صفحه اول > مقالات

 

 

چک ليست کشف نفوذ در سيستم عامل Windows NT
(قسمت اول)

اين مقاله به صورت کلي گام هايي را بيان مي کند که براي تشخيص به خطر افتادن سيستم عامل Windows NT مورد استفاده قرار مي گيرند. مديران سيستم  مي توانند از اين اطلاعات بهره گرفته و نفوذ هاي احتمالي به سيستم هايي که از اين سيستم عامل بهره مي گيرند را رديابي کنند. مطالعه همه بخش هاي اين مقاله براي مديراني که مايل به شناسايي نقاط ضعف سيستم هاي خود هستند مفيد است.

علاوه بر استفاده از نکات مطرح شده در اين مقاله بهره گيري از نسخه هاي به روز رسان و وصله هاي ارائه شده توسط توليد کنندگان نرم افزار هم بايد به صورت مرتب و جدي انجام شود.

 

الف. رديابي علائمي که خطرات احتمالي سيستم  را نشان مي دهند:

۱- Log  فايل هاي ايجاد شده بر روي سيستم را بررسي کنيد تا اتصالات به دستگاه از نقاط غيرمعمول و يا فعاليت هاي غيرمعمول شناسايي شوند. مي توان با استفاده از Event Viewer ورود هاي عجيب به سيستم(Logon)، نقص سرويس ها و يا روشن و خاموش شدن هاي غير عادي را بررسي کرد. در صورتي که حفاظ[1]، خادم وب و يا مسيرياب  سيستم فعاليت هاي جاري خود را بر روي دستگاهي ديگر ثبت مي کنند، بايد log هاي ذخيره شده بر روي آن دستگاه ها  هم بررسي شود. به خاطر داشته باشيد تنها در صورتي اين اطلاعات مفيد مي باشد که فايل هاي ثبت فعاليت ها فقط قابليت اضافه کردن داشته باشند. بسياري از نفوذکنندگان به سيستم ها با ويرايش فايل هاي log  ردپاي خود را از روي سيستم پاک مي کنند.

۲- کاربران و گروه هاي عجيب را بررسي کنيد. براي اين کار مي توانيد از ابزار User Manager و يا دستورات ‘net user’، ‘net group’ و ‘net localgroup’ بهره بگيريد. اطمينان حاصل کنيد شناسه GUEST که به صورت پيش فرض ساخته مي شود در صورتي که سيستم به آن نياز ندارد، غيرفعال باشد.

۳- همه گروه ها را چک کنيد که کاربران نامعتبر عضو آنها نباشند. بعضي از گروه هاي پيش فرضNT اختيارات خاصي را به اعضاي خود مي دهند. اعضاي گروه Administrators مي توانند بر روي سيستم محلي هر گونه فعاليتي را انجام دهند. کاربران Backup operator مي توانند همه فايل هاي موجود بر روي سيستم را بخوانند و کاربران PowerUser امکان به اشتراک گذاشتن منابع سيستم را دارند.

۴- حقوق کاربران را بررسي کنيد و امکان انجام فعاليت هاي غيرمنطقي را از آنها بگيرد. براي اين کار مي توان از Administrative Tools آيکون Local Security Settings را انتخاب کنيد. حقوق مختلفي که مي توان به کاربران و گروه هاي مختلف داد در بخش User Rights Assignment قابل مشاهده مي باشد. ۲۷ حق مختلف وجود دارد که قابل تخصيص دادن به کاربران و گروه هاي کاربري مي باشد. پيکربندي پيش فرض حقوق کاربران معمولا امنيت مناسبي را داراست.

۵- از عدم اجراي برنامه هاي غير مجاز اطمينان حاصل کنيد. يک نفوذگر مي تواند با استفاده از روش هاي متنوعي يک برنامه درپشتي را اجرا کند. بنابراين از موارد زير مطمئن شويد:

·         پوشه هاي Startup موجود بر روي دستگاه را بررسي کنيد. دقت کنيد که دو پوشه Startup  وجود دارد که يکي مربوط به کاربر محلي است و ديگري به همه کاربران ارتباط دارد. در زمان ورود يک کاربر به سيستم همه برنامه هاي کاربردي موجود در “All Users” و پوشه Startup  کاربران اجرا مي شوند. بازرسي دقيق همه پوشه هاي Startup براي کشف برنامه هاي مشکوک ضروري است.

·         رجيستري سيستم را چک کنيد. ليست زير نقاطي که بايد در رجيستري مورد بررسي قرار گيرند را نشان مي دهد:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDLLs
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Session Manager\KnownDLLs
 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows ("run=" line)
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows ("run=" value)

 

·         سيستم را براي شناسايي سرويس هاي نامعتبر مورد بازرسي قرار دهيد. برخي از برنامه هاي درپشتي خود را به عنوان سرويس بر روي دستگاه نصب کرده و در زمان روشن شدن دستگاه فعال مي شوند. در چنين شرايطي سرويس مي تواند با استفاده از حق “Logon as Service” به عنوان هر يک از کاربران سيستم اجرا شود. سرويس هايي که به صورت خودکار آغاز مي شوند را بررسي کنيد و از ضرورت وجود آنها اطمينان حاصل کنيد. علاوه بر اين مطمئن شويد که فايل اجرايي سرويس اسب تروا و يا برنامه در پشتي نيست.

دستورات زير که مي توان آنها را در يک فايل دسته اي قرار داد براي جمع آوري اطلاعات در مورد سرويس هايي که در حال اجرا هستند مفيد هستند. خروجي اين برنامه شامل کليد سرويس ها، مقدار پارامتر Startup  و فايل اجرايي سرويس مي باشد. اين برنامه از دستور REG.EXE استفاده مي کند که بخشي از NT Resource Kit مي باشد. اجراي اين برنامه باعث تغيير محتويات رجيستري و يا فايل ها نمي شود.

@echo off
REM The 'delims' parameter of PULLINFO1 and PULLINFO2 should be a single TAB.
 
for /f "tokens=1 delims=[]" %%I in ('reg query HKLM\SYSTEM\CurrentControlSet\Services') do
 call :PULLINFO1 %%I
set START_TYPE=
goto :EOF
 
:PULLINFO1
for /f "tokens=3 delims=           " %%I in ('reg query
 HKLM\SYSTEM\CurrentControlSet\Services\%1 ^| findstr "Start" ') do call :PULLINFO2 %1 %%I
goto :EOF
 
:PULLINFO2
for /f "tokens=3,4 delims= " %%I in ('reg query HKLM\SYSTEM\CurrentControlSet\Services\%1
 ^| findstr "ImagePath" ') do call :SHOWINFO %1 %2 %%I %%J
goto :EOF
 
:SHOWINFO
if /i {%2}=={0} set START_TYPE=Boot
if /i {%2}=={1} set START_TYPE=System
if /i {%2}=={2} set START_TYPE=Automatic
if /i {%2}=={3} set START_TYPE=Disabled
if not "%4" == "" (echo %1 -%START_TYPE%- %3\%4) else (echo %1 -%START_TYPE%- %3)
goto :EOF

ساير نکات ضروري براي تامين امنيت سيستم عامل Windows NT در بخش هاي بعدي از اين مجموعه مقالات ارائه خواهد شد.


[1]- Firewall