1. Види суб'єктів ОС, ідентифікатори суб'єктів. Процедура автентифікації.

Налаштування політики автентифікації.

види суб’ктів
1) Користувачі
2) Групи
3) Комп’ютери
4) Служби
5) Облікові записи безпеки

ідентифікатори суб'єктів
1) SID
Процедура автентифікації. Налаштування політики автентифікації
2. Облікові записи. Атрибути облікових записів. Керування обліковими записами.
Політика облікових записів. У чому відмінність можливостей адміністратора системи
від непривілейованого користувача.
Атрибути облікових записів
1) Ім'я
2) Пароль
3) SID
4) Належність до груп та інше
Політика облікових записів
Це налаштування, які котролюють параметри наприклад при стровенні. Тобто пароль,
обмеження на корисутвання пк і так далі
У чому відмінність можливостей адміністратора системи від
непривілейованого користувача
Адмін може:
1) Інсталювати та вид. программи
2) Змінювати системні налаштування
3) Доступ до всіх директоріїв на пк
4) Створення, ред., видалення користувачів та груп
5) Змінювати права доступу до файлів, папок і тд
Користувач без прав:
Все те ж саме що адмін але зі знаком !(не)
3. Маркер доступу і дескриптор захисту. Склад параметрів. Права і дозволи
(привілеї).
Маркер доступу
Об’єкт який асоціюється з потоком виконання і збер. Інформацію про безпеку цього
потоку. Например юзер зайшов до системи і ми потім можемо подивитися коли був
вхід або що робив юзер і тд.
1) User SID
2) SID of Groups до яких входить user
3) Там ще що є…

дескриптор захисту
зберігає інфу про безпеку для індивідуальних об’єктів
Включає в себе:
1) SID власника об'єкта
2) SID групи, яка асоційована з об'єктом
3) Access Control List
4) System Access

Права і дозволи (привілеї)

Права це конкретні дії які юзер може виконувати по відношенню до об’єкта
Привілеї це ОСОБЛИВІ права які можна надати юзерам або група які дозволять
виконувати різні системні завдання
4. Види об'єктів доступу ОС. Дозволи доступу. Стандартні і спеціальні дозволи. Як
перевірити дію окремого дозволу? Відмінність дозволів на каталоги і файли. Захист
реєстру ОС.
Види об'єктів доступу ОС
1) Файли та папки
2) Принтери
3) Реєстри
4) Процеси та потоки
5) Послуги
6) Мережеві ресурси, інше…
Дозволи доступу
Стандартні
1) Читання
2) Запис
3) Виконання
4) Повний доступ
Спеціальні дозволи
1) наприклад дозвіл на читання атрибутів
Як перевірити дію окремого дозволу?

Відмінність дозволів на каталоги і файли

1) Перегляд вмісту папки(тільки у каталогах)
Захист реєстру ОС
5. Права (user rights) та дозволи (user permissions) користувачів. Керування доступом
на об`єкти файлової системи NTFS. Загальні та специфічні дозволи. Права власника.
Алгоритм обчислення ефективних дозволів.
Які дозволи (або заборони) мають пріоритет? (явно призначені користувачам, групові
або успадковані, права власника). Обмеження спадкування (біти спадкування).
Передавання права власника. Пошук об'єктів у ФС за параметрами ACL. Які набори
дозволів на файлові об'єкти можуть становити потенційну вразливість?
Права (user rights) та дозволи (user permissions) користувачів
Права користувачів це можливості, які надають користувачу на рівні системи.
Наприклад право на вхід до системи та інше.
Дозволи користувачів це налаштування, які регулюють доступ, наприклад до папки
або файла.
Керування доступом на об`єкти файлової системи NTFS
Ну я навіть не знаю що тут писати. Можу сказати що файлова система NTFS
дозволяє керувати доступами(дозволами) на файли та папки. Ми можемо самі
створювати ці дозволи для юзерів, груп.
Загальні та специфічні дозволи
Вже було схоже запитання
Загальні це стандартні дозволи, такі як читання, запис та виконання, а специфічні це
дозволи які ДЕЛАТЬНО керують доступом до файлів, папок і так далі
Права власника
Це права на файл або папку які належать власнику і він визначає що ми можемо з
ним робити, тільки він може змінювати дозволи до об’єктів його власності
Алгоритм обчислення ефективних дозволів
1) Якщо юзер має повний доступ, значить він має доступ до ресурсу
2) Заборони мають пріорітет на дозволами
3) Явно вказані дозволи мають пріоритет перед успадкованими.
4) Дозволи, які назначені конкретному користувачеві, мають пріоритет над
дозволами, які назначені групі.
Обмеження спадкування (біти спадкування)
1) можна встановити дозволи так, що вони успадковуються від батьківської папки
до підпапок та файлів
Передавання права власника
Власник або адміністратор може передати право власності іншому юзеру
takeown /F "C:\test"
Пошук об'єктів у ФС за параметрами ACL

Які набори дозволів на файлові об'єкти можуть становити потенційну

вразливість?
Наприклад відсутність заборон на системні папки та файли, повний доступ для
неадміністративних користувачів або груп

6. Рівні цілісності суб’єктів і об’єктів

Ми можемо задавати різні рівні цілісності
1) Лов
2) медиуд
3) великий
4) Система

7. Квоти дискового простору. Керування квотами.

Їх використовуються для обмеження кількості дискового простору
Керування квотами

8. Параметри аудиту. Події, що реєстуються. Журнали аудиту. Налаштування та

перевірка аудиту ФС.
Параметри аудиту

Події, що реєстуються
 1) Спроби входу та виходу
2) Зміни в системній конфігурації
3) Доступ до файлів та папок
4) Створення, модифікація чи видалення об'єктів
5) Інші системні події
Журнали аудиту

Налаштування та перевірка аудиту ФС

9. Налаштування параметрів політики безпеки ОС в цілому.
1) Робота з політиками облікового запису

2) Робота з політиками локальної політики

3) Робота з політиками користувача Windows
4) Налаштування політик аудиту

5) Налаштування опцій безпеки

10. Сформулюйте (письмово) політику доступу для вашої ОС.
1) Права доступу
2) Політика паролів
3) Політика аудиту
4) Політика виключних ситуацій
11. Використовуючи утиліти автоматичної перевірки захищеності системи (наприклад,
WinPeas, Microsoft Security Compliance Toolkit, Microsoft Baseline Security Analyzer
(MBSA) ) дізнайтеся про можливі вразливості у встановлених програмних продуктах,
налаштуваннях, правах доступу тощо. Опишіть методику перевірки захищеності
системи, яку вони використовують.

Методики які використовує WinPeas:

Інфа про систему
Запущені процеси
Встановлене ПЗ
Автозапуск
Конф. Безпеки
Записи юзерів
Дозволи на каталоги та файли
Дозволи реєстру
З'єднання та мережеві ресурси