ورود به Windows XP بدون داشتن Password (شماره 90)

توجه: هدف از این نوشته ها افزایش اطلاعات کاربران در سطوح مقدماتی و متوسط با برخی از مسائل مهم امنیت رایانه ها و اینترنت است به گونه ای که وی بتواند برخی از رایج ترین اشتباهاتی که در استفاده و یا پیکربندی ویندوز و اینترنت صورت می گیرد را شناسایی وبرطرف سازد . فراموش نکنید که شما باید پیش از آزمایش هر کدام از موارد ذیل روی یک رایانه ، از صاحب آن ( و در مواردی که از طریق اینترنت عمل می شود، همچنین از ISP خود ) اجازه لازم را اخذ کنید.

در این قسمت با یک راهبرد عملی برای نفوذ آشنا می شویم که لازمه آن دسترسی داشتن به رایانه روشن دارای ویندوزXP است و مباحث تئوری را فقط در حد نیاز بررسی می کنیم.
در ویندوزXP علاوه بر کابرانی که شما تعریف می کنید، کاربر دیگری به نام Administrator وجود دارد که نه تنها در لیست کاربران صفحه ورود به ویندوز نشان داده نمی شود ، بلکه اگر با استفاده از گزینه User Accounts موجود در Control Panel هم لیست کاربران سیستم را مشاهده کنید،اسمی از آن برده نشده است . همین امر سبب می شود که به احتمال قوی اگر شما رمز این کاربر را به نحوی تغییر دهید و بتوانید از طریق آن وارد سیستم شوید ، تا مدتها کسی از این موضوع باخبر نشود و بتوانید با استفاده از این کاربر چه از راه دور واز طریق اینترنت (که در جای خود شرح داده خواهد شد ) وچه به طور محلی وارد آن رایانه شوید واز آنجایی که این کاربر بالاترین حق های دسترسی به تمام پوشه ها و تنظیمات را دارد. نفوذی از این کامل تر متصور نخواهد بود. ابتدا برای آشنایی با محیط ورود به ویندوز XP ، اگر روی سیستم خود تنها یک کاربر دارید، با استفاده از گزینه Accounts User موجود در Control Panel و انتخاب a new account Create دو کاربر یکی ازنوع L I m I t e d و دیگری از نوع Computer Administrator بسازید (بر خلاف ظاهرامر ، XP از تمام انواع کاربرانی که ویندوز 2000 داشت هم پشتیبانی می کند ، اما در اینجا فقط همین دو حالت را نمایش می دهد ) به این صورت که ابتدا نام کاربر را وارد می کنید و سپس نوع آن را انتخاب و کلید Create account را فشار می دهید . کمی با تنظیمات این قسمت کار کنید تا بتوانیدبه راحتی کاربر بسازید ، رمز عبور و مشخصاتش را تغییر دهید و یا آنرا حذف کنید . حال سیستم را مجددا راه اندازی کنید. این بار با صحفه ای مواجه می شوید که نام کاربران مختلف سیستم شما را نشان می دهد تا بتواند با استفاده از هر کدام که تمایل داشتید وارد سیستم شوید . اما باز هم اثری از Administrator نمی بینید. حال کلیدهای Ctrl+Alt+Del را دوباره پشت سر هم فشار دهید . مشاهده می کنید که ظاهر منوی ورود به سیستم تغییر می کند به صورتی که می توانید نام کاربری را هم مانند رمز عبور تایپ کنید . حال نام کاربری Administrator را با رمز عبور که هنگام نصب ویندوز به آن داده اید، وارد کنید تا به عنوان مدیر سیستم وارد ویندوز خود شوید.

تذکر: یکی از نقایص امنیتی در ویندوزهای XP نصب شده در ایران در هنگام نصب آنها ایجاد می شود . بسیاری از افراد هنگام نصب ویندوز در مرحله ای که از آنها خواسته می شود رمز Administrator را وارد کنند آن رمز را خالی می گذاردند و در برخی موارد دیگر نیز کسی این رمز را تعریف می کند که طبق قاعده نباید دسترسی به اطلاعات آن سیستم داشته باشد. هرگز این کاربر را فراموش نکنید!

اگر رمز عبور Administrator را به یاد نیاوردید، نگران نباشید، قصد داریم در آینده روشی به شما ارائه کنیم که بدون دانستن رمز این کاربر ، رمز عبور آن را تغییر دهید!

مخفی کردن درایوها در ویندوز (شماره 81)

یکی از پرسشهای متداول و مورد علاقه بسیاری از کاربران کامپیوتر چگونگی مخفی کردن اطلاعات است. و تولیدات نرم افزاری بسیاری هم جهت پوشش دادن این نیاز موجود میباشد که بعضی بصورت رایگان و بعضی با هزینه های بالا قابل تهیه است و غیر از این، استفاده از امکانات درونی سستم عامل مایکروسافت نظیر Share Permission و NTFS Permission نیز امکان دسترسی به منابع از طریق شبکه و بصورت محلی را نیز قابل کنترل مینماید. با همه این احوال باز روشی که بتواند درایوها را از دید افراد مخفی نگاه دارد موضوعی قابل توجه است. در اینجا شما فرا خواهید گرفت که چگونه در ویندوز 2000 و XP درایوهای کاربر فعال فعلی را از دید افراد مخفی نگاه دارید.
"بیاد داشته باشید که اعمال تغییرات نادرست در رجیستری ویندوز میتواند نتایج غیر قابل پیشبینی و جبران ناپذیری بدنبال داشته باشد پس حتماً قبل از اعمال هر تغییری در رجیستری از آن یک کپی پشتیبان تهیه کنید."
اعمال این تغییرات در رجیستری درایو مورد نظرتان را در My Computer و Explorer مخفی نگاه میدارد هر چند با وارد کردن نام آن در Explorer قابل دسترس میباشد:

1- بر روی Start و سپس Run کلیک کنید و بنویسید regedit و دکمه OK را بزنید
2- به کلید زیر بروید:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
3- در قسمت سمت راست بر روی دکمه سمت راست ماوس کلیک کرده و یک مقدار جدید DWORD Value ایجاد کنید و نام آن را NoDrives قرار دهید



4- حالا بر روی مقدار جدید ایجاد شده دوباره کلید کنید و برای انجام ورودی Base را به Decimal تغییر دهید و از جدول زیر برای مخفی کردن هر یک از درایوها استفاده کنید:


مقدار Decimal نام درایو مقدار Decimal نام درایو
8192 A 1 N
16384 B 2 o
32768 C 4 p
65536 D 8 q
131072 E 16 R
262144 F 32 S
524288 G 64 T
1048576 H 128 U
2097152 I 256 V
4194304 J 512 W
8388608 K 1024 X
16777216 L 2048 Y
33554432 M 4096 Z
67108863 ALL

بعنوان مثال چنانچه قصد مخفی کردن درایو F را دارید مقدار 32 را وارد کنید:

حال کافیست یکبار سیستم را دوباره راه اندازی کنید تا نتیجه اعمال شود. همچنین اگر قصد داشتید چند درایو را همزمان مخفی کنید باید مقادیر Decimal آنها را با هم جمع کنید و نتیجه را وارد کنید بعنوان نمونه برای مخفی کردن درایوهای D، E و F باید مقادریر 8، 16 و 32 را جمع کرده و مقدار 56 را وارد نماییم.
در صورت استفاده از مقدار 67108863 کلیه درایوها حذف میشوند.

کلیدهای مشکل گشا:ترکیب مشهور Ctrl+Alt+Delete (شماره 80)

فقط 5 دقیقه طول کشید. طی این مدت کوتاه ، دیوید برادلی (David Bradley) کدی را برای رایانه ها نوشت که تا به حال مورد استفاده کاربران رایانه های خانگی قرار دارد.
نتیجه کار ، اختراع مشهورترین ترکیب کلیدها روی صفحه کلید بود؛ بله ترکیب مشهور Ctrl+Alt+Delete.
ترکیبی که هر زمان رایانه شما به دستوراتتان پاسخ نمی دهد آن را به کار می گیرید تا دوباره شروع به کار کند.برادلی در ژوئن سال 1975 به عنوان یک مهندس کامپیوتر به شرکت IBM ملحق شد.
سال 1980 وی یکی از 12 مهندسی بود که روی پروژه تولید رایانه شخصی IBM کار می کردند. تمامی افراد مشغول در پروژه می دانستند که باید راه ساده ای برای بازآغازی رایانه ای که با مشکل روبه رو شده است ، پیدا کنند.
برادلی کسی بود که این مسوولیت را پذیرفت و تنها در 5دقیقه برنامه مربوط به آن را نوشت. وی در این باره می گوید: من هیچ گاه فکر نمی کردم که این اختراع به یک نماد در فرهنگ رایانه تبدیل شود.
من کارهای بسیار دیگری هم انجام داده ام اما به خاطر این 3 کلید مشهور شده ام. در واقع شهرت وی مبتنی بر خرابکاری ها و اشتباهات دیگران است.
چند سال پیش در جشنی که به مناسبت 20 سالگی رایانه شخصی IBM گرفته شده بود ، برادلی همراه بعضی افراد مشهور دیگر از جمله بیل گیتس بر روی سن رفت.
صحبت به این 3 کلید کشیده شد. برادلی در این باره گفت:«ممکن است من مخترع این 3 کلید بوده باشم ، اما بیل آن را مشهور کرده است.» گیتس اصلا به این حرف نخندید چون مفهوم حرف برادلی آن بود که اگر تولیدات مایکروسافت دچار مشکلات نرم افزاری مختلف نبودند و باعث هنگ کردن یا Crash کردن رایانه ها نمی شدند، هیچ گاه این 3 کلید به این اندازه مورد استفاده قرار نمی گرفتند و مشهور هم نمی شدند.
برادلی بالاخره پس از حدود 28 سال و نیم کار با IBM روز جمعه 30 ژانویه (10 بهمن) بازنشسته شد.
این خبر تیتر بسیاری از مجلات و سایتهای رایانه ای شد: « مخترع CtrlAltDelete این 3 کلید را روی کارش نیز به کار برد.»
وی با پایان دادن به کارش در IBM قصد دارد به تدریس در دانشگاه کارولینای شمالی ادامه دهد.حال که با برادلی آشنا شدیم ، بد نیست آشنایی بیشتری هم با کار وی پیدا کنیم و ببینیم بهتر است در چه مواقعی و چگونه از این اختراع استفاده کنیم.
هر فردی که مدتی هر چند کوتاه را به کار با رایانه گذرانده است به مشکل Crash کردن یا هنگ کردن کامپیوتر برخورد کرده است.
مشکلی که بسیاری از کاربران را به صورت مکرر آزار داده و می دهد. در بعضی موارد دلیل پاسخ ندادن رایانه به دستورات کاربر، تنها بروز یک اشکال کوچک مانند قطع شدن کابل موس یا صفحه کلید است که براحتی مشخص می شود، اما در بسیاری از زمانها مشکل و حل آن به این سادگی نیست.
شما کلیدهای مختلف را می فشارید، کلید Esc را فشار می دهید تا عملیات در حال اجرا قطع شود، کلیدهای Num Lock و Caps Lock را می فشارید و روشن شدن چراغ مربوط روی صفحه کلید را چک می کنید و...
اما هیچ پاسخی از سوی رایانه نمی بینید. در این زمان است که به فکر استفاده از کلیدهای مشهور Ctrl+Alt+Delete می افتید و آنها را با هم می فشارید.
در زمانی که رایانه ها از سیستم عامل DOS استفاده می کردند، فشردن این 3 کلید باعث بازآغازی رایانه می شد و دوباره شروع به کار می کرد.اما ویندوزهای 95 و 98استفاده بهتری از این 3 کلید می کنند.
زمانی که در محیط ویندوز این سه کلید را با هم فشار دهید فهرستی از برنامه های در حال اجرا را مشاهده خواهید کرد. اگر ویندوز برنامه ای را بیابد که مشکل دارد و نمی تواند پاسخگویی به کاربر را انجام دهد، عبارت not responding را مقابل آن می نویسد و شما می توانید با انتخاب کردن آن برنامه و فشردن دکمه End Task به کار آن خاتمه دهید.
البته با این کار هر گونه تغییراتی را در محیط آن برنامه داده باشید و ذخیره نکرده باشید، از دست خواهید داد. اگر با این روش هم نتوانید رایانه را به حالت عادی برگردانید آن موقع مجبورید با فشردن دوباره این 3 کلید ، آن را بازآغازی کنید.
البته در بعضی موارد حتی از این 3 کلید هم کاری بر نمی آید و شما مجبورید دکمه Reset را بر روی رایانه تان بفشارید.
در انتها به شما توصیه می کنیم ، از آنجایی که رایانه ها قابل اعتماد نیستند و هر لحظه امکان Crash کردن آنها وجود دارد ، بهتر است هر کاری که انجام می دهید، به طور مرتب ذخیره کنید تا داده ای را از دست ندهید.
بعضی اوقات از دست Ctrl+Alt+Delete هم کاری بر نمی آید.

کنترل حجم ویندوز (شماره 77)

آیا حتى نیمى از ابزارهاى ضمیه ویندوز را مى‌شناسید یا مى‌دانید آنها روى عملکرد کامپیوترتان چه تاثیرى دارند؟ محصول 40 دلارى XPLite شرکت LitePC Technologies مى‌تواند ویژگیهاى ناخواسته و غیرقابل استفاده شما را از روى ویندوز 2000 یا XP حذف نماید، البته بدون کمک XPLite نیز چنین کارى امکان پذیر است .

XPLite هر یک از ویژگیهاى انتخابى ویندوز را با یک توضیح و یک پنجره لیست مى‌نماید که شما میتوانید نحوه کار آنرا ببینید و در صورت دلخواه مى‌توانید آنرا حذف نمایید. عملکرد آن بسیار شبیه به کار برنامه Component Wizard خود ویندوز است . ولى XPLite به شما امکان مى‌دهد تا براحتى آیتمها را حذف کنید، براى مثال مى‌توان بازیها، Direct X و Migration Wizard را نام برد که uninstall نمودن آن ها با استفاده از ابزارهاى خود ویندوزغیرممکن و دشوار است. در موارد دیگر XPLite کار بهترى نیز انجام مى‌دهد. مثلا Component Wizard نمى‌تواند Outlook Express را حذف نماید بلکه فقط میانبر آنرا حذف مى‌کند، در حالیکه اگر OE را با برنامه XPLite پاک کنید براحتى حذف مى‌شود.

از نظر تئورى، حذف قسمتهایى از سیستم عامل که شما آنها را نمى‌خواهید، باید زمینه محیط ایمن تر، مطمئن تر و با سرعت بیشترى فراهم کند. آزمایشات شخصى و دلخواه من با یک کپى در حال عرضه از XPLite بسته به نوع کار، ارتقاى سرعت و تناسبى را از خود نشان داد.

ولى برنامه XPLite روى کامپیوترهاى مورد آزمایش من چندان قابل اطمینان نبود. اکنون باید دوباره آیتمها را حذف کرده، ویندوز را مجددا بوت کنم و اشکال را بیابیم. چندین بار پیام تکرارى خطا دریافت کردم و حذف Outlook OE را از کار مى‌اندازد. خوشبختانه، هر تغییرى که شما در XPLite ایجاد کنید براحتى قابل اصلاح است: فقط باید یک یا چند آیتمى را که قبلا آنها را از حالت انتخاب در آورده اید دوباره انتخاب کنید .

XPLite جهت احتیاط بیشتر، قبل از هر گونه تغییرى یک نقطه کنترل System Restore را ایجاد مى‌نماید. گرچه XPLite ویندوز بهترى را در اختیار شما مى‌گذارد ولى ابزار خود ویندوز XP و 2000 همین کار را با 40 دلار کمتر براى شما انجام مى‌دهند.

راهی برای استفاده از کامپیوتر محل کار در خانه (شماره 74)

راهی که می توانید از منزل و از راه دور سیستم محل شرکت و یا اداره خود را به نحوی Remote کنید که حتی صفحه دسک تاپ آن را به همان شکل و شمایل بر روی سیستم خود داشته باشید .به عبارت دیگر می توان به نحوی از تمامی امکانات آن سیستم بهره برده و به راحتی برنامه های آن را از راه دور اجرا کنید و بر روی سیستم خود ملاحظه کنید.
شرکت مایکروسافت با قراردادن برنامهRemote Desktop در نسخه Xp Profesional خود این امکان را برای کاربران فراهم ساخته تا از راه دور به کامپیوتری در محل دیگر دسترسی یابند .از طریق این ویژگی می توانید از منزل به کامپیوتر محل کارتان مرتبط شوید و به تمام برنامه ها ، فایلها و منابع موجود در شبکه محل کارتان ، دسترسی یابید . حتی می توانید محیط دسک تاپ سیستم محل کارتان را عینا در کامپیوتر راه دور اجرا نمائید .
در واقع شیوه کار این برنامه به نحوی است که به محض برقراری ارتباط ، سیستم راه دور بطور اتوماتیک Lock می شود و مادامیکه به آن مرتبط هستید هیچ شخص دیگری نمی تواند به برنامه ها ، فایلها و سایر منابع آن دسترسی داشته باشد و هنگامیکه به محل کارتان بازگردید می توانید آن را با فشار دادن کلید های CTRL+ALT+DEL از حالت Lock خارج نمائید .

از دیگر ویژگی های این برنامه امکان login در یک زمان بر روی چند سیستم می باشد - حتی در حالتی که دیگران نیز به آن سیستم Log in کرده باشند- و کاربر می تواند برنامه های آنها را بطور همزمان اجرا کند.

برای دسترسی به امکانات و اجرای این برنامه باید موارد زیر را در نظر داشته باشید :

- یک کامپیوتر که در آن ویندوز Xp Profesional نصب شده و دسترسی به محیط اینترنت و یا شبکه را دارد .

- یک کامپیوتر دیگر در منزل و یا در همان محل شرکت (که از طریق شبکه داخلی با هم مرتبط هستند) با امکان دسترسی به اینترنت ، مودم

- نام کاربری ، کلمه رمز عبور و مجوزهای مناسب

برپایی سیستم Remote Desktop :

1- به Control Panel وارد شده و سپس گزینه System را انتخاب کنید .

2- در برچسب Remote ، گزینه Allow users to connect remotely to this computer را که در پائین پنجره قرار دارد انتخاب نمائید .

3- در محیط Remote Desktop ، گزینه Select Remote Users ... را کلیک کنید .

4- در کادر محاوره ای Remote Desktop Users گزینه Add… را انتخاب نمائید.

5- در کادر محاوره ای Select Users گزینه Locations … را برای تعیین موقعیت جستجو کلیک نمائید .

6- برای تعیین نوع آبجکتها ی مورد نظرتان نیز گزینه Object Types… را کلیک نمائید .

7- هنکامی که نام مورد نظرتان را یافتید ان را انتخاب کرده و سپس Ok را کلیک نمائید .در این مرحله نام مورد نظر شما در لیست کاربران Remote Desktop قرار می گیرد.

در این مرحله سیستم مزبور آماده برقراری ارتباط از راه دور می باشد. بدین منظور:

1- از منوی Start گزینهPrograms و سپس گزینه Accessorise را انتخاب کرده و از قسمت Communications نیز گزینه Remote Desktop Connection را انتخاب کنید.

2- در این مرحله پنجره Remote Desktop Connection نمایان می شود .

3- گزینه Options را انتخاب کنید تا امکان تعیین گزینه های بیشتری برای تان فراهم شود.

4- از قسمت Computer و از منوی پائین افتادنی آن نام کامپیوتر مورنظر تان را انتخاب کنید .و یا گزینه browse more for… را برای دسترسی به نام کامپیوتر های دیگر انتخاب کنید .

5- در کادر های user name و password و domain به ترتیب شناسه یا نام کاربری ، رمز عبور و نام domain مربوط به شبکه را وارد کنید.

6- سپس برای برقراری ارتباط گزینه Connect را انتخاب کنید .

شناسایی 10حفره بزرگ ویندوز و نحوه بستن آنها (قسمت ششم) (شماره 61)

اگر xp دارید فایروال آن را به کار اندازید (این کار باکلیک راست روی منوی شبکه و گرفتن properties میسر است.
بعد به سراغ networking بروید و پروتکل TCP را آبی کنید و از روی آن properties بگیرید و به داخل advanced بروید. سپس روی منوی wins بروید و NetBios خود را کاملا disable کنید.
اگر مودمی هستید در روی منوی شبکه تیکی به نام client for microsoft را بردارید و بعد به عنوان یک کاربر روی درایوها بروید و با گرفتن properties ابتدا Security را برگزینید و فهرست everyone و... را بسته به کار خود حذف کنید.
از راه Groupe policy editor و از روی Administrator tools در control panel نیز می توانید آن را انجام دهید.
وقتی روی اینترنت هستید با account ، Admin خود صفحات وب را مرور نکنید ؛ بلکه یک User عادی تعریف کنید و با آن روی اینترنت بروید.
به Shareهای بی هویت اجازه ورود ندهید و فورا آنها را disable کنید.
اگر مجبور شدید یک فایل جدید و بی مصرف را روی درایو غیربرنامه ای خود بسازید و آن را share کنید ، اجازه دسترسی کامل را از کاربر خود بگیرید.
یک IP ویژه به آن اختصاص دهید؛ اما نام DSN خود را طور دیگری برگزینید و در آخر پورتهایی که sharing ویندوز از آن استفاده می کنید را ببندید.
پورت نت بایوس را طبق گفته قبلی از کار بیندازید و یک فایروال قوی پشت روتر و سیستم بگذارید تا خطاها کمتر شود.
پورتهایی که باید از کار بیفتد 137 و 139 روی TCP و 137 و 139 روی UDP و 445 روی TCP و UDP هستند.
5- راه بعدی نفوذ به نفوذ به ویندوز از طریق وارد شدن به سیستم به طریقه ناشناس و بی نام (anonymous Logon) است.


نحوه ورود از طریق ناشناس به وسیله ارتباطات پوچ یا (Null session) انجام می گیرد.
با این کار دسترسی به فایلهای به اشتراک گذاشته شده روی شبکه فهرست کاربران در دسترس قرار گرفته و کاربرناشناس بدون گرفتن تاییدیه وارد سیستم می شود.
معمولا از محیط اکسپلورر روی ویندوز و تست کردن فرمان های مورد نظر می توان چنین کاری را انجام داد.
در ویندوز 2000 و NT و XP، Logon کردن به ماشین از طریق Accuont System کار سختی نیست.


معمولا اکانت سیستم به هنگام بحرانی شدن ماشین استفاده شده تا کاربر بتواند وارد سیستم شود و اطلاعات خود را بازیابی کند.
در واقع وقتی یک کاربر می خواهد دیتای خود را از یک ماشین بازیابی کند ، Accuont System فعال شده و اجازه می دهد تا از طریق کنترل از راه دور وارد سیستم شود.
مثلا وقتی کلمه عبور را گم می کنید و راهبر مجددا آن را برایتان پست می کند در واقع logon از طریق Accuont System و از روی ماشین راهبر انجام می شود.
Accuont System نیازی به داشتن کلمه عبور ندارد؛ اما نمی تواند درون سایر سیستم ها برود و تنها روی همان ماشین حمله انجام می گیرد.
پس هکر درون Null session نفوذ می کند.
بر روی سایتهای هکری انواع مدلهای نفوذ به سیستم از طریق Null session ذکر شده است.


مثلا با دستور زیر می توانید روی یک رایانه نحوه ورود به Null session را تست کنید:
""""net use \\a.b.c.d\ipc$""""/user
در این صورت a.b.c.d همان IP مورد نظر شماست و user نیز همان اسم کاربری که شما به آن logon کرده یا خواهید کرد ، است.


اگر این دستور جواب داد ، بدانید سیستم شما کاملا آسیب پذیر است و اگر جواب خطا را برای شما پس فرستاد، بدانید سیستم شما نفوذ ناپذیراست.


سایت زیر معمولا روی این مباحث به صورت کاملا علمی کار می کند و تازه ترین حفره ها را از این طریق روی سیستم های NT می شناساند:

http://www.foundstone.com/

شناسایی 10حفره بزرگ ویندوز و نحوه بستن آنها (بخش پنجم) (شماره 60)

در این شماره پنجمین راه ( Net Bios ) عمده نفوذ به ویندوز و راه بستن آن را می گوییم.

ویندوز مایکروسافت وقتی روی سیستمی نصب می شود به ماشین میزبان اجازه می دهد تا فایلها و دایرکتوری های خود را براساس شبکه و از طریق ارتباط با سایر میزبانها به اشتراک بگذارد و به اصطلاح Share کند. مکانیزمی که برای این کار در نظر گرفته شده پروتکل (SMB (sever message block یا common internet file system است.

این پروتکل ها اجازه می دهند تا یک میزبان بامهارت کامل فایلها را به صورت از راه دور کنترل کامل کند. اگرچه این ویژگی برای مایکروسافت یک برتری و فناوری جذاب و نوین محسوب می شود؛ اما اشتراک گذاری فایلها به طریقه ناشیانه ممکن است فایلهای حیاتی را بی پناه بگذارد یا اجازه بدهد تا یک هکر با اجرا کردن یک برنامه کنترل کامل ماشین میزبان را به طریقه از راه دور در دست بگیرد. یکی از راههای عمده نفوذ ویروس سیرکام و نیمدا در تابستان 2001، سوئاستفاده از همین شیوه بود تا هکر بتواند به فایلهای میزبان به طور کامل دسترسی یابد و بسیاری از راهبران بی اطلاع خود جاده صاف کن نفوذگران شده اند و با آسان کردن راه دسترسی کاربران تنبل خود به فایلها به راحتی اجازه دور زدن سیستم را صادر می کنند، اما راهبران آگاه با پیکره بندی مناسب روی شبکه به نحو مطلوبی فایلهای اشتراک گذاشته شده را تعریف می کنند و ریسک نفوذ را به کمترین حد می رسانند. تمام آنچه که در بالا گفته شد به Net Bios سیستم و بی حفاظ ماندن آن برمی گردد و در این میان تمام نسخه های ویندوز از 95 گرفته تا xp در معرض تهدید سیستم این حفره قرار می گیرند. برای آگاهی از سوراخ بودن سیستم بهترین راه اسکن کردن ماشین با ابزار MBSA مایکروسافت است که قبلا در مورد آن شرح داده شد. تنها نکته قابل توجه این که با تحلیلگر حفره های مایکروسافت ( MBSA ) از هر 2طریق محلی ( LAN ) و از بیرون از شبکه تست را انجام دهید. شبکه های تجاری باید بسیار در این زمینه محتاط باشند، چرا که از بودن فایلها بلای ناگهانی تلقی می شود. یکی از سایتهای معتبر نیز می تواند باز بودن شبکه تان را به صورت یک گزارش با برنامه SMB مختصر و مفید برایتان از روی اینترنت بگوید که می توانید به این آدرس مراجعه کنید: http://grc.com/ مایکروسافت معمولا جزییات خوبی را در قسمت Help ارائه کرده است.

نکته دیگر آن که برخی موارد SMB به شما می گوید که آسیب پذیر نیستید؛ اما shieldsup می گوید، هستید. کارشناسان می گویند به دومین گزارش باید بیشتر بها دهید. اما راه چاره برای در امان بودن انواع حملات از این طریق پیکره بندی مناسب فایلهای به اشتراک گذاشته شده از سوی راهبر است.

اگر نیازی به shareدر شبکه ندارید، حتما قید آن را بزنید. از داخل control panel خود share شبکه را حذف کنید.

شناسایی 10حفره بزرگ ویندوز و نحوه بستن آنها(قسمت چهارم) (شماره 59)

سومین حفره بزرگ در ویندوز وجود سوراخ های متعدد و بزرگ روی مایکروسافت اسکیوئل سرور (MSSQL) است که به کاربر از راه دور، اجازه دسترسی به اطلاعات حساس سرور و سیستم های وابسته ، دسترسی به بانک اطلاعاتی و پیکره بندی اطلاعات را به آسانی مهیا می کند. کرم بزرگی که در ماه مه 2002 روی اسکیوئل آمد، حفره بزرگی را روی این سرور مایکروسافت آشکار کرد و البته سیستم های زیادی را نیز مبتلا کرد. اولین کاری که این کرم انجام می داد، این بود که به یک میزبان دستور می داد تا در ترافیک شبکه اخلال ایجاد کند. پورت1433 (که پورت تعریف شده اسکیوئل سرور است) مرکز این حملات به شمار می رود و با اسکن کردن این پورت و افتادن آن به دست هکر حمله آغاز می شود. برای اطلاعات بیشتر به سایت زیر مراجعه کنید:

www.cert.org/advisories/CA-2002-22.html


سیستم هایی که روی آن اسکیوئل سرور نسخه 7و یا اسکیوئل 2000یا اسکیوئل سرور دسکتاپ انجین 2000 نصب شده ، آماده حفره پذیری هستند. برای تشخیص حفره پذیری سیستم ، ابتدا شاخه رجیستری ویندوز خود به آدرس زیر را چک کنید:

HKEY-LOCAL-MACHINES\Software\Microsoft\
MSSQLserver\serverMSSQL


هر نوع برنامه SQL که به روز نشده و هیچ گونه پس دستوری روی آن نصب نشده به احتمال قوی آسیب پذیر است.

برای تشخیص این موضوع بهترین راه ، استفاده از تحلیلگر حفره های مایکروسافت ( MBSA ) است که به راحتی حفره های اسکیوئل نسخه 7و 2000را تشخیص می دهد. برای نصب این تحلیلگر گرافیکی به آدرس زیر مراجعه کنید:

microsoft.com/tecnet/security/tools/MBSAhome.asp


برای حمایت از اسکیوئل خود ابتدا آخرین پس دستورها و سرویس پک ها را روی آن نصب کنید و بعد سرور خود را در سیستم شبکه کاملا ایمن نمایید.

www.microsoft.com/sql/downloads/2000/sp2.asp
www.microsoft.com/sql/downloads/sp4.asp



یکی از حملات شایع حمله روی اکانت موسوم به sa است که با یک پسورد جای خالی اجازه دسترسی همگان در حد راهبر را به سرور می دهد. اگر شما اکانت saرا دارید، مطمئن باشید که با دست خودتان سیستم را باز گذاشته تا انواع کرمها به سیستم نفوذ کنند و هکرها ماشین شما را براحتی دور بزنند. اگر یک کلمه عبور بسیار قوی و نیرومند برای آن تهیه کنید ، می توانید از این خطر مصون بمانید.

microsoft.com/sql/techinfo/productdoc/2000/books.asp


خود مایکروسافت نحوه تعویض saرا داده و حتی نحوه Login کردن را نیز آموزش داده است و از آن می توانید استفاده کنید.

msdn.microsoft.com/library/en-us/modadmin/html/deconchangingsqlserveradministratorlogin.asp


اسکیوئل خود را تحت یک دومین معتبر و نه دومین administrator بالا بیاورید که کمترین ریسک را به جان بخرید. همه تاییدیه های سیستم ( authentication ) را مجددا پیکره بندی کنید و انواع ادیت از سوی کاربران را چک نمایید. اگر مجبورید از پورت 1433یا 1434روی دروازه اینترنت شبکه خود استفاده کنید، باید یک فیلترینگ قوی روی اسکیوئل خود و روی این پورتها نصب کنید.

شناسایی 10حفره بزرگ ویندوز و نحوه بستن آنها (قسمت سوم) (شماره 58)

5- نصب یک فیلتر بر سر راه درخواست های مخرب روی HTTP : بسیاری از حفره های شناخته شده که کرمهایی نظیر Code Blue یا Code Red از آن بهره می گیرند مربوط به این حفره روی IIS هست اما می توانید یک فیلتر قوی جلوی ارسال هرگونه درخواست مخرب بگذارید و جلوی نفوذ را بگیرید. خود مایکروسافت برای این کار استفاده از نرم افزار URLSCAN را توصیه می کند که می توانید از آدرس زیر آن را بردارید و روی سرور و ماشین خود اجرا کنید:
microsoft.com/technet/security/tools/Locktool.asp

2- دومین حفره بزرگ کامپوننت های روی دیتااکسس مایکروسافت ( MDAC ) است.

سرویس دیتای از راه دور یا RDS جزو مولفه های اصلی روی دیتااکسس نسخه های قدیمی است. روی این برنامه شکافی وجود دارد که به کاربران از راه دور اجازه می دهد فرمان هایی را در حد راهبر سیستم به اجرا بگذارند.
این در حفره در Jet database engine 3.5 روی برنامه اکسس قرار گرفته است و این exploit به هر کاربر ناشناس یا anonymous خارجی اجازه دسترسی به دیتای داخلی را می دهد.(با نصب نسخه بالاتر حفره برطرف می شود). از این حفره به مدت 2سال در بسیاری از حملات هکری استفاده شد اما جلوی بیشتر آنها از سوی مایکروسافت با دستورالعمل های لازم بسته شد.
سیستم های قدیمی و راهبرانی که با این حفره آشنا نبوده و نیستند هنوز در معرض خطرند و از این ناحیه هک می شوند.
اغلب ویندوزهای NT با IIS نسخه 3 و 4 و نیز RDS نسخه 5/1 یا ویژوال استودیو نسخه 6 تحت تاثیر این حفره و نفوذپذیر هستند.
اگر NT نصب کرده اید دنبال یک فایل به نام msadcs.dll بگردید و بدانید که حفره ذکر شده از طریق این DLL سیستم شما را تهدید می کند. خود مایکروسافت چندین بولتن امنیتی در این باره منتشر کرده است. برای رفع حفره می توانید به نشانی های زیر مراجعه کنید:
http://support.microsoft.com/support/ kb/articles/q184/3/75.asp
http:// http://www.microsoft.com/technet/security/bulletin/ms98- 004.asp
http://www.microsoft.com/technet/security/bulletin/ms 99- 025.asp

بهترین راه چاره به روز کردن MDAC است. اگر این کار را روی ماشین سرور خود که NT دارد انجام دهید همه مشکلات حل می شود برای دانلود کردن آن به نشانی زیر مراجعه کنید:
www.microsoft.com/data/Download.htm

یکی از راهها، رفتن به شاخه زیر در رجیستری و ساختن یک پوشه به ارزش DWORD است.
نام پوشه را باید HandlerRequired بگذارید و value آن را به یک (1) تغییر دهید:
HKEY-LOCAL-machine\Software\Microsoft\DataFactory\HandleriNFO

ورودی دیگر در نشانی های زیر در رجیستری را کاملا پاک کنید:
HKEY-CLASSES-ROOT\Microsoft.jet.OLEDB.3.51
HKEY=CLASSES-ROOT\Microsoft.jet.OLEDB.3.51 Errors

شناسایی 10حفره بزرگ ویندوز و نحوه بستن آنها (قسمت دوم) (شماره 57)

حال به طور عملی به سرور خود مراجعه کنید و بسته به نوع سیستم عاملی که دارید شاخه های مورد نظر را در رجیستری چک نمایید: در ویندوز NT نسخه 4:
HKEY -LOCAL-MACHIE\ software\Microsoft\windows NT\ currentversion\ Hotfix\Q319733

در ویندوز ان تی نسخه ترمینال سرور به همان آدرس بالا ; ولی در زیرشاخه Q317636 بعد از زیرشاخه Hotfix مراجعه کنید. در ویندوز 2000 به آدرس زیر مراجعه نمایید:
HLM\software\Microsoft\updates\windows2000\sp3\Q319733

و در ویندوز xp نیز به آدرس زیر مراجعه کنید:
HLM\software\Microsoft\updates\windows xp\sp1\Q319733
به عنوان راه بدیل برای چک کردن IIS از نظر وجود حفره می توانید از برنامه HFNetchy استفاده کنید و با آن به طور خودکار حفره ها را بیابید. (برنامه را می توانید از سایت مایکروسافت دانلود کنید)
www.microsoft.com/technet/security/tools/hfnetchk.asp

در این شاخه ها اگر هر کدام از فایلهای زیر در شاخه wwwroot%/scripts % یا روی D:\web\scripts روی دایرکتوری ها وجود داشت ، بدانید از این برنامه ها برای exploit سوء استفاده می شود:
code.asp
codebrws.asp
ism.dll
newdsn.exe
viewcode.asp
minmsdp.exe

راه چاره : برای نابودی این حفره می توانید از روشهای زیر استفاده کنید:
1- نصب تمام پس دستورهای لازم : برای رفع حفره روی IIS 4 روی ویندوز NT4 باید سرویس پک 6 را نصب کنید و به آدرس زیر مراجعه نمایید:
microsoft.com/ntserver/nts/downloads/security/q321599

برای نسخه ترمینال سرور نیز به مانند بالا عمل کنید.
برای ویندوز 2000 نیز باید سرویس پک 3 را در آدرس زیر بگیرید و آن را فیکس کنید:
microsoft.com/windows2000/downloads/servicepacks/sp3

در ویندوز xp نیز به آدرس زیر مراجعه کنید:
microsoft.com/windowsXP/Pro/downloads/servicepacks/spl

2- استفاده از نرم افزار hfnetchk در کنار نصب پس دستورهاست که آخرین حفره های کشف شده و بدون پس دستور را برای شما گزارش می کند.
3- حذف کردن کامل اپلیکیشن های ساده شامل ابزارهای موسوم به iisadmin که ممکن است از آن سوءاستفاده شود و بنابراین معمول آن این است که حذف شود. این ابزار در دایرکتوری wwwroot%/scripts یافت می شود. ایده آل این است که راهبر این ابزار ساده را روی سرور خود RUN نکند تا میزان ریسک کاهش یابد.
4 - عدم گزینش الحاقی های ISAPI. بیشتر IISها الحاقی های ISAPI که مورد نیاز نیست را به صورت Default روی سرور MAP می کنند، به وسیله الحاقی هایی مانند:
printer. ، ism. ، idq. و... به طور اکید توصیه می شود که این گونه الحاقی ها اگر مورد نیاز نیست ، بلافاصله unmap شود.
این کار را به طور دستی می توان انجام داد ; اما نرم افزار IIS Lockdown wizard متعلق به خود مایکروسافت بهتر می تواند آن را انجام دهد. برای دانلود کردن آن به آدرس زیر مراجعه کنید و با نصب آن تمام الحاقی های غیرضروری را unmap کنید:
http://www.microsoft.com/technet/security/tools/Locktool.asp