چک لیست کشف نفوذ در سیستم عامل Windows NT
(قسمت اول)

این مقاله به صورت کلی گام هایی را بیان می کند که برای تشخیص به خطر افتادن سیستم عامل Windows NT مورد استفاده قرار می گیرند. مدیران سیستم  می توانند از این اطلاعات بهره گرفته و نفوذ های احتمالی به سیستم هایی که از این سیستم عامل بهره می گیرند را ردیابی کنند. مطالعه همه بخش های این مقاله برای مدیرانی که مایل به شناسایی نقاط ضعف سیستم های خود هستند مفید است.

علاوه بر استفاده از نکات مطرح شده در این مقاله بهره گیری از نسخه های به روز رسان و وصله های ارائه شده توسط تولید کنندگان نرم افزار هم باید به صورت مرتب و جدی انجام شود.

الف. ردیابی علائمی که خطرات احتمالی سیستم  را نشان می دهند:

۱- Log  فایل های ایجاد شده بر روی سیستم را بررسی کنید تا اتصالات به دستگاه از نقاط غیرمعمول و یا فعالیت های غیرمعمول شناسایی شوند. می توان با استفاده از Event Viewer ورود های عجیب به سیستم(Logon)، نقص سرویس ها و یا روشن و خاموش شدن های غیر عادی را بررسی کرد. در صورتی که حفاظ[1]، خادم وب و یا مسیریاب  سیستم فعالیت های جاری خود را بر روی دستگاهی دیگر ثبت می کنند، باید log های ذخیره شده بر روی آن دستگاه ها  هم بررسی شود. به خاطر داشته باشید تنها در صورتی این اطلاعات مفید می باشد که فایل های ثبت فعالیت ها فقط قابلیت اضافه کردن داشته باشند. بسیاری از نفوذکنندگان به سیستم ها با ویرایش فایل های log  ردپای خود را از روی سیستم پاک می کنند.

۲- کاربران و گروه های عجیب را بررسی کنید. برای این کار می توانید از ابزار User Manager و یا دستورات ‘net user’، ‘net group’ و ‘net localgroup’ بهره بگیرید. اطمینان حاصل کنید شناسه GUEST که به صورت پیش فرض ساخته می شود در صورتی که سیستم به آن نیاز ندارد، غیرفعال باشد.

۳- همه گروه ها را چک کنید که کاربران نامعتبر عضو آنها نباشند. بعضی از گروه های پیش فرضNT اختیارات خاصی را به اعضای خود می دهند. اعضای گروه Administrators می توانند بر روی سیستم محلی هر گونه فعالیتی را انجام دهند. کاربران Backup operator می توانند همه فایل های موجود بر روی سیستم را بخوانند و کاربران PowerUser امکان به اشتراک گذاشتن منابع سیستم را دارند.

۴- حقوق کاربران را بررسی کنید و امکان انجام فعالیت های غیرمنطقی را از آنها بگیرد. برای این کار می توان از Administrative Tools آیکون Local Security Settings را انتخاب کنید. حقوق مختلفی که می توان به کاربران و گروه های مختلف داد در بخش User Rights Assignment قابل مشاهده می باشد. ۲۷ حق مختلف وجود دارد که قابل تخصیص دادن به کاربران و گروه های کاربری می باشد. پیکربندی پیش فرض حقوق کاربران معمولا امنیت مناسبی را داراست.

۵- از عدم اجرای برنامه های غیر مجاز اطمینان حاصل کنید. یک نفوذگر می تواند با استفاده از روش های متنوعی یک برنامه درپشتی را اجرا کند. بنابراین از موارد زیر مطمئن شوید:

·         پوشه های Startup موجود بر روی دستگاه را بررسی کنید. دقت کنید که دو پوشه Startup  وجود دارد که یکی مربوط به کاربر محلی است و دیگری به همه کاربران ارتباط دارد. در زمان ورود یک کاربر به سیستم همه برنامه های کاربردی موجود در “All Users” و پوشه Startup  کاربران اجرا می شوند. بازرسی دقیق همه پوشه های Startup برای کشف برنامه های مشکوک ضروری است.

·         رجیستری سیستم را چک کنید. لیست زیر نقاطی که باید در رجیستری مورد بررسی قرار گیرند را نشان می دهد:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDLLs

HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Session Manager\KnownDLLs

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunOnceEx

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows ("run=" line)

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\RunOnceEx

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows ("run=" value)

·         سیستم را برای شناسایی سرویس های نامعتبر مورد بازرسی قرار دهید. برخی از برنامه های درپشتی خود را به عنوان سرویس بر روی دستگاه نصب کرده و در زمان روشن شدن دستگاه فعال می شوند. در چنین شرایطی سرویس می تواند با استفاده از حق “Logon as Service” به عنوان هر یک از کاربران سیستم اجرا شود. سرویس هایی که به صورت خودکار آغاز می شوند را بررسی کنید و از ضرورت وجود آنها اطمینان حاصل کنید. علاوه بر این مطمئن شوید که فایل اجرایی سرویس اسب تروا و یا برنامه در پشتی نیست.

دستورات زیر که می توان آنها را در یک فایل دسته ای قرار داد برای جمع آوری اطلاعات در مورد سرویس هایی که در حال اجرا هستند مفید هستند. خروجی این برنامه شامل کلید سرویس ها، مقدار پارامتر Startup  و فایل اجرایی سرویس می باشد. این برنامه از دستور REG.EXE استفاده می کند که بخشی از NT Resource Kit می باشد. اجرای این برنامه باعث تغییر محتویات رجیستری و یا فایل ها نمی شود.

@echo off

REM The 'delims' parameter of PULLINFO1 and PULLINFO2 should be a single TAB.

for /f "tokens=1 delims=[]" %%I in ('reg query HKLM\SYSTEM\CurrentControlSet\Services') do

 call :PULLINFO1 %%I

set START_TYPE=

goto :EOF

:PULLINFO1

for /f "tokens=3 delims=           " %%I in ('reg query

 HKLM\SYSTEM\CurrentControlSet\Services\%1 ^| findstr "Start" ') do call :PULLINFO2 %1 %%I

goto :EOF

:PULLINFO2

for /f "tokens=3,4 delims= " %%I in ('reg query HKLM\SYSTEM\CurrentControlSet\Services\%1

 ^| findstr "ImagePath" ') do call :SHOWINFO %1 %2 %%I %%J

goto :EOF

:SHOWINFO

if /i {%2}=={0} set START_TYPE=Boot

if /i {%2}=={1} set START_TYPE=System

if /i {%2}=={2} set START_TYPE=Automatic

if /i {%2}=={3} set START_TYPE=Disabled

if not "%4" == "" (echo %1 -%START_TYPE%- %3\%4) else (echo %1 -%START_TYPE%- %3)

goto :EOF

سایر نکات ضروری برای تامین امنیت سیستم عامل Windows NT در بخش های بعدی از این مجموعه مقالات ارائه خواهد شد.