Zarządzanie dostępem do zasobów
description
Transcript of Zarządzanie dostępem do zasobów
Zarządzanie dostępem do
zasobów
Koło Nowych Technologii PJWSTK
Po zrealizowaniu tego laboratorium uczestnik będzie potrafił:
Tworzyć grupy.
Konfigurować zabezpieczenia za pomocą uprawnień NTFS.
Konfigurować zabezpieczenia za pomocą uprawnień udziału sieciowego.
Konfigurować ustawienia trybu offline.
Wprowadzenie do labolatorium
Kontrola dostępu w systemie W2k3 Co to są uprawnienia? Co to są uprawnienia standardowe oraz specjalne?
Stany uprawnień
Podstawy zarządzania dostępem do zasobów
Obiekty zabezpieczeń Obiektem zabezpieczeń jest konto, które może zostać uwierzytelnione. Identyfikator zabezpieczeń SID (Security identifier) Identyfikator SID jest to alfanumeryczny ciąg znaków, który
generowany jest podczas tworzenia nowego konta i który w sposób unikalny identyfikuje obiekt zabezpieczeń.
Lista arbitralnej kontroli dostępu DACL (Discretionary Access Control List)
Z każdym zasobem skojarzona jest lista DACL, która wskazuje na użytkowników i grupy, którym zezwolono bądź zabroniono dostępu do tego zasobu.
Wpis kontroli dostępu ACE (Access Control Entry) Lista DACL zawiera wiele wpisów ACE. Każdy wpis ACE wskazuje
identyfikator SID, uprawnienia specjalne, informacje o dziedziczeniu oraz stan uprawnienia Allow lub Deny.
Kontrola dostępu w W2k3
Kontrola dostępu w W2k3
Podmioty zabezpieczeń
Identyfikatory zabezpieczeń
Listy poufnych danych kontroli dostępu
Kontrola dostępu w W2k3
Identyfikator SID jest strukturą alfanumeryczną i generowany jest w trakcie tworzenia konta.
Mechanizmy kontroli dostępu w W2k3 identyfikująpodmioty zabezpieczeń poprzez SID, nie przez nazwę.
Przykładowo, jeśli przypadkowo usuniemy konto komputera, a następnie utworzymy konto o tej samej nazwie, dla konta tego zostanie wygenerowany nowy identyfikator SID.
Nowe konto ma identyczną nazwę, ale nie posiada uprawnień, które były przypisane dostarego konta. Uprawnienia są bowiempowiązane z identyfikatorem SID.
Więcej informacji na temat kontroli dostępu znajduje się w dokumencie "Access Control Components" dostępnym w sieci Web pod adresem:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/security/security/access_control_components.asp
Informacje uzupełniające
Uprawnienia określają poziom dostępu do obiektu udzielony użytkownikowi, grupie lub komputerowi
Uprawnienia stosuje się do obiektów takich jak: pliki, foldery, udostępnione foldery i drukarki
Uprawnienia można przypisać użytkownikom i grupom w usłudze Active Directory lub na komputerze lokalnym
Co to są uprawnienia?
Co to są uprawnienia standardowe oraz specjalne?
Uruchom ćwiczenie permissions.html z folderu Ćwiczenie
Ćwiczenie – Stany uprawnień
Po zrealizowaniu tej lekcji uczestnik będzie potrafił: ◦ Wyjaśnić co to są udostępnione foldery◦ Wyjaśnić co to są foldery udostępnione dla potrzeb
administracyjnych◦ Określić wymagania dla folderów udostępnionych. ◦ Udostępnić folder◦ Wyjaśnić, co to są opublikowane foldery udostępnione◦ Opublikować folder udostępniony◦ Wyjaśnić, co to są uprawnienia do folderu udostępnionego◦ Ustawić uprawnienia do folderu udostępnionego◦ Podłączyć się do folderu udostępnionego
Zarządzanie dostępem do folderów współdzielonych
Kopiowanie folderu udostępnionego◦ Orginalny folder zostanie udostępniony, ale jego
kopia udostępniona nie będzie Przenoszenie folderu udostępnionego
◦ Folder nie będzie udostępniony Ukrywanie folderu udostępnionego
◦ Na końcu nazwy udziału należy umieścić znak $◦ Użytkownicy otrzymują dostęp przez wpisanie
ścieżki UNC, np.: \\serwer\sekrety$
Co to są foldery udostępnione?
Standardowo przy udostępnieniu folderu nadawane jest uprawnienie Read dla grupy Everyone
Jakie foldery udostępniane są dla potrzeb administracyjnych?
Kontroler domeny Windows Server 2003◦ Grupa Administrators◦ Grupa Server Operators
Serwer członkowski lub wolnostojący pracujący pod kontrolą systemu W2k3◦ Grupa Administrators◦ Grupa Power Users
Kto może udostępniać foldery?
W jaki sposób udostępnić folder?
Przy wykorzystaniu konsoli Computer Management
Przy wykorzystaniu Windows Explorer
Polecenie net share
Opublikowany folder udostępniony to obiekt folderu udostępnionego w usłudze Active Directory
Użytkownicy mogą wyszukiwać w usłudze Active Directory opublikowane foldery udostępnione
Użytkownicy nie muszą znać nazwy serwera, aby połączyć się do udostępnionego folderu
Co to są opublikowane foldery udostępnione?
W jaki sposób opublikować obiekt udostępniony?
Co to jest NTFS? Uprawnienia NTFS do plików i folderów Wpływ kopiowania i przenoszenia plików i
folderów na uprawnienia NTFS Co to jest dziedziczenie uprawnień NTFS W jaki sposób usunąć lub skopiować
dziedziczone uprawnienia? Porady dotyczące zarządzaniem dostępem do
plików i folderów za pomocą uprawnień NTFS W jaki sposób zarządzać uprawnieniami NTFS?
Zarządzanie dostępem do plików i folderów za pomocą uprawnień NTFS
Zalety NTFS:◦Zabezpieczenia na poziomie pliku i
folderu◦Niezawodność◦Udoskonalone zarządzanie
przechowywanymi danymi◦Uprawnienia wielokrotne dla
użytkowników
Co to jest NTFS?
Uprawnienia NTFS do pliku i folderu
W jaki sposób skopiować lub usunąć dziedziczone uprawnienia?
Porady dotyczące zarządzania dostępem do plików i folderów za pomocą uprawnień NTFS
Co to są czynne uprawnienia NTFS? W jaki sposób określić czynne uprawnienia
NTFS? Lączenie uprawnień do folderu
udostępnianego i uprawnień NTFS W jaki sposób określić efektywne
uprawnienia złożone z uprawnień do folderu udostępnionego i uprawnień NTFS?
Określanie uprawnień efektywnych
Uprawnienia mogą być łączone Uprawnienia do pliku są silniejsze niż
uprawnienia do folderu Uprawnienia w trybie Deny nadpisują
wszystkie pozostałe uprawnienia Uprawnienie Take ownership
Co to są czynne uprawnienia?
W jaki sposób określić czynne uprawnienia NTFS do plików i folderów?
Co to są pliki trybu offline? W jaki sposób pliki trybu offline są
synchronizowane? Opcje buforowania plików w trybie offline W jaki sposób włączyć buforowanie plików w
trybie offline?
Zarządzanie dostępem do współdzielonych plików za pomocą ustawień trybu offline
Pliki trybu offline pełnią ważną funkcję w zarządzaniu dokumentami, pozwalając użytkownikowi na spójny dostęp do plików zarówno w trybie online jak i offline
Zalety korzystania z plików w trybie offline:◦ Obsługa użytkowników mobilnych◦ Automatyczna synchronizacja◦ Wzrost wydajności◦ Ułatwienie tworzenia kopii zapasowych
Co to są pliki trybu offline?
W jaki sposób pliki trybu offline są synchronizowane?
Opcje buforowania plików w trybie offline
Konsola Computer Management Program Windows Explorer
W jaki sposób można włączyć buforowanie plików offline
Połączenie z udostępnionym udziałem:
Z punktu widzenia hakera najciekawszy jest, umożliwiający wymianę danych pomiędzy programami poprzez potoki nazwane, udział IPC$. ◦ udział ten jest dostępny we wszystkich systemach Windows, ◦ jego zablokowanie uniemożliwia nie tylko działanie wielu programów ale
również zdalne zarządzanie systemem i przeglądanie jego zasobów, ◦ domyślnie prawo nawiązania podłączania z tym udziałem jest przyznane
anonimowemu użytkownikowi (nie dotyczy to systemu Windows 2003),◦ istniejący interfejs Win API umożliwia pobieranie wielu cennych
informacji o systemie i kontach użytkowników poprzez sesje SMB,◦ nawiązanie pustej sesji jest jedną z najpopularniejszych technik
gromadzenia przydatnych podczas ataku na systemy Windows danych.
Ciekawostki
Kolejny listing pokazuje sposób nawiązania pustej sesji ze zdalnym systemem Windows. Po uwierzytelnieniu w zdalnym systemie jako użytkownik anonimowy (opcja /u: "") z pustym hasłem ("") możemy np. wyświetlić udostępniane przez ten komputer zasoby.
Ciekawostki
Informacje o kontach użyszkodników
USERINFO.EXE
Kto jest administratorem?WHOISADMIN.EXE
Identyfikatory SID
Konto administratora, niezależnie od nazwy, zawsze ma identyfikator RID równy 500, a konto gościa — 501. Konta pozostałych użytkowników mają identyfikatory RID powyżej 1000. RID grupy administratorzy domeny wynosi512 a grupy Goście — 514. Anonimowy użytkownik maidentyfikatory SID S-1-0 (puste konto) i S-1-00 (Nikt).
Wiedząc, że identyfikator użytkownika składa się z identyfikatora komputera uzupełnionego o trzycyfrowy identyfikator RID, haker może wyświetlić nazwy wszystkich kont użytkowników zdalnego systemu:
Identyfikatory SID
zdobycie nazw kont użytkowników
Kiedy użytkownik zmieniał hasło?
W systemach Windows XP i 2003 konto anonimowego użytkownika nie należy do grupy specjalnej Wszyscy. W rezultacie anonimowy użytkownik ma dostęp tylko do tych zasobów systemu do których został mu on jawnie nadany przez administratora. Jeżeli na liście ACL obiektu nie znajduje się identyfikator zabezpieczeń anonimowego użytkownika, próba uzyskania przez niego dostępu do danego obiektu zakończy się zgłoszeniem komunikatu błędu.
Zmiana domyślnej konfiguracji systemu operacyjnego poprawiła jego bezpieczeństwo, szczególnie że:
1.Nie wszyscy administratorzy byli świadomi faktu przynależności anonimowego użytkownika do grupy specjalnej Wszyscy,
2.We wcześniejszych wersjach system Windows (w szczególności w systemie Windows NT) grupa Wszyscy miała domyślnie nadane liczne uprawnienia do obiektów systemowych,
3.Anonimowy użytkownik nie ma domyślnie żadnych praw — jeżeli jakieś zasoby mają być dla niego dostępne, administrator musi zmodyfikować listę ACL tych zasobów.
Anonimowy użytkownik
W opisywanych systemach konto anonimowego użytkownika należy jedynie do następujących grup specjalnych:
Zawierającej konta użytkowników i usług, które mogą uzyskać dostęp do komputera i jego zasobów za pośrednictwem sieci, bez używania nazwy konta i hasła grupy Logowanie anonimowe,
Użytkowników, którzy w danym momencie korzystają z jakiegoś zasobu za pośrednictwem sieci grupy Sieć — typowa sytuacja,
Zawierającej konta wszystkich użytkowników, którzy w danym momencie są zalogowani na określonym komputerze i korzystają z jakiegoś jego zasobu grupy Interakcyjni — bardzo rzadka i wymagająca zmiany domyślnej konfiguracji systemu sytuacja.
Anonimowy użytkownik - 2
W celu zachowania kompatybilności z systemami Windows NT konto użytkownika anonimowego może być dodane do grupy specjalnej Dostęp zgodny z systemami starszymi niż Windows 2000. Operacja taka zostaje przeprowadzana automatycznie podczas:
1. Wybrania podczas konfiguracji kontrolera domeny opcji Uprawnienia zgodne z serwerami systemów starszych niż systemy operacyjne Windows 2000 (rysunek 3.),
2. Aktualizacji serwera Windows 2000 do wersji 2003.
Anonimowy użytkownik - 3
Wdrażanie usług drukowania i zarządzanie Zarządzanie dostęp do obiektów w OU Wdrażanie zasad grupy Zarządzanie środowiskiem pracy
użytkownika za pomocą zasad grupy Wdrażanie szablonów zabezpieczeń i zasad
inspekcji
Plan na następne zajęcia: Zarządzanie środowiskiem systemu Windows Server 2003
Pytania ?
DZIĘKUJĘ ZA UWAGĘ
PIOTR PAWLIK