Bezpieczeństwo systemów informatycznych



Podobne dokumenty
Ustalanie dostępu do plików - Windows XP Home/Professional

Systemy operacyjne. Zarządzanie dostępem do zasobów przy wykorzystaniu grup

Laboratorium Systemów Operacyjnych

LISTA KONTROLI DOSTĘPU

Umacnianie ochrony systemu operacyjnego MS Windows

Informacje podstawowe. Dodatkowa funkcjonalność. Zawartość strony Informacje podstawowe. Szyfrowanie. Odszyfrowywanie. Zasady odzyskiwania.

Jak używać funkcji prostego udostępniania plików do udostępniania plików w systemie Windows XP

Systemy operacyjne. Zasady lokalne i konfiguracja środowiska Windows 2000

Mechanizmy lokalnej kontroli dostępu (ACL)

Czym jest kryptografia?

Ćwiczenie Nr 6 Przegląd pozostałych najważniejszych mechanizmów systemu operacyjnego Windows

Zadanie 2. Tworzenie i zarządzanie niestandardową konsolą MMC

Ćwiczenie: Zarządzanie uprawnieniami NTFS. Ćwiczenie A: Przejęcie pliku na własność

Wykonać Ćwiczenie: Active Directory, konfiguracja Podstawowa

Na komputerach z systemem Windows XP zdarzenia są rejestrowane w trzech następujących dziennikach: Dziennik aplikacji

Windows Serwer 2008 R2. Moduł 5. Zarządzanie plikami

Korzystanie z edytora zasad grupy do zarządzania zasadami komputera lokalnego w systemie Windows XP

Bezpieczeństwo systemów informatycznych

6. Pliki i foldery na dyskach NTFS

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu http.

Memeo Instant Backup Podręcznik Szybkiego Startu

7 Business Ship Control dla Symfonia Handel

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Acronis Backup & Recovery 10 Server for Windows, Acronis Backup & Recovery 10 Workstation. Instrukcja szybkiego rozpoczęcia pracy

7 Business Ship Control dla Systemu Zarządzania Forte

SZYBKI START. Tworzenie nowego połączenia w celu zaszyfrowania/odszyfrowania danych lub tekstu 2. Szyfrowanie/odszyfrowanie danych 4

Systemy operacyjne i sieci komputerowe Szymon Wilk Konsola MMC 1

Policealne Studium Zawodowe w Grudziądzu. Technik Informatyk SYSTEMY I SIECI KOMPUTEROWE. Windows XP klonowanie instalacji z wykorzystaniem sysprep

Ćwiczenie Zmiana sposobu uruchamiania usług

Korzystanie z aplikacji P-touch Transfer Manager

Bringing privacy back

Podpisywanie i bezpieczne uruchamianie apletów wg

Ustawienia personalne

Ćwiczenie 1 Przypisywanie uprawnień NTFS

Szyfrowane systemy plików

Uprawnienia do plików pozwalają kontrolować dostęp do plików. Tabela 2 zawiera listę standardowych uprawnień do plików z opisem.

BlackHole. Bezpieczne Repozytorium Ważnych Zasobów.

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

bla bla Guard podręcznik użytkownika

Ćwiczenie Nr 4 Administracja systemem operacyjnym z rodziny Microsoft Windows

A. Instalacja serwera www

10.2. Udostępnianie zasobów

Tomasz Greszata - Koszalin

11. Rozwiązywanie problemów

INSTRUKCJA INSTALACJI I OBSŁUGI GPG4Win

Certyfikat Certum Basic ID. Instrukcja dla użytkowników Windows Vista. wersja 1.3 UNIZETO TECHNOLOGIES SA

Instrukcja dla użytkowników Windows Vista Certyfikat Certum Basic ID

Dział Dopuszczający Dostateczny Dobry Bardzo dobry Celujący

PuTTY. Systemy Operacyjne zaawansowane uŝytkowanie pakietu PuTTY, WinSCP. Inne interesujące programy pakietu PuTTY. Kryptografia symetryczna

Windows 10 do Twoich usług!

Konfigurowanie Windows 8

Instrukcja pobrania i instalacji. certyfikatu Microsoft Code Signing. wersja 1.4

FAQ: /PL Data: 14/06/2007 Konfiguracja współpracy programów PC Access i Microsoft Excel ze sterownikiem S7-200

Pracownia internetowa w szkole podstawowej (edycja jesień 2005)

Konfiguracja klienta Lotus Notes R6 z certyfikatami i kluczami na karcie kryptograficznej lub w pliku.

Microsoft Outlook Express 6.0 PL Wykorzystanie certyfikatów niekwalifikowanych w oprogramowaniu Microsoft Outlook Express 6.0 PL. wersja 1.

Instalacja Webroot SecureAnywhere przy użyciu GPO w Active Directory

Pracownia internetowa w każdej szkole (edycja jesień 2005)

Przydziały (limity) pojemności dyskowej

ABC systemu Windows 2016 PL / Danuta Mendrala, Marcin Szeliga. Gliwice, cop Spis treści

Tytuły Wykonawcze. Opis systemu tworzenia dokumentacji TW-1

Ewidencja Wyposażenia PL+

Pomoc dla usługi GMSTHostService. GMSTHostService. Pomoc do programu 1/14

ZARZĄDZANIE DOKUMENTACJĄ PRZY POMOCY OPROGRAMOWANIA SOLIDWORKS WORKGROUP PDM

Problemy techniczne. Jak udostępnić dane na potrzeby wykonania usługi wdrożeniowej? Zabezpieczanie plików hasłem

asix Autoryzacja dostępu do zasobów WWW systemu asix (na przykładzie systemu operacyjnego Windows 2008)

Konfiguracja oprogramowania w systemach MS Windows dla kont z ograniczonymi uprawnieniami

Outlook Instrukcja podpisywania i szyfrowania wiadomości certyfikatem niekwalifikowanym.

Przywracanie systemu. Do czego służy Przywracanie systemu?

Zarządzanie z poziomu Web Center Control

KONFIGURACJA SERWERA USŁUG INTERNETOWYCH

Laboratorium 16: Udostępnianie folderów

Praca w programie dodawanie pisma.

Wymagania bezpieczeństwa wobec statycznych bezpośrednich 1-fazowych i 3-fazowych liczników energii elektrycznej. Wymaganie techniczne

Podręcznik administratora systemu

Tomasz Greszata - Koszalin

Wyszukiwanie plików w systemie Windows

Laboratorium A: Zarządzanie ustawieniami zabezpieczeń/klucz do odpowiedzi

Nieskonfigurowana, pusta konsola MMC

2 Kryptografia: algorytmy symetryczne

Instalacja aplikacji komunikacyjnej modułu pl.id

Egzamin : administrowanie systemem Windows Server 2012 R2 / Charlie Russel. Warszawa, Spis treści

Acronis Backup & Recovery 10 Server for Windows Acronis Backup & Recovery 10 Workstation. Instrukcja szybkiego rozpoczęcia pracy

Systemy Operacyjne zaawansowane uŝytkowanie pakietu PuTTY, WinSCP. Marcin Pilarski

KONFIGURACJA PRZEGLĄDAREK. Poniższa konfiguracja dedykowana jest dla Bankowości Internetowej SGB

NTFS / ACL / logs. Wpisany przez Administrator czwartek, 16 września :31

Rozdział 5. Administracja kontami użytkowników

Cryptobox Aplikacja do synchronizacji danych użytkownika w systemie KMD2

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server

CEPiK 2 dostęp VPN v.1.7

Konsola MMC. - zarządzanie zaporą sieciową (wf.msc): - zasady zabezpieczeń loklanych (gpedit.msc):

Laboratorium nr 5 Podpis elektroniczny i certyfikaty

Zaawansowane funkcje systemów plików. Ewa Przybyłowicz

Poradnik zetula.pl. Jak założyć konto na zetula.pl. i zabezpieczyć dane na swoim komputerze?

Wpisany przez Łukasz Nawrotek Poniedziałek, 20 Październik :57 - Zmieniony Poniedziałek, 20 Październik :02

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

Płace Optivum. Jakie czynności musi wykonać pracownik, aby otrzymywać drogą elektroniczną paski z list płac?

Acronis Backup & Recovery 10 Advanced Editions. Instrukcja szybkiego rozpoczęcia pracy

Włączanie/wyłączanie paska menu

Ćwiczenie: Planowanie i przypisywanie uprawnień NTFS

Transkrypt:

ĆWICZENIE: Windows NTFS 1. System plików 1.1 Prawa dostępu System plików NTFS umożliwia związanie z każdym zasobem plikowym (w tym: katalogiem) list kontroli dostępu ACL (Access Control List). Dostęp do prostych ustawień ACL pliku (katalogu) jest możliwy z poziomu np. Eksploratora Windows w opcji Właściwości (menu Plik lub kontekstowe): Ciekawą własnością środowiska Windows jest możliwość operowania (również na liście ACL) grupami o zawartości dynamicznej (wirtualnymi), np. Użytkownicy uwierzytelnieni, Twórca-Właściciel. Ponadto możliwe jest oddzielne przypisywanie uprawnień na liście ACL (zezwolenia) i odbieranie ich (odmowy), przy czym odmowy mają priorytet w określaniu uprawnień efektywnych (czynnych) podmiotu. Uprawnienia do katalogów mogą być dziedziczone w głąb. Dziedziczenie można wyłączyć na dowolnym poziomie zagłębienia. Widoczne powyżej uprawnienia proste są jedynie zgrupowanymi w jedną nazwę podzbiorami uprawnień szczegółowych. ćwiczenie: Windows NTFS (wersja 2.20140111) strona 1/7

Politechnika Poznańska Rozszerzone listy ACL są dostępne po wyborze ustawień Zaawansowanych: Do zarządzania prawami dostępu w systemie Windows można również użyć programu icacls. Polecenie to pozwala m.in. wyszukiwać i odczytywać uprawnienia z list ACL plików i katalogów (również rekurencyjnie) wg nazwy użytkownika lub jego SID, nadawać, zmieniać i usuwać nadane wpisy ACL, resetować listę ACL (przywracać dziedziczenie z nadrzędnego katalogu), przypisywać własność obiektu użytkownikowi, czy podmieniać SID istniejącego wpisu. Przykładowo polecenie: icacls *.txt poda listę bieżących uprawnień ACL do wskazanych plików. Natomiast: icacls *.txt /grant "Sherlock Holmes":r zmieni te uprawnienia przyznając wybranemu użytkownikowi prawo odczytu. W bardziej interesującym przypadku możemy operować na kilku prawach: icacls. /grant *S-1-5-21-356853-282454-172693-1000:(w,d,wdac) Ponadto poleceniem tym można zapisać istniejące wpisy ACL do plików: icacls.\* /save aclfile /t a następnie przywrócić je dla wszystkich zapisanych w ten sposób wcześniej plików: icacls.\ /restore aclfile Poleceniem tym można też ustawiać poziom integralności obiektów w systemie plików. strona 2/7 ćwiczenie: Windows NTFS

1.2 Inspekcja dostępu do plików System operacyjny umożliwia rejestrowanie operacji dostępu do zasobów systemu plików, zarówno operacji udanych, jak i nieudanych. W celu uaktywnienia tej rejestracji należy najpierw włączyć inspekcję dostępu do obiektów: Następnie, dla wybranych obiektów systemu plików należy w zaawansowanych opcjach zabezpieczeń zaznaczyć operacje mające podlegać rejestracji: 2 1 3 ćwiczenie: Windows NTFS strona 3/7

Politechnika Poznańska Rejestrowane operacje dostępu można przeglądać w aplikacji Podgląd zdarzeń: 1.3 Szyfrowanie System plików NTFS również funkcję EFS (Encrypted File System), która umożliwia ochronę kryptograficzną zasobów plikowych, metodą szyfrowania symetrycznego (algorytmem DESX lub AES). Próba dostępu do zawartości zaszyfrowanego pliku (katalogu) przez użytkowników niepowołanych powoduje wygenerowanie przez system operacyjny błędu odmowy dostępu. strona 4/7 ćwiczenie: Windows NTFS

Operacje związane z dostępem do zaszyfrowanych plików wykonuje usługa Local Security Authority (LSA), całkowicie transparentnie dla użytkownika. Użyty do szyfrowania pliku jednorazowy klucz symetryczny FEK (File Encryption Key) zapisywany jest w nagłówku EFS zaszyfrowanego pliku. Klucz ten jest sam zaszyfrowany kluczem publicznym (algorytm RSA) właściciela pliku, który przechowywany jest w certyfikacie EFS użytkownika. Klucz szyfrowania FEK może być zachowany w pliku w wielu postaciach wraz z kluczem właściciela system operacyjny utrzymuje też klucz dla każdego użytkownika, który posiada dostęp do zaszyfrowanego pliku (jeśli dostęp do pliku jest współdzielony) oraz dla każdego zdefiniowanego agenta usługi odzyskiwania plików (Data Recovery Agent). Certyfikaty kluczy publicznych używanych do szyfrowania kluczy FEK są widoczne w aplikacji Microsoft Management Console (program mmc): Po uruchomieniu konsoli należy z menu Plik wybrać opcję Dodaj/Usuń przystawkę (np. klawiszem ^M), a następnie dodać przystawkę Certyfikaty bieżący użytkownik: ćwiczenie: Windows NTFS strona 5/7

Politechnika Poznańska 1.4 Agent odzyskiwania plików DRA Agent odzyskiwania plików jest użytkownikiem który może wykonywać kopie zapasowe plików (np. systemowym narzędziem Kopia zapasowa). Aby zdefiniować nowego agenta odzyskiwania w lokalnym systemie operacyjnym należy posłużyć się programem Zasady grup: 1.5 Strumienie alternatywne ADS Mechanizm alternatywnych strumieni danych (Alternate Data Streams) w NTFS został przysposobiony z systemu plików HFS (MacOS), gdzie służy przechowywaniu metadanych. System Windows aktualnie wykorzystuje strumienie alternatywne w zasadzie tylko do przechowywania informacji o tzw. strefie internetowej, z której pobrany został plik zapisany następnie w lokalnym systemie plików. Na podstawie owej strefy, Eksplorator Windows określa poziom ostrzeżeń przy rozpoczęciu przetwarzania pobranego pliku (np. przy uruchomieniu programu wykonywalnego): Informacja ta umieszczana jest w strumieniu :Zone.Identifier pobranego pliku. Jest to strumień tekstowy zawierający w sekcji [ZoneTransfer] deklarację parametru ZoneId. strona 6/7 ćwiczenie: Windows NTFS

Strumienie ujawnia polecenie dir /r, np.: Strumienie ADS identyfikuje przyrostek :$DATA podawany na listingu z tego polecenia. Zawartość strumienia alternatywnego można obejrzeć (tak jak w powyższym przykładzie), jednym z nielicznych narzędzi, które w systemie Windows obsługują strumienie ADS, jakim jest Notatnik (notepad). Brak zarządzania strumieniami alternatywnymi przez system operacyjny wprowadza ogromne ryzyko potencjalnego wykorzystania strumieni jako doskonałej kryjówki złośliwego lub niechcianego oprogramowania. Wykorzystane zasoby: icacls (http://technet.microsoft.com/en-us/library/cc753525.aspx) efsinfo (http://support.microsoft.com) Dodatkowe informacje i narzędzia: NTFS access control (http://support.microsoft.com/kb/308419) EFS technet magazine (http://technet.microsoft.com/en-us/magazine/2006.05.howitworks.aspx) EFS technet library (http://technet.microsoft.com/en-us/library/cc780166(ws.10).aspx) Problemy do analizy: Jakie uprawnienia kryją się pod nazwą Uprawnienia specjalne widoczną wśród prostych ACL? Jak wyznaczane są czynne uprawnienia dostępu do zasobów NTFS? Które operacje autoryzacji zezwolenia czy odmowy posiadają priorytet podczas kontroli dostępu? Które uprawnienia odziedziczone czy jawnie nadane mają priorytet? Jak w Windows 7 można zmienić uprawnienia dla kilku plików jednocześnie? Czy można w jakiś sposób przekopiować listę ACL jednego pliku do drugiego? Co oznacza uprawnienie WDAC (dostępne w poleceniu icacls)? Jakie jest działanie funkcji Bypass Traverse Checking w NTFS? Jak szyfrowany jest plik w systemie NTFS? Metodą symetryczną czy asymetryczną? Jakim kluczem? Gdzie ten klucz jest przechowywany i jak jest zabezpieczony? Co zawierają certyfikaty EFS użytkowników? Jak umożliwić współdzielenie zaszyfrowanego pliku? ćwiczenie: Windows NTFS strona 7/7

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres