Windows NTچک لیست کشف نفوذ در سیستم عامل
علاوه بر استفاده از نکات مطرح شده در این مقاله بهره گیری از نسخه های به روز رسان و وصله های ارائه شده توسط تولید کنندگان نرم افزار هم باید به صورت مرتب و جدی انجام شود.
الف) ردیابی علائمی که خطرات احتمالی سیستم را نشان می دهند:
۱) Log فایل های ایجاد شده بر روی سیستم را بررسی کنید تا اتصالات به دستگاه از نقاط غیرمعمول و یا فعالیت های غیرمعمول شناسایی شوند. می توان با استفاده از Event Viewer ورود های عجیب به سیستم(Logon)، نقص سرویس ها و یا روشن و خاموش شدن های غیر عادی را بررسی کرد. در صورتی که حفاظ[۱]، خادم وب و یا مسیریاب سیستم فعالیت های جاری خود را بر روی دستگاهی دیگر ثبت می کنند، باید log های ذخیره شده بر روی آن دستگاه ها هم بررسی شود. به خاطر داشته باشید تنها در صورتی این اطلاعات مفید می باشد که فایل های ثبت فعالیت ها فقط قابلیت اضافه کردن داشته باشند. بسیاری از نفوذکنندگان به سیستم ها با ویرایش فایل های log ردپای خود را از روی سیستم پاک می کنند.
۲) کاربران و گروه های عجیب را بررسی کنید. برای این کار می توانید از ابزار User Manager و یا دستورات ‘net user’، ‘net group’ و ‘net localgroup’ بهره بگیرید. اطمینان حاصل کنید شناسه GUEST که به صورت پیش فرض ساخته می شود در صورتی که سیستم به آن نیاز ندارد، غیرفعال باشد.
۳) همه گروه ها را چک کنید که کاربران نامعتبر عضو آنها نباشند. بعضی از گروه های پیش فرضNT اختیارات خاصی را به اعضای خود می دهند. اعضای گروه Administrators می توانند بر روی سیستم محلی هر گونه فعالیتی را انجام دهند. کاربران Backup operator می توانند همه فایل های موجود بر روی سیستم را بخوانند و کاربران PowerUser امکان به اشتراک گذاشتن منابع سیستم را دارند.
۴) حقوق کاربران را بررسی کنید و امکان انجام فعالیت های غیرمنطقی را از آنها بگیرد. برای این کار می توان از Administrative Tools آیکون Local Security Settings را انتخاب کنید. حقوق مختلفی که می توان به کاربران و گروه های مختلف داد در بخش User Rights Assignment قابل مشاهده می باشد. ۲۷ حق مختلف وجود دارد که قابل تخصیص دادن به کاربران و گروه های کاربری می باشد. پیکربندی پیش فرض حقوق کاربران معمولا امنیت مناسبی را داراست.
۵) از عدم اجرای برنامه های غیر مجاز اطمینان حاصل کنید. یک نفوذگر می تواند با استفاده از روش های متنوعی یک برنامه درپشتی را اجرا کند. بنابراین از موارد زیر مطمئن شوید:
▪ پوشه های Startup موجود بر روی دستگاه را بررسی کنید. دقت کنید که دو پوشه Startup وجود دارد که یکی مربوط به کاربر محلی است و دیگری به همه کاربران ارتباط دارد. در زمان ورود یک کاربر به سیستم همه برنامه های کاربردی موجود در “All Users” و پوشه Startup کاربران اجرا می شوند. بازرسی دقیق همه پوشه های Startup برای کشف برنامه های مشکوک ضروری است.
▪ رجیستری سیستم را چک کنید. لیست زیر نقاطی که باید در رجیستری مورد بررسی قرار گیرند را نشان می دهد:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlSession ManagerKnownDLLs
HKEY_LOCAL_MACHINESystemControlSet۰۰۱ControlSession ManagerKnownDLLs
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRunOnceEx
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindows ("run=" line)
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionRunOnceEx
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows ("run=" value)
دستورات زیر که می توان آنها را در یک فایل دسته ای قرار داد برای جمع آوری اطلاعات در مورد سرویس هایی که در حال اجرا هستند مفید هستند. خروجی این برنامه شامل کلید سرویس ها، مقدار پارامتر Startup و فایل اجرایی سرویس می باشد. این برنامه از دستور REG.EXE استفاده می کند که بخشی از NT Resource Kit می باشد. اجرای این برنامه باعث تغییر محتویات رجیستری و یا فایل ها نمی شود.
● @echo off
REM The delims parameter of PULLINFO۱ and PULLINFO۲ should be a single TAB.
for /f "tokens=۱ delims=[]" %%I in reg query HKLMSYSTEMCurrentControlSetServices) do
call :PULLINFO۱ %%I
set START_TYPE=
▪ goto :EOF
▪ :PULLINFO۱
for /f "tokens=۳ delims= " %%I in (reg query
HKLMSYSTEMCurrentControlSetServices%۱ ^| findstr "Start" &#۰۳۹;) do call :PULLINFO۲ %۱ %%I
▪ goto :EOF
▪ :PULLINFO۲
for /f "tokens=۳,۴ delims= " %%I in (reg query HKLMSYSTEMCurrentControlSetServices%۱
^| findstr "ImagePath" ) do call :SHOWINFO %۱ %۲ %%I %%J
▪ goto :EOF
▪ :SHOWINFO
if /i {%۲}=={۰} set START_TYPE=Boot
if /i {%۲}=={۱} set START_TYPE=System
if /i {%۲}=={۲} set START_TYPE=Automatic
if /i {%۲}=={۳} set START_TYPE=Disabled
if not "%۴" == "" (echo %۱ %START_TYPE% %۳%۴) else (echo %۱ %START_TYPE% %۳)
goto :EOF
منبع:www.aftabir.com
ارسال توسط کاربر محترم سایت :mohamadaminsh
/ج