پیشرفت های اخیر در فناوری شبكه مانند امكان اتصال دائم به اینترنت، فرصت های زیادی را در اختیار انواع شركت ها و سازمان ها و حتی كاربران عادی قرار داده است. اما متأسفانه اتصال به هر نوع شبكه ای و مخصوصاً اینترنت، خطر حملات بدافزاری را افزایش می دهد و در همین حال كه متخصصان امنیتی مشغول مدیریت خطرات موجود هستند، خطرات جدیدی ایجاد و كشف می شوند. یكی از فاكتورهای اصلی كه خطر بدافزارها را به میزان چشمگیری افزایش می دهد، ارتقا حق دسترسی كاربران به سطح مدیر سیستم است. زمانی كه یك كاربر با حق دسترسی مدیر یا Administrator وارد سیستم می شود، تمام برنامه هایی كه اجرا می كند مانند مرورگرها، برنامه های ایمیل و برنامه های پیام فوری نیز حق دسترسی مدیر سیستم را پیدا می كنند. در صورتی كه این برنامه ها یك بدافزار را فعال سازند، آن بدافزار خود را نصب و خدمات برنامه های آنتی ویروس را دستكاری كرده و حتی ممكن است خود را از دید سیستم عامل پنهان سازد. از طرف دیگر كاربران نیز ممكن است به صورت ناخواسته (برای مثال از طریق بازدید از یك وب سایت آلوده شده و یا با كلیك بر روی پیوست ایمیل) برنامه های خرابكار را اجرا كنند. برنامه های خرابكار مذكور می توانند بسیار خطرناك بوده و كارهایی از قبیل دستكاری اطلاعات حساس، به دست آوردن كلمات عبور از طریق نصب ثبت كننده ضربات صفحه كلید (keystroke logger)، به دست گرفتن كنترل كامل رایانه قربانی و حتی شبكه ها را انجام داده و كاری كنند كه وب سایت ها بالا نیایند و یا حتی دیسك سخت را فرمت كنند. در برخی موارد هزینه تحمیل شده بر اثر خرابكاری های مذكور غیر قابل جبران است. برای برخورد با تهدیدات مذكور، یك استراتژی دفاع چند لایه لازم است كه راهكار حساب های كاربری با حداقل دسترسی (LUA-least-privileged user account)، یكی از بخش های مهم استراتژی دفاعی را تشكیل می دهد. راهكار LUA تضمین می كند كه كاربران از اصول حداقل حق دسترسی پیروی كرده و با حساب های كاربری محدود شده وارد شبكه شوند. از طرف دیگر هدف LUA، اعطای حق دسترسی مدیریتی تنها به مدیران شبكه و تنها برای انجام كارهای مدیریتی است. برای كسب اطلاعات بیشتر در مورد LUA و اصل حداقل حق دسترسی به مقاله حداقل حق دسترسی در ویندوز XP مراجعه فرمایید. در این مقاله در مورد چگونگی پیاده سازی LUA در ویندوز XP صحبت خواهیم كرد.
پیاده سازی LUA
پیاده سازی راهكار LUA در واقع اجرای قوانین زیر در رایانه هایی است كه ویندوز XP را اجرا می كنند:
كاربرانی كه مدیر نیستند همواره باید به عنوان كاربران محدود شده (Limited Users) وارد سیستم شوند.
مدیران باید زمانی از حساب كاربری Administrator استفاده كنند كه قصد انجام كارهای مدیریتی را دارند.
برای پیاده سازی قوانین فوق، موارد خاصی باید بررسی شوند، به خصوص زمانی كه یك سازمان در گذشته دسترسی های مدیریتی را به كاربران خود داده است و حال درصدد استفاده از راهكار LUA است. در زیر ملاحظاتی كه در زمان اجرای LUA در نظر گرفته می شوند، توضیح داده شده اند.
ملاحظات پیاده سازی
پیاده سازی راهكار LUA، ممكن است منجر به برخی مسائل فنی، مدیریتی و سیاستی در درون سازمان شود كه باید به دقت بررسی و رسیدگی شوند. مهمترین مسائلی كه باید مورد توجه قرار گیرند به طور خلاصه عبارتند از:
كنترل رایانه
نصب سخت افزار
نصب برنامه ها
اجرای برنامه ها
به روز رسانی سیستم عامل
تنظیمات سیستم عامل
هزینه ها
در زیر هر یك از موارد فوق را به تفصیل توضیح می دهیم:
كنترل رایانه
احتمالاً مشكل ترین مسئله سیاستی سازمان برای پیاده سازی LUA، تغییر ذهنیت كارمندان در مورد تحت كنترل داشتن رایانه ای است كه گمان می كنند متعلق به آنها است. بسیاری از مدیران ارشد و مشاوران انتظار دارند كه كنترل كامل رایانه خویش را در اختیار داشته باشند ولی نسبت به خطرات چنین اختیاراتی ناآگاه هستند. اینگونه افراد نظر خوبی نسبت به پیغام هایی كه به آنها می گوید چه كاری را نمی توانند انجام دهند، ندارند و در هر بار مواجهه با چنین پیغام هایی با اصرار از مدیر شبكه می خواهند كنترل كامل رایانه را در اختیارشان بگذارد. همچنین كارمندان شروع به شكایت و مبالغه كردن در مورد مشكلاتی می كنند كه به علت در اختیار نداشتن كنترل كامل رایانه با آن مواجه شده اند. برای برخورد با چنین مشكلی باید به كارمندان و مدیران در مورد امنیت در اینترنت و اینكه چگونه اختیارات مدیریتی، ریسك امنیتی بالایی را به سازمان تحمیل می كند، آموزش داد و همچنین لازم است در مورد پیامدهای قانونی یك هك یا سرقت اطلاعات ناخواسته برای آنها توضیح داد.
نصب سخت افزار
كارمندانی كه در دفتر ثابت كار می كنند هرگز نیازی به دسترسی های مدیریتی برای نصب سخت افزار ندارند، اما كارمندانی كه از رایانه های قابل حمل استفاده می كنند، ممكن است نیاز به نصب سخت افزارهایی مانند پرینتر و DVD writer پیدا كنند. در این موارد ممكن است بتوان از قوانین LUA چشم پوشی كرد و یا از روش های مدیریت سخت افزار استفاده كرد.
نصب برنامه ها
بسیاری از برنامه ها برای نصب نیازمند دسترسی مدیریتی هستند. نكته مثبت این ویژگی، جلوگیری از نصب برنامه های تأیید نشده است ولی از طرف دیگر اجازه نصب برنامه ها و به روز رسانی های تأیید شده را هم به حساب های كاربری غیر مدیریتی نمی دهد. این موضوع زمانی بیشتر مشكل ساز می شود كه رایانه كاربر به شبكه سازمان وصل نباشد و یا فقط برخی اوقات وصل شود. برای برطرف كردن مشكل نصب برنامه های تأیید شده و به روز رسانی های امنیتی ممكن است نیاز به تغییر در دو مقوله رویه های عملیاتی و استفاده از ابزارها باشد. برای مثال می توان به انتشار برنامه های كاربردی از طریق Active Directory، حقوق ارتقا یافته در Deployment Tool در Systems Manager Server(SMS) مایكروسافت و Remote Desktop اشاره كرد. همچنین برخی وب سایت ها تنها زمانی درست كار می كنند كه برخی نرم افزارهای اضافی و یا كنترل های Active X را بر روی رایانه كاربر نصب نمایند. برخی ابزارهای مدیریتی مانند Internet Explorer Administration Kit و Group Policy می توانند چنین اجازه ای را به وب سایت های مذكور بدهند، البته فقط در صورتی كه نیاز به وب سایت مذكور برای شركت ضروری باشد و این كار به خطرهایی كه نصب نرم افزار از وب سایت مذكور، به شركت تحمیل می كند، بیارزد.
اجرای برنامه ها
برخی برنامه ها برای اجرا نیازمند دسترسی های مدیریتی هستند. معمولاً این محدودیت از خطاهای برنامه نویسی و پیاده سازی ضعیف برنامه یا سیاست های امنیتی ناشی می شود. برای مثال، ممكن است برنامه ای كلید خود را در رجیستری ذخیره كند كه برای كاربر محدود شده غیر قابل دسترسی است. در بسیاری از موارد، می توان این مشكل را با ارتقای حق دسترسی گروه كاربران محدود شده حل كرد. البته این مجوز دسترسی باید تنها برای محلی صادر شود كه عدم دسترسی به آن منجر به از كار افتادن برنامه می شود. برای حل مسائل مشابه می توان از Microsoft Windows Application Compatibility Toolkit (ACT) كه در ادامه درباره آن بیشتر صحبت خواهیم كرد، استفاده كرد. دقت شود كه مدیران شبكه نباید به راحتی به علت اینكه یك برنامه خاص نیازمند مجوزهای مدیریتی است، تسلیم شده و همه كاربران را administrator كنند.
به روز رسانی سیستم عامل
نصب دستی به روز رسانی های سیستم عامل از وب سایت Microsoft Update نیازمند حق دسترسی مدیریتی است، اما به روز رسانی اتوماتیك چنین مشكلی ندارد. در صورتی كه سیستم برای نصب اتوماتیك به روز رسانی های سیستم عامل و برنامه ها تنظیم شود، به ندرت نیازمند حق دسترسی مدیریتی می شود. برنامه SMS 2003 و نسخه های جدیدتر آن دارای ویژگی هایی برای شناسایی و نصب به روز رسانی های سیستم عامل و برنامه ها است كه نیازمند حق دسترسی مدیریتی نیست. سازمان هایی كه SMS را نصب نكرده اند می توانند از Windows Software Update Services(WSUS) كه مدیریت به روز رسانی ها را به شكل ساده و در عین حال امنی پیاده سازی كرده است، استفاده كنند.
تنظیمات سیستم عامل
سیاست فناوری اطلاعات سازمان باید به روشنی تعریف كند كه كاربران محدود شده چه اعمالی را می توانند بر روی رایانه های خود انجام دهند. برای مثال می توان به كاربران غیر ثابت (متحرك) اجازه داد ساعت رایانه خود را تغییر دهند. در ادامه ابزارهایی را معرفی خواهیم كرد كه برای مدیریت تنظیمات مذكور به كار می روند.
هزینه ها
برنامه ریزی، پیاده سازی و مدیریت راهكار LUA می تواند هزینه بر باشد. در صورتی كه شما از برنامه های نرم افزاری آماده استفاده می كنید و یا شركت دیگری متولی مدیریت فناوری اطلاعات شما است، این هزینه ها می تواند چشمگیر باشد. برای مثال می توان به موردی اشاره كرد كه سازمان شما برنامه ای را از یك تولید كننده نرم افزار خریداری كرده است كه با راهكار LUA سازگار نیست و تنها با دسترسی های مدیریتی كار می كند. در این وضعیت با توجه به منابعی كه تولید كننده نرم افزار در اختیار شما گذاشته است می توان اقدامات زیر را انجام داد:
برنامه را در محیط LUA تست كرد.
یك پروسه كاهش خطر را تعیین كرد كه در صورت اجرا نشدن برنامه از آن استفاده كرد:
مجوزهای رجیستری را تغییر داد و یا به چندین رایانه دسترسی های ویژه داد.
حقوق دسترسی را تغییر داد.
از ابزارهایی كه مشكل تنظیمات را حل می كنند، استفاده كرد.
برنامه را از ابتدا ایجاد كرد. در صورتی كه شركت به هر حال قصد دارد برنامه های خود را تبدیل به احسن كند، هزینه های پیاده سازی LUA چندان قابل توجه نخواهد بود.
ابزارها
بسیاری از ابزارهای مایكروسافت و دیگر تولید كنندگان نرم افزار برای كمك به مدیریت محیطی كه از راهكار LUA استفاده می كند، در دسترس هستند. در این بخش به معرفی سه ابزارهای پیشنهاد شده توسط مایكروسافت می پردازیم:
Secondary Logon Service
این نرم افزار به كاربران اجازه می دهد برنامه ها را با حقوق دسترسی متفاوت اجرا كنند و یك مجوز امنیتی جدید برای اعضای گروه صادر می كند. این مجوز امنیتی جدید به كاربران مذكور اجازه می دهد برنامه هایی را اجرا كنند كه برای اجرای صحیح، نیازمند دسترسی به منابع خاصی هستند. البته استفاده از این سرویس ممكن است منجر به محدودیت های زیر شود:
كاربران باید اطلاعات ورود به حساب كاربری دوم را بدانند.
برخی برنامه ها نمی توانند یك نسخه دیگر را با اطلاعات ورود متفاوت، از نسخه جاری اجرا كنند
ممكن است حساب كاربری دوم دارای درایوها یا پرینتر نصب شده مطابق با حساب كاربری اول نباشد.
Application Compatibility Toolkit
این ابزار كه اختصاراً ACT نامیده می شود در واقع مجموعه ای از ابزارها و پرونده ها است كه به متخصصان IT و توسعه دهندگان نرم افزار كمك می كند تا به بالاترین سطح تطابق برنامه ها با سیستم عامل های ویندوز برسند. ابزارهای مجتمع شده عبارتند از:
Application Analyzer : این ابزار امكان فهرست بندی برنامه های كاربردی و تست تطابق پذیری را فراهم می سازد.
Compatibility Administrator : این پایگاه داده، لیست اصلاحات تطابق پذیری ضروری را برای برنامه های تاریخ گذشته ویندوز نشان می دهد.
Internet Explorer Compatibility Evaluator: این ابزار به تفصیل مشكلات تطابق پذیری برنامه ها با مرورگر IE را ثبت می كند.
Systems Management Server) SMS)
این نرم افزار یك سیستم مدیریتی با امكانات بسیار برای شركت های متوسط و بزرگ است و شبكه های مركزی و یا گسترده را نیز پوشش می دهد. SMS از راهكار LUA پشتیبانی كرده و اجازه نصب به روز رسانی های نرم افزارها و سیستم عامل را بدون نیاز به دسترسی های مدیریتی می دهد.
كاهش اختیارات مدیریتی
در صورتی كه سازمانی قادر به پیاده سازی راهكار LUA به طور كامل نیست، می تواند خطرات دادن حق دسترسی مدیریتی به كاربران را كاهش دهد. برای این كار باید مطمئن شد كه هر برنامه ای كه به منابع شبكه دسترسی دارد تحت حقوق كاربر محدود شده اجرا می شود. درست است كه این كار با اصول حق دسترسی محدود شده سازگاری ندارد ولی حداقل به هر كسی اجازه نمی دهد همه برنامه ها را با حق دسترسی مدیریتی اجرا كند. برای تأمین امنیت مؤثر، زمانی كه كاربران شبكه دارای حق دسترسی مدیریتی هستند باید موارد زیر در نظر گرفته شود:
از ابزارهایی برای كاهش خطرات اجرای برنامه ها با حق دسترسی مدیریتی استفاده شود.
باید برنامه هایی كه با اینترنت در ارتباطند مانند ایمیل، مرورگرها و نرم افزارهای پیام فوری تحت حق دسترسی كاربر محدود شده اجرا شوند. دادن مجوز مدیریتی به چنین برنامه هایی متداول ترین روش نفوذ بدافزارها به سیستم است.
می توان از ابزارهای زیر برای كاهش خطرات، زمانی كه كاربران با حق دسترسی مدیریتی وارد سیستم می شوند، استفاده كرد:
Secondary Logon Service
Software Restriction Policies
DropMyRights
در پایان باید گفت كه راهكار LUA به تنهایی یك راه حل امنیتی كامل نیست و باید همراه با دیگر استراتژی های دفاعی همچون آموزش كاربران، به كارگیری فایروال ها، به روز رسانی های امنیتی منظم و استفاده از آنتی ویروس های به روز، به كار گرفته شود.
منبع: مرکز ماهر
