حالت‌های اکتشاف از راه دور (Discover Computers) در کنسول مدیریتی پادویش

مقدمه

کنسول مدیریتی پادویش دارای قابلیتی به نام Discover Computers می‌باشد که به مدیر شبکه اجازه می‌دهد از راه دور سیستم‌های فاقد ایجنت را کشف (Discover) کرده و ایجنت پادویش را از راه دور نصب نماید (Push Install). طبیعتا استفاده از این امکان در سطح شبکه، نیازمند دسترسی‌هایی کافی مانند اجرای کد از راه دور می‌باشد که می‌تواند دغدغه‌های امنیتی به همراه داشته باشد.

در این سند سطوح عملکرد اکتشاف از راه دور به همراه دغدغه‌های امنیتی مربوطه و راهکارها برای مدیران شبکه بیان شده است تا بتوانند بهترین روش را برای شبکه خود انتخاب نمایند.

سطوح اکتشاف از راه دور

مکانیزم Discover Computers در دو سطح عمل می‌کند:

  1. اکتشاف عمیق: که اطلاعات کامل سیستم مقصد را استخراج کرده و نمایش می‌دهد. این حالت با توجه به قابلیت‌های مدنظر، مانند استخراج دقیق نسخه سیستم عامل، تشخیص نوع و برند آنتی‌ویروس (غیرپادویش) مستقر در سیستم، و … نیازمند دسترسی به پوشه Admin$ و IPC$ و به طور کلی اجرای از راه دور می‌باشد. در این حالت امکان نصب از راه دور هم با توجه به دسترسی وجود دارد.
  2. اکتشاف کلی: در این سطح اطلاعات سیستم مقصد صرفا از طریق ارسال پکت پینگ و چک نمودن باز بودن پورت ۴۴۵ انجام می‌گیرد، و نیازمند هیچگونه دسترسی غیر از باز بودن پروتکل پینگ نمی‌باشد. این حالت نیازی به دسترسی اجرای از راه دور نداشته و از این جهت امن‌تر می‌باشد، اما اطلاعات استخراج شده نیز کلی (در حد نوع سیستم عامل، از طریق TTL پکت و مانند آن) و حداقلی است.

توصیه‌ها جهت انتخاب روش بهینه

  • در ابتدای راه‌اندازی آنتی‌ویروس در شبکه، لازم است که حجم زیادی از سیستم‌ها بررسی و نصب بر روی آنها انجام گیرد. لذا در مراحل اولیه توصیه اصلی به باز نمودن پورت و دسترسی‌های لازم از مبدا سرور آنتی‌ویروس می‌باشد تا امکان این اکتشاف و نصب ایجاد گردد. طبیعتا مدیر شبکه می‌تواند دسترسی را مبتنی بر IP و مبتنی بر اکانت کاربری ویندوز کنترل و محدود نماید.
  • در صورتیکه دغدغه‌های امنیتی در شبکه وجود داشته و به عنوان مثال محدودسازی پوشه‌های اشتراکی مانند Admin$ اعمال شده است، امکان استفاده از اکتشاف عمیق وجود ندارد. در این حالت می‌توان از روش اکتشاف کلی بهره گرفت. این روش امکان نصب از راه دور را نمی‌دهد، اما از طریق یافتن IP سیستم‌های موجود، و تطبیق آن با لیست IPهای سیستم‌های دارای پادویش، می‌توانید لیستی از سیستم‌های فاقد پادویش را جهت نصب (به صورت دستی یا از طرق دیگر) تهیه نمایید.
  • توجه نمایید که متاسفانه در ویندوز، امکان محدود نمودن یک پوشه از طریق IP مبدا نیز وجود ندارد و دسترسی تنها بر اساس اکانت کاربری قابل تعریف است. لذا مدیر شبکه می‌تواند از یک طرف دسترسی به پورت ۴۴۵ را محدود به آی‌پی‌های خاصی (مانند سرور مدیریتی پادویش) نماید و از طرف دیگر اکانت کاربری مورد نیاز را با دسترسی مناسب به پوشه‌ها ایجاد نماید.

  مقاله برای 0 نفر مفید بود.