Arvutiteaduse instituut
  1. Kursused
  2. 2021/22 kevad
  3. Andmeturve (LTAT.06.002)
EN
Logi sisse

Andmeturve 2021/22 kevad

  • Pealeht
  • Loengud
  • Praktikumid
  • Referaat
  • Kirjandus
  • Lingid

Praktikum 5 - Windowsi ründed

Windows on levinuim operatsioonisüsteem juba aastaid omades endiselt 80% PC tüüpi arvutite turuosast. Enamik inimesi kasutab igapäevaselt Windows 10 operatsioonisüsteemi tööks, õppimiseks, mängimiseks, suhtluseks, info otsimiseks jne... Seega on eriti oluline, et mõistaksime ja teaksime levinumaid ründeid Windows operatsioonisüsteemi suhtes. Seega käesolevas praktikumis:

  1. paigaldate endale Windows 10 virtuaalmasina,
  2. sisenete Windows arvutisse parooli teadmata,
  3. kaardistate arvutis oleva tarkvara,
  4. eemaldate arvutist pahavara,
  5. katsetate õiguste eskaleerimist,
  6. teiste kasutajate andmete ligipääsemist,
  7. teiste kasutajate ülevõtmist
  8. Edit Group Policy seadistamine,
  9. Registry muutmist.

Windowsi arvutisse sisenemine parooli teadmata

Teie ülesandeks on importida järgnev virtuaalmasin https://owncloud.ut.ee/owncloud/index.php/s/oDPjTmRH2tzEamX (parool:Andmeturve ainekood) ning esitada ekraanivaade selle virtuaalarvuti Oppejoud kasutaja Desktopil oleva tekstifaili sisust ("Arvestuseks.txt"). NB! Windows10 OVA fail on 7.2 GB suur, seega kindlasti proovige seda alla laadida ainult hea kiire internetiühendusega. Siin lingi pealt saab alla laadida ka 1GB suuruste osadena https://owncloud.ut.ee/owncloud/index.php/s/XLyjCicT2dPn7HD . Kui teil on probleeme OVA allalaadimisega võtke ühendust aine õppejõuga Alo Peets (Tartus Delta õppehoones saame pakkuda eelneval kokkuleppel Linux Mint ja Windows 10 OVA faile ka USB mälupulgal väljaspool praktikumiaegu). Mint ja Win10 OVA on peamised suured failid, mis aines vaja alla laadida, edaspidi on ainult Windows XP 1GB ja Linux KALI umbes 3GB. Käesoleva Windows 10 on vaja kasutada Praktikumis 5 ja 6 ning pärast seda võite käesoleva Windows 10 virtuaalmasina ja OVA arvutist eemaldada ruumi kokkuhoiu huvides.

  • Käivitage Windows 10 virtuaalmasin ja proovige sisse logida
  • Sulgege Windows 10 viisakalt all paremal olevast välja lülitamise nupust ( kindlasti ei tohi ülevalt nurgast x-nupust lihtsalt kinni panna).

DEBUG INFO: Tudengid kelle Windowsi virtuaalmasin hangub laadimisel või on kasutamatult aeglane, siis tea peaksite Windows tegema arvutis täiendava seadistuse (probleem esineb enim 2019 sisseastunute TÜ sülearvutitega). Probleeme põhjustab enamasti host Windowsi Hyper-V/virtualiseerimistarkvara. Ilmselt paigaldus see kunagi varem koos Dockeriga/WSL/Hyper-V jne. Jõudlusprobleemide korral võite Hyper-V välja lülitada. Rohkem infot: https://petri.com/how-to-disable-hyper-v-completely-in-windows-10 Eriti oluliseks abiks on viimane käsk: bcdedit /set hypervisorlaunchtype off. Võite proovida ka muuta VM Settings->Display->Graphics Controller -> VMSVGA ja/või Enable 3D Acceleration erinevaid variante. PS! Virtuaalmasina seadistust.

Käesolevasse Windowsi virtuaalmasinasse ei saa te kohe sisse logida, sest te ei tea õiget parooli. Seetõttu tuleb kõigepealt probleemne salvestusseade ühendada enda Linux Mint virtuaalmasinaga ning siis saate vastavalt salvestusseadmelt vajaliku info kätte. Ülesande lahenduseks tuleb esitada ekraanitõmmis, Windows Oppejoud kasutaja Desktop kaustas faili sisust pärast Windows masinasse edukat sisselogimist.

Windowsi sisselogimiseks peate kasutajalt parooli eemaldama või siis kasutaja parooli ära muutma. Üks moodus on selleks kasutada Praktikum1 Linux-i masinat ning külge haagitud Windowsi kettal kasutaja info ära muuta. Kõigepealt peate üles leidma Windowsi VDI ketta faili oma arvuti failisüsteemist ja selle lisama Virtualboxis Linux Mint virtuaalmasina külge. Enne Windowsi ketta Linux'i külge lisamist palun sulgege Windows 10 virtuaalmasin "viisakalt" kasutajaliidesest Shut down, muidu jääb NTFS failisüsteem avatuks ja Linux annab veateate read only filesystem või permission denied.

  • Lisaõpetused haakimisest: Failisüsteemide haakimine Operatsioonisüsteemide aine praktikumis

Pärast Windows virtuaalketta lisamist Linuxi külge saate kasutada käsku lsblk tuvastamaks millise identifikaatoriga eelpool mainitud ketas Linux operatsioonisüsteemis ära tunti. Kontrollige kas lisatud ketas on juba haagitud mingi kausta külge. Kui ei ole siis haakige see ise kasutades käsku mount (failisüsteemi tüübiks on ntfs). Vajadusel uurige mount käsu näiteid internetis ja man mount abil. Pärast haakimist (mount) navigeerige vastavasse kausta (kuhu ketta haakisite).

  • lsblk
  • sudo mkdir /mnt/windisk
  • sudo mount -t auto /dev/sdb2 /mnt/windisk
  • cd /mnt/windisk
  • ls

Windowsi parooli teadmata sisenemiseks on mitu erinevat võimalust (variant1):

  1. Kopeerige Windows\System32\cmd.exe faili Windows\System32\sethc.exe asemele cp cmd.exe sethc.exe (PS! peate olema õiges kaustas või lisaks ette andma failitee).
  2. Soovitatav on lisaks ümber nimetada ka viirusetõrje fail, et ta ei käivituks automaatselt. Program Files\Windows Defender\MsMpEng.exe -> Program Files\Windows Defender\MsMpEng-orig.exe (vihje: Linuxi käsureal faili ümbernimetamiseks sobib käsk mv move ; eelnevad tegevused võib teha ka Linuxi graafilise failihalduriga).
  3. Pärast muudatuste tegemist ärge unustage Windowsi ketast lahti haakida umount käsuga. Samuti on tõrgete vältimiseks soovituslik teha Linux Mint masinale viisakas väljalülitus (shutdown).
  4. Kindlasti ühendage lahti ka Windows10 virtuaalne kõvaketas Linux Mint virtuaalmasinast enne Windows 10 käivitamist.
  5. Järgmisel Windowsi käivitamisel saate nüüd parooli sisestamise asemel 5x SHIFT klahvi vajutades avada Stickey Keys asemel süsteemi õigustes käsurea
  6. Kontrolli käsuga whoami ja whoami /priv et sul on süsteemi õigused.
  7. Uuri käsuga net user, millised kasutajad süsteemis on
  8. Parooli saate muuta käsuga net user kasutajatunnus uusparool , kus kasutajatunnus tähendab kasutajat kelle parooli te muudate ja uusparool uut parooli.
  9. nüüd saate sisse logimise aknas uue parooli sisestada.

muudke ainult juhul, kui olemasolevad vaikeväärtused ei peaks mingil põhjusel töötama.

Enamik kaasaegsete operatsioonisüsteemide turvalisuse tagab kasutaja õiguste (permissions) ja privileegide (priviledges) kombinatsioon. Oluline on meeles pidada, et privileegid on tugevamad kui õigused (Priviledges beat permissions). Eelmise lause tõestuseks vaadelgem olukorda, kus "Administraatori privileegidega" kasutajal on keelatud kaustale ligipääs failiõigustega. Administraator kasutajal on luba muuta failiõigusi (isegi kui tal puudub ligipääs vastavatele failidele varem) seega võib ta lihtsalt anda iseendale õiguse failidele ligipääsuks.

Ülesanne 1: Esitage Arvestuseks.txt faili sisust ekraanitõmmis pärast Windows masinasse edukat sisselogimist. Fail Arvestuseks.txt asub Windows virtuaalmasinas Oppejoud kasutaja töölaual ehk Desktop kaustas. Failile ligipääs on takistatud kolmel viisil: parem klahv töölaual -> View -> Show desktop icons, Hidden fail ja Properties -> Security -> Deny permissions. Punktide saamiseks peab Arvestuseks.txt failis näha olema ka teie nimi.

Boonus ülesanne! Windows masina töölaud sisaldab ka faili krüpteeritud.txt, mis on ühe linnukese tegemisega faili õigustes kaitstud kõrvaliste pilkude eest ("Advanced Attributes" failiõigustes ja "Encrypt contents to secure data" valides). Eelnevalt mainitud 1. meetodiga parooli vahetamisel oli võimalik 2021 Windows 10 versioonil failile ligi pääseda kuid hetkel testides ja mõnel vaarasemal aastal see nii kergelt ei käinud. Seega kui viitsite pusida ja otsida iseseisvalt kuidas krüpteeritud.txt faili sisule ligi pääseda saatke lahendus aine õppejõule alo.peets@ut.ee või MS Teams vahendusel ja olenevalt keerukusest ja kirjeldusest võite teenida boonuspunkte.

Proovige nüüd Windows 10 parooli veelkord vahetada, kuid seekord programmiga chntpw

  1. sudo apt install chntpw käsuga paigalda endale vajalik tarkvara. Seejärel minge haagitud kataloogi Windows/System32/config/ ning siis saate hakata chntpw kasutama. Kõigepealt uurige kuidas chntpw töötab (man chntpw) ning seejärel uurige välja, mis kasutajad on vastavas Windowsi masinas olemas chntpw -i SAM. Eemaldage teile huvi pakkuvalt Windowsi kasutajalt Oppejoud parool, salvestage muudatus, sulgege masin ning avage Windowsi virtuaalmasin, et tulemust testida. Nüüd te ei tohiks enam krüpteeritud failile ligi pääseda. Seadistage järgnevate tegevuste jaoks kasutajale Oppejoud parool.

Kaardistame Windows arvutis oleva tarkvara

Nüüd kui meil on ligipääs Windows 10 arvutile, võiksime lähemalt uurida, mis tarkvara sinna paigaldatud on ja kuidas neid käivitatakse. Enamik programme Windows süsteemis on paigaldatud Program Files kausta ning üks variant on vaadata seal olevad kaustad ükshaaval läbi. See oleks aga liiga aeganõudev ja ei pruugi anda head tulemust, sest tarkvara võib olla paigaldatud ka mujale kaustadesse (näiteks kasutaja profiili alla jne). Vaatame järgnevalt mõnda meetodit kuidas tuvastada arvutis oleva tarkvara nimekirja.

  1. Avage Windowsi tööriist Add or remove programs, mida märkate?, milline tarkvara on üleliigne?
    1. Sirvige läbi nimekiri, kas näete mõnda kahtlast programmi?
  2. Minge veebilehele https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns ja laadige alla programm nimega autoruns Microsofti expert-tööriistades paketist Sysinternals
    1. Käivitage autoruns.exe, (vajadusel nõustuge litsentsitingimustega) ning valige File -> Run as Administrator. Nüüd kuvab teile autoruns kogu nimekirja programmidest, mis Windows automaatselt käima paneb.
    2. Programmide nimekiri on pikk ja esmapilgul ei pruugi nimed ja kaustad palju öelda, seega lihtsustame veidi vaadet ja peidame ära eeldatavasti usaldusväärsed read. Selleks minge Options ja pange linnuke kõigi nelja valiku ette Hide empty location, Hide Microsoft Entries, Hide Windows Entries, Hide VirusTotal Clean Entries
    3. Valige nüüd Everything sakk ja proovige leida üles kahtlane rida.
      • Eeldatavasti te leidsite eelmises punktis üles kirje Best Free Keylogger kui ei vaadake tulpa Image Path ja seal HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run grupi all on huvipakkuv rida.
      • Kui te tarkvara ei leidnud on arvatavasti Microsoft Defender selle pärast enda uuendamist lugenud "pahavara" hulka ja käivitamise keelanud. Võite proovida selle Defenderi seadistsuest uuesti lubada (koos restardiga) või äärmisel juhul uuesti paigaldada https://best-free-keylogger.en.uptodown.com/windows leheküljelt.
    4. Tehke keylogger rea peal parem hiireklahv ja vajutage Check VirtusTotal ning jälgige parem pool VirusTotal tulbas tulemust.
  3. Keylogger ehk tegevussalvesti on programm, mis käib taustal ja registreerib olulisemad kasutaja tegevused klahvivajutused, hiire vajutused, ekraanivaated jne
    1. Sisestage klahvikombinatsioon CTRL + ALT + SHIFT + K, misjärel küsitakse parooli, mis meie näites on turve.
    2. Valige tänane kuupäev (või 02.03.2022) ja Load report, nüüd on teil võimalik tutvuda erinevate klahvivajutustega, mis programm on salvestanud.
    3. Tegu on tasuta versiooniga, seega midagi internetti seekord ei saadeta ja funktsionaalsus on piiratud, kuid siiski piisav, et loodetavasti teile illustreerida kui ohtlik on tundmatus arvus tegevusi teha. NB! Screenshots vaatamiseks otsige all paremal nuppu Continue.
    4. Avage tekstiprogramm (näiteks Notepad) ja kirjutage sinna enda nimi.
  4. Ülesanne 2: Esitada ekraanivaade, kus keylogger programmis klahvivajutuste all on selgelt näha teie nimi, mille te olete eelnevalt sisestanud.

Kui olete edukalt teinud arvestuse jaoks ekraanivaate võite nüüd "pahalase" programmi arvutist eemaldada:

  1. Avage autoruns ja eemaldage linnuke Best Free Keylogger rea eest võite ka terve rea kustutada Delete
  2. Avage Task Manager -> More details ja leidke sealt üles keylogger, mis on peitnud ennast programmi nimega syscrb nime alla. Märgistage vastav rida hiirega ja vajutage nupule End Task.
  3. Nüüd minge Add or remove programs ja proovige eemaldage Keylogger ka sealt.
    • Avastate, et seal programmide nimekirjas teda ei ole.
  4. Viimaks kustutage failid kõvakettalt, kaustadest C:\Prorgam Files ja C:\Prorgam Files (x86). Selleks peate minema vastavasse kausta ja täiendavalt eemaldama linnukese View-> Options -> View -> Hide protected operating system files

Tavaelus võiks viiruse või pahalasega arvuti tarkvara lugeda kompromiteerunuks (te ei saa olla kindlad et kõik pahavara/pahalase muduatused üles leidsite) ja seega üle installeerida usaldusväärsest allikast puhta Windowsi ja rakendustarkvaraga. Meie puhul võiksite aga praktikumiga edasi minna.

Privileegid

Esimene samm turvalisema ja paremini kaitstud operatsioonisüsteemini on aktsepteerida, et eksimine on inimlik ja võtta ära kõigilt kasutajatelt (k.a. iseendalt) administraatori õigused. Enamasti on suurem osa operatsioonisüsteemide ründeid toimunud kasutaja osalusel, kus üks või mitu kasutajat on eksinud ja seetõttu on süsteem kompromiteerunud. Praktikas tähendab see seda, et sa pead omama mitut kasutajat nn tavaõigustes kasutaja igapäevategevusteks ja administraator kasutaja olukordadeks kus tõesti läheb vaja kõrgendatud õigusi süsteemis. Microsoft üritab seda loogikat alates Windows 8-st ka kasutajatele peale suruda hoides ka nn administraatori õigustes kasutajaid enamasti tavaõigustes ja kui on vaja rohkem õigusi käivitada Secure desktop (nn turvaaken kus kasutaja peab järele mõtlema kas ta on ikka kindel et tahab jätkata). Kahjuks on tänaseks mitmeid võimalusi kuidas UAC turvaaknast mööda pääseda ja kuigi vastav lahendus on oluliselt parandanud turvalisust on enamik "administraatori õigustega" tavakasutajad endiselt kerge saak pahalastele. Täiendavalt peaks kasutama kõigi andmete krüpteerimist tagamaks andmete turvalisus olukordadeks, kus konkreetne andmekandja ühendatakse mõne muu seadmega, mis ignoreerib faili või muid õigusi ja pääseb endiselt andmetele ligi.

Windowsis on 3 levinud õiguste taset

  1. tavakasutaja (normal user) - Kõige levinum, piiratud õigused, ei saa operatsioonisüsteemis pöördumatuid muudatusi sooritada.
  2. adminkasutaja (administrator) - kõrgendatud ehk administreerimiseks (süsteemi seadistus, tarkvara paigaldus kõigile kasutajatele) vajalikud õigused
  3. süsteem (system) - operatsioonisüsteemi tuum ehk kernel, kõige kõrgemad õigused operatsioonisüsteemis.

Ava stardimenüüst käsuviip (Command Prompt, cmd) ning trükkige sinna käsud whoami ja whoami /priv. Järgnevalt avage uuesti käsuviip kuid seekord administraatori õigustega ning sisestage samad käsud: whoami, whoami /priv. Selleks, et saada süsteemi õigustes programmi avada on meil vaja veidikene välist abi. Lae alla programm nimega psexec.exe Sysinternals tarkvarapaketist https://live.sysinternals.com/ . Nüüd liikuge Administraatori käsureal õigesse kausta (kuhu PsExec.exe alla laadisite ja lahti pakkisite) ning sisestage käsk PsExec.exe -sid cmd.exe . Avaneb uus näiliselt administraatori käsurida, kuid kui seal kirjutada whoami, mida märkate? Proovige ka käsku whoami /priv. pöörake tähelepanu ka viimasele tulbale Enabled/Disabled

Vaatame nüüd lähemalt kuidas eelnevat oskust SYSTEM õigustes programme käivitada ära kasutada teise kasutaja ülevõtmiseks süsteemis. Selleks on meil vaja ühte täiendavat kasutajat:

  1. Looge uus tavakasutaja nimega tudeng (ei oma administraatori õigusi). Start -> Add, edit, or remove other users -> Add someone else to this PC -> I dont have this persons sign-in information -> Add a user without a Microsoft account -> Who's going to use this PC?: tudeng , sisestage kindlasti kasutajale parool.
  2. Nüüd logige sisse korraks kasutajaga tudeng (stardimenüüs vajutage esmalt iseenda kasutajale ning siis avaneb lisamenüü kust saate tudeng kasutaja valida) ja avage programm notepad.exe , kuhu kirjutage enda nimi.
  3. Vahetage kasutaja tagasi Oppejoud vastu (Change user, vajuta teise kasutaja ikoonil mitte Sign Out)
  4. Sisestage klahvikombinatsioon CTRL + SHIFT + ESC (või avage taskmgr endale sobival viisil)
  5. Task Manager aknas valige File -> vajutage alla CTRL klahv ja vajutage hiirega valikule Run new task. Avaneb administraatori õigustes käsurida. Kas panite tähele, et meile ei avanenud UAC (User Acces Control turvaaken), kus küsitakse tavaliselt kinnitust administraatori õigustes programmide käivitamiseks?
  6. Sulgege Task Manager programm (avame selle hetkepärast uuesti teiste õigustega)
  7. Nüüd minge käsureal Downloads kasuta ja sisestage käsk PsExec.exe -sid taskmgr
  8. Avaneb SYSTEM õigustes Task Manager, kui ei siis kontrollige taskbar ega ei ole taustal avanenud.
  9. Valige sakk User ja seal tehke parem hiireklahv kasutajal tudeng ning valige Connect. Kui kõik olete õigesti teinud ei küsita teilt parooli ja peaks teile avanema tudeng kasutaja töölaud koos teie nimega Notepad programmiga.
  10. sulgege tudeng kasutaja aknad ja sessioon (logige välja), edasisi tegevusi jätkame põhikasutajaga.

Ülesanne 3: Esita ekraanivaade, kus teil on käsureal whoami käsu vastuseks nt authority\system.

Windowsi turvapoliitikad ja turvamallid (Group policy)

Group policy kontrollib seda, mida kasutajad saavad või ei saa arvutis teha. Erinevalt Local Security Policyst kehtib Group Policy mingi arvutite grupi, näiteks kõigi ühte domeeni ühendatud arvutite kohta. Suuremate süsteemide puhul, näiteks firmades, kasutatakse seda terve sisevõrku ühendatud arvutipargi juhtimiseks. Sarnaselt Local Security Policyle, määrab see ära nõuded paroolidele, automaatsele välja logimisele, kasutajate õigustele, kõrgendatud õiguste (adminkonto) kasutamisele, tegevuste lubamine ja keelamine jne. Väga oluline on Group Policy puhul võimalus erinevaid tegevusi logida, mis võivad rünnete või muude tõrgete puhul aidata vea allikat leida. Üht komplekti Group Policy seadeid nimetatakse Group Policy Objectiks. Kuigi Group Policy seadeid muudetakse enamasti serveris, siis Group Policy analoog tavamasinas on Local Security Policy või Edit Group Policy tööriist, mille seadistamisega järgmisena tegeleme. Kuigi Group Policy viitab mingile grupile, siis Local Group Policy võimaldab edukalt muuta ka kohaliku arvuti seadeid. Lisaks seadistamisele on võimalik tutvuda ka kesksest domeeniserverist "rakendatud" seadistustega ja otsida turvalisuses auke ründe eskaleerimiseks. 

 Local Group Policies are run first, followed by Site-Level Policies, Domain-Level Policies and Organizational Unit (OU) Policies. Unless otherwise specified, the OU-level policies have the last word when it comes to settings — they have the ability to override anything that comes before them.

Katsetame järgnevalt kuidas teha Windows operatsioonisüsteemis turvalisuse põhimõttelisi seadistuse muudatusi. Keelame ära väliste andmekandjate ühendamise ja administraatori õigustes akende avamise.

  1. Virtualbox -> Devices -> Insert Guest Additions CD image -> avage File Explorer -> This PC -> kontrollige, et saate CD andmetele ligi -> Virtualbox -> Devices -> Remove Disk from virtual drive
  2. Kui teil käepärast mõni USB andmekandja võite ka selle ühendada Virtualbox -> Devices -> USB -> Linnuke USB andmekandja nime ette -> kontrollige, et saate USB andmetele ligi -> eemaldage linnuke USB seadme eest.
  3. Avage Edit Group Policy (gpedit.msc) tööriist ning muutke järgnevad seadistused:

Local Computer Policy -> Computer Configuration -> Administrative Templates -> System -> Removable Storage Access -> All Removable Storage Classes: Deny all access -> Enabled
Local Computer Policy -> Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security options -> User Account Control: Behavior of the elevation prompt for standard users - Automatically deny elevation requests; Only elevate executables that are signed and validated - Enabled.

  1. Proovige nüüd uuesti Guest Additions CD või USB seadet ühendada. Mis juhtub?
    1. Peaksite nägema et seade on ühendatud, aga ligipääs on keelatud.

Ülesanne 4: Esitage ekraanivaade Local Group Policy Editor programmist, kus on näha, et parameetri All Removable Storage Classes: Deny all access väärtus on Enabled (näidispildil roheline kastikene).

Windows Registri muutmine

Register on kõigi 32 ja 64-bitiste Windows’i versioonide keskne süsteemikonfiguratsiooni andmebaas, mis sisaldab selle arvuti riist- ja tarkvara seadistusi, kuhu Windows on installeeritud. Register koosneb failidest SYSTEM.DAT ja USER.DAT. Registrisse on salvestatud palju selliseid seadistusi, mis 16-bitise Windows’i (Windows 3.x) puhul olid kirjas failides WIN.INI ja SYSTEM.INI.

Registrit saab toimetada otse, kuid see nõuab väga kõrget kvalifikatsiooni ja seda tehakse ainult äärmisel vajadusel, olles eelnevalt teinud registrist varukoopia. Tavaliselt pöördutakse registri poole juhtpaneeli (Control Panel) või muu graafilise tööriista kaudu. Näiteks eelmises punktis kasutatud Policy editor programmid on sisuliselt kasutajaliides, mis taustal teeb muudatusi just Registris. Arvutis, kuhu on installeeritud palju rakendusi ja mida on pikemat aega kasutatud, võib register sisaldada isegi kuni sada tuhat kannet.

Registrivõti Microsoft Windows operatsioonisüsteem hoiab registris andmeid arvutisse installeeritud tarkvara (kaasa arvatud operatsioonisüsteem ise) ja süsteemi seadistuste kohta. Registrivõti näeb välja nagu failisüsteemi kataloog, st on hierarhilise (puukujulise) struktuuriga. Registrivõtmeid saab näha, kui avada registriredaktor (Start -> Run -> regedit.exe). Registrivõtmed ilmuvad akna vasakusse poolde. Akna paremas pooles näeb registrikannete väärtusi. NB! Ärge tehke registrivõtmes ega registrikannetes mingeid muudatusi, kui see pole hädavajalik ja kui te pole arvutiekspert! Asjatundmatud muudatused võivad muuta arvuti kasutuskõlbmatuks! Kõige kõrgemal tasemel on juurvõtmed ehk tarud, mis on nagu kettad arvuti kataloogipuus. Tarusid nimetatakse ka juurvõtmeteks. Igas tarus sisalduv informatsioon on salvestatud eraldi failina kõvakettale. Taru sisu koosneb võtmetest, alamvõtmetest, nende alamvõtmetest jne. Kõige madalama taseme alamvõtmete sisu näeb akna paremas pooles (sarnaselt failidele failisüsteemis). Registrivõti on näit. HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\KeyboardClass, mis paikneb tarus HKEY_LOCAL_MACHINE. (Seletus pärineb www.vallaste.ee lehelt)

Järgnevalt teeme läbi väikese näite Windows registry muutmisest:

  1. Avage registry vaatamise ja muutmise tööriist regedit
  2. Otsige üles registrikataloog HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices
  3. Eemaldage (kustutage) sealt registrivõti Deny All
  4. Sulgege regedit tööriist
  5. Tehke arvutile Restart
    • Kui keegi leiab internetist või katsetamise teel, millisele teenusele (Service) peaks tegema restardi, et HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices võtme muudatus registrist uuesti loetaks, ilma et peaks kogu arvutile taaskäivituse tegema saatke see õppejõule Alo Peets ja küsige boonuspunkte.
  6. Pärast taaskäivitamist veenduge, et gpedit.msc -> Local Computer Policy -> Computer Configuration -> Administrative Templates -> System -> Removable Storage Access -> All Removable Storage Classes: Deny all access -> on endiselt Enabled -> Sulgege Edit Group Policy aken muudatusi tegemata
  7. Proovige nüüd uuesti Virtualbox -> Devices -> Insert Guest Additions CD image (vajadusel eemaldage esmalt (Device->Optical Drives->Remove disk ..) -> avage File Explorer -> This PC -> kontrollige, et saate CD andmetele ligi -> Virtualbox -> Devices -> Remove Disk from virtual drive
    • Eelnev oli näide, kuidas muutes registri võtmeid on võimalik mööda minna kasutajaliideses seadistatud piirangutest, kui teil on registri muutmise õigused (administrator permissions).

Ülesanne 5: Otsige üles registri asukoht HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System ja muutke võtmete legalnoticecaption ja legalnoticetext väärtused endale meeldivaks. NB! Üks neist peab sisaldama teie nime, et eristada teie pilte kaastudengi omadest. Katsetage tulemust. Näidisesitus (ei pea olema koos kirjeldustega, piisab kui on teie NIMI näha ekraanivaatel):

Esitada Praktikum5:

Praktikumi ülesande lahendamine annab neli punkti ja esitamiseks on umbes kaks nädalat alates praktikumi toimumisajast ( kuni 23. märts tähtajani).

  • Ülesanne 1: Esitage Arvestuseks.txt faili sisust ekraanitõmmis pärast Windows masinasse edukat sisselogimist. Fail Arvestuseks.txt asub Windows virtuaalmasinas Oppejoud kasutaja töölaual ehk Desktop kaustas, kuid ligipääs on takistatud 3 eri moodusel. Punktide saamiseks peab Arvestuseks.txt failis näha olema ka Teie nimi. - (2.0p)
  • Ülesanne 2: Esitage ekraanivaade, kus keylogger programmis klahvivajutuste all on selgelt näha teie nimi, mille Te olete eelnevalt sisestanud. - (0.5p)
  • Ülesanne 3: Esitage ekraanivaade, kus Teil on käsureal whoami käsu vastuseks nt authority\system. - (0.5p)
  • Ülesanne 4: Esitage ekraanivaade Group Policy Editor programmist, kus on näha, et parameetri All Removable Storage Classes: Deny all access väärtus on Enabled - (0.5p)
  • Ülesanne 5: Esitage ekraanivaade sisselogimisel antavast tervitustekstist, milles on Teie nimi - (0.5p)
5. Praktikum 5 - Windowsi ründed
Sellele ülesandele ei saa enam lahendusi esitada.
  • Arvutiteaduse instituut
  • Loodus- ja täppisteaduste valdkond
  • Tartu Ülikool
Tehniliste probleemide või küsimuste korral kirjuta:

Kursuse sisu ja korralduslike küsimustega pöörduge kursuse korraldajate poole.
Õppematerjalide varalised autoriõigused kuuluvad Tartu Ülikoolile. Õppematerjalide kasutamine on lubatud autoriõiguse seaduses ettenähtud teose vaba kasutamise eesmärkidel ja tingimustel. Õppematerjalide kasutamisel on kasutaja kohustatud viitama õppematerjalide autorile.
Õppematerjalide kasutamine muudel eesmärkidel on lubatud ainult Tartu Ülikooli eelneval kirjalikul nõusolekul.
Courses’i keskkonna kasutustingimused