opsec

کاربر تازه وارد
  • تعداد ارسال ها

    10
  • تاریخ عضویت

  • آخرین بازدید

  • روز های برد

    1

آخرین بار برد opsec در بهمن 14

opsec یکی از رکورد داران بیشترین تعداد پسند مطالب است!

3 دنبال کننده

درباره opsec

  • درجه
    1

آخرین بازدید کنندگان نمایه

بلوک آخرین بازدید کننده ها غیر فعال شده است و به دیگر کاربران نشان داده نمیشود.

  1. لطف میکنی یه توضیحات تکمیلی راجع به این دوتا لینک و Service Login بدی؟ البته وقتی که حوصله داریا 😉
  2. در تکمیل فرمایشات دوست عزیز و استاد گرامی 0r0b4s: انواع ورود به سیستم (Logon Types) Logon Type 0: System (ورود به سیستم نوع 0: حساب کاربری سیستم) این نوع Logon فقط توسط System Account انجام میشود. برای مثال برخی از سرویس ها برای انجام کارهای خود از System Account استفاده می کنند. Logon Type 2: Interactive (ورود به سیستم نوع 2: تعاملی) این نوع Logon زمانی است که شما پشت کامپیوتر مورد نظر نشسته اید و عمل وارد شدن به حساب کاربری را انجام می دهید. البته به این نوع Logon، Console Logon هم گفته می شود. این نوع Logon هم برای Local Account و هم برای Domain Account به حساب می آید. برای اینکه متوجه بشوید که Logon از چه نوعی بوده است، به دنبال اسم کامپیوتر یا شبکه در جلوی اسم کاربر (در توضیحات Event) بگردید. لازم به ذکر است که برخی Logon های مربوط به Terminal Server هم در این دسته قرار می گیرند. Logon Type 3: Network (ورود به سیستم نوع 3: شبکه) زمانی است که از طریق پروتکلی مثل SMB، به فایل ها و پرینترهای به اشتراک گذاشته شده دسترسی پیدا می کنید. مانند موقعی که فایلی را از کامپیوتر دیگری روی کامپیوتر خود کپی می کنید. البته لازم به ذکر است که برخی Logon های شبکه ای (over-the-network) و همچنین اکثر ارتباطات به IIS (ارتباطاتی به IIS که از نوع Basic Authentication نیستند) نیز در این دسته قرار می گیرند. Logon Type 4: Batch (ورود به سیستم نوع 4: دسته ای) این نوع Logon برای کارهای برنامه ریزی شده (Scheduled Tasks) می باشد. مانند موقعی که شما نرم افزار Backup داخل ویندوز را برای اجراع در زمان های معین و با حساب کاربری معینی، برنامه ریزی می کنید. در حقیقت این نوع Logon اغلب برای Batch Server ها به کار می رود که در آنها، پردازش ها می توانند با حساب کاربری یک کاربر و بدون دخالت مستقیم آن کاربر، اجرا شوند. همچنین برای سرور هایی با کارایی بالا که تعداد زیادی احراز هویت های Clear-Text را پردازش می کنند (مانند Mail Server ها و Web Server ها)، این نوع Logon انجام میشود. همچنین کابران خرابکار از این Logon و از طریق Scheduled Tasks برای حدس زدن گذرواژه حساب کاربری (مانند حساب کاربری Administrator) استفاده می کنند. Logon Type 5: Service (ورود به سیستم نوع 5: سرویس) درست همانند Scheduled Task ها، سرویس ها نیز تحت یک حساب کاربری تعیین شده اجرا می شوند. این نوع Logon برای سرویس ها (Services) و حساب های کاربری که برای شروع سرویس ها به کار میروند (Service Accounts)، می باشد. اگر هنگام مشاهده Event Viewer، متوجه Logon نوع 5 نا موفق (Failed) شدید، معمولا به این خاطر است که گذرواژه حساب کاربری تغییر کرده است، ولی این تغییر هنوز روی سرویس اعمال نشده است. همچنین لازم به ذکر است که حساب کاربری مورد نظر می بایست امتیاز (Privilege) اجرا شدن به عنوان سرویس را دارا باشد. Logon Type 6: Proxy (ورود به سیستم نوع 6: پراکسی) زمانی که برای احراز هویت (Authentication) از یک سرور ردیف وسط و میانی (Middle-Tier) استفاده می شود، به این شیوه، احراز هویت Proxy یا Proxy Authentication گفته می شود. این نوع Logon مبوط به Proxy Server ها می باشد، زمانی که ارتباط شما از یک Proxy Server عبور کرده و احراز هویت می شود. شما از طریق یکی از 3 روش زیر، می توانید یک سرور میانی امن برای کلاینت های Proxy خود آماده کنید: • سرور میانی خود را با سرور پایگاه داده (Database Server) و با کلاینت، احراز هویت می کند (هویت خود را روی هر 2 تائید می کند). در این موقعیت، نرم افزار و یا کاربر نرم افزار، خود را از طریق سرور میانی احراز هویت می کند. تمامی اطلاعات مربوط به هویت کلاینت (نام کاربری، گذرواژه و ..) مابین کلاینت و پایگاه داده، تماما روی سرور میانی نگهداری می شود و از طریق سرور میانی به پایگاه داده منتقل می شود. • کلاینت (که در اصل کاربر پایگاه داده است)، توسط سرور میانی احراز هویت نمی شود. هویت کلاینت و گذرواژه مربوط به پایگاه داده، از طریق سرور میانی برای احراز هویت به سرور پایگاه داده ارسال می شوند. • کلاینت (که در این مورد، Global User است)، از طریق سرور میانی احراز هویت می شود، و اسم مختص خود (Distinguished Name) و یا گواهی نامه (Certificate) خود را ارای به دست آوردن نام کاربری کلاینت، از طریق سرور میانی ارسال می کند. Logon Type 7: Unlock (ورود به سیستم نوع 7: باز کردن) زمانی است که کامپیوتر شما قفل (Lock) شده است و شما مجددا گذرواژه خود را وارد می کنید تا به حسای کاربری خود وارد شوید. این قفل شدن کامپیوتر به دلایل امنیتی و برای جلوگیری از کاربران خرابکار به سیستم می باشد. به صورت پیش فرض زمانی که کامپیوتر خود را برای دقایقی ترک می کنید، کامپیوتر شما در حالت محافظ نمایشگر (Screen Saver) قرار می گیرد که برای خارج شدن از این حالت، نیاز به وارد کردن مجدد گذرواژه می باشد. زمانی که گذرواژه مجددا وارد شود، Logon نوع 7 در Event ها ثبت خواهد شد. Logon های نوع 7 ناموفق (Failed)، معمولا نشانگر اشتباه وارد کردن گذرواژه از سوی کاربر می باشند. گرچه میتوانند نشانگر تلاش کاربری خرابکار برای ورود به سیستم نیز باشند. Logon Type 8: Network Cleartext (ورود به سیستم نوع 8: متن قابل مشاهده از طریق شبکه) زمانی است که شما در شبکه Logon می کنید و گذرواژه شما به صورت متن قابل مشاهده (Cleartext) ارسال می شود. این نوع Logon همانند نوع 3 است، با این تفاوت که گذرواژه به صورت متن قابل مشاهده (Cleartext) ارسال می شود. ارتباطی که Authentication آن به صورت Cleartext باشد، از طرف ویندوز سرور رد خواهد شد و Windows Server اجازه این چنین ارتباطی را نخواهد داد (زمانی که اطلاعات رمز نگاری (Encrypt) نشوند، اطلاعات به صورت متن قابل مشاهده (Clear Text) ارسال خواهند شد). نمونه این Logon زمانی است که شما از طریق Basic Authentication به IIS متصل شوید. Basic Authentication فقط زمانی خطرناک خواهد بود که ارباط شما از طریق (SSL (HTTPS، امن نشده باشد. به هر نحوی که این Logon اتفاق بیافتد، کلمه advapi در جلوی رخداد (Event) درج خواهد شد. نکته: Network Cleartext می تواند در ویندوز سرور و اکتیودایرکتوری نیز مورد استفاده قرار بگیرد. شما زمانی که می خواهید کاربر مورد نظرتان رو ایجاد کنید ، میتوانید با استفاده از گزینه Store Password Using Reversible Encryption کاری کنید که رمز عبور شما بصورت ClearText ذخیره شود ، معمولا این تیک را شما زمانی استفاده می کنید که میخواهید با کامپیتورهایی در ارتباط باشید که پروتکل های احراز هویت LAN (مثل NTLM و Kerberos) را شناسایی نمی کنند. به عنوان مثال برای برقراری ارتباط با سیستم عامل MAC مورد استفاده قرار میگیرد. Logon Type 9: New Credentials (ورود به سیستم نوع 9: اطلاعات کاربری جدید) زمانی است که شما نرم افزاری را از طریق دستور RunAs و با Switch مربوط به netonly اجرا می کنید. با استفاده از netonly در جلوی RunAs، نرم افزار های روی کامپیوتر با همان حساب کاربری که Login کرده اید اجرا می شوند، ولی در هنگام ارتباط با کامپیوتر های دیگر از حساب کاربری که برای RunAs مشخص کرده اید اجرا می شوند. در حقیقت netonly فقط در هنگام ارتباط شبکه از حساب کاربری جلوی RunAs استفاده می کند و نه برای انجام کارهای درون همان کامپیوتر (Local). اگر از netonly استفاده نکنید، کامپیوتر برای انجام تمامی کارها از خساب کاربری که برای RunAs مشخص کرده اید، استفاده می کند که در این صورت، Logon از نوع 2 خواهد بود. نمونه ای از دستور RunAs به همراه netonly/ را در زیر مشاهده می کنید: 1 runas /netonly نکته 1: مواقعی هستند که شما نرم افزاری را با حساب کاربری خود اجرا می کنید، ولی با توجه به محدود بودن حساب کاربری شما، دسترسی لازم برای انجام کارهایی که قصد انجامشان دارید، را ندارید. در این مواقع شما از دستور RunAs برای تعیین کردن حساب کاربری دیگری استفاده می کنید که این حساب کاربری، دسترسی و اختیارات لازم برای انجام کارهایتان را دارد. نکته 2: در خصوص استفاده از New Credentials بایستی توجه کنید که این نوع Logon وابسته به سرویسی به نام Secondary Logon Service است و اگر متوجه شدید که نمی توانید از این نوع Logon استفاده کنید، ممکن است که این سرویس غیر فعال باشد که در این صورت می بایست از طریق کنسول Services، این سرویس را فعال نمایید. Logon Type 10: Remote Interactive (ورود به سیستم نوع 10: تعاملی از راه دور) زمانی است که شما از نرم افزارهای تحت RDP مانند Terminal Services، Remote Assistance و یا Remote Desktop استفاده می کنید. این نکته را به خاطر داشته باشید ویندوز های قبل از Windows XP، از Logon نوع 10 استفاده نمی کنند و Logon های مربوط به Terminal Services از نوع 2 خواهند بود. Logon Type 11: Cached Interactive (ورود به سیستم نوع 11: تعاملی ذخیره شده) ویندوز از قابلیتی به اسم Cached Logons برای سهولت کاربران سیار که از لپتاپ استفاده می کنند، پشتیبانی می کند.زمانی که به شبکه متصل نیستید و تلاش می کنید Logon کنید، هیچ Domain Controller موجود نیست که هویت شما را تائید کند. برای برطرف کردن این مشکل، ویندوز یک نسخه از 10 حساب کاربری آخری که روی کامپیوتر تحت دامین Logon کرده اند را نگه میدارد. بعدا زمانی که Domain Controller موجود نیست، ویندوز از این حساب های کاربری برای تائید هویت شما برای ورود به کامپیوتر (با حساب کاربری تحت دامین) استفاده می کند. اگر Domain Controller در هنگام Logon موجود نباشد، در صورتی که قابلیت Cached Logons وجود نداشته باشد، شما قادر به وارد شدن به کامپیوتر نخواهید بود. این نوع Logon زمانی است که شما با حساب کاربری از پیش ذخیره شده (Cached)، وارد حساب کاربری خود می شوید. (لازم به ذکر است که حساب های کاربری Cache شده روی خود کامپیوتر نگه داشته می شوند و نه روی سرور) Logon Type 12: Cached Remote Interactive (ورود به سیستم نوع 12: تعاملی ذخیره شده از راه دور) این نوع Logon، مانند Logon نوع 10 (Remote Interactive) است. زمانی که ارتباط Terminal Service، Remote Desktop، Remote Assistance و ... شما به هر دلیلی قطع شده است و یا خوذ شما ارتباط را قطع نموده اید. شما مجددا گذرواژه خود را برای وارد شدن به کامپیوتر، وارد میکنید. این بار برای احراز هویت شما، ارتباطی با سرور برقرار نمی شود، زیرا از حساب کاربری Cache شده استفاده خواهد شد. (این نوع ورود به سیستم معمولا به صورت درون شبکه ای و داخلی و با هدف بررسی انجام می شود.) Logon Type 13: Cached Unlock (ورود به سیستم نوع 13: بازکردن ذخیره شده) مانند Logon نوع 7 می باشد. ولی این بار از حساب کاربری Cache شده استفاده خواهد شد. به این صورت که شما یک بار کامپیوتر خود را Unlock کرده اید، سپس برای مدتی کامپیوتر را رها می کنید و کامپیوتر مجددا Lock می شود. دفعه بعدی که شما اقدام به Unlock کردن می کنید، این نوع Logon در Event Log ثبت خواهد شد. نویسنده : سعید خلیفی
  3. سلام به خدمت تمامی عزیزان و اساتید گرامی و عزیز خواستم بدونم دقیقا تفاوت های RDP Login و Interactive Login و Network Login و Service Login توی ویندوز رور چیه؟
  4. opsec

    0r0b4s عزیز دمت گرم ❤️ باعرض پوزش فقط سوال اولم رو بد پرسیدم! منظورم اینه که چطور این کار رو باید انجام بدیم؟ ایا منظورتون sandbox هست؟ و از این روش پس از پچ ها استفاده کنیم ؟ منظورتون از دستی زدن همو بحث اعمال محدودیت IP توی فایروال و تغییر پورت های پیش فرض مثل ssh و web و ... هست؟ یا غیر این کارهای دیگه هم میشه انجام داد؟ و خواهشی که دارم از حضور بزرگوارتون اینه که یکی دومورد از این ابزارها که فرمودید رو بهمون معرفی کنید تا بریم دنبالشون و نحوه استفاده کردن ازشون رو یادبگیرم. حق نگهدارتون باشه ان شالله.
  5. opsec

    ممنونم از لطف بی نهایتت که در حق ما انجام میدی. ان شالله خدا عوضش رو بده بهت. یه سوال دارم و اونم از این قسمت هاردنینگ ویندوز سرور -> پچ ها توی پاراگراف پچ ها ه: که چطور روی یه سیستم جدا نصب کنم و مورد برسی قرار بدم؟ راه و روشش به چه گونه است؟ ممنون و یه سوال کلی دیگه ای که دارم ، آیا esxi هم هاردنینگ داره؟ اخه ویندوز سرور و لینوکس کلا یه چیزی هست که ادم میتونه لمس کنه و راحت درک کنه که این سیستم عامل ها هاردنیگ داشته باشن ولی esxi چطور؟
  6. opsec

    سلام خب شما میخوایید ان شالله زحمت اموزش هارنینگ لینولس رو بکشید پرسیدم از دوستان دیگه توی زمینه هاردنینگ ویندوز سرورهای 2012 و 2016 و esxi 5.0 تا esxi 6.5 پیشنهادی راحلی سرفصل و رفرنسی ندارن بفرمایند تا استفاده کنیم؟ و ممنون میشم از شخص شما تا اون زمانی که فرمودید برسه، راهنماییمون کنید که چطور و توی اینترنت سرچ و جستجویی داشته باشیم تا فعلا مطالعه ای مختصر داشته باشیم. سایت خاصی مدنظرتون هست یا عنوان و واژه هایی که بشه ازشون استفاده کرد. ممنون
  7. opsec

    سلام خب لینوکس رو 0r0b4s عزیز ان شالله قرار شده زحمتش رو بکشن. دوستان و اساتید دیگه، نظری ندارن؟
  8. سلام به دوستان عزیز خیلی دنبال این مطلب گشتم توی سایت اما متاسفنه به نتیجه خاصی نرسیدم! دیدم جاش خالیه و گفتم در این مقوله یه تاپیکی بزنم تا از دانش و ترجبیات دوستان استفاده کنیم . هاردنینگ ویندوز سرور ، هاردنینگ سرورهای لینوکس و هاردنینگ esxi و... ممنون میشم از بزرگوارا و اساتیدی که ترجربیات و دانش گرانبهای خودشونو در اختیار ما بگذارند. یاعلی ...
  9. opsec

    خیلی ممنونم از لطفتون دوست عزیز. خب الان پس درکی که من داشتم میتونه درست باشه دیگه! یعنی هموم SOC خودمون یا CSIRT در امنیت کامپیوتر و شبکه! آیـا غـیــــر ایــنـه؟
  10. opsec

    سلام به خدمت تمامی دوستان عزیز. کسی از دوستان راجع به opsec چیزی میدونه؟ بنده سرچ فارسی زدم چیزی دستم نیومد متاسفانه! ممنون میشم از دوستان یه کمک مختری بهم کنه و ی توضیح کوچیکی بهم بده! و سوالی ک برام پیش اومده بعد سرچ ها !!!! -------------------->> ایا opsec همون SOC و NOC میتونه باشه؟