Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék dr. Micskei Zoltán Biztonsági.

Slides:



Advertisements
Hasonló előadás
2005 február 7Dr. Tánczos László BME EISZK1 Az oklevélmelléklet előállításának technikai és informatikai háttérbiztosítása. Tánczos László igazgatóhelyettes,
Advertisements

Tamás Kincső, OSZK, Analitikus Feldolgozó Osztály, osztályvezető A részdokumentumok szolgáltatása az ELDORADO-ban ELDORADO konferencia a partnerkönyvtárakkal.
Kamarai prezentáció sablon
Windows OS Ambrus Attila 2010 Vay Ádám Gimnázium Szakközépiskola Szakiskola és Kollégium Rendszergazda.
Felhasználó- és jogosultságkezelés
„Esélyteremtés és értékalakulás” Konferencia Megyeháza Kaposvár, 2009
Ker-Soft Kft. Quest Spotlight for SQL Quest AccessManager Ker-Soft Kft. Kovács Gábor - rendszermérnök Nagy Dániel - rendszermérnök.
Megosztások Szerkesztette: Kovács Nándor Felh. irodalom: Kis Balázs: Windows XP haladókönyv.
Weblap szerkesztés HTML oldal felépítése Nyitó tag Záró tag Nyitó tag Záró tag oldalfej tözs.
Erőállóképesség mérése Találjanak teszteket az irodalomban
Operációs Rendszerek I.
2012. tavaszi félév Vitéz Gergely. A diasor ismerete nem helyettesíti a tankönyvet, és a példatárat. A diasor ismerete szükséges, de nem elégséges feltétele.
Hálózati architektúrák
Humánkineziológia szak
Cég RegisztrálásaCég Regisztrálása > 1. Lépés > 2. Lépés > 3. Lépés > 4. Lépés | Céges Felhasználó Regisztrálása > 1. Lépés > 2. Lépés > 3. Lépés > 4.
Mérés és adatgyűjtés laboratóriumi gyakorlat Virtuális méréstechnika levelező Mingesz Róbert 5. Óra MA-DAQ – Műszer vezérlése November 26.
Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék Micskei Zoltán Előadások:
Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék Micskei Zoltán Előadások:
Hitelesítés és engedélyezés
Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék dr. Micskei Zoltán Operációs.
Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék Ütemezés a Windowsban dr. Micskei Zoltán
Az operációs rendszer.
Elektronikai Áramkörök Tervezése és Megvalósítása
Mérés és adatgyűjtés Kincses Zoltán, Mingesz Róbert, Vadai Gergely 10. Óra MA-DAQ – Műszer vezérlése November 12., 15. v
Virtuális méréstechnika MA-DAQ műszer vezérlése 1 Mingesz Róbert V
4. Gyires Béla Informatikai Nap május 6.1 Márton Ágnes Debreceni Egyetem Informatikai Kar Informatikai Rendszerek és Hálózatok Tanszék A Virtual.
Windows XP ismeretek és mappaműveletek
Áldás az Adminisztrátornak…
Ember László XUBUNTU Linux (ami majdnem UBUNTU) Ötödik nekifutás 192 MB RAM és 3 GB HDD erőforrásokkal.
Műszaki ábrázolás alapjai
1. IS2PRI2 02/96 B.Könyv SIKER A KÖNYVELÉSHEZ. 2. IS2PRI2 02/96 Mi a B.Könyv KönyvelésMérlegEredményAdóAnalitikaForintDevizaKönyvelésMérlegEredményAdóAnalitikaForintDeviza.
Átállás.
Operációs Rendszerek WindowsXP®.
Az operációs rendszer.
Darupályák tervezésének alapjai
Module 1: A Microsoft Windows XP Professional telepítése
Operációs rendszerek.
1 Operációs rendszerek A UNIX védelmi rendszere. 2 Illetéktelen hozzáférés megakadályozása: az egyes felhasználók adataihoz, az operációs rendszer adataihoz,
FTP File Transfer Protocol. Mi az FTP? Az FTP egy olyan protokoll, amely fájlok interneten keresztül végzett átvitelére szolgál. A felhasználók többsége.
AD {RMS} Active Directory Rights Management Services
Hálózatkezelési újdonságok Windows 7 / R2
szakmérnök hallgatók számára
Felhasználók azonosítása és jogosultságai, személyre szabás Borsi Katalin és Fóti Marcell NetAcademia Oktatóközpont.
4. Feladat (1) Foci VB 2006 Különböző országok taktikái.
Adatbázis adminisztrátori ismeretek
Hálózat kiépítésével lehetőségünk nyílik más számítógépek erőforrásainak használatára. Osztott háttértár használat: egy számítógép merevlemezének megosztásával.
Felhasználók és jogosultságok
Operációs Rendszerek 1 Felhasználókezelés Windisch Gergely
A klinikai transzfúziós tevékenység Ápolás szakmai ellenőrzése
2006. Peer-to-Peer (P2P) hálózatok Távközlési és Médiainformatikai Tanszék.
Web Architecture. Development of Computing Architectures Monolithic mainframe programming Client Server Real Client Server Web Programming.
1 Verseny 2000 gyakorlat ODBC Adatforrás létrehozása.
ELTE WIFI Beállítási útmutató MS Windows XP-hez
QualcoDuna interkalibráció Talaj- és levegövizsgálati körmérések évi értékelése (2007.) Dr. Biliczkiné Gaál Piroska VITUKI Kht. Minőségbiztosítási és Ellenőrzési.
ORACLE ORDBMS adminisztrációs feladatok 3. rész dr. Kovács László 2004.
MUNKA- ÉS TŰZVÉDELEMI JELEK ÉS JELZÉSEK
„Ágazati felkészítés a hazai ELI projekttel összefüggő képzési és K+F feladatokra" Adatbiztonság a méréstechnológiában képzők képzése.
> aspnet_regiis -i 8 9 TIPP: Az „Alap” telepítés gyors, nem kérdez, de később korlátozhat.
AAA AAA Ki, mikor, mivel, hogyan? Mit csinált, mit csinálhat, (mit fog csinálni)? Ki mihez hogyan férhet hozzá? Authentication Authorization Accounting/Audit.
Christopher Chapman | MCT Content PM, Microsoft Learning, PDG Planning, Microsoft.
A KÖVETKEZŐKBEN SZÁMOZOTT KÉRDÉSEKET VAGY KÉPEKET LÁT SZÁMOZOTT KÉPLETEKKEL. ÍRJA A SZÁMOZOTT KÉRDÉSRE ADOTT VÁLASZT, VAGY A SZÁMOZOTT KÉPLET NEVÉT A VÁLASZÍV.
Operációs Rendszerek 1 Felhasználókezelés. Bevezetés Windows XP többfelhasználós operációs rendszer A felhasználók csoportokba szervezhetők Egy felhasználó.
A projekt az Európai Unió társfinanszírozásával, az Európa terv keretében valósul meg. Számítógép- hálózatok dr. Herdon Miklós dr. Kovács György Magó Zsolt.
Operációs Rendszerek gyakorlat Rövid András
Adatbázisok védelme. Database security Nem más, mint annak garantálása, hogy feljogosított felhasználó engedélyezett tevékenységeket hajtson végre, számára.
Felhasználók, felhasználócsoportok, jogosultságok.
WINDOWS FELÜGYELETI ESZKÖZÖK MICROSOFT SÚGÓ ALAPJÁN - PÉLDÁKKAL Takács Béla 2016.
Kiss Tibor System Administrator (MCP) ISA Server 2006.
Az operációs rendszer.
Hálózati architektúrák
Előadás másolata:

Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék dr. Micskei Zoltán Biztonsági alrendszer a Windowsban Operációs rendszerek (vimia219)

Copyright Notice  These materials are part of the Windows Operating System Internals Curriculum Development Kit, developed by David A. Solomon and Mark E. Russinovich with Andreas Polze  Microsoft has licensed these materials from David Solomon Expert Seminars, Inc. for distribution to academic organizations solely for use in academic environments (and not for commercial use)   © David A. Solomon and Mark Russinovich 2

Kvíz SID HKLM 3 SACL

Biztonsági feladatok a Windowsban  Hitelesítés (authentication) o Birtok / tudás / biometria o Pl. bejelentkezési képernyő, hitelesítő ablakok  Engedélyezés (authorization) o Alapelv: mindig csoportnak osztunk jogot o Pl. biztonsági házirend, fájl ACL  Auditálás o Biztonsági naplózás 4

Biztonsági feladatok a Windowsban  Hitelesítés (authentication) o Birtok / tudás / biometria o Pl. bejelentkezési képernyő, hitelesítő ablakok  Engedélyezés (authorization) o Alapelv: mindig csoportnak osztunk jogot o Pl. biztonsági házirend, fájl ACL  Auditálás o Biztonsági naplózás 5

Biztonsági entitások 6

Security Identifier (SID)  Felhasználó / számítógép azonosítója  Pl. gép SID-je: S  Felhasználók, csoportok: o - o RID: relative identifier  Jól ismert SID-ek o Everyone: S o Administrator: S  Vista: szolgáltatások is kapnak SID-et 7

DEMO  psgetsid.exe gepnev  psgetsid.exe rendszergazda  psgetsid.exe Security identifier (SID) 8

Hitelesítés  Belépés o Winlogon saját ablakán keresztül o Secure Attention Sequence: Ctrl + Alt + Del  Jelszavak tárolása o Hash a registry-ben  Hálózati azonosítás o NTLM: NT LAN Manager o Kerberos: Windows 2000 óta, tartományi (domain) környezetben 9

Hitelesítés (Windows 8)  Microsoft account o Felhőben tárolt beállítások o Szinkronizáció  Picture password o Adott képen elvégzett műveletsor o Könnyebben megjegyezhető o Biztonság? 10

Hitelesítés – Hozzáférési token  Megszemélyesítés (impersonation) 11

DEMO  Felhasználói fiókok o Felhasználók és csoportok tulajdonságai  Security Account Manager DB o rendszerleíró adatbázis (registry) o HKEY_LOCAL_MACHINE\SAM Felhasználói adatbázis 12

Biztonsági feladatok a Windowsban  Hitelesítés (authentication) o Birtok / tudás / biometria o Pl. Bejelentkezési képernyő, hitelesítő ablakok  Engedélyezés (authorization) o Alapelv: mindig csoportnak osztunk jogot o Pl. Biztonsági házirend, fájl ACL  Auditálás o Biztonsági naplózás 13

Engedélyezés fajtái (ism.) Engedélyezés csoportosítása Kötelezőség Kötelező (Mandatory) Belátás szerint (Discretionary) Szint Rendszer szintű Erőforrás szintű Típus Címkézés Hozzáférési listák 14

Engedélyezési lehetőségek a Windowsban  Rendszerszintű jogosultságok  Discretionary Access Control  Mandatory Integrity Control 15

Rendszerszintű engedélyezés  Jogosultság (privilege) o operációs rendszer szintű jog o Pl.: számítógép leállítása, eszközmeghajtó betöltése o Név: SeShutdownPrivilege, SeLoadDriverPrivilege  Fiók jog (account right) o ki hogyan léphet be / nem léphet be o Pl.: interaktív, hálózaton keresztül… 16

DEMO  Jogosultságok o whomai /priv o Helyi házirend: Felhasználói jogok kiosztása  Helyi biztonsági házirend további elemei o Jelszóházirend o Fiókzárolás o Biztonsági beállítások Jogosultságok: Helyi biztonsági házirend 17

Engedélyezési lehetőségek a Windowsban  Rendszerszintű jogosultságok  Discretionary Access Control o belátás szerinti, erőforrás szintű, hozzáférési lista  Mandatory Integrity Control 18

Engedélyezés fajtái (ism.) Engedélyezés csoportosítása Kötelezőség Kötelező (Mandatory) Belátás szerint (Discretionary) Szint Rendszer szintű Erőforrás szintű Típus Címkézés Hozzáférési listák 19

Hozzáférés-vezérlési listák (ismétlés) SzereplőVédett objektumSzerep (Role) + mask +inherit + mask +inherit Engedély (Permission) * * *** * 1 20

Objektum szintű hozzáférési listák 21

Objektum szintű hozzáférési listák Windowsos objektum Pl. fájl, registry kulcs, pipe… Windowsos objektum Pl. fájl, registry kulcs, pipe… 22

Objektum szintű hozzáférési listák Biztonsági leíró Összefogja a többi elemet Biztonsági leíró Összefogja a többi elemet 23

Objektum szintű hozzáférési listák Tulajdonos Megváltoztathatja az objektum engedélyeit, akkor is ha nincs explicit joga Tulajdonos Megváltoztathatja az objektum engedélyeit, akkor is ha nincs explicit joga 24

Objektum szintű hozzáférési listák Discretionary Access Control List Hozzáférés szabályozása Discretionary Access Control List Hozzáférés szabályozása 25

Objektum szintű hozzáférési listák System Access Control List Biztonsági naplózás szabályozása System Access Control List Biztonsági naplózás szabályozása 26

Objektum szintű hozzáférési listák Típus megengedő, tiltó, audit Flag Pl. öröklődés SID kire vonatkozik Maszk végrehajtás | törlés | tulajdonos írása… Típus megengedő, tiltó, audit Flag Pl. öröklődés SID kire vonatkozik Maszk végrehajtás | törlés | tulajdonos írása… 27

Hozzáférés-vezérlési listák  Öröklődés flag o Konténer típusú objektumnál (pl. könyvtár) o Gyerek objektum megkapja azt az ACE-t  Kiértékelés menete o Egy SID-re több ACE is érvényes lehet o ACE-kból kapott engedélyek UNIÓJA számít o Kivéve a tiltást, az mindig magasabb prioritású 28

Hozzáférés-vezérlési listák - példa Objektum: C:\temp Leíró Tulajdonos: Rendszergazda DACL ACE2: megengedő, öröklődik, Administrators, könyvtár listázása | fájlok létrehozása ACE3: megengedő, nem öröklődik, Power Users, könyvtár listázása | attribútumok olvasása SACL 29 ACE1: tiltó, nem öröklődik, GipszJ, könyvtár listázása

DEMO  Csoport, felhasználó – elemi engedélyek  Öröklődés o Öröklés korlátozása  Tulajdonba vétel  Eredő engedély o Unió (csoportokból és felhasználótól), kivéve o Tiltás mindig érvényesül  Hibaelhárítás: Process Monitor Engedélyezés – Fájl hozzáférési listák 30

Engedélyezési lehetőségek a Windowsban  Rendszerszintű jogosultságok  Discretionary Access Control  Mandatory Integrity Control o kötelező, erőforrás szintű, címkézés 31

Engedélyezés fajtái (ism.) Engedélyezés csoportosítása Kötelezőség Kötelező (Mandatory) Belátás szerint (Discretionary) Szint Rendszer szintű Erőforrás szintű Típus Címkézés Hozzáférési listák 32

Mandatory Integraty Control  Probléma o DACL nem véd az általunk indított programok esetén o Folyamataink megkülönböztetése (pl. böngésző)  Megoldás o Folyamatok és fájlok címkézése o Címkék: System, High, Medium, Low o Kiértékelés: „No write up”  Fő felhasználás o Internet Explorer 33

DEMO  Vista funkció  Alapból minden fájlnak Medium címkéje van  Internet Explorer használja: o IE folyamata Low integritási szint (lásd Process Explorer, Integrity Level oszlop)  icacls /setintegritylevel H|M|L o „No write up” kipróbálása Mandatory Integrity Control 34

Biztonsági feladatok a Windowsban  Hitelesítés (authentication) o Birtok / tudás / biometria o Pl. Bejelentkezési képernyő, hitelesítő ablakok  Engedélyezés (authorization) o Alapelv: mindig csoportnak osztunk jogot o Pl. Biztonsági házirend, fájl ACL  Auditálás o Biztonsági naplózás 35

Eseménynapló  Rendszer és alkalmazás üzenetek  Bejegyzés: o Típus, idő, forrás, ID, leírás  Napló felülírása: o Ciklikus, időnként, soha 36

DEMO  Naplózási házirend  Biztonsági eseménynapló tartalma  Jogok, pl. SeSecurityPrivilege használata Auditálás 37

Egyéb biztonsági funkciók  Letöltött fájlok blokkolása (Properties / Unblock)  RunAs parancs  User Account Control (UAC) 38

User Account Control  Adminisztrátor felhasználó veszélyei  Megoldás: o Belépéskor két token: normál és admin o Admin használatához megerősítést kér 39

DEMO  Korlátozott felhasználóval dolgozni o Windows XP alatt kényelmetlen volt o Run as… és runas parancs o Ha nincs Run as..: bal SHIFT + jobb gomb  Vistaban tervezéskor figyeltek rá: UAC User Account Control, Runas 40

DEMO  Számítógép beállítások o Biztonsági beállítások o Rendszer komponensek. Pl. Windows Update  Felhasználó o Alkalmazások o Windows felülete  Sablonok  Felügyeleti sablonok  ~2500 beállítás Csoportházirend (Group Policy) 41

Összefoglalás  Hitelesítés o felhasználók tárolása, azonosítása, SID  Engedélyezés o Fajtái, jogosultságok, ACL-ek  Naplózás o Eseménynapló, házirendek 42

További információ  Mérés laboratórium 4. segédlet o Windows segédlet 43