menusearch
net123.ir

افزایش امنیت شبکه با پایین آوردن سطح دسترسی کاربر

۱۳۹۹/۳/۳ شنبه
(16)
(0)
افزایش امنیت شبکه با پایین آوردن سطح دسترسی کاربر
افزایش امنیت شبکه با پایین آوردن سطح دسترسی کاربر

 

افزایش امنیت شبکه با پایین آوردن سطح دسترسی کاربر

 

یکی از موارد بسیار مهم در بحث امنیت شبکه و کامپیوتر این است که حداقل دسترسی مورد نیاز رعایت گردد. زمانی که سیستم عامل ویندوز نصب می گردد کاربری که برای اولین بار لاگین می کند و در هنگام نصب ویندوز شناخته شده، دسترسی کامل دارد، یعنی عضو گروه administrators می باشد. در این حالت امکان آسیب پذیری سیستم عامل بیشتر است. به این دلیل که بسیاری از برنامه ها که شاید هم مخرب باشند در background اجرا می شوند و چون دسترسی کاربر لاگین شده کامل است اجرا می شوند. بسیاری از نرم افزار ها تا اجرا می شوند در firewall برای خود یک رول اضافه می کنند. تنها کافی است کاربر در اینترنت در حال جست و جو باشد و صفحات مختلف را باز کند، اگر وارد سایت آلوده ای شود بدون اینکه کاربر بخواهد فایل خاصی را دانلود کند فایل هایی روی کامپیوتر کاربر دانلود خواهد شد. حال اگر دسترسی کاربر هم کامل باشد یا به عبارت دیگر  administrator باشد این برنامه های مختلف امکان اجرا و آلوده نمودن کل سیستم عامل را خواهد داشت. بنابراین یکی از راهکار های بسیار مفید جهت افزایش امنیت کامپیوتر و شبکه این راهکار بسیار ساده می باشد. تمامی کاربران عضو گروع users باشند، در این صورت امکان اجرای بسیاری از برنامه های ناخواسته وجود ندارد.

حال به یک مثال عملی از فواید عضویت کاربر در گروه users  و خارج نمودن آن از گروه administrator توجه فرمایید.

کاربر در outlook خود یک ایمیل همراه با ضمیمه دریافت کرده است که در اصل یک فایل مخرب و اجرایی می باشد اما در انتهای نام آن .pdf قرار داده شده است. از آنجایی که در حالت پیش فرض پسوند فایل ها دیده نمی شود کاربر با دیدن فایل ضمیمه که در انتهای آن .pdf دیده می شود تصور می کند که این یک فایل pdf می باشد در حالیکه ماهیت فایل اجرایی بوده و بدین شکل می باشد، مثلا name.pdf.exe ، حال اگر کاربر در گروه administrator باشد و روی این فایل کلیک کند فایل اجرایی سیستم را تخریب خواهد کرد اما اگر کاربر عضو گروه user باشد یا فایل اجرا نمیشود یا اگر اجرا هم شود امکان تخریب کمی دارد. در مثال بالا کاربر در این فرایند نقش دارد و فریب می خورد اما موارد دیگری نیز هستند که اصولا کاربر هیچ نقشی ندارد و فرایند تخریب در پیش زمینه یا background انجام می شود. فرض بفرمایید به هر ترتیب ویروس وارد کامپیوتر شده و حال می خواهد آنتی ویروس را غیر فعال کند تا در پروسه اسکن شناسایی نشود. اگر کاربر دسترسی admin داشته باشد امکان غیر فعال سازی آنتی ویروس  برای این نرم افزار بیشتر است. بنابراین یک روش بسیار کارآمد و بدون هزینه این است که تمامی کاربران از عضویت گروه administrator خارج شوند و فقط عضو گروه مورد نیاز مثلا users یا در شبکه domain عضو گروه users domain شوند.

البته انجام راهکار بالا ممکن است مشکلاتی برای کاربر ایجاد کند که در ادامه بیشتر توضیح داده می شود و راه های رفع آن شرح داده می شود.

بنابراین طبق توصیه های نوشته شده بهتر است در سیستم عامل ها دو user تعریف شود یکی با دسترسی کامل عضو گروه administrator و دیگری کاربری که عضو گروه users و همواره کاربر با یوزر عضو گروه users  لاگین و کار می کند و اگر نیاز به اجرا و و نصب برنامه ای باشد و دسترسی کامل می خواهد کاربر می تواند آن برنامه را مثلا در ویندوز 10 با فشار دادن دکمه های shift + right click و انتخاب گزینه ی run as different user ، یوزر و پسورد admin را وارد کند یا موقتا switch user کند و با دسترسی کامل لاگین کند و پس از اتمام نصب برنامه دوباره با user خودش لاگین کند.

مشکلی که معمولا پیش می آید آن است که برخی برنامه ها برای اجرا باید با دسترسی administrator  اجرا شوند و فرایند run as different user و درج یوزر و پسورد زمانبر می باشد، در این حالت میتوان از نرم افزار های run as admin استفاده نمود یا با استفاده از دستور runas/ savecred برای یک برنامه خاص پسورد admin را در سیستم save کنیم.دستور runas یک دستور  ویندوزی  می باشد و  همانطور که گفته شد نرم افزار هایی هم برای این کار هست  یک نمونه از آن  بنام runasspcadmin در قمست دانلود - نرم افزار های کاربردی قرار داده شده  است . پس از  ینکه  نرم افزار  را دانلود فرمودید در قسمت path مسیر  فایل اجرایی قرار می دهید و قسمت usrename و  password  را تکمیل نمایید . سپس گزینه Save  و بعد  test cryptfile   را می زنیم . از این  به بعد  با کلیک  بر روی  فایل  Save  شده  و  زدن گزینه test cryptfile  برنامه مورد نظر  با دسترسی Admin   باز می شود.

در نتیجه کاربر عضو گروه user می تواند آن برنامه هایی که فقط با دسترسی administrator اجرا می شود را بدون درج یوزر و پسورد کاربر ادمین به راحتی اجرا کند.

 

 

با سپاس

حمید خسروی سامانی

 کارشناس  شبکه

انتشار این متن با ذکر آدرس سایت www.net123.ir بلامانع  است.

نظرات کاربران
*نام و نام خانوادگی
* پست الکترونیک
* متن پیام

بستن
*نام و نام خانوادگی
* پست الکترونیک
* متن پیام

2 نظر
kh uiu
چهارشنبه بیست و یکم خرداد ۹۹
پاسخ
()
()
عالي بود