نشریه علمی تخصصی کامپیوتر دانشگاه پیام نور خمین

لینوکس بکترک(Backtrack) سیستم عاملیست که در دنیا به عنوان بهترین ابزار هکر ها شناخته میشود. به طوریکه تقریباً هر چیزی که برای یک عملیات کشف ضعفهای امنیتی و نفوذ لازم است در آن گنجانده شده. در این مقاله به صورت قدم به قدم اقدام به نصب این سیستم عامل میکنیم.
در اینجا از بکترک ۵ RC1 استفاده شده. این آموزش هم بر روی نصب بر روی ماشین مجازی و هم به صورت مستقیم(منفرد یا در کنار ویندوز) قابل انجام است.

نکته ها:

در صورتی که بکترک را در کنار ویندوز نصب میکنید مرحله شش را اول مطالعه کنید.

برای دانلود بک ترک مقاله آموزش دانلود بکترک ۵ را اول مطالعه کنید.

مرحله اول: اجرا زنده بک ترک

در قدم اول دیسک بکترک را در درایو قرار داده و آن را به صورت لایو اجرا کنید و وارد محیط گرافیکی آن شوید. برای اطلاعات بیشتر مقاله اجرای زنده بکترک را مطالعه کنید.

مرحله دوم: برنامه نصب بکترک را اجرا کنید

برای شروع ویزارد نصب بکترک طبق شکل برنامه نصب بکترک را از دسکتاپ اجرا کنید.

مرحله سه: انتخاب زبان

ما در اینجا زبان انگلیسی را انتخاب میکنیم. جای زبان فارسی تو این لیست بلند از زبان ها خالیه. شما میتوانید گزینه اول(No Localization) را هم انتخاب کنید.

مرحله چهار: انتخاب منطقه زمانی

در اینجا کشور خود را میکنیم. من کشور عزیزمون ایران را انتخاب کردم. برای این کار میتونید روی نقشه کلیک کنید.

تا جایی که من اطلاع دارم این تنظیمات نمیتونه باعث رهگیری شما در بکترک بشه اما ممکنه شما بخواهید شرط احتیاط رو رعایت کنید و مقادیر شانسی رو در این تنضیمات وارد کنید.

مرحله پنج: انتخاب زبان صفحه کلید

من در این مرحله با انگلیسی پیش میرم و زبان فارسی رو بعداً اضافه میکنم.

البته شما میتونید در همین بخش زبان فارسی رو انتخاب کنید. برای این کار مثل تصویر زیر کشور ایران و در لیست زبان ها گزینه ی آخر رو انتخاب کنید.

مرحله شش: اختصاص فضا به پارتیشن لینوکس

این مرحله در نصب سیستم عامل در کنار ویندوز خیلی مهمه. در صورتی که که شما بکترک را روی ماشین مجازی(VMWare) نصب میکنید نیازی به تغییر تنظیمات پیش فرض وجود ندارد(تصویر زیر) و میتوانید بدون هیچ تغییری به مرحله بعد بروید.

در صورتی که بکترک را در کنار ویندوز نصب میکنید پیشنهاد میکنم که با توجه به دردناک بودن از دست دادن فایلها در ویندوز خود از تمام فایل هایی که برای شما اهمیت دارند پشتیبان تهیه کنید. البته احتمال از دست دادن فایل به خاطر خطای نرم افزاری خیلی پایین و غیر محتمل است و در صورتی که با پارتیشن بندی آشنا باشید احتمالاً هیچ مشکلی به وجود نمی آید. برای از بین بردن هر ریسکی من روش زیر را پیشنهاد میکنم:
در ویندوز مراحل زیر را طی کنید: My Computer > Right Click > Manage و بر روی Disk Managment کلیک کنید. آخرین درایوی که در لیست مشاهده می کنید در نظر بگیرید. در صورتی که در آن حد اقل فضای خالی ۲۲ گیگابایت وجود ندارد تعدادی از فایل ها را به درایو دیگری منتقل کنید. بر روی درایو راست کلیک کرده و گزینه Shrink Valume را کلیک کنید.
با این کار پنجره ای باز میشود که از شما مقدار فضایی که میخواهید از پارتیشن انتخاب شده کم کنید را میپرسد. این مقدار به مگابایت است پس برای کم کردن ۲۰ گیگابایت ۲۰۴۸۰ را از فصای کل دیسک کم کنید.
در صورتی که در نصب در کنار ویندوز در این مرحله هستید کافی است از گزینه دوم(Advanced) استفاده کنید و فضای خالی انتهای دیسک را انتخاب کنید. در صورتی که حافظه رم شما کم باشد بهتر است پارتیشن ۲ گیگابایتی برای swap را هم ایجاد کنید.

مرحله هفت: شروع فرایند نصب

در اینجا با کلیک بر روی install نصب شروع میشود. این مکن است مرحله ۱۰ با ۳۰ دقیقه با توجه به نوع نصب و قدرت سخت افزار شما طول بکشد.

مرحله هشت: اتمام نصب

در ادامه نیاز به انجام کاری خاصی نیست. صبر میکنیم تا نصب به پایان برسد و میتوانید سیستم را ری استارت کنید.

حالا در صورتی که شما بک ترک را در کنار ویندوز نصب کرده اید دیسک بک ترک را خارج کنید. با شروع به کار سیستم وارد منوی بوت میشوید. گزینه آخر شما را به ویندوز میبرد و گزینه اول به بکترک.
در صورتی که شما نصب را در VMWare انجام میدادید بعد از ری استارت میتوانید برای افزایش کارکرد ابزارهای بکترک را نصب کنید.

+ نوشته شده توسط وحید قاسمی در شنبه چهاردهم مرداد ۱۳۹۱ و ساعت 13:2 |

اجرای بک ترک به صورت زنده

اجرای زنده بکترک

اجرای زنده سیتم عامل(Live) راهندازی سیستم عامل از یک درایو خارجی(سی دی، دی وی دی، فلش و …) است به صورتی که سیستم عامل به حافظه اصلی(RAM) بارگزاری می شود و بدون نیاز به هارد دیسک بر روی سیستم اجرا می شود. در اجرای لایو بکترک(Backtrack Linux) هیچ تغییری در اطلاعات شما ایجاد نمی شود مگر اینکه پارتیشن های دیسک سخت خود را بارگزاری(mount) کرده و خود در آنها تغییر ایجاد کنید.

برای اجرای زنده backtrack بعد از دانلود بکترک به صورت یک فایل ایمیج(ISO) آن را بر روی یک DVD رایت کنید در DVD-Rom سیستم خود قرار دهید و سیستم را روشن کنید.سپس با منوی مشابه تصویر زیر روبرو می شوید:

گزینه اول شما را وارد خط فرمان بکترک میکند. گزینه دوم بکترک را بدون راهندازی اتوماتیک شبکه راهندازی می کند تا در صورتی که قصد دارید بدون شناسایی شدن شبکه خاصی را آنالیز کنید به محض شروع سیستم عامل شما در لوگ سرور ثبت نشوید. بقیه گزینه ها برای خطایابی بکترک را با تنظیمات مختلف اجرا میکنند. با اجری گزینه آخر هم از بوت بکترک صرف نظر کرده و سیستم از هارد دیسک بوت می شود.

با اجرای گزینه اول شما مستقیماً وارد خط فرمان بکترک می شوید. همانطور که در سوالات رایج در بک ترک گفتم نام کاربری اصلی root و رمز عبور آن toor است. البته در صورتی که شما پارتیشن لینوکس روی هارد دیسک های خود نداشته باشید از شما سوالی نمیشود و مستقیماً وارد این صفحه می شوید:

برای ورود به محیط گرافیکی بکترک فرمان زیر را وارد کنید

Startx

با اجرای این فرمان یکی از محیط های گرافیکی KDE یا GNOME بسته به انتخاب شما در دانلود بکترک به نمایش در می آید.

تصویر زیر محیط گرافیکی KDE در بکترک ۵ RC1 را نمایش می دهد.

تبریک میگم. شما با موفقیت لینوکس بک ترک را راهندازی کردید. شما از همین طریق به وسیله آیکن Install BackTrack در دسکتاپ میتوانید بکترک را بر روی سیستم خود نصب کنید.

+ نوشته شده توسط وحید قاسمی در شنبه چهاردهم مرداد ۱۳۹۱ و ساعت 12:58 |

بک ترک(Back Track) چیست؟

بک ترک یک توزیع لینوکس مبتنی بر GNU است که برای کشف نقاط ضعف امنیتی سیستم های مختلف تهیه شده و به صورت یک دی وی دی لایو(بدون نیاز به نصب و یا وجود هارد دیسک) در اختیار همه قرار گرفته. البته شما نه تنها میتونید اون رو از روی دی وی دی زنده اجرا کنید بلکه می تونید اون رو بر روی هارد دیسک نصب کنید، فلش مموری بوت بکترک بسازید(که خطرناک تر از کلت کمریه) و یا با بکترک را در ماشین مجازی روی ویندوز نصب یا اجرا کنید.

در حال حاضر آخرین آن نسخه بک ترک ۵ است که از سایت رسمی بک ترک قابله دریافته. در ضمن بک ترک ۵ برخلاف بک ترک ۴ به جای دبین(Debian) مبتنی بر Ubuntu 10.04 با هسته نسخه ۲٫۶ که پیشرفته خوبی به حساب میاب. مقاله آموزش دانلود Backtrack اطلاعات جالبی در مورد انواع ساختارهای بکترک میده.

بک ترک برای تمام مخاطبان از نوابغ و کهنه کاران امنیت تا نو آموزان هنرهای سیاه ساخته شده و سریع ترین و آسان ترین راه تست امنیت سیستم های کامپیوتری، شبکه ها و سایتهای اینترنتی است. جالب اینکه بدونید گروه های کلاه سیاه زیرزمینی و هم متخصصان امنیتی که برای دولت های کشورشون کار می کنند از جمله مشتریان اصلی بک ترک هستند.

ابزارهای بک ترک

بک ترک کامل ترین و بروز ترین مجموعه ابزار های امنیتی رو در خودش داره که رنج وسیعی از ابزار های پسورد کرکر گرفته تا ابزار های هک وب سرور و شبکه رو شامل میشه. ابزاهای بک ترک در ۱۱ طبقه دست بندی شدند:

جمع آوری اطلاعات(Information gathering)
شناسایی نقاط ضعف(Vulnerability Identification)
آنالیز شبکه های بیسیم(Radio Network Analysis) با پروتکل های ۸۰۲٫۱۱, Bluetooth, RFID
کسب مجوز(Privilege Escalation)
بازیابی و بازجویی دیجیتال(Digital Forensics) یا همون پزشک قانونی دیجیتال
Voice Over IP(همون VOIP)
نقشه یابی شبکه(Network Mapping)
آنالیز برنامه های تحت وب(Web Application Analysis)
کشف حفره های امنیتی(Exploit & Social Engineering Toolkit)
کسب دسترسی غیر مجاز(Maintaining Access)
مهندسی معکوس(Reverse Engineering)

این هم لیستی از نرم افزار های همراه بک ترک که همراه با یک مجموعه عظیم از Exploitهای کشف شده عرضه شده:

Cisco OCS Mass Scanner
Metasploit
RFMON
Kismet
Nmap
Ophcrack
Ettercap
Wireshark یا همون Ethereal
BeEF یا (Browser Exploitation Framework)
Hydra
Quypt
AirCrack-ng

+ نوشته شده توسط وحید قاسمی در شنبه چهاردهم مرداد ۱۳۹۱ و ساعت 12:48 |

دانلود بک ترک ۵ و نسخه های متفاوت آن

در صورتی که شما از علاقمندان مباحث امنیت دیجیتال و نفوذگری(هک) هستید حتماً نام بک ترک به گوشتان خورده. لینوکس بک ترک(BackTrack) یک سیستم عامل مبتنی بر لینوکس اوبونتو و مجهز به بهترین و به روزترین ابزارهای آنالیز امنیت و هک است. با توجه به سوالاتی که در مورد نسخه ها و انواع مختلف تنظیمات در هنگام دانلود از شما سوال میشود تصمیم گرفتم در این مورد توضیحات کوتاهی بدهم.

در صورتی که با بک ترک آشنا نیستید یا سوالی دارید سوالات رایج بک ترک را مطالعه کنید. در صورتی که هنوز هم سوالی دارید میتوانید در بخش نظر ها آنها را بپرسید، مطمئناً بدون جواب نمی مانید.

دانلود بک ترک ۵

برای دانلود بک ترک از سایت رسمی بک ترک وارد بخش دانلود بک ترک شوید. در اینجا از شما سوال می شود که قبل ازدانلود قصد ثبت نام در سایت را دارید؟ در صورتی که چنین قصدی ندارید بر روی دکمه Download کلیک کنید.

در قدم اول کدام انتشار از نسخه ۵ بک ترک را دانلود کنیم؟

شما میتوانید توزیع RC1 یا انتشار اول از بک ترک را انتخاب کنید. قطعاً RC1 گزینه ی بهتریست. چون مشکلات انتشار اول در RC1 اصلاح شده، بعضی ابزار ها اصلاح و بروزرسانی شدند و بعضی مشکلات مربوط به درایور ها و پشتیبانی سخت افزاری در آن حل شده.

بک ترک را برای VMware دانلود کنم یا نسخه DVD کامل آن را؟

بهتر است قبل از اینکه در مورد محیط های کاری KDE و GNOME تصمیم بگیریم نوع نصب بک ترک را مشخص کنیم. این بخش خیلی مهم است. در صورتی که قصد دارید از بک ترک فقط بر روی ماشین مجازی استفاده کنید نسخه VMware بک ترک با محیط کاری GNOME را دانلود کنید(همانطور که در تصویر بالا میبینید). در این حالت امکان استفاده از محیط زیبای KDE برای شما فراهم نخواهد بود. من این حالت را پیشنهاد نمیکنم چون در صورت انتخاب حالت ISO در بخش Image صفحه دانلود علاوه بر امکان استفاده از بک ترک بر روی VMware امکان استفاده لایو(به صورت زنده از روی دی وی دی) و به صورت نصب در کنار ویندوز را هم خواهید داشت.

پس در بخش Image گزینه ISO را انتخاب می کنیم.

کدام محیط گرافیکی بهتر است KDE یا GNOME؟

KDE از بسیاری از جهات بر GNOME برتری دارد. به نظرم تنها برتری که GNOME برای شما خواهد داشت سبک تر بودنش خواهد بود. من پیشنهاد می کنم KDE را دانلود کنید. محیط KDE بک ترک تجربه جالب و حتی قابل مقایسه ای با ویندوز ۷ خواهد بود.

معماری ۳۲ بیتی یا ۶۴ بیتی برای من مناسب تر است؟

معماری ۶۴ بیتی فوق العاده است اما یک ایراد دارد: سازگاری با سخت افزارها و سیستم های مختلف. در صورتی که شما قصد دارید فقط در سیستم هایی که دارای پردازشگر با معماری ۶۴ بیتی هستند از بکترک استفاده کنید نسخه ۶۴ بیتی برای شما مناسب است.

اما در صورتی که میخواهید در هر شرایطی و بر روی هر سیستمی از بک ترک استفاده کنید نسخه ۳۲ بیتی برای شما بهتر است. من در کل نسخه ۳۲ بیتی را ترجیه میدهم و آن را پیشنهاد می کنم.

دانلود با تورنت یا با لینک مستقیم؟

در صورتی که از طرفداران تورنت هستید از این گزینه راضی خواهید بود. تورنت بکترک تعداد سیدهای زیادی دارد و سرعت آن فوق العاده است. اما برای کاربران ایرانی که سرعت آنها معمولاً کمتر از ۵۱۲Kbps است لینک مستقیم شما را سریع تر به نتیجه می رساند. پیشنهاد می کنم از یک نرم افزار مدیریت دانلود برای دریافت فایل ایمیج بکترک استفاده کنید.

دانلود نسخه های قدیمی تر بکترک

بیشتر منابع و آموزش های بکترک مربوط به نسخه ۴ آن است. اما این نسخه دیگر توسط تیم بکترک پشتیبانی نمیشود. اما در صورتی که به هر دلیلی قصد دانلود نسخه های قدیمی تر را دارید دیگر از طریق سایت رسمی بکترک امکان دانلود آن را نخواهید داشت. بهتربن راه برای دانلود آن استفاده از شبکه های اشتراک فایل(تورنت) است.

+ نوشته شده توسط وحید قاسمی در شنبه چهاردهم مرداد ۱۳۹۱ و ساعت 12:35 |

تغییر پورت پیش فرض دسترسی به Remote Desktop

همان طور كه اطلاع داريد پورت پيشفرض RDP در ويندوز 3389 تعريف شده است در اي مطلب آموزشی چگونگی تعويض پورت ارتباطی را در RDP با هم بررسی می كنيم.

برای شروع از منوی Start و در قسمت Run كلمه Regedit را تايپ كنيد و سپس كليد Enter را بفشاريد.

به مسير زير رفته:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\

WinStations\RDP-Tcp

كليد PortNumber را پيدا كنيد همانند تصوير:

در مرحله پورت جديد رو به صورت HEX به جای پورت پيشفرض يعنی d3d وارد ميكنيم همانند تصوير زير:

در تصوير بالا ما پورت 5555 (15b3) را با پورت پيشفرض 3889 (d3d) جاگزين كرديم و در نهايت سيستم را مجدد راه اندازی می كنيم.

+ نوشته شده توسط وحید قاسمی در پنجشنبه پنجم مرداد ۱۳۹۱ و ساعت 18:16 |

آشنایی با پروتكل SSL و گواهینامه های دیجیتالSSL

گواهینامه های دیجیتال SSL، ابزاری برای تأیید هویت و حفظ امنیت وب سایت ها هستند. گواهینامه های SSL كه تنها برای شركتها و اشخاص حقیقی معتبر صادر میشوند حاوی اطلاعاتی در مورد نام دامنه، شركت، آدرس، تاریخ ابطال گواهینامه و همین طور اطلاعاتی در مورد صادركننده گواهینامه هستند.

واژه‌ی SSL، مخفف Secure Socket Layer است و در واقع عنوانی برای یك فناوری استاندارد و به ثبت رسیده برای ایجاد ارتباطات امن بین وب سرورها و مرورگرهای اینترنت است. استاندارد مذكور، یك استاندارد فنی بوده و در حال حاضر توسط میلیون ها وب سایت در سراسر دنیا مورد استفاده قرار می گیرد.

پروتكل SSL برای اولین بار توسط شركت Netscape به منظور انتقال اطلاعات به صورت امن بین دو نقطه در اینترنت تهیه شد و سپس توسط دیگر مرورگرها از جمله IE نیز مورد استفاده قرار گرفت. سپس پروتكل مذكور توسط شركت Internet Engineering Task Force(IETF) به عنوان استاندارد تعریف شده و به ثبت رسید.

بنا بر پروتكل SSL، اطلاعاتی كه میان مرورگر و وب‌سایتی كه در حال مرور شدن است، مبادله می شود، به وسیله‌ی كلید های خصوصی (private key) رمزنگاری شده و در صورتی كه در طول مسیر اطلاعات استراق سمع شوند، قابل استفاده نخواهند بود. به همین جهت است كه از پروتكل مذكور برای كاربردهای تجاری استقبال خوبی به عمل آمده است.

در حال حاضر بسیاری از وب سایت ها علاوه بر پروتكل معمول HTTP از SSL نیز حمایت می كنند و برای دسترسی امن به اطلاعات وب‌سایت های مذكور می توان از HTTPS استفاده كرد. پروتكل HTTP-S همان Secure HTTP است و از پروتكل SSL برای انتقال اطلاعات استفاده می‌كند. قابل ذكر است كه پروتكل HTTP به صورت پیش فرض از پورت 80 استفاده می كند در حالی كه پروتكل HTTPS به صورت پیش فرض از پورت 443 استفاده می كند. به عبارت دیگر این دو پروتكل دو مجرای ارتباطی كاملاً مجزا دارند.

وب سایت هایی كه قصد استفاده از پروتكل SSL را دارند باید گواهینامه ای را برای این منظور دریافت نمایند كه به گواهینامه SSL معروف است. دارنده گواهینامه SSL تضمین می كند تمام اطلاعاتی كه مابین وب سرور و مرورگر كاربرانش رد و بدل می شود محرمانه و دست نخورده باقی بماند.

به عبارتی دیگر، گواهینامه‌های دیجیتال یك ارتباط امن را بر مبنای پروتكل SSL تضمین می كنند و این كار را اولاً از طریق رمزنگاری بسته های اطلاعاتی و ثانیاً از طریق تأیید هویت وب سایت و یا سرویس نرم افزاری دارای گواهینامه انجام می‌دهند.

همان طور كه در بالا گفته شد، رمزنگاری بسته های اطلاعاتی در هنگام تبادل آنها این امكان را به طرفین می‌دهد كه ارتباط خود را در بستری امن و به دور از مداخله شخص ثالث، به صورت رمز شده و غیر قابل خواندن برای دیگران برقرار سازند و از صحت اطلاعات رد و بدل شده اطمینان حاصل كنند. قابل ذكر است كه اطلاعاتی كه بدون وجود این پروتكل رد و بدل می شوند، به سادگی توسط افراد ثالث در گره های(Node) بین راه قابل رویت، تغییر و سوء استفاده هستند.

مورد دیگری كه گواهینامه های دیجیتال تضمین می كنند، تأیید هویت وب‌سایت و یا سرویس نرم افزاری است كه گواهینامه دیجیتال بر روی آن نصب گردیده است. به عبارت دیگر، كاربر وب‌سایتی كه دارای گواهینامه دیجیتال معتبر است می تواند از جعلی نبودن وب‌سایت مذكور و هویت حقیقی آن اطمینان حاصل كند و مطمئن باشد كه این وب‌سایت با توجه به گواهینامه‌ی معتبری كه دارد، واقعآً همان است كه ادعا می نماید، نه یك وب‌سایت جعلی كه شبیه به وب‌سایت اصلی ایجاد شده و با روشهای متعددی كه برای انحراف مسیر و هك كردن وجود دارد كاربر را به سمت خود هدایت كرده است. (پیشگیری از حملات Phishing و man-in-the-middle)

پیچیدگی‌های پروتكل SSL برای كاربران پوشیده است، اما آنها می توانند با استفاده از قفل كوچك زردرنگی كه در پایین صفحه مرورگر نمایش داده می‌شود، از برقراری یك ارتباط امن اطلاع حاصل كنند. قابل ذكر است كه در نسخه های جدید برخی از مرورگرها همچون IE، قفل مذكور در كنار نوار آدرس نمایش داده می‌شود. هنگامی كه كاربر روی قفل كوچك زرد رنگ دوبار كلیك كند، گواهینامه وب سایت به همراه سایر جزئیات نمایش داده می شود. در زیر مثالی از نمایش مشخصات و جزئیات گواهینامه دیجیتال در مرورگر IE كه مربوط به بانك ملی است، آورده شده است:

زمانیكه یك مرورگر اینترنت به یك وب‌سایت از طریق ارتباط امن SSL متصل میشود , علاوه بر دریافت گواهینامه SSL (كلید عمومی)، پارامترهایی را نظیر تاریخ ابطال گواهینامه، معتبر بودن صادركننده گواهینامه و مجاز بودن وب‌سایت به استفاده از این گواهینامه را نیز بررسی می‌كند و هر كدام از موارد را كه مورد تایید نباشد به صورت یك پیغام اخطار به كاربر اعلام میدارد.

+ نوشته شده توسط وحید قاسمی در دوشنبه هفتم فروردین ۱۳۹۱ و ساعت 8:50 |

محاسبات ابری و چالشهای امنیتی آن

مقدمه

امروزه محاسبات ابری توجهات زیادی را به خود جلب كرده است. محاسبات ابری این پتانسیل را داراست كه در چند سال آتی روش انجام محاسبات در سازمانها را تغییر دهد. مزایای محاسبات ابری به سادگی قابل شناسایی است، این روش حافظه بیشتر، انعطاف پذیری بیشتر و و از همه مهمتر كاهش هزینه ها را به دنبال خواهد داشت. تمامی این مزایا برای كمك به رشد یك تجارت موفق لازم هستند. امتیازات بارز ابرها توجه بسیاری از سازمانها را به خود جلب كرده است، اما جنبه ای كه هنوز باعث عقب نشینی بسیاری از سازمانها در برابر این فن آوری میگردد، نحوه امن سازی داده ها در ابر و اطمینان از امنیت محیط است.

ریسكهای بالقوه امنیت ابر و گامهای احتمالی كاهش این ریسكها

1- داده های شما كجا قرار گرفته اند؟

در هنگام استفاده از فن آوری ابر، این موضوع كه یك نفر موقعیت داده ها، محل میزبانی آنها یا حتی كشوری را كه داده های وی در آن واقع شده اند نداند، بسیار محتمل است. یك گام برای امن كردن داده ها این است كه با ارائه دهنده سرویس ابر به این توافق برسید كه داده های شما را در یك محدوده جغرافیایی خاص نگهداری كرده و پردازش نماید. شما همچنین میتوانید با استفاده از الزامات قانونی آنها را ملزم به رعایت تمامیت داده های خود نمایید. به این منظور شما باید این قوانین را شناخته و نحوه اعمال آن را بدانید.

2- آیا داده های شما جدا سازی میگردد؟

فن آوری ابر قادر است داده های بسیاری از سازمانها را در یك محیط اشتراكی ذخیره نماید و در نتیجه هزینه ها را كاهش دهد. بنابراین داده های مشتریان در یك ابر در كنار هم قرار دارند. ارائه دهنده سرویس ابر باید اطمینان حاصل كند كه این داده ها جدا سازی شده اند و ریسكهای امنیتی كاهش یافته است. یك راه برای انجام این كار استفاده از روشهای رمزنگاری برای رمز كردن داده ها و اعطای مجوز دسترسی به كلیدها به افراد خاص است. این روشهای رمزنگاری باید كاملا در محیط تست گردند تا از تاثیرگذاری آنها اطمینان حاصل گردد.

3- آیا حق دسترسی كاربر قابل اعمال است؟

داده های حساس كه در خارج از سازمان نگهداری میشوند دارای یك ویژگی خطرناك امنیتی هستند، چراكه سرویسهای برون سپاری شده از زیر معیارهای امنیتی كه دپارتمانهای فن آوری اطلاعات به صورت داخلی اجبار مینمایند، شانه خالی میكنند. در اینجا اعتماد ما به افراد خارج از سازمان است و در نتیجه آنها به درون سازمان می آیند. برای كاهش خطر، شما میتوانید تا بیشترین حد امكان اطلاعات مربوط به افرادی كه در تماس با داده های شما هستند و نیز اطلاعاتی در مورد چگونگی كنترل دسترسی داده ها را جمع آوری نمایید.

4- آیا ارائه دهنده سرویس ابری از مقررات لازم پیروی مینماید؟

در نهایت این سازمان شما است كه در برابر امنیت و قابلیت اعتماد داده های خود مسئول است، حتی اگر این داده ها بیرون از شركت و درون ابر نگهداری گردند. برای اطمینان از رعایت مقررات لازم، ارائه دهنده سرویس ابر باید با شفافیت در تمامی فعالیتهای ابری مرتبط با داده های هر سازمان، به ناظران خارجی اثبات نماید كه داده های این سازمانها امن است.

5- گزینه های خروج از بحران

یك سازمان باید با ابزارهای مناسب، آماده مقابله با بحران و خروج از آن باشد. ارائه دهنده سرویس ابر باید قادر باشد در زمان بحران در مورد مسائل لازم به شما اطلاع رسانی نماید. باید چندین سایت وجود داشته باشد كه چند نسخه كپی از داده ها و زیرساختهای برنامه ای در آنها به طور مكرر نگهداری گردد.

6- چگونه درباره فعالیت نامناسب یا غیرقانونی در ابر تحقیق كنیم؟

تحقیق در سرویسهای ابری مشكل بوده یا در مواردی تقریبا غیرممكن است. با توجه به طبیعت این سرویسها، داده های ثبت شده بیش از یك مشتری ممكن است باهم پیدا شوند و احتمالا دسترسی به هریك به طور مجزا مشكل است، همچنین میزبانها و مراكز داده نیز به طور مداوم در حال تغییر هستند. در نتیجه پروسه تحقیق تقریبا غیرممكن است، مگر اینكه ارائه دهنده سرویس ابری روشی امتحان شده داشته باشد كه قابل اثبات و موثر باشد.

7- انعطاف پذیری سرور

همانطور كه قبلا اشاره شد، یكی از امتیازات فن آوری ابر این واقعیت است كه این فن آوری، انعطاف پذیری بالایی را به همراه می آورد. این مساله میتواند مشكل زا باشد. برخی سرورها ممكن است اغلب بدون اطلاع قبلی شما مجددا پیكربندی گردند. این مساله میتواند برای برخی فن آوریهای داخل ابر كه سازمان شما بر آنها متكی است چالش ساز باشد، چراكه محیط، خود استاتیك نیست. این مساله در زمان امن سازی داده ها مشكل ساز میگردد، زیرا روشهای سنتی امن سازی داده ها مبتنی بر درك زیرساخت شبكه است، به هر حال اگر این تغییرات به طور مداوم اعمال گردد، این معیارهای امنیتی سودمند نخواهند بود.

8- مدت زمان از كار افتادن ارائه دهنده سرویس

یك معیار اساسی امنیتی وجود دارد كه اغلب نادیده گرفته میشود. مدت زمان از كار افتادن یك ارائه دهنده سرویس میتواند برای سازمان شما مضر باشد. قابلیت اعتماد با توجه به این مساله ضروری است.

9- قابلیت حیات در طولانی مدت

یك مساله در مورد یك ارائه دهنده سرویس ابری، قابلیت حیات در طولانی مدت است. اینكه شما با چه احتمالی دیگر قادر به استفاده از یك ارائه دهنده سرویس ابری خاص نخواهید بود، چه مسیرهایی برای انتقال امن داده های شما به یك ارائه دهنده سرویس ابری دیگر مورد استفاده قرار میگیرد و نیز اینكه شما چگونه قادر به تامین تمامیت داده های خود خواهید بود، باید در نظر گرفته شود.

محاسبات ابری مدیریت عملیاتی توسط سازمان را كاهش میدهد، اما سازمان همچنان مسئول خواهد بود، حتی اگر مسئولیتهای عملیاتی توسط یك یا چند بخش خارجی در ابر انجام گیرد. در نتیجه در هنگام استفاده از فن آوری ابر، ارائه دهنده سرویس ابر منتخب شما باید كسی باشد كه شما قادر باشید به وی اعتماد نمایید، كسی كه كاملا شفاف باشد و تمامی اطلاعات مورد نیاز شما را در اختیار شما قرار دهد، به تمامی سوالات شما پاسخ دهد و چیزی را پشت گوش نیندازد.

شركتها باید هشیار باشند، آنها باید با چشمان باز حركت كنند. آنها نه تنها نیاز به یك ارتباط قابل اعتماد با ارائه دهنده سرویس ابر دارند، بلكه باید حداكثر اطلاعات ممكن را درباره شركتهای دیگر مرتبط با آن ابر به دست آورند. یك شركت همچنین باید شركت میزبان مورد استفاده ارائه دهنده سرویس ابر را بشناسد.

هرچه دید عمیقتری از ریسكهای بالقوه داشته باشید، جلوگیری، حداقل كردن و كنترل این ریسكها راحتتر خواهد بود.

+ نوشته شده توسط وحید قاسمی در دوشنبه هفتم فروردین ۱۳۹۱ و ساعت 8:49 |

رمزگذاری رسانه قابل حمل با استفاده از BitLocker (قسمت 4)

در این مقاله فرآیند استفاده از كلید بازیابی BitLocker موجود در اكتیو دایركتوری را نشان می‌دهیم.

مقدمه

در مقاله قبل اشاره شد كه ویندوز سرور 2008 ویرایش دوم پیشنهاد می‌دهد، كلیدهای بازیابی درایوهای قابل حملی كه با BitLocker رمزگذاری می‌شوند را در پایگاه داده اكتیو دایركتوری ذخیره نمایید. از آن‌جایی‌كه‌ در آن مقاله نحوه ذخیره سازی كلید بازیابی در اكتیو دایركتوری را به شما نشان دادیم، در این مقاله به جمع بندی مقالات گذشته می‌پردازیم و نشان می‌دهیم كه فرآیند استفاده از كلیدهای بازیابی چگونه كار می‌كند.

برای نشان دادن این فرآیند فرض كنید كه یكی از افراد سازمان شما تنها نسخه از بعضی فایل‌های بسیار مهم و حیاتی را بر روی فلش درایوی كه با BitLocker رمزگذاری شده است قرار داده است و در حال حاضر رمز عبور درایو را فراموش كرده است، چه كاری باید انجام بدهید؟

اولین گام در فرآیند بازیابی، وارد نمودن فلش درایو رمزگذاری شده به كامپیوتر در حال اجرای ویندوز 7 است. در این هنگام پنجره‌ای كه در شكل A نشان داده شده است، ظاهر می‌شود و از شما می‌خواهد برای باز شدن قفل درایو، رمز عبور را وارد نمایید. از آن‌جا كه رمز عبور را فراموش كرده‌اید باید بازیابی رمز عبور را انجام دهید.

شكل (A): ویندوز از شما می خواهد برای باز كردن قفل درایو، رمز عبور را وارد نمایید.

اگر به شكل بالا نگاهی بیاندازید، متوجه خواهید شد كه لینكی با عنوان "رمز عبور را فراموش كرده‌ام"، وجود دارد. با كلیك كردن بر روی این لینك، صفحه ای را كه در شكل B نشان داده شده است، مشاهده می كنید.

شكل (B): ویندوز برای زمانی‌كه رمز عبور را فراموش كرده اید، گزینه بازیابی را پیشنهاد می‌دهد.

اگر به شكل بالا نگاهی بیاندازید، متوجه لینكی با عنوان " Type the recovery key" می شوید. اگر چه بعدا از این گزینه استفاده می‌كنیم، اما در حال حاضر آمادگی لازم برای استفاده از آن را نداریم.اگر با دقت بیشتری به شكل بالا نگاه كنید، متوجه خطی از متن می‌شوید كه نوشته است: كلید بازیابی شما می‌تواند با 1A8BBF9A شناسایی شود. این عدد كه بر مبنای 16 نوشته شده است، عددی منحصر به فرد مربوط به درایو فلش است و می‌تواند در طول فرآیند بازیابی برای شناسایی درایو فلش مورد استفاده قرار گیرد. بنابراین باید این عدد را یادداشت نمایید، زیرا بعدا به آن نیاز دارید.

در حال حاضر می‌توانید كلید بازیابی را از اكتیو دایركتوری استخراج نمایید. برای این منظور نیاز به راهی برای بازیابی كلید از اكتیو دایركتوری دارید. در حال حاضر هیچ یك از واسط‌های مدیریتی كه بر روی سرور نصب هستند، این قابلیت را ارائه نمیدهند.

نصب نمایشگر بازیابی رمز عبور BitLocker

قبل از آن‌كه بتوانید كلیدهای بازیابی را از اكتیو دایركتوری استخراج نمایید، باید ابزاری به نام نمایشگر بازیابی رمز عبور BitLocker را نصب نمایید.

برای نصب این ابزار، Server Manager را باز كنید و گزینه Features را انتخاب نمایید. پس از آن بر روی لینك افزودن Features كلیك نمایید. در این هنگام ویزارد اضافه كردن قابلیتها باز میشود. این ویزارد شامل یك سری گزینه است كه با انتخاب آن‌ها می‌توان قابلیت‌های مختلفی را نصب كرد. باید گزینه Remote Server Administration Tools را انتخاب نمایید و زیر گزینه‌های آن را باز نمایید. زیر گزینه Feature Administration Tools را باز نمایید و گزینه BitLocker Drive Encryption Administration Utilities را انتخاب نمایید. همانطور كه در شكل C نشان داده شده است، مطمئن شوید كه چك باكس این گزینه را انتخاب كرده اید و بر روی Next كلیك كنید.

شكل (C): باید گزینه BitLocker Drive Encryption Administration Utilities را فعال نمایید.

در حال حاضر، بر روی دكمه Next كلیك نمایید، در این صفحه خلاصه‌ای از قابلیت‌هایی كه می‌خواهند نصب شوند را مشاهده می‌كنید. توجه داشته باشید كه بعد از اتمام فرآیند نصب، ممكن است سیستم نیاز به راه اندازی مجدد داشته باشد. بر روی دكمه Install كلیك نمایید و منتظر بمانید تا قابلیت‌های لازم نصب شوند. همانطور كه در شكل D می بینید، پس از اتمام فرآیند نصب، ویندوز صفحه نمایش نتایج نصب را نشان می‌دهد. اگرچه ویندوز سرور، سیستم را مجبور به راه اندازی مجدد نكرد، اما بهتر است سیستم را راه اندازی مجدد نمایید.

شكل (D): اگرچه ویندوز سرور، سیستم را مجبور به راه اندازی مجدد نكرد، اما بهتر است سیستم را راه اندازی مجدد نمایید.

فرآیند بازیابی كلید

در حال حاضر كه فرآیند نصب ابزارهای مدیریتی به اتمام رسیده است، می توانید فرآیند بازیابی كلید را ادامه دهید. برای این منظور، كنسولActive Directory Users and Computers را باز نمایید و بر روی دامنه خود كلیك راست نمایید. همانطور كه در شكل E مشاهده می‌كنید در این منو گزینه ای با عنوان Find BitLocker Recovery Password وجود دارد.

شكل (E): بازیابی كلید از طریق كنسول Active Directory Users and Computers امكان پذیر است.

پس از انتخاب گزینه Find BitLocker Recovery Password، صفحه‌ای را مشاهده می‌كنید كه در شكل F نشان داده شده است.

همان طور كه مشاهده می‌كنید، در قسمت بالایی این صفحه باید عدد هشت رقمی بر مبنای 16 را كه یادداشت كرده بودید، وارد نمایید و پس از آن بر روی دكمه جستجو كلیك نمایید. در این هنگام سرور رمز عبور بازیابی درایو را استخراج میكند. اگر به پایین‌ صفحه نگاهی بیاندازید، متوجه می‌شوید كه رمز بازیابی شده یك رشته 48 رقمی از اعداد است و با رمز عبوری كه برای درایو انتخاب كرده بودید متفاوت است.

شكل(F): كلید بازیابی در پایین این صفحه دیده می‌شود.

اكنون كه كلید بازیابی درایو را دارید، به كامپیوتر شخصی خود برگردید و همانطور كه در شكل G نشان داده شده است، برای باز شدن قفل درایو، كلید بازیابی را وارد نمایید.

شكل (G): كلید بازیابی BitLocker را وارد نمایید.

پس از وارد نمودن كلید بازیابی، صفحه ای مشابه آنچه در شكل H نشان داده شده است، را می‌بینید. توجه داشته باشید كه در حال حاضر دسترسی موقت به درایو دارید. به عبارت دیگر درایو رمزگذاری شده باقی می ماند و چنانچه كلید بازیابی را فراموش نمایید باید مراحل بازیابی را دوباره و به طور كامل انجام دهید.

شكل (H): وارد نمودن كلید بازیابی، امكان دسترسی موقت به درایو رمزگذاری شده را فراهم می‌كند

به منظور اجتناب از وارد نمودن كلید بازیابی 48 رقمی برای بازگشایی درایو، بر روی لینك Manage BitLocker كلیك نمایید. همانطور كه در شكل I مشاهده می‌كنید، می‌توانید رمز عبور درایو رمزگذاری شده را تغییر دهید.

شكل (I): پس از دسترسی موقت به درایو، باید رمز عبور درایو را تغییر دهید

نتیجه

در این سری از مقالات، توضیح دادیم كه BitLocker to Goراهی آسان برایتامین امنیت داده‌های ذخیره شده بر روی درایوهای قابل حمل است. چنانچه قصد دارید از این روش استفاده نمایید، باید به منظور جلوگیری از از دست دادن داده ها زمانی كه رمز عبور خود را فراموش كرده اید، كلید بازیابی رمز عبور را در اكتیو دایركتوری ذخیره نمایید.

+ نوشته شده توسط وحید قاسمی در دوشنبه هفتم فروردین ۱۳۹۱ و ساعت 8:46 |

رمزگذاری رسانه قابل حمل با استفاده از BitLocker (قسمت 3)

در این مقاله نشان می‌دهیم كه چگونه می‌توانید كلیدهای بازیابی را در پایگاه داده اكتیو دایركتوری ذخیره نمایید.

مقدمه

در مقاله قبلی، توضیح دادیم كه چگونه می‌توانید با استفاده از تنظیمات سیاست گروهی، BitLocker را بر روی شبكه سازمان مدیریت نمایید. در انتهای مقاله یكی از مشكلاتی كه در رسانه رمزگذاری شده با آن مواجهه شدیم، پتانسیل از دست دادن داده‌های آن بود. همانطور كه می‌دانید درایوهای رمزگذاری شده توسط BitLocker با یك رمز عبور حفاظت می‌شوند. مشكل آن‌جاست كه كاربران ممكن است رمزهای عبور را فراموش كنند و در نهایت نمی‌توانند قفل درایو رمزگذاری شده را باز نمایند. اگرچه در حال حاضر داده‌ها بر روی این درایو وجود دارند، اما در واقع از دست رفته محسوب می‌شوند زیرا برای كاربر غیر قابل دسترس باقی می‌مانند. اگر لحظه ای درنگ كنید و به این موضوع فكر كنید، متوجه می‌شوید داده‌های رمزگذاری شده‌ای كه نتوانید از حالت رمز در بیاورید نسبت به تخریب داده هیچ تفاوتی ندارند.

اگر به مقاله اول از این سری مقالات نگاهی بیاندازید، به یاد می‌آورید زمانی‌كه یك درایو را به كمك BitLocker رمزگذاری می‌كنید، ویندوز به شما یك پیام با عنوان ""How do you want to store your recovery key? را نشان می‌دهد. این پیام به شما می گوید زمانی‌كه رمز عبور را فراموش كنید، یك كلید بازیابی می‌تواند برای دسترسی به درایو مورد استفاده قرار گیرد. نه تنها ویندوز به طور خودكار به شما امكان فراهم كردن این كلید بازیابی را می‌دهد بلكه شما را مجبور می كند تا از كلید بازیابی پرینت بگیرید یا آن را در یك فایل ذخیره نمایید.

داشتن یك كلید بازیابی برای موقعیت‌های ضروری ایده خوبی است. اما در جهان واقعی تعداد كمی از كاربران به یاد دارند كه این كلید بازیابی را كجا ذخیره كرده اند یا پرینت آن را كجا گذاشته اند. در یك سازمان از دست دادن كلیدهای رمزگذاری می‌تواند عواقب فاجعه باری را به همراه داشته باشد. خوشبختانه برای ذخیره كردن كلید بازیابی نیازی به كاربر نهایی نیست زیرا می‌توانید كلید بازیابی را در اكتیو دایركتوری ذخیره نمایید.

آماده سازی اكتیو دایركتوری

قبل از آن‌كه بتوانیم BitLocker را برای ذخیره سازی در اكتیو دایركتوری پیكربندی نماییم، نیاز به برخی كارهای مقدماتی داریم. همان‌طور كه می‌دانید BitLocker to Go برای اولین بار در ویندوز 7 و ویندوز سرور 2008 ویرایش دوم معرفی شد. به این ترتیب اگر قصد دارید كلید بازیابی BitLocker to Go را در سطح اكتیو دایركتوری پشتیبانی نمایید، می‌بایست برخی از كدهای ویندوز سرور 2008 ویرایش دوم را بر روی كنترل كننده‌های دامنه (DC) اجرا نمایید.

مجبور نیستید تا تمامی كنترل كننده‌های دامنه را به ویندوز سرور 2008 ویرایش دوم ارتقاء دهید مگر آن‌كه خودتان تمایل داشته باشید این كار را انجام دهید. به منظور توسعه اسكیمای اكتیو دایركتوری در كنترل كننده دامنه كه به عنوان اسكیما مستر فارست شما محسوب می‌شود، می‌توانید از یك دی وی دی نصب ویندوز سرور 2008 ویرایش دوم استفاده نمایید.

قبل از آن‌كه چگونگی توسعه اسكیمای اكتیو دایركتوری را نشان دهیم، باید هشدار دهیم كه در این روش فرض بر این است كه تمامی كنترل كننده‌های دامنه در حال اجرای ویندوز سرور 2000 با بسته سرویس 4 یا نسخه‌های بالاتر می‌باشند. اگر سیستم عامل كنترل كننده‌های شبكه شما قدیمی‌تر هستند می‌بایست قبل از توسعه اسكیما به نسخه‌های بالاتر ارتقاء داده شوند.

هم‌چنین باید قبل از توسعه اسكیمای اكتیو دایركتوری یك پشتیبان‌گیری از كل سیستم كنترل كننده‌های دامنه تهیه نمایید. اگر در طول فرآیند توسعه اشتباهی رخ دهد، می‌تواند اثرات مخربی بر اكتیو دایركتوری داشته باشد در نتیجه بسیار مهم است كه یك نسخه پشتیبان خوبی داشته باشید تا در صورت لزوم بتوان آن را برگرداند.

می‌توانید با گذاشتن دی وی دی نصب ویندوز سرور 2008 ویرایش دوم بر روی سیستم اسكیما مستر، اسكیمای اكتیو دایركتوری را توسعه دهید. پس از آن پنجره خط فرمان را با استفاده از گزینه اجرا به عنوان مدیر شبكه (Run as administrator) باز نمایید و دستورات زیر را در آن وارد نمایید( D: نشان‌دهنده درایوی است كه حاوی رسانه نصب است):

CD\

CD SUPPORT\ADPREP

ADPREP /FORESTPREP

هنگامی‌كه ابزار ADPrep لود شد، از شما خواسته می‌شود تا تایید نمایید كه تمامی كنترل كننده‌های دامنه در حال اجرای نسخه‌های ویندوز سرور مناسب هستند. پس از آن به آسانی كلید C را فشار دهید و سپس كلید Enter را فشار دهید تا فرآیند توسعه اسكیما شروع شود. تنها چند دقیقه برای اتمام این فرآیند باید منتظر بمانید.

پیكربندی سیاست‌های گروهی

توسعه اسكیمای اكتیو دایركتوری به تنهایی برای ذخیره سازی كلیدهای بازیابی BitLocker در اكتیو دایركتوری كافی نیست. برای این منظور نیاز است تا چند تنظیم سیاست گروهی پیكربندی شوند.

در این مرحله، باید گزینه Deny Write Access to Removable Drives Not Protected by BitLocker را فعال نمایید. در واقع این یك شرط مطلق نیست اما راهی است تا كاربران را مجبور كنید تا درایو های فلش USB خود را رمزگذاری نمایند. ممكن است گزینه‌ Do Not Allow Write Access to Devices Configured in Another Organization را فعال نمایید تا به دستگاه‌هایی كه در سازمان‌های دیگر رمزگذاری می‌شوند، حق نوشتن اطلاعات را ندهید. باز هم یادآوری می‌كنیم كه این مراحل یك الزام نیستند اما به بهبود امنیت كمك خواهند كرد.

گام بعدی در این فرآیند فعال نمودن تنظیم Choose How BitLocker Removable Drives Can Be Recovered است. هنگامی‌كه بر روی گزینه Deny Write Access to Removable Drives Not Protected by BitLocker دو مرتبه كلیك كنید، یك كادر تبادلی را مشاهده می‌نمایید. زمانی كه این تنظیم سیاست گروهی را فعال می‌نمایید، در این كادر گزینه‌هایی وجود دارند كه می‌توانید آن‌ها را فعال نمایید.

اگر می‌خواهید از هر كلید بازیابی یك نسخه در اكتیو دایركتوری ذخیره نمایید می‌بایست سه گزینه در این كادر را فعال نمایید. ابتدا باید گزینه Allow Data Recovery Agent را فعال نمایید. این گزینه ممكن است به طور پیش فرض فعال باشد اما از آن‌جایی كه فعال بودن این گزینه كل فرآیند ذخیره سازی كلید بازیابی را فراهم می‌كند، بسیار مهم است كه فعال بودن این گزینه بررسی شود.

سپس باید گزینه BitLocker Recovery Information to AD DS for Removable Data Drives را انتخاب نمایید. در واقع فعال بودن این گزینه امكان ذخیره سازی كلیدهای بازیابی bitLocker را در اكتیو دایركتوری فراهم می‌كند.

در نهایت، باید گزینه Do Not Enable BitLocker Until Recovery Information Is Stored To AD DS For Removable Data Drives فعال شود. این گزینه ویندوز را مجبور می‌كند تا قبل از آن‌كه BitLocker اجازه رمزگذاری درایو را داشته باشد، كلید بازیابی در اكتیو دایركتوری ذخیره شود. به این ترتیب اگر در طول فرآیند رمزگذاری برق سیستم قطع شود، كلید بازیابی از بین نمی رود.

گرچه فعال بودن گزینه Omit Recovery Option From The BitLocker Setup Wizard اجباری نیست اما برخی از مدیران شبكه نیز تمایل دارند تا این گزینه را فعال نمایند. به این ترتیب كاربران نمی‌توانند از كلید بازیابی خودشان كپی تهیه نمایند یا از آن پرینت بگیرند.

نتیجه گیری

در این مقاله، نشان دادیم كه چگونه می‌توان كلید بازیابی رمزگذاری BitLocker را در اكتیو دایركتوری ذخیره كرد. در قسمت چهارم از این سری مقالات فرآیند استفاده از كلید بازیابی را نشان می‌دهیم.

+ نوشته شده توسط وحید قاسمی در دوشنبه هفتم فروردین ۱۳۹۱ و ساعت 8:44 |

رمزگذاری رسانه قابل حمل با استفاده از BitLocker (قسمت 2)

تنظیمات پیش فرض در ویندوز 7 به كاربران اجازه می‌دهد تا تصمیم بگیرند كه چه موقع می‌خواهند اطلاعات روی دستگاه قابل حمل را رمزگذاری نمایند. در این مقاله توضیح می‌دهیم كه چگونه می‌توان با استفاده از تنظیمات سیاست گروهی، BitLocker را اعمال كرد.

مقدمه

در بخش اول از این سری مقالات، نشان دادیم كه چگونه می‌توانید به صورت دستی با استفاده از BitLocker محتوی یك درایو فلش USB را رمزگذاری كنید. اگرچه روشی كه در مقاله قبل ارائه شد به خوبی عمل می‌كند اما دارای محدودیت‌هایی نیز است. به عنوان مثال تصور كنید كه شركت شما اطلاعات بسیار حساسی را در یك فایل نگهداری می‌كند. در حالت ایده آل، احتمالا دوست دارید تا از بیرون رفتن آن اطلاعات از شركت جلوگیری نمایید. از طرفی ممكن است كارمندانی داشته باشید كه برای انجام كارهایشان نیاز به مراجعه به آن فایل را داشته باشند، حتی زمانی كه به شبكه متصل نیستند.

هنگامی‌كه یك كارمند یك درایو USB حاوی اطلاعات شخصی درباره تمامی مشتریان سازمان را در اختیار داشته و احتمال گم شدن آن نیز وجود دارد، رمزگذاری یك ضرورت می‌شود. قطعا BitLocker to Go می‌تواند نوعی از رمزگذاری را ارائه دهد كه بدان نیاز دارید اما روش رمزگذاری كه در بخش اول از این سری ارائه شد، نیازمند آن است كه كاربران به صورت دستی درایوهای فلش USB خودشان را رمزگذاری كنند.

بدیهی است نمی‌توانیم تنها رمزگذاری را به عهده كاربران بگذاریم و برای انجام این كار به آن‌ها اعتماد نماییم. خوشبختانه ویندوز 7 و ویندوز سرور 2008 نسخه 2 شامل تنظیمات سیاست گروهی هستند كه می‌توانید برای كنترل زمان و موقعیت رمزگذاری BitLocker، از این تنظیمات استفاده نمایید.

ویرایشگر شی سیاست گروهی حاوی چند تنظیم مختلف سیاست گروهی مربوط به رمزگذاری BitLocker است، اما یك فولدر كامل حاوی تنظیمات مربوط به رمزگذاری BitLocker برای رسانه قابل حمل وجود دارد. می توانید از مسیر Computer Configuration \ Administrative Templates \ Windows Components \ BitLocker Drive Encryption \ Removable Data Drives به این فولدر دسترسی داشته باشید.

كنترل استفاده از BitLocker روی درایوهای قابل حمل

اولین تنظیم سیاست گروهی كه توضیح داده می‌شود، كنترل استفاده از BitLocker روی تنظیمات درایوهای قابل حمل است. همان‌طور كه از نام آن پیداست، این تنظیم به شما اجازه می‌دهد تا كنترل نمایید كه كاربران، مجاز به رمزگذاری رسانه قابل حمل بوسیله BitLocker هستند یا مجاز نیستند. در ساده ترین بیان، غیرفعال نمودن این تنظیم به كاربران اجازه رمزگذاری رسانه قابل حمل را نمی‌دهد، در حالی‌كه اگر هیچ تنظیمی صورت نگیرد، به كاربران این اجازه را می‌دهد تا رسانه قابل حمل خود را رمزگذاری نمایند.

با فعال نمودن این تنظیم سیاست گروهی، دو گزینه برای تنظیم وجود دارد. اولین گزینه اجازه می‌دهد تا انتخاب نمایید آیا به كاربران این اجازه را می‌دهید تا حفاظت BitLocker را بر روی درایوهای داده قابل حمل فعال نمایند یا این اجازه را نمی‌دهید. بدیهی است این گزینه كمی غیر ضروری است اما مایكروسافت به آن دلیل این گزینه را لحاظ كرده است تا بتوانید تنظیمات دلخواه را اعمال نمایید. تنظیم بعدی كه به طور مستقل در موردش صحبت خواهیم كرد زمانی است كه تنظیم سیاست گروهی فعال باشد.

دومین تنظیم به كاربران اجازه می‌دهد تا رمزگذاری را متوقف نمایند و حفاظت BitLocker را روی درایوهای داده قابل حمل رمزگشایی نمایند. به بیان دیگر، شما می‌توانید مشخص كنید كه آیا كاربران اجازه دارند تا BitLocker را برای دستگاه ذخیره قابل حمل غیرفعال نمایند یا اجازه ندارند.

پیكربندی استفاده از كارت‌های هوشمند روی درایوهای قابل حمل

این تنظیم سیاست گروهی اجازه می‌دهد تا كنترل كنید كه آیا كارت‌های هوشمند می‌توانند به عنوان یك مكانیسم برای احرازهویت كاربران برای دسترسی به محتوی رمزشده BitLocker استفاده شوند یا نه. اگر تصمیم داشتید تا این تنظیم سیاست گروهی را فعال نمایید، در نتیجه یك زیر گزینه وجود دارد كه می‌توانید برای درخواست استفاده از كارت هوشمند این گزینه را فعال نمایید. اگر این گزینه را انتخاب كنید، كاربران قادر خواهند بود تنها با استفاده از كارت هوشمند مبتنی بر احرازهویت به محتوی رمز شده BitLocker دسترسی داشته باشند.

منع حق نوشتن روی درایوهای قابل حمل توسط BitLocker

منع حق نوشتن روی درایوهای قابل حمل در تنظیمات BitLocker یكی از مهم‌ترین تنظیمات سیاست گروهی در رابطه با رمزگذاری رسانه قابل حمل است. هنگامی‌كه این تنظیم را فعال می‌كنید، ویندوز هر دستگاه ذخیره قابل حملی كه به سیستم وارد می‌شود را بررسی می‌كند كه آیا رمزگذاری BitLocker بر روی آن فعال است یا نه. اگر BitLocker روی آن درایو غیرفعال باشد، در نتیجه آن درایو تنها قابلیت خواندن دارد. كاربران زمانی بر روی دستگاه ذخیره قابل حمل حق نوشتن دارند كه BitLocker روی این درایو فعال باشد. با این روش می‌توانید مانع نوشتن اطلاعات روی رسانه قابل حمل غیر رمز شده شوید.

روش‌های بالا برخی از حالت‌های حفاظتی را در اختیار شما قرار می‌دهد اما هنوز برای كاربر این امكان وجود دارد تا بتواند BitLocker را روی یك كامپیوتر خانگی فعال سازد، یك درایو فلش USB را رمزگذاری نماید و سپس درایو رمز شده را به شركت بیاورد و روی آن اطلاعات را بنویسد. فعال كردن گزینه ای با عنوان به دستگاه‌هایی كه در سازمان دیگری حق نوشتن به آن‌ها داده شده است اجازه نوشتن نده، به ویندوز این امكان را می‌دهد تا به مكانی كه دستگاه ذخیره قابل حمل در آن‌جا رمز شده است، نگاهی بیاندازد. اگر دستگاه توسط سازمان دیگری رمزگذاری شده باشد در نتیجه BitLocker حق نوشتن آن دستگاه را نمی پذیرد.

پیكربندی استفاده از رمزهای عبور برای درایوهای داده قابل حمل

این تنظیم یكی از بدیهی‌ترین تنظیمات است. به شما اجازه می‌دهد تا كنترل نمایید آیا می‌خواهید برای رمزگشایی محتویات درایوهای قابل حمل از رمز عبور استفاده نمایید. فرض كنید كه می‌خواهید حفاظت رمز عبور برای درایوهای قابل حمل را اعمال نمایید، گزینه ای وجود دارد كه می توان شرائط طول رمز عبور و پیچیدگی آن را تنظیم نمود.

نتیجه

یكی از مشكلاتی كه در رابطه با داده‌های رمزگذاری وجود دارد، گم شدن كلیدهای رمزگذاری است، در نتیجه داده‌ها رمزگشایی نمی‌شوند. در قسمت سوم تكنیكی را نشان می‌دهیم كه به كمك آن می‌توانید با این مشكل مقابله نمایید.

+ نوشته شده توسط وحید قاسمی در دوشنبه هفتم فروردین ۱۳۹۱ و ساعت 8:41 |

رمزگذاری رسانه قابل حمل با استفاده از BitLocker (قسمت 1)

در این مقاله توضیح می دهیم كه چگونه به منظور جلوگیری از افشای اطلاعات با استفاده از قابلیت BitLocker-to-go رسانه قابل حمل را رمزگذاری نماییم.

مقدمه

كاربرانی كه خارج از یك سازمان كار می‌كنند همواره یك چالش امنیتی ویژه ای را برای كاركنان فناوری اطلاعات به ارمغان می‌‌آورند. از یك طرف، كاربران سیار نیاز به دسترسی به اطلاعات شركت بر روی لپ‌تاپ‌ها یا دستگاه‌های سیار خود دارند و از طرف دیگر قرار دادن اطلاعات روی این قبیل دستگاه‌ها، زمانی كه دستگاه گم شود یا دزدیده شود، اطلاعات را در معرض خطر قرار می‌دهد.

به همین دلیل بسیاری از سازمان‌ها به كارمندان خود اجازه ذخیره‌سازی اطلاعات روی لپ‌تاپ‌ها یا دستگاه‌های سیار را نمی‌دهند. هر چند این روش همیشه عملی نیست. این محدودیت برای كاربران بدان معنی است كه هر زمان نیاز به دسترسی به اطلاعات دارند باید به اینترنت متصل شوند و همان‌طور كه می‌دانیم دسترسی به اینترنت همیشه میسر نیست.

در طول این سال‌ها مایكروسافت راه‌حل‌های مختلفی برای كمك به تامین امنیت اطلاعاتی كه بر روی لپ تاپ‌ها ذخیره می‌شوند، ارائه داده است. به عنوان مثال در ویندوز ویستا، مایكروسافت قابلیت رمزگذاری درایو BitLocker را معرفی كرد.

با وجود پیشرفت‌های BitLocker، این رمزگذاری محدودیت‌های خودش را دارد. به عنوان مثال، BitLocker در نسخه ویندوز ویستا تنها قادر به رمزگذاری درایو سیستم است. اگر كامپیوتر حاوی درایوهای دیگری باشد، می بایست برای امن كردن آن‌ها از رمزگذاری EFS یا از محصول رمزگذاری شركت دیگری استفاده كرد.

یكی دیگر از محدودیت‌های مهم BitLocker عدم توانایی در رمزكردن رسانه‌های قابل حمل است. مهم است به یاد داشته باشیم كه درایوهای فلش USB در همه جا حضور دارند. علاوه بر این، ظرفیت این قبیل دستگاه‌ها در این سال‌ها به طور نمایی افزایش داشته است. همه این‌ها بدان معنی است كه حجم زیادی از اطلاعات می‌توانند به راحتی در یك دستگاه كوچك و ارزان ذخیره شوند و از طرفی هیچ قابلیت رمزگذاری محلی برای آن‌ها پیشنهاد نمی‌شود. بخش واقعا ترسناك آن است كه چون درایوهای فلش USB كوچك و ارزان هستند، یك كاربر زمانی‌كه این درایو گم شود، توجهی به آن نمی‌كند.

هنگام ساخت ویندوز 7، یكی از مسائلی كه مایكروسافت بدان پرداخت، برطرف كردن ضعف‌های مختلف BitLocker بود. برخی از این پیشرفت‌ها شامل موارد زیر می‌شود:

در حال حاضر BitLocker توانایی رمزگذاری تمامی درایوهای سیستم را دارد، نه تنها درایوی كه حاوی سیستم عامل است.

در حال حاضر سیستم به عنوان بخشی از فرآیند بوت، یك بررسی كامل را انجام می‌دهد. این مساله كمك می‌كند تا بررسی نماییم زمانی‌كه كامپیوتر خاموش بوده دستكاری نشده است و درایو رمزگذاری شده در كامپیوتر اصلی خودش قرار دارد.

در حال حاضر این امكان وجود دارد تا هارد دیسك رمزگذاری شده را به كامپیوتر دیگری منتقل نماییم.

ویندوز قبل از بوت شدن یك كامپیوتر یا بالا آمدن سیستم از حالت hibernate، از كاربران درخواست می‌كند كه یك PIN یا یك درایو فلش USB حاوی اطلاعات كلیدی را وارد نمایند و بدین ترتیب سیستم را در برابر حملات بوت سرد محافظت می‌نماید.

در حال حاضر كلیدهای بازیابی BitLocker در اكتیو دایركتوری ذخیره می‌شوند. در صورتی‌كه كاربر PIN خودش را فراموش ‌كند یا درایو فلش USB حاوی اطلاعات كلیدزنی را گم ‌كند، این كلیدها می‌توانند برای دسترسی دوباره به اطلاعات رمز شده BitLocker ، استفاده شوند.

قابلیت BitLocker to Go

شایدمهم‌ترین قابلیت جدید BitLocker To Go ، BitLocker باشد. BitLocker to Go این امكان را می‌دهد تا دستگاه‌های رسانه قابل حمل مانند درایوهای فلش USB را رمزگذاری نمایید. به این ترتیب اگر رسانه قابل حمل گم شود یا دزدیده شود، اطلاعاتی كه در آن قرار دارد در اختیار هیچ كس قرار نمی‌گیرد و كسی نمی‌تواند از آن‌ها سوء استفاده نماید.

همان‌طور كه احتمالا انتظار دارید، رمزگذاری BitLocker به طور پیش فرض بر روی درایوهای فلش USB فعال نیست. با این‌حال می‌توان آن را بوسیله یك مدیر شبكه (از طریق تنظیمات سیاست گروهی) یا یك كاربر نهایی فعال نمود.

مایكروسافت برای یك كاربر نهایی فعال كردن رمزگذاری BitLocker را بسیار آسان ساخته است. در حال حاضر قابلیت‌های BitLocker به طور مستقیم در اكسپلورر ویندوز انجام می‌شوند.

در شكل A، یك درایو فلش USB در كامپیوتر در حال اجرای ویندوز 7 قرار داده شده است. هنگامی‌كه روی درایو فلش USB كلیك راست می‌كنید، ویندوز گزینه ای را نشان می‌دهد كه BitLocker را فعال می‌سازد.

شكل(A): در حال حاضر اكسپلورر ویندوز دارای گزینه ای است كه BitLocker را فعال می‌سازد.

اگر گزینه فعال سازی BitLocker را انتخاب نمایید، BitLocker تنها برای درایو انتخاب شده فعال می‌شود، نه برای كل سیستم. هنگامی كه BitLocker را فعال ساختید، ویندوز بی‌درنگ از شما می‌خواهد یك رمز عبور را وارد نمایید كه برای باز كردن درایو از آن استفاده می‌شود. همانطور كه در شكل B می‌بینید، می‌توانید گزینه ای با استفاده از كارت هوشمند برای بازكردن درایو داشته باشید.

شكل (B): باید یك رمز عبور و/یا یك كارت هوشمند تهیه نمایید تا بتوانید برای باز كردن درایو از آن استفاده كنید.

همان‌طور كه در شكل C می‌بینید، پس از وارد نمودن رمز عبور، ویندوز یك كلید بازیابی را تولید می‌كند و شما را مجبور می‌كند كلید بازیابی را در یك فایل ذخیره نمایید یا از آن پرینت بگیرید. همان طور كه در شكل می‌بینید، گزینه Next تا زمانی كه حداقل یكی از این دو گزینه را انتخاب نمایید، غیر فعال می‌ماند. مایكروسافت از شما می‌خواهد كلید بازیابی را ذخیره نمایید یا پرینت بگیرید تا زمانی‌كه رمز عبور خود را فراموش می‌كنید، بتوانید از آن برای دسترسی دوباره به اطلاعات رمز گذاری شده استفاده‌ نمایید.

شكل (C): باید كلید بازیابی را ذخیره كنید یا از آن پرینت بگیرید.

بعد از آن‌كه كلید بازیابی را ذخیره كردید یا از آن پرینت گرفتید، وقت آن است كه درایو را رمز كنید. برای انجام این كار همانگونه كه در شكل D می بینید، تنها بر روی دكمه Start Encrypting كلیك نمایید.

شكل (D): برای رمز كردن درایو بر روی دكمه Start Encrypting كلیك نمایید.

استفاده از درایو فلش رمزگذاری شده

همان‌گونه كه در شكل E می‌بینید، برای استفاده از درایو فلش رمزگذاری شده، تنها كافی است پس از وارد كردن درایو فلش، رمز عبور را وارد نمایید. توجه داشته باشید كه آیكون درایو، یك قفل را نشان می‌دهد.

شكل(E) : پس از قرار دادن یك درایو فلش رمزگذاری شده، از شما درخواست می‌شود كه رمز عبور را وارد نمایید.

با توجه به شكل F، پس از وارد نمودن رمز عبور، آیكون تغییر می‌كند تا نشان دهد كه درایو باز شده است.

شكل(F): پس از وارد كردن رمز عبور، درایو باز می‌شود.

سیستم عامل‌ های دیگر

بعد از معرفی BitLocker to Go در ویندوز 7، ممكن است این سوال مطرح شود كه اگر یك درایو فلش USB را به یك كامپیوتر شخصی با سیستم عامل قدیمی تر وارد نماییم، چه اتفاقی می‌افتد. شكل G نشان می‌دهد زمانی‌كه یك درایو فلش رمزگذاری شده را به یك ماشین كه در حال اجرای ویندوز ویستا است وارد می‌كنید چه اتفاقی می افتد.

شكل(G): ویستا به شما گزینه ای می‌دهد تا BitLocker to Go Reader را نصب نمایید.

اگر چه ویستا به طور طبیعی BitLocker to Go را پشتیبانی نمی‌كند، اما برای شما گزینه نصب BitLocker to Go Reader را ارائه می‌دهد. این Reader بر روی درایو رمز شده ذخیره می‌شود (در یك فرمت بدون رمزگذاری شده)، بنابراین این امكان وجود دارد كه حتی اگر دسترسی به اینترنت ندارید، Reader را نصب نمایید.

نتیجه

در این مقاله، به شما نشان دادیم كه چگونه می‌توانید با استفاده از BitLocker To Go به صورت دستی یك درایو فلش USB را رمزگذاری نمایید. در قسمت دوم از این سری مقالات، به شما نشان می‌دهیم كه چگونه می‌توانید از سیاست گروهی برای اجرای خودكار این فرآیند استفاده نمایید.

+ نوشته شده توسط وحید قاسمی در دوشنبه هفتم فروردین ۱۳۹۱ و ساعت 8:39 |