم افزار ، پيکربندی دستگاهها و تنظيمات کاربر استفاده می نمايند. مجوزهای نادرست و يا تنظيمات اشتباه امنيتی می تواند زمينه دستيابی از راه دور به ريجستری را توسط مهاجمان فراهم و آنان در ادامه قادر به سوء استفاده از وضعيت فوق و بمخاطره انداختن سيستم و اجرای کدهای مخرب خواهند بود.


    فراخوانی از راه دور (Remote Procedure Calls: RPC ) تعداد زيادی از نسخه های ويندوز ( NT ، 2000 ، XP ، 2003 ) از يک مکانيزم ارتباطی Inter-Process استفاده می نمايند. درچنين مواردی يک برنامه در حال اجراء بر روی يک کامپيوتر ميزبان ، قادر به فراخوانی کد موجود در ميزبان ديگر و از راه دور می باشد .تاکنون حملات متعددی با استفاده از نقطه آسيب پذير فوق ، صورت گرفته است . در چنين مواردی يک مهاجم قادر به اجرای کد دلخواه خود بر روی يک ميزبان از راه دور می گردد. (بهمراه مجوزهای مشابه سيستم محلی ) . کرم های Blaster/MSblast/LovSAN و Nachi/Welchia از نقطه آسيب پذير فوق استفاده کرده اند. در برخی موارد با استفاده از ساير نقاط آسيب پذير يک مهاجم قادر به انجام حملات از نوع DoS ، در ارتباط با عناصر RPC است .
    سيستم های عامل در معرض آسيب تمامی نسخه های ويندوز در معرض اين تهديد قرار دارند .


    نحوه تشخيص آسيب پذيری سيستم نحوه تشخيیص آسيب پذيری سيستم در رابطه با مسائل NETBIOS : در اين رابطه می توان از تعداد زيادی ابزار بمنظور تشخيص اشکالات امنيتی مرتبط با NETBIOS استفاده نمود.NAT که از کلمات NetBIOS Auditing Tool اقتباس شده است ،يک محصول نرم افزار در اينخصوص و ارائه شده توسط Afentis Security می باشد . NAT ، بررسی لازم در خصوص سرويس اشتراک فايل مربوط به NETBIOS را بر روی سيستم های مقصد ،انجام و از يک رويکرد مرحله ای بمنظور جمع آوری اطلاعات قبل از تلاش در جهت امکان دستيابی به سيستم فايل، استفاده می نمايد . برای آگاهی از نحوه عملکرد برنامه فوق ، می توان از آدرس http://www.afentis.com/resources/win32/nat استفاده نمود.
    کاربران ويندوز 95 و 98 ، می توانند از Legion v2.11 ( آخرين نسخه پويشگر اشتراک فايل Legion ارائه شده توسط Rhino9 ) بمنظور بررسی وضعيت اشتراک شبکه استفاده نمايند. کابران ويندوز 2000 ، می توانند از برنامه Security Fridays Share Password Checker ) SPC) بمنظور بررسی اشتراک فايل سرويس گيرندگان ويندوز (نسخه های 95 ، 98 و CE )استفاده نمايند. برنامه فوق ، امکان تشخيص آسيب پذيری سيستم در ارتباط با Share Level password را فراهم می نمايد. کاربران ويندوز NT ( که بر روی آنان SP4 نصب شده باشد ) ، 2000 ، XP و 2003 ، می توانند از برنامه BaseLine Security Advisor استفاده و با اخذ گزارش لازم در خصوص ميزبانان آسيب پذير در رابطه با SMB ، اقدام به برطرف نمودن مشکل فوق نمايند.
    بررسی و تست سيستم های آسيب پذير را می توان بر روی ميزبانان محلی و يا ميزبانان از راه دور انجام داد . کاربران ويندوز NT ، 2000 ، XP و 2003 می توانند با استفاده از دستور net Share و از طريق خط دستور، ليست منابع اشتراکی را مشاهده نمايند (برای آگاهی از اطلاعات تکميلی در ارتباط با دستور فوق ، می توان از ? / Net Share ، استفاده نمود ) .
    در اين مقاله اطلاعاتی در رابطه با تغيير و اصلاح منابع اشتراکی ارائه شده است . بنابراين لازم است ، قبل از انجام هر گونه تغييرات در ارتباط با منابع اشتراکی ، دانش کافی در خصوص برگرداندن منابع به حالت اوليه وجود داشته باشد ( انجام هر گونه تست و اعمال تغييرات می بايست بصورت کاملا" آگاهانه انجام شود ) . بمنظور کسب اطلاعات بيشتر در رابطه با منابع اشتراکی ، می توان از مقالات زير استفاده کرد:
    - ذخيره و بازيابی منابع اشتراکی ويندوز
    - منابع اشتراکی خاص
    - نحوه تنظيم ، مشاهده ، تغيير و يا حذف مجوزهای خاصی در ارتباط با فايل و فولدرها در ويندوز XP
    - نحوه غير فعال نمودن اشتراک ساده شده و حفاظت رمز عبور يک فولدر اشتراکی در ويندوز XP- نحوه کپی فايل ها و نگهداری مجوزهای اشتراک NTFS

    مجوزهای پيش فرض در ارتباط با منابع اشتراکی در هر يک از نسخه های ويندوز بصورت زير است :
    - ويندوز NT ، ويندوز 2000 و ويندوز XP ( قبل از نصب SP1 ) ، دارای مجوز Everyone و بصورت Full Control می باشند .
    - ويندوز XP که بر روی آنان SP1 نصب شده است ، دارای مجوز Everyone و بصورت Read می باشد .
    - ويندوز XP بصورت پيش فرض دارای يک دايرکتوری اشتراکی با نام " ShareDocs " است (C:\Documents and Settings\All Users\Documents ) که دارای مجوز Everyone و بصورت Full Control می باشد . اغلب پويشگرهای موجود، بمنظور بررسی وضعيت منابع استراکی قادر به تشخيص Open Share می باشند ( برخی از برنامه ها رايگان نمی باشند) . يکی از برنانه تست رايگان ،ايمن و سريع بمنظوربررسی وضعيت SMB مربوط به File Sharing و مسائل آسيب پذير مرتبط با آن که قابل استفاده در تمامی نسخه های ويندوز است را می توان از سايت Gibson Research Corporation دريافت نمود . در اين رابطه می توان از ابزارهای پويش اتوماتيک بمنظور تشخيص نقاط آسيب پذير مرتباط با منابع اشتراکی نيز استفاده نمود :
    - NesSus : يک ابزار پويش رايگان ، بهنگام شده و ساده بمنظوراستفاده از راه دور .
    - Winfingerprint : پويشگر Win32 Host/Network Enumeration


    نحوه تشخيص آسيب پذيری سيستم در مقابل Anonymouse Logon و مسائل مرتبط با آن . بمنظور بررسی آسيب پذيری سيستم در رابطه با Anonymouse Logon ، يک null Session را با استفاده از دستور زیر و از طريق خط دستور ، فعال می نمائيم .

    From Command Line Prompt :

    C:\>net use \\ipaddress\ipc$ "" /user:""

    دستور فوق ، باعث ايجاد يک اتصال به منبع اشتراکی $IPC در IPaddress مشخص شده و بعنوان کاربر anonymouse ( نام آن در نظر نگرفته شده است "": user / ) و با يک رمز عبور Null می گردد( ايجاد hidden interprocess communications ) .در صورتيکه پس از اجرای دستور فوق ، System error 5 محقق گردد، نشاندهنده عدم وجود مجوز لازم بمنظور انجام اين کار بوده و سيستم در معرض نقطه آسيب پذير فوق ، قرار نخواهد داشت .در صورتيکه پس از اجرای دستور فوق ، پيامی مبنی بر اجرای موفقيت آميز دستور بر روی صفحه نمايش داده شود ، نشاندهنده آسيب پذيری سيستم در مقابل اين ضعف امنيتی خواهد بود. از نزم افزارهای معرفی شده در بخش قبل ( Nessus و Winfingerprint ) نيز می توان بمنظور تشخيص Null Session ،استفاده نمود .

    نحوه تشخيیص آسيب پذيری سيستم در مقابل دستيابی از راه دور به ريجستری ، برنامه NT Resource Kit)NTRK) ، قابل دسترس از طريق مايکروسافت، شامل يک فايل اجرائی با نام regdump.exe بوده که بصورت غير فعال مجوزهای دستيابی به ريجستری را از طريق يک ميزبان ويندوز NT در مقابل ساير ميزبانان ويندوز نظير XP ، 2000 و يا NT بر روی اينترنت و يا شبکه داخلی ، بررسی می نمايد . علاوه بر ابزار فوق ، می توان از آدرس http://www.afentis.com/top20 ، بمنظور آشنائی به ساير ابزارهای موجود ( برنامه های خط دستوری ) نيز استفاده نمود .

    - نحوه تشخيص آسيب پذيری سيستم در مقابل RPC و مسائل مربوطه : مايکروسافت در اين رابطه يک ابزار hotfix و Patch-cheking را با نام Microsoft Baseline Security Analyzer ، ارائه داده است . استفاده از برنامه فوق ، بهترين روش بمنظور تشخيص آسيب پذيری سيستم است. برنامه فوق را می توان از طريق آدرس http://www.microsoft.com/technet/security/tools/Tools/MBSAhome.asp دريا فت نمود.

    نحوه حفاظت در مقابل نقاط آسيب پذير نحوه حفاظت در مقابل حملات مرتبط با NETBIOS :
    در اين رابطه می توان از راهکارهای متعددی بمنظور کاهش تهديدات مربوطه استفاده نمود :
    - غير فعال نمودن sharing در موارديکه ضرورتی به استفاده از آن نمی باشد .
    - پيشنهاد می گردد سرويس گيرندگان ويندوز 95 ، 98 و CE که بعنوان بخشی از Domain ويندوز NT می باشند ، بصورت User-Level share access control پيکربندی گردند.
    - غير فعال نمودن sharing بر روی ميزبانان اينترنت .اشتراک فايل ها با ميزبانان اينترنت می بايست از طريق FTP و يا HTTP صورت پذيرد.
    - در صورت ضرورت استفاده از sharing ، امکان دستيابی به منابع به اشتراک گذاشته شده را فقط از طريق کاربران تائيد شده و مجاز انجام دهيد .بدين ترتيب ، بمنظور استفاده از منبع اشتراکی ، درج رمز عبور الزامی خواهد بود.
    - sharing را صرفا" محدود به فولدر نمائيد .بدين ترتيب ، sharing صرفا" در رابطه با يک فولدر انجام و در صورت ضرورت، می توان فولدرهای ديگری را درآن ايجاد و آنان را به اشتراک گذاشت .
    - بمنظور افزايش ضريب امنيتی ، می توان امکان sharing را محدود به آدرس های IP نمود. ( امکان دستکاری اسامی DNS می تواند وجود داشته باشد ) .


     
  7. esmaeili

    esmaeili Registered User

    تاریخ عضویت:
    ‏5/1/15
    ارسال ها:
    15,045
    تشکر شده :
    103
    امتیاز:
    0
    محل سکونت:
    مشهد
    پس انداز شما


    نحوه حفاظت درمقابل مسائل Anonymouse logon .
    در اين مقاله ، اطلاعاتی در رابطه با تغيير ريجستری ارائه شده است ، لذا لازم است قبل از اعمال هرگونه تغيير در ريجستری ، از آن Backup گرفته شده تا در صورت ضرورت ، امکان بازيابی مجدد ( Restore ) آنان وجود داشته باشد.در اين رابطه می توان از منابع اطلاعاتی زير استفاده نمود :

    - تشريح ريجستری ويندوز
    - نحوه Backup ، ويرايش ، و Restore نمودن ريجستری در ويندوز NT 4.0
    - نحوه Backup ، ويرايش و Restore نمودن ريجستری در ويندوز 2000
    - نحوه Backup ، ويرايش و Restore نمودن ريجستری در ويندوز XP و ويندوز 2003

    کامپيوترهائی که بصورت ويندوز NT Domain Controllers پيکربندی شده اند ، نيازمند يک Null sessions بمنظور ارتباطات مورد نياز خود خواهند بود . بنابراين در صورتيکه از يک Windows NT Domain ويا اکتيو دايرکتوری ويندوز 2000 / 2003 که در حالت ترکيبی اجراء شده است ( امکان دستيابی نسخه های قبل از ويندوز 2000 را نيزفراهم می نمايد ) ، استفاده می گردد ، می توان ميزان اطلاعاتی را که ممکن است توسط مهاحمان استفاده گردد را کاهش ولی نمی بايست اين انتظار وجود داشته باشد که با تنظيم ريجستری RestrictAnonymouse به مقدار يک ، تمامی زمينه ها و پتانسيل های مربوطه حذف گردند. راه حل ايده آل در موارديکه از يک اکتيو دايرکتوری ذاتی ويندوز 2000 , 2003 استفاده می گردد ، مقداردهی RestrictAnonymouse به دو خواهد بود . بمنظور اخذ اطلاعات بيشتر در رابطه با اعمال محدوديت بر اساس null sessions ، می توان از مجموعه مقالات زير استفاده نمود:
    - اعمال محدوديت در ارائه اطلاعا ت به کاربران Anonymouse در ويندوز NT
    - نحوه استفاداره از مقدار ريجستری RestrictAnonymouse در ويندوز 2000
    بمنظور اشکال زدائی ، مقدار ريجستری RestrictAnonymouse می توان از مقاله زير استفاده نمود : مقدار ريجستری ResteictAnonymous ممکن است باعث شکستن Trust در يک Domain ويندوز 2000 گردد .


    نحوه حفاظت در مقابل دستيابی به ريجستری سيستم
    بمنظور برخورد با تهديد فوق، می بايست دستيابی و مجوزهای مرتبط به کليدهای مهم و حياتی ريجستری ، بررسی و درصورت لزوم بازنويسی گردند . کاربران ويندوز NT 4.0 ، می بايست از نصب Service Pack 3 بر روی سيستم خود قبل از انجام تغييرات مورد نياز در ريجستری ، مطمئن شوند . در اين مقاله ، اطلاعاتی در رابطه با تغيير ريجستری ارائه شده است ، لذا لازم است قبل از اعمال هرگونه تغيير در ريجستری ، از آن Backup گرفته شده تا در صورت ضرورت ، امکان بازيابی مجدد ( restore ) آنان وجود داشته باشد.در اين رابطه می توان از منابع اطلاعاتی زير استفاده نمود :
    - تشريح ريجستری ويندوز
    - نحوه Backup ، ويرايش ، و Restore نمودن ريجستری در ويندوز NT 4.0
    - نحوه Backup ، ويرايش و Restore نمودن ريجستری در ويندوز 2000
    - نحوه Backup ، ويرايش و Restore نمودن ريجستری در ويندوز XP و ويندوز 2003

    محدوديت دستيابی شبکه : بمنظور اعمال محدوديت دستيابی به ريجستری از طريق شبکه ، مراحل زير را بمنظور ايجاد يک کليد ريجستری دنبال می نمائيم :

    create the following Registry key

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\
    SecurePipeServers\winreg
    Description: REG_SZ
    Value: Registry Server

    مجوزهای امنيتی کليد فوق ، کاربران و گروههائی را که دارای مجوز دستيابی از راه دور به ريجستری می باشند را مشخص می نمايد . در زمان نصب ويندوز ، تنظيمات پيش فرض کليد فوق ، Access Control List بوده که امتيازات و مجوزهای کاملی را در اختيار مديريت سيستم و گروههای مديريتی ( Backup Operators در ويندوز 2000 ) قرار می دهد . برای ايجاد يک کليد بمنظور اعمال محدوديت در دستيابی به ريجستری ، مراحل زير را دنبال می نمائيم :
    - اجرای برنامه ريجستری ( Regedit32.exe و يا Regedit.exe )
    - جستجو جهت يافتن کليد : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
    - انتخاب گزينه Add Key از طريق منوی Edit
    - درج مقادير زير :

    Enter the following values:

    Key Name: SecurePipeServers
    Class: REG_SZ

    - جستجو جهت يافتن کليد : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers
    - انتخاب گزينه Add Key از طريق منوی Edit
    - درج مقادير زير :

    Enter the following values:

    Key Name: winreg
    Class: REG_SZ

    - جستجو جهت يافتن کليد : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ SecurePipeServers\winreg
    - انتخاب گزينه Add Key از طريق منوی Edit
    - درج مقادير زير :

    Enter the following values:

    Value Name: Description
    Data Type: REG_SZ
    String: Registry Server

    - جستجو جهت يافتن کليد : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ SecurePipeServers\winreg
    - انتخاب winreg ، کليک بر روی Security و در ادامه Permissions . در اين حالت می توان کاربران و گروه های مجاز بمنظور اعطاء مجوز دستيابی به ريجستری را اضافه نمود .
    - از برنامه Registry Editor خارج و بمنظور فعال شدن تنظيمات انجام شده ، سيستم را راه اندازی نمائيد .
    در صورتيکه در ادامه قصد تغيير ليست کاربران مجاز دستيابی به ريجستری وجود داشته باشد ، می توان آخرين مرحله اشاره شده را تکرار نمود.

    اعمال محدوديت دستيابی از راه دور تائيد شده : اعمال محدوديت صريح در ارتباط با ريجستری، می تواند اثرات جانبی ناسازگاری را در رابطه با سريس های وابسته نظير Directory Replicator و printer Spooler service ، بدنبال داشته باشد . در اين رابطه می توان سطح خاصی از مجوزهای لازم را با افزودن account name مربوط به سرويس در حا ل اجراء به ليست دستيابی کليد winreg ، و يا با پيکربندی ويندوز بمنظور عدم اعمال محدوديت دستيابی به کليدهای خاصی را تعريف نمود ( مشخص نمودن آنان در کليد AllowedPaths مربوط به Machine و يا Users ) :

    Bypass the access restriction :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\
    SecurePipeServers\winreg\AllowedPaths

    Value: Machine
    Value Type: REG_MULTI_SZ - Multi stringDefault Data: System\CurrentControlSet\Control\ProductOptionsSystem\
    CurrentControlSet\Control\Print\PrintersSystem\CurrentControlSet\
    Services\EventlogSoftware\Microsoft\WindowsNT\CurrentVersionSystem\
    CurrentControlSet\Services\Replicator
    Valid Range: (A valid path to a location in the registry)
    Description: Allow machines access to listed locations in the
    registry provided that no explicit access restrictions exist for that location.
    Value: Users
    Value Type: REG_MULTI_SZ - Multi stringDefault Data: (none)
    Valid Range: (A valid path to a location in the registry)
    Description: Allow users access to listed locations in
    the registry provided that no explicit access restrictions exist for that location.


    نحوه حفاظت سيستم در مقابل مسائل مرتبط با RPC بهترين روش در اين رابطه نصب Patch های ارائه شده توسط MBSA و يا Windows Update می باشد. در اين رابطه روش های متعددی بمنظور غيرفعال نمودن و يا اعمال محدوديت درارتباط با عملکرد RPC وجود دارد . استفاده از آدرس http://www.ntbugtraq.com/dcomrpc.asp در اين رابطه می تواند مفيد باشد . لازم است به اين نکته مهم اشاره گردد که غيرفعال نمودن و يا اعمال محدوديت در رابطه با نحوه عملکرد RPC ، می تواند باعث از کار افتادن برخی سرويس ويندوز گردد ، بنابراين پيشنهاد می گردد که در ابتدا تغييرات مورد نظر خود را يک سيستم غيرعملياتی انجام و پس از اطمينان از صحت عملکرد ، آنان را بر روی سيستم اصلی اعمال نمود.در صورتيکه امکان Patch نمودن سيستم وجود نداشته باشد ، می بايست پورت های مرتبط با RPC در ويندوز ( پورت های 135 و139 و 445 و 593 مربوط به TCP و پورت های 135 ، 137 ، 138 ، و 445 مربوط به UDP) را بلاک نمود.

    بمنظور آشنائی با نحوه اعمال محدوديت دستيابی به ريجستری ويندوز و ساير موارد اشاره شده در رابطه با نقطه آسيب پذير Windows Remote Access Services ، می توان از منابع اطلاعاتی زير استفاده نمود:
    - Microsofts HotFix & Security Bulletin Service
    - نحوه استفاده از ويندوز XP و Windows Server 2003 Registry Editor
    - Network access: Remotely accessible registry paths and subpaths
    - Windows Server 2003 Security Guide
     
  8. esmaeili

    esmaeili Registered User

    تاریخ عضویت:
    ‏5/1/15
    ارسال ها:
    15,045
    تشکر شده :
    103
    امتیاز:
    0
    محل سکونت:
    مشهد
    پس انداز شما
    مهمترين نقاط آسيب پذير ويندوز ( بخش چهارم )

    آنچه تاکنون گفته شده است :

    در بخش چهارم اين مقاله به بررسی نقاط آسيب پذير MDAC و WSH ، خواهيم پرداخت .

    ششمين نقطه آسيب پذير : ( Microsoft Data Access Components (MDAC
    MDAC ، شامل مجموعه ای از تکنولوژی های مرتبط با بانک اطلاعاتی است که در تعدادی از نسخه های اخير ويندوز، بکارگرفته شده است . مهاجمان با استفاده از نقاط آسيب پذير MDAC ، تاکنون حملات متعددی را در اين رابطه سازماندهی و توانسته اند از سيستم های آسيب پذير در جهت اهداف خود ( اجراء کد و دستورات مخرب ) استفاده نمايند . حملات فوق ، می تواند دلايل متعددی داشته باشد ولی می توان به دو عامل اصلی در اين زمينه اشاره نمود : استفاده از رويکردهای قديمی ( نظير RDS ) و وجود مسائل جديد در محصولات ارائه شده که يک مهاجم را قادر می سازد با ايجاد يک buffer overflow ، تمامی سيستم را بمخاطره اندازد .
    RDS که از کلمات Remote Data Services اقتباس شده است ، نسخه قديمی MDAC بوده و دارای يک ضعف امنيتی است که کاربران از راه دور را قادر می سازد ، دستوراتی را بصورت محلی بهمراه مجوزها و امتيازات مديريتی، اجراء نمايند.با ترکيب ضعف فوق بهمراه ضعف امنيتی موجود در Microsoft Jet Database Engine 3.5 ( بخشی از MS Access ) ، آسيب پذيری سيستم افزايش و زمينه تهديدات متعددی فراهم می گردد( دستيابی به بانک های اطلاعاتی ) .ضعف ها و مشکلات فوق ، بطور کامل شناخته شده و بيش از سه سال است که مستندات لازم بمنظور مقابله با آنان تهيه و ارائه شده است . وجود سيستم های قديمی که هنوز خود را با آخرين وضعيت موجود بهنگام نکرده و يا عدم پيکربندی مناسب سيستم ها ، از دلايل اصلی آسيب پذيری سيستم ها ی موجود می باشد .
    مهاجمان تاکنون با استفاده از ضعف فوق ،حملات متنوعی را سازماندهی و به سرانجام رسانده اند . يکی ازحملات اخير در اين رابطه ، بدليل Buffer Overflow در MDAC بوده که در بولتن ( خبرنامه ) امنيتی شماره MS03-033 مايکروسافت به آن اشاره شده است . نسخه MDAC در ويندوز 2003 ، دارای اين نقطه آسيب پذير نمی باشد .

    سيستم های عامل در معرض تهديداکثر سيستم های ويندوز NT 4.0 که بر روی آنان نسخه های سه و يا چهار برنامه IIS ، ويژوال استوديو شش و يا RDS 1.5 ، نصب شده باشد ، دارای ضعف امنيتی فوق می باشند. ويندوز 2000 و XP همانند سيستم هائی که بر روی آنان آفيس 2000 ( بهمراه SP1 ) ، نسخه SQL Server 7 ( که بر روی آنان SP2 و به بعد نصب شده است ) ، SQL Server 2000 از MDAC استفاده می نمايند . همانگونه که مشاهده می شود، اکثر نسخه های ويندوز دارای نقطه آسيب پذير فوق می باشند .


    نحوه تشخيص آسيب پذير ی سيستم درصورتيکه بر روی کامپيوتری ويندوز NT 4.0 بهمراه IIS نسخه سه ويا چهار نصب شده باشد ، می بايست بررسی لازم در خصوص وجود فايل "msadcs.dll" انجام شود( فايل فوق،عموما" در آدرس C:\Program Files\Common Files\System\Msadc\msadcs.dll ، قرار دارد، آدرس فوق ممکن است با توجه به پيکربندی سيستم متفاوت باشد). در صورتيکه سيستم مورد نظر شامل فايل فوق باشد ، بهنگام سازی و يا Patching سيستم ، منطقی ترين کاری است که می توان انجام داد.در صورت وجود نرم افزارهای قديمی و سيستم های عامل اشا ره شده، سيستم در معرض تهديد و آسيب قرار خواهد داشت. بمنظور آگاهی از جزيئات لازم در خصوص نقاط آسيب پذير اخير MDAC می توان از بولتن امنيتی شماره MS03-033مايکروسافت استفاده نمود . در ايـن رابطه می توان از Windows Update نيز بمنظور تشخيص آسيب پذيری سيستم ، استفاده نمود. امکان فوق ، بررسی لازم در خصوص نرم افزارهای نصب شده بر روی ماشين را انجام و متناسب با شرايط موجود اقدام به بهنگام سازی نرم افزارها خواهد نمود.


    نحوه حفاظت در مقابل نقطه آسيب پذير در رابطه با ضعف های RDS ، Jet و نحوه تصحيح و مقابله با آنان می توان از آدرس http://www.wiretrip.net/rfp/txt/rfp9907.txt استفاده نمود. مايکروسافت نيز در اين رابطه چندين بولتن ( خبرنامه ) امنيتی را منشتر که در آنان نحوه برخورد وحفاظت در مقابل اين نقطه آسيب پذير نشريح شده است .


    http://support.microsoft.com/support/kb/articles/q184/3/75.asp
    http://www.microsoft.com/technet/security/bulletin/ms98-004.asp
    http://www.microsoft.com/technet/security/bulletin/ms99-025.asp
    http://www.microsoft.com/security/security_bulletins/ms03-033.asp
    http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-033.asp
    http://support.microsoft.com/default.aspx?scid=kb;en-us;823718

    بمنظور برخورد با ضعف امنيتی فوق ، می توان MDAC موجود را به نسخه MDAC ver 2.8 ، ارتقاء داد . آخرين نسخه MDAC و ساير عناصر مرتبط با بانک های اطلاعاتی را میتوان از طريق آدرس http://msdn.microsoft.com/library/default.asp?url=/downloads/list/dataaccess.asp مشاهده و دريافت نمود. در ايـن رابطه می توان از Windows Update نيز استفاده نمود.

     
  9. esmaeili

    esmaeili Registered User

    تاریخ عضویت:
    ‏5/1/15
    ارسال ها:
    15,045
    تشکر شده :
    103
    امتیاز:
    0
    محل سکونت:
    مشهد
    پس انداز شما
    هفتمين نقطه آسيب پذير :

    (Windows Scripting Host (WSH WSH ، تکنولوژی ارائه شده توسط مايکروسافت بمنظور افزايش عملکرد وتوانائی های ويندوز می باشد .تکنولوژی فوق ، از جاوا اسکريپت و VBScript حمايت و اولين مرتبه بهمراه IEنسخه پنج ارائه ودرادامه بعنوان يک استاندارد بهمراه ساير نسخه های سيستم عامل ويندوز ارائه گرديد( آغاز آن با ويندوز 98 همراه بوده است ) . تکنولوژی WSH ، امکان دستيابی به پوسته ويندوز، سيستم فايل ، ريجستری و ساير موارد ديگر را با استفاده از کدهای ساده اسکريپت فراهم می نمايد( پتانسيل های فوق در جهت اتوماسيون عمليات ويندوز ارائه شده است ) . اسکريپت ها می توانند مستقيما" از طريق Desktop و با کليک نمودن بر روی يک فايل اسکريپت و يا از طريق يک برنامه اجراء گردند ( نظير يک برنامه سرويس گيرنده پست الکترونيکی ) .ويژگی اجراء اتوماتيکWSH ، عامل اصلی عرضه و انتشار کرم ILOVEYOU ( کد نوشته شده توسط VBScript ) در ساليان گذشته بوده که باعث ميليونها دلار خسارت گرديد.کرم فوق و ساير کرم هائی که پس از آن مطرح گرديدند ، بمنظور نيل به اهداف مخرب خود از مزايای WSH استفاده نموده اند . بدين ترتيب ، امکان اجرای هر نوع فايل متنی با انشعاب vbs,.vbe, .js, .jse . وwsf . ،بعنوان يک اسکريپت ويژوال بيسيک و يا Jscript با مجوزهای سطح سيستم و يا برنامه ، فراهم می گردد .


    سيستم های عامل در معرض تهديد WSH ، می تواند بصورت دستی و يا از طريق IE(نسخه پنجبه بعد) ، بر روی ويندوز NT و 95 نصب گردد .درويندوز ME , 98 , 98SE , 2000 , XP و 2003 ، WSH بصورت پيش فرض نصب می گردد . برای دريافت آخرين نسخه Windows Scrpt می توان از آدرس Download Windows Script استفاده نمود .


    نحوه تشخيص آسيب پذير ی سيستم

    • سيستم هائی که بر روی آنان ويندوز 95 و يا NT بهمراه نسخه IE 5.5 نصب شده است .
    • سيستم هائی که بر روی آنان ويندوز 98 ، ME ، 2000,XP و يا 2003 نصب شده است.
    در صورتيکه WSH بر روی سيستم نصب و رفتار آن کنترل شده نباشد ، سيستم در معرض آسيب قرار خواهد داشت . در اين رابطه لازم است که بررسی لازم در خصوص سيستم هائی که WSH بر روی آنان نصب شده است را انجام و در ادامه با استفاده از روش هائی که دربخش بعد به آنان اشاره خواهد شد ، از يک راهکار منطقی بمنظور حفاظت در مقابل آن ، استفاده گردد..

    نحوه حفاظت در مقابل نقطه آسيب پذير در ابتدا لازم است به اين نکته مهم اشاره گردد که برخی برنامه ها وعمليات مديريتی، نيازمند استفاده از WSH بوده و در صورت غير فعال نمودن و يا حذف پتانسيل فوق ، برنامه های فوق با اشکال مواجه خواهند شد .

    غيرفعال نمودن WSH تکنولوژی WSH ، بخشی اختياری از سيستم عامل ويندوز بوده و می توان با اطمينان و بدون نگرانی خاصی آن را در موارد متعددی از روی کامپيوترها ، حذف و يا غير فعال نمود.پيشنهاد می گردد ، بمنظور حفاظت در مقابل حملات و مسائل امنيتی مرتبط با WSH ، پتانسيل فوق غير فعال گردد (در موارديکه به عملکرد آن بر روی سيستم نياز نمی باشد ) .
    برنامه Noscript.exe ، ارائه شده توسط Symantec ، سرويس WSH را با تغيير نام فايل کلاس های مربوط به هر کلاسی که دارای Wscript.exe و يا Cscript.exe در کليد های ريجستری Shell\Open2\Command و يا Shell\Open\Command است ، غير فعال می نمايد.بدين ترتيب ، پيشگيری لازم در خصوص اجرای تمامی اسکريپت ها صرفنظر از اهداف مثبت و يا منفی آنان ، انجام خواهد شد . بمنظور نصب برنامه Noscript.exe مراحل زير را دنبال می نمائيم :



    • دريافت برنامه Noscript.exe از سايت Symantec
    • پس از اجراء برنامه Noscript ( برنامه Norton Script Disabler/Enabler ، نمايش داده می شود) با توجه به آخرين وضعيت WSH ( فعال و يا غير فعال ) ، امکان فعال و يا غير فعال نمودن آن فراهم می گردد.
    تغيير در رفتار پيش فرض WSH بمنظور حفاظت و پيشگيری لازم در خصوص عملکرد WSH در جهت انجام پردازش های اتوماتيک Desktop و مديريتی با لحاظ نمودن تهديدات و مسائل ايمنی ، می توان رفتار پيش فرض ويندوز را در ارتباط با فايل های اسکريپت ( فايل هائی با انشعاب vbs, .vbe, .js, jse, .wsf . ) ، تغيير داد. . نحوه برخورد پيش فرض ويندوز با فايل ها ی اسکريپت ، مشابه فايل های استاندارد اجرائی ويندوز بوده ( فايل های با انشعاب EXE. و يا COM. ) و بلافاصله آنان اجراء خواهند شد . با تغيير تنظيمات و پيکربندی انجام شده می توان امکان اجرای اتوماتيک اسکريپت های WSH را حذف تا اطمينان لازم در خصوص عدم فعال شدن اسکريپت های غير مجاز ، فراهم نمود .در چنين مواردی پس از فعال شدن فايل حاوی اسکريپت ، فايل مورد نظر در مقابل اجرای اتوماتيک در يک اديتور متنی نمايش داده خواهد شد . بدين ترتيب ، کاربران می توانند پس از اطمينان از صحت اسکريپت های نوشته شده ، تصميم لازم در خصوص اجرای آنان را اتخاذ نمايند . بنابراين ، عرصه برای اسکريپت هائی که سعی در تهديد و آسيب سيستم را دارند ، محدود و در عين حال کنترل شده می گردد. اسکريپت های مجاز WSH ، همچنان امکان اجراء را خواهند داشت . بدين منظور می توان نام فايل حاوی اسکريپت را بعنوان آرگومان برنامه های cscript.exe و يا wscript.exe تعريف و مشخص نمود .


    cscript.exe myscript.vbs
    wscript.exe myscript.vbs

    بمنظور کسب اطلاعات بيشتر در رابطه با نحوه حذف و يا غير فعال نمودنWSH می توان از آدرس http://www.symantec.com/avcenter/venc/data/win.script.hosting.html استفاده نمود .

    آنتی ويروس ها پيشنهادمی گردد که برنامه آنتی ويروس بهنگام شده ای در gatways ، سرويس دهندگان و ميزبانان ، نصب گردد.(علاوه بر غير فعال نمودنWSH ) . بدين ترتيب، می توان با استفاده از پتانسيل های ارائه شده توسط نرم افزارهای فوق ، برخورد لازم در ارتباط با نامه های الکترونيکی که دارای ضمائم حاوی اسکريپت های مخرب بمنظور انتشار ويروس ها و کرم ها می باشند را انجام داد( نظير فايل های vbs, .vbe, .js, .jse, .wsf, .bat, .exe, .pif and .scr .) .مثلا" برنامه Norton AntiVirus 2001به بعد، امکان Script Blocking را ارائه که می تواند ميزبانان را در مقابل ويروسهای مبتنی بر WSHحفاظت نمايد .


    بهنگام سازی موتور ( هسته ) اسکريپت WSH طی ساليان اخير ، بدفعات ارتقاء يافته است .آخرين نسخه آن را می توان از آدرس Download Windows Script دريافت نمود .


    مجوزهای NTFS از مجوزهای دستيابی NTFS می توان بمنظور تعريف سطح دستيابی قابل دسترس برای wscript.exe و jscript.exe در ارتباط با کاربران و يا گروه هائی ازکاربران بهمراه account های معتبر ويندوز،استفاده نمود . زمانيکه يک دايرکتوری و يا فايل به اشتراک گذاشته می شود ، تنظيمات پيش فرض دستيابی برای دايرکتوری ها و فايل های NTFS ، بصورت Full Control و برای گروه Everyone که شامل تمامی کاربران می باشد ، در نظر گرفته می شود. بدين ترتيب ، تمامی کاربران دارای مجوز لازم در خصوص اصلاح ، انتقال وحذف فايل ها و يا دايرکتوری ها ، می باشند.تنظيمات پيش فرض فوق برای wscript.exe و cscript.exe مناسب نمی باشند . ايمن سازی فايل ها و فولدرها شامل حذف کاربران و گروه هائی است که ضرورتی در رابطه با دستيابی به منابع را ندارند . بمنظور تغيير مجوزهای NTFS در ارتباط با يک دايرکتوری و يا فايل مراحل زير را دنبال می نمائيم :


    • فعال نمودن My Computer ، انتخاب درايو ، دايرکتوری و يا فايلی که قصد ايمن سازی آن وجود داشته باشد.
    • فعال نمودن صفحه Property مربوط به شی انتخاب شده ( درايو ، دايرکتوری ، فايل )
    • در بخش Security صفحه خصايص ، Account مورد نظری که قصد تغيير مجوزهای مرتبط با آن وجود دارد را انتخاب می نمائيم .
    • در بخش Permission ، نوع دستيابی را برای کاربر و يا گروه مربوطه مشخص می نمائيم .گزينه Allow امکان دستيابی و Deny عدم دستيابی در ارتباط با يک مجوز ( خواندن ، نوشتن و ... ) را مشخص می نمايد .
    در صورتيکه در صفحه Property مربوط به فايل ، درايو و يادايرکتوری ، Security tab مشاهده نمی گردد ، سيستم فايل کامپيوتر ميزبان بصورت NTFS پيکربندی نشده است . بمنظور تبديل سيستم فايل به NTFS ، می توان از دستور Convert استفاده نمود ( convert drive_letter: /fs:ntfs ). بمنظور کسب اطلاعات بيشتر در خصوص نحوه تنظيم مجوزهای NTFS ، برای يک دايرکتوری و يا فايل می توان از آدرس http://www.microsoft.com/windows2000/en/server/iis/htm/core/iidfpsc.htm استفاده نمود .
     
  10. esmaeili

    esmaeili Registered User

    تاریخ عضویت:
    ‏5/1/15
    ارسال ها:
    15,045
    تشکر شده :
    103
    امتیاز:
    0
    محل سکونت:
    مشهد
    پس انداز شما
    مهمترين نقاط آسيب پذير ويندوز ( بخش پنجم )

    آنچه تاکنون گفته شده است :

    در بخش پنجم اين مقاله به بررسی نقاط آسيب پذير (Microsoft Outlook Outlook Express ، Peer to Peer File Sharing (P2P و( Simple Network Management Protocol (SNMP خواهيم پرداخت .

    هشتمين نقطه آسيب پذير :

    Microsoft Outlook ,Outlook Express برنامه Outlook ( بخشی از مجموعه نرم افزارهای آفيس )، يک مدير اطلاعات شخصی و سرويس گيرنده پست الکترونيکی ارائه شده توسط مايکروسافت است . برنامه فوق ، علاوه بر ارائه خدمات اوليه مرتبط با يک برنامه پست الکترونيکی ، امکان مديريت تماس ها ، فعاليت ها و زمان را نيز فراهم می نمايد .در صورت ارتباط Outlook با برنامه Exchange Server ( سرويس دهنده پست الکترونيکی ارائه شده توسط مايکروسافت ) ، توانائی و پتانسيل های آن مضاعف می گردد. حمايت از چندين کاربر ، ارائه تسهيلات لازم در خصوص تنظيم قرار ملاقات ، زمان ، اشتراک تقويم و صندوق پستی ، نمونه هائی از پتانسيل های موجود در اين زمينه می باشند .
    Outlook Express) OE) ، نخسه ای رايگان و با قابليت های کمتر نسبت به Outlook بوده که همزمان با ارائه IE نسخه يک ، بهمراه آن بر روی سيستم نصب می گردد( از زمان معرفی ويندوز 95 ، همواره بعنوان يک بخش لاينفک مطرح بوده است ) . با تلفيق محصولاتی نظير IE و OE در ساير نرم افزارهای توليدی مايکروسافت نظير Backoffice ، آفيس و ساير نسخه های سيستم عامل ويندوز ، امکان استفاده از تکنولوژی های متداول و کد مربوطه بين پلات فرم، فراهم می گردد . بعنوان نمونه ، برنامه OutLook 98 مشابه Outlook Express از پارسينگ HTML مربوط به IE و موتور rendering استفاده می نمايد . بنابراين در صورت نصب Outlook 98 (بدون نسخه چهار و يا بالاتر) ،امکان نصب برنامه IE نيز فراهم خواهد شد . استفاده از رويکرد فوق ، دستاوردهای مثبتی همچون :استفاده موثرتر از کد را بدنبال خواهد داشت ولی با توجه به استفاده مشترک از عناصر موجود ، در صورت بروز اشکال در يک نقطه ، دامنه آن گريبانگير محصولات متعددی خواهد شد. مثلا" در صورت وجود يک ضعف امنيتی در يک عنصر خاص ، ضعف موجود بسرعت گسترش و زمينه سوء استفاده از آن در يک محدوده وسيعتر در اختيار مهاجمان قرار خواهد گرفت .قطعا" در چنين شرايطی نگهداری يک محيط عملياتی ايمن و مطمئن ، چالش های خاص خود را بدنبال خواهد داشت . يکی از اهداف مايکروسافت ، پياده سازی يک راه حل مناسب بمنظور مديريت اطلاعات و نامه های الکترونيکی با قابليت استفاده مجدد بوده است. ويژگی های اتوماتيک ارائه شده با کنترل های امنيتی ايجاد شده در تعارض بوده و اين موضوع می تواند زمينه بروز تهديدات و خطراتی را از ناحيه ويروس های مبتنی بر نامه های الکترونيکی ، کرم ها و کدهای مخرب بدنبال داشته باشد .


    سيستم های عامل در معرض تهديدOE ، سرويس گيرنده نامه های الکترونيکی رايگان ارائه شده بهمراه تمامی نسخه های IE و ويندوز است . بمنظور آگاهی از نسخه نرم افزار OE ، پس از اجرای برنامه IE ، با فعال نمودن گزينه About از طريق منوی Help ، می توان از شماره نسخه نرم افزار فوق بر روی سيستم آگاهی يافت . نسخه های پايئن تر از پنج می بايست بلافاصله به نسخه جديد ارتقاء داده شوند.
    OutLook ، يک مدير اطلاعاتی با قابليت های فراوان است که هم بعنوان يک برنامه جداگانه و هم بعنوان عضوی از خانواده آفيس ارائه می گردد . برنامه فوق بصورت اتوماتيک بر روی يک سيستم نصب نخواهد شد و می بايست در خصوص نصب آن ، تصميم گيری گردد.( نصب پيش فرض جايگاهی ندارد) .
    برنامه Outlook دارای نسخه های متعددی است :


    • Outlook 95
    • Outlook 97
    • Outlook 2000 ( به آن Outlook 9 نيز گفته می شود )
    • Outlook XP ( که به آن Outlook 10 و يا Outlook 2002 نيز گفته می شود )
    با فعال نمودن گزينه About از طريق منوی Help ، ( پس از اجرای برنامه IE ) می توان از شماره نسخه برنامه OE نصب شده بر روی سيستم ، آگاهی يافت . نسخه های پائين تر از 2000 می بايست بسرعت patch و بهنگام گردند . در اين رابطه می توان از منابع اطلاعاتی زير استفاده نمود :

    - http://www.microsoft.com/windows/oe/
    - http://www.microsoft.com/office/outlook/

    نحوه تشخيص آسيب پذير ی سيستم تمامی کامپيوترهائی که بر روی آنان سيستم های عامل ويندوز نصب و يا دارای يک نسخه از IE می باشند که بهمراه آن برنامه Outlook Express نيز نصب شده است ، در معرض آسيب قرار خواهند داشت . با استفاده از برنامه نصب مجموعه برنامه های آفيس ، می توان اقدام به نصب برنامه Outlook نمود . نسخه های ارائه شده OE و Outlook برای مکينتاش نيز دارای مسائل امنيتی خاص خود می باشند. در صورت عدم بهنگام سازی نسخه نصب شده و يا عدم رعايت تنظيمات امنيتی مربوطه ، سيستم در معرض تهديد قرار خواهد داشت .


    نحوه حفاظت در مقابل نقطه آسيب پذير بمنظور حفاظت در مقابل نقطه آسيب پذير فوق و کاهش تهديدات موجود در اين زمينه می باسيت عمليات مختلفی را انجام داد:
    ايمن سازی Outlook و Outlook Express نصب و تنظيمات پيش فرض برنامه های Outlook و Outlook Express دارای ضعف امنيتی است . در اين رابطه می بايست بررسی لازم در خصوص تنظيمات امنيتی انجام و از بهنگام بودن نسخه نصب شده مطمئن گرديد. در اينخصوص موارد زير پيشنهاد می گردد :


    • استفاده مستمر از سايت http://windowsupdate.microsoft.com و نصب تمامی Patch های ارائه شده خصوصا" Critical ( بحرانی )
    • غير فعال نمودن پانل نمايش اوليه (Preview ) . با انتخاب گزينه Layout از طريق منوی View زمينه غير فعال نمودن گزينه Show preview pane فراهم می گردد.
    • مستحکمتر نمودن تنظيمات ناحيه امنيتی (Security zone) مرتبط با نامه های الکترونيکی . در اين رابطه از طريق منوی Tools گزينه Options انتخاب و پس از کليک نمودن بر روی Security Tab ، گزينه( Restricted sites zone(More secure انتخاب و مقدار موردنطر High در نظر گرفته شود.
    آموزش کاربر ان با توجه به نقش بسيار مهم عوامل انسانی در ارتباط با فرآيند ايمن سازی اطلاعات ، می بايست کاربران در رابطه با استفاده از نامه های الکترونيکی بدرستی آموزش و توصيه های امنيتی لازم به آنان ارائه گردد. ذکر موارد زير به کاربران ضروری می باشد :


    • در زمان دريافت يک فايل ضميمه ، حتی اگر منبع ارسال کننده آن مطمئن باشد ، می بايست در ابتدا و قبل از فعال نمودن آن ، بررسی لازم در خصوص ويروس های کامپيوتری انجام شود .
    • در زمان دريافت يک فايل ضميمه ، لازم است در ابتدا آن را در يک فولدر ( غير از My Documents ) ذخيره نمود . ( آدرس فوق ، توسط تعداد زيادی از ويروس ها بعنوان نقطه شروع يک تهاجم انتخاب می گردد ) .در اين راستا می توان فولدر ديگری و يا حتی ماشينی ديگر را انتخاب نمود(تفکيک مناسب فيل های ضميمه دريافتی از ساير فايل های موجود بر روی کامپيوتر) .
    • از فعال نمودن فايل های ضميمه همراه يک نامه الکترونيکی خودداری شود. لازم است به اين نکته مهم اشاره گردد که حتی فايل های DOC و يا XSL می توانند شامل کدهای مخربی باشند که سيستم را در معرض تهديد و آسيب قرار دهد.
    • درصورتيکه لازم است فايل دريافتی با استفاده از ساير محصولات مايکروسافت فعال گردد (نظير Word ) ، می بايست مقدار High برای گزينه Disable macro درنظر گرفته شود.
    آنتی ويروس نرم افزارهای آنتی ويروس ، امکانات مناسبی را در خصوص حفاظت کامپيوترها در مقابل اکثر کرم ها ، ويروس ها و ساير کدهای مخرب ، ارائه می نمايند . بانک های اطلاعاتی آنتی ويروس ها حداقل بصورت هفتگی بهنگام می گردند. بمنظور اطمينان از حفاظت در مقابل جديدترين تهديدات، اکثر برنامه های پيشرفته آنتی ويروس ، عمليات بهنگام سازی را بصورت اتوماتيک انجام می دهند. برنامه های جديد و پيشرفته آنتی ويروس دارای قابليت بررسی و پويش تمامی نامه های وارده وصادره بمنظور اطمينان از بلاک نمودن فايل های شامل کد مخرب و يا اسکريپت ، قبل از تهديد سيستم ها توسط آنان می باشند. پيشنهاد می گردد ،ابزارهای حفاظتی آنتی ويروس قبل از استفاده از نامه های الکترونيکی و يا اينترنت ، بهنگام گردند. تعداد زيادی از ويروس ها وکرم ها از طريق سرويس گيرندگان نامه های الکترونيکی بصورت فايل های ضميمه و يا کد اسکريپت مخرب، در زمان مشاهده Preview ،گسترش می يابند .بمنظور دستيابی به مرجع برنامه های آنتی ويروس در سايت مايکروسافت ، می توان از آدرس http://www.microsoft.com/security/protect/antivirus.asp استفاده نمود.

    بهنگام سازی Outlook و Outlook Express .برنامه Outlook Express طی ساليان اخير بدفعات ارتقاء يافته است ( با هدف افزايش قابليت ها و ايمنی بالاتر ) . بمنظور دريافت آخرين نسخه برنامه فوق، می توان از آدرس http://www.microsoft.com/windows/oe ، استفاده نمود. بمنظور اطمينان ازبهنگام بودن Outlook و ساير برنامه های آفيس می توان از آدرس Office Product Updates page استفاده نمود . سايت فوق بصورت اتوماتيک موارد بحرانی را تشخيص و بهنگام سازی لازم وضروری را پيشنهاد می نمايد . بمنظور آگاهی از جزئيات مربوط به ساير موارد ايمنی و تنطيمات مرتبط به نسخه آفيس XP ، می توان از آدرس Office XP Security white paper استفاده نمود . لازم است به اين نکته مهم اشاره گردد که در صورتيکه سيستم شما بخشی از يک شبکه می باشد ، می بايست قبل از اعمال هر گونه تغييرات بر روی سيستم ، موضوع به اطلاع مديريت سيستم رسانده شود. مديران سيستم می توانند بمنظور آشنائی با جزئيات مربوط به بهنگام سازی امنيتی نامه های الکترونيکی در Outlook ، از Office Resource Kit استفاده نمايند .

    Uninstall نمودن Outlook و Outlook Express در صورتيکه از يک برنامه خاص ديگر بمنظور نامه های الکترونيکی و يا سرويس گيرنده مديريت اطلاعات استفاده می گردد ، می توان اقدام به Uninstall نمودن برنامه های Outlook و Outlook Express از روی سيستم نمود:


    • در صورت نصب Outlook بر روی تمامی نسخه های ويندوز می توان با استفاده از گزينه Add/Remove Program اقدام به Uninstall نمودن برنامه نمود.
    • در صورت نصب Outlook Express بر روی ويندوز 98 و يا ME ، می توان با انتخاب آيکون Add/Remove Program و گزينه Windows Setup و انتخاب Outlook Express امکان حذف آن رافراهم نمود .
    • در صورت نصب Outlook Express بر روی ويندوز 2000 و يا XP ، می توان با توجه به پيچيدگی عمليات مربوطه از آدرس های زير استفاده نمود :
      - کاربران ويندوز 2000 که از نسخه Outlook Express Version 5.x/6.0 استفاده می نمايند ، می توانند از آدرس http://support.microsoft.com/default.aspx?scid=kb;EN-US;q263837 استفاده نمايند .
      - کاربران ويندوز 98 و يا ME که از نسخه Outlook Expree Version 5.x/6.0 استفاده می نمايند ، می توانند از آدرس http://support.microsoft.com/default.aspx?scid=kb;EN-US;q256219 استفاده نمايند .
     
  11. esmaeili

    esmaeili Registered User

    تاریخ عضویت:
    ‏5/1/15
    ارسال ها:
    15,045
    تشکر شده :
    103
    امتیاز:
    0
    محل سکونت:
    مشهد
    پس انداز شما
    نهمين نقطه آسيب پذير :

    (Windows Peer to Peer File Sharing (P2P نقطه آسيب پذير فوق ، با ساير موارد اشاره شده متفاوت بوده و اين امکان را فراهم می نمايد که برنامه های نظير به نظير ، بمنزله برنامه های User mode در نظر گرفته شوند .اين نوع از برنامه ها در ساليان اخير بسرعت رشد و مورد استفاده قرار می گيرند. از برنامه های فوق ، بمنظور Download و توزيع انواع متفاوتی از داده ( موزيک ، ويدئو ، گرافيک ، متن ، Source code برنامه ) استفاده می گردد .

    داده های مبادله شده از طريق برنامه های فوق اغلب مشکوک و دراکثر موارد قوانين کپی رايت بين المللی را نقص می نمايند. بر اساس گزارشات ارائه شده توسط Napster ، برنامه های فوق اغلب بصورت يک برنامه سرويس گيرنده توزيع و زمينه اشتراک فايل ها ، دايرکتوری ها و حتی تمامی فضای ذخيره سازی هارد ديسک را فراهم می نمايد . کاربران با استفاده از برنامه های سرويس گيرنده ، پارامتر مورد نظر خود برای جستجو را مشخص و در ادامه يک و يا چندين کانال ارتباطی بين شرکت کنندگان بعنوان نرم افزار سرويس گيرنده و ارتباط با ساير شرکت کنندگان در شبکه های ديگر بمنظور مکان يابی فايل های مورد نظر ايجاد می گردد. سرويس گيرندگان قادر به دريافت فايل از ساير کاربران بوده و می توانند داده های موجود بر روی سيستم خود را برای استفاده ديگران به اشتراک گذارند.
    فرآيند ارتباطات نظير به نظير شامل دريافت درخواست ها ، پاسخ به آنان و ارسال فايل ها می باشد . يک سرويس گيرنده (شرکت کننده) می تواند بطور همزمان چندين download را انجام و در همان زمان اقدام به انجام چندين upload نمايد .

    جستجو برای يافتن محتوی می تواند شامل هر نوع رشته حرفی مورد نظر کاربر باشد . اکثر برنامه های فوق در حال حاضر از پورت های پيش فرض استفاده می نمايند ولی می توان بصورت اتوماتيک و يا دستی آن را بمنظور استفاده از پورت ديگر تنظيم نمود . سمت و سوی اين تکنولوژی بسمت استفاده از http wrappers بوده که با ارائه تسهيلات لازم محدوديت های اعمال شده در سطح يک سازمان بمنظور استفاده از اينترنت را ناديده خواهد گرفت . با توجه به ماهيت multithread برنامه های فوق در ارتباط با جستجو و انتقال فايل ها ، ترافيک شبکه های LAN افزايش و حتی در موارد خاص امکان اشباع کامل لينک های WAN نيز وجود خواهد داشت .

    در زمان استفاده از برنامه های P2P ، سيتستم ها در معرض آسيب و تهديد جدی قرار خواهند گرفت . تهديدات فوق ، می تواند باعث حملاتی از نوع DoS ، دستيابی غير مجاز به تمامی شبکه ( بدليل ضعف در پيکربندی سرويس گيرنده P2P ) و بمخاطره انداختن اطلاعات محرمانه ( هيچگونه محدوديتی دررابطه با نوع فايلی که به اشتراک گذاشته می شود ، وجود ندارد ) گردد .در اين رابطه مسائل قانونی ( کپی رايت ) مربوطه نيز وجود داشته که بطور جدی توسط شرکت های ارائه دهنده محصولات ( صوتی ، تصويری ، نرم افزارهای کاربردی و ... ) دنبال می گردد .محتوی ارائه شده از طريق برنامه های P2P شامل قانونی کپی رايت بوده ( موزيک ، فيلم و برنامه ) و استفاده کنندگان از اين نوع برنامه ها می بايست به اين موضوع مهم نيز توجه نمايند !


    سيستم های عامل در معرض تهديداز برنامه های P2P ، می توان در ارتباط با تمامی نسخه های موجود سيستم عامل ويندوز استفاده نمود( نسخه های متعددی بمنظور نصب بر روی ويندوز نوشته شده است ) . البته در اين رابطه نسخه های مربوط به سيستم های عامل يونيکس و لينوکس نيز وجود داشته و آنان نيز در معرض اين تهديد می باشند .


    نحوه تشخيص آسيب پذير ی سيستم تشخيص استفاده از برنامه های P2P بر روی شبکه ، چالش های خاص خود را بدنبال خواهد داشت .دراين رابطه موارد زير پيشنهاد می گردد :


    • مانيتورينگ ترافيک شبکه بر روی پورت های متداول استفاده شده توسط اين نوع از برنامه ها
    • جستجو ترافيک شبکه برای application layer strings که عموما" توسط برنامه های P2P استفاده می گردد.
    • بررسی مکان های ذخيره سازی شبکه بمنظور کنترل محتوی download شده توسط کاربر (فايل های mp3, *.wma, *.avi, *.mpg, *.mpeg, *.jpg, *.gif, *.zip.* و exe. * )
    • مانيتورينگ فضاء ذخيره سازی شبکه برای کاهش ناگهانی ظرفيت آزاد ديسک
    نحوه حفاظت در مقابل نقطه آسيب پذير بمنظور حفاظت در مقابل نقطه آسيب پذير فوق ، می بايست عمليات متفاوتی را انجام داد :

    سياست شرکت / سازمان


    • استفاده از يک سياست معقول در ارتباط با downloading و قانون کپی رايت در هر سازمان
    • استفاده از يک سياست معقول در ارتباط با نحوه استفاده از اينترنت در هر سازمان
    • بررسی مستمر فضای ذخيره سازی شبکه و ايستگاههای شبکه برای محتوی غير مجاز
    محدوديت شبکه

    • کاربران معمولی نمی بايست قادر به نصب نرم افزار خصوصا" نرم افزارهای P2P باشند .
    • استفاده از يک سرويس دهنده پروکسی بمنظور کنترل دستيابی به اينترنت
    • فيلتريتگ ( خروجی / ورودی ) پورت ها ی استفاده شده توسط برنامه های P2P
    • مانيتورينگ شبکه خصوصا" در ارتباط با ترافيک P2P
    • استفاده روزانه از نرم افزارهای آنتی ويروس بهنگام شده
    پورت های متدوال استفاده شده توسط برنامه های P2P :

    • برنامه Napsster ( پورت های TCP شماره : 8888 ، 8875 ، 6699 )
    • برنامه eDonkey ( پورت های TCP شماره 4661 ، 4662 ، 4665 )
    • برنامه Gnutella ( پورت های TCP/UDP شماره 6345 ، 6346 ، 6347 )
    • برنامه Kazza ( پورت TCP شماره هشتاد برای www ، و پورت TCP/UDP شماره 1214 )
     
  12. esmaeili

    esmaeili Registered User

    تاریخ عضویت:
    ‏5/1/15
    ارسال ها:
    15,045
    تشکر شده :
    103
    امتیاز:
    0
    محل سکونت:
    مشهد
    پس انداز شما
    دهمين نقطه آسيب پذير :

    ( Simple Network Management Protocol (SNMP از پروتکل SNMP بمنظور کنترل ، مانيتورينگ از راه دور و پيکربندی تمامی دستگاه های پيشرفته مبتنی بر TCP/IP استفاده می شود.با اينکه استفاده از SNMP در بين پلات فرم های متفاوت شبکه استفاده می گردد، ولی در اغلب موارد از آن بمنظور پيکربندی و مديريت دستگاههائی نظير چاپگر ، روترها ، سوئيچ ها ، Access point ها و دريافت داده های مورد نياز دستگاههای مانيتورينگ شبکه ، استفاده می شود .
    SNMP ، از روش های متفاوتی بمنظور مبادله پيام بين ايستگاههای مديريت SNMP و دستگاههای شبکه ای استفاده می نمايد . روش های استفاده شده بمنظور برخورد با پيام های مبادله شده و مکانيزم تائيد و معتبر سازی پيا م ها، از جمله عوامل اصلی در رابطه با نقاط آسيب پذير SNMP می باشند .
    نقاط آسيب پذير مرتبط با روش های استفاده شده در SNMP ( نسخه يک ) بهمراه جزئيات مربوطه را می توان در آدرس CERT - 2002 - 03 ، مشاهده نمود . نقاط آسيب پذير متعددی در SNMP متاثر از روش برخورد با پيام ها توسط ايستگاه های مديريتی است . نقاط آسيب پذير فوق، به نسخه ای خاص از SNMP محدود نبوده و محصولات متعدد ارائه شده توسط توليد کنندگان را نيز شامل می گردد . مهاجمان با استفاده از نقاط آسيب پذير فوق ، قادر به انجام حملات متفاوت از نوع DoS ( از کار افتادن يک سرويس ) تا پيکربندی و مديريت ناخواسته ماشين آلات و تجهيزات مبتنی بر SNMP ، می باشند .
    برخی از نقاط آسيب پذير در ارتباط با SNMP متاثر از روش های استفاده شده بمنظور تائيد و معتبر سازی پيام ها در نسخه های قديمی SNMP است ( توارث مشکلات ) . نسخه های يک و دو SNMP ، از يک " رشته مشترک " غيررمز شده بعنوان تنها گزينه موجود برای تائيد پيام ها استفاده می نمايند . عدم استفاده از روش های مناسب رمزنگاری ، می تواند عاملی مهم در پيدايش نقاط آسيب پذير باشد. نگرش پيش فرض نسبت به " رشته مشترک " که توسط تعداد زيادی از دستگاههای SNMP استفاده می گردد ، از ذيگر عوامل مهم در ارتباط با عرضه نقاط آسيب پذير است( برخی از توليد کنندگان بمنظور افزايش سطح ايمنی مربوط به داده های حساس ، رشته را بصورت "اختصاصی " تغيير و استفاده می نمايند ) . شنود اطلاعاتی و ترافيک SNMP ، می تواند افشاء اطلاعات و ساختار شبکه ( سيستم ها و دستگاههای متصل شده به آن ) را بدنبال داشته باشد . مهاجمين با استفاده از اطلاعات فوق ، قادر به انتخاب مناسب و دقيق هدف خود بمنظور برنامه ريزی حملات خود می باشند .
    اکثر توليد کنندگان بصورت پيش فرض نسخه يک SNMP را فعال و تعدادی ديگر، محصولاتی را ارائه می نمايند که قادر به استفاده ازمدل های امنيتی نسخه شماره سه SNMP نمی باشند. ( با استفاده از مدل های امنيـی ارائه شده در نسخه شماره سه SNMP ، می توان پيکربندی لازم در خصوص روش های تائيد را بهبود بخشيد ) .


    SNMP ، بصورت پيش فرض در ويندوز فعال نمی گردد .و اغلب بعنوان يک سرويس تکميلی توسط مدير يت سيستم و يا شبکه ، نصب می گردد . ساير محصولات مديريت شبکه ممکن است مستلزم Windows Service و يا نصب مربوط به خود باشند . SNMP يک روش ارتباطی استفاده شده بمنظور مديريت چاپگرها ، سيستم های UPS ، دستگاه های access point و Bridges است . از SNMP اغلب در نسخه های متفاوت يونيکس و لينوکس نسخه های متفاوت سيستم عامل نت ور ، تجهيزات شبکه ای و دستگاههای embedded استفاده می شود. با توجه به نتايج حاصل از آناليز حملات مبتنی بر SNMP ، مشخص شده است که اکثر حملات در اين رابطه بدليل ضعف در پيکربندی SNMP در سيستم های يونيکس است .

    سيستم های عامل در معرض تهديد تقريبا" تمامی نسخه های سيستم عامل ويندوز بهمراه يک گزينه نصب انتخابی در اينخصوص ارائه شده اند . سرويس فوق بصورت پيش فرض نصب و فعال نمی باشد. اکثر دستگاه ها و سيستم های عامل شبکه ای مبتنی بر SNMP دارای نقطه آسيب پذير فوق بوده و در معرض تهديد قرار خواهند داشت .


    نحوه تشخيص آسيب پذيری سيستم بمنظور بررسی نصب SNMP بر روی دستگاههای موجود و متصل شده در شبکه ، می توان از يک برنامه کمکی و يا روش دستی استفاده نمود. برنامه پويشگر SNScan ، نمونه ای در اين زمينه بوده که می توان آن را از طريق آدرس http://www.foundstone.com/knowledge/free_tools.html دريافت نمود. در موارديکه امکان استفاده از ابزارهای پويشگر وجود ندارد ، می توان بررسی لازم در خصوص نصب و اجراء SNMP را بصورت دستی انجام داد. در اين راستا می توان به مستندات سيستم عامل مربوطه مراجعه تا پس از آگاهی از نحوه پياده سازی SNMP ، عمليات لازم بمنظور تشخيص فعال بودن SNMP را انجام داد
    در اين رابطه می توان با بررسی اجراء سرويس در Services applet ، در ليست پردازه ها نسبت به اين موضوع آگاه و يا با دستور " net stat " در خط دستور و يا با مشاهده و جستجوی سرويس های اجرائی بر روی پورت های 161 و 162 با استفاده از دستور "netstat -an" اين عمليات را انجام داد . در صورت تحقق يکی از شرايط زير و نصب SNMP ، سيستم در معرض آسيب و تهديد قرار خواهد داشت :


    • وجود اسامی SNMP Community پيش فرض و يا خالی ( اسامی استفاده شده بعنوان رمزهای عبور )
    • وجود اسامی SNMP Community قابل حدس
    • وجود رشته های مخفی SNMP Community
    نحوه حفاظت در مقابل نقطه آسيب پذير بمنظور حفاظت در مقابل نقطه آسيب پذير فوق ،در دو زمينه می توان اقدامات حفاظتی را سازماندهی نمود .


    حفاظت در مقابل درخواست های آسيب رسان و تهديد کننده :


    • غير فعال نمودن SNMP در صورت عدم ضرورت استفاده از آن
    • استفاده از يک مدل امنيتی مبتنی بر کاربر SNMPv3 ، بمنظور تائيد پيام ها و رمزنگاری داده ها ( در صورت امکان )
    • در صورت استفاده از SNMP نسخه يک و يا دو ، می بايست آخرين نسخه Patch ارائه شده توسط توليد کننده ، نصب گردد برای آگاهی از مشخصات توليدکننگان، می توان به بخش ضميمه CERT Advisory CA-2002-03 ، مراجعه نمود .
    • SNMP را در گلوگاه های ورودی شبکه فيلتر نمائيد ( پورت 161 مربوط به TCP/UDP و پورت 162 مربوطه به TCP/UDP ) . عمليات فوق را در موارديکه ضرورتی به مديريت دستگاهها بصورت خارجی وجود ندارد ، می بايست انجام داد .

    • از کنترل دستيابی مبتنی بر ميزبان بر روی سيستم های SNMP agent استفاده گردد . ويژگی فوق ممکن است توسط SNMP agent سيستم های عامل دارای محدوديت هائی باشد ، ولی می توان کنترل لازم در خصوص پذيرش درخواست ها توسط agent مربوطه را انجام داد. در اکثر نسخه های ويندوز 2000 و به بعد از آن ، می توان عمليات فوق را توسط يک فيلتر IPSEC انجام داد . استفاده از يک فايروال فيلترينگ بسته های اطلاعاتی مبتنی بر agent بر روی يک ميزبان نيز می تواند در بلاک نمودن درخواست های ناخواسته SNMP موثر واقع شود .
    حفاظت در مقابل رشته های قابل حدس

    • غير فعال نمودن SNMP در صورت عدم ضرورت استفاده از آن

    • استفاده از يک مدل امنيتی مبتنی بر کاربر SNMPv3 ، بمنظور تائيد پيام ها و رمزنگاری داده ها ( در صورت امکان )

    • در صورت استفاده از SNMP نسخه يک و يا دو ، می بايست از يک سياست خاص بمنظور اسامی community ( استفاده شده بعنوان رمزهای عبور ) استفاده گردد. در اين راستا لازم است اسامی بگونه ای انتخابگردند که غير قابل حدس بوده و بصورت ادواری و در محدوده های خاص زمانی نيز تغيير داده شوند .

    • با استفاده از امکانات موجود می بايست بررسی لازم در خصوص استحکام اسامی در نظر گرفته شده برای رمزهای عبور راانجام داد.در اين رابطه می توان از خودآموز و ابزار ارائه شده در آدرس http://www.sans.org/resources/idfaq/snmp.php ، استفاده کرد.

    • SNMP را در گلوگاه های ورودی شبکه فيلتر نمائيد ( پورت 161 مربوط به TCP/UDP و پورت 162 مربوطه به TCP/UDP ) . عمليات فوق را در موارديکه ضرورتی به مديريت دستگاهها بصورت خارجی وجود ندارد ، می بايست انجام داد . پيکربندی فيلترينگ را صرفا" بمنظور ترافيک مجاز SNMP بين subnet های مميزی شده ، انجام دهيد.
     
  13. Charlesded

    Charlesded کاربر تازه وارد

    تاریخ عضویت:
    ‏31/1/18
    ارسال ها:
    1
    تشکر شده :
    0
    امتیاز:
    0
    پس انداز شما

به اشتراک گذاشتن این صفحه