x
تبلیغات

 Security Top Image 01

 

سیاست ها و دستورالعمل ها، می توانند شامل الزامات محافظت در برابر حملات بدافزارها و مهندسی اجتماعی باشند.

بخش «خنثی سازی حملات مهندسی اجتماعی» (که در این فصل مطرح خواهد شد)، مهندسی اجتماعی را پوشش می دهند.


محافظت اولیه در برابر بیشتر بدافزارها، استفاده از نرم افزار ضد ویروس است. درباره نرم افزار آنتی ویروس بطور مفصل در ادامه توضیح داده شده است. اما، اقدامات امنیتی بیشتری که می توان برای محافظت در برابر بدافزارها انجام داد، وجود دارند. بسیاری از سازمانها برای اطمینان حاصل نمودن از اینکه این اقدامات امنیتی انجام می شوند، به تدوین سیاست ها و دستورالعمل ها می پردازند. این اقدامات شامل موارد زیر می شوند:


از دیواره های آتش استفاده کنید: هم دیواره های آتش مبتنی بر میزبان و هم دیواره های آتش مبتنی بر شبکه، لایه محافظتی دیگری در برابر کرم ها فراهم می کنند. اگر یک کرم به یک شبکه وارد شود (مثلا از طریق یک حافظه فلش)، فایروال های مبتنی بر میزبان، از کاربران داخلی محافظت می کنند.


سیستم عامل ها را به روز نگه دارید: وقتی آسیب پذیری های نرم افزارها شناخته می شوند، شرکت های تولید کننده نرم افزار و سیستم عامل، نسخه های به روز رسانی را به منظور رفع آسیب پذیری ها، منتشر می کنند. این نسخه های به روز رسانی شده تنها زمانی موثر هستند که نصب شوند.


سطح حمله را کاهش دهید: حذف تمامی پروتکل های غیر لازم، و غیر فعال کردن سرویس هایی که استفاده نمی شوند. اگر یک پروتکل یا سرویس در حال اجرا نباشد، بدافزار نمی تواند از طریق آن ایجاد خطر کند. تعداد کمتر پروتکل ها و سرویس های در حال اجرا بر روی یک ماشین هدف، به معنی نتایج موفقیت آمیز کمتر حملات است.


کاربران را آموزش دهید: بهترین روش مقابله با حملات مهندسی اجتماعی، آموزش به کاربران است. وقتی کاربران تهدیدات را بشناسند، بهتر می توانند با آنها مقابله کنند. آموزش شامل این می شود که کاربران تهدیدات را بشناسند و راهنمای ساده ای بمنظور کمک به آنها در خنثی نمودن حملات در اختیار داشته باشند.


استفاده از حساب کاربری مدیر سیستم را به حداقل برسانید: کاربران باید از حساب های کاربری استفاده کنند که حداقل حقوق دسترسی را برای انجام کارشان در اختیارشان قرار دهد. مدیران سیستم باید دو حساب کاربری داشته باشند: یکی برای کار معمول و دیگری برای وظایف مدیریت سیستم. مدیران سیستم باید تنها هنگامی که فعالیت های مدیریت سیستم را انجام می دهند از حساب کاربری مدیر سیستم استفاده کنند.

 

استفاده از نرم افزار ضد ویروس

نرم افزار آنتی ویروس از سیستم ها در مقابل انواع متفاوت بدافزارها محافظت می کند. اگرچه نام ضد ویروس دلالت ضمنی بر این دارد که این نرم افزار تنها در برابر ویروس ها از سیستم ه محافظت می کند، بیشتر ضد ویروس ها اگر نگوییم ما را در برابر تمامی انواع بدافزار محافظت می نمایند، از سیستم ها در برابر بیشتر بدافزار ها محافظت می کنند.


همانطور که در شکل 3-2 نشان داده شده است، بسیاری از سازمان ها از رویکرد اصطلاحات سه شاخه برای محافظت از سیستم ها در شبکه شان استفاده می کنند. در این شکل شما می توانید این موارد را ببینید:

  1. دیوار آتش با قابلیت پالایش محتوی برای پویش تمامی ترافیک های اینترنتی ورودی
  2. سرویس دهنده پست الکترونیک با نرم افزار ضد ویروس
  3. نرم افزار ضد ویروس بر روی سیستم های داخلی

 

دیواره های آتش با قابلیت پالایش محتوی، قادرند فایل های الصاق شده پر مخاطره را شناسایی کنند و آنها را از پیام های الکترونیکی حذف کنند؛ برخی از این دیواره های آتش مجهز به پویش کنندگان هرزنامه ها نیز هستند تا هرزنامه ها را حذف کنند.


سرویس دهنده های پست الکترونیک از پایگاه داده هایی که نرم افزار ضد ویروس خاصی لازم دارند، استفاده می کنند. این نرم افزار می تواند پست الکترونیک درون پایگاه داده ها را پویش کند و همچنین فایل های الصاق شده آلوده یا کدهای جاسازی شده را از پیام های الکترونیکی سالم حذف کند. سرویس دهنده های پست الکترونیک قادرند، هرزنامه ها را پیش از اینکه به صندوق پست الکترونیکی کاربر برسند حذف یا قرنطینه کنند.


سرویس دهنده Exchange مایکروسافت، با بکارگیری نرم افزار پالایش محتوی، دارای امکانات درونی برای مقابله با بدافزارهاست. برای محافظت بیشتر می توان نرم افزارهای جانبی (مانند محصولات Forefront مایکروسافت) دیگری را نصب کرد.


مقابله با هرزنامه یک عمل تعادلی است. بیشتر سازمان ها تلاش می کنند هرزنامه ها را به نحوی پالایش کننده که نامه های الکترونیکی سالم به هیچ وجه حذف یا قرنطینه نشوند. اینکار غالبا موجب گزارشات منفی خطای بیشتر در رابطه با تشخیص هرزنامه و ارسال آن به صندوق پستی کاربر می شود.


نرم افزار ضد ویروسی که بر روی رایانه های کاربران نهایی و سرویس دهنده ها وجود دارد محافظتی بلادرنگ فراهم می آورد و می تواند پویش هایی زمانبندی شده بر روی سرویس دهنده و رایانه های کاربران انجام دهد.Microsoft Security Essentials (که در بخش بعد توضیح داده شده است) از هر یک از سه روش زیر پشتیبانی می کند:


حفاظت بلادرنگ: این ویژگی به پایش مداوم سیستم شما می پردازد و می تواند در رابطه با تهدیدات به شما هشدار دهد. برای مثال، اگر شما سایتی را مشاهده کنید که تلاش می کند روی سیستم شما بدافزاری را نصب کند، ویژگی حفاظت بلادرنگ می تواند فعالیت های بدخواهانه را تشخیص دهد، تهدید را متوقف کند، و به شما هشدار دهد. بطور مشابه، حفاظت بلادرنگ می تواند هنگامی که سعی می کنید یک فایل آلوده را باز کنید، بدافزار را شناسایی کند. در شکل 4-2 ، شما می توانید ببینید که حفاظت بلادرنگ ، فعال است.

پویش زمانبندی شده: بیشتر نرم افزارهای ضد ویروس از پویش زمانبندی شده پشتیبانی می کنند. شما زمانی که می خواهید عملیات پویش اتفاق بیفتد را انتخاب می کنید، مثلا هر یکشنبه شب راس ساعت 9 و پویش بطور خودکار شروع می شود. (به شرط اینکه رایانه شما روشن باشد).


پویش های بنا به تقاضا: وقتی شما متوجه فعالیت های مشکوکی بر روی رایانه تان می شوید، می توانید از پویش بنا به تقاضا استفاده کنید. بیشتر نرم افزار های ضد ویروس به شما اجازه می دهند نوع پویشی که می خواهید اجرا کنید را انتخاب کنید(مانند سریع، کامل، یا انتخابی) و فورا یک پویش را آغاز کنید. برای مثال شکل 4-2 صفحه شروع یک پویش انتخابی را نشان می دهد. در شکل، تنها درایو :C و دو درایو نگاشت شده برای پویش انتخاب شده اند.


اصولا نرم افزارهای ضد ویروس، بدافزار را با استفاده از تعاریف از پیش تعریف شده شناسایی می کنند. ویروس ها، دارای شناسه های تعیین هویت شناخته شده ای مانند اثر انگشت یک شخص هستند. این شناسه ها شامل فایل ها، اسامی، کدهای جاسازی شده، رفتارها، و نظایر اینها می شود. نرم افزار ضد ویروس، فایل ها و رفتار آنها را می سنجد و آنها را با پایگاه داده ای از بدافزارهای شناخته شده مقایسه می کند. اگر موردی که مطابقت داشته باشد پیدا شود، نرم افزار ضد ویروس درباره آنچه یافته است، هشدار می دهد.


به این ترتیب، یکی از مهم ترین فعالیت ها، به روز نگه داشتن تعاریف آنتی ویروس است. نویسندگان بدافزارها، دائما در حال به روز رسانی و ویرایش بدافزار هستند، برای اینکه تلاش می کنند این تعاریف را دور بزنند. اگر تعاریف قدیمی باشند، ویروسی که کمی ویرایش شده می تواند یک سیستم را بدون اینکه تشخیص داده شود آلوده کند.


بعضی از نرم افزارهای پیشرفته ضد ویروس، مجهز به یک زیر برنامه اکتشافی نیز هستند. اگر آنتی ویروس این ویژگی را داشته باشد، شانس بهتری در شناسایی بدافزار جدید، یا بدافزارهایی که اخیرا ویرایش شده اند وجود دارد، حتی اگر آنتی ویروس دارای تعریفی برای آن بدافزار نباشد. آنتی ویروس که مبتنی بر عملکرد اکتشافی است، رفتار مشابه بدافزار را شناسایی می کند. به عبارت دیگر، این آنتی ویروس ، بدافزار را بر مبنی آنچه انجام می دهد شناسایی می کند نه بر اساس آنچه که هست. برای مثال، بدافزار معمولا تلاش می کند فایل های سیستمی را که نرم افزارهای عادی هرگز سعی نمی کنند آنها را ویرایش کنند، ویرایش کند. بنابراین، این رفتار شک برانگیز است، اگر برنامه ای سعی کند این نوع ویرایش را انجام دهد، آنتی ویروس اکتشافی هشدار می دهد که نرم افزار ممکن است بدافزار باشد. بعضی از آنتی ویروس ها از این هم بیشتر پیش می روند. بجای اینکه به یک برنامه کاربردی اجازه دهند که تغییری ایجاد کند و سپس آنرا شناسایی کنند، موقتا مانع آن می شوند که نرم افزار، برنامه های جدید را اجرا نماید. سپس، برنامه کاربردی را در محیطی قرنطینه شده (معمولا جعبه شن یا یک ماشین مجازی نامیده می شود) روی ماشین اجرا می کند و رفتارش را مشاهده می کند. اگر به نظر ایمن باشد، نرم افزار اجازه اجرا به برنامه کاربردی اصلی را می دهد. اگر مشکوک به نظر برسد، نرم افزار به کاربر هشدار می دهد.

 

استفاده از Microsoft Security Essentials بر روی رایانه های رومیزی

Microsoft Security Essentials یک ابزار آنتی ویروس رایگان برای کاربران نهایی و کسب و کارهای کوچک است. این ابزار دارای امکانات حفاظت در برابر ویروس ها، کرم ها، اسب های تروا، و دیگر بدافزارها است. شما می توانید آنرا بصورت رایگان از آدرس زیر دریافت کنید:

www.microsoft.com/security_essentials

کسب و کارهای کوچک می توانند از این ابزار رایگان بر روی 10 وسیله استفاده کنند، با این فرض که وسایل شامل محدودیت های مستند شده نباشند.


این ابزار حفاظت بلادرنگی در مقابل فعالیت بدافزار فراهم می کند و از هر دو روش پویش زمانبندی شده و پویش بنا بر درخواست پشتیبانی می کند. هنگامی که این ابزار فعالیت بدخواهانه ای را شناسایی می کند، هشداری می فرستد و سپس براساس تنظیماتش عملی انجام می دهد.


یک تهدید قرنطینه شده به ناحیه ای منتقل می شود که نمی تواند آسیبی برساند. اما، برای بررسی، در دسترس باقی می ماند.


همانطور که در جدول 2-2 نشان داده شده است، نرم افزار Microsoft Security Essentials، دارای چندین سطح هشدار است.

 

 

سطح هشدار

اقدام توصیه شده

توضیحات

شدید نرم افزار را فورا حذف کن نشان دهنده یک برنامه بدخواه شایع یا استثنایی است. می تواند بر روی حریم خصوصی و امنیت رایانه تاثیر بگذارد یا آنرا خراب کند.
بالا نرم افزار را فورا حذف کن برنامه ممکن است به جمع آوری اطلاعات شخصی بپردازد، تاثیر منفی بر حریم خصوصی داشته باشد یا رایانه را خراب کند.
متوسط هشدار را بررسی کنید و تصمیم بگیرید که جلوی نرم افزار را بگیرید یا به آن اجازه دهند کار کند ممکن است برنامه بر روی حریم خصوصی تاثیر بگذارد یا ممکن است تغییرات غیرمجازی در رایانه ایجاد کند.
پایین هشدار را بررسی کنید و تصمیم بگیرید که جلوی نرم افزار را بگیرید یا به آن اجازه دهند کار کند

نسبتا بی ضرر . شامل نرم افزار بالقوه ناخواسته ای است که ممکن است اطلاعاتی درباره کاربر یا رایانه جمع آوری کند یا بعضی از تنظیمات رایانه را تغییر دهد.


جدول 2-2 : سطوح هشدار Microsoft Security Essentials

 

کسب و کارهایی با بیش از 10 وسیله می توانند یکی یا بیش از یکی از محصولات خانواده Microsoft Forefront را برای حفاظت در برابر بدافزار استفاده کنند. Microsoft Forefront شامل نرم افزاری برای رایانه های رومیزی، رایانه های همراه و سرویس دهنده ها است. نرم افزار مدیریتی وجود دارد که می تواند اعمال و مدیریت Microsoft Forefront بر روی سیستم ها را بصورت خودکار به انجام برساند. برای مثال، شما می توانید تنظیمات را از راه دور انجام دهید، بارگذاری نسخه های به روز آوری را زمانبندی کنید، و پویش ها را زمانبندی کنید، و همه این کارها را از طریق یک کنسول مرکزی به انجام برسانید.

ابزار حذف نرم افزار بدخواه ویندوز مایکروسافت

مایکروسافت، ابزار حذف نرم افزار بدخواه، که می تواند در مورد انواع متنوعی از آلودگی ها، سیستم های ویندوز را بررسی کند، را ایجاد کرده است. مایکروسافت نسخه جدیدی از نرم افزار را، چهارشنبه دوم هر ماه انتشار می دهد. این همان روزی است که مایکروسافت نسخه های بروزرسانی امنیتی را منتشر می کند.


وقتی برای Microsoft Windows Malicious Software Removal Tool جستجو می کنید، نسخه رایگان نرم افزار در سایت مایکروسافت (www.microsoft.com/downloads) یا از طریق سایت www.microsoft.com/security/malwareremove، در دسترس است. این فایل در نسخه های مجزایی برای سیستم های 32 بیتی و 64 بیتی وجود دارند. شما می توانید برای نصب و اجرای فایل بارگذاری شده بر روی آن دابل کلیک کنید. همانطور که در شکل زیر نشان داده شده است، از شما خواسته می شود نوع پویش مورد نظر خود را انتخاب کنید.

 

اگرچه این ابزار جایگزینی برای آنتی ویروس سیستم شما نیست، می تواند شما را در کشف و حذف بدافزارهایی که اخیرا منتشر شده اند، کمک کند. همچنین، برخلاف Microsoft Security Essentials، ابزارMalicious Software Removal Tool، بر روی ویندوز 2008 موجود می باشد.

 

 

لینک های مرتبط با این مقاله:

  1. اصول امنیت در سیستم عامل Windows (قسمت اول) - آشنایی با بدافزار و مهندسی اجتماعی
  2. اصول امنیت در سیستم عامل Windows (قسمت دوم) - مقایسه بدافزارها
  3. اصول امنیت سیستم عامل Windows (قسمت چهارم) - ناکام گذاردن مهاجمین مهندسی اجتماعی
  4. اصول امنیت سیستم عامل windows (قسمت پنجم) - محافظت از پست الکترونیکی