ColoMax
November 13th, 2015, 10:31
یوزرها یا همان کاربرها:
نام کاربری در ویندوز و شبکه همه کاره است و اکثر دسترسی ها و کنترل ها با استفاده از آن صورت می گیرد چند نکته :
- نام کاربردی در ویندوز XP ی تواند حداکثر 20 کاراکتری باشد و نسبت به حروف کوچک و یزرگ هم فعال نیست. اصطلاحا Case Sensitive نیست.
- پسورد می تواند 256 حرف داشته باشد و خوب مسلما به حروف کوچک و بزرگ هم حساس است.
- از ویندوز XP به بعد، اجباری شده است که به یک کامپیوتر در شبکه با نام کاربری می توان وصل شد که حتما دارای رمز باشد.
- اگر دو سیستم دارای یک نام کاربری با رمز عبور یکسان (مثلا روی هر دو یوزر ali با رمز 12345 ) وجود داشته باشد، هنگام اتصال به یکدیگر از آنها نام کاربری و رمز عبور پرسیده نمی شود. این یک مشکل در ویندوز است که متاسفانه نمی فهمد این کاربر با آن یکی فرق دارد.
- البته اگر کاربر میهمان یا Guest روی یک سیستم فعال باشد می توان بدون چک شدن یوزر و پسورد یا اصطلاحا Authentication به آن وصل شد. مراقب این قضیه باشید. با اینکه کاربر Guest اختیاراتش در حد بسیار کم است، اما این یک ریسک امنیتی وحشتاک می باشد.
- دقت کرده اید برخی اوقات به یک سیستم که می خواهیم وصل شویم فقط کاربر Guest را نشان می دهد که آن هم خاکستری یا Disable و غیر قابل تغییر است. مشکل از سیستم مقصد است باید در سیستم مقصد حالت Simple File Sharing را غیر فعال کنیم و سیستم را ریست نماییم.
Tools -> Folder Options -> View -> use simple file sharing
در خصوص Simple File Sharing که مبحث بسیار مهمی است باید توضیحاتی ارایه دهیم. وقتی این گزینه فعال باشد، هنگام share کردن یک فولدر با یک ویزارد ساده روبرو می شویم ضمن اینکه تغییرات و تنظیمات پیشرفته را برای share نمی توانیم انجام بدهیم. شاید همه فقط همین را بدانند اما در واقع این گزینه تغییرات محسوسی در ویندوز ایجاد می کند. به نکات زیر دقت کنید :
- در ویندوز XP Home ، این گزینه همیشه فعال است و نمی توان تیک آن را برداشت.
- حرفه ای باشید. بهتر است این حالت غیر فعال باشد چرا که در آن صورت می توانید برای شاخه های Share شده خود تنظیماتی پیشرفته مثل حداکثر تعداد استفاده کنندگان، مجوزهای مختلف به کاربران مختلف، اسم های غیر واقعی و .. برقرار کنید. در واقع فعال بودن این گزینه و Share کردن به صورت ساده یک ریسک امنیتی در ویندوز XP Professional به شمار می رود.
- اگر این گزینه غیر فعال باشد، ازکاربران دیگر موقع اتصال به Share های شما نام و پسورد پرسیده نمی شود. در واقع با فعال بودن این گزینه اصلا امکان تعریف مجوز دسترسی (Permission) برای کاربران مختلف وجود ندارد.
- اگر کامپیوتر شما عضو یک Domain باشد (و نه WorkGroup) فعال و غیر فعال کردن این گزینه تاثیری ندارد چرا که در Domain، گزینه Simple File Sharing همیشه غیر فعال است.
- نکته آخر این که پس از تغییر این گزینه، حتما یکبار سیستم را ریست کنید.
بنابراین بهترین حالت این است که simple file sharing غیر فعال و guest هم disable باشد. اگر simple file sharing فعال باشد یعنی اتصال به share ها بدون یوزر و پسورد و در واقع مانند یک guest. پس در این حالت (فعال بودن) اگر کاربر guest در حالت enable باشد که خوب اتصال به راحتی برقرار شده و امنیت هم بسیار پایین است. اگر همه guest غیر فعال باشد که خوب اصلا نمی توان به share وصل شد (همان حالتی که در بالا گفتیم یعنی کاربر guest به شکل خاکستری و غیر فعال)
یک نکته تقریبا حرفه ای:- می خواهیم بفهمیم چه کسی (چه نام کاربری) از چه سیستمی به ما وصل شده است و از Share های ما استفاده می کند. کافیست دستور Net Session را اجرا کنیم. (به Run بروید، cmd را اجرا کنید و سپس این دستور را در خط فرمان تایپ و اجرا کنید)
و اما ببینیم چگونه باید برای یک سیستم، یک کاربر ایجاد کنیم.
روش درست و حرفه ای این است. روی My Computer راست کلیک کرده و Manage را بزنید. حال به قسمت Local Users and Groups و بخش Users بروید. اینجا می توانید راست کلیک کرده و New User بزنید تا یک کاربر جدید بسازید. در کادر محاوره ای ساخت یوزر جدید چهار گزینه وجود دارد که البته هر کس انگلیسی زا در حد ساده بداند متوجه منظور آنها خواهد شد. به هر حال ما هم توضیح مختصری ارایه می دهیم :
User Must Change Password At Next Logon
شما مسوول شبکه هستید و می خواهید برای یک فرد روی همین کامپیوتر یا کل شبکه (Domain) یک نام کاربری بسازید. در همین ابتدا یک رمز ساده مثلا 123 انتخاب می کنید و این گزینه را تیک می زنید. اولین باری که کاربر مذکور وارد سیستم بشود از او خواسته می شود که رمز جدید خود را وارد کند. (احتمالا در سایت ها دانشگاه یا شاید کافی نت ها با این قضیه برخورد داشته اید)
User Can not Change Password
مشخص است. کاربر حق تغییر پسورد را ندارد. (با زدن Ctrl+Alt+Del و گزینه Change Password)
Password Never Expires
در ویندوز معمولا این حالت وجود دارد که برای افزایش امنیت، کاربر باید هر 42 روز پسورد خود را عوض کند. عجله نکنید. اندکی پیش برویم خواهیم گفت این قضیه در کجای ویندوز است و چگونه می توان آن را عوض کرد. فعلا داشته باشید که با زدن این تیک، پسورد دایمی خواهد شد و ویندوز از شما نخواهد خواست آن را پس از مدتی معین عوض کنید.
Account is disabled
کاربری که می سازید غیر فعال است و نمی تواند وارد سیستم شود. حتما می پرسید پس به چه درد می خورد ؟ شما می توانید به عنوان مسوول شبکه نام های کاربری را بسازید و هر زمان که خواستید آنها را فعال کنید. یا فعال شدن را به صورت اتوماتیک در زمانی خاص تعیین کنید. ضمن اینکه وقتی کاربری مثلا به مرخصی می رود می توانید روی یوزر او دو بار کلیک کنید و این گزینه را بزنید تا در غیاب وی کسی با نام کاربری او نتواند وارد شود.
یک گزینه پنجم هم وجود دارد که در حالت پیش فرض نمایش داده نمی شود و شما آن را نمی بینید و آن هم این است :
Account is locked out
حالت lock out شدن زمانی است که مدیر شبکه تعیین می کند مثلا اگر یک کاربر در دو دقیقه 5 بار رمزهای اشتباه را پشت سر هم وارد کرد، نام کاربری وی به مدت 1 ساعت غیر فعال شود. اگر این اتفاق برای یک کاربر بیفتد آن گاه این گزینه به صورت خودکار برای وی تیک می خورد. در این حالت او می تواند به مدیر شبکه مراجعه کرده و از وی بخواهد این تیک را بردارد. مسلم است که این قضیه برای جلوگیری از سوء استفاده ها در شبکه و جلوگیری از تلاش برای نفوذهای غیر مجاز است.
- جالب است بدانید در ویندوز XP Professional سرویس پک 1، مشکلی اساسی وجود داشت که برخی اوقات باعث می شد با lock out شدن یک کاربر ناگهان همه کاربران دیگر هم lock out بشوند. !!
- تنها نام کاربری که هیچ گاه lock out نمی شود خود administrator است. دقت کنید منظورم همه کاربران گروه administrators یا کسانی که اختیارات کامل دارند نیست بلکه فقط و فقط خود کاربر administrator
خوب حالا احتمالا می پرسید این قضایا را کجا می شود تنظیم کرد. گرچه مایل نیستم فعلا وارد بحث سیاست های گروهی یا Group Policy بشویم اما کم کم باید زمینه آن چیده شود ضمن اینکه در اینجا چاره ای هم نداریم. بنابراین در Run تایپ کنید : Gpedit.msc
حال به آدرس زیر بروید :
Computer Configuration -> windows settings
Security Settings -> Account Policies -> Account Lockout Policy
سه گزینه داریم :
Account Lockout Duration
یوزر تا چه زمان در حالت قفل باشد و نتواند به سیستم وارد شود
Account Lockout Threshold
پس از چند بار تلاش نافرجام یوزر قفل شود
Reset Account Lockout After :
پس از چه زمانی شمارنده تلاش های اشتباه صفر شود.
شاید این مورد آخر احتیاج به کمی توضیح داشته باشد. دقت کنید : فرض کنید تلاش های نافرجام را 5 بار قرار داده ایم و زمان صفر شدن شمارنده را دو دقیقه.
می خواهید وارد شوید اما رمز را اشتباه وارد می کنید. در طی یک دقیقه چهار بار دیگر هم اشتباه و .. بله ! نام کاربری شما قفل شد. اما فرض کنید. یک بار وارد می کنید و می بینید اشتباه است. یکبار دیگر و باز هم اشتباه. (پس تا اینجا شمارنده اشتباهات شما دو شده است) قبل از وارد کردن بار سوم به سراغ کاغذهای خود می روید و ده دقیقه می گردید تا رمز یادتان بیاید. چون ده دقیقه گذشته و صفر کننده شمارنده، دو دقیقه بوده است حال که مجددا تلاش کنید باز هم 5 بار برای اشتباه کردن فرصت دارید نه سه بار.
این گزینه برای آن است که هکرها و برنامه های خرابکارانه در یک زمان کوتاه تلاش می کنند با وارد کردن رمزهای مختلف به سیستم نفوذ کنند و ممکن است در عرض یک دقیقه صدها رمز را تست نایند که این گزینه در ویندوز جلوی آنها را می گیرد.
نام کاربری در ویندوز و شبکه همه کاره است و اکثر دسترسی ها و کنترل ها با استفاده از آن صورت می گیرد چند نکته :
- نام کاربردی در ویندوز XP ی تواند حداکثر 20 کاراکتری باشد و نسبت به حروف کوچک و یزرگ هم فعال نیست. اصطلاحا Case Sensitive نیست.
- پسورد می تواند 256 حرف داشته باشد و خوب مسلما به حروف کوچک و بزرگ هم حساس است.
- از ویندوز XP به بعد، اجباری شده است که به یک کامپیوتر در شبکه با نام کاربری می توان وصل شد که حتما دارای رمز باشد.
- اگر دو سیستم دارای یک نام کاربری با رمز عبور یکسان (مثلا روی هر دو یوزر ali با رمز 12345 ) وجود داشته باشد، هنگام اتصال به یکدیگر از آنها نام کاربری و رمز عبور پرسیده نمی شود. این یک مشکل در ویندوز است که متاسفانه نمی فهمد این کاربر با آن یکی فرق دارد.
- البته اگر کاربر میهمان یا Guest روی یک سیستم فعال باشد می توان بدون چک شدن یوزر و پسورد یا اصطلاحا Authentication به آن وصل شد. مراقب این قضیه باشید. با اینکه کاربر Guest اختیاراتش در حد بسیار کم است، اما این یک ریسک امنیتی وحشتاک می باشد.
- دقت کرده اید برخی اوقات به یک سیستم که می خواهیم وصل شویم فقط کاربر Guest را نشان می دهد که آن هم خاکستری یا Disable و غیر قابل تغییر است. مشکل از سیستم مقصد است باید در سیستم مقصد حالت Simple File Sharing را غیر فعال کنیم و سیستم را ریست نماییم.
Tools -> Folder Options -> View -> use simple file sharing
در خصوص Simple File Sharing که مبحث بسیار مهمی است باید توضیحاتی ارایه دهیم. وقتی این گزینه فعال باشد، هنگام share کردن یک فولدر با یک ویزارد ساده روبرو می شویم ضمن اینکه تغییرات و تنظیمات پیشرفته را برای share نمی توانیم انجام بدهیم. شاید همه فقط همین را بدانند اما در واقع این گزینه تغییرات محسوسی در ویندوز ایجاد می کند. به نکات زیر دقت کنید :
- در ویندوز XP Home ، این گزینه همیشه فعال است و نمی توان تیک آن را برداشت.
- حرفه ای باشید. بهتر است این حالت غیر فعال باشد چرا که در آن صورت می توانید برای شاخه های Share شده خود تنظیماتی پیشرفته مثل حداکثر تعداد استفاده کنندگان، مجوزهای مختلف به کاربران مختلف، اسم های غیر واقعی و .. برقرار کنید. در واقع فعال بودن این گزینه و Share کردن به صورت ساده یک ریسک امنیتی در ویندوز XP Professional به شمار می رود.
- اگر این گزینه غیر فعال باشد، ازکاربران دیگر موقع اتصال به Share های شما نام و پسورد پرسیده نمی شود. در واقع با فعال بودن این گزینه اصلا امکان تعریف مجوز دسترسی (Permission) برای کاربران مختلف وجود ندارد.
- اگر کامپیوتر شما عضو یک Domain باشد (و نه WorkGroup) فعال و غیر فعال کردن این گزینه تاثیری ندارد چرا که در Domain، گزینه Simple File Sharing همیشه غیر فعال است.
- نکته آخر این که پس از تغییر این گزینه، حتما یکبار سیستم را ریست کنید.
بنابراین بهترین حالت این است که simple file sharing غیر فعال و guest هم disable باشد. اگر simple file sharing فعال باشد یعنی اتصال به share ها بدون یوزر و پسورد و در واقع مانند یک guest. پس در این حالت (فعال بودن) اگر کاربر guest در حالت enable باشد که خوب اتصال به راحتی برقرار شده و امنیت هم بسیار پایین است. اگر همه guest غیر فعال باشد که خوب اصلا نمی توان به share وصل شد (همان حالتی که در بالا گفتیم یعنی کاربر guest به شکل خاکستری و غیر فعال)
یک نکته تقریبا حرفه ای:- می خواهیم بفهمیم چه کسی (چه نام کاربری) از چه سیستمی به ما وصل شده است و از Share های ما استفاده می کند. کافیست دستور Net Session را اجرا کنیم. (به Run بروید، cmd را اجرا کنید و سپس این دستور را در خط فرمان تایپ و اجرا کنید)
و اما ببینیم چگونه باید برای یک سیستم، یک کاربر ایجاد کنیم.
روش درست و حرفه ای این است. روی My Computer راست کلیک کرده و Manage را بزنید. حال به قسمت Local Users and Groups و بخش Users بروید. اینجا می توانید راست کلیک کرده و New User بزنید تا یک کاربر جدید بسازید. در کادر محاوره ای ساخت یوزر جدید چهار گزینه وجود دارد که البته هر کس انگلیسی زا در حد ساده بداند متوجه منظور آنها خواهد شد. به هر حال ما هم توضیح مختصری ارایه می دهیم :
User Must Change Password At Next Logon
شما مسوول شبکه هستید و می خواهید برای یک فرد روی همین کامپیوتر یا کل شبکه (Domain) یک نام کاربری بسازید. در همین ابتدا یک رمز ساده مثلا 123 انتخاب می کنید و این گزینه را تیک می زنید. اولین باری که کاربر مذکور وارد سیستم بشود از او خواسته می شود که رمز جدید خود را وارد کند. (احتمالا در سایت ها دانشگاه یا شاید کافی نت ها با این قضیه برخورد داشته اید)
User Can not Change Password
مشخص است. کاربر حق تغییر پسورد را ندارد. (با زدن Ctrl+Alt+Del و گزینه Change Password)
Password Never Expires
در ویندوز معمولا این حالت وجود دارد که برای افزایش امنیت، کاربر باید هر 42 روز پسورد خود را عوض کند. عجله نکنید. اندکی پیش برویم خواهیم گفت این قضیه در کجای ویندوز است و چگونه می توان آن را عوض کرد. فعلا داشته باشید که با زدن این تیک، پسورد دایمی خواهد شد و ویندوز از شما نخواهد خواست آن را پس از مدتی معین عوض کنید.
Account is disabled
کاربری که می سازید غیر فعال است و نمی تواند وارد سیستم شود. حتما می پرسید پس به چه درد می خورد ؟ شما می توانید به عنوان مسوول شبکه نام های کاربری را بسازید و هر زمان که خواستید آنها را فعال کنید. یا فعال شدن را به صورت اتوماتیک در زمانی خاص تعیین کنید. ضمن اینکه وقتی کاربری مثلا به مرخصی می رود می توانید روی یوزر او دو بار کلیک کنید و این گزینه را بزنید تا در غیاب وی کسی با نام کاربری او نتواند وارد شود.
یک گزینه پنجم هم وجود دارد که در حالت پیش فرض نمایش داده نمی شود و شما آن را نمی بینید و آن هم این است :
Account is locked out
حالت lock out شدن زمانی است که مدیر شبکه تعیین می کند مثلا اگر یک کاربر در دو دقیقه 5 بار رمزهای اشتباه را پشت سر هم وارد کرد، نام کاربری وی به مدت 1 ساعت غیر فعال شود. اگر این اتفاق برای یک کاربر بیفتد آن گاه این گزینه به صورت خودکار برای وی تیک می خورد. در این حالت او می تواند به مدیر شبکه مراجعه کرده و از وی بخواهد این تیک را بردارد. مسلم است که این قضیه برای جلوگیری از سوء استفاده ها در شبکه و جلوگیری از تلاش برای نفوذهای غیر مجاز است.
- جالب است بدانید در ویندوز XP Professional سرویس پک 1، مشکلی اساسی وجود داشت که برخی اوقات باعث می شد با lock out شدن یک کاربر ناگهان همه کاربران دیگر هم lock out بشوند. !!
- تنها نام کاربری که هیچ گاه lock out نمی شود خود administrator است. دقت کنید منظورم همه کاربران گروه administrators یا کسانی که اختیارات کامل دارند نیست بلکه فقط و فقط خود کاربر administrator
خوب حالا احتمالا می پرسید این قضایا را کجا می شود تنظیم کرد. گرچه مایل نیستم فعلا وارد بحث سیاست های گروهی یا Group Policy بشویم اما کم کم باید زمینه آن چیده شود ضمن اینکه در اینجا چاره ای هم نداریم. بنابراین در Run تایپ کنید : Gpedit.msc
حال به آدرس زیر بروید :
Computer Configuration -> windows settings
Security Settings -> Account Policies -> Account Lockout Policy
سه گزینه داریم :
Account Lockout Duration
یوزر تا چه زمان در حالت قفل باشد و نتواند به سیستم وارد شود
Account Lockout Threshold
پس از چند بار تلاش نافرجام یوزر قفل شود
Reset Account Lockout After :
پس از چه زمانی شمارنده تلاش های اشتباه صفر شود.
شاید این مورد آخر احتیاج به کمی توضیح داشته باشد. دقت کنید : فرض کنید تلاش های نافرجام را 5 بار قرار داده ایم و زمان صفر شدن شمارنده را دو دقیقه.
می خواهید وارد شوید اما رمز را اشتباه وارد می کنید. در طی یک دقیقه چهار بار دیگر هم اشتباه و .. بله ! نام کاربری شما قفل شد. اما فرض کنید. یک بار وارد می کنید و می بینید اشتباه است. یکبار دیگر و باز هم اشتباه. (پس تا اینجا شمارنده اشتباهات شما دو شده است) قبل از وارد کردن بار سوم به سراغ کاغذهای خود می روید و ده دقیقه می گردید تا رمز یادتان بیاید. چون ده دقیقه گذشته و صفر کننده شمارنده، دو دقیقه بوده است حال که مجددا تلاش کنید باز هم 5 بار برای اشتباه کردن فرصت دارید نه سه بار.
این گزینه برای آن است که هکرها و برنامه های خرابکارانه در یک زمان کوتاه تلاش می کنند با وارد کردن رمزهای مختلف به سیستم نفوذ کنند و ممکن است در عرض یک دقیقه صدها رمز را تست نایند که این گزینه در ویندوز جلوی آنها را می گیرد.