Windowsi turvalisus
Kohapeal olijad palun registreerige enda praktikumis osalemine vastaval veebilehel http://cs.ut.ee/reg
Käesolev praktikum annab harjutusülesannete abil ülevaate Windows
i põhilistest turvalisusega seotud tööriistadest, turvaseadetest, mitmekasutajasüsteemide turvamisest ning Windows 10 muudatustest.
Enamik kaasaegsete operatsioonisüsteemide turvalisuse tagab kasutaja õiguste (permissions) ja privileegide (priviledges) kombinatsioon. Oluline on meeles pidada, et privileegid on tugevamad kui õigused (Priviledges beat permissions). Eelmise lause tõestuseks vaadelgem olukorda, kus "Administraatori privileegidega" kasutajal on keelatud kaustale ligipääs failiõigustega. Administraator kasutajal on luba muuta failiõigusi (isegi kui tal puudub ligipääs vastavatele failidele varem) seega võib ta lihtsalt anda iseendale õiguse failidele ligipääsuks.
Esimene samm turvalisema ja paremini kaitstud operatsioonisüsteemini on aktsepteerida, et eksimine on inimlik ja võtta ära kõigilt kasutajatelt (k.a. iseendalt
) administraatori õigused. Enamasti on suurem osa operatsioonisüsteemide ründeid toimunud kasutaja osalusel, kus üks või mitu kasutajat on eksinud ja seetõttu on süsteem kompromiteerunud. Praktikas tähendab see seda, et sa pead omama mitut kasutajat nn tavaõigustes kasutaja
igapäevategevusteks ja administraator kasutaja
olukordadeks kus tõesti läheb vaja kõrgendatud õigusi süsteemis. Microsoft üritab seda loogikat alates Windows 8-st ka kasutajatele peale suruda hoides ka nn administraatori õigustes kasutajaid enamasti tavaõigustes ja kui on vaja rohkem õigusi käivitada Secure desktop (nn turvaaken kus kasutaja peab järele mõtlema kas ta on ikka kindel et tahab jätkata). Kahjuks on tänaseks mitmeid võimalusi kuidas UAC
turvaaknast mööda pääseda ja kuigi vastav lahendus on oluliselt parandanud turvalisust on enamik "administraatori õigustega" tavakasutajad endiselt kerge saak pahalastele. Täiendavalt peaks kasutama kõigi andmete krüpteerimist tagamaks andmete turvalisus olukordadeks, kus konkreetne andmekandja ühendatakse mõne muu seadmega, mis ignoreerib faili või muid õigusi ja pääseb endiselt andmetele ligi.
Enne praktikumiga alustamist veendu, et sinu virtuaalmasina Windows 10 on aktiveeritud.
Privileegid
Windowsis on 3 levinud õiguste taset
tavakasutaja
(normal user) - Kõige levinum, piiratud õigused, ei saa operatsioonisüsteemis pöördumatuid muudatusi sooritada.adminkasutaja
(''administrator') - kõrgendatud ehk administreerimiseks (süsteemi seadistus, tarkvara paigaldus kõigile kasutajatele) vajalikud õigusedsüsteem
(system) - operatsioonisüsteemi tuum ehk kernel, kõige kõrgemad õigused operatsioonisüsteemis.
Ava stardimenüüst käsuviip
(Command Prompt
, cmd
) ning trükkige sinna käsud whoami
ja whoami /priv
. Järgnevalt avage uuesti käsuviip
kuid seekord administraatori õigustega ning sisestage samad käsud: whoami
, whoami /priv
. Selleks, et saada süsteemi õigustes programmi avada on meil vaja veidikene välist abi. Lae alla programm nimega psexec.exe
Sysinternals tarkvarapaketist https://live.sysinternals.com/ . Nüüd liikuge Administraatori käsureal
õigesse kausta (kuhu PsExec.exe
alla laadisite) ning sisestage käsk PsExec.exe -sid cmd.exe
. Avaneb uus näiliselt administraatori käsurida, kuid kui seal kirjutada whoami
, mida märkate? Proovige ka käsku whoami /priv
. pöörake tähelepanu ka viimasele tulbale Enabled
/Disabled
Võrrelge Administrator
ja SYSTEM
privileege ning kirjutage vähemalt üks tegevus mille jaoks on vaja SYTEM
õigusi.
Windowsi kausta ja failiõigused
Windowsi operatsioonisüsteem tuleks seadistada selliselt, et tavakasutajad ei toimetaks vaikimisi administraatoriõigustes. Vastasel juhul võivad viirused ja muu pahavara samuti lihtsamini administraatoriõigustes tegutseda. Samuti on oht, et vähem kogenud arvutikasutajad võivad süsteemi kahjustada (installeerida kahtlaseid programme jne). Lisaks privaatsuse tagamisel multikasutajasüsteemides on soovitatav teha administraatori õigusteta tavakasutaja ka enesekindlamatel ja kogenud spetsialistidel oma üksikkasutajasüsteemis.
Loo 2 tavakasutajat arvutit kasutavate töötajate jaoks ja 1 tavakasutaja ülemusele
Tagamaks kasutajaandmete turvalisus loo igale kasutajale vähemasti üks kaust C:\OS2020\<kasutajanimi>
, millele saab ligi vaid kasutaja ise ning administraator.
Paremklõps kaustal/failil -> Atribuudid -> Turve -> Täpsemalt
PS! Pööra tähelepanu kausta õiguste pärilusele!
Tegevjuht palus sul luua kasutaja ka töötajate ülemusele. Ülemuse kasutajaõigused on sarnased töötajatele, kuid ülemusel peab olema lugemisõigus ka töötajate piiratud ligipääsuga kasutajakaustadele. Lisa töötajate kaustadele õigused, et ülemus saaks kaustade sisu lugeda, aga mitte muuta.
Õigusi saate kontrollida näiteks Kehtiv Juurdepääs vaates.
Esita ekraanivaade, kus on näha ühe töötaja kausta õigused, mis vastavad eelpool mainitud nõuetele. (Ainult üks tavakasutaja
saab kausta sisu ja seal olevaid faile muuta ja Ülemus
kasutaja saab kausta sisu ainult lugeda. PS!
Ülalolev näidispilt on ülemus kasutaja õiguste kontrolli kohta kaustas, mitte kausta õigused.)
Windows 10 privaatsusätted
Harjutamaks operatsioonisüsteemi seadistamist tavakasutaja õigustes (administraatori parooli sisestamist küsimise peale) soovitame siitmaalt edasi sooritada kogu praktikum Ülemus
kasutajana. Tegevustes, kus ülemuse
piiratud õigustest puudu jääb sisestage küsimise peale administraator kasutaja (vaikimisi antud) ja parool.
Windows 10 tõi kaasa mitmed olulised turvaalased muudatused, kus vaikeseadistustel on kasutaja privaatsuse asemel rõhk pandud kasutusmugavusele. Windows 10 (ning peale uuendusi ka Windows 8 ning Windows 7) kasutavad seadmed edastavad Microsofti serveritele infot klaviatuurisisestuste, puuteekraani kasutamise, asukoha, ühendatud seadmete, ühendatud võrkude, kalendrikirjete, e-kirjade sisu, kaamerapildi, mikrofoni sisendi ja muude kasutusharjumuste kohta. Sisuliselt on Windows 10 sisse ehitatud täisfunktsionaalne jälitustarkvara. Suurimaks ohu allikaks on Microsofti poolne ebaselge sõnastus kogutava info täpse hulga ja sisu kohta ning lahtine sõnastus usaldatud partnerite osas, kellele sinu seadmetest kogutud personaalinfot jagatakse. Firmas või akadeemilises asutuses võib selline ebaselgus tuua kaasa oluliste ärisaladuste või teadustöö tulemuste lekkimise.
Ava Sätted - > Privaatsussätted ning vaata läbi oma virtuaalmasina privaatsussätted.
Kindlasti tuleks muuta järgmised seaded:
- Luba rakendustel kasutada minu reklaami ID-d - Väljas
- vasakul menüüs
Asukoht
- Väljas Kaamera
-> väljas- Muud seadmed -> Saate lubada rakendustel automaatselt teavet jagada ja sünkroniseerida raadiovõrguseadmetega, mis ei vaja teie laua- või tahvelarvuti või telefoniga ühendamist - Väljas
- Tagasiside ja diagnostika -> Diagnostikaandmed - Nõutavad ...
Lisaks eelmainitule vaata üle ka teised Privaatsussätete alamlehed ning neil pakutud valikud.
Uuri ja kirjelda lühidalt, millise info saatmist/milliseid võimalikke turvariske vähendab iga üleval välja toodud punkt ning muud Privaatsussätete alamlehtedel toodud valikud (Näiteks milleks on vaja ning mis riske võib endaga kaasa tuua rakendustel e-kirjade saatmise lubamine).
Juhtpaneelis
(Control Panel) muuda järgmised seadistused: Juhtpaneel -> Süsteem ja turve -> Kasutajakonto kontrolli sätete muutmine ->
Vali ise sobiv turvalisusaste ning põhjenda valikut praktikumi aruandes.
Windowsi turvapoliitikad ja turvamallid (Group policy)
Group policy kontrollib seda, mida kasutajad saavad või ei saa arvutis teha. Erinevalt Local Security Policyst kehtib Group Policy mingi arvutite grupi, näiteks kõigi ühte domeeni ühendatud arvutite kohta. Suuremate süsteemide puhul, näiteks firmades, kasutatakse seda terve sisevõrku ühendatud arvutipargi juhtimiseks. Sarnaselt Local Security Policyle, määrab see ära nõuded paroolidele, automaatsele välja logimisele, kasutajate õigustele ja kõrgendatud õiguste (adminkonto) kasutamisele. Väga oluline on Group Policy puhul võimalus erinevaid tegevusi logida, mis võivad rünnete või muude tõrgete puhul aidata vea allikat leida. Üht komplekti Group Policy seadeid nimetatakse Group Policy Objectiks. Kuigi Group Policy seadeid muudetakse enamasti serveris, siis Group Policy analoog tavamasinas on Local Security Policy
, mille seadistamisega järgmisena tegeleme.
Analüüsile tuginedes võttis juhatus vastu otsuse kõik arvutid uusimale Windowsile migreerida. Pead seadistama mitme kasutaja vahel jagatava arvuti nii, et tagatud on andmete turvalisus. Hea turvapraktika ütleb, et kasutajad tuleb luua tavakasutajatena, peab piirama ligipääsu olulistele süsteemisätetele, tagatud peab olema sisselogimise turvalisus ning kõik sisselogimised peavad olema auditeeritavad.Local Security Policy (secpol.msc)
tööriistas muuda kindlasti järgnevad seadistused: (lisainfot seadistamise võimaluste kohta saadiga valiku juures oleva Explain
saki alt)
Account Policies -> Account lockout policy -> ; Account lockout threshold - 5 invalid logon attemts; Account lockout duration - 3 minutes ; Reset account lockout counter - after 3 minutes
Local Policies -> Audit policy -> Audit account logon events - Success,failure; Audit logon events - Success,failure
Local Policies -> Security options -> Interactive logon: Display user information when session is locked - Do not display user information; User Account Control: Behavior of the elevation prompt for standard users - Automatically deny elevation requests; Only elevate executables that are signed and validated - Enabled.
Vali veel vähemalt 5 seadistust, mida tuleks muuta või üle vaadata, et tagada arvutis olevate andmete ja kasutajate isikuandmete kaitse. Põhjenda oma valikuid. Ekspordi Local Security Policy
tööriistast iga seadistuste kategooria kohta *.txt
fail ning kopeeri AINULT asjassepuutuvate muudetud seadistuste kohta käivad read oma vikilehele. (Eksportimiseks vali hiirega sobiv võimalikult madala taseme kaust, tee kaustal paremklõps ning vali Ekspordi loend
. Väljundiks saad tekstifaili). Vormista vastus vikilehel tabelina või muul kergesti loetaval kujul.
Testimine
Testi loodud turvasüsteemi, katsetades ebaõige kasutajanime ja parooliga sisse logimist, proovi tavakasutajana ligi pääseda teiste kasutajate turvalistele kaustadele ning muuta Windowsi seadistusi. Veendu kohustuslike ja enda valitud turvaseadete rakendumises.
Veendumaks, et admistraatoriõigusteta tavakasutaja alt saab kiirelt ka erinevaid programme installeerida, siis logige sisse ühe tehtud tavakasutaja alt ning tõmmake alla TeamViewer
nimeline programm . Kuna tavakasutajal pole õigusi programme installeerida, siis avatakse hoiatuse aken. NB! Eelmises ülesandes me keelasime kõrgendatud õiguste
küsimise. Lubage jälle administraatori õiguste küsimine tavakasutajal
ja korrake tegevust. Nüüd küsitakse programmi paigaldamisel administraatori kasutajat
ja parooli
. Sisestage parool ning jätkake paigaldust.
Lisa vähemalt 2 ekraanivaatet erinevatest keeluteavituste ja Kasutajakonto kontrolli teavituste kohta. Pildiallkirjas märgi ära, mis kasutajana mis toimingut proovisid teha.
Turbelogid
Kasutades Event Viewer tööriista leia logidest info testimise käigus tehtud ebaõnnestunud sisselogimiskatsete kohta.
Event Viewer -> Windows Logs -> Security
Esita ekraanivaade Event Viewer
i aknast, kus on selgelt näha logikirje ebaõnnestunud sisselogimiskatse kohta.
Windows Registri muutmine
Register on kõigi 32 ja 64-bitiste Windows’i versioonide keskne süsteemikonfiguratsiooni andmebaas, mis sisaldab selle arvuti riist- ja tarkvara seadistusi, kuhu Windows on installeeritud. Register koosneb failidest SYSTEM.DAT ja USER.DAT. Registrisse on salvestatud palju selliseid seadistusi, mis 16-bitise Windows’i (Windows 3.x) puhul olid kirjas failides WIN.INI ja SYSTEM.INI.
Registrit saab toimetada otse, kuid see nõuab väga kõrget kvalifikatsiooni ja seda tehakse ainult äärmisel vajadusel, olles eelnevalt teinud registrist varukoopia. Tavaliselt pöördutakse registri poole juhtpaneeli (Control panel) või muu graafilise tööriista kaudu. Arvutis, kuhu on installeeritud palju rakendusi ja mida on pikemat aega kasutatud, võib register sisaldada isegi kuni sada tuhat kannet.
Registrivõti Microsoft Windows opratsioonisüsteem hoiab registris andmeid arvutisse installeeritud tarkvara (kaasa arvatud operatsioonisüsteem ise) ja süsteemi seadistuste kohta. Registrivõti näeb välja nagu failisüsteemi kataloog, st on hierarhilise (puukujulise) struktuuriga. Registrivõtmeid saab näha, kui avada registriredaktor (Start
-> Run
-> regedit.exe
). Registrivõtmed ilmuvad akna vasakusse poolde. Akna paremas pooles näeb registrikannete väärtusi. NB! Ärge tehke registrivõtmes ega registrikannetes mingeid muudatusi, kui see pole hädavajalik ja kui te pole arvutiekspert! Asjatundmatud muudatused võivad muuta arvuti kasutuskõlbmatuks! Kõige kõrgemal tasemel on juurvõtmed e. tarud, mis on nagu kettad arvuti kataloogipuus. Tarusid nimetatakse ka juurvõtmeteks. Igas tarus sisalduv informatsioon on salvestatud eraldi failina kõvakettale. Taru sisu koosneb võtmetest, alamvõtmetest, nende alamvõtmetest jne. Kõige madalama taseme alamvõtmete sisu näeb akna paremas pooles (sarnaselt failidele failisüsteemis). Registrivõti on näit. HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\KeyboardClass, mis paikneb tarus HKEY_LOCAL_MACHINE. (Seletus pärineb www.vallaste.ee lehelt)
Järgnevalt teeme läbi väikese näite Windows registry muutmisest:
- Avage registry vaatamise ja muutmise tööriist
regedit
- Otsige üles registrikataloog
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- Lisage sinna uus DWORD registrivõti nimega
DisplayLastLogonInfo
- Nüüd muutke registrivõtme
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisplayLastLogonInfo
väärtus 0-st1
-ks - Sulgege
regedit
tööriist - Logige arvutist välja ja uuesti sisse ning nüüd peaks teid tervitama info viimase arvutisse sisselogimise kohta
Tehke ekraanivaade DisplayLastLogonInfo
registrivõtmest koos väärtusega 1
.
Tulemus
Viki lehel tule vastata järgmistele küsimustele.
- Võrrelge
Administrator
jaSYSTEM
privileege ning kirjutage vähemalt üks tegevus mille jaoks on vajaSYTEM
õigusi. - Ekraanivaade turvalise kausta seadetest (ainult üks kasutaja saab teha kõike ja Ülemus ainult lugeda)
- Sobiv kasutajakonto kontrolli seadistus koos põhjendusega (Süsteem ja turve)
- Kirjelda 5 lisaseadistust turvalisuse tagamiseks, koos põhjendustega (
Local Security Policy
tööriist). - Minimaalselt 2 ekraanivaadet testimise käigus esinenud keeluteavitustest, koos selgitusega mida ning millise kasutajaga tehti.
- Ekraanivaade Event Vieweri aknast, kus näha ebaõnnestunud sisselogimiskatsete logikirje
- Tehke ekraanivaade
DisplayLastLogonInfo
registrivõtmest koos väärtusega1
.
Kui teil viki lehekülg valmis on, siis lisage meile kommentaar (koos mingi tühja failiga).
9. Praktikum 9 - Windowsi turvalisus(Tähtaeg 2 nädalat)