[مهندس بهزاد انصاری]

چگونه یک شبکه بیسیم امن داشته باشیم

===================================

===================================






امروزه حتی در ایران هم اینترنت ADSL به صورت کالایی ضروری در آمده است و استفاده از آن رو به گسترش است. تعداد زیاد لپ تاپ ها و گوشی های موبایل وای فای هم باعث شده که بسیاری از کاربران ADSL به دنبال استفاده از مودم ها و روترهای بیسیم باشند. ولی متاسفانه بحث امنیت این ارتباطات بیسیم به هیچ وجه جدی گرفته نمی شود. وقتی از این کاربران در خصوص اقدامات امنیتی پیشگیرانه سوال می کنی، معمولا همه یک جواب دارند: «ای بابا تو همسایه های ما کی دیگه بلده وایرلس چیه؟ چه برسه به اینکه بخواد کاری هم بکنه!»

خب، به نظر می رسد این افراد تا وقتی که پهنای باند گم نکنند یا دسترسی به مودم شان را از دست ندهند، این داستان را جدی نمی گیرند. البته اگر تنبلی را کنار بگذاریم داشتن شبکه ای امن و مطمئن کار چندان سختی نیست و بیش از ۱۵ دقیقه وقت نمی برد.



۱- در اولین قدم باید آدرسIP مودم یا روترتان را بیابید. این آدرس معمولا روی جعبه مودم بیسیم و یا صفحات اول دفترچه راهنمای آن نوشته شده است. در عکس بالا هم می توانید آدرس IP پیش فرض چند مدل مختلف روتر را ببینید. اگر این دو مورد کمکی به شما برای یافتن IP تان نکرد. می توانید از طریق خط فرمان سیستم و تایپ یک خط دستور، آن را پیدا کنید.



۲- برای ورود به صفحه خط فرمان (Command Prompt) در ویندوز XP این مسیر را دنبال کنید:

Start > Programs > Accessories > Command Prompt


البته راه نزدیک تر برای رسیدن به این بخش استفاده از گزینه Run در منوی Start است و شما با تایپ دستور cmd وارد صفحه خط فرمان می شوید.

Start > Run > cmd



در ویندوز ویستا هم می توانید با تایپ این عبارت در قسمت Search به صفحه خط فرمان وارد شوید.

Start > Search > cmd

در صفحه خط فرمان (که به رنگ مشکی و محیطی کاملا شبیه سیستم عامل داس است) تنها کافی است که دستور ipconfig/all را تایپ کرده و کلید اینتر را بزنید. با این کار کلیه جزئیات مربوط به IP سیستم تان به نمایش در می آید. به دنبال عبارت Default Gateway در این لیست بگردید، معمولا عبارت نمایش داده شده در برابر آن همان IP شما است.



۳- خب، با پیدا کردن آدرس IP قسمت سخت ماجرا را پشت سر گذاشته اید. حالا کافی است که این آدرس را در مرورگرتان وارد کرده و کلید اینتر را بزنید تا به صفحه تنظیمات مودم یا روترتان وارد شوید. البته در این مرحله بسته به نوع مودم ممکن است از شما رمز عبور و نام کاربری خواسته شود که در دفترچه راهنمای آن نوشته شده است و عکس قسمت اول هم می تواند راهنمای مناسبی باشد. اگر مودم شما توسط فرد دیگری تنظیم شده است هنگام نضب اولیه مودم فراموش نکنید که نام کاربری و رمز عبور مودمتان را از نصاب بپرسید. چون ممکن است که وی رمز مودم را عوض کرده باشد. پس از گذراندن این مراحل وارد صفحه ای می شوید که از آنجا به تمامی تنظیمات شبکه بیسیم تان دسترسی دارید. البته شکل ظاهری این صفحه در مدل های مختلف مودم و روتر بسیار متفاوت است و ممکن است کمی شما را به دردسر بیاندازد.



۴- اولین دیوار دفاعی که باید در برابر بیگانگان ایجاد کنید، تغییر نام کاربری و رمز عبور صفحه ورود به تنظیمات مودم است، زیرا در صورتی که فردی بتواند وارد این قسمت شود، به تمام تنظیمات امنیتی شبکه تان دسترسی خواهد داشت. در بخش تنظیمات به دنبال دکمه ای با نام Administration یا Administrator Setting یا چیزی شبیه این باشید. در اینجا می توانید رمز عبور را تغییر دهید و حتی در برخی از مودم ها و روتر ها نام کاربری را هم تغییر دهید و یا از یکی دیگر از نام های کاربری موجود در تنظیمات به جای کلمه admin استفاده کنید.



۵- مودم یا روترتان معمولا توسط ابزارهایی که دارای قابلیت وای فای هستند، قابل جستجو است و در این جستجو با نام کارخانه سازنده یا نام های عمومی از قبیل WLan نمایش داده می شود. یکی دیگر از دیواره های دفاعی قلعه شما تغییر این نام و استفاده از اسامی خاصی است که چندان معنا و جذابیتی برای فرد جستجوگر نداشته باشد و مشخص کننده نوع ارتباط یا جنس مودم تان نباشد. مثلا کلمه D-Link نشان دهنده این است که شما از یک مودم بیسیم د-لینک استفاده می کنید، که هر فرد حرفه ای IP، نام کاربری و رمز عبور اولیه آن را می داند. استفاده از نام Ahmad's Network نشان دهنده این است که شما با یک شبکه اینترنت بیسیم شخصی سروکار دارید که ممکن است دارنده آن آشنایی چندانی با مسائل امنیت شبکه نداشته باشد، پس نفوذ به آن کار چندان سختی نباید باشد.

۶- یکی دیگر از قابلیت های مودم ها و روتر های بیسیم امکان رمز گذاری اطلاعات رد و بدل شده در شبکه است. بسته به نوع ابزار مورد استفاده، می توانید از سه روش رمز گذاری استفاده کنید. که به ترتیب امنیت عبارت اند از:

الف: WPA2 (Wi-Fi Protect Access 2)- امن ترین شیوه رمز گذاری اطلاعات در شبکه های بیسیم است که امروزه معمولا در بیشتر مودم های بیسیم و روتر ها یافت می شود. در صورتی که مودم یا روتر شما هم این گزینه را دارد، حتما حتما از آن استفاده کنید.

ب: WPA (Wi-Fi Protected Access)- اگر سیستم رمز گذاری بالا را در مودم تان نیافتید، می توانید از این گزینه هم استفاده کنید که امنیت کمتر، اما قابل قبولی دارد.

پ: WEP (Wired Equivalent Privacy - یکی از ناامن ترین سیستم های رمزنگاری است که باید مودم یا روترتان بسیار قدیمی باشد تا مجبور به استفاده از این گزینه باشید. اما به یاد داشته باشید که حتی این گزینه هم بسیار بهتر و امن تر از عدم استفاده از سیستم رمزگذاری است. اما باید بدانید که رمزنگاری در این روش به راحتی قابل شکستن است.

بسته به اینکه کدام یک از این سیستم های رمزگذاری را انتخاب کرده باشید، باید برای رمزنگاری اطلاعات تان رمز عبوری بین ۷ تا ۶۲ کاراکتر را انتخاب کنید.



۷- آخرین مرحله هم مراقبت از نام کاربری و رمزهای عبوری است که برای امنیت بالاتر ساخته اید. می توانید آنها را در دفترچه راهنما یا جعبه ی مودم تان بنویسید یا اینکه به حافظه تان اعتماد کنید و آنها را به خاطر بسپارید. البته فراموش کردن این اطلاعات تنها باعث زحمت دوباره تنظیم مودم خواهد شد، زیرا همه مودم و روترها در زیر خود کلیدی را برای ریست کردن دارند که باعث می شود تمام تنظیمات مودم به تنظیمات کارخانه ای برگردند. برای انجام این کار نیاز به سنجاق یا یک شیئ نازکی دارید تا این کلید را بفشارید. فراموش نکنید که آن را حداقل ۱۰ تا ۱۵ ثانیه نگه دارید.

تنها به خاطر داشته باشید که بعد از ریست کردن، حتما این تنظیمات امنیتی را دوباره انجام دهید.

[مهندس بهزاد انصاری]

کاربر و گروه پیش ساخته در IIS7.0



=========================

=========================

در ورژن قبلی IIS یعنی ورژن 6.0 یک کاربر پیش ساخته به نام IUSR_MachineName وجود داشته که در آن MachineName نام کامپیوتر است. به صورت پیش فرض چنانچه anonymous authentication فعال باشد از این کاربر استفاده می شد. همچنین گروهی به نام IIS_WPG موجود بود که اکثر مدیران شبکه به این گروه مجوز های دسترسی لازم را می دادند و زمانی که مثلا زمانی که یک Application Pool Account جدید می ساختند تنها کافی بود کاربر مورد نظر را عضو این گروه کنند. این روش به خوبی کار می کرد هر چند مشکلاتی را ایجاد می کرد مثل این سناریو:

در ویندوز هر user یک عدد یکتا مخصوص به خود دارد که به آن SID گفته می شود. SID کوتاه شده ی security identifier است. زمانی که یک ACL ایجاد می شود(1)، فقط از SID ها برای ذخیره سازی مجوز های داده شده استفاده می شود. در طراحی ورژن قبلی IIS کاربر IUSR_MachineName در فایل metabase.xml استفاده می شد بنابراین اگر می خواستید metabase.xml را از یک سیستم کپی و در سیستم دیگری paste کنید، کار نمی کرد چرا که اکانت مربوط به IIS در کامپیوتر دیگر، نام دیگری داشت. همچنین با دستور Xcopy /o نیز امکان کپی کردن مجوز ها موجود نبود چرا که SID ها نیز در بین دو سیستم متفاوت بود. همین مسئله در خصوص گروه IIS_WPG وجود داشت.

1: برای دسترسی به فایل ها باید مجوز های NTFS داشت. لیست این مجوز ها ACL گفته می شود. برای اطلاعات بیشتر این مقاله را بخوانید.

در نسخه جدید IIS یعنی IIS 7.0 بهبود های امنیتی و کارایی چشمگری صورت گرفته که یکی از مهمترین آن ها این مورد است. چرا که سناریوی انتقال، سناریوی تقریبا متداولی است.

1. کاربر IUSR :

کاربر IUSR جایگزین کاربر IUSR_MachineName شده است. از آنجایی که این کاربر پیش ساخته است نیازی به داشتن پسورد وجود ندارد. هر چند این تصور اشتباه است، اما فرض کنید مشابه LOCALSERVICE عمل می کند. اما همانطوری که در گذشته اشاره شد، IIS 7.0 ابزار مدیریتی FTP ندارد و همچنان از ابزار IIS 6.0 استفاده می کند. بنابراین به اجبار اکانت IUSR_MachineName همچنان وجود دارد. البته این اکانت تنها زمانی ساخته می شود که FTP یا IIS 6.0 Manager نصب شود. اگر فایل applicationHost.config را نگاه کنید تعریف زیر را در مورد اکانت IUSR می بینید:

<anonymousAuthentication enabled="true" userName="IUSR" defaultLogonDomain="" />

این خط به سرویس IIS می گوید که می خواهیم از اکانت IUSR برای دسترسی های ناشناس (anonymous) استفاده شود. با IIS 7.0 دیگر نگران Expire شدن پسورد نباشید و یا به راحتی هر مجوز NTFS دلخواه را بدهید و با XCOPY /o می توانید آنها را به کامپیوتر دیگری منتقل کنید.


نقطه ای نگران کننده ای که وجود دارد این است که همانطوری که گفته شد، IUSR مشابه LOCALSERVICE عمل می کند. مسئله این است که IUSR دارای برتری هایی نسبت به LOCALSERVICE است. اگر می خواهید که سیاست های خاصی را به anonymous authentication اعمال کنید، تنها راه ان است که یک اکانت بسازید و سپس در IIS تنظیمات لازم را انجام دهید:


1.در Run وارد کنید INetMgr.exe .


2.در نوار Connections سایت مورد نظر را انتخاب کنید و authentication را بزنید.


3.Anonymous Authentication را انتخاب کنید و اکانت مورد نظر خود را وارد کنید.


2. گروه IIS_IUSRS :


همانطوری که در قبل اشاره شده،گروه IIS_IUSRS جایگزین گروه IIS_WPG شده است. این گروه برای تضمین دسترسی به فایل ها و منابع موجود روی سیستم است. از آنجایی که یک گروه Built-in است، مشکلات Xcopy دیگر وجود نخواهند داشت چرا که SID این گروه در تمام ویندوز های سرور 2008 که IIS 7.0 آن فعال شده است، یکسان است. ویژگی جدید IIS 7.0 این است که چنانچه یک اکانت برای اجرای یک Application Pool انتخاب شود دیگر نیازی نیست که عضو گروه IIS_IUSRS شود، چنانچه می خواهید این ویژگی غیر فعال باشه همانند کد زیر مقدار manualGroupMembership را به True تغییر دهید:

<applicationPools>
<add name="DefaultAppPool">
<processModel manualGroupMembership="true" />
</add>
</applicationPools >

[مهندس بهزاد انصاری]

نصب یک مجوز SSL در IIS7.0 یا https




==============================

==============================

مراحل نصب کردن یک مجوز به صورت زیر است:

- دریافت یک مجوز مناسب
- تنظیم Binding سایت با https
- تست کردن با Browse کردن
- تنظیم SSL (اختیاری)

روش پیاده سازی SSL در ویندوز ویستا و سرور 2008 به صورت کلی نسبت به XP و سرور 2003 تغییر کرده. در ویندوز ویستا و سرور 2008 ، HTTP.sys در kernel mode عمل رمزنگاری / رمزگشایی را انجام می دهد که 20% در سرعت و عملکرد بهتر است. اما همانطور که به ذهنتان رسید، بردن SSL در kernel mode یعنی نگه داشتن اطلاعات SSL binding در دو نقطه.اول اطلاعات SSL binding در %windir%\system32\inetsrv\applicationHost.config ذخیره می شود. زمانی که Site استارت می شود، IIS 7.0 بایندینگ ها را به HTTP.sys می فرستد و HTTP.sys شروع به پذیرفتن درخواست ها IP:PORT می کند. دوم تنظیمات بایندیگ که با ssl پیوند خورده است در HTTP.sys ذخیره می شود. می توان از ابزار netsh برای مشاهده ی تنظیمات ذخیره شده در HTTP.sys استفاده کرد. دستور زیر را در خط فرمان (CMD) وارد کنید.

netsh http show sslcert

1. دریافت یک مجوز : دریافت یک Certificate باید از یک Certificate Server صورت گیرد. در اینجا قصد ندارم در خصوص چگونگی دریافت یک Certificate صحبت کنم اما در اینترنت باید از شرکت های معتبری مثل VeriSign یا GeoTrust یک Certificate تهیه شود چرا که دادن یک مجوز باید دارای مرجع صادر کننده معتبر باشد، در غیر این صورت بی اعتبار است. در شبکه های Enterprise به علت کاهش هزینه، مورد اعتماد نبود طرفین و… از Certificate Service های خود گاها استفاده می شود و قطعا نیازی به معتبر بودن روی اینترنت وجود ندارد. در اینجا فرض می کنیم که هیچ Certificare Server وجود ندارد و از یک Self-signed Certificate استفاده می کنیم چرا که مورد اعتماد بودن برایمان هیچ اهمیتی ندارد و فقط در حال آزمایش هستیم.برای شروع، IIS Manager را باز کنید و در نوار سمت چپ ( Connections ) سرور را انتخاب کنید.

اکنون در تنظیمات Server Certification از نوار سمت راست ( Actions ) گزینه Create Self-Signed Certificate را انتخاب می کنیم. چنانچه از یک Cetificate Service ، مجوز را دریافت کردیم، Complete Certificate Request را می زنیم.





2. تنظیم Binding سایت با HTTPS : برای این منظور در نوار سمت چپ ( Connections ) ، سایت مورد نظر را انتخاب می کنیم و سپس در نوار سمت راست ( Actions ) گزینه Binding را می زنیم. بر حسب آنچه که می خواهید انجام دهید، Edit یا Add را بزنید و در SSL Certificate ، مجوز مورد نظر خود بسازید.









3. تست کردن با Browse کردن سایت: اکنون با گزینه Browse در نوار سمت راست، آزمایش می کنیم. دقت کنید که گزینه مربوط به HTTPS را انتخاب کنید. می دانیم پورت انتقال Http پورت 80 و https پورت 443 است. در مشاهده سایت، Internet Explorer به شما هشداری مبنی بر مشکلی در Certficate سایت می دهد. با گزینه Coninue ، اجازه دهید تا سایت نمایش داده شود. علت آن است که از Self-Signed Certificate استفاده شده که مرجع صادر کننده آن معتبر نیست.





4. تنظیم SSL : در آخرین مرحله تنظیم می کنیم که آیا استفاده از SSL اجباری باشد یا خیر. در نوار سمت چپ سایت مورد نظر را باز می کنیم و SSl Settings را انتخاب می کنیم.

[مهندس بهزاد انصاری]

Ntdsutil.exe از کجا می فهمد که وضعیت AD Restore mode هست؟





==============================

==============================

NTDSUTIL ابزاری است که در بسیاری از عملیات نگه داری پایگاه داده (DataBase) مربوط به AD استفاده می شود. مثل defragment پایگاه داده، Move کردن DB مربوط به AD و یا Log file ها و...


NTDSUTIL به شما اجازه می دهد تا بسیاری از اعمال را زمانی که AD ، UP است و در حال اجرا است را انجام دهید در حالی که برخی از اعمال باید در Restore mode انجام شود. زمانی که DC به صورت Restore mode بالا می آید، DC مقدار متغییر safeboot_option را disrepair می گذارد.


در زمانی که می خواهید به عملکرد های محافظت شده NTDSUTIL در زمانی که در restore mode نیستید دست یابید، با error زیر مواجه می شوید:

C:\WINDOWS>ntdsutil

ntdsutil: files

*** Error: Operation only allowed when booted in DS restore mode

"set SAFEBOOT_OPTION=DSREPAIR" to override - NOT RECOMMENDED!

ntdsutil:

با استفاده از دستور زیر می توانید کلک بزنید و این عمل را در خارج از restore mode انجام دهید.

هشدار : مسئولیت نتایج منفی آن به عهده خودتان خواهد بود. این عمل ممکن است سبب صدماتی شود . توصیه می شود فقط در محیط آموزشی این عمل را انجام دهید.

set SAFEBOOT_OPTION=DSREPAIR

توجه : command فوق را در یک پنجره CMD دیگر بزنید ، نه پنجره ای که در آن ntdsutil اجرا می شود.

[مهندس بهزاد انصاری]

نصب Active Directory به صورت Unattended




==============================

==============================



در این مقاله قصد دارم تا توضیحی مختصر ارائه دهم که چگونه می توان یک Answer File برای نصب اتوماتیک
Active Directory Domain Service در ویندوز سرور 2008 ساخت. واقعا ساختن یک Answer File به این منظور به اندازه ای که همه می گویند دشوار نیست و حتی می تواند بدون نوشتن مستقیم صورت پذیرد. نصب با استفاده از یک Answer File، که متداولا بین مدیران شبکه نصب Unattended گفته می شود، نیاز حضور یک مدیر را برای نصب Active Directory و استفاده از ویزارد ( Wizard ) مربوطه ( DCPromo ) را حذف می کند. همچنین دانش این کار زمانی که از Core Edition استفاده می کنید بسیار دارای اهمیت است.

برای ساختن یک Answer File دو راه وجود دارد. راه اول ساختن آن فایل به صورت دستی و در واقع یک کپی پیست کردن ساده در یک فایل متنی است که در این مقاله بررسی می کنم. راه دیگر گذرندان ویزارد DCPromo است و در زمان اتمام ذخیره تنظیمات در یک فایل و کنسل کردن عملیات که درباره این روش هم اشاره ای خواهم کرد.

1) ساختن Answer File به صورت دستی:

در اینجا چند مثال کاربردی می زنم که می توانید به راحتی با تغییر دادن آن ها، تنظیمات دلخواه خود را اعمال کنید.

قسمت های در بخش "[DCINSTALL]" مربوط به نصب و یا حذف قرار می گیرد. به عنوان مثال من فقط در خصوص نصب مثالی ذکر می کنم. برای اطلاعات بیشتر می توانید به مقاله شماره ی KB 947034 در مایکروسافت مراجعه کنید.

[DCINSTALL]

InstallDNS=yes
NewDomain=forest
NewDomainDNSName=erfan.local
DomainNetBiosName=erfan
SiteName=Default-First-Site-Name
ReplicaOrNewDomain=domain
ForestLevel=3
DomainLevel=3
DatabasePath="%systemroot%\NTDS"
LogPath="%systemroot%\NTDS"
RebootOnCompletion=yes
SYSVOLPath="%systemroot%\SYSVOL"
SafeModeAdminPassword=P@ssw0rd1

- DomainLevel : این قسمت domain functional level را مشخص می کند. و زمانی که دامین جدیدی در جنگل موجود ساخته می شود بر اساس مقادیر زیر تعیین می شود:
0 برای Windows 2000 Server native mode
2 برای Windows Server 2003
3 برای Windows Server 2008

- ForestLevel : این قسمت forest functional level را مشخص می کند و زمانی که جنگل جدید ساخته می شود بر اساس مقادیر زیر تغیین می شود:
0 برای Windows 2000 Server
2 برای Windows Server 2003
3 برای Windows Server 2008

تذکر: زمانی که دامین جدیدی را در جنگل موجود می سازید نباید از این قسمت استفاده کنید. این قسمت جایگزین SetForestVersio در ویندوز سرور 2003 شده است.

RebootOnSuccess : مشخص کننده این است که در پایان سرور restart شود یا نه. به یاد داشته باشید که برای اعمال تغییرات restart الزامی است. مقادیر موجود عبارت اند از :
Yes No NoAndNoPromptEither

در خصوص child domain :

[DCINSTALL]

ParentDomainDNSName=erfan.local
UserName=administrator
UserDomain=erfan
Password=P@ssw0rd1
NewDomain=child
ChildName=test
SiteName=Default-First-Site-Name
DomainNetBiosName=test
ReplicaOrNewDomain=domain
DomainLevel=3
DatabasePath="%systemroot%\NTDS"
LogPath="%systemroot%\NTDS"
SYSVOLPath="%systemroot%\SYSVOL"
InstallDNS=yes
CreateDNSDelegation=yes
DNSDelegationUserName=administrator
DNSDelegationPassword= P@ssw0rd1
SafeModeAdminPassword=P@ssw0rd1
RebootOnCompletion=yes

- CreateDNSDelegation : این قسمت مشخص می کند که آیا یک DNS delegation برای یک دی ان اس سرور جدید ایجاد شود و یا نه. در خصوص AD DS–integrated DNS تنها کار می کند.

- DNSDelegationPassword : این قسمت مشخص کننده ی کلمه عبوری است که برای ساخت و یا حذف DNS delegation استفاده می شود. می توانید از * برای سوال کردن از کاربر استفاده کنید.

- DNSDelegationUserName : این قسمت مشخص کننده ی نام کاربری است که برای ساخت و یا حذف DNS delegation استفاده می شود. اگر مقداری برای این قسمت مشخص نشود، به صورت پیش فرض از اعتباری که برای نصب اکتیو دایرکتوری استفاده شده است، استفاده خواهد شد.

- SiteName : به صورت پیش فرض Default-First-Site-Name است و مشخص کننده ی site name است البته زمانی که جنگل جدید ساخته می شود.
برای ساختن درخت جدید در جنگل موجود:

[DCINSTALL]

UserName=administrator
UserDomain=erfan
Password=P@ssw0rd1
NewDomain=tree
NewDomainDNSName=otherlab.local
SiteName=Default-First-Site-Name
DomainNetBiosName=otherlab
ReplicaOrNewDomain=domain
DomainLevel=3
DatabasePath="%systemroot%\NTDS"
LogPath="%systemroot%\NTDS"
SYSVOLPath="%systemroot%\SYSVOL"
InstallDNS=yes
CreateDNSDelegation=yes
DNSDelegationUserName=administrator
DNSDelegationPassword= P@ssw0rd1
SafeModeAdminPassword=P@ssw0rd1
RebootOnCompletion=yes

در خصوص additional domain controller :

[DCINSTALL]

UserName=administrator
UserDomain=erfan
Password=P@ssw0rd1
SiteName=Default-First-Site-Name
ReplicaOrNewDomain=replica
DatabasePath="%systemroot%\NTDS"
LogPath="%systemroot%\NTDS"
SYSVOLPath="%systemroot%\SYSVOL"
InstallDNS=yes
ConfirmGC=yes
SafeModeAdminPassword=P@ssw0rd1
RebootOnCompletion=yes

در خصوص دامین کنترلر اضافی که از متد ( Install From Media ( IFM استفاده
می کند:

[DCINSTALL]

UserName=administrator
UserDomain=erfan
Password=P@ssw0rd1
DatabasePath="%systemroot%\NTDS"
LogPath="%systemroot%\NTDS"
SYSVOLPath="%systemroot%\SYSVOL"
SafeModeAdminPassword=P@ssw0rd1
CriticalReplicationOnly=no
SiteName=Default-First-Site-Name
ReplicaOrNewDomain=replica
ReplicaDomainDNSName=erfan.local
ReplicationSourceDC=dc1.erfan.local
ReplicateFromMedia=yes
ReplicationSourcePath=
RebootOnCompletion=yes

- ReplicateFromMedia : مشخص کننده ی فرایند برداشتن اطلاعات اکتیودایرکتوری در متد IFM است.

- ReplicationSourcePath : مشخص کننده محلی است که فایل های IFM در آن قرار دارند.

در خصوص دامین کنترلرهای فقط خواندنی:

[DCINSTALL]

UserName=administrator
UserDomain=petrilab
Password=P@ssw0rd1
PasswordReplicationDenied=
PasswordReplicationAllowed =
DelegatedAdmin=
SiteName=Default-First-Site-Name
CreateDNSDelegation=no
CriticalReplicationOnly=yes
ReplicaOrNewDomain=ReadOnlyReplica
ReplicaDomainDNSName=petrilab.local
DatabasePath="%systemroot%\NTDS"
LogPath="%systemroot%\NTDS"
SYSVOLPath="%systemroot%\SYSVOL"
InstallDNS=yes
ConfirmGC=yes
RebootOnCompletion=yes

2) استفاده از ویزارد DCPromo :

روی یک سرور دیگر ویزارد DCPromo را با استفاده از تایپ دستور DCPromo و روش عادی نصب اکتیودایرکتوری پیش بگیرید و در پایان تنظیمات را در یک فایل ذخیره نمایید. ( این ویژگی جدید در ویندوز سرور 2008 است) و با زدن دکمه یExport Settings یک فایل در %systemdrive% ایجاد می شود.


برای استفاده از فایل پاسخ answer file ای که ساخته اید از دستور زیر و سوییچ /unattend استفاده کنید:

dcpromo /unattend:

توجه : این ویزارد بدون چک کردن موارد مورد نیاز به شما اجاره نمی دهد که از یک صفحه ی ویزارد به صفحه بعدی بروید. پس از یک دامین کنترولر نمی توانید برای ساخت Answer File استفاده کنید.
همچنین نمی توانید از این ویزارد برای ساخت replica نمی توانید استفاده کنید اگر نسخه اصلی هنوز ساخته نشده. در ضمن در هر صورت دانستن اطلاعات روش اول را به شما توصیه می کنم.

[مهندس بهزاد انصاری]

چگونه پس از نصب ویندوز ۷، ویندوز قبلی مان را بازگردانیم؟





================================================== ======

================================================== ======







اگر مدتی است که بار خود را بسته اید و به ویندوز هفت نقل مکان کرده و شاید به دلایلی قصد بازگشت به ویندوز قبلی خود را دارید، این مطلب برای کمک به شماست، اما بایستی یک شرط را رعایت کرده باشید و اینکه:
شرط ضروری : بوسیله ی گزینه ی Upgrade ویندوز قبلی خود را به ویندوز ۷ ارتقاء داده باشید.
اگر این شرط ضروری را رعایت کرده باشید هنوز فایلهای قبلی شما درون فولدری بنام Windows.old وجود خواهند داشت. این فولدر امکان بازگشت به سیستم عامل قبلی را برای شما فراهم می کند. اصلاً به همین دلیل این فولدر وجود دارد. خوب مراحل را شروع می کنیم:

مرحله اول:

مطمئن شوید که فولدر Windows.old وجود دارد و همچنین در پارتیشنی که ویندوز نصب است، فضای کافی وجود دارد.
۱. بروی Start ، و سپس بروی Computer کلیک کنید.
۲. از منوی View بروی گزینه ی Details کلیک کنید.
۳. در ستون Free Space توجه کنید که چه مقدار فضا در دسترس برای پارتیشن (:C) نوشته شده است.
۴. در ناحیه Hard Disk Drives برو :C دوبار کلیک کنید و سپس مطمئن شوید که فولدر Windows.old وجود دارد. اگر این فولدر وجود نداشته باشد، شما قادر به بازگردانی سیستم عامل قبلی خود نخواهید بود.
۵. بروی فولدر Windows.old راست کلیک کنید.
۶. ویندوز هفت بعد از چند ثانیه فضایی را که این فولدر اشغال کرده است را به شما نشان می دهد.
مطمئن شوید که فضایی را که فولدر Windows.old اشغال کرده است کوچکتر از فضای خالی پارتیشن C باشد. به عبارت دیگر فضای کافی درون پارتیشن ویندوز خود داشته باشید.

مرحله دوم:

اجرای Windows Recovery Environment
1. دیسک ویندوز ۷ را درون دی وی دی رام خود قرار دهید و کامپیوتر خود را ریستارت کنید.
۲. هنگامی که ستاپ ویندوز نیاز به راه اندازی دارد، دکمه ای را برای راه اندازی ستاپ ویندوز هفت فشار دهید.
۳. در پنجره ی نصب ویندوز، زبان، زمان، پول رایج و … را وارد کرده و بروی دکمه ی Next کلیک کنید.
۴. سپس در گزینه ظاهر شده بروی گزینه ی Repair کلیک کنید.
۵. هنگامی که پنجره ی System Recovery Options باز شد، ورژنی ویندوز ۷ خود را انتخاب نموده و بروی دکمه ی Next کلیک کنید.
۶. و در آخر در پنجره ی System Recovery Options، بروی Command Prompt کلیک کنید.
پنجره ی Command Prompt باز می گردد، و شما قادر هستید تا فرمانهای مورد نظر خود را وارد نمایید. فرمانهای مورد نظر را در مراحل بعدی به شما خواهیم گفت…

مرحله سوم:

انتقال فولدر ویندوز ۷ را به فولدر Win7
توجه کنید زمانیکه شما در پنجره ی Command Prompt یک یا چند فرمان را وارد می کنید، برای اینکه هر فرمان اجرا شود باید دکمه ی Enter را فشار دهید، که البته ممکن است پیغام زیر را دریافت کنید:
“The system cannot find the file specified.”
یعنی سیستم نمی تواند فایل مورد نظر را بیابد. اگر شما چنین پیغامی را دریافت کردید، به مرحله ی بعدی بروید.
بعد از تایپ هر دستور دکمه ی Enter را فشار دهید، و دستور بعدی را تایپ کنید:

C:

Md Win7

Move Windows Win7\Windows

Move "Program Files" "Win7\Program Files"

Move Users Win7\Users

Attrib –h –s –r ProgramData

Move ProgramData Win7\ProgramData

Rd "Documents and Settings"

مرحله چهارم:

کپی یا انتقال فایلهای درون فولدر Windows.old
توجه کنید زمانیکه شما در پنجره ی Command Prompt یک یا چند فرمان را وارد می کنید، برای اینکه به مرحله ی بعدی بروید باید دکمه ی Enter را فشار دهید، که البته ممکن است پیغام زیر را دریافت کنید:
“The system cannot find the file specified.”
یعنی سیستم نمی تواند فایل مورد نظر را بیابد. اگر شما چنین پیغامی را دریافت کردید، به مرحله ی بعدی بروید.
بعد از تایپ هر دستور دکمه ی Enter را فشار دهید، و دستور بعدی را تایپ کنید:

move /y "c:\Windows.old\Program Files" c:\

move /y c:\Windows.old\ProgramData c:\

move /y c:\Windows.old\Users c:\

move /y "c:\Windows.old\Documents and Settings" c:\

مرحله پنجم: بازیابی بوت سکتور برای نصب ویندوز قبلی
توجه کنید که در فرمان های زیر درایو به معنی درایو دی وی دی رام (DVD drive) است. اگر در کامپیوتر شما نام درایور دی وی دی شما چیز دیگری است مثل :E یا :F و … در دستورات زیر آن نام را جایگزین D کنید.
اگر ویندوز قبلی شما Windows Server 2003، Windows XP و یا Microsoft Windows 2000 بوده است، دستور زیر را تایپ کرده و دکمه ی Enter را تایپ کنید:

D:\boot\bootsect /nt52 c:

و اگر ویندوز قبلی شما ویندوز ویستا بوده است، فرمان زیر را تایپ کنید:

D:\boot\bootsect /nt60 c:

مرحله ی ششم: بازیابی فایل Boot.ini برای ویندوز قبلی (۲۰۰۰ و XP)
توجه کنید که اگر ویندوز قبلی شما ویندوز XP و یا ۲۰۰۰ بوده است، این مرحله بایستی انجام پذیرد، در غیر این صورت این مرحله را انجام ندهید.
فرمانهای زیر را تایپ کرده و بعد از تایپ هر فرمان دکمه ی Enter را فشار دهید:

Attrib –h –s –r boot.ini.saved

Copy boot.ini.saved boot.ini

مرحله ی هفتم: بستن پنجره ی Command Prompt و راه اندازی مجدد سیستم
فرمان زیر را تایپ کرده و دکمه ی Enter را فشار دهید:
exit
سیس بروی Restart کلیک کرده تا کامپیوتر شما ریستارت شود.
الان سیستم شما به ویندوز قبلی باز گردانده شده است، امیدوارم که این آموزش برایتان مفید واقع شده باشد…

[مهندس بهزاد انصاری]

Cache یا حافظه نهان پردازنده چیست؟




================================================== ==
================================================== ==









کش در کامپیوتر اصطلاحی است که در مورد برخی قطعات مثل هارد و سی‌پی‌یو بکار می‌رود پس اول به سراغ خود اصطلاح Cache می‌روم تا ببینیم این فناوری چه می‌کند.

کش معمولا در زیر مجموعه حافظه‌ها قرار می‌گیرد و کاربرد اصلی آن هم افزایش سرعت سیستم است بطوریکه قیمت آن همچنان قابل قبول باشد. این فناوری پلی است بین یک منطقه اطلاعات بزرگ با سرعت پائین و محلی که این اطلاعات مورد استفاده قرار می‌گیرد و حالا می‌توانیم بگوئیم کش چیست. وقتی اطلاعات از روی هارد دیسک یا رم فراخوانده می‌شوند این اطلاعات قبل از اینکه به مقصد اصلی برسند در نقطه‌ای ذخیره می‌شوند که به این نقطه کش می‌گوئیم. سرعت انتقال اطلاعات از کش بالاتر از رم و هارد است و بخشی که نیاز به اطلاعات دارد می‌تواند با سرعت بیشتری به آنها دسترسی پیدا کند و در همین فاصله داده‌های دیگر را فرا بخواند یا آن‌ها را به خروجی‌ها منتقل کند. اما همیشه هم اینطور نیست که اطلاعات در کش قابل دسترس باشند و بنابراین اگر اطلاعات در کش باشد به این وضعیت cache hit و اگر نباشد cache miss می‌گویند.





امروزه تقربا تمام هارد دیسکها و DVD درایو‌ها مجهز به این حافظه ذخیره کوتاه مدت هستند که به آن بافر هم گفته می‌شود اما در این قطعات معمولا از یک سطح حافظه استفاده می‌شود و مانند اغلب پردازنده‌های امروزی مجهز به دو و سه سطح از حافظه کش نیستند. با این حال همین مقدار هم تاثیر قابل توجهی در کارایی آنها دارد. اما ببینیم این کش چه تاثیری در پردازنده دارد.
وقتی اطلاعات از روی رم فراخوانده میشوند 60 نانوثانیه (یک ثانیه تقسیم بر 60 میلیارد) طول میکشد تا این اطلاعات در دسترس قرار بگیرند که مدت زمان واقعا کمی است ولی وقتی به چرخه زمانی پردازنده دقت کنیم که تنها 2 نانوثانیه است میفهمیم این زمان برای پردازنده زمانی طولانی است. کش‌های اولیه ابتدا روی مادربورد قرار گرفتند و زمان دسترسی به اطلاعات را به 30 نانوثانیه کاهش دادند و بعد مشخص شد که این مقدار هم کافی نیست و یک لایه دیگر به آن اضافه کردند که این بار این لایه درون پردازنده قرار گرفت و با همان سرعت پردازنده کار می‌کرد. بعدها این ساختار به کلی عوض شد و اکنون علاوه بر این دو لایه یک لایه دیگر همبه حافظه درونی پردازنده اضافه شده که شروع کار آن را می‌توان از زمان ورود پردازنده‌های چند هسته‌ای دانست.





نکته‌ای که در مورد کش باید توجه کرد قیمت این حافظه‌ها است. کش بیشتر ممکن است تاثیر مثبتی روی کارایی داشته باشد اما قیمت ن تا یک حد مشخص برای مصرف کننده قابل قبول است و به همین دلیل معمولا صرف نظر از توانائئ‌های فنی در ساخت پردازنده این نکته هم مورد توجه قرار می‌گیرد. مثال آن هم حجم کش پائین در مدل‌های ارزان قیمت است.
وظیفه تمام این لایه‌ها این است که تا حد امکان داده‌ها را نزدیک پردازنده‌ نگه دارند تا پردازنده مجبور به فراخوانی اطلاعات از فاصله‌ای دورتر با سرعت کمتر و زمان بالاتر نباشد. اینها باعث شده تا در ساختار لایه‌ها مخصوصا لایه دوم و سوم علاوه بر ذخیره اطلاعات مورد نیاز، از اشغال پهنای باند پردازنده با انتقال داده‌ها بین هسته‌ها و ایجاد ترافیک غیرضروری در این ناحیه خودداری شود.
شیوه ذخیره اطلاعات در لایه‌های مختلف نیز متفاوت است. داده‌ها می‌توانند به صورت انحصاری در یک لایه قرار بگیرند یا در لایه‌های مختلف تکرار شوند آنچه مشخص است این که در یک لایه اطلاعات تکرار نمی‌شوند و نمی‌توان دو لایه همسان را در یک لایه پیدا کرد ولی با کاهش سطح لایه‌ها و برای نزدیک‌تر شدن اطلاعات به هسته های پردازشی این داده‌ةا تکرار می‌شوند و در هر سطح می‌توان قسمتی از اطلاعات لایه‌ بالاتر را دید. اینتل و AMD سیاست یکسانی در این مورد ندارند به عنوان مثال در فنوم‌های AMD اطلاعات به صورت انحصاری در یک لایه هستند ولی در اینتل از روش جمع داده‌ها بین لایه‌ها استفاده می‌شود.





فراخوانی اطلاعات از سمت کش نیز میتواند حالت‌های مختلفی داشته باشد. در یکی از این حالتها تنها در یک مسیر اطلاعات روی کش کپی می‌شوند که مزیت‌هایی مثل آدرس‌‌دهی بهتر اطلاعات روی رم را دارد اما در مقابل چندین مسیر برای کپی کردن اطلاعات روی رم بکارگرفته می‌شوند که این روش هم مزایا و معایبی دارد. مزیت آن در این است که اطلاعات روی کش بازنویسی نمی‌شوند و زمان دسترسی به داده‌های رم کوتاه‌تر خواهد بود اما از طرف دیگر مقایسه اطلاعات انتقال داده شده روی کش با رم باعث افزایش زمان تاخیر رم می‌شود. امروزه مشخص شده که استفاده از چند مسیر انعطاف بیشتری را برای پردازنده ایجاد می‌کند و کارایی بهتری دارد. اینتل در پردازنده‌های جدید خود مثل Core i7 و i5 در سطح L1‌ از هشت مسیر برای انتقال دستورالعمل‌ها و از 4 مسیر برای انتقال داده‌ها استفاده می‌کند که در سطح L2‌نیز تقریبا همینطور است و 8 مسیر برای انتقال اطلاعات استفاده می‌شوند در حالی که در لایه سوم 16 مسیر برای ارتباط گذاشته شده است.
اما در AMD شیوه متفاوتی به کار گرفته شده که از مهمترین دلایل اختلاف این نوع پردازنده‌ها با اینتل است. در فنوم‌های چهار‌هسته‌ای برای لایه اول تنها 2 مسیر ایجاد شده که باعث کاهش زمان تاخیر میشود اما در کنار آن ظرفیت لایه L1 افزایش داده شده و 64 کیلوبایت برای دستورالعمل‌ها و 64 کیلوبایت نیز برای داده‌ها است. AMD در لایه‌های بعدی تهاجمی‌تر عمل می‌کند بطوریکه در لایه دوم همان هشت مسیر را استفاده کرده که مشابه اینتل است ولی در لایه سوم 48 مسیر برای انتقال اطلاعات فراهم شده است.






این ساختار و تفاوت معماری کش نمی‌تواند معیار کاملی برای مقایسه محصولات این دو تولیدکننده بزرگ پردازنده باشد و در کنار آن باید به سایر عوامل هم توجه کرد. ولی این نکات از این نظر که تفاوت بین این دو تولید کننده را بدانید بد نیست.
اولین سطح از کش دارای دو بخش است و محلی است که دستورالعمل‌های پردازنده و داده‌های مهم در آن قرار می‌گیرد. این سطح L1 نامیده میشود. AMD اخیرا ( در همین یکی دو ساله) ساختار 64 کیلوبایتی را به کش پردازنده‌هایش اضافه کرد و هر یک از این دو بخش (داده‌ها و دستورالعمل‌ها) دارای 64 کیلوبایت حافظه‌هستند در حالی که اینتل همچنان به ساختار 32 کیلوبایتی متعهد مانده است. این لایه برای هر یک از هسته‌ها اختصاصی است و اطلاعات هر هسته در اختیار سایر هسته‌ها قرار نمی‌گیرد.





کش در لایه دوم تا مدت‌ها به صورت مستقل برای هر هسته بود و حتی پیش از آن هم فقط AMD از این لایه درون CPU استفاده می‌کرد و در اینتل کش لایه دوم با هسته‌ها روی یک سطح نبودند. در واقع پس از معرفی فناوری ساخت 180 نانومتری کش لایه دوم به سطح سیلیکونی CPU اضافه شد. با ورود پردازنده‌های Core 2 Due کش مشترک در اینتل خلق شد و لایه دوم بطور مشترک بین دو هسته مورد استفاده قرار گرفت و این روش در چهار هسته‌ای های اینتل هم ادامه پیدا کرد تا جایی که در چهار هسته‌ای دو کش L2 دیده می‌شد. زیرا این مدل‌ها چهار هسته‌ای واقعی نبودند و از اتصال دو سطح سیلیکونی هر یک با دو هسته تشکیل شدند. البته دلیل اینتل برای این شیوه مسائل اقتصادی و صرفه این مدل‌ها مطرح شد با این حال AMD ساختار جدید را در فنوم‌ها پیاده کرد که همراه با کش لایه سوم بود.





کش لایه سوم سال‌ها پیش ایجاد شد و البته مشکلات خاص خود را داشت بطوریکه بعد از استفاده IBM در سال 1995 این سطح حافظه چندان مورد توجه قرار نگرفت تا اینکه اینتل این لایه‌ها را در سال 2003 به رده حرفه‌ای محصولات خود اضافه کرد. نتیجه این شد که ایتانیوم و پنتیوم 4 اکستریم صاحب L3 شدند و نسل فنوم‌های AMD نیز از همان ابتدا با L3 همراه شدند هر چند که مدل‌های اولیه تنها 2 مگابایت حافظه L3 داشتند و در مدل‌های بعدی هم بطور متوسط از 6 مگابایت حافظه استفاده شد. در این مرحله اینتل توانست سطح بالاتری از کش را در لایه سوم ارائه دهد.

[مهندس بهزاد انصاری]

آشنایی با فناوری های امنیتی – قسمت سوم



=========================

=========================

در بخش قبل با فناوری های لایه میزبان و کاربرد آشنا شدیم در این بخش در مورد فناوری های امنیتی *****ینگ محتوا بحث خواهیم کرد

فیل ترينگ محتوا

سرورهاي پراكسي

يک پراکسي سرور ترکيبي از سخت‌افزار و نرم‌افزار است که بعنوان يک واسطه بين کاربر داخلي و اينترنت عمل مي ‌کند به طوريکه امنيت، نظارت مديريتي و سرويس‌ هاي caching تامين مي‌ شود. يک سرور پراکسي داراي پروتکل مشخصي است،‌ بنابراين براي هرنوع پروتکلي (HTTP، FTP، Gogher و غيره) بايد تنظيم شود. پراکسي سرور بعنوان بخشي از يک سرور gateway (نقطه‌اي در يک شبکه که ورودي به شبکه‌اي ديگر است) رفتار مي ‌کند و مي ‌تواند براي انجام يک يا چند حالت عملياتي خاص تنظيم شود.

عملکردهاي مختلف پراکسي سرور

ديواره آتش (Firewall)براي سازماني که فايروال دارد، پراکسي سرور تقاضاهاي کاربران را به فايروال مي ‌دهد که به آنها اجازه ورود يا خروج به شبکه داخلي را مي‌دهد.

ذخيره سازي (Caching)سرور پراکسي که عمل caching را انجام مي‌دهد، منابعي مانند صفحات وب و فايل‌ ها را ذخيره مي‌ کند. هنگامي که يک منبع مورد دسترسي قرار گرفت، در سرور دخيره مي‌ شود و تقاضاهاي بعدي براي همين منبع مشخص با محتويات cache پاسخ داده مي ‌شود. اين عمل، دسترسي به آن منبع را براي کاربراني که از طريق پراکسي به اينترنت متصل هستند، سرعت مي ‌بخشد و از طرفي از ترافيک اينترنت مي‌ کاهد و اجازه استفاده بهتر از پهناي باند به کاربران داده مي‌شود.

فیل تر کردن (Filtering): سرور پراکسي مي ‌تواند ترافيک وارد شونده و خارج شونده از شبکه را بررسي کند و به آنچه که با معيارهاي امنيتي يا سياست سازمان مغايرت دارد، اجازه عبور ندهد.

تصديق هويت (Authentication)بسياري منابع الکترونيکي سازماني توسط ورود با کلمه رمز يا قرار داشتن در دامنه مشخصي از IP محدود شده‌اند. کاربران دور معمولاً از يک سرويس‌ دهنده اينترنت ثالث استفاده مي‌ کنند که در اين صورت اين کاربر يا IP کامپيوتر آن براي سازمان معتبر تشخيص داده نمي ‌شود. براي کاربراني که بصورت فيزيکي به شبکه داخلي سازمان متصل نشده‌اند، پراکسي طوري عمل مي‌ کند که به کاربران دور اجازه ورود موقت داده شود يا به آنها بطور موقت يک IP سازمان تخصيص داده شود که بتوانند به منابع محدود شده دسترسي پيدا کنند.

تغيير هويت (Anonymization) براي محافظت شبکه داخلي يک سازمان از کاربران موجود در اينترنت، سرور پراکسي مي‌ تواند هويت سيستم‌هاي متقاضي داخلي را تغيير دهد. اگر منبع (مثلاً صفحه وب يا فايل) تقاضا شده توسط کاربر داخلي سازمان، در cache موجود نباشد، سرور پراکسي براي آن کاربر، بعنوان کلاينت عمل مي ‌کند و از يکي از آدرس‌هاي IP خودش براي تقاضاي آن منبع از سرور موجود در اينترنت استفاده مي‌ کند. اين آدرس IP «موقت»، آدرسي نيست که واقعاً در شبکه داخلي سازمان استفاده گردد و در نتيجه از بعضي از حمله‌ هاي نفوذ گران جلوگيري مي ‌شود. هنگامي که صفحه تقاضا شده، از طرف سرور روي اينترنت به پراکسي سرور مي‌ رسد، پراکسي سرور آن را به تقاضاي اوليه مرتبط مي ‌کند و براي کاربر مي ‌فرستد. اين پروسه تغيير دادن IP باعث مي ‌شود که تقاضا دهنده اوليه قابل رديابي نباشد و همچنين معماري شبکه سازمان از ديد بيروني مخفي بماند.

ثبت کردن (Logging) پراکسي سرور مي‌ تواند تقاضاها را به همراه اطلاعات لازم در جايي ثبت کند تا بعداً امکان پيگيري اعمال کاربران داخل سازمان فراهم شود.

مزاياي پراكسي سرورها

• با مسدود کردن روش‌هاي معمول مورد استفاده در حمله‌ها، هک‌ کردن شبکه را مشکل‌ تر مي‌کنند.
• با پنهان کردن جزئيات سرورهاي شبکه از اينترنت عمومي، هک‌ کردن شبکه را مشکل‌تر مي ‌کنند.
• با جلوگيري از ورود محتويات ناخواسته و نامناسب به شبکه ، استفاده از پهناي باند شبکه را بهبود مي ‌بخشند.
• با ممانعت از يک هکر براي استفاده از شبکه بعنوان نقطه‌ شروعي براي حمله ديگر، از ميزان اين نوع مشارکت مي‌ کاهند.
• با فراهم‌آوردن ابزار و پيش ‌فرض‌ هايي براي مدير شبکه که مي‌ توانند بطور گسترده‌اي استفاده شوند، مي ‌توانند مديريت شبکه را آسان سازند.

فیل ترينگ وب

به آن دسته از ابزارهايي كه دسترسي كاربران سازمان به اينترنت را محدود مي ­كنند گفته مي­شود. مكانيزم­هاي فیل ترينگ وب را مي ­توان به دو دسته كلي زير تقسيم كرد:

فیل ترينگ URL: در اين مكانيزيم تقاضاهاي كاربران به يك سرور فیل ترينگ URL فرستاده مي ­شود سرور اين تقاضاها را در يك پايگاه داده از سايت­هاي مجاز چك مي ­كند، اگر تقاضا مجاز بود كاربر مي تواند به آن سايت دسترسي پيدا كند و در غير اين صورت پيامي مبتني بر دسترسي غير مجاز به كاربر نشان داده مي ­شود.كاربرد اين فناوري آن است كه مطمئن شويد كاربران تنها به سايت ­هاي مجاز دسترسي دارند..

فیل ترينگ كدهاي سيار(Mobile): فرايندي است كه طي آن ترافيك كاربران از وجود كد­هاي مخرب پاك مي­شود. در اين روش حملات مبتني بر وبي كه از كدهاي سيار استفاده مي­كنند متوقف خواهد شد.

مشكل اصلي ابزارهاي فیل ترينگ وب آن است كه كارايي كمي دارند و چندان قابل گسترش نيستند و اگر از اين ابزارها در سازمان­هاي بزرگ كه كاربران زيادي دارند استفاده شود، كارايي ان­ها به شدت كاهش خواهند يافت.

مشكل ديگر اين گونه فناوري­ها آن است كه كاربران احساس مي ­كنند تحت نظر هستند.

فیل ترينگ E.Mail

اين فناوري نامه­ هاي دريافتي / ارسالي را بررسي مي ­كند تا حاوي محتواي مخرب نباشند. در اغلب موارد اين به معناي پويش نامه­ها براي ويروس يابي است. يكي ديگر از كاربرد­هاي اين روش، بررسي­ نامه­هاي ارسالي براي مقابله با افشاي اطلاعات محرمانه است؛هرچند پياده­سازي چنين سيستمي كار ساده­اي نيست.

از آنجايي كه بيشتر ويروس­ ها از طريق E.Mail منتشر مي ­شوند، فناوري فیل ترينگ E.Mail مي­ تواند تا حدي نصب نبودن يا به روز نبودن ويروس ياب ­هاي ميزبان را جبران كند.اگر چه اين فناوري با همان مشكلات عدم كارايي و گسترش ناپذيري فیل ترينگ وب مواجه است، اما كاربران كمتر به آن توجه مي ­كنند؛ چون E.Mail يك ارتباط بي درنگ (real time) نيست. با وجود اين از محصولي بايد استفاده كرد كه كارايي آن با حجم ترافيك E.Mail سازمان سازگاري داشته باشد.

[مهندس بهزاد انصاری]

آشنایی با فناوری های امنیتی – قسمت چهارم



=========================

=========================


سیستم ها ی تشخیص و جلوگیری از نفوذ به شبکه
در بخش های قبل با فناوری هیای مختلفی از جمله فناوری های احراز هویت , فناوری های لایه میزبان و کاربرد و فناوری های *****ینگ محتوا آشنا شدیم در این بخش با چند فناوری امنیتی در زمینه تشخیص و جلوگیری از نفوذ به شبکه , آشنا می شویم.

NIDS ها

اولین فناوریی که مورد بررسی قرار می گیرد NIDS ها می باشد.در حالت كلي NIDSها به دو گروه زير تقسيم مي شوند:
NIDS مبتني بر علائم:

به صورت فرايندي نرم اقزاري است كه روي سيستم سخت افزاري خاصي نصب مي شود. NIDS كارت واسط شبكه موجود روي سيستم را به حالت بي قيد و شرط (promiscuous mode) مي­برد، به اين معني كه تمام ترافيك شبكه، توسط كارت به نرم افزار NIDS عبور داده مي شود (صرف نظر از اينكه ترافيك مذكور براي اين سيستم فرستاده شده يا نه) پس از آن بر طبق قواعد و قوانين مربوط به حمله، ترافيك تحليل مي­شود تا بخشي از ترافيك كه جالب توجه است تعيين شود و در صورت كشف حمله، يك رويداد يا Event توليد و ثبت مي­ شود.



NIDS مبتني بر ناهنجاري: به NIDSاي گفته مي شود كه رفتار هاي عادي (هنجار) شبكه را فرا گرفته و استثنائات را ثبت مي كند و هشدار مي دهد. در مدت زمان طولاني مي­توان از اين روش براي كشف هر نوع حمله اي استفاده كرد، به شرطي كه روش فراگيري رفتار هنجار درست باشد.
امروزه از NIDS هاي مبتني بر ناهنجاري بيشتر براي كشف حملات گسترده استفاده مي­شود.مزيت NIDS مبتني بر ناهنجاري آن است كه حمله سيل را به صورت يك واقعه ديده و تنها يك هشدار صادر مي­ كند حال آنكه NIDS مبتني بر علائم هر بسته از حمله را به صورت واقعه جداگانه ديده و تعداد زيادي هشدار صادر مي­كند. همچنين ميزان ترافيكي كه بايد در صورت تجاوز از آن هشدار صادر شود قابل تنظيم است؛ حال انكه NIDS مبتني بر علائم هيج ديدي نسبت به نرخ ترافيك مجاز ندارد و همه چيز را با علائم حملات تطبيق مي­دهد.


مزاياي NIDS

• مي­توان NIDS را كاملا مخفي كرد به طوري كه مهاجم متوجه نشود كه تحت كنترل است.
• براي كنترل و مشاهده ترافيك مي­توان از يك NIDS براي تعداد زيادي سيستم استفاده كرد.
• NIDS مي­تواند محتواي تمام بسته­هايي را كه به سمت هدف در حركت است را بدست آورد.

معايب NIDS

• سيستم NIDS فقط زماني اعلام خطر مي­كند كه ترافيك با روال­هاي از پيش تعيين شده هم خواني داشته باشد.
• سيستم NIDS پهناي باند بالا و مسير هاي جايگزين را به كار مي­گيرد.
• NIDS نمي تواند موفق بودن حمله را تعيين كند.
• NIDS قادر به بررسي ترافيك­هاي رمز شده نمي باشد.

كليه فرايند­هاي صورت گرفته در IPS مشابه NIDS است فقط با اين تفاوت كه IPS علاوه بر اعلام هشدار مي­تواند جلوي حملات را نيز بگيريد.تفاوت بين NIDS و IPS به فلسفه جبرگرايي مي­انجامد. يعني IDS مي تواند (و بايد) از روش هاي غيرقطعي براي استنباط هرنوع تهديد يا تهديد بالقوه از ترافيک موجود استفاده کند. اين شامل انجام تحليل آماري از حجم ترافيک، الگوهاي ترافيک و فعاليت هاي غيرعادي مي­شود. IDS به درد افرادي مي خورد که واقعاً مي­خواهند بدانند چه چيزي در شبکه­شان در حال رخ دادن است.
از طرف ديگر، IPS بايد در تمام تصميماتش براي انجام وظيفه اش در پالايش ترافيک قطعيت داشته باشد. از يک ابزار IPS انتظار مي رود که در تمام مدت کار کند و در مورد کنترل دسترسي تصميم گيري کند. فايروال ها اولين رويکرد قطعي را براي کنترل دسترسي در شبکه ها با ايجاد قابليت اوليه IPS فراهم کردند. ابزارهاي IPS قابليت نسل بعد را به اين فايروال ها اضافه کردند و هنوز در اين فعاليت هاي قطعي در تصميم گيري براي کنترل دسترسي ها مشارکت دارند.
در شبكه­هاي مبتني بر سوئيج بايد تنظيمات خاصي توسط مدير شبكه انجام شود تا NIDS بتواند تمام تراقيك را مشاهده كند.

Honey Pot

يک منبع سيستم اطلاعاتي مي­باشد که بر روي خود اطلاعات کاذب وغير واقعي دارد و با استفاده از ارزش و اطلاعات کاذب خود سعي در کشف و جمع­آوري اطلاعات و فعاليت­هاي غيرمجاز و غير­قانوني بر روي شبکه مي­کند. به زبان ساده Honeypot يک سيستم يا سيستم­هاي کامپيوتري متصل به شبکه و يا اينترنت است که داراي اطلاعات کاذب بر روي خود مي­باشد و عمدا در شبکه قرار مي­گيرد تا به عنوان يک تله عمل کرده و مورد تهاجم يک هکر يا نفوذگر (Attacker) قرار گيرد و با استفاده از اين اطلاعات آن­ها را فريب داده و اطلاعاتي از نحوه­ي ورود آن­ها به شبکه و اهدافي که در شبکه دنبال مي­کنند جمع آوري کند.



نحوه تشخيص حمله و شروع عملکرد Honeypot
در مسير منتهي به Honeypot نبايد هيچ ترافيکي ايجاد شود يعني هر گونه ارتباطي با Honeypot فعاليت غيرمجاز و غير قانوني محسوب شده و مي­تواند يک دزدي ، حمله و يا سرقت محسوب شود.



مزاياي Honeypot
جمع آوري بسته­هاي اطلاعاتي کم حجم ولي با ارزش
Honeypotها حجم كوچکي از اطلاعات را جمع آوري مي­کنند. مثلاً به جاي ثبت روزانه 1GB داده توسط ساير تکنولوژي­هاي برقراري امنيت اطلاعات، Honeypot مثلاً 1MB اطلاعات جمع آوري مي­کند ولي چون مطمئن هستيم که اطلاعاتي که يک Honeypot جمع آوري مي­کند مربوط به فعاليتي غير مجاز است در نتيجه اين اطلاعات بسيار مفيد بوده و تجزيه و تحليل حجم کوچکي ازاطلاعات آسان و ارزان است.



ابزارها و تاکتيک­هاي جديد
Honeypotها طراحي شده­اند تا هر چيزي که به سمتشان منتهي مي­شود ثبت کنند بنابراين Honeypot مي­تواند ابزارها و تاکتيک­هايي جديد را که هکرها به کمک آنها به سيستم حمله مي­کنند را ثبت کند.


نياز به کمترين سخت افزار براي پياده سازي
در يک کامپيوتر Pentium كه داراي 128 MB RAM است قابل پياده­سازي است.


قابل پياده سازي در محيط هاي IPV6 و رمز شده
بر خلاف اغلب تکنولوژي­هاي امنيتي (مثل سيستم­هايIDS) که در محيط­هاي رمز­شده بخوبي کار نمي­کنند Honeypot به راحتي قابل پياده­سازي در اين محيط­ها است و در اين محيط­ها به خوبي کار مي­کند.

سادگي
Honeypotها بسيار ساده­اند زيرا الگوريتم پيچيده­اي ندارند که بخواهند توسعه يابند جداول حالت ندارند که نياز به پشتيباني داشته باشند.


شناسايي نقاط ضعف سيستم
مدير سيستم مي­تواند با مشاهده تکنيک­ها و روش­هاي استفاده شده توسط نفوذگر بفهمد که سيستم چگونه شکسته مي­ شود و نقاط آسيب پذير سيستم را شناسايي و نسبت به ترميم آن­ها اقدام کند. هدف اصلي يکHoneypot شبيه­ سازي يک شبکه است که نفوذگران سعي مي­ کنند به آن وارد شوند اطلاعاتي که بعد از حمله به يکHoneypot به دست مي­ آيد مي­تواند براي کشف آسيب پذيري­ هاي شبکه فعلي و رفع آنها استفاده شود.

[مهندس بهزاد انصاری]

Active Directory Federation Services – قسمت اول



======================================

======================================

از ویندوز NT و روز های اولیه Active Directory Domain Services روابط Trust یکی از قابلیت های موجود بود که در ویندوز های نسخ بعدی روز به روز نظریه پیاده سازی روابط Trust بیشتر مطرح و قابلیت های جدیدی پیدا کرد. یکی از انواع Trust که از ویندوز سرور 2003 منتشر شد، روابط Forst Trust بود. پیاده سازی Forest Trust دو جنبه قابل توجه دارد:

1. لازم است یک پورت مشخص در Firewall برای ترافیک AD DS باز شود.

2. اگر تعداد روابط زیاد شود، مدیریت کار بسیار دشواری می شود.

بنابراین در بسیاری از سناریو ها، پیاده سازی روابط Trust بهترین انتخاب نیست.

دیدگاه امنیتی

همانطور که ذکر شد، مدیریت تعداد زیادیی رابطه Trust علاوه بر آنکه کار دشواری است، تاثیر بسیاری روی مکانیسیم و طراحی امنیت شبکه دارد. به طور مثال ترافیک AD DS با پروتکل LDAP روی پورت 389 TCP منتقل می شود. به طور بهتر با Secure LDAP یا LDAP/s روی پورت 636. همچنین برای انتقال ترافیک GC از 3268 و به طور بهتر 3269 استفاده می شود. (با Secure LDAP)

Firewall وظیفه دارد تا با ترافیک های نا خواسته مقابله کند. باز کردن تعداد زیادی پورت روی فایروال هیچ گاه راه حل انجام کاری نیست. در طراحی های قبلی شبکه ها؛ که از دو لایه محافظتی استفاده می شد. لایه اول از Perimeter Nework در برابر دسترسی خارجی محافظت می کرد و لایه دوم از شبکه داخلی را از perimeter Network محافظت می کرد. (طراحی ساده، محافظه کارانه و هنوز در بسیاری از سناریو ها مناسب) Perimeter شامل سرویس هایی همچون Web Server، Mail Server, AD RMS, AD CS و… می باشد. AD DS همواره در شبکه داخلی (Internal) جای می گرفت. فایروال ایدآل خارجی تنها برخی از پورت های کلیدی را مجاز می شمرد:

1. پورت 53: برای DNS که اغلب تنها برای استفاده read-only مجوز دارد.

2.پورت 80: برای HTTP که به علت آنکه امنیت مناسبی ندارد تنها جهت دسترسی Read-Only.

3. پورت 443: برای HTTPS که با SSL یا TLS ایمن شده اند و از یک CA برای رمزنگاری اطلاعات استفاده کرده اند.

4. پورت 25: برای SMTP با یک ریسک لازم، چرا که بدون دسترسی به ایمیل هیچ کاری نمی توان کرد!!!

و به صورت ایده آل تمام پورت های دیگر باید بسته باشند. فایروال داخلی با توجه به تکنولوژی های مورد استفاده در Perimeter Network لازم است تعداد بیشتری پورت باز داشته باشد.

Active Directory Federation Services – AD FS:

با ظهور Active Directory Federation Services در ویندوز سرور 2008 باری دیگر کنترل روی شبکه داخلی از خارجی دگرگون شد. AD FS در واقع کار کردی مشابه روابط Trust را دارد اما نه با استفاده از LDAP با استفاده از HTTPS و پورت رایج 443. برای این منظور AD FS وابسته به AD CS است تا برای هر سرور در پیاده سازی AD FS یک Certificate صادر کند. AD FS همچنین با گسترش AD RMS (Active Directory Rights Management Services) باعث مدیریت ساده تر روی Partners می شود.







اساسا؛ AD FS وابسته به AD DS داخلی هر partner است. زمانی که یک کاربر می خواهد به یک برنامه یکپارچه با AD FS دسترسی پیدا کند، AD FS درخواست را به AD DS داخلی ارجاع می دهد و اگر کاربر مجوز دسترسی لازم را داشته باشد، برای استفاده از برنامه خارجی مجوز لازم صادر می شود. مزیت این روش آن است که هر سازمان همکار (Partner) تنها لازم است که اطلاعات تعیین هویت در شبکه داخلی خودش را مدیریت کند و AD FS بقیه کار ها را انجام می دهد. به طور خلاصه؛ زمانی که نیاز به Partnership با یک سازمان دیگری وابسته به دایرکتوری داخلی باشد، AD FS پیاده سازی می شود.

به عبارت جامع تر، Active Directory Federation Services یک موتور SSO یا Single Sing-On است که امکان Authentication برای کاربران یک نرم افزار تحت وب را فراهم می آورد. SSO یک خاصیت سیستم های کنترل دسترسی است که در آن کاربر یک بار logon کرده و برای دسترسی به سایر سیستم های مربوط (و نه وابسته) نیاز به logon مجدد ندارد. استفاده از SSO مزایای بسیار زیادی همانند کاهش هزینه، افزایش بهره بری و صرفه جویی در وقت را دارد. مزایای مدیریتی AD FS بسیار مشهود است. با استفاده از AD FS نیازی به استفاده از AD LDS برای Primeter Network نیست و تنها عملیات مدیریتی روی یک دایرکتوری انجام می شود. کاربران تنها لازم است یک کلمه عبور را به یاد داشته باشند و احتمال فراموش کردن کلمه عبور کاهش می یابد. ضمن آنکه تنها یک بار کلمه عبور از کاربر سوال خواهد شد.

برای روابط B2B - Business to Business استفاده از AD FS می تواند بهترین شکل ممکن پیاده سازی باشد. معمولا کمپانی های این سناریو ها به شکل زیر هستند (در یکی از دو دسته زیر جای می گیرند):

الف: Resource Organization : زمانی که یک کمپانی منابعی همانند یک وب سایت را در دسترس کمپانی دیگر قرار می دهد از AD FS استفاده می کند. در این حالت این چون این کمپانی Shared Resource را روی perimeter Network خود قرار می دهد، Resource Organization گفته می شود.

ب: Account Organization : زمانی که یک کمپانی در partnership با یک resource organization قرار می گیرد، یک Account Organization تلقی می شود چون؛ این کمپانی باید اکانت های کاربری را در طراحی SSO مدیریت کند تا به resource مورد نظر دسترسی پیدا کنند.

AD FS همچنین یک متد Authentication دیگری را پشتیانی می کند. در طراحی یک Web SSO کاربران می تواند از هر مکانی با استفاده از اینترنت authenticate شوند.

یک سناریو ساده و متداول

پیش از ادامه بحث جهت درک بهتر مفهوم AD FS سناریو ساده شده زیر را در نظر بگیرید. در این سناریو کاربر با مرورگر خود از اینترنت قصد دارد نرم افزار تحت وب Time Tracker متصل شود. نرم افزار Time Tracker برای تعیین هویت کاربران می تواند از DB خود استفاده کند. استفاده از DB جداگانه مشکلات و موانع متعددی همانند افزایش هزینه های پیاده سازی و نگه داری دارد. با استفاده از AD FS می توان از متد تشخیص هویت AD DS یا AD LDS بهره برد.








در اینجا با توجه به آنکه کاربر از اینترنت قصد دارد به Preimeter Network کمپانی متصل شود، اطلاعات ارسالی باید از Firewall عبور کند. استفاده از پورت های متداول LDAP نیازمند باز شدن پورت جدیدی روی Firewall است. در اینجا با استفاده از پورت 80 یا 443 می توان عملیات تشخیص هویت را انجام داد.

سرویس رول ها

AD FS به چهار Role Service وابسته است:
(Role Service: نرم افزار هایی هستند که عملکرد یک Role ایجاد می کنند. در زمان نصب Role بر اساس نیاز های لازم، Role Service های انتخابی نصب می شوند)

Federation Service: شامل یک یا چند federation server می شود که از یک Trust Policy استفاده می کنند. با استفاده از federation server در خواست های Authentication جهت صدور Token به دایرکتوری مورد نظر هدایت می شوند.

Federation Service *****: یک ***** server است برای Federation Service که معمولا در perimeter Network جای می گیرد. ****** اطلاعات تعیین هویت را از مرورگر (Web Browser) کاربر جمع و با استفاده از WS-Federation Passive Reqestor Profile یا WS-F PRP و به Federation Service ارجاع می دهد.

Claims-Aware Agent: یک عاما که روی یک وب سرور قرار می گیرد و امکان Query های به FS ایجاد می شود.

Windows Token-Based Agent: این سرویس رول، Token های AD FS را به Token های Windows NT معادل می کند جهت استفاده برنامه هایی که به Windows Authentication وابسته اند به جای متد های تحت وب Authentication.

* در ویندوز سرور 2003 R2 نیز AD FS پشتیبانی شده است، با این حال پشتیانی AD FS در ویندوز سرور 2008 دچار تغییرات قابل توجهی شده و بهبود های مهمی را داشته.

ویژگی های کلیدی AD FS:

پیش از توضیح ویژگی های مهم AD FS ابتدا یادآوری می کنم که AD FS چه چیزی نیست:

1. یک DataBase یا Directory شامل اطلاعات تعیین هویت کاربران
2. یک Extension برای Active Directory Schema
3. یک نوع رابطه Trust بین دامینی یا بین جنگلی

ویژگی های AD FS می تواند در درک دقیق و بهتر AD FS کمک کند:

1. Federation & SSO: زمانی که یک کمپانی از AD DS استفاده می کند، به خودی خود از مزایای SSO از طریق Windows Authentication در درون مرز های امنیتی سازمان بهره می برد. استفاده از Federation سبب می شود تا این مرز به گستره شبکه اینترنت بدل شود. همچنین همانطور که بیشتر گفته شد، می تواند در ارتباطات B2B نیز مورد استفاده قرار گیرد.

2.معماری قابل توسعه: AD FS از یک معماری قابل توسعه بهره می برد، به این معنا که از Security Assertion Markup Language یا SAML پشتیبانی می کند.

3. قابلیت همکاری با سرویس های تحت وب: WS-Federation این امکان را فرآهم می آورد تا محیط هایی که از مدل تعیین هویت ویندوز استفاده نمی کنند به محیط ویندوز وابسته شوند.

فرآیند تعیین هویت در AD FS

زمانی که AD FS پیاده سازی شود، فرآیند logon به یک نرم افزار تحت وب درکمپامی partner از نگاه کاربران به صورت Transparent اتفاق می افتد (فرآیندی که اتفاق می افتد اما از نگاه کاربر قابل رویت نیست). در سناریو متداول AD FS زمانی که کاربر به یک برنامه Claims-aware روی Perimeter Network کمپانی partner می خواهد متصل شود، AD FS به صورت خودکار credential لازم را فرآهم می آورد.









1. یک کاربر که روی Internal Network یا Internet است می خواهد به یک Web App دسترسی پیدا کند. این کاربر دارای یک اکانت در Account organization است.

2. Claim-Aware Agent با استفاده از Resource Federation Server مجوز دسترسی کاربر را بررسی می کند. از آنجایی که این درخواست باید از Firewall عبور کند از یک ***** لازم است استفاده شود؛ Resource Federation Service ***** در اینجا این وظیفه را بر عهده دارد.

3. از آنجایی که Resource Federation Server دارای یک اکانت برای کاربر نمی باشد، اما دارای یک ارتباط Federation است (Federation Relation) با Account Organization، اکانت های Federation Server در Account Ogranization را بررسی می کند. باری دیگر این فرایند باید از طریق ***** انجام شود.

4. Federation Server در Account Organization مستقیما به AD DS متصل است تا حقوق دسترسی کاربر را از طریق LDAP دریافت کند. توجه داشته باشید در اینجا به جای AD DS می تواند AD LDS قرار گیرد.

5. Federation Server درAccount Organization برای کاربر Token لازم را می سازد.

6. Account Federation Server به Resource Federation Server جهت تصدیق دسترسی کاربر، Token را به صورت رمزنگاری شده از طریق ***** ارسال می کند.

7. Resource Federaion Server سپس Token را Decrypt می کند و یک سیاست *****ینگ را برای درخواست مذکور در نظر می گیرد.

8. Claims ای که ***** شده است، باری دیگر با Security Token به صورت Signed رمزنگاری و بسته بندی شده و به Resource Web Server ارسال می شود.

9. وب سرور که دارای یک Claim-Aware Agent است Token را Decrypt کرده و مجوز دسترسی به Web App مطلوب صادر می شود.

10. جهت پشتیبانی از SSO وب سرور به واسطه ی AD FS Agent یک Cookie روی کامپیوتر کلاینت می سازد تا پروسه فوق لازم نباشد دوباره صورت گیرد.



پروسه فوق پس از پیاده سازی به سهولت انجام خواهد شد، با این وجود پیاده سازی AD FS باید با توجه های خاصی صورت گیرد. هر Partner می تواند برای نگه داری اطلاعات هویت کاربران از دایرکتوری داخلی یا دایرکتوری مجزای دیگری استفاده کند. این کار مدیریت دسترسی کاربران را شاید قدری ساده تر کند. اما برای انجام کار لازم است تا یک Federation Trust پیاده سازی شود. پیاده سازی Federation Trust به آن وابسته است که هر partnet حداقل دارای یک Federation Server در شبکه خود باشد. همچنین توجه داشته باشید که از یک کامپیوتری عمومی همانند اینترنت کافه، کامپیوتر خانگی کاربر و… که عضوی از AD DS سازمان نیستند، کاربر می تواند با استفاده از یک صفحه خاص وب در AD FS مشخص کند که از کدام اکانت سازمانی استفاده شود. این صفحه وب همچنین یک Logon Screen را نیز فراهم می آورد.