VEBE 09

SIGURNOS NA OPERATIVNOMS SISTEMU WINDOWS

ta sve treba uraditi?
instalirajte sve sigurnosne zakrpe koje proizvoa operativnog sistema objavi
Windows update zaobii jer ne znate ta se instalira npr WGA.
SP2 + Autopatcher (avgust 07) je sasvim OK.
SP3 = SP2 + Security Updates (good) + IE7 + WMP11 + WGA (Windows Genuine
Authenticity)(loe).
reguliite prava korisnika - korisnike ulanite u grupe kojima ete dodeliti ovlaenja pomou
grupnih polisa
postavite NTFS dozvole kako biste ograniili lokalni i daljinski pristup fajlovima
postavite dozvole za deljene direktorijume kako biste ograniili pristup datotekama preko
mree
omoguite praenje sigurnosnih dogaaja (kao to je pristup osetljivim datotekama)
ifrujte vane datoteke ili ih smestite u ifrovan sistem datoteka (jaka kriptografija je najbolja
zatitna mera); ukoliko nemate poverenja u EFS, koristite drugi softver TrueCrypt
aktivirajte mrenu barijeru Windows SP2 FW nije OK, nema outgoing app level kontrole,
stavite Comodo ili Kerio
instalirajte i aktivirajte rezidentni antivirusni program (npr Avast) i antispyware program (npr
Spybot)
iskljuite Windows servise kojima ne verujete
Messenger, Error Reporting, Time Synhronization, Remote Desktop, Remote
Assistance, Automatic Updates, ...
onemoguiti praenje korisnika preko Media Playera, i pravljenje liste nedavno korienih
dokumenata (Recent).
Programi XPAntiSpy i XPY ovo zavravaju automatski.

Korisniki nalozi i grupe

Korisniki nalog je skup podataka o korisniku. Korisnik navodi ime i lozinku prilikom
logina. Grupa je skup korisnikih naloga koji je stvoren s ciljem da bi se olakala administracija
prava npr admin ulanjuje korisnike u grupe da bi jednostavnije dodelio prava za pristup
korisnicima. Postoje dve vrste korisnikih naloga i grupa: lokalni i domenski nalozi i grupe.
Lokalni - postoje na svakom Windows XP/2003 raunaru i slue za proveru identiteta
korisnika na tom raunaru i kontrolu pristupa resursima tog raunara. Administriraju se pomou
Computer Management alata.
Domenski - postoje u Windows 2003 domenu i uvaju se u aktivnom direktorijumu.
Korisniki nalozi (Windows XP)
Na Windows XP raunarima postoje dva tipa korisnikih naloga:

 Computer Administrator. Nalozi ovog tipa su lanovi lokalne grupe Administrators i imaju
potpunu kontrolu nad raunarom.
Limited Account. Nalozi ovog tipa namenjeni su krajnjim korisnicima i ne obezbeuju prava
potrebna za instaliranje softvera i administriranje drugih naloga.

Ugraeni (built-in) nalozi:

Administrator (ne moe se obrisati ili ukloniti iz lokalne grupe Administrators)
Guest. Omoguava korisnicima koji nemaju svoj nalog da se prijave na raunar. U
podrazumevanom stanju gost nije zatien lozinkom, ali je iskljuen i preporuuje se da tako i
ostane.

Ugraene (built-in) grupe:

Aministrators. Korisnika grupa u koju su ulanjeni nalozi tipa Computer Administrator.
lanovi grupe imaju sva prava.
Network Configuration Operators. lanovi ove grupe mogu obavljati administrativne
zadatke koji se tiu konfigurisanja mree (kao to je modifikacija LAN i dial-up veza).
Power Users. lanovi ove grupe mogu deliti tampae i datoteke na mrei, izmeniti sistemsko
vreme, promeniti prioritete procesa ili daljinski ugasiti raunar. lanovi ove grupe ne mogu da
prave nove ili modifikuju tue korisnike naloge, preuzmu vlasnitvo nad nekom datotekom ili
uitaju drajvere.
Remote Desktop Users. lanovi ove grupe mogu se prijaviti na sistem koristei servis
(uslugu) Remote Desktop.

Administracija lokalnih naloga

Varijanta 1: Control Panel Users & Groups.
Vrlo malo mogunosti: kreiranje novih naloga, dodela lozinke, izmena sliice (ovo je verovatno
od fundamentalnog znaaja...), omoguavanje / onemoguavanje Fast User Switchinga itd...
ta ne valja ovde? Prema Ctrl Panel Users & Groups, mora da postoji jedan nalog ulanjen u
grupu Administrators (osim administratora). To ponekad nije neophodno, ak je poeljno da
radite sa limited account akreditivima (malware se iri samo na va profil a ne systemwide).
Varijanta 2: Computer Management Console Local Users & Groups.
Kako se pokree: Desni klik po ikonici My Computer pa Manage.
ili (2) Start Run upiete mmc i dodate snap-in Computer management
(File=>Add/Remove snap in), Odaberite da elite da radite administraciju lokalog raunara
(local computer)
Odaberete zalistak Local Users and Groups i odatle radite administraciju !!!

Napomena: ako se dobije Access is denied a nalazite se u admin nalogu onda ima problema sa
registrima pa se manage konzoli moze pristupati kada se u Start Run ukuca sledeca komanda:
%windir%\system32\mmc.exe /s %windir%\system32\compmgmt.msc

Varijanta 3: Komande za kreiranje i modifikaciju naloga iz shell-a na W2K3.

Sistemske grupe
Sistemske grupe nemaju prave lanove, ali se esto koriste za obavljanje raznih administrativnih
zadataka.
grupa Everyone pravo dato grupi Everyone dato je svim korisnicima tog sistema.
grupa Creator Owner ako grupi Creator Owner date neko pravo nad grupom nekih objekata,
to pravo se prenosi na vlasnike tih objekata.

Dodela prava (privilegija) korisnicima

Korisniko pravo = sposobnost korisnika da izvri neku akciju.
Dodeljuju se pomou alata Local Security Settings, dostupnog iz Control Panela (Administrative
Tools Local Security Settings). U hijerarhijskom stablu Security Settings odabrati Local
Policies User Rights Assignment. Alat prikazuje listu korisnikih prava i korisnika/grupa
kojima je to pravo dodeljeno.

Npr:
Force Shutdown from a Remote System. Korisnik kome je dodeljeno ovo pravo moe
nasilno ugasiti sistem sa udaljenog raunara (jedan od alata koji obavlja daljinsko gaenje
isporuuje se uz Resource Kit).
Load and Unload Device Drivers. Pod drajverima se u Windowsovoj terminologiji - osim
drajvera za hardver (npr. za grafiku karticu) - podrazumevaju i drajveri koji omoguuju
funkcionalnost neke aplikacije (npr. drajver za virtuelne CD/DVD ureaje koji pomou ISO
datoteke na hard disku omoguava simulaciju nekog CD ureaja sa
ubaenim medijumom). Korisnik kome je dodeljeno ovo pravo moe da uita drajver u memoriju
ili da ga odatle ukloni.
Log on Locally. Korisnik kome je dodeljeno ovo pravo moe da se prijavi na sistem.
Take Ownership of Files or Other Objects. Korisnik kome je dodeljeno ovo pravo moe da
preuzme vlasnitvo nad nekim objektom (npr. Datotekom).

Domenski nalozi i grupe

uvaju se u AD na domen kontrolerima, slue za autentifikaciju korisnika na domenskim
raunarima i kontrolu pristupa domenskim resursima.Domenske grupe koje slue za
organizovanje korisnika radi dodele pristupnih prava su sigurnosne (security) ne distribucione
(ove imaju neku drugu namenu). Dele se na:
univerzalne (lanovi grupa mogu biti objekti iz celog AD; grupi se mogu dati prava nad
objektima iz celog AD)
globalne (u grupu se mogu ulaniti korisnici iz istog domena; grupi se mogu dodeliti prava u
bilo kom domenu)

 domenske lokalne (u grupu se mogu se ulaniti korisnici iz celog AD; grupi se mogu dodeliti
prava iskljuivo nad resursima iz istog domena)

Ugraeni domenski nalozi i grupe:

Administrator. Ima potpunu kontrolu nad domenom. Ne moe se obrisati ili ukloniti iz grupe
Administrators.
Guest. Omoguava korisnicima koji nemaju svoj nalog da se prijave na domen.
Podrazumevano je iskljuen i preporuuje se da tako i ostane.
Administrators. Domenska lokalna grupa iji su lanovi korisnik Administrator i globalna
grupa Domain Admins.
Account operators. lanovi ove domenske lokalne grupe mogu administrirati domenske
korisnike i grupne
naloge.
Server operators. lanovi ove domenske lokalne grupe mogu administrirati kontrolere
domena.
Domain Admins. Globalna grupa u koju treba ulaniti sve korisnike koji su administratori
domena.

Grupne polise
Grupna polisa = skup podeavanja (operativnog sistema, aplikacija, sigurnosti i radnog
okruenja) definisan kao naelo koje se primenjuje na grupu korisnika.
Grupna polisa ima dva osnovna dela:
Computer Configuration koji odreuje konfiguraciju raunara i primenjuje se kada se raunar
pokrene
User Configuration koji odreuje okruenje korisnika i primenjuje se kada se korisnik prijavi
Polise (prema redosledu primene):
lokalne (konfiguracija za lokalne naloge),
na nivou domena
na nivou organizacionih jedinica.
U zavisnosti od toga da li se podie operativni sistem ili se korisnik prijavljuje na domen,
primenjuju se one polise koje odgovaraju organizacionim jedinicama u kojima se nalazi raunar,
odnosno korisnik. Najvei prioritet ima polisa vezana za organizacionu jedinicu u kojoj se nalazi
raunar, odnosno korisnik.

Computer Settings sadri podskup podeavanja koja se tiu sigurnosti Security Settings. Npr:
podeavanja bezbednosti korisnikih lozinki (Account Policy Password Policy)

 zakljuavanje naloga u sluaju pokuaja neovlaenog pristupa (Account Policy Account

Lockout Policy)
podeavanja koja se tiu praenja pristupa resursima (Local Policy Audit Policy)
posebna prava koja korisnici imaju na sistemu (Local Policy User Rights Assignments)
dodatna sigurnosna podeavanja (Local Policy Security Options)

NTFS
Security Descriptor
Dodeljuje se svakom objektu, odnosno datoteci i direktorijumu na NTFS se prilikom kreiranja
dodeljuje
Sadri informacije o dozvolama za pristup resursu i o vlasniku resursa.
NTFS dozvole
Dodeljuju se ili oduzimaju korisnicima i grupama
Svaki korisnik ili grupa predstavlja jedan Access Control Entry (ACE), a skup svih dozvola
tabelu Access Contol List (ACL).
Grupe i korisnici su u ACL predstavljeni numerikim vrednostima SID (Security Identifiers)
koje ih jednoznano identifikuju

Kontrola pristupa objektima iskljuivo na NTFS volumenima

Dozvole vae bez obzira da li korisnik pristupa resursu preko mree ili lokalno.
Prava pristupa data grupi prenose se na grupe i korisnike koji su u tu grupu ulanjeni.
Postoje dozvole niskog nivoa (atomarne) i visokog (standardne i specijalne).
Atomarne dozvole (Low-Level Permission) omoguavaju korisniku da nad objektima fajl
sistema izvri odreenu akciju
Standardne NTFS dozvole (High-Level Permission) sistemski predefinisan skup atomarnih
dozvola koji omoguava korisniku da izvri odreeni skup akcija nad objektima sistema datoteka
Specijalne NTFS dozvole korisniki definisan skup atomarnih dozvola koji se moe dodeliti
nekom objektu

Standardne dozvole
U standardne NTFS dozvole spadaju:
Read omoguava korisniku kome je data da pregleda sadraj objekta, tj. da proita sadraj
datoteke
Write dozvola za upis novog sadraja u objekat; izmena sadraja objekta je mogua ukoliko
je korisniku pored ove dozvole data i dozvola Read, koja omoguava korisniku pregledanje
sadraja
Read and Execute standardna dozvola Read proirena specijalnom dozvolom Traverse
Folder/Execute File (omoguava zaobilaenje restrikcija na viim hijerarhijskim nivoima u
stablu direktorijuma i izvravanje datoteka)
Modify unija standardnih dozvola Read and Execute i Write proirena atomarnom dozvolom
za brisanje
Full Control ukljuuje sve atomarne dozvole; korisnik kome je data ova dozvola ima sva
prava nad objektom, ukljuujui i mogunost dodele i oduzimanja NTFS dozvola i preuzimanja
vlasnitva;
List Folder Contents pregledanje sadraja direktorijuma; moe se dati samo za direktorijum
Standardne dozvole za pristup objektu dodeljuju se pomou kartice Security dijaloga Properties
tog objekta, Object Properties / Security. NAPOMENA: Ako ovo ne radi kako treba, onda
verovatno na XP-u u Folder Options treba iskljuiti Simple File Sharing... (My Computer,
Tools, Folder Options, View, pa iskljuite Simple File Sharing).

Ove opcije se mogu podeavati na konkretnom objektu na desni klik => properties => security

Advanced Security Tab nasleivanje, efektivne dozvole i vlasnitvo

Na XP/2003 sistemima postoji mogunost nasleivanja dozvola sa direktorijuma koji se u
hijerarhiji stabla nalazi na viem nivou, odnosno propagacije dozvola na poddirektorijume i
datoteke. Dozvole se mogu svrstati u:
eksplicitno dodeljene (dozvole koje su direktno prikljuene samom objektu) i
nasleene sa roditeljskog direktorijuma.
Dozvole nad jednim objektom sistema datoteka mogu biti dodeljene veem broju grupa iji je
dati korisnik lan.
Efektivne dozvole korisnika formiraju se na sledei nain:
razliite dozvole dodeljene grupama kojima korisnik pripada se sabiraju,
razliite nasleene i eksplicitno dodeljene dozvole se sabiraju i
zabrana dozvole nadjaava dodelu.
Koristei kartice dijaloga Advanced Security Settings korisnici mogu:
dodeliti specijalne dozvole (kartica Permissions)

 omoguiti praenje pristupa objektu (kartica Auditing)

omoguiti ili onemoguiti nasleivanje dozvola (check box: Allow Inheritable
permissions to from parrent to propagate...)
obaviti prenos vlasnitva (kartica Owner) poklanjanje datoteka je mogue !!!
proraunati efektivne dozvole koje e neki korisnik imati za taj objekat (kartica
Effective Permissions)

Komanda CACLS (Changa Access Control ListS)

Pogodna za batch scripting i VB scripting, tj za promenu dozvola na velikom broju objekata
koristei batch fajlove ili VB scriptove.
Opcije koje postoje za rad sa ovom komandom mogu se videti kada se ukuca cacls u command
prompt-u

cacls filename [/t] [/e] [/c] [/g user|group:perm] [/r user|

group [...]]
[/p user|group:perm [...]] [/d user|group [...]]
/t Menja ACLs specificiranom fajlu kao i svim poddirektorijumima
/e - Edituje ACL umesto da je zameni.
/c Nastavlja sa izmenama ACLs ignorisuci greske
/g user | group:perm Dozvoljava specificiranom korisniku ili grupi
navedeno pravo
Prava mogu biti: r Read, c - Change (write), f - Full control
/r Oduzima se navedeno pravo navedenom korisniku ili grupi.
/p user | group:perm Menja specificiranom korisniku ili grupi prava
pristupa
Prava mogu biti: n None, r Read, c - Change (write), f - Full control
/d user | group Odbija pristup specificiranom korisniku.
SKRAENICE:
CI - Container Inherit. ACE prava su nasleena iz direktorijuma
OI - Object Inherit. ACE prava su nasleena za fajl
IO - Inherit Only. ACE prava se ne odnose na trenutni fajl ili direktorijum
PRIMER 1: za fajl test.fil
pregled liste atributa
D:\>cacls
D:\test.fil Everyone:F

test.fil

podrazumevano grupa Everyone ima punu kontrolu. Pogresno!Zameniti da administrator

ima punu kontrolu:

10

D:\>cacls test.fil /g administrator:f

Are you sure (Y/N)?y
processed file: D:\test.fil

Pregled podeavanja
D:\>cacls test.fil
D:\test.fil REMOTE1\Administrator:F

Napravicemo dva korisnika rukloc sa Read Only pravima, i korisnika jsmith sa punom
kontrolom:
D:\>cacls test.fil /e /g rukloc : r
processed file: D:\test.fil
D:\>cacls test.fil /e /g jsmith : f

Pregled podeavanja
D:\>cacls test.fil
D:\test.fil REMOTE1\Administrator:F
REMOTE1\rukloc:R
REMOTE1\jsmith:F

PRIMER 2: Promeniti ACL prava pristupa svim fajlovima i direktorijumima na disku C da bi se

dodelila potpuna kontrola lokalnoj grupi Administrators.
cacls c:\ /t /e /g Administrators:f
PRIMER 3: Promeniti ACL prava pristupa direktorijumu C:\ Temp (ali ne i njegovim
poddirektorijumima) da bi se dodalo pravo read globalnoj gurpi Domain Users i lokalnoj
grupi Users. Ukloniti sve dozvole lokalnoj grupi Everyone.
cacls c:\temp\*.* /e /g "Domain Users":r Users:r /r Everyone

11

Sharing
Share dozvole se primenjuju iskljuivo na korisnike koji deljenim folderima pristupaju preko
mree mapiranjem deljenih direktorijuma na logike diskove, ili iz Windows Explorera
(\\ime_servera\deljeni_direktorijum). Dozvole se primenjuju na deljeni folder, a opseg vanosti
im je celokupan sadraj deljenog foldera. Deljeni folder moe biti na FAT ili NTFS sistemu
datoteka.
Postoje tri nivoa share dozvola:
Read = pregledanje atributa, itanje sadraja fajlova i pokretanje programa, otvaranje
podfoldera
Change = Read + kreiranje fajlova i podfoldera, izmena sadraja fajlova i podfoldera, brisanje
fajlova i podfodera
Full Control = Change + izmena NTFS dozvola + preuzimanje vlasnitva nad fajlovima i
podfolderima
Prilikom traenja efektivnih dozvola trai se unija restrikcija share i NTFS dozvola.
Restriktivnija dozvola postaje efektivna - nivo pristupa korisnika se moe smanjiti pomou
NTFS dozvola.
Preporuka: olabavite share dozvole (Authenticated Users: Full Control je OK, nemojte da
ostavljate sistemsku grupu Everyone sa datim pravima) a zategnite NTFS!

Printer access control

Kako se postavljaju dozvole ? Control Panel, Printers and Faxes, Printer Properties / Security.
Tri vrste dozvola:
Print (tampanje)
Manage Printers (rad sa tampaima konfigurisanje poolinga, dozvola itd)
Manage Documents (upravljanje redom za tampu).

Registry access control

Kao i tampai, NTFS, aktivni direktorijum, tako i registry baza podlee SAM-u, tj kontroli
pristupa. Jednostavno obian korisnik ne moe da upie neto u klju (hive) HKLM jer je to
system wide. To je kontrolom pristupa sreeno tako da to moe da uradi samo lan grupe
Administrators. Dakle, najjednostavnije objanjenje zato neki programi trae privilegije
administratora za instaliranje jeste:
obian user ne moe da vrlja u direktorijumu C:\Program File\BlaBla
obian user ne moe da upie neto u HKLM deo registryja jer ACL za Registry to ne
dozvoljava.

12

Standardne dozvole su:

Read (itanje sadraja dela registryja, hive-a ili konkretnog kljua)
Full Control (kompletna kontrola nad hive-om ili konkretnim kljem, ukljuujui upis, dodelu
prava itd)

Auditing
Auditig = praenje sigurnosnih dogaaja) i pristupa resursima.
Sigurnosni dogaaji su sve akcije usmerene na resurse koji su zatieni nekom sigurnosnom
merom, kao to je kontrola pristupa. Na primer, sigurnosni dogaaj je promena sadraja ili
pristupnih prava direktorijuma, prijavljivanje na domen, pravljenje ili izmena naloga i izmena
grupne polise. Praenje dogaaja se najee primenjuje na kontrolerima domena i serverima, ali
i na radnim stanicama koje su deo domena ukoliko se na njima nalaze znaajniji resursi. Cilj
primene ove zatitne mere je formiranje log fajla na osnovu koga se mogu otkriti mogui
propusti u primeni nekih sigurnosnih mera. Postoji nekoliko kategorija dogaaja koje se mogu
pratiti:
prijavljivanje korisnika na domen (Account Logon Events), prijavljivanje korisnika na raunar
i provera identiteta korisnika radi pristupa deljenim resursima (Logon Events),
pravljenje, izmena svojstava i brisanje korisnikih naloga i grupa (Account Management)
pristup objektima aktivnog imenika (Directory Service Access),
pristup resursima (Object Access),
korienje privilegija, tj. prava dodeljenih korisnicima (Privilege Use),
promena polise (Policy Change), kao to je dodela ili oduzimanje prava korisnicima,
pokretanje, gaenje i promena prioriteta procesa (Process Tracking),
sistemski dogaaji (System Events), kao to je promena sistemskog vremena.
Zavisno od kategorije, mogue je pratiti uspene, neuspene ili obe vrste dogaaja.
Gde se ta prati?
Prijavljivanje korisnika na domen i pristup objekima AD prati se na domen kontrolerima.
Ostali dogaaji se prate na onim mestima koja su vam sumnjiva po pitanju postojanja
sigurnosnih propusta. Dogaaji se belee u dnevnik koji se nalazi na raunaru na kome je
omogueno praenje tih dogaaja.

Praenje aktivnosti u nekom direktorijumu ili fajlu

Podesiti kakav auditing se eli, tj. da li se eli preenje Sucess ili Failed deavanja u:
Start => Control Panel => Administrative tools => Local security policy => Audit Policy =>
Audit object access,

13

Na konkretnom objektu (dir ili file) koji se eli pratiti na desni klik pa properties => tab Security
=> Advanced => Auditing => dupli klik u prayan prozor i dobija se sledeci meni

Odabrati deavanja kojih korisnika ele da se prate (Everyone), tiklirati koja deavanja ele da
se prate sa efektom (Successful i/ili Failed)
Kada se ovako podese objekti za praenje sva deavanja se belee a mogu se pogledati u Event
Viewer u okviru mmc konzole.
Start => run => mmc => File, Add/remove snap-in => Add => Event Viewer => OK
Dobije se lista svih zabeleenih deavanja i svaki se moe pogledati. Na slici je prikazano
detektovano otvaranje foldera pom koji se prati.

ienje nepotrebnih servisa

14

Windows je prepun servisa koji vam:

usporavaju rad raunara,
ponaaju se delimino kao spyware,
smaraju korisnike,
nemaju nikakvu korisnu funkciju.
Na primer, da li postoji jedan racionalan razlog da se uz Outlook Express podie Messenger?
Da li vas smara Error Reporting Service. Da li vam je Automatic Updates zadovoljavaju ili vam
je lake da te updateove instalirate sa nekog CD-a? Npr, kad reinstalirate Windows, moraete
ponovo da skidate gomilu updateova sa M$ sajta. Da li vam je Security Center Servis stvarno
neophodan? Svaki put dobijete gomilu upozorenja da vam je Automatic Updates iskljuen (a vi
ste ga iskljuili), ili da vam je Firewall iskljuen a vi koristite 3rd pary firewall koji M$ ne
prepoznaje.
Preporuka: ako niste vini u radu sa windowsom (tj tweakingu i akanju) skinite sa Interneta
xpy ili xp-antispy i odradite posao preko njih. Ako jeste:
iskoristite alat msconfig (pokree se istoimenom komandom)
iskoristite services snap-in MMC konzole (moe da se pokrene komandom services.msc
ili iz My Computer Manage Services, ili Control Panel, Administrative Tools,
Services)
Servisi koje moete da pogasite i da smanjite security risk a uz to i da optimizujete rad raunara
su:
Automatic Updates
Error Reporting Service
Messenger da li vam je net send komanda neophodna?
NetMeeting Remote Desktop Sharing
Remote Desktop Help Session Manager
Time Synchronization
Security Center (SP2)
Windows Firewall (ICF) / Internet Connection Sharing (ICS) istalirajte drugi firewall

15

VEBA
Windows OS security practice
1. Kreirajte dva lokalna korisnika naloga Korisnik1 i Korisnik2 tipa Limited Account.
Prijavite se na sistem kao Korisnik1 i kreirajte neku datoteku.
Dodelite kao Administrator korisniku Korisnik2 pravo preuzimanja vlasnitva nad tuim
datotekama.
Prijavite se kao Korisnik2 i preuzmite vlasnitvo nad prethodno kreiranom datotekom.
Dodelite sebi odgovarajue pravo pristupa i proitajte njen sadraj.
2. Probajte pod korisnikim nalogom Korisnik1 tipa Limited Account da kreirate lokalni
korisniki nalog Korisnik3.
Da li ste u tome uspeli? Zato?
Dodelite kao administrator korisniku Korisnik1 pravo da kreira i modifikuje druge
korisnike naloge i grupe.
Probajte sada da kao Korisnik1 kreirate neki korisniki nalog.
3. Kreirajte lokalne korisnike grupe Test i Admin i direktorijum Test1 i Test2 na nekom NTFS
volumenu. Postavite prava pristupa nad direktorijumom Test1 tako da:
lanovi grupe Admin imaju sva prava nad direktorijumom Test i njegovim sadrajem
lanovi grupe Test mogu da itaju sadraj svih objekata iz direktorijuma Test, kreiraju
objekte u direktorijumu Test i da nad objektima koje u njemu kreiraju imaju sva prava
4. Izmenite prava grupe Test iz prethodnog zadatka tako da njeni lanovi ne mogu menjati
sadraj datoteka koje su kreirali.
5. Uradite zadatke 3 i 4 pomou komande CACLS.
6. Instalirajte tampa na vaem raunaru i ograniite pristup tampau tako da na njemu
mogu tampati samo lanovi grupe Test.
7. Obezbedite praenje sledeih dogaaja na Vaem raunaru:
pokuaj neovlaenog pristupa direktorijumu Test iz zadatka 3
tampanje na tampau koji ste instalirali u zadatku 6
prijavljivanje na sistem (uspeno i neuspeno)
8. Iskljuite servise: Messenger i Automatic Updates. Konfiguriite Security Center tako da ne
upozorava korisnika na onemoguen Automatic Updates.
CLEAN UP: Obriite direktorijum Test1, Test2, korisnike Korisnik1, Korisnik2 i Korisnik3,
grupe Test i Admin, ukljuite servise Messenger i Automatic Updates i vratite Sec Center u
prvobitno stanje.

16