امنيت نامه های الکترونيکی

patch امنيتی ارائه شده در پيشگيری اول، باعث حفاظت سيستم در مقابل ويروس هائی نظير ILOVEYOU ، در outlook 98 و outlook 2000 می گردد . متاسفانه روش مشابهی بمنظور استفاده در outlook Express ، وجود ندارد. بمنظور حفاظت سيستم در مقابل نامه های الکترونيکی که دارای عملکردی نظير ILOVEYOU می باشند ، می توان از روشی ديگر در outlook express استفاده کرد. بدين منظورمی توان تغييراتی را در سطح برنامه هائی که مسئول فعال نمودن فايل مورد نظر
جمعه، 6 دی 1387
تخمین زمان مطالعه:
موارد بیشتر برای شما
امنيت نامه های الکترونيکی
امنيت نامه های الکترونيکی
امنيت نامه های الکترونيکی

تغيير فايل مرتبط و يا غير فعال نمودن WSH

patch امنيتی ارائه شده در پيشگيری اول، باعث حفاظت سيستم در مقابل ويروس هائی نظير ILOVEYOU ، در outlook 98 و outlook 2000 می گردد . متاسفانه روش مشابهی بمنظور استفاده در outlook Express ، وجود ندارد. بمنظور حفاظت سيستم در مقابل نامه های الکترونيکی که دارای عملکردی نظير ILOVEYOU می باشند ، می توان از روشی ديگر در outlook express استفاده کرد. بدين منظورمی توان تغييراتی را در سطح برنامه هائی که مسئول فعال نمودن فايل مورد نظر( File Associations ) می باشند ، اعمال نمود. کرم ILOVEYOU ، از طريق يک فايل اسکريپت ويژوال بيسيک ( vbs .) ، که توسط ميزبان اسکريپت ويندوز (Windows Scripting Host :WSH ) تفسير می گردد ، فعال خواهد شد. در حقيقت WSH محيط ( شرايط) لازم برای ILOVEYOU را فراهم می نمايد. اعمال محدوديت در رابطه با WSH و يا تغيير در فايل پيش فرض مربوطه ای که مسئول برخورد( نمايش ، ايجاد شرايط اجراء) با فايل مورد نظر می باشد ، می تواند يک سطح مناسب امنيتی را در رابطه با ضمائم نامه های الکترونيکی که حاوی کدهای مخرب می باشند ، فراهم می نمايد. در اين رابطه از راهکارهای متفاوتی می توان استفاده کرد .
روش اول : يکی از روش های پيشگيری موثر در مقابل اين نوع از حملات ، تغيير واکنش پيش فرض در زمانی است که کاربر باعث فعال شدن اينچنين فايل های می گردد ( double click بر روی فايلی با انشعاب vbs . ) .در ويندوز NT ، اين عمليات از طريق Windows Explorer و بصورت زير انجام می شود.

View | Folder Options  ==>
Select VBScript Script File ==> Click Edit ==> Highlight Edit ==> Click Set Default

پس از اعمال تغييرات فوق ، در صورتيکه کاربری فايلی ضميمه با انشعاب vbs . را فعال نمايد ، فايل مورد نظر توسط WSH اجراء نخواهد شد ، در مقابل ، فايل فوق ، بدون نگرانی توسط اديتور پيش فرض ( معمولا" notepad ) ، فعال و نمايش داده خواهد شد. فرآيند فوق را می توان به فايل های ديگر نيز تعميم داد. فايل هائی که دارای يکی از انشعابات زير باشند ، توسط WSH فعال خواهند شد . بنابراين می توان تغييرات لازم را مطابق آنچه اشاره گرديد ، در رابطه با آنها نيز اعمال نمود.

WSC , WSH ,WS ,WSF,VBS,VBE,JS,JSE

روش ارائه شده در رابطه با outlook Express بخوبی کار خواهد کرد . در اين راستا ، لازم است به اين مسئله مهم اشاره گردد که تضمينی وجود ندارد که سرويس گيرندگان پست الکترونيکی از تنظيمات پيش فرض، زمانيکه کاربر يک فايل ضميمه را فعال می نمايد، استفاده نمايند . مثلا" زمانيکه يک فايل ضميمه vbs. ، توسط Netscape messenger فعال می گردد ، کاربر دارای گزينه های open و يا Save خواهد بود. در صورتيکه کاربر گزينه open را انتخاب نمايد ، کد مورد نظر صرفنظر از تنظيمات پيش فرض فعال خواهد شد.( ناديده گرفتن تنظيمات پيش فرض )
روش دوم : راهکار ديگری که می توان بکمک آن باعث پيشگيری از بروز چنين مسائلی گرديد ، غير فعال نمودن WSH است . برای انجام عمليات فوق ( غير فعال نمودن WSH ) می بايست برنامه های ويندوز را که باعث حمايت و پشتيبانی از اجراء اسکريپت ها می گردند ( برنامه های wscript.exe و csscript ) را تغيير نام داد .در سيستم هائی شامل ويندوزNT ، اين فايل ها در مسير %System%\System32 ، قرار دارند( معمولا" C:\Winnt\System32 ) . بمنظور تغيير نام فايل های فوق ، بهتر است از طريق خط دستور ( command prompt) اين کار انجام شود. در برخی از نسخه های سيستم عامل، بموازات تغيير نام فايل مرتبط با يک نوع حاص از فايل ها ، بصورت اتوماتيک برنامه مرتبط با آنان به نام جديد تغيير داده خواهد شد. بدين ترتيب تغيير اعمال شده هيچگونه تاثير مثبتی را از لحاظ امنيتی بدنبال نخواهد داشت .
روش سوم : گزينه سوم در خصوص غير فعال نمودن WSH ، تغيير مجوز فايل ( File Permission ) در رابطه با فايل های Wscript.exe و CSscript.exe است . روش فوق ، نسبت به دو روش اشاره شده ، ترجيح داده می شود. در چنين مواردی امکان استفاده از پتانسيل های WSH برای مديران سيستم وجود داشته در حاليکه امکان استفاده از پتانسيل فوق از کاربران معمولی سلب می گردد .
لازم است به اين نکته مهم اشاره گردد که با اينکه پيشگيری فوق ، در رابطه با کرم هائی نظير ILOVEYOU و موارد مشابه موثرخواهد بود ، ولی نمی تواند تمام ريسک های مربوط در اين خصوص و در رابطه با ساير فايل ها ئی که ممکن است شامل کدهای اسکريپت باشند را حذف نمايد. در اين رابطه می توان به فايل های با انشعاب exe . ، اشاره نمود. اين نوع فايل ها دارای نقشی حياتی در رابطه با انجام عمليات بر روی يک کامپيوتر بوده و نمی توان آنها را غير فعال نمود . بدين ترتيب متجاوزان اطلاعاتی می توانند از اين نوع فايل ها ، بعنوان مکانيزمی جهت توزيع کدهای مخرب ، استفاده نمايند .

حفاظت ماکروهای آفيس و آموزش کاربران

ماکروسافت در رابطه با حفاظت در مقابل فايل های ضميمه حاوی کدهای مخرب از طريق ساير برنامه های جانبی، نيز تدابيری انديشيده است . مثلا" با اينکه patch امنيتی ارائه شده در پيشگيری اول ، بصورت پيش فرض در رابطه با ماکروهای word موثر واقع نمی شود ، ولی در بطن اين نوع نرم افزارها امکانات خاصی قرار گرفته شده است که می توان بکمک آنان ، يک سطح امنيتی اوليه در رابطه با فعال شدن ماکروها را اعمال نمود. مثلا" آفيس 97 ، گزينه اختياری حفاظت ماکرو را ارائه که می توان بکمک آن يک لايه حفاظتی را در رابطه با عملکرد ماکروها ، ايجاد نمود. در چنين مواردی به کاربران پيامی ارائه و کاربران می توانند قبل از فعال شدن ماکرو در رابطه با آن تصميم گيری نمايند ( ارائه پاسخ مناسب توسط کاربران ) . لازم است در اين خصوص به کاربران آموزش های ضروری و مستمر در رابطه با خطرات احتمالی عدم رعايت اصول اوليه امنيتی خصوصا" در رابطه با دريافت نامه های الکترونيکی از منابع غيرمطمئن داده شود . گزينه فوق را می توان از طريق Tools|options|General| Enable macro virus protection ، فعال نمود. آفيس 2000 و XP وضعيت فوق را بهبود و می توان تنظيمات لازم در خصوص اجرای ماکروهای دريافتی از يک منبع موثق و همراه با امضاء ديجيتالی را انجام داد . در word , Powerpoint .Excel می توان ، گزينه فوق را از طريق Tools|macro|Security ، استفاده و تنظيمات لازم را انجام داد. با انتخاب گزينه High ، حداکثر ميزان حفاظت ، در نظر گرفته خواهد شد.

نمايش و انشعاب فايل

يکی از روش متداول بمنظور ايجاد مصونيت در مقابل فايل های حاوی کدهای مخرب ، تبديل فايل فوق به فايلی بی خاصيت ( عدم امکان اجراء) است . بدين منظور می توان از يک انشعاب فايل اضافه استفاده نمود .(مثلا" فايل : ILOVYOU.TXT.VBS) . در صورتيکه ويندوز برای نمايش اين نوع فايل ها ( با در نظر گرفتن انشعاب فايل ها ) ، پيکربندی نشده باشد ، فايل فوق بصورت يک فايل متن تفسير خواهد شد. ( ILOVEYOU.TXT ) . بمنظور پياده سازی روش فوق می بايست دو فاز عملياتی را دنبال نمود : در اولين مرحله می بايست به ويندوز اعلام گردد که انشعاب فايل ها را از طريق Windows Explorer ، نمايش دهد . ( انتخاب Options|View و غير فعال نمودن Hide file extensions for known file types ) . متاسفانه برای برخی فايل های خاص که می توانند شامل عناصر اجرائی و يا اشاره گری به آنان باشند ، تنظيم فوق ، تاثيری را بدنبال نداشته و در اين رابطه لازم است کليد های ريجستری زير ، بمنظور پيکربندی ويندوز برای نمايش انشعاب اين نوع از فايل ها ، حذف گردد ( مرحله دوم).

 

انشعاب فايل

کليد ريجستری

توضيحات

.lnk

HKEY_CLASSES_ROOT\lnkfile\NeverShowExt

Shortcut

.pif

HKEY_CLASSES_ROOT\piffile\NeverShowExt

Program information file
(shortcut to a DOS program)

.scf

HKEY_CLASSES_ROOT\SHCmdFile\NeverShowExt

Windows Explorer
Command file

.shb

HKEY_CLASSES_ROOT\DocShortcut\NeverShowExt

Shortcut into a document

.shs

HKEY_CLASSES_ROOT\ShellScrap

Shell Scrap Object

.xnk

HKEY_CLASSES_ROOT\xnkfile\NeverShowExt

Shortcut to an Exchange
folder

.url

HKEY_CLASSES_ROOT\InternetShortcut\NeverShowExt

Internet shortcut

.maw

HKEY_CLASSES_ROOT\Access.Shortcut.DataAccessPage.1\NeverShowExt

Shortcuts to elements of an MS Access database.
Most components of an Access database can containan executable component.

.mag

HKEY_CLASSES_ROOT\Access.Shortcut.Diagram.1\NeverShowExt

.maf

HKEY_CLASSES_ROOT\Access.Shortcut.Form.1\NeverShowExt

.mam

HKEY_CLASSES_ROOT\Access.Shortcut.Macro.1\NeverShowExt

.mad

HKEY_CLASSES_ROOT\Access.Shortcut.Module.1\NeverShowExt

.maq

HKEY_CLASSES_ROOT\Access.Shortcut.Query.1\NeverShowExt

.mar

HKEY_CLASSES_ROOT\Access.Shortcut.Report.1\NeverShowExt

.mas

HKEY_CLASSES_ROOT\Access.Shortcut.StoredProcedure.1\NeverShowExt

.mat

HKEY_CLASSES_ROOT\Access.Shortcut.Table.1\NeverShowExt

.mav

HKEY_CLASSES_ROOT\Access.Shortcut.View.1\NeverShowExt

از Patch های بهنگام شده، استفاده گردد

اغلب حملات مبتنی بر اينترنت از نقاط آسيب پذير يکسانی بمنظور نيل به اهداف خود استفاده می نمايند . ويروس Bubbleboy ، نمونه ای مناسب در اين زمينه بوده که تهيه کننده آن از نفاط آسيب پذير شناخته شده در مرورگر اينترنت ( IE ) ، استفاده کرده است . ماکروسافت بمنظور حل مشکل اين نوع از نقاط آسيب پذير در محصولات خود خصوصا" برنامه مرورگر اينترنت ، patch های امنيتی خاصی را ارائه نموده است . با توجه به امکان بروز حوادث مشابه و بهره برداری از نقاط آسيب پذير در محصولات نرم افزاری استفاده شده ، خصوصا" نرم افزارهائی که بعنوان ابزار ارتباطی در اينترنت محسوب می گردند ، پيشنهاد می گردد که patch های ارائه شده را بر روی سيستم خود نصب تا حداقل از بروز حوادث مشابه قبلی بر روی سيستم خود جلوگيری نمائيم .

محصولات آنتی ويروس

اغلب محصولات تشخيص ويروس های کامپيوتری، عمليات تشخيص خود را بر اساس ويروس های شناخته شده ، انجام خواهند داد . بنابراين اينگونه محصولات همواره در مقابل حملات جديد و نامشخص ، غيرموثر خواهند بود. محصولات فوق ، قادر به برخورد و پيشگيری از تکرار مجدد ، حملات مشابه تهاجمات سابق می باشند. برخی از محصولات آنتی ويروس ، امکان بلاک نمودن ضمائم نامه های الکترونيکی را در سطح سرويس دهنده پست الکترونيکی فراهم می نمايند. پتانسيل فوق می تواند عاملی مهم بمنظور بلاک نمودن ضمائم نامه های الکترونيکی حاوی کدهای مخرب قبل از اشاعه آنان باشد .
رعايت و پايبندی به اصل " کمترين امتياز "
" کمترين امتياز " ، يک رويکرد پايه در رابطه با اعمال امنيت در کامپيوتر است . بر اين اساس توصيه می شود که به کاربران صرفا" امتيازاتی واگذار گردد که قادر به انجام عمليات خود باشند . کدهای مخرب بمنظور تحقق اهداف خود به يک محيط ، نياز خواهند داشت . محيط فوق ، می تواند از طريق اجرای يک برنامه توسط يک کاربر خاص بصورت ناآگاهانه ايجاد گردد. در اين رابطه پيشنهاد می گردد ، پس از آناليز نوع فعاليت هائی که هر کاربر می بايست انجام دهد ، مجوزها ی لازم برای وی تعريف و از بذل و بخشش مجوز در اين رابطه می بايست جدا" اجتناب ورزيد.

امنيت سيستم عامل

حفاظت در مقابل کدهای مخرب می تواند به ميزان قابل محسوسی از طريق کليدهای اساسی سيستم ، کنترل و بهبود يابد. در اين راستا از سه رويکرد خاص استفاده می گردد : حفاظت عناصر کليدی در ريجستری سيستم ، ايمن سازی اشياء پايه و محدوديت در دستيابی به دايرکتوری سيستم ويندوز NT . در ادامه به بررسی هر يک از رويکردهای فوق ، خواهيم پرداخت .

پيشگيری نهم - رويکرد اول : ايمن سازی ريجستری سيستم

کرم ILOVEYOU از مجوزهای ضعيف نسبت داده شده به کليدهای ريجستری RUN و RUNSERVICES ، استفاده و اهداف خود را تامين نموده است . مجوزهای دستيابی پيش فرض در رابطه با کليدهای فوق ، امکان تغيير محتويات و يا حتی ايجاد محتويات جديد را در اختيار کاربران قرار می دهد.مثلا" می توان با اعمال تغييراتی خاص در رابطه با کليدهای فوق ، زمينه اجرای اسکريپت های خاصی را پس از ورود کاربران به شبکه و اتصال به سرويس دهنده بصورت تکراری فراهم نمود . ( پس از ورود کاربران به شبکه ، اسکريپت ها بصورت اتوماتيک اجراء خواهند شد ) . بدين منظور پيشنهاد می گردد که مجوزهای مربوط به کليدهای فوق بصورت جدول زير تنظيم گردد : ( پيشنهادات ارائه شده شامل کليدهای اساسی و مشخصی است که توسط ILOVEYOU استفاده و علاوه بر آن کليدهای اضافه ديگر را نيز شامل می شود) :

مجوزهای پيشنهادی

User/ Groups

کليد ريجستری

FullControl
Read, Write, Execute
Full Control
Full Control

Administrators
Authenticated Users
CREATOROWNER
SYSTEM

MACHINE\SOFTWARE\Microsoft\Windows
کليدها و زير کليدها
پارامترهای استفاده شده توسط زير سيستم های win32

FullControl
Read, Execute
Full Control

Administrators
Authenticated Users
SYSTEM

\MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
کليدها و زير کليدها
شامل اسامی امورد نظر که در هر مرتبه راه اندازی سيستم ، اجراء خواهند شد.

FullControl
Read, Execute
Full Control

Administrators
Authenticated Users
SYSTEM

\MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunOnce
کليدها و زير کليدها
شامل نام برنامه ای که در اولين مرتبه ورود به شبکه کاربر ، اجراء می گردد.

FullControl
Read, Execute
Full Control

Administrators
Authenticated Users
SYSTEM

\MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunOnceEx
کليدها و زير کليدها
شامل اطلاعات پيکربندی برای برخی از عناصر سيستم و مرورگر. عملکرد آنان مشابه کليد RunOnceاست.

FullControl
Read, Execute
Full Control
Full Control

Administrators
Authenticated Users
CREATOROWNER
SYSTEM

\MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Shell Extensions
کليدها و زير کليدها
شامل تمام تنظيمات Shell Extebsionکه از آنان بمنظور توسعه اينترفيس ويندوز NTاستفاده می گردد.

بمنظور اعمال محدوديت در دستيابی به ريجستری ويندوز از راه دور ، پيشنهاد می گردد يک کليد ريجستری ايجاد و مقدار آن مطابق زير تنظيم گردد :

Hive: HKEY_LOCAL_MACHINE
Key: \System\CurrentControlSet\Control\SecurePipeServers\winreg
Name: RestrictGuestAccess
Type: REG_DWORD
Value: 1

رويکرد دوم : ايمن سازی اشياء پايه

ايمن سازی اشياء پايه باعث ممانعت کدهای مخرب در ابطه با اخذ مجوزها و امتيازات مديريتی توسط يک ( DLL(Dynamic lonk Library می گردد . بدون پياده سازی سياست امنيتی فوق ، کدها ی مخرب قادر به استقرار در حافظه و لود نمودن فايلی با نام مشابه بعنوان يک DLL سيستم و هدايت برنامه به آن خواهند بود. در اين راستا لازم است ، با استفاده از برنامه ويرايشگر ريجستری ، يک کليد ريجستری ايجاد و مقدار آن مطابق زير تنظيم گردد :

Hive: HKEY_LOCAL_MACHINE
Key: \System\CurrentControlSet\Control\Session Manager
Name: AdditionalBaseNamedObjectsProtectionMode
Type: REG_DWORD
Value: 1

رويکرد سوم : ايمن سازی دايرکتوری های سيستم

کاربران دارای مجوز لازم در خصوص نوشتن در دايرکتوری های سيستم ( winnt/system32 و winnt/system ) می باشند . کرم ILOVEYOU از وضعيت فوق ، استفاده و اهداف خود را دنبال نموده است . پيشنهاد می گردد ، کاربران تائيد شده صرفا" دارای مجوز Read دررابطه با دايرکتوری های و فايل ها ی مربوطه بوده و امکان ايجاد و يا نوشتن در دايرکتوری های سيستم، از آنها سلب گردد. در اين رابطه ، تنظيمات زير پيشنهاد می گردد :

مجوزهای پيشنهادی

User/ Groups

فايل / فولدر

FullControl
Read, Execute
Full Control
Full Control

Administrators
Authenticated Users
CREATOROWNER
SYSTEM

%WINNT%
فايل ها ، فولدرها
شامل تعداد زيادی از فايل های اجرائی سيستم عامل

FullControl
Read, Execute
Full Control
Full Control

Administrators
Authenticated Users
CREATOROWNER
SYSTEM

%WINNT/SYSTEM%
فايل ها ، فولدرها
شامل تعداد زيادی از فايل های DLL، درايور و برنامه های اجرائی 

FullControl
Read, Execute
Full Control
Full Control

Administrators
Authenticated Users
CREATOROWNER
SYSTEM

%WINNT/SYSTEM32%
فايل ها ، فولدرها
شامل تعداد زيادی از فايل های DLL، درايور و برنامه های اجرائی  ( برنامه های سی و دو بيتی )





نظرات کاربران
ارسال نظر
با تشکر، نظر شما پس از بررسی و تایید در سایت قرار خواهد گرفت.
متاسفانه در برقراری ارتباط خطایی رخ داده. لطفاً دوباره تلاش کنید.
مقالات مرتبط
موارد بیشتر برای شما
رستوران و کافه نزدیک هتل لیلیوم کیش
رستوران و کافه نزدیک هتل لیلیوم کیش
فراخوان شصت و سومین سال جایزه (نخبگانی) سال 1404
فراخوان شصت و سومین سال جایزه (نخبگانی) سال 1404
حمله هوایی ارتش اسرائیل به یک خودرو در غزه
play_arrow
حمله هوایی ارتش اسرائیل به یک خودرو در غزه
رهبر انقلاب: روزی بخواهیم اقدام بکنیم احتیاجی به نیروی نیابتی نداریم
play_arrow
رهبر انقلاب: روزی بخواهیم اقدام بکنیم احتیاجی به نیروی نیابتی نداریم
رهبر انقلاب: فردای منطقه به لطف الهی از امروز بهتر خواهد بود
play_arrow
رهبر انقلاب: فردای منطقه به لطف الهی از امروز بهتر خواهد بود
نقشه شوم آمریکا برای جهان به روایت رهبر انقلاب
play_arrow
نقشه شوم آمریکا برای جهان به روایت رهبر انقلاب
پزشکیان: حضور زنان در آینده کشور مؤثر تر از من است که اینجا ایستاده‌ام
play_arrow
پزشکیان: حضور زنان در آینده کشور مؤثر تر از من است که اینجا ایستاده‌ام
اهدای جوایز به زنان موفق در مراسم آیین تجلیل از مقام زن
play_arrow
اهدای جوایز به زنان موفق در مراسم آیین تجلیل از مقام زن
رهبر انقلاب: مداحی یک رسانه تمام عیار است
play_arrow
رهبر انقلاب: مداحی یک رسانه تمام عیار است
رهبر انقلاب: مهم‌ترین کار حضرت زهرا(س) تبیین بود
play_arrow
رهبر انقلاب: مهم‌ترین کار حضرت زهرا(س) تبیین بود
سرود جمعی با اجرای نوشه‌ور در حسینیه امام خمینی(ره)
play_arrow
سرود جمعی با اجرای نوشه‌ور در حسینیه امام خمینی(ره)
مدیحه سرایی احمد واعظی در محضر رهبر انقلاب
play_arrow
مدیحه سرایی احمد واعظی در محضر رهبر انقلاب
مداحی اتابک عبداللهی به زبان آذری در حسینیه امام خمینی
play_arrow
مداحی اتابک عبداللهی به زبان آذری در حسینیه امام خمینی
مداحی مهدی ترکاشوند به زبان لری در محضر رهبر انقلاب
play_arrow
مداحی مهدی ترکاشوند به زبان لری در محضر رهبر انقلاب
خطر تخریب یکی از بزرگترین مساجد دوران قاجار
play_arrow
خطر تخریب یکی از بزرگترین مساجد دوران قاجار