راه اندازی و نگهداری یک شبکه نسبتا بزرگ

**mmj** · 2011-07-20, 03:13 PM

ببینید جناب راستی، شما 200 تا نود دارید که به اینترنت و سایر عوامل ورود ویروس (مثل USB) دسترسی دارند و از طرفی به دلیل تفاوت سخت افزار و نرم افزارهاشون، نمی تونید از یک ایمیج برای بازگردوندن سیستم عاملشون استفاده کنید. راه حل پیشنهادی بنده هم بر همین اساس استوار بود:
سعی کنید با استفاده از حذف دسترسی Admin از تمام کلاینت ها، استفاده از آنتی ویروس بروز، بروز رسانی ویندوزها و اعلام برخی از محدودیت ها از طریق GP سعی کنید احتمال خرابی نرم افزاری سیستم ها را به حداقل برسانید. در غیر اینصورت همانطور که اشاره کردید، آماده سازی مجدد سیستم ها از شما انرژی زیادی خواهد گرفت.

**M-r-r** · 2011-07-20, 06:36 PM

نوشته اصلی توسط ghobar

آقای راستی چرا از کمپیوترها بک آپ نمیگیرید ؟ فکر میکنم در کمترین وقت میتونید تمام برنامه های نصب شده + ویندوز رو با بک آپ بیارید بالا .

بک آپ از 200 نود که تقریبا هر 20 عدد اونها مشابه هست؛ هم مستلزم صرف وقت هست، هم هزینه ی فضا برای نگهداری بک آپ ها. نگهداری و بازیابی بک آپ ها هم هزینه و وقت نیاز داره.

اما اگه بشه یه پوینت مرکزی ایجاد و از اون محل، نصب و راه اندای انجام بشه، وضعیت خیلی بهتر خواهد بود.

نوشته اصلی توسط mmj

ببینید جناب راستی، شما 200 تا نود دارید که به اینترنت و سایر عوامل ورود ویروس (مثل USB) دسترسی دارند و از طرفی به دلیل تفاوت سخت افزار و نرم افزارهاشون، نمی تونید از یک ایمیج برای بازگردوندن سیستم عاملشون استفاده کنید. راه حل پیشنهادی بنده هم بر همین اساس استوار بود:
سعی کنید با استفاده از حذف دسترسی Admin از تمام کلاینت ها، استفاده از آنتی ویروس بروز، بروز رسانی ویندوزها و اعلام برخی از محدودیت ها از طریق GP سعی کنید احتمال خرابی نرم افزاری سیستم ها را به حداقل برسانید. در غیر اینصورت همانطور که اشاره کردید، آماده سازی مجدد سیستم ها از شما انرژی زیادی خواهد گرفت.

دسترسی همه کاربران محدود هست، اما دسترسی به اینترنت و فلش، برای خرابی/خرابکاری کافیه !
در حال حاضر، بروز خرابی ها، به حداقل رسیده، تقریبا هر 15 روز یه نود داریم که 100% از مدار خارج شده. رفع این خرابی، گاه تا 2 روز زمان میبره؛
هدف عمده، کاهش این زمان رفع خرابی هست، یا به حداقل رساندن پروسه مورد نیاز برای این امر.

**jozef** · 2011-07-20, 09:08 PM

دوست گرامی

شما خودتان تقریبا بیشتر راه حل های موجود را ارائه کردید و به طور عمومی ممکنه روشهایی که توسط دوستان پیشنهاد میگردد تنها در جزئیات با روش شما تفاوت داشته باشد
مثلا در شرایط مشابه به نظر من استفاده از Norton Ghost نسبت به Acronis از ارجهیتهایی برخوردار است که خوب قابل موضوع نیز قابل بحث میباشد ....

تنها نکته ای که شاید بتواند جهت حفظ سیستمها از مشکل مورد استفاده شما قرار گیرد تجربه موردی مشابه ( البته با تعداد کمتری از کلاینتها ) به مورد موفقیت آمیزی از ترکیب نرم افزارها منجر گردید که در طی بیشتر از سه سال تنها یک مورد از آلودگی غیر فعال در آنها مشاهده گردد

موارد عمومی رعایت شده
استفاده از ویندوز XP و آپدیت شده تا آخرین مرحله
Costomize ویندوز توسط nLite یا یکی از نرم افزارهای مشابه
حذف فایلهای زائد توسط Privacy Shield یا نرم افزاری مشابه
دیفرگمنت ویندوز در زمان اسکرین سیور
....

و اما کلیدی ترین نکته که استفاده از نرم افزارهای امنیتی میباشد :

بستن USB در سیستمهایی که مورد استفاده قرار نمیگیرد با نرم افزار Mblock
استفاده از نرم افزاز usb disk security برای سیستمهایی که استفاده از USB در آنها ضروری میباشد

استفاده از بسته ESET Smart Security 4.2.71.2 + یکی از نرم افزارهای HIPS

دوست عزیز چنانکه عرض کردم در نمونه آزمایش شده توسط نگارنده ترکیب ESET Smart Security و Process Guard چنان ترکیب پایدار و شکست ناپذیری از امنیت ایجاد مینماید که شاید از نظر حتی بسیاری از عزیزان با تجربه باورنکردنی باشد .

Process Guard یک نرم افزار لیست سفید محافظتی میباشد که میتواند در سطح کرنل اجرا فایلهای com و exe و dll و .... را کنترل نماید .

لازم به ذکر میباشد که بر خلاف کنترل ویندوز که شامل بسیاری از موارد امنیتی نمیگردد Process Guard میتواند حتی اجرا سرویسهای ضروری ویندوز و عملکرد تا 99.9 درصد از بدافزارها را نیز متوقف نماید بنابر این نصب اولیه آن اندکی مشکل میباشد و به محض نصب و برای اولین بار لازم است با استفاده از Learning Mode ابتدا خود نرم افزار !!! و سپس نرم افزارهای ضروری دیگر را وارد لیست سفید نماییم . کوچکترین بی دقتی در این مورد میتواند به شرایطی منجر گردد که لاجرم از نصب مجدد سیستم عامل گردیم

غیر Process Guard استفاده از HIPS های دیگر نیز امکانپذیر میباشد و نرم افزارهایی چون Anti Hook و Pro Security و ..... میتواند مورد استفاده قرار گیرد

متاسفانه در مورد نرم افزارهای HIPS حتی به زبان انگلیسی نیز منابع اندکی موجود میباشد ولی کاملترین منبعی که طی چند سال توسط نگارنده مشاهده گردیده وبلاگ شخصی

کد:

http://kareldjag.over-blog.com

میباشد که آن هم متاسفانه با وجود تلاش بسیاری که صرف پدید آمدن آن گردیده چند سالی است که آپدیت نشده است .

**geuomtel** · 2011-07-22, 02:10 PM

سلام دوست عزیز میشه بگی hips چیه؟

**jozef** · 2011-07-22, 02:32 PM

نوشته اصلی توسط geuomtel

سلام دوست عزیز میشه بگی hips چیه؟

البته دوست عزیز این تاپیک برای پاسخ شما مکان مناسبی نیست ولی با اجازه آقای راستی :

HIPS مخفف کلمات Host Intrusion Protection System به معنی محافظت از دسترسی غیر مجاز به میزبان و به گروه مهمی از نرم افزارهای امنیتی اطلاق میگردد که به منظور محافظت از اعمال مخرب و یا اشتباه کاربران در حذف محدودیتهای وضع شده توسط سرپرست Administrator طراحی گردیده باشند .
متاسفانه با وجود اهمیت نسبی نرم افزارهای فوق ، به این دسته از نرم افزارها خصوصا در زبان فارسی بسیار کم بها داده شده است چنانکه با وجود یک دهه حضور فعال هموطنان عزیزمان در عرصه Internet ، به جز چند اشاره گذرا در کمتر سایتی سخنی از آنها به میان آمده است .
از جایی HIPS در گروه Firewall ها و به عنوان نرم افزارهای مکمل طبقه بندی میشوند ، در ایتدا لازم است سخن مختصری پیرامون ، تعاریف ، وظایف و شرح مشکلات کنونی دیوارهای آتش ، بیان گردد .

Firewall یا دیوار آتش به نرم افزار و یا سخت افزاری گفته میشود که سطح دسترسی به سیستم را برای عوامل خارجی و یا داخلی ، تعریف نماید.
فایروالها به دو دسته بزرگ سخت افزاری و یا نرم افزاره تقسیم میگردند.
فایروالهای سخت افزاری بسیار سریع و پایدار میباشند ولی در مقام مقایسه از قیمت بالاتر و قابلیت انعطاف کمتر برخوردار میباشند . بیشتر فایروالهای سخت افزاری دارای طراحی یک سویه میباشند و از وظایف HIPS به هیج وجه پشتیبانی نمی نمایند .
منظور از وظایف یک سویه ، اصطلاح مقابل Two-Way Firewall به معنی اجرای کامل وظایف تعیین سطح دسترسی ، هم در مقابل عوامل خارجی و هم در مقابل عوامل داخلی میباشد . که در اغلب طراحی ها متاسفانه به عوامل غیر مجاز داخلی توجه چندانی نمیگردد.
در حقیقت در بیشتر نرم افزارهای دیوار آتش کاملا حرفه ای نیز کنترل سطح دسترسی کاربران ، تا حد زیادی فراموش گردیده و این گونه تنظیمات در غالب موارد ، در شبکه های Client Server توسط سرویس Active Directory و در شبکه های Workgroup توسط نرم افزارهای ویژه تعیین سطح دسترسی در ویندوز ، صورت میگیرد.

با فرض رفتار صحیح و دقیق استفاده کنندگان از سیستم ، بدون وجود مشکل خاصی میتوان با استفاده از همین روشها ، شبکه و یا سیستم مورد نظر را به خوبی کنترل نمود .در حقیقت مشکلات اصلی از زمانی آغاز میگردد که بخشی از کاربران به منظور فرار از محدودیتهای وضع شده توسط سرپرستی به اقدامات غیر معمول و بعضا مخرب توسل جویند. و یا اشتباه انسانی در استفاده غیر صحیح از منابع منجر به دسترسی نرم افزارهای مخرب به سیستم گردد.
وظایف نرم افزارهای HIPS پشتیبانی از این وظایف فراموش شده فایروالها و پوشش نقصهای ذاتی سیستم عامل در حمایت از عدم نقض محدودیتهای تعیین شده میباشد.
به عنوان مثال اگر محدودیتهای سطح کاربری را به پارتشینها و درب های جدا کننده بخشهای مختلف یک منزل تشبیه کنیم نرم افزارهای HIPS را میتوان به مثابه تسمه های فولادی تقویت کننده قفلها ، لولا ها و اتصالات تشبیه کرد .
یکی از بزرگترین دلایل نیاز به این گروه از نرم افزارها ضعف سیستم عامل ویندوز در عدم وجود کنترل مناسب بر فایلهای اجرایی میباشد . با بهره گیری از این نقص حتی با کمترین سطح دسترسی به سیستم عامل میتوان توسط اجرا یک Application یا فایل اجرایی exe به سهولت امکان دسترسی به Command Prompt ، Registry ، .... را فراهم آورد و یا User جدیدی با سطح دسترسی Admin به وجود آورد .
اجرا این قبیل نرم افزارها با محدودیت نصب نرم افرار که توسط برخی از سیستمها اعمال میگردد متفاوت میباشد و به طوری که ذکر آن رفت در فرآیند فوق در بسیار از موارد و فقط با یک کلیک قابل اجرا میباشد .
اصلی ترین وظیفه نرم افزارهای HIPS تعریف کلیه Process قابل اجرا ، حتی در سطح سرویسهای سیستم عامل میباشد .

در قسمت دوم این گفتار ابتدا به وظایف این گروه از نرم افزارها به صورت تفصیلی میپردازیم و سپس به معرفی نرم افزارهایی که صرفا به چنین منظوری طراحی گردیده اند خواهیم پرداخت .

**raha_rasa** · 2011-07-22, 04:35 PM

پس از راه اندازی دامین یکی از بهترین نرم افزارهایی که میتونید برای مدیریت شبکتون ازش استفاده کنید نرم افزار devicelock است.

DeviceLockنرم افزاري است که به مدیران سیستم ها اجازه می دهد براي پورت
نوار هاي مغناطیسی ، CD-ROM و Floppy درایو هاي ، Bluetooth و Wi-Fi آداپتورهاي ، FireWire و USB هاي
و سایر تجهیزات قابل نصب بر روي کامپیوتر ها حق دسترسی تعریف نمایند و تعیین کنند که چه کسانی ، تحت چه شرایطی،
در چه زمان هایی و براي چه مقاصدي حق استفاده از تجهیزات فوق را بر روي یکی از کامپیوترهاي متصل به شبکه دارند ...
در ویندوزهای سرور 2003 و 2008 امکان یکپارچه سازی این نرم افزار با active directori وجود داره که باعث میشه این نرم افزار به عنوان یک کنسول مدیریتی مجزا در Group Policy Management اضافه شده و مدیریت کاربران و شبکه رو آسونتر میکنه
قابلیت های خیلی بیشتری داره که مجال گفتن نیست ولی جهت آشنایی میتونید از لینک زیر نسخه آزمایشی رو دانلود و بررسی کنید .

Download DeviceLock - portable storage and port control solution for Windows

موفق باشید.

**geuomtel** · 2011-07-22, 10:35 PM

نوشته اصلی توسط jozef

ا
در قسمت دوم این گفتار ابتدا به وظایف این گروه از نرم افزارها به صورت تفصیلی میپردازیم و سپس به معرفی نرم افزارهایی که صرفا به چنین منظوری طراحی گردیده اند خواهیم پرداخت .

متشکرم
بسیار مفید بود بی صبرانه منتظر قسمت دوم هستم

**M-r-r** · 2011-07-23, 09:14 AM

ممنونم از دوستان عزیزم که اطلاعات مفیدشون رو در اختیار بنده و سایرین قرار میدن.
امیدوارم در ادامه هم، مطالب مفیدی داشته باشیم که برای همه کاربری داشته باشه.

مجددا متشکرم.

موضوع: راه اندازی و نگهداری یک شبکه نسبتا بزرگ

پیوند

ابزارهای موضوع

نمایش

hips

راه حل نرم افزاری جهت مدیریت شبکه

کلمات کلیدی در جستجوها:

راه اندازی sccm

نصب و راه اندازی sccm

راه اندازی اتوماسیون اداری

برچسب برای این موضوع

مجوز های ارسال و ویرایش