Arvutiteaduse instituut
  1. Kursused
  2. 2019/20 sügis
  3. Operatsioonisüsteemid (LTAT.06.001)
EN
Logi sisse

Operatsioonisüsteemid 2019/20 sügis

  • Pealeht
  • Loengud
  • Praktikumid
  • Kodutööd

Windowsi turvalisus

Käesolev praktikum annab harjutusülesannete abil ülevaate Windowsi põhilistest turvaseadetest, mitmekasutajasüsteemide turvamisest ning Windows 10 muudatustest.

Enamik kaasaegsete operatsioonisüsteemide turvalisuse tagab kasutaja õiguste (permissions) ja privileegide (priviledges) kombinatsioon. Oluline on meeles pidada, et privileegid on tugevamad kui õigused (Priviledges beat permissions). Eelmise lause tõestuseks vaadelgem olukorda, kus "Administraatori privileegidega" kasutajal on keelatud kaustale ligipääs failiõigustega. Administraator kasutajal on luba muuta failiõigusi (isegi kui tal puudub ligipääs vastavatele failidele varem) seega võib ta lihtsalt anda iseendale õiguse failidele ligipääsuks.

Esimene samm turvalisema ja paremini kaitstud operatsioonisüsteemini on aktsepteerida, et eksimine on inimlik ja võtta ära kõigilt kasutajatelt (k.a. iseendalt) administraatori õigused. Enamasti on suurem osa operatsioonisüsteemide ründeid toimunud kasutaja osalusel, kus üks või mitu kasutajat on eksinud ja seetõttu on süsteem kompromiteerunud. Praktikas tähendab see seda, et sa pead omama mitut kasutajat nn tavaõigustes kasutaja igapäevategevusteks ja administraator kasutaja olukordadeks kus tõesti läheb vaja kõrgendatud õigusi süsteemis. Microsoft üritab seda loogikat alates Windows 8-st ka kasutajatele peale suruda hoides ka nn administraatori õigustes kasutajaid enamasti tavaõigustes ja kui on vaja rohkem õigusi käivitada Secure desktop (nn turvaaken kus kasutaja peab järele mõtlema kas ta on ikka kindel et tahab jätkata). Kahjuks on tänaseks mitmeid võimalusi kuidas UAC turvaaknast mööda pääseda ja kuigi vastav lahendus on oluliselt parandanud turvalisust on enamik "administraatori õigustega" tavakasutajad endiselt kerge saak pahalastele. Täiendavalt peaks kasutama kõigi andmete krüpteerimist tagamaks andmete turvalisus olukordadeks, kus konkreetne andmekandja ühendatakse mõne muu seadmega, mis ignoreerib faili või muid õigusi ja pääseb endiselt andmetele ligi.

Enne praktikumiga alustamist veendu, et sinu virtuaalmasina Windows 10 on aktiveeritud.

Windowsi kausta ja failiõigused

Windowsi operatsioonisüsteem tuleks seadistada selliselt, et tavakasutajad ei toimetaks vaikimisi administraatoriõigustes. Vastasel juhul võivad viirused ja muu pahavara samuti lihtsamini administraatoriõigustes tegutseda. Samuti on oht, et vähem kogenud arvutikasutajad võivad süsteemi kahjustada (installeerida kahtlaseid programme jne). Lisaks privaatsuse tagamisel multikasutajasüsteemides on soovitatav teha administraatori õigusteta tavakasutaja ka enesekindlamatel ja kogenud spetsialistidel oma üksikasutajasüsteemis.

Loo 2 tavakasutajat arvutit kasutavate töötajate jaoks ja 1 tavakasutaja Ülemusele

Tagamaks kasutajaandmete turvalisus loo igale kasutajale vähemasti üks kaust C:\<kasutajanimi>, millele saab ligi vaid kasutaja ise ning administraator.

Kaustade ja failid ligipääsuõigusi näed ja saad muuta järgnevalt: 
Paremklõps kaustal/failil -> Atribuudid -> Turve -> Täpsemalt

PS! Pööra tähelepanu kausta õiguste pärilusele!

Tegevjuht palus sul luua kasutaja ka töötajate ülemusele. Ülemuse kasutajaõigused on sarnased töötajatele, kuid ülemusel peab olema lugemisõigus ka töötajate piiratud ligipääsuga kasutajakaustadele. Lisa töötajate kaustadele õigused, et ülemus saaks kaustade sisu lugeda, aga mitte muuta.

Õigusi saate kontrollida näiteks Kehtiv Juurdepääs vaates.

Esita ekraanivaade, kus on näha ühe töötaja kausta õigused, mis vastavad eelpool mainitud nõuetele. (Ainult üks tavakasutaja saab kausta sisu ja seal olevaid faile muuta ja Ülemus kasutaja saab kausta sisu ainult lugeda. PS! Ülalolev näidispilt on ülemus kasutaja õiguste kontrolli kohta kaustas, mitte kausta õigused.)

Windows 10 turvalisus

Harjutamaks operatsioonisüsteemi seadistamist tavakasutaja õigustes (administraatori parooli sisestamist küsimise peale) soovitame siitmaalt edasi sooritada kogu praktikum Ülemus kasutajana. Tegevustes kus ülemuse piiratud õigustest puudu jääb sisestage küsimise peale administraator kasutaja (vaikimis antud) ja parool.

Windows 10 tõi kaasa mitmed olulised turvaalased muudatused, kus vaikeseadistustel on kasutaja privaatsuse asemel rõhk pandud kasutusmugavusele. Windows 10 (ning peale uuendusi ka Windows 8 ning Windows 7) kasutavad seadmed edastavad Microsofti serveritele infot klaviatuurisisestuste, puuteekraani kasutamise, asukoha, ühendatud seadmete, ühendatud võrkude, kalendrikirjete, e-kirjade sisu, kaamerapildi, mikrofoni sisendi ja muude kasutusharjumuste kohta. Sisuliselt on Windows 10 sisse ehitatud täisfunktsionaalne jälitustarkvara. Suurimaks ohu allikaks on Microsofti poolne ebaselge sõnastus kogutava info täpse hulga ja sisu kohta ning lahtine sõnastus usaldatud partnerite osas, kellele sinu seadmetest kogutud personaalinfot jagatakse. Firmas või akadeemilises asutuses võib selline ebaselgus tuua kaasa oluliste ärisaladuste või teadustöö tulemuste lekkimise. 

Ava Sätted - > Privaatsus ning vaata läbi oma virtuaalmasina privaatsussätted.

Kindlasti tuleks muuta järgmised seaded:

  1. Luba rakendustel kasutada minu reklaami ID-d rakendusteüleselt - Väljas
  2. Asukoht - Väljas
  3. Kaamera -> väljas
  4. Muud seadmed -> Saate lubada rakendustel automaatselt teavet jagada ja sünkroniseerida raadiovõrguseadmetega, mis ei vaja teie laua- või tahvelarvuti või telefoniga ühendamist - Väljas
  5. Tagasiside ja diagnostika -> Diagnostika- ja kasutusandmed - Põhiline

Lisaks eelmainitule vaata üle ka teised Privaatsussätete alamlehed ning neil pakutud valikud.

Uuri ja kirjelda lühidalt, millise info saatmist/milliseid võimalikke turvariske vähendab iga üleval välja toodud punkt ning muud Privaatsussätete alamlehtedel toodud valikud (Näiteks milleks on vaja ning mis riske võib endaga kaasa tuua rakendustel e-kirjade saatmise lubamine).

Juhtpaneelis (Control Panel) muuda järgmised seadistused: 
Juhtpaneel -> Süsteem ja turve -> Kasutajakonto kontrolli sätete muutmine ->

Vali ise sobiv turvalisusaste ning põhjenda valikut praktikumi aruandes.

Windowsi turvapoliitikad ja turvamallid (Group policy)

Group policy kontrollib seda, mida kasutajad saavad või ei saa arvutis teha. Erinevalt Local Security Policyst kehtib Group Policy mingi arvutite grupi, näiteks kõigi ühte domeeni ühendatud arvutite kohta. Suuremate süsteemide puhul, näiteks firmades, kasutatakse seda terve sisevõrku ühendatud arvutipargi juhtimiseks. Sarnaselt Local Security Policyle, määrab see ära nõuded paroolidele, automaatsele välja logimisele, kasutajate õigustele ja kõrgendatud õiguste (adminkonto) kasutamisele. Väga oluline on Group Policy puhul võimalus erinevaid tegevusi logida, mis võivad rünnete või muude tõrgete puhul aidata vea allikat leida. Üht komplekti Group Policy seadeid nimetatakse Group Policy Objectiks. Kuigi Group Policy seadeid muudetakse enamasti serveris, siis Group Policy analoog tavamasinas on Local Security Policy, mille seadistamisega järgmisena tegeleme.

Analüüsile tuginedes võttis juhatus vastu otsuse kõik arvutid uusimale Windowsile migreerida. Pead seadistama mitme kasutaja vahel jagatava arvuti nii, et tagatud on andmete turvalisus. Hea turvapraktika ütleb, et kasutajad tuleb luua tavakasutajatena, peab piirama ligipääsu olulistele süsteemisätetele, tagatud peab olema sisselogimise turvalisus ning kõik sisselogimised peavad olema auditeeritavad.
Local Security Policy (secpol.msc) tööriistas muuda kindlasti järgnevad seadistused: (lisainfot seadistamise võimaluste kohta saadiga valiku juures oleva Explain saki alt) 

 
Account Policies -> Account lockout policy -> ; Account lockout threshold - 5 invalid logon attemts; Account lockout duration - 3 minutes ; Reset account lockout counter - after 3 minutes 
Local Policies -> Audit policy -> Audit account logon events - Success,failure; Audit logon events - Success,failure 
Local Policies -> Security options -> Interactive logon: Display user information when session is locked - Do not display user information; User Account Control: Behavior of the elevation prompt for standard users - Automatically deny elevation requests

Vali veel vähemalt 5 seadistust, mida tuleks muuta või üle vaadata, et tagada arvutis olevate andmete ja kasutajate isikuandmete kaitse. Põhjenda oma valikuid. Ekspordi Local Security Policy tööriistast iga seadistuste kategooria kohta *.txt fail ning kopeeri AINULT asjassepuutuvate muudetud seadistuste kohta käivad read oma vikilehele. (Eksportimiseks vali hiirega sobiv võimalikult madala taseme kaust, tee kaustal paremklõps ning vali Ekspordi loend. Väljundiks saad tekstifaili). Vormista vastus vikilehel tabelina või muul kergesti loetaval kujul.

Testimine

Testi loodud turvasüsteemi, katsetades ebaõige kasutajanime ja parooliga sisse logimist, proovi tavakasutajana ligi pääseda teiste kasutajate turvalistele kaustadele ning muuta Windowsi seadistusi. Veendu kohustuslike ja enda valitud turvaseadete rakendumises.
Veendumaks, et admistraatoriõigusteta tavakasutaja alt saab kiirelt ka erinevaid programme installeerida, siis logige sisse ühe tehtud tavakasutaja alt ning tõmmake alla snipping tool-i alternatiivne programm http://shotty.devs-on.net/. Pakkige allalaaditud fail lahti ning topelt-klikake failile ShottyInstall.exe. Kuna tavakasutajal pole õigusi programme installeerida, siis avatakse hoiatuse aken. NB! Eelmises ülesandes me keelasime kõrgendatud õiguste küsimise. Lubage jälle administraatori õiguste küsimine tavakasutajal ja korrake tegevust. Nüüd küsitakse programmi paigaldamisel administraatori kasutajat ja parooli. Sisestage parool ning jätkake paigaldust.

Lisa vähemalt 2 ekraanivaatet erinevatest keeluteavituste ja Kasutajakonto kontrolli teavituste kohta. Pildiallkirjas märgi ära, mis kasutajana mis toimingut proovisid teha.

Turbelogid

Kasutades Event Viewer tööriista leia logidest info testimise käigus tehtud ebaõnnestunud sisselogimiskatsete kohta. 

Event Viewer -> Windows Logs -> Security

Esita ekraanivaade event Vieweri aknast, kus on selgelt näha logikirje ebaõnnestunud sisselogimiskatse kohta.

Windows Registri muutmine

Register on kõigi 32 ja 64-bitiste Windows’i versioonide keskne süsteemikonfiguratsiooni andmebaas, mis sisaldab selle arvuti riist- ja tarkvara seadistusi, kuhu Windows on installeeritud. Register koosneb failidest SYSTEM.DAT ja USER.DAT. Registrisse on salvestatud palju selliseid seadistusi, mis 16-bitise Windows’i (Windows 3.x) puhul olid kirjas failides WIN.INI ja SYSTEM.INI.

Registrit saab toimetada otse, kuid see nõuab väga kõrget kvalifikatsiooni ja seda tehakse ainult äärmisel vajadusel, olles eelnevalt teinud registrist varukoopia. Tavaliselt pöördutakse registri poole juhtpaneeli (Control panel) või muu graafilise tööriista kaudu. Arvutis, kuhu on installeeritud palju rakendusi ja mida on pikemat aega kasutatud, võib register sisaldada isegi kuni sada tuhat kannet.

Registrivõti Microsoft Windows opsüsteem hoiab registris andmeid arvutisse installeeritud tarkvara (kaasa arvatud opsüsteem ise) ja süsteemi seadistuste kohta. Registrivõti näeb välja nagu failisüsteemi kataloog, st on hierarhilise (puukujulise) struktuuriga. Registrivõtmeid saab näha, kui avada registriredaktor (Start -> Run -> regedit.exe). Registrivõtmed ilmuvad akna vasakusse poolde. Akna paremas pooles näeb registrikannete väärtusi. NB! Ärge tehke registrivõtmes ega registrikannetes mingeid muudatusi, kui see pole hädavajalik ja kui te pole arvutiekspert! Asjatundmatud muudatused võivad muuta arvuti kasutuskõlbmatuks! Kõige kõrgemal tasemel on juurvõtmed e. tarud, mis on nagu kettad arvuti kataloogipuus. Tarusid nimetatakse ka juurvõtmeteks. Igas tarus sisalduv informatsioon on salvestatud eraldi failina kõvakettale. Taru sisu koosneb võtmetest, alamvõtmetest, nende alamvõtmetest jne. Kõige madalama taseme alamvõtmete sisu näeb akna paremas pooles (sarnaselt failidele failisüsteemis). Registrivõti on näit. HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\KeyboardClass, mis paikneb tarus HKEY_LOCAL_MACHINE. (Seletus pärineb www.vallaste.ee lehelt)

Järgnevalt teeme läbi väikese näite Windows registry muutmisest:

  1. Avage registry vaatamise ja muutmise tööriist regedit
  2. Otsige üles registrikataloog HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
  3. Lisage sinna uus DWORD registrivõti nimega DisplayLastLogonInfo
  4. Nüüd muutke registrivõtme HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisplayLastLogonInfo väärtus 0-st 1-ks
  5. Sulgege regedit tööriist
  6. Logige arvutist välja ja uuesti sisse ning nüüd peaks teid tervitama info viimase arvutisse sisselogimise kohta

Tehke ekraanivaade DisplayLastLogonInfo registrivõtmest koos väärtusega 1.

Tulemus

Viki lehel tule vastata järgmistele küsimustele.

  1. Ekraanivaade turvalise kausta seadetest (ainult üks kasutaja saab teha kõike ja Ülemus ainult lugeda)
  2. Sobiv kasutajakonto kontrolli seadistus koos põhjendusega (Süsteem ja turve)
  3. Kirjelda 5 lisaseadistust turvalisuse tagamiseks, koos põhjendustega (Local Security Policy tööriist).
  4. Minimaalselt 2 ekraanivaadet testimise käigus esinenud keeluteavitustest, koos selgitusega mida ning millise kasutajaga tehti.
  5. Ekraanivaade Event Vieweri aknast, kus näha ebaõnnestunud sisselogimiskatsete logikirje
  6. Tehke ekraanivaade DisplayLastLogonInfo registrivõtmest koos väärtusega 1.

Kui teil viki lehekülg valmis on, siis lisage meile kommentaar (koos mingi tühja failiga).

9. Praktikum 9 - Windowsi turvalisus
Sellele ülesandele ei saa enam lahendusi esitada.

(Tähtaeg 2 nädalat)

  • Arvutiteaduse instituut
  • Loodus- ja täppisteaduste valdkond
  • Tartu Ülikool
Tehniliste probleemide või küsimuste korral kirjuta:

Kursuse sisu ja korralduslike küsimustega pöörduge kursuse korraldajate poole.
Õppematerjalide varalised autoriõigused kuuluvad Tartu Ülikoolile. Õppematerjalide kasutamine on lubatud autoriõiguse seaduses ettenähtud teose vaba kasutamise eesmärkidel ja tingimustel. Õppematerjalide kasutamisel on kasutaja kohustatud viitama õppematerjalide autorile.
Õppematerjalide kasutamine muudel eesmärkidel on lubatud ainult Tartu Ülikooli eelneval kirjalikul nõusolekul.
Courses’i keskkonna kasutustingimused