![[-]](https://forum.romaak.ir/images/first18/collapse.png "[-]")
۹۶/۱۰/۱۷، ۱۰:۴۱ صبح
Least Privilege چیست ؟
اگر سابقه مدیریت شبکه داشته باشید به احتمال زیاد به برنامه هایی برخورد کرده اید که برای اینکه به درستی اجرا شوند بایستی با کاربر Administrator الزاما در سیستم فعالیت می کردند یا برای اینکه
بتوانند در شبکه با پایگاه داده ارتباط بگیرند حتما باید دسترسی مدیریتی به پایگاه داده به آنها داده شود ! خوب این چیزی است که برای کارشناسان امنیت یک کابوس است چراکه
به قول معروف امنیت دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
برابر ضعیف ترین Node شبکه است و این یعنی شما در یک ریسک امنیتی هستید. اما برویم سر اصل مطلب
تعریف Least Privilege تقریبا خیلی ساده است ، به هر کاربر تنها دسترسی هایی را بدهید که نیاز دارد ، نه بیشتر و نه کمتر ، همیشه در کلاس های امنیت اطلاعاتی که برگزار می کنم
برای دانشجوها یک مثال می زنم و می گویم که : اگر یک منشی قرار است فقط تایپ کند و پرینت بگیرد !! فقط به او دسترسی باز و بسته کردن و نوشتن و ذخیره کردن نرم افزار Office Word را بدهید
و حتی به نرم افزاری مثل Outlook هم دسترسی ندهید ! این می شود اصل حداقل بودن اختیارات که باعث آرامش خاطر شما امنیت کارها می شود.
آیا Least Privilege مختص فقط کاربران است ؟
پاسخ این موضوع قطعا خیر است ، ضمن اینکه شما باید برای کاربران حداقل دسترسی ها را در نظر بگیرید بایستی برای Process ها ، برنامه ها و سرویس ها نیز چنین محدودیت هایی را ببینید
توجه کنید که همه Process ها ، همه سرویس ها و همه نرم افزارها برای اینکه درست اجرا بشوند نیاز به دسترسی و Login به سیستم با یک نام کاربری و پسورد دارند و این دسترسی ها
بایستی حداقل ممکن باشد. منظور از دسترسی حداقلی به اطلاعات و منابع دسترسی است که کاربر را ناراضی نکند یعنی یک کاربر بتواند نیازهای تعریف شده خودش را برآورده کند. حتی
پیشنهاد می شود که یک مدیر سیستم یا System Administrator نیز در زمان استفاده از سیستم خودش با یک کاربر دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
محدود به سیستم Login کند
و برای انجام عملیات های مدیریتی سیستم صرفا از دسترسی های بالاتر استفاده کند.
مزایای Least Privilege چیست ؟
این سناریو را تصور کنید که همگی 1000 کاربر سازمان شما با اینکه عضو شبکه دومین هستند اما همگی بر روی سیستم خودشان عضو گروه Administrators هستند ! این یعنی اگر یک ویروس یا کد
مخرب خطرناک وارد سیستم یکی از این کاربران شود احتمال اینکه در شبکه به یکباره پخش شده و کل شبکه را آلوده کند بسیار زیاد است و اگر شما کاربر را محدود به استفاده از
منابع همان سیستم با دسترسی های حداقلی کرده باشید دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
کد مخرب نیز در محیط محدودتری اجرا و قابل ایزوله سازی می شود.
یا Least Privilege شما از تخریب های احتمالی نیز جلوگیری می کنید برای مثال اگر کاربری مسئول گرفتن Backup از پایگاه داده شما است قرار نیست بتواند دستکاری در اطلاعات شما
ایجاد کند و به همین دلیل می توانید سطح دسترسی حداقلی برای گرفتن Backup توسط یک کاربر تعریف کنید ! Least privilege به شدت درجه امنیتی سازمان شما را بالا می برد و
امکان سوء استفاده های احتمالی توسط کاربران را نیز بسیار کاهش می دهد. امیدوارم این مفهوم را به درستی درک کرده باشید و مثالی که زدم را همیشه به خاطر داشته باشید
اگر بصورت واژه ای ترجمه کنیم Privilege به معنی امتیازها و دسترسی ها و Escalation به معنی تشدید یا زیاد کردن یا بالا بردن ترجمه می شود و به زبان ساده ترکیب این دو واژه یعنی
بالا بردن سطح دسترسی توسط مهاجم بصورت غیرمجاز در فرآیند هک ، خوب زمانیکه یک هکر تلاش می کند به یک دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
حمله کند و به داده ها و اطلاعات دسترسی پیدا کند بایستی
بصورت معمول از آسیب پذیری های موجود سوء استفاده کرده و یک نام کاربری و پسورد معتبر در شبکه را پیدا کند. اما همیشه هم بدست آوردن یک نام کاربری و رمز عبور معتبر با توجه
به آموزش هایی که تاکنون در ITPRO قرار گرفته است به معنی دسترسی کامل به شبکه و منابع آن نیست ، یعنی همیشه کاربری که دسترسی های سطح بالا و مدیریتی دارد آنقدر هم
ساده گیر یک هکر نمی افتد و این معمولا کاربران معمولی و با دسترسی پایین در شبکه هستند که به دلیل نداشتن دانش امنیت دچار اینگونه آسیب پذیری ها می شوند. به فرآیند افزایش
سطح دسترسی یک کاربر محدود و تبدیل کردن کاربر مورد نظر به یک کاربر مدیر در اصطلاح فنی Privilege Escalation گفته می شود. به مثال زیر توجه کنید که در آن یک هکر دسترسی های
یک کاربر معمولی در ویندوز سرور 2003 نسخه Service Pack 1 را بدست آورده است و برای مثال به دلیل آسیب پذیری این سیستم عامل با استفاده از ابزاری به نام ERunAs2x.exe می تواند
سطح دسترسی کاربر محدود را به کاربر SYSTEM که دسترسی به مراتب بیشتر از Administrator دارد ارتقاء بدهد :
nc.exe –l –p 50000 –d –e cmd.exe
با استفاده از دستور بالا و البته ابزار ERunAs2x.exe قابلیت cmd بر روی سیستم هدف با دسترسی کاربر SYSTEM باز می شود و این یعنی دسترسی ما به مراتب بیشتر از مدیر سیستم خواهد بود
با اینکار شما می توانید به تمامی منابع اطلاعاتی سیستم از جمله فایل ها و لاگ ها و اطلاعات شخصی و .. دسترسی پیدا کنید و برای دسترسی های بعدی تروجان ها و rootkit های خودتان را
نصب و اجرا کنید. فرآیند Privilege Escalation بصورت معمول به دو روش افقی و عمومی دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
انجام می شود که در ادامه به معرفی آنها می پردازیم :
Horizontal Privilege Escalation یا روش افقی : در حالت افقی کاربر مورد نظر تلاش به دسترسی به منابعی می کند که کاربر دیگری در همان سطح به آن منابع دسترسی دارد برای مثال شما در
بانکی حساب دارید و به عنوان یک مشتری بانکی تلقی می شوید و اگر کاربر دیگری بتواند به حساب های شما در همان لایه دسترسی پیدا کند دسترسی حالت افقی به وجود آمده است . تعریف ساده تر
یعنی اینکه دسترسی ها به لایه های کناری و هم لایه انجام می شود.
Vertical Privilege Escalation یا روش عمودی : در حالت عمودی دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
همانطور که از نامش هم پیداست کاربر با سطح دسترسی پایینتر تلاش می کند که دسترسی های سطح بالاتری را به دست بیاورد .
با توجه به مثال قبلی یک کاربر عادی بانک تلاش به دسترسی به حساب کاربری مدیر یک شبکه بانکی می کند که با داشتن دسترسی های مدیریتی قابلیت های بیشتری در شبکه بانکی را نیز به دست می آورد
اگر سابقه مدیریت شبکه داشته باشید به احتمال زیاد به برنامه هایی برخورد کرده اید که برای اینکه به درستی اجرا شوند بایستی با کاربر Administrator الزاما در سیستم فعالیت می کردند یا برای اینکه
بتوانند در شبکه با پایگاه داده ارتباط بگیرند حتما باید دسترسی مدیریتی به پایگاه داده به آنها داده شود ! خوب این چیزی است که برای کارشناسان امنیت یک کابوس است چراکه
به قول معروف امنیت دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
برابر ضعیف ترین Node شبکه است و این یعنی شما در یک ریسک امنیتی هستید. اما برویم سر اصل مطلب
تعریف Least Privilege تقریبا خیلی ساده است ، به هر کاربر تنها دسترسی هایی را بدهید که نیاز دارد ، نه بیشتر و نه کمتر ، همیشه در کلاس های امنیت اطلاعاتی که برگزار می کنم
برای دانشجوها یک مثال می زنم و می گویم که : اگر یک منشی قرار است فقط تایپ کند و پرینت بگیرد !! فقط به او دسترسی باز و بسته کردن و نوشتن و ذخیره کردن نرم افزار Office Word را بدهید
و حتی به نرم افزاری مثل Outlook هم دسترسی ندهید ! این می شود اصل حداقل بودن اختیارات که باعث آرامش خاطر شما امنیت کارها می شود.
آیا Least Privilege مختص فقط کاربران است ؟
پاسخ این موضوع قطعا خیر است ، ضمن اینکه شما باید برای کاربران حداقل دسترسی ها را در نظر بگیرید بایستی برای Process ها ، برنامه ها و سرویس ها نیز چنین محدودیت هایی را ببینید
توجه کنید که همه Process ها ، همه سرویس ها و همه نرم افزارها برای اینکه درست اجرا بشوند نیاز به دسترسی و Login به سیستم با یک نام کاربری و پسورد دارند و این دسترسی ها
بایستی حداقل ممکن باشد. منظور از دسترسی حداقلی به اطلاعات و منابع دسترسی است که کاربر را ناراضی نکند یعنی یک کاربر بتواند نیازهای تعریف شده خودش را برآورده کند. حتی
پیشنهاد می شود که یک مدیر سیستم یا System Administrator نیز در زمان استفاده از سیستم خودش با یک کاربر دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
محدود به سیستم Login کند
و برای انجام عملیات های مدیریتی سیستم صرفا از دسترسی های بالاتر استفاده کند.
مزایای Least Privilege چیست ؟
این سناریو را تصور کنید که همگی 1000 کاربر سازمان شما با اینکه عضو شبکه دومین هستند اما همگی بر روی سیستم خودشان عضو گروه Administrators هستند ! این یعنی اگر یک ویروس یا کد
مخرب خطرناک وارد سیستم یکی از این کاربران شود احتمال اینکه در شبکه به یکباره پخش شده و کل شبکه را آلوده کند بسیار زیاد است و اگر شما کاربر را محدود به استفاده از
منابع همان سیستم با دسترسی های حداقلی کرده باشید دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
کد مخرب نیز در محیط محدودتری اجرا و قابل ایزوله سازی می شود.
یا Least Privilege شما از تخریب های احتمالی نیز جلوگیری می کنید برای مثال اگر کاربری مسئول گرفتن Backup از پایگاه داده شما است قرار نیست بتواند دستکاری در اطلاعات شما
ایجاد کند و به همین دلیل می توانید سطح دسترسی حداقلی برای گرفتن Backup توسط یک کاربر تعریف کنید ! Least privilege به شدت درجه امنیتی سازمان شما را بالا می برد و
امکان سوء استفاده های احتمالی توسط کاربران را نیز بسیار کاهش می دهد. امیدوارم این مفهوم را به درستی درک کرده باشید و مثالی که زدم را همیشه به خاطر داشته باشید
اگر بصورت واژه ای ترجمه کنیم Privilege به معنی امتیازها و دسترسی ها و Escalation به معنی تشدید یا زیاد کردن یا بالا بردن ترجمه می شود و به زبان ساده ترکیب این دو واژه یعنی
بالا بردن سطح دسترسی توسط مهاجم بصورت غیرمجاز در فرآیند هک ، خوب زمانیکه یک هکر تلاش می کند به یک دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
حمله کند و به داده ها و اطلاعات دسترسی پیدا کند بایستی
بصورت معمول از آسیب پذیری های موجود سوء استفاده کرده و یک نام کاربری و پسورد معتبر در شبکه را پیدا کند. اما همیشه هم بدست آوردن یک نام کاربری و رمز عبور معتبر با توجه
به آموزش هایی که تاکنون در ITPRO قرار گرفته است به معنی دسترسی کامل به شبکه و منابع آن نیست ، یعنی همیشه کاربری که دسترسی های سطح بالا و مدیریتی دارد آنقدر هم
ساده گیر یک هکر نمی افتد و این معمولا کاربران معمولی و با دسترسی پایین در شبکه هستند که به دلیل نداشتن دانش امنیت دچار اینگونه آسیب پذیری ها می شوند. به فرآیند افزایش
سطح دسترسی یک کاربر محدود و تبدیل کردن کاربر مورد نظر به یک کاربر مدیر در اصطلاح فنی Privilege Escalation گفته می شود. به مثال زیر توجه کنید که در آن یک هکر دسترسی های
یک کاربر معمولی در ویندوز سرور 2003 نسخه Service Pack 1 را بدست آورده است و برای مثال به دلیل آسیب پذیری این سیستم عامل با استفاده از ابزاری به نام ERunAs2x.exe می تواند
سطح دسترسی کاربر محدود را به کاربر SYSTEM که دسترسی به مراتب بیشتر از Administrator دارد ارتقاء بدهد :
nc.exe –l –p 50000 –d –e cmd.exe
با استفاده از دستور بالا و البته ابزار ERunAs2x.exe قابلیت cmd بر روی سیستم هدف با دسترسی کاربر SYSTEM باز می شود و این یعنی دسترسی ما به مراتب بیشتر از مدیر سیستم خواهد بود
با اینکار شما می توانید به تمامی منابع اطلاعاتی سیستم از جمله فایل ها و لاگ ها و اطلاعات شخصی و .. دسترسی پیدا کنید و برای دسترسی های بعدی تروجان ها و rootkit های خودتان را
نصب و اجرا کنید. فرآیند Privilege Escalation بصورت معمول به دو روش افقی و عمومی دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
انجام می شود که در ادامه به معرفی آنها می پردازیم :
Horizontal Privilege Escalation یا روش افقی : در حالت افقی کاربر مورد نظر تلاش به دسترسی به منابعی می کند که کاربر دیگری در همان سطح به آن منابع دسترسی دارد برای مثال شما در
بانکی حساب دارید و به عنوان یک مشتری بانکی تلقی می شوید و اگر کاربر دیگری بتواند به حساب های شما در همان لایه دسترسی پیدا کند دسترسی حالت افقی به وجود آمده است . تعریف ساده تر
یعنی اینکه دسترسی ها به لایه های کناری و هم لایه انجام می شود.
Vertical Privilege Escalation یا روش عمودی : در حالت عمودی دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
همانطور که از نامش هم پیداست کاربر با سطح دسترسی پایینتر تلاش می کند که دسترسی های سطح بالاتری را به دست بیاورد .
با توجه به مثال قبلی یک کاربر عادی بانک تلاش به دسترسی به حساب کاربری مدیر یک شبکه بانکی می کند که با داشتن دسترسی های مدیریتی قابلیت های بیشتری در شبکه بانکی را نیز به دست می آورد
دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
