۱۳۹۰ فروردین ۸, دوشنبه

IP Multicast

در شبکه های IP قدیمی ،یک بسته می توانست به یک دستگاه ( Unicast ) یا به همه دستگاه ها ( Broadcast) فرستاده شود. یک انتقال واحد خاص برای یک گروه از دستگاه ها ممکن نبود. بهرحال ، در طی چند سال گذشته ، مجموعه جدیدی از برنامه های کاربردی ( application ) ها پدیدار شده بود.این application ها برای فراهم کردن ارتباطی موثر بین گروه هایی از این دستگاه ها از انتقالات Multicast استفاده می کنند. داده به یک IP آدرس Multicast واحد انتقال داده می شود و بوسیله هر دستگاهی که نیازمند دریافت این انتقال است ، دریافت می گردد.
آدرس دهی Multicastدستگاه های Multicast از IP آدرس های کلاس D برای برقراری ارتباط استفاده می کنند. این آدرس ها در رنج ۲۲۴٫۰٫۰٫۰ تا ۲۳۹٫۲۵۵٫۲۵۵٫۲۵۵ قرار گرفته اند. برای هر آدرس Multicast ، یک مجموعه از صفر میزبان یا بیشتر که برای بسته های انتقال یافته به این آدرس پذیرفته می شوند ، موجود است. این مجموعه از دستگاه ها یک گروه میزبان نامیده می شوند.یک میزبان که بسته ها را به یک گروه خاص می فرستد ، نیازی نیست که یک عضو از این گروه باشد. این میزبان حتی ممکن است که اعضای معمولی که در این گروه حضور دارند را نشناسد.دو نوع گروه میزبان وجود دارد:
ثابت (دائمی) :application هایی که بخشی از این گروه هستند ،‌دارای IP آدرس هایی می باشند که بطور دائمی توسط IANA تخصیص می یابد.عضویت در این کروه میزبان دائمی نیست، یک میزبان در صورت نیاز می تواند به گروه بپیوندد یا گروه را ترک کند. یک گروه دائمی حتی اگر هیچ عضوی هم نداشته باشد ، موجود باقی می ماند. لیستی از IP آدرس های تخصیص یافته به گروه های میزبان دائمی در RFC 3232 موجود است. این آدرس های رزرو شده عبارتند از :
  • ۲۲۴٫۰٫۰٫۰ : آدرس های پایه رزرو شده
  • ۲۲۴٫۰٫۰٫۱ : تمام سیستم ها ذر این زیر شبکه
  • ۲۲۴٫۰٫۰٫۲ : تمام روتر ها در این زیر شبکه
  • ۲۲۴٫۰٫۰٫۹ : تمام روتر های RIP2
سایر آدرس های نمونه شامل آن هایی است که برای OSPF رزرو شده اند.این آدرس ها عبارتند از :
  • ۲۲۴٫۰٫۰٫۵ : تمام روتر های OSPF
  • 224.0.0.6 : تمام روتر های تخصیص داده شده به OSPF.
بعلاوه ، IGMPv3 ( تعریف شده در RFC 3376 ) آدرس زیر را رزرو می کند :
  • ۲۲۴٫۰٫۰٫۲۲ : روتر های Multicast مستعد.
یک application می تواند برای بدست آوردن IP آدرس تخصیص یافته به یک گروه میزبان دائمی با استفاده از دامنه mcast.net از DNS استفاده کند .این می تواند به تعیین یک گروه دائمی از یک آدرس با استفاده از یک اشاره کر پرسش و پاسخ در حوزه ۲۲۴٫ in-addr.arpa بپردازد.
غیر دائمی :
هر گروهی که دائمی نباشد غیر دائمی است. این گروه برای جایگزینی پویا در صورت نیاز در دسترس قرار می گیرد. گروه های غیر دائمی زمانی که تعداد اعضایشان صفر شود ، یعنی دیگر عضوی نداشته باشد ، از بین خواهد رفت.
۱-۱ : Multicasting روی یک شبکه فیزیکی واحد
این فرآیند آسان است. فرآین ارسال ، یک IP آدرس Multicast را برای مقصذد تعیین می کند. برنامه راه انداز این IP آدرس را به آدرس اترنت متناظر با آن تبدیل می کند و بسته را به آن مقصد ارسال می نماید. فرآیندی که در مقصد انجام می گیرد ، به بر نامه های راه اندلز شبکه آن اطلاع می دهد که خواهان دریافت دیاگرام های معین شده برای یک آدرس Multicast معین است. این برنامه راه انداز دریافت بسته ها را برای این آدرس ممکن می سازد.
در مقایسه با ارسال ترافیک IP Unicast استاندارد ، نگاشت میان IP آدرس Multicast مقصد و آدرس data-link توسط ARP انجام نمی شود. در عوض یک نگاشت ایستا تعریف شده است. در یک شبکه اترنت ، اگر ترتیب هشتایی بالای آدرس data-link ، ۰X’01′ باشد ، Multicasting را پشتیبانی می کند. IANA ، محدوده ۰X’01005E000000′ تا ۰X’01005E7FFFFF را برای آدرس های Multicast رزرو کرد ه است. این محدوده ، ۲۳ بیت قابل استفاده را فراهم می کند. IP آدرس Multicast ، ۳۲ بیتی توسط قرار دادن ۲۳ بیت پایینی آدرس کلاس D درون ۲۳ بیت پایینی بلوک آدرس رزرو شده IANA به یک آدرس اترنت نگاشته می شود. شکل ۱-۶ نگاشت IP آدرس Multicast را به آدرس IP متناظرش نشان می دهد
بخاطر اینکه ۵ بیت بالایی از گروه Multicast ، IP نادیده گرفته شده است ، ۳۲ گروه Multicast مختلف به آدرس اترنت یکسانی نگاشته شده اند. بدلیل یکتا نبودن این نگاشت ، فیلتر کردن توسط یک برنامه راه انداز نیاز است.این کار بوسیله چک کردن آدرس مقصد قرار گرفته در سرآیند IP قبل از ارسال بسته به لایه IP انجام می شود . این کار تضمین می کند که فرآیند دریافت ، دیتاگرام های نادرستی را دریافت نمی کند. در این جا دو دلیل اضافی برای اینکه چرا فیلتر کردن ممکن است مورد نیاز باشد ، وجود دارد :
  • بعضی از مبدل های شبکه ( سازگار کنندگان شبکه )به تعداد محدودی از آدرس های Multicast مختلف محدود می شوند. و هنگامی که از این محدوده تجاوز کند ، آن ها تمام بسته های Multicast را دریافت می کنند.
  • فیلتر ها در بعضی از مبدل های شبکه به استفاده از مقادیر جدول hash برای یک آدرس Multicast درست می پردازند . اگر دو آدرس با مقدار hash یکسان در یک زمان مورد استفاده قرار گیرند ، این فیلتر ممکن است بسته های اضافی را عبور دهد.
به وجود این نیازمندی ها برای فیلتر کردن نرم افزاری ، نقل و انتقالات Multicast هنوز باعث کم شدن عدم ظرفیت برای میزبان هایی می شود که در یک نشست خاص شرکت ندارند. بویژه ، میزبان هایی که در یک گروه میزبانی شرکت ندارند ، برای آدرس Multicast پذیرفته نمی شوند. در این وضعیت ، بسته های Multicast بوسیله سخت افزار واسط شبکه لایه پایین فیلتر می شوند.
۲-۱ : Multicasting بین قسمت های مختلف شبکه
ترافیک Multicast به یک شبکه فیزیکی واحد محدود نمی شود. بهر حال ، هنگام Multicasting بین شبکه ها ، خطرات مهمی وجود دارند. اگر محیطی حاوی چندین روتر باشد ، اقدامات محتاطانه خاصی برای تضمین اینکه بسته های Multicast بطور دائمی در حلقه شبکه قرار نمی گیرند ، باید انجام شود. ایجاد یک حلقه مسیریابی Multicast آسان و ساده است. و برای مدیریت آن ، پروتکل های مسیریابی Multicast به منظور تحویل بسته ها زمانی که به طور همزمان از حلقه های مسیریابی و نقل و انتقالات اضافی اجتناب می کند ، توسعه یافته اند.
دو نیازمندی برای ارسال داده ها بصورت Multicast از میان شبکه های چندگانه وجود دارد :
  1. تعین شرکت کنندگان (اعضا) Multicast : مکانیزمی برای تعیین اینکه ، آیا یک دیتاگرام Multicast نیاز دارد که بر روی یک شبکه خاص ارسال گردد یا نه . این مکانیزم در RFC 3376 ، پروتکل مدیریت گروهی اینترنت (IGMP) نسخه ۳ ، تعریف شده است.
  2. تعیین حوزه Multicast : مکانیزمی برای تعیین حوزه یک انتقال. بر خلاف آدرس های Unicast ، آدرس های Multicast می توانند در تمام اینترنت گسترش یابند.
فیلد TTL در دیتاگرام Multicast میتواند به منظور تعیین حوزه یک انتقال مورد استفاده قرار کیرد. مانند سایر دیتاگرام ها ،‌ هر دیتاگرام Multicast دارای یک فیلد TTL می باشد. (TTL=Time To Live )مقدار قرار گرفته در این فیلد در هر hop کاهش می یابد. وقتی که یک میزبان یا روتر Multicast ، دیتاگرامی را دریافت می کند ،‌ پردازش بسته به هر دو مقدار TTL و IP آدرس مقصد بستگی دارد :
  • TTL=0 : دیتاگرام دریافتی با مقدار TTL صفر به میزبان مبدا محدود می شود.
  • TTL=1 : دیتاگرام دریافتی با مقدار یک به تمام میزبان های زیر شبکه ای که عضو این گروه هستند ، می رسد. روترهای Multicast این مقدار را به صفر کاهش می دهند. بهر حال ، بر خلاف دیتاگرام های Unicast ، هیچ پیام خطای ICMP Time Exceeded به میزبان مبدا برگردانده نمی شود. انقضای دیتاگرام یک رویداد استاندارد در محیط های Multicast می باشد.
  • TTL=2 (یا بیشتر ): دیتاگرام Multicast ای با این مقدار TTL به تمام میزبان های این زیر شبکه که عضو این گروه هستند ، می رسد.
این عمل انجام شده بوسیله روتر های Multicast به آدرس ویژه گروه بستگی دارد:
  • ۲۲۴٫۰٫۰٫۰ – ۲۲۴٫۰٫۰٫۲۵۵ : این محدوده از آدرس ها برای application های Multicast تک hop ای معنی دار می باشد. روتر های Multicast دیتاگرام هایی را که آدرس های مقصدشان در این محدوده قرار دارند را ارسال نخواهند کرد.
با وجود اینکه روتر های Multicast دیتاگرام هایی با این رنج آدرس را ارسال نخواهند کرد، یک میزبان باید عضویت در یک گروه را مطابق با این رنج گزارش کند. این گزارش ، برای اطلاع سایر میزبان ها ی زیر شبکه از اینکه ، میزبان گزارش دهنده یک عضو از این گروه می باشد ، مورد استفاده قرار می گیرد.
  • سایرین : دیتاگرام هایی با سایر آدرس های مقصد معتبر کلاس D ، بصورت نرمال بوسیله روتر Multicast ارسال می گردند. مقدار TTL در هر hop یکی کم می شود.
این به یک میزبان اجازه می دهد تا یک expanding ring search را برای قرار دادن نزدیک ترین سرور که به یک آدرس Multicast خاص گوش می دهد ، پیاده سازی نماید. این میزبان دیتاگرامی با مقدار TTL یک را در زیر شبکه ای یکسان ارسال می کند و منتظر پاسخ می ماند. اگر هیچ پاسخی دریافت نشود ، این میزبان دیتاگرامی با این مقدار TTL را دوباره ارسال می کند و اگر باز هم هیچ پاسخی دریافت نشد ،‌ میزبان بطور سیستماتیک افزایش مقدار TTL را تا زمانی که نزدیک ترین سرور پیدا شود ،‌ادامه می دهد .
منبع:http://itcentre.ir
ارسال شده توسط در هیچ نظری موجود نیست:
برچسب‌ها:

۱۳۸۹ بهمن ۱۹, سه‌شنبه

معرفی پردازنده های OMAP 5: تغیير مفهوم پردازش در موبایل

تاکنون منتظر بودیم تا ببینیم که آیا بلاخره گجتی بر مبنای OMAP 4 عرضه خواهد شد یا نه. اما معلوم است که شرکت Texas Instruments منتظر به کار گرفتن این سری نبوده است و تاکنون روی طراحي و عرضه ی پلتفرم OMAP 5 برنامه ریزی می کرده است. پلتفرمی که می تواند خیلی چیز ها را عوض کند.  
وجود دو هسته از نوع Cortex A15 به عنوان CPU که هر کدام در فرکانس 2 گیگاهرتز کار می کنند؛ قابل ستایش است. Cortex A15 سریع ترین معماری شرکت ای.آر.ام می باشد که تاکنون معرفی شده است. بازدهی این هسته ها تقریبا 50 درصد از کرتکس A9 بیشتر است. (در کلاک برابر و شرایط مساوی). اما TI به این هم قانع نشده و دو هسته دیگر را هم از نوع Cortex M4 در این SoC قرار داده است که در عملیات سبک به کار گرفته شده و علاوه بر بازدهی مناسب؛ مصرف باتری بسیار کمتری دارند که این هم به طول عمر بیشتر باتری در دستگاه های مبتنی بر پلتفرم OMAP 5 منجر خواهد شد.
 
این پلتفرم می تواند از 4 عملیات همزمان برای دوربین ها پشتیبانی کند (برای مثال کنترل چهار دوربین مجزا( و همچنین قابلیت پخش 3D را به شما ارائه دهد. یک امکان فوق العاده دیگر وجود قابلیت تبدیل ویدئو های 2 بعدی به 3 بعدی؛ آن هم با کیفیت تمام HD است. قابلیت کنترل بیش از 8 گیگابایت رم هم در این پردازنده ها مهیا است.
 
نمونه این چیپ، تا نیمه دوم امسال در دست کارخانه های سازنده انواع گجت ها قرار خواد گرفت و نیمه دوم سال 2012 زمانی است که انتظار داریم دستگاه های مبتنی بر این پلتفرم وارد بازار شوند. TI این پلتفرم را (دگرگون کننده مفهوم موبایل) خوانده است و با مشخصاتی که از آن دیدیم؛ چنین چیزی اصلا بعید نیست. منتظر خبر ها و جزئیات بیشتر باشید... 

منبع : نارنجی
ارسال شده توسط در هیچ نظری موجود نیست:
برچسب‌ها:

۱۳۸۹ بهمن ۱۸, دوشنبه

محدود کردن دسترسی به تب Computer

همان طور که می دانید، از طریق Properties گرفتن از  My Computer می توانیم به تب Computer name دسترسی پیدا کنیم. در این تب می توانیم کار های مختلفی از جمله تغییر دادن نام کامپیوتر، عضو کردن کامپیوتر در یک دامین یا ورک گروپ، تغییر DNS suffix و … را انجام داد.  بنابراین ممکن است شما بخواهید دسترسی به این تب را محدود کنید.
برای انجام این کار، هیچ گزینه ای در Group Policy وجود ندارد. اما می توانیم با یک ترفند به راحتی این گزینه را غیر فعال کنیم.
برای این منظور وارد پوشه ی System32 واقع در پوشه ی Windows شوید و فایل netid.dll را پیدا کنید. اگر می خواهید به صورت کامل دسترسی به این پوشه ممنوع شود، می توانید این فایل را پاک کنید.
اما توصیه این است که به این پوشه مجوز (آشنایی با مجوز ها) دهید. مجوز زیر به نظر خوب میرسد:
Administrators – Full Control
Power Users – Read & Execute, Read
System – Full Control
به همین راحتی می توانید دسترسی به این تب را کنترل کنید. توجه کنید در تمامی نسخه های ویندوز این کار عملی است.


منبع :  windowsnetworking
ارسال شده توسط در هیچ نظری موجود نیست:
برچسب‌ها: ,

آیا رایانه و روبات ها حقیقت را به انسان می گویند؟

درحالی که فناوری روبات ها روز به روز پیشرفت می کند،این پرسش به وجود می اید که آیا رایانه و روبات ها حقیقت را به انسان می گویند؟ یا اینکه آنها در عین حال که یاد می گیرند که با انسان ها صادق باشند ، یاد بگیرند که همچون انسانها به هم دروغ بگویند؟
طرح این پرسش واکنش های محتلفی را به دنبال دارد و ااز این رو موجب شده است تا تحقیقات و مطالعات گسترده ای در این زمینه صورت گیرد.
البته این موضوع به سال ها قبل باز می گردد و در واقع دانشمندان سال هاست که به این مقوله امکان بروز انحرافات رفتاری در روبات ها و روی آوردن به بعد شخصیتی نظیر دروغگویی نگران هستند که در آینده وبا گسترش دامنه فعالیت روبات های کاملا خودکار، هرگونه رفتار برنامه ریزی نشده و در عین حال گمراه کننده از سوی آنها سر بزند.
به تازگی در یکی از آزمایشگاه های پیشرفته تحقیقاتی در سوئیس، آزمایش جالبی توجهی صورت گرفت. در این آزمایش نزدیک به یک هرزار روبات در حالی به کار گرفته شدند که به حسگر های نصب شده بر روی صورت و روبه جهت پایین مجهز بودند. آنها با هدف به دست آوردن غذا برای رقابتی هیجان انگیز آماده شده بودند! البته غذایی که برای به دست آوردن آن تلاش می کردند در حقیقت حلقه آبی رنگی بود که . . . .
بر روی کف سالن برگزاری آزمایش قرار گفته بود. همزمان و در گوشه ای دیگر از سالن حلقه تیره رنگی به عنوان سم قرار داشت. روبات هایی که در این آزمایش به کار گرفته شده بودند به ازای هر بار حضور در نزدیکی غذا و نه سم ، امتیاز در یافت می کردند.
سارا میتری و دایو فلورنو از دانشگاه لوزان سوئیس که هدایت این پروژه را در دست داشتند معتقد بودند که با استفاده از نتایج مطالعاتی از این دست می توان در خصوص ربات ها به نگرش تازه ای دست یافت. آنها برای دستیابی به این منظور امکان منحصر به فردی را در اختیار روبات ها قرار دادند که بر اساس آن آنها می توانستند با یکدیگر صحبت کنند.در این آزمایش هر ربات می تواند نوری آبی رنگ از خود تولید کند که ازسوی سایر روبات ها قابل دیدن است.البته ربات ها می توانند با استفاده از این نور به نوعی روبات های دیگر را پیدا کردن مکان دقیق غذا(حلقه آبی رنگ) دچار اختلال کنند.نکته حیرت انگیز این بود که با گذشت زمان ربات ها در قالب نوعی فرآیند تکاملی یاد می گرفتند تا در یافتن مکان دقیق حلقه آبی ،بکدیگر را فریب دهند!
ارسال شده توسط در هیچ نظری موجود نیست:
برچسب‌ها:

Recover کردن RAID Volume

Recover کردن Raid Volume ها:

در ابتدا باید به این نکته توجه داشته باشیم که همواره از اطلاعات خود نسخه پشتیبان یا Backup داشته باشیم.
در صورتی که یک Stripped Volume داشته باشیم و Fail شود :
ابتدا باید Stripped Volume را به طور کامل پاک نموده و سپس یک Stripped Volume جدید بسازیم و با استفاده از Backup که قبلا گرفته ایم ، اطلاعات را Restore کرده و وضعیت سرور را به حالت قبل برگردانیم.
در صورتی که یک Mirror Volume ما Fail شود و از کار بیفتد:
1) شاید مشکل از کابل یا برق ورودی باشد که آن را چک کرده و درست میکنیم و سپس از قسمت Hardware Configuration آن دیسک را Right Click کرده و در پایان Reactivate را انتخاب کرده و مجددا آن Volume فعال می شود.
2) شاید اصلا یکی از هاردهای ما Fail شده باشد و مشکل اساسی داشته باشد ، کهدر اینصورت ابتدا هارد Mirror را Stop می کنیم و سپس 3 انتخاب داریم:
* Delete Volume : کلیه اطلاعات را از بین میبرد.
* Remove the mirror : یکی از دیسکها Unallocate می شود و دیگری اطلاعات را نگه میدارد.
* Break the mirror : یعنی از این لحه به بعد دیگر هیچ اطلاعاتی Mirror نمی شود و هارد دیسک دوم ، 2 تا Drive Letter دیگر برای خود میگیرد.
و اگر Raid5 ، از کار بیفتد و Fail شود:
* اگر یکی از هاردها Fail شود ، کاربر هیچ اتفاقی را متوجه نخواهد شد و در نتیجه Performance کاهش پیدا می کند.
* اگر هارد درایو ما مشکل آن حل شده باشد و بخواهیم دوباره به حالت عادی برگردد، بر روی Volume در Disk Management ، کلیک راست کرده و Reactivate Volume را انتخاب می نماییم.
* اگر Volume ، قابلیت Reactivate را به هر دلیلی نداشت ، باید یک هارد دیسک جدید بگذاریم و Rescan کنیم و سپس هارد را به حالت Dynamic برده و بر روی دیسک Right click میکنیم و در نهایت Repair را انتخاب می کنیم.

منبع : networkprof
ارسال شده توسط در هیچ نظری موجود نیست:
برچسب‌ها: ,

محافظت از فایل ها با رمزنگاری در ویندوز

رمزنگاری یا Encryption به فرآیند غیرقابل مشاهده کردن فایل ها توسط افراد بدون مجوز گفته می شود. در رمزنگاری یک کلید برای رمزگشایی اطلاعات به کار می رود. افرادی که دارای این کلید باشند می توانند اطلاعات را مشاهده کنند. در پارتیشن و والیوم های با فایل سیستم NTFS علاوه بر NTFS Permission یک راه ایمن کردن اطلاعات EFS یا Encryption File System است. اگر کاربر فاقد کلید لازم برای باز کردن فایل باشد با پیغام Access Denied رو به رو خواهد شد. امنیتی که EFS برای ما ایجاد می کند بسیار امنیت محکم تری نسبت به NTFS Permission است اما این به معنی غیر قابل نفوذ بودن نیست. معمولا برای اطلاعات رده حساس به کار می رود و در اطلاعات رده حیاتی از روش های دیگر که الگوریتم های رمزنگاری پیچیده تری دارند استفاده می شود. همچنین برای اطلاعات رده مهم، که پایین ترین سطح اهمیت اطلاعات اند، از EFS استفاده نمی شود. در ویندوز ویستا روش رمزنگاری پیچیده تری با استفاده از چیپ های TPM و رابط bitlocker موجود است که در این خصوص در گذشته صحبت کرده ایم. اما همچنان بنا به دلایل بسیار و تفاوت عملکرد این دو سیستم EFS متداول است.
تذکر در خواندن این مقاله: تلاش شده مطالب این مقاله به ساده ترین نحو ممکن نگارش شود. مطالب با روندی آهسته تخصصی تر و پیچیده می شوند. اما مطالب ابتدایی عمومی به شمار می رود و برای همگان مفید است.
هر چند انجام رمزنگاری ظاهرا ساده و به دور از پیچیدگی است، اما به موارد بسیار زیادی باید توجه کرد. که در ادامه آن ها را بررسی می کنیم.برای رمزنگاری در خط فرمان از دستور Cipher استفاده می کنیم که قابلیت های بسیار بیشتر را نسبت به محیط گرافیکی به صورت متمرکز در اختیار ما قرار می دهد. با این وجود بررسی در محیط گرافیکی می کنیم و سپس سری به خط فرمان می زنیم. 
روی فایلی یا فلدری که می خواهید رمزنگاری شود کلیک راست کنید و سپس Properties را بزنید. در زبانه general گزینه Advanced را بزنید. و چک باکس Encrypt Contents to Secure Data را بزنید. توجه کنید که نمی توانید Compression و Encryption را همزمان داشته باشید. اگر بخواهم دلیل این مسئله را خیلی عامیانه و فقط برای درک مسئله بیان کنم چنین است: در Compression از عبارت های مشابه فاکتور گرفته می شود تا حجم فایل کاهش یابد اما در Encryption عبارتی به فایل ضرب می شود تا فایل بدون کلید غیر قابل تشخیص باشد. بنابراین این دو در خلاف یکدیگرند. سپس OK بزنید و Apply کنید. این فایل در حال حاضر رمزنگاری شده و احتمالا فقط خودتان قادر مشاهده آن هستید. به صروت پیش فرض فایل های رمزنگاری شده با رنگ سبز در Windows Explorer نمایش داده می شوند البته این رنگ قابل تغییر است. برای آنکه بتوانید به فرد دیگری مجوز مشاهده فایل را بدهید دوباره Advanced را بزنید و سپس Details را بزنید. در پنجره user access to file دو قمست وجود دارد: 1) Users who can access this file لیستی از کاربرانی است که می توانند به این فایل دسترسی داشته باشند. می توانید به راحتی افرادی را اضافه و یا حذف کنید. 2) Recovery Certificates for this file as defined by Recovery Policy : افرادی هستند که به منظور بازیابی این فایل همواره مجوز دسترسی به این فایل ها را دارند. در اینجا قادر به تغییر این افراد نیستید.
از دست رفتن کلید ها و تهیه نسخه پشتیبان : همانطور که گفته شد برای دسترسی به یک فایل رمزنگاری شده باید یک کلید در اختیار داشت. این کلید بر اساس کلمه عبور و SID ساخته می شود. در سناریو های بسیاری احتمال از دست رفتن این کلید است. مثلا ست کردن ویندوز در کامپیوتر و یا Set Password کردن. توجه کنید که در Change Password مشکلی وجود ندارد. Change Password به زمانی گفته می شود که با وارد کردن password فعلی، کلمه عبور جدیدی برای خود انتخاب می کنید و Set Password به زمانی گفته می شود که بدون وارد کردن کلمه عبور فعلی یک کلمه عبور جدید را اجبارا اعمال می کنید. در recover password که در خصوص password های فراموش شده استفاده می شود، نیز همانند Change Passwordکلید از دست نمی رود. بنابراین همیشه به کاربران توصیه می شود تا password reset disk بسازند و آن را در محلی امن نگه داری کنند. هر چند خود این مسئله قدری خطرناک است اما راه حلی مناسب است. یک راه حل مناسب برای از دست ندادن کلید ها تهیه نسخه پشتیبان از آن ها است. با زدن دکمه Backup Keys می توانید از کلید های خودتان نسخه پشتیبان تهیه کنید. با زدن این دکمه ویزاردی به نمایش در می آید:
گرفتن نسخه پشتیبان :
1) در صفحه خوش آمدگویی ویزارد به شما توضیح داده می شود که شما با استفاده از این ویزارد می توانید از مجوز( Certification ) های خودتان یک کپی تهیه کنید. مجوزها که توسط Certification Authority صادر می شوند، شامل تصدیق هویت شما و اطلاعاتی که می تواند موجب ایمن سازی یک ارتباط شبکه و یا محافظت از یک فایل است می باشند. با زدن next به مرحله بعدی می رویم.

2) در مرحله بعدی باید نوع فایل خروجی را انتخاب کنیم. هر کدام از این فایل ها شرایط و قابلیت های خاص خود را دارند که در اینجا قصد نداریم همه را بررسی کنیم. در اینجا Personal Information Exchange را انتخاب می کنیم. PFX فایلی است که برای انتقال مجوز ها به یک کامپیوتر دیگر و یا یک removable storage به کار می رود. در ورژن های مختلف ویندوز نوع فایل های خروجی متفاوتی پشتیبانی می شود. برای اطلاعات بیشتر روی لینک موجود در ویزارد کلیک کنید.
3) با زدن Next به مرحله بعدی می رویم و در آنجا باید با وارد کردن یک Password از فایل خروجی محافظت کنیم. توجه کنید که اسم رمزی انتخاب کنید که با روش های Social Engineering قابل کشف نباشد. تاکید می کنم با کلمه عبور ایمیل و… خودتان یکی نباشد و آن را روی کاغذ و یا در یک فایل یادداشت نکنید. با زدن Next به مرحله بعدی بروید.
4) در این مرحله باید نام و محل قرار گیری فایل خروجی را معین کنید. با زدن next به مرحله بعدی می روید و با زدن finish نسخه پشتیبان ساخته می شود.
باز کردن نسخه پشتیبان :
1) پس از انتقال فایل به کامپیوتر جدید، و یا به user profile که کلمه عبور آن user به صورت set password عوض شده است. فایل را باز می کنیم. با باز کردن فایل ویزارد Certificate Import نمایش داده می شود. با زدن next به مرحله بعدی می رویم.
2) اکنون باید فایل نسخه پشتیبان را انتخاب کنیم. چون ما در اینجا خود فایل را باز کردیم، آدرس فایل درج شده و با زدن next به مرحله بعدی می رویم.
3) حال باید رمز عبور که در زمان تهیه نسخه پشتیبان انتخاب کرده بودیم را وارد کنیم.
4) در مرحله بعد باید محل جاگذاری مجوز ها را انتخاب کنیم. در اینجا Automatically را انتخاب می کنیم. اما در صورت لزوم می توان در محل ذخیره سازی ای خاص مجوز ها را جایگذاری کرد.
5) با زدن finish، کلید ها بر می گردند.
بازیابی ( recover ) کردن فایل رمزنگاری شده بدون در اختیار داشتن مجوز: رمزگشایی ( Decrypt ) کردن فایل رمزنگاری شده ( Encrypted ) :
بارها و بارها دیده ام که افراد اطلاعات خودشان را به علت عدم توجه به شرایط نگه داری فایل های رمزنگاری شده و یا عدم دانش کافی در شرایط خاص از دست داده اند. با داشتن یک recovery agent می توان بسیاری از مشکلات را حل کرد. در محیط اکتیودایرکتوری دامین به صورت پیش فرض فردی که اولین دامین کنترلر را ایجاد می کند، Recovery agent است. اما به صورت پیش فرض در کامپیوتر های عضو شبکه workgroup ، هیچ recovery agent وجود ندارد. در صورت وجود یک Recovery Agent به صورت زیر می توان عمل کرد:
1) با استفاده از NTBACKUP یا یک نرم افزار Backup دیگر، و یا راه ها و روش هایی که انتقال یک فایل رمزنگاری شده در آن ممکن است، فایل را برای recovery agent ارسال می کنیم. توجه کنید که recovery agent نمی تواند فایل را روی هر کامپیوتری recover کند. فراموش نکنید که با استفاده از بستری ایمن اطلاعات را منتقل کنید.
2) حال recovery agent با استفاده از مجوز ریکاوری خود و private key که دارد می تواند به راحتی با برداشتن چک باکس Encrypt Contents to Secure Data فایل ها را decrypt کند و با هر متد فایل ترانسفوری اطلاعات را به شما بازگرداند.
* با استفاده از backup اگر از یک فایل encrypt شده ، backup بگیرید همچنان encrypted باقی می ماند. * در ویندوز 2000 کاربر administrator به صورت پیش فرض بازیاب اطلاعات است.
مجوز ها و رمزنگاری :
دو گروه مجوز ( Certificate ) در EFS نقش دارند که عبارت اند از: -Encrypting File System Certificates : این گونه از مجوز ها به دارندگانشان اجاز می دهند تا از EFS برای رمزنگاری و رمزگشایی اطلاعات استفاده کنند. این مجوز اغلب به صورت خلاصه EFS Cerf گفته می شود. فیلد Enhanced key Usage برای این دسته از مجوز ها مقدار 1.3.6.1.4.1.311.10.3.4 را دارد.

- File Recovery Certificates : این گروه از مجوز ها به دارندگانش اجازه می دهند تا فایل ها و فلدر های رمزنگاری شده را در حوزه یک دامین، سایت و… ریکاور کنند. بدون توجه به آنکه چه کسی این فایل را رمزنگاری کرده. فیلد Enhanced key Usage برای این دسته از مجوز ها مقدار 1.3.6.1.4.1.311.10.3.4.1 را دارد.
افزودن یک Recovery Agent :
افزودن یک Data Recover Agent دو مرحله انجام می گیرد. 1)تولید مجوز و کلید 2)افزودن
1) تولید مجوز و کلید: 1) به خط فرمان بروید مثلا در  RUN وارد کنید CMD . 2) اکنون دستور مقابل را در خط فرمان وارد کنید :cipher /r:filename 3) حال یک کلمه عبور برای محافظت از کلید ها و مجوز ها وارد کنید. 4)  کلمه عبور را مجددا وارد کنید. 5) دو فایل با پسوند های PFX و CER برای شما ساخته می شود و پیغامی جهت اطلاعات از این امر در خط فرمان به شما داده می شود. * بهتر از پیش از مرحله 2 مجوز خود را نصب کنید. * این دستور “سایفر” خوانده می شود. نمی دانم چرا برخی اشتباه تلفظ می کنند. * سوییچ SmartCard برای ذخیره سازی مجوز در کارت هوشمند به کار می رود. همچنین در استفاده از این سوییچ فایل PFX ساخته نمی شود. * به جای FileName نام دو فایل  PFX و CED را به دلخواه وارد کنید. *  فایل در جایی ساخته می شود که CMD به آن اشاره می کند. مثلا می توانید برای راحتی محل اشاره را به پارتیشن C تغییر دهید اما توصیه می شود محل اشاره User Profile خودتان باشد.
2) افزودن یک Recovery Agent در دامین : 1) وارد کنسول Active Directory Users and Computers شوید. 2) روی دامینی که می خواهید Recovery Policy آن را تغییر دهید بروید و right-click کنید و properties را بزنید. 3) سیاستی را که می خواهید تغییر دهید انتخاب کنید و یا یک سیاست جدید اضافه کنید. 4) به مسیر زیر بروید:
Computer Configuration/Windows Settings/Security Settings/Public Key Policies/Encrypting File System
5)روی Encrypting file System رایت کلیک کنید و Add Data Recovery Agent را بزنید. و در ویزارد به نکات زیر توجه کنید: – برای این کار باید عضو گروه Domain Admins و یا Enterprise admin باشید و یا با استفاده از delegation حق این کار را داشته باشید. – پیش از اضافه کردن یک Recovery Agent باید انتشار مجوز های در اکتیودایرکتوی تنظیم شده باشد. که به صورت پیش فرض چنین نیست. – زمانی که از طریق یک فایل، Recovery Agent اضافه می کنید. user به صورت USER_UNKNOWN نوشته می شود زیرا نام کاربر در فایل ذخیره نمی شود.
2) افزودن یک Recovery Agent به صورت local : مشابه مراحل افزودن در دامین است با این تفاوت که به کنسول Group Policy Object Editor باید بروید. یعنی در مرحله اول به MMC رفته و Add/remove snap-in را بزنید. سپس Group Policy Object را انتخاب کنید و ادامه مراحل را طی کنید. می توانید به راحتی در run وارد کنید gpedit.msc و مراحل 2 تا 5 را انجام دهید. * دقت کنید در اینجا حتما باید از طریق یک فایل و همان فایل با پسوند CER یک بازیاب اطلاعات اضافه کنید. -باید عضو گروه Administrators در Local Users باشید.
EFS چگونه کار می کند؟ 1) EFS از یک زوج کلید عمومی و اختصاصی ( Public – Private key ) استفاده می کند.  همچنین کلید هر فایل متفاوت است. زمانی که کاربر یک فایل را رمزنگاری می کند، EFS یک File Encryption Key یا به اختصار FEK تولید می کند. FEK با کلید عمومی آن کاربر رمزنگاری می شود و با فایل ذخیره می شود. 2) زمانی که Recovery Agent وجود داشته باشد، کلید رمز نگاری شده با Public Key هر Recovery Agent نیز با فایل ذخیره می شود.
غیر فعال کردن EFS روی یک کامپیوتر : با استفاده از registry می توان امکان EFS را غیرفعال کرد. تذکر: ویراشی Registry نیاز به اطلاعات کافی دارد. چنانچه قصد دارید Registry را ویرایش کنید حتما ابتدا یک نسخه پشتیبان از آن تهیه کنید. همچنین ممکن است اگر مشکی بروز کند با استفاده از Last know Good Configuration مشکل را بر طرف کنید. ویرایش رجیستری توسط کاربران مبتدی توصیه نمی شود. در Registry Editor به شاخه زیر بروید.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS
یک متغیر جدید از نوع DWORD با نام EfsConfigurationایجاد کنید و مقدار آن را 1 بگذارید. کامپیوتر را ریستارت کنید.
دسترسی سریع تر به Encrypt : می توان با استفاده از ویرایش Registry، برای رمزنگاری کردن سریع تر گزینه ای را در منو right click اضافه کرد. به مسیر زیر بروید:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
و یک متغیر از نوع DWORD به نام EncryptionContextMenu  و با مقدار 1 بسازید. کامپیوتر را ریستار کنید.
ذخیره نسخه پشتیبان کلید EFS در وب سایت مایکروسافت: در ویندوز ویستا و سرور 2008 می توانید File Recovery Certificate خود را در وب سایت مایکروسافت به نام Digital Locker ذخیره کنید. چرا که ممکن است خود مجوز Recovery Agent از دست برود. در اغلب شرکت ها فقط یک Recovery Agent در نظر گرفته می شود که این مسئله ریسک از دست رفتن اطلاعات را افزایش می دهد. برای جلوگیری از این مشکل، Recovery Agent می تواند با استفاده از Secure Online Key Backup قابل دسترسی از طریق کنترل پنل، مجوز خود را آنلاین ذخیره و بعدا به آن دسترسی پیدا کند. برای این کار به یک Windows Live ID نیز احتیاج است.
بررسی تکنولوژیک EFS : EFS از یک متد تقریبا پیچیده و متاسب رمزنگاری استفاده می کند که در اکثر حملات محافظت مناسبی در خصوص فایل ها حساس ایجاد می کند. در اینجا بررسی کوتاهی از تکنولوژی EFS به عمل می آورم و از بسیاری از اجزا ی این تکنولوژی صرف نظر می کنم. همچنین از بررسی آنکه هر کدام از این مراحل در Kernel Mode اتفاق می افتد و یا در User Mode که از لحاظ امنیتی بسیار مسئله مهمی است نیز به علت تسهیل مسئله موقتا چشم پوشی می کنم.
EFS از یک کلید عمومی با ترکیب عطفی یک کلید متقارن ( symmetric key ) استفاده می کند. FEK تنها یک قسمت از کلید است. FEK ابتدا فایل را رمزنگاری می کند و سپس خودش به صورت رمزنگاری شده توسط public key که از EFS Certificate اتخاذ شده، با فایل ذخیره می شود. برای رمزگشایی FEK سیستم  EFS از کلید شخصی ( private key ) که تنها Encrypt کننده فایل دارد استفاده می کند.
الگوریتم های رمزنگاری کلید عمومی از یک کلید نامنتقارن ( asymmetric Key ) استفاده می کنند. نا متقارن به این معنی است که کلید های متفاوتی برای رمزنگاری و رمزگشایی فایل استفاده می شود. یک کلید عمومی در دسترس همگان در یک شبکه است. به عنوان مثال یک کلید می تواند در سراسر دامین منتشر شود که این باعث می شود کلید برای همه در دسترس باشد.
دو کلید عمومی و شخصی از یکدیگر کاملا جدا هستند اما در عمل مکمل یکدیگر اند. اطلاعاتی که توسط یک Public Key رمزنگاری شده باشد فقط با Private Key خود می توانند باز شوند. این دو کلید در کنار هم را یک جفت کلید ( Key Pair ) یا Key Set می گوییم.
یکی از موانع رمزنگاری با کلید عمومی مقدار زمان پردازشی است که صرف عملیات ریاضی مربوطه می شود. استفاده از کلید متقارن که به تنهایی برای رمزنگاری و رمزگشایی استفاده شود چیزی بین 100 تا 1000 مرتبه الگوریتم سریع تری دارد. بنابراین EFS با استفاده از FEK ابتدا اطلاعات را رمزنگاری و رمزگشایی می کند و با استفاده از یک Public Key و یک Private Key سپس FEK را رمز نگاری می کند و با فایل ذخیره می کند.
زمانی که یک فایل رمزنگاری می شود، رمزنگارنده به صورت اتفاقی یک FEK یکتا تولید می کند. که این یک روش سریع با کلید متقارن است. اما این هنوز قسمتی از کار است. FEK اطلاعات را در بلوک های جدا و سپس رمز می کند. EFS به فایل یک Header (سرفصل)  اضافه می کند که حداقل شامل دوبخش است: 1) DDF که کوتاه شده Data Decryption Field است و شامل FEK می شود که با Public Key کاربر به رمز درآورده شده ذخیره می شود. 2) DRF که کوتاه شده Data Recovery Field است و شامل FEK می شود که با Public Key مخصوص Recover Agent ذخیره می شود. همانطور که Public Key کاربر از EFS Certificate اخذ شده، Public Key مربوط به Recovery Agent از File Recovery Certificate اخذ می شود.
برای مشاهده و یا ویرایش فایل نیازی به رمزگشایی کردن فایل وجود ندارد. هرچند در واقع تمامی این عملیات در پشت پرده رخ می دهند. کلید شخصی شما که در User Profile شما به صورت ایمن نگه داری می شود، وارد DDF می شود تا نسخه رمزنگاری شده FEK باز شود. سپس EFS با استفاده از نسخه رمزباز شده FEK اطلاعات رمزنگاری شده را باز می کند. مسئله Recover کردن اطلاعات هم بسیار شبیه به همین مرحله است. در واقع کلید عمومی Recovery Agent برای رمزگشایی DRF به کار می رود. چناچه چند Recovery Agent نیز موجود باشد، هر Recovery Agent فقط می تواند DRF مخصوص خود را باز کند. پس خطر آنکه یک Recovery Agent بتواند هر فایلی را باز کند وجود ندارد.
ه یاد داشته باشید که در ویندوز 2000 به صورت پیش فرض Administrator به صورت Local یک Data Recovery Agent است، اما در نسخ بعدی به صورت پیش فرض هیچ Recovery Agent وجود ندارد و باید یک Recovery Agent اضافه کنید. در محیط اکتیودایرکتوری کاربر Administrator که اولین دامین را ایجاد می کند، به صورت پیش فرض Data Recovery Agent است.

منبع : networkprof

ارسال شده توسط در هیچ نظری موجود نیست:
برچسب‌ها:

۱۳۸۹ بهمن ۱۶, شنبه

ویژگی های ویندوز ۸

از هم‌اكنون تا زمان تكمیل ویندوز ۸ و عرضه آن به بازار حدود ۲ سال باقی مانده اما مایكروسافت آنچه را كه برای این نسخه جدید از سیستم‌عامل خود در نظر گرفته را با شركای خود در میان گذاشته است.
به گزارش پایگاه خبری فناوری اطلاعات برسام و به نقل از فارس، از مهم‌ترین قابلیت‌هایی كه مایكروسافت برای ویندوز ۸ در نظر گرفته، سازگاری این محصول برای به‌اشتراك‌گذاری فایل‌ها با محصولات اچ‌پی، OEM و دیگر شركای مایكروسافت است.
بر اساس آخرین برنامه‌ریزی‌های مایكروسافت، ۸ قابلیتی كاربردی كه قرار در ویندوز ۸ به كار گرفته شوند در زیر آورده شده است.
تشخیص چهره كاربر به جای رمز عبور
در سال ۲۰۱۲ میلادی حسگرهای به‌كار رفته در دستگاه‌هایی مانند میكروفون‌ها، دوربین‌های دیجیتالی، گیرنده ماهوره‌ای GPS، سیستم‌های سرعت‌سنج، دماسنج و حسگرهای مغناطیسی كه با رایانه‌های شخصی سازگار هستند، به ویندوز ۸ امكان می‌دهند كه پس از تشخیص چهره كاربر اجازه ورود به رایانه را صادر كند.
پیروی از دستگاه‌های الكترونیكی
مایكروسافت در نظر دارد نسخه جدید سیستم‌عامل خود را از حالت ماشین-محور خارج كرده و به صورت كاربر-محور ارایه دهد. این مسئله به این معنی خواهد بود كه ویندوز ۸ می‌تواند زمانی كه شما از رایانه شخصی به لپ‌تاپ و به دستگاه‌های دیجیتالی كوچك‌تر منتقل می‌شود، خدمات متناسب با شما را ارایه دهد.

پشتیبانی از نمایشگر لمسی و چند لمسی
مایكروسافت به همكاران خود توضیح داده است كه ویندوز ۸ را با قابلیتی بهتر از نمایشگر لمسی iPad اپل عرضه می‌كند. این سیستم‌عامل همچنین می‌تواند از سیستم‌های سرعت‌سنج، سیستم هوشمند شناسایی محل استقرار كاربر، سیستم تشخیص نور محیط پشتیبانی كند.

تماشای فیلم‌های HD در تلویزیون‌های بی‌سیم
ویندوز ۸ قابلیت سازگاری با انواع دستگاه‌های الكترونیكی از جمله گیرنده‌های تلویزیونی را دارد و می‌تواند امكان تماشای فیلم‌ها با كیفیت بسیار بالای HD را فراهم كند. بر این اساس كاربر می‌تواند لپ‌تاپ خود را روشن كند،‌ فیلم مورد نظر خود را در اینترنت بیابد، و با یك كلیك آن را به صورت بی‌سیم به تلویزیون خود انتقال داده و آن را تماشا كند.
بارگذاری ابزارهای مورد نیاز از فروشگاه Windows App Store
مایكروسافت مانند فروشگاه اینترنتی كه اپل هم‌اكنون برای آیفون و iPad عرضه كرده، مركز اینترنتی ویژه‌ای عرضه می‌كند كه كاربران در سراسر دنیا می‌توانند كلیه ابزارها و برنامه‌های مورد علاقه خود متناسب با سیستم‌عامل ویندوز ۸ را از آن بارگذاری كند.

كشتن ویروس و حفظ اطلاعات كاربران
ویروس‌ها معمولا با قابلیت تخریب اطلاعات ذخیره شده روی رایانه‌ها عرضه می‌شوند، اما ویندوز ۸ به گونه‌ای ساخته می‌شود كه بدون آسیب رساندن به اطلاعات می‌تواند كلیه ویروس‌ها و برنامه‌های مخرب را از بین ببرد.

بوت شدن رایانه بدون درنگ
یك بررسی كه در مارس ۲۰۱۰ انجام شد نشان داد كه زمان صرف شده برای بالا آمدن ویندوز مهم‌ترین عامل نارضایتی كاربران محسوب می‌شود. بر این اساس مایكروسافت قصد دارد ویندوز ۸ را به گونه‌ای طراحی كند كه بالا آمدن آن طول نكشد و از زمان روشن كردن رایانه تا بالا آمدن سیستم هیچ زمانی صرف نشود. در ویندوز ویستا زمان بوت شدن رایانه ۴۰ ثانیه بود كه در ویندوز ۷ این رقم به ۳۷ ثانیه رسید. اما مایكروسافت قصد دارد آن را در ویندوز ۸ صفر كند.
كنترل بیشتر بر رایانه
یكی از مهم‌ترین اهدافی كه مایكروسافت در ویندوز ۸ دنبال می‌كند، آسان‌سازی استفاده از ابزارها و ارتقا تجربیات رایانه‌ای كاربران است. مایكروسافت در این سیستم‌عامل روش‌های جدید ارتباط با رایانه را در اختیار كاربران می‌گذارد و امكان كنترل بیشتر رایانه را برای كاربران فراهم می‌آورد.
منبع: irantapesh

 
ارسال شده توسط در ۱ نظر:
برچسب‌ها:
اشتراک در: پست‌ها (Atom)