فواید به کارگیری راهکار LUA در ویندوز XP

پیشرفت های اخیر در فناوری شبکه مانند امکان اتصال دائم به اینترنت، فرصت های زیادی را در اختیار انواع شرکت ها و سازمان ها و حتی کاربران عادی قرار داده است. اما متأسفانه اتصال به هر نوع شبکه ای و مخصوصاً اینترنت، خطر حملات بدافزاری را افزایش می دهد و در همین حال که متخصصان امنیتی مشغول مدیریت خطرات موجود هستند، خطرات جدیدی ایجاد و کشف می شوند.
یکی از فاکتورهای اصلی که خطر بدافزارها را به میزان چشمگیری افزایش می دهد، تمایل به دادن امکانات مدیر سیستم به کاربران است. زمانی که یک کاربر با حق دسترسی مدیر یا Administrator وارد سیستم می شود، تمام برنامه هایی که اجرا می کند مانند مرورگرها، برنامه های ایمیل و برنامه های پیام فوری نیز حق دسترسی مدیر سیستم را پیدا می کنند. در صورتی که این برنامه ها یک بدافزار را فعال سازند، آن بدافزار خود را نصب و خدمات برنامه های آنتی ویروس را دستکاری کرده و حتی ممکن است خود را از دید سیستم عامل پنهان سازد. از طرف دیگر کاربران نیز ممکن است به صورت ناخواسته (برای مثال از طریق بازدید از یک وب سایت آلوده شده و یا با کلیک بر روی پیوست ایمیل) برنامه های خرابکار را اجرا کنند. برنامه های خرابکار مذکور می توانند بسیار خطرناک بوده و کارهایی از قبیل دستکاری اطلاعات حساس، به دست آوردن کلمات عبور از طریق نصب ثبت کننده ضربات صفحه کلید (keystroke logger)، به دست گرفتن کنترل کامل رایانه قربانی و حتی شبکه ها را انجام داده و کاری کنند که وب سایت ها بالا نیایند و یا حتی دیسک سخت را فرمت کنند. در برخی موارد هزینه تحمیل شده بر اثر خرابکاری های مذکور غیر قابل جبران می باشد.
برای برخورد با تهدیدات مذکور، یک استراتژی دفاع چند لایه لازم است که راهکار حساب های کاربری با حداقل دسترسی (LUA-least-privileged user account)، یکی از بخش های مهم استراتژی دفاعی را تشکیل می دهد. راهکار LUA تضمین می کند که کاربران از اصول حداقل حق دسترسی پیروی کرده و با حساب های کاربری محدود شده وارد شبکه شوند. از طرف دیگر هدف LUA، اعطای حق دسترسی مدیریتی تنها به مدیران شبکه و تنها برای انجام کارهای مدیریتی است.
برای کسب اطلاعات بیشتر در مورد LUA و اصل حداقل حق دسترسی به مقاله حداقل حق دسترسی در ویندوز XP و برای کسب اطلاعات بیشتر در مورد پیاده سازی این راهکار به مقاله "پیاده سازی حداقل حق دسترسی در ویندوز XP" مراجعه فرمایید. همچنین برای آشنایی بیشتر با فواید این راهکار می توانید مقاله "فواید پیاده سازی LUA در ویندوز XP " را مطالعه کنید. در این مقاله در مورد اثراتی که پیاده سازی LUA بر امنیت شبکه، تهدیدها، کارایی سازمان و هزینه های تحمیلی می گذارد، بحث خواهیم کرد.

فواید پیاده سازی حداقل حق دسترسی در ویندوز XP

استفاده از اصل حداقل حق دسترسی فواید بسیاری را برای سازمان ها و شرکت ها در پی دارد. علاوه بر کاهش خطرات ناشی از حمله های خرابکارانه، فواید زیر نیز برای به کار گیری اصل حداقل حق دسترسی شمرده می شوند:

· افزایش امنیت


• افزایش قابلیت مدیریت
• افزایش قابلیت تولید
• کاهش هزینه ها
• کاهش مشکل سرقت ها و سوءاستفاده های پنهان

در ادامه در مورد هر یک از موارد فوق و تأثیر آن بر سازمان به تفصیل صحبت می کنیم.

افزایش امنیت

راهکار LUA یکی از معیارهای امنیتی است که می تواند به شما در محافظت از سازمان و دارایی های کامپیوتری در برابر سوءاستفاده های مهاجمان یاری رساند. مهاجمان به دلایل متعددی به دنبال سوءاستفاده از شبکه شما هستند که می تواند شامل موارد زیر باشد:

• به دست آوردن کنترل رایانه ها به منظور استفاده در حملات انکار سرویس گسترده
  
• ارسال هرزنامه
• به دست آوردن اطلاعات محرمانه شرکت
• سرقت هویت کاربران
• انتشار بدافزارها

این حملات زمانی احتمال موفقیت بیشتری دارند که کاربران دارای حق دسترسی مدیریتی باشند زیرا این نوع حساب های کاربری می توانند کارهای زیر را انجام دهند:

• روتکیت های هسته سیستم عامل را نصب کنند.
• برنامه های ثبت ضربات صفحه کلید را نصب کنند.
• رمزهای عبور تعریف شده بر روی سیستم را تغییر دهند.
• جاسوس افزارها و تبلیغات افزارها را نصب کنند.
• به داده هایی که متعلق به دیگر کاربران است، دسترسی داشته باشند.
• کدهایی را به صورت اتوماتیک در زمان ورود کاربر به سیستم اجرا کنند.
• فایل های سیستمی را با تروجان ها جایگزین کنند.
• ردپای خود را مخفی کنند.
• از راه اندازی مجدد سیستم جلوگیری به عمل آورند.

در صورتی که کاربران با استفاده از حساب های کاربری محدود شده وارد سیستم شوند، برنامه های خرابکار تنها می توانند تغییرات اندکی در سیستم عامل ایجاد کنند. اعمال محدودیت مذکور به طرز قابل ملاحظه ای توانایی بدافزارها را برای نصب و اجرا کاهش داده و امنیت را افزایش می دهد اما مانعی برای انجام کارهای کاربران به شمار نمی رود.

افزایش قابلیت مدیریت

استاندارد سازی یکی از اجزای مهم مدیریت شبکه، مخصوصاً در صورت وجود تعداد زیاد رایانه های مشتری (client) است. برای مثال اگر یک سازمان دارای 500 رایانه مشتری باشد و هر رایانه نیز دارای تنظیمات نرم افزاری و کامپیوتری متفاوت باشد، مدیریت پیشگیری بسیار پیچیده خواهد شد. زمانی که کاربران اجازه نصب نرم افزارها و اعمال تغییرات گسترده در سیستم را دارند، این پیچیدگی منجر به نتایج اجتناب ناپذیر و ناگواری خواهد شد.
ویندوز XP اختیارات زیادی را به کاربران برای انجام تغییر در تنظیمات سیستم عامل می دهد و معمولاً کاربران در صورتی که با دسترسی مدیریتی وارد سیستم شوند علاقمند به استفاده از این توانایی بوده و تغییراتی را در تنظیمات سیستم عامل ایجاد می کنند. برای مثال ممکن است، کاربر فایروال را برای اتصال به یک شبکه بی سیم خاموش کرده و سپس به صورت ناامن به یک ISP متصل شود. این مسئله به طرز قابل توجهی احتمال مورد سوءاستفاده قرار گرفتن رایانه مذکور را افزایش می دهد، زیرا تمام شبکه ها (حتی شبکه های مورد اعتماد) باید دارای سد دفاعی فایروال بر روی میزبان باشند.
کاربران تمایل دارند که تنظیمات را طبق تمایلات خود تغییر دهند و در صورت بروز مشکل، مسئولان پشتیبانی هر بار با تنظیمات جدیدی مواجه می شوند. در واقع نبود استانداردهای مربوطه در این زمینه منجر به ایجاد مشکلات در امور پشتیبانی، حل مشکل و تعمیرات شده و زمان و هزینه پروسه های مذکور را بالا می برد.
از طرف دیگر راهکار LUA مرزهای مدیریتی مشخصی را بین کاربران و مدیران شبکه مشخص می کند. این مرزبندی باعث می شود کارمندان بر روی انجام وظایف خود متمرکز شده، در حالی که مدیران شبکه زیرساخت ها را مدیریت می کنند. در صورتی که کاربران دارای حق دسترسی مدیریتی باشند، ایجاد چنین مرزهایی تقریباً غیر ممکن است و رعایت استانداردها تضمین نمی شود.
شبکه ای که همه کاربران دارای حق دسترسی مدیریتی هستند، عملاً مدیریت نشده است، زیرا کاربران می توانند تنظیمات مدیریتی را دور بزنند. در صورتی که کاربران نتوانند نرم افزارها و سخت افزارهای تأیید نشده را نصب کنند و یا تغییراتی را در سیستم ایجاد کنند، رایانه های آنها در حد قابل قبولی نزدیک به استانداردهای سازمان باقی می ماند. راهکار LUA قابلیت مدیریت را با محدود کردن تغییرات ناخواسته بالا می برد.

افزایش قابلیت تولید

رایانه ها قابلیت تولید سازمان ها با شکل ها و اندازه های مختلف را به صورت چشمگیری افزایش داده اند، هرچند که رایانه ها برای حفظ این قابلیت تولید، نیازمند مدیریت پویا می باشند. طبیعی است در سازمان هایی که کاربران برای انجام کارهایشان وابسته به رایانه هستند، کارمندان پشتیبانی باید تا حد امکان احتمال خرابی رایانه ها را در اثر تنظیمات نادرست و یا آلودگی ویروسی پایین آورند.
راهکار LUA می تواند در نگهداری قابلیت تولید مؤثر باشد زیرا منجر به پایداری بیشتر سیستم های کارمندان می شود. در صورتی که کاربران نتوانند تنظیمات اساسی رایانه خود را تغییر دهند، دارای سیستم های پایدارتری بوده و در نتیجه زمان از کار افتادگی تولید و بازیابی سیستم های خراب کاهش می یابد.
از طرف دیگر تسلط یک بدافزار بر یکی از رایانه های سازمان نیز می تواند تأثیر سوئی بر قابلیت تولید بگذارد زیرا ممکن است رایانه مذکور نیاز به پاکسازی و یا فرمت کردن داشته باشد و کاربر مذکور داده ها و فایل های خود را به علت آلودگی از دست بدهد. البته برخی از داده ها را می توان بازیابی کرد که معمولاً نیازمند به روز رسانی هستند. موارد مذکور به این معنی است که یا کارمند از وظیفه محوله باز مانده است و یا باید زمانی را برای تکرار آن هدر دهد.

کاهش هزینه ها

با وجودی که نگهداری از رایانه های موجود در شبکه سازمان ها و شرکت ها هزینه بر است، اما برخی عوامل می توانند هزینه های مذکور را به طرز قابل توجهی بالا ببرند:

• ترکیب تست نشده از سخت افزارها و نرم افزارها
• تغییرات نا معلوم در سیستم عامل ها
• ایجاد تغییرات گسترده در سیستم ها مطابق میل کاربران
• نرم افزارهای غیر استاندارد با انواع فایل ناشناخته
• اجازه به کاربران برای نصب نرم افزار
• بدافزارها
• نسخه های آزمایشی (بتا) نرم افزارها و درایورها
• استفاده بدافزارها از پهنای باند اینترنت

راهکار LUA از نصب نرم افزارهای تأیید نشده، بدون مجوز و بدافزارها جلوگیری به عمل می آورد. این راهکار همچنین به کاربران اجازه نمی دهد تغییرات نامعلومی را بر روی رایانه انجام دهند. این محدودیت ها هزینه های تیم پشتیبانی را کاهش داده و همچنین مدت زمان از کار افتادن رایانه ها بر اثر داشتن حق دسترسی مدیریتی کاربران، نیز کمتر می شود.

کاهش مشکل سرقت ها و سوءاستفاده های پنهان

سازمان ها روز به روز نسبت به ایجاد قوانینی که از سوءاستفاده کارمندان از تجهیزات شرکت ها ممانعت کنند، آگاه تر می شوند. این قوانین باید طوری تنظیم شوند که از انجام اقدامات زیر جلوگیری به عمل آورند:

• سرقت داده های مشتریان
• میزبانی وب سایتی که دارای محتویات غیر مجاز، آلوده یا به سرقت رفته باشد
• میزبانی سرورهایی که برای ارسال حجم زیاد ایمیل های تبلیغاتی به کار رود
• مشارکت در حملات انکار سرویس توزیع شده

هر یک از جرائم فوق توسط سازمان ها چه آگاهانه و چه ناآگاهانه انجام گرفته باشد، مجازات ها و جریمه هایی را برای سازمان مذکور در پی خواهد داشت. سازمان هایی که از راهکار LUA استفاده می کنند، بسیار کمتر از دیگر سازمان ها مورد سوءاستفاده قرار گرفته و در نتیجه کمتر نیز دچار ضرر و زیان های ناشی از مسائل فوق می شوند.
در مقاله موازنه امنیت، تهدید، کارایی و هزینه ها در مورد اثراتی که پیاده سازی LUA بر هر یک از موارد مذکور می گذارد صحبت خواهیم کرد و به برخی از فواید پنهان LUA نیز اشاره خواهد شد.