100 نکته برای مدیریت مؤثرتر شبکه‌ها

[آبجی]

مدير سيستم يا System Administrator امروزه نقش پررنگي را در سازمان‌ها و مراكز مجهز به سيستم‌هاي كامپيوتري و شبكه‌هاي كامپيوتر ايفا مي‌كند. اين مسئوليت طيف وسيعي از وظايف از نصب و آماده‌سازي تجهيزات Passive و سخت‌افزاري تا پياده‌‌سازي نرم‌افزار و پشتيباني را در بر مي‌گيرد.

امروزه در برخي از سازمان‌ها وضعيت به‌گونه‌اي است كه هر يك از وظايف يادشده به‌تنهايي داراي چنان حجمي هستند كه مدير سيستم به‌تنهايي قادر به انجام كليه وظايف ياد شده نيست. در چنين سازمان‌هايي تعريف وظايف مدير سيستم ساختار پيچيده‌اي داشته و به‌دليل حساسيت‌هاي موجود در برخي موارد ترجيح داده مي‌شود تا در هر حيطه به‌طور جداگانه از افراد متخصص استفاده شود.

در اين وضعيت نقش مدير سيستم نقشي نظارتي بوده و وظيفه وي ايجاد هماهنگي در بين واحدهاي مختلف اعم از سخت‌افزار، نرم‌افزار و پشتيباني خواهد بود. چنين وضعيتي فقط در سازمان‌هاي بزرگ و داراي وسعت و تنوع سيستمي مشاهده مي‌شود. اما در عمده موارد، شخص مدير سيستم مسئوليت راهبري كليه واحدها را برعهده داشته و به‌همين دليل بايد تسلط خوبي بر كليه حوزه‌هاي زيرمجموعه داشته باشد.

• 10 نکته درباره رفع ايرادهاي اتصالات VPN
• 10 نکته درباره امنیت ارتباطات بی‌سیم
• 10 نکته درباره تنظیمات دامین‌ها در Active Directory
• 10 نکته درباره ابزار NETSH
• 10 نکته درباره کار با مجوزها
• 10 نکته درباره Microsoft SQL Server 2005
• 10 نکته درباره سرویس‌های Microsoft SharePoint
• 10 نکته درباره سرویس به‌روزرساني ويندوز سرور
• 10 نکته درباره فهرست‌های کنترل دسترسی Cisco IOS
• 10 نکته درباره مدیریت پروژه‌های IT

[آبجی]

نکته درباره رفع ایرادهاي اتصالات VPN
Virtual Privacy Network VPN

1 - دسترسی کاربران به فایل سرورها امکان‌پذیر نيست

اگر کاربران از طریق آدرس IP امکان دسترسی به فایل سرور را داشته باشند، اما با استفاده از نام سرور نتوانند با سرور ارتباط برقرار کنند، محتمل‌ترین دلیل، وجود ایراد در Name Resolution یا تشخیص نام است. تشخیص نام می‌تواند در نام‌ هاست NetBIOS یا DNS مشکل ايجاد کند.

اگر سیستم‌عامل کلاینت به NetBIOS وابسته باشد، کلاینت‌های VPN می‌توانند از طریق سرور VPN آدرس سرور WINS را تعیین کنند، اما اگر سیستم‌عامل کلاینت ترجیحاً از DNS استفاده می‌کند، کلاینت‌های VPN از طریق یک سرور DNS داخلی به نام سرور شبکه داخلی دسترسی پیدا می‌کنند.

هنگام استفاده از DNS برای تخصیص نام‌های شبکه داخلی از توانايی کلاینت‌ها برای تعیین صحیح نام دامین‌های دارای مجوز شبکه سازمانی اطمینان حاصل کنيد. این مشکل اغلب زمانی به‌وجود مي‌آيد که کامپیوترهای خارج از دامین برای دسترسی و استفاده از نام سرورهای موجود در شبکه داخلی، که پشت VPN قرار دارند، به استفاده از DNS اقدام مي‌کنند.
2 - کاربران نمی‌توانند به هیچ منبعی روی شبکه سازمانی دسترسی پیدا کنند

در بعضی مواقع کاربران می‌توانند به سرور VPN راه دور متصل شوند، اما نمي‌توانند به هیچ‌کدام از منابع موجود روی شبکه سازمانی دسترسی پیدا کنند. در چنین مواردی کاربران نمی‌توانند نام ‌هاست را شناسايی کرده و حتی قادر نیستند به منابع موجود در شبکه سازمانی Ping کنند.

رایج‌ترین دلیل وقوع این مشکل این است که کاربران به شبکه‌ای متصل هستند که ID شبکه آن با شبکه سازمانی مستقر در پشت سرور VPN یکسان است. به‌عنوان مثال، کاربر به شبکه پرسرعت یک هتل متصل شده و به این ترتیب ID شبکه پس از تخصیص آدرس IP اختصاصی به‌صورت 24/10.0.0.0 اختصاص یافته است.

حال چنان‌چه شبکه سازمانی نیز روی همین ID شبکه 24/10.0.0.0تعریف شده باشد، آن‌گاه کاربر قادر به اتصال به شبکه سازمانی خود نخواهد بود، زیرا ماشین کلاینت VPN آدرس مقصد را به‌صورت شبکه‌ای محلی می‌بیند و اتصال شبکه راه دور را از طریق رابط VPN ارسال نمي‌کند.

دلیل عمده دیگر برای عدم موفقیت در اتصال این است که کلاینت‌های VPN اجازه دسترسی به منابع موجود روی شبکه سازمانی را به‌دلیل قوانین تعیین شده از جانب فایروال نمی‌یابند. راه‌حل این مشکل پیکربندی فایروال به‌گونه‌ای است که اجازه دسترسی به منابع شبکه‌ای را به کلاینت‌های VPN بدهد.
3 - کاربران نمی‌توانند از پشت ابزارهای NAT به سرور VPN متصل شوند

اغلب روترهای NAT و فایروال‌ها به اصطلاح از پشت ابزارهای NAT از پروتکل PPTP VPN پشتیبانی می‌کنند. هرچند برخی از فروشندگان طراز اول تجهيزات شبکه‌ای، ويرايشگر NAT را در پروتکل PPTP VPN خود تعبیه نمي‌کنند. اگر کاربری در پشت چنین ابزاری واقع شده باشد، ارتباط VPN براي اتصال از طريق PPTP با شكست مواجه خواهد شد. البته، ممكن است با ديگر پروتكل‌هاي VPN كار كند.

همه ابزارهاي NAT و فايروال‌ها در كار با پروتكل‌هاي VPN مبني بر IPSec از IPSec پشتيباني مي‌کنند. اين پروتكل‌هاي VPN شامل پياده‌سازي‌هاي اختصاصي مد تونل IPSec و L2TP/IPSec سازگار با RFC خواهند بود. همچنين اين دسته از پروتكل‌هاي VPN مي‌توانند با استفاده از (Encapsulating) ارتباطات IPSec و در هدر UDP از پيمايش NAT يا (NAT Traversa) پشتيباني کنند.

چنان‌چه سرور و كلاينت VPN شما از پيمايش NAT پشتيباني کرده و كلاينت تمايل دارد از L2TP/IPSec براي اتصال به سرور سازگار با NAT استفاده کند، رايج‌ترين دليل براي اين مشكل اين است كه كلاينت از سيستم‌عامل Windows XP SP2 استفاده مي‌كند.

سرويس پك 2 پيمايش NAT Traversal را روي كلاينت‌هاي L2TP/IPSec به‌اصطلاح مي‌شكند. شما مي‌توانيد اين مشكل را از طريق ويرايش رجيستري روي كلاينت VPN آن‌گونه كه در آدرس زير توضيح داده شده حل كنيد.

http://support.microsoft.com/default.aspx?scid=kb;en-us;885407

4 – كاربران از سرعت پايين شكايت دارند

سرعت كم يكي از مشكلاتي است كه برطرف کردن آن بسيار دشوار است. دلايل زيادي براي كاهش كارايي ارتباط VPN وجود دارد و نكته مهم آن هم اين است كه كاربران بتوانند توضيح دهند دقيقاً در زمان انجام چه كاري با افت كارايي و كاهش در سرعت روبه‌رو مي‌شوند.

يكي از عمده‌ترين موارد هنگام كاهش كارايي ارتباط VPN زماني است كه كلاينت در پشت شبكه DSL قرار گرفته و از پروتكل PPPoE استفاده مي‌کند. چنين ارتباطات شبكه‌اي معمولاً موجب بروز مشكلات مرتبط با MTU شده كه مي‌توانند بر هر دو عامل اتصال و كارايي تأثيرگذار باشند. براي اطلاعات بيشتر درخصوص موارد مرتبط با MTU در كلاينت‌هاي ويندوزي به آدرس زير مراجعه کنيد.

http://support.microsoft.com/default.aspx?scid=kb;en-us;283165

5 – كاربران از طريق PPTP متصل مي‌شوند، اما امکان اتصال از طريق L2TP/IPSec وجود ندارد

PPTP پروتكل ساده‌اي براي پيكربندي و تنظيم روي سرور و كلاينت VPN است. فقط كافي است كه كاربر از نرم‌افزار كلاينت توكار VPN كه به‌همراه تمام نسخه‌هاي سيستم‌عامل ويندوز ارائه مي‌شود استفاده کرده و نام كاربري و كلمه عبور معتبر اكانتي را كه مجوز دسترسي از راه دور را دارد، در اختيار داشته باشد.

اگر كامپوننت سرور VPN براساس مسيريابي ويندوز و Remote Access Service باشد، به‌سادگي تنظيم شده و پس از اجراي يك راهنماي پيكربندي كوتاه به‌طور خودكار اجرا خواهد شد. L2TP/IPSec قدري پيچيده‌تر است. اعتبار كاربر و ماشين وي بايد توسط سرور VPN تأييد شوند.

تأييد اعتبار ماشين مي‌تواند از طريق يك كليد مشترك (Pre-shared Key) يا ماشين ثبت‌شده صورت گيرد. اگر از كليد مشترك استفاده مي‌كنيد (كه معمولاً به دلايل امنيتي توصيه نمي‌شود)، بررسي كنيد كه آيا كلاينت VPN براي استفاده از همان كليد مشترك پيكربندي شده يا خير؟ اگر از روش ثبت ماشين استفاده مي‌كنيد نيز مطمئن شويد كه كلاينت VPN مجوز مربوطه را دارد يا خير؟

[آبجی]

6 – اتصال VPN سايت‌به‌سايت برقرار مي‌شود، اما هيچ ترافيكي بين گيت‌وي‌هاي VPN جابه‌جا نمي‌شود

هنگامي كه يك ارتباط VPN سايت‌به‌سايت بين سرورهاي RRAS ويندوزي ايجاد مي‌كنيد، اين امكان وجود دارد كه اتصال VPN درظاهر برقرار نشان داده شود، اما ترافيكي ميان شبكه‌هاي متصل‌شده رد و بدل نشود. اشكال در شناسايي نام سرورها ايجاد شده و‌هاست‌ها حتي قادر به پينگ كردن به شبكه راه دور نيز نيستند.

عمده‌ترين دليل براي بروز اين مشكل اين است كه هر دو طرف اتصال سايت به سايت روي يك ID شبكه يکسان هستند. راه‌حل آن نيز تغيير الگوي آدرس‌دهي IP روي يك يا هر دو شبكه‌ بوده تا به‌اين ترتيب، تمام شبكه‌هاي متصل‌شده به‌صورت سايت به سايت روي IDهاي شبكه متفاوتي قرار داشته باشند.
7 – كاربران نمي‌توانند از پشت فايروال به ارتباط در مُد تونل IPSec اقدام کنند

به‌طور معمول سرور VPN و کلاينت‌ها به‌طور صحيح پيکربندي مي‌شوند تا بتوانند از مُد تونل IPSec يا ارتباط L2tp/IP Sec NAT-T براي ارتباط با يک سرور VPN استفاده کنند و در نتيجه ارتباط با شکست مواجه مي‌شود. در برخي مواقع اين اتفاق را بعد از برقراري اتصال موفق اولين كلاينت مشاهده مي‌كنيد، اما كلاينت‌هاي بعدي كه در پشت همان ابزار NAT قرار دارند، با شكست در ارتباط روبه‌رو مي‌شوند.

دليل بروز اين مشكل اين است كه تمام سرورهاي IPSec NAT-T VPN با RFC سازگار نيستند. سازگاري با RFC نيازمند اين است كه سرور مقصد NAT-T VPN از تماس‌هاي IKE روي پورت منبع UDP 500 پشتيباني كرده تا آن‌هابتوانند ارتباطات چندگانه را از چندين كلاينت در پشت يك گيت‌وي VPN واحد مالتي‌پلكس كنند.

حل اين مشكل از طريق تماس با فروشنده سرور VPN و حصول اطمينان از اين‌كه پياده‌سازي VPN IPSec NAT-T با RFC سازگاري دارد يا خير، امكان‌پذير خواهد بود. اگر اين‌گونه نبود، از فروشنده درباره وجود Firmware براي به‌روز رساني سؤال كنيد.
8 – كاربران نمي‌توانند به برخي از IDهاي شبكه سازماني دسترسي پيدا كنند

برخي از اوقات كاربران مواردي را گزارش مي‌كنند كه در آن ذكر شده، مي‌توانند بعد از برقراري ارتباط VPN به برخي از سرورها دسترسي پيدا كنند، اما بقيه سرورها قابل دسترسي نيستند. آنان وقتي ارتباط خود را آزمايش مي‌كنند، مشاهده مي‌كنند كه نمي‌توانند با استفاده از نام يا آدرس IP به سرور مورد نظر خود پينگ كنند.

دليل عمده براي اين مشكل اين است كه سرور VPN ورودي‌هاي جدول روزمره را براي تمام IDهاي شبكه‌هايي كه كاربر نمي‌تواند به آنان متصل شود، در اختيار ندارد. كاربران فقط قادر به اتصال به سرورهايي هستند كه روي زيرشبكه سرور VPN باشند، اما از طريق سرور VPN قادر به ارتباط با IDهاي شبكه راه‌دور نيستند.

راه‌حل اين مشكل پركردن جدول مسيريابي روي سرورVPN به‌گونه‌اي‌ است كه آدرس گيت‌وي تمام IDهاي شبكه‌هايي را كه VPN بايد به آنان متصل شود، در آن وجود داشته باشد.
9 – كاربران هنگام اتصال به سرور VPN قادر به اتصال به اينترنت نيستند

در برخي مواقع كاربران نمي‌توانند پس از اين‌كه اتصال VPN برقرار شد، به اينترنت متصل شوند. در اين‌حالت همزمان با قطع ارتباط VPN كاربران در اتصال به اينترنت مشكلي نخواهند داشت. اين مشكل زماني مشاهده مي‌شود كه نرم‌افزار كلاينت VPN براي استفاده از سرور VPN به عنوان گيت‌وي پيش‌فرض خود پيكربندي شده‌باشد. اين تنظيم، تنظيم پيش‌فرض نرم‌افزار كلاينت VPN مايكروسافت است.

از آنجا كه همه ‌هاست‌ها دور از محل كلاينت VPN مستقر هستند، ارتباطات اينترنت به‌سمت سرور VPN مسيردهي خواهند شد. اگر سرور VPN به‌گونه‌اي پيكربندي نشده باشد كه ارتباط با اينترنت را از طريق كلاينت‌هاي VPN ميسر سازد، هرگونه تلاشي براي اتصال به اينترنت با شكست روبه‌رو خواهد شد.

راه‌حل اين مشكل پيكربندي سرور VPN به‌گونه‌اي است تا به كلاينت‌ها اجازه دسترسي به اينترنت را بدهد. سرور RRAS ويندوز و بسياري از فايروال‌ها از چنين پيكربندي پشتيباني مي‌كنند. در برابر اصرار براي غيرفعال کردن تنظيمات پيكربندي كلاينت VPN جهت استفاده سرور VPN از گيت‌وي پيش‌فرض خود مقاومت كنيد. زيرا اين كار ويژگي Split Tunneling را كه يكي از تهديدات شناخته‌شده و خطرناك امنيتي محسوب مي‌شود، فعال خواهد کرد.
10 – چندين كاربر با استفاده از يك مجوز اعتبار PPP به سرور VPN متصل مي‌شوند

يكي از خطراتي كه تمام سازمان‌هايي را كه اقدام به پياده‌سازي امكانات دسترسي راه‌دور به سرور VPN مي‌کنند، تهديد مي‌كند، اين‌است كه كاربران اطلاعات مربوط به نام كاربري و كلمه عبور را با يكديگر به اشتراک مي‌گذارند. در بسياري از پياده‌سازي‌هاي سرور VPN شما قادر خواهيد بود نه‌تنها پيش از برقراري ارتباط VPN نسبت به بررسي اعتبار و مجوز كاربر اقدام كنيد، بلكه اگر آن كاربر به دسترسي به شبكه از طريق VPN مجاز نبود، درخواست لغو ارتباط به سرور صادر شود.

اگر كاربران به استفاده اشتراكي از مجوزها اقدام کنند، اين عمل وضعيتي را ايجاد خواهد کرد تا كاربران غيرمجاز بتوانند با استفاده از مجوز كاربران مجاز به شبكه متصل شوند. يك راه‌حل براي اين مشكل استفاده از الگوهاي اضافي بررسي اعتبار است.

به‌عنوان مثال، شما مي‌توانيد مجوز كلاينت كاربر را نيز بررسي كنيد. به‌اين ترتيب، هيچ كاربر ديگري نمي‌تواند با مجوز يك كاربر مجاز وارد شبكه شود. انتخاب ديگر استفاده از كارت‌هاي هوشمند، ابزارهاي بيومتريك و ديگر روش‌هاي دو فاكتوري تعيين هويت است.

[آبجی]

10 نكته درباره امنيت ارتباطات بي‌سيم

Wireless Security

1 – استفاده از رمزنگاري
رمزنگاري مهم‌ترين و اصلي‌ترين ابزار امنيتي به‌حساب مي‌آيد، با ‌وجود اين، در بسياري از نقاط دسترسي بي‌سيم (WAP) ويژگي رمزنگاري به‌صورت پيش‌فرض فعال نيست. اگر چه اغلب WAPها از پروتكل WEP (سرنام Wired Equivalent Privacy) پشتيباني مي‌كنند، اما اين پروتكل نيز به‌صورت پيش‌فرض فعال نيست.

WEP داراي چند نقيصه امنيتي بوده و يك هكر مسلط مي‌تواند به آن نفوذ كند، اما در حالت كلي وجود آن بهتر از عدم وجود هرگونه پروتكل رمزنگاري خواهد بود. اطمينان حاصل كنيد كه روش تأييد WEP به‌جاي Open System روي Shared Key تنظيم شده باشد.

روش دوم، ديتاها را رمزنگاري نمي‌کند، بلكه تنها اقدام به بررسي اعتبار كلاينت مي‌كند. تغيير دادن كليد WEP در بازه‌هاي زماني مشخص و حداقل استفاده از الگوي 128 بيتي روش‌هايي هستند كه به بهبود امنيت شبكه بي‌سيم شما كمك شاياني خواهند کرد.
2 – از رمزنگاري قوي‌تري استفاده كنيد

به‌دليل وجود برخي نقاط ضعف در WEP مي‌توانيد به‌جاي آن از پروتكل WPA (سرنام Wi-Fi Protected Access) استفاده كنيد. براي استفاده از WPA، پروتكل WAP شما بايد از آن پشتيباني کند (با ارتقاي فريم وير مي‌توانيد پشتيباني از اين پروتكل را به نسخه‌هاي قديمي‌تر WAP بيافزاييد) همچنين كارت شبكه بي‌سيم (NIC) شما نيز بايد مناسب كار با اين پروتكل بوده و نرم‌افزار بي‌سيم كلاينت نيز از آن پشتيباني كند.

Windows XP SP2 به‌عنوان پيش‌فرض كلاينت WPA را نصب مي‌كند. ماشين‌هايي را كه روي آنان SP1 نصب شده است نيز مي‌توانيد با استفاده از بسته Wireless Update Rollup Package را به كلاينت Windows WPA مجهز کنيد
(آدرس http://support.microsoft.com/kb/826942/ را مشاهده كنيد).

يكي ديگر از گزينه‌هاي رمزنگاري استفاده از IPSec است. البته، شرط استفاده از آن، پشتيباني روتر بي‌سيم شما از اين پروتكل خواهد بود.
3 – كلمه عبور پيش‌فرض Administration را تغيير دهيد

اغلب توليدكنندگان از كلمه عبور مشخصي براي رمز عبور Administration كليه نقاط دسترسي بي‌سيم خود استفاده مي‌كنند. اين كلمات عبور مشخص و ثابت در نزد هكرها شناخته شده بوده و مي‌توانند به‌سادگي از آن براي تغيير تنظيمات WAP شما استفاده كنند. اولين كاري كه بايد هنگام تنظيم يك WAP انجام دهيد، تغيير رمز عبور، به رمزي قوي‌تر، با حداقل هشت كاراكتر طول و استفاده تركيبي از حروف و اعداد و استفاده نكردن از كلمات موجود در فرهنگ لغت است.
4 – ويژگي انتشار SSID را خاموش كنيد

SSID (سرنام Service Set Identifier) نام شبكه بي‌سيم شما را مشخص مي‌كند. به‌عنوان پيش‌فرض اغلب WAPها SSID را نمايش مي‌دهند. اين‌کار موجب مي‌شود تا كاربران به‌راحتي بتوانند شبكه را پيدا كنند، زيرا در اين‌صورت نام شبكه بي‌سيم در فهرست شبكه‌هاي قابل دسترس و روي كلاينت بي‌سيم قابل مشاهده خواهد بود.

اگر نمايش نام SSID را خاموش كنيد كاربران ناچار خواهند بود تا براي اتصال به شبكه بي‌سيم از نام آن اطلاع داشته باشند. برخي معتقدند، اين‌کار بي‌فايده است، زيرا هكرها مي‌توانند با استفاده از نرم‌افزار Packet Sniffing نام SSID را (حتي اگر ويژگي نمايش آن خاموش باشد) پيدا كنند.

اين مطلب صحيح است، اما چرا بايد كار را براي آنان آسان كنيم؟ اين مطلب مانند اين است كه بگوييم از آنجا كه سارقان مي‌توانند شاه‌كليد تهيه كنند، پس به‌كارگيري قفل روي درب منازل كار بيهوده‌اي است. خاموش كردن گزينه Broadcasting SSID نمي‌تواند مانع از كار يك هكر ماهر شود، اما مطمئناً جلوي کاربران كنجكاو و ماجراجو را (به‌عنوان مثال، همسايه‌اي كه متوجه وجود شبكه بي‌سيم شده و مي‌خواهد فقط به‌خاطر سرگرمي به آن نفوذ کند) خواهد گرفت.
5 – WAP را در مواقع غيرلازم خاموش كنيد

اين مورد ممكن است خيلي ساده‌انگارانه به‌نظر آيد، اما شركت‌ها و اشخاص انگشت‌شماري يافت مي‌شوند كه اين‌کار را انجام دهند. اگر كاربران بي‌سيم شما در ساعات مشخصي به شبكه متصل مي‌شوند، دليلي وجود ندارد تا شبكه بي‌سيم شما در تمام طول شبانه‌روز روشن باشد تا فرصتي را براي مهاجمان فراهم آورد. شما مي‌توانيد در مواقعي كه به نقطه‌دسترسي نيازي نداريد آن را خاموش کنيد. مانند شب‌ها كه همه به منازل خود مي‌روند و هيچ‌كس به ارتباط بي‌سيم احتياجي ندارد.

[آبجی]

6 – SSID پيش‌فرض را تغيير دهيد

توليدكنندگان WAPها اسامي ثابت و مشخصي را براي SSID به كار مي‌برند. به‌عنوان مثال، دستگاه‌هاي Linksys از همين نام براي SSID استفاده مي‌كنند. پيشنهاد خاموش كردن نمايش SSID براي جلوگيري از اطلاع ديگران از نام شبكه شما است، اما اگر از نام پيش‌فرض استفاده كنيد، حدس زدن آن كار سختي نخواهد بود. همان‌طور كه اشاره شد هكرها مي‌توانند از ابزارهاي مختلفي براي پي بردن به SSID استفاده كنند، به همين دليل، از به كار بردن نام‌هايي كه اطلاعاتي را درباره شركت شما به آنان مي‌دهد (مانند نام شركت يا آدرس محل) خودداري کنيد.
7 – از فيلتر MAC استفاده كنيد

اغلب WAPها (به‌جز انواع ارزان‌قيمت) به شما اجازه خواهند داد از سيستم فيلترينگ آدرس‌هاي MAC (سرنامMedia Access Control )استفاده كنيد. اين به‌اين معني است كه شما مي‌توانيد «فهرست سفيدي» از كامپيوترهايي را كه مجاز به اتصال به شبكه بي‌سيم شما هستند بر مبناي MAC يا آدرس فيزيكي كارت‌هاي شبكه تعريف کنيد. درخواست‌هاي ارتباط از سوي كارت‌هايي كه آدرس MAC آن‌ها در اين فهرست موجود نيست، از جانب AP رد خواهد شد.

اين روش محفوظ از خطا نيست، زيرا هكرها مي‌توانند بسته‌هاي اطلاعاتي رد و بدل شده در يك شبكه بي‌سيم را براي تعيين مجاز بودن آدرس MAC امتحان كنند و سپس از همان آدرس براي نفوذ به شبكه استفاده کنند. با اين‌حال، اين كار باز هم قدري موضوع را براي «مهاجمان احتمالي» مشكل‌تر خواهد کرد. چيزي كه موضوع اصلي در امنيت است.
8 – شبكه بي‌سيم را از ديگر شبكه‌ها جدا سازيد

براي محافظت از شبكه باسيم داخلي خود در برابر تهديدهايي كه از طريق شبكه بي‌سيم وارد مي‌شوند مي‌توانيد نسبت به ايجاد يك DMZ بي‌سيم يا شبكه‌اي محيطي كه در برابر LAN ايزوله شده اقدام کنيد. براي اين‌کار مي‌توانيد با قرار دادن يك فايروال ميان شبكه بي‌سيم و LAN هر دو شبكه را از يكديگر جدا كنيد.

پس از آن بايد براي دسترسي كلاينت‌هاي بي‌سيم به منابع شبكه‌اي در شبكه داخلي، هويت كاربر را از طريق شناسايي توسط يك سرور راه‌دور يا به‌كارگيري از VPN تأييد كنيد. اين‌کار موجب ايجاد يك لايه محافظتي اضافي خواهد شد.

براي اطلاعات بيشتر درباره چگونگي دسترسي به شبكه از طريق VPN و ايجاد DMZ بي‌سيم با استفاده از فايروال ISA Server مايكروسافت، به آدرس زير مراجعه كنيد (براي دستيابي به اين آدرس به يک حق عضويت Tech ProGuil نياز خواهيد داشت):

http://techrepublic.com.com/5100-6350_11-5807148.html

9 – سيگنال‌هاي بي‌سيم را كنترل كنيد

يك WAP نمونه با استاندارد 802.11b امواج را تا مسافت نود متر ارسال مي‌کند. اين ميزان با استفاده از آنتن‌هاي حساس‌تر قابل افزايش است. با اتصال يك آنتن external پرقدرت به WAP خود، خواهيد توانست برد شبكه خود را گسترش دهيد، اما اين‌کار مي‌تواند دسترسي افراد خارج از ساختمان را نيز به داخل شبكه امكان‌پذير سازد.

يك آنتن جهت‌دار به‌جاي انتشار امواج در ميداني دايره‌اي شكل آنان را تنها در يك راستا منتشر مي‌سازد. به‌اين ترتيب، شما مي‌توانيد با انتخاب يك آنتن مناسب، هم برد و هم جهت ارسال امواج را كنترل کرده و در نهايت از شبكه خود در برابر بيگانگان محافظت كنيد. علاوه بر اين، برخي از WAPها به شما اجازه مي‌دهند تا قدرت سيگنال و جهت ارسال آن را از طريق تنظيم‌هاي دستگاه تغيير دهيد.
10 – ارسال امواج روي فركانس‌هاي ديگر

يك راه براي پنهان ماندن از ديد هكري كه بيشتر از فناوري رايج 802.11b/g استفاده مي‌كند، اين است که تجهيزات 802.11a را به‌كار بگيريد. از آنجا كه اين استاندارد از فركانس متفاوتي (5 گيگاهرتز به‌جاي 2/4گيگاهرتز استاندارد b/g) استفاده مي‌كند، كارت‌هاي شبكه‌اي كه بيشتر براي فناوري‌هاي شبكه‌اي معمول ساخته شده‌اند نمي‌توانند اين امواج را دريافت كنند.

به اين تكنيك Security Through Obscurity يا «امنيت در تاريكي» گفته مي‌شود، اما اين كار زماني مؤثر است كه در كنار ديگر روش‌هاي امنيتي به‌كار گرفته شود. در نهايت اين‌كه Security Through Obscurity دقيقاً همان چيزي است كه وقتي به ديگران توصيه مي‌كنيم نگذارند بيگانگان از اطلاعات خصوصي آن‌ها مانند شماره تأمين اجتماعي يا ديگر اطلاعات فردي مطلع شوند، به آن اشاره مي‌كنيم.

يكي از دلايلي كه استاندارد 802.11b/g را محبوب‌تر از 802.11a مي‌سازد اين است كه برد فركانس آن بيشتر از a و تقريباً دو برابر آن است. 802.11a همچنين در عبور از موانع و ديوارها با قدري مشكل رو‌به‌رو است. از نقطه نظر امنيتي، اين «نقص» به‌نوعي «مزيت» به‌حساب مي‌آيد، زيرا به‌كارگيري اين استاندارد باعث مي‌شود تا نفوذ سيگنال به بيرون كاهش يابد و كار نفوذگران را حتي در صورت استفاده از تجهيزات سازگار با مشكل مواجه كند.

[آبجی]

10 نکته درباره DomainTrust اکتیودایرکتوری
Domain Trust

1 - تعیین Trust متناسب با نیاز

پیش از این‌که یک Domain Trust را اعمال کنید، باید از متناسب بودن نوع آن با وظایفی که قرار است برعهده داشته باشد، اطمینان حاصل کنید. هر Trust بايد خصوصيات زير را داشته باشد:

Type: مشخص‌کننده نوع دامین‌هایی که در ارتباط با trust هستند.
Transitivity: تعیین می‌کند که آیا یک Trust می‌تواند به یک دامین Trust دیگر از طریق دامین سوم دسترسی داشته باشد.
Direction: مشخص‌کننده مسیر دسترسی و Trust (اکانت‌ها و منابع Trust)

2 - با کنسول Active Directory Domains AND Trusts Console آشنا شوید

روابط بين Trustها از طریق کنسول Active Directory Domains AND Trusts Console مدیریت می‌شود. این کنسول به‌شما اجازه خواهد داد تا اعمال اساسی زیر را انجام دهید:

- ارتقاي سطح عملیاتی دامین
- ارتقاي سطح عملیاتی Forest
- افزودن Suffixهای UPN
- مدیریت Domain Trust
- مدیریت Forest Trust

برای اطلاعات بیشتر درباره جزئیات این ابزار به آدرس زیر مراجعه کنید:

http://techrepublic.com.com/5100-6345_11-5160515.html

3 - آشنايی با ابزار

همانند دیگر اجزاي خانواده ویندوز سرور، ابزار خط فرمان می‌تواند برای انجام فرامین تکراری یا جهت اطمینان از سازگاری و هماهنگی در زمان ایجاد Trustها به‌کار آید. برخی از این ابزارها عبارتند از:

- NETDOM: برای برقرار کردن یا شکستن انواع Trustها استفاده مي‌شود.
- NETDIAG: خروجی این ابزار وضعیت پایه‌ای را در روابط بين Trustها به‌دست می‌دهد.
- NLTEST: برای آزمایش ارتباطات Trust مي‌توان از آن استفاده کرد.

شما همچنین می‌توانید از ويندوز اکسپلورر برای مشاهده عضویت‌ها در منابع مشترک آن‌گونه که در دامین‌های Trust و/ يا Forest تعریف شده، استفاده کنيد. کاربران AD همچنین می‌توانند جزئیات عضویت آبجکت‌هاي اکتيو دايرکتوري‌اي که اعضايی از دامین‌های Trust و/ يا Forest دارند، مشاهده کنند.
4 - ایجاد یک محیط آزمایشی

بسته به محیط و نیازمندی‌های شما، یک اشتباه ساده در ایجاد Trust دامین‌ها می‌تواند به بازتاب‌هایی در سطح کل سازمان منجر شود. با وجود اين، فراهم ساختن یک محیط آزمايش مشابه براي Replicate کردن موارد مربوط به چندین دامین و فارست کار دشواری خواهد بود. ایجاد دامین‌هایی برای سناریوهای مشابه کار آسان‌تری بوده که برای استحکام زیرساخت‌ها و آزمایش کارکردهای اساسی می‌توان از آنان استفاده کرد.

علاوه بر اين، قبل از استفاده از گروه‌هاي زنده، اکانت‌ها و آبجکت‌هاي ديگر، به آزمايش الگوي آبجکت‌ها دايرکتوري روي روابط دامين زنده توجه کنيد تا مطمئن شويد که ميزان دلخواه عامليت به‌دست آمده، نه بيشتر.
5 - مجوزها را بازبینی کنيد

وقتی Trustها ایجاد شدند باید از عملکرد دلخواه آنان اطمینان حاصل شود. اما مطمئن شوید که برای بررسی صحت جهت دسترسی، Trust پیکربندی‌شده دوباره بازبینی شود. به‌عنوان مثال، چنان‌چه دامین A بايد فقط به منابع معدودی روی دامین B دسترسی داشته باشد، یک Trust دو طرفه کفایت خواهد کرد.

هرچند ممکن است لازم باشد یکی از مدیران دامین B بتواند به تمام منابع دامین A دسترسی داشته باشد. از صحت جهت و سمت، نوع و Transitivity همه Trustها اطمینان حاصل کنید.

[آبجی]

6 – طرح Trustها را تهيه كنيد

نقشه‌اي ساده با استفاده از پيكان‌ها و جعبه‌هايي كه نمايان‌گر دامين‌هاي داراي Trust، ارتباط آنان با يكديگر و اين‌كه اين Trustها يك‌طرفه هستند يا دو طرفه تهيه کنيد. با استفاده از تصوير‌(هاي) ساده مشخص كنيد، كدام دامين به كدام دامين ديگر Trust دارد و Transitivity آن‌ها را نمايش دهيد.

اين جدول ساده موجب درك بهتر وظايف محوله شده و به شما اجازه خواهد داد تا دامين‌هاي نيازمند به جهت دسترسي (Access Direction) و همچنين جهت صحيح را مشخص ساخته و نمايش دهيد. برخي از دامين‌ها فقط نقش يك دروازه ساده را براي دسترسي به ديگر دامين‌ها ايفا مي‌کنند.
7 – ارتباطات بين Trustها را مستند كنيد

امروزه، سازمان‌ها دائم در حال پيوستن و جدا شدن از يكديگر هستند. به‌همين دليل، اين نكته اهميت دارد كه نقشه واضحي از ارتباط بين دامين‌ها و Trustهاي بينابين تهيه شده تا همواره از وجود اطلاعات لازم بدون نياز به مراجعه به كدهاي مربوطه اطمينان حاصل شود.

به‌عنوان مثال، اگر شما روي دامين B قرار داشته باشيد و دفتر مركزي شما روي دامين A نمايندگي شما را ابطال و Trust را قطع كند، يك سند كوچك و مختصر كه قبلاً روي دامين A ذخيره شده كمك بسيار بزرگي براي شما خواهد بود.

نوع Trust، جهت، ملزومات تجاري مورد نياز براي آن Trust، مدت اعتبار پيش‌بيني شده براي Trust، مجوز، اطلاعات پايه‌اي دامين و فارست (شامل نام، DNS، آدرس IP، مكان فيزيكي، نام كامپيوترها و...) و اطلاعات تماس فرد يا افراد مسئول دامين‌ها از اطلاعاتي هستند كه ذخيره‌سازي آنان در يك محل مطمئن بسياري از كارها را آسان‌تر خواهد کرد.
8 – از پيچيده کردن ارتباط Trustها پرهيز کنيد

براي صرفه‌جويي در وقت و زمان، از جلو بردن عضويت‌ها در بيش از يك لايه هنگام كار و استفاده از Trust در دامين‌ها و فارست‌هاي چندگانه پرهيز كنيد. با اين‌كه تودر تو کردن عضويت‌ها مي‌تواند به يكپارچگي و كاهش آبجکت‌هاي قابل مديريت در AD كمك کند، اما اين‌کار موجب افزايش ميزان تصميم‌گيري در مديريت اعضا خواهد شد.
9 – چگونگي مديريت نسخه‌هاي مختلف ويندوز

وقتي AD را روي ويندوز 2000 و ويندوز سرور 2003 اجرا مي‌كنيد، امكانات كامل براي دامين‌ها و فارست‌هاي عضو فراهم خواهد بود. چنان‌چه هرگونه سيستم عضو يا دامين NT در سازمان حضور داشته باشند، امكانات ورودي Trust آن‌ها به‌دليل ناتواني در شناسايي آبجكت‌هاي AD محدود خواهد شد. راه‌حل عمومي اين سناريو ايجاد «دامين‌هاي جزيره‌اي» براي آن دسته از افرادي است كه معمولاً به ساختارهاي عمومي سازمان متصل نمي‌شوند.
10 – Trustهاي منقضي و Overlap شده را پاك كنيد

تغييرات ايجاد شده در روابط مابين سازمان‌هاي تجاري ممكن است موجب برجاي گذاشتن تعدادي از Trustهاي بدون استفاده در دامين شما شود. هرگونه تراستي را كه به‌عنوان فعال مورد استفاده قرار نمي‌گيرد، از روي دامين برداريد. همچنين از تنظيم صحيح تراست موجود و مطابقت آن‌ها با دسترسي مورد نياز و الگوي استفاده اطمينان حاصل كنيد. بازرسي و رسيدگي به جدول تراست مي‌تواند مكمل خوبي براي سياست‌هاي استحكام يافته امنيتي شما به‌حساب آيد.

[آبجی]

10 نكته درباره ابزارهاي NETSH

NETSH

1 – NETSH چيست؟

NETSH يكي از قوي‌ترين ابزارهاي شناخته‌شده شبكه است كه به همراه ويندوز 2000 و ويندوز 2003 سرور ارائه مي‌شود. اين ابزار به‌عنوان پيش‌فرض به‌همراه سيستم عامل و در پوشه systemroot%\system32 % نصب مي‌شود. NETSH در ويندوز XP نيز در دسترس است.

NETSH به شما کمک مي‌کند تا نسبت به نمايش، تغيير، ورود و خروج بسياري از وجوه پارامترهاي شبكه در داخل سيستم اقدام كنيد. با کمک اين ابزار خواهيد توانست با استفاده از پارامتر ماشين راه‌دور (-r) به‌صورت راه‌دور به ديگر سيستم‌ها متصل شويد.
2 – محتويات NETSH

محتويات يا Context ابعاد مشخصي از پيكربندي شبكه هستند كه مي‌توانند با استفاده از NETSH مديريت شوند. در ادامه با Contextهاي ويندوز سرور 2003 آشنا مي‌شويم:

توجه داشته باشيد که هر Context مي‌تواند يک Subcontext داشته باشد. به‌عنوان مثال، interface، سه Subcontext دارد: IP، Ipv6 و NETSH.protprox اين Subcontextها را به عنوان Context درنظر مي‌گيرد.

مانند اين NETSH interface IP :Context توجه کنيد که ويندوز اکس‌پي مجموعه Contextهاي متفاوتي دارد. هنگام استفاده از عمليات Import و Export در حالت None interactive، بايد از پيکربندي Context يا Subcontext مطمئن شويد.
3 – كنترل تغييرات شبكه با استفاده از NETSH

از NETSH مي‌توان براي ارسال يا دريافت پيکربندي شبكه‌ استفاده كرد. به‌عنوان مثال، اگر بخواهيد سيستمي را از يك شبكه منفك و وارد شبكه جديدي کنيد، كانال‌هاي ارتباطي نيازمند تنظيم و تطبيق آنان با ديگر سيستم‌ها هستند.

با استفاده از NETSH Export خواهيد توانست تنظيمات مختلف را به يكباره انجام دهيد. به‌عنوان مثال، به اين بخش از NETSH Export كه در عمليات dump صورت مي‌گيرد، توجه كنيد:

set address name = “Teamed NIC” source = static addr = 10.64.32.100 mask = 255.255.252.0
set address name = “Teamed NIC” gateway = 10.25.44.1 gwmetric = 1
set dns name = “Teamed NIC” source = static addr = 10.64.22.50
add dns name = “Teamed NIC” addr = 10.95.61.22
add dns name = “Teamed NIC” addr = 10.95.45.34
set wins name = “Teamed NIC” source = static addr = 10.95.45.70
add wins name = “Teamed NIC” addr = 10.95.45.25

دقت كنيد كه پيش از اجراي فرامين از صحت پارامترها و مقادير صحيح آدرس‌ها و نام‌ها مطمئن شويد. بهترين بخش كار اين است كه پس از آن مي‌توانيد كل فايل را به ويندوز Import کرده تا از بروز اشتباه در دفعات بعدي جلوگيري شود. اين يك نمونه از Interface Context بود. كل موارد گفته‌شده براي ديگر اسكريپت‌هاي Context صادق است.
4 – استفاده از NETSH جهت تغيير پوياي آدرس‌هاي TCP/IP

مي‌توانيد با استفاده از NETSH و توسط Import يك فايل ساده نسبت به تغيير دايناميك آدرس‌هاي IP از IP استاتيك به DHCP اقدام كنيد. NETSH همچنين مي‌تواند پيكربندي لايه 3 (آدرس‌هاي TCP/IP، تنظيمات DNS، تنظيمات WINS ،IP aliase و ...) را به‌دست گيرد.

اين ويژگي به‌خصوص هنگامي كه در حال كار روي شبكه‌اي هستيد كه DHCP روي آن وجود نداشته و كامپيوترهاي موبايل به چندين شبكه متصل مي‌شوند، مفيد خواهد بود. ميانبرهاي NETSH موجب افزايش قابليت‌هاي Windows Automatic Public IP Addressing مي‌شود.

در زير مثالي از اجراي يك آپديت دايناميك را براي يك آدرس IP مشاهده مي‌كنيد:

C:\NETSH –f filename.netsh

در اين مثال Filename.netsh به فايلي اشاره مي‌كند كه حاوي يك رابط بصري پيكربندي dump است. شما مي‌توانيد در ويندوز ميان‌برها را در يك فايلBAT. قرار داده و آن را اجرا كنيد. به‌اين ترتيب، قادر خواهيد بود به‌سادگي ميان‌برهايي را براي دريافت يك آدرس DHCP اضافه کرده و به IP استاتيك در سايت يك مشتري، شبكه DMZ يا هر شبكه ديگري با IP استاتيك سوييچ كنيد.
5 – يك تمرين خوب: از پسوند NETSH. استفاده كنيد

عمليات Import و Eexport در NETSH با فرمت متن ساده صورت مي‌گيرد و مي‌توان متون آنان را با استفاده از هر ويرايشگر ساده متني مشاهده کرد. به‌هرحال، فايل‌هاي NETSH به‌عنوان يك Filetype خاص در نظر گرفته مي‌شود، زيرا از آنان براي مستندسازي پيكربندي شبكه و همچنين فرآيند Import و Export استفاده مي‌شود.

به‌عنوان يك تمرين خوب مي‌توانيد تمام عمليات Export را در يك فايل FILE.NETSH آماده کرده تا هنگام نياز به Export توسط NETSH مورد استفاده قرار گيرد. اين كار از اهميت ويژه‌اي برخوردار است، زيرا فايل Export حاوي كلمه NETSH در داخل خود نيست. به‌اين ترتيب، حتي يك تازه‌كار هم مي‌تواند متوجه شود كه محتويات اين فايل چه چيزي است.

پسوند فايل Export ،dupm) dupm) و f) import-) كاملاً توسط كاربر مديريت مي‌شوند. براي راحتي بيشتر مي‌توانيد پسوند NETSH. را داخل ويندوز براي كار با ويرايشگر متني خود تعريف كنيد.

[آبجی]

6 – NETSH در حالت تعاملي (Interactive Mode)

NETSH يكي از ابزارهاي ويندوز است كه مي‌تواند هم در محيط تعاملي و هم در محيط غير تعاملي اجرا شود. ابزارهاي تعاملي (مانند Nslookup و Dnscmd) اين قابليت را دارند تا سناريوهاي متفاوت و مؤثري را بسته به محيط انتخاب شده داشته باشند.

حالت تعاملي خود داراي دو Mode است: آنلاين و آفلاين. مد آنلاين تا زماني كه در وضعيت تعاملي هستيد، مستقيم با اجزاي شبكه در ارتباط خواهد بود. مد آفلاين نيز به شما اجازه خواهد داد تا به‌عنوان فعال تغييراتي را اعمال کرده و آنان را بلافاصله و به‌صورت آنلاين برگردانيد.
7 – NETSH در حالت غيرتعاملي Noninteractine

در مد غير تعاملي مي‌توانيد فرامين NETSH را از طريق Import کردن يك فايل اجرا كنيد. استفاده از مد غير تعاملي براي عمليات Import و Export فايل پيشنهاد مي‌شود با فايل NETSH در مد غير تعاملي مي‌توانيد تنظيمات كليدي را از هر Export ،Contex كنيد.

به‌علاوه، اگر با مشكلي مواجه شويد مي‌توانيد اسكريپت NETSH را دوباره در حالت غير تعاملي دريافت کرده و شبكه را به وضعيت قبل برگردانيد. توجه داشته باشيد كه NETSH نمي‌تواند از اطلاعات موجود در Contextها (مانند پايگاه داده WINS) پشتيبان تهيه کند.
8 – اسکريپت‌ها را واضح تهيه كنيد

هنگام رد و بدل كردن اسكريپت‌هاي NETSH شما مي‌توانيد براي درخواست بازخورد از كامنت استفاده كنيد. اين‌کار به‌شما اجازه خواهد داد تا هر ورودي را توضيح داده يا از آن به‌عنوان يك ابزار آموزشي براي ديگران استفاده كنيد. كافي است عبارت REM را در فايل Export شده NETSH قرار داده و عباراتي را به آن بيافزاييد. از کامنت‌هاي زيادي استفاده نكنيد، هر آنچه ضروري است، ذكر كنيد.
9 – ضروريات NETSH

NETSH ابزار قدرتمندي است كه بايد با احتياط از آن استفاده کرد. استفاده در حالت تعاملي و در مد آنلاين (مد پيش‌فرض) براي اعمال تغييرات روزانه مي‌تواند ريسك بيشتري نسبت به انجام تغييرات در حالت تعاملي و در مد آفلاين و سپس ورود به مد آنلاين و اعمال تغييرات به‌همراه داشته باشد.

در هر صورت استفاده از حالت Noninteractive براي اعمال تغييرات روش معمول‌تري بوده، زيرا در اين حالت مي‌توان تغييرات را مشاهده و ثبت کرد. بهتر است براي كسب مهارت بيشتر NETSH را روي يك ماشين مجازي يا روي يك «سيستم آزمايش» امتحان كنيد.
10 – نقاط منفي NETSH

امكان دارد در ابتدا وسعت ويژگي‌هاي NETSH استفاده از آن را دشوار کند. بهتر است به امكانات در دسترس NETSH نگاهي بياندازيد و استفاده از اينترفيس آن را در حالت تعاملي (interactive) تمرين كنيد (اين کار براي کاربراني که به ابزارهاي غيرتعاملي عادت کرده‌ايم کمي دشوار است).

دسترسي به NETSH در حالت تعاملي بسيار ساده است: كافي‌است دستور NETSH را در خط فرمان تايپ كنيد و سپس از راهنماي زير براي بررسي امكانات اين دستور استفاده کنيد: براي تغيير به Context ديگر نام Context را تايپ كنيد.

به‌عنوان مثال، فرمان Interface ip بي‌درنگ شما را از هر Contextاي كه در آن هستيد، به‌طور مستقيم به كانتكست Interface ip خواهد برد. براي تغيير مد، دستور online يا offline را تايپ كنيد. دستور آفلاين موجب آفلاين شدن نشست (Session) تعاملي فعلي خواهد شد.

به‌همين دليل، هيچ تغييري بي‌درنگ اعمال نخواهد شد. دستور online موجب آنلاين شدن نشست فعلي خواهد شد. به‌اين ترتيب كليه تغييرات بي‌درنگ روي تمام عناصر شبكه‌اي اعمال خواهند شد. با تايپ كردن دستور Show Mode مي‌توانيد مد فعلي را مشاهده کنيد.

مد پيش‌فرض online است. به‌همين دليل، اگر در حال آزمايش كردن چيزي هستيد، بي‌درنگ به حالت آفلاين برويد. با تايپ كاراكتر؟ يا دستور Help كليه دستورات قابل دسترس در مكان Context فعلي به‌نمايش درخواهند آمد. اگر روي روت ابزار قرار داريد، هيچ كانتكست فعالي وجود نداشته و رابط‌بصري شما در اين ابزار پرامپت

دستورات جهاني يا Global Commands مانند آنلاين و Quit دستوراتي هستند كه مي‌توانيد در هر موقعيتي از آن‌ها استفاده كنيد. دستورات Context تنها زماني قابل دسترس هستند كه در كانتكست جاري از آنان استفاده شود. به‌عنوان مثال، از كانتكست

[آبجی]

10 نكته درباره كار با مجوزها

Permissions

1 – NTFS و مجوزهاي اشتراكي

مهم‌ترين نكته گيج‌كننده درخصوص به‌اشتراك‌گذاري در سيستم‌هاي تحت ويندوز اين است كه NTFS و مجوزهاي سطح اشتراك، هر دو روي توانايي كاربر در دسترسي به منابع موجود روي شبكه تأثير خواهند گذاشت. همواره به‌ياد داشته باشيد كه در ويندوز اکس‌پي و ويندوز 2003 سرور (و به‌خصوص نسخه‌هاي بعدي اين سيستم‌عامل) مجوزهاي اشتراكي به‌عنوان پيش‌فرض روي Read-Only تنظيم شده‌اند.

اين مطلب موجب خواهد شد تا مجوزهاي NTFS در زمان دسترسي به آنان از طريق شبكه به حالت Read محدود مي‌شوند.

بهترين راه براي تشخيص مجوزهاي اشتراكي از مجوزهاي NTFS در نظر گرفتن اين نكته است كه مجوزهاي اشتراكي به‌عنوان دروازه ورودي منابع به‌حساب مي‌آيند. فقط پس از به‌اشتراك‌گذاري مجوزها و بعد از Change و/ يا Full Control است كه مجوزهاي NTFS مي‌توانند مورد استفاده قرار گيرند.

تركيب مجوزهاي سطح اشتراكي و مجوزهاي NTFS مي‌تواند به‌عنوان ظرفيت بالاسري مدير شبكه فرض شود، اما به‌خاطر داشته باشيد: مجوزهاي اشتراكي نقش دروازه ورود و دسترسي به منابع شبكه‌اي را ايفا مي‌كنند. وقتي از طريق يك مجوز اشتراكي وارد يكي از منابع شبكه‌اي مي‌شويد، اين مجوز به‌شما ديكته مي‌كند كه با توجه به شرايط اشتراك چه اختياراتي داريد.

مجوزهاي NTFS مشخص مي‌سازند كه چه كارهايي را مي‌توانيد با فايل‌ها و فولدرها انجام دهيد. در حالت Troubleshooting مشخص کنيد كه آيا سطح اشتراكي مي‌تواند در آنجا نقش ايجاد کند يا خير.
2 – از اشتراك‌هاي تو در تو (Nested) دوري كنيد

مشكلاتي كه با هر دو مجوز NTFS و مجوزهاي اشتراكي درگير هستند مي‌توانند موقعيت را بسيار سخت و دشوار کنند. در ساختار فايل‌هاي خود از اشتراك‌هاي تودرتو پرهيز كنيد، زيرا اين وضعيت مي‌تواند در صورت دسترسي به منابع از طريق مجوزهاي مختلف موجب بروز اختلال و رفتارهاي ناسازگارانه در قبال منابع شبكه‌اي يكسان شود.

اين‌کار به‌منزله به‌دنبال دردسر گشتن است. به‌خصوص زماني كه مجوزهاي اشتراكي متفاوت باشند. اشتراک تودرتو یا Nested Share به پوشه به اشتراک‌گذاشته‌ای اطلاق مي‌شود که خود در داخل یک پوشه دیگر که خود به اشتراک گذاشته شده قرار داشته باشد.

البته، موجودیت‌های مشترک و پنهان زیادی وجود دارند (از قبلي$لD$،C و مانند آن‌ها) که در سطوح پايین‌تر از خود فایل‌ها و پوشه‌های پنهان تودرتوی دیگری را به‌همراه دارند که همگی نیز به‌عنوان پیش‌فرض به این وضعیت هستند. در هر حال اگر کاربران از دو اشتراک غیر پنهان تودرتو استفاده کنند، این احتمال وجود دارد تا مجوزهای اشتراک دچار Conflict و ناسازگاری شوند.
3 - از CACLS و XCACLS استفاده کنید

شما می‌توانید از CACLS و XCACLS به‌همراه یکدیگر براي جمع‌آوری اطلاعات فایل‌هایی که منعکس‌کننده مجوزهای پیکربندی شده NTFS هستند، استفاده کنید. این ابزارها اطلاعات مربوط به مجوزهای فایل‌ها و پوشه‌های خاص و روی منبع خاص را در اختیار مدیر شبکه قرار خواهند داد.

تفاوت بین مجوزهای NTFS و ACL (سرنام Access Control List) چیست؟ مجوزهای NTFS از داخل ويندوز اکسپلورر یا از طریق یک مکانیزم خودکار برای فایل‌ها و پوشه‌ها تعریف می‌شوند. این درحالی است که ACL عبارت است از نمایش و مدیریت عملیاتی که می‌توان یا نمی‌توان روی فایل‌های همان منبع انجام داد.

شما می‌توانید از CACLS و XCACLS برای افزودن یا برداشتن مجوزهای NTFS آن‌هم در محیط اسکریپت استفاده کنید. به‌همین دليل، اگر حجم مجوزهایی که با آن‌ها سر و کار دارید زیاد هستند، می‌توانید با استفاده از یک اسکریپت بلندبالا آنان را مدیریت کنید.

به‌عنوان یک تمرین خوب برای فایل‌ها و فولدرهای مهم که به‌اشتراک گذاشته شده و دارای یک مجوز منحصر‌به‌فرد NTFS هستند، می‌توانید با استفاده از ابزار CALCS.EXE به ایجاد یک اسکریپت تسهیل‌کننده اقدام کرده و ACL فایل‌ها و فولدرهای مجزا را ثبت کنيد (يا به صورت دستي مراحل را براي انجام اين کار طي کنيد).

توجه داشته باشید که می‌توانید به آسانی و با اجرای CALCS * /T از داخل خط فرمان اقدام به ایجاد سندی حاوی مجوزهای NTFS کنيد که شامل اطلاعات مجوزهای فولدر، محتویات آن و زیرپوشه‌ها باشد. چنین کاری روی منبع مقصد صورت خواهد گرفت و می‌تواند هنگام کار روی فولدرهای تودرتو و دارای مسیر طولانی، صددرصد توان پردازنده را به‌خود اختصاص دهد.

البته، به فاکتورهای زیادی بستگی دارد، اما انجام یک بازبینی برای ایجادACL می‌تواند زمان بسیار طولانی را صرف کند. این شبیه حالتی است که می‌خواهید مجوزهای جدید NTFS را روی فولدرهای بزرگ اعمال کنيد.
4 - مقایسه بین مجوزهای ساده و مجوزهای ویژه NTFS

مجوزهای ویژه که فقط یک راست‌کلیک با آن فاصله دارید، امکانات بسیار بیشتری را در خصوص نیازمندی‌های یک دسترسی خاص در اختیار مدیرسیستم خواهند گذاشت. قابل توجه است اگر بدانید استفاده از مجوزهای ویژه با پیچیده‌تر کردن فرآیند مجوزدهی، موجب افزایش وظایف مدیریتی مرتبط با مجوزهای NTFS خواهد شد.

به همين دليل، بهترین حالت استفاده از مجوزها در زمانی است که واقعاً به آن‌ها نیاز باشد. مجوزهای استاندارد NTFS اغلب ویژگی‌های موردنیاز را برای یک دسترسی ایمن به منابع به‌اشتراک‌گذاشته شده و منابع محلی در اختیار دارند.

نکته: مطمئن شوید که در زمان بروز مشکل، مجوزهای خاص برداشته شده باشند. تمام مدیران شبکه حداقل یک‌بار مشکلاتی را با مواردی مانند مجوزهای مشترک، مجوزهای NTFS، عضویت‌های گروهی، اکانت‌های کاربری مشترک و... تجربه کرده‌اند. در بسیاری از موارد یک نگاه به مجوزهای ویژه می‌تواند مشکل را به‌سرعت شناسايی و برطرف کند.
5 - مجوزهای ویژه را جداگانه و روی منابع مختلف نگه‌دارید

اگر بتوانید این سناریو را اجرا کنید، تمرین خوبی خواهد بود تا بتوانید مجوزهای مورد نیاز منابع مختلف را به‌صورت گروه‌های جداگانه یا فولدرهایی با مجوزهای مشابه با دیگر فولدرهای واقع در منابع دیگر تعریف و دسته‌بندی کنید. اختلاط مجوزهای استاندارد با مجوزهای ویژه در یک مکان مشترک می‌تواند وظایف مدیریتی را سنگین‌تر کند.