مهمترین نقاط آسیب پذیر ویندوز ( بخش سوم )

چهارمین نقطه آسیب پذیر:  (Internet Explorer (IE 
IE ، مرورگر وب پیش فرض نصب شده در پلات فرم ویندوز مایکروسافت است .در صورتیکه نسخه های نصب شده IE در ادامه Patch و بهنگام نگردند ، تمامی آنان دارای نقاط آسیب پذیر خواهند بود . تاکنون حملات متعددی بر اساس نقاط آسیب پذیر در مرورگرهای IE توسط مهاجمان انجام شده است . نقاط آسیب پذیر در IE را می توان به گروههای متفاوتی نظیر : صفحات وب ، بروز اشکال در اینترفیس ویندوز ، کنترل های اکتیو ایکس ، اسکریپت های فعال ، تفسیر نادرست محتوی و نوع MIME و سرریز بافر تقسیم بندی نمود. مهاجمان با استناد به نقاط آسیب پذیر فوق می تواند حملاتی راانجام دهند که پیامد آن  افشاء کوکی ها ، دستیابی به فایل های محلی و داده ، اجراء برنامه های محلی ، دریافت و اجرای کد های دلخواه و یا کنترل کامل سیستم آسیب پذیر است .

سیستم های عامل در معرض تهدید
نقاط آسیب پذیر اشاره شده بر روی تمامی سیستم هائی که از نسخه های  متفاوت ویندوز استفاده می نمایند ، وجود خواهد داشت . مرورگر IE در موارد متعدد و گسترده ای در نرم افزارهای مایکروسافت نصب و عموما" بر  روی اغلب سیستم های ویندوز وجود خواهد داشت . مرورگر IE ، حتی بر روی سرویس دهندگانی که شاید ضرورت استفاده از مرورگر برای آنان چندان وجود ندارد نیز نصب می گردد  .

نحوه تشخیص آسیب پذیر ی سیستم
در صورتیکه بر روی سیستمی مرورگر IE وجود داشته وهنوز آخرین و جدیدترین Patch های امنیتی نصب نشده باشند  ، سیستم در معرض تهدید و آسیب قرار خواهد داشت . در صورتیک سرویس Windows Update بر روی سیستم فعال باشد با مشاهده سایت  http://windowsupdate.microsoft.com/  ، می توان بررسی لازم در خصوص IE و Patch های نصب شده و مورد نیاز را انجام داد. در صورتیکه سرویس Windows Update فعال نشده باشد ، می توان از برنامه HFNetChk و یا Microsoft BaseLine Security Analyzer استفاده نمود. در این راستا می توان از برنامه های Online موجود در اینترنت ( ابزارهای آنالیز مرورگر وب ) نظیر : Qualys Browser Check  که دارای توانائی بسیار بالا و مطلوبی می باشند در جهت بهبود وضعیت امنیتی IE ، استفاده نمود.

نحوه حفاظت در مقابل نقطه آسیب پذیر
Patch های لازم  برای نقاط  آسیب پذیر اشاره شده بمنظور استفاده در مرورگر IE نسخه شش موجود و قابل استفاده است . نسخه های اولیه IE نیز آسیب پذیر بوده و متاسفانه  Patch های لازم در اینخصوص اغلب موجود نمی باشند. در صورتیکه بر روی سیستمی از  نسخه IE 5.5 استفاده می گردد، پیشنهاد می گردد نسخه فوق به شش ، ارتقاء یابد . علت این امر ، عدم وجود patch های لازم در اینخصوص است . در صورتیکه از نسخه IE 6.0 استفاده می گردد ، آن را با آخرین Service Pack ارائه شده ، ارتقاء و بهنگام نمائید . برای دریافت Service Pack های می توان از آدرس :  Internet Explore 6 SP1   استفاده نمود . در این رابطه لازم است که  آخرین Patch جامع  امنیتی ( 822925 ) که باعث اصلاح نقاط آسیب پذیر اضافه دیگری می گردد را نیز بر روی سیستم  نصب نمود.

ایمن سازی IE 
برنامه IE دارای مجموعه ای از امکانات امنیتی بوده که با تنظیم و پیکربندی صحیح آنان می توان وضعیت امنیتی IE رابهبود بخشید . برای نیل به خواسته فوق ، می توان مراحل زیر را دنبال نمود:

• انتخاب گزیته Options از طریق منوی Tools
• انتخاب گزینه Security Tab و فعال نمودن  Custom Level مرتبط با Inetnet Zone .
  اکثر حملات مبتنی بر نقاط آسیب پذیر IE ، بدلیل سوء استفاده از پتانسیل های Active Scripting و ActiveX Controls ، محقق می گردند. بنابراین لازم است ، فعال شدن و بهره برداری از پتانسیل های فوق  با نظارت و آگاهی کاربر انجام شود :
• دربخش  Scripting ، گزینه  Prompt for Allow paste operations via script را  انتخاب تا یشگیری لازم درخصوص محتوی موردنظر از طریق Clipboard  انجام شود. ( لازم است به این نکته اشاره  گردد که  Active Scripting نمی بایست غیر فعال گردد ،چراکه  تعداد زیادی از وب سایت ها  از پتانسیل فوق ، استفاده می نمایند ) .
• انتخاب گزینه Prompt  برای Download signed ActiveX Controls
• انتخاب گزینه Disable  برای Download unsigned ActiveX Controls
• انتخاب گزینه Disable  برای Initialize and script ActiveX Controls not marked as safe
  اپلت های جاوا دارای قابلیت های بمراتب بیشتری نسبت به اسکریپت ها می باشند:
•  در بخش Microsoft VM ، گزینه High safety for Java permissions را در ارتباط با مجوزهای لازم بمنظور اجرای صحیح  اپلت های جاوا و پیشگیری دستیابی به سیستم ، انتخاب گردد.
• در بخش  Miscellaneous ، گزینه Access to data sources across domains ، بمنظور ممانعت از حملات مبتنی بر Cross-site scripting ، غیر فعال گردد.

پنجمین  نقطه آسیب پذیر : Windows Remote Access Services

نسخه های متفاوت ویندوز ، امکانات و تکنولوژی های متفاوتی را در ارتباط با شبکه ارائه و حمایت می نمایند .در این رابطه برخی از امکانات و پتانسیل های ارائه شده در ارتباط با اکثر پروتکل های شبکه ای استاندارد و توانائی های ارائه شده مربوط به تکنولوژی های شبکه ای مختص ویندوز ، مورد حمایت ذاتی ویندوز قرار می گیرند. پیکربندی غیر ایمن و نادرست مواردی همچون اشتراک های  شبکه NETBIOS ، جلسات Anonymous Logon NULL  ، دستیابی راه دور به  ریجستری و فراخوانی از راه دور روتین ها ( RPC ) ، زمینه تهاجمات متعددی را در ارتباط با ویندوز و با استناد به امکانات و قابلیت های شبکه ای آن ، فراهم نموده است .  در ادامه به تشریح هر یک از موارد فوق ، خواهیم پرداخت :

NETBIOS : عدم حفاظت مناسب از منابع اشتراکی
سیتم عامل ویندوز ، امکان  اشتراک فایل و یا فولدرهائی را برای یک ماشین فراهم و بدین ترتیب سایر میزبانان موجود در شبکه قادر به استفاده از منابع به اشتراک گذاشته شده توسط سایر میزبانان بوده و خود نیز می توانند ، منابع موجود بر روی سیستم را با سایرین به اشتراک گذاشته تا زمینه استفاده از منابع فوق برای سایر میزبانان شبکه نیز فراهم گردد . مکانیزم فوق مبتنی بر پروتکل Server Message Block)SMB) و یا Common Internet File System)CIFS) می باشد. پروتکل های فوق ، امکان انجام عملیات بر روی فایل ها را از راه دور برای یک میزبان فراهم می نمایند. ( دقیقا" مشابه وضعیتی که عملیات بر روی یک کامپیوتر محلی انجام می گیرد ) .پتانسیل فوق یکی از امکانات برجسته و قدرتمند ویندوز بوده ولی بدلیل عدم پیکربندی صحیح اشتراک شبکه، می تواند سوءاستفاده از فایل های حیاتی سیستم و کنترل یک میزبان توسط یک مهاجم را بدنبال داشته باشد. برخی از کرم ها و ویروس ها ( نظیر نیمدا که در سال 2001 حیات خود را آغاز و در مدت زمانی کوتاه توانست بسرعت درشبکه منتشر شود ) با استناد و بهره برداری از نقاط ضعف فوق و عدم حفاظت مناسب اشتراک شبکه  ، توانستند نسخه هائی از خود را بر روی میزبانان ، مستقر نمایند. بسیاری از استفاده کنندگان کامپیوتر بدلیل عدم پیکربندی مناسب اشتراک منابع در شبکه ، پتانسیل لازم در خصوص یک تهاجمم و بهره برداری از آن توسط مهاجمان را بصورت ناآگاهانه ایجاد می نمایند. کاربران فوق با اهداف مثبت و تسهیل در ارائه امکان دستیابی سایر همکاران خود ، برخی از منابع موجود بر روی سیتسم ( نظیر درایو ها و یا برخی فولدرها و یا فایل ها ) را به اشتراک گذاشته تاامکان خواندن و نوشتن برای سایر کاربران شبکه فراهم گردد.در صورتیکه پیکربندی مناسبی از منابع به اشتراک گذاشته شده در شبکه انجام شود، ریسک و خطر سوء استفاده و یا تهدیدات بطرز محسوسی کاهش خواهد یافت .

Anonymouse Logon
Null Session ، عملا" به یک Session ایجاد شده بدون اعتبارنامه ( نام و رمز عبور خالی ) ، اطلاق می گردد. از یک Null Session بمنظور نمایش اطلاعات مرتبط  با کاربران ، گروه ها ، منابع اشتراکی و سیاست های امنیتی استفاده می گردد . سرویس های ویندوز NT ،بعنوان Local System account بر روی کامپیوتر محلی اجراء و با سایر سرویس ها ی  شبکه از طریق ایجاد یک null Session ارتباط برقرار می نمایند. ویندوز 2000 و سرویس های  مرتبط ، که بعنوان Local System account بر روی Local Computer اجراء می گردند ، از Local computer account بمنظور تائید سایر سرویس دهندگان، استفاده می نمایند. اکتیو دایرکتوری در مواردیکه بصورت native اجراء  می گردد ، قادربه پذیرش درخواست های Null Session نخواهد بود. در حالت ترکیبی ، اکتیو دایرکتوری ، امکان دستیابی را برای نسخه های قبل از ویندوز 2000  فراهم و قادر به پذیرش درخواست های Null Session خواهد بود . بدین ترتیب با اینکه ویندوز 2000 ونسخه های بعد از آن امکان درخواست های مبتنی برNull Session  را فراهم نمی نمایند ولی بدلیل سازگاری و پاسخگوئی به نسخه های قبل از ویندوز 2000 ، امکان تغییر در سیاست فوق در رابطه با اکتیو دایرکتوری فراهم و این مشکل امنیتی ( Null Session )  می تواند به ویندوز 2000 نیز سرایت نماید . 

دستیابی از راه دور به  ریجستری  ویندوز
 ویندوز 98 ،  CE ،  NT ،  2000 ،  ME و XP از یک بانک اطلاعاتی مرکزی سلسله مراتبی ، که  ریجستری نامیده می شود بمنظور مدیریت نرم افزار ، پیکربندی دستگاهها و تنظیمات کاربر استفاده می نمایند.  مجوزهای نادرست و یا تنظیمات اشتباه امنیتی می تواند زمینه دستیابی از راه دور به ریجستری را توسط مهاجمان فراهم و آنان در ادامه  قادر به سوء استفاده از وضعیت فوق و بمخاطره انداختن سیستم و اجرای کدهای مخرب خواهند بود. 

فراخوانی از راه  دور (Remote Procedure Calls:  RPC )
 تعداد زیادی از نسخه های ویندوز (  NT ،  2000 ،  XP ،  2003 ) از یک مکانیزم ارتباطی Inter-Process  استفاده می نمایند. درچنین مواردی یک برنامه در حال اجراء بر روی یک کامپیوتر میزبان ، قادر به فراخوانی کد موجود در میزبان دیگر و از راه دور می باشد .تاکنون حملات متعددی با استفاده از نقطه آسیب پذیر فوق ، صورت گرفته است . در چنین مواردی یک مهاجم قادر به اجرای کد دلخواه خود بر روی یک میزبان از راه دور می گردد. (بهمراه  مجوزهای مشابه سیستم محلی )  . کرم های  Blaster/MSblast/LovSAN و  Nachi/Welchia  از نقطه آسیب پذیر فوق استفاده کرده اند. در برخی موارد با استفاده از سایر نقاط آسیب پذیر یک مهاجم قادر به انجام حملات از نوع DoS ، در ارتباط با عناصر RPC است .

سیستم های عامل در معرض آسیب
تمامی نسخه های ویندوز در معرض این تهدید  قرار دارند .

نحوه تشخیص  آسیب پذیری سیستم
نحوه تشخییص آسیب پذیری سیستم در رابطه با مسائل NETBIOS :   در این رابطه می توان از تعداد زیادی ابزار بمنظور تشخیص اشکالات امنیتی مرتبط با NETBIOS استفاده نمود.NAT  که از کلمات NetBIOS Auditing Tool اقتباس  شده است ،یک محصول نرم افزار در اینخصوص و  ارائه شده توسط Afentis Security می باشد . NAT ، بررسی لازم در خصوص سرویس اشتراک فایل مربوط به NETBIOS  را بر روی سیستم های مقصد ،انجام و از یک رویکرد مرحله ای بمنظور جمع آوری اطلاعات قبل از تلاش در جهت امکان دستیابی به سیستم فایل، استفاده می نماید . برای آگاهی از نحوه عملکرد برنامه فوق ، می توان  از آدرس  http://www.afentis.com/resources/win32/nat/  استفاده نمود.
کاربران ویندوز 95 و 98  ، می توانند از Legion v2.11 ( آخرین نسخه پویشگر اشتراک فایل Legion ارائه شده توسط Rhino9 )  بمنظور بررسی  وضعیت اشتراک شبکه استفاده نمایند. کابران  ویندوز 2000 ، می توانند از برنامه Security Fridays Share Password Checker ) SPC) بمنظور بررسی اشتراک فایل سرویس گیرندگان ویندوز (نسخه های 95 ، 98 و CE )استفاده نمایند. برنامه فوق ، امکان تشخیص آسیب پذیری سیستم در ارتباط با  Share Level password را فراهم می نماید. کاربران ویندوز NT ( که بر روی آنان SP4 نصب شده باشد ) ، 2000 ،  XP و  2003 ،  می توانند از برنامه BaseLine Security Advisor  استفاده و با اخذ گزارش لازم در خصوص میزبانان آسیب پذیر در رابطه با  SMB ، اقدام به برطرف نمودن مشکل فوق نمایند.
بررسی و تست سیستم های آسیب پذیر را می توان بر روی میزبانان محلی و یا میزبانان از راه دور انجام داد . کاربران ویندوز NT ،  2000 ،  XP و  2003  می توانند با استفاده از دستور net Share و از طریق خط دستور، لیست منابع اشتراکی را مشاهده نمایند (برای آگاهی از اطلاعات تکمیلی در ارتباط با دستور فوق ، می توان از ? / Net Share  ، استفاده نمود ) .
در این مقاله اطلاعاتی در رابطه با تغییر و اصلاح منابع اشتراکی ارائه شده است . بنابراین لازم است ، قبل از انجام هر گونه تغییرات در ارتباط با منابع اشتراکی ، دانش کافی در خصوص برگرداندن منابع به حالت اولیه وجود داشته باشد ( انجام هر گونه تست و اعمال تغییرات می بایست بصورت کاملا" آگاهانه انجام شود ) .  بمنظور کسب اطلاعات بیشتر در رابطه با منابع اشتراکی ، می توان از مقالات زیر استفاده کرد:
- ذخیره و بازیابی منابع اشتراکی  ویندوز
- منابع اشتراکی خاص
- نحوه تنظیم ، مشاهده ، تغییر و یا حذف مجوزهای خاصی در ارتباط با فایل و فولدرها در ویندوز XP
- نحوه غیر فعال نمودن اشتراک ساده شده و حفاظت رمز عبور یک فولدر اشتراکی در ویندوز XP
- نحوه کپی فایل ها و نگهداری مجوزهای اشتراک NTFS

مجوزهای پیش فرض در ارتباط با منابع اشتراکی در هر یک از نسخه های ویندوز  بصورت زیر است :
- ویندوز NT ، ویندوز 2000 و ویندوز XP ( قبل از نصب SP1 ) ، دارای مجوز Everyone و بصورت Full Control می باشند .
- ویندوز XP که بر روی آنان SP1 نصب شده است ، دارای مجوز Everyone و بصورت Read  می باشد .
- ویندوز XP بصورت پیش فرض دارای یک دایرکتوری اشتراکی با نام " ShareDocs " است (C:Documents and SettingsAll UsersDocuments )  که دارای مجوز Everyone و بصورت Full Control می باشد .
اغلب پویشگرهای موجود، بمنظور بررسی وضعیت منابع استراکی قادر به تشخیص Open Share می باشند ( برخی از برنامه ها رایگان نمی باشند) . یکی از  برنانه تست رایگان ،ایمن و سریع بمنظوربررسی وضعیت  SMB مربوط به File Sharing و مسائل آسیب پذیر مرتبط با آن که قابل استفاده در تمامی نسخه های ویندوز است را می توان از سایت  Gibson Research Corporation  دریافت نمود . در این رابطه می توان از ابزارهای پویش اتوماتیک بمنظور تشخیص نقاط آسیب پذیر مرتباط با منابع اشتراکی نیز استفاده نمود :
- NesSus : یک ابزار پویش رایگان ، بهنگام شده و ساده بمنظوراستفاده از راه دور .
- Winfingerprint : پویشگر Win32 Host/Network Enumeration

نحوه تشخیص آسیب پذیری سیستم در مقابل Anonymouse Logon و مسائل مرتبط با آن . بمنظور بررسی آسیب پذیری سیستم در رابطه با Anonymouse Logon ، یک  null Session را با استفاده از دستور زیر و از طریق خط دستور ، فعال می نمائیم .

From Command Line Prompt :

C:>net use \ipaddressipc$ "" /user:""

دستور  فوق ، باعث ایجاد یک اتصال به  منبع اشتراکی  $IPC  در IPaddress مشخص شده و بعنوان کاربر anonymouse ( نام آن در نظر نگرفته شده است  "":  user / ) و با یک رمز عبور Null می گردد( ایجاد hidden interprocess communications )  .در صورتیکه پس از اجرای دستور فوق ،  System error 5 محقق گردد، نشاندهنده عدم وجود مجوز لازم بمنظور انجام این کار بوده و سیستم در معرض نقطه آسیب پذیر فوق ، قرار نخواهد داشت .در صورتیکه پس از اجرای دستور فوق ،  پیامی مبنی بر اجرای موفقیت آمیز دستور بر روی صفحه  نمایش داده شود ، نشاندهنده آسیب پذیری سیستم در مقابل این ضعف امنیتی خواهد بود. از نزم افزارهای معرفی شده  در بخش قبل ( Nessus و Winfingerprint ) نیز می توان بمنظور تشخیص Null Session ،استفاده نمود .

نحوه تشخییص آسیب پذیری سیستم  در مقابل دستیابی از راه دور به ریجستری   ، برنامه NT Resource Kit)NTRK) ، قابل دسترس از طریق مایکروسافت،  شامل یک  فایل اجرائی با نام regdump.exe بوده که بصورت غیر فعال مجوزهای دستیابی به ریجستری را  از طریق یک میزبان ویندوز NT در مقابل سایر میزبانان ویندوز نظیر  XP ، 2000 و یا NT  بر روی اینترنت و یا شبکه داخلی ، بررسی می نماید . علاوه بر ابزار فوق ،  می توان از آدرس  http://www.afentis.com/top20 ، بمنظور آشنائی به سایر ابزارهای موجود ( برنامه های خط دستوری ) نیز استفاده نمود .

- نحوه تشخیص آسیب پذیری  سیستم  در مقابل RPC و مسائل مربوطه  : مایکروسافت در این رابطه یک ابزار hotfix و Patch-cheking  را  با نام Microsoft Baseline Security Analyzer ، ارائه داده است . استفاده از برنامه فوق ، بهترین روش بمنظور تشخیص آسیب پذیری سیستم است. برنامه فوق را می توان از طریق آدرس   http://www.microsoft.com/technet/security/tools/Tools/MBSAhome.asp  دریا فت نمود.

نحوه حفاظت در مقابل نقاط آسیب پذیر
نحوه حفاظت در مقابل حملات مرتبط با NETBIOS  :
 در این رابطه می توان از راهکارهای متعددی بمنظور کاهش تهدیدات مربوطه  استفاده نمود :
- غیر فعال نمودن  sharing  در مواردیکه ضرورتی به استفاده از آن نمی باشد .
- پیشنهاد می گردد سرویس گیرندگان ویندوز 95 ، 98 و CE که بعنوان بخشی از Domain ویندوز NT می باشند ، بصورت User-Level share access control پیکربندی گردند.
- غیر فعال نمودن sharing بر روی میزبانان اینترنت .اشتراک فایل ها با میزبانان اینترنت می بایست از طریق FTP و یا HTTP صورت پذیرد.
- در صورت ضرورت استفاده از sharing ، امکان دستیابی به منابع  به اشتراک گذاشته شده را فقط از طریق کاربران تائید شده و مجاز انجام دهید .بدین ترتیب ، بمنظور استفاده از منبع اشتراکی ، درج  رمز عبور الزامی خواهد بود.
- sharing را صرفا"  محدود به فولدر نمائید .بدین ترتیب ، sharing صرفا" در رابطه با یک فولدر انجام و در صورت ضرورت، می توان  فولدرهای دیگری را درآن ایجاد و آنان را به اشتراک گذاشت .
- بمنظور افزایش ضریب امنیتی ،  می توان امکان sharing را محدود به آدرس های IP نمود. ( امکان دستکاری اسامی DNS می تواند وجود داشته باشد ) .

نحوه حفاظت درمقابل مسائل Anonymouse logon  .
در این مقاله ، اطلاعاتی در رابطه با تغییر ریجستری ارائه شده است ، لذا لازم است قبل از اعمال هرگونه تغییر در ریجستری ، از آن Backup گرفته شده تا در صورت ضرورت ، امکان بازیابی مجدد ( Restore ) آنان وجود داشته باشد.در این رابطه می توان از منابع اطلاعاتی زیر استفاده نمود :

- تشریح ریجستری ویندوز
- نحوه Backup ، ویرایش ، و Restore نمودن ریجستری در ویندوز NT 4.0
- نحوه Backup ، ویرایش و Restore نمودن ریجستری در ویندوز 2000
- نحوه Backup ، ویرایش و Restore نمودن ریجستری در ویندوز XP و ویندوز 2003

کامپیوترهائی که بصورت ویندوز NT Domain Controllers پیکربندی شده اند ، نیازمند یک  Null sessions بمنظور ارتباطات مورد نیاز خود خواهند بود . بنابراین در صورتیکه از یک Windows NT Domain ویا اکتیو دایرکتوری ویندوز 2000 / 2003 که در حالت ترکیبی اجراء شده است ( امکان دستیابی نسخه های قبل از ویندوز 2000 را نیزفراهم می نماید ) ، استفاده می گردد ،  می توان میزان اطلاعاتی را که ممکن است توسط مهاحمان استفاده گردد را کاهش ولی نمی بایست این انتظار وجود داشته باشد که با تنظیم ریجستری  RestrictAnonymouse به مقدار یک ، تمامی زمینه ها و پتانسیل های مربوطه حذف گردند. راه حل ایده آل  در مواردیکه از یک اکتیو دایرکتوری ذاتی ویندوز 2000 , 2003 استفاده می گردد ، مقداردهی RestrictAnonymouse به دو خواهد بود . بمنظور اخذ اطلاعات بیشتر در رابطه با اعمال محدودیت بر اساس null sessions ، می توان از مجموعه مقالات زیر استفاده نمود:
- اعمال محدودیت در ارائه اطلاعا ت  به کاربران Anonymouse  در ویندوز NT
-  نحوه استفاداره از مقدار ریجستری RestrictAnonymouse در ویندوز 2000
بمنظور اشکال زدائی ، مقدار ریجستری RestrictAnonymouse  می توان از مقاله زیر استفاده نمود :
مقدار ریجستری ResteictAnonymous ممکن است باعث شکستن Trust در یک Domain ویندوز 2000 گردد .

نحوه حفاظت در مقابل دستیابی به ریجستری سیستم
بمنظور برخورد با تهدید فوق، می بایست دستیابی و مجوزهای مرتبط به کلیدهای  مهم و حیاتی ریجستری ، بررسی و درصورت لزوم بازنویسی گردند . کاربران ویندوز NT 4.0 ، می بایست از نصب  Service Pack 3 بر روی سیستم خود  قبل از انجام تغییرات مورد نیاز در ریجستری ، مطمئن شوند . در این مقاله ، اطلاعاتی در رابطه با تغییر ریجستری ارائه شده است ، لذا لازم است قبل از اعمال هرگونه تغییر در ریجستری ، از آن Backup گرفته شده تا در صورت ضرورت ، امکان بازیابی مجدد ( restore ) آنان وجود داشته باشد.در این رابطه می توان از منابع اطلاعاتی زیر استفاده نمود :
- تشریح ریجستری ویندوز
- نحوه Backup ، ویرایش ، و Restore نمودن ریجستری در ویندوز NT 4.0
- نحوه Backup ، ویرایش و Restore نمودن ریجستری در ویندوز 2000
- نحوه Backup ، ویرایش و Restore نمودن ریجستری در ویندوز XP و ویندوز 2003

محدودیت دستیابی  شبکه : بمنظور اعمال محدودیت دستیابی به ریجستری از طریق شبکه ، مراحل زیر را بمنظور ایجاد یک کلید ریجستری دنبال می نمائیم :

create the following Registry key

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl SecurePipeServerswinreg Description: REG_SZ Value: Registry Server

مجوزهای امنیتی  کلید فوق ، کاربران و گروههائی را که دارای مجوز دستیابی از راه دور به ریجستری می باشند را مشخص می نماید . در زمان نصب ویندوز ، تنظیمات پیش فرض کلید فوق ، Access Control List بوده که امتیازات و مجوزهای کاملی را در اختیار مدیریت سیستم و گروههای مدیریتی ( Backup Operators در ویندوز 2000 ) قرار می دهد . برای ایجاد یک کلید بمنظور اعمال محدودیت در دستیابی به ریجستری ، مراحل زیر را دنبال می نمائیم :
- اجرای برنامه ریجستری ( Regedit32.exe و یا Regedit.exe )
- جستجو جهت یافتن  کلید : HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl 
- انتخاب گزینه Add Key از طریق  منوی Edit
- درج مقادیر زیر :

Enter the following values:

Key Name: SecurePipeServers Class: REG_SZ

- جستجو جهت یافتن  کلید : HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurePipeServers 
- انتخاب گزینه Add Key از طریق  منوی Edit
- درج مقادیر زیر :

Enter the following values:

Key Name: winreg Class: REG_SZ

 - جستجو جهت یافتن  کلید : HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl SecurePipeServerswinreg  
- انتخاب گزینه Add Key از طریق  منوی Edit
- درج مقادیر زیر :

Enter the following values:

Value Name: Description Data Type: REG_SZ String: Registry Server

 - جستجو جهت یافتن  کلید : HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl SecurePipeServerswinreg   
- انتخاب  winreg ، کلیک بر روی Security و در ادامه Permissions . در این حالت می توان کاربران و گروه های مجاز بمنظور اعطاء مجوز دستیابی به ریجستری را اضافه نمود .
- از برنامه Registry Editor خارج و بمنظور فعال شدن تنظیمات انجام شده ، سیستم را راه اندازی نمائید .
در صورتیکه در ادامه قصد تغییر لیست کاربران مجاز دستیابی به ریجستری وجود داشته باشد ، می توان آخرین مرحله اشاره شده را تکرار نمود.

اعمال محدودیت دستیابی از راه دور تائید شده  : اعمال محدودیت  صریح در ارتباط با ریجستری،  می تواند اثرات جانبی ناسازگاری را در رابطه با سریس های وابسته نظیر Directory Replicator و printer Spooler service ، بدنبال داشته باشد . در این رابطه می توان سطح خاصی از مجوزهای لازم  را با افزودن account name مربوط به سرویس در حا ل اجراء به لیست دستیابی کلید winreg ، و یا با پیکربندی ویندوز بمنظور عدم اعمال محدودیت دستیابی به کلیدهای خاصی  را تعریف نمود ( مشخص نمودن آنان در کلید  AllowedPaths  مربوط به Machine و یا Users ) :

Bypass the access restriction :

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl SecurePipeServerswinregAllowedPaths Value: Machine Value Type: REG_MULTI_SZ - Multi string Default Data: SystemCurrentControlSetControlProductOptionsSystem                CurrentControlSetControlPrintPrintersSystemCurrentControlSet                ServicesEventlogSoftwareMicrosoftWindowsNTCurrentVersionSystem                CurrentControlSetServicesReplicator Valid Range: (A valid path to a location in the registry) Description: Allow machines access to listed locations in the registry provided  that no explicit access restrictions exist for that location. Value: Users Value Type: REG_MULTI_SZ - Multi string Default Data: (none) Valid Range: (A valid path to a location in the registry) Description: Allow users access to listed locations in the registry provided that no explicit access restrictions exist for that  location.

نحوه حفاظت سیستم در مقابل مسائل مرتبط با RPC
 بهترین روش در این رابطه نصب Patch های ارائه شده توسط  MBSA  و یا Windows Update می باشد. در این رابطه روش های متعددی بمنظور غیرفعال نمودن و یا اعمال  محدودیت درارتباط با عملکرد RPC وجود دارد . استفاده از آدرس http://www.ntbugtraq.com/dcomrpc.asp  در این رابطه می تواند مفید باشد . لازم است به این نکته مهم اشاره گردد که غیرفعال نمودن و یا اعمال محدودیت در رابطه با نحوه عملکرد RPC ، می تواند باعث  از کار افتادن برخی سرویس ویندوز گردد ، بنابراین پیشنهاد می گردد که در ابتدا  تغییرات  مورد نظر خود را یک سیستم غیرعملیاتی انجام و پس از اطمینان از صحت عملکرد ، آنان را بر روی سیستم اصلی اعمال نمود.در صورتیکه امکان  Patch نمودن سیستم وجود نداشته باشد ، می بایست پورت های مرتبط با  RPC در ویندوز ( پورت های 135 و139 و 445 و 593  مربوط به TCP و پورت های 135 ، 137 ، 138 ، و 445 مربوط به UDP) را  بلاک نمود.