Praktikum 6 - Windowsi ründed
Windows on levinuim operatsioonisüsteem juba aastaid omades endiselt 80% PC tüüpi arvutite turuosast. Enamik inimesi kasutab igapäevaselt Windows 10 operatsioonisüsteemi tööks, õppimiseks, mängimiseks, suhtluseks, info otsimiseks jne... Seega on eriti oluline, et mõistaksime ja teaksime levinumaid ründeid Windows operatsioonisüsteemi suhtes. Seega käesolevas praktikumis:
- paigaldate endale Windows 10 virtuaalmasina,
- sisenete Windows arvutisse parooli teadmata,
- kaardistate arvutis oleva tarkvara,
- eemaldate arvutist pahavara,
- katsetate õiguste eskaleerimist,
- teiste kasutajate andmete ligipääsemist,
- teiste kasutajate ülevõtmist
Edit Group Policy
seadistamine,Registry
muutmist.
Windowsi arvutisse sisenemine parooli teadmata
Teie ülesandeks on importida järgnev virtuaalmasin https://owncloud.ut.ee/owncloud/s/c7NDkgcaSasgLof (parool:Andmeturve ainekood) ning esitada ekraanivaade selle virtuaalarvuti Oppejoud
kasutaja Desktopil
oleva tekstifaili sisust ("Arvestuseks.txt"). NB! Windows10 OVA fail
on 10.4 GB
suur, seega kindlasti proovige seda alla laadida ainult hea kiire internetiühendusega. Siin lingi pealt saab alla laadida ka 1GB suuruste osadena https://tartuulikool-my.sharepoint.com/:f:/g/personal/alop_ut_ee/Em00vrfbaU9LjsgqU-dLgGEBXsmoQBICbZduM4vQvcNNXA?e=wlCBXO. Kui teil on probleeme OVA allalaadimisega võtke ühendust aine õppejõuga Alo Peets (Tartus Delta õppehoones saame pakkuda eelneval kokkuleppel Linux Mint ja Windows 10 OVA faile ka USB mälupulgal väljaspool praktikumiaegu). Mint ja Win10 OVA on peamised suured failid, mis aines vaja alla laadida, edaspidi on ainult Windows XP 1GB ja Linux KALI umbes 3GB. Käesoleva Windows 10 on vaja kasutada Praktikumis 6 ja 7 ning pärast seda võite käesoleva Windows 10 virtuaalmasina ja OVA arvutist eemaldada ruumi kokkuhoiu huvides.
- Käivitage Windows 10 virtuaalmasin ja proovige sisse logida
- Sulgege Windows 10 viisakalt all paremal olevast välja lülitamise nupust ( kindlasti ei tohi ülevalt nurgast x-nupust lihtsalt kinni panna).
DEBUG INFO: Tudengid kelle Windowsi virtuaalmasin hangub laadimisel või on kasutamatult aeglane, siis tea peaksite Windows tegema arvutis täiendava seadistuse (probleem esineb enim 2019 sisseastunute TÜ sülearvutitega). Probleeme põhjustab enamasti host Windowsi Hyper-V/virtualiseerimistarkvara. Ilmselt paigaldus see kunagi varem koos Dockeriga/WSL/Hyper-V jne. Jõudlusprobleemide korral võite Hyper-V välja lülitada. Rohkem infot: https://petri.com/how-to-disable-hyper-v-completely-in-windows-10 Eriti oluliseks abiks on viimane käsk: bcdedit /set hypervisorlaunchtype off
. Võite proovida ka muuta VM Settings
->Display
->Graphics Controller
-> VMSVGA
ja/või Enable 3D Acceleration
erinevaid variante. PS! Virtuaalmasina seadistust.
Käesolevasse Windowsi virtuaalmasinasse ei saa te kohe sisse logida, sest te ei tea õiget parooli. Seetõttu tuleb kõigepealt probleemne salvestusseade ühendada enda Linux Mint virtuaalmasinaga ning siis saate vastavalt salvestusseadmelt vajaliku info kätte. Ülesande lahenduseks tuleb esitada ekraanitõmmis, Windows Oppejoud
kasutaja Desktop
kaustas faili sisust pärast Windows masinasse edukat sisselogimist
.
Windowsi sisselogimiseks peate kasutajalt parooli eemaldama või siis kasutaja parooli ära muutma. Üks moodus on selleks kasutada Praktikum1 Linux-i masinat ning külge haagitud Windowsi kettal kasutaja info ära muuta. Kõigepealt peate üles leidma Windowsi VDI
ketta faili oma arvuti failisüsteemist ja selle lisama Virtualboxis Linux Mint virtuaalmasina külge. Enne Windowsi ketta Linux'i külge lisamist palun sulgege Windows 10 virtuaalmasin "viisakalt" kasutajaliidesest Shut down
, muidu jääb NTFS
failisüsteem avatuks ja Linux annab veateate read only filesystem
või permission denied
.
Pärast Windows virtuaalketta lisamist Linuxi külge saate kasutada käsku lsblk
tuvastamaks millise identifikaatoriga eelpool mainitud ketas Linux operatsioonisüsteemis ära tunti. Kontrollige kas lisatud ketas on juba haagitud mingi kausta külge. Kui ei ole siis haakige see ise kasutades käsku mount
(failisüsteemi tüübiks on ntfs
). Vajadusel uurige mount
käsu näiteid internetis ja man mount
abil. Pärast haakimist (mount) navigeerige vastavasse kausta (kuhu ketta haakisite).
lsblk
sudo mkdir /mnt/windisk
sudo mount -t auto /dev/sdb2 /mnt/windisk
cd /mnt/windisk
ls
Windowsi parooli teadmata sisenemiseks on mitu erinevat võimalust (variant1):
- Kopeerige
Windows\System32\cmd.exe
failiWindows\System32\sethc.exe
asemelecp cmd.exe sethc.exe
(PS! peate olema õiges kaustas või lisaks ette andma failitee). - Vajalik on lisaks ümber nimetada ka viirusetõrje fail, et see ei käivituks automaatselt.
Program Files\Windows Defender\MsMpEng.exe
->Program Files\Windows Defender\MsMpEng-orig.exe
(vihje: Linuxi käsureal faili ümbernimetamiseks sobib käskmv
(move) ; eelnevad tegevused võib teha ka Linuxi graafilise failihalduriga). - Viimased Windowsi versioonid hoiavad viirusetõrje koopiat ka
ProgramData
kaustas:C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2301.6-0\MsMpEng.exe
, mis tuleb samuti ümber nimetada, et eelnev rünnak toimiks. - Pärast muudatuste tegemist ärge unustage
Windowsi ketast
lahti haakidaumount
käsuga. Samuti on tõrgete vältimiseks soovituslik teha Linux Mint masinale viisakas väljalülitus (shutdown
). - Kindlasti ühendage lahti ka Windows10 virtuaalne kõvaketas Linux Mint virtuaalmasinast enne Windows 10 käivitamist.
- Järgmisel Windowsi käivitamisel saate nüüd parooli sisestamise asemel 5x
SHIFT
klahvi vajutades avadaStickey Keys
asemel süsteemi õigustes käsurea - Kontrolli käsuga
whoami
jawhoami /priv
et sul on süsteemi õigused. - Uuri käsuga
net user
, millised kasutajad süsteemis on - Parooli saate muuta käsuga
net user kasutajatunnus uusparool
, kuskasutajatunnus
tähendab kasutajat kelle parooli te muudate jauusparool
uut parooli. - nüüd saate sisse logimise aknas uue parooli sisestada.
Enamik kaasaegsete operatsioonisüsteemide turvalisuse tagab kasutaja õiguste (permissions) ja privileegide (priviledges) kombinatsioon. Oluline on meeles pidada, et privileegid on tugevamad kui õigused (Priviledges beat permissions). Eelmise lause tõestuseks vaadelgem olukorda, kus "Administraatori privileegidega" kasutajal on keelatud kaustale ligipääs failiõigustega. Administraator kasutajal on luba muuta failiõigusi (isegi kui tal puudub ligipääs vastavatele failidele varem) seega võib ta lihtsalt anda iseendale õiguse failidele ligipääsuks.
Ülesanne 1: Esitage Arvestuseks.txt
faili sisust ekraanitõmmis
pärast Windows masinasse edukat sisselogimist
. Fail Arvestuseks.txt
asub Windows virtuaalmasinas Oppejoud
kasutaja töölaual ehk Desktop
kaustas. Failile ligipääs on takistatud kolmel viisil: parem klahv töölaual -> View
-> Show desktop icons
, Hidden
fail ja Properties
-> Security
-> Deny
permissions. Punktide saamiseks peab Arvestuseks.txt
failis näha olema ka teie nimi.
Boonus ülesanne! Windows masina töölaud sisaldab ka faili Boonus.txt
, mis on ühe linnukese tegemisega faili õigustes kaitstud kõrvaliste pilkude eest ("Advanced Attributes" failiõigustes ja "Encrypt contents to secure data" valides). Eelnevalt mainitud 1. meetodiga parooli vahetamisel oli võimalik 2021 Windows 10 versioonil failile ligi pääseda. 2023 masinas sama fail
Boonus.txt tuleb ka kahjuks enamasti piisavalt lihtsalt lahti nii et hetkel me enam boonuspunkte vastava harjutuse eest ei jaga.
Proovige nüüd Windows 10 parooli veelkord vahetada, kuid seekord programmiga chntpw
sudo apt install chntpw
käsuga paigalda endale vajalik tarkvara. Seejärel minge haagitud kataloogiWindows/System32/config/
ning siis saate hakatachntpw
kasutama. Kõigepealt uurige kuidas chntpw töötab (man chntpw
) ning seejärel uurige välja, mis kasutajad on vastavas Windowsi masinas olemaschntpw -i SAM
. Eemaldage teile huvi pakkuvalt Windowsi kasutajaltOppejoud
parool, salvestage muudatus, sulgege masin ning avage Windowsi virtuaalmasin, et tulemust testida. Nüüd te ei tohiks enam krüpteeritud failile ligi pääseda. Seadistage järgnevate tegevuste jaoks kasutajaleOppejoud
parool.
Kaardistame Windows arvutis oleva tarkvara
Nüüd kui meil on ligipääs Windows 10 arvutile, võiksime lähemalt uurida, mis tarkvara sinna paigaldatud on ja kuidas neid käivitatakse. Enamik programme Windows süsteemis on paigaldatud Program Files
kausta ning üks variant on vaadata seal olevad kaustad ükshaaval läbi. See oleks aga liiga aeganõudev ja ei pruugi anda head tulemust, sest tarkvara võib olla paigaldatud ka mujale kaustadesse (näiteks kasutaja profiili alla jne). Vaatame järgnevalt mõnda meetodit kuidas tuvastada arvutis oleva tarkvara nimekirja.
- Avage Windowsi tööriist
Add or remove programs
,mida märkate?
,milline tarkvara on üleliigne?
- Sirvige läbi nimekiri, kas näete mõnda kahtlast programmi?
- Minge veebilehele https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns ja laadige alla programm nimega
autoruns
Microsofti expert-tööriistades paketistSysinternals
- Käivitage
autoruns.exe
, (vajadusel nõustuge litsentsitingimustega) ning valigeFile
->Run as Administrator
. Nüüd kuvab teileautoruns
kogu nimekirja programmidest, mis Windows automaatselt käima paneb. - Programmide nimekiri on pikk ja esmapilgul ei pruugi nimed ja kaustad palju öelda, seega lihtsustame veidi vaadet ja peidame ära eeldatavasti usaldusväärsed read. Selleks minge
Options
ja pange linnuke kõigi nelja valiku etteHide empty location
,Hide Microsoft Entries
,Hide Windows Entries
,Hide VirusTotal Clean Entries
- Valige nüüd
Everything
sakk ja proovige leida üles kahtlane rida.- Eeldatavasti te leidsite eelmises punktis üles kirje
Best Free Keylogger
kui ei vaadake tulpaImage Path
ja sealHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
grupi all on huvipakkuv rida. - Kui te tarkvara ei leidnud on arvatavasti Microsoft Defender selle pärast enda uuendamist lugenud "pahavara" hulka ja käivitamise keelanud. Võite proovida selle Defenderi seadistsuest uuesti lubada (koos restardiga) või äärmisel juhul uuesti paigaldada https://bestxsoftware.com/download.html leheküljelt.
- Eeldatavasti te leidsite eelmises punktis üles kirje
- Tehke
keylogger
rea peal parem hiireklahv ja vajutageCheck VirtusTotal
ning jälgige parem poolVirusTotal
tulbas tulemust.
- Käivitage
Keylogger
ehk tegevussalvesti on programm, mis käib taustal ja registreerib olulisemad kasutaja tegevusedklahvivajutused
,hiire vajutused
,ekraanivaated
jne- Sisestage klahvikombinatsioon
CTRL
+ALT
+SHIFT
+K
, misjärel küsitakse parooli, mis meie näites onturve
. - Valige tänane kuupäev (või 12.03.2023) ja
Load report
, nüüd on teil võimalik tutvuda erinevate klahvivajutustega, mis programm on salvestanud. - Tegu on tasuta versiooniga, seega midagi internetti seekord ei saadeta ja funktsionaalsus on piiratud, kuid siiski piisav, et loodetavasti teile illustreerida kui ohtlik on tundmatus arvus tegevusi teha. NB!
Screenshots
vaatamiseks otsige all paremal nuppuContinue
. - Avage tekstiprogramm (näiteks
Notepad
) ja kirjutage sinna enda nimi.
- Sisestage klahvikombinatsioon
- Ülesanne 2: Esitada
ekraanivaade
, kuskeylogger
programmis klahvivajutuste all on selgelt näha teie nimi, mille te olete eelnevalt sisestanud.
Kui olete edukalt teinud arvestuse jaoks ekraanivaate võite nüüd "pahalase" programmi arvutist eemaldada:
- Avage
autoruns
ja eemaldage linnukeBest Free Keylogger
rea eest võite ka terve rea kustutadaDelete
- Avage
Task Manager
->More details
ja leidke sealt üles keylogger, mis on peitnud ennast programmi nimegasyscrb
nime alla. Märgistage vastav rida hiirega ja vajutage nupuleEnd Task
. - Nüüd minge
Add or remove programs
ja proovige eemaldageKeylogger
ka sealt.- Avastate, et seal programmide nimekirjas teda ei ole.
- Viimaks kustutage failid kõvakettalt, kaustadest
C:\Program Files
jaC:\Program Files (x86)
. Selleks peate minema vastavasse kausta ja täiendavalt eemaldama linnukeseView
->Options
->View
->Hide protected operating system files
Tavaelus võiks viiruse või pahalasega arvuti tarkvara lugeda kompromiteerunuks (te ei saa olla kindlad et kõik pahavara/pahalase muudatused üles leidsite) ja seega üle installeerida usaldusväärsest allikast puhta Windowsi ja rakendustarkvaraga. Meie puhul võiksite aga praktikumiga edasi minna.
Privileegid
Esimene samm turvalisema ja paremini kaitstud operatsioonisüsteemini on aktsepteerida, et eksimine on inimlik ja võtta ära kõigilt kasutajatelt (k.a. iseendalt
) administraatori õigused. Enamasti on suurem osa operatsioonisüsteemide ründeid toimunud kasutaja osalusel, kus üks või mitu kasutajat on eksinud ja seetõttu on süsteem kompromiteerunud. Praktikas tähendab see seda, et sa pead omama mitut kasutajat nn tavaõigustes kasutaja
igapäevategevusteks ja administraator kasutaja
olukordadeks kus tõesti läheb vaja kõrgendatud õigusi süsteemis. Microsoft üritab seda loogikat alates Windows 8-st ka kasutajatele peale suruda hoides ka nn administraatori õigustes kasutajaid enamasti tavaõigustes ja kui on vaja rohkem õigusi käivitada Secure desktop (nn turvaaken kus kasutaja peab järele mõtlema kas ta on ikka kindel et tahab jätkata). Kahjuks on tänaseks mitmeid võimalusi kuidas UAC
turvaaknast mööda pääseda ja kuigi vastav lahendus on oluliselt parandanud turvalisust on enamik "administraatori õigustega" tavakasutajad endiselt kerge saak pahalastele. Täiendavalt peaks kasutama kõigi andmete krüpteerimist tagamaks andmete turvalisus olukordadeks, kus konkreetne andmekandja ühendatakse mõne muu seadmega, mis ignoreerib faili või muid õigusi ja pääseb endiselt andmetele ligi.
Windowsis on 3 levinud õiguste taset
tavakasutaja
(normal user) - Kõige levinum, piiratud õigused, ei saa operatsioonisüsteemis pöördumatuid muudatusi sooritada.adminkasutaja
(administrator) - kõrgendatud ehk administreerimiseks (süsteemi seadistus, tarkvara paigaldus kõigile kasutajatele) vajalikud õigusedsüsteem
(system) - operatsioonisüsteemi tuum ehk kernel, kõige kõrgemad õigused operatsioonisüsteemis.
Ava stardimenüüst käsuviip
(Command Prompt
, cmd
) ning trükkige sinna käsud whoami
ja whoami /priv
. Järgnevalt avage uuesti käsuviip
kuid seekord administraatori õigustega ning sisestage samad käsud: whoami
, whoami /priv
. Selleks, et saada süsteemi õigustes programmi avada on meil vaja veidikene välist abi. Lae alla programm nimega psexec.exe
Sysinternals tarkvarapaketist https://live.sysinternals.com/ . Nüüd liikuge Administraatori käsureal
õigesse kausta (kuhu PsExec.exe
alla laadisite ja lahti pakkisite) ning sisestage käsk PsExec.exe -sid cmd.exe
. Avaneb uus näiliselt administraatori käsurida, kuid kui seal kirjutada whoami
, mida märkate? Proovige ka käsku whoami /priv
. pöörake tähelepanu ka viimasele tulbale Enabled
/Disabled
Vaatame nüüd lähemalt kuidas eelnevat oskust SYSTEM
õigustes programme käivitada ära kasutada teise kasutaja ülevõtmiseks süsteemis. Selleks on meil vaja ühte täiendavat kasutajat:
- Looge uus tavakasutaja nimega
tudeng
(ei oma administraatori õigusi).Start
->Add, edit, or remove other users
->Add someone else to this PC
->I dont have this persons sign-in information
->Add a user without a Microsoft account
->Who's going to use this PC?
:tudeng
, sisestage kindlasti kasutajale parool. - Nüüd logige sisse korraks kasutajaga
tudeng
(stardimenüüs vajutage esmalt iseenda kasutajale ning siis avaneb lisamenüü kust saatetudeng
kasutaja valida) ja avage programmnotepad.exe
, kuhu kirjutage enda nimi. - Vahetage kasutaja tagasi
Oppejoud
vastu (Change user, vajuta teise kasutaja ikoonil mitte Sign Out) - Sisestage klahvikombinatsioon
CTRL
+SHIFT
+ESC
(või avagetaskmgr
endale sobival viisil) - Task Manager aknas valige
File
-> vajutage allaCTRL
klahv ja vajutage hiirega valikuleRun new task
. Avaneb administraatori õigustes käsurida. Kas panite tähele, et meile ei avanenud UAC (User Acces Control turvaaken), kus küsitakse tavaliselt kinnitust administraatori õigustes programmide käivitamiseks? - Sulgege
Task Manager
programm (avame selle hetkepärast uuesti teiste õigustega) - Nüüd minge käsureal
Downloads
kasuta ja sisestage käskPsExec.exe -sid taskmgr
- Avaneb
SYSTEM
õigustesTask Manager
, kui ei siis kontrolligetaskbar
ega ei ole taustal avanenud. - Valige sakk
User
ja seal tehke parem hiireklahv kasutajaltudeng
ning valigeConnect
. Kui kõik olete õigesti teinud ei küsita teilt parooli ja peaks teile avanematudeng
kasutaja töölaud koos teie nimegaNotepad
programmiga. - sulgege
tudeng
kasutaja aknad ja sessioon (logige välja), edasisi tegevusi jätkame põhikasutajaga.
Ülesanne 3: Esita ekraanivaade
, kus teil on käsureal whoami
käsu vastuseks nt authority\system
.
Windowsi turvapoliitikad ja turvamallid (Group policy)
Group policy kontrollib seda, mida kasutajad saavad või ei saa arvutis teha. Erinevalt Local Security Policyst kehtib Group Policy mingi arvutite grupi, näiteks kõigi ühte domeeni ühendatud arvutite kohta. Suuremate süsteemide puhul, näiteks firmades, kasutatakse seda terve sisevõrku ühendatud arvutipargi juhtimiseks. Sarnaselt Local Security Policyle, määrab see ära nõuded paroolidele, automaatsele välja logimisele, kasutajate õigustele, kõrgendatud õiguste (adminkonto) kasutamisele, tegevuste lubamine ja keelamine jne. Väga oluline on Group Policy puhul võimalus erinevaid tegevusi logida, mis võivad rünnete või muude tõrgete puhul aidata vea allikat leida. Üht komplekti Group Policy seadeid nimetatakse Group Policy Objectiks. Kuigi Group Policy seadeid muudetakse enamasti serveris, siis Group Policy analoog tavamasinas on Local Security Policy
või Edit Group Policy
tööriist, mille seadistamisega järgmisena tegeleme. Kuigi Group Policy
viitab mingile grupile, siis Local Group Policy
võimaldab edukalt muuta ka kohaliku arvuti seadeid. Lisaks seadistamisele on võimalik tutvuda ka kesksest domeeniserverist "rakendatud" seadistustega ja otsida turvalisuses auke ründe eskaleerimiseks.
Local Group Policies are run first, followed by Site-Level Policies, Domain-Level Policies and Organizational Unit (OU) Policies. Unless otherwise specified, the OU-level policies have the last word when it comes to settings — they have the ability to override anything that comes before them.
Katsetame järgnevalt kuidas teha Windows operatsioonisüsteemis turvalisuse põhimõttelisi seadistuse muudatusi. Keelame ära väliste andmekandjate ühendamise ja administraatori õigustes akende avamise.
Virtualbox
->Devices
->Insert Guest Additions CD image
-> avageFile Explorer
->This PC
->kontrollige
, et saate CD andmetele ligi ->Virtualbox
->Devices
->Remove Disk from virtual drive
- Kui teil käepärast mõni USB andmekandja võite ka selle ühendada Virtualbox ->
Devices
->USB
->Linnuke USB andmekandja nime ette
->kontrollige
, et saate USB andmetele ligi -> eemaldage linnuke USB seadme eest. - Avage
Edit Group Policy
(gpedit.msc
) tööriist ning muutke järgnevad seadistused:
Local Computer Policy
-> Computer Configuration
-> Administrative Templates
-> System
-> Removable Storage Access
-> All Removable Storage Classes: Deny all access
-> Enabled
Local Computer Policy
-> Computer Configuration
-> Windows Settings
-> Security Settings
-> Local Policies
-> Security options
-> User Account Control: Behavior of the elevation prompt for standard users
- Automatically deny elevation requests; User Account Control: Only elevate executables that are signed and validated
- Enabled.
- Proovige nüüd uuesti
Guest Additions CD
võiUSB
seadet ühendada. Mis juhtub?- Peaksite nägema et seade on ühendatud, aga ligipääs on keelatud.
Ülesanne 4: Esitage ekraanivaade Local Group Policy Editor
programmist, kus on näha, et parameetri All Removable Storage Classes: Deny all access
väärtus on Enabled
(näidispildil roheline kastikene).
Windows Registri muutmine
Register on kõigi 32 ja 64-bitiste Windows’i versioonide keskne süsteemikonfiguratsiooni andmebaas, mis sisaldab selle arvuti riist- ja tarkvara seadistusi, kuhu Windows on installeeritud. Register koosneb failidest SYSTEM.DAT
ja USER.DAT
. Registrisse on salvestatud palju selliseid seadistusi, mis 16-bitise Windows’i (Windows 3.x) puhul olid kirjas failides WIN.INI
ja SYSTEM.INI
.
Registrit saab toimetada otse, kuid see nõuab väga kõrget kvalifikatsiooni ja seda tehakse ainult äärmisel vajadusel, olles eelnevalt teinud registrist varukoopia. Tavaliselt pöördutakse registri poole juhtpaneeli (Control Panel) või muu graafilise tööriista kaudu. Näiteks eelmises punktis kasutatud Policy editor programmid on sisuliselt kasutajaliides, mis taustal teeb muudatusi just Registris
. Arvutis, kuhu on installeeritud palju rakendusi ja mida on pikemat aega kasutatud, võib register sisaldada isegi kuni sada tuhat kannet.
Registrivõti Microsoft Windows operatsioonisüsteem hoiab registris andmeid arvutisse installeeritud tarkvara (kaasa arvatud operatsioonisüsteem ise) ja süsteemi seadistuste kohta. Registrivõti näeb välja nagu failisüsteemi kataloog, st on hierarhilise (puukujulise) struktuuriga. Registrivõtmeid saab näha, kui avada registriredaktor (Start
-> Run
-> regedit.exe
). Registrivõtmed ilmuvad akna vasakusse poolde. Akna paremas pooles näeb registrikannete väärtusi. NB! Ärge tehke registrivõtmes ega registrikannetes mingeid muudatusi, kui see pole hädavajalik ja kui te pole arvutiekspert! Asjatundmatud muudatused võivad muuta arvuti kasutuskõlbmatuks! Kõige kõrgemal tasemel on juurvõtmed ehk tarud, mis on nagu kettad arvuti kataloogipuus. Tarusid nimetatakse ka juurvõtmeteks. Igas tarus sisalduv informatsioon on salvestatud eraldi failina kõvakettale. Taru sisu koosneb võtmetest, alamvõtmetest, nende alamvõtmetest jne. Kõige madalama taseme alamvõtmete sisu näeb akna paremas pooles (sarnaselt failidele failisüsteemis). Registrivõti on näit. HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\KeyboardClass, mis paikneb tarus HKEY_LOCAL_MACHINE. (Seletus pärineb www.vallaste.ee lehelt)
Järgnevalt teeme läbi väikese näite Windows registry muutmisest:
- Avage
registry
vaatamise ja muutmise tööriistregedit
- Otsige üles registrikataloog
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices
- Eemaldage (kustutage) sealt registrivõti
Deny All
- Sulgege
regedit
tööriist - Tehke arvuti teenusele taaskäivitus
Portable Device Enumerator Service
- Pärast teenuse taaskäivitamist veenduge, et
gpedit.msc
->Local Computer Policy
->Computer Configuration
->Administrative Templates
->System
->Removable Storage Access
->All Removable Storage Classes: Deny all access
-> on endiseltEnabled
-> SulgegeEdit Group Policy
aken muudatusi tegemata - Proovige nüüd uuesti
Virtualbox
->Devices
->Insert Guest Additions CD image
(vajadusel eemaldage esmalt (Device
->Optical Drives
->Remove disk ..
) -> avageFile Explorer
->This PC
->kontrollige
, et saate CD andmetele ligi ->Virtualbox
->Devices
->Remove Disk from virtual drive
- Eelnev oli näide, kuidas muutes registri võtmeid on võimalik mööda minna kasutajaliideses seadistatud piirangutest, kui teil on registri muutmise õigused (administrator permissions).
Ülesanne 5: Otsige üles registri asukoht HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
ja muutke võtmete legalnoticecaption
ja legalnoticetext
väärtused endale meeldivaks. NB! Üks neist peab sisaldama teie nime
, et eristada teie pilte kaastudengi omadest. Katsetage tulemust. Näidisesitus (ei pea olema koos kirjeldustega, piisab kui on teie NIMI
näha ekraanivaatel):
Esitada Praktikum 6:
Praktikumi ülesande lahendamine annab neli punkti ja esitamiseks on umbes kaks nädalat alates praktikumi toimumisajast ( kuni 29. märts tähtajani).
- Ülesanne 1: Esitage
Arvestuseks.txt
faili sisustekraanitõmmis
pärastWindows masinasse edukat sisselogimist
. FailArvestuseks.txt
asub Windows virtuaalmasinasOppejoud
kasutaja töölaual ehkDesktop
kaustas, kuid ligipääs on takistatud 3 eri moodusel. Punktide saamiseks peabArvestuseks.txt
failis näha olema ka Teie nimi. - (2.0p) - Ülesanne 2: Esitage
ekraanivaade
, kuskeylogger
programmis klahvivajutuste all on selgelt näha teie nimi, mille Te olete eelnevalt sisestanud. - (0.5p) - Ülesanne 3: Esitage
ekraanivaade
, kus Teil on käsurealwhoami
käsu vastuseksnt authority\system
. - (0.5p) - Ülesanne 4: Esitage
ekraanivaade
Group Policy Editor
programmist, kus on näha, et parameetriAll Removable Storage Classes: Deny all access
väärtus onEnabled
- (0.5p) - Ülesanne 5: Esitage
ekraanivaade
sisselogimisel antavast tervitustekstist, milles on Teie nimi - (0.5p)