موضوعات مقالات

جستجو در محصولات

گالری پروژه های افتر افکت
گالری پروژه های PSD
جستجو در محصولات


تبلیغ بانک ها در صفحات
ربات ساز تلگرام در صفحات
ایمن نیوز در صفحات
.. سیستم ارسال پیامک ..
مهمترين نقاط آسيب پذير ويندوز ( بخش دوم )
-(7 نفر) 
مهمترين نقاط آسيب پذير ويندوز ( بخش دوم )
بازدید 657
گروه: دنياي فن آوري
در بخش اول اين مقاله به بررسي دو مورد از نقاط آسيپ پذير ويندوز پرداخته گرديد . در اين بخش به بررسي سومين نقطه آسيب پذير ويندوز ، اشاره مي گردد.

سومين نقطه آسيب پذير : Windows Authentication

استفاده از رمزعبور، روش هاي تائيد کاربر و کدهاي امنيتي در هر گونه تعامل ارتباطي بين کاربران وسيستم هاي اطلاعاتي ، امري متداول و رايج است . اکثر روش ها ي تائيد کاربران ، نظير حفاظت فايل و داده ، مستقيما" به رمزهاي عبور ارائه شده توسط کاربران ، بستگي خواهد داشت . پس از تائيد کاربران ، امکان دستيابي آنان به منابع مشخص شده فراهم و هر يک از آنان با توجه به امتيازات و مجوزهاي نسبت داده شده ، قادر به استفاده از منابع موجودخواهند بود. در اغلب موارد ، فعاليت کاربراني که مجاز بودن آنان براي دستيابي به منابع ، تائيد شده است ، لاگ نشده و يا در صورتيکه فعاليت آنان ثبت گردد ، کمتر سوء ظني به آنان مي تواند وجود داشته باشد . ( آنان پس از تائيد وارد ميداني شده اند که بدون هيچگونه رديابي ، قادر به انجام فعاليت هاي گسترده اي خواهند بود) . بنابراين ، رمز عبور داراي نقشي حياتي و اساسي در ايجاد اولين سطح دفاع در يک سيستم اطلاعاتي بوده و از دست رفتن رمز عبور و يا ضعف آن مي تواند سيستم را در معرض تهديدات جدي قرار دهد . مهاجمان پس از دستيابي به رمز عبور کاربران تائيد شده ( استفاده از مکانيزم هاي متفاوت ) قادر به دستيابي منابع سيستم و حتي تغيير در تنظيمات ساير account هاي تعريف شده و موجود بر روي سيستم خواهند بود،عملياتي که مي تواند پيامدهاي بسيار منفي را بدنبال داشته باشد . پس مي بايست بپذيريم که وجود يک account ضعيف و يا فاقد رمز عبور مي تواند تهديدي جدي در يک سازمان باشد . در اين راستا علاوه بر اينکه مي بايست از پتانسيل هاي ارائه شده توسط سيستم عامل با دقت استفاده نمود ، ضروري است ، تابع يک سياست امنيتي تدوين شده در رابطه با رمز عبور در سازمان متبوع خود باشيم . تعريف و نگهداري يک account بهمراه رمز عبور مربوطه در سازمان ما تابع چه سياست امنيتي است ؟ مهمترين و متداولترين نقاط آسيب پذير در ارتباط با رمز عبور شامل موارد زير است :
• Account تعريف شده داراي رمز عبور ضعيف و يا فاقد رمز عبور است .
• عدم حفاظت مناسب کاربران از رمزهاي عبور ،صرفنظر از استحکام رمزهاي عبور تعريف شده .
• سيستم عامل و يا ساير نرم افزارهاي موجود ، امکان ايجاد account مديريتي ضعيف و فاقد رمز عبور را فراهم مي نمايند .
• الگوريتم هاي Hashing رمز عبور( رمزنگاري مبتني بر کليد عمومي بر پايه يک مقدار hash ، استوار بوده و بر اساس يک مقدار ورودي که دراختيار الگوريتم hashing گذاشته مي گردد ، ايجاد مي گردد. در حقيقت مقدار hash ، فرم خلاصه شده و رمز شده اي از مقدار اوليه خود است ) ، شناخته شده بوده و در اغلب موارد مقدار Hashe بدست آمده ، بگونه اي ذخيره مي گردد که امکان مشاهده آن توسط سايرين وجود خواهد داشت. مناسبترين نوع حفاظت در اين راستا ، تبعيت از يک سياست رمز عبور قدرتمند بوده که در آن دستورالعمل ها ي لازم براي تعريف يک رمز عبورمناسب مشخص و در ادامه با استفاده از ابزارهاي موجود، بررسي لازم در خصوص استحکام و بي نقص بودن رمز عبور صورت گيرد.
ويندوز، رمزهاي عبور را بصورت متن شفاف ذخيره و يا ارسال نمي نمايد و در اين راستا از يک مقدار Hash متناظر با رمزعبور ، بمنظور تائيد کاربران ، استفاده مي نمايد . يک مقدار Hash داراي طولي ثابت است که توسط بکارگيري يک تابع رياضي ( الگوريتم hashing ) بر روي حجم دلخواهي از داده ( message digest ناميده مي شود) ايجاد مي شود.در وينوز سه نوع الگوريتم تائيد وجود دارد :
• LM ( ايمني کمتر و سازگاري بيشتر )
• NTLM
• NTLMv2 ( ايمني بيشتر و سازگاري کمتر )
با اينکه اکثر محيط هاي فعلي ويندوز ، ضرورتي به حمايت از (Lan Manager (LM را ندارند، ولي ويندوز بصورت محلي رمز هاي عبور Hash شده مربوط به LM را ( LANMAN Hashes نيز ناميده مي شود ) بصورت پيش فرض در ويندوز NT ، 2000 و XP ( در ويندوز 2003 وضعيت بدين شکل نيست ) ذخيره مي نمايد. با توجه به اينکهLM از يک مدل رمزنگاري بمراتب ضعيف تر نسبت به رويکردهاي فعلي مايکروسافت ( NTLM,NTLMv2 ) ، استفاده مي نمايد، رمزهاي عبور LM مي توانند در مدت زماني کوتاه شکسته گردند. حتي رمزهاي عبوري که داراي قدرت و استحکام مناسبي مي باشند ، در کمتر از يک هفته با استفاده از روش هائي خاص و با اتکاء به قدرت سخت افزارهاي موجود ، شکسته خواهند شد

http://www.msdn.miscrosoft.com/library/default.asp?url=/library/en-us/security/Security/h_gly.asp

ضعف LM hashes بدلايل زير است :
• رمزهاي عبور محدود به چهارده کاراکتر مي باشند .
• رمزهاي عبور با استفاده از فضاي خالي ، به چهارده کاراکتر تبديل مي شوند .
• رمزهاي عبور تماما" به حروف بزرگ تبديل مي گردند .
• رمزهاي عبور به دو بخش هفت کاراکتري مجزا تقسيم مي گردند .
با توجه به ماهيت فرآيند hashing ،يک مهاجم صرفا" مي بايست عمليات تشخيص رمز عبور( cracking) را محدود به دو مجموعه نمايد که هر يک داراي هفت کاراکتر بوده که به حروف بزرگ تبديل شده اند . با تکميل عمليات فوق و اخد نتايج مثبت ، يک مهاجم قادر به تشخيص رمز عبور يک کاربر تائيد شده مي گردد وبدين ترتيب ، امکان دستيابي وي به منابع سيستم فراهم خواهد شد. پيچيدگي عمليات تشخيص Hashe ، متنا سب با طول Hash افزايش مي يابد ، بنابراين رشته هائي که صرفا" شامل هفت کاراکتر مي باشند ، بمراتب راحت تر نسبت به رشته هائي که داراي چهارده کاراکتر مي باشند ، تشخيص داده و اصطلاحا" شکسته مي گردند. با توجه به اين موضوع که تمامي رشته ها شامل هفت کاراکتر بوده و تمامي آنان به حروف بزرگ نيز تبديل مي گردند ، يک تهاجم به "سبک - ديکشنري" ( dictionary-style ) نيز بسادگي محقق و موفقيت آن تضمين شده خواهد بود. بنابراين، روش LM hashing ، آسيبي جدي را متوجه سياست هاي امنيتي رمز عبور نموده و سيستم را در معرض تهديد قرار خواهد داد .
علاوه بر تهديد و خطر ذخيره سازي LM hashes در SAM ، فرآيند تائيد Lan Manager ، اغلب و بصورت پيش فرص بر روي سرويس گيرندگان فعال و توسط سرويس دهنده پذيرفته مي گردد . لازم است به اين نکته اشاره گردد که ، ماشين هائي که بر روي آنان ويندوز نصب شده است ، قادر به استفاده از الگوريتم هاي hash بمراتب قويتر در مقابل روش ضعيف LM hashes بمنظور ارسال داده هاي حساس نظير رمز عبور مي باشند .حداقل پيامد منفي استفاده از روش LM hashes ، آسيب پذيري سيستم تائيد کاربران در ويندوز بوده و قطعا" در چنين مواردي نمي توان به فرآيند تائيد کاربران ، اعتماد نمود چراکه در اين وضعيت عملا" امکان استراق سمع ( شنود اطلاعاتي ) فراهم و يک مهاجم قادر به تشخيص و بدست آوردن رمزهاي عبور خواهد بود.

سيستم هاي عامل در معرض تهديد :

تمامي نسخه هاي ويندوز در معرض اين تهديد قرار دارند .

نحوه تشخيص آسيب پذيري سيستم

با اينکه دلايل و علل متفاوتي مي تواند در در رابطه با ضعف رمز عبور مورد توجه قرار گيرد ، مثلا" وجود Account هاي فعال براي کاربراني که سازمان خود را ترک نموده ويا سرويس هائي که اجراء نشده اند، ولي يکي از مناسبترين روش ها بمنظور آگاهي از استحکام يک رمز عبور ، بررسي و تست تمامي آنان در مقابل نرم افزارهاي cracking رمزهاي عبور استفاده شده توسط مهاجمان است . لازم است به اين نکته مهم اشاره گردد که از برنامه هاي تشخيص دهنده رمز عبور بر روي سيستم هائي که حتي مجوز دستيابي به آنان را داريد ، بدون اخذ مجوزهاي لازم از مديران ارشد سيستم ، نمي بايست استفاده نمود. براي دريافت نمونه برنامه هائي در اين زمينه مي توان از LC4 )l0phtcrack version 4) و John the Ripper استفاده کرد . صرفنظر از رويکرد ذخيره سازي محلي LAN Manager hash ، موارد زير مي بايست موردتوجه قرار گيرد :
• در صورتيکه ويندوز NT ، 2000 و يا XP بصورت پيش فرض نصب شده اند،سيستم در معرض آسيب خواهد بود. در چنين مواردي Lan Manager hashes بصورت پيش فرض و محلي ذخيره مي گردد.
• در صورتيکه ، بدلايلي نيازمند تائيد مبتني بر LM در يک سازمان بمنظور ارتباط با سرويس دهنده وجود داشته باشد ، سيستم مجددا" در معرض آسيب قرار خواهد گرفت .چراکه اين نوع از ماشين ها اقدام به ارسال LM hashes نموده و پتانسيل شنود اطلاعاتي در شبکه را ايجاد خواهند کرد.

نحوه حفاظت در مقابل نقطه آسيب پذير :

بهترين و مناسبترين دفاع در مقابل رمزهاي عبور ضعيف ، استفاده از يک سياست مستحکم مشتمل بر دستورالعمل هاي لازم بمنظور ايجاد رمز عبور قدرتمند و بررسي مستمر آنان بمنظور اطمينان از استحکام و صحت عملکرد مي باشد . در اين رابطه موارد زير پيشنهاد مي گردد :
• اطمينان ازاستحکام و انسجام رمز هاي عبور . با استفاده از سخت افزار مناسب و اختصاص زمان کافي ، مي توان هر رمز عبوري را crack نمود. در اين راستا مي توان با استفاده ازروش هاي ساده و در عين حال موفقيت آميز، عمليات تشخيص رمز عبور را انجام داد . اغلب برنامه هاي تشخيص دهنده رمزعبوراز روشي موسوم به "حملات مبتني بر سبک ديکشنري " ، استفاده مي نمايند. با توجه به اينکه روش هاي رمز نگاري تا حدود زيادي شناخته شده مي باشند ، برنامه هاي فوق ، قادر به مقايسه شکل رمز شده يک رمز عبور در مقابل شکل هاي رمز شده کلمات ديکشنري مي باشند( در زبان هاي متعدد و استفاده از اسامي مناسب بهمراه جايگشت هاي مختلف آنان ) . بنابراين ، رمز عبوري که ريشه آن در نهايت يک کلمه شناخته شده باشد ، داراي استعداد ذاتي در رابطه با اين نوع از حملات خواهد بود . تعداد زيادي از سازمان ها ، آموزش هاي لازم در خصوص نحوه تعريف رمزهاي عبور را به کارکنان خود داده و به آنان گفته شده است که رمزهاي عبور مشتمل بر ترکيبي از حروف الفبائي و کاراکترهاي ويژه را براي خود تعريف نمايند.متاسفانه اکثر کاربران اين موضوع را رعايت ننموده و بمنظور تعريف يک رمز عبور با نام "password" ، صرفا" اقدام به تبديل حروف به اعداد و يا حروف ويژه مي نمايند ( pa$$w0rd) . چنين جايگشت هائي نيز قادر به مقاومت در مقابل يک تهاجم مبتني بر ديکشنري نبوده و "pa$$w0rd" به روش مشابهي که "password" تشخيص داده مي شود ، crack خواهد شد .
يک رمز عبور خوب ، نمي بايست از ريشه يک کلمه و يا نام شناخته شده اي اقتباس شده باشد .در اين راستا لازم است به کاربران آموزش لازم در خصوص انتخاب و ايجاد رمزهاي عبور از موارد تصادفي نظير يک عبارت ، عنوان يک کتاب ،نام يک آواز و يا نام يک فيلم داده شود. با انتخاب يک رشته طولاني که بر اساس رويکردهاي خاصي مي تواند انتخاب گردد( گرفتن اولين حرف هر کلمه ، جايگزيني يک کاراکتر خاص براي يک کلمه ، حذف تمامي حروف صدادارو ساير موارد ) ، کاربران قادر به ايجاد رمزهاي عبور مشتمل بر ترکيبي از حروف الفبائي و حروف ويژه بوده که در صورت مواجه شدن با حملات مبتني بر ديکشنري ، تشخيص آنان بسختي انجام مي شود. لازم است به اين نکته نيز اشاره گردد که رمزعبور مي بايست براحتي بخاطر سپرده شده و بازيابي ( يادآوري)آن مشکل نباشد ( هدف از ذخيره سازي ، بازيابي است اگر چيزي را ذخيره نمائيم ولي در زمان مورد نظر قادر به بازيابي آن نباشيم ، سيستم ذخيره و بازيابي ما با اشکال مواجه شده است ! ). پس از تدوين دستورالعمل لازم بمنظور توليد رمزهاي عبور مناسب و آموزش کاربران بمنظور پايبندي به اصول امنيتي تعريف شده ، مي بايست از روتين ها ي جانبي متعددي بمنظور اطمينان از پيروي کاربران از دستوراالعمل هاي اعلام شده ، استفاده گردد. بهترين گزينه در اين راستا ، بررسي صحت رمزهاي عبور پس از اعمال تغييرات توسط کاربران است .
ويندوز 2000 ، XP و 2003 داراي ابزارهاي قدرتمندي بمنظورافزايش توان سياست هاي امنيتي مي باشند . در اکثر نسخه هاي ويندوز بمنظور مشاهده سياست تعريف شده در رابطه با رمز مي توان از مسير زير استفاده و برنامه Local Security Policy را فعال نمود:

Local Security Policy Program
Start| Programs|Administrative Tools |Local Security Policy
Select : Account Policies , Then Password Policy

• برنامه Local Security Policy داراي تنظيمات زير است :
Password must meet complexity requirements ، با فعال نمودن سياست فوق ، رمزهاي عبور ملزم به رعايت استانداردهاي موجود بمنظور استحکام و پيچيدگي بيشتر در زمان ايجاد و يا تغيير مي باشند. در چنين حالتي ، رمزهاي عبور تعريف شده مي بايست با لحاظ نمودن موارد زير ايجاد گردند:
?  رمز عبور، نمي بايست شامل تمام و يا بخشي از نام account کاربر باشد .
?  رمز عبور مي بايست داراي حداقل شش کاراکتر باشد .
?  رمز عبور مي بايست شامل کاراکترهائي از سه گروه از چهار مجموعه زير باشد :
? حروف بزرگ الفباي انگليسي ( A تا Z )
? حروف کوچک الفباي انگليسي ( a تا z )
? ارقام پايه دهدهي ( رقم هاي 0 تا 9 )
? کاراکترهاي غير الفبائي ( مثلا" ! ، $ ، # ، % )
( Enforce password history (range: 0-24 . اغلب کاربران تمايل دارند که پس از انقضاء تاريخ استفاده از رمز عبور خود ، مجددا" همان رمز عبور قبلي را تعريف و از آن استفاده نمايند . با استفاده از سياست فوق ، مي توان مشخص نمود که در چه زماني و پس از چندين رمز عبور تعريف شده جديد ، کاربران مجاز به استفاده از رمزهاي عبور قبلي خود براي وضعيت جديد مي باشند .بدين ترتيب ،مديران شبکه اطمينان لازم در خصوص عدم استفاده مستمر و دائمي يک رمز عبور توسط کاربران را بدست آورده و اين موضوع مي تواند از زواياي مختلفي بهبود وضعيت امنيتي شبکه را بدنبال داشته باشد . بمنظور نگهداري موثر تاريخچه رمز عبور، نمي بايست امکان تغيير رمزهاي عبور بلافاصله پس از پيکربندي سياست minimum password age ، وجود داشته باشد .
( Maximum password age (range: 0-999 days . سياست فوق ، حداکثر عمر( اعتبار) يک رمز عبور را بر حسب روز ، مشخص مي نمايد.( قبل از اينکه سيستم کاربر را ملزم به تغيير رمز عبور نمايد) . با در نظر گرفتن مقدار صفر ، رمز عبور داراي عمري جاودانه خواهد شد !
(Minimum password age (range: 0-999 days . سياست فوق ، حداقل عمر( اعتبار) يک رمز عبور را بر حسب روز ، مشخص مي نمايد( قبل از اينکه کاربر قادر به تغيير رمزعبور گردد) . با در نظر گرفتن مقدار صفر ، به کاربران اجازه داده خواهد شد که بلافاصله رمز عبور خود را تغيير دهند. minimum password age مي بايست کمتر از maximum password age باشد . پيکربندي minimum password age مي بايست بگونه اي انجام شود که داراي مقداري بيش از صفر باشد تا سياست password history نيز لحاظ شده باشد. بدون وجود يک minimum password age ، کاربران قادر به تغيير ادواري و زمانبندي نشده رمزهاي عبور شده و امکان استفاده مجدد از رمزهاي عبور قديمي در يک محدوده زماني کمتر براي آنان فراهم مي گردد.مقادير پيش فرض تامين کننده اهداف و خواست هاي امنيتي در يک سازمان نبوده و لازم است مديران سيستم در ابتدا يک رمز عبور مناسب را براي کاربر تعريف و پس از سپري شدن مدت زمان مشخصي ( مدت زمان فوق را minimum password age مشخص مي نمايد ) کاربر را ملزم به تعريف ( تغيير ) رمز عبور تعريف شده توسط مديريت شبکه نمايند. زمانيکه کاربران ،عمليات Log on را انجام و در صورتيکه password history مقدار صفر را دارا باشد ، الزامي در رابطه با انتخاب يک رمز عبور جديد براي کاربران وجود نخواهد داشت . بدين دليل password history داراي مقدار پيش فرض يک است .
(Minimum password length (range: 0-14 characters ، سياست فوق ، حداقل تعداد کاراکتر لازم براي تعريف يک رمز عبور را مشخص مي نمايد( حداقل طول يک رمز عبور) مي توان در اين رابطه حداقل طول يک رمز عبور را بين يک تا چهارده کاراکتر در نظر گرفت . با اختصاص مقدار صفر ، ضرورت وجود رمز عبور حذف مي گردد. حداقل طول رمز عبور، مي بايست متناسب و سازگار با سياست هاي امنيتي سازمان باشد. در صورتيکه در اين رابطه سياست مشخص و شفافي وجود ندارد مي توان مقدار هشت را در نظر گرفت .برخي از سازمان هاي امنيت اطلاعات شبکه ، مقدار دوازده را در اين رابطه پيشنهاد داده اند .
Store password using reversible encryption for all users in the domain . سياست فوق ، مشخص مي نمايد که مي بايست رمزعبور با استفاده از رمزنگاري وارونه ، ذخيره گردد . در اين رابطه ، امکانات حمايتي لازم درخصوص برنامه هائي که از پروتکل هائي بمنظور آگاهي از رمز عبور کاربر بمنظور انجام فرآيند تائيد کاربران استفاده مي نمايند، نيز ارائه شده است . ذخيره سازي رمزهاي عبوري که از رمزنگاري وارونه استفاده مي نمايند ، مشابه رمزهاي عبورمعمولي است ( رمز عبور بصورت متن ذخيره مي گردد). بنابراين فعال شدن سياست فوق مي بايست با لحاظ نمودن پارامترهاي متعددي نظير الزام يک برنامه بمنظور استفاده از يک رمز عبور حفاظت شده ، صورت پذيرد .
يکي از روش هائي که مي توان از آن بمنظور ايجاد اتوماتيک و نسبت دهي رمزهاي عبور پيچيده به هر يک از account هاي کاربران استفاده نمود ، اجراي دستورالمل زير از طريق خط دستور است :

:From Command Line Prompt
Net User Username / random

• با اجراي دستورالعمل فوق ، رمزهاي عبور تصادفي و پيچيده (همواره هشت کاراکتر طول ) به يک account نسبت داده شده و در ادامه رمزعبور مورد نظر بر روي صفحه نمايش داده مي شود. روش فوق ، امکاني مناسب بمنظور نسبت دهي رمزهاي عبوردر ارتبط با Service accounts بوده و کمتر در ارتباط با کاربران واقعي استفاده مي گردد.
بهترين روش براي مميزي کيفيت رمزهاي عبور ، اجراي برنامه هاي cracking رمز عبور در وضعيتStand-alone است (بخشي از فرآيند بررسي رمزهاي عبور) . لازم است مجددا" به اين موضوع اشاره گردد که بدون کسب مجوز لازم از مديران ارشد سيستم در سازمان ، نمي بايست از برنامه هاي cracking استفاده شود.پس از کسب مجوز لازم بمنظور اجراي برنامه هاي cracking رمز عبور ، مي بايست عمليات فوق را بر روي يک ماشين حفاظت شده انجام داد.کاربراني که رمزهاي عبور آنان crack مي گردد، مي بايست موضوع بصورت محرمانه به اطلاع آنان رسيده و دستورالعمل هاي لازم در خصوص نحوه انتخاب يک رمز عبور مناسب ، در اختيار آنان قرار داده شود.اخيرا" و در پاسخ به رمزهاي عبور ضعيف ، استفاده از روش هائي ديگر بمنظور تائيد کاربران، نظير بيومتريک (زيست سنجي ) ، نيز مورد توجه واقع شده است .
• حفاظت رمزهاي عبور مستحکم . حتي اگر رمزهاي عبور ، مستحکم و قدرتمند باشند ، در صورت عدم حفاظت آنان توسط کاربران ، سيستم هاي موجود در يک سازمان در معرض تهديد قرار خواهند گرفت . يک سياست امنيتي مناسب ، مي بايست شامل دستورالعمل هاي لازم بمنظور آموزش کاربران در رابطه با حفاظت رمزهاي عبور مي باشد.عدم ارائه رمز عبور به افراد ديگر، عدم نوشتن رمز عبور در محلي که امکان خواندن آن براي ديگران وجود داشته باشد و حفاظت اتوماتيک فايل هائي که رمزهاي عبور در آن ذخيره شده اند ، از جمله مواردي مي باشند که مي بايست به کاربران آموزش داده شود. اغلب کاربران در مواجهه با پيامي مشابه "Your password has expired and must be changed," که نشاندهنده اتمام عمر مفيد يک رمز عبور است ، يک رمز عبور ضعيف را براي خود انتخاب مي نمايند ، بنابراين لازم است در فرصت مناسب و قبل از برخورد با اينچنين پيام هائي ، به کاربران آموزش هاي لازم ارائه گردد.
• کنترل مستمر account ها . مديران سيستم و شبکه مي بايست حضوري موثر و مستمر در ارتباط با مديريت account هاي موجود داشته باشند .
- هر گونه account مبتني بر سرويسي خاص و يا مديريتي که از آن استفاده نمي گردد، مي بايست حذف گردد .
- مميزي account ها بر روي سيستم را انجام داده و لازم است در اين رابطه يک ليست اصلي ايجاد گردد .در اين رابطه مي بايست رمزهاي عبور در ارتباط با سيستم هائي نظير روترها ، چاپگرهاي ديجيتالي متصل شده به اينترنت و ساير موارد ديگر نيز مورد بررسي قرار گيرد.
- روتين هائي خاص بمنظور افزودن account هاي تائيد شده به ليست و يا حذف account هائي که ضرورتي به استفاده از آنان نمي باشد ، پياده سازي و همواره خود را پايبند به آن بدانيم .
- اعتبار ليست را در فواصل زماني خاصي بررسي تا از بهنگام بودن آن اطمينان حاصل گردد.
- از روتين هاي خاصي بمنظورحذف account متعلق به کارکنان و يا پيمانکاراني که سازمان را ترک نموده اند ، استفاده گردد .

• نگهداري و پشتيباني از سياست رمزعبور . بمنظور پشتيباني و نگهداري مناسب رمز عبور، مي توان علاوه بر استفاده از امکانات کنترلي ارائه شده توسط سيستم عامل و يا سرويس هاي شبکه ، از ابزارهاي گسترده اي که در اين رابطه ارائه شده است ،نيز استفاده گردد . بدين ترتيب ،نگهداري سياست رمز عبور ، مبتني بر آخرين تکنولوژي هاي موجود خواهد بود.
• غير فعال نمودن تائيد LM در شبکه . بهترين گزينه بمنظور جايگزيني با Lan Manager ، استفاده از روش NT LAN Manager version 2) NTLMv2) است . متدهاي چالش / پاسخ NTLMv2 ، با استفاده از رمزنگاري مستحکم تر و بهبود مکانيزم هاي تائيد ، اکثر صعف هاي LM را برطرف نموده است جدول زير ، کليد ريجستري موردنظري را که قابليت فوق را در ويندوز NT و 2000 کنترل مي نمايد، نشان مي دهد:

Rgistry key
Hive: HKEY_LOCAL_MACHINE
Key: System\CurrentControlSet\Control\LSA
Value: LMCompatibilityLevel
Value Type: REG_DWORD - Number
Valid Range: 0-5
Default: 0

• پارامتر فوق ، نوع و روش تائيد را مشخص و مي تواند مقداري بين صفر تا پنج را دارا باشد :
0 - ارسال پاسخ بر اساس روش LM و NTLM ، هرگز از امکانات امنيتي NTLMv2 استفاده نمي شود .
1 - استفاده از امکانات امنيتي NTLMv2
2 - ارسال بر اساس روش تائيد NTLM
3 - ارسال بر اساس روش تائيد NTLMv2
4 - DC باعث رد تائيد LM مي گرد.
5 - DC باعث رد تائيد LM و NTLM شده و صرفا" تائيد NTLMv2 پذيرفته مي گردد .
• در ويندوز 2000 ، 2003 و XP نيز امکاناتي ارائه شده است که مي توان با استفاده از آنان اقدام به پيکربندي تنظيمات مورد نظر در ارتباط با سطح تائيد Lan Manager نمود . در اين رابطه لازم است برنامه Local Security Policy فعال و در ادامه گزينه هاي Local Policies و Security Options بترتيب انتخاب گردند . در ويندوز 2000 سياست LAN Manager authentication level ، و در ويندوز XP و 2003 سياست Network security: LAN Manager authentication level ، بمنظور پيکربندي ومقداردهي مناسب انتخاب گردند .
در صورتيکه بر روي تمامي سيستم ها ، ويندوز NT SP4 و يا بعد از آن نصب شده باشد ، مي توان مقدارپارامتر فوق را بر روي تمامي سرويس گيرندگان سه و بر روي Domain Controllers مقدار پنج درنظر گرفت (پيشگيري از ارسال LM hashes بر روي شبکه ) . سيستم هائي نظير ويندوز 95 و 98 از NTLMv2 بصورت پيش فرض بهمراه Microsoft Network Client استفاده نمي نمايند ، بنابراين لازم است بمنظور استفاده از قابليت هاي NTLMv2 ، برنامه Directory Services Client بر روي آنان نصب گردد. پس از نصب سرويس فوق ، مقدار ريجستري با نام LMCompatibility مي تواند مقدار صفر و يا سه را دارا باشد .در صورتيکه نمي توان سرويس گيرندگان قديمي ( ويندوز 95 و يا ويندوز 98 ) را ملزم به استفاده از NTLMv2 نمود ، مي توان تغيير مورد نظر را در رابطه با LM hashing نسبت به استفاده از NTLM (NT Lan Manager, version ) در Domain Controller اعمال نمود.در اين رابطه مي توان مقدار LMCompatibilityLevel را چهار در نظر گرفت . درصورت استفاده از ابزاري نظير Local Security Policy،مي بايست مقدار LAN Manager authentication level را Send NTLMv2 Response only\Refuse LM درنظر گرفت . لازم است به اين نکنه اشاره گردد که ايمن ترين گزينه در اين رابطه، اعمال محدوديت برروي سرويس گيرندگان است .
• ممانعت از ذخيره سازي LM hash . يکي از مسائل اصلي در ارتباط با حذف LM hashes در شبکه ، ذخيره سازي آنان در SAM و يا اکتيو دايرکتوري است .مايکروسافت داراي مکانيزمي بمنظور غيرفعال نمودن ايجاد LM hashes بوده ولي امکان استفاده از آن صرفا" در سيستم هاي ويندوز 2000 ( SP2 و يا بعد بر روي آنان نصب شده است ) ، 2003 و XP بوجود دارد. کليد ريجستري زير، کنترل عمليات فوق راانجام مي دهد. در صورتيکه بر روي Windows 2000 Domain Controller کليد فوق ايجاد شده باشد ، LanMan hashes ، در ادامه ايجاد نخواهد شد و در اکتيو دايرکتوري نيز ذخيره نمي گردد. در ويندوز 2003 و XP ، مي توان با فعال نمودن گزينه Network security: Do not store LAN Manager hash value on next password change به اهداف موردنظر در رابطه با ذخيره سازي LM hash دست يافت . در اين رابطه لازم است برنامه Local Security Policy فعال و در ادامه گزينه هاي Local Policies و Security Options بترتيب انتخاب گردند . پس از اعمال تغييرات فوق ، مي بايست سيستم راه اندازي شده تا تغييرات ايجاد شده ، موثر واقع شوند . لازم است به اين نکته مهم اشاره گردد که روش هاي ارائه شده ، صرفا" پيشگيري لازم در خصوص ايجاد LM hashes جديد راانجام داده و LM hashes موجود بصورت انفرادي و در زمانيکه کاربر رمز عبور خود را تغيير دهد ، حذف خواهند شد .

Rgistry key
Hive: HKEY_LOCAL_MACHINE
Key: System\CurrentControlSet\Control\LSA\NoLMHash

• ممانعت و پيشگيري از تکثير Hash و بانک هاي اطلاعاتي SAM
ابزارهاي cracking رمزعبور، بمنظور بدست آوردن رمزهاي عبور hashes از روش هاي زير استفاده مي نمايند :
- کشف رمزهاي عبور از شبکه . بدين منظور موارد زير پيشنهاد مي گردد :
- استفاده از شبکه هاي سوئيچ شده .
- تشخيص و حذف کارت هاي شبکه بي هدف موجود در شبکه (در اين رابطه مي توان از ابزارهاي امنيتي خاصي نظير ethereal استفاده کرد) .
- تکثير فايل SAM . فايل فوق در ويندوز NT4 و 2000 در فولدر SystemRoot%\System32\Config% (عموما" در مسير C:\Winnt\System32\Config ) و در ويندوز XP و يا 2003 در فولدر C:\Windows\System32\Config مستقرمي باشد.، فايل فوق ، توسط سيستم عامل ويندوز Lock و صرفا" زماني امکان تکثيرآن وجود خواهد داشت که ماشين با يک سيستم عامل ديگر راه اندازي شده باشد. فايل SAM را مي توان با استفاده از فايل Backup مربوطه نيز بدست آورد.
بمنظور پيشگيري از تکثير فايل SAM و افزايش سطح امنيتي سيستم لازم است دستيابي فيزيکي به سيستم هاي موجود خصوصا" Domain Controllers محدود و همواره از اطلاعات Backup گرفته شده و ديسک Repair نيز بمنظور برخورد با مشکلات آتي ايجاد گردد .
براي اخد اطلاعات نکميلي مي توان از مقالات زير استفاده نمود:

 How to Disable LM Authentication on Windows NT 
How to Enable NTLMv2 Authentication for Windows 95/98/2000/NT 
New Registry Key to Remove LM Hashes from Active Directory and Security Account Manager

در بخش سوم اين مقاله به بررسي ساير نقاط آسيب پذير ويندوز خواهيم پرداخت .
اضافه کردن نظر
نام:
پست الکترونيک:
نظرات کاربران:
کد امنیتی: تصویر امنیتیتغییر عکس
پست الکترونیک: info @ imencms . ir
پشتیبانی سیستم پیامک و فروش فایل تا ساعت ده شب: 09395510284
تمام کالا و خدمات این فروشگاه، دارای مجوزلازم از مراجع مربوط می‌باشد و فعالیت‌ این سایت تابع قوانین ومقررات جمهوری اسلامی ایران است.