دوره آموزشی مجازی MCSE, MCSA 2003

[silas]

سلام
با تشکر از مطالب خوب و مفیدتون
این پست شما در مورد ویژگیهای NTFS بود. خواستم جسارتا یک موضوع کوچکی رو بگم.

یکی از ویژگیهای سیستم فایل NTFS، قابلیت USN هست (unique sequence number). یعنی قرار دادن نسخه برای آبجک ها. برای همین باید درایوی که دیتابیس اکتیو دایرکتوری قرار می گیرد باید NTFS باشد. (اکتیو دایرکتوری از ویژگی USN برای آبجکت ها استفاده می کند برای عمل replication و تعیین آخرین نسخه آبجکت)

می خواستم ببینم آیا این مطلب بنده درست است یا خیر؟

ببخشید که وسط درستون جسارت کردم
ممنون از مطالب مفیدتون

[th95]

سلام
با تشکر از مطالب خوب و مفیدتون
این پست شما در مورد ویژگیهای NTFS بود. خواستم جسارتا یک موضوع کوچکی رو بگم.

یکی از ویژگیهای سیستم فایل NTFS، قابلیت USN هست (unique sequence number). یعنی قرار دادن نسخه برای آبجک ها. برای همین باید درایوی که دیتابیس اکتیو دایرکتوری قرار می گیرد باید NTFS باشد. (اکتیو دایرکتوری از ویژگی USN برای آبجکت ها استفاده می کند برای عمل replication و تعیین آخرین نسخه آبجکت)

می خواستم ببینم آیا این مطلب بنده درست است یا خیر؟

ببخشید که وسط درستون جسارت کردم
ممنون از مطالب مفیدتون

اولا که تو رو خدا این جوری حرف نزنید
لطف کردید که این مطلب رو اضافه کردید
این رو هم بگم ارزش این پست به پاسخهایی مثل اینه که هر چه بیشتر اون رو غنی تر و به روز تر بکنه
امیدوارم کم کم طرفدارهای قدیمی هم که با این وقفه فاصله گرفتند برگردند و این آموزش یه چیز درست و درمون از آب دربیاد

به نکته خیلی خوبی اشاره کردید فقط جسارتا فکر کنم Unique نیست بلکه خاصیت Update Sequence Number Journal یا USN journal هستش

USN Journal (shorthand form of Update Sequence Number Journal, also known as Change Journal)[1] is a function of recording the changes on NTFS volumes


که این دو تا لینک هم در موردش چیزهای خوبی ارائه کرده اند :

USN Journal - Wikipedia, the free encyclopedia
Active Directory Replication

[th95]

خوب با تشکر بی کران از سپاس های فراون شما و از اینکه ماشا ا.. همه به سوالاتی که گذاشته بودیم جواب دادند بحث رو ادامه بدیم.

خوب ! ببینیم چه کسی می تواند فایل ها را رمزگذاری یا Encrypt کند ؟

به صورت کلی میتوان گفت Administrators، مالک فایل و در کل کسی که سه مجوز زیر را نسبت به فایل داشته باشد می تواند آن را Encrypt کند :

List Folders, Read Data

Create Files, Write Data

Write Attributes

خوب ! چه کسی می تواند آن را رمزگشایی یا Decrypt کند ؟

پاسخ : فقط کسی که آن را Encrypt کرده است

نکته اول : اگر یوزری فایل را Encrypt کرد و بعد آن را پاک کردیم، حتی اگر با مشخصات قبلی اش باز هم آن را بسازیم نمیتواند Decrypt کند. باید از قبل Recovery Agent درست کرده باشیم یا شاید برنامه های 3rd Party کمک کنند.

نکته دوم : اگر کاربر رمزش را فراموش کند و آن را Reset Password کنیم باز هم نمیتواند به فایلهای رمز شده اش دسترسی داشته باشد مگر آن که رمز دقیقا همان رمز قبلی ست شود. البته اگر خودش Change Password کند مشکلی نیست.

نکته سوم : مالک (Owner) فایل را عوض کرده ایم. مالک جدید می تواند Decrypt کند ؟ پاسخ : خیر

نکته چهارم : در ویندوز 2000 و ایکس پی (بقیه را شما تحقیق کنید) نمیتوان فایل را هم Compress و هم Encrypt کرد.

نکته پنجم : فایلهای Encrypted در ویندوز ایکس پی با رنگ سبز و فایلهای Compressed با رنگ آبی نشان داده می شودند. برای غیر فعال کردن این قضیه می توانید از Folder Option تیک گزینه زیر را بردارید.

Show Encrypted and Compressed NTFS Files in Color

نکته ششم را داشته باشید : اگر فولدری Encrypt بشود، هر فایلی داخل آن کپی یا ذخیره کنیم خود به خود رمز گذاری می شود. ضمنا اگر یک فایل Encrypted را copy یا move کنیم در همان حالت رمز شده باقی می ماند.

نکته هفتم را هم ببینیم که جالب است. فایل رمز شده را اگر بخواهید روی فلاپی یا درایوی با FAT32 کپی کنید به این خیال که خوب دیگر NTFS نیست و می توان آن را باز کرد شرمنده. البته خود کسی که فایل را رمز کرده می تواند این کپی را انجام بدهد و طبیعی است که بعد از آن خاصیت Encrypt از بین می رود.

خوب ! کمی هم فشرده سازی یا Compress را بررسی کنیم.

چه کسی می تواند فایل را Compress کند ؟

کسی که نسبت به آن مجوز write داشته باشد.

نکته اول : مثل حالت رمز گذاری، اگر شاخه ای Compress باشد، فایلهای ذخیره شده یا کپی شده به داخل آن هم Compress می شوند.

نکته دوم : اگر فایل Compress شده را Cut کنیم، Compress باقی می ماند اما اگر آن را کپی کنیم، شرایط مقصد تعیین کننده وضعیت آن خواهد بود.

نکته سوم : فشرده شدن فایلها در ویندوز Transparent است. یعنی همانطور که فشرده شده اند آنها را می بینید و با آنها کار می کنید نه مثل فایلهای Zip که باید اول باز شوند بعد استفاده گردند.

نکته چهارم : یادتان باشد ویندوز در فشرده کردن فایلهای گرافیکی مانند PNG,JPG,GIF بسیار ضعیف عمل می کند. (این فایلها کلا زیاد فشرده نمی شوند) و برای فشرده سازی آنها باید از برنامه های مخصوص مانند فوتوشاپ استفاده شود.

نکته پنجم : نکن برادر من نکن ! فایلهای اجرایی خصوصا آنهایی که زیاد باید اجرا شوند را فشرده نکن که کندی محسوسی را تجربه خواهی کرد.

دستوری در خط فرمان :

دستور Cipher به شکل خط فرمانی می تواند فایلها را Encrypt یا Decrypt کند. این دستور پیش فرض روی فولدر کار می کند و برای فایلها باید از سوییچ /a استفاده کنید. البته فایلهای فقط خواندنی را نمیتوان با این دستور Encrypt کرد

سوییچ E فایل را Encrypt و سوییچ D هم Decrypt می کند.

مثال : فایل 1.txt را می خواهیم رمزگذاری کنیم.

Cipher /a /e c:\1.txt

کل پارامترهای دستور را اینجا می بینید. البته لینک زیر هم باحال است :

Use Cipher for robust command line encryption of client data

Cipher

Displays or alters the encryption of folders and files on NTFS volumes. Used without parameters, cipher displays the encryption state of the current folder and any files it contains.

Syntax

cipher [{/e|/d}] [/s:dir] [/a] [/i] [/f] [/q] [/h] [/k] [/u[/n]] [PathName [...]] | [/r:PathNameWithoutExtension] | [/w:PathName]

[IMG]file:///J:/DOCUME%7E1/MR2/LOCALS%7E1/Temp/msohtmlclip1/01/clip_image001.gif[/IMG]Top of page

Parameters

/e : Encrypts the specified folders. Folders are marked so that files that are added to the folder later are encrypted too.

/d : Decrypts the specified folders. Folders are marked so that files that are added to the folder later are encrypted too.

/s: dir : Performs the selected operation in the specified folder and all subfolders.

/a : Performs the operation for files and directories.

/i : Continues performing the specified operation even after errors occur. By default, cipher stops when it encounters an error.

/f : Forces the encryption or decryption of all specified objects. By default, cipher skips files that have been encrypted or decrypted already.

/q : Reports only the most essential information.

/h : Displays files with hidden or system attributes. By default, these files are not encrypted or decrypted.

/k : Creates a new file encryption key for the user running cipher. If you use this option, cipher ignores all of the other options.

/u : Updates the user's file encryption key or recovery agent's key to the current ones in all of the encrypted files on local drives (that is, if the keys have been changed). This option only works with /n.

/n : Prevents keys from being updated. Use this option to find all of the encrypted files on the local drives. This option only works with /u.

PathName : Specifies a pattern, file, or folder.

/r:PathNameWithoutExtension : Generates a new recovery agent certificate and private key, and then writes them to files with the file name specified in PathNameWithoutExtension. If you use this option, cipher ignores all of the other options.

/w:PathName : Removes data on unused portions of a volume. PathName can indicate any directory on the desired volume. If you use this option, cipher ignores all of the other options.

/? : Displays help at the command prompt.

[IMG]file:///J:/DOCUME%7E1/MR2/LOCALS%7E1/Temp/msohtmlclip1/01/clip_image001.gif[/IMG]Top of page

Remarks

•
Using /w
/w removes data from portions of the volume it can access and have not been allocated to files or directories. It does not lock the drive, so other programs can obtain space on the drive, which cipher cannot erase. Because this option writes to a large portion of the hard volume, it might take a long time to complete and should only be used when necessary.
•
Encrypting or decrypting files
To prevent an encrypted file from becoming decrypted when it is modified, it is recommended that you encrypt both the file and the folder in which it resides.
•
Using read-only files and folders
Cipher cannot encrypt files that are marked as read-only.
•
Using multiple folder names
You can use multiple folder names and wildcard characters.
•
Using multiple parameters
You must separate multiple parameters by at least one space.

[IMG]file:///J:/DOCUME%7E1/MR2/LOCALS%7E1/Temp/msohtmlclip1/01/clip_image001.gif[/IMG]Top of page

Examples

To use cipher to encrypt a subfolder named May in a folder named MonthlyReports, type:

cipher /e monthlyreports\may

To encrypt the MonthlyReports folder, the January through December subfolders, and the Manufacturing subfolders within the month subfolders, type:

cipher /e /s:monthlyreports

To encrypt only the Marketing.xls file in the May subfolder, type:

cipher /e /a monthlyreports\may\marketing.xls

To encrypt the Marketing.xls file, the Maintenance.doc file, and the Manufacturing subfolder (located in the May folder), type:

cipher /e /a monthlyreports\may\ma*

To determine whether the May folder is encrypted, type:

cipher monthlyreports\may

To determine which files in the May folder are encrypted, type:

cipher monthlyreports\may\*

میدونم جلسه کوتاهی شد اما اجازه بدید بحث همینجا بمونه تا جلسه بعد به سراغ Remote Desktop بریم و بحثها قاطی نشن. باز هم از دوستان خواهش میکنم نکات تکمیلی رو اضافه بفرمایند و احیانا اگر سوالی هست هم در خدمتیم.

*****

آهان ! اجازه بدید یک مطلب مهم دیگر رو هم اضافه کنیم یعنی ساختن یوزری که بتواند در صورت لزوم فایلهای بقیه را رمزگشایی کند که اصطلاحا آن را با نام Data Recovery Agent یا DRA می شناسیم.

در ویندوز 2000، کاربر Administrator به صورت پیش فرض این قدرت را داشت اما در XP Pro این گونه نیست و اگر چنین قابلیتی میخواهید، باید آن را دستی ایجاد کنید. ضمنا به یاد داشته باشید فعلا داریم در مورد Workgroup حرف می زنیم نه Domain

برای دادن این قابلیت به یک کاربر به طریق زیر عمل می کنیم.

1- با یوزر مربوطه مثلا Amin دستور Cipher /r:test را اجرا کنید. با این دستور رمزی از شما پرسیده شده (برای محافظت) و دو فایل با پسوندهای cer و pfx ایجاد می شوند.

2- مراحل زیر را انجام داده و فایل cer مربوطه را معرفی کنید.

3- To create a local recovery agent
a. Click Start, click Run, type mmc, and then click OK.
b. On the File menu, click Add/Remove Snap-in, and then click Add.
c. Under Add Standalone Snap-in, click Group Policy Object Editor, and then click Add.
d. Under Group Policy Object, make sure that Local Computer is displayed, and then click Finish.
e. Click Close, and then click OK.
f. In Local Computer Policy, navigate to the Local\Computer Policy\Computer Configuration\Windows Settings\Security Settings\Public Key Policies folder.
[IMG]file:///J:/DOCUME%7E1/MR2/LOCALS%7E1/Temp/msohtmlclip1/01/clip_image001.jpg[/IMG]
g. In the details pane, right-click Encrypting File System, and then click Add Data Recovery Agent or Create Data Recovery Agent.

Note: The Wizard prompts you for a user name for a recovery agent. You can supply the wizard with the name of a user with a published file recovery certificate, or you can browse for file recovery certificates (.cer files) that contain information about the recovery agent you want to add. File recovery certificates can be obtained from Certification Authorities. To identify a file recovery certificate, in the Certificates snap-in, in the details pane, in the Enhanced Key Usage field, look for the value File Recovery (1.3.6.1.4.1.311.10.3.4.1). File recovery certificates are stored as .cer files in the local computer file system or in Active Directory.
When you add a recovery agent from a file, the user is identified as USER_UNKNOWN because the user name is not stored in the file.
h. Follow the instructions in the wizard to complete the process.

خلاصه دو مرحله بالا این چند خط است. بعید میدانم نیازی به ترجمه باشد :

Step 1: Export recovery certificates and the private key

1. Log on to the computer as the user who you want to create the encrypting file for.
2. Click Start, click Run, type CMD, and then click OK.
3. At the command prompt, type the following, and then press ENTER:

cipher /r:filename

1. Type the password that you want to use when you receive the following message:

Please type in the password to protect your .PFX file:

The system creates a .PFX file that contains the certificate and the private key and a .CER file that contains only the certificate. You receive the following verification message:
Your .CER file was created successfully.
Your .PFX file was created successfully.
[IMG]file:///J:/DOCUME%7E1/MR2/LOCALS%7E1/Temp/msohtmlclip1/01/clip_image002.gif[/IMG]Back to the top
Step 2: Import recovery certificates and the private key

1. Log on to the computer as the administrator.
2. Click Start, click Run, type gpedit.msc, and then click OK.
3. In the Group Policy Object Editor, expand the following nodes:

Local Computer Policy
Computer Configuration
Windows Setting
Security Settings
Public Key Policies

1. Right-click Encrypting File System, and then click Add Data Recovery Agent.
2. Click Next, and then click Browse Folders.
3. Select the *.CER file that you created earlier, and then click Open.
   
   Note By default, the certificate is created in the %userprofile% folder.
4. Click Next, and then click Finish.

این لینک هم اطلاعات بسیار خوبی در خصوص Protection در windows XP دارد

Data Protection and Recovery in Windows XP

[th95]

بعد از 2 روز و این همه زحمت تنها 6 تشکر !
عالیه ! آیا به فیل تر شدن انجمن در بعضی نقاط ربط داره یا نه واقعا مطالب به درد نخوره

[Hakimi]

دستت درد نکنه، ولی موضوع اینه که چون فاصله افتاده، دوستانی که موضوع رو پیگیری می کردن دیگه دنبال نکردن. اگر باز هم با برنامه ریزی پیش بری و مثلا هفته ای یک مطلب بنویسی خواننده ها هم می دونن کی باید بیان دنبال مطالب.
نکته دیگه، خیلی به تشکر ها اهمیت نده. خواننده ها بسیار بیشتر از اونهایی هستن که سپاس می زنن.

[th95]

شاید حق با شماست اون فاصله افتادنه هم کار رو خراب کرده
به هرحال عزم رو جزم کردم که نهایت هر ده روز یک جلسه ارایه بشه
حتی کوتاه و در حد چند نکته کاربردی

[Zahmatkesh]

سلام
من یک نفر شدیدا پیگیر آموزشتون هستم

[HosnaSoft]

اگر همچنان مشکل تایپ دارید ، من می تونم کمک کنم .

موفق باشید ./

[th95]

مشکل تایپ ندارم ولی
مستمع صاحب سخن را بر سر ذوق آورد

[Farzin]

آقای گنجی عزیز
همه جوره در خدمتیم. به قول آقای حکیمی خیلی به فکر تشکر نباش
من دائم کار شما را دنبال می کنم و هرکسی از دوستان را هم می بینم هم انجمن و هم کار آموزشی کم نظیر شما را توصیه می کنم.

با تشکر فراوان

[HosnaSoft]

مشکل تایپ ندارم ولی
مستمع صاحب سخن را بر سر ذوق آورد

همه جوره ما در خدمتیم برادر .

[royal_1361]

مهندس بقیه اش پس چی شد ؟

[th95]

مهندس بقیه اش پس چی شد ؟

قرار شد هفته ای یک جلسه ! هنوز سه روز از آخری نگذشته که
شما همه پستهای قبلی رو هم خوندی ؟؟

[th95]

جلسه بیستم – 23 آذرماه 1389
اتصال به یک رایانه از راه دور با پروتکل RDP(Remote Desktop Protocol)

شاید به نظر برسه داستان خیلی ساده است و احتمالا همه شما بارها و بارها با این پروتکل کار کردید ولی خوب مطلب زیاد داره که البته ما هم نمیرسیم به همش بپردازیم ولی شما میتونید با جستجوهای ساده تو گوگل مطالب خوبی در این باره پیدا کنید.

به طور خلاصه پروتکل RDP یک پروتکل انحصاری مایکروسافت است که به کمک آن می توان از طریق شبکه به یک سیستم دیگر به صورت گرافیکی وصل شد و آن را کنترل کرده و از امکانات آن بهره برد. این پروتکل و این قابلیت در ویندوز را با نام Terminal Services هم می*شناسند که البته شاید بتوان تفاوت*هایی کوچک را بین آنها متصور شد.
به یاد داشته باشیم سیستم عامل های مختلف ویندوز می توانند با این پروتکل کنترل شوند اما برای اتصال به این سیستمها می توان از برنامه های نوشته شده موجود در دیگر سیستم عامل ها هم بهره برد.
به بیان ساده تر، سرور این پروتکل یک سیستم عامل ویندوزی است اما کلاینت آن می*تواند سیستم عامل های دیگر هم باشد.
به طور پیش*فرض، سرویس RDP از پورت TCP 3389 استفاده می*کند که البته می*توان آن را با استفاده از رجیستری به سادگی تغییر داد. در انتهای این جلسه به نحوه انجام این کار خواهیم پرداخت.
پروتکل RDP طی سال*ها و همزمان (یا در طول استفاده) از سیستم*عامل*های مختلف ویندوز تغییرات زیادی داشته است.
اولین نسخه RDP 4.0 بود که برای ویندوز NT 4.0 ارایه شد. و آخرین نسخه هم RDP 7.0 است که برای ویندوز سرور 2008 و ویندوز 7 معرفی شده است.
شاید با خود بگویید چه مواردی تغییر کرده است. یک اتصال به راه دور است که باید برقرار شود پس این نسخه*های پی در پی چه تفاوتی با هم داشته*اند.

در پاسخ باید گفت امکانات ارتباطی، عملکردی و امنیتی در هر نسخه نسبت به نسخ قبلی تغییرات قابل ملاحظه ای داشته است. برای مثال

این که شما بتوانید حتی صدای در حال پخش در سیستم دیگر را بشنوید.
این که بتوانید فایل را در سیستم مقصد با استفاده از چاپگر روی سیستم خود پرینت بگیرید.
امنیت این ارتباط افزایش پیدا کرده و به سادگی قابل نفوذ نیست.
حجم دیتای ارسالی در یک جلسه یا نشست (Session) با استفاده از مکانیسم*های مختلف کاهش داشته است.
کیفیت تصویرهایی که ساپورت می*شوند زیاد شده است (مثلا 24 بیت)
و ...

استفاده از این قابلیت همانطور که همه می*دانید بسیار ساده است. دستور MSTSC.EXE را در Run بنویسید تا کلاینت برنامه اجرا شود (یعنی برنامه*ای که از آن جهت اتصال به مقصد استفاده می*کنید). این کلمه مخفف عبارت زیر است :

MicroSoft Terminal Services Console

در ساده*ترین حالت کافیست نام یا IP سیستم مقصد به همراه یوزر و پسوردی که این قابلیت را دارد وارد کنید تا به سیستم مقصد متصل گردید.

اما نکات مهم و کاربردی برای استفاده از این برنامه

- اول از همه مد نظر داشته باشید که سیستم مقصد باید اجازه وصل شدن از راه دور به سیستم*های دیگر را بدهد. برای این کار از My Computer – Properties گرفته و از برگه Remote تیک زیر را بزنید.

Allow Users To Connect Remotely to This Computer

- مطمئن شوید که فایروال خاموش است یا حداقل پورت RDP که گفتیم پیش فرض TCP 3389 است روی آن باز می*باشد. (در Exception فایروال تعریف شده است)
- یوزری که می*خواهید در مقصد وجود داشته باشد و از آن برای اتصال استفاده کنید باید اولا حتما دارای رمز عبور بوده و ثانیا عضو گروه Remote Desktop Users باشد.

پس به همین سادگی با رعایت این چند نکته می*توانیم از این امکان استفاده کنیم. حال بیایید چند نکته در مورد برنامه کلاینت را بررسی کنیم.



برگه General :
توضیح خاصی نیاز نیست. وارد کردن نام کاربری و رمز عبور به علاوه نام (اگر DNS به خوبی کار می*کند) یا IP سیستم مقصد
ضمن اینکه می*توان این اطلاعات را برای سیستم مقصد ذخیره کرد تا در دفعات بعد نیازی به ورود مجدد اطلاعات نباشد. (از این حالت با احتیاط استفاده کنید)

برگه Display :
قطعا اگر از Dial-up استفاده می*کنید نباید کیفیت 24 بیت را برگزینید. اما اگر در LAN هستید می*توانید از بالاترین کیفیت رنگ و عمق تصویر بهره ببرید.

برگه Local Resources :
قسمت مهمی است و البته درک آن ساده.
می*توانید بگویید صدای سیستم مقصد به این سیستم انتقال داده شود. چگونگی استفاده از کلیدهای ترکیبی تعریف می*شود و در قسمت آخر می*گویید آیا چاپگرها و حافظه Clipboard هم بین دو طرف Share شود یا خیر.
به یاد داشته باشید با زدن کلید More می*توانید همین تعاریف را برای منابع دیگر هم داشته باشید. خصوصا اگر می*خواهید درایوهای سیستم مبدا در سیستم مقصد قابل استفاده باشند حتما تیک Drives را بزنید.
بارها دیده*ام طرف فایلها را روی سیستم خودش Share می*کند. سپس به مقصد RDP میزند و از آنجا به Share متصل شده و فایلها را بر می دارد. نکن برادر من ! نکن عزیز جان ! این تیک را بزن و به راحتی فایلهای مبدا را در مقصد ببین و استفاده کن.

برگه Programs :
باز هم ساده است. این که چه برنامه ای پس از اتصال اجرا شود.

برگه Experience :
تنظیماتی در خصوص میزان رنگ و فونت*ها و پشت صفحه و ... که با توجه به نوع (سرعت) ارتباط شما پیشنهاد می*شود.

برگه Advanced :
قسمت بالا در خصوص Server Authentication است و به طور خلاصه به تنظیم این قضیه می*پردازد که اگر تنظیمات و سیاست*های امنیتی در دو طرف تفاوت داشته باشد چه باید کرد. هشدار دهد و وصل شود ؟ اصلا وصل نشود یا بی خیال ! وصل شو و صدایت هم درنیاید
قسمت پایین را (Connect From Anywhere) شما به عنوان تمرین بگویید که چه می*کند. مثل همان تمرینات قبلی که ماشا.. هزار نفر جواب دادند J

نکته مهم :
در ویندوز XP تنها می*توان یک Session داشت (منظور Session های اینچنینی است) بنابراین اگر شا در حال کار هستید و شخصی بخواهد به شما RDP بزند شما متاسفانه دیگر نمی*توانید کار کنید.

در ویندوز سرور 2003 همزمان می*توان دو ارتباط Remote داشت که البته این پیش*فرض است و با سرویس Terminal Services Licensing می*توان این تعداد را بیشتر کرد که ان شاء ا.. اگر عمری بود بعدا به آن می*پردازیم.

نکات بعدی ارتباط چندانی به بحث های MCSE ندارند اما می*خواهم به آن توجه کنید. این مطالب در خصوص امنیت و نکات امنیتی این برنامه هستند.
این سرویس در ارتباط بین دو سمت و رد و بدل کردن دیتا، کدگذاری و امنیت خوبی دارد اما روش Brute Force برای حمله به آن کاربرد زیادی دارد. بدین معنا که شخص بَد پس از اینکه فهمید پورت و سرویس مورد نظر روی سیستم شما باز است از برنامه*های مخصوصی استفاده می*کند تا با حدس زدن رمز مقصد به آن متصل شود. پس این موارد را رعایت کنید (من اینها به ذهنم رسید. ممنون می شود دوستان هم نکات دیگر را اضافه کنند)

1- اگر واقع لازم نیست اصلا این سرویس را فعال نکنید.
2- این سرویس را فقط برای استفاده از سیستم*های خاصی قابل استفاده نمایید و امنیت را با استفاده از MAC,IP بالا ببرید. فقط سیستمی با فلان MAC یا IP بتواند وصل شود.)
3- حتما رمز پیچیده*ای را برای یوزرهای دارای قابلیت مذکور انتخاب کنید.
4- حتما کاربری غیر از Administrator را برای این کار استفاده کنید.
5- کاربری را که برای اتصال راه دور تعریف می*کنید در حداقل دسترسی تعریف نمایید. فقط در همان حدی که کار شما را راه بیندازد.
6- گزارش گیری روی فایروال را فعال کنید و بررسی کنید چه کسانی قصد اتصال با RDP را داشته باشند.
7- و نکته آخر اینکه پورت پیش*فرض مورد نظر را با استفاده از روش زیر عوض کنید.

با دستور regedit.exe وارد رجیستری شوید و به آدرس زیر بروید

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\TerminalServer\WinStations\RDP-Tcp\PortNumber

از Edit و Modify استفاده کرده و decimal را انتخاب کنید و سپس پورت مورد نظر خود را وارد نمایید.


این هم از این جلسه ! قطعا نکات زیادی مانده که عزیزان می*توانند تکمیل نمایند. امیدوارم سودمند بوده باشد.

یک تمرین دارم :
خواهشمندم چند نفری انجام بدهند تا بدانم این بحث ها و نوشته ها خواننده دارد.

می*خواهم خاصیت Remote Desktop Web Connection و چرایی و چگونگی استفاده از آن را تشریح نمایید. هر کس جواب بدهد جایزه دارد. (ببین تو رو خدا، درس میدیم جایزه هم میدیم)

[eng_amir68]

جلسه بیستم – 23 آذرماه 1389
اتصال به یک رایانه از راه دور با پروتکل RDP(Remote Desktop Protocol)

شاید به نظر برسه داستان خیلی ساده است و احتمالا همه شما بارها و بارها با این پروتکل کار کردید ولی خوب مطلب زیاد داره که البته ما هم نمیرسیم به همش بپردازیم ولی شما میتونید با جستجوهای ساده تو گوگل مطالب خوبی در این باره پیدا کنید.

به طور خلاصه پروتکل RDP یک پروتکل انحصاری مایکروسافت است که به کمک آن می توان از طریق شبکه به یک سیستم دیگر به صورت گرافیکی وصل شد و آن را کنترل کرده و از امکانات آن بهره برد. این پروتکل و این قابلیت در ویندوز را با نام Terminal Services هم می*شناسند که البته شاید بتوان تفاوت*هایی کوچک را بین آنها متصور شد.
به یاد داشته باشیم سیستم عامل های مختلف ویندوز می توانند با این پروتکل کنترل شوند اما برای اتصال به این سیستمها می توان از برنامه های نوشته شده موجود در دیگر سیستم عامل ها هم بهره برد.
به بیان ساده تر، سرور این پروتکل یک سیستم عامل ویندوزی است اما کلاینت آن می*تواند سیستم عامل های دیگر هم باشد.
به طور پیش*فرض، سرویس RDP از پورت TCP 3389 استفاده می*کند که البته می*توان آن را با استفاده از رجیستری به سادگی تغییر داد. در انتهای این جلسه به نحوه انجام این کار خواهیم پرداخت.
پروتکل RDP طی سال*ها و همزمان (یا در طول استفاده) از سیستم*عامل*های مختلف ویندوز تغییرات زیادی داشته است.
اولین نسخه RDP 4.0 بود که برای ویندوز NT 4.0 ارایه شد. و آخرین نسخه هم RDP 7.0 است که برای ویندوز سرور 2008 و ویندوز 7 معرفی شده است.
شاید با خود بگویید چه مواردی تغییر کرده است. یک اتصال به راه دور است که باید برقرار شود پس این نسخه*های پی در پی چه تفاوتی با هم داشته*اند.

در پاسخ باید گفت امکانات ارتباطی، عملکردی و امنیتی در هر نسخه نسبت به نسخ قبلی تغییرات قابل ملاحظه ای داشته است. برای مثال

این که شما بتوانید حتی صدای در حال پخش در سیستم دیگر را بشنوید.
این که بتوانید فایل را در سیستم مقصد با استفاده از چاپگر روی سیستم خود پرینت بگیرید.
امنیت این ارتباط افزایش پیدا کرده و به سادگی قابل نفوذ نیست.
حجم دیتای ارسالی در یک جلسه یا نشست (Session) با استفاده از مکانیسم*های مختلف کاهش داشته است.
کیفیت تصویرهایی که ساپورت می*شوند زیاد شده است (مثلا 24 بیت)
و ...

استفاده از این قابلیت همانطور که همه می*دانید بسیار ساده است. دستور MSTSC.EXE را در Run بنویسید تا کلاینت برنامه اجرا شود (یعنی برنامه*ای که از آن جهت اتصال به مقصد استفاده می*کنید). این کلمه مخفف عبارت زیر است :

MicroSoft Terminal Services Console

در ساده*ترین حالت کافیست نام یا IP سیستم مقصد به همراه یوزر و پسوردی که این قابلیت را دارد وارد کنید تا به سیستم مقصد متصل گردید.

اما نکات مهم و کاربردی برای استفاده از این برنامه

- اول از همه مد نظر داشته باشید که سیستم مقصد باید اجازه وصل شدن از راه دور به سیستم*های دیگر را بدهد. برای این کار از My Computer – Properties گرفته و از برگه Remote تیک زیر را بزنید.

Allow Users To Connect Remotely to This Computer

- مطمئن شوید که فایروال خاموش است یا حداقل پورت RDP که گفتیم پیش فرض TCP 3389 است روی آن باز می*باشد. (در Exception فایروال تعریف شده است)
- یوزری که می*خواهید در مقصد وجود داشته باشد و از آن برای اتصال استفاده کنید باید اولا حتما دارای رمز عبور بوده و ثانیا عضو گروه Remote Desktop Users باشد.

پس به همین سادگی با رعایت این چند نکته می*توانیم از این امکان استفاده کنیم. حال بیایید چند نکته در مورد برنامه کلاینت را بررسی کنیم.



برگه General :
توضیح خاصی نیاز نیست. وارد کردن نام کاربری و رمز عبور به علاوه نام (اگر DNS به خوبی کار می*کند) یا IP سیستم مقصد
ضمن اینکه می*توان این اطلاعات را برای سیستم مقصد ذخیره کرد تا در دفعات بعد نیازی به ورود مجدد اطلاعات نباشد. (از این حالت با احتیاط استفاده کنید)

برگه Display :
قطعا اگر از Dial-up استفاده می*کنید نباید کیفیت 24 بیت را برگزینید. اما اگر در LAN هستید می*توانید از بالاترین کیفیت رنگ و عمق تصویر بهره ببرید.

برگه Local Resources :
قسمت مهمی است و البته درک آن ساده.
می*توانید بگویید صدای سیستم مقصد به این سیستم انتقال داده شود. چگونگی استفاده از کلیدهای ترکیبی تعریف می*شود و در قسمت آخر می*گویید آیا چاپگرها و حافظه Clipboard هم بین دو طرف Share شود یا خیر.
به یاد داشته باشید با زدن کلید More می*توانید همین تعاریف را برای منابع دیگر هم داشته باشید. خصوصا اگر می*خواهید درایوهای سیستم مبدا در سیستم مقصد قابل استفاده باشند حتما تیک Drives را بزنید.
بارها دیده*ام طرف فایلها را روی سیستم خودش Share می*کند. سپس به مقصد RDP میزند و از آنجا به Share متصل شده و فایلها را بر می دارد. نکن برادر من ! نکن عزیز جان ! این تیک را بزن و به راحتی فایلهای مبدا را در مقصد ببین و استفاده کن.

برگه Programs :
باز هم ساده است. این که چه برنامه ای پس از اتصال اجرا شود.

برگه Experience :
تنظیماتی در خصوص میزان رنگ و فونت*ها و پشت صفحه و ... که با توجه به نوع (سرعت) ارتباط شما پیشنهاد می*شود.

برگه Advanced :
قسمت بالا در خصوص Server Authentication است و به طور خلاصه به تنظیم این قضیه می*پردازد که اگر تنظیمات و سیاست*های امنیتی در دو طرف تفاوت داشته باشد چه باید کرد. هشدار دهد و وصل شود ؟ اصلا وصل نشود یا بی خیال ! وصل شو و صدایت هم درنیاید
قسمت پایین را (Connect From Anywhere) شما به عنوان تمرین بگویید که چه می*کند. مثل همان تمرینات قبلی که ماشا.. هزار نفر جواب دادند J

نکته مهم :
در ویندوز XP تنها می*توان یک Session داشت (منظور Session های اینچنینی است) بنابراین اگر شا در حال کار هستید و شخصی بخواهد به شما RDP بزند شما متاسفانه دیگر نمی*توانید کار کنید.

در ویندوز سرور 2003 همزمان می*توان دو ارتباط Remote داشت که البته این پیش*فرض است و با سرویس Terminal Services Licensing می*توان این تعداد را بیشتر کرد که ان شاء ا.. اگر عمری بود بعدا به آن می*پردازیم.

نکات بعدی ارتباط چندانی به بحث های MCSE ندارند اما می*خواهم به آن توجه کنید. این مطالب در خصوص امنیت و نکات امنیتی این برنامه هستند.
این سرویس در ارتباط بین دو سمت و رد و بدل کردن دیتا، کدگذاری و امنیت خوبی دارد اما روش Brute Force برای حمله به آن کاربرد زیادی دارد. بدین معنا که شخص بَد پس از اینکه فهمید پورت و سرویس مورد نظر روی سیستم شما باز است از برنامه*های مخصوصی استفاده می*کند تا با حدس زدن رمز مقصد به آن متصل شود. پس این موارد را رعایت کنید (من اینها به ذهنم رسید. ممنون می شود دوستان هم نکات دیگر را اضافه کنند)

1- اگر واقع لازم نیست اصلا این سرویس را فعال نکنید.
2- این سرویس را فقط برای استفاده از سیستم*های خاصی قابل استفاده نمایید و امنیت را با استفاده از MAC,IP بالا ببرید. فقط سیستمی با فلان MAC یا IP بتواند وصل شود.)
3- حتما رمز پیچیده*ای را برای یوزرهای دارای قابلیت مذکور انتخاب کنید.
4- حتما کاربری غیر از Administrator را برای این کار استفاده کنید.
5- کاربری را که برای اتصال راه دور تعریف می*کنید در حداقل دسترسی تعریف نمایید. فقط در همان حدی که کار شما را راه بیندازد.
6- گزارش گیری روی فایروال را فعال کنید و بررسی کنید چه کسانی قصد اتصال با RDP را داشته باشند.
7- و نکته آخر اینکه پورت پیش*فرض مورد نظر را با استفاده از روش زیر عوض کنید.

با دستور regedit.exe وارد رجیستری شوید و به آدرس زیر بروید

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\TerminalServer\WinStations\RDP-Tcp\PortNumber

از Edit و Modify استفاده کرده و decimal را انتخاب کنید و سپس پورت مورد نظر خود را وارد نمایید.


این هم از این جلسه ! قطعا نکات زیادی مانده که عزیزان می*توانند تکمیل نمایند. امیدوارم سودمند بوده باشد.

یک تمرین دارم :
خواهشمندم چند نفری انجام بدهند تا بدانم این بحث ها و نوشته ها خواننده دارد.

می*خواهم خاصیت Remote Desktop Web Connection و چرایی و چگونگی استفاده از آن را تشریح نمایید. هر کس جواب بدهد جایزه دارد. (ببین تو رو خدا، درس میدیم جایزه هم میدیم)

در كنترل پنل بر روي Add or Remove Programs كليك كنيد
سپس بر روي Add/Remove Windows Components
Internet Information Services را انتخاب و بر روي Details كليك كنيد
World Wide Web Service را انتخاب و بر روي Details كليك كنيد
Remote Desktop Web Connection را انتخاب و سپس Ok و Next كنيد

با تنظيمات پيش فرض بدين صورت مي توانيد از Remote desktop web client استفاده كنيد

در مرورگري كه ActiceX فعال مي باشد همانند Internet Explorer اين آدرس را تايپ كنيد

/http://server-ip/tsweb

سپس سيستمي كه مي خواهيد بدان وصل شويد را وارد و بر روي Connect كليك كنيد در اين مرحله مي توانيد اندازه تصوير را هم مشخص كنيد.
بعد مي بايست نام كاربري و پسورد را وارد كنيد