IRCAR201005058
شماره: IRCAR201004058
پيشرفت هاي اخير در فناوري شبكه، مانند امكان اتصال دائم به اينترنت، فرصت هاي زيادي را در اختيار انواع شركت ها و سازمان ها و حتي كاربران عادي قرار داده است. اما متأسفانه اتصال به هر نوع شبكه اي و مخصوصاً اينترنت، خطر حملات بدافزاري را نيز افزايش مي دهد و در زماني كه متخصصان امنيتي مشغول مديريت خطرات موجود هستند، خطرات جديدي ايجاد و كشف مي شوند.
همانطور كه اشاره شد، يكي از فاكتورهاي اصلي كه خطر بدافزارها را به ميزان چشمگيري افزايش مي دهد، ورود كاربر به سيستم با حق دسترسي مدير سيستم است. در اين زمان اگر بدافزاري فعال شود، مي تواند در سطح مدير سيستم به فعاليت بپردازد و در خدمات برنامه هاي آنتي ويروس اختلال ايجاد نمايد. از طرف ديگر كاربران نيز ممكن است به صورت ناخواسته (براي مثال از طريق بازديد از يك وب سايت آلوده شده و يا با كليك بر روي پيوست ايميل) برنامه هاي خرابكار را اجرا كنند. برنامه هاي خرابكار مذكور مي توانند بسيار خطرناك بوده و كارهايي از قبيل دستكاري اطلاعات حساس، به دست آوردن كلمات عبور از طريق نصب ثبت كننده ضربات صفحه كليد (keystroke logger)، به دست گرفتن كنترل كامل رايانه قرباني و حتي شبكه ها را انجام داده و كاري كنند كه وب سايت ها بالا نيايند و يا حتي ديسك سخت را فرمت كنند. در برخي موارد هزينه تحميل شده بر اثر خرابكاري هاي مذكور غير قابل جبران است.
مديريت حداقل حق دسترسي كاربر
براي برخورد با تهديدات مذكور، يك استراتژي دفاع چند لايه لازم است كه راهكار حساب هاي كاربري با حداقل دسترسي (LUA يا least-privileged user account)، يكي از بخش هاي مهم استراتژي دفاعي را تشكيل مي دهد. راهكار LUA تضمين مي كند كه كاربران از اصول حداقل حق دسترسي پيروي كرده و با حساب هاي كاربري محدود شده وارد شبكه شوند. از طرف ديگر هدف LUA آن است كه تنها به مديران شبكه و تنها براي انجام كارهاي مديريتي، حق دسترسي مديريتي اعطاي كند.
بسياري از سازمان ها و شركت ها به صورت روتين، حق دسترسي مديريتي را به تمامي كاربران رايانه هاي خود اعطا مي كنند. اين مسئله در مورد رايانه هاي قابل حمل متداول تر بوده و معمولاً به دلايل زير اتفاق مي افتد:
- براي اينكه برخي برنامه ها به درستي اجرا شوند، زيرا بعضي برنامه ها تنها در صورتي كه كاربر حق دسترسي مديريتي داشته باشد، اجرا مي شوند. اين مسئله زماني اتفاق مي افتد كه برنامه، داده هاي كاربر را در رجيستري و يا در مكان هايي كه براي كاربران غير مديريتي غير قابل دسترسي است، ذخيره مي كند.
- براي اينكه كاربر بتواند برخي اعمال مديريتي را، مانند تغيير منطقه زماني رايانه، انجام دهد.
- براي اينكه كاربران رايانه هاي قابل حمل بتوانند سخت افزارها و نرم افزارهاي مورد نياز خود مانند پرينترها و DVD writer ها را در مكان هاي مختلف نصب نمايند.
با وجودي كه دلايل معتبر ديگري نيز براي دادن حق دسترسي مديريتي به كاربران وجود دارد ولي اين كار به صورت چشمگيري خطر مورد سوءاستفاده قرار گرفتن رايانه و همچنين پيكربندي هاي نامناسب را افزايش مي دهد. اين خطرات مي توانند بر بسياري از فعاليتهاي سازمان تأثيرگذار باشند.
تعريف اصل حداقل دسترسي
استاندارد DOD-5200.28-STD كه به كتاب نارنجي نيز مشهور است، يك استاندارد شناخته شده در زمينه امنيت رايانه است. در اين استاندارد اصل حداقل دسترسي به صورت زير تعريف شده است:
" اين اصل نياز دارد تا به هر موجوديتي در سيستم، محدود كننده ترين حقوق دسترسي داده شود به طوري كه كارهاي تأييد شده براي آن قابل اجرا باشند. كاربرد اين اصل، دامنه خساراتي را كه بر اثر تصادف، خطا و يا كاربرد غير مجاز تحميل مي شوند، محدود مي كند."
تعريف راهكار LUA
راهكار LUA، روشي متشكل از پيشنهادات، ابزارها و تماريني براي پياده سازي اصل حداقل دسترسي، بر روي رايانه هاي داراي ويندوز XP است. در واقع كاربران، برنامه ها و سرويس هاي ويندوز XP بايد تنها حقوق و مجوزهايي را دارا باشند كه براي اجراي كارهاي مربوطه لازم دارند. در اينجا بايد به تفاوت بين حقوق و مجوز توجه كرد. حقوق اعمالي است كه كاربر مجاز است بر روي رايانه انجام دهد در حالي كه مجوز كارهايي است كه مي تواند بر روي يك موجوديت در رايانه انجام دهد. براي مثال كاربر حق خاموش كردن رايانه را دارد و مجوز دسترسي به يك سري از فايل ها را نيز دارا است.
در اين راهكار سازمان ها بايد دوباره نقش كامپيوترها و سطح دسترسي مورد نياز كاربران براي استفاده از تجهيزات را ارزيابي كنند. اين راهكار همچنين بايد در مورد ايجاد و تست برنامه هاي كاربردي مورد استفاده قرار گيرد. توسعه دهندگان نرم افزار معمولاً با دسترسي مديريتي وارد سيستم مي شوند و در نتيجه برنامه هايي كه كامپايل مي كنند نيز داراي حق دسترسي ارتقا يافته مشابه است. در اين حالت توليد كنندگان نرم افزار مذكور، به جاي طراحي مجدد نرم افزار به گونه اي كه صحيح كار كند، توصيه مي كنند حق دسترسي كامل به كاربران اعطا شود و از همين جا مشكلات امنيتي آتي آغاز مي شود.
انواع حساب كاربري بر روي ويندوز XP
در اينجا براي درك بهتر چگونگي اعطاي حق دسترسي به كاربران مختلف، تفاوت حساب كاربري مديريتي و غير مديريتي را در ويندوز XP توضيح داده و همچنين حقوق و مجوزهاي ديگر انواع حساب هاي كاربري را شرح مي دهيم. رايانه هايي كه ويندوز XP را اجرا مي كنند، به صورت پيش فرض داراي يك پايگاه داده امنيتي در Security Account Manager(SAM) هستند. در واقع SAM مسئول ذخيره سازي اطلاعات كاربران و گروه ها بوده و شامل چندين گروه پيش فرض است كه به شرح زير مي باشند.
- Administrators
- Power Users
- Users
- Guests
حساب هاي كاربري مديريتي
اين نوع حساب هاي كاربري دسترسي كامل و نامحدود به منابع دارند. يك حساب كاربري مديريتي يا Administrative، هر حساب كاربري است كه عضو يكي يا بيشتر از گروه هاي مديريتي باشد. در رايانه هايي كه عضو يك دامنه هستند، گروه هاي مديريتي شامل موارد زير مي شود:
- The local Administrators group
- The local Power Users group
- The Domain Admins group
- The Network Configuration Operators group
- هر گروهي در دامنه كه عضو يكي از گروه هاي مديريتي فوق باشد.
هر كاربري كه با عضويت در يكي از گروه هاي مذكور يا بيشتر، وارد سيستم شود مي تواند تغييرات گسترده اي را بر سيستم اعمال كند. توجه كنيد كه گروه Power User زير مجموعه اي از Administrator است و از اين رو قرار دادن كاربران در اين گروه با اصل LUA سازگاري ندارد.
كاربران محدود شده
يك كاربر محدود شده داراي يك حساب كاربري است كه عضوي از Local Users Group بوده و عضو هيچ كدام از گروه هاي مديريتي ذكر شده نيست. در رايانه هايي كه عضو يك دامنه هستند، هر حساب كاربري كه عضو Domain Users Group باشد نيز عضوي از Local Users Group به حساب مي آيد.
حساب هاي كاربري محدود شده به طرز قابل توجهي سطح حملات را كاهش مي دهند زيرا اين كاربران توانايي اعمال تغييرات تأثير گذار بر امنيت را ندارند. براي مثال اين كاربران نمي توانند پورت هاي فايروال را باز كنند، سرويسي را فعال يا غير فعال كنند يا فايل هاي موجود در فولدرهاي سيستم ويندوز را تغيير دهند.
حقوق هر حساب كاربري با عضويت در يك گروه يا بيشتر از گروه هاي فوق مشخص مي گردد. براي مثال حساب كاربري Administrator پيش فرض در ويندوز، داراي حقوق مديريتي است زيرا عضوي از گروه Administrators است. گروه مذكور به حساب هاي كاربري منتسب به خود، اختيارات سطح بالايي از جمله خاموش كردن رايانه از راه دور را مي دهد.
بسياري از سازمان ها ادعا مي كنند كه LUA را پياده سازي كرده اند، زيرا كاربران آنها عضوي از Domain Users group هستند. اما آنها اين واقعيت را ناديده مي گيرند كه در صورتي كه كاربران آنها عضو Local Administrators groupنيز باشند، تمام برنامه هاي آنها با حقوق مديريتي اجرا خواهند شد و مي توانند به صورت بالقوه باعث تغييرات ناخواسته شوند.
بنابراين با نگاشت هر حساب كاربري به يكي از گروه هاي مذكور، در واقع حدود مجوزها و حقوق دسترسي حساب كاربري مذكور تعيين مي گردد.
در ادامه به شيوه پياده سازي LUA خواهيم پرداخت.
- 5