فوايد به كارگيری راهكار LUA در ويندوز XP

فوايد به كارگيری راهكار LUA در ويندوز XP

تاریخ ایجاد

IRCAR201005060
پيشرفت هاي اخير در فناوري شبكه مانند امكان اتصال دائم به اينترنت، فرصت هاي زيادي را در اختيار انواع شركت ها و سازمان ها و حتي كاربران عادي قرار داده است. اما متأسفانه اتصال به هر نوع شبكه اي و مخصوصاً اينترنت، خطر حملات بدافزاري را افزايش مي دهد و در همين حال كه متخصصان امنيتي مشغول مديريت خطرات موجود هستند، خطرات جديدي ايجاد و كشف مي شوند.
يكي از فاكتورهاي اصلي كه خطر بدافزارها را به ميزان چشمگيري افزايش مي دهد، تمايل به دادن امكانات مدير سيستم به كاربران است. زماني كه يك كاربر با حق دسترسي مدير يا Administrator وارد سيستم مي شود، تمام برنامه هايي كه اجرا مي كند مانند مرورگرها، برنامه هاي ايميل و برنامه هاي پيام فوري نيز حق دسترسي مدير سيستم را پيدا مي كنند. در صورتي كه اين برنامه ها يك بدافزار را فعال سازند، آن بدافزار خود را نصب و خدمات برنامه هاي آنتي ويروس را دستكاري كرده و حتي ممكن است خود را از ديد سيستم عامل پنهان سازد. از طرف ديگر كاربران نيز ممكن است به صورت ناخواسته (براي مثال از طريق بازديد از يك وب سايت آلوده شده و يا با كليك بر روي پيوست ايميل) برنامه هاي خرابكار را اجرا كنند. برنامه هاي خرابكار مذكور مي توانند بسيار خطرناك بوده و كارهايي از قبيل دستكاري اطلاعات حساس، به دست آوردن كلمات عبور از طريق نصب ثبت كننده ضربات صفحه كليد (keystroke logger)، به دست گرفتن كنترل كامل رايانه قرباني و حتي شبكه ها را انجام داده و كاري كنند كه وب سايت ها بالا نيايند و يا حتي ديسك سخت را فرمت كنند. در برخي موارد هزينه تحميل شده بر اثر خرابكاري هاي مذكور غير قابل جبران مي باشد.
براي برخورد با تهديدات مذكور، يك استراتژي دفاع چند لايه لازم است كه راهكار حساب هاي كاربري با حداقل دسترسي (LUA-least-privileged user account)، يكي از بخش هاي مهم استراتژي دفاعي را تشكيل مي دهد. راهكار LUA تضمين مي كند كه كاربران از اصول حداقل حق دسترسي پيروي كرده و با حساب هاي كاربري محدود شده وارد شبكه شوند. از طرف ديگر هدف LUA، اعطاي حق دسترسي مديريتي تنها به مديران شبكه و تنها براي انجام كارهاي مديريتي است.
براي كسب اطلاعات بيشتر در مورد LUA و اصل حداقل حق دسترسي به مقاله حداقل حق دسترسي در ويندوز XP و براي كسب اطلاعات بيشتر در مورد پياده سازي اين راهكار به مقاله "پياده سازي حداقل حق دسترسي در ويندوز XP" مراجعه فرماييد. همچنين براي آشنايي بيشتر با فوايد اين راهكار مي توانيد مقاله "فوايد پياده سازي LUA در ويندوز XP " را مطالعه كنيد. در اين مقاله در مورد اثراتي كه پياده سازي LUA بر امنيت شبكه، تهديدها، كارايي سازمان و هزينه هاي تحميلي مي گذارد، بحث خواهيم كرد.

فوايد پياده سازي حداقل حق دسترسي در ويندوز XP
استفاده از اصل حداقل حق دسترسي فوايد بسياري را براي سازمان ها و شركت ها در پي دارد. علاوه بر كاهش خطرات ناشي از حمله هاي خرابكارانه، فوايد زير نيز براي به كار گيري اصل حداقل حق دسترسي شمرده مي شوند:

  • افزايش امنيت
  • افزايش قابليت مديريت
  • افزايش قابليت توليد
  • كاهش هزينه ها
  • كاهش مشكل سرقت ها و سوءاستفاده هاي پنهان

در ادامه در مورد هر يك از موارد فوق و تأثير آن بر سازمان به تفصيل صحبت مي كنيم.

افزايش امنيت
راهكار LUA يكي از معيارهاي امنيتي است كه مي تواند به شما در محافظت از سازمان و دارايي هاي كامپيوتري در برابر سوءاستفاده هاي مهاجمان ياري رساند. مهاجمان به دلايل متعددي به دنبال سوءاستفاده از شبكه شما هستند كه مي تواند شامل موارد زير باشد:

  • به دست آوردن كنترل رايانه ها به منظور استفاده در حملات انكار سرويس گسترده
  • ارسال هرزنامه
  • به دست آوردن اطلاعات محرمانه شركت
  • سرقت هويت كاربران
  • انتشار بدافزارها

اين حملات زماني احتمال موفقيت بيشتري دارند كه كاربران داراي حق دسترسي مديريتي باشند زيرا اين نوع حساب هاي كاربري مي توانند كارهاي زير را انجام دهند:

  • روتكيت هاي هسته سيستم عامل را نصب كنند.
  • برنامه هاي ثبت ضربات صفحه كليد را نصب كنند.
  • رمزهاي عبور تعريف شده بر روي سيستم را تغيير دهند.
  • جاسوس افزارها و تبليغات افزارها را نصب كنند.
  • به داده هايي كه متعلق به ديگر كاربران است، دسترسي داشته باشند.
  • كدهايي را به صورت اتوماتيك در زمان ورود كاربر به سيستم اجرا كنند.
  • فايل هاي سيستمي را با تروجان ها جايگزين كنند.
  • ردپاي خود را مخفي كنند.
  • از راه اندازي مجدد سيستم جلوگيري به عمل آورند.

در صورتي كه كاربران با استفاده از حساب هاي كاربري محدود شده وارد سيستم شوند، برنامه هاي خرابكار تنها مي توانند تغييرات اندكي در سيستم عامل ايجاد كنند. اعمال محدوديت مذكور به طرز قابل ملاحظه اي توانايي بدافزارها را براي نصب و اجرا كاهش داده و امنيت را افزايش مي دهد اما مانعي براي انجام كارهاي كاربران به شمار نمي رود.

افزايش قابليت مديريت
استاندارد سازي يكي از اجزاي مهم مديريت شبكه، مخصوصاً در صورت وجود تعداد زياد رايانه هاي مشتري (client) است. براي مثال اگر يك سازمان داراي 500 رايانه مشتري باشد و هر رايانه نيز داراي تنظيمات نرم افزاري و كامپيوتري متفاوت باشد، مديريت پيشگيري بسيار پيچيده خواهد شد. زماني كه كاربران اجازه نصب نرم افزارها و اعمال تغييرات گسترده در سيستم را دارند، اين پيچيدگي منجر به نتايج اجتناب ناپذير و ناگواري خواهد شد.
ويندوز XP اختيارات زيادي را به كاربران براي انجام تغيير در تنظيمات سيستم عامل مي دهد و معمولاً كاربران در صورتي كه با دسترسي مديريتي وارد سيستم شوند علاقمند به استفاده از اين توانايي بوده و تغييراتي را در تنظيمات سيستم عامل ايجاد مي كنند. براي مثال ممكن است، كاربر فايروال را براي اتصال به يك شبكه بي سيم خاموش كرده و سپس به صورت ناامن به يك ISP متصل شود. اين مسئله به طرز قابل توجهي احتمال مورد سوءاستفاده قرار گرفتن رايانه مذكور را افزايش مي دهد، زيرا تمام شبكه ها (حتي شبكه هاي مورد اعتماد) بايد داراي سد دفاعي فايروال بر روي ميزبان باشند.
كاربران تمايل دارند كه تنظيمات را طبق تمايلات خود تغيير دهند و در صورت بروز مشكل، مسئولان پشتيباني هر بار با تنظيمات جديدي مواجه مي شوند. در واقع نبود استانداردهاي مربوطه در اين زمينه منجر به ايجاد مشكلات در امور پشتيباني، حل مشكل و تعميرات شده و زمان و هزينه پروسه هاي مذكور را بالا مي برد.
از طرف ديگر راهكار LUA مرزهاي مديريتي مشخصي را بين كاربران و مديران شبكه مشخص مي كند. اين مرزبندي باعث مي شود كارمندان بر روي انجام وظايف خود متمركز شده، در حالي كه مديران شبكه زيرساخت ها را مديريت مي كنند. در صورتي كه كاربران داراي حق دسترسي مديريتي باشند، ايجاد چنين مرزهايي تقريباً غير ممكن است و رعايت استانداردها تضمين نمي شود.
شبكه اي كه همه كاربران داراي حق دسترسي مديريتي هستند، عملاً مديريت نشده است، زيرا كاربران مي توانند تنظيمات مديريتي را دور بزنند. در صورتي كه كاربران نتوانند نرم افزارها و سخت افزارهاي تأييد نشده را نصب كنند و يا تغييراتي را در سيستم ايجاد كنند، رايانه هاي آنها در حد قابل قبولي نزديك به استانداردهاي سازمان باقي مي ماند. راهكار LUA قابليت مديريت را با محدود كردن تغييرات ناخواسته بالا مي برد.

افزايش قابليت توليد
رايانه ها قابليت توليد سازمان ها با شكل ها و اندازه هاي مختلف را به صورت چشمگيري افزايش داده اند، هرچند كه رايانه ها براي حفظ اين قابليت توليد، نيازمند مديريت پويا مي باشند. طبيعي است در سازمان هايي كه كاربران براي انجام كارهايشان وابسته به رايانه هستند، كارمندان پشتيباني بايد تا حد امكان احتمال خرابي رايانه ها را در اثر تنظيمات نادرست و يا آلودگي ويروسي پايين آورند.
راهكار LUA مي تواند در نگهداري قابليت توليد مؤثر باشد زيرا منجر به پايداري بيشتر سيستم هاي كارمندان مي شود. در صورتي كه كاربران نتوانند تنظيمات اساسي رايانه خود را تغيير دهند، داراي سيستم هاي پايدارتري بوده و در نتيجه زمان از كار افتادگي توليد و بازيابي سيستم هاي خراب كاهش مي يابد.
از طرف ديگر تسلط يك بدافزار بر يكي از رايانه هاي سازمان نيز مي تواند تأثير سوئي بر قابليت توليد بگذارد زيرا ممكن است رايانه مذكور نياز به پاكسازي و يا فرمت كردن داشته باشد و كاربر مذكور داده ها و فايل هاي خود را به علت آلودگي از دست بدهد. البته برخي از داده ها را مي توان بازيابي كرد كه معمولاً نيازمند به روز رساني هستند. موارد مذكور به اين معني است كه يا كارمند از وظيفه محوله باز مانده است و يا بايد زماني را براي تكرار آن هدر دهد.

كاهش هزينه ها
با وجودي كه نگهداري از رايانه هاي موجود در شبكه سازمان ها و شركت ها هزينه بر است، اما برخي عوامل مي توانند هزينه هاي مذكور را به طرز قابل توجهي بالا ببرند:

  • تركيب تست نشده از سخت افزارها و نرم افزارها
  • تغييرات نا معلوم در سيستم عامل ها
  • ايجاد تغييرات گسترده در سيستم ها مطابق ميل كاربران
  • نرم افزارهاي غير استاندارد با انواع فايل ناشناخته
  • اجازه به كاربران براي نصب نرم افزار
  • بدافزارها
  • نسخه هاي آزمايشي (بتا) نرم افزارها و درايورها
  • استفاده بدافزارها از پهناي باند اينترنت

راهكار LUA از نصب نرم افزارهاي تأييد نشده، بدون مجوز و بدافزارها جلوگيري به عمل مي آورد. اين راهكار همچنين به كاربران اجازه نمي دهد تغييرات نامعلومي را بر روي رايانه انجام دهند. اين محدوديت ها هزينه هاي تيم پشتيباني را كاهش داده و همچنين مدت زمان از كار افتادن رايانه ها بر اثر داشتن حق دسترسي مديريتي كاربران، نيز كمتر مي شود.

كاهش مشكل سرقت ها و سوءاستفاده هاي پنهان
سازمان ها روز به روز نسبت به ايجاد قوانيني كه از سوءاستفاده كارمندان از تجهيزات شركت ها ممانعت كنند، آگاه تر مي شوند. اين قوانين بايد طوري تنظيم شوند كه از انجام اقدامات زير جلوگيري به عمل آورند:

  • سرقت داده هاي مشتريان
  • ميزباني وب سايتي كه داراي محتويات غير مجاز، آلوده يا به سرقت رفته باشد
  • ميزباني سرورهايي كه براي ارسال حجم زياد ايميل هاي تبليغاتي به كار رود
  • مشاركت در حملات انكار سرويس توزيع شده

هر يك از جرائم فوق توسط سازمان ها چه آگاهانه و چه ناآگاهانه انجام گرفته باشد، مجازات ها و جريمه هايي را براي سازمان مذكور در پي خواهد داشت. سازمان هايي كه از راهكار LUA استفاده مي كنند، بسيار كمتر از ديگر سازمان ها مورد سوءاستفاده قرار گرفته و در نتيجه كمتر نيز دچار ضرر و زيان هاي ناشي از مسائل فوق مي شوند.
در مقاله موازنه امنيت، تهديد، كارايي و هزينه ها در مورد اثراتي كه پياده سازي LUA بر هر يك از موارد مذكور مي گذارد صحبت خواهيم كرد و به برخي از فوايد پنهان LUA نيز اشاره خواهد شد.

برچسب‌ها
مستندات مرجع
  • 4