پياده‌سازی حداقل حق دسترسی در ويندوز XP

پياده‌سازی حداقل حق دسترسی در ويندوز XP

تاریخ ایجاد

IRCAR201005059
پيشرفت هاي اخير در فناوري شبكه مانند امكان اتصال دائم به اينترنت، فرصت هاي زيادي را در اختيار انواع شركت ها و سازمان ها و حتي كاربران عادي قرار داده است. اما متأسفانه اتصال به هر نوع شبكه اي و مخصوصاً اينترنت، خطر حملات بدافزاري را افزايش مي دهد و در همين حال كه متخصصان امنيتي مشغول مديريت خطرات موجود هستند، خطرات جديدي ايجاد و كشف مي شوند.
يكي از فاكتورهاي اصلي كه خطر بدافزارها را به ميزان چشمگيري افزايش مي دهد، تمايل به دادن امكانات مدير سيستم به كاربران است. زماني كه يك كاربر با حق دسترسي مدير يا Administrator وارد سيستم مي شود، تمام برنامه هايي كه اجرا مي كند مانند مرورگرها، برنامه هاي ايميل و برنامه هاي پيام فوري نيز حق دسترسي مدير سيستم را پيدا مي كنند. در صورتي كه اين برنامه ها يك بدافزار را فعال سازند، آن بدافزار خود را نصب و خدمات برنامه هاي آنتي ويروس را دستكاري كرده و حتي ممكن است خود را از ديد سيستم عامل پنهان سازد. از طرف ديگر كاربران نيز ممكن است به صورت ناخواسته (براي مثال از طريق بازديد از يك وب سايت آلوده شده و يا با كليك بر روي پيوست ايميل) برنامه هاي خرابكار را اجرا كنند. برنامه هاي خرابكار مذكور مي توانند بسيار خطرناك بوده و كارهايي از قبيل دستكاري اطلاعات حساس، به دست آوردن كلمات عبور از طريق نصب ثبت كننده ضربات صفحه كليد (keystroke logger)، به دست گرفتن كنترل كامل رايانه قرباني و حتي شبكه ها را انجام داده و كاري كنند كه وب سايت ها بالا نيايند و يا حتي ديسك سخت را فرمت كنند. در برخي موارد هزينه تحميل شده بر اثر خرابكاري هاي مذكور غير قابل جبران مي باشد.
براي برخورد با تهديدات مذكور، يكاستراتژي دفاع چند لايه لازم است كه راهكار حساب هاي كاربري با حداقلدسترسي (LUA-least-privileged user account)، يكي از بخشهاي مهم استراتژي دفاعي را تشكيل مي دهد. راهكارLUAتضمين مي كند كه كاربران از اصول حداقلحق دسترسي پيروي كرده و با حساب هاي كاربري محدود شده وارد شبكه شوند. ازطرف ديگر هدف LUA، اعطاي حقدسترسي مديريتي تنها به مديران شبكه و تنها براي انجام كارهاي مديريتي است.
براي كسب اطلاعات بيشتر در مورد LUA و اصل حداقل حق دسترسي به مقاله حداقل حق دسترسي در ويندوز XP مراجعه فرماييد. مراجعه فرماييد. در اين مقاله در مورد چگونگي پياده سازي LUA در ويندوز XP صحبت خواهيم كرد.

پياده سازي LUA
پياده سازي راهكار LUA در واقع اجراي قوانين زير در رايانه هايي است كه ويندوز XP را اجرا مي كنند:
· كاربراني كه مدير نيستند همواره بايد به عنوان كاربران محدود شده (Limited Users) وارد سيستم شوند.
· مديران بايد زماني از حساب كاربري Administrator استفاده كنند كه قصد انجام كارهاي مديريتي را دارند.
براي پياده سازي قوانين فوق، موارد خاصي بايد بررسي شوند، به خصوص زماني كه يك سازمان در گذشته دسترسي هاي مديريتي را به كاربران خود داده است و حال درصدد استفاده از راهكار LUA است. در زير ملاحظاتي كه در زمان اجراي LUA در نظر گرفته مي شوند، توضيح داده شده اند.

1.  ملاحظات پياده سازي
پياده سازي راهكار LUA، ممكن است منجر به برخي مسائل فني، مديريتي و سياستي در درون سازمان شود كه بايد به دقت بررسي و رسيدگي شوند. مهمترين مسائلي كه بايد مورد توجه قرار گيرند به طور خلاصه عبارتند از:

  • كنترل رايانه
  • نصب سخت افزار
  • نصب برنامه ها
  • اجراي برنامه ها
  • به روز رساني سيستم عامل
  • تنظيمات سيستم عامل
  • هزينه ها

در زير هر يك از موارد فوق را به تفصيل توضيح مي دهيم:

كنترل رايانه
احتمالاً مشكل ترين مسئله سياستي سازمان براي پياده سازي LUA، تغيير ذهنيت كارمندان در مورد تحت كنترل داشتن رايانه اي است كه گمان مي كنند متعلق به آنها است. بسياري از مديران ارشد و مشاوران انتظار دارند كه كنترل كامل رايانه خويش را در اختيار داشته باشند ولي نسبت به خطرات چنين اختياراتي ناآگاه هستند. اينگونه افراد نظر خوبي نسبت به پيغام هايي كه به آنها مي گويد چه كاري را نمي توانند انجام دهند، ندارند و در هر بار مواجهه با چنين پيغام هايي با اصرار از مدير شبكه مي خواهند كنترل كامل رايانه را در اختيارشان گذارد. همچنين كارمندان شروع به شكايت و مبالغه كردن در مورد مشكلاتي مي كنند كه به علت در اختيار نداشتن كنترل كامل رايانه با آن مواجه شده اند.
براي برخورد با چنين مشكلي بايد به كارمندان و مديران در مورد امنيت در اينترنت و اينكه چگونه اختيارات مديريتي ريسك امنيتي بالايي را به سازمان تحميل مي كند، آموزش داد و همچنين لازم است در مورد پيامدهاي قانوني كه يك هك يا سرقت اطلاعات ناخواسته براي آنها ايجاد مي كند، نيز به آنها توضيح داد.

نصب سخت افزار
كارمنداني كه در دفتر ثابت كار مي كنند هرگز نيازي به دسترسي هاي مديريتي براي نصب سخت افزار ندارند، اما كارمنداني كه از رايانه هاي قابل حمل استفاده مي كنند، ممكن است نياز به نصب سخت افزارهايي مانند پرينتر و DVD writer پيدا كنند. در اين موارد ممكن است بتوان از قوانين LUA چشم پوشي كرد و يا از روش هاي مديريت سخت افزار استفاده كرد.

نصب برنامه ها
بسياري از برنامه ها براي نصب نيازمند دسترسي مديريتي هستند. نكته مثبت اين ويژگي، جلوگيري از نصب برنامه هاي تأييد نشده است ولي از طرف ديگر اجازه نصب برنامه ها و به روز رساني هاي تأييد شده را هم به حساب هاي كاربري غير مديريتي نمي دهد. اين موضوع زماني بيشتر مشكل ساز مي شود كه رايانه كاربر به شبكه سازمان وصل نباشد و يا فقط برخي اوقات وصل شود. براي برطرف كردن مشكل نصب برنامه هاي تأييد شده و به روز رساني هاي امنيتي ممكن است نياز به تغيير در دو مقوله رويه هاي عملياتي و استفاده از ابزارها باشد. براي مثال مي توان به انتشار برنامه هاي كاربردي از طريق Active Directory، حقوق ارتقا يافته در Deployment Tool در Systems Manager Server(SMS)مايكروسافت و Remote Desktop اشاره كرد.
همچنين برخي وب سايت ها تنها زماني درست كار مي كنند كه برخي نرم افزارهاي اضافي و يا كنترل هاي Active X را بر روي رايانه كاربر نصب نمايند. برخي ابزارهاي مديريتي مانند Internet Explorer Administration Kit و Group Policy مي توانند چنين اجازه اي را به وب سايت هاي مذكور بدهند، البته فقط در صورتي كه نياز به وب سايت مذكور براي شركت ضروري باشد و اين كار به خطرهايي كه نصب نرم افزار از وب سايت مذكور، به شركت تحميل مي كند، بيارزد.

اجراي برنامه ها
برخي برنامه ها براي اجرا نيازمند دسترسي هاي مديريتي هستند. معمولاً اين محدوديت از خطاهاي برنامه نويسي و پياده سازي ضعيف برنامه يا سياست هاي امنيتي ناشي مي شود. براي مثال، ممكن است برنامه اي كليد خود را در رجيستري ذخيره كند كه براي كاربر محدود شده غير قابل دسترسي است.
در بسياري از موارد، مي توان اين مشكل را با ارتقاي حق دسترسي گروه كاربران محدود شده حل كرد. البته اين مجوز دسترسي بايد تنها براي محلي صادر شود كه عدم دسترسي به آن منجر به از كار افتادن برنامه مي شود. براي حل مسائل مشابه مي توان از Microsoft Windows Application Compatibility Toolkit (ACT) كه در ادامه درباره آن بيشتر صحبت خواهيم كرد، استفاده كرد. دقت شود كه مديران شبكه نبايد به راحتي به علت اينكه يك برنامه خاص نيازمند مجوزهاي مديريتي است، تسليم شده و همه كاربران را administrator سازند.

به روز رساني سيستم عامل
نصب دستي به روز رساني هاي سيستم عامل از وب سايت Microsoft Update نيازمند حق دسترسي مديريتي است، اما به روز رساني اتوماتيك چنين مشكلي ندارد. در صورتي كه سيستم براي نصب اتوماتيك به روز رساني هاي سيستم عامل و برنامه ها تنظيم شود، به ندرت نيازمند حق دسترسي مديريتي مي شود.
برنامه SMS 2003 و نسخه هاي جديدتر آن داراي ويژگي هايي براي شناسايي و نصب به روز رساني هاي سيستم عامل و برنامه ها است كه نيازمند حق دسترسي مديريتي نيست. سازمان هايي كه SMS را نصب نكرده اند مي توانند از Windows Software Update Services(WSUS) كه مديريت به روز رساني ها را به شكل ساده و در عين حال امني پياده سازي كرده است، استفاده كنند.

تنظيمات سيستم عامل
سياست فناوري اطلاعات سازمان بايد به روشني تعريف كند كه كاربران محدود شده چه اعمالي را مي توانند بر روي رايانه هاي خود انجام دهند. براي مثال مي توان به كاربران غير ثابت (متحرك) اجازه داد ساعت رايانه خود را تغيير دهند. در ادامه ابزارهايي را معرفي خواهيم كرد كه براي مديريت تنظيمات مذكور به كار مي روند.

هزينه ها
برنامه ريزي، پياده سازي و مديريت راهكار LUA مي تواند هزينه بر باشد. در صورتي كه شما از برنامه هاي افزاري آماده استفاده مي كنيد و يا شركت ديگري متولي مديريت فناوري اطلاعات شما است، اين هزينه ها مي تواند چشمگير باشد.
براي مثال مي توان به موردي اشاره كرد كه سازمان شما برنامه اي را از يك توليد كننده نرم افزار خريداري كرده است كه با راهكار LUA سازگار نيست و تنها با دسترسي هاي مديريتي كار مي كند. در اين وضعيت با توجه به منابعي كه توليد كننده نرم افزار در اختيار شما گذاشته است مي توان اقدامات زير را انجام داد:

  • برنامه را در محيط LUA تست كرد.
  • يك پروسه كاهش خطر را تعيين كرد كه در صورت اجرا نشده برنامه از آن استفاده كرد:
  • مجوزهاي رجيستري را تغيير داد و يا به چندين رايانه دسترسي هاي ويژه داد.
  • حقوق دسترسي را تغيير داد.
  • از ابزارهايي كه مشكل تنظيمات را حل مي كنند، استفاده كرد.
  • برنامه را از ابتدا ايجاد كرد.

در صورتي كه شركت به هر حال قصد دارد برنامه هاي خود را تبديل به احسن كند، هزينه هاي پياده سازي LUA چندان قابل توجه نخواهد بود.

2.  ابزارها
بسياري از ابزارهاي مايكروسافت و ديگر توليد كنندگان نرم افزار براي كمك به مديريت محيطي كه از راهكار LUA استفاده مي كند، در دسترس هستند. در اين بخش به معرفي سه ابزارهاي پيشنهاد شده توسط مايكروسافت مي پردازيم:

  • Secondary Logon Service
    اين نرم افزار به كاربران اجازه مي دهد برنامه ها را با حقوق دسترسي متفاوت اجرا كنند و يك مجوز امنيتي جديد براي اعضاي گروه صادر مي كند. اين مجوز امنيتي جديد به كاربران مذكور اجازه مي دهد برنامه هايي را اجرا كنند كه براي اجراي صحيح نيازمند دسترسي به منابع خاصي هستند. البته استفاده از اين سرويس ممكن است منجر به محدوديت هاي زير شود:
    •   كاربران بايد اطلاعات ورود به حساب كاربري دوم را بدانند.
    •    برخي برنامه ها نمي توانند يك نسخه ديگر را با اطلاعات ورود متفاوت، از نسخه جاري اجرا كنند.
    •    ممكن است حساب كاربري دوم داراي درايوها يا پرينتر نصب شده مطابق با حساب كاربري اول نباشد.
  • Application Compatibility Toolkit
    اين ابزار كه اختصاراً ACT ناميده مي شود در واقع مجموعه اي از ابزارها و پرونده ها است كه به متخصصان IT و توسعه دهندگان نرم افزار كمك مي كند تا به بالاترين سطح تطابق برنامه ها با سيستم عامل هاي ويندوز برسند. ابزارهاي مجتمع شده عبارتند از:
    •    Application Analyzer : اين ابزار امكان فهرست بندي برنامه هاي كاربردي و تست تطابق پذيري را فراهم مي سازد.
    •    Compatibility Administrator : اين پايگاه داده، ليست اصلاحات تطابق پذيري ضروري را براي برنامه هاي تاريخ گذشته ويندوز نشان مي دهد.
    • Internet Explorer Compatibility Evaluator: اين ابزار به تفصيل مشكلات تطابق پذيري برنامه ها با مرورگر IE را ثبت مي كند.
  • Systems Management Server (SMS)
    اين نرم افزار يك سيستم مديريتي با امكانات بسيار براي شركت هاي متوسط و بزرگ است و شبكه هاي مركزي و يا گسترده را نيز پوشش مي دهد. SMS از راهكار LUA پشتيباني كرده و اجازه نصب به روز رساني هاي نرم افزارها و سيستم عامل را بدون نياز به دسترسي هاي مديريتي مي دهد.
  • كاهش اختيارات مديريتي
    در صورتي كه سازماني قادر به پياده سازي راهكار LUA به طور كامل نيست، مي تواند خطرات دادن حق دسترسي مديريتي به كاربران را كاهش دهد. براي اين كار بايد مطمئن شد كه هر برنامه اي كه به منابع شبكه دسترسي دارد تحت حقوق كاربر محدود شده اجرا مي شود. درست است كه اين كار با اصول حق دسترسي محدود شده سازگاري ندارد ولي حداقل به هر كسي اجازه نمي دهد همه برنامه ها را با حق دسترسي مديريتي اجرا كند. براي تأمين امنيت مؤثر، زماني كه كاربران شبكه داراي حق دسترسي مديريتي هستند بايد موارد زير در نظر گرفته شود:
    • از ابزارهايي براي كاهش خطرات اجراي برنامه ها با حق دسترسي مديريتي استفاده شود.
    • بايد برنامه هايي كه با اينترنت در ارتباطند مانند ايميل، مرورگرها و نرم افزارهاي پيام فوري تحت حق دسترسي كاربر محدود شده اجرا شوند. دادن مجوز مديريتي به چنين برنامه هايي متداول ترين روش نفوذ بدافزارها به سيستم است.
      مي توان از ابزارهاي زير براي كاهش خطرات، زماني كه كاربران با حق دسترسي مديريتي وارد سيستم مي شوند، استفاده كرد:
      • Secondary Logon Service
      • Software Restriction Policies
      • DropMyRights

در پايان بايد گفت كه راهكار LUA به تنهايي يك راه حل امنيتي كامل نيست و بايد همراه با ديگر استراتژي هاي دفاعي همچون آموزش كاربران، فايروال ها، به روز رساني هاي امنيتي منظم و استفاده از آنتي ويروس هاي به روز، به كار گرفته شود.

برچسب‌ها
مستندات مرجع
  • 10