IRCAR201005061
پيشرفت هاي اخير در فناوري شبكه مانند امكان اتصال دائم به اينترنت، فرصت هاي زيادي را در اختيار انواع شركت ها و سازمان ها و حتي كاربران عادي قرار داده است. اما متأسفانه اتصال به هر نوع شبكه اي و مخصوصاً اينترنت، خطر حملات بدافزاري را افزايش مي دهد و در همين حال كه متخصصان امنيتي مشغول مديريت خطرات موجود هستند، خطرات جديدي ايجاد و كشف مي شوند.
يكي از فاكتورهاي اصلي كه خطر بدافزارها را به ميزان چشمگيري افزايش مي دهد، تمايل به دادن امكانات مدير سيستم به كاربران است. زماني كه يك كاربر با حق دسترسي مدير يا Administrator وارد سيستم مي شود، تمام برنامه هايي كه اجرا مي كند مانند مرورگرها، برنامه هاي ايميل و برنامه هاي پيام فوري نيز حق دسترسي مدير سيستم را پيدا مي كنند. در صورتي كه اين برنامه ها يك بدافزار را فعال سازند، آن بدافزار خود را نصب و خدمات برنامه هاي آنتي ويروس را دستكاري كرده و حتي ممكن است خود را از ديد سيستم عامل پنهان سازد. از طرف ديگر كاربران نيز ممكن است به صورت ناخواسته (براي مثال از طريق بازديد از يك وب سايت آلوده شده و يا با كليك بر روي پيوست ايميل) برنامه هاي خرابكار را اجرا كنند. برنامه هاي خرابكار مذكور مي توانند بسيار خطرناك بوده و كارهايي از قبيل دستكاري اطلاعات حساس، به دست آوردن كلمات عبور از طريق نصب ثبت كننده ضربات صفحه كليد (keystroke logger)، به دست گرفتن كنترل كامل رايانه قرباني و حتي شبكه ها را انجام داده و كاري كنند كه وب سايت ها بالا نيايند و يا حتي ديسك سخت را فرمت كنند. در برخي موارد هزينه تحميل شده بر اثر خرابكاري هاي مذكور غير قابل جبران مي باشد.
براي برخورد با تهديدات مذكور، يك استراتژي دفاع چند لايه لازم است كه راهكار حساب هاي كاربري با حداقل دسترسي (LUA-least-privileged user account)، يكي از بخش هاي مهم استراتژي دفاعي را تشكيل مي دهد. راهكار LUA تضمين مي كند كه كاربران از اصول حداقل حق دسترسي پيروي كرده و با حساب هاي كاربري محدود شده وارد شبكه شوند. از طرف ديگر هدف LUA، اعطاي حق دسترسي مديريتي تنها به مديران شبكه و تنها براي انجام كارهاي مديريتي است.
براي كسب اطلاعات بيشتر در مورد LUA و اصل حداقل حق دسترسي به مقاله حداقل حق دسترسي در ويندوز XP و براي كسب اطلاعات بيشتر در مورد پياده سازي اين راهكار به مقاله "پياده سازي حداقل حق دسترسي در ويندوز XP" مراجعه فرماييد. همچنين براي آشنايي بيشتر با فوايد اين راهكار مي توانيد مقاله "فوايد پياده سازي LUA در ويندوز XP " را مطالعه كنيد. در اين مقاله در مورد اثراتي كه پياده سازي LUA بر امنيت شبكه، تهديدها، كارايي سازمان و هزينه هاي تحميلي مي گذارد، بحث خواهيم كرد
موازنه امنيت، تهديد، كارايي و هزينه در پياده سازي LUA
ايجاد تغييرات در راهكار LUA نيز مانند بسياري از راهكارهاي ديگر مديريت شبكه، مستلزم ايجاد موازنه بين تهديدها، امنيت، كارايي و هزينه ها است. زماني كه راهكار LUA به درستي پياده سازي شود، اثرات زير را در پي دارد:
- كاهش تهديدات
- افزايش امنيت
- محدوديت كارايي
- كاهش هزينه هاي مديريتي
در ادامه در مورد هر يك از موارد فوق به تفصيل توضيح مي دهيم.
كاهش خطرات
هر نوع اتصالي به شبكه، خطراتي را براي رايانه در پي دارد، واضح است كه اتصال به اينترنت رايانه را در معرض خطرات بيشتر و سنگين تري نسبت به شبكه هاي محلي قرار مي دهد. تنها راه از بين بردن خطرات مذكور عدم اتصال به شبكه است، اما بسياري از سازمان ها و شركت ها فوايد اتصال به شبكه را بسيار بيشتر از مضرات آن مي دانند. در اينجا است كه اقدامات امنيتي و پيشگيرانه اهميت بسزايي پيدا مي كند.
راهكار LUA مي تواند در خطراتي كه در نتيجه اجراي برنامه ها با حق دسترسي مديريتي به وجود مي آيند، كاهش چشمگيري ايجاد كند. سازمان هايي كه از راهكار LUA استفاده نمي كنند، نه تنها خطراتي را كه در استفاده از رايانه نهفته است، به جان مي خرند بلكه خود را نسبت به حملاتي كه با استفاده از نقص هاي امنيتي جديد و اصلاح نشده انجام مي شوند، آسيب پذير مي سازند. از طرف ديگر مشاهده شده است كه سازمان هايي كه راهكار LUA را پياده سازي مي كنند، تمايل بيشتري به استفاده از استراتژي هاي ديگر مديريت امنيت همچون نصب خودكار به روز رساني هاي امنيتي دارند. طبيعي است كه استفاده از راهكارهاي امنيتي مختلف كه از يكديگر پشتيباني مي كنند، ميزان خطرات را تا حد زيادي پايين مي آورد.
افزايش امنيت
راهكار LUA، امنيت زيادي را براي استفاده كنندگان تأمين مي كند و در عين حال كارايي را هم تا حد زيادي حفظ ميكند كه در بخش بعدي در مورد آن صحبت خواهيم كرد.
بايد در نظر داشته باشيم كه راهكار LUA يك استراتژي امنيتي كامل نبوده و بايد به همراه ديگر راهكارهاي دفاعي در يك استراتژي امنيتي چند لايه به كار گرفته شود. اين دفاع چند لايه شامل آموزش كاربر، فايروال هاي ميزبان و شبكه، به روز رساني هاي منظم امنيتي و آنتي ويروس هاي به روز براي تشخيص بدافزارها مي شود. راهكار LUA يك امنيت اضافي را تأمين كرده و تا حد زيادي از انتشار بدافزارها در يك سازمان جلوگيري به عمل مي آورد.
محدوديت كارايي
مسئله اي كه در مديريت شبكه واضح است، رابطه عكس امنيت و كارايي است كه افزايش هر كدام موجب كاهش ديگري است.
توجه: نكته مهمي كه در كارايي بايد در نظر گرفته شود، راحتي كار با سيستم است و منظور اين نيست كه كاربر هر كاري را مايل بود با رايانه اش انجام دهد.
راهكار LUA، از مديريت رايانه توسط كاربران جلوگيري كرده و محدوديتي را در به كارگيري رايانه براي آنها ايجاد نمي كند. از طرف ديگر حذف حق دسترسي مديريتي باعث بالا بردن كارايي كاربران نيز مي شود، زيرا تمركز بيشتري بر روي كار خود داشته و امكان كمتري براي دستكاري و خراب كردن تنظيمات رايانه دارند.
به هر حال در صورتي كه كاربران امكان تنظيمات مختلف را ببينند ولي نتوانند آن را تغيير دهند، دچار نااميدي شده و مرتب با مسئولين شبكه براي ارتقاي حق دسترسي خود تماس مي گيرند. براي اجتناب از معضل مذكور، بهتر است از امكان Group Policy استفاده شود و امكانات غير قابل تغيير از ديد كاربر پنهان شوند. اگر كاربر تنها امكاناتي را كه مي تواند تغيير دهد مشاهده كند، محدوديت هاي ايجاد شده، كمتر او را اذيت خواهد كرد. پياده سازي راهكار LUA همراه با Group Policy به شما امكان مي دهد يك رابط كاربر ساده را ايجاد كنيد كه به كاربر تنها تنظيماتي را كه مي تواند دستكاري كند، نشان دهد.
كاهش هزينه هاي مديريتي
مطالعات مختلف در سازمان هاي مستقل نشان داده اند كه مديريت مؤثر شبكه ها در دراز مدت مي تواند موجب صرفه جويي قابل توجهي شود. راهكار LUA، رابطه بسيار نزديكي با استراتژي مديريتي دارد زيرا كاربران محدود شده نمي توانند در تنظيماتي كه توسط استراتژي مديريتي اعمال شده است، تغيير ايجاد كنند. با اين وجود، سازمان ها براي اينكه درك درستي از صرفه جويي حاصله از راهكار LUA بيابند، لازم است اولاً سرمايه گذاري اوليه را كه LUA نيازمند آن است، انجام دهند و ثانياً هزينه هايي را كه پياده سازي و يا عدم پياده سازي راهكار مذكور به آنها تحميل مي كند بررسي كنند.
براي پياده سازي LUA هزينه هاي زير در نظر گرفته مي شوند:
- برنامه ريزي و پياده سازي آزمايشي پروژه
- تست برنامه هاي مختلف در محيط LUA
- رسيدگي به گردش هاي كاري براي كاربران محدود شده
- بازنويسي برنامه هاي كاربردي در صورت نياز
- تست برنامه هاي جديد قبل از استفاده گسترده از آنها
- برنامه ريزي براي چگونگي پاسخگويي به هجوم درخواست هاي كاربران در اول كار (براي باز پس گرفتن حق دسترسي مديريتي)
- رسيدگي به مسائلي كه در اثر اين تغيير براي سياست سازمان به وجود مي آيد
بسيار مهم است كه هزينه هاي فوق در برابر هزينه هايي كه پياده سازي نكردن LUA بر سازمان تحميل مي كند، سنجيده شوند. هزينه هاي مذكور از موارد زير سرچشمه مي گيرند:
- تنظيمات نادرست رايانه بر اثر دستكاري ها كاربران
- نرم افزارهاي تأييد نشده، تست نشده، بدون مجوز و يا خرابكار
- دعاوي قضايي بالقوه
- از دست دادن كسب و كار به علت سوءاستفاده هاي امنيتي
تحليل هزينه هاي پياده سازي و عدم پياده سازي LUA نشان مي دهد كه بيشتر هزينه هاي پياده سازي قابل محاسبه هستند، در حالي كه هزينه هاي عدم پياده سازي، اغلب ناشناخته هستند. براي مثال مي توان هزينه بازنويسي مجدد قسمتي از يك برنامه كاربردي را تخمين زد ولي پيش بيني هزينه دادگاه و غرامت در صورت سوءاستفاده، غير قابل پيش بيني است.
تغيير و پيشرفت روزافزون در انواع تهديدها بر عليه شبكه ها و سيستم هاي رايانه اي از يك طرف و نياز به ساده سازي و استاندارد كردن تنظيمات رايانه ها از طرف ديگر، سازمان هاي بيشتري را به استفاده از راهكار LUA تشويق مي سازد. براي آشنايي با چگونگي پياده سازي اين راهكار به مقاله "پياده سازي حداقل حق دسترسي در ويندوز XP" مراجعه فرماييد.
- 5