Operációs Rendszerek 1 Felhasználókezelés
Bevezetés Windows XP többfelhasználós operációs rendszer A felhasználók csoportokba szervezhetők Egy felhasználó több csoportnak is a tagja lehet
Többfelhasználós rendszer Kijelentkezés, bejelentkezés Felhasználóváltás Tartományos környezetben nem Futtatás mint jobb klikk runas parancs bármilyen futtatható állományra Tipp: TC futtatás mint rendszergazda
Mi a felhasználó? Név Minden felhasználónak van egy neve, ami alapján a humán operátor azonosítja SID Minden felhasználónak van egy SID-je (Security ID), ez alapján azonosítja a rendszer
Felhasználó hozzáadása (1) Egyszerű felület: Vezérlőpult / Felhasználókezelés Szinte semmi nem állítható be 1-2 felhasználó esetén jó csak
Felhasználókezelés (2) Domainben alap control userpasswords2 Egyszerűsített csoportkezelés Kevesebb beállítási lehetőség
Felhasználókezelés (3) userpass..2-n Advanced gomb Szabadon beállíható minden „Ipari” kivitel Ezt nézzük át
Felhasználókezelés (4) Parancssorból is felvehető user: net user parancs pl: net user wg /add net localgroup „admins” /add net localgroup „admins” WG /add
Helyi felhasználók és csop. Végrehajtható feladatok (user): Hozzáadás Lista exportálása Átnevezés: nem név alapján azonosít a windows, ezért lehet Törlés: nem javasolt (letiltás inkább) Új jelszó megadás: rendszergazda új jelszót oszt, érdemes megváltoztatni
Felhaszn. Beallítások Felhasználó nevén jk, Tulajdonságok General: név, leírás, jelszó, letiltás Member Of: Csoporttagságok Profile: profile path: saját könyvtár (doc&sett) logon script: belépéskor futtatás home folder: kezdőkönyvtár megadás
Beépített felhasználók Guest: vendég (legyen letiltva) Rendszergazda: célszerű átnevezni System: Maga a off net localgroup Administrator Guest/add exit C:\Documents And Settings\Administrator\Start Menu\Programs\Startup.
Beépített csoportok (1) Felhasználók Igen kevés jog Kiemelt felhasználók Több jog, de pl. rendszergazda felhasználót nem hozhat létre Rendszergazdák Mindenre kiterjedő jogosultságok Vendégek
Beépített csoportok-Spec. Everyone Minden felhasználó tagja Authenticated Users „Rendes” felhasználók - system és guest nem tagja. Célszerű ezt használni. Creator Owner Egy erőforrás létrehozója vagy tulajdonosa
Általános jótanácsok Felhasználókat rendezzük csoportba Felhasználót ne töröljük, zároljuk
Login módok beállítása Change the way the users sign in Ha ki van kapcsolva, akkor alt+ctrl+delete megnyomása után lehet bejelentkezni (védelem) User accountnál állítható Group policy editorban is beállítható Registryből állítható HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LogonType
Adminisztrátor felhasználó Telepítés után az admin felhasználó látszólag elérhetetlen Klasszikus bejelentkező képernyőnél írjuk be az administrator (rendszergazda) nevet XP-s bejelentkezésnél Alt+ctrl+del kétszer
Felhasználók megjelenítése a welcome screenen HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\Use rList Ezen bejegyzéshez kell adni egy DWORD típust, aminek a neve legyen a felhasználó neve, az érték pedig 0, ekkor letilthatunk bizonyos felhasználókat a welcome screenből.
Belépési házirendek Személyre szabható a belépési mód Biztonsági házirendben állítható run: mmc gpedit.msc (csak professional)
Account policy gpedit.msc –ben Futtatás: mmc, windows\system32\gpedit.msc Enforce password history Maximum password age Minimum age Minimum length Complexity
Megosztott gépek biztonsága Biztonságosabbá tehető a számítógép, ha Felhasználóknak legyen saját accountja nem használt account eltávolítandó Administratort átnevezni
Feladatok Hozzon létre két csoportot: hallgatok, oktatok Hozzon létre 5 felhasználót: user1 - user5 user1 és user2 csak a hallgatok csoportjába tartozzon. user3 és user4 csak az oktatok csoportjába tartozzon. User5 legyen tagja mind a hallgatok, mind az oktatók csoportjának.
2. rész Jogosultság kezelés
Bevezetés Többfelhasználós rendszerben nem férhet hozzá mindenki mindenhez Windows XP-ben beállítható, hogy ki mihez férhet hozzá, mivel mit csinálhat
Log In authentication returns a SID for the user and a list of SIDs for the user’s security groups. Creating the access Token primary access token Local Security Authority Access token includes SIDs and privileges assigned to the user copy of the access token is attached to every process and thread that executes on the user’s behalf
The following diagram shows the Windows Server 2003 authorization and access control process. In this diagram, the subject (a thread in a process that is initiated by a user) attempts to access an object, such as a shared folder. The information in the user’s access token is compared to the access control entries (ACEs) in the object’s security descriptor, and the access decision is made. The SIDs of security principals are used in the users access token and in the ACEs in the object’s security descriptor.
Jogosultságkezelés Minden erőforráshoz tartozik egy ACL (access control list) ACL tartalma: Felhasználó vagy csoport azonosító(SID) Művelet leírása (írás, olvasás stb.) Adott művelet engedélyezése, tiltása Előhozás: állomány tulajdonságai/Biztonság/Speciális
Jogosultságkezelés Jogosultságok/Permissions Erőforráshoz hozzáférés állítható Naplózás/Auditing Műveletek naplózása Tulajdonos/Owner Tényleges Jogosultságok /Eff.Perm Ki-mit tehet meg az adott erőforrással
SACL Az objektumhoz val ó hozz á f é r é skor napl ó zand ó csoportfi ó kok vagy felhaszn á l ó i fi ó kok. Az egyes csoportok vagy felhaszn á l ó k eset é n napl ó zand ó műveletek, p é ld á ul egy f á jl m ó dos í t á sa. Az egyes hozz á f é r é si esem é nyekhez kapcsol ó d ó Sikeres vagy Sikertelen attrib ú tum, amely az objektumhoz tartoz ó tulajdonosi hozz á f é r é s-szab á lyoz á si list á ban az egyes csoportoknak é s felhaszn á l ó knak megadott enged é lyeken alapul.
Jogosultságok (1) Windows opt-in jellegel kezeli a jogosultságot Csak az férhet hozzá erőforráshoz, akinek engedik A felhasználó több címen is kaphat jogot (pl. saját név és csoport) A tagadás mindig erősebb
Jogosultságok (2) Jogosultság változtatásához kattintsunk az add gombra, majd írjunk be felhasználó vagy csoport nevet A megfelelő jogosultságokat a pipákkal állíthatjuk
Jogosultságok (3) Jogokat mindig csoportnak adjunk Könnyíti a személycserét Kevesebb bejegyzés az ACL-en Gyorsabb kiértékelés
Naplózás (1) Minden felhasználóra beállítható Sikeres és sikertelen hozzáféréseket naplózhatjuk Be kell kapcsolni a helyi gépen a naplózást Vez/Felügyeleti Eszk./Helyi Bizt. Házirend/Naplórend/Obj.Hozzáférés naplózása/sikeres,sikertelen
Naplózás(2) A naplóbejegyzések az eseménynaplóban fognak megjelenni (vezérlőpult/eseménynapló) Körültekintően alkalmazzuk, mivel erőforrásigényes
Tulajdonos (1) Minden erőforrásnak van tulajdonosa kezdetben a létrehozó majd aki saját tulajdonba vette Tulajdont átadni nem lehet, de engedélyezhető az átvétele
Tényleges jogok Itt tekinthető meg, hogy egy felhasználó milyen jogosultsággal rendelkezik Nevet be kell írni, ahol pipa van, az mehet
Jogosultságkezelés parancssorból cacls: Minden windows XP része, korlátozott használhatósággal xcacls: Resource kitben található
cacls használata cacls filename [/t] [/e] [/c] [/g user|group:perm] [/r user|group [...]] [/p user|group:perm [...]] [/d user|group [...]] Opciók /t: könyvtárban és alkönyvráraiban is dolgozik /e: szerkeszti az ACL-t, nem kicseréli /c: hibáknál nem áll le /g user|csoport: engedélyezés: r: olvasás, c: írás, f: teljes elérés /r user: jog megvonása /p user|group: felhasználó jogainak lecserélése: n: minden megvonása, r: olvasás, c: írás, f. teljes hozzáférés /d user|group: hozzáférés tiltása
cacls eredmény
cacls kimenet értelmezés Írjuk be: Cacls c:\ Eredmény (kb) BUILTIN\Rendszergazdák:(OI)(CI)(IO)F Rendszergazdák csoportra vonatkozik ez a sor OI: Object Inherit : ezen könyvtár fájljai örökölni fogják ezt a jogot. CI: Container Inherit: az alkönyvtárak örökölni fogják ezt a jogot. IO: Inherit Only: Ez a jog csak öröklődik, erre az objektumra nem vonatkozik. NP: Non-Propagate: gyermekobjektumok nem fogják örökölni ezt a jogot. F: Full control C: Change W: Write
cacls példa c mappa minden fájljához és könyvtárához teljes hozzáférés a rendszergazdának cacls c:\ /t /e /g Administrators:f C:\ -- itt dolgozzon /t -- öröklődjenek a jogok /e-- szerkeszteni szeretnénk /g Adm. – administrators csoportnak jog :f-- teljes hozzáférés
cacls feladat Adjunk olvasási jogosultságot a hallgató felhasználónak a c:\... fájlhoz. cacls file.txt /e /g hallgato:r Ellenőrizzük a GUI-n.
xcacls Felépítésében hasonló a cacls-hez, azonban részletesebb jogosultság kezelést tesz lehetővé: /G user:permision[;FolderSpec] Grant specified user access rights, permision can be: r Read c Change (write) f Full control p Change Permissions (Special access) o Take Ownership (Special access) x EXecute (Special access) e REad (Special access) w Write (Special access) d Delete (Special access) t Used only by FolderSpec. see below
Add Read-Only permission to a single file CACLS myfile.txt /E /G "Power Users":R Add Full Control permission to a second group of users CACLS myfile.txt /E /G "FinanceUsers":F Now revoke the Read permissions from the first group CACLS myfile.txt /E /R "Power Users" Now give the first group Full-control: CACLS myfile.txt /E /G "Power Users":F Give the Finance group Full Control of a folder and all sub folders CACLS c:\docs\work /E /T /C /G "FinanceUsers":F
xcacls
Barátságosabb kimenet A mezők nagyjából lefedik a GUIban láthatóakat
Xcacls gyakorlat Hozzunk létre egy minta nevű könyvtárat és másoljuk bele (hozzunk létre egy.txt és egy.bat fájlt). Adjunk teljes hozzáférést a hallgato nevű felhasználónak. Vonjuk meg a hallgato usertől a törlés jogát.
Feladatok jogosultsághoz /OR1/4/feladatok_jogosultsag.html