Group Policy

Group Policy  يا همان نظم گروهي يكي از جمله امكانات موجود در خانواده سيستم عامل هاي NT  است كه  مديريت مركزي و پيكره بندي رايانه ها و كاربران در Active Directory  را بر عهده دارد.

Group Policy  اكثرا در تشكيلات و سازمان‌هاي بزرگ مورد استفاده قرار مي گيرد اما سازمان‌هاي عمومي ، شركت هاي كوچك ، مدارس و حتي برخي كاربران خانگي نيز براي حفظ امنيت رايانه و ايجاد محدوديت هايي در هنگام استفاده از آن به اين ابزار روي ميآورند.

محدوديت هايي همچون ممانعت از دسترسي بهTask Manager  ، ممانعت از دسترسي به پوشه‌هاي خاص و غير فعال كردن دانلود فايل هاي اجرايي برخي از امكاناتي است كه اين بخش در اختيار شما قرار مي دهد.

آسان اما حرفه اي‌

يكي از وظايف ساده Group Policy  بكارگيري آن بر روي يك رايانه و استفاده از امكانات آن براي اعمال محدوديت ها و سفارشي كردن بخش هاي ويندوز است. شايد شنيده باشيد كه برخي ويروس ها كارهايي همچون حذف آيكون هاي دسكتاپ ، حذف گزينه كنترل پانل ، غير فعال سازي  Task Manager ، غير فعال كردن رجيستري و همچنين مخفي سازي درايو ها را موجب مي شوند. بسياري از كاربران در اينگونه شرايط حتي پس از پاكسازي ويروس توسط ويروس ياب هاي قدرتمند نيز نمي‌توانند اين بخش‌ها را طبق قبل تنظيم نمايند چرا كه اينگونه تغييرات وقتي بدون رضايت كاربر رايانه صورت بگيرد عملكردي مخرب در پيش رو دارد اما چون اعمال اينگونه فعاليت‌ها توسط بخش‌هاي مختلف ويندوز و امكانات موجود در خود ويندوز است اكثر ويروس ياب‌هاي قدرتمند نيز نمي‌توانند تغييرات به وجود آمده به اين شكل را به حالت اوليه بازگردانند چرا كه امكان تشخيص اين را ندارند كه تغييرات با رضايت كاربر صورت گرفته است يا بدون رضايت ايشان!

در‌هرحالGroup Policy  نيز دقيقا همين امكانات را در اختيار شما قرار مي دهد. با استفاده از اين امكانات مي توانيد ويندوز خود را به طور كامل سفارشي و هر جا را كه بخواهيد كم يا زياد كنيد. اگر تا به حال از اين ابزار استفاده نكرده باشيد شايد اعمال اينگونه تغييرات در ويندوز را كار افراد حرفه اي بدانيد اما با استفاده از اين ابزار خواهيد ديد كه اينگونه كار ها تنها نيازمند چند كليك ساده است!

هر تغيير ، 4 مرحله‌

1- براي دسترسي به ابزارGroup Policy  و اعمال تغييرات در اين بخش مي توانيد به درايو حاوي فايل هاي ويندوزي مراجعه كرده سپس از پوشهWindows   پوشه 32System را انتخاب نموده و برنامهgpedit  را اجرا نماييد. ( راه ديگر دسترسي به اين ابزار ، انتخاب گزينه  Run  از منويStart  و وارد نمودن عبارتgpedit.msc  در كادر مربوطه است)

2- پس از اجراي ابزار Group Policy  پنجره اي براي شما به نمايش در مي آيد كه به دو بخش اصلي تقسيم شده است. بخش سمت چپ كه به طبقه بندي بخش‌هاي مختلف ويندوز پرداخته است و بخش سمت راست كه زير شاخه هر بخش انتخاب‌شده از سمت چپ را به نمايش در مي آورد.براي استفاده از اين ابزار مي بايد ابتدا يكي از بخش‌هاي تنظيماتي سمت چپ را با توجه به تغييراتي كه مي‌خواهيد اعمال كنيد انتخاب نماييد.

3- پس از انتخاب شاخه مربوطه از سمت چپ مي‌توانيد امكانات و تنظيماتي كه براي آن بخش وجود دارد را در سمت راست مشاهده نماييد.در اين مرحله مي توانيد با مطالعه توضيحات مربوط به هر موضوع با عملكرد آن آشنا شده و درصورت نياز براي اعمال تغييرات بر روي آن گزينه مربوطه را انتخاب و بر روي آن دو بار كليك نماييد تا پنجره تنظيمات آن باز شود.

4- در نهايت با انتخاب يكي از گزينه هايEnabled ,Disabled  در پنجره تنظيمات ، مي‌توانيد اين عملگرها را فعال يا غير فعال نماييد.

مثال‌

براي مثال پس از اجراي ابزارGroup Policy  از سمت چپ گزينه User Configuration  سپس Administrative Templates  سپس  System  و  در نهايت  Ctrl+Alt+Del Options  را انتخاب نماييد. 

حال از بخش سمت راست بر روي عملگر  Remove Task Manager  دو بار كليك نموده و گزينه  Enabled  را فعال كنيد. خواهيد ديد كه ديگر با فشردن همزمان سه كليدCtrl + Alt + Delete  پنجرهTask Manager  به نمايش در نمي‌آيد.

اميرعصاري‌

پراكسي چيست؟

   در دنياي امنيت شبكه، افراد از عبارت «پراكسي» براي خيلي چيزها استفاده مي‌كنند. اما عموماً، پراكسي ابزاري است كه بسته‌هاي ديتاي اينترنتي را در مسير دريافت مي‌كند، آن ديتا را مي‌سنجد و عملياتي براي سيستم مقصد آن ديتا انجام مي دهد. در اينجا از پراكسي به معني پروسه‌اي ياد مي‌‌شود كه در راه ترافيك شبكه‌اي قبل از اين‌كه به شبكه وارد يا از آن خارج شود، قرار مي‌گيرد و آن را مي‌سنجد تا ببيند با سياست‌هاي امنيتي شما مطابقت دارد و سپس مشخص مي‌كند كه آيا به آن اجازه عبور از فايروال را بدهد يا خير. بسته‌هاي مورد قبول به سرور مورد نظر ارسال و بسته‌هاي ردشده دور ريخته مي‌‌شوند.

تفاوت پراكسي با فايروال‌ها

   پراكسي‌ها بعضي اوقات با دو نوع فايروال اشتباه مي‌‌شوندPacket filter  و Stateful packet filter كه البته هر كدام از روش‌ها مزايا و معايبي دارد، زيرا هميشه يك مصالحه بين كارايي و امنيت وجود دارد.

پراكسي با  Packet filter تفاوت دارد

   ابتدايي ترين روش صدور اجازه عبور به ترافيك بر اساسTCP/IP اين نوع فيلتر بود. اين نوع فيلتر بين دو يا بيشتر رابط شبكه قرار مي‌گيرد و اطلاعات آدرس را در header IPترافيك ديتايي كه بين آنها عبور مي‌كند، پيمايش مي‌كند. اطلاعاتي كه اين نوع فيلتر ارزيابي مي‌كند عموماً شامل آدرس و پورت منبع و مقصد مي‌‌شود. اين فيلتر بسته به پورت و منبع و مقصد ديتا و بر اساس قوانين ايجاد شده توسط مدير شبكه بسته را مي‌پذيرد يا نمي پذيرد. مزيت اصلي اين نوع فيلتر سريع بودن آن است چرا كه header ، تمام آن چيزي است كه سنجيده مي‌‌شود. و عيب اصلي آن اين است كه هرگز آنچه را كه در بسته وجود دارد نمي‌بيند و به محتواي آسيب‌رسان اجازه عبور از فايروال را مي دهد. به علاوه، اين نوع فيلتر با هر بسته به عنوان يك واحد مستقل رفتار مي‌كند و وضعيت (State) ارتباط را دنبال نمي‌كند.

پراكسي باStateful packet filter  تفاوت دارد

   اين فيلتر اعمال فيلتر نوع قبل را انجام مي دهد، به علاوه اين‌كه بررسي مي‌كند كدام كامپيوتر در حال ارسال چه ديتايي است و چه نوع ديتايي بايد برسد. اين اطلاعات به عنوان وضعيت(State)  شناخته مي‌‌شود.

پروتكل ارتباطيTCP/IP به ترتيبي از ارتباط براي برقراري يك مكالمه بين كامپيوترها نياز دارد. در آغاز يك ارتباط TCP/IP عادي، كامپيوتر A سعي مي‌كند با ارسال يك بستهSYN(synchronize)  به كامپيوتر B ارتباط را برقرار كند.
كامپيوترB در جواب يك‌‌بستهSYN/ACK (Acknowledgement)  برمي‌گرداند و كامپيوتر A  يك ACK به كامپيوترB مي فرستد و به اين ترتيب ارتباط برقرار مي‌‌شودTCP. اجازه وضعيت‌هاي ديگر، مثلا(FIN (finish براي نشان دادن آخرين بسته در يك ارتباط را نيز مي‌دهد.

   هكرها در مرحله آماده‌سازي براي حمله، به جمع‌‌آوري اطلاعات در مورد سيستم شما مي‌پردازند. يك روش معمول ارسال يك بسته در يك وضعيت غلط به منظوري خاص است. براي مثال، يك بسته با عنوان پاسخ(Reply)  به سيستمي كه تقاضايي نكرده، مي‌فرستند. معمولا، كامپيوتر دريافت‌كننده بيايد پيامي بفرستد و بگويد ”I don't understand” . به اين ترتيب، به هكر نشان مي‌دهد كه وجود داشته و آمادگي برقراري ارتباط دارد. به علاوه، قالب پاسخ مي تواند سيستم عامل مورد استفاده را نيز مشخص كند، و براي يك هكر گامي به جلو باشد. يك فيلتر Stateful packet منطق يك ارتباطTCP/IP  را مي‌فهمد و مي‌تواند يك “Reply” را كه پاسخ به يك تقاضا نيست، مسدود كند  آنچه كه يك فيلتر packet ردگيري نمي‌كند و نمي‌‌تواند انجام دهد. فيلترهاي Stateful packet مي توانند در همان لحظه قواعدي را مبني بر اين‌كه بسته مورد انتظار در يك ارتباط عادي چگونه بايد بنظر رسد، براي پذيرش يا رد بسته بعدي تعيين كنند. فايده اين كار امنيت محكم تر است. اين امنيت محكم تر، بهرحال، تا حدي باعث كاستن از كارايي مي‌‌شود.نگاهداري فهرست قواعد ارتباط به صورت پويا براي هر ارتباط و فيلتركردن ديتاي بيشتر، حجم پردازشي بيشتري به اين نوع فيلتر اضافه مي‌كند.

پراكسي‌ها يا Application Gateways 

   Application Gateways كه عموماً پراكسي ناميده مي‌‌شود، پيشرفته ترين روش استفاده شده براي كنترل ترافيك عبوري از فايروال‌ها هستند. پراكسي بين كلاينت و سرور قرار مي‌گيرد و تمام جوانب گفتگوي بين آنها را براي تاييد تبعيت از قوانين برقرار شده، مي‌سنجد. پراكسي بار واقعي تمام بسته‌هاي عبوري بين سرور و كلاينت را مي سنجد، و مي تواند چيزهايي را كه سياستهاي امنيتي را نقض مي‌كنند، تغيير دهد يا محروم كند. توجه كنيد كه فيلترهاي بسته‌ها فقط header‌ها را مي سنجند، در حاليكه پراكسي‌ها محتواي بسته را با مسدود كردن كدهاي آسيب‌رسان همچون فايل هاي اجرايي، اپلت‌هاي جاوا، ActiveX و ... غربال مي‌كنند.

   پراكسي‌ها همچنين محتوا را براي اطمينان از اين‌كه با استانداردهاي پروتكل مطابقت دارند، مي‌سنجند. براي مثال، بعضي اَشكال حمله كامپيوتري شامل ارسال متاكاراكترها براي فريفتن سيستم قرباني است؛ حمله‌هاي ديگر شامل تحت تاثير قراردادن سيستم با ديتاي بسيار زياد است. پراكسي‌ها مي توانند كاراكترهاي غيرقانوني يا رشته‌هاي خيلي طولاني را مشخص و مسدود كنند. به علاوه، پراكسي‌ها تمام اعمال فيلترهاي ذكرشده را انجام مي دهند. بدليل تمام اين مزيتها، پراكسي‌ها به عنوان يكي از امن‌ترين روش‌هاي عبور ترافيك شناخته مي‌‌شوند.
آنها در پردازش ترافيك از فايروال‌ها كندتر هستند زيرا كل بسته‌ها را پيمايش مي‌كنند. به هرحال «كندتر» بودن يك عبارت نسبي است.

   آيا واقعاً كند است؟ كارايي پراكسي بمراتب سريع‌تر از كارايي اتصال اينترنت كاربران خانگي و سازمان‌هاست. معمولاً خود اتصال اينترنت گلوگاه سرعت هر شبكه‌اي است. پراكسي‌ها باعث كندي سرعت ترافيك در تست‌هاي آزمايشگاهي مي‌‌شوند اما باعث كندي سرعت دريافت كاربران نمي‌‌شوند. در شماره‌هاي بعد بيشتر به پراكسي خواهيم پرداخت.

يكي از بهترين پروكسي سرورهاي موجود در اينترنت كه در مقاله‌هاي گذشته درباره آن توضيح داده‌ايم، Squid نام دارد كه به صورت رايگان بر روي سرورهاي لينوكس نصب مي‌‌شود.

بهروز كماليان‌

 محصول جديدHP  كه 133 Voodoo Envy نام دارد تنها 7/0 اينچ ضخامت دارد و در تابستان سال جاري به قيمتي برابر20990 دلار در دسترس خواهد بود. البته اين محصول از Mac Book Air  سنگين‌تر است، ضمن اين‌كه همانند آن فاقد درايو نوري است و كاربران براي استفاده از ديسك‌هاي ليزري ناچار به استفاده از درايوهاي بيروني هستند.

خوب است بدانيم هم‌اكنون ركورد باريك‌ترين رايانه همراه، در اختيار شركت‌ACER است و محصول جديدHP، بعد از آن در رتبه دوم قرار دارد.

Voodoo envy133 يك نمايشگر 3/13 اينچي دارد و مجهز به فناوري‌هاي بي‌سيم 11.802 Bluetooth,  Wi-Fi ABGN و نيز درگاه‌هاي HDMI است. اين رايانه كه در دو رنگ سياه‌ و سفيد طراحي شده است يكWebcam درون‌ساخته دارد كه مي‌تواند تصاوير را با كيفيت مطلوب به وب ارسال كند.

پردازنده به كار رفته در اين رايانهcore 2 due sp77oo  شركت اينتل با سرعت 8/1GHZ است، همچنين امكان استفاده از درايوهايSSD به جاي ديسك‌هاي سخت به‌طور اختياري براي اين است كه به كاربر اين امكان را مي‌دهد كه به سرعت و بدون بارگذاري سيستم‌عامل ويندوز، به مرور صفحات وب، نمايش عكس، چت، برقراري تماس با‌ SKYPE و... بپردازند.

عمر باتري اين رايانه نيز پس از هر بار شارژ 45/3 ساعت است. خصوصيات جالب به كار رفته در اين رايانه همراه به كارگيري يك حسگر براي تشخيص وجود انگشتان دست روي صفحه‌كليد است. به اين ترتيب زماني كه كاربر در حال استفاده از صفحه‌كليد است، صفحه لمسي‌ (touch pad) را از كار انداخته تا مانع هرگونه حركت تصادفي نشانگر ماوس شود. اين رايانه طراحي جديد و زيبايي دارد، اما عده‌‌‌اي بر اين عقيده‌اند كه طراحي‌ Mac Book Air از نظر ظاهر جذاب‌تر است.

پارسا ستوده‌نيا

رمز قدرتمند

    يك كلمه رمز قدرتمند، كلمه‌اي است كه شامل حروف، اعداد و در صورت امكان سمبل‌هاي رايانه‌اي باشد. در صورتي كه امكان استفاده از سمبل‌ها در كلمه رمز شما وجود ندارد، بايد تعداد حروف و اعداد را آنقدر زياد كنيد كه به يك سطح امنيتي مناسب برسد. كارشناسان امنيتي معتقدند در صورتي كه استفاده از حروف، اعداد و علائم در انتخاب كلمه رمز امكان‌پذير باشد، طول 8 كاراكتر براي يك كلمه رمز مناسب است و در غير اين صورت، كلمه رمز مي‌بايست حداقل 15 كاراكتر داشته باشد. توجه داشته باشيد كه هر چه طول كلمه رمز افزايش يابد، احتمال فراموشي آن نيز بيشتر مي‌شود. از اين‌رو بيشتر پيشنهاد مي‌شود كه با بازي كردن با كلمات ساده و همچنين استفاده از سمبل‌ها، قدرت كلمه رمز خود را بالا ببريد. مثلاً به جاي حرفH  از عبارت I-I  استفاده كنيد و يا بجاي حرف a  علامت ‌؛‌  را به كار ببريد و سعي كنيد تعداد طول كلمه رمزتان به 8 تا 10 كاراكتر برسد.  سعي كنيد از عباراتي متداول و به اصطلاح لو رفته در بين هكرها استفاده نكنيد. به عنوان مثال كلمه 4q1w2e3r كه به ترتيب حروف و اعداد كنار هم در صفحه كليد هستند، يك عبارت شناخته شده در بين هكرها است. اما در ظاهر پيچيده به نظر مي‌رسد.

رمزهاي متفاوت‌

    تحت هيچ شرايطي از كلمه رمز يكسان براي سرويس‌هاي آنلاين مختلف و به خصوص سرويس‌هاي پست الكترونيكي استفاده نكنيد. مشكل بسياري از كاربران اينترنتي اين است كه اگر يك كلمه رمز قدرتمند پيدا كنند، آن را براي تمامي سرويس‌هاي اينترنتي خود، از سرويس پست‌‌الكترونيكي گرفته تا حساب‌هاي بانكي و اعتباري آنلاين استفاده مي‌كنند. غافل از اين كه اگر به هر علتي اين رمز فاش شود، تمامي اين سرويس‌ها در خطر دسترسي ديگران خواهند بود.

نوشتن‌

    اگر تا كنون كلمات رمز خود را بر روي كاغذ نوشته و آن را زير صفحه كليد نگهداري مي‌كنيد، همين الان سراغ آن رفته و آن را تكه‌تكه كرده و به سطل زباله بيندازيد. اين روش قديمي و منسوخ شده، يكي از راه‌هاي فاش شدن كلمه رمز كاربران است. البته خدا را شكر كه بيشتر هكرها، حملات اينترنتي خود را از راه دور انجام مي دهند و دسترسي به اين كاغذها ندارند. اما هر آن ممكن است اين كاغذ در اختيار افراد سودجو قرار گيرد و در نهايت نتيجه تفاوتي با حمله هكرها نخواهد داشت. اگر واقعاً در اين زمينه فراموشكار هستيد و نياز داريد كه كلمه رمز خود را در جايي نگهداري كنيد، بايد حتماً به چند نكته دقت كنيد. اول آن‌كه به هيچ عنوان كلمه كاربري (username) خود را در اين برگه يادداشت نكنيد. شما مجبوريد اين كلمه را حفظ كنيد. در مورد كلمه رمز خود، اطلاعت دقيقي بر روي كاغذ ننويسيد. به عنوان مثال تنها نوشتن عبارت «بانك» به نوشتن نام بانك و يا آدرس سايت آن ترجيح داده مي‌شود.

رمزياب‌

    مدتي است برخي شركت‌ها و بانك‌ها در سراسر دنيا، از دستگاه‌هاي ويژه‌اي جهت توليد كلمه رمز استفاده مي‌كنند. اين دستگاه‌ها در هر لحظه بر اساس سيستم كاملاً محرمانه‌اي كه آن مؤسسه در نظر گرفته، رمز جديدي در اختيار كاربر قرار مي‌دهند و به اين صورت كاربر نيازي به انتخاب كلمه رمز ندارد. فقط كافي است كه كلمه راه‌اندازي دستگاه را به‌خاطر بسپارد كه اين كلمه مي‌تواند يك عبارت ساده هم باشد. البته بديهي است كه حفاظت از دستگاه و در دسترس قرار گذاشتن آن جزو اولويت‌هاي امنيتي اين شيوه است.

    استفاده از دستگاه‌هاي رمزياب از جانب اكثر كارشناسان امنيت شبكه توصيه مي‌شود و بيشتر آنها، اين روش‌ها را مطمئن‌ترين روش امنيت كلمه رمز مي‌دانند. خوشبختانه اين روش در كشور ما هم كم‌كم جا افتاده است و برخي از بانك‌ها نيز از اين روش براي حفظ امنيت كاربران اينترنتي خود استفاده كرده‌اند.

سيد شهرام نقوي‌الحسيني‌