واضح آرشیو وب فارسی:سایت ریسک: sinaset04-03-2008, 02:23 PMمقدمه: فايلهاي رجيستري بخشي از سيستم هاي عامل Windows هستند. تا به حال کتاب خوب و کاملي براي کار با آن ارائه نشده است. تمامي مطالب ارائه شده به صورت پراکنده بوده است. فايل هاي فيزيکي که رجيستري را تشکيل مي دهند بسته به نسخه ويندوز شما در محل و مکان خاصي نگهداري مي شوند. در ويندوز 95 و 98 بصورت دو فايل مخفي در پوشه ويندوز قرار دارند و با نام هاي USER.DAT و SYSTEM.DAT شناخته مي شوند. در نسخه ME علاوه بر اين دو فايل، فايل ديگري نيز به نام CLASSES.DAT به آنها اضافه شده است. در حاليکه در نسخه هاي NT/2000 ويندوز فايلها در آدرس SystemRoot%System32Config% قرار گرفته اند. اين فايلها را نمي شود به صورت مستقيم ويرايش کرد. تنها چيزي که مي توان در مورد رجيستري کاملا مطمئن بود اين است که کارهايي که به صورت تصادفي وغير تکراري در سيستم اتفاق مي افتد بي ارتباط با رجيستري ويندوز است. قابل ذکر است تغييرات در رجيستري براي هر کامپيوتري خطرناک و غيرقابل برگشت است زيرا سيستم فايلي رجيستري با هر تغيير ولو کوچک به صورت اتوماتيک ذخيره مي شود. براي مثال يک هکر ميتواند يک ابزار امنيتي خاص را روي کامپيوتر شما متوقف يا حذف کند (اگر ابزار امنيتي مثل Firewall، IDS يا ... در آخرين مرحله اجراي خود از کار بيافتد بسيار خطرناک است) و يا مي تواند با هر بار بالا آمدن سيستم شما فايلي نا خواسته را روي کامپيوتر شما اجرا کند (فايلهاي Trojan و Virus و Keylogger ها و...) تمامي اين کارها به راحتي و فقط با مراجعه در قسمتهاي Start up رجيستري ممکن است. خيلي به ندرت پيش مي آيد برنامه يا نرم افزاري احتياجي به رجيستري نداشته باشد. در آخر مي توانم بگويم رجيستري عين عصب کامپيوتر ميماند و حفظ و حراست از آن بسيار مهم و حياتي است. در Win2000 به بعد به صورت پيش فرض فقط Administrator ها و متصديان Backup مي توانند به صورت Remot يا از راه دور به رجيستري سرور دسترسي داشته باشند. در اين مقاله به بررسي محدود کردن و ايجاد مجوز براي کاربران ديگر مي پردازيم. اخطار : هر تغيير در رجيستري و استفاده از Editor رجيستري بسيار خطر ناک مي باشد. در صورت بروز اشکال در رجيستري بايد سيستم عامل را دوباره نصب کنيد. محدود کردن دسترسي از راه دور به رجيستري در شبکه: در شبکه براي ايجاد محدوديت هاي دسترسي به رجيستري براي Group ها و کاربران با کليد زير سر و کار داريم: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetContro l SecurePipeServers winreg Name: Description Type: REG_SZ Value: Registry Server براي دسترسي به رجيستري از راه دور اين کليد مجوزهاي امنيتي (Security permission) براي کاربران و گروه هاي مختلف صادر مي کند. زماني که ويندوز را به صورت پيش فرض نصب مي کنيم اين کليد در ليست Access Control افرادي را در محدوده کاري خود ثبت مي کند که در زير شرح مي دهم: Administrators : به صورت کنترل کامل بر روي دسترسي از راه دور به رجيستري (Full Control) در پيکر بندي پيش فرض ويندوز فقط مجوز دسترسي از راه دور به رجيستري براي Administrators تعريف شده است. براي درست کردن محدوديت در دسترسي براي کاربران ديگر مراحل زير را پي مي گيريم: 1- Editor ويندوز را باز مي کنيم (Regedt32.exe) و به کيلد زير مي رويم: HKEY_LOCAL_MACHINESYSTEM CurrentControlSet Control 2- در منو Edit قسمت New گزينه Key رانتخاب مي کنيم. 3- مقدار کليد را به صورت زير تعيين مي کنيم. Key Name: SecurePipeServers Class: REG_SZ 4- به کليد زير مي رويم. HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl SecurePipeServers 5- در منو Edit قسمت New گزينه Key رانتخاب مي کنيم. 6- مقدار کليد را به صورت زير تعيين مي کنيم. Key Name: winreg Class: REG_SZ 7- به کليد زير مي رويم. HKEY_LOCAL_MACHINESYSTEMCurrentControlSetContro l SecurePipeServers winreg 8- در منو Edit قسمت New گزينه Key رانتخاب مي کنيم. 9- مقدار کليد را به صورت زير تعيين مي کنيم. Value Name: Description Data Type: REG_SZ String: Registry Server 10- به کليد زير مي رويم. HKEY_LOCAL_MACHINESYSTEMCurrentControlSetContro l ecurePipeServers winreg نکته : در صورت وجود کليد شماره 10 احتياجي به انجام مراحل 1 تا 10 نمي باشد. 11- winreg را انتخاب کرده کليک راست مي کنيم گزينه Permissions را انتخاب کرده در Tab اول کادر Permissions قسمت Security افرادي که به رجيستري از راه دور دسترسي دارند مشخص شده اند و در قسمت دوم در پايين کادر سطح دسترسي هر فرد مشخص شده است که مي توان با دکمه Add فردي را اضافه و يا با Remove فردي را از ليست حذف کرده و سطح دسترسي به رجيستري را از راه دور در شبکه براي آن فرد تعيين کرد. 12- از Editor رجيستري خارج شده و سيستم راReboot کنيد. اما گاهي يک کاربر مي خواهد از يک سرويس استفاده کند و بايد به رجيستري از راه دور دسترسي داشته باشد. در روش بالا محدوديت دسترسي در هر سطحي که مشخص مي کرديم براي کاربر انجام مي شد اما اگر مي خواستيم دسترسي به يک سرويس خاص را مشخص کنيم راه فرعي را براي تعيين و تعريف محدوديت کاربران بايد بکار برد. مثلا سرويس Directory Replicator و سرويس Spooler براي اتصال به چاپگر در شبکه، لازم مي باشد که به رجيستري از راه دور دسترسي داشته باشند. ما مي توانيم هر يک از کاربراني که از اين سرويس ها مي خواهند استفاده کنند را در ليست کليد winreg قرار دهيم و يا در پيکر بندي ويندوز از روش راه فرعي در محدود کردن دسترسي استفاده کنيم. (بابه وجود آوردن کليد هاي در ليست آنها در مقدار Machine يا Users د رداخل کليد AllowedPaths) HKEY_LOCAL_MACHINESYSTEMCurrentControlSetContro l SecurePipeServers winreg AllowedPaths Value: Machine Value Type: REG_MULTI_SZ - Multi string :Default Data SystemCurrentControlSetControlProductOptions SystemCurrentControlSetControlPrintPrinters SystemCurrentControlSetControlServer Applications SystemCurrentControlSetServicesEventlog SoftwareMicrosoftOLAP Server SoftwareMicrosoftWindows NTCurrentVersion SystemCurrentControlSetControlContentIndex SystemCurrentControlSetControlTerminal Server SystemCurrentControlSetControlTerminal ServerUserConfig SystemCurrentControlSetControlTerminal ServerDefaultUserConfiguration مقداري که مي تواند در Data قرار گيرد، هر مسيري در داخل رجيستري مي باشد. هر سرويسي که در اين ليست وجود دارد مي تواند به رجيستري از راه دور دسترسي داشته باشد. Value: Users Value Type: REG_MULTI_SZ - Multi string Default Data: None تغييراتي در win2000 به بعد در سري NT وجود دارد. Value: Machine Value Type: REG_MULTI_SZ - Multi string :Default Data SystemCurrentControlSetControlProductOptions SystemCurrentControlSetControlPrintPrinters SystemCurrentControlSetcontrolServer Applications SystemCurrentControlSetServicesEventlog SoftwareMicrosoftWindows NTCurrentVersion Value: Users اين مقدار به صورت پيش فرض تعريف نشده است. بعد از اين تغييرات مي توانيم يک دسترسي محدود به رجيستري از راه دور داشته باشيم. توجه : اگر کليد RestrictNullSessAccess وجود نداشت و يا value=0 باشد مي تواند با دسترسي از راه دور يک Null session ايجاد کرد. براي اين که جلوي اين کار را بگيريم .بايد کليد زير را با مقادير داده شده بسازيم. HKLMSystemCurrentControlSetServicesLanManServe r Parameters Value name: RestrictNullSessAccess Value type: REG_DWORD Value data: Set to 1 مقاله نویس: هاشم همدانی نژاد منبع http://www.rayatis.com سایت ما را در گوگل محبوب کنید با کلیک روی دکمه ای که در سمت چپ این منو با عنوان +1 قرار داده شده شما به این سایت مهر تأیید میزنید و به دوستانتان در صفحه جستجوی گوگل دیدن این سایت را پیشنهاد میکنید که این امر خود باعث افزایش رتبه سایت در گوگل میشود
این صفحه را در گوگل محبوب کنید
[ارسال شده از: سایت ریسک]
[مشاهده در: www.ri3k.eu]
[تعداد بازديد از اين مطلب: 500]