حداقل حق دسترسی (LUA) در ویندوز XP

پیشرفت های اخیر در فناوری شبکه، مانند امکان اتصال دائم به اینترنت، فرصت های زیادی را در اختیار انواع شرکت ها و سازمان ها و حتی کاربران عادی قرار داده است. اما متأسفانه اتصال به هر نوع شبکه ای و مخصوصاً اینترنت، خطر حملات بدافزاری را نیز افزایش می دهد و در زمانی که متخصصان امنیتی مشغول مدیریت خطرات موجود هستند، خطرات جدیدی ایجاد و کشف می شوند.

همانطور که اشاره شد، یکی از فاکتورهای اصلی که خطر بدافزارها را به میزان چشمگیری افزایش می دهد، ورود کاربر به سیستم با حق دسترسی مدیر سیستم است. در این زمان اگر بدافزاری فعال شود، می تواند در سطح مدیر سیستم به فعالیت بپردازد و در خدمات برنامه های آنتی ویروس اختلال ایجاد نماید. از طرف دیگر کاربران نیز ممکن است به صورت ناخواسته (برای مثال از طریق بازدید از یک وب سایت آلوده شده و یا با کلیک بر روی پیوست ایمیل) برنامه های خرابکار را اجرا کنند. برنامه های خرابکار مذکور می توانند بسیار خطرناک بوده و کارهایی از قبیل دستکاری اطلاعات حساس، به دست آوردن کلمات عبور از طریق نصب ثبت کننده ضربات صفحه کلید (keystroke logger)، به دست گرفتن کنترل کامل رایانه قربانی و حتی شبکه ها را انجام داده و کاری کنند که وب سایت ها بالا نیایند و یا حتی دیسک سخت را فرمت کنند. در برخی موارد هزینه تحمیل شده بر اثر خرابکاری های مذکور غیر قابل جبران است.

 

مدیریت حداقل حق دسترسی کاربر

برای برخورد با تهدیدات مذکور، یک استراتژی دفاع چند لایه لازم است که راهکار حساب های کاربری با حداقل دسترسی (LUA یا least-privileged user account)، یکی از بخش های مهم استراتژی دفاعی را تشکیل می دهد. راهکار LUA تضمین می کند که کاربران از اصول حداقل حق دسترسی پیروی کرده و با حساب های کاربری محدود شده وارد شبکه شوند. از طرف دیگر هدف LUA آن است که تنها به مدیران شبکه و تنها برای انجام کارهای مدیریتی، حق دسترسی مدیریتی اعطای کند.

بسیاری از سازمان ها و شرکت ها به صورت روتین، حق دسترسی مدیریتی را به تمامی کاربران رایانه های خود اعطا می کنند. این مسئله در مورد رایانه های قابل حمل متداول تر بوده و معمولاً به دلایل زیر اتفاق می افتد:

 

• برای اینکه برخی برنامه ها به درستی اجرا شوند، زیرا بعضی برنامه ها تنها در صورتی که کاربر حق دسترسی مدیریتی داشته باشد، اجرا می شوند. این مسئله زمانی اتفاق می افتد که برنامه، داده های کاربر را در رجیستری و یا در مکان هایی که برای کاربران غیر مدیریتی غیر قابل دسترسی است، ذخیره می کند.
• برای اینکه کاربر بتواند برخی اعمال مدیریتی را، مانند تغییر منطقه زمانی رایانه، انجام دهد.
• برای اینکه کاربران رایانه های قابل حمل بتوانند سخت افزارها و نرم افزارهای مورد نیاز خود مانند پرینترها و DVD writer ها را در مکان های مختلف نصب نمایند.

 

با وجودی که دلایل معتبر دیگری نیز برای دادن حق دسترسی مدیریتی به کاربران وجود دارد ولی این کار به صورت چشمگیری خطر مورد سوءاستفاده  قرار گرفتن رایانه و همچنین پیکربندی های نامناسب را افزایش می دهد. این خطرات می توانند بر بسیاری از فعالیتهای سازمان تأثیرگذار باشند.

 

تعریف اصل حداقل دسترسی

استاندارد DOD-5200.28-STD که به کتاب نارنجی نیز مشهور است، یک استاندارد شناخته شده در زمینه امنیت رایانه است. در این استاندارد اصل حداقل دسترسی به صورت زیر تعریف شده است:

 

" این اصل نیاز دارد تا به هر موجودیتی در سیستم، محدود کننده ترین حقوق دسترسی داده شود به طوری که کارهای تأیید شده برای آن قابل اجرا باشند. کاربرد این اصل، دامنه خساراتی را که بر اثر تصادف، خطا و یا کاربرد غیر مجاز تحمیل می شوند، محدود می کند."

 

تعریف راهکار LUA

راهکار LUA، روشی متشکل از پیشنهادات، ابزارها و تمارینی برای پیاده سازی اصل حداقل دسترسی، بر روی رایانه های دارای ویندوز XP است. در واقع کاربران، برنامه ها و سرویس های ویندوز XP باید تنها حقوق و مجوزهایی را دارا باشند که برای اجرای کارهای مربوطه لازم دارند. در اینجا باید به تفاوت بین حقوق و مجوز توجه کرد. حقوق اعمالی است که کاربر مجاز است بر روی رایانه انجام دهد در حالی که مجوز کارهایی است که می تواند بر روی یک موجودیت در رایانه انجام دهد. برای مثال کاربر حق خاموش کردن رایانه را دارد و مجوز دسترسی به یک سری از فایل ها را نیز دارا است.

در این راهکار سازمان ها باید دوباره نقش کامپیوترها و سطح دسترسی مورد نیاز کاربران برای استفاده از تجهیزات را ارزیابی کنند. این راهکار همچنین باید در مورد ایجاد و تست برنامه های کاربردی مورد استفاده قرار گیرد. توسعه دهندگان نرم افزار معمولاً با دسترسی مدیریتی وارد سیستم می شوند و در نتیجه برنامه هایی که کامپایل می کنند نیز دارای حق دسترسی ارتقا یافته مشابه است. در این حالت تولید کنندگان نرم افزار مذکور، به جای طراحی مجدد نرم افزار به گونه ای که صحیح کار کند، توصیه می کنند حق دسترسی کامل به کاربران اعطا شود و از همین جا مشکلات امنیتی آتی آغاز می شود.

 

انواع حساب کاربری بر روی ویندوز XP

 

در اینجا برای درک بهتر چگونگی اعطای حق دسترسی به کاربران مختلف، تفاوت حساب کاربری مدیریتی و غیر مدیریتی را در ویندوز XP توضیح داده و همچنین حقوق و مجوزهای دیگر انواع حساب های کاربری را شرح می دهیم. رایانه هایی که ویندوز XP را اجرا می کنند، به صورت پیش فرض دارای یک پایگاه داده امنیتی در Security Account Manager(SAM) هستند. در واقع SAM مسئول ذخیره سازی اطلاعات کاربران و گروه ها بوده و شامل چندین گروه پیش فرض است که به شرح زیر می باشند.

 

• Administrators
• Power Users
• Users
• Guests

 

حساب های کاربری مدیریتی

این نوع حساب های کاربری دسترسی کامل و نامحدود به منابع دارند. یک حساب کاربری مدیریتی یا Administrative، هر حساب کاربری است که عضو یکی یا بیشتر از گروه های مدیریتی باشد. در رایانه هایی که عضو یک دامنه هستند، گروه های مدیریتی شامل موارد زیر می شود:

• The local Administrators group
• The local Power Users group
• The Domain Admins group
• The Network Configuration Operators group
• هر گروهی در دامنه که عضو یکی از گروه های مدیریتی فوق باشد.

 

هر کاربری که با عضویت در یکی از گروه های مذکور یا بیشتر، وارد سیستم شود می تواند تغییرات گسترده ای را بر سیستم اعمال کند. توجه کنید که گروه Power User زیر مجموعه ای از Administrator است و از این رو قرار دادن کاربران در این گروه با اصل LUA سازگاری ندارد.

 

کاربران محدود شده

یک کاربر محدود شده دارای یک حساب کاربری است که عضوی از Local Users Group بوده و عضو هیچ کدام از گروه های مدیریتی ذکر شده نیست. در رایانه هایی که عضو یک دامنه هستند، هر حساب کاربری که عضو Domain Users Group باشد نیز عضوی از Local Users Group به حساب می آید.

حساب های کاربری محدود شده به طرز قابل توجهی سطح حملات را کاهش می دهند زیرا این کاربران توانایی اعمال تغییرات تأثیر گذار بر امنیت را ندارند. برای مثال این کاربران نمی توانند پورت های فایروال را باز کنند، سرویسی را فعال یا غیر فعال کنند یا فایل های موجود در فولدرهای سیستم ویندوز را تغییر دهند.

 

حقوق هر حساب کاربری با عضویت در یک گروه یا بیشتر از گروه های فوق مشخص می گردد. برای مثال حساب کاربری Administrator پیش فرض در ویندوز، دارای حقوق مدیریتی است زیرا عضوی از گروه Administrators است. گروه مذکور به حساب های کاربری منتسب به خود، اختیارات سطح بالایی از جمله خاموش کردن رایانه از راه دور را می دهد.

بسیاری از سازمان ها ادعا می کنند که LUA را پیاده سازی کرده اند، زیرا کاربران آنها عضوی از Domain Users group هستند. اما آنها این واقعیت را نادیده می گیرند که در صورتی که کاربران آنها عضو Local Administrators groupنیز باشند، تمام برنامه های آنها با حقوق مدیریتی اجرا خواهند شد و می توانند به صورت بالقوه باعث تغییرات ناخواسته شوند.

بنابراین با نگاشت هر حساب کاربری به یکی از گروه های مذکور، در واقع حدود مجوزها و حقوق دسترسی حساب کاربری مذکور تعیین می گردد.

در ادامه به شیوه پیاده سازی LUA خواهیم پرداخت.