بخش سی و پنجم
آموزش رایگان سکیوریتی‌پلاس؛ نکات امنیتی که باید در مورد اشتراک‌گذاری پوشه‌ها به آن دقت کنید
سازمان‌ها معمولاً الزامات سختگیرانه‌ای در مورد نحوه استفاده از دستگاه‌های‌شان اتخاذ می‌کنند. هنگام مدیریت دستگاه‌های تلفن همراه سازمان‌تان، مهم است که با نظارت بر نحوه استفاده از دستگاه‌ها و جست‌وجوی نقض خط‌مشی، مطمئن شوید که خط‌مشی‌های سازمانی به‌درستی اجرا می‌شوند.

shabake-mag.jpg

برای مطالعه بخش قبل روی این آدرس کلیک کنید.

الزاماتی که مهم است در هنگام استفاده از تجهیزات سازمانی به آن‌ها دقت کنید

■   فروشگاه‌های نرم‌افزاری شخص ثالث: ممکن است سازمان شما بخواهد دسترسی به فروشگاه‌های نرم‌افزاری شخص ثالث را به‌عنوان روشی برای کنترل برنامه‌های نصب شده در دستگاه‌ها غیرفعال کند.

■   Rooting/jailbreaking: روت کردن یا جیلبریک زمانی است که کاربر دستگاه بتواند دسترسی ممتازی به دستگاه داشته باشد و دستگاه را به هر نحوی که می‌خواهد پیکربندی کند. مطمئن شوید که کاربران در ارتباط با دستگاه‌های سیار از تکنیک جیلبریک استفاده نمی‌کنند.

■   Sideloading : به نصب برنامه‌ها از منبعی غیر از فروشگاه‌های نرم‌افزاری استاندارد اشاره دارد. بسیاری از سازمان‌ها تلاش می‌کنند تا بارگذاری جانبی برنامه‌ها را به یک مکان مرکزی که توسط خود شرکت کنترل می‌شود محدود کنند.

■   ‌سفت‌افزار سفارشی: دستگاه‌های سازمانی همانند کامپیوترهای شخصی مجهز به سیستم عامل هستند و بنابراین باید هرچند وقت یکبار سفت‌افزار دستگاه‌ها ارتقا پیدا کند. مطمئن شوید که کارکنان از راه‌حل‌های خاص برای ارتقا سفت‌افزار دستگاه‌ها استفاده نمی‌کنند.

■   استفاده از دوربین: سازمان شما باید خط‌مشی در مورد این‌که آیا کارمندان مجاز به استفاده از دوربین‌های دستگاه تلفن همراه در محل کار هستند یا خیر تعیین کند. اگر استفاده از دوربین مجاز نیست (معمولاً به دلایل امنیتی)، باید دوربین‌ها را غیرفعال کنید. سازمان‌ها می‌توانند خط‌مشی‌هایی تدوین کنند که استفاده از دوربین در محیط شرکت ممنوع شود.

■   SMS/MMS/RCS: سازمان شما باید تصمیم بگیرد که آیا کارکنان باید از سرویس پیام کوتاه (SMS)، سرویس پیام‌رسانی چندرسانه‌ای (MMS) و خدمات ارتباطی غنی (RCS) دستگاه همراه استفاده کنند یا خیر. بسیاری از سازمان‌ها خط‌مشی‌هایی دارند که نشان می‌دهد چه زمانی کاربر مجاز به ارسال پیامک نیست (مثلاً هنگام رانندگی یا پیاده‌روی).

■   دستگاه‌های رسانه خارجی: به رسانه‌های خارجی مانند کارت‌های حافظه یا کارت‌های MicroSD قابل نصب در دستگاه‌های همراه اشاره دارد. برخی سازمان‌ها روی دستگاه‌های سیاری که در اختیار کارمندان خود قرار می‌دهند گزینه فوق را غیر فعال می‌کنند.

■    USB OTG : قابلیت OTG به مکانیزمی اشاره دارد که اجازه می‌دهد دستگاه‌های مختلف را به گوشی‌های هوشمند متصل کنید. به‌عنوان مثال، اگر دستگاه تلفن همراه یا تبلت شما کابل یو‌اس‌بی OTG پشتیبانی می‌کند، می‌توانید یک دستگاه ارتباطی مانند صفحه‌کلید یا ماوس را به آن متصل کنید و از تجهیزات جانبی همراه با دستگاه همراه خود استفاده کنید.

■   میکروفون ضبط: به دلایل مختلفی مثل حفظ حریم خصوصی، می‌توانید میکروفون دستگاه همراه سازمانی را برای کاربران غیرفعال کنید.

■   برچسب‌های GPS: به‌طور معمول، هنگامی که کاربران عکس‌هایی با گوشی‌های هوشمند می‌گیرند، اطلاعات موقعیت مکانی روی تصاویر قرار می‌گیرد، مطمئن شوید ویژگی فوق هنگام عکس‌برداری روی دستگاه‌های سیار سازمانی غیرفعال شده باشد. هکرها می‌توانند از این روش برای ردیابی موقعیت مکانی یک کارمند در صورت گرفتن عکس و آپلود آن‌ها در رسانه‌های اجتماعی استفاده کنند.

■   Wi-Fi direct/ad hoc: ممکن است بخواهید بر نحوه استفاده از ویژگی شبکه بی‌سیم نظارت کنید و کنترل کنید که آیا کاربر امکان اتصال پایدار به شبکه‌های بی‌سیم دارد یا این‌که اجازه دارد در حالت موقت به آن متصل شود. در حالت زیرساختی، مدیر کنترل می‌کند که چه کسی می‌تواند به شبکه متصل شود و کدام ویژگی‌های امنیتی بهتر است فعال باشند.

■   Tethering : زمانی است که تلفن‌هایتان را به یک درگاه USB لپ‌تاپ متصل می‌کنید و از اینترنت تلفن‌تان برای دسترسی به اینترنت در لپ‌تاپ‌تان استفاده می‌کنید. ممکن است بخواهید ویژگی‌های تترینگ را در دستگاه‌های تلفن همراه محدود کنید تا کاربران از رویکرد فوق برای برقراری یک ارتباط اینترنتی کنترل نشده استفاده نکنند. به‌کارگیری این تکنیک باعث می‌شود به محض اتصال تلفن همراه به لپ‌تاپ، دستگاه در معرض تهدیدات سایبری قرار گیرد.

■   ‌هات‌اسپات: شرکت‌ها ممکن است تصمیم بگیرند که ویژگی هات‌اسپات یا همان نقطه اتصال را در دستگاه تلفن همراه غیرفعال کنند. ویژگی هات‌اسپات به شما امکان می‌دهد دستگاه تلفن همراه خود را به یک هات اسپات بی‌سیم تبدیل کنید تا دیگران بتوانند به آن متصل شوند تا از طریق دستگاه تلفن همراه شما به اینترنت دسترسی داشته باشند. باز کردن هات اسپات در دستگاه تلفن همراه شما می‌تواند شما را در معرض حمله قرار دهد.

■   روش‌های پرداخت: امروزه کاربران می‌توانند با استفاده از فناوری‌هایی مثل NFC، انجام تراکنش‌ها را از روی دستگاه‌های همراه خود انجام دهند. در حالی که روش فوق خوب است، اما به هکرها اجازه می‌دهد با استفاده از روش‌هایی اقدام به شنود اطلاعات کنند.

مدل‌های استقرار

هنگامی که یک سازمان تصمیم می‌گیرد کارکنان از دستگاه‌های تلفن همراه برای انجام وظایف مرتبط با شغل استفاده کنند، سازمان می‌تواند یکی از چند روش مختلف زیر را برای ادغام دستگاه‌های تلفن همراه در محل کار انتخاب کند. از رایج‌ترین مدل‌های استقرار به‌ موارد زیر باید اشاره کرد:

■   دستگاه خود را بیاورید (BYOD): مدل Bring Your Own Device کاربران را تشویق می‌کند تا برای انجام فعالیت‌های سازمانی از دستگاه‌های تلفن همراه شخصی خود استفاده کرده و به شبکه شرکت متصل شوند. در حالی که مزیت روش فوق این است که سازمان می‌تواند از هزینه‌های خرید دستگاه‌های تلفن همراه جلوگیری کند، اما باید در مورد خط‌مشی و این‌که آیا سازمان تنظیمات امنیتی دستگاه را به درستی پیکربندی یا خیر تصمیم‌گیری کنید.

■   مالکیت شرکت، شخصی فعال (COPE) : از نظر امنیتی رویکرد Corporate-owned, personally enabled بهتر از مدل BYOD کار کند، زیرا کنترل دستگاه‌های شرکتی هنگامی که در اختیار کارمندان قرار می‌گیرد کار ساده‌ای نیست. با COPE، ​​شرکت دستگاه همراهی برای انجام کارها در اختیار کارمندان قرار می‌دهد، اما مدیریت دستگاه بر عهده بخش فناوری اطلاعات است.

■   دستگاه خود را انتخاب کنید (CYOD): در مدل Choose your own device کارمندان می‌توانند از فهرست دستگاه‌های تایید شده توسط سازمان، دستگاه مدنظرخود را انتخاب کنند. مزیتی که روش فوق دارد این است که کاربر دستگاه مدنظر خود را انتخاب می‌کند و سازمان نیز به انتخاب کاربر احترام گذاشته، اما همچنان روند نظارت بر دستگاه را اعمال می‌کند.

■   مالکیت شرکتی: در رویکرد Corporate-owned شرکت نظارت کامل و دقیقی بر دستگاه انجام می‌دهد و کارمندان نیز هنگام استفاده از دستگاه متعهد می‌شوند از خط‌مشی شرکت پیروی کنند.

نکته: برای آزمون سکیوریتی پلاس باید مورد مدل‌های مختلف استقرار دستگاه‌های تلفن همراه مانند BYOD، COPE و CYOD اطلاعات کافی داشته باشید.

■   زیرساخت دسک‌تاپ مجازی (VDI): زیرساخت دسک‌تاپ مجازی مدلی است که در آن کاربر از تین کلاینت برای اتصال به محیط دسک‌تاپ خود که در مرکز داده اجرا می‌شود، استفاده می‌کند. با VDI می‌توانید دستگاه تلفن همراه را به عنوان تین کلاینت معرفی کنید تا کاربر بتواند از هر جایی به محیط دسکتاپ خود دسترسی داشته باشد. مزیت این است که منابع که کاربر از آن‌ها استفاده کرده یا به آن‌ها متصل می‌شود روی دستگاه تلفن همراه نیست و روی سروری قرار دارد که توسط مکانیزم‌های امنیتی مدیریت می‌شود.

راه‌حل های مدیریت دستگاه تلفن همراه

از آن‌جایی که امروزه استفاده از دستگاه‌های تلفن همراه برای انجام کارهای تجاری امری طبیعی است، فناوری‌های زیادی وجود دارند که کمک می‌کنند به شکل بهتری امنیت دستگاه‌ها را تضمین کنید. از جمله این راه‌حل‌های امنیتی به موارد زیر باید اشاره کرد:

■   MicroSD Hardware Security Module : یک ماژول امنیتی سخت‌افزار MicroSD HSM یک ماژول امنیتی سخت‌افزاری ویژه است که به شکل کارت MicroSD ارائه می‌شود. این ماژول امنیتی خدمات امنیتی مانند رمزگذاری، امضای دیجیتال، احراز هویت و مدیریت چرخه حیات کلید امنیتی را ارائه می‌دهد.

■   MDM/Unified Endpoint Management : سازمان‌ها می‌توانند به‌طور متمرکز همه دستگاه‌های تلفن همراه را مدیریت کنند و با نرم‌افزار مدیریت دستگاه همراه (MDM) خط‌مشی‌ها را در دستگاه‌های تلفن همراه اعمال کنند. این قابلیت را می‌توان با نرم‌افزار Unified Endpoint Management  گسترش داد که به شرکت اجازه می‌دهد تمام دستگاه‌های نقطه پایانی، از جمله دستگاه‌های تلفن همراه، لپ‌تاپ‌ها و سیستم‌های دسکتاپ را مدیریت کند.

■    Mobile Application Management: زمانی است که یک شرکت از نرم‌افزار سازمانی برای مدیریت متمرکز برنامه‌های در حال اجرا در دستگاه‌های تلفن همراه استفاده می‌کند. این شامل تحویل برنامه‌ها به دستگاه، به‌روزرسانی برنامه‌ها، و پیاده‌سازی امنیت برنامه از یک نقطه مرکزی است.

امنیت داده‌ها

بخش بزرگی از ایمن‌سازی سیستم‌ها این است که اطمینان حاصل شود داده‌های یک سیستم یا دستگاه در برابر دسترسی افراد غیرمجاز محافظت می‌شوند. شما باید از داده‌ها به روش‌های مختلفی به شرح زیر محافظت کنید:

■   File permissions: می‌توانید کنترل کنید چه کسی به چه فایل‌هایی دسترسی دارد تا در شرایط عادی از دسترسی افراد غیرمجاز به فایل‌ها جلوگیری شود.

■   رمزگذاری: برای اطمینان از محرمانه بودن اطلاعات و محافظت در برابر استفاده غیرمجاز، داده‌های موجود در فضای ذخیره‌سازی را رمزگذاری کنید. اگر داده‌ها را رمزگذاری کنید و یک فرد غیرمجاز به فایل دسترسی پیدا کند، فقط متن رمزگذاری شده را می‌بیند و نمی‌تواند اطلاعات را رمزگشایی کند.

■   پیشگیری از دست دادن داده (DLP): مکانیزم پیشگیری از دست دادن داده نرم‌افزار یا سخت‌افزاری است که برای تجزیه و تحلیل اطلاعات خروجی سازمان طراحی شده است تا اطمینان حاصل شود که اطلاعات حساس درز نمی‌کند. DLP را می‌توان برای نظارت بر ترافیک شبکه و شناسایی اطلاعات حساس ارسال شده از طریق پیام‌رسان فوری، ایمیل یا پروتکل‌هایی مانند HTTP و FTP پیاده‌سازی کرد. DLP همچنین می‌تواند داده‌ها را در فضای ذخیره‌سازی تجزیه و تحلیل کند تا مطمئن شود اطلاعات حساس در مکان اشتباه ذخیره نمی‌شوند.

مجوزهای فایل ویندوز

در سیستم عامل‌های ویندوز، می‌توانید پوشه‌ها و فایل‌ها را به گونه‌ای ایمن کنید که فقط کاربران خاصی بتوانند به پوشه‌های خاصی دسترسی داشته باشند. به عنوان مثال، شما می‌خواهید مطمئن شوید که فقط حسابداران می‌توانند به پوشه حسابداری دسترسی داشته باشند.

دو مرحله برای ایمن‌سازی پوشه‌ها در سرور ویندوز وجود دارد: پوشه را با مجوزهای NTFS ایمن کنید و سپس وقتی پوشه را در شبکه به اشتراک می‌گذارید، مجوزهای اشتراک‌گذاری را تنظیم کنید. اشتراک‌گذاری پوشه در شبکه مکانیزمی است که به کلاینت‌ها اجازه می‌دهد به پوشه‌های اشتراک‌گذاشته شده دسترسی پیدا کنند. کاربران فقط هنگام اتصال به سرور می‌توانند به پوشه‌های مشترک متصل شوند. لیست زیر خلاصه‌ای از مجوزهای NTFS و نکات مربوط به اشتراک‌گذاری را شامل می‌شود:

■   NTFS permissions :  این مجوزها فقط برای پارتیشن‌های NTFS قابل استفاده هستند. اگر از NTFS استفاده نمی‌کنید، می‌توانید با دستور convert <drive_letter> /fs:ntfs فرآیند تبدیل FAT یا FAT32 به NTFS را انجام دهید. هنگامی که مجوزهای NTFS را تنظیم کردید، زمانی که کاربر تصمیم می‌گیرد به پوشه‌ها دسترسی پیدا کند بر مبنای مجوز تعیین شده قادر به دسترسی خواهد بود.

■   Sharing: اشتراک‌گذاری پوشه قابلیتی است که برای اشتراک‌گذاری پوش‌ها با کلاینت‌های تحت شبکه در اختیار سرپرستان شبکه قرار دارد. وقتی پوشه‌ای را به‌اشتراک می‌گذارید باید مجوزهای اشتراک را نیز مشخص کنید. به یاد داشته باشید که وقتی مجوزهای NTFS با مجوزهای پوشه اشتراکی تضاد داشته باشند، محدودترین مجوز اعمال می‌شود. به‌عنوان مثال، اگر مجوز NTFS Modify و مجوز اشتراک‌گذاری را در حالت Read قرار دهید، وقتی کاربران از طریق مکانیزم اشتراک‌گذاری به آن پوشه دسترسی پیدا می‌کنند، مجوز Read برای آن‌ها اعمال می‌شود، زیرا محدودتر است.

نکته: وقتی مجوزهای NTFS با مجوزهای پوشه‌های اشتراک‌گذاری شده در تضاد باشند، محدودترین مجوزها اعمال می‌شود.

NTFS Permissions:  برای ایمن‌سازی پوشه‌ها باید با اطلاعات خود در ارتباط با مجوزهای NTFS را بیشتر کنید. مجوزهای پر کاربرد NTFS در شکل زیر نشان داده شده است.

Shared Folder Permissions: پس از ایمن‌سازی پوشه‌ها با مجوزهای NTFS، آماده هستید که پوشه را در شبکه به‌اشتراک قرار دهید، اما هنوز یک کار دیگر باقی مانده که انجام دهید. هنگام اشتراک‌گذاری پوشه‌ها، باید مجوزهای پوشه‌های اشتراکی را پیکربندی کنید. هنگام ایمن‌سازی پوشه‌هایی که باید در شبکه به‌اشتراک گذاشته شوند باید با چند مجوز قابل استفاده در ارتباط با پوشه‌های اشتراکی آشنا باشید. توجه داشته باشید که وقتی مجوز اشتراک‌گذاری روی یک پوشه اعمال می‌شود، برای همه زیرپوشه‌ها اعمال می‌شود. به‌عنوان مثال، اگر پوشه داده‌ای را به اشتراک بگذارید و کاربران مجوز Change را داشته باشند، هنگامی که روی یک زیرپوشه دوبار کلیک کنند، همچنان آن مجوز در اختیار آن‌ها قرار دارد. در صورت نیاز برای تغییر مجوزها در هر سطح زیرپوشه بهتر است از NTFS استفاده کنید. مجوزهای قابل استفاده برای پوشه‌ها در شکل زیر نشان داده شده است:

در شماره آینده مبحث فوق را ادامه می‌دهیم.

 

برای مطالعه تمام قسمت‌های آموزش سکوریتی پلاس اینجا کلیک کنید.


معرفی آموزشگاه شبکه و امنیت

تهران: آموزشگاه عصر رایان شبکه

مهندس اطلاعات 

تلفن: 02188549150           کانال: Asrehshabakeh@


تبلیغات لینکی: 

سایت استخدام

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

ایسوس

نظر شما چیست؟