Salar
Active Member
آشنايي با سيستم عامل كامپيوتر و تنظميات آن امري اجتناب ناپذير براي شماست تا بتوانيد كامپيوتر خود را بيش از پيش در مقابل خطرات مختلف كه نتيجه آن ازبين رفتن اطلاعات مي باشد محافظت نمائيد. در زير چند روش پايه اي براي اين منظور توضيح داده مي شود.
ايجاد سياستهاي امنيتي
شما با ايجاد User Profile روي PC خود امنيت بيشتري را روي سيستم كامپيوتري خود ايجاد خواهيد كرد. به Control Panel برويد و برروي User Option كليك كنيد و مراحل نصب را كه بصورت Wizard است دنبال كنيد.
اگر از Windows 95 استفاده مي كنيد براي رفتن به قسمت UserProfile بايد Passwords Options را انتخاب كنيد. پس از Restart و Login به ويندوز ، نام و كلمه عبور خود را وارد كنيد كه در اين هنگام ويندوز به شما پيغام ايجاد Profile جديد را مي دهد. حال با ساخت UserProfile قادر به استفاده از System Policy Editor جهت ايجاد محدوديت مورد نظرتان خواهيد شد. قبل از استفاده از Policy Editor ، از Registry و ساير فايلهاي Password دستگاه خود نسخه پشتيبان تهيه نماييد. كامپيوتر خود را Restart نماييد و در قسمت Login دكمه Cancle را انتخاب كنيد. اين عمل بيانگر Setting براي افراد غير مجاز است. Policy Editor را با تايپ Poledit در قسمت Run آغاز كنيد.
به File > Open Registry رفته و روي Local Users دبل كليك كنيد و در اين قسمت گزينه هاي مورد نظر خود را براي محدود كردن دسترسي كاربران انتخاب كنيد. پس از انجام كار Finish را انتخاب نماييد.
تغيير دادن مكان اوليه :
نفوذگران به سيستم و همچنين صفحات اينترنتي مخرب به دنبال يافتن فايلهاي خاص روي مسير هاي از پيش تعيين شده روي سيستم عامل هستند. بطور مثال معمولا ويندوز در شاخه c:\windows نصب مي شود و ساير برنامه هاي جانبي در c:\program Files نصب هستند بنابراين در صورت امكان مسيرهاي ابتدايي را تغيير دهيد . اين عمل باعث خواهد شد تا دسترسي به مسيرهاي پايه اي به دستگاه شما مشكل تر شود.
از كار انداختن Sharing
اگر كامپيوتر شما به شبكه وصل است شما نياز به تنظيم آن براي استفاده از فايل ها و پرينتر به اشتراك گذارده شده داريد بنابراين اگر امكان استفاده از اين منابع به اشتراك گذارده را براي ساير كاربران فراهم نمائيد در عوض قادر خواهيد بود به منابع كامپيوتر ديگران دسترسي داشته باشيد. به عبارت ديگر در صورتي كه داراي يك كامپيوتر مستقل روي شبكه باشيد كه نياز به منابع روي شبكه نداريد و دليلي براي به اشتراك گذاري منابع كامپيوترتان نيست لذا امنيت مفهومي ندارد.
براي جلوگيري از اينگونه دسترسي ها به Control Panel رفته و روي Network Icon دوبار كليك كنيد. ليستي از پروتكل هاي نصب شده روي دستگاهتان نمايش داده خواهد شد كه File and Print sharing for Microsoft Networks هم جزء آنهاست. روي File and print sharing كليك كنيد و آن را برداريد (Remove) و سپس OK را بزنيد. كامپيوتر خود را Restart كنيد تا تغييرات اعمال شوند.
كاربران را مجبور به استفاده از نام كاربري و كلمه عبور نماييد
در ويندوز 9X/Me با فشردن [Esc] يا فشردن كليد Cancel مي توانيد از Login كردن درست در شبكه ممانعت نماييد ( اين حالت در Win 2000/XP وجود ندارد) . بنابراين امكان دسترسي كاربر غير مجاز با روشن كردن كامپيوترتان و عدم Login به اطلاعات موجود دركامپيوترتان وجود دارد لذا ابتدا از ايجاد شدن User Profile براي هر User مطمئن شويد همچنين از فعال بودن گزينه Include Start Menu and Program Groups In User Settings براي هر كاربر مطمئن شويد. كامپيوتر را در حالت SafeMode (با فشردن دكمه [F8] در هنگام Boot شدن و انتخاب گزينه SafeMode ) بالا بياوريد. اين كار خيلي مهم است زيرا در صورتيكه عملي با خطا صورت گرفت به راحتي در اين Mode قادر به رفع آن خواهيد شد. دستور Regedit.exe را در Start > Run اجرا كنيد. در مسير رجيستري HKEY_USERS/Default/Software/Microsoft/Wondows/CurrentVersion/Run در قسمت راست كليك راست كنيد و New String Value را انتخاب كنيد و آن را به Fixlogon تغيير نام دهيد و بالاخره Fixlogon را باز كنيد و دستور rundll.exe user.exe,EXITWINDOWS را مشخص كنيد. كامپيوترتان را reboot نماييد تا اين تغييرات ذخيره شوند. با حذف اين key به حالت قبل از تنظيم باز خواهيد گشت.
فعال سازي نمايش Extention
تنظيم اوليه ويندوز، Extention فايل را نمايش نمي دهد لذا .vbs كه مورد استفاده نرم افزارهاي مخرب است مشخص نخواهد شد. بطور مثال امكان دريافت فايلي بصورت goodimage.jpg.vbs از طريق ايميل وجود دارد كه به دليل نمايش داده نشدن Extention فايل شما اين فايل را بصورت goodimage.jpg دريافت خواهيد كرد و چون .jpg اجرايي نيست شما اين فايل را اجرا خواهيد كرد و باعث نصب يك Script مخرب مجازي خواهيد شد كه داراي كدداخلي بوده و به محث نصب شدن فعال خواهد شد. براي جلوگيري از اين حالت به Exolorer Windows برويد و select Tool > Folder Option را انتخاب كنيد. روي View Tab كليك كنيد و گزينه Hide file extentions for Known file types را ازحالت فعال بودن خارج سازيد.
Updateهاي پايه اي را نصب كنيد
نكته مهم در استفاده از ويندوز عدم توجه به نصب Updateهاي پايه اي آن است. شركت Microsft معمولا از لغت Critical براي Updateهاي مهم و bug Fix ها استفاده مي كند كه لزوم نصب آن ها براي بالابردن امنيت الزامي است لذا به Start Menu رفته و windows update را انتخاب نمائيد. با باز شدن صفحه مربوط به Update قادر خواهيد بود Patchها و update هاي مهم را انتخاب كرده و نصب نمائيد.
Netbios را از TCP/IP جدا كنيد
بطور پيش فرض Netbios به TCP/IP مرتبط است لذا نفوذگران قادر به استفاده از فايلهاي به اشتراك گذارده شده دستگاه شما هستند لذا با جدا سازي Netbios از TCP/IP قادر به محافظت از دستگاه خود خواهيد شد. در ابتدا NetBEUI را به همراه TCP/IP نصب كنيد. حال Dial-up Adapter را كه مورد نياز براي ارتباط به اينترنت است انتخاب نماييد و به قسمت Properties برويد. به Binding Tab رفته و كليه گزينه ها بجز TCP/IP Dialup Adapter را غيرفعال نماييد و OK را بزنيد. حال TCP/IP > Dial-up Adapter را انتخاب كنيد و به Properties آن برويد. كليه پيغام هاي خطا را حذف كنيد و دكمه Binding را بزنيد. كليه گزينه ها را در اين قسمت غير فعال نماييد و OK را بزنيد. پيغام خطاي ديگري نمايش داده خواهد شد .اينبار گزيمه NO را انتخاب كنيد. Network Properties را ببنديد و كامپيوترتان را Restart كنيد. اين عمليات Netbios را از TCP/IP مجزا خواهد كرد و شما ديگر نبايد نگران دسترسي به فايلهاي به اشتراك گذارده شده را از طريق اينترنت باشيد.
محدود كردن كاربر guest
كاربران غير مجاز امكان دسترسي به Win2k را با وارد كردن guest در هنگام logon خواهند داشت. براي ازكارانداختن كاربر guest ، user and passwords را در Control Panel باز كنيد. دكمه Advanced را دوبار كليك كنيد تا پنجره Local Users and Groups بازشود. روي كاربر guest دوبار كليك كنيد و آن را Disable نماييد .براي ساخت Userدر بالاي پنجره فوق روي Users كليك كنيد و نام كاربري مورد نظر خود را بسازيد.
رمزگذاري و امنيت درايورها
اگر از سيستم فايل NTFS در Windows 2000 يا NT استفاده مي كنيد قادر به محدودكردن دسترسي كاربران هستيد. براي ايمن سازي درايور كليك راست روي پارتيشن NTFS مورد نظر خود كنيد و Properties انتخاب نماييد. در Properties روي دكمه Security كليك كنيد و دكمه Add را براي نمايش Add Users,computers or groups بزنيددر بالاي پنجره روي كاربراني كه مي خواهيد دسترسي به درايور داشته باشند آمده و Add را بزنيد. اين كار را براي افزودن كاربران بيشتر ادامه دهيد.
مراقب منابع به اشتراك گذارده خود باشيد
روش زير را براي اطمينان از صحت به اشتراك گذاردن منابع كامپيوترتان انجام دهيد.
Windows Explorer را باز كنيدو روي Folder اي كه مايل به اشتراك گذاردن آن هستيد كليك كنيد. حال روي آن راست كليك كنيدو Sharing را انتخاب كنيد تا Properties اين Folder نمايش داده شود. روي share this folder كليك كنيد. در قسمت نام ، نام مورد نظرتان را وارد كنيد و در انتهاي اين نام علامت $ را بزنيد.بطور مثال نام “DOCS$” را مي توانيد بزنيد. اگر مايل هستيد تا مديرتان متني را كه در اين Folder قراردارد بخواند،تنها كافي است مسير درست آن را اعلام كنيد. اين Folder در Browser ويندوز قابل ديدن نيست.
در قسمت Run مدير شما بايد Machine Name \ DOCS$ \\ را تايپ كند. براي اينكه چك كنيد تا Folder مورد نظر درست به اشتراك گذارده شده است مسير فوق را بصورت\\machinname وارد كنيد. اينبار Folder مذكور قابل مشاهده نيست.
ناشر : مهندسي شبكه همكاران سيستم (مشورت)
ايجاد سياستهاي امنيتي
شما با ايجاد User Profile روي PC خود امنيت بيشتري را روي سيستم كامپيوتري خود ايجاد خواهيد كرد. به Control Panel برويد و برروي User Option كليك كنيد و مراحل نصب را كه بصورت Wizard است دنبال كنيد.
اگر از Windows 95 استفاده مي كنيد براي رفتن به قسمت UserProfile بايد Passwords Options را انتخاب كنيد. پس از Restart و Login به ويندوز ، نام و كلمه عبور خود را وارد كنيد كه در اين هنگام ويندوز به شما پيغام ايجاد Profile جديد را مي دهد. حال با ساخت UserProfile قادر به استفاده از System Policy Editor جهت ايجاد محدوديت مورد نظرتان خواهيد شد. قبل از استفاده از Policy Editor ، از Registry و ساير فايلهاي Password دستگاه خود نسخه پشتيبان تهيه نماييد. كامپيوتر خود را Restart نماييد و در قسمت Login دكمه Cancle را انتخاب كنيد. اين عمل بيانگر Setting براي افراد غير مجاز است. Policy Editor را با تايپ Poledit در قسمت Run آغاز كنيد.
به File > Open Registry رفته و روي Local Users دبل كليك كنيد و در اين قسمت گزينه هاي مورد نظر خود را براي محدود كردن دسترسي كاربران انتخاب كنيد. پس از انجام كار Finish را انتخاب نماييد.
تغيير دادن مكان اوليه :
نفوذگران به سيستم و همچنين صفحات اينترنتي مخرب به دنبال يافتن فايلهاي خاص روي مسير هاي از پيش تعيين شده روي سيستم عامل هستند. بطور مثال معمولا ويندوز در شاخه c:\windows نصب مي شود و ساير برنامه هاي جانبي در c:\program Files نصب هستند بنابراين در صورت امكان مسيرهاي ابتدايي را تغيير دهيد . اين عمل باعث خواهد شد تا دسترسي به مسيرهاي پايه اي به دستگاه شما مشكل تر شود.
از كار انداختن Sharing
اگر كامپيوتر شما به شبكه وصل است شما نياز به تنظيم آن براي استفاده از فايل ها و پرينتر به اشتراك گذارده شده داريد بنابراين اگر امكان استفاده از اين منابع به اشتراك گذارده را براي ساير كاربران فراهم نمائيد در عوض قادر خواهيد بود به منابع كامپيوتر ديگران دسترسي داشته باشيد. به عبارت ديگر در صورتي كه داراي يك كامپيوتر مستقل روي شبكه باشيد كه نياز به منابع روي شبكه نداريد و دليلي براي به اشتراك گذاري منابع كامپيوترتان نيست لذا امنيت مفهومي ندارد.
براي جلوگيري از اينگونه دسترسي ها به Control Panel رفته و روي Network Icon دوبار كليك كنيد. ليستي از پروتكل هاي نصب شده روي دستگاهتان نمايش داده خواهد شد كه File and Print sharing for Microsoft Networks هم جزء آنهاست. روي File and print sharing كليك كنيد و آن را برداريد (Remove) و سپس OK را بزنيد. كامپيوتر خود را Restart كنيد تا تغييرات اعمال شوند.
كاربران را مجبور به استفاده از نام كاربري و كلمه عبور نماييد
در ويندوز 9X/Me با فشردن [Esc] يا فشردن كليد Cancel مي توانيد از Login كردن درست در شبكه ممانعت نماييد ( اين حالت در Win 2000/XP وجود ندارد) . بنابراين امكان دسترسي كاربر غير مجاز با روشن كردن كامپيوترتان و عدم Login به اطلاعات موجود دركامپيوترتان وجود دارد لذا ابتدا از ايجاد شدن User Profile براي هر User مطمئن شويد همچنين از فعال بودن گزينه Include Start Menu and Program Groups In User Settings براي هر كاربر مطمئن شويد. كامپيوتر را در حالت SafeMode (با فشردن دكمه [F8] در هنگام Boot شدن و انتخاب گزينه SafeMode ) بالا بياوريد. اين كار خيلي مهم است زيرا در صورتيكه عملي با خطا صورت گرفت به راحتي در اين Mode قادر به رفع آن خواهيد شد. دستور Regedit.exe را در Start > Run اجرا كنيد. در مسير رجيستري HKEY_USERS/Default/Software/Microsoft/Wondows/CurrentVersion/Run در قسمت راست كليك راست كنيد و New String Value را انتخاب كنيد و آن را به Fixlogon تغيير نام دهيد و بالاخره Fixlogon را باز كنيد و دستور rundll.exe user.exe,EXITWINDOWS را مشخص كنيد. كامپيوترتان را reboot نماييد تا اين تغييرات ذخيره شوند. با حذف اين key به حالت قبل از تنظيم باز خواهيد گشت.
فعال سازي نمايش Extention
تنظيم اوليه ويندوز، Extention فايل را نمايش نمي دهد لذا .vbs كه مورد استفاده نرم افزارهاي مخرب است مشخص نخواهد شد. بطور مثال امكان دريافت فايلي بصورت goodimage.jpg.vbs از طريق ايميل وجود دارد كه به دليل نمايش داده نشدن Extention فايل شما اين فايل را بصورت goodimage.jpg دريافت خواهيد كرد و چون .jpg اجرايي نيست شما اين فايل را اجرا خواهيد كرد و باعث نصب يك Script مخرب مجازي خواهيد شد كه داراي كدداخلي بوده و به محث نصب شدن فعال خواهد شد. براي جلوگيري از اين حالت به Exolorer Windows برويد و select Tool > Folder Option را انتخاب كنيد. روي View Tab كليك كنيد و گزينه Hide file extentions for Known file types را ازحالت فعال بودن خارج سازيد.
Updateهاي پايه اي را نصب كنيد
نكته مهم در استفاده از ويندوز عدم توجه به نصب Updateهاي پايه اي آن است. شركت Microsft معمولا از لغت Critical براي Updateهاي مهم و bug Fix ها استفاده مي كند كه لزوم نصب آن ها براي بالابردن امنيت الزامي است لذا به Start Menu رفته و windows update را انتخاب نمائيد. با باز شدن صفحه مربوط به Update قادر خواهيد بود Patchها و update هاي مهم را انتخاب كرده و نصب نمائيد.
Netbios را از TCP/IP جدا كنيد
بطور پيش فرض Netbios به TCP/IP مرتبط است لذا نفوذگران قادر به استفاده از فايلهاي به اشتراك گذارده شده دستگاه شما هستند لذا با جدا سازي Netbios از TCP/IP قادر به محافظت از دستگاه خود خواهيد شد. در ابتدا NetBEUI را به همراه TCP/IP نصب كنيد. حال Dial-up Adapter را كه مورد نياز براي ارتباط به اينترنت است انتخاب نماييد و به قسمت Properties برويد. به Binding Tab رفته و كليه گزينه ها بجز TCP/IP Dialup Adapter را غيرفعال نماييد و OK را بزنيد. حال TCP/IP > Dial-up Adapter را انتخاب كنيد و به Properties آن برويد. كليه پيغام هاي خطا را حذف كنيد و دكمه Binding را بزنيد. كليه گزينه ها را در اين قسمت غير فعال نماييد و OK را بزنيد. پيغام خطاي ديگري نمايش داده خواهد شد .اينبار گزيمه NO را انتخاب كنيد. Network Properties را ببنديد و كامپيوترتان را Restart كنيد. اين عمليات Netbios را از TCP/IP مجزا خواهد كرد و شما ديگر نبايد نگران دسترسي به فايلهاي به اشتراك گذارده شده را از طريق اينترنت باشيد.
محدود كردن كاربر guest
كاربران غير مجاز امكان دسترسي به Win2k را با وارد كردن guest در هنگام logon خواهند داشت. براي ازكارانداختن كاربر guest ، user and passwords را در Control Panel باز كنيد. دكمه Advanced را دوبار كليك كنيد تا پنجره Local Users and Groups بازشود. روي كاربر guest دوبار كليك كنيد و آن را Disable نماييد .براي ساخت Userدر بالاي پنجره فوق روي Users كليك كنيد و نام كاربري مورد نظر خود را بسازيد.
رمزگذاري و امنيت درايورها
اگر از سيستم فايل NTFS در Windows 2000 يا NT استفاده مي كنيد قادر به محدودكردن دسترسي كاربران هستيد. براي ايمن سازي درايور كليك راست روي پارتيشن NTFS مورد نظر خود كنيد و Properties انتخاب نماييد. در Properties روي دكمه Security كليك كنيد و دكمه Add را براي نمايش Add Users,computers or groups بزنيددر بالاي پنجره روي كاربراني كه مي خواهيد دسترسي به درايور داشته باشند آمده و Add را بزنيد. اين كار را براي افزودن كاربران بيشتر ادامه دهيد.
مراقب منابع به اشتراك گذارده خود باشيد
روش زير را براي اطمينان از صحت به اشتراك گذاردن منابع كامپيوترتان انجام دهيد.
Windows Explorer را باز كنيدو روي Folder اي كه مايل به اشتراك گذاردن آن هستيد كليك كنيد. حال روي آن راست كليك كنيدو Sharing را انتخاب كنيد تا Properties اين Folder نمايش داده شود. روي share this folder كليك كنيد. در قسمت نام ، نام مورد نظرتان را وارد كنيد و در انتهاي اين نام علامت $ را بزنيد.بطور مثال نام “DOCS$” را مي توانيد بزنيد. اگر مايل هستيد تا مديرتان متني را كه در اين Folder قراردارد بخواند،تنها كافي است مسير درست آن را اعلام كنيد. اين Folder در Browser ويندوز قابل ديدن نيست.
در قسمت Run مدير شما بايد Machine Name \ DOCS$ \\ را تايپ كند. براي اينكه چك كنيد تا Folder مورد نظر درست به اشتراك گذارده شده است مسير فوق را بصورت\\machinname وارد كنيد. اينبار Folder مذكور قابل مشاهده نيست.
ناشر : مهندسي شبكه همكاران سيستم (مشورت)
