Security
Account Manager(SAM)
SAM، accountهاى
مربوط به گروه و کاربر را مدیریت مىکند و
شناسایى کاربر را براى LSA فراهم
مىسازد.
Security Refrence Monitor(SRM)
SRM موجب اعتبار و درستى دستیابى مىگردد
و براى LSA عمل نظارت
را انجام مىدهد. زمانى که کاربر سعى در دستیابى به فایلها
و دایرکتوریهاى... گوناگون را دارد، SRM، accountهاى
کاربر را چک مىکند و یا
اینکه دستیابى را ممکن و یا غیرممکن مىسازد پیامهاى حسابرسى بصورت نتیجه حاصل مىشوند. SRM شامل
یک کپى از کد اعتبار دستیابى است که تضمین مىکند، منابع بدون توجه به نوع آنها بطور یکسان از جانب سیستم
حمایت مىشوند.
رابط کاربر User Interface (UI)
با وجود اینکه UI بخش مهم
مدل امنیتى است، اما اساساً تمام چیزى است
که کاربر مىبیند. UI همچنین
چگونگى انجامپذیرى اکثر اجراهاست.
2- شناسایى یک کاربر چگونه کار مىکند؟
ابتدا کاربر logon مىشود.
هنگامى که logon روى
مىدهد، NT یک شىء نشانهاى ایجاد مىکند که نشاندهنده
آن کاربر است. هر فرآیندى
که کاربر اجرا مىکند در رابطه با این علامت (یا یک کپى از آن) است. ترکیب علامت - فرآیند به یک Subject اشاره
دارد. هنگامى که subjectها به Objectهایى همچون فایلها
و دایرکتوریها دستیابى مىیابد، NT نشانه Subject را با Access Control
List(ACL)، Object چک
مىکند و اجازه دستیابى و یا عدم دستیابى را معین مىکند. این امر ممکن است یک پیام حسابرسى ایجاد کند.
3- تفاوت بین "Workgroup",
"Standalone" و "domain"چیست؟
هر ایستگاه کارى NT در یک Workgroup و یا یک domain شرکت
مىکند. اکثر کمپانیها براى مدیریت منبع از طریق مجرى، داراى مشارکت ایستگاه کارى NT در
یک domain هستند.
domain یک یا چند سرویسدهنده است که سرویسدهنده NT را با تمام عملکردهاى سرویس دهندهها بصورت یک
سیستم منفرد اجرا مىکند. domain نه تنها شامل سرویسدهندههاست،
بلکه شامل ایستگاههاى کارى NT، ویندوز
براى ماشینهاى Workgroup و حتى
ماشینهاى LAN Manager 2.x مىباشد.
بانک اطلاعاتى کاربر و گروه تمام
منابع یک domainرا پوشش
مىدهد. domainها
مىتوانند از طریق domainهاى
قابل اطمینان به یکدیگر مرتبط شوند. مزیت domainهاى
قابل اطمینان در این
است که یک کاربر براى بدست آوردن منابع از میان چندین domain، تنها نیاز به یک account کاربر و
کلمه عبور دارد و مدیران یقیناً مىتوانند منابع را مدیریت کنند.
یک Workgroup، گروهى از ایستگاههاى
کارى است که به یک domainتعلق
ندارند. یک ایستگاه کارى مستقل NT، یک Workgroup خاص
است.
accountهاى کاربر و گروه بطور
متفاوتى بین domain و
موقعیتهاى Workgroup مدیریت
مىشوند. accountهاى کاربر مىتوانند در سطح محلى یا domain تعیین شوند. یک account کاربر محلى مىتواند تنها به همان کامپیوتر محلى logon شود،
در حالى که account domainمىتواند
از هریک از ایستگاههاى کارى در domain logon شود.
accountهاى گروهى سراسرى در سطح domain تعیین
مىشوند. یک account گروهى
سراسرى راه سادهاى براى دستیابى به زیر مجموعه
کاربرهاى یک domain است،
مثلاً یک دایرکتورى یا فایل منفرد که روى یک سرویس دهنده
خاص در domain قرار
گرفته است. accountهاى گروهى
محلى بروى هر کامپیوتر معین مىشوند.
یک account گروهى
محلى مىتواند داراى accountهاى گروهى
سراسرى و accountهاى کاربر
بصورت اعضا باشد.
در یک domain، بانک اطلاعاتى کاربر و گروه توسط سرویسدهندهها به اشتراک گذاشته
مىشود. ایستگاههاى کارى NT در domain، هیچ
کپى از بانک اطلاعاتى کاربر و گروه ندارند، اما مىتوانند مختص خود را دارد و این اطلاعات را قسمت نمىکند.
4- Service Pack چیست؟
مایکروسافت براى
اجراى سیستمها و برنامههاى کاربردى، از بانک اطلاعاتى بزرگ و Online ثابتها نگهدارى
مىکند. این ثابتها با عنوان Service Packها بیان
مىشوند. NT سهم خود
را دارد، و آخرین Service Pack داراى آخرین ثابتهاست که شامل Patchهاى امنیتى مىباشد. نصب
یک Service Pack به سادگى
با خاموش و روشن کردن چند ویژگى که شامل Registry editing است،
صورت نمىگیرد. در برخى شرایط نصب Service Pack انجامپذیر
نیست و یا موجب ناسازگارى مىگردد.
اغلب پس از آنکه یک محصول جدید load مىشود،
حتى یک محصول مایکروسافت، باید مجدداً Service Pack را نصب کنید. به همین دلیل،
مدیران LAN اغلب نصب بىموقع Service Packها
را نادیده مىگیرند. براى هکر این یک مزیت محسوب مىشود،
بخصوص اگر سایت داراى سرویس دهندههاى NT و
ایستگاههاى کارى زیادى باشد که نیاز
به Patch کردن
داشته باشند. ممکن است روزى مایکروسافت نصب Service Pack را
تا حدى آسانتر سازد، اما تا آن
زمان شما موقعیتهاى بسیارى را خواهید یافت که یا در حال Patch شدن
هستند و یا هرگز patch نمىشوند.
معمولاً Service Packها به
خوبى آزمایش مىشوند، اگرچه این مطلب
«ثابت» بودن همه چیز را تضمین نمىکند.
5- Hotfix چیست؟
آن چه که بین انتشارات Service Pack منتشر
مىشود Hotfix نام دارد. یک Hotfix معمولاً
براى مخاطب ساختن یک مشکل یا موقعیت خاص منتشر مىشود. برخى
از Hotfixها ممکن
است پیش نیاز یک PackService خاص باشند
و معمولاً در Service Pack بعدى
گنجانده مىشوند.
مداخله در برخى از Hotfixها کاملاً
خطرناک است و اکثر گروههاى LANبه سادگى نصب آنها را نادیده مىگیرند. و این
خبر خوبى براى هکر است.
Hotfixها به خوبى Service Packها آزمایش
نمىشوند. و اغلب پس از عناوین
خبرى در رابطه با نقصان امنیتى منتشر مىشوند، بنابراین نشر Hotfixها
اغلب با عجله و شتاب صورت
مىگیرد.
6- آیا گروههاى پیشفرض جالبى وجود دارند که
از آنها مطلع شویم؟
تعدادى از گروههاى محلى توکار وجود دارند که مىتوانند
وظایف گوناگونى را انجام دهند، که برخى از این وظایف بهتر است به مدیران محول شود. مدیران قادر به انجام هر کارى
هستند، اما اعضاى گروههاى زیر مىتوانند چند
کار اضافى انجام دهند:
- اپراتورهاى سرویس دهنده: Shutdown را حتى از راه دور انجام مىدهند، زمان سیستم را reset مىکنند؛ پشتیبانىها و احیاءها
را انجام مىدهند.
- اپراتورهاى پشتیبانى: Shutdown را انجام
مىدهند؛ پشتیبانىها و احیاءها را
انجام مىدهند.
- اپراتورهاى Shutdown : Account راانجام
مىدهند.
- اپراتورهاى چاپ: Shutdown را انجام
مىدهند.
همچنین اعضاى این گروهها مىتوانند در logon ، Console شوند.
7- آیا محدودهاى خاصى براى گروه Adminstractive Tools در Presentation Manager وجود دارد؟
ابزارهاى زیر داراى محدودیهاى گروه پیش فرض در 0/4 هستند:
مدیر دیسک - باید عضوى از گروه مدیران باشد.
گزارش رویداد - هر کسى مىتواند EventViewer را اجرا نماید، اما تنها اعضاى
گروه مدیران مىتوانند گزارشها را
آشکار سازند و یا گزارش امنیتى را مشاهده نمائید.
پشتیبانى - هر کسى مىتواند
از فایلى که بطور عادى به آنها دستیابى دارد، پشتیبانى نماید، اما تنها مدیران و یا اپراتورهاى پشتیبانى مىتوانند
دستیابى عادى را Override کنند.
مدیر کاربر - کاربرها و کاربران پیشرفته مىتوانند گروههاى محلى را
ایجاد و مدیریت کنند.
مدیر کاربر domainها -
کاربرها و کاربران پیشرفته در صورتى که در Consoleسرویس دهنده logon شوند،
مىتوانند گروههاى محلى را ایجاد و مدیریت نمایند،
در غیر این صورت به مدیران و اپراتورهاى Accountمحدود
مىشود.
مدیر سرویس
دهنده - تنها مدیران، مدیران domain و
اپراتورهاى سرویس دهنده مىتوانند از آن
در domainهایى که
بر روى آن accountدارند
استفاده نمایند. اپراتورهاى account تنها
مىتوانند accountهاى جدید
را به domain بیافزایند.
برخى از ویژگیها در مدیر سرویسدهنده
فقط مىتوانند توسط مدیران و مدیران domain بکار
گرفته شوند.
8- کجا مىتوان Service Packها
و Hotfixها را
یافت؟
محل اصلى براى
یافتن Service Packها:
FTP://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/xxx/yyy/zzz
xxx کشور، yyy نسخه NT و Service Pack ، zzz مىباشد.
براى مثال این آدرس نسخه
آمریکایى Service Pack3 براى NT4 مىباشد:
ftp://ftp.microsfot.com/bussys/winnt/winnt-public/fixes/usa/nt04/ussp3
محل اصلى براى یافتن Hotfixها:
FTP://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/xxx/yyy/zzz
xxx کشور، yyy نسخه NT و zzz دایرکتورى Hotfix مىباشد. براى مثال، این آدرس نسخههاى آمریکایى Hotfixها
براى N4 مىباشد،
در صورتى که Service Pack3 نصب شده باشد: