Professional Documents
Culture Documents
Vezbe 09
Vezbe 09
Vezbe 09
Computer Administrator. Nalozi ovog tipa su lanovi lokalne grupe Administrators i imaju
potpunu kontrolu nad raunarom.
Limited Account. Nalozi ovog tipa namenjeni su krajnjim korisnicima i ne obezbeuju prava
potrebna za instaliranje softvera i administriranje drugih naloga.
Napomena: ako se dobije Access is denied a nalazite se u admin nalogu onda ima problema sa
registrima pa se manage konzoli moze pristupati kada se u Start Run ukuca sledeca komanda:
%windir%\system32\mmc.exe /s %windir%\system32\compmgmt.msc
Sistemske grupe
Sistemske grupe nemaju prave lanove, ali se esto koriste za obavljanje raznih administrativnih
zadataka.
grupa Everyone pravo dato grupi Everyone dato je svim korisnicima tog sistema.
grupa Creator Owner ako grupi Creator Owner date neko pravo nad grupom nekih objekata,
to pravo se prenosi na vlasnike tih objekata.
Npr:
Force Shutdown from a Remote System. Korisnik kome je dodeljeno ovo pravo moe
nasilno ugasiti sistem sa udaljenog raunara (jedan od alata koji obavlja daljinsko gaenje
isporuuje se uz Resource Kit).
Load and Unload Device Drivers. Pod drajverima se u Windowsovoj terminologiji - osim
drajvera za hardver (npr. za grafiku karticu) - podrazumevaju i drajveri koji omoguuju
funkcionalnost neke aplikacije (npr. drajver za virtuelne CD/DVD ureaje koji pomou ISO
datoteke na hard disku omoguava simulaciju nekog CD ureaja sa
ubaenim medijumom). Korisnik kome je dodeljeno ovo pravo moe da uita drajver u memoriju
ili da ga odatle ukloni.
Log on Locally. Korisnik kome je dodeljeno ovo pravo moe da se prijavi na sistem.
Take Ownership of Files or Other Objects. Korisnik kome je dodeljeno ovo pravo moe da
preuzme vlasnitvo nad nekim objektom (npr. Datotekom).
domenske lokalne (u grupu se mogu se ulaniti korisnici iz celog AD; grupi se mogu dodeliti
prava iskljuivo nad resursima iz istog domena)
Grupne polise
Grupna polisa = skup podeavanja (operativnog sistema, aplikacija, sigurnosti i radnog
okruenja) definisan kao naelo koje se primenjuje na grupu korisnika.
Grupna polisa ima dva osnovna dela:
Computer Configuration koji odreuje konfiguraciju raunara i primenjuje se kada se raunar
pokrene
User Configuration koji odreuje okruenje korisnika i primenjuje se kada se korisnik prijavi
Polise (prema redosledu primene):
lokalne (konfiguracija za lokalne naloge),
na nivou domena
na nivou organizacionih jedinica.
U zavisnosti od toga da li se podie operativni sistem ili se korisnik prijavljuje na domen,
primenjuju se one polise koje odgovaraju organizacionim jedinicama u kojima se nalazi raunar,
odnosno korisnik. Najvei prioritet ima polisa vezana za organizacionu jedinicu u kojoj se nalazi
raunar, odnosno korisnik.
Computer Settings sadri podskup podeavanja koja se tiu sigurnosti Security Settings. Npr:
podeavanja bezbednosti korisnikih lozinki (Account Policy Password Policy)
NTFS
Security Descriptor
Dodeljuje se svakom objektu, odnosno datoteci i direktorijumu na NTFS se prilikom kreiranja
dodeljuje
Sadri informacije o dozvolama za pristup resursu i o vlasniku resursa.
NTFS dozvole
Dodeljuju se ili oduzimaju korisnicima i grupama
Svaki korisnik ili grupa predstavlja jedan Access Control Entry (ACE), a skup svih dozvola
tabelu Access Contol List (ACL).
Grupe i korisnici su u ACL predstavljeni numerikim vrednostima SID (Security Identifiers)
koje ih jednoznano identifikuju
Standardne dozvole
U standardne NTFS dozvole spadaju:
Read omoguava korisniku kome je data da pregleda sadraj objekta, tj. da proita sadraj
datoteke
Write dozvola za upis novog sadraja u objekat; izmena sadraja objekta je mogua ukoliko
je korisniku pored ove dozvole data i dozvola Read, koja omoguava korisniku pregledanje
sadraja
Read and Execute standardna dozvola Read proirena specijalnom dozvolom Traverse
Folder/Execute File (omoguava zaobilaenje restrikcija na viim hijerarhijskim nivoima u
stablu direktorijuma i izvravanje datoteka)
Modify unija standardnih dozvola Read and Execute i Write proirena atomarnom dozvolom
za brisanje
Full Control ukljuuje sve atomarne dozvole; korisnik kome je data ova dozvola ima sva
prava nad objektom, ukljuujui i mogunost dodele i oduzimanja NTFS dozvola i preuzimanja
vlasnitva;
List Folder Contents pregledanje sadraja direktorijuma; moe se dati samo za direktorijum
Standardne dozvole za pristup objektu dodeljuju se pomou kartice Security dijaloga Properties
tog objekta, Object Properties / Security. NAPOMENA: Ako ovo ne radi kako treba, onda
verovatno na XP-u u Folder Options treba iskljuiti Simple File Sharing... (My Computer,
Tools, Folder Options, View, pa iskljuite Simple File Sharing).
Ove opcije se mogu podeavati na konkretnom objektu na desni klik => properties => security
test.fil
10
Pregled podeavanja
D:\>cacls test.fil
D:\test.fil REMOTE1\Administrator:F
Napravicemo dva korisnika rukloc sa Read Only pravima, i korisnika jsmith sa punom
kontrolom:
D:\>cacls test.fil /e /g rukloc : r
processed file: D:\test.fil
D:\>cacls test.fil /e /g jsmith : f
Pregled podeavanja
D:\>cacls test.fil
D:\test.fil REMOTE1\Administrator:F
REMOTE1\rukloc:R
REMOTE1\jsmith:F
11
Sharing
Share dozvole se primenjuju iskljuivo na korisnike koji deljenim folderima pristupaju preko
mree mapiranjem deljenih direktorijuma na logike diskove, ili iz Windows Explorera
(\\ime_servera\deljeni_direktorijum). Dozvole se primenjuju na deljeni folder, a opseg vanosti
im je celokupan sadraj deljenog foldera. Deljeni folder moe biti na FAT ili NTFS sistemu
datoteka.
Postoje tri nivoa share dozvola:
Read = pregledanje atributa, itanje sadraja fajlova i pokretanje programa, otvaranje
podfoldera
Change = Read + kreiranje fajlova i podfoldera, izmena sadraja fajlova i podfoldera, brisanje
fajlova i podfodera
Full Control = Change + izmena NTFS dozvola + preuzimanje vlasnitva nad fajlovima i
podfolderima
Prilikom traenja efektivnih dozvola trai se unija restrikcija share i NTFS dozvola.
Restriktivnija dozvola postaje efektivna - nivo pristupa korisnika se moe smanjiti pomou
NTFS dozvola.
Preporuka: olabavite share dozvole (Authenticated Users: Full Control je OK, nemojte da
ostavljate sistemsku grupu Everyone sa datim pravima) a zategnite NTFS!
12
Auditing
Auditig = praenje sigurnosnih dogaaja) i pristupa resursima.
Sigurnosni dogaaji su sve akcije usmerene na resurse koji su zatieni nekom sigurnosnom
merom, kao to je kontrola pristupa. Na primer, sigurnosni dogaaj je promena sadraja ili
pristupnih prava direktorijuma, prijavljivanje na domen, pravljenje ili izmena naloga i izmena
grupne polise. Praenje dogaaja se najee primenjuje na kontrolerima domena i serverima, ali
i na radnim stanicama koje su deo domena ukoliko se na njima nalaze znaajniji resursi. Cilj
primene ove zatitne mere je formiranje log fajla na osnovu koga se mogu otkriti mogui
propusti u primeni nekih sigurnosnih mera. Postoji nekoliko kategorija dogaaja koje se mogu
pratiti:
prijavljivanje korisnika na domen (Account Logon Events), prijavljivanje korisnika na raunar
i provera identiteta korisnika radi pristupa deljenim resursima (Logon Events),
pravljenje, izmena svojstava i brisanje korisnikih naloga i grupa (Account Management)
pristup objektima aktivnog imenika (Directory Service Access),
pristup resursima (Object Access),
korienje privilegija, tj. prava dodeljenih korisnicima (Privilege Use),
promena polise (Policy Change), kao to je dodela ili oduzimanje prava korisnicima,
pokretanje, gaenje i promena prioriteta procesa (Process Tracking),
sistemski dogaaji (System Events), kao to je promena sistemskog vremena.
Zavisno od kategorije, mogue je pratiti uspene, neuspene ili obe vrste dogaaja.
Gde se ta prati?
Prijavljivanje korisnika na domen i pristup objekima AD prati se na domen kontrolerima.
Ostali dogaaji se prate na onim mestima koja su vam sumnjiva po pitanju postojanja
sigurnosnih propusta. Dogaaji se belee u dnevnik koji se nalazi na raunaru na kome je
omogueno praenje tih dogaaja.
13
Na konkretnom objektu (dir ili file) koji se eli pratiti na desni klik pa properties => tab Security
=> Advanced => Auditing => dupli klik u prayan prozor i dobija se sledeci meni
Odabrati deavanja kojih korisnika ele da se prate (Everyone), tiklirati koja deavanja ele da
se prate sa efektom (Successful i/ili Failed)
Kada se ovako podese objekti za praenje sva deavanja se belee a mogu se pogledati u Event
Viewer u okviru mmc konzole.
Start => run => mmc => File, Add/remove snap-in => Add => Event Viewer => OK
Dobije se lista svih zabeleenih deavanja i svaki se moe pogledati. Na slici je prikazano
detektovano otvaranje foldera pom koji se prati.
14
15
VEBA
Windows OS security practice
1. Kreirajte dva lokalna korisnika naloga Korisnik1 i Korisnik2 tipa Limited Account.
Prijavite se na sistem kao Korisnik1 i kreirajte neku datoteku.
Dodelite kao Administrator korisniku Korisnik2 pravo preuzimanja vlasnitva nad tuim
datotekama.
Prijavite se kao Korisnik2 i preuzmite vlasnitvo nad prethodno kreiranom datotekom.
Dodelite sebi odgovarajue pravo pristupa i proitajte njen sadraj.
2. Probajte pod korisnikim nalogom Korisnik1 tipa Limited Account da kreirate lokalni
korisniki nalog Korisnik3.
Da li ste u tome uspeli? Zato?
Dodelite kao administrator korisniku Korisnik1 pravo da kreira i modifikuje druge
korisnike naloge i grupe.
Probajte sada da kao Korisnik1 kreirate neki korisniki nalog.
3. Kreirajte lokalne korisnike grupe Test i Admin i direktorijum Test1 i Test2 na nekom NTFS
volumenu. Postavite prava pristupa nad direktorijumom Test1 tako da:
lanovi grupe Admin imaju sva prava nad direktorijumom Test i njegovim sadrajem
lanovi grupe Test mogu da itaju sadraj svih objekata iz direktorijuma Test, kreiraju
objekte u direktorijumu Test i da nad objektima koje u njemu kreiraju imaju sva prava
4. Izmenite prava grupe Test iz prethodnog zadatka tako da njeni lanovi ne mogu menjati
sadraj datoteka koje su kreirali.
5. Uradite zadatke 3 i 4 pomou komande CACLS.
6. Instalirajte tampa na vaem raunaru i ograniite pristup tampau tako da na njemu
mogu tampati samo lanovi grupe Test.
7. Obezbedite praenje sledeih dogaaja na Vaem raunaru:
pokuaj neovlaenog pristupa direktorijumu Test iz zadatka 3
tampanje na tampau koji ste instalirali u zadatku 6
prijavljivanje na sistem (uspeno i neuspeno)
8. Iskljuite servise: Messenger i Automatic Updates. Konfiguriite Security Center tako da ne
upozorava korisnika na onemoguen Automatic Updates.
CLEAN UP: Obriite direktorijum Test1, Test2, korisnike Korisnik1, Korisnik2 i Korisnik3,
grupe Test i Admin, ukljuite servise Messenger i Automatic Updates i vratite Sec Center u
prvobitno stanje.
16