Audyt zasobów systemu (za pomocą dostępnych apletów Windows) Celem ćwiczenia jest weryfikacja zasobów komputera oraz jego bieżąca konfiguracja. Informacje te są niezbędne do odtworzenia stanu komputera po awarii czy włamaniu. Audyt przeprowadzamy korzystając z narzędzi systemowych. Sprawdzamy: Wersję systemu: o Start/Panel sterowania/system Stan aktualizacji: o Start/Panel sterowania/windows Update Stan sieci: o Start/Panel sterowania/centrum sieci i udostępniania Specyfikację sprzętową, o Start/Panel sterowania/menedżer urządzeń Listę aktywnych usług Start o Start/Panel sterowania/narzędzia administracyjne/usługi o Możemy zweryfikować listę aktywnych usług porównując ją z pełną listą serwisów (w wyszukiwarce np. www.gogle.pl wpisujemy słowa kluczowe: list services Windows 7. i wybieramy odsyłacz: http://www.blackviper.com/windows_7/servicecfg.htm) Raport z przeprowadzonego audytu: Wersja systemu:start/panel sterowania/system Aktualizacje automatyczne: Start/Panel sterowania/windows Update/Zmień ustawienia (czy są włączone i jaki jest harmonogram aktualizacji). Konfiguracja sieciowa: Start/Panel sterowania/centrum sieci i udostępniania/połączenia lokalne/szczegóły (sprawdzamy m.in. adresy IP oraz MAC, ) Jakim sprzętem dysponujemy?:start/panel sterowania/menedżer urządzeń Audyt zasobów systemu za pomocą narzędzi specjalnych W Sieci dostępnych jest wiele programów do inspekcji zasobów komputera. W wyniku ich działania otrzymujemy raporty odpowiednio pogrupowane (przykłady: Sisoft Sandra, Belarc Advisor). UWAGA: Korzystając z oprogramowania dostępnego w Internecie (często darmowego) należy kierować się zdrowym rozsądkiem, gdyż narażamy się na zawirusowanie naszego komputera (korzystamy tylko z uznanych źródeł np. dobreprogramy.pl, instalki.pl). Audyt za pomocą Sisoft Sandra Uruchom program Sisoft Sandra i przeprowadź inspekcję swojej stacji roboczej, a następnie wypełnij poniższą tabelę: Producent systemu BIOS Producent płyty głównej Model płyty głównej Materiały pomocnicze: http://orka.am.gdynia.pl/bt2010 1
Kontroler dysku Karta sieciowa Wersja kontrolera USB Model i procesora i jego prędkość taktowania Grupa robocza Nazwa PC w sieci Dysk twardy (GB/producent) System operacyjny (wersja, uaktualnienia) Wybierz menu software/operating system i uzupełnij poniższą tabelę. Jądra systemu/platforma Klucz produktu systemu operacyjnego Wersje programów: przeglądarka internetowa, klient poczty, Windows Media Player Wnioski: oprogramowanie pomaga w prowadzeniu dokumentacji sprzętu. Wersja pełna daje dostęp do wszystkich nieaktywnych funkcjonalności Audyt bezpieczeństwa systemu Celem ćwiczenia jest audyt bezpieczeństwa systemu przy pomocy narzędzi programowych. Inspekcję przeprowadzimy za pomocą narzędzi programowych systemu Windows: Pakiet Microsoft Baseline Security Analyzer (MBSA) umożliwia ocenę stanu wybranych aplikacji pod względem błędów konfiguracyjnych wpływających na bezpieczeństwo całego systemu. Program pozwala na ocenę stanu aktualizacji oprogramowania (aktualizacje (tzw. łaty ) systemu operacyjnego, zainstalowanych aplikacji np. MSOffice). Możliwa jest np. ocena bezpieczeństwa aplikacji Microsoft SQL Server czy Microsoft Internet Information Services (IIS). MBSA 2.1 jest zintegrowany z usługą Windows Server Update Services (Update Services) umożliwiającą porównanie stanu systemu z najbardziej aktualnymi danymi katalogu aktualizacji. Wynik działania programu może być zapisany w formie raportu w celu dalszej analizy stanu zabezpieczeń systemu. Pakiet Microsoft Baseline Security Analyzer 2.1 dostępny jest na stronie: Analiza wpisów w dziennikach systemu Windows (Start/Panel sterowania/narzędzia administracyjne/podgląd zdarzeń) Analiza logów systemowych bezpośrednio lub za pomocą specjalizowanych programów do analizy i raportowania np. programu logwatch w systemie Linux (pokaz i omówienie przez prowadzącego). System dbające o bezpieczeństwo naszego komputera. (Systemy wykrywania i usuwania wrogiego oprogramowania (wirusy, robaki, programy szpiegujące itp.) Opis programu Microsoft Security Essentials (MSE) Microsoft Security Essentials służy do zabezpieczania systemu Windows przed działaniem wrogiego oprogramowania takiego, jak wirusy, rootkity, trojany, spyware itd.. Program oferuje przyjazny i prosty w użyciu interfejs graficzny, trzy tryby skanowania (pełne, skrócone i użytkownika, w którym możemy wybrać dyski, a nawet poszczególne foldery), harmonogram skanowania, aktualizacje baz sygnatur (automatyczne lub definiowane przez użytkownika), a także Materiały pomocnicze: http://orka.am.gdynia.pl/bt2010 2
historię wykrytych zagrożeń. Ponadto aplikacja charakteryzuje się małym zapotrzebowaniem na zasoby systemowe. Umożliwia także tworzenie list wykluczeń, pozwalających definiować pliki, lokalizacje, rozszerzenia i procesy, pomijane podczas skanowania. Ćwiczenie Uruchom program Microsoft Security Essentials i wykonaj aktualizację bazy definicji wirusów. Przełącz się na zakładkę Settings/Advanced i zaznacz opcję Scan removable driver - pozwalającą sprawdzać przenośne pamięci masowe. Sprawdź ustawienia Settings/Real-time protection. Narzędzie MSE należy do grupy systemów posiadających moduł monitora. Sprawdź czy zaznaczona jest także opcja Scan All downloaded files and atachments powoduje ona, że wszelkie pliki pobrane z sieci a także załączniki poczty elektronicznej będą sprawdzane. Weryfikacja modułu TSR Microsoft Security Essentials. Naszym celem jest sprawdzenie czy pliki pobrane z Sieci oraz załączniki poczty są kontrolowane przez MSE. Adres 2: http://orka.am.gdynia.pl/bt2010/wirusy/wir.dat Inne systemy dbające o bezpieczeństwo Dostęp do stron z narzędziami do usuwania wrogiego kodu: http://www.microsoft.com/security/malwareremove/default.mspx, Narzędzia do aktualizacji oprogramowania systemowego: Microsoft WindowsUpdate: http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=pl, Mirosoft Security At Home: http://www.microsoft.com/athome/security/default.mspx Zabezpieczanie systemu Windows Celem ćwiczenia jest wskazanie miejsc w systemie MS Windows, które pozwalają wdrożyć określoną politykę bezpieczeństwa dla konkretnego komputera. Korzystamy z takich elementów systemu jak: Zasady zabezpieczeń lokalnych, o Start/Panel sterowania/narzędzia administracyjne/zasady zabezpieczeń lokalnych Zasady konta (zasady haseł, zasady blokady konta). Skorzystaj z poniższych odsyłaczy w celu sprawdzenia siły hasła oraz wygenerowania trudnego hasła. Sprawdzanie siły hasła http://www.microsoft.com/poland/protect/yourself/password/checker.mspx Strong Password Generator http://strongpasswordgenerator.com/ Zasady lokalne Zapora systemu Windows z zabezpieczeniami zaawansowanymi Zasady menedżera listy sieci Zasady kluczy publicznych Zasady ograniczeń oprogramowania Zasady sterowania aplikacjami Zasady zabezpieczeń IP w komputer lokalny Konfiguracja zaawansowanych zasad inspekcji Opcje internetowe o Start/Panel sterowania/opcje internetowe Zakładka Zabezpieczenia (strefy: Internet, Lokalny intranet, Zaufane witryny) Prywatność (włącz blokowanie wyskakujących okienek, zawansowane) Zawartość (kontrola rodzicielska, klasyfikator treści, Certyfikaty SSL) Zaawansowane Zapora systemowa Windows. o Start/Panel sterowania/zapora systemu Windows Jak zapora pomaga chronić komputer? Materiały pomocnicze: http://orka.am.gdynia.pl/bt2010 3
o Jaki jest stan zapory? Włączanie i wyłączenie zapory/włącz lub wyłącz zaporę systemu Windows Ustawienia zaawansowane Jak ustawić zaporę, aby było bezpiecznie? Start/Panel sterowania/narzędzia administracyjne/zapora systemu Windows z zabezpieczeniami zaawansowanymi możliwość definiowania własnych reguł. Ćwiczenie: Kto korzystał z naszego komputera, czyli kto logował się do systemu Windows? W przypadku komputerów używanych przez wielu użytkowników istotne jest dla ich bezpieczeństwa, aby można było sprawdzić kto i kiedy korzystał z danej stacji roboczej. W tym celu uruchamiamy dziennik zdarzeń i rejestrujemy każde logowanie się do systemu. Wybierz kolejno: Start/Ustawienia/Panel sterowania/narzędzia administracyjne/zasady zabezpieczeń lokalnych/zasady lokalne/zasady inspekcji. Kliknij na liście pozycje: Przeprowadź inspekcję zdarzeń logowania, zaznacz inspekcje sukces oraz niepowodzenie. W celu sprawdzenia działania inspekcji zrestartuj system, a następnie wykonaj próby logowania według następującej kolejności 1) Wybierz użytkownika astube i podaj hasło Akademia, 2) Ponownie wykonaj próbę logowania dla użytkownika bstube z hasłem Morska, 3) Ponownie wybierz użytkownika astube i podaj hasło stube123, 4) Jeśli punkt 3) zakończył się powodzeniem, to wyloguj się z systemu i zaloguj się ponownie jako użytkownik admin z odpowiednim hasłem. W celu dokonania audytu logowania do systemu należy wybrać: Start/Ustawienia/Panel sterowania/narzędzia administracyjne/podgląd zdarzeń/zabezpieczenia. Przyjrzyj się pozycjom inspekcji sukcesów oraz niepowodzeń. Czy można odnaleźć informacje o tym, że użytkownikom astube i bstube nie udało się zalogować do systemu? Zastanów się i odpowiedz na pytanie: Jak mógłby wyglądać audyt logowania do domeny Windows? Czym ten audyt różni się o naszego audytu? Uwaga: W przypadku podłączenia komputera do usługi katalogowej Windows Active Directory dokonanie zmian w zasadach zabezpieczeń lokalnych nie jest możliwe, gdyż takimi ustawieniami zarządza administrator domeny. Posługiwanie się zaporą systemową Celem ćwiczenia jest zapoznanie studentów z zaporą systemu MS Windows 7 (konfigurowanie zapory - udostępnianie wybranych usług wybranym lub dowolnym (wszystkim) komputerom, weryfikacja ustawień techniką skanowania portów). W ramach ćwiczenia dokonamy oceny jakości zabezpieczenia komputera przez zaporę. Czy możemy w pełni zaufać zaporze? Na ile ochrona zależy od stopnia wykorzystania zasobów naszego komputera? Jaki jest wpływ aktywnej usługi (np. serwera bazy danych) na poziom ochrony systemu? W ramach ćwiczeń zostaną wykorzystane narzędzia: Zapora systemu Windows z zabezpieczeniami zaawansowanymi Ustalenie nowej reguły (polityki ochrony) dla wybranej usługi. Włączanie i wyłączanie zapory. Podczas tych ćwiczeń będzie wykorzystane narzędzie do skanowania innych komputerów w sieci (http://www.nmap.org/), Prezentacja pracy zapory systemowej LINUX -> różnice w działaniu i implementacji. Systemy wykrywania intruzów Demonstracja systemu IDPS (Intrusion Detection and Prevention System), system wykrywania intruzów i prewencji z wykorzystaniem mechanizmu analizy logów oraz zapory systemu Linux (iptables, narzędzie fail2ban pokaz i omówienie przez prowadzącego) Materiały pomocnicze: http://orka.am.gdynia.pl/bt2010 4
Monitorowanie połączeń Celem ćwiczenia jest zapoznanie studentów z możliwościami monitorowania połączeń sieciowych i możliwymi działaniami w przypadku stwierdzenia zagrożeń bezpieczeństwa naszego komputera. Użytkownicy komputera często nie zdają sobie sprawy, jakie połączenia sieciowe są aktywne, jakie aplikacje je nawiązują i w jakim celu. Uruchomimy program netstat poleceniem: Start/Wszystkie programy/akcesoria/wiersz polecenia. Następnie w linii poleceń wpisujemy: netstat a Nawiązujemy dowolne połączenie np. w przeglądarce internetowej wybieramy stronę: http:///www.wp.pl. Strzałką w górę wywołujemy kilkakrotnie w/w polecenie. Szczególną uwagę zwracamy na kolumny: Adres lokalny, Adres obcy Bezpieczna poczta elektroniczna Celem ćwiczenia jest zapoznanie studentów z programem do obsługi poczty elektronicznej (tzw. klient poczty). Domyślnie system Windows 7 nie posiada klienta pocztowego. Można go pobrać ze strony: http://download.live.com/wlmail Podczas instalacji i tak trzeba wybrać, że chcemy wdrożyć klienta pocztowego. W ramach ćwiczenia skonfigurujemy program klienta pocztowego tak, aby niechciana poczta została automatycznie przefiltrowana i przesunięta do odpowiedniego katalogu. Odpowiemy na pytanie, czy odbierając/wysyłając pocztę nasze hasło może zostać podsłuchane na co warto zwrócić uwagę podczas pracy z pocztą elektroniczną. Wskażemy inne programy klienckie do obsługi poczty elektronicznej. Omówimy serwery pocztowe, jako systemy antyspamowe i antywirusowe. Odpowiemy na pytanie skąd się bierze niechciana poczta (reklamówki, oferty itp.) w naszej skrzynce pocztowej? Uruchom klienta poczty Windows Mail. Skonfiguruj nowe połączenie (parametry konta pocztowego poda prowadzący). Materiały pomocnicze: http://orka.am.gdynia.pl/bt2010 5