واضح آرشیو وب فارسی:پرشین وی: domainها، تعاريف و امنيت پايه از: مجله رايانه 1- مولفه هاي امنيتي NT چه هستند؟ مولفههاي متفاوتي وجود دارند كه هريك در مدل امنيتي NT نقشي دارند. به دليل تعداد پيچيدگي مولفهها در مدل امنيتي، هريك از اين مولفهها به تنهايي و همچنين چگونگي كاركردن آنها با يكديگر بايد مورد بررسي قرار گيرد. Local Security Authority (LSA) LSA همچنين با عنوان Security Subsystem شناخته ميشود. LSAمولفه مركزي امنيت NT است و سياست امنيتي محلي و شناسايي (Authentication) كاربر را برعهده دارد. همچنين مديريت ايجاد (Logging) مربوط به پيامهاي audit برعهده LSA ميباشد. Security Account Manager(SAM) SAM، accountهاي مربوط به گروه و كاربر را مديريت ميكند و شناسايي كاربر را براي LSA فراهم ميسازد. Security Refrence Monitor(SRM) SRM موجب اعتبار و درستي دستيابي ميگردد و براي LSA عمل نظارت را انجام ميدهد. زماني كه كاربر سعي در دستيابي به فايلها و دايركتوريهاي... گوناگون را دارد، SRM، accountهاي كاربر را چك ميكند و يا اينكه دستيابي را ممكن و يا غيرممكن ميسازد پيامهاي حسابرسي بصورت نتيجه حاصل ميشوند. SRM شامل يك كپي از كد اعتبار دستيابي است كه تضمين ميكند، منابع بدون توجه به نوع آنها بطور يكسان از جانب سيستم حمايت ميشوند. رابط كاربر User Interface (UI) با وجود اينكه UI بخش مهم مدل امنيتي است، اما اساساً تمام چيزي است كه كاربر ميبيند. UI همچنين چگونگي انجامپذيري اكثر اجراهاست. 2- شناسايي يك كاربر چگونه كار ميكند؟ ابتدا كاربر logon ميشود. هنگامي كه logon روي ميدهد، NT يك شيء نشانهاي ايجاد ميكند كه نشاندهنده آن كاربر است. هر فرآيندي كه كاربر اجرا ميكند در رابطه با اين علامت (يا يك كپي از آن) است. تركيب علامت - فرآيند به يك Subject اشاره دارد. هنگامي كه subjectها به Objectهايي همچون فايلها و دايركتوريها دستيابي مييابد، NT نشانه Subject را با Access Control List(ACL)، Object چك ميكند و اجازه دستيابي و يا عدم دستيابي را معين ميكند. اين امر ممكن است يك پيام حسابرسي ايجاد كند. 3- تفاوت بين "Workgroup", "Standalone" و "domain"چيست؟ هر ايستگاه كاري NT در يك Workgroup و يا يك domain شركت ميكند. اكثر كمپانيها براي مديريت منبع از طريق مجري، داراي مشاركت ايستگاه كاري NT در يك domain هستند. domain يك يا چند سرويسدهنده است كه سرويسدهنده NT را با تمام عملكردهاي سرويس دهندهها بصورت يك سيستم منفرد اجرا ميكند. domain نه تنها شامل سرويسدهندههاست، بلكه شامل ايستگاههاي كاري NT، ويندوز براي ماشينهاي Workgroup و حتي ماشينهاي LAN Manager 2.x ميباشد. بانك اطلاعاتي كاربر و گروه تمام منابع يك domainرا پوشش ميدهد. domainها ميتوانند از طريق domainهاي قابل اطمينان به يكديگر مرتبط شوند. مزيت domainهاي قابل اطمينان در اين است كه يك كاربر براي بدست آوردن منابع از ميان چندين domain، تنها نياز به يك account كاربر و كلمه عبور دارد و مديران يقيناً ميتوانند منابع را مديريت كنند. يك Workgroup، گروهي از ايستگاههاي كاري است كه به يك domainتعلق ندارند. يك ايستگاه كاري مستقل NT، يك Workgroup خاص است. accountهاي كاربر و گروه بطور متفاوتي بين domain و موقعيتهاي Workgroup مديريت ميشوند. accountهاي كاربر ميتوانند در سطح محلي يا domain تعيين شوند. يك account كاربر محلي ميتواند تنها به همان كامپيوتر محلي logon شود، در حالي كه account domainميتواند از هريك از ايستگاههاي كاري در domain logon شود. accountهاي گروهي سراسري در سطح domain تعيين ميشوند. يك account گروهي سراسري راه سادهاي براي دستيابي به زير مجموعه كاربرهاي يك domain است، مثلاً يك دايركتوري يا فايل منفرد كه روي يك سرويس دهنده خاص در domain قرار گرفته است. accountهاي گروهي محلي بروي هر كامپيوتر معين ميشوند. يك account گروهي محلي ميتواند داراي accountهاي گروهي سراسري و accountهاي كاربر بصورت اعضا باشد. در يك domain، بانك اطلاعاتي كاربر و گروه توسط سرويسدهندهها به اشتراك گذاشته ميشود. ايستگاههاي كاري NT در domain، هيچ كپي از بانك اطلاعاتي كاربر و گروه ندارند، اما ميتوانند مختص خود را دارد و اين اطلاعات را قسمت نميكند. 4- Service Pack چيست؟ مايكروسافت براي اجراي سيستمها و برنامههاي كاربردي، از بانك اطلاعاتي بزرگ و Online ثابتها نگهداري ميكند. اين ثابتها با عنوان Service Packها بيان ميشوند. NT سهم خود را دارد، و آخرين Service Pack داراي آخرين ثابتهاست كه شامل Patchهاي امنيتي ميباشد. نصب يك Service Pack به سادگي با خاموش و روشن كردن چند ويژگي كه شامل Registry editing است، صورت نميگيرد. در برخي شرايط نصب Service Pack انجامپذير نيست و يا موجب ناسازگاري ميگردد. اغلب پس از آنكه يك محصول جديد load ميشود، حتي يك محصول مايكروسافت، بايد مجدداً Service Pack را نصب كنيد. به همين دليل، مديران LAN اغلب نصب بيموقع Service Packها را ناديده ميگيرند. براي هكر اين يك مزيت محسوب ميشود، بخصوص اگر سايت داراي سرويس دهندههاي NT و ايستگاههاي كاري زيادي باشد كه نياز به Patch كردن داشته باشند. ممكن است روزي مايكروسافت نصب Service Pack را تا حدي آسانتر سازد، اما تا آن زمان شما موقعيتهاي بسياري را خواهيد يافت كه يا در حال Patch شدن هستند و يا هرگز patch نميشوند. معمولاً Service Packها به خوبي آزمايش ميشوند، اگرچه اين مطلب «ثابت» بودن همه چيز را تضمين نميكند. 5- Hotfix چيست؟ آن چه كه بين انتشارات Service Pack منتشر ميشود Hotfix نام دارد. يك Hotfix معمولاً براي مخاطب ساختن يك مشكل يا موقعيت خاص منتشر ميشود. برخي از Hotfixها ممكن است پيش نياز يك PackService خاص باشند و معمولاً در Service Pack بعدي گنجانده ميشوند. مداخله در برخي از Hotfixها كاملاً خطرناك است و اكثر گروههاي LANبه سادگي نصب آنها را ناديده ميگيرند. و اين خبر خوبي براي هكر است. Hotfixها به خوبي Service Packها آزمايش نميشوند. و اغلب پس از عناوين خبري در رابطه با نقصان امنيتي منتشر ميشوند، بنابراين نشر Hotfixها اغلب با عجله و شتاب صورت ميگيرد. 6- آيا گروههاي پيشفرض جالبي وجود دارند كه از آنها مطلع شويم؟ تعدادي از گروههاي محلي توكار وجود دارند كه ميتوانند وظايف گوناگوني را انجام دهند، كه برخي از اين وظايف بهتر است به مديران محول شود. مديران قادر به انجام هر كاري هستند، اما اعضاي گروههاي زير ميتوانند چند كار اضافي انجام دهند: - اپراتورهاي سرويس دهنده: Shutdown را حتي از راه دور انجام ميدهند، زمان سيستم را reset ميكنند؛ پشتيبانيها و احياءها را انجام ميدهند. - اپراتورهاي پشتيباني: Shutdown را انجام ميدهند؛ پشتيبانيها و احياءها را انجام ميدهند. - اپراتورهاي Shutdown : Account راانجام ميدهند. - اپراتورهاي چاپ: Shutdown را انجام ميدهند. همچنين اعضاي اين گروهها ميتوانند در logon ، Console شوند. 7- آيا محدودهاي خاصي براي گروه Adminstractive Tools در Presentation Manager وجود دارد؟ ابزارهاي زير داراي محدوديهاي گروه پيش فرض در 0/4 هستند: مدير ديسك - بايد عضوي از گروه مديران باشد. گزارش رويداد - هر كسي ميتواند EventViewer را اجرا نمايد، اما تنها اعضاي گروه مديران ميتوانند گزارشها را آشكار سازند و يا گزارش امنيتي را مشاهده نمائيد. پشتيباني - هر كسي ميتواند از فايلي كه بطور عادي به آنها دستيابي دارد، پشتيباني نمايد، اما تنها مديران و يا اپراتورهاي پشتيباني ميتوانند دستيابي عادي را Override كنند. مدير كاربر - كاربرها و كاربران پيشرفته ميتوانند گروههاي محلي را ايجاد و مديريت كنند. مدير كاربر domainها - كاربرها و كاربران پيشرفته در صورتي كه در Consoleسرويس دهنده logon شوند، ميتوانند گروههاي محلي را ايجاد و مديريت نمايند، در غير اين صورت به مديران و اپراتورهاي Accountمحدود ميشود. مدير سرويس دهنده - تنها مديران، مديران domain و اپراتورهاي سرويس دهنده ميتوانند از آن در domainهايي كه بر روي آن accountدارند استفاده نمايند. اپراتورهاي account تنها ميتوانند accountهاي جديد را به domain بيافزايند. برخي از ويژگيها در مدير سرويسدهنده فقط ميتوانند توسط مديران و مديران domain بكار گرفته شوند. 8- كجا ميتوان Service Packها و Hotfixها را يافت؟ محل اصلي براي يافتن Service Packها: FTP://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/xxx/yyy/zzz xxx كشور، yyy نسخه NT و Service Pack ، zzz ميباشد. براي مثال اين آدرس نسخه آمريكايي Service Pack3 براي NT4 ميباشد: ftp://ftp.microsfot.com/bussys/winnt/winnt-public/fixes/usa/nt04/ussp3 محل اصلي براي يافتن Hotfixها: FTP://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/xxx/yyy/zzz xxx كشور، yyy نسخه NT و zzz دايركتوري Hotfix ميباشد. براي مثال، اين آدرس نسخههاي آمريكايي Hotfixها براي N4 ميباشد، در صورتي كه Service Pack3 نصب شده باشد: ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt04/hotfixes-postsp3 http://www.drhedayati.com/
این صفحه را در گوگل محبوب کنید
[ارسال شده از: پرشین وی]
[مشاهده در: www.persianv.com]
[تعداد بازديد از اين مطلب: 626]