Arvutiteaduse instituut
  1. Kursused
  2. 2022/23 sügis
  3. Operatsioonisüsteemid (LTAT.06.001)
EN
Logi sisse

Operatsioonisüsteemid 2022/23 sügis

  • Pealeht
  • Loengud
  • Praktikumid
  • Kodutööd

Windowsi turvalisus

Enne praktikumiga alustamist veendu, et sinu virtuaalmasina Windows 11 on aktiveeritud.

Käesolev praktikum annab harjutusülesannete abil ülevaate Windowsi põhilistest turvalisusega seotud tööriistadest, turvaseadetest, mitmekasutajasüsteemide turvamisest ning Windows 11 muudatustest.

Enamiku kaasaegsete operatsioonisüsteemide turvalisuse tagab kasutaja õiguste (permissions) ja privileegide (privileges) kombinatsioon. Oluline on meeles pidada, et privileegid on tugevamad kui õigused (Privileges beat permissions). Eelmise lause tõestuseks vaadelgem olukorda, kus "Administraatori privileegidega" kasutajal on keelatud kaustale ligipääs failiõigustega. Administraator-kasutajal on luba muuta failiõigusi (isegi kui tal puudub varem ligipääs vastavatele failidele), seega võib ta lihtsalt anda iseendale õiguse failidele ligipääsuks.

Esimene samm turvalisema ja paremini kaitstud operatsioonisüsteemi suunas on aktsepteerida, et eksimine on inimlik, ja võtta ära kõigilt kasutajatelt (k.a iseendalt) administraatori õigused. Enamasti on suurem osa operatsioonisüsteemide ründeid toimunud kasutaja osalusel, kus üks või mitu kasutajat on eksinud ja seetõttu on süsteem kompromiteerunud. Praktikas tähendab see seda, et te peate omama mitut kasutajat: nn tavaõigustes kasutajat igapäevategevusteks ja administraator-kasutajat olukordadeks, kus tõesti läheb vaja kõrgendatud õigusi süsteemis. Microsoft üritab seda loogikat alates Windows 8-st ka kasutajatele peale suruda, hoides ka nn administraatori õigustes kasutajaid enamasti tavaõigustes ja juhul, kui on vaja rohkem õigusi, käivitades Secure desktopi (nn turvaaken, kus kasutaja peab järele mõtlema, kas ta on ikka kindel, et tahab jätkata). Kahjuks on tänaseks mitmeid võimalusi, kuidas UAC-turvaaknast mööda pääseda, ja kuigi vastav lahendus on oluliselt turvalisust parandanud, on "administraatori õigustega" tavakasutajate enamik endiselt kerge saak pahalastele. Täiendavalt peaks kasutama kõigi andmete krüpteerimist, tagamaks andmete turvalisuse olukordades, kus konkreetne andmekandja ühendatakse mõne muu seadmega, mis ignoreerib faili- või muid õigusi ja pääseb endiselt andmetele ligi.

Windows 11 suurim "uuendus" võrreldes Windows 10-ga on asjaolu, et oluliselt on tõusnud ootused ja nõuded ametlikult toetatud riistvarale ja seega on võimalik enamikku riistvaralisi turbetehnoloogiaid, nt TPM, Secure Boot, Bitlocker, Memory isolation jne, vaikimisi sisse lülitada. Täpsemalt soovitame TÜ-s kasutusel oleva HP Elitebook 840 ja WIndows 11 turvalisusest lugeda Keity Raudmäe lõputööst: https://comserv.cs.ut.ee/ati_thesis/datasheet.php?id=74082&year=2022

Privileegid

Windowsis on 3 levinud õiguste taset:

  1. tavakasutaja (normal user) – Kõige levinum, piiratud õigused, ei saa operatsioonisüsteemis pöördumatuid muudatusi sooritada.
  2. adminkasutaja (''administrator') – Kõrgendatud ehk administreerimiseks (süsteemi seadistus, tarkvara paigaldus kõigile kasutajatele) vajalikud õigused.
  3. süsteem (system) – Operatsioonisüsteemi tuum ehk kernel, kõige kõrgemad õigused operatsioonisüsteemis.

Avage stardimenüüst käsuviip (Command Prompt, cmd) ning trükkige sinna käsud whoami ja whoami /priv. Järgnevalt avage uuesti käsuviip, kuid seekord administraatori õigustega, ning sisestage samad käsud: whoami, whoami /priv. Selleks, et saada süsteemi õigustes programmi avada, on meil vaja veidikene välist abi. Laadige alla programm nimega psexec.exe tarkvarapaketist Sysinternals: https://live.sysinternals.com/ . Nüüd liikuge Administraatori käsureal õigesse kausta (kuhu PsExec.exe alla laadisite) ning sisestage käsk PsExec.exe -sid cmd.exe. Avaneb uus näiliselt administraatori käsurida, kuid kui seal kirjutada whoami, mida märkate? Proovige ka käsku whoami /priv. Pöörake tähelepanu ka viimasele tulbale Enabled/Disabled.

Võrrelge Administratori ja SYSTEMi privileege ning kirjutage vähemalt üks tegevus, mille jaoks on vaja SYSTEMi õigusi.

Windowsi kausta- ja failiõigused

Windowsi operatsioonisüsteem tuleks seadistada selliselt, et tavakasutajad ei toimetaks vaikimisi administraatoriõigustes. Vastasel juhul võivad viirused ja muu pahavara samuti lihtsamini administraatoriõigustes tegutseda. Samuti on oht, et vähem kogenud arvutikasutajad võivad süsteemi kahjustada (installeerida kahtlaseid programme jne). Lisaks privaatsuse tagamisele multikasutajasüsteemides on soovitatav teha administraatori õigusteta tavakasutaja ka enesekindlamatel ja kogenud spetsialistidel oma üksikkasutajasüsteemis.

Looge 2 tavakasutajat arvutit kasutavate töötajate jaoks ja 1 tavakasutaja ülemusele. PS! Praktikumi tegevused, kaasa arvatud uued kasutajakontod, võivad olla teostatud graafilises kasutajaliideses. Kui valida Mul ei ole selle isiku sisselogimisteavet ja Lisa ilma Microsofti kontota kasutaja, siis saate luua kohaliku tavakasutaja konto.

Tagamaks kasutajaandmete turvalisuse, looge igale kasutajale vähemasti üks kaust C:\OS2022\<kasutajanimi>, millele saab ligi vaid kasutaja ise ning administraator.

Kaustade ja failide ligipääsuõigusi näed ja saad muuta järgnevalt: 
Paremklõps kaustal/failil -> Atribuudid -> Turve -> Täpsemalt

PS! Pöörake tähelepanu kausta õiguste pärilusele!

Tegevjuht palus teil luua kasutaja ka töötajate ülemusele. Ülemuse kasutajaõigused on sarnased töötajatega, kuid ülemusel peab olema lugemisõigus ka töötajate piiratud ligipääsuga kasutajakaustadele. Lisage töötajate kaustadele õigused, et ülemus saaks kaustade sisu lugeda, aga mitte muuta.

Õigusi saate kontrollida näiteks vaates Kehtiv Juurdepääs.

Esitage ekraanivaade, kus on näha ühe töötaja kausta õigused, mis vastavad eelpool mainitud nõuetele. (Ainult üks tavakasutaja saab kausta sisu ja seal olevaid faile muuta ning Ülemus-kasutaja saab kausta sisu ainult lugeda. PS! Ülalolev näidispilt on Ülemus-kasutaja õiguste kontrolli kohta kaustas, mitte kausta õiguste.)

Windows 11 turbe- ja privaatsusätted

Harjutamaks operatsioonisüsteemi seadistamist tavakasutaja õigustes (administraatori parooli sisestamist küsimise peale) soovitame siitmaalt edasi sooritada kogu praktikum Ülemus-kasutajana. Tegevustes, kus ülemuse piiratud õigustest puudu jääb, sisestage küsimise peale administraator-kasutaja (vaikimisi antud) ja parool.

Windows 10 ja 11 tõid kaasa mitmed olulised turvaalased muudatused, kus vaikeseadistustel on kasutaja privaatsuse asemel rõhk pandud kasutusmugavusele. Windows 10-t ja 11-t (ning peale uuendusi ka Windows 8-t ja Windows 7-t) kasutavad seadmed edastavad Microsofti serveritele infot klaviatuurisisestuste, puuteekraani kasutamise, asukoha, ühendatud seadmete, ühendatud võrkude, kalendrikirjete, e-kirjade sisu, kaamerapildi, mikrofoni sisendi ja muude kasutusharjumuste kohta. Sisuliselt on Windows 10 ja 11 sisse ehitatud täisfunktsionaalne jälitustarkvara. Suurimaks ohuallikaks on Microsofti-poolne ebaselge sõnastus kogutava info täpse hulga ja sisu kohta ning lahtine sõnastus usaldatud partnerite osas, kellele teie seadmetest kogutud personaalinfot jagatakse. Firmas või akadeemilises asutuses võib selline ebaselgus tuua kaasa oluliste ärisaladuste või teadustöö tulemuste lekkimise. 

Avage "Sätted" - > "Privaatsus ja turve" ning vaadake läbi oma virtuaalmasina privaatsussätted.

Kindlasti tuleks muuta järgmised seaded kategoorias Privaatsus ja turve -> Üldist:

  1. Lubage rakendustel kasutada reklaami-ID-d - Väljas

Nüüd kerige valikut veelgi allapoole, tutvuge alamosaga Rakenduste õigused ja tutvuge järgnevate valikutega:

  1. Asukoht
  2. Kaamera , Mikrofon
  3. Kontaktid , Telefonikõned , Kõneajalugu
  4. Pildid , Videod , Failisüsteem
  5. Kuvatõmmise äärised , Kuvatõmmised ja rakendused

Lisaks eelmainitule vaadake üle ka teised Privaatsussätete alamlehed ning neil pakutud valikud.

Täiendavalt tutvuge ka valikutega Privaatsus ja turve -> Turvalisus ja Seadme leidmine.

Kirjutage praktikumiaruandesse vähemalt 3 soovitust (muudatust), mida Microsoft soovitab Windowsi turbe seadete juures parandada, suurendamaks Windows-operatsioonisüsteemi turvalisust. Vastus kirjutage võimalikult täpselt, kuid muudatusi endid pole vaja seadistada, sest mõned neist pole laboritingimustes ehk virtualiseeritud arvutis võimalikud või mõistlikud.

Juhtpaneelis (Control Panel) muutke järgmised seadistused: 
Juhtpaneel -> Süsteem ja turve -> Turve ja hooldus -> Kasutajakonto kontrolli sätete muutmine ->

Valige ise sobiv turvalisusaste ning põhjendage valikut praktikumiaruandes.

Windowsi turvapoliitikad ja turvamallid (Group policy)

Group policy kontrollib seda, mida kasutajad saavad või ei saa arvutis teha. Erinevalt Local Security Policyst kehtib Group Policy mingi arvutite grupi, näiteks kõigi ühte domeeni ühendatud arvutite kohta. Suuremate süsteemide puhul, näiteks firmades, kasutatakse seda terve sisevõrku ühendatud arvutipargi juhtimiseks. Sarnaselt Local Security Policyga määrab see ära nõuded paroolidele, automaatsele välja logimisele, kasutajate õigustele ja kõrgendatud õiguste (adminkonto) kasutamisele. Väga oluline on Group Policy puhul võimalus erinevaid tegevusi logida, mis võivad rünnete või muude tõrgete puhul aidata vea allikat leida. Üht komplekti Group Policy seadeid nimetatakse Group Policy Objectiks. Kuigi Group Policy seadeid muudetakse enamasti serveris, siis Group Policy analoog tavamasinas on Local Security Policy, mille seadistamisega järgmisena tegeleme.

Analüüsile tuginedes võttis juhatus vastu otsuse kõik arvutid uusimale Windowsile migreerida. Peate seadistama mitme kasutaja vahel jagatava arvuti nii, et tagatud on andmete turvalisus. Hea turvapraktika ütleb, et kasutajad tuleb luua tavakasutajatena, peab piirama ligipääsu olulistele süsteemisätetele, tagatud peab olema sisselogimise turvalisus ning kõik sisselogimised peavad olema auditeeritavad.
Tööriistas Local Security Policy (secpol.msc) muutke kindlasti järgnevad seadistused (lisainfot seadistamise võimaluste kohta saate iga valiku juures oleva Explain-saki alt):


Account Policies -> Account lockout policy -> ; Account lockout threshold - 5 invalid logon attemts; Account lockout duration - 3 minutes ; Reset account lockout counter - after 3 minutes
Local Policies -> Audit policy -> Audit account logon events - Success,failure; Audit logon events - Success,failure
Local Policies -> Security options -> Interactive logon: Display user information when session is locked - Do not display user information; User Account Control: Behavior of the elevation prompt for standard users - Automatically deny elevation requests; Only elevate executables that are signed and validated - Enabled.

Valige veel vähemalt 3 Local Security Policy seadistust, mida tuleks muuta või üle vaadata, et tagada arvutis olevate andmete ja kasutajate isikuandmete kaitse. Põhjendage oma valikuid. Eksportige Local Security Policy-tööriistast iga seadistuste kategooria kohta *.txt-fail ning kopeerige AINULT asjassepuutuvate muudetud seadistuste kohta käivad read oma vikilehele. (Eksportimiseks valige hiirega sobiv võimalikult madala taseme kaust, tehke kaustal paremklõps ning valige Ekspordi loend. Väljundiks saate tekstifaili.) Vormistage vastus vikilehel tabelina või muul kergesti loetaval kujul.

Testimine

Testige loodud turvasüsteemi, katsetades ebaõige kasutajanime ja parooliga sisse logimist, proovige tavakasutajana ligi pääseda teiste kasutajate turvalistele kaustadele ning muuta Windowsi seadistusi. Veenduge kohustuslike ja enda valitud turvaseadete rakendumises.
Veendumaks, et administraatoriõigusteta tavakasutaja alt saab kiirelt ka erinevaid programme installeerida, logige sisse ühe tehtud tavakasutaja alt ning tõmmake alla TeamVieweri-nimeline programm. Kuna tavakasutajal pole õigusi programme installeerida, siis avatakse hoiatuse aken. NB! Eelmises ülesandes me keelasime kõrgendatud õiguste küsimise. Lubage jälle administraatori õiguste küsimine tavakasutajal ja korrake tegevust. Nüüd küsitakse programmi paigaldamisel administraatori kasutajat ja parooli. Sisestage parool ning jätkake paigaldust.

Lisage vähemalt 2 ekraanivaadet erinevate keeluteavituste ja kasutajakonto kontrolli teavituste kohta. Pildiallkirjas märkige ära, mis kasutajana mis toimingut proovisite teha.

Turbelogid

Kasutades tööriista Event Viewer, leia logidest info testimise käigus tehtud ebaõnnestunud sisselogimiskatsete kohta. 

Event Viewer -> Windows Logs -> Security

Esitage ekraanivaade Event Vieweri aknast, kus on selgelt näha logikirje ebaõnnestunud sisselogimiskatse kohta.

Windowsi registri muutmine

Register on kõigi 32- ja 64-bitiste Windowsi versioonide keskne süsteemikonfiguratsiooni andmebaas, mis sisaldab selle arvuti riist- ja tarkvaraseadistusi, kuhu Windows on installeeritud. Register koosneb failidest SYSTEM.DAT ja USER.DAT. Registrisse on salvestatud palju selliseid seadistusi, mis 16-bitise Windowsi (Windows 3.x) puhul olid kirjas failides WIN.INI ja SYSTEM.INI.

Registrit saab toimetada otse, kuid see nõuab väga kõrget kvalifikatsiooni ja seda tehakse ainult äärmisel vajadusel, olles eelnevalt teinud registrist varukoopia. Tavaliselt pöördutakse registri poole juhtpaneeli (Control panel) või muu graafilise tööriista kaudu. Arvutis, kuhu on installeeritud palju rakendusi ja mida on pikemat aega kasutatud, võib register sisaldada isegi kuni sada tuhat kannet.

Operatsioonisüsteem Microsoft Windows hoiab registris andmeid arvutisse installeeritud tarkvara (kaasa arvatud operatsioonisüsteem ise) ja süsteemi seadistuste kohta. Registrivõti näeb välja nagu failisüsteemi kataloog, s.t on hierarhilise (puukujulise) struktuuriga. Registrivõtmeid saab näha, kui avada registriredaktor (Start -> Run -> regedit.exe). Registrivõtmed ilmuvad akna vasakusse poolde. Akna paremas pooles näeb registrikannete väärtusi. NB! Ärge tehke registrivõtmes ega registrikannetes mingeid muudatusi, kui see pole hädavajalik ja kui te pole arvutiekspert! Asjatundmatud muudatused võivad muuta arvuti kasutuskõlbmatuks! Kõige kõrgemal tasemel on juurvõtmed e tarud, mis on nagu kettad arvuti kataloogipuus. Igas tarus sisalduv informatsioon on salvestatud eraldi failina kõvakettale. Taru sisu koosneb võtmetest, alamvõtmetest, nende alamvõtmetest jne. Kõige madalama taseme alamvõtmete sisu näeb akna paremas pooles (sarnaselt failidele failisüsteemis). Registrivõti on nt HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\KeyboardClass, mis paikneb tarus HKEY_LOCAL_MACHINE. (Seletus pärineb www.vallaste.ee lehelt.)

Järgnevalt teeme läbi väikese näite Windowsi registri muutmisest:

  1. Avage registri vaatamise ja muutmise tööriist regedit.
  2. Otsige üles registrikataloog HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.
  3. Lisage sinna uus DWORD-registrivõti nimega DisplayLastLogonInfo.
  4. Nüüd muutke registrivõtme HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisplayLastLogonInfo väärtus 0-st 1-ks.
  5. Sulgege regedit.
  6. Logige arvutist välja ja uuesti sisse ning nüüd peaks teid tervitama info viimase arvutisse sisselogimise kohta.

Tehke ekraanivaade DisplayLastLogonInfo-registrivõtmest koos väärtusega 1.

Tulemus

Vikilehel tuleb vastata järgmistele küsimustele.

  1. Võrrelge Administratori ja SYSTEMi privileege ning kirjutage vähemalt üks tegevus, mille jaoks on vaja SYSTEMi õigusi.
  2. Ekraanivaade turvalise kausta seadetest (ainult üks kasutaja saab teha kõike ja Ülemus ainult lugeda).
  3. Kirjutage praktikumiaruandesse vähemalt 3 soovitust (muudatust), mida Microsoft soovitab Windowsi turbe seadete juures parandada, suurendamaks Windows-operatsioonisüsteemi turvalisust.
  4. Sobiv kasutajakonto kontrolli seadistus koos põhjendusega (Süsteem ja turve).
  5. Kirjelda 3 Local Security Policy lisaseadistust turvalisuse tagamiseks koos põhjendustega.
  6. Minimaalselt 2 ekraanivaadet testimise käigus esinenud keeluteavitustest koos selgitusega, mida ning millise kasutajaga tehti.
  7. Ekraanivaade Event Vieweri aknast, kus näha ebaõnnestunud sisselogimiskatsete logikirje.
  8. Tehke ekraanivaade DisplayLastLogonInfo-registrivõtmest koos väärtusega 1.

Kui teil praktikum valmis on, esitage tulemused Githubi, vikilehele või siia juhendi lõppu. Lisage siia kommentaar, kust teie esituse leiame; Githubi ja vikilehtede kohta soovitavalt ka link.

9. Praktikum 9 - Windowsi turvalisus
Sellele ülesandele ei saa enam lahendusi esitada.

(Tähtaeg 2 nädalat)

  • Arvutiteaduse instituut
  • Loodus- ja täppisteaduste valdkond
  • Tartu Ülikool
Tehniliste probleemide või küsimuste korral kirjuta:

Kursuse sisu ja korralduslike küsimustega pöörduge kursuse korraldajate poole.
Õppematerjalide varalised autoriõigused kuuluvad Tartu Ülikoolile. Õppematerjalide kasutamine on lubatud autoriõiguse seaduses ettenähtud teose vaba kasutamise eesmärkidel ja tingimustel. Õppematerjalide kasutamisel on kasutaja kohustatud viitama õppematerjalide autorile.
Õppematerjalide kasutamine muudel eesmärkidel on lubatud ainult Tartu Ülikooli eelneval kirjalikul nõusolekul.
Courses’i keskkonna kasutustingimused