Windowsi turvalisus
Käesolev praktikum annab probleemülesande abil ülevaate Windowsi põhilistest turvaseadetest, mitmekasutajasüsteemide turvamisest ning Windows 10 muudatustest.
Enne praktikumiga alustamist veendu, et sinu virtuaalmasina Windows 10 on aktiveeritud.
Windows 10 turvalisus
Windows 10 tõi kaasa mitmed olulised turvaalased muudatused, kus vaikeseadistustel on kasutaja privaatsuse asemel rõhk pandud kasutusmugavusele. Windows 10 (ning peale uuendusi ka Windows 8 ning Windows 7) kasutavad seadmed edastavad Microsofti serveritele infot klaviatuurisisestuste, puuteekraani kasutamise, asukoha, ühendatud seadmete, ühendatud võrkude, kalendrikirjete, e-kirjade sisu, kaamerapildi, mikrofoni sisendi ja muude kasutusharjumuste kohta. Sisuliselt on Windows 10 sisse ehitatud täisfunktsionaalne jälitustarkvara. Suurimaks ohu allikaks on Microsofti poolne ebaselge sõnastus kogutava info täpse hulga ja sisu kohta ning lahtine sõnastus usaldatud partnerite osas, kellele sinu seadmetest kogutud personaalinfot jagatakse. Firmas või akadeemilises asutuses võib selline ebaselgus tuua kaasa oluliste ärisaladuste või teadustöö tulemuste lekkimise.
Ava Sätted - > Privaatsus ning vaata läbi oma virtuaalmasina privaatsussätted.
Kindlasti tuleks muuta järgmised seaded:
- Luba rakendustel kasutada minu reklaami ID-d rakendusteüleselt - Väljas
- Asukoht - Väljas
- Kaamera -> väljas
- Muud seadmed -> Saate lubada rakendustel automaatselt teavet jagada ja sünkroniseerida raadiovõrguseadmetega, mis ei vaja teie laua- või tahvelarvuti või telefoniga ühendamist - Väljas
- Tagasiside ja diagnostika -> Diagnostika- ja kasutusandmed - Põhiline
Lisaks eelmainitule vaata üle ka teised Privaatsussätete alamlehed ning neil pakutud valikud.
Uuri ja kirjelda lühidalt, millise info saatmist/milliseid võimalikke turvariske vähendab iga üleval välja toodud punkt ning muud Privaatsussätete alamlehtedel toodud valikud (Näiteks milleks on vaja ning mis riske võib endaga kaasa tuua rakendustel e-kirjade saatmise lubamine).
Windowsi turvapoliitikad ja turvamallid (Group policy)
Group policy kontrollib seda, mida kasutajad saavad või ei saa arvutis teha. Erinevalt Local Security Policyst kehtib Group Policy mingi arvutite grupi, näiteks kõigi ühte domeeni ühendatud arvutite kohta. Suuremate süsteemide puhul, näiteks firmades, kasutatakse seda terve sisevõrku ühendatud arvutipargi juhtimiseks. Sarnaselt Local Secrity Policyle, määrab see ära nõuded paroolidele, automaatsele välja logimisele, kasutajate õigustele ja kõrgendatud õiguste (adminkonto) kasutamisele. Väga oluline on Group Policy puhul võimalus erinevaid tegevusi logida, mis võivad rünnete või muude tõrgete puhul aidata vea allikat leida. Üht komplekti Group Policy seadeid nimetatakse Group Policy Objectiks. Kuigi Group Policy seadeid muudetakse enamasti serveris, siis Group Policy analoog tavamasinas on Local Security Policy, mille seadistamisega järgmisena tegeleme.
Analüüsile tuginedes võttis juhatus vastu otsuse kõik arvutid uusimale Windowsile migreerida. Pead seadistama mitme kasutaja vahel jagatava arvuti nii, et tagatud on andmete turvalisus. Hea turvapraktika ütleb, et kasutajad tuleb luua tavakasutajatena, peab piirama ligipääsu olulistele süsteemisätetele, tagatud peab olema sisselogimise turvalisus ning kõik sisselogimised peavad olema auditeeritavad.Local Security Policy (secpol.msc)
tööriistas muuda kindlasti järgnevad seadistused: (lisainfot seadistamise võimaluste kohta saadiga valiku juures oleva Explain saki alt)
Account Policies -> Account lockout policy -> ; Account lockout threshold - 5 invalid logon attemts; Account lockout duration - 3 minutes ; Reset account lockout counter - after 3 minutes
Local Policies -> Audit policy -> Audit account logon events - failure; Audit logon events - failure
Local Policies -> Security options -> Interactive logon: Display user information when session is locked - Do not display user information; User Account Control: Behavior of the elevation prompt for standard users - Automatically deny elevation requests
Vali veel vähemalt 5 seadistust, mida tuleks muuta või üle vaadata, et tagada arvutis olevate andmete ja kasutajate isikuandmete kaitse. Põhjenda oma valikuid. Ekspordi Local Security Policy tööriistast iga seadistuste kategooria kohta *.txt fail ning kopeeri AINULT asjassepuutuvate muudetud seadistuste kohta käivad read oma vikilehele. (Eksportimiseks vali hiirega sobiv võimalikult madala taseme kaust, tee kaustal paremklõps ning vali "Ekspordi loend". Väljundiks saad tekstifaili). Vormista vastus vikilehel tabelis või muul kergesti loetaval kujul.
Juhtpaneelis (Control Panel) muuda järgmised seadistused:Juhtpaneel -> Süsteem ja turve -> Kasutajakonto kontrolli sätete muutmine ->
Vali ise sobiv turvalisusaste ning põhjenda valikut praktikumi aruandes.
Windowsi kausta ja failiõigused
Windowsi operatsioonisüsteem tuleks seadistada selliselt, et tavakasutajad ei toimetaks vaikimisi administraatoriõigustes. Vastasel juhul võivad viirused ja muu pahavara samuti lihtsamini administraatoriõigustes tegutseda. Samuti on oht, et vähem kogenud arvutikasutajad võivad süsteemi kahjustada (installeerida kahtlaseid programme jne). Lisaks privaatsuse tagamisel multikasutajasüsteemides on soovitatav teha administraatoriõigusteta tavakasutaja ka enesekindlamatel ja kogenud spetsialistidel oma üksikasutajasüsteemis.
Loo 2 tavakasutajat arvutit kasutavate töötajate jaoks ja 1 tavakasutaja Ülemusele
Tagamaks kasutajaandmete turvalisus loo igale kasutajale vähemasti üks kaust C:\<kasutajanimi>
, millele saab ligi vaid kasutaja ise ning administraator.
Paremklõps kaustal/failil -> Atribuudid -> Turve -> Täpsemalt
PS! Pööra tähelepanu kausta õiguste pärilusele!
Tegevjuht palus sul luua kasutaja ka töötajate ülemusele. Ülemuse kasutajaõigused on sarnased teistele, kuid ülemusel peab olema lugemisõigus ka töötajate piiratud ligipääsuga kasutajakaustadele. Lisa kaustadele vastavad õigused. Õigusi saate kontrollida näiteks Kehtiv Juurdepääs vaates.
Esita ekraanivaade, kus on näha ühe töötaja kausta õigused, mis vastavad eelpool mainitud nõuetele. (Ainult üks tavakasutaja saab kausta sisu ja seal olevaid faile muuta ja Ülemus kasutaja saab kausta sisu ainult lugeda)
Testimine
Testi loodud turvasüsteemi, katsetades ebaõige kasutajanime ja parooliga sisse logimist, proovi tavakasutajana ligi pääseda teiste kasutajate turvalistele kaustadele ning muuta Windowsi seadistusi. Veendu kohustuslike ja enda valitud turvaseadete rakendumises.
Veendumaks, et admistraatoriõigusteta tavakasutaja alt saab kiirelt ka erinevaid programme installeerida, siis logige sisse ühe tehtud tavakasutaja alt ning tõmmake alla snipping tool-i alternatiivne programm http://shotty.devs-on.net/. Pakkige allalaaditud fail lahti ning topelt-klikake failile ShottyInstall
. Kuna tavakasutajal pole õigusi programme installeerida, siis avatakse hoiatuse aken. NB! Eelmises ülesandes me keelasime kõrgendatud õiguste
küsimise. Lubage jälle administraatori õiguste küsimine tavakasutajal
ja korrage tegevust. Nüüd küsitakse programmi paigaldamisel administraatori kasutajat
ja parooli
. Sisestage parool ning jätkake paigaldust.
Lisa vähemalt 2 ekraanivaatet erinevatest keeluteavituste ja Kasutajakonto kontrolli teavituste kohta. Pildiallkirjas märgi ära, mis kasutajana mis toimingut proovisid teha.
Turbelogid
Kasutades Event Viewer tööriista leia logidest info testimise käigus tehtud ebaõnnestunud sisselogimiskatsete kohta.
Event Viewer -> Windows Logs -> Security
Esita ekraanivaade event Vieweri aknast, kus on selgelt näha logikirje ebaõnnestunud sisselogimiskatse kohta.
Windows Registri muutmine
Register on kõigi 32 ja 64-bitiste Windows’i versioonide keskne süsteemikonfiguratsiooni andmebaas, mis sisaldab selle arvuti riist- ja tarkvara seadistusi, kuhu Windows on installeeritud. Register koosneb failidest SYSTEM.DAT ja USER.DAT. Registrisse on salvestatud palju selliseid seadistusi, mis 16-bitise Windows’i (Windows 3.x) puhul olid kirjas failides WIN.INI ja SYSTEM.INI.
Registrit saab toimetada otse, kuid see nõuab väga kõrget kvalifikatsiooni ja seda tehakse ainult äärmisel vajadusel, olles eelnevalt teinud registrist varukoopia. Tavaliselt pöördutakse registri poole juhtpaneeli (Control panel) või muu graafilise tööriista kaudu. Arvutis, kuhu on installeeritud palju rakendusi ja mida on pikemat aega kasutatud, võib register sisaldada isegi kuni sada tuhat kannet.
Registrivõti Microsoft Windows opsüsteem hoiab registris andmeid arvutisse installeeritud tarkvara (kaasa arvatud opsüsteem ise) ja süsteemi seadistuste kohta. Registrivõti näeb välja nagu failisüsteemi kataloog, st on hierarhilise (puukujulise) struktuuriga. Registrivõtmeid saab näha, kui avada registriredaktor (Start -> Run -> regedit.exe). Registrivõtmed ilmuvad akna vasakusse poolde. Akna paremas pooles näeb registrikannete väärtusi. NB! Ärge tehke registrivõtmes ega registrikannetes mingeid muudatusi, kui see pole hädavajalik ja kui te pole arvutiekspert! Asjatundmatud muudatused võivad muuta arvuti kasutuskõlbmatuks! Kõige kõrgemal tasemel on juurvõtmed e. tarud, mis on nagu kettad arvuti kataloogipuus. Tarusid nimetatakse ka juurvõtmeteks. Igas tarus sisalduv informatsioon on salvestatud eraldi failina kõvakettale. Taru sisu koosneb võtmetest, alamvõtmetest, nende alamvõtmetest jne. Kõige madalama taseme alamvõtmete sisu näeb akna paremas pooles (sarnaselt failidele failisüsteemis). Registrivõti on näit. HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\KeyboardClass, mis paikneb tarus HKEY_LOCAL_MACHINE. (Seletus pärineb www.vallaste.ee lehelt)
Järgnevalt teeme läbi väikese näite Windows registry muutmisest:
- Avage registry vaatamise ja muutmise tööriist
regedit
- Otsige üles registrikataloog
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- Lisage sinna uus DWORD registrivõti nimega
DisplayLastLogonInfo
- Nüüd muutke registrivõtme
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisplayLastLogonInfo
väärtus 0-st1
-ks - Sulgege
regedit
tööriist - Logige arvutist välja ja uuesti sisse ning nüüd peaks teid tervitama info viimase arvutisse sisselogimise kohta
Tehke ekraanivaade DisplayLastLogonInfo
registrivõtmest koos väärtusega 1
.
Tulemus
Viki lehel tule vastata järgmistele küsimustele.
- Selgitusted Windows 10 privaatsussätete kohta.
- Kirjelda 5 lisaseadistust turvalisuse tagamiseks, koos põhjendustega (
Local Security Policy
tööriist). - Nimekiri Local Policy muudatustest (tabel või nimekiri vikilehele)
- Sobiv kasutajakonto kontrolli seadistus koos põhjendusega (Süsteem ja turve)
- Ekraanivaade turvalise kausta seadetest (ainult üks kasutaja saab teha kõike ja Ülemus ainult lugeda)
- Minimaalselt 2 ekraanivaadet testimise käigus esinenud keeluteavitustest, koos selgitusega mida ning millise kasutajaga tehti.
- Ekraanivaade Event Vieweri aknast, kus näha ebaõnnestunud sisselogimiskatsete logikirjed
- Tehke ekraanivaade
DisplayLastLogonInfo
registrivõtmest koos väärtusega1
.
Kui teil viki lehekülg valmis on, siis lisage meile kommentaar (koos mingi tühja failiga).
9. Praktikum 9 - Windowsi turvalisus(Tähtaeg 2 nädalat)