zarz dzanie dost pem do zasob w n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Zarządzanie dostępem do zasobów PowerPoint Presentation
Download Presentation
Zarządzanie dostępem do zasobów

Loading in 2 Seconds...

play fullscreen
1 / 53

Zarządzanie dostępem do zasobów - PowerPoint PPT Presentation


  • 105 Views
  • Uploaded on

Zarządzanie dostępem do zasobów. Koło Nowych Technologii PJWSTK. Wprowadzenie do labolatorium. Po zrealizowaniu tego laboratorium uczestnik będzie potrafił: Tworzyć grupy. Konfigurować zabezpieczenia za pomocą uprawnień NTFS.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Zarządzanie dostępem do zasobów' - biana


Download Now An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
zarz dzanie dost pem do zasob w

Zarządzanie dostępem do zasobów

Koło Nowych Technologii PJWSTK

wprowadzenie do labolatorium
Wprowadzenie do labolatorium
  • Po zrealizowaniu tego laboratorium uczestnik będzie potrafił:
  • Tworzyć grupy.
  • Konfigurować zabezpieczenia za pomocą uprawnień NTFS.
  • Konfigurować zabezpieczenia za pomocą uprawnień udziału sieciowego.
  • Konfigurować ustawienia trybu offline.
podstawy zarz dzania dost pem do zasob w
Podstawy zarządzania dostępem do zasobów
  • Kontrola dostępu w systemie W2k3
  • Co to są uprawnienia?
  • Co to są uprawnienia standardowe oraz specjalne?
  • Stany uprawnień
kontrola dost pu w w2k3
Kontrola dostępu w W2k3
  • Obiekty zabezpieczeń
  • Obiektem zabezpieczeń jest konto, które może zostać uwierzytelnione.
  • Identyfikator zabezpieczeń SID (Security identifier)
  • Identyfikator SID jest to alfanumeryczny ciąg znaków, który generowany jest podczas tworzenia nowego konta i który w sposób unikalny identyfikuje obiekt zabezpieczeń.
  • Lista arbitralnej kontroli dostępu DACL (Discretionary Access Control List)
  • Z każdym zasobem skojarzona jest lista DACL, która wskazuje na użytkowników i grupy, którym zezwolono bądź zabroniono dostępu do tego zasobu.
  • Wpis kontroli dostępu ACE (Access ControlEntry)
  • Lista DACL zawiera wiele wpisów ACE. Każdy wpis ACE wskazuje identyfikator SID, uprawnienia specjalne, informacje o dziedziczeniu oraz stan uprawnienia Allow lub Deny.
slide8

Identyfikator SID jest strukturą alfanumeryczną

i generowany jest w trakcie tworzenia konta.

Mechanizmy kontroli dostępu w W2k3 identyfikują

podmioty zabezpieczeń poprzez SID, nie przez nazwę.

slide9

Przykładowo, jeśli przypadkowo usuniemy konto komputera, a następnie utworzymy konto o tej samej nazwie, dla konta tego zostanie wygenerowany nowy identyfikator SID.

Nowe konto ma identyczną nazwę, ale nie

posiada uprawnień, które były przypisane do

starego konta. Uprawnienia są bowiem

powiązane z identyfikatorem SID.

informacje uzupe niaj ce
Informacje uzupełniające
  • Więcej informacji na temat kontroli dostępu znajduje się w dokumencie "Access ControlComponents" dostępnym w sieci Web pod adresem:
  • http://msdn.microsoft.com/library/default.asp?url=/library/en-us/security/security/access_control_components.asp
co to s uprawnienia
Co to są uprawnienia?
  • Uprawnienia określają poziom dostępu do obiektu udzielony użytkownikowi, grupie lub komputerowi
  • Uprawnienia stosuje się do obiektów takich jak: pliki, foldery, udostępnione foldery i drukarki
  • Uprawnienia można przypisać użytkownikom i grupom w usłudze ActiveDirectory lub na komputerze lokalnym
wiczenie stany uprawnie
Ćwiczenie – Stany uprawnień
  • Uruchom ćwiczenie permissions.html

z folderu Ćwiczenie

zarz dzanie dost pem do folder w wsp dzielonych
Zarządzanie dostępem do folderów współdzielonych
  • Po zrealizowaniu tej lekcji uczestnik będzie potrafił:
    • Wyjaśnić co to są udostępnione foldery
    • Wyjaśnić co to są foldery udostępnione dla potrzeb administracyjnych
    • Określić wymagania dla folderów udostępnionych.
    • Udostępnić folder
    • Wyjaśnić, co to są opublikowane foldery udostępnione
    • Opublikować folder udostępniony
    • Wyjaśnić, co to są uprawnienia do folderu udostępnionego
    • Ustawić uprawnienia do folderu udostępnionego
    • Podłączyć się do folderu udostępnionego
co to s foldery udost pnione
Co to są foldery udostępnione?
  • Kopiowanie folderu udostępnionego
    • Orginalny folder zostanie udostępniony, ale jego kopia udostępniona nie będzie
  • Przenoszenie folderu udostępnionego
    • Folder nie będzie udostępniony
  • Ukrywanie folderu udostępnionego
    • Na końcu nazwy udziału należy umieścić znak $
    • Użytkownicy otrzymują dostęp przez wpisanie ścieżki UNC, np.: \\serwer\sekrety$

Standardowo przy udostępnieniu folderu nadawane jest

uprawnienie Read dla grupy Everyone

kto mo e udost pnia foldery
Kto może udostępniać foldery?
  • Kontroler domeny Windows Server 2003
    • Grupa Administrators
    • Grupa Server Operators
  • Serwer członkowski lub wolnostojący pracujący pod kontrolą systemu W2k3
    • Grupa Administrators
    • Grupa Power Users
co to s opublikowane foldery udost pnione
Co to są opublikowane foldery udostępnione?
  • Opublikowany folder udostępniony to obiekt folderu udostępnionego w usłudze ActiveDirectory
  • Użytkownicy mogą wyszukiwać w usłudze ActiveDirectory opublikowane foldery udostępnione
  • Użytkownicy nie muszą znać nazwy serwera, aby połączyć się do udostępnionego folderu
zarz dzanie dost pem do plik w i folder w za pomoc uprawnie ntfs
Zarządzanie dostępem do plików i folderów za pomocą uprawnień NTFS
  • Co to jest NTFS?
  • Uprawnienia NTFS do plików i folderów
  • Wpływ kopiowania i przenoszenia plików i folderów na uprawnienia NTFS
  • Co to jest dziedziczenie uprawnień NTFS
  • W jaki sposób usunąć lub skopiować dziedziczone uprawnienia?
  • Porady dotyczące zarządzaniem dostępem do plików i folderów za pomocą uprawnień NTFS
  • W jaki sposób zarządzać uprawnieniami NTFS?
co to jest ntfs
Co to jest NTFS?
  • Zalety NTFS:
    • Zabezpieczenia na poziomie pliku i folderu
    • Niezawodność
    • Udoskonalone zarządzanie przechowywanymi danymi
    • Uprawnienia wielokrotne dla użytkowników
porady dotycz ce zarz dzania dost pem do plik w i folder w za pomoc uprawnie ntfs
Porady dotyczące zarządzania dostępem do plików i folderów za pomocą uprawnień NTFS
okre lanie uprawnie efektywnych
Określanie uprawnień efektywnych
  • Co to są czynne uprawnienia NTFS?
  • W jaki sposób określić czynne uprawnienia NTFS?
  • Lączenie uprawnień do folderu udostępnianego i uprawnień NTFS
  • W jaki sposób określić efektywne uprawnienia złożone z uprawnień do folderu udostępnionego i uprawnień NTFS?
co to s czynne uprawnienia
Co to są czynne uprawnienia?
  • Uprawnienia mogą być łączone
  • Uprawnienia do pliku są silniejsze niż uprawnienia do folderu
  • Uprawnienia w trybie Deny nadpisują wszystkie pozostałe uprawnienia
  • Uprawnienie Takeownership
zarz dzanie dost pem do wsp dzielonych plik w za pomoc ustawie trybu offline
Zarządzanie dostępem do współdzielonych plików za pomocą ustawień trybu offline
  • Co to są pliki trybu offline?
  • W jaki sposób pliki trybu offline są synchronizowane?
  • Opcje buforowania plików w trybie offline
  • W jaki sposób włączyć buforowanie plików w trybie offline?
co to s pliki trybu offline
Co to są pliki trybu offline?
  • Pliki trybu offline pełnią ważną funkcję w zarządzaniu dokumentami, pozwalając użytkownikowi na spójny dostęp do plików zarówno w trybie online jak i offline
  • Zalety korzystania z plików w trybie offline:
    • Obsługa użytkowników mobilnych
    • Automatyczna synchronizacja
    • Wzrost wydajności
    • Ułatwienie tworzenia kopii zapasowych
w jaki spos b mo na w czy buforowanie plik w offline
W jaki sposób można włączyć buforowanie plików offline
  • Konsola ComputerManagement
  • Program Windows Explorer
ciekawostki
Ciekawostki
  • Połączenie z udostępnionym udziałem:

Z punktu widzenia hakera najciekawszy jest, umożliwiający wymianę danych pomiędzy programami poprzez potoki nazwane, udział IPC$.

    • udział ten jest dostępny we wszystkich systemach Windows,
    • jego zablokowanie uniemożliwia nie tylko działanie wielu programów ale również zdalne zarządzanie systemem i przeglądanie jego zasobów,
    • domyślnie prawo nawiązania podłączania z tym udziałem jest przyznane anonimowemu użytkownikowi (nie dotyczy to systemu Windows 2003),
    • istniejący interfejs Win API umożliwia pobieranie wielu cennych informacji o systemie i kontach użytkowników poprzez sesje SMB,
    • nawiązanie pustej sesji jest jedną z najpopularniejszych technik gromadzenia przydatnych podczas ataku na systemy Windows danych.
ciekawostki1
Ciekawostki
  • Kolejny listing pokazuje sposób nawiązania pustej sesji ze zdalnym systemem Windows. Po uwierzytelnieniu w zdalnym systemie jako użytkownik anonimowy (opcja /u: "") z pustym hasłem ("") możemy np. wyświetlić udostępniane przez ten komputer zasoby.
identyfikatory sid
Identyfikatory SID

Konto administratora, niezależnie od nazwy, zawsze ma

identyfikator RID równy 500, a konto gościa — 501.

Konta pozostałych użytkowników mają identyfikatory RID

powyżej 1000. RID grupy administratorzy domeny wynosi

512 a grupy Goście — 514. Anonimowy użytkownik ma

identyfikatory SID S-1-0 (puste konto) i S-1-00 (Nikt).

identyfikatory sid1
Identyfikatory SID
  • Wiedząc, że identyfikator użytkownika składa się z identyfikatora komputera uzupełnionego o trzycyfrowy identyfikator RID, haker może wyświetlić nazwy wszystkich kont użytkowników zdalnego systemu:
anonimowy u ytkownik
Anonimowy użytkownik
  • W systemach Windows XP i 2003 konto anonimowego użytkownika nie należy do grupy specjalnej Wszyscy. W rezultacie anonimowy użytkownik ma dostęp tylko do tych zasobów systemu do których został mu on jawnie nadany przez administratora. Jeżeli na liście ACL obiektu nie znajduje się identyfikator zabezpieczeń anonimowego użytkownika, próba uzyskania przez niego dostępu do danego obiektu zakończy się zgłoszeniem komunikatu błędu.

Zmiana domyślnej konfiguracji systemu operacyjnego poprawiła jego bezpieczeństwo, szczególnie że:

  • 1.Nie wszyscy administratorzy byli świadomi faktu przynależności anonimowego użytkownika do grupy specjalnej Wszyscy,
  • 2.We wcześniejszych wersjach system Windows (w szczególności w systemie Windows NT) grupa Wszyscy miała domyślnie nadane liczne uprawnienia do obiektów systemowych,
  • 3.Anonimowy użytkownik nie ma domyślnie żadnych praw — jeżeli jakieś zasoby mają być dla niego dostępne, administrator musi zmodyfikować listę ACL tych zasobów.
anonimowy u ytkownik 2
Anonimowy użytkownik - 2
  • W opisywanych systemach konto anonimowego użytkownika należy jedynie do następujących grup specjalnych:
  • Zawierającej konta użytkowników i usług, które mogą uzyskać dostęp do komputera i jego zasobów za pośrednictwem sieci, bez używania nazwy konta i hasła grupy Logowanie anonimowe,
  • Użytkowników, którzy w danym momencie korzystają z jakiegoś zasobu za pośrednictwem sieci grupy Sieć — typowa sytuacja,
  • Zawierającej konta wszystkich użytkowników, którzy w danym momencie są zalogowani na określonym komputerze i korzystają z jakiegoś jego zasobu grupy Interakcyjni — bardzo rzadka i wymagająca zmiany domyślnej konfiguracji systemu sytuacja.
anonimowy u ytkownik 3
Anonimowy użytkownik - 3
  • W celu zachowania kompatybilności z systemami Windows NT konto użytkownika anonimowego może być dodane do grupy specjalnej Dostęp zgodny z systemami starszymi niż Windows 2000. Operacja taka zostaje przeprowadzana automatycznie podczas:
  • 1. Wybrania podczas konfiguracji kontrolera domeny opcji Uprawnienia zgodne z serwerami systemów starszych niż systemy operacyjne Windows 2000 (rysunek 3.),
  • 2. Aktualizacji serwera Windows 2000 do wersji 2003.
plan na nast pne zaj cia zarz dzanie rodowiskiem systemu windows server 2003
Plan na następne zajęcia: Zarządzanie środowiskiem systemu Windows Server 2003
  • Wdrażanie usług drukowania i zarządzanie
  • Zarządzanie dostęp do obiektów w OU
  • Wdrażanie zasad grupy
  • Zarządzanie środowiskiem pracy użytkownika za pomocą zasad grupy
  • Wdrażanie szablonów zabezpieczeń i zasad inspekcji
pytania
Pytania ?

Dziękuję za uwagę

Piotr pawlik