مشاهده نسخه کامل
: sinaset
04-03-2008, 14:23
مقدمه:
فايلهاي رجيستري بخشي از سيستم هاي عامل Windows هستند. تا به حال کتاب خوب و کاملي براي کار با آن ارائه نشده است. تمامي مطالب ارائه شده به صورت پراکنده بوده است. فايل هاي فيزيکي که رجيستري را تشکيل مي دهند بسته به نسخه ويندوز شما در محل و مکان خاصي نگهداري مي شوند. در ويندوز 95 و 98 بصورت دو فايل مخفي در پوشه ويندوز قرار دارند و با نام هاي USER.DAT و SYSTEM.DAT شناخته مي شوند. در نسخه ME علاوه بر اين دو فايل، فايل ديگري نيز به نام CLASSES.DAT به آنها اضافه شده است. در حاليکه در نسخه هاي NT/2000 ويندوز فايلها در آدرس SystemRoot%\System32\Config% قرار گرفته اند.
اين فايلها را نمي شود به صورت مستقيم ويرايش کرد. تنها چيزي که مي توان در مورد رجيستري کاملا مطمئن بود اين است که کارهايي که به صورت تصادفي وغير تکراري در سيستم اتفاق مي افتد بي ارتباط با رجيستري ويندوز است. قابل ذکر است تغييرات در رجيستري براي هر کامپيوتري خطرناک و غيرقابل برگشت است زيرا سيستم فايلي رجيستري با هر تغيير ولو کوچک به صورت اتوماتيک ذخيره مي شود.
براي مثال يک هکر ميتواند يک ابزار امنيتي خاص را روي کامپيوتر شما متوقف يا حذف کند (اگر ابزار امنيتي مثل Firewall، IDS يا ... در آخرين مرحله اجراي خود از کار بيافتد بسيار خطرناک است) و يا مي تواند با هر بار بالا آمدن سيستم شما فايلي نا خواسته را روي کامپيوتر شما اجرا کند (فايلهاي Trojan و Virus و Keylogger ها و...) تمامي اين کارها به راحتي و فقط با مراجعه در قسمتهاي Start up رجيستري ممکن است. خيلي به ندرت پيش مي آيد برنامه يا نرم افزاري احتياجي به رجيستري نداشته باشد.
در آخر مي توانم بگويم رجيستري عين عصب کامپيوتر ميماند و حفظ و حراست از آن بسيار مهم و حياتي است. در Win2000 به بعد به صورت پيش فرض فقط Administrator ها و متصديان Backup مي توانند به صورت Remot يا از راه دور به رجيستري سرور دسترسي داشته باشند. در اين مقاله به بررسي محدود کردن و ايجاد مجوز براي کاربران ديگر مي پردازيم.
اخطار :
هر تغيير در رجيستري و استفاده از Editor رجيستري بسيار خطر ناک مي باشد. در صورت بروز اشکال در رجيستري بايد سيستم عامل را دوباره نصب کنيد.
محدود کردن دسترسي از راه دور به رجيستري در شبکه:
در شبکه براي ايجاد محدوديت هاي دسترسي به رجيستري براي Group ها و کاربران با کليد زير سر و کار داريم:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l \SecurePipeServers \winreg
Name: Description
Type: REG_SZ
Value: Registry Server
براي دسترسي به رجيستري از راه دور اين کليد مجوزهاي امنيتي (Security permission) براي کاربران و گروه هاي مختلف صادر مي کند. زماني که ويندوز را به صورت پيش فرض نصب مي کنيم اين کليد در ليست Access Control افرادي را در محدوده کاري خود ثبت مي کند که در زير شرح مي دهم:
Administrators : به صورت کنترل کامل بر روي دسترسي از راه دور به رجيستري (Full Control)
در پيکر بندي پيش فرض ويندوز فقط مجوز دسترسي از راه دور به رجيستري براي Administrators تعريف شده است. براي درست کردن محدوديت در دسترسي براي کاربران ديگر مراحل زير را پي مي گيريم:
1- Editor ويندوز را باز مي کنيم (Regedt32.exe) و به کيلد زير مي رويم:
HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet \Control
2- در منو Edit قسمت New گزينه Key رانتخاب مي کنيم.
3- مقدار کليد را به صورت زير تعيين مي کنيم.
Key Name: SecurePipeServers
Class: REG_SZ
4- به کليد زير مي رويم.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSetControl \SecurePipeServers
5- در منو Edit قسمت New گزينه Key رانتخاب مي کنيم.
6- مقدار کليد را به صورت زير تعيين مي کنيم.
Key Name: winreg
Class: REG_SZ
7- به کليد زير مي رويم.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l \SecurePipeServers \winreg
8- در منو Edit قسمت New گزينه Key رانتخاب مي کنيم.
9- مقدار کليد را به صورت زير تعيين مي کنيم.
Value Name: Description
Data Type: REG_SZ
String: Registry Server
10- به کليد زير مي رويم.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l \ecurePipeServers \winreg
نکته : در صورت وجود کليد شماره 10 احتياجي به انجام مراحل 1 تا 10 نمي باشد.
11- winreg را انتخاب کرده کليک راست مي کنيم گزينه Permissions را انتخاب کرده در Tab اول کادر Permissions قسمت Security افرادي که به رجيستري از راه دور دسترسي دارند مشخص شده اند و در قسمت دوم در پايين کادر سطح دسترسي هر فرد مشخص شده است که مي توان با دکمه Add فردي را اضافه و يا با Remove فردي را از ليست حذف کرده و سطح دسترسي به رجيستري را از راه دور در شبکه براي آن فرد تعيين کرد.
12- از Editor رجيستري خارج شده و سيستم راReboot کنيد.
اما گاهي يک کاربر مي خواهد از يک سرويس استفاده کند و بايد به رجيستري از راه دور دسترسي داشته باشد. در روش بالا محدوديت دسترسي در هر سطحي که مشخص مي کرديم براي کاربر انجام مي شد اما اگر مي خواستيم دسترسي به يک سرويس خاص را مشخص کنيم راه فرعي را براي تعيين و تعريف محدوديت کاربران بايد بکار برد. مثلا سرويس Directory Replicator و سرويس Spooler براي اتصال به چاپگر در شبکه، لازم مي باشد که به رجيستري از راه دور دسترسي داشته باشند. ما مي توانيم هر يک از کاربراني که از اين سرويس ها مي خواهند استفاده کنند را در ليست کليد winreg قرار دهيم و يا در پيکر بندي ويندوز از روش راه فرعي در محدود کردن دسترسي استفاده کنيم. (بابه وجود آوردن کليد هاي در ليست آنها در مقدار Machine يا Users د رداخل کليد AllowedPaths)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l \SecurePipeServers \winreg \AllowedPaths
Value: Machine
Value Type: REG_MULTI_SZ - Multi string
:Default Data
System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Control\Server Applications
System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP
Server Software\Microsoft\Windows NT\CurrentVersion
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal Server\UserConfig
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration
مقداري که مي تواند در Data قرار گيرد، هر مسيري در داخل رجيستري مي باشد. هر سرويسي که در اين ليست وجود دارد مي تواند به رجيستري از راه دور دسترسي داشته باشد.
Value: Users
Value Type: REG_MULTI_SZ - Multi string
Default Data: None
تغييراتي در win2000 به بعد در سري NT وجود دارد.
Value: Machine
Value Type: REG_MULTI_SZ - Multi string
:Default Data
System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\controlServer Applications
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\Windows NT\CurrentVersion
Value: Users
اين مقدار به صورت پيش فرض تعريف نشده است.
بعد از اين تغييرات مي توانيم يک دسترسي محدود به رجيستري از راه دور داشته باشيم.
توجه :
اگر کليد RestrictNullSessAccess وجود نداشت و يا value=0 باشد مي تواند با دسترسي از راه دور يک Null session ايجاد کرد. براي اين که جلوي اين کار را بگيريم .بايد کليد زير را با مقادير داده شده بسازيم.
HKLM\System\CurrentControlSet\Services\LanManServe r \Parameters
Value name: RestrictNullSessAccess
Value type: REG_DWORD
Value data: Set to 1
مقاله نویس: هاشم همدانی نژاد
منبع
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
فايلهاي رجيستري بخشي از سيستم هاي عامل Windows هستند. تا به حال کتاب خوب و کاملي براي کار با آن ارائه نشده است. تمامي مطالب ارائه شده به صورت پراکنده بوده است. فايل هاي فيزيکي که رجيستري را تشکيل مي دهند بسته به نسخه ويندوز شما در محل و مکان خاصي نگهداري مي شوند. در ويندوز 95 و 98 بصورت دو فايل مخفي در پوشه ويندوز قرار دارند و با نام هاي USER.DAT و SYSTEM.DAT شناخته مي شوند. در نسخه ME علاوه بر اين دو فايل، فايل ديگري نيز به نام CLASSES.DAT به آنها اضافه شده است. در حاليکه در نسخه هاي NT/2000 ويندوز فايلها در آدرس SystemRoot%\System32\Config% قرار گرفته اند.
اين فايلها را نمي شود به صورت مستقيم ويرايش کرد. تنها چيزي که مي توان در مورد رجيستري کاملا مطمئن بود اين است که کارهايي که به صورت تصادفي وغير تکراري در سيستم اتفاق مي افتد بي ارتباط با رجيستري ويندوز است. قابل ذکر است تغييرات در رجيستري براي هر کامپيوتري خطرناک و غيرقابل برگشت است زيرا سيستم فايلي رجيستري با هر تغيير ولو کوچک به صورت اتوماتيک ذخيره مي شود.
براي مثال يک هکر ميتواند يک ابزار امنيتي خاص را روي کامپيوتر شما متوقف يا حذف کند (اگر ابزار امنيتي مثل Firewall، IDS يا ... در آخرين مرحله اجراي خود از کار بيافتد بسيار خطرناک است) و يا مي تواند با هر بار بالا آمدن سيستم شما فايلي نا خواسته را روي کامپيوتر شما اجرا کند (فايلهاي Trojan و Virus و Keylogger ها و...) تمامي اين کارها به راحتي و فقط با مراجعه در قسمتهاي Start up رجيستري ممکن است. خيلي به ندرت پيش مي آيد برنامه يا نرم افزاري احتياجي به رجيستري نداشته باشد.
در آخر مي توانم بگويم رجيستري عين عصب کامپيوتر ميماند و حفظ و حراست از آن بسيار مهم و حياتي است. در Win2000 به بعد به صورت پيش فرض فقط Administrator ها و متصديان Backup مي توانند به صورت Remot يا از راه دور به رجيستري سرور دسترسي داشته باشند. در اين مقاله به بررسي محدود کردن و ايجاد مجوز براي کاربران ديگر مي پردازيم.
اخطار :
هر تغيير در رجيستري و استفاده از Editor رجيستري بسيار خطر ناک مي باشد. در صورت بروز اشکال در رجيستري بايد سيستم عامل را دوباره نصب کنيد.
محدود کردن دسترسي از راه دور به رجيستري در شبکه:
در شبکه براي ايجاد محدوديت هاي دسترسي به رجيستري براي Group ها و کاربران با کليد زير سر و کار داريم:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l \SecurePipeServers \winreg
Name: Description
Type: REG_SZ
Value: Registry Server
براي دسترسي به رجيستري از راه دور اين کليد مجوزهاي امنيتي (Security permission) براي کاربران و گروه هاي مختلف صادر مي کند. زماني که ويندوز را به صورت پيش فرض نصب مي کنيم اين کليد در ليست Access Control افرادي را در محدوده کاري خود ثبت مي کند که در زير شرح مي دهم:
Administrators : به صورت کنترل کامل بر روي دسترسي از راه دور به رجيستري (Full Control)
در پيکر بندي پيش فرض ويندوز فقط مجوز دسترسي از راه دور به رجيستري براي Administrators تعريف شده است. براي درست کردن محدوديت در دسترسي براي کاربران ديگر مراحل زير را پي مي گيريم:
1- Editor ويندوز را باز مي کنيم (Regedt32.exe) و به کيلد زير مي رويم:
HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet \Control
2- در منو Edit قسمت New گزينه Key رانتخاب مي کنيم.
3- مقدار کليد را به صورت زير تعيين مي کنيم.
Key Name: SecurePipeServers
Class: REG_SZ
4- به کليد زير مي رويم.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSetControl \SecurePipeServers
5- در منو Edit قسمت New گزينه Key رانتخاب مي کنيم.
6- مقدار کليد را به صورت زير تعيين مي کنيم.
Key Name: winreg
Class: REG_SZ
7- به کليد زير مي رويم.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l \SecurePipeServers \winreg
8- در منو Edit قسمت New گزينه Key رانتخاب مي کنيم.
9- مقدار کليد را به صورت زير تعيين مي کنيم.
Value Name: Description
Data Type: REG_SZ
String: Registry Server
10- به کليد زير مي رويم.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l \ecurePipeServers \winreg
نکته : در صورت وجود کليد شماره 10 احتياجي به انجام مراحل 1 تا 10 نمي باشد.
11- winreg را انتخاب کرده کليک راست مي کنيم گزينه Permissions را انتخاب کرده در Tab اول کادر Permissions قسمت Security افرادي که به رجيستري از راه دور دسترسي دارند مشخص شده اند و در قسمت دوم در پايين کادر سطح دسترسي هر فرد مشخص شده است که مي توان با دکمه Add فردي را اضافه و يا با Remove فردي را از ليست حذف کرده و سطح دسترسي به رجيستري را از راه دور در شبکه براي آن فرد تعيين کرد.
12- از Editor رجيستري خارج شده و سيستم راReboot کنيد.
اما گاهي يک کاربر مي خواهد از يک سرويس استفاده کند و بايد به رجيستري از راه دور دسترسي داشته باشد. در روش بالا محدوديت دسترسي در هر سطحي که مشخص مي کرديم براي کاربر انجام مي شد اما اگر مي خواستيم دسترسي به يک سرويس خاص را مشخص کنيم راه فرعي را براي تعيين و تعريف محدوديت کاربران بايد بکار برد. مثلا سرويس Directory Replicator و سرويس Spooler براي اتصال به چاپگر در شبکه، لازم مي باشد که به رجيستري از راه دور دسترسي داشته باشند. ما مي توانيم هر يک از کاربراني که از اين سرويس ها مي خواهند استفاده کنند را در ليست کليد winreg قرار دهيم و يا در پيکر بندي ويندوز از روش راه فرعي در محدود کردن دسترسي استفاده کنيم. (بابه وجود آوردن کليد هاي در ليست آنها در مقدار Machine يا Users د رداخل کليد AllowedPaths)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l \SecurePipeServers \winreg \AllowedPaths
Value: Machine
Value Type: REG_MULTI_SZ - Multi string
:Default Data
System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Control\Server Applications
System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP
Server Software\Microsoft\Windows NT\CurrentVersion
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal Server\UserConfig
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration
مقداري که مي تواند در Data قرار گيرد، هر مسيري در داخل رجيستري مي باشد. هر سرويسي که در اين ليست وجود دارد مي تواند به رجيستري از راه دور دسترسي داشته باشد.
Value: Users
Value Type: REG_MULTI_SZ - Multi string
Default Data: None
تغييراتي در win2000 به بعد در سري NT وجود دارد.
Value: Machine
Value Type: REG_MULTI_SZ - Multi string
:Default Data
System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\controlServer Applications
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\Windows NT\CurrentVersion
Value: Users
اين مقدار به صورت پيش فرض تعريف نشده است.
بعد از اين تغييرات مي توانيم يک دسترسي محدود به رجيستري از راه دور داشته باشيم.
توجه :
اگر کليد RestrictNullSessAccess وجود نداشت و يا value=0 باشد مي تواند با دسترسي از راه دور يک Null session ايجاد کرد. براي اين که جلوي اين کار را بگيريم .بايد کليد زير را با مقادير داده شده بسازيم.
HKLM\System\CurrentControlSet\Services\LanManServe r \Parameters
Value name: RestrictNullSessAccess
Value type: REG_DWORD
Value data: Set to 1
مقاله نویس: هاشم همدانی نژاد
منبع
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید