Zajęcia 5 zakres prac I materiały pomocnicze zakres prac



Pobieranie 126,56 Kb.
Strona4/5
Data23.10.2017
Rozmiar126,56 Kb.
1   2   3   4   5

Narzędzie Effective Permissions tool (Czynne uprawnienia)


Aby dowiedzieć się, jakie uprawnienia do obiektu ma użytkownik lub grupa, można użyć narzędzia Effective Permissions tool (Czynne uprawnienia). Narzędzie to oblicza uprawnienia udzielane określonemu użytkownikowi lub grupie. W obliczeniach są uwzględniane uprawnienia wykorzystywane dzięki przynależności do grupy oraz odziedziczone po obiekcie nadrzędnym. Podczas obliczeń narzędzie przeszukuje wszystkie grupy domen i grupy lokalne, których członkiem jest dany użytkownik lub grupa.
Narzędzie Effective Permissions tool umożliwia uzyskanie tylko przybliżonych danych o uprawnieniach, które posiada użytkownik. Uprawnienia, które rzeczywiście posiada użytkownik, mogą być inne, ponieważ uprawnień można udzielać lub odmawiać na podstawie sposobu logowania użytkownika. Tych informacji dotyczących logowania nie można określić za pomocą Effective Permissions tool, ponieważ użytkownik nie jest zalogowany; dlatego wyświetlane informacje dotyczące czynnych uprawnień odzwierciedlają uprawnienia określone przez użytkownika lub grupę, a nieokreślone w procesie logowania.

Więcej informacji na ten temat podano w plikach \zaj5\Docs\Narzedzie_Czynne_uprawninia.doc


i \zaj5\Docs\Effective_Permissions_tool.doc.

    1. Ustawienia inspekcji obiektów (Auditing settings on objects)


Do każdego obiektu (object) jest dołączony zbiór informacji o zabezpieczeniach, nazywany deskryptorem zabezpieczeń (security descriptor). Część deskryptora zabezpieczeń określa grupy i użytkowników, którzy mają dostęp do obiektu, oraz typy praw dostępu (uprawnienia) udzielone tym grupom lub użytkownikom. Ta część deskryptora zabezpieczeń nazywana jest listą arbitralnej kontroli dostępu – Discretionary Access Control List (DACL).

Deskryptor zabezpieczeń obiektu zawiera również informacje o inspekcji. Te informacje znane są jako systemowa lista kontroli dostępu – System Access Control List (SACL). Systemowa lista kontroli dostępu określa w szczególności:



  • Konta użytkowników i grup, które mają podlegać inspekcji podczas uzyskiwania dostępu do obiektu.

  • Operacje, które mają podlegać inspekcji dla każdej grupy lub dla każdego użytkownika, na przykład modyfikacja pliku.

  • Atrybut Success (Powodzenie) lub Failure (Niepowodzenie) dla każdego zdarzenia dostępu, oparty na uprawnieniach udzielonych każdej grupie i każdemu użytkownikowi na liście DACL obiektu.

Inspekcji może podlegać obiekt i – poprzez dziedziczenie – wszystkie jego obiekty podrzędne. Jeśli na przykład jest prowadzona inspekcja nieudanych prób dostępu do folderu, to zdarzenie inspekcji mogą dziedziczyć wszystkie pliki znajdujące się w folderze. Aby prowadzić inspekcję plików i folderów, trzeba zalogować się jako członek grupy Administratorzy.


    1. Zasady inspekcji (Auditing policy)


Przed zaimplementowaniem zasad inspekcji trzeba wybrać kategorie zdarzeń podlegające inspekcji. Wybrane dla kategorii zdarzeń ustawienia inspekcji definiują zasady inspekcji. Na serwerach członkowskich i stacjach roboczych przyłączonych do domeny ustawienia inspekcji dla kategorii zdarzeń są domyślnie niezdefiniowane. Na kontrolerach domeny inspekcja jest domyślnie wyłączona. Definiując ustawienia inspekcji dla określonych kategorii zdarzeń, można utworzyć zasady inspekcji zgodne z wymaganiami danej organizacji w zakresie zabezpieczeń.

Wybrać można następujące kategorie zdarzeń podlegających inspekcji:



  • Audit account logon events - Przeprowadź inspekcję zdarzeń logowania na kontach

  • Audit account management - Przeprowadź inspekcję zarządzania kontami

  • Audit directory service access - Przeprowadź inspekcję dostępu do usługi katalogowej

  • Audit logon events - Przeprowadź inspekcję zdarzeń logowania

  • Audit object access - Przeprowadź inspekcję dostępu do obiektów

  • Audit policy change - Przeprowadź inspekcję zmian zasad

  • Audit privilege use - Przeprowadź inspekcję użycia uprawnień

  • Audit process tracking - Przeprowadź inspekcję śledzenia procesów

  • Audit system events - Przeprowadź inspekcję zdarzeń systemowych

Więcej informacji na temat kategorii zdarzeń podlegających inspekcji znajduje się w pliku \zaj5\Docs\zasady_inspekcji.doc.


Najważniejsze wskazówki dotyczące implementacji zasad inspekcji zawarte są w pliku \zaj5\Docs\Najwazniejsze_wskazowki_inspekcja.doc.

ZAJĘCIA 5 - ĆWICZENIA

Ćwiczenie 1 (Przygotowania)




  1. Podczas uruchamiania komputera pojawia się ekran wyboru systemów operacyjnych i innych zadań – Welcome on the WSISiZ network. Należy wybrać Win2003, a następnie pozycję Windows Server 2003, Instalacja standardowa.

  2. Po zalogowaniu się jako Administrator należy sprawdzić i w razie potrzeby skorygować nazwę lokalnego komputera (np. w Properties dla My Computer, karta Computer Name, przycisk Change...). Wprowadzona nazwa winna być taka, jaka została umieszczona na obudowie komputera (np. sz455).

  3. Z zasobów WS2003Lab skopiować do katalogu głównego partycji D: (!!! uprzednio zalecane jest wydanie w Start – Run: \\oceanic i podanie swoich parametrów uwierzytelnienia w sieci WSISiZ) cały folder \\oceanic\staff\ws2003lab\lab2006\zaj5 z zachowaniem jego nazwy zaj5.

  4. Uruchomić miniaplikację Folder Options w panelu sterowania Control Panel.
    W zakładce View uzyskać następujące ustawienia pozycji konfiguracyjnych:
    Show hidden files and folders – zaznaczona
    Hide extensions for known file types
    – odznaczona
    Hide protected operating system files (Recommended)
    – odznaczona

  5. Otworzyć Command Prompt i uruchomić skrypt d:\zaj5\konfiguracja5.cmd wydając polecenie:
    d:\zaj5\konfiguracja5.cmd nazwa_grupy_studenckiej
    W wyniku tej operacji winny zostać utworzone konta: bilbo-grupa (puste hasło, grupa lokalna Users),
    gandalf-grupa (puste hasło, dodatkowa grupa lokalna Power Users) oraz stosowne foldery i plik..

  6. Zalogować i wylogować się kolejno jako bilbo-grupa i gandalf-grupa sprawdzając czy istnieje, dla obydwu użytkowników, opcja możliwości zamknięcia systemu – lecz nie zamykać systemu !!!

Ćwiczenie 2 (Konfigurowanie Zasad inspekcji – Auditing policy)



Uwaga: Nie jest możliwe, poza kilkoma wyjątkami, zaimplementowanie zasad inspekcji bez uprzedniego dokonania stosownych wyborów kategorii zdarzeń podlegających kontroli. Dokonanie wyboru kategorii zdarzeń podlegających inspekcji jest pierwszym, koniecznym do spełnienia, warunkiem uruchomienia mechanizmu pojawiania się wpisów w Dzienniku zdarzeń.


  1. Będąc zalogowanym jako Administrator z menu Administrative Tools wybrać Local Security Policy.

    W drzewie konsoli rozwinąć Local Policies i wybrać Audit Policy.

    W oknie szczegółów, podwójnie klikając na poszczególne pozycje zaznaczać lub odznaczać pola opcji Success lub Failure (na karcie Local Security Setting) zgodnie z poniższą specyfikacją:


    • Audit account logon events – nie poddawać inspekcji (domyślnie jest Success)

    • Audit account management – pozostawić bez inspekcji (ustawienie domyślne)

    • Audit directory service access – pozostawić bez inspekcji (ustawienie domyślne)

    • Audit logon events – tylko Failure (domyślnie jest tylko Success)

    • Audit object accessSuccess i Failure (domyślnie jest No auditing –pozostawić bez inspekcji)

    • Audit policy change – pozostawić bez inspekcji (ustawienie domyślne)

    • Audit privilege use – pozostawić bez inspekcji (ustawienie domyślne)

    • Audit process tracking – pozostawić bez inspekcji (ustawienie domyślne)

    • Audit system events – pozostawić bez inspekcji (ustawienie domyślne)

Wybrać prawym klawiszem myszy Security Settings i z menu podręcznego polecenie Reload. Od tego momentu obowiązują w systemie nowe zasady inspekcji. Zamknąć konsolę Local Security Policy.

Ćwiczenie 3 (Czyszczenie wybranej zawartości Dziennika zdarzeń - Event Viewer)


  1. Będąc zalogowanym jako Administrator z menu Administrative Tools wybrać Event Viewer.

    W oknie drzewa konsoli Event Viewer wybrać prawym klawiszem myszy Security i wydać polecenie Clear all Events.


    W pojawiającym się oknie Event Viewer użyć przycisku No.
    Zamknąć konsolę Event Viewer. Wyniki inspekcji będą przeglądane w Ćwiczeniu 18.

Ćwiczenie 4 (Dokonywanie przeglądu, modyfikacji i usuwania uprawnień do folderów przy użyciu GUI i polecenia cacls)

UWAGA: Grupy lub użytkownicy, którym udzielono uprawnienia Full Control dla folderu, mogą usuwać pliki i podfoldery znajdujące się w tym folderze niezależnie od uprawnień chroniących pliki i podfoldery.
Dodawany nowy użytkownik lub grupa mają domyślnie udzielone uprawnienia Read & Execute, List Folder Contents i Read.



  1. Przeglądanie zabezpieczeń dla dysku lokalnego
    Z menu kontekstowego Local Disk (D:) wybrać Properties – Security.
    Zauważyć, że domyślnie, w polu Group or user names: zakładki Security występuje tylko pięć grup systemowych (Administrators, Creator Owner, Everyone, SYSTEM i Users). Dokonać, wybierając w polu Group or user names: odpowiednie pozycje, przeglądu uprawnień dla poszczególnych grup.

    W oknie Local Disk (D:) Properties, w zakładce Security użyć przycisku Advanced i zauważyć, że w oknie Advanced Security Settings for Local Disk (D:), na karcie Permissions, w polu Permissions entries:, w kolumnie Inherited From (Odziedziczone po), dla każdej z pozycji występuje wpis (nie odziedziczone). Zamknąć wszystkie okna zawiązane z Local Disk (D:) Properties.



  2. Przeglądanie zabezpieczeń dla folderu
    Z menu kontekstowego foldera d:\nadrzedny1-grupa\aaa wybrać Properties – Security.
    Zauważyć, że domyślnie, w polu Group or user names: występuje tylko cztery grupy systemowe (Administrators, Creator Owner, SYSTEM i Users). Dokonać przeglądu uprawnień dla poszczególnych grup.
    Zauważyć, że w rubryce Permissions for Group pola opcji w kolumnie Allow są szare, co świadczy o tym, że uprawnienia są dziedziczone z folderu nadrzędnego.

    W oknie aaa Properties, w zakładce Security użyć przycisku Advanced i zauważyć, że w oknie Advanced Security Settings for aaa, na karcie Permissions, w polu Permissions entries:, w kolumnie Inherited From (Odziedziczone po), tylko dla wymienionej najwyżej pozycji Administrators (SZXXX) odnoszącej się do This folder only w kolumnie Inherited From występuje zapis . Wszystkie inne pozycje domyślnie wskazują na dziedziczenie uprawnień z dysku D:\.


    Zamknąć okno Advanced Security Settings for aaa.

  3. Ustawianie zabezpieczeń dla wybranego użytkownika
    W otwartym oknie aaa Properties użyć przycisku Add..., w oknie Select Users or Groups użyć przycisku Advanced..., następnie Find Now i w polu Search results: wskazać na pozycję bilbo-grupa. Dwukrotnie zatwierdzać.
    W oknie aaa Properties pojawił się nowy wpis dla użytkownika bilbo-grupa.

    W polu Permissions for bilbo-grupa, w kolumnie Allow zaznaczyć pozycję Full Control i użyć przycisku OK.



  4. Odmawianie dostępu do foldera dla wybranego użytkownika przy użyciu polecenia cacls
    W Command Prompt zapoznać się ze składnią polecenia cacls (cacls /?) a następnie wydać je w poniższy sposób:
    cacls d:\nadrzedny1-grupa\aaa
    Wyświetlona zostaje informacja o uprawnieniach do foldera d:\nadrzedny1-grupa\aaa. Dla pozycji
    SZXXX\bilbo-grupa: występuje wpis F (pełna kontrola). Wpis świadczy o stosowaniu się tego uprawnienia do tego foldera i plików a wpis o stosowaniu się tego uprawnienia do tego foldera i podfolderów.

    Odmówić użytkownikowi bilbo-grupa jakiegokolwiek dostępu do foldera d:\nadrzedny1-grupa\aaa (bez ingerencji w ustawienia innych grup i użytkowników) wydając polecenia:


    cacls d:\nadrzedny1-grupa\aaa /e /d bilbo-grupa
    cacls d:\nadrzedny1-grupa\aaa
    Przy pozycji dotyczącej użytkownika bilbo-grupa pojawił się wpis N świadczący o braku dostępu do w/w foldera.

  5. Wybrać kartę Security w Properties foldera d:\nadrzedny1-grupa\aaa i zaznaczyć pozycję odpowiadającą użytkownikowi bilbo-grupa. Zauważyć, że dla kolumny Deny zaznaczone są wszystkie (oprócz jednej) pozycje dotyczące uprawnień. Użytkownik bilbo-grupa nie będzie mieć dostępu do w/w foldera. Zamknąć okno aaa Properties.

  6. Przywracanie dostępu do foldera dla wybranego użytkownika przy użyciu polecenia cacls
    Wydać polecenia:
    cacls d:\nadrzedny1-grupa\aaa /e /r bilbo-grupa
    cacls d:\nadrzedny1-grupa\aaa
    Usuwany jest wpis dotyczący uprawnień dla użytkownika bilbo-grupa. Jego konto ma teraz takie uprawnienia do foldera d:\nadrzedny1-grupa\aaa, jak inni członkowie grupy Users.

Ćwiczenie 5 (Uzyskiwanie informacji o uprawnieniach do obiektu z zastosowaniem narzędzia Effective Permissions Tool (Narzędzie Czynne Uprawnienia))




  1. Sprawdzenie czynnych uprawnień dla ustawień domyślnych
    Wybrać kartę Security we właściwościach foldera d:\nadrzedny1-grupa\aaa i użyć przycisku Add.
    Dodać grupę Power Users (jak w Ćw. 4, p. 4) i użyć przycisku Apply.
    Użyć przycisku Advanced, wybrać zakładkę Effective Permissions i użyć przycisku Select.
    Wybrać (Advanced... – Find Now) pozycję gandalf-grupa. Zauważyć, że zaznaczenie występuje dla siedmiu pozycji, a wśród nich dla: Create Files / Write Data i Create Folders / Append Data.
    Zamknąć okno Advanced Security Settings for aaa.

  2. Sprawdzenie czynnych uprawnień dla zmodyfikowanych ustawień
    W oknie aaa Properties wybrać pozycję Power Users. W kolumnie Deny zaznaczyć pozycję Write i użyć przycisku Apply.
    Po przeczytaniu informacji w oknie Security zatwierdzić ostrzeżenie przyciskiem Yes.
    Użyć przycisku Advanced, wybrać zakładkę Effective Permissions i użyć przycisku Select.
    Wybrać, kierując się poprzednimi doświadczeniami, pozycję gandalf-grupa.
    Zauważyć, że w polu Effective Permissions: pozycje Create Files / Write Data i Create Folders / Append Data nie są już zaznaczone.
    Użytkownik gandalf-grupa należy do dwóch grup: Users i Power Users. Z racji przynależności do grupy Users posiada, domyślnie, m.in. uprawnienia Create Files / Write Data i Create Folders / Append Data.
    W wyniku wprowadzenia Deny dla uprawnienia Write (dla grupy Power Users) użytkownik nie może już korzystać z tych uprawnień.
    Członek grupy Administrators nie musi już pamiętać o tym, że zastosował pewne ograniczenia w dostępie do foldera dla użytkownika gandalf-grupa. Może po prostu posłużyć się narzędziem Effective Permissions Tool uzyskując spis aktualnie obowiązujących uprawnień dostępu dla tego konta użytkownika.
    Zamknąć, zatwierdzając, okna związane z aaa Properties.

Ćwiczenie 6 (Usuwanie domyślnych i definiowanie własnych uprawnień NTFS do folderu pomijających łańcuch dziedziczenia uprawnień)



  1. Wywołać kartę Security dla foldera d:\nadrzedny1-grupa\aaa.
    Usunąć, przy użyciu przycisku Remove, grupę Power Users i użyć Apply (od tej chwili grupa Power Users odzyskuje domyślne ustawienia uprawnień – znika z pola Group or user names:).

  2. Podjąć próbę usunięcia grup: Users, Creator Owner i System. Próby nie powinny się udać (pojawia się komunikat, że nie można usunąć grupy, ponieważ uprawnienia są dziedziczone z folderu nadrzędnego). Zamknąć (OK) okna Security, gdzie wyświetlany jest ten komunikat.

  3. Użyć przycisku Advanced, odznaczyć pole Allow inheritable permissions from the parent to propagate to this object and all child objects. Include these with entries explicitly defined here. (Zezwalaj na propagowanie dziedziczonych uprawnień z obiektu nadrzędnego do tego obiektu i wszystkich obiektów podrzędnych. Uwzględnij je razem z wpisami tutaj zdefiniowanymi.), aby zablokować dziedziczenie uprawnień.

    W okienku Security zostaje wyświetlony komunikat o możliwości skopiowania uprawnień aktualnie dziedziczonych lub usunięcia wszystkich uprawnień dziedziczonych do tego folderu a pozostawienie tylko jawnie przypisanych.


    Użyć przycisku Remove. Zauważyć, że w części Permisson entries: pozostała tylko jedna pozycja (Administrators – oznaczenie ) dotycząca wpisu odnoszącego się do This folder only. Użyć przycisku OK.

  4. W oknie aaa Properties użyć przycisku Add...
    Wykorzystując okno Select Users or Groups (przycisk Advanced…) dodać grupy Creator Owner, Power Users, System (użyć klawisz [Ctrl]).

  5. Dla grup Administrators i System przyznać uprawnienie Full Control.
    Dla grupy Power Users przyznać dodatkowo uprawnienie Write (odpowiednie pola dla uprawnień Read & Execute, List Folder Contents, Read winny być również zaznaczone).
    Użyć przycisku Advanced, w oknie Advanced Security Settings for aaa wybrać grupę Creator Owner i użyć przycisku Edit…
    W oknie Permission Entry for aaa dla pola Apply onto: wybrać This folder, subfolders and files.
    W polu Permissions, w kolumnie Allow, zaznaczyć Full Control i dwa razy zatwierdzić.

  6. Zamknąć okno aaa Properties przyciskiem OK.


Ćwiczenie 7 (Implementacja zasad inspekcji na przykładzie kontroli dostępu do plików i folderów)


UWAGA: Uzyskanie informacji (pojawienie się) w Dzienniku zdarzeń stosownych wpisów, o powodzeniu lub

niepowodzeniu operacji dostępu do foldera lub pliku wymaga uprzedniego włączenia odpowiedniej Zasady inspekcji

(patrz ćwiczenie 2 bieżących zajęć). Kontrola dostępu do plików i folderów wymaga włączenia zasady

Audit object access (Przeprowadź inspekcję dostępu do obiektów).

Włączenie tej zasady jest warunkiem koniecznym lecz nie wystarczającym do skutecznego prowadzenie inspekcji do obiektów.


Drugim warunkiem jest, by dla konkretnego, wybranego obiektu dokonać zespołu operacji konfigurowania inspekcji dotyczących określenia czyje działania, związane z jakimi czynnościami, będą podlegać śledzeniu.


  1. Wybrać w Properties dla foldera d:\nadrzedny1-grupa\aaa kartę Security, przycisk Advanced, kartę Auditing.
    Przy zaznaczonej opcji Allow inheritable auditing entries from the parent to propagate to this object and all child objects. Include these with entries explicitly defined here. (Zezwalaj na propagowanie dziedziczonych wpisów inspekcji z obiektu nadrzędnego do tego obiektu i wszystkich obiektów podrzędnych. Uwzględnij je razem z wpisami tutaj zdefiniowanymi.) użyć przycisku Add... (pozostawienie w/w opcji spowoduje, że będą śledzone działania dotyczące również pliku d:\nadrzedny1-grupa\aaa\admin.txt).
    Posługując się oknem Select User or Group dodać konto bilbo-grupa.
    Po zatwierdzeniach pojawia się okno Auditing Entry for aaa. Zaznaczyć, w kolumnie Failed, pole dla pozycji Delete i zatwierdzić.

Ponownie użyć przycisku Add... i dodać grupę Administrators.

W oknie Auditing Entry for aaa zaznaczyć pola Successful i Failed dla poniższych typów dostępu:



    • Change Permissions

    • Take Ownership

i ,zatwierdzając, zamknąć wszystkie okna mające związek z aaa Properties.
Ćwiczenie 8 (Sprawdzanie możliwości dostępu do plików i folderów)


  1. Załogować się jako bilbo-grupa podając początkowo błędne hasło, a następnie prawidłowe.
    W dzienniku zdarzeń winien pojawić się stosowny wpis – sprawdzanie wpisów w dalszej części zajęć.

  2. Sprawdzić możliwość otwarcia foldera d:\nadrzedny1-grupa\aaa. Próba nie powinna się udać.

  3. Sprawdzić możliwość utworzenia foldera d:\nadrzedny1-grupa\bilbo. Próba udaje się ponieważ restrykcjami objęty jest tylko folder d:\nadrzedny1-grupa\aaa.
    Wylogować się.

  4. Zalogować się jako gandalf-grupa i podjąć następujące próby.

    • Otworzyć folder d:\nadrzedny1-grupa\aaa (próba winna być udana ponieważ użytkownik
      gandalf-grupa należy do grupy Power Users, której nadano stosowne uprawnienia
      w Ćwiczeniu 6)

    • Utworzyć plik tekstowy (np. prawy klawisz myszy na pustym obszarze okna aaa folderu aaa) d:\nadrzedny1-grupa\aaa\gandalf.txt (powodzenie operacji wynikające z udzielenia dodatkowo, oprócz domyślnych, uprawnienia Write)

    • Otworzyć plik d:\nadrzedny1-grupa\aaa\gandalf.txt

    • Zmienić zawartość pliku

    • Zapisać plik

    • Usunąć plik

Ostatnie cztery zadania powiodły się ponieważ grupie Creator Owner przypisano dla folderu d:\nadrzedny1-grupa\aaa specjalne uprawnienie NTFS Full Control. Użytkownik gandalf-grupa jest twórcą (Creator) i właścicielem (Owner) pliku d:\nadrzedny1-grupa\aaa\gandalf.txt.

  1. Dokonać na pliku d:\nadrzedny1-grupa\aaa\admin.txt następujących prób.

  • Otworzyć plik d:\nadrzedny1-grupa\aaa\admin.txt

    • Zmienić zawartość pliku

    • Zapisać plik

    • Usunąć plik

Ostatnia operacja nie powinna się udać. Użytkownik gandalf-grupa nie posiada uprawnienia Modify i nie był jego twórcą (folder utworzył Administrator). Fakt niemożności usunięcia pliku stanie się oczywisty po wykonaniu poniższego sprawdzenia.
Otworzyć w Properties pliku d:\nadrzedny1-grupa\aaa\admin.txt kartę Security, użyć Advanced.
W oknie Advanced Security Settings for admin.txt zaznaczyć pozycję dla Power Users i użyć przycisku View... Zauważyć, że opcja Delete nie jest zaznaczona.
Zamknąć wszystkie okna dotyczące właściwości pliku.
Ćwiczenie 9 (Modyfikacja uprawnienia własności do foldera, przejmowanie na własność przy użyciu narzędzia GUI i takeown)


1   2   3   4   5


©operacji.org 2017
wyślij wiadomość

    Strona główna