افزایش امنیت شبکه با پایین آوردن سطح دسترسی کاربر

افزایش امنیت شبکه با پایین آوردن سطح دسترسی کاربر

یکی از موارد بسیار مهم در بحث امنیت شبکه و کامپیوتر این است که حداقل دسترسی مورد نیاز رعایت گردد. زمانی که سیستم عامل ویندوز نصب می‌گردد کاربری که برای اولین بار لاگین می‌کند و در هنگام نصب ویندوز شناخته شده، دسترسی کامل دارد، یعنی عضو گروه administrators است. در این حالت امکان آسیب پذیری سیستم عامل بیشتر است. به این دلیل که بسیاری از برنامه ها که شاید هم مخرب باشند در background اجرا می‌شوند و چون دسترسی کاربر لاگین شده کامل است اجرا می‌شوند. بسیاری از نرم افزار ها تا اجرا می‌شوند در firewall برای خود یک رول اضافه می‌کنند. تنها کافی است کاربر در اینترنت در حال جست و جو باشد و صفحات مختلف را باز کند، اگر وارد سایت آلوده ای شود بدون اینکه کاربر بخواهد فایل خاصی را دانلود کند فایل هایی روی کامپیوتر کاربر دانلود خواهد شد. حال اگر دسترسی کاربر هم کامل باشد یا به عبارت دیگر  administrator باشد این برنامه های مختلف امکان اجرا و آلوده نمودن کل سیستم عامل را خواهد داشت. بنابراین یکی از راهکار های بسیار مفید جهت افزایش امنیت کامپیوتر و شبکه این راهکار بسیار ساده است. تمامی کاربران عضو گروع users باشند، در این صورت امکان اجرای بسیاری از برنامه های ناخواسته وجود ندارد.

حال به یک مثال عملی از فواید عضویت کاربر در گروه users و خارج نمودن آن از گروه administrator توجه فرمایید.

کاربر در outlook خود یک ایمیل همراه با ضمیمه دریافت کرده است که در اصل یک فایل مخرب و اجرایی است اما در انتهای نام آن .pdf قرار داده شده است. از آنجایی که در حالت پیش فرض پسوند فایل ها دیده نمی‌شود کاربر با دیدن فایل ضمیمه که در انتهای آن .pdf دیده می‌شود تصور می‌کند که این یک فایل pdf است در حالیکه ماهیت فایل اجرایی بوده و بدین شکل است، مثلا name.pdf.exe، حال اگر کاربر در گروه administrator باشد و روی این فایل کلیک کند فایل اجرایی سیستم را تخریب خواهد کرد اما اگر کاربر عضو گروه user باشد یا فایل اجرا نمیشود یا اگر اجرا هم شود امکان تخریب کمی دارد. در مثال بالا کاربر در این فرایند نقش دارد و فریب می‌خورد اما موارد دیگری نیز هستند که اصولا کاربر هیچ نقشی ندارد و فرایند تخریب در پیش زمینه یا background انجام می‌شود. فرض بفرمایید به هر ترتیب ویروس وارد کامپیوتر شده و حال می‌خواهد آنتی ویروس را غیر فعال کند تا در پروسه اسکن شناسایی نشود. اگر کاربر دسترسی admin داشته باشد امکان غیر فعال سازی آنتی ویروس برای این نرم افزار بیشتر است. بنابراین یک روش بسیار کارآمد و بدون هزینه این است که تمامی کاربران از عضویت گروه administrator خارج شوند و فقط عضو گروه مورد نیاز مثلا users یا در شبکه domain عضو گروه users domain شوند.

البته انجام راهکار بالا ممکن است مشکلاتی برای کاربر ایجاد کند که در ادامه بیشتر توضیح داده می‌شود و راه های رفع آن شرح داده می‌شود.

بنابراین طبق توصیه های نوشته شده بهتر است در سیستم عامل ها دو user تعریف شود یکی با دسترسی کامل عضو گروه administrator و دیگری کاربری که عضو گروه users و همواره کاربر با یوزر عضو گروه users لاگین و کار می‌کند و اگر نیاز به اجرا و و نصب برنامه ای باشد و دسترسی کامل می‌خواهد کاربر می‌تواند آن برنامه را مثلا در ویندوز 10 با فشار دادن دکمه های shift + right click و انتخاب گزینه ی run as different user، یوزر و پسورد admin را وارد کند یا موقتا switch user کند و با دسترسی کامل لاگین کند و پس از اتمام نصب برنامه دوباره با user خودش لاگین کند.

مشکلی که معمولا پیش می‌آید آن است که برخی برنامه ها برای اجرا باید با دسترسی administrator اجرا شوند و فرایند run as different user و درج یوزر و پسورد زمانبر است، در این حالت میتوان از نرم افزار های run as admin استفاده نمود یا با استفاده از دستور runas/ savecred برای یک برنامه خاص پسورد admin را در سیستم save کنیم.دستور runas یک دستور ویندوزی است و همانطور که گفته شد نرم افزار هایی هم برای این کار هست یک نمونه از آن بنام runasspcadmin در قمست دانلود - نرم افزار های کاربردی قرار داده شده است. پس از ینکه نرم افزار را دانلود فرمودید در قسمت path مسیر فایل اجرایی قرار می‌دهید و قسمت usrename و password را تکمیل نمایید. سپس گزینه Save و بعد test cryptfile  را می‌زنیم. از این به بعد با کلیک بر روی فایل Save شده و زدن گزینه test cryptfile برنامه مورد نظر با دسترسی Admin  باز می‌شود.

در نتیجه کاربر عضو گروه user می‌تواند آن برنامه هایی که فقط با دسترسی administrator اجرا می‌شود را بدون درج یوزر و پسورد کاربر ادمین به راحتی اجرا کند.

با سپاس

حمید خسروی سامانی

کارشناس شبکه

انتشار این متن با ذکر آدرس سایت www.net123.ir بلامانع است.