Operációs Rendszerek 1 Felhasználókezelés

Bevezetés Windows XP többfelhasználós operációs rendszer A felhasználók csoportokba szervezhetők Egy felhasználó több csoportnak is a tagja lehet

Többfelhasználós rendszer Kijelentkezés, bejelentkezés Felhasználóváltás Tartományos környezetben nem Futtatás mint jobb klikk runas parancs bármilyen futtatható állományra Tipp: TC futtatás mint rendszergazda

Mi a felhasználó? Név Minden felhasználónak van egy neve, ami alapján a humán operátor azonosítja SID Minden felhasználónak van egy SID-je (Security ID), ez alapján azonosítja a rendszer

Felhasználó hozzáadása (1) Egyszerű felület: Vezérlőpult / Felhasználókezelés Szinte semmi nem állítható be 1-2 felhasználó esetén jó csak

Felhasználókezelés (2) Domainben alap control userpasswords2 Egyszerűsített csoportkezelés Kevesebb beállítási lehetőség

Felhasználókezelés (3) userpass..2-n Advanced gomb Szabadon beállíható minden „Ipari” kivitel Ezt nézzük át

Felhasználókezelés (4) Parancssorból is felvehető user: net user parancs pl: net user wg /add net localgroup „admins” /add net localgroup „admins” WG /add

Helyi felhasználók és csop. Végrehajtható feladatok (user): Hozzáadás Lista exportálása Átnevezés: nem név alapján azonosít a windows, ezért lehet Törlés: nem javasolt (letiltás inkább) Új jelszó megadás: rendszergazda új jelszót oszt, érdemes megváltoztatni

Felhaszn. Beallítások Felhasználó nevén jk, Tulajdonságok General: név, leírás, jelszó, letiltás Member Of: Csoporttagságok Profile: profile path: saját könyvtár (doc&sett) logon script: belépéskor futtatás home folder: kezdőkönyvtár megadás

Beépített felhasználók Guest: vendég (legyen letiltva) Rendszergazda: célszerű átnevezni System: Maga a off net localgroup Administrator Guest/add exit C:\Documents And Settings\Administrator\Start Menu\Programs\Startup.

Beépített csoportok (1) Felhasználók Igen kevés jog Kiemelt felhasználók Több jog, de pl. rendszergazda felhasználót nem hozhat létre Rendszergazdák Mindenre kiterjedő jogosultságok Vendégek

Beépített csoportok-Spec. Everyone Minden felhasználó tagja Authenticated Users „Rendes” felhasználók - system és guest nem tagja. Célszerű ezt használni. Creator Owner Egy erőforrás létrehozója vagy tulajdonosa

Általános jótanácsok Felhasználókat rendezzük csoportba Felhasználót ne töröljük, zároljuk

Login módok beállítása Change the way the users sign in Ha ki van kapcsolva, akkor alt+ctrl+delete megnyomása után lehet bejelentkezni (védelem) User accountnál állítható Group policy editorban is beállítható Registryből állítható HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LogonType

Adminisztrátor felhasználó Telepítés után az admin felhasználó látszólag elérhetetlen Klasszikus bejelentkező képernyőnél írjuk be az administrator (rendszergazda) nevet XP-s bejelentkezésnél Alt+ctrl+del kétszer

Felhasználók megjelenítése a welcome screenen HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\Use rList Ezen bejegyzéshez kell adni egy DWORD típust, aminek a neve legyen a felhasználó neve, az érték pedig 0, ekkor letilthatunk bizonyos felhasználókat a welcome screenből.

Belépési házirendek Személyre szabható a belépési mód Biztonsági házirendben állítható run: mmc gpedit.msc (csak professional)

Account policy gpedit.msc –ben Futtatás: mmc, windows\system32\gpedit.msc Enforce password history Maximum password age Minimum age Minimum length Complexity

Megosztott gépek biztonsága Biztonságosabbá tehető a számítógép, ha Felhasználóknak legyen saját accountja nem használt account eltávolítandó Administratort átnevezni

Feladatok Hozzon létre két csoportot: hallgatok, oktatok Hozzon létre 5 felhasználót: user1 - user5 user1 és user2 csak a hallgatok csoportjába tartozzon. user3 és user4 csak az oktatok csoportjába tartozzon. User5 legyen tagja mind a hallgatok, mind az oktatók csoportjának.

2. rész Jogosultság kezelés

Bevezetés Többfelhasználós rendszerben nem férhet hozzá mindenki mindenhez Windows XP-ben beállítható, hogy ki mihez férhet hozzá, mivel mit csinálhat

Log In authentication returns a SID for the user and a list of SIDs for the user’s security groups. Creating the access Token primary access token Local Security Authority Access token includes SIDs and privileges assigned to the user copy of the access token is attached to every process and thread that executes on the user’s behalf

The following diagram shows the Windows Server 2003 authorization and access control process. In this diagram, the subject (a thread in a process that is initiated by a user) attempts to access an object, such as a shared folder. The information in the user’s access token is compared to the access control entries (ACEs) in the object’s security descriptor, and the access decision is made. The SIDs of security principals are used in the users access token and in the ACEs in the object’s security descriptor.

Jogosultságkezelés Minden erőforráshoz tartozik egy ACL (access control list) ACL tartalma: Felhasználó vagy csoport azonosító(SID) Művelet leírása (írás, olvasás stb.) Adott művelet engedélyezése, tiltása Előhozás: állomány tulajdonságai/Biztonság/Speciális

Jogosultságkezelés Jogosultságok/Permissions Erőforráshoz hozzáférés állítható Naplózás/Auditing Műveletek naplózása Tulajdonos/Owner Tényleges Jogosultságok /Eff.Perm Ki-mit tehet meg az adott erőforrással

SACL Az objektumhoz val ó hozz á f é r é skor napl ó zand ó csoportfi ó kok vagy felhaszn á l ó i fi ó kok. Az egyes csoportok vagy felhaszn á l ó k eset é n napl ó zand ó műveletek, p é ld á ul egy f á jl m ó dos í t á sa. Az egyes hozz á f é r é si esem é nyekhez kapcsol ó d ó Sikeres vagy Sikertelen attrib ú tum, amely az objektumhoz tartoz ó tulajdonosi hozz á f é r é s-szab á lyoz á si list á ban az egyes csoportoknak é s felhaszn á l ó knak megadott enged é lyeken alapul.

Jogosultságok (1) Windows opt-in jellegel kezeli a jogosultságot Csak az férhet hozzá erőforráshoz, akinek engedik A felhasználó több címen is kaphat jogot (pl. saját név és csoport) A tagadás mindig erősebb

Jogosultságok (2) Jogosultság változtatásához kattintsunk az add gombra, majd írjunk be felhasználó vagy csoport nevet A megfelelő jogosultságokat a pipákkal állíthatjuk

Jogosultságok (3) Jogokat mindig csoportnak adjunk Könnyíti a személycserét Kevesebb bejegyzés az ACL-en Gyorsabb kiértékelés

Naplózás (1) Minden felhasználóra beállítható Sikeres és sikertelen hozzáféréseket naplózhatjuk Be kell kapcsolni a helyi gépen a naplózást Vez/Felügyeleti Eszk./Helyi Bizt. Házirend/Naplórend/Obj.Hozzáférés naplózása/sikeres,sikertelen

Naplózás(2) A naplóbejegyzések az eseménynaplóban fognak megjelenni (vezérlőpult/eseménynapló) Körültekintően alkalmazzuk, mivel erőforrásigényes

Tulajdonos (1) Minden erőforrásnak van tulajdonosa kezdetben a létrehozó majd aki saját tulajdonba vette Tulajdont átadni nem lehet, de engedélyezhető az átvétele

Tényleges jogok Itt tekinthető meg, hogy egy felhasználó milyen jogosultsággal rendelkezik Nevet be kell írni, ahol pipa van, az mehet

Jogosultságkezelés parancssorból cacls: Minden windows XP része, korlátozott használhatósággal xcacls: Resource kitben található

cacls használata cacls filename [/t] [/e] [/c] [/g user|group:perm] [/r user|group [...]] [/p user|group:perm [...]] [/d user|group [...]] Opciók /t: könyvtárban és alkönyvráraiban is dolgozik /e: szerkeszti az ACL-t, nem kicseréli /c: hibáknál nem áll le /g user|csoport: engedélyezés: r: olvasás, c: írás, f: teljes elérés /r user: jog megvonása /p user|group: felhasználó jogainak lecserélése: n: minden megvonása, r: olvasás, c: írás, f. teljes hozzáférés /d user|group: hozzáférés tiltása

cacls eredmény

cacls kimenet értelmezés Írjuk be: Cacls c:\ Eredmény (kb) BUILTIN\Rendszergazdák:(OI)(CI)(IO)F Rendszergazdák csoportra vonatkozik ez a sor OI: Object Inherit : ezen könyvtár fájljai örökölni fogják ezt a jogot. CI: Container Inherit: az alkönyvtárak örökölni fogják ezt a jogot. IO: Inherit Only: Ez a jog csak öröklődik, erre az objektumra nem vonatkozik. NP: Non-Propagate: gyermekobjektumok nem fogják örökölni ezt a jogot. F: Full control C: Change W: Write

cacls példa c mappa minden fájljához és könyvtárához teljes hozzáférés a rendszergazdának cacls c:\ /t /e /g Administrators:f C:\ -- itt dolgozzon /t -- öröklődjenek a jogok /e-- szerkeszteni szeretnénk /g Adm. – administrators csoportnak jog :f-- teljes hozzáférés

cacls feladat Adjunk olvasási jogosultságot a hallgató felhasználónak a c:\... fájlhoz. cacls file.txt /e /g hallgato:r Ellenőrizzük a GUI-n.

xcacls Felépítésében hasonló a cacls-hez, azonban részletesebb jogosultság kezelést tesz lehetővé: /G user:permision[;FolderSpec] Grant specified user access rights, permision can be: r Read c Change (write) f Full control p Change Permissions (Special access) o Take Ownership (Special access) x EXecute (Special access) e REad (Special access) w Write (Special access) d Delete (Special access) t Used only by FolderSpec. see below

Add Read-Only permission to a single file CACLS myfile.txt /E /G "Power Users":R Add Full Control permission to a second group of users CACLS myfile.txt /E /G "FinanceUsers":F Now revoke the Read permissions from the first group CACLS myfile.txt /E /R "Power Users" Now give the first group Full-control: CACLS myfile.txt /E /G "Power Users":F Give the Finance group Full Control of a folder and all sub folders CACLS c:\docs\work /E /T /C /G "FinanceUsers":F

xcacls

Barátságosabb kimenet A mezők nagyjából lefedik a GUIban láthatóakat

Xcacls gyakorlat Hozzunk létre egy minta nevű könyvtárat és másoljuk bele (hozzunk létre egy.txt és egy.bat fájlt). Adjunk teljes hozzáférést a hallgato nevű felhasználónak. Vonjuk meg a hallgato usertől a törlés jogát.

Feladatok jogosultsághoz /OR1/4/feladatok_jogosultsag.html