خانه

تماس

پانافناور پارسیان

026-4050500

AVX

AVX چیست؟

AVX یا Advanced Vector Extensions، یک مجموعه دستورالعمل ویژه است که برای پردازش‌های موازی داده‌های رشته‌ای (Vectorized Data Processing) در CPU‌ها طراحی شده است. این فناوری توسط شرکت اینتل معرفی شده است و در نسل‌های مختلف پردازنده‌ها از جمله Sandy Bridge (نسل 2nd) تا Tiger Lake (نسل 11th) پشتیبانی می‌شود.

AVX سرعت پردازش داده‌های موازی را افزایش میدهد و اجازه می‌دهد تا عملیات‌های مشابه روی یک دسته از داده‌ها به صورت همزمان (با استفاده از بردار‌ها یا وکتورها) انجام شود. این بردارها در AVX می‌توانند به صورت 128 بیت یا 256 بیت باشند، به این ترتیب معمولاً AVX دارای دو نسخه 128 بیتی (AVX-128) و 256 بیتی (AVX-256) است.

افزودن پشتیبانی از AVX به پردازنده‌ها باعث افزایش کارایی و عملکرد آن‌ها در برنامه‌هایی می‌شود که از پردازش‌های موازی داده‌ها بهره می‌برند، از جمله برنامه‌هایی که با رسانه، گرافیک، محاسبات و شبیه‌سازی‌ها سر و کار دارند. به عنوان مثال، نرم‌افزارهای پردازش تصویر، ویدئو، تحلیل داده، ساخت شبکه‌های عصبی و انجام محاسبات عددی پیچیده از مزایای AVX بهره‌مند می‌شوند.

AVX در آنتی ویروس ها ؟؟

AVX  نهایتا فناوری مرتبط با سخت‌افزار پردازنده‌ها و CPU‌ هاست و مستقیما در آنتی‌ویروس‌ها به کار نمی‌آید.

اهمیت اصلی آنتی‌ویروس‌ها در تشخیص و جلوگیری از تهدیدات امنیتی است. آنتی‌ویروس‌ها با استفاده از الگوریتم‌های مختلف، تحلیل رفتارها، تشخیص الگوهای خاص مخرب و برخی متدهای مبتنی بر هوش مصنوعی و یادگیری ماشین تلاش می‌کنند تا برنامه‌ها و فایل‌های مشکوک را شناسایی و مسدود کنند و کامپیوتر و داده‌های کاربر را در مقابل حملات مخرب محافظت کنند. اما فعال بودن AVX در آنتی ویروس می‌تواند تأثیر مهمی بر عملکرد و کارایی آن داشته باشد. این فعال‌سازی از دو جنبه مهم استفاده می‌کند:

  1. بهبود کارایی: زمانی که آنتی‌ویروس از فناوری AVX بهره‌مند است، این به معنای استفاده از ظرفیت پردازشی پردازنده بهتر و اجرای سریع‌تر و بهینه‌تر عملیات‌های مورد نیاز برای تشخیص و جلوگیری از تهدیدات است.
  2.  پشتیبانی از دستورالعمل‌های برداری: آنتی‌ویروس‌ها برای تجزیه و تحلیل سریع‌تر و اثربخش‌تر فایل‌ها و برنامه‌های مشکوک از دستورالعمل‌های برداری استفاده می‌کنند. این دستورالعمل‌های برداری به نحوی طراحی شده‌اند که امکان پردازش همزمان بیشتری از داده‌ها را در یک زمان فراهم می‌کنند و اجازه می‌دهند که عملیات‌های مشابه روی چندین داده به صورت همزمان انجام شوند. این مزیت باعث افزایش سرعت تجزیه و تحلیل فایل‌ها و اجرای عملیات‌های امنیتی توسط آنتی‌ویروس می‌شود.

کدام CPUها از AVX پشتیبانی میکنند؟

  1. اسامی Microarchitecture برخی از پردازنده‌هایی که از فناوری AVX پشتیبانی می‌کنند عبارتند از:

    : Intel CPUs

    • Intel Sandy Bridge (2011)
    • Intel Sandy Bridge (2011)
    • Intel Ivy Bridge (2012)
    • Intel Ivy Bridge (2012)
    • Intel Haswell (2013)
    • Intel Broadwell (2013)
    • Intel Skylake (2015)
    • Intel Skylake (2015)
    • Intel Broadwell E (2016)
    • Intel Kaby Lake (2017)
    • Intel Skylake -x (2017)
    • Intel Coffee Lake (2017)
    • Intel Cannon Lake (2017)
    • Intel Whiskey Lake (2018)
    • Intel Cascade Lake (2018)
    • Intel Ice Lake (2019)
    • Intel Comet Lake (2019)
    • Intel Tiger Lake (2020)
    • Intel Rocket Lake (2021)
    • Intel Alder Lake (2021)
    • Intel Nukes Alder Lakes (2022)

    AMD CPUs:

    • AMD Ryzen (1st Gen)
    • AMD Ryzen Threadripper (1st Gen)
    • AMD Ryzen 2000 series (2nd Gen)
    • AMD Ryzen Threadripper 2000 series (2nd Gen)
    • AMD Ryzen 3000 series (3rd Gen)
    • AMD Ryzen Threadripper 3000 series (3rd Gen)
    • AMD Ryzen 5000 series (4th Gen)
    • AMD Excavator ( 2015)
    • AMD Steamroller (2014)
    • AMD piledriver(2012)
    • AMD Bulldozer (2011)
  • نمونه‌هایی از پردازنده‌های سرور که از AVX پشتیبانی می‌کنند:

    : Intel CPUs

    • Intel Xeon E5 and E7 series (Various generations)
    • Intel Xeon Scalable series
    • Intel Xeon Scalable “Skylake” (1st Gen)
    • Intel Xeon Scalable “Cascade Lake” (2nd Gen)
    • Intel Xeon Scalable “Cooper Lake” (3rd Gen)
    • Intel Xeon Scalable “Ice Lake” (4th Gen)
    • Intel Xeon W series (Various generations)
    • Intel Xeon D series (Various generations)
    • Intel Xeon Platinum, Gold, Silver, and Bronze (Various generations)

    : AMD CPUs

    AMD EPYC series

    • AMD EPYC 7001 series (Various generations)
    • AMD EPYC 7002 series (Various generations)
    • AMD EPYC 7003 series (Various generations)

برای تأیید دقیق‌تر پشتیبانی از AVX در یک پردازنده خاص، به مشخصات فنی مربوط به آن پردازنده یا سایت تولید کننده مراجعه کنید.

  • همچنین میتوانید با دانلود برنامه HWINFO در قسمت مربوط به CPU  در پنل مربوط به feature، فعال بودن یا نبودن  AVX در CPU خود مطلع شوید. توجه داشته باشید که در هنگام نصب تیک مربوط به Sensors-only  وSummerly-only  را نزنید.

    Download HWiNFO

چگونه AVX را فعال کنیم؟

فعال کردن AVX بر روی پردازنده‌های سرور، به طور معمول نیازی به انجام دستی ندارد. AVX یک ویژگی سخت‌افزاری است و اگر پردازنده‌ی سرور شما از AVX پشتیبانی کند، به طور پیش‌فرض باید فعال شده باشد.

بررسی تنظیمات BIOS/UEFI: در موارد نادر، برخی تنظیمات BIOS/UEFI ممکن است به شما اجازه دهند تا برخی از ویژگی‌های پردازنده، از جمله AVX، را غیرفعال کنید. اما این اتفاق بسیار نادر است و به طور معمول AVX به‌طور پیش‌فرض فعال است. اگر مشکوک هستید که AVX غیرفعال است، می‌توانید در هنگام بارگذاری سرور، به تنظیمات BIOS/UEFI دسترسی پیدا کنید و از وجود هر گزینه مرتبط با AVX اطمینان حاصل کنید.

میتوانید با اجرای دستورات زیر از فعال بودن avx  اطمینان حاصل کنید:

grep -o ‘avx[^ ]*’ /proc/cpuinfo

و یا

cat /proc/cpuinfo | grep -c avx

بررسی سیستم‌عامل: مطمئن شوید که سیستم‌عامل سرور شما به‌روز و از AVX پشتیبانی می‌کند. اکثر سیستم‌عامل‌های سرور مدرن، مانند ویندوز سرور (Windows Server)، توزیع‌های لینوکس و غیره، به‌طور خودکار AVX را شناسایی و فعال می‌کنند اگر پردازنده از آن پشتیبانی کند.

بروزرسانی نرم‌افزارها: مطمئن شوید که هر نرم‌افزاری که بر روی سرور اجرا می‌شود، از جمله برنامه‌ها و پلتفرم‌های مجازی‌سازی، به‌روزرسانی شده و قادر به استفاده از AVX باشد اگر از این ویژگی می‌تواند استفاده کند.

توجه داشته باشید که تغییرات در تنظیمات سیستم‌عامل و BIOS باید با دقت و دانش لازم انجام شوند، زیرا تنظیمات نادرست ممکن است به عملکرد سیستم یا پایداری آن آسیب برساند. بهتر است قبل از انجام هرگونه تغییر، اطلاعات کاملی در مورد سیستم و نحوه کارکرد آن داشته باشید یا از کارشناسان مرتبط کمک بگیرید.

بیشتر بخوانید
admin 2023-07-25 0 Comments

حملات سایبری سال 2023

با شروع سال 2023، حملات و تهدیدات سایبری نه تنها کم تر نشده است بلکه با توجه به تغییرات سیاسی جهانی که در سال 2022 شاهد آن بودیم پیش بینی می شود این حملات بسیار گسترده باشد.

شناسایی بدافزارها از 1 ژانویه تا 31 ژانویه تجزیه و تحلیل شده است. در مجموع ، 234 خانواده باج افزار شناسایی شده که بسته به کمپین‌های باج‌افزار فعلی در کشورهای مختلف، تعداد خانواده‌های باج‌افزار شناسایی‌شده می‌تواند هر ماه متفاوت باشد.

پیش بینی شده خسارات حملات سایبری 2023 رقم چشم گیری نسبت به سال 2022 خواهد داشت…

71 درصد از سازمان های جهانی قربانی حملات سایبری در سال 2022 شده اند.

باج افزار یا Ransomware

باج افزار در واقع نوعی بدافزار است که اطلاعات و داده های شما را رمز گذاری کرده و دسترسی شما را به این اطلاعات مسدود می کند. همانطور که از نام آن پیداست بابت باز کردن قفل فایل ها و باز گرداندن اطلاعاتشان  از قربانی باج می گیرد.

در صورت حمله باج افزار شرکت ها حاضر به پرداخت باج به هکرها هستند زیرا اطلاعات سازمان ها بسیار مهم و حیاتی هستند، اما هکرها مجددا به سیستم های آن ها آسیب می زنند.

در سال گذشته یعنی 2022 حملات باج افزارها به شرکت ها رشد 33 درصدی نسبت به سال گذشته خود داشته است.

یکی از عوامل جلوگیری از این باج افزار ها استفاده از آنتی ویروس هایی است که ماژول Ransomware Mitigation دارند.

10 کشور برتر مورد حمله باج افزارها

در مجموع، در ماه ژانویه باج‌افزار 153 کشور در دیتابیس کمپانی بیت دیفندر شناسایی شده است . باج افزار همچنان تهدیدی است که تقریباً کل جهان را تحت تأثیر قرار می دهد. از 10 کشور برتری که بیشتر تحت تاثیر باج افزار قرار گرفته اند. بسیاری از حملات باج افزار همچنان فرصت طلبانه هستند.

با توجه به نمودار تحلیلی منتشر شده از کمپانی بیت دیفندر ایران پنجمین کشور مورد حمله توسط باج افزارها در سال 2023 شناسایی شده است.

بیشتر بخوانید
admin 2023-04-10 0 Comments

ابزارهای امنیتی EPP EDR XDR

تفاوت EDR با EPP چیست؟

EDR به معنای ردیابی رویدادها در یک پایگاه داده‌ی پیشرفته است که برای آشکارسازی تهدیدات و حفاظت از شبکه در برابر حملات، استفاده می‌شود. با استفاده از  EDR، سیستم‌های پایانی شبکه مانیتور و در صورت شناسایی هر گونه تهدید، به صورت خودکار قفل و ایزوله می‌شوند و اطلاعات لازم برای بررسی تهدیدات جمع‌آوری می‌شود.

EPP به معنای جلوگیری از حملات و مدیریت آسیب‌پذیری‌ها در سیستم‌های کامپیوتری است. EPP از ترکیب EDR و محافظت در برابر ویروس‌ها، نرم‌افزارهای مخرب و تهدیدات امنیتی دیگر برای حفاظت از داده‌های سازمان‌ها استفاده می‌کند.

بنابراین، تفاوت اصلی بین EDR و EPP در این است که EDR برای ردیابی و پاسخ به رویدادهای امنیتی در پایانه‌های کاربری استفاده می‌شود، در حالی که EPP برای جلوگیری از حملات و مدیریت آسیب‌پذیری‌ها در سطح خود سیستم استفاده می‌شود. به عبارت دیگر، EDR برای شناسایی و همچنین واکنش به حملات بر روی سیستم‌های پایانی استفاده می‌شود، در حالی که EPP برای جلوگیری از حملات و مدیریت آسیب‌پذیری‌ها در سطح سیستم استفاده می‌شود.

EPP-EDR
EDR (Endpoint Detection and Response) :

EDR به معنای Endpoint Detection and Response است و به عنوان یکی از ابزارهای امنیتی برای تشخیص و پاسخ به تهدیدات امنیتی در سطح سیستم‌های کاربری استفاده می‌شود. EDR از مفاهیم جدیدی است که در زمینه امنیت شبکه و اطلاعات به کار گرفته می‌شود و اهمیت بسیاری در برابر تهدیدات امنیتی دارد.  EDR به طور خلاصه، نسخه بهبود یافته آنتی‌ویروس سنتی است. این ابزار بر روی هر دستگاه انتهایی شبکه نصب می‌شود و علاوه بر شناسایی نفوذ و پاکسازی برنامه‌های مخرب، قابلیت ثبت و مانیتورینگ فعالیت‌های انجام شده در دستگاه را دارا می‌باشد.

EDR

نرم‌افزارهای EDR با استفاده از تکنولوژی‌های مختلفی از جمله رمزگذاری، تحلیل رفتاری و یادگیری ماشین برای تشخیص و پاسخ به تهدیدات امنیتی استفاده می‌کنند. شرح فنی این قابلیت ها، به صورت ذیل می باشد:

۱- جمع‌آوری داده‌ها: EDR به صورت مداوم از دستگاه‌های کاربران داده‌هایی را جمع‌آوری می‌کند که شامل اطلاعات مربوط به فعالیت‌های کاربران، سیاست‌های امنیتی و رفتارهای بدافزارها است.

۲- تجزیه و تحلیل داده‌ها: با توجه به داده‌های جمع‌آوری شده،  EDR می‌تواند به تشخیص برخی از تهدیدات امنیتی بپردازد. برای این منظور،  EDRمجموعه‌ای از الگوریتم‌ها و قوانین را دنبال می‌کند که در هنگام شناسایی تهدیدات امنیتی از آن‌ها استفاده می‌کند.

  • الگوریتم‌های ماشین بردار (SVM): این الگوریتم‌ها در EDR برای تشخیص دستورات غیر مجاز و یا فعالیت‌های مشکوک استفاده می‌شوند.
  • شبکه عصبی عمیق (DNN): این الگوریتم‌ها از شبکه‌های عصبی عمیق برای تشخیص رفتارهای مشکوک و تشخیص حملات استفاده می‌کنند.
  • الگوریتم‌های دسته‌بندی (Classification Algorithms): این الگوریتم‌ها برای تحلیل داده‌ها و شناسایی تهدیدات استفاده می‌شوند.
  • درخت تصمیم (Decision Tree): این الگوریتم‌ها برای تحلیل الگوهای فعالیت‌های کاربران و شناسایی مشکلات امنیتی استفاده می‌شوند.
  • الگوریتم‌های خوشه‌بندی (Clustering Algorithms): این الگوریتم‌ها برای تجزیه و تحلیل مجموعه داده‌ها و دسته‌بندی فعالیت‌های مشکوک به کار می‌روند.

    استفاده از این الگوریتم‌ها به EDR کمک می‌کند تا اطلاعات بیشتری را برای تشخیص تهدیدات و رفع مشکلات امنیتی فراهم کند.

3- اتوماسیون پاسخ به تهدیدات: EDR با تشخیص تهدیدات امنیتی، اقداماتی را برای محدود کردن و جلوگیری از گسترش آن‌ها به صورت خودکار انجام می‌دهد. EDR از روش‌های مختلفی استفاده می‌کند که به طور کلی شامل موارد زیر می‌شود:

  • تشخیص و پایش فعالیت‌های مشکوک: EDR با استفاده از الگوریتم‌های یادگیری ماشین و شبکه‌های عصبی، فعالیت‌های مشکوک را شناسایی کرده و پایش می‌کند. این فعالیت‌ها می‌توانند شامل حملات مخرب، کد مخرب و برنامه‌های مخرب باشند.
  • پایش رفتاری سیستم: EDR به صورت مداوم رفتار سیستم را پایش می‌کند و به دنبال هر تغییر و تحرک مشکوکی در سیستم می‌گردد. این شامل فعالیت‌های مرتبط با فایل‌ها، شبکه و سرویس‌های سیستم است.
  • تحلیل و طبقه‌بندی حملات: EDR با تجمیع و تحلیل داده‌های مربوط به حملات مختلف، قادر به تشخیص الگوهای مشابه در آینده می‌شود و می‌تواند جلوی حملات را بگیرد.
  • پاسخ به حملات: EDR با ارائه اطلاعات دقیق و جامع در مورد تهدیدات، به مدیران امنیتی کمک می‌کند تا در مورد راه‌های مقابله با حملات تصمیم بگیرند. همچنین، EDR می‌تواند با اتخاذ اقداماتی مانند مسدود کردن آدرس IP، محدود کردن دسترسی کاربران و حذف فایل‌های مشکوک به پاسخ دهد.


XDR (Extended Detection and Response)

XDR به معنای Extended Detection and Response است و به عنوان یک ابزار جامع امنیتی استفاده می‌شود که قادر است به صورت همزمان از منابع داده‌ای مختلف مانند سیستم‌های پایانی، شبکه‌ها، سرورها و ابر استفاده کند.

به طور مشابه با EDR،XDR  نیز مانیتورینگ و تشخیص تهدیدات امنیتی را در سطح سیستم‌های کاربری انجام می‌دهد. اما مزیت اصلی XDR در مقایسه با EDR، استفاده از منابع داده‌ای بیشتر است.

Three-Steps-of-XDR

XDR به صورت همزمان به داده‌های از منابع مختلف دسترسی دارد و آنها را به صورت جمع‌آوری، تحلیل و پردازش می‌کند. با توجه به این که XDR به داده‌های سیستم‌های پایانی محدود نیست، قادر است بهترین دید را از محیط کاربری و تهدیدات امنیتی آن ارائه دهد. به علاوه، XDR با استفاده از تحلیل رفتاری و یادگیری ماشین، به تشخیص و پاسخ به تهدیدات امنیتی کمک می‌کند.

یکی از مزایای استفاده از XDR، این است که این ابزار قابلیت یادگیری ماشینی دارد و با تحلیل داده های بیشتر، بهبود می یابد. همچنین، XDR از ابزارهای دیگر امنیتی مانند سیستم های SIEM و EDR متمایز است. به دلیل اینکه XDR در واقع ترکیبی از این ابزارها است و می تواند داده های این ابزارها را جمع آوری کند و تحلیل کند.

در اینجا به بررسی فنی این رویکرد می‌پردازیم:

  • تحلیل تهاجمی: [1] XDR از تکنیک‌های تحلیل تهاجمی استفاده می‌کند تا حملاتی که به داخل سیستم یا شبکه نفوذ کرده‌اند، تشخیص داده شوند. این تکنیک‌ها شامل تحلیل رفتاری، تحلیل آگاهی از وضعیت و تحلیل امضای تهاجم می‌شوند.
  • مانیتورینگ رویدادها: XDR به صورت پیشرفته رویدادهای مختلف شبکه و سیستم را مانیتور می‌کند. این شامل رصد ترافیک شبکه، رصد لاگ‌های سیستم و رصد رویدادهای دیگر مانند پروتکل‌های ارتباطی است.
  • جلوگیری از نفوذ: XDR تلاش می‌کند تا به وسیله استفاده از تحلیل تهاجمی و مانیتورینگ رویدادها، از نفوذ حملات جلوگیری کند. این شامل استفاده از فایروال‌های دیواره‌ای، تحلیل سطح سیستم و مدیریت دسترسی می‌شود.
  • ارتباطات امن: XDR از پروتکل‌های ارتباطی امن استفاده می‌کند تا ارتباطات بین اجزای شبکه و سیستم‌های مختلف را امن کند. این شامل پروتکل‌هایی مانند HTTPS، SSH و TLS است.
  • هوش مصنوعی: XDR با استفاده از هوش مصنوعی و یادگیری ماشین، به‌صورت خودکار می‌تواند الگوهای حملات سایبری را تشخیص داده و به‌صورت سریع پاسخ دهد.

[1] تحلیل تهاجمی (Intrusion Analysis) به معنای بررسی، تحلیل و برخورد با حملات سایبری به شبکه‌های کامپیوتری و سیستم‌های اطلاعاتی است. هدف اصلی این فعالیت، شناسایی علائم حملات و بررسی نحوه ورود حمله‌کننده به سیستم و نیز ارائه راهکارهایی برای جلوگیری از حملات آینده است.

XDRvsEDR


تفاوت‌های اصلی بین EDR و XDR :

تفاوت‌های اصلی بین EDR و XDR را در قالب یک جدول بررسی خواهیم کرد:

XDR

EDR

 

سیستمی است که ترکیبی از ابزارهای مختلفی مانند EDR، سیستم های SIEM و تکنولوژی های دیگر برای تشخیص و جلوگیری از حملات سایبری در سراسر شبکه استفاده می شود.

سیستمی است که به منظور تشخیص، جلوگیری و بهبود واکنش دفاعی به حملات سایبری بر روی نقاط پایانی شبکه استفاده می شود.

تعریف

از تمام داده های موجود در سراسر شبکه (از جمله رویدادها، فایل ها، وضعیت دستگاه ها و … ) برای تشخیص و جلوگیری از حملات استفاده می کند.

از تمام داده های موجود در سراسر شبکه (از جمله رویدادها، فایل ها، وضعیت دستگاه ها و …) برای تشخیص و جلوگیری از حملات استفاده می کند.

نوع داده ها

توانایی تشخیص تهدیدات در سطح شبکه، سیستم‌ها، برنامه‌ها و دستگاه‌های پایانی (از جمله فایروال ها، روتر ها و دیگر دستگاه ها) را دارد.

تنها محدود به انتهای شبکه (مانند دستگاه های کامپیوتری و سرورها و میل سرور ها) و ارتباط بین آنها است.

محدوده تشخیص

با استفاده از هوش مصنوعی، ماشین لرنینگ و تحلیل های آماری پیشرفته، داده های شبکه را تحلیل می کند.

با استفاده از هوش مصنوعی، ماشین لرنینگ و تحلیل های آماری پیشرفته، داده های شبکه را تحلیل می کند.

قابلیت تحلیل

سرعت تشخیص و پاسخ بالا با استفاده از هوش مصنوعی و اتوماسیون

سرعت تشخیص بالا و پاسخ به‌صورت دستی یا نیمه‌خودکار

سرعت تشخیص و پاسخ

تمرکز بر تشخیص و جلوگیری از حملات در سراسر شبکه لوکال و ریموت

تمرکز بر مانیتورینگ سیستم‌های داخلی

پوشش امنیتی

 

در مقایسه با XDR، رابط کاربری ساده تری دارد.

سادگی

نیاز به سخت‌افزار خاصی دارد و باید به‌روزرسانی شود.

معمولاً به سخت‌افزار خاصی نیاز ندارد.

سخت‌افزار مورد نیاز

بیشتر بخوانید
admin 2023-03-12 0 Comments

اختلال در سرورهای Microsoft Exchange

باگ FIP-FS در مایکروسافتExchange  در ارسال ایمیل اختلال ایجاد میکند.

سرورهای Microsoft Exchange که به صورت داخل شبکه و  on-premiseپیاده سازی شده اند، از اول ژانویه 2022، به دلیل باگ در موتور اسکن ضد بدافزار FIP-FS نمی‌توانند ایمیل ارسال کنند. از نسخه Exchange Server 2013، مایکروسافت موتور اسکن ضد هرزنامه و ضد بدافزار FIP-FS را به طور پیش فرض فعال کرد تا از کاربران در برابر ایمیل های مخرب محافظت کند.

باگ Microsoft Exchange Y2K22

بر اساس گزارش‌های متعدد از مدیران Microsoft Exchange در سراسر جهان، یک اشکال در موتور اسکن FIP-FS ارسال ایمیل با سرورهای داخلی را از نیمه‌شب ۱ ژانویه ۲۰۲۲ مسدود می‌کند.

جوزف روزن، محقق امنیتی و مدیر اکسچنج گفت که این امر به دلیل استفاده مایکروسافت از متغیر عددی نشانه گذاری شده int32 برای ذخیره value تاریخ است که حداکثر آن 2,147,483,647 است. با این حال، تاریخ‌ها در سال 2022 دارای حداقل مقدار 2,201,010,001 هستند که بیشتر از حداکثر مقداری است که می‌توان در متغیر نشانه گذاری شده int32 ذخیره کرد و باعث می‌شود موتور اسکن از کار بیفتد و نامه را برای تحویل آزاد نکند!

با توجه به تحقیقات انجام شده در مورد این موضوع، دلیل این اتفاق این است که مایکروسافت از یک int32 نشانه گذاری شده برای تاریخ استفاده می کند و مقدار تاریخ جدید 2,201,010,001 بیش از حداکثر مقدار “long int32” است که 2,147,483,647 است.

هنگامی که این باگ شروع به کار میکند، خطای 1106 در لاگ سرور Exchange ظاهر می شود که می گوید: “فرآیند اسکن FIP-FS در مقداردهی اولیه ناموفق بود. خطا: 0x8004005. جزئیات خطا: خطای نامشخص” ، یا “کد خطا: 0x80004005. شرح خطا: “نمی توان “2201010001” را به long تبدیل کرد.”

برطرف کردن مشکل ارسال ایمیل در مایکروسافت اکسچنج

مایکروسافت برای رفع این باگ، باید یک آپدیت برای سرور Exchange را منتشر کند که از یک متغیر بزرگ‌تر برای نگه داشتن تاریخ استفاده کند. با این حال، برای سرورهای داخلی Exchange که در حال حاضر تحت تأثیر قرار گرفته‌اند، مدیران می‌توانند موتور اسکن FIP-FS را غیرفعال کنند تا اجازه دهند ایمیل دوباره ارسال شود.

برای غیرفعال کردن موتور اسکن FIP-FS، می توانید دستورات PowerShell زیر را در سرور Exchange اجرا کنید:

Set-MalwareFilteringServer -Identity  -BypassFiltering $true

Restart-Service MSExchangeTransport

پس از راه اندازی مجدد سرویس MSExchangeTransport، ایمیل ها مجدداً تحویل داده می شوند.

متأسفانه، با این اصلاح غیررسمی، ایمیل های فرستاده ‌شده دیگر توسط موتور اسکن مایکروسافت اسکن نمی‌شوند، که منجر به دریافت ایمیل‌های مخرب و هرزنامه‌های بیشتری به کاربران می‌شود. مایکروسافت تأیید کرده است که در حال کار بر روی یک اصلاح است و امیدوار است که اطلاعات بیشتری در آینده در دسترس باشد.

ماکروسافت اعلام کرده است که از مشکلی که باعث می‌شود پیام‌ها در صف‌های انتقال در Exchange Server 2016 و Exchange Server 2019 گیر کنند، آگاه هستند و در حال حاضر مشغول بررسی اختلال پیش آمده هستند.

نتایج بدست آمده نشان میدهد که این مشکل از طرف موتور اسکن بدافزار نیست و مشکل مرتبط با امنیت نمی باشد. در بررسی نسخه بر روی فایل امضا باعث از کار افتادن موتور اسکن بدافزار می شود و در نتیجه پیام ها در صف های انتقال گیر می کنند و فرستاده نمیشوند.

ماکروسافت به زودی جزئیات مربوط به نحوه حل این مشکل را منتشر میکند. در همین حین، اگر سازمان شما در محل خارج از شبکه سرور Exchange اسکن بدافزار بر روی ایمیل ها انجام میدهد، (به عنوان مثال، با مسیریابی ایمیل ها از طریق Exchange Online، یا با استفاده از نرم افزار های دیگر)، می‌توانید اسکن بدافزار را دور بزنید یا غیرفعال کنید. در سرورهای Exchange خود transport queues را پاک کنید. اگر یک اسکنر بدافزار موجود برای ایمیل غیر از موتور موجود در Exchange Server دارید، باید از یکی از این راه‌حل‌ها استفاده کنید.

 

بیشتر بخوانید
admin 2023-01-29 0 Comments

عیب یابی جدید Microsoft Defender for Endpoint

عیب یابی جدید Microsoft Defender for Endpoint :

طبق اطلاعیه مایکروسافت، Defender for Endpoint اکنون با حالت عیب‌یابی جدیدی ارائه می‌شود که به مدیران ای تی کمک می‌کند تا عملکرد آنتی‌ویروس Defender را آزمایش و سناریوهای امنیتی را بدون مسدود شدن توسط tamper protection اجرا کنند. حالت جدید در پیش‌نمایش عمومی در دسترس است و مدیران را قادر می‌سازد در صورت مشاهده false positives یا  ایرادی در عملکرد این آنتی ویروس، تنظیمات tamper protection را غیرفعال یا تغییر دهند. این ویژگی Enterprise-only که به طور پیش فرض غیرفعال است و به گفته مایکروسافت، به دسترسی Microsoft 365 Defender نیاز دارد.

جولی هوپر از مایکروسافت توضیح داد: «معرفی حالت عیب‌یابی یا troubleshooting mode، روشی منحصربه‌فرد، نوآورانه و ایمن برای بررسی و تنظیمات دستگاه‌های شما  ست».

“این حالت ادمین local دستگاه را قادر می‌سازد تا تنظیمات دیفالت Microsoft Defender Antivirus را در هر سیستم، از جمله tamper protection، لغو کند.”

 

برای امتحان این ویژگی به چه مواردی نیاز دارید؟

برای امتحان این ویژگی جدید در نسخه پیش نمایش، به موارد زیر نیاز دارید:

دستگاهی با ویندوز 10 (نسخه 19044.1618 یا جدیدتر)، ویندوز 11، ویندوز سرور 2019 یا ویندوز سرور 2022.

Microsoft Defender for Endpoint برای حالت tenant-enrolled و فعال در دستگاه.

آنتی ویروس مایکروسافت دیفندر، نسخه 4.18.2203 یا جدیدتر، در حال اجرا بر روی دستگاه.

با انجام مراحل زیر می توانید troubleshooting را فعال کنید:

  1. به پورتال Microsoft 365 Defender (https://security.microsoft.com) بروید و وارد شوید.
  2. به صفحه سیستم مورد نظر بروید و برای دستگاهی که می‌خواهید حالتtroubleshooting را فعال کنید. توجه داشته باشید که فعال سازی این ویژگی به دسترسی Manage security settings in Security Center  برای Microsoft Defender Endpoint  نیاز دارد.
  3. اکنون صفحه سیستم را نشان می دهد که در حالت عیب یابی است (توجه داشته باشید که تا زمانی که دستگاه در حالت عیب یابی است، رنگ منو خاکستری باقی می ماند).

مدیران پس از فعال کردن عیب‌یابی در یک Endpoint خاص، 3 ساعت فرصت دارند تا تنظیمات سیستم را مطابق با محیط سازمان خود تنظیم و آزمایش کنند. سناریوهای troubleshooting  موجود برای Microsoft Defender برای Endpoint عبارتند از:

تشخیص مشکلات نصب برنامه،

  • استفاده زیاد از CPU به دلیل Windows Defender (MsMpEng.exe)،برنامه‌هایی که برای انجام یک عمل زمان بیش از اندازه می‌برند،
  • پلاگین های مایکروسافت آفیس توسط Attack Surface Reduction مسدود می شوند.
  •  دامنه های خاصی که توسط Network Protection مسدود می شوند.

پس از بسته شدن پنجره تست، تمام تنظیمات امنیتی که قبل از فعال شدن حالت عیب‌یابی اعمال شده بودند به حالت قبلی برمیگردند. و همچنین، هر خط‌مشی امنیتی جدیدی که توسط ادمین‌های امنیتی یا IT سازمان ایجاد شود، به‌طور خودکار اعمال می‌شود.

منبع:

https://www.bleepingcomputer.com/news/microsoft/microsoft-defender-for-endpoint-gets-new-troubleshooting-mode

بیشتر بخوانید
admin 2023-01-15 0 Comments