ZAJĘCIA 5 - ZAKRES PRAC I MATERIAŁY POMOCNICZE

ZAKRES PRAC

1. Wdrażanie zasad zabezpieczeń dla serwera autonomicznego (samodzielnego) z systemem Windows Server 2003. Część II

1. Szablony zabezpieczeń

1. Eksportowanie (Export List) wybranej listy wpisów dotyczących ustaleń w Local Computer Policy

2. Tworzenie kopii - eksportowanie (Export Policy) - aktualnych lokalnych ustawień zabezpieczeń komputera przy użyciu konsoli MMC

3. Tworzenie kopii - eksportowanie - aktualnych lokalnych ustawień zabezpieczeń komputera przy użyciu narzędzia secedit.exe - wykorzystanie jednej z opcji narzędzia będącej odpowiednikiem Export Policy w GUI

4. Tworzenie własnego, nowego szablonu zabezpieczeń

5. Analiza i konfiguracja zasad bezpieczeństwa komputera przy użyciu szablonu zabezpieczeń

6. Przywracanie lokalnych ustawień zabezpieczeń przy zastosowaniu wcześniej zapisanego wzorca

2. Uprawnienia do plików i folderów wynikające ze stosowania systemu plików NTFS

1. Dokonywanie przeglądu, modyfikacji i usuwania uprawnień do folderów przy użyciu GUI i polecenia cacls

2. Usuwanie domyślnych i definiowanie własnych uprawnień NTFS do folderów

3. Modyfikacja uprawnienia własności do foldera, przejmowanie na własność przy użyciu narzędzia GUI i takeown

4. Wpływ operacji kopiowania i przenoszenia foldera na kwestie dziedziczenia uprawnień

5. Uzyskiwanie informacji o uprawnieniach do obiektu z zastosowaniem narzędzia Effective Permissions Tool (Narzędzie Czynne Uprawnienia)

3. Konfigurowanie ustawień Zasad inspekcji (Auditing policy) i ich implementowanie

4. Dziennik zdarzeń (Event Viewer)

Liczba ćwiczeń: 19

MATERIAŁY POMOCNICZE

• Wybrane informacje dotyczące zagadnień realizowanych podczas ćwiczeń

1. Szablony zabezpieczeń

Za pomocą przystawki Szablony zabezpieczeń (Security Templates) dla konsoli Microsoft Management Console można tworzyć zasady zabezpieczeń dla komputera lub sieci. Jest to pojedynczy punkt wprowadzania, gdzie można brać pod uwagę pełny zakres zabezpieczeń. Przystawka Security Templates nie wprowadza nowych parametrów zabezpieczeń, a tylko organizuje wszystkie istniejące atrybuty zabezpieczeń w jednym miejscu, co ułatwia administrowanie zabezpieczeniami.

Importowanie szablonu zabezpieczeń do obiektu zasad grupy upraszcza administrowanie domeną, ponieważ wystarczy tylko raz skonfigurować zabezpieczenia dla domeny lub jednostki organizacyjnej.


Aby zastosować szablon zabezpieczeń do komputera lokalnego, można użyć przystawki Security configuration and analysis (Konfiguracja i analiza zabezpieczeń) lub narzędzia wiersza polecenia Secedit.

Szablony zabezpieczeń mogą być używane do określania następujących obszarów zabezpieczeń:

• Account Policies (Zasady kont):

• Password Policy (Zasady haseł)

• Account Lockout Policy (Zasady blokady konta)

• Kerberos Policy (Zasady protokołu Kerberos)

• Local Policies (Zasady lokalne):

• Audit Policy (Zasady inspekcji)

• User Rights Assignment (Przypisywanie praw użytkownika)

• Security Options (Opcje zabezpieczeń)

• Event Log (Dziennik zdarzeń): Application, system, and security Event Log settings (Ustawienia aplikacji, systemu i dziennika zdarzeń zabezpieczeń)

• Restricted Groups (Grupy z ograniczeniami): Membership of security-sensitive groups (Członkostwo w grupach zabezpieczeń)

• System Services (Usługi systemowe): Startup and permissions for system services (Tryby uruchomienia i uprawnienia usług systemowych)

• Registry (Rejestr): Permissions for registry keys (Uprawnienia do kluczy Rejestru)

• File System (System plików): Permissions for folders and files (Uprawnienia do folderów i plików)

Każdy szablon jest zapisany jako tekstowy plik *.inf. Pozwala to na kopiowanie, wklejanie, importowanie lub eksportowanie niektórych lub wszystkich atrybutów szablonu. W szablonie zabezpieczeń mogą być zawarte wszystkie atrybuty zabezpieczeń z wyjątkiem zasad zabezpieczeń protokołu internetowego i zasad kluczy publicznych.


1. Nowe i wstępnie zdefiniowane szablony

Wszystkie systemy z rodziny MS Windows Server 2003 oraz system MS Windows XP (również MS Windows 2000) zawierają zbiór wstępnie zdefiniowanych szablonów utworzonych dla różnych poziomów zabezpieczeń stosowanych w firmach.

Istnieje kilka wstępnie zdefiniowanych szablonów zabezpieczeń, które mogą pomóc w zabezpieczeniu systemu, w zależności od konkretnych potrzeb. Te szablony pozwalają na:

• Ponowne zastosowanie ustawień domyślnych.

• Zaimplementowanie środowiska o wysokim poziomie zabezpieczeń.

• Zaimplementowanie środowiska mniej bezpiecznego, ale bardziej zgodnego.

• Zabezpieczanie głównego katalogu systemowego.

W rodzinie MS Windows Server 2003 SP 1występują następujące szablony zabezpieczeń:

• Default security (Setup security.inf) - (Zabezpieczenia domyślne)

• Domain controller default security (DC security.inf) - (Domyślne zabezpieczenia kontrolera domeny)

• Compatible (Compatws.inf) - (Szablon zgodny)

• Secure (Secure*.inf) - (Szablony bezpieczne)

• Highly Secure (hisec*.inf) - (Szablony bardzo bezpieczne)

• System root security (Rootsec.inf) - (Zabezpieczenia katalogu głównego systemu)

• No Terminal Server user SID (Notssid.inf) - (Brak identyfikatora SID serwera terminali)

• Iesacls.inf - (Dodatkowe wzmocnienie restrykcyjnych ustawień Internet Explorer)

UWAGA:

• Te szablony zabezpieczeń opracowano przy założeniu, że będą one stosowane do komputerów, na których używane są domyślne ustawienia zabezpieczeń. Innymi słowy, szablony te modyfikują domyślne ustawienia zabezpieczeń, jeśli są one określone na komputerze. Nie instalują one domyślnych ustawień przed wprowadzeniem modyfikacji.

• Wstępnie zdefiniowane szablony zabezpieczeń nie powinny być stosowane do systemów produkcyjnych bez przetestowania, które zapewni, że dla architektury sieci i systemu określono odpowiedni poziom funkcjonalności aplikacji.

Więcej szczegółów dotyczących poszczególnych, wstępnie zdefiniowanych szablonów zabezpieczeń, znajduje się w plikach \zaj5\Docs\Wstepnie_zdefiniowane_szablony_zabezpieczen.doc - wersja polskojęzyczna i \zaj5\Docs\Predefined_security_templates.doc- wersja angielskojęzyczna.

Poniżej, dla przykładu, podano krótki opis szablonów Setup security.inf i Rootsec.inf.

Default security template (Szablon zabezpieczeń domyślnych) (Setup security.inf)
Podczas instalacji na każdym komputerze jest tworzony szablon Setup security.inf. Może być on różny na różnych komputerach w zależności od tego, czy instalacja miała charakter instalacji „czystej” czy uaktualnienia. Szablon Setup security.inf zawiera domyślne ustawienia zabezpieczeń stosowane podczas instalowania systemu operacyjnego, w tym uprawnienia do plików dla katalogu głównego dysku systemowego. Może on być wykorzystywany na serwerach i komputerach klienckich, ale nie może być używany na kontrolerach domen. Fragmenty szablonu można wydzielać dla celów odzyskiwania po awarii.

Szablonu Setup security.inf nigdy nie należy stosować przy użyciu przystawki Group Policy (Zasady grupy). Zawiera on bardzo duże ilości danych i jego stosowanie przy użyciu tej przystawki może spowodować znaczne obciążenie komputera, ponieważ zasady są okresowo odświeżane, w związku z czym w domenie byłyby przesyłane znaczne ilości danych.

Zaleca się, aby szablon Setup security.inf był stosowany fragmentami. Ponieważ taką możliwość zapewnia narzędzie wiersza polecenia (secedit.exe), zalecane jest korzystanie właśnie z niego.

System root security template (Zabezpieczenia katalogu głównego systemu) (Rootsec.inf)

Szablon Rootsec.inf określa uprawnienia na poziomie katalogu głównego. Domyślnie szablon Rootsec.inf określa te uprawnienia dla katalogu głównego dysku systemowego. Ten szablon może być używany w celu ponownego zastosowania uprawnień dostępu do katalogu głównego, jeśli zostaną one przypadkowo zmienione. Można go również zmodyfikować, aby te same uprawnienia dostępu do katalogu głównego zastosować do innych woluminów. Szablon ten nie zastępuje uprawnień wyraźnie określonych dla obiektów podrzędnych; propaguje on jedynie te uprawnienia, które są dziedziczone przez obiekty podrzędne.

1. Opcje zabezpieczeń (Security Options)

W konsoli Local Security Policy - Local Policies - Security Options znajdują się różne opcje, pogrupowane w poszczególne kategorie.

Listę dostępnych opcji zabezpieczeń, pogrupowanych w poszczególnych kategoriach, zawiera plik \zaj5\Docs\Security_options_opcje_zabezpieczen.doc.

Dla przykładu, można tu wymienić m.in.:

• Interactive logon: Do not require CTRL+ALT+DEL
  Logowanie interakcyjne: nie wymagaj naciśnięcia klawiszy CTRL+ALT+DEL

• Shutdown: Allow system to be shut down without having to log on
  Zamknięcie: zezwalaj na zamykanie systemu bez konieczności zalogowania

1. Prawa użytkowników (User Rights)

Administratorzy mogą przypisywać kontom grup lub kontom poszczególnych użytkowników specjalne prawa. Prawa te upoważniają użytkowników do wykonywania określonych działań.. Prawa użytkowników różnią się od uprawnień, ponieważ prawa użytkowników dotyczą kont użytkowników, podczas gdy uprawnienia są dołączone do obiektów. Prawa użytkowników określają ich możliwości na poziomie lokalnym. Chociaż prawa użytkowników można stosować do poszczególnych kont użytkowników, najlepiej administrować nimi przy użyciu grup. Zapewnia to, że użytkownik logujący się jako członek jakiejś grupy automatycznie dziedziczy prawa skojarzone z tą grupą. Przypisywanie praw użytkowników grupom, a nie użytkownikom, upraszcza zadanie administrowania kontami użytkowników. Jeśli wszyscy użytkownicy należący do grupy muszą mieć takie same prawa użytkowników, wystarczy raz przypisać odpowiednie prawa całej grupie, zamiast przypisywać je po kolei wszystkim kontom użytkowników.

Prawa użytkowników przypisane grupie są stosowane do wszystkich członków grupy, dopóki pozostają jej członkami. Jeśli użytkownik jest członkiem wielu grup, jego prawa użytkownika kumulują się, co oznacza, że użytkownik ma więcej niż jeden zestaw praw. Jedyna sytuacja, w której prawa przypisane jednej grupie mogą kolidować z prawami przypisanymi innej grupie, występuje w przypadku pewnych praw logowania. W zasadzie prawa użytkownika przypisane jednej grupie nie kolidują z prawami przypisanymi innej grupie. Aby odebrać użytkownikowi prawa, administrator musi go po prostu usunąć z grupy. W takim wypadku użytkownik przestaje mieć prawa przypisane grupie, z której został usunięty.

Listę kilkudziesięciu praw użytkowników zawiera plik \zaj5\Docs\User_rights_prawa_uzytkownika.doc.

Dla przykładu można przytoczyć prawa do:

• Access this computer from the network
  Uzyskiwanie dostępu do tego komputera z sieci

• Allow log on locally
  Zezwalaj na logowanie lokalne

• Change the system time
  Zmiana czasu systemowego

• Deny log on locally
  Odmowa logowania lokalnego

1. Uprawniania dla plików i folderów (Permissions for files and folders)

UWAGA: Uprawnienia do plików i folderów można ustawiać tylko na dyskach twardych używających systemu plików NTFS.
Uprawnienia do plików zawierają następujące opcje:

• Full Control - Pełna kontrola

• Modify - Modyfikacja

• Read & Execute - Odczyt i wykonanie

• Read - Odczyt

• Write - Zapis

Uprawnienia do folderów zawierają następujące opcje:

• Full Control - Pełna kontrola

• Modify - Modyfikacja

• Read & Execute - Odczyt i wykonanie

• List Folder Contents - Wyświetlanie zawartości folderu

• Read - Odczyt

• Write - Zapis

Każde z wyżej wymienionych uprawnień jest logiczną grupą składającą się z uprawnień specjalnych.
W pliku \zaj5\Docs\skojarzenia_podstawowe_specjalne zamieszczono tabelę, w której i określono, jakie uprawnienia specjalne są skojarzone z podstawowymi uprawnieniami do pliku, folderu.


1. Specjalne uprawnienia dla plików i folderów (Special permissions for files and folders)

Poniżej wyspecyfikowano specjalne uprawnienia dla plików i folderów. Niektóre z nich dotyczą wyłącznie plików i, inne folderów. Pełne zestawienie specjalnych uprawnień dla plików i folderów, wraz z ich opisem, zawiera plik \zaj5\Docs\Specjalne_uprawniania_dla_plikow_i_folderow.doc.


• Traverse Folder/Execute File - Przechodzenie przez folder/Wykonywanie pliku

• List Folder/Read Data - Wyświetlanie zawartości folderu/Odczyt danych

• Read Attributes - Odczyt atrybutów

• Read Extended Attributes - Odczyt atrybutów rozszerzonych

• Create Files/Write Data - Tworzenie plików/Zapis danych

• Create Folders/Append Data - Tworzenie folderów/Dołączanie danych

• Write Attributes - Zapis atrybutów

• Write Extended Attributes - Zapis atrybutów rozszerzonych

• Delete Subfolders and Files - Usuwanie podfolderów i plików

• Delete - Usuwanie

• Read Permissions - Odczyt uprawnień

• Change Permissions - Zmiana uprawnień

• Take Ownership - Przejęcie na własność

• Synchronize - Synchronizowanie

1. Uprawniania jawne a dziedziczone (Explicit vs. inherited permissions)

Są dwa typy uprawnień: uprawnienia jawne i uprawnienia dziedziczone.

• Uprawnienia jawne (explicit)są to uprawnienia ustawione domyślnie w wyniku akcji użytkownika związanej z utworzeniem obiektu.

• Uprawnienia dziedziczone (inherited) to uprawnienia, które zostały propagowane do obiektu z obiektu nadrzędnego. Uprawnienia dziedziczone ułatwiają zarządzanie uprawnieniami i zapewniają spójność uprawnień we wszystkich obiektach z wybranego kontenera.

Obiekty tworzone w kontenerze domyślnie dziedziczą uprawnienia z tego kontenera. Na przykład, po utworzeniu folderu MyFolder wszystkie podfoldery i pliki utworzone w folderze MyFolder automatycznie dziedziczą uprawnienia z tego folderu. Dlatego MyFolder ma uprawnienia jawne, podczas gdy wszystkie pliki i podfoldery znajdujące się w nim mają uprawnienia dziedziczone.

Uwagi:

• Odziedziczone uprawnienia Deny (Odmów) nie zapobiegają dostępowi do obiektu, jeżeli obiekt ma jawny wpis uprawnienia Allow (Zezwalaj).

• Jawne uprawnienia mają wyższy priorytet od uprawnień odziedziczonych, nawet odziedziczonych uprawnień Deny.

1. Własność (Ownership) obiektu

Każdy obiekt ma właściciela, niezależnie od tego, czy znajduje się na woluminie NTFS czy w usłudze Active Directory. Właściciel kontroluje, w jaki sposób ustawiane są uprawnienia do obiektu i komu uprawnienia takie są nadawane.

Ważne:

• Administrator, który musi naprawić lub zmienić uprawnienia do pliku, musi rozpocząć od przejęcia pliku na własność.

W rodzinie systemów Windows Server 2003 właścicielem domyślnym jest grupa Administrators. Właściciel może zawsze zmieniać uprawnienia do obiektu, nawet jeśli nie ma do niego żadnego dostępu.

Własność może uzyskać:

• Administrator. Grupa Administrators ma domyślnie przyznane prawo użytkownika Take ownership (Przejęcie na własność) plików lub innych obiektów.

• Każdy użytkownik i grupa z uprawnieniem Take ownership do danego obiektu.

• Użytkownik, który ma przywilej Restore files and directories (Przywracanie plików i katalogów).

Własność można przenieść w następujący sposób:

• Aktualny właściciel może przyznać uprawnienie Take ownership innym użytkownikom, pozwalając im przejąć obiekt na własność w dowolnym czasie. Aby dopełnić przekazywania, użytkownik musi rzeczywiście przejąć własność.

• Własność może przejąć Administrator.

• Użytkownik, który ma przywilej Restore files and directories (Przywracanie plików i katalogów), może kliknąć dwukrotnie ikonę Other users and groups (Inni użytkownicy i grupy) i wybrać dowolnego użytkownika lub grupę, aby przypisać im własność.

1. Ważne wskazówki dotyczące uprawnień i praw użytkowników

Uprawnienia jest lepiej przypisywać do grup, a nie do użytkowników

• Ponieważ bezpośrednie zarządzanie kontami użytkowników jest nieefektywne, przypisywanie praw poszczególnym użytkownikom powinno być wyjątkiem.


W szczególnych przypadkach należy użyć uprawnień Deny (Odmów)

• Odmowy uprawnień należy używać do wyłączenia podzestawu grupy, której przyznano uprawnienia.

• Odmowy można użyć do wyłączenia szczególnego uprawnienia po przyznaniu użytkownikowi lub grupie pełnej kontroli.

Korzystać z szablonów zabezpieczeń

• Zamiast konfigurować poszczególne uprawnienia, zawsze gdy to możliwe, używać szablonów.

Jeżeli to możliwe, unikać wprowadzania zmian w domyślnych wpisach zabezpieczeń obiektów systemu plików, szczególnie folderów systemowych i folderów głównych

• Zmiana uprawnień domyślnych może spowodować nieoczekiwane problemy z dostępem lub pogorszenie skuteczności zabezpieczeń.

Nigdy nie odmawiać dostępu (nie stosować Deny) do obiektu grupie Everyone (Wszyscy)

• Jeżeli odmówi się uprawnienia do obiektu grupie Everyone, odmówi się go także administratorom. Lepszym rozwiązaniem jest usunięcie grupy Everyone, jeżeli udzieli się uprawnienia do tego obiektu innym użytkownikom, grupom lub komputerom.

Przypisywać uprawnienia do obiektu znajdującego się jak najwyżej w drzewie, a następnie zastosować dziedziczenie, aby propagować ustawienia zabezpieczeń w całym drzewie

• Można szybko i efektywnie stosować ustawienia kontroli dostępu dla wszystkich obiektów podrzędnych lub poddrzewa obiektu nadrzędnego. Dzięki temu można uzyskać największe efekty najmniejszym wysiłkiem. Ustanawiane ustawienia uprawnień powinny być odpowiednie dla większości użytkowników, grup i komputerów.


Uwagi:

• Odziedziczone uprawnienia Deny nie zapobiegają dostępowi do obiektu, jeżeli obiekt ma jawny wpis uprawnienia Allow.

• Jawne uprawnienia mają wyższy priorytet od uprawnień odziedziczonych, nawet odziedziczonych uprawnień Deny.

1. Jaki wpływ na uprawnienia do plików i folderów ma dziedziczenie

Po ustawieniu uprawnień (permissions) do folderu nadrzędnego (parent folder) nowe pliki i podfoldery tworzone w folderze dziedziczą te uprawnienia.
Aby pliki i podfoldery nie dziedziczyły uprawnień, podczas konfigurowania uprawnień specjalnych do folderu nadrzędnego należy zaznaczyć na liście Apply onto (Zastosuj dla) pozycję This folder only (Tylko ten folder).

Aby tylko określone pliki i podfoldery nie dziedziczyły uprawnień, należy kliknąć prawym przyciskiem myszy plik lub podfolder, kliknąć polecenie Properties (Właściwości), kliknąć kartę Security (Zabezpieczenia), kliknąć przycisk Advanced (Zaawansowane), a następnie wyczyścić pole wyboru Allow inheritable permissions from the parent to propagate to this object and all child objects. Include these with entries explicitly defined here. (Zezwalaj na propagowanie dziedziczonych uprawnień z obiektu nadrzędnego do tego obiektu i wszystkich obiektów podrzędnych. Uwzględnij je razem z wpisami tutaj zdefiniowanymi.).
Jeśli pola wyboru są zacieniowane, plik lub folder odziedziczył uprawniania po folderze nadrzędnym. Istnieją trzy sposoby wprowadzania zmian do uprawnień dziedziczonych:
- Wprowadzeni zmiany do folderu nadrzędnego, a plik lub folder będzie dziedziczyć te uprawnienia.

- Zaznaczenie uprawnienia przeciwnego (Allow or Deny) (Zezwalaj lub Odmów), aby zastąpić
uprawnienie dziedziczone.
- Wyczyszczenie pole wyboru Allow inheritable permissions from the parent to propagate to this object and all child objects. Include these with entries explicitly defined here. Następnie można wprowadzać zmiany do uprawnień lub usunąć użytkownika albo grupę z listy uprawnień. Jednak plik lub folder nie będzie już wtedy dziedziczyć uprawnień po folderze nadrzędnym.

W większości przypadków uprawnienie Deny (Odmów) zastępuje Allow (Zezwalaj), chyba że folder dziedziczy skonfliktowane ustawienia po różnych obiektach nadrzędnych. W takim przypadku pierwszeństwo ma ustawienie dziedziczone po obiekcie nadrzędnym, znajdującym się najbliżej w poddrzewie.

Tylko uprawnienia dziedziczne są dziedziczone przez obiekty podrzędne. Ustawiając uprawnienia do obiektu nadrzędnego, można zdecydować za pomocą listy Apply onto (Zastosuj dla), czy foldery lub podfoldery mogą je dziedziczyć.
Uprawnienia użytkownika lub grupy do obiektu można sprawdzić za pomocą Effective Permissions tool (narzędzia Czynne uprawnienia).


2. Narzędzie Effective Permissions tool (Czynne uprawnienia)

Aby dowiedzieć się, jakie uprawnienia do obiektu ma użytkownik lub grupa, można użyć narzędzia Effective Permissions tool (Czynne uprawnienia). Narzędzie to oblicza uprawnienia udzielane określonemu użytkownikowi lub grupie. W obliczeniach są uwzględniane uprawnienia wykorzystywane dzięki przynależności do grupy oraz odziedziczone po obiekcie nadrzędnym. Podczas obliczeń narzędzie przeszukuje wszystkie grupy domen i grupy lokalne, których członkiem jest dany użytkownik lub grupa.
Narzędzie Effective Permissions tool umożliwia uzyskanie tylko przybliżonych danych o uprawnieniach, które posiada użytkownik. Uprawnienia, które rzeczywiście posiada użytkownik, mogą być inne, ponieważ uprawnień można udzielać lub odmawiać na podstawie sposobu logowania użytkownika. Tych informacji dotyczących logowania nie można określić za pomocą Effective Permissions tool, ponieważ użytkownik nie jest zalogowany; dlatego wyświetlane informacje dotyczące czynnych uprawnień odzwierciedlają uprawnienia określone przez użytkownika lub grupę, a nieokreślone w procesie logowania.

Więcej informacji na ten temat podano w plikach \zaj5\Docs\Narzedzie_Czynne_uprawninia.doc
i \zaj5\Docs\Effective_Permissions_tool.doc.

3. Ustawienia inspekcji obiektów (Auditing settings on objects)

Do każdego obiektu (object) jest dołączony zbiór informacji o zabezpieczeniach, nazywany deskryptorem zabezpieczeń (security descriptor). Część deskryptora zabezpieczeń określa grupy i użytkowników, którzy mają dostęp do obiektu, oraz typy praw dostępu (uprawnienia) udzielone tym grupom lub użytkownikom. Ta część deskryptora zabezpieczeń nazywana jest listą arbitralnej kontroli dostępu - Discretionary Access Control List (DACL).

Deskryptor zabezpieczeń obiektu zawiera również informacje o inspekcji. Te informacje znane są jako systemowa lista kontroli dostępu - System Access Control List (SACL). Systemowa lista kontroli dostępu określa w szczególności:

• Konta użytkowników i grup, które mają podlegać inspekcji podczas uzyskiwania dostępu do obiektu.

• Operacje, które mają podlegać inspekcji dla każdej grupy lub dla każdego użytkownika, na przykład modyfikacja pliku.

• Atrybut Success (Powodzenie) lub Failure (Niepowodzenie) dla każdego zdarzenia dostępu, oparty na uprawnieniach udzielonych każdej grupie i każdemu użytkownikowi na liście DACL obiektu.

Inspekcji może podlegać obiekt i - poprzez dziedziczenie - wszystkie jego obiekty podrzędne. Jeśli na przykład jest prowadzona inspekcja nieudanych prób dostępu do folderu, to zdarzenie inspekcji mogą dziedziczyć wszystkie pliki znajdujące się w folderze. Aby prowadzić inspekcję plików i folderów, trzeba zalogować się jako członek grupy Administratorzy.


1. Zasady inspekcji (Auditing policy)

Przed zaimplementowaniem zasad inspekcji trzeba wybrać kategorie zdarzeń podlegające inspekcji. Wybrane dla kategorii zdarzeń ustawienia inspekcji definiują zasady inspekcji. Na serwerach członkowskich i stacjach roboczych przyłączonych do domeny ustawienia inspekcji dla kategorii zdarzeń są domyślnie niezdefiniowane. Na kontrolerach domeny inspekcja jest domyślnie wyłączona. Definiując ustawienia inspekcji dla określonych kategorii zdarzeń, można utworzyć zasady inspekcji zgodne z wymaganiami danej organizacji w zakresie zabezpieczeń.

Wybrać można następujące kategorie zdarzeń podlegających inspekcji:

• Audit account logon events - Przeprowadź inspekcję zdarzeń logowania na kontach

• Audit account management - Przeprowadź inspekcję zarządzania kontami

• Audit directory service access - Przeprowadź inspekcję dostępu do usługi katalogowej

• Audit logon events - Przeprowadź inspekcję zdarzeń logowania

• Audit object access - Przeprowadź inspekcję dostępu do obiektów

• Audit policy change - Przeprowadź inspekcję zmian zasad

• Audit privilege use - Przeprowadź inspekcję użycia uprawnień

• Audit process tracking - Przeprowadź inspekcję śledzenia procesów

• Audit system events - Przeprowadź inspekcję zdarzeń systemowych



Więcej informacji na temat kategorii zdarzeń podlegających inspekcji znajduje się w pliku \zaj5\Docs\zasady_inspekcji.doc.
Najważniejsze wskazówki dotyczące implementacji zasad inspekcji zawarte są w pliku \zaj5\Docs\Najwazniejsze_wskazowki_inspekcja.doc.

ZAJĘCIA 5 - ĆWICZENIA

Ćwiczenie 1 (Przygotowania)

1. Podczas uruchamiania komputera pojawia się ekran wyboru systemów operacyjnych i innych zadań - Welcome on the WSISiZ network. Należy wybrać Win2003, a następnie pozycję Windows Server 2003, Instalacja standardowa.

2. Po zalogowaniu się jako Administrator należy sprawdzić i w razie potrzeby skorygować nazwę lokalnego komputera (np. w Properties dla My Computer, karta Computer Name, przycisk Change...). Wprowadzona nazwa winna być taka, jaka została umieszczona na obudowie komputera (np. sz455).

3. Z zasobów WS2003Lab skopiować do katalogu głównego partycji D: (!!! uprzednio zalecane jest wydanie w Start - Run: \\oceanic i podanie swoich parametrów uwierzytelnienia w sieci WSISiZ) cały folder \\oceanic\staff\ws2003lab\lab2006\zaj5 z zachowaniem jego nazwy zaj5.

4. Uruchomić miniaplikację Folder Options w panelu sterowania Control Panel.
   W zakładce View uzyskać następujące ustawienia pozycji konfiguracyjnych:
   Show hidden files and folders - zaznaczona
   Hide extensions for known file types - odznaczona
   Hide protected operating system files (Recommended) - odznaczona

5. Otworzyć Command Prompt i uruchomić skrypt d:\zaj5\konfiguracja5.cmd wydając polecenie:
   d:\zaj5\konfiguracja5.cmd nazwa_grupy_studenckiej
   W wyniku tej operacji winny zostać utworzone konta: bilbo-grupa (puste hasło, grupa lokalna Users),
   gandalf-grupa (puste hasło, dodatkowa grupa lokalna Power Users) oraz stosowne foldery i plik..

6. Zalogować i wylogować się kolejno jako bilbo-grupa i gandalf-grupa sprawdzając czy istnieje, dla obydwu użytkowników, opcja możliwości zamknięcia systemu - lecz nie zamykać systemu !!!

Ćwiczenie 2 (Konfigurowanie Zasad inspekcji - Auditing policy)

Uwaga: Nie jest możliwe, poza kilkoma wyjątkami, zaimplementowanie zasad inspekcji bez uprzedniego dokonania stosownych wyborów kategorii zdarzeń podlegających kontroli. Dokonanie wyboru kategorii zdarzeń podlegających inspekcji jest pierwszym, koniecznym do spełnienia, warunkiem uruchomienia mechanizmu pojawiania się wpisów w Dzienniku zdarzeń.

1. Będąc zalogowanym jako Administrator z menu Administrative Tools wybrać Local Security Policy.
   
   W drzewie konsoli rozwinąć Local Policies i wybrać Audit Policy.
   
   W oknie szczegółów, podwójnie klikając na poszczególne pozycje zaznaczać lub odznaczać pola opcji Success lub Failure (na karcie Local Security Setting) zgodnie z poniższą specyfikacją:

• Audit account logon events - nie poddawać inspekcji (domyślnie jest Success)

• Audit account management - pozostawić bez inspekcji (ustawienie domyślne)

• Audit directory service access - pozostawić bez inspekcji (ustawienie domyślne)

• Audit logon events - tylko Failure (domyślnie jest tylko Success)

• Audit object access - Success i Failure (domyślnie jest No auditing -pozostawić bez inspekcji)

• Audit policy change - pozostawić bez inspekcji (ustawienie domyślne)

• Audit privilege use - pozostawić bez inspekcji (ustawienie domyślne)

• Audit process tracking - pozostawić bez inspekcji (ustawienie domyślne)

• Audit system events - pozostawić bez inspekcji (ustawienie domyślne)

Wybrać prawym klawiszem myszy Security Settings i z menu podręcznego polecenie Reload. Od tego momentu obowiązują w systemie nowe zasady inspekcji. Zamknąć konsolę Local Security Policy.







Ćwiczenie 3 (Czyszczenie wybranej zawartości Dziennika zdarzeń - Event Viewer)

1. Będąc zalogowanym jako Administrator z menu Administrative Tools wybrać Event Viewer.
   
   W oknie drzewa konsoli Event Viewer wybrać prawym klawiszem myszy Security i wydać polecenie Clear all Events.
   W pojawiającym się oknie Event Viewer użyć przycisku No.
   Zamknąć konsolę Event Viewer. Wyniki inspekcji będą przeglądane w Ćwiczeniu 18.




Ćwiczenie 4 (Dokonywanie przeglądu, modyfikacji i usuwania uprawnień do folderów przy użyciu GUI i polecenia cacls)

UWAGA: Grupy lub użytkownicy, którym udzielono uprawnienia Full Control dla folderu, mogą usuwać pliki i podfoldery znajdujące się w tym folderze niezależnie od uprawnień chroniących pliki i podfoldery.
Dodawany nowy użytkownik lub grupa mają domyślnie udzielone uprawnienia Read & Execute, List Folder Contents i Read.


1. Przeglądanie zabezpieczeń dla dysku lokalnego
   Z menu kontekstowego Local Disk (D:) wybrać Properties - Security.
   Zauważyć, że domyślnie, w polu Group or user names: zakładki Security występuje tylko pięć grup systemowych (Administrators, Creator Owner, Everyone, SYSTEM i Users). Dokonać, wybierając w polu Group or user names: odpowiednie pozycje, przeglądu uprawnień dla poszczególnych grup.
   
   W oknie Local Disk (D:) Properties, w zakładce Security użyć przycisku Advanced i zauważyć, że w oknie Advanced Security Settings for Local Disk (D:), na karcie Permissions, w polu Permissions entries:, w kolumnie Inherited From (Odziedziczone po), dla każdej z pozycji występuje wpis <not inherited> (nie odziedziczone). Zamknąć wszystkie okna zawiązane z Local Disk (D:) Properties.

2. Przeglądanie zabezpieczeń dla folderu
   Z menu kontekstowego foldera d:\nadrzedny1-grupa\aaa wybrać Properties - Security.
   Zauważyć, że domyślnie, w polu Group or user names: występuje tylko cztery grupy systemowe (Administrators, Creator Owner, SYSTEM i Users). Dokonać przeglądu uprawnień dla poszczególnych grup.
   Zauważyć, że w rubryce Permissions for Group pola opcji w kolumnie Allow są szare, co świadczy o tym, że uprawnienia są dziedziczone z folderu nadrzędnego.
   
   W oknie aaa Properties, w zakładce Security użyć przycisku Advanced i zauważyć, że w oknie Advanced Security Settings for aaa, na karcie Permissions, w polu Permissions entries:, w kolumnie Inherited From (Odziedziczone po), tylko dla wymienionej najwyżej pozycji Administrators (SZXXX) odnoszącej się do This folder only w kolumnie Inherited From występuje zapis <not inherited>. Wszystkie inne pozycje domyślnie wskazują na dziedziczenie uprawnień z dysku D:\.
   Zamknąć okno Advanced Security Settings for aaa.

3. Ustawianie zabezpieczeń dla wybranego użytkownika
   W otwartym oknie aaa Properties użyć przycisku Add..., w oknie Select Users or Groups użyć przycisku Advanced..., następnie Find Now i w polu Search results: wskazać na pozycję bilbo-grupa. Dwukrotnie zatwierdzać.
   W oknie aaa Properties pojawił się nowy wpis dla użytkownika bilbo-grupa.
   
   W polu Permissions for bilbo-grupa, w kolumnie Allow zaznaczyć pozycję Full Control i użyć przycisku OK.

4. Odmawianie dostępu do foldera dla wybranego użytkownika przy użyciu polecenia cacls
   W Command Prompt zapoznać się ze składnią polecenia cacls (cacls /?) a następnie wydać je w poniższy sposób:
   cacls d:\nadrzedny1-grupa\aaa
   Wyświetlona zostaje informacja o uprawnieniach do foldera d:\nadrzedny1-grupa\aaa. Dla pozycji
   SZXXX\bilbo-grupa: występuje wpis F (pełna kontrola). Wpis <OI> świadczy o stosowaniu się tego uprawnienia do tego foldera i plików a wpis <CI> o stosowaniu się tego uprawnienia do tego foldera i podfolderów.
   
   Odmówić użytkownikowi bilbo-grupa jakiegokolwiek dostępu do foldera d:\nadrzedny1-grupa\aaa (bez ingerencji w ustawienia innych grup i użytkowników) wydając polecenia:
   cacls d:\nadrzedny1-grupa\aaa /e /d bilbo-grupa
   cacls d:\nadrzedny1-grupa\aaa
   Przy pozycji dotyczącej użytkownika bilbo-grupa pojawił się wpis N świadczący o braku dostępu do w/w foldera.

5. Wybrać kartę Security w Properties foldera d:\nadrzedny1-grupa\aaa i zaznaczyć pozycję odpowiadającą użytkownikowi bilbo-grupa. Zauważyć, że dla kolumny Deny zaznaczone są wszystkie (oprócz jednej) pozycje dotyczące uprawnień. Użytkownik bilbo-grupa nie będzie mieć dostępu do w/w foldera. Zamknąć okno aaa Properties.

6. Przywracanie dostępu do foldera dla wybranego użytkownika przy użyciu polecenia cacls
   Wydać polecenia:
   cacls d:\nadrzedny1-grupa\aaa /e /r bilbo-grupa
   cacls d:\nadrzedny1-grupa\aaa
   Usuwany jest wpis dotyczący uprawnień dla użytkownika bilbo-grupa. Jego konto ma teraz takie uprawnienia do foldera d:\nadrzedny1-grupa\aaa, jak inni członkowie grupy Users.

Ćwiczenie 5 (Uzyskiwanie informacji o uprawnieniach do obiektu z zastosowaniem narzędzia Effective Permissions Tool (Narzędzie Czynne Uprawnienia))

1. Sprawdzenie czynnych uprawnień dla ustawień domyślnych
   Wybrać kartę Security we właściwościach foldera d:\nadrzedny1-grupa\aaa i użyć przycisku Add.
   Dodać grupę Power Users (jak w Ćw. 4, p. 4) i użyć przycisku Apply.
   Użyć przycisku Advanced, wybrać zakładkę Effective Permissions i użyć przycisku Select.
   Wybrać (Advanced... - Find Now) pozycję gandalf-grupa. Zauważyć, że zaznaczenie występuje dla siedmiu pozycji, a wśród nich dla: Create Files / Write Data i Create Folders / Append Data.
   Zamknąć okno Advanced Security Settings for aaa.

2. Sprawdzenie czynnych uprawnień dla zmodyfikowanych ustawień
   W oknie aaa Properties wybrać pozycję Power Users. W kolumnie Deny zaznaczyć pozycję Write i użyć przycisku Apply.
   Po przeczytaniu informacji w oknie Security zatwierdzić ostrzeżenie przyciskiem Yes.
   Użyć przycisku Advanced, wybrać zakładkę Effective Permissions i użyć przycisku Select.
   Wybrać, kierując się poprzednimi doświadczeniami, pozycję gandalf-grupa.
   Zauważyć, że w polu Effective Permissions: pozycje Create Files / Write Data i Create Folders / Append Data nie są już zaznaczone.
   Użytkownik gandalf-grupa należy do dwóch grup: Users i Power Users. Z racji przynależności do grupy Users posiada, domyślnie, m.in. uprawnienia Create Files / Write Data i Create Folders / Append Data.
   W wyniku wprowadzenia Deny dla uprawnienia Write (dla grupy Power Users) użytkownik nie może już korzystać z tych uprawnień.
   Członek grupy Administrators nie musi już pamiętać o tym, że zastosował pewne ograniczenia w dostępie do foldera dla użytkownika gandalf-grupa. Może po prostu posłużyć się narzędziem Effective Permissions Tool uzyskując spis aktualnie obowiązujących uprawnień dostępu dla tego konta użytkownika.
   Zamknąć, zatwierdzając, okna związane z aaa Properties.




Ćwiczenie 6 (Usuwanie domyślnych i definiowanie własnych uprawnień NTFS do folderu pomijających łańcuch dziedziczenia uprawnień)


1. Wywołać kartę Security dla foldera d:\nadrzedny1-grupa\aaa.
   Usunąć, przy użyciu przycisku Remove, grupę Power Users i użyć Apply (od tej chwili grupa Power Users odzyskuje domyślne ustawienia uprawnień - znika z pola Group or user names:).

2. Podjąć próbę usunięcia grup: Users, Creator Owner i System. Próby nie powinny się udać (pojawia się komunikat, że nie można usunąć grupy, ponieważ uprawnienia są dziedziczone z folderu nadrzędnego). Zamknąć (OK) okna Security, gdzie wyświetlany jest ten komunikat.

3. Użyć przycisku Advanced, odznaczyć pole Allow inheritable permissions from the parent to propagate to this object and all child objects. Include these with entries explicitly defined here. (Zezwalaj na propagowanie dziedziczonych uprawnień z obiektu nadrzędnego do tego obiektu i wszystkich obiektów podrzędnych. Uwzględnij je razem z wpisami tutaj zdefiniowanymi.), aby zablokować dziedziczenie uprawnień.
   
   W okienku Security zostaje wyświetlony komunikat o możliwości skopiowania uprawnień aktualnie dziedziczonych lub usunięcia wszystkich uprawnień dziedziczonych do tego folderu a pozostawienie tylko jawnie przypisanych.
   Użyć przycisku Remove. Zauważyć, że w części Permisson entries: pozostała tylko jedna pozycja (Administrators - oznaczenie <not inherited>) dotycząca wpisu odnoszącego się do This folder only. Użyć przycisku OK.

4. W oknie aaa Properties użyć przycisku Add...
   Wykorzystując okno Select Users or Groups (przycisk Advanced…) dodać grupy Creator Owner, Power Users, System (użyć klawisz [Ctrl]).

5. Dla grup Administrators i System przyznać uprawnienie Full Control.
   Dla grupy Power Users przyznać dodatkowo uprawnienie Write (odpowiednie pola dla uprawnień Read & Execute, List Folder Contents, Read winny być również zaznaczone).
   Użyć przycisku Advanced, w oknie Advanced Security Settings for aaa wybrać grupę Creator Owner i użyć przycisku Edit…
   W oknie Permission Entry for aaa dla pola Apply onto: wybrać This folder, subfolders and files.
   W polu Permissions, w kolumnie Allow, zaznaczyć Full Control i dwa razy zatwierdzić.

6. Zamknąć okno aaa Properties przyciskiem OK.
   

Ćwiczenie 7 (Implementacja zasad inspekcji na przykładzie kontroli dostępu do plików i folderów)

UWAGA: Uzyskanie informacji (pojawienie się) w Dzienniku zdarzeń stosownych wpisów, o powodzeniu lub

niepowodzeniu operacji dostępu do foldera lub pliku wymaga uprzedniego włączenia odpowiedniej Zasady inspekcji

(patrz ćwiczenie 2 bieżących zajęć). Kontrola dostępu do plików i folderów wymaga włączenia zasady

Audit object access (Przeprowadź inspekcję dostępu do obiektów).

Włączenie tej zasady jest warunkiem koniecznym lecz nie wystarczającym do skutecznego prowadzenie inspekcji do obiektów.
Drugim warunkiem jest, by dla konkretnego, wybranego obiektu dokonać zespołu operacji konfigurowania inspekcji dotyczących określenia czyje działania, związane z jakimi czynnościami, będą podlegać śledzeniu.

1. Wybrać w Properties dla foldera d:\nadrzedny1-grupa\aaa kartę Security, przycisk Advanced, kartę Auditing.
   Przy zaznaczonej opcji Allow inheritable auditing entries from the parent to propagate to this object and all child objects. Include these with entries explicitly defined here. (Zezwalaj na propagowanie dziedziczonych wpisów inspekcji z obiektu nadrzędnego do tego obiektu i wszystkich obiektów podrzędnych. Uwzględnij je razem z wpisami tutaj zdefiniowanymi.) użyć przycisku Add... (pozostawienie w/w opcji spowoduje, że będą śledzone działania dotyczące również pliku d:\nadrzedny1-grupa\aaa\admin.txt).
   Posługując się oknem Select User or Group dodać konto bilbo-grupa.
   Po zatwierdzeniach pojawia się okno Auditing Entry for aaa. Zaznaczyć, w kolumnie Failed, pole dla pozycji Delete i zatwierdzić.

Ponownie użyć przycisku Add... i dodać grupę Administrators.

W oknie Auditing Entry for aaa zaznaczyć pola Successful i Failed dla poniższych typów dostępu:

• Change Permissions

• Take Ownership

i ,zatwierdzając, zamknąć wszystkie okna mające związek z aaa Properties.



Ćwiczenie 8 (Sprawdzanie możliwości dostępu do plików i folderów)

1. Załogować się jako bilbo-grupa podając początkowo błędne hasło, a następnie prawidłowe.
   W dzienniku zdarzeń winien pojawić się stosowny wpis - sprawdzanie wpisów w dalszej części zajęć.

2. Sprawdzić możliwość otwarcia foldera d:\nadrzedny1-grupa\aaa. Próba nie powinna się udać.

3. Sprawdzić możliwość utworzenia foldera d:\nadrzedny1-grupa\bilbo. Próba udaje się ponieważ restrykcjami objęty jest tylko folder d:\nadrzedny1-grupa\aaa.
   Wylogować się.

4. Zalogować się jako gandalf-grupa i podjąć następujące próby.

• Otworzyć folder d:\nadrzedny1-grupa\aaa (próba winna być udana ponieważ użytkownik
  gandalf-grupa należy do grupy Power Users, której nadano stosowne uprawnienia
  w Ćwiczeniu 6)

• Utworzyć plik tekstowy (np. prawy klawisz myszy na pustym obszarze okna aaa folderu aaa) d:\nadrzedny1-grupa\aaa\gandalf.txt (powodzenie operacji wynikające z udzielenia dodatkowo, oprócz domyślnych, uprawnienia Write)

• Otworzyć plik d:\nadrzedny1-grupa\aaa\gandalf.txt

• Zmienić zawartość pliku

• Zapisać plik

• Usunąć plik

Ostatnie cztery zadania powiodły się ponieważ grupie Creator Owner przypisano dla folderu d:\nadrzedny1-grupa\aaa specjalne uprawnienie NTFS Full Control. Użytkownik gandalf-grupa jest twórcą (Creator) i właścicielem (Owner) pliku d:\nadrzedny1-grupa\aaa\gandalf.txt.

5. Dokonać na pliku d:\nadrzedny1-grupa\aaa\admin.txt następujących prób.

• Otworzyć plik d:\nadrzedny1-grupa\aaa\admin.txt

• Zmienić zawartość pliku

• Zapisać plik

• Usunąć plik

Ostatnia operacja nie powinna się udać. Użytkownik gandalf-grupa nie posiada uprawnienia Modify i nie był jego twórcą (folder utworzył Administrator). Fakt niemożności usunięcia pliku stanie się oczywisty po wykonaniu poniższego sprawdzenia.
Otworzyć w Properties pliku d:\nadrzedny1-grupa\aaa\admin.txt kartę Security, użyć Advanced.
W oknie Advanced Security Settings for admin.txt zaznaczyć pozycję dla Power Users i użyć przycisku View... Zauważyć, że opcja Delete nie jest zaznaczona.
Zamknąć wszystkie okna dotyczące właściwości pliku.



Ćwiczenie 9 (Modyfikacja uprawnienia własności do foldera, przejmowanie na własność przy użyciu narzędzia GUI i takeown)

UWAGA: Aby zmienić uprawnienia, użytkownik musi być właścicielem lub mieć odpowiednie uprawnienia przydzielone przez właściciela.


1. Modyfikowanie i usuwanie uprawnień przez użytkownika będącego twórcą i właścicielem foldera
   Będąc zalogowanym jako gandalf-grupa utworzyć foldery d:\nadrzedny1-grupa\aaa\gandalf1
   i d:\nadrzedny1-grupa\aaa\gandalf2.
   
   W Properties foldera d:\nadrzedny1-grupa\aaa\gandalf1 wybrać kartę Security, użyć przycisku Advanced.
   W oknie Advanced Security Settings for gandalf1 wybrać kartę Owner i zauważyć, że właścicielem foldera jest gandalf-grupa.
   
   Ponownie wybrać kartę Permissions i zauważyć, że w obszarze Permission entries:, w kolumnie Inherited From znajduje się wpis świadczący o dziedziczeniu uprawnień po folderze d:\nadrzedny1-grupa\aaa.
   Zwrócić również uwagę na fakt, że przycisk Remove jest nieaktywny.
   
   Wyczyścić pole Allow inheritable permissions from the parent to propagate to this object and all child objects. Include these with entries explicitly defined here. aby zablokować dziedziczenie uprawnień z obiektu nadrzędnego, tzn. z foldera d:\nadrzedny1-grupa\aaa.
   
   Zostaje wyświetlony komunikat o możliwości skopiowania uprawnień aktualnie dziedziczonych lub usunięcia wszystkich uprawnień dziedziczonych do tego folderu a pozostawienie tylko jawnie przypisanych.
   Użyć przycisku Copy. W wyniku tej operacji pozostały wszystkie pozycje w obszarze Permission entries: lecz łańcuch dziedziczenia został przerwany. Wpisy w kolumnie Inherited From uległy zmianie na <not inherited>.
   W obszarze Permission entries: zaznaczyć wszystkie pozycje z wyjątkiem konta gandalf-grupa i usunąć je przy użyciu przycisku Remove.
   Zamknąć, zatwierdzając, okna dotyczące właściwości foldera d:\nadrzedny1-grupa\aaa\gandalf1.
   Analogiczne czynności przeprowadzić (!!!) dla foldera d:\nadrzedny1-grupa\aaa\gandalf2.
   Wylogować się.

2. Sprawdzenie dostępu do foldera z konta o poświadczeniach administracyjnych i przejęcie na własność w GUI
   Zalogować się jako Administrator.
   Podjąć próby otwarcia i usunięcia folderów d:\nadrzedny1-grupa\aaa\gandalf1
   oraz d:\nadrzedny1-grupa\aaa\gandalf2 (próby nie powinny się udać).
   Wywołać kartę Security dla foldera d:\nadrzedny1-grupa\aaa\gandalf1.
   Pojawia się komunikat o możliwości dokonania wyłącznie operacji przejęcia na własność lub zmiany ustawień inspekcji. Użyć przycisku OK.
   W karcie Security użyć przycisku Advanced, wybrać kartę Owner i zauważyć, że w polu Current owner of this item: znajduje się informacja Unable to display current owner.
   W polu Change owner to: zaznaczyć Administrators i użyć Apply. Pojawia się okno Security z informacją o konieczności zamknięcia i ponownego otwarcia okna właściwości obiektu.
   Ponownie wywołać Properties i kartę Security dla d:\nadrzedny1\aaa\gandalf1oraz użyć przycisku Advanced.
   Na karcie Owner zaznaczyć pole Replace owner on subcontainers and objects (Zamień właściciela dla podkontenerów i obiektów) i użyć przycisku Apply.
   W pojawiającym się oknie Security ukazuje się informacja o niemożliwości przeglądania foldera i zapytanie o wyrażenie zgody na zamianę uprawnień do foldera przyznającą uprawnienie pełnej kontroli (Full Control).
   Zatwierdzić komunikat.
   Zamknąć, zatwierdzając, okno dotyczące właściwości foldera.
   
   Wywołać kartę Security dla foldera d:\nadrzedny1-grupa\aaa\gandalf1 i zauważyć, że obszarze Group or user names: znajduje się pozycja Administrators a uprawnienia do foldera są jawnie ustalone jako Full Control.
   Zamknąć, zatwierdzając okna dotyczące właściwości foldera.
   
   Podjąć próby otwarcia i usunięcia foldera d:\nadrzedny1-grupa\aaa\gandalf1. Obydwie próby kończą się powodzeniem. Grupa Administrators po przejęciu na własność foldera d:\nadrzedny1-grupa\aaa\gandalf1 posiada komplet uprawnień.

3. Przejęcie na własność foldera przy użyciu polecenia takeown
   Zapoznać się ze składnią polecenia takeown wydając:
   takeown /?
   Przejąć na własność folder d:\nadrzedny1-grupa\aaa\gandalf2 wydając polecenie:
   takeown /f d:\nadrzedny1-grupa\aaa\gandalf2
   Podjąć próbę usunięcia foldera d:\nadrzedny1-grupa\aaa\gandalf2 wydając polecenie:
   rmdir d:\nadrzedny1-grupa\aaa\gandalf2
   Polecenie nie powinno się udać. Grupa Administrators nie posiada jeszcze stosownych uprawnień do przeprowadzenia tej operacji

4. Udzielanie uprawnień do foldera przy użyciu polecenia cacls
   W Command Prompt wydać polecenie nadające uprawnienie Full Control dla foldera
   d:\nadrzedny1-grupa\aaa\gandalf2 grupie Administrators:
   cacls d:\nadrzedny1-grupa\aaa\gandalf2 /e /g Administrators:f
   Usunąć folder d:\nadrzedny1-grupa\aaa\gandalf2 wydając polecenie:
   rmdir d:\nadrzedny1-grupa\aaa\gandalf2
   Polecenie powinno się wykonać.

Ćwiczenie 10 (Wpływ operacji kopiowania i przenoszenia foldera na kwestie dziedziczenia
uprawnień)


1. Będąc zalogowanym jako Administrator dokonać operacji kopiowania foldera d:\nadrzedny1-grupa\aaa do foldera d:\nadrzedny2-grupa.
   Obejrzeć w Properties foldera d:\nadrzedny2-grupa\aaa, w karcie Security ustawienia uprawnień.
   Zauważyć, że uprawnienia zostały odziedziczone po folderze nadrzędnym - istnieją domyślne zapisy dotyczące grup. Usunąć folder d:\nadrzedny2-grupa\aaa

2. Dokonać operacji przeniesienia (Cut) foldera d:\nadrzedny1-grupa\aaa do foldera d:\nadrzedny2-grupa.
   Obejrzeć w Properties foldera d:\nadrzedny2-grupa\aaa, w karcie Security ustawienia uprawnień.
   Zauważyć, że uprawnienia nie zostały odziedziczone po folderze nadrzędnym. Są nadal takie same jak po zrealizowaniu Ćwiczenia 6 (Operacja przenoszenia foldera w obrębie jednej partycji NTFS zachowuje uprawnienia dostępu przenoszonego foldera).
   
   

Ćwiczenie 11 (Utworzenie, dla potrzeb dalszych ćwiczeń, roboczej konsoli MMC)

1. Będąc zalogowanym jako Administrator, uruchomić pustą konsolę MMC (Start - Run polecenie mmc) i użyć
   File - Add/Remove Snap-in ...
   W zakładce Standalone okna Add/Remove Snap-in użyć przycisku Add...
   W spisie samodzielnych przystawek wyświetlonych w oknie Add Standalone Snap-in, zaznaczyć przystawkę Group Policy Object Editor oraz nacisnąć przycisk Add. Pozostawić w oknie Select Group Policy Object, w polu Group Policy Object:, domyślne ustawienie Local Computer i użyć przycisku Finish.
   
   W podobny sposób dodać przystawki Security Configuration and Analysis i Security Templates. Na koniec użyć przycisków Close i OK.
   
   Zapamiętać konsolę (File - Save As...) pod nazwą nazwisko-grupa.msc (np. nowak-id213.msc) w domyślnie proponowanym folderze d:\Documents and Settings\Administrator\Start Menu\Programs\Administrative Tools.
   

Ćwiczenie 12 [Dodatkowe] (Eksportowanie (Export List) wybranej listy wpisów dotyczących ustaleń w Local Computer Policy)

1. Pracując jako Administrator, w drzewie konsoli nazwisko-grupa.msc (np. nowak-id213.msc) rozwinąć gałąź Local Computer Policy, węzły Computer Configuration a następnie Windows Settings, Security Settings, Local Policies. Wskazać Security Options. Z menu kontekstowego Security Options wybrać polecenie Export List... W oknie Export List... dokonać dwukrotnie zapisu pliku
   

najpierw jako:

• Text (Tab Delimited) d:\grupa\sec-opt.txt,

a następnie jako:

• Text (Comma Delimited) d:\grupa\sec-opt.csv

Obejrzeć zawartość pliku d:\grupa\sec-opt.txt. Łatwiejsze w percepcji są pliki *.csv, które przeglądane w
MS Excel zawierają informacje podzielone na stosowne kolumny.

Uwaga: Proponuje się, by uczestnicy zajęć, dla dalszego pogłębiania wiedzy o systemie, dokonali eksportu interesujących ich list w formacie *.csv i skopiowania do swoich katalogów macierzystych na Oceanic.
Nie zamykać otwartej konsoli MMC !!!

Ćwiczenie 13 (Tworzenie kopii - eksportowanie (Export Policy) - aktualnych lokalnych ustawień zabezpieczeń komputera przy użyciu konsoli MMC)

1. W otwartej konsoli nazwisko-grupa.msc z menu kontekstowego
   Local Computer Policy - Computer Configuration - Windows Settings - Security Settings wybrać polecenie Export policy... (!!! nie należy mylić znaczenia polecenia Export Policy z wymienionym wcześniej poleceniem Export List...). W pojawiającym się oknie Export Policy To dokonać zapisu pliku jako: d:\grupa\oryginal-1.inf (np. d:\id213\oryginal-1.inf).

2. Nie zamykać otwartej konsoli. Obejrzeć zawartość tak powstałego pliku d:\grupa\oryginal-1.inf przy użyciu np. Notepad.











Ćwiczenie 14 (Tworzenie kopii - eksportowanie - aktualnych lokalnych ustawień zabezpieczeń komputera przy użyciu narzędzia secedit.exe - wykorzystanie jednej z opcji narzędzia będącej odpowiednikiem Export Policy w GUI)

1. Uruchomić Help and Support Center, wyszukać w Tools - Command-line reference A-Z pozycję odpowiadającą poleceniu secedit i zapoznać się ze składnią tego polecenia szczególnie dla pozycji
   secedit /export.

2. Dokonać eksportu ustawień zabezpieczeń, z określeniem pliku dziennika operacji, wprowadzając jako jedno polecenie w Command Prompt:
   secedit /export /cfg d:\grupa\oryginal-2.inf /log d:\grupa\oryginal-2.log
   
   Zawartość plików d:\grupa\oryginal-1.inf (z Ćwiczenia 13) i d:\grupa\oryginal-2.inf jest identyczna (dla porównania zawartości tych plików można się posłużyć poleceniem fc d:\grupa\oryginal-1.inf d:\grupa\oryginal-2.inf).
   Wyżej wymienione pliki mogą stać się szablonami zabezpieczeń umożliwiającymi powrót np. do oryginalnej domyślnie instalowanej w systemie zasady zabezpieczeń komputera lokalnego.

Ćwiczenie 15 (Tworzenie własnego, nowego szablonu zabezpieczeń - przykład postępowania)


1. W drzewie konsoli nazwisko-grupa.msc rozwinąć Security Templates i wskazać D:\WINDOWS\security\templates.
   W oknie szczegółów ukazuje się lista istniejących w systemie szablonów.
   W drzewie konsoli wskazać prawym przyciskiem myszy D:\WINDOWS\security\templates i wybrać New Template….
   W oknie D:\WINDOWS\security\templates w polu Template name: wprowadzić templ-grupa, gdzie grupa jest nazwą grupy aktualnie odbywającej ćwiczenia np. templ-id213 a w polu Description: np. Moj szablon i użyć przycisku OK. W polu szczegółów pojawia się nowy wpis.

2. W drzewie konsoli rozwinąć D:\WINDOWS\security\templates, następnie kolejno templ-grupa i Local Policies.

3. Wskazać User Rights Assignment i w oknie szczegółów wybrać prawym klawiszem myszy pozycję Shut down the system a następnie Properties (lub dwukrotnie kliknąć). Pojawia się okno Shut down the system Properties.
   
   W karcie Template Security Policy Setting zaznaczyć pole Define these policy settings in the template i użyć przycisku Add User or Group…
   
   W oknie Add Users or Groups, użyć przycisku Browse...
   W oknie Select Users or Groups, w polu From this location: sprawdzić, czy widoczna jest nazwa komputera lokalnego (taka winna być).
   Użyć przycisku Object Types... i w oknie Object Types zaznaczyć dodatkowo pole Groups i zatwierdzić.
   Użyć przycisku Advanced... a następnie Find Now.
   W części Search results: wybrać (stosując klawisz [Ctrl]) pozycje dla grup Administrators, Users i użyć OK.
   Użyć przycisku OK, aby zamknąć okno Add Users or Groups i ponownie OK, aby zamknąć okno Shut down the system Properties.
   Zauważyć, że w oknie szczegółów konsoli przy zasadzie Shut down the system widoczne są teraz grupy Administrators i Users. W wyniku powyższych działań również członkowie grupy Users będą mogli zamknąć system (po zastosowaniu tego szablonu).

4. W oknie szczegółów dla User Rights Assignment dwukrotnie kliknąć na pozycji Force shutdown from the remote system (Wymuszanie zamknięcia systemu z systemu zdalnego).
   W oknie Force shutdown from the remote system Properties zaznaczyć pole Define these policy settings in the template i, nie definiując dla jakich kont/grup lokalnych użytkowników ma stosować się ta zasada, zatwierdzić.
   W tym przypadku oznacza to deklarację, by żadne z kont użytkowników znajdujących się w zdalnym systemie nie posiadało prawa do zdalnego zamykania systemu (blokowanie zdalnych możliwości polecenia shutdown).

5. W drzewie konsoli wskazać dla szablonu templ-grupa Security Options, a w oknie szczegółów dwukrotnie kliknąć na pozycji Interactive logon: Do not display last username.
   W oknie Interactive logon: Do not display last user name Properties zaznaczyć pola Define this policy settings in the template i Enabled oraz użyć OK.
   Zauważyć, że w oknie szczegółów przy zasadzie Interactive logon: Do not display last user name wyświetlony jest napis Enabled.

6. W oknie szczegółów, dla templ-grupa w Security Options, dwukrotnie kliknąć na pozycji
   Interactive logon: Message text for users attemting to log on.
   W oknie Interactive logon: Message text for users attemting to log on zaznaczyć pole Define these policy settings in the template:, wprowadzić ustalony przez siebie tekst komunikatu i użyć przycisku OK.

7. W oknie szczegółów, dla templ-grupa w Security Options, dwukrotnie kliknąć na pozycji
   Interactive logon: Message title for users attemting to log on.
   W oknie Interactive logon: Message title for users attemting to log on zaznaczyć pole Define these policy settings in the template, wprowadzić ustalony przez siebie dowolny tekst tytulowy okna powitalnego i użyć przycisku OK.

8. Dokonać zapisu dokonanych zmian w szablonie wybierając z menu podręcznego szablonu templ-grupa opcję Save.

Ćwiczenie 16 (Analiza i konfiguracja zasad bezpieczeństwa komputera przy użyciu szablonu zabezpieczeń)

UWAGA: Wdrażanie istniejącego w systemie, zakupionego lub samodzielnie przygotowanego szablonu

zabezpieczeń jest jedną z możliwych dróg postępowania dla kompleksowego konfigurowania ustawień

zabezpieczeń. W praktyce, należy się liczyć z tym, że zajdzie konieczność dodatkowej ingerencji w wybrane

ustawienia zabezpieczeń różnych lokalnych systemów. Modyfikacji wybranych ustawień zabezpieczeń dokonuje się

przy użyciu edytora Group Policy Object Editor, a w nim, przez zastosowanie

Local Computer Policy - Computer Configuration - Windows Settings - Security Settings.

Dla przykładu, aby uchronić komputer przed możliwością zdalnego zamknięcia lub restartu należy wybrać Local Computer Policy - Computer Configuration - Windows Settings - Security Settings - Local Policy - User Rights Assignment.
W właściwościach zasady Force shutdown from the remote system zaznaczyć istniejący domyślnie wpis Administrators (potencjalnie może być więcej wpisów) i użyć Remove a następnie zatwierdzić.


Część I: Analiza zasad bezpieczeństwa - porównanie dwóch szablonów

1. W drzewie konsoli wybrać Security Configuration and Analysis. Zauważyć, że w oknie szczegółów pojawia się instrukcja dotycząca sposobu dalszego postępowania.

2. Wskazać prawym przyciskiem myszy Security Configuration and Analysis i z menu podręcznego wybrać polecenie Open Database...
   
   W oknie Open database pozostawić domyślną lokalizację pliku w rubryce Look in: (d:\Documents and Settings\Administrator\My Documents\Security\Database) a w polu File name: wprowadzić szxxx, gdzie szxxx jest nazwą lokalnego komputera np. sz453 i użyć przycisku Open.
   
   W pojawiającym się oknie Import Template, w polu Look in: wybrać d:\WINDOWS\security\templates i wskazać plik templ-grupa.inf oraz użyć przycisku Open.


Zauważyć, że w oknie szczegółów pojawia się informacja wskazująca na możliwość konfiguracji lub analizy systemu zabezpieczeń.

3. W drzewie konsoli wskazać prawym przyciskiem myszy Security Configuration and Analysis i z menu podręcznego wybrać polecenie Analyze Computer Now...
   
   W pojawiającym się oknie Perform Analysis zaakceptować domyślną lokalizację (d:\Documents and Settings\Administrator\My Documents\Security\Logs) i nazwę - szxxx.log - pliku dziennika operacji a następnie wybrać przycisk OK.
   
   Dzięki tej operacji następuje porównanie ustawień w przygotowanym szablonie templ-grupa z ustawieniami aktualnie obowiązującymi w systemie.
   W oknie szczegółów Security Configuration and Analysis przejrzeć dla Local Policies zawartość User Rights Assignment i Security Options. Zauważyć, że w kolumnie Policy wyróżnione zostały, białym znakiem X na czerwonym okrągłym polu, te ustawienia, które były modyfikowane w Ćwiczeniu 15.

4. Otworzyć plik d:\Documents and Settings\Administrator\My Documents\Security\Logs\szxxx.log.
   Wyszukać w tekście pozycje rozpoczynające się od słowa Mismatch (posłużyć się w menu Edit - Find).
   Winno być znalezionych pięć pozycji dotyczących zmian wynikających z działań w Ćwiczeniu 15.
   

Część II: Zastosowanie nowych, wcześniej zdefiniowanych, zasad bezpieczeństwa komputera lokalnego

5. W oknie drzewa konsoli wskazać prawym klawiszem myszy Security Configuration and Analysis i wybrać polecenie Configure Computer Now.
   W pojawiającym się oknie Configure System zaakceptować domyślną lokalizację (d:\Documents and Settings\Administrator\My Documents\Security\Logs) i nazwę - szxxx.log - pliku dziennika operacji a następnie użyć przycisku OK. Po zakończonej operacji dokonać przeglądu zawartości pliku szxxx.log np. wybierając View Log File z menu kontekstowego Security Configuration and Analysis.

6. W oknie drzewa konsoli wskazać prawym klawiszem myszy Security Configuration and Analysis i wybrać polecenie Analyze Computer Now...
   
   W pojawiającym się oknie Perform Analysis zaakceptować lokalizację i nazwę - szxxx.log - pliku dziennika operacji (d:\Documents and Settings\Administrator\My Documents\Security\Logs) a następnie wybrać przycisk OK.
   Po zakończeniu analizy, wybrać folder (dla sprawdzenia rezultatów w przypadku Security Options) Security Configuration and Analysis - Local Policies - Security Options.
   
   Zauważyć, że w oknie szczegółów konsoli, w kolumnach Database Setting i Computer Setting wyróżnione zostały, zielonym znakiem * na tle białego koła, te ustawienia, które były modyfikowane w Ćwiczeniu 15. Wpisy w kolumnach Database Setting i Computer Setting dla tych ustawień są identyczne.
   
   W drzewie otwartej konsoli wybrać z menu kontekstowego Local Computer Policy - Computer Configuration - Windows Settings - Security Settings opcję Reload i dokonać przeglądu zapisów w Local Policies - Security Options. Wpisy powinny uwzględniać dokonane wcześniej zmiany.
   Zamknąć, zapisując !!! ustawienia, okno konsoli nazwisko-grupa.msc. Wylogować się.
   

Część III: Sprawdzenie skuteczności dokonanych zmian zabezpieczeń

7. Zalogować się jako bilbo-grupa. Sprawdzić: czy pojawiło się okno komunikatu z tytułem i treścią skonfigurowanymi wcześniej (powinno się pojawić) - jeżeli pojawiło się należy użyć przycisku OK; czy w oknie Log On to Windows wyświetlana jest nazwa ostatnio zalogowanego użytkownika (nie powinna się pojawić). Czy będąc zalogowanym jako bilbo-grupa można zamknąć system?
   Wylogować się.

8. Poprosić, by użytkownik innego komputera w sieci podjął, będąc zalogowanym jako Administrator, próbę zdalnego zamknięcia „naszego” systemu przy użyciu (w Command Prompt) polecenia
   shutdown -i. Próba winna się zakończyć niepowodzeniem. Po stronie użytkownika wydającego to polecenie powinien być wyświetlony (w Command Prompt) komunikat: nazwa_komputera: Access is denied.(5).
   Jest to wynikiem zastosowania, zadeklarowanej (w Ćwiczeniu 15, punkt 4) zmiany domyślnych ustawień Force shutdown from the remote system i zastosowania tej zasady w Ćwiczeniu 16.
   
   

Ćwiczenie 17 (Przywrócenie lokalnych ustawień zabezpieczeń przy zastosowaniu
wcześniej zapisanego wzorca - przykład postępowania)


1. Zalogować się jako Administrator i otworzyć konsolę nazwisko-grupa.msc.
   W oknie drzewa konsoli wskazać prawym klawiszem myszy Security Settings i wybrać polecenie Import Policy...
   W oknie Import Policy From w polu Look in: wybrać d:\grupa a w polu File name: wybrać oryginal-2 i użyć przycisku Open.

2. W oknie drzewa konsoli wskazać prawym klawiszem myszy Security Settings i wybrać polecenie Reload.
   Wylogować się.

3. Zalogować się ponownie jako Administrator. Zauważyć, że nie pojawia się okno z komunikatem oraz, że nazwa ostatnio zalogowanego użytkownika jest wyświetlana. Zostały przywrócone ustawienia zabezpieczeń do stanu systemu przed wykonaniem Ćwiczenia 16.




Ćwiczenie 18 [Dodatkowe] (Przeglądanie dziennika Event Viewer)

1. Będąc zalogowanym jako Administrator z menu Administrative Tools wybrać Event Viewer.
   W oknie drzewa konsoli Event Viewer wybrać Security i dokonać przeglądu dziennika zwracając szczególną uwagę (w kolumnie Type) na wpisy Failure Audit. Zamknąć konsolę Event Viewer.




Ćwiczenie 19 (Porządki)


Będąc zalogowanym jako Administrator:

1. Otworzyć Command Prompt i uruchomić skrypt d:\zaj5\dekonfiguracja5.cmd wydając polecenie:
   d:\zaj5\dekonfiguracja5.cmd nazwa_grupy_studenckiej
   Warunkiem pełnego powodzenia operacji jest wykonanie, zgodnie z zamieszczonymi powyżej tokiem zajęć, ćwiczeń dotyczących uprawnień do plików i folderów (również operacji przejmowania na własność).

2. Nie usuwać !!! foldera d:\grupa.

3. Uruchomić Local Security Policies w Administrative Tools. W drzewie konsoli wybrać Security Settings - Local Policies - Audit Policy. W oknie szczegółów usunąć opcje Success i Failure ze wszystkich pozycji oprócz Audit account logon events (winno być tylko Success) i Audit logon events (winno być tylko Success).
   Z menu kontekstowego Security Settings wybrać operację Reload.

4. Usunąć folder d:\zaj5 i niżej wymienione pliki:

• d:\Documents and Settings\Administrator\Start Menu\Programs\Administrative Tools\nazwisko-grupa.msc

• d:\WINDOWS\Security\Templates\templ-grupa

• d:\Documents and Settings\Administrator\My Documents\Security\Database\szxxx.sdb

• d:\Documents and Settings\Administrator\My Documents\Security\Logs\szxxx.log

5. Zamknąć system.

Wersja 3.5, 2006.03.16

18

Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ

---