Designing malware and exploits is only one end of the business for black hats. Getting that malicious content to users is another.

A key way for attackers to do that is through search engine optimization (SEO), which boosts the search engine rankings of compromised or malicious Web pages.

“Black hat SEO works by exploiting search indexing algorithms, and I think search engine providers work hard to try and tweak their processes to cut down on misleading search results, but it’s a cat and mouse game,” said Marc Fossi, manager of research and development for Symantec Security Response. “When search engine providers fine-tune their algorithms or make other changes to try and reduce black hat SEO effectiveness, the bad guys counter these adjustments by making minor adjustments of their own.”

There are three main ways black hats go about search optimization: keyword stuffing, cloaking and link farming. Cloaking, Fossi explained, is where content is created specifically for search engine crawlers and is hidden from normal view.

Link farming is another common technique for SEO. Chris Larsen, senior malware researcher at Blue Coat Systems, took a look inside such an operation here. In a conversation with eWEEK, he described link farms as a network of interconnected pages with false content designed to look reputable to Google and other search engines to boost search rankings.

“One place the bad guys like to put link farms is on legitimate sites, and not all link farms are networks of thousands and thousands of bogus pages,” he explained. “Our focus is on identifying and blocking the malware chains, which only begin at the link farms—[which are] so numerous and fluid that it’s not so productive to go after them. There are dozens to hundreds of link farms in any single network, but only a handful of active malicious relay/destination servers—so they are higher value targets.”

It has become very common for link farm pages to present a clean view to the search engine indexer with no malicious script, he added, which indicates search engines have gotten better at spotting such scripts.

To get links in front of users, attackers sometimes exploit Web pages such as blogs and news sites that accept user input.

“The person trying to get their misleading search result high in the rankings will simply paste their URL into these comment fields and anywhere else that allows for user input, and by so doing, search engines see that Web page as more important because so many other sites link to it,” Fossi said.

When requests for a page are coming from a search engine such as Bing or Google, the user will be redirected to a malicious site. When users visit the pages without the help of a search engine, they will often not be served the malicious content.

“Rogue AV has been the most common attack that we’ve seen tied to Black hat SEO,” noted Michael Sutton, vice president of security research at Zscaler. Other attacks, he said, include fake updates for software such as Adobe Flash Player that are actually malware.

“The creativity used by the attackers is impressive—sadly, the average end user is often fooled,” Sutton said.

According to a spokesperson for Google, the company works to detect and flag sites that serve malware with warning labels in its search results.

“We are always working to identify and eliminate malware from our index with manual and automated processes,” the spokesperson said.

For organizations, protecting against SEO requires a mix of URL filtering and content inspection, as well as malware detection technologies. In addition, Website administrators should make sure their sites aren’t vulnerable to compromise by attackers looking for legitimate sites to host their scheme.

In a paper released (PDF) in March titled “Poisoned search results: How hackers have automated search engine poisoning attacks to distribute malware,” researchers at Sophos found vulnerable versions of popular CMS applications are also a common link between many compromised sites.

“It is imperative that site administrators upgrade and patch such applications regularly,” the researchers wrote. “The homogeneous nature of the content produced by these CMS systems makes it trivial for attackers to identify potential sites to compromise. … Content scanning on the web server can also add significant protection against SEO attacks, providing detection for the scripts used in SEO kits and PHP backdoors. Such detections can give administrators an early heads up of a potential server compromise.”

As time goes on, attackers will likely move more and more of their content to hacked sites, Larsen predicted.

“The search engines will be fighting this battle for the foreseeable future,” he said.

A bug in the Firefox browser that can be used to bypass an alert for obfuscated URLs is unlikely to trick users, according to Mozilla.

The flaw was uncovered by Armorize Technologies researcher Aditya K. Sood, who warned it could be used by purveyors of malware to increase the chance of leading users to malicious sites.

According to the bug report Sood filed to Bugzilla in June, Firefox implements a check when “a URL obfuscation is done in the address bar.” Normally, the browser will display a warning if a user clicks on a link that contains a disguised address. However, if IFrames are used with the obfuscated URL, the alert notification is bypassed.

“On performing analysis of various malware, a bug has been noticed in all version[s] of Firefox which fails to generate an alert when [an] obfuscated URL is being placed in IFrames,” Sood explained Aug. 16 in a blog post. “In certain cases, it can be used effectively in spreading malware and stealing sensitive information.”

Johnathan Nightingale, Mozilla’s director of Firefox development, however, said it was unlikely the bug could be effectively used by attackers to trick users. For this reason, Mozilla does not plan to issue a fix, according to the company’s Security Blog.

“The concern expressed in the bug is that a page could be constructed with an embedded IFrame that uses a confusing URL,” Nightingale said in a statement. “Most users don’t look at the HTML source of the pages they are loading, which is the only way you’d encounter this URL. We do not anticipate this bug would cause user confusion or deception. Firefox ships with built-in phishing and malware protection that warns users if they are attempting to visit a dangerous URL.”

The attacker must entice a victim into attaching a form of removable media, such as a USB drive or CD-ROM.

Affected Software:
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 1
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 1
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista Service Pack 1 and Windows Vista Service Pack 2
Windows Vista x64 Edition
Windows Vista x64 Edition Service Pack 1 and Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7 for 32-bit Systems
Windows 7 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems
Windows Server 2008 R2 for Itanium-based Systems

Note: This vulnerability is applicable to versions of the software that are not listed in the official advisory.
For details see: http://www.qualys.com/research/exploits/#KB2286198 ]]> http://www.kheybar.net/log/1389/05/microsoft-windows-shell-remote-code-execution-vulnerability/feed/ http://www.kheybar.net/log/1389/02/10-%d8%b1%d8%a7%d9%87%da%a9%d8%a7%d8%b1-%d8%a8%d8%b1%d8%a7%db%8c-%d8%a8%d9%87%d8%a8%d9%88%d8%af-%d8%b9%d9%85%d9%84%da%a9%d8%b1%d8%af-%d8%b4%d8%a8%da%a9%d9%87-%d9%87%d8%a7%db%8c-%d8%a8%db%8c%d8%b3/ http://www.kheybar.net/log/1389/02/10-%d8%b1%d8%a7%d9%87%da%a9%d8%a7%d8%b1-%d8%a8%d8%b1%d8%a7%db%8c-%d8%a8%d9%87%d8%a8%d9%88%d8%af-%d8%b9%d9%85%d9%84%da%a9%d8%b1%d8%af-%d8%b4%d8%a8%da%a9%d9%87-%d9%87%d8%a7%db%8c-%d8%a8%db%8c%d8%b3/#comments Thu, 13 May 2010 10:46:32 +0000 حمیدرضا http://www.kheybar.net/log/?p=127 اگر ویندوز وجود یک سیگنال ضعیف را اطلاع می دهد ممکن است بدین معنا باشد که اتصال بیسیم شما کم سرعت یا غیر قابل اطمینان است .اگر شما بدنبال اصلاح شبکه بیسیم خود می باشید، راهکارهای زیر در این زمینه به شما کمک می کند:

چه باید کرد:

اغلب سخت افزارهای شبکه های بیسیم آنقدر پیشرفت کرده اند که کابران می توانند به راحتی آنها را نصب کنند ولی نکته قابل توجه در شبکه، امنیت آن است که کاربران به آن توجهی نمی کنند. پس لازم است چند روش برای ارتقاء امنیت شبکه توضیح دهیم:

۱- امنیت روتر شبکه را بالا ببرید:

اغلب روترها یک رمز اصلی برای برقراری ارتباط با ابزارهای شبکه و تغییردادن تنظیمات پیکربندی دارند.البته بعضی هم اصلا رمزی ندارند. این رمز در بعضی لوازم به صورت پیش فرض خیلی ساده مثل password یا نام تولید کننده دستگاه می باشد. زمانی که شما یک شبکه ی بیسیم را راه اندازی می کنید اولین کاری که باید انجام دهید عوض کردن رمز پیش فرض است . پس یک رمز جدید انتخاب کنید و آنرا یک جای مطمئن بنویسید تا اگر یادتان رفت بتوانید آنرا پیدا کنید.اگر رمز یادتان رفت می توانید با ریست کردن دستگاه آنرا به حالت پیش فرض کارخانه برگردانید.

۲- SSID شبکه را غیر فعال کنید:

روترهای بیسیم به صورت اتوماتیک و منظم اسم شبکه یا شناسه سرویس دستگاه(SSID ) را در محیط انتشار می دهند . غیر فعال کردن انتشار SSID ، شبکه را از همسایه ها و عابران مخفی نگه می دارد. (البته هنوز هم احتمال دسترسی به شبکه توسط هکرها وجود دارد)

۳- از سیستم رمزگذاری WPA به جای WEP استفاده کنید:

سیستم رمزگذاری WEP مبتنی بر ۸۰۲/۱۱ از نظر امنیت ضعیف بوده و به راحتی می توان نوع سیستم را مشخص کرد و به شبکه دسترسی پیدا کرد.یک روش بهتر برای حفاظت از شبکه بیسیم استفاده از WPA می باشد، زیرا WPA حفاظت بهتری ارائه می دهد و کار با آن آسانتر است. در WPA کاراکترهای رمز شما به اعداد ۰ تا ۹ و حروف A تا F محدود نمی شوند. WPA توسط آخرین نسخه ویندوز XPو سیستم عامل های جدیدتر حمایت می شود. ورژن جدیدتر این رمزگذار، ۲ WPA می باشد که از نظر رمزگذاری قوی تر و امنیت آن بالاتر است.

۴- در صورت نبودن رمزگذار ، WEP هم گزینه خوبی است:

اگر ابزارهای بیسیم شبکه شما فقط سیستم WEP را حمایت می کنند ( که اغلب در PDAها و DVRها این اتفاق می افتد) حتما WEP را بکار ببرید زیرا WEP از هیچی بهتر است. اگر از WEP استفاده می کنید از رمزی استفاده نکنید که بتوان به راحتی آنرا حدس زد. هر هفته رمز دستگاه را عوض کنید تا مانع از دسترسی دیگران به شبکه شوید.

۵- از فیلتر MAC برای کنترل دسترسی ها استفاده کنید:

برخلاف آدرس IP، آدرس MAC مخصوص آداپتورهای شبکه است. بنابراین با فعال کردن فیلتر MAC دسترسی به شبکه را فقط برای افراد آشنا و ابزارها شبکه محدود کنید.برای بکار بردن فیلتر MAC شما باید آدرس ۱۲ کاراکتری MAC هر سیستم را که می خواهید به شبکه وصل کنید بدانید. اگر شما تعداد زیادی ابزار جهت اتصال به شبکه داشته باشید و بخواهید آدرس MAC آنها را پیدا کنید ، این روش بسیار خسته کننده است . آدرس MAC ممکن است توسط افراد زیرک به سرقت برود پس از نظر امنیتی این روش کاملا تضمین نمی شود ولی یک مانع برای جلوگیری از مزاحمت ها محسوب می شود.

۶- برد شبکه بیسیم را کم کنید:

این ویژگی را در همه روترها نخواهید یافت ولی بعضی از روترها به شما این اجازه را می دهند تا نیروی فرستنده روتر را کم کنید.بدین معنی که برد سیگنال ارسالی کم می شود.این تقریبا غیر ممکن است که بتوان یک سیگنال را طوری تنظیم کرد که به بیرون از خانه یا محل کار انتشار پیدا نکند، ولی بوسیله روش آزمون و خطا می توانید مسافتی که سیگنال قابل دسترسی می باشد را تنظیم کنید و فرصت دستیابی به سیگنالها را توسط افراد خارج از محدوده کم کنید.

۷- کنترل از راه دور را غیر فعال کنید:

اغلب روترها این ویژگی را دارند که از طریق اینترنت و از راه دور کنترل شوند. در واقع شما باید کنترل از راه دور را زمانی فعال کنید که بتوان برای روتر یک IP خاص تعریف کرد.به عنوان یک راهنمایی تا زمانی که کنترل از راه دور را احتیاج ندارید بهتر است آنرا خاموش کنید و از آن استفاده نکنید.

در ضمن اگر در مورد شبکه های بیسیم مشکلی داشتید می توانید با ایمیل من در تماس باشید :

]]> http://www.kheybar.net/log/1389/02/%da%86%da%af%d9%88%d9%86%d9%87-%d8%a7%d9%85%d9%86%db%8c%d8%aa-%d8%b4%d8%a8%da%a9%d9%87-%d9%87%d8%a7%db%8c-%d8%a8%db%8c%d8%b3%db%8c%d9%85-%d8%b1%d8%a7-%d8%a8%d8%a7%d9%84%d8%a7-%d8%a8%d8%a8%d8%b1%db%8c/feed/ http://www.kheybar.net/log/1389/01/%d8%b3%d8%ae%d8%aa-%d8%a7%d9%81%d8%b2%d8%a7%d8%b1-%d8%b4%d8%a8%da%a9%d9%87-wi-fi/ http://www.kheybar.net/log/1389/01/%d8%b3%d8%ae%d8%aa-%d8%a7%d9%81%d8%b2%d8%a7%d8%b1-%d8%b4%d8%a8%da%a9%d9%87-wi-fi/#comments Thu, 15 Apr 2010 17:29:08 +0000 حمیدرضا http://www.kheybar.net/log/?p=125 برای یک شبکه ی ساده ی خانگی، حداقل تجهیزات سخت افزاری یک شبکه ی Wi-Fi چیزی به غیر از یک عدد نقطه ی دسترسی و یک عدد کارت شبکه نیست. البته برای شبکه های بزرگتر نیز به نظر نمی رسد به تجهیزات بیشتری احتیاج باشد. شاید تنها فرق این دو شبکه در این باشد که در شبکه های بزرگتر احتمالن نیاز است چند شبکه بیسیم را از طریق کابل و هاب* به یکدیگر متصل کنند تا محدوده ی پوشش شبکه ی مذکور و همچنین تعداد کاربرانش افزایش پیدا کند. همچنین ممکن است نیاز به نقاط دسترسی افزایش پیدا کند.

نقطه دسترسی:
نقطه ی دسترسی یا Accsess point که به اختصار به آن AP گفته می شود دستگاهی است که وظیفه ی آن ارسال و دریافت اطلاعات در برد وسیع می باشد. در واقع کارت شبکه های بیسیم خود نیز می تواند به ارسال و دریافت اطلاعات اقدام نماید( و حتی به این طریق می توان شبکه هایی به نام Ad-hoc ساخت) اما به دلیل برد کم این کارت ها، نیاز به یک دستگاه جانبی به نام AP ها می باشد. در پشت این *دستگاه یک کانکتور RG-45 قرار دارد که از آن می توان به منظور کانفیگ کردن و یا اتصال به یک نقطه ی دسترسی دیگر و یا حتا اتصال به شبکه های کابلی (همان طور که در بالا ذکر شد) استفاده کرد.

در شبکه های که تعداد AP ها از یکی بیشتر می شود ممکن است تعدادی از این دستگاه ها در محدوده ی برد AP های دیگر قرار بگیرند. در این حالت تداخلی به وجود میاید که به Cross Talk معروف است. برای جلوگیری از این اتفاق باید از کانال ها ی مختلفی که به همین منظور به وجود آمدند استفاده کرد. اگر شما چند AP در کنار یکدیگر دارید بهتر است از کانال های ۱، ۶ و ۱۱ استفاده کنید تا دچار تداخل فرکانس نشوید.

نصب نرم افزاری AP ها:
در این مرحله شما کار آنچنان سختی را بر عهده ندارید. کافیست ابتدا نقطه ی دسترسی را به کامپیوتر متصل کرده(با کابل RG-45) و سپس با استفاده از CD نصب، اقدام به تنظیم نقطه ی دسترسی کنید. در طی این مراحل شما می توانید خودتان نیز تنظیمات دلخواه را وارد کنید اما اگر اطلاعات کافی در این زمینه ندارید بهتر است از مقادیر پیش فرض استفاده کنید تا به راحتی کار نصب به پایان برسد.

نصب AP ها:
منطور از نصب نقاط دسترسی در این قسمت چیزی جز پیدا کردن نقطه ای مناسب که بهترین عملکرد را برای شبکه به ارمغان بیاورد نمی باشد. باید دقت کنید تا حد امکان AP ها را در مکانی قرار داد که کمترین موانع بر سر راهش باشد. اگر در فضای بسته ای قرار دارید شاید سقف، مکان مناسبی برای نصب AP ها باشد. اگر در محیط بیرونی قصد نصب نقاط دسترسی را دارید، بالای پشت بام، طوری که درخت و یا دیواری برای آن مزاحمت به وجود نیاورد می تواند مکان خوبی باشد. احتمالن برای پیدا کردن بهترین نقطه باید کمی وقت صرف کنید و مکان های گوناگون را آزمایش کنید. در این مرحله باید دقت کنید تا امنیت فیزیکی AP ها نیز به خوبی رعایت شود.

فقط همین؟
همان طور که در اول مطلب ذکر شد AP ها و کارت شبکه حداقل تجهیزات یک شبکه ی بیسیم بودند. تجهیزات بسیار زیادی برای استفاده در شبکه های بیسیم وجود دارند که عملکرد و قابلیت های این نوع شبکه ها را افزایش می دهند. شاید بهترین نمونه ی این تجهیزات پرینتر سرور باشد که پرینتر را بدون نیاز به کامپیوتر به شبکه متصل می کند و تمامی کاربران می توانند از آن استفاده کنند.

]]> http://www.kheybar.net/log/1389/01/%d8%b3%d8%ae%d8%aa-%d8%a7%d9%81%d8%b2%d8%a7%d8%b1-%d8%b4%d8%a8%da%a9%d9%87-wi-fi/feed/ http://www.kheybar.net/log/1389/01/wi-fi-%da%86%db%8c%d8%b3%d8%aa%d8%9f/ http://www.kheybar.net/log/1389/01/wi-fi-%da%86%db%8c%d8%b3%d8%aa%d8%9f/#comments Thu, 01 Apr 2010 10:38:33 +0000 حمیدرضا http://www.kheybar.net/log/?p=123 Wi-Fi چیست؟

اصطلاح Wi-Fi (می توانید بخوانید وای فای) مخفف دو کلمه ی Wireless Fidelity است. این نوع شبکه ها بسته به نوع استانداری که از آن پیروی می کنند بردی تا ۴۰۰ متر دارند. محدوده ی فرکانسی امواج این شبکه در محدوده ی امواج مایکرویوو قرار دارد. نکته ی جالب این است که بر خلاف شبکه های کابلی، این نوع شبکه ها از هیچ گونه توپولوژی خاصی پیروی نمی کنند و تمام سخت افزار های موجود در شبکه می توانند به راحتی و بدون هیچ گونه مشکلی مانند تصادم، با هم در ارتباط باشند. با توجه به بردی که این شبکه ها دارند به نظر برای شرکت ها و یا منازل مسکونی کاملن مناسب هستند. حال اگر شما دارای یک شرکت هستید و یا قصد دارید در منزل چنین شبکه یی را بر پا کنید باید ابتدا با استاندار های این شبکه آشنا شوید تا بتوانید تشخیص دهید چه نوع استانداری مناسب محل شماست.

همان طور که می دانید استاندار ۸۰۲/۱۱ متعلق به شبکه های بیسیم است. حال، خود این استاندار به ۴ استاندارد۸۰۲/۱۱a، ۸۰۲/۱۱b، ۸۰۲/۱۱g و ۸۰۲/۱۱h تقسیم می شود. به غیر از استاندارد ۸۰۲/۱۱h که هنوز زیاد مورد استفاده قرار نمیگیرد، ۳ استاندار دیگر را باهم کمی بررسی می کنیم و سپس خواهیم دید هر استاندارد به درد چه مکانی می خورد.

۸۰۲/۱۱a:
این استاندار از فرکانس ۵GHZ استفاده می کند. سرعت انتقال داده در این استاندار معادل ۵۴Mbps است. به دلیل بالا بودن فرکانس، قیمت تجهیزات این استاندارد نیز گران تر از سایر استاندارد ها می باشد.

۸۰۲/۱۱b:
این استاندارد بر خلاف استاندارد بالا، از فرکانس ۲/۴GHZ استفاده می کند. به همین دلیل نیز تجهیزات این دو استاندارد با یکدیگر تطابق ندارند و نمی توانند با هم در ارتباط باشند. سرعت انتقال داده در این استاندارد پایین و در حدود ۱۱ تا ۲۲Mbps می باشد. قیمت تجهیزات این استاندارد نیز ارزان تر است.

۸۰۲/۱۱g:
این استاندارد در واقع تلفیقی از دو استاندارد بالاست که هم از فرکانس پایینی استفاده می کند( و در نتیجه هزینه ی کمتری روی دست مشتری می گذارد) و هم اینکه از سرعت بالای ۵۴Mbps پشتیبانی می کند. این استاندارد با هر ۲ استاندارد بالا، مطابق است و همین ویژگی های منحصر به فرد است که باعث محبوبیت این استاندارد شده است.

حال که کمی با این استاندارد ها آشنا شده ایم، این سوال پیش میاید که هر کدام از اینها برای چه مکان هایی مناسب هستند؟ مسلمن اگر پاسخ دادن به این سوال، بدون دانستن نکات بالا امکان پذیر بود، از ذکر موارد بالا خودداری می کردم. اما توضیحات بالا دید شما را برای پاسخ دادن به این سوال کاملن باز می کند.

اگر شما قصد دارید داخل شرکت و یا منزلتان را شبکه کنید و نقشه ی محل به گونه ای است که شامل موانع زیادی نیست، بهتر است زیاد خودتان را به خرج نیندازید و از استاندارد ۸۰۲/۱۱b استفاده کنید. با استفاده از این استاندارد شما هم هزینه ی کمتری می کنید و هم از سرعت خوبی برخوردار می شوید. اگر محدوده ی شما کمی وسیع تر است و هم اینکه موانع بیشتری در محل وجود دارد بهتر است از استاندارد قدرتمند ۸۰۲/۱۱g استفاده کنید. اگر هم محل مورد نظر شما منطقه ی وسیعی را تحت پوشش قرار می دهد و شامل موانع زیادی هم است بهترین گزینه استاندارد۸۰۲/۱۱a است که با فرکانس بالا و قدرت مناسبش، نیاز شما مرتفع می کند و باعث می شود کاربران شما با هیچ گونه کاهش سرعتی روبه رو نشوند.

نکته: بررسی این موضوع که شما به چه استانداری نیاز دارید بدون شک مهمترین قسمت راه اندازی یک شبکه ی بیسیم است و نباید از این قسمت به راحتی گذشت. عواملی چون تعداد کاربران، فاصله ی کاربران، نیاز های کاربران، شرایط کاربران و خیلی موارد دیگر می تواند روی این تصمیم گیری تاثیر بگذارند. توجه داشته باشید هر چه فشار به شبکه بیشتر باشد شما نیاز به یک شبکه ی قدرتمند تری خواهید داشت. مثلن اگر تعداد کاربران زیاد است مسلمن شما نمی توانید از استاندارد ۸۰۲/۱۱b(به دلیل پایین بودن فرکانس و در نتیجه ضعیف تر بودن) استفاده کنید. با این کار صدای کاربرانتان به هوا می رود!

به منظور آشنایی با نسخه ی جدید پروتکل اینترنت، سایت نت پروف مقاله ی جامع و تخصصی را آماده کرده است که مطمئنا به تمامی دوستان از آماتور گرفته تا حرفه ای، اطلاعات لازم در این خصوص را خواهد داد.

در فایل پیش رو، ابتدا کمی پیرامون IPv4 سخن گفته ایم و سپس ویژگی های IPv6 را بررسی نموده ایم. ویژگی هایی از قبیل:

1-   Stateless

2-   Multicast

3-   Mandatory Network Layer Security

4-   Simplified Processing by Routers

5-    Mobility

6-   Option Extensibilty

7-    Jumbo grams

سپس نحوه ی آدرسی دهی در IPv6 را بررسی نموده ایم. در پایان نیز به بررسی برخی از آدرس های ویژه در IPv6 پردا خته ایم.

برای دانلود این کتاب الکترونیکی، به آدرس زیر بروید:

حجم: ۱۹۶ کیلوبات
فرمت: PDF

دانلود از سرور باکس دات نت

در این مطالب، بسیاری از نکات مربوط به EFS پوشش داده می شود. خواننده پس از خواندن این مطلب باید بتواند سناریو های رایج مربوط به EFS را پیاده سازی کند.

- File Recovery Certificates : این گروه از مجوز ها به دارندگانش اجازه می دهند تا فایل ها و فلدر های رمزنگاری شده را در حوزه یک دامین، سایت و… ریکاور کنند. بدون توجه به آنکه چه کسی این فایل را رمزنگاری کرده. فیلد Enhanced key Usage برای این دسته از مجوز ها مقدار ۱/۳/۶/۱/۴/۱/۳۱۱/۱۰/۳/۴/۱ را دارد.

افزودن یک Recovery Agent :

افزودن یک Data Recover Agent دو مرحله انجام می گیرد. ۱)تولید مجوز و کلید ۲)افزودن

۱) تولید مجوز و کلید: ۱) به خط فرمان بروید مثلا در  RUN وارد کنید CMD . 2) اکنون دستور مقابل را در خط فرمان وارد کنید :cipher /r:filename 3) حال یک کلمه عبور برای محافظت از کلید ها و مجوز ها وارد کنید. ۴)  کلمه عبور را مجددا وارد کنید. ۵) دو فایل با پسوند های PFX و CER برای شما ساخته می شود و پیغامی جهت اطلاعات از این امر در خط فرمان به شما داده می شود. * بهتر از پیش از مرحله ۲ مجوز خود را نصب کنید. * این دستور “سایفر” خوانده می شود. نمی دانم چرا برخی اشتباه تلفظ می کنند. * سوییچ SmartCard برای ذخیره سازی مجوز در کارت هوشمند به کار می رود. همچنین در استفاده از این سوییچ فایل PFX ساخته نمی شود. * به جای FileName نام دو فایل  PFX و CED را به دلخواه وارد کنید. *  فایل در جایی ساخته می شود که CMD به آن اشاره می کند. مثلا می توانید برای راحتی محل اشاره را به پارتیشن C تغییر دهید اما توصیه می شود محل اشاره User Profile خودتان باشد.

۲) افزودن یک Recovery Agent در دامین : ۱) وارد کنسول Active Directory Users and Computers شوید. ۲) روی دامینی که می خواهید Recovery Policy آن را تغییر دهید بروید و right-click کنید و properties را بزنید. ۳) سیاستی را که می خواهید تغییر دهید انتخاب کنید و یا یک سیاست جدید اضافه کنید. ۴) به مسیر زیر بروید:

Computer Configuration/Windows Settings/Security Settings/Public Key Policies/Encrypting File System

5)روی Encrypting file System رایت کلیک کنید و Add Data Recovery Agent را بزنید. و در ویزارد به نکات زیر توجه کنید: – برای این کار باید عضو گروه Domain Admins و یا Enterprise admin باشید و یا با استفاده از delegation حق این کار را داشته باشید. – پیش از اضافه کردن یک Recovery Agent باید انتشار مجوز های در اکتیودایرکتوی تنظیم شده باشد. که به صورت پیش فرض چنین نیست. – زمانی که از طریق یک فایل، Recovery Agent اضافه می کنید. user به صورت USER_UNKNOWN نوشته می شود زیرا نام کاربر در فایل ذخیره نمی شود.

‘۲) افزودن یک Recovery Agent به صورت local : مشابه مراحل افزودن در دامین است با این تفاوت که به کنسول Group Policy Object Editor باید بروید. یعنی در مرحله اول به MMC رفته و Add/remove snap-in را بزنید. سپس Group Policy Object را انتخاب کنید و ادامه مراحل را طی کنید. می توانید به راحتی در run وارد کنید gpedit.msc و مراحل ۲ تا ۵ را انجام دهید. * دقت کنید در اینجا حتما باید از طریق یک فایل و همان فایل با پسوند CER یک بازیاب اطلاعات اضافه کنید. -باید عضو گروه Administrators در Local Users باشید.

EFS چگونه کار می کند؟ ۱) EFS از یک زوج کلید عمومی و اختصاصی ( Public – Private key ) استفاده می کند.  همچنین کلید هر فایل متفاوت است. زمانی که کاربر یک فایل را رمزنگاری می کند، EFS یک File Encryption Key یا به اختصار FEK تولید می کند. FEK با کلید عمومی آن کاربر رمزنگاری می شود و با فایل ذخیره می شود. ۲) زمانی که Recovery Agent وجود داشته باشد، کلید رمز نگاری شده با Public Key هر Recovery Agent نیز با فایل ذخیره می شود.

غیر فعال کردن EFS روی یک کامپیوتر : با استفاده از registry می توان امکان EFS را غیرفعال کرد. تذکر: ویراشی Registry نیاز به اطلاعات کافی دارد. چنانچه قصد دارید Registry را ویرایش کنید حتما ابتدا یک نسخه پشتیبان از آن تهیه کنید. همچنین ممکن است اگر مشکی بروز کند با استفاده از Last know Good Configuration مشکل را بر طرف کنید. ویرایش رجیستری توسط کاربران مبتدی توصیه نمی شود. در Registry Editor به شاخه زیر بروید.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS

یک متغیر جدید از نوع DWORD با نام EfsConfigurationایجاد کنید و مقدار آن را ۱ بگذارید. کامپیوتر را ریستارت کنید.

]]> http://www.kheybar.net/log/1389/01/%d9%85%d8%ad%d8%a7%d9%81%d8%b8%d8%aa-%d8%a7%d8%b2-%d9%81%d8%a7%db%8c%d9%84-%d9%87%d8%a7-%d8%a8%d8%a7-%d8%b1%d9%85%d8%b2%d9%86%da%af%d8%a7%d8%b1%db%8c-%d8%af%d8%b1-%d9%88%db%8c%d9%86%d8%af%d9%88%d8%b-3/feed/ http://www.kheybar.net/log/1389/01/%d8%b3%d8%a7%d9%84-%d9%86%d9%88-%d9%85%d8%a8%d8%a7%d8%b1%d9%83/ http://www.kheybar.net/log/1389/01/%d8%b3%d8%a7%d9%84-%d9%86%d9%88-%d9%85%d8%a8%d8%a7%d8%b1%d9%83/#comments Sun, 21 Mar 2010 09:12:52 +0000 حمیدرضا http://www.kheybar.net/log/?p=162 سلام

خلاصه سال ۱۳۸۸ با همه سختی ها و خوبی هاش تمام شد.

سال ۸۸ به من یکم سخت گذشت که البته مصوبش خودم بودم که خدا رو شکر گذشت…… الهی شکر…..

حالا سال ۸۹ که رسیده به همه تبریک میگم ایشالله سال خوب و خوشی داشته باشید.

مقام معظم رهبری هم سال ۸۹ رو سال همت مضاعف ، کار مضاعف نامگذاری نمودند.

امسال سال ماست منتظر فعالیت های جدید وقوی باشید.