پیشرفت های اخیر در فناوری شبكه مانند امكان اتصال دائم به اینترنت، فرصت های زیادی را در اختیار انواع شركت ها و سازمان ها و حتی كاربران عادی قرار داده است. اما متأسفانه اتصال به هر نوع شبكه ای و مخصوصاً اینترنت، خطر حملات بدافزاری را افزایش می دهد و در همین حال كه متخصصان امنیتی مشغول مدیریت خطرات موجود هستند، خطرات جدیدی ایجاد و كشف می شوند. 
یكی از فاكتورهای اصلی كه خطر بدافزارها را به میزان چشمگیری افزایش می دهد، تمایل به دادن امكانات مدیر سیستم به كاربران است. زمانی كه یك كاربر با حق دسترسی مدیر یا Administrator وارد سیستم می شود، تمام برنامه هایی كه اجرا می كند مانند مرورگرها، برنامه های ایمیل و برنامه های پیام فوری نیز حق دسترسی مدیر سیستم را پیدا می كنند. در صورتی كه این برنامه ها یك بدافزار را فعال سازند، آن بدافزار خود را نصب و خدمات برنامه های آنتی ویروس را دستكاری كرده و حتی ممكن است خود را از دید سیستم عامل پنهان سازد. از طرف دیگر كاربران نیز ممكن است به صورت ناخواسته (برای مثال از طریق بازدید از یك وب سایت آلوده شده و یا با كلیك بر روی پیوست ایمیل) برنامه های خرابكار را اجرا كنند. برنامه های خرابكار مذكور می توانند بسیار خطرناك بوده و كارهایی از قبیل دستكاری اطلاعات حساس، به دست آوردن كلمات عبور از طریق نصب ثبت كننده ضربات صفحه كلید (keystroke logger)، به دست گرفتن كنترل كامل رایانه قربانی و حتی شبكه ها را انجام داده و كاری كنند كه وب سایت ها بالا نیایند و یا حتی دیسك سخت را فرمت كنند. در برخی موارد هزینه تحمیل شده بر اثر خرابكاری های مذكور غیر قابل جبران می باشد.
برای برخورد با تهدیدات مذكور، یك استراتژی دفاع چند لایه لازم است كه راهكار حساب های كاربری با حداقل دسترسی (LUA-least-privileged user account)، یكی از بخش های مهم استراتژی دفاعی را تشكیل می دهد. راهكار LUA تضمین می كند كه كاربران از اصول حداقل حق دسترسی پیروی كرده و با حساب های كاربری محدود شده وارد شبكه شوند. از طرف دیگر هدف LUA، اعطای حق دسترسی مدیریتی تنها به مدیران شبكه و تنها برای انجام كارهای مدیریتی است.
برای كسب اطلاعات بیشتر در مورد LUA و اصل حداقل حق دسترسی به مقاله حداقل حق دسترسی در ویندوز XP و برای كسب اطلاعات بیشتر در مورد پیاده سازی این راهكار به مقاله "پیاده سازی حداقل حق دسترسی در ویندوز XP" مراجعه فرمایید. همچنین برای آشنایی بیشتر با فواید این راهكار می توانید مقاله "فواید پیاده سازی LUA در ویندوز XP " را مطالعه كنید. در این مقاله در مورد اثراتی كه پیاده سازی LUA بر امنیت شبكه، تهدیدها، كارایی سازمان و هزینه های تحمیلی می گذارد، بحث خواهیم كرد.

فواید پیاده سازی حداقل حق دسترسی در ویندوز XP 

استفاده از اصل حداقل حق دسترسی فواید بسیاری را برای سازمان ها و شركت ها در پی دارد. علاوه بر كاهش خطرات ناشی از حمله های خرابكارانه، فواید زیر نیز برای به كار گیری اصل حداقل حق دسترسی شمرده می شوند:

· افزایش امنیت
افزایش قابلیت مدیریت 
افزایش قابلیت تولید 
كاهش هزینه ها 
كاهش مشكل سرقت ها و سوءاستفاده های پنهان 

در ادامه در مورد هر یك از موارد فوق و تأثیر آن بر سازمان به تفصیل صحبت می كنیم.

افزایش امنیت


راهكار LUA یكی از معیارهای امنیتی است كه می تواند به شما در محافظت از سازمان و دارایی های كامپیوتری در برابر سوءاستفاده های مهاجمان یاری رساند. مهاجمان به دلایل متعددی به دنبال سوءاستفاده از شبكه شما هستند كه می تواند شامل موارد زیر باشد:
به دست آوردن كنترل رایانه ها به منظور استفاده در حملات انكار سرویس گسترده
ارسال هرزنامه 
به دست آوردن اطلاعات محرمانه شركت 
سرقت هویت كاربران 
انتشار بدافزارها 

این حملات زمانی احتمال موفقیت بیشتری دارند كه كاربران دارای حق دسترسی مدیریتی باشند زیرا این نوع حساب های كاربری می توانند كارهای زیر را انجام دهند:
روتكیت های هسته سیستم عامل را نصب كنند. 
برنامه های ثبت ضربات صفحه كلید را نصب كنند. 
رمزهای عبور تعریف شده بر روی سیستم را تغییر دهند. 
جاسوس افزارها و تبلیغات افزارها را نصب كنند. 
به داده هایی كه متعلق به دیگر كاربران است، دسترسی داشته باشند. 
كدهایی را به صورت اتوماتیك در زمان ورود كاربر به سیستم اجرا كنند. 
فایل های سیستمی را با تروجان ها جایگزین كنند. 
ردپای خود را مخفی كنند. 
از راه اندازی مجدد سیستم جلوگیری به عمل آورند. 

در صورتی كه كاربران با استفاده از حساب های كاربری محدود شده وارد سیستم شوند، برنامه های خرابكار تنها می توانند تغییرات اندكی در سیستم عامل ایجاد كنند. اعمال محدودیت مذكور به طرز قابل ملاحظه ای توانایی بدافزارها را برای نصب و اجرا كاهش داده و امنیت را افزایش می دهد اما مانعی برای انجام كارهای كاربران به شمار نمی رود.

افزایش قابلیت مدیریت

استاندارد سازی یكی از اجزای مهم مدیریت شبكه، مخصوصاً در صورت وجود تعداد زیاد رایانه های مشتری (client) است. برای مثال اگر یك سازمان دارای 500 رایانه مشتری باشد و هر رایانه نیز دارای تنظیمات نرم افزاری و كامپیوتری متفاوت باشد، مدیریت پیشگیری بسیار پیچیده خواهد شد. زمانی كه كاربران اجازه نصب نرم افزارها و اعمال تغییرات گسترده در سیستم را دارند، این پیچیدگی منجر به نتایج اجتناب ناپذیر و ناگواری خواهد شد.
ویندوز XP اختیارات زیادی را به كاربران برای انجام تغییر در تنظیمات سیستم عامل می دهد و معمولاً كاربران در صورتی كه با دسترسی مدیریتی وارد سیستم شوند علاقمند به استفاده از این توانایی بوده و تغییراتی را در تنظیمات سیستم عامل ایجاد می كنند. برای مثال ممكن است، كاربر فایروال را برای اتصال به یك شبكه بی سیم خاموش كرده و سپس به صورت ناامن به یك ISP متصل شود. این مسئله به طرز قابل توجهی احتمال مورد سوءاستفاده قرار گرفتن رایانه مذكور را افزایش می دهد، زیرا تمام شبكه ها (حتی شبكه های مورد اعتماد) باید دارای سد دفاعی فایروال بر روی میزبان باشند.
كاربران تمایل دارند كه تنظیمات را طبق تمایلات خود تغییر دهند و در صورت بروز مشكل، مسئولان پشتیبانی هر بار با تنظیمات جدیدی مواجه می شوند. در واقع نبود استانداردهای مربوطه در این زمینه منجر به ایجاد مشكلات در امور پشتیبانی، حل مشكل و تعمیرات شده و زمان و هزینه پروسه های مذكور را بالا می برد.
از طرف دیگر راهكار LUA مرزهای مدیریتی مشخصی را بین كاربران و مدیران شبكه مشخص می كند. این مرزبندی باعث می شود كارمندان بر روی انجام وظایف خود متمركز شده، در حالی كه مدیران شبكه زیرساخت ها را مدیریت می كنند. در صورتی كه كاربران دارای حق دسترسی مدیریتی باشند، ایجاد چنین مرزهایی تقریباً غیر ممكن است و رعایت استانداردها تضمین نمی شود.
شبكه ای كه همه كاربران دارای حق دسترسی مدیریتی هستند، عملاً مدیریت نشده است، زیرا كاربران می توانند تنظیمات مدیریتی را دور بزنند. در صورتی كه كاربران نتوانند نرم افزارها و سخت افزارهای تأیید نشده را نصب كنند و یا تغییراتی را در سیستم ایجاد كنند، رایانه های آنها در حد قابل قبولی نزدیك به استانداردهای سازمان باقی می ماند. راهكار LUA قابلیت مدیریت را با محدود كردن تغییرات ناخواسته بالا می برد.

افزایش قابلیت تولید 

رایانه ها قابلیت تولید سازمان ها با شكل ها و اندازه های مختلف را به صورت چشمگیری افزایش داده اند، هرچند كه رایانه ها برای حفظ این قابلیت تولید، نیازمند مدیریت پویا می باشند. طبیعی است در سازمان هایی كه كاربران برای انجام كارهایشان وابسته به رایانه هستند، كارمندان پشتیبانی باید تا حد امكان احتمال خرابی رایانه ها را در اثر تنظیمات نادرست و یا آلودگی ویروسی پایین آورند.
راهكار LUA می تواند در نگهداری قابلیت تولید مؤثر باشد زیرا منجر به پایداری بیشتر سیستم های كارمندان می شود. در صورتی كه كاربران نتوانند تنظیمات اساسی رایانه خود را تغییر دهند، دارای سیستم های پایدارتری بوده و در نتیجه زمان از كار افتادگی تولید و بازیابی سیستم های خراب كاهش می یابد. 
از طرف دیگر تسلط یك بدافزار بر یكی از رایانه های سازمان نیز می تواند تأثیر سوئی بر قابلیت تولید بگذارد زیرا ممكن است رایانه مذكور نیاز به پاكسازی و یا فرمت كردن داشته باشد و كاربر مذكور داده ها و فایل های خود را به علت آلودگی از دست بدهد. البته برخی از داده ها را می توان بازیابی كرد كه معمولاً نیازمند به روز رسانی هستند. موارد مذكور به این معنی است كه یا كارمند از وظیفه محوله باز مانده است و یا باید زمانی را برای تكرار آن هدر دهد.

كاهش هزینه ها

با وجودی كه نگهداری از رایانه های موجود در شبكه سازمان ها و شركت ها هزینه بر است، اما برخی عوامل می توانند هزینه های مذكور را به طرز قابل توجهی بالا ببرند:
تركیب تست نشده از سخت افزارها و نرم افزارها 
تغییرات نا معلوم در سیستم عامل ها 
ایجاد تغییرات گسترده در سیستم ها مطابق میل كاربران 
نرم افزارهای غیر استاندارد با انواع فایل ناشناخته 
اجازه به كاربران برای نصب نرم افزار 
بدافزارها 
نسخه های آزمایشی (بتا) نرم افزارها و درایورها 
استفاده بدافزارها از پهنای باند اینترنت 

راهكار LUA از نصب نرم افزارهای تأیید نشده، بدون مجوز و بدافزارها جلوگیری به عمل می آورد. این راهكار همچنین به كاربران اجازه نمی دهد تغییرات نامعلومی را بر روی رایانه انجام دهند. این محدودیت ها هزینه های تیم پشتیبانی را كاهش داده و همچنین مدت زمان از كار افتادن رایانه ها بر اثر داشتن حق دسترسی مدیریتی كاربران، نیز كمتر می شود.

كاهش مشكل سرقت ها و سوءاستفاده های پنهان 

سازمان ها روز به روز نسبت به ایجاد قوانینی كه از سوءاستفاده كارمندان از تجهیزات شركت ها ممانعت كنند، آگاه تر می شوند. این قوانین باید طوری تنظیم شوند كه از انجام اقدامات زیر جلوگیری به عمل آورند:
سرقت داده های مشتریان 
میزبانی وب سایتی كه دارای محتویات غیر مجاز، آلوده یا به سرقت رفته باشد 
میزبانی سرورهایی كه برای ارسال حجم زیاد ایمیل های تبلیغاتی به كار رود 
مشاركت در حملات انكار سرویس توزیع شده 

هر یك از جرائم فوق توسط سازمان ها چه آگاهانه و چه ناآگاهانه انجام گرفته باشد، مجازات ها و جریمه هایی را برای سازمان مذكور در پی خواهد داشت. سازمان هایی كه از راهكار LUA استفاده می كنند، بسیار كمتر از دیگر سازمان ها مورد سوءاستفاده قرار گرفته و در نتیجه كمتر نیز دچار ضرر و زیان های ناشی از مسائل فوق می شوند.
در مقاله موازنه امنیت، تهدید، كارایی و هزینه ها در مورد اثراتی كه پیاده سازی LUA بر هر یك از موارد مذكور می گذارد صحبت خواهیم كرد و به برخی از فواید پنهان LUA نیز اشاره خواهد شد.

منبع:پورتال مركز امداد و هماهنگی رایانه ای