IRCERT - مقالات - Windows NTقسمت اول-چک ليست کشف نفوذ در سيستم عامل

صفحه اول > مقالات

چک ليست کشف نفوذ در سيستم عامل Windows NT
(قسمت اول)

اين مقاله به صورت کلي گام هايي را بيان مي کند که براي تشخيص به خطر افتادن سيستم عامل Windows NT مورد استفاده قرار مي گيرند. مديران سيستم مي توانند از اين اطلاعات بهره گرفته و نفوذ هاي احتمالي به سيستم هايي که از اين سيستم عامل بهره مي گيرند را رديابي کنند. مطالعه همه بخش هاي اين مقاله براي مديراني که مايل به شناسايي نقاط ضعف سيستم هاي خود هستند مفيد است.

علاوه بر استفاده از نکات مطرح شده در اين مقاله بهره گيري از نسخه هاي به روز رسان و وصله هاي ارائه شده توسط توليد کنندگان نرم افزار هم بايد به صورت مرتب و جدي انجام شود.

الف. رديابي علائمي که خطرات احتمالي سيستم را نشان مي دهند:

۱- Log فايل هاي ايجاد شده بر روي سيستم را بررسي کنيد تا اتصالات به دستگاه از نقاط غيرمعمول و يا فعاليت هاي غيرمعمول شناسايي شوند. مي توان با استفاده از Event Viewer ورود هاي عجيب به سيستم(Logon)، نقص سرويس ها و يا روشن و خاموش شدن هاي غير عادي را بررسي کرد. در صورتي که حفاظ[1]، خادم وب و يا مسيرياب سيستم فعاليت هاي جاري خود را بر روي دستگاهي ديگر ثبت مي کنند، بايد log هاي ذخيره شده بر روي آن دستگاه ها هم بررسي شود. به خاطر داشته باشيد تنها در صورتي اين اطلاعات مفيد مي باشد که فايل هاي ثبت فعاليت ها فقط قابليت اضافه کردن داشته باشند. بسياري از نفوذکنندگان به سيستم ها با ويرايش فايل هاي log ردپاي خود را از روي سيستم پاک مي کنند.

۲- کاربران و گروه هاي عجيب را بررسي کنيد. براي اين کار مي توانيد از ابزار User Manager و يا دستورات ‘net user’، ‘net group’ و ‘net localgroup’ بهره بگيريد. اطمينان حاصل کنيد شناسه GUEST که به صورت پيش فرض ساخته مي شود در صورتي که سيستم به آن نياز ندارد، غيرفعال باشد.

۳- همه گروه ها را چک کنيد که کاربران نامعتبر عضو آنها نباشند. بعضي از گروه هاي پيش فرضNT اختيارات خاصي را به اعضاي خود مي دهند. اعضاي گروه Administrators مي توانند بر روي سيستم محلي هر گونه فعاليتي را انجام دهند. کاربران Backup operator مي توانند همه فايل هاي موجود بر روي سيستم را بخوانند و کاربران PowerUser امکان به اشتراک گذاشتن منابع سيستم را دارند.

۴- حقوق کاربران را بررسي کنيد و امکان انجام فعاليت هاي غيرمنطقي را از آنها بگيرد. براي اين کار مي توان از Administrative Tools آيکون Local Security Settings را انتخاب کنيد. حقوق مختلفي که مي توان به کاربران و گروه هاي مختلف داد در بخش User Rights Assignment قابل مشاهده مي باشد. ۲۷ حق مختلف وجود دارد که قابل تخصيص دادن به کاربران و گروه هاي کاربري مي باشد. پيکربندي پيش فرض حقوق کاربران معمولا امنيت مناسبي را داراست.

۵- از عدم اجراي برنامه هاي غير مجاز اطمينان حاصل کنيد. يک نفوذگر مي تواند با استفاده از روش هاي متنوعي يک برنامه درپشتي را اجرا کند. بنابراين از موارد زير مطمئن شويد:

· پوشه هاي Startup موجود بر روي دستگاه را بررسي کنيد. دقت کنيد که دو پوشه Startup وجود دارد که يکي مربوط به کاربر محلي است و ديگري به همه کاربران ارتباط دارد. در زمان ورود يک کاربر به سيستم همه برنامه هاي کاربردي موجود در “All Users” و پوشه Startup کاربران اجرا مي شوند. بازرسي دقيق همه پوشه هاي Startup براي کشف برنامه هاي مشکوک ضروري است.

· رجيستري سيستم را چک کنيد. ليست زير نقاطي که بايد در رجيستري مورد بررسي قرار گيرند را نشان مي دهد:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDLLs

HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Session Manager\KnownDLLs

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunOnceEx

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows ("run=" line)

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\RunOnceEx

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows ("run=" value)

· سيستم را براي شناسايي سرويس هاي نامعتبر مورد بازرسي قرار دهيد. برخي از برنامه هاي درپشتي خود را به عنوان سرويس بر روي دستگاه نصب کرده و در زمان روشن شدن دستگاه فعال مي شوند. در چنين شرايطي سرويس مي تواند با استفاده از حق “Logon as Service” به عنوان هر يک از کاربران سيستم اجرا شود. سرويس هايي که به صورت خودکار آغاز مي شوند را بررسي کنيد و از ضرورت وجود آنها اطمينان حاصل کنيد. علاوه بر اين مطمئن شويد که فايل اجرايي سرويس اسب تروا و يا برنامه در پشتي نيست.

دستورات زير که مي توان آنها را در يک فايل دسته اي قرار داد براي جمع آوري اطلاعات در مورد سرويس هايي که در حال اجرا هستند مفيد هستند. خروجي اين برنامه شامل کليد سرويس ها، مقدار پارامتر Startup و فايل اجرايي سرويس مي باشد. اين برنامه از دستور REG.EXE استفاده مي کند که بخشي از NT Resource Kit مي باشد. اجراي اين برنامه باعث تغيير محتويات رجيستري و يا فايل ها نمي شود.

@echo off

REM The 'delims' parameter of PULLINFO1 and PULLINFO2 should be a single TAB.

for /f "tokens=1 delims=[]" %%I in ('reg query HKLM\SYSTEM\CurrentControlSet\Services') do

 call :PULLINFO1 %%I

set START_TYPE=

goto :EOF

:PULLINFO1

for /f "tokens=3 delims=           " %%I in ('reg query

 HKLM\SYSTEM\CurrentControlSet\Services\%1 ^| findstr "Start" ') do call :PULLINFO2 %1 %%I

goto :EOF

:PULLINFO2

for /f "tokens=3,4 delims= " %%I in ('reg query HKLM\SYSTEM\CurrentControlSet\Services\%1

 ^| findstr "ImagePath" ') do call :SHOWINFO %1 %2 %%I %%J

goto :EOF

:SHOWINFO

if /i {%2}=={0} set START_TYPE=Boot

if /i {%2}=={1} set START_TYPE=System

if /i {%2}=={2} set START_TYPE=Automatic

if /i {%2}=={3} set START_TYPE=Disabled

if not "%4" == "" (echo %1 -%START_TYPE%- %3\%4) else (echo %1 -%START_TYPE%- %3)

goto :EOF

ساير نکات ضروري براي تامين امنيت سيستم عامل Windows NT در بخش هاي بعدي از اين مجموعه مقالات ارائه خواهد شد.

[1]- Firewall