WINDOWS HÁLÓZATI ALAPOK OKTATÁSA VIRTUÁLIS GÉP HASZNÁLATÁVAL

WINDOWS HÁLÓZATI ALAPOK OKTATÁSA VIRTUÁLIS GÉP HASZNÁLATÁVAL Szakmai módszertani segédanyag Pedagógus továbbképzés: az informatika szakmacsoportban oktató tanárok számára Időpontja: 2010. november 25. Helye: A továbbképzés előadója: Pintér Imréné informatika tanár, szaktanácsadó Összeállította a tanfolyam résztvevői számára: Pintér Imréné

Windows XP Lemezkezelés I. előadás 2010. november 25. XP lemezkezelése Fizikai lemez (HDD) lehet: - Alapszintű (alapvető) partíciók (részekre osztás) o elsődleges partíció: (XP itt lehet) o kiterjesztett több logikai meghajtóra osztható o gyakorlat: parancssorba: compmgmt.msc vagy diskmgmt.msc Fizikai Lemez üres területe / je /Create New partiton - dinamikus logikai lemezei = kötetek Alapszintű Dinamikus FAT Simán NTFS Ha nincs rajta kötet Ha üres Lemez01 Alapvető X GB online /je/konvertálás dinamikus lemezzé Fizikai Lemez üres területe /je/újkötet Varázslat indul Beállíthatod: - egyszerű vagy összetett kötetet: átnyúló, kiterjesztett hozol létre - méretét, több lemez esetén lemezenként (átnyúló, kiterjesztett kötetnél éred el) - betűjelet, könyvtárat rendelhetsz hozzá - formázva legyen? gyorsformázva? - foglalási egység méretét (cluster méret), kötetnek címkét, engedélyezheted a tömörítést (ezeket később is beállíthatod: kötet/je/..) 2. oldal

Windows XP Lemezkezelés I. előadás 2010. november 25. o egyenrangúak o operációs rendszer innen indulhat???? (Attól függ melyikről és melyik op_r) o fajtái: Egyszerű dinamikus lemez: (XP itt lehet) egyetlen, összefüggő lemezterületen Ha alapszintű lemezt (rajta elsődleges, kiterjesztett partíciók) dinamikussá konvertálsz mindkét partícióból egyszerű kötet lesz! Összetett csak: NTFS filerendszer Átnyúló kötet: több lemezre átnyúló, akár bármely fizikai lemeznél nagyobb kapacitású lemezterület hozható létre (ua a betűjele) o Max 32 lemezterületből állhat o CSAK NTFS filerendszerrel o Formázatlan területen o Méretét csak növelni lehet o Törölni csak egyben, részenként nem o Nem lehet: rendszerkötetet illetve egyszerű kötetet, mely konverzió útján jött létre (hiszen alapszintű lemez partíciója volt) o Op.rendszer innen nem indulhat (csak elsődleges partícióról vagy egyszerű kötetről!!!) o Még rendszerkönyvtár sem lehet rajta 3. oldal

Windows XP Lemezkezelés I. előadás 2010. november 25. Csíkozott kötet: különböző fizikai lemezeken az adatok egyenletesen szétszórva. o Szintén különálló fizikai lemezeket egyetlen logikai lemeznek lát o DE itt a cél a lemezműveletek gyorsítása! o Írás 64 KB-os blokkokban o Olvasás már párhuzamosan történhet (egyszerre pl. 3 blokkot olvas) ezért gyorsít o Legalább két dinamikus lemez kell hozzá o Csak üres lemezterület használható 1.blokk 2.blokk 3.blokk 4.blokk 5.blokk. N. blokk Pl. 3 fizikai lemez esetén: 1. lemez 2. lemez 3. lemez 1.blokk 2. blokk 3. blokk 4. blokk 5. blokk?? Mekkora lemezterületet lehet csíkozni? a 3 lemezen azonos méretű helyek kellenek a 3 közül a legkisebb szabadterülete határozza meg a maxméretet!!!! Hibatűrő kötet: adatok redundáns tárolása!!nem RAID: csak megemlítjük o XP nem tudja, csak a Server programok használhatják, pl. WindowsServer2003 RAID 5. szintje a hibajavító információval ellátott csíkozott kötet (hardveres megoldás azért jobb ) 1. lemez 2. lemez 3. lemez 4. lemez 1.blokk 2. blokk 3. blokk P_blokk_XOR P_blokk_XOR 4. blokk 5. blokk 6. blokk 7. blokk P_blokk_XOR 8. blokk 9.blokk 10. blokk 11. blokk P_blokk_XOR 12. blokk 4. oldal

Windows XP Lemezkezelés II. előadás 2010. november 25. NTFS = New Technology File System Nem 64 bites FAT, NEM utódja a FATnak, teljesen más fájlrendszer!! Megjelenésekor csodaszámba ment. (azért vannak ám hiányosságai is) Nincsenek táblázatai, mindent fájlokban tárol segédfájljai vannak. Új attribútumok is megjelentek a régiek mellett, lsd táblázat: FAT NTFS Írásvédett + + Rejtett + + Archiválandó + + Rendszer + + Tömörített + Titkosított - + Indexelt + Utolsó 3at fájlredszer szintjén!! Az opr kernelje végzi! I. Főbb jellemezők: 1. Hatékony Kiterjeszthető, átnyúló kötet létrehozható: az ilyen kötet kapacitásának maximuma a rendelkezésre álló fizikai lemezek szabad területe Tömörítve tárolás: fájlrendszer szintjére került a ki-becsomagolás, abszolút online. DE ez lokális, hálózaton az ilyen fájl tömörítetlenül megy. Miért nyereséges a használata? HDD lassú RAM gyors Kevesebbet kell olvasni CPU gyorsan kitömöríti Gyorsabb JA, és még egy fontos dolog: színes lesz a fájl neve Intézőben, így aztán Felhasználó örömmel fog tömöríteni illetve titkosítani Mountolás: könyvtárba csatolt, névvel bíró lemezmeghajtó létrehozása Újraértelmezési pontot használ az NTFS = dinamikus hivatkozás Lsd előző feladatsornál 2féleképp tudtuk elérni a k_lemez könyvtárat, a C:-n illetve az elnevezett meghajtón keresztül sparse fájl = ritka fájl (nagy mennyiségű 0t vagy 1t tartalmaz.) Virtuálisan nagy size Fizikailag kicsi size on disk http://www.softwareonline.hu/article/view.aspx?id=3074 oldalon utána tudsz nézni, hogyan. Nagy partícióméret: elméletileg 16 EB (exa=g*g) 32 bites rendszerekben max 2TB.Miért? Mert HDD-n partíció méretét 4Bon tudjuk megadni 2 32 db sector 512B=2 9 2 32 *2 9 =2 41 =2TB 5. oldal

Windows XP Lemezkezelés II. előadás 2010. november 25. Azért ez még most elég, ha mégsem 64 bites rendszer kell. 2. Biztonságos $LogFile Admin területet 2* tárolja (HDD elején, közepén) Serveren hibatűrő partíció (RAID technika) $BadClus 3. Védhető hozzáférési jogok titkosítás (színes ) 4. Szolgáltatások: pl. kvótázás II. NTFS adminisztrációja: nem táblákkal, hanem segédfájlokban ($jellel kezdődik a nevük. (windowsban $=rejtett)) tárol mindent, a fájlrendszer gyökerét mégis táblának hívják, DE ő is fájl MFT (Master File Table): benne a többi rendszerfájl címe. $MFT a HDD elején van $MFTMIRR az MFT biztonsági tükre, a HDD közepe táján található $LogFile.. $BitMap $Boot: boot programkód helyét tartalmazza $BadClus $Secure: biztonsági alapbejegyzéseket tartalmazó rendszerfájl. Kicsi, csak pointereket tartalmaz, mert a jogosultságok a user-fájlon lógnak.. Összesen 15 darab ilyen rendszerfájl van. Ezek után a bejegyzések után a $MFTben a user-fájlok elérési címe szerepel, könyvtárak is fájlként tárolódnak. 1. $LogFile: tranzakciónapló Vagyis mindent 2* ír 2* ír FATnál: módosítottad egy fájl tartalmát, mentés közben áramkimaradás, dőlhettél a kardodba, mert egy se előtte se utána állapotú használhatatlan bithalmazt kaptál. NTFS okos, két helyre ír: HDDre és ide a $LogFileba. Erre a naplóterületre ír, majd szabad CPUidőben kiírja a HDDre, ha kész, tranzakciós naplóból törli. 2. $BitMap: helyfoglalási térkép Benne 1 bit 1 klaszter Könnyű egybefüggő, üres területet találni hatékony helykihasználás Ráadásul minden fájl után NTFS hagy szabad területet (fájl úgyis nő) így a lemez nem lesz rögtön töredezett a legelső módosításkor. Valójában a töredezettségmentesítő ezeket az üres helyeket elviszi a fájlok végéről, így megágyaz a későbbi töredezettségnek 3. $BadClus: (harakirit megelőző fájl) NTFS hajnalán csodaszámba ment, hogy mit tud. Ugyanis így időben kiderül, hogy egy klaszter hibás, mikor? Még HDDre írásakor, ellenőrzi, ha nem egyezik a $LogFileban lévő tartalommal, megjelöli (1 bit 1 klaszter) majd kiírja egy másik klaszterbe, és a $LogFileból csak ezután törli. 6. oldal

Windows XP Lemezkezelés II. előadás 2010. november 25. FAT esetén dőltél a kardodba, mert mikor derült ki, hogy hibás a klaszter? Mikor már fogalma sem volt senkinek (FATnak főleg nem) mi volt a klaszter tartalma fájl elszállt. III. NTFS fájlok felépítése Fájl = különböző streamek halmaza (egyes irodalmak az attribútum kifejezést is használják a stream helyett, de ez megtévesztő lehet, mert az attribútum kifejezés már foglalt) pl steramek: Fájl neve Dátum Attribútum Titkosítás Jogosultság.. $Data=adat Tehát maga az adat is egy stream, csak nagyobb. Biztos? Mindig? $DATA Az adaton ($Data) kinövések, további streamek lehetnek, melyek száma és terjedelme gyakorlatilag korlátlan. Ez bizony okozhat bajt, már okozott is. NA, lássuk! 1. saját stream Létrehozunk egy fájlt, C:\a.a néven, tök mindegy, valamit beleírunk, elmentjük. Mekkora? 34Bájt Tegyünk bele mi streamet! Hogyan? Ezt lehet? Lehet. Így mekkora lett? Mi? Ugyanakkora? De hát írtam hozzá! Biztos? Nézzük meg! Ott van a stream-ünk, a fájl mérete mégsem változott! ő egy alternatív DataStream, vagyis egy kinövés. Sok-sok ilyen kinövés van egy fájlon, amit nem látunk, mert egyszerű halandóként csak az adatrész láthatósága adatott meg, na de mostmár.. 7. oldal

Windows XP Lemezkezelés II. előadás 2010. november 25. Hamarosan fog következni a jogadás. Úgynevezett ACL (Access Control List) ugyanígy streamként tárolódik a fájlon. Ahány felhasználó, annyi stream. Emiatt mindig felhasználói csoportoknak adunk jogot, mert így sokkal kevesebb kinövés lesz a fájlunkon. 2. Internetről letöltött fájl, ha IEvel töltötted le, későbbi nyitáskor nyöszörög, hogy nem megbízható helyről származó. emlékszik, hogy internetes fájl, tehát megbízhatatlan. Eltárolta szintén egy streamben. 3. rejtőzködésre is használható, pl vírusok számára csináljuk mi is, dugjunk bele egy alternatív datastreambe mondjuk egy jegyzettömböt (notepad.exe) vagy egy számológépet (calc.exe) Ezzel létrejött egy általunk készített stream, mely egy EXE fájlt tartalmaz. Indítsuk el! Ééééés sikerült! Na, a vírus is tehet ugyanígy, vírusirtók nézik!! Vírusok másik kedvenc tartózkodási helye a hibásként megjelölt klaszterek, egyrészt nem tökre hibásak, másrészt a kutya se használja, ráadásul az NTFS tálcán kínálja ($BAdClus). A vírusirtók ezeket a területeket is vizsgálják. Hogyan tudjuk megnézni bármely tetszőleges fájl alternatív datastreamjét? Hogyan tudjuk törölni? böngésző indít / sysinternals.com / Utilities index (névsorba rendezve látod a letölthető fájlokat). Letöltjük Mark Russinovich által készített SREAMS.EXE fájlt ugyanide a C:\be! Indítsuk rá a fájlunkra. jó mi? Így lehet 5Bos txt fájlba akár egy DVDnyi tartalmat rakni, soha nem veszik észre! 8. oldal

Windows XP Lemezkezelés II. előadás 2010. november 25. Felhasználói felületen ez hogyan látszik? Fájl/je/tul../összegzés fül valamennyi itt megadott alternatív datastreambe kerül. Töltögessünk ki a a.a fájlunknak, majd engedjük rá a streams.exe-t! Töltsünk le IEvel fájlokat, engedjük rá erre a könyvtárrra is! 9. oldal

Windows XP Lemezkezelés II. előadás 2010. november 25. Titkosítás, XP EFS Csak az NTFS fájlrendszerben fájl illetve könyvtár attribútuma (FAT nem tudja) EFS = Encrypting File System (titkosítás feltétele: módosítási jog) Nemcsak a tulajdonos titkosíthatja a fájlt, viszont titkosítás után CSAK az a felhasználó tudja használni, aki titkosította! Hogyan készül ez a kulcs? k r i p t o g r á f i a Tartalom titkosítása szimmetrikus kulccsal Szimmetrikus kulcs titkosítása aszimmetrikus kulccsal (RSA kulcspár) Mindkét kulcs azon felhasználó adataiból készül, aki titkosított, ráadásul teljesen publikus helyen tárolódik!! - könnyen letörölhető, illetve milyen kulcs az, amely elérhető egy könyvtárból - felhasználót eltávolítják profilja megszűnik kulcs eltűnik - felhasználó profilja sérül új profilja lesz kulcs eltűnik EFS-sel csak baj van, NE használjuk!! De, azért néhány dolgot tudunk tanulmányozni a segítségével, hiszen egy nagyon biztonságos aszimmetrikus titkosítási algoritmussal (RSA kulcspár) készül, és ugyanolyan felépítésű külsőt, dekorációt kap, mint azok a kulcsok, melyet tanúsítvány kiszolgálóktól kapunk. Először nézzük meg, hol tárolódnak ezek a tanúsítványok! IE/Internetbeállítások/Tartalom/Tanúsítványok RSA kulcspár publikus kulcs + privát kulcs mindenkinek odaadom senkinek, és ráadásul: Privát kulcs sohasem megy át a hálózaton, (kivéve, ha mégis), nagyon vigyázok rá Nyitja a titkosított fájlt Zárja a titkosított fájlt Címzettnél nálam, (és jól eldugom) Hogyan lehet jól eldugni egy fájlt? s z t e g a n o g r á f i a (mi JPHS programmal) Titkosítunk EFS-sel lesz kulcspárunk IEből kiexportáljuk egy fájlba Ezt a fájlt dugjuk el JPHSsel Töröljük a tanúsítványt! Most próbál megnyitni a fájlt! Előtte ki/bejelentkezés (cash miatt) Szedd ki a fájlt a jpg-ből, majd importáld a tanúsítványkezelőbe! És már használhatod is! 10. oldal

Windows XP Lemezkezelés II. előadás 2010. november 25. Lemezkarbantartás Lemezkezelés prban: - konvertálás - partíciók / kötetek létrehozása -. -. -. Rendszereszközök (Számítógépkezelés prban is lehet) - töredezettségmentesítés - lemezellenőrzés - Biztonsági mentés Biztonsági mentés (backup) Nem archiválás!!! Archiváláskor a eredeti elvész Jogadás, szabályozás: RGnak és Biztonsági másolat felelősöknek van. Szabályozása (jogadás) a Helyi biztonsági házirenddel (Local Security Police) Futtatás/secpol.msc/Helyi házirend/ Felhasználói jogok kiosztása Indítása: Rendszereszközök/ Biztonsági másolat Futtatás/ ntbackup Mindig varázslót pipát kivenni / Bezár, újraindít speciális üzemmódban vagyunk, így kezelhetőbb Biztonsági másolat fül biztonsági mentés Beállíthatod: - mit - hová (mindkettő tallózható) - Eszközök / Beállítások lapon típusát, visszaállítási paramétereket, kivétel hozzáadására lehetőség tanulmányozd! Adathordozó visszaállítása fül visszaállítási paraméterek beállítása Feladatok ütemezése fül ütemezz (pl éjszaka, mikor senkit nem zavar, meg ráadásul ekkor érdemes senki nem dolgozik nem keletkeznek új dolgok) Biztonság mentés típusai: - Normál: ment + jelöli a mentés tényét - Másolás: ment NEM jelöli a mentés tényét - Növekményes: csak az új illetve a megváltozottak mentődnek + jelöli a mentés tényét - Különbségi: mint előző, de NEM jelöli a mentéstényét - Naponta: mentés napján változtatottat, létrehozottat, de NEM jelöli a mentés tényét 11. oldal

Windows XP Lemezkezelés II. előadás 2010. november 25. Hétfő Kedd Szerda Csütörtök Péntek Normál Növ_K Növ_Sz Növ_Cs Visszaállítás: Normál+ Növ_K+ Növ_Sz+ Növ_Cs Normál Kül_K Kül_Sz Kül_Cs Visszaállítás: Normál+ Kül_Cs Növekményes: - Az előző mentéshez képesti változásokat menti - Gyors mentés - Kisebb fájl - Visszaállítás lassabb, több fájlra van szükség Különbségi: - A teljes (normál) mentéshez képesti változásokat menti - Tovább tart a mentés - Nagyobb fájl - Gyors visszaállítás Mindent beállítasz, elindítod Speciális gomb / Árnyékmásolat. Háát az meg mi? Árnyékmásolat vagy kötetpillanatkép = fénykép kötetről 12. oldal

Windows Felhasználókezelés, jogosultságok, megosztás előadás 2010. november 25. Helyi felhasználók és beállításaik felhasználói fiók: név + jelszó hitelesítés (SAM: helyi biztonsági ab) jogosultság szerint Administrator Users! éppen elégséges jogok elve! a feladathoz épp elegendő jog Egyszerű (Useres) felhasználókezelés (most biztonságosabbá tesszük) Vezérlőpult / jelszó létrehozása Kijelentkezés bejelentkezés Vezpult /../ A felhasználók ki-és bejelentkezésének / Üdvölőképernyő használata pipa ki Nem látszanak a felhasználók, bejelentkező ablak kéri a jelszót Bejelentkező ablakban felhasználó neve sem látszódjon: secpol.msc / Helyi házirend / Biztonsági beállítások / Interaktív bejelentkezés: Ne jelenjen meg. Felhasználókezelés több beállítási lehetőség (szgépkezelés/helyi felh / Vezpult/ Felügy eszk) (compmgmt.msc) Megnézni az ablak tartalmát (felhasználók, csoportok,..)!rg nevét mindig változtassuk meg, ne legyen élből Admin vagy RG (egy pici védelem, legalább a usernevét ne ismerje a támadó) Mindig csak 1 RG legyen, a többi szakmás a Kiemelt felh csoportba kerüljön, kaphatnak a mezei userekhez képest + jogokat (pl. kt megosztás), DE! a rendszerkonfigurációhoz nem nyúlhatnak! RGnak sem kell mindig RGként dolgoznia, használnia a gépét! Ha kell RGnak RG jogosultság másodlagos bejelentkezés (Vezpult/Felh fiókok/shift+je) 1. Új felhasználó felvétele Felh/je/Új felh név teljes név kezdeti jelszó a A köv pipa Jelszót nem lehet pipa Fiók le van tiltva pipa: be sem tud jelentkezni, pl ha rosszhiszemű támadások gyaníthatók a felhasználó nevében, de nem akarod megszűntetni a felh-t NEM lehet itt: - csoporttagság - személyes beállítások - logon parancsfájl 2. Felhasználó tulajdonságainak beállítása A. Csoporttagság Felh tulajdonságlapján kell beállítani Felhnév/je/Tulajd/fülek Valaki/je/Tulajd/Tagság/Hozzáadás/Spec/Keresés most listából választhatsz B. Profil = munkakörnyezet (felhasználói profil) 13. oldal

Windows Felhasználókezelés, jogosultságok, megosztás előadás 2010. november 25. elérési út: felh saját kt-a (környezeti beállításai, dokumentumai) C:\Document and Settings\Valaki Logon script: parancsfájl, bejelentkezéskor fut le!itt csak relatív elérési út lehet! Kezdő mappa: Valaki alapkt-ra (mutatni). HA a felh parancssort nyit, ezt a kt-t használja. 3. Felhasználó átnevezése Valaki/je/Átnev feltétel: azonos nevű nem lehet a helyi biztonsági ab-ban (SAM). Mindenen megmarad, mert a SIDje (Security Identifer) nem változik, és az azonosítást ő végzi. 4. Felhasználó jelszavának változtatása Valaki/je/Jelszó megadása elfelejtette! RGnak jó tanács: kapcsolja be a Valaki/je/Tulajd/első pipa ne tudja megváltoztatni a jelszót a felhasználó, amennyiben elég bonyolult a jelmondat! 5. Felhasználó törlése, letiltása A. Törlés pl Valaki elmegy a cégtől NE használhasson semmit Valaki/je/Törlés SIDje sok helyen szerepelhet SAM felhasználói csoport bejegyzéseiben NTFS törlés esetén csak a SAMból és a felhasználói csoportból törlődik (SIDje), Csúnya, de jó: könyvtárhoz 1 felh-nak teljes hozzáférést csak neki estleg - majd kitörlöd, újra biztonság fül -> a SID-je fog láétszani máshonnan nem. Ha a felhasználó visszajön, újra fiókot kap másik SIDje lesz, így felesleges SIDek foglalhatják a helyet, növelik az adminisztrációs ab-t. Emiatt erőforráshoz hozzáférési jogot CSAK felhasználói csoportnak adjunk! 14. oldal

Windows Felhasználókezelés, jogosultságok, megosztás előadás 2010. november 25. valamint így Felhasználó felvételekor is könnyebb dolgunk van: olyan csoportot kell keresnünk, aki a neki megfelelő jogosultságokkal rendelkezik és PUFF, abba belepakolni. B. Letiltás Ha Valaki nem végleg megy el a cégtől NE töröljük, hanem tiltsuk le Valaki/je/Tulajdonságok/ Fiók le pipa HA mégsem jön vissza, és ugyanebbe a munkakörbe új ember jön, megkapja ezt a felhasználót - Valaki (letiltás tulajdonságlapon letiltás megszüntetése:./ átnevezés felh jelszó megadása tulajdonságlap/bejelentkezéskor kötelező jelszóváltoztatás) 15. oldal

Windows Felhasználókezelés, jogosultságok, megosztás előadás 2010. november 25. Felhasználói csoportok -beépített -speciális Látszik több csoport, ha újat hozol létre, DE sokkal nagyobb lista látszik a keresés most..-tal Jogadás egységesen és egy lépésben Adminisztráció bonyolultsága és helyigénye is csökken (erőforrások, file-k, kt-ak,.) egy bejegyzés A. Beépített csoportok speciális képességek, jogok (tőlük elvenni nem lehet, másoknak adni nem lehet, csak ha ebben a csoportban vannak) B. Speciális csoportok (111.oldal): rendszerfelügyeleti programban nem jelennek meg, a rendszer működése során dinamikusan változik a tagsága pl Mindenki Hitelesített felhasználók Névtelen bejelent.. Köteg Létrehozó tulajd.. NÉZD MEG A KÖNYVBEN!!!! Műveletek felhasználói csoportokkal A. Létrehozás, tagfelvétel L é t r e h o z á s : Vezpult/Felügy eszközök/számítógépkezelés/helyi /je/új csoport/ Hozzáadás/ Speciális/Keresés most/katt+ctrl több felh is kijeleölhető Nagyon fontos a jól átgondolt csoportfelépítés, mert különböző jogosultságokat adhatsz nekik, így a felhasználókat csak a jól felépített rendszer valamely csoportjába (vagy csoportjaiba) kell felvenni tagként nem a felhasználóknak adok jogosultságokat, hanem a felhasználói csoportoknak! T a g f e l v é t e l : Felhasználói csoport/je/tulajd/hozzáadás.. B. Átnevezés, törlés SID is törlődik! Csoport törlődik, a tagok nyilván nem (felhasználót nem így törlünk), DE a csoportnak beállított jogok értelemszerűen törlődnek, tehát a csoport tagjai elvesztik az itt megszerzett jogokat. (pl törlik az Igazgatóság csoportot: igazgatók nem haláloznak el, de azok a jogaik, amiket e csoport tagjaként kaptak, megszűnnek!!!) 16. oldal

Windows Felhasználókezelés, jogosultságok, megosztás előadás 2010. november 25. Biztonsági beállítások Valamennyi felhasználóra! (115.oldal) Rendszerszintű jogosultságok Windows opr viselkedésének módosítása, beállítása Tartományi környezetben (ActiveDirectory) a GroupPolicy (GP) fejbe tudja csapni az elérhetetlen beállításokkal (szürke) ez történt, a GP beállította, a LPból nem érhető el. Hasznos lehet: IPcím beállításának jogosultsága Fájlmegosztás jogosultsága hol állítható? Nem itt, de legalább a jogokat jól átnézted! IPcím állítás Regedit / HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/ lanmanserver/tcpip/parameters/je/permision bele a mélyébe, megeditálni, Add, Ott NetworkConfig.. csoporton Editke SetValue pipa, na az övé a jog Megosztás:./lanmanserver/Shares/je/.. Serveren: Back up files and lopás jog megadása, mert kimenti a tartalmat vmilyen külső tárra, visszarakja FATra Mindenkinek (Everyone) Teljes hozzáférés (Full Control). Párja a Restore. Change the system time Kerberos több mint 5 késés van domain-kliens között, sikoltozni kezd, nem enged hálózati kapcsolatot, létszükséglet, hogy az órák együtt járjanak Vezérlőpult/Felügyeleti eszközök/helyi biztonsági házirend VAGY Futtatás/secpol.msc Felhasználók jelszóhasználata (hossz,.) Felhasználó asztalán mi látható Felhasználónak milyen rendszerszintű jogosultságai lehetnek (helyi szg 1 helyi házirend tartomány címtár ab házirend objektumok, szabályok, érvényesek szgépekre, felhasználókra Felépítése: - szgépre vonatkozók - Felhasználóra vonatkozó (az itt beállítottak valamennyi felhasználóra vonatkoznak!!!) A. Fiókházirend - jelszóházirend - fiókzárolási házirend 17. oldal

Windows Felhasználókezelés, jogosultságok, megosztás előadás 2010. november 25. ablak jobb oldali részen valamely elemen/je/tulajdonságok/ o engedélyezett o letiltott B. Helyi házirend - naplórend - felhasználói jogok kiosztása - biztonsági beállítások Felhasználói jogok kiosztása jogdömping! Amit nem ismerünk, NE változtassuk!! Virtuális gépen szabadon, DE ésszel próbálgasd!! 18. oldal

Windows Felhasználókezelés, jogosultságok, megosztás előadás 2010. november 25. RG csoporttól csak az öngyilkosjelöltek vegyenek el jogokat!!! (Későbbi anyag, de már most fontos lehet: ha tiltó és engedélyező jog is be van kapcsolva, mindig a TILTÓ ERŐSEBB!!!!) Biztonsági beállítások:rendszer viselkedésének biztonsága - a hálózatról bejelentkezőket ne engedje be vendégként Fiókok: A vendégfiók állapota letiltva - Ne engedjük be üres jelszóval sem Fiókok: Üres jelszavak.. - ne rövid jelszó Fiókházirend / Jelszóházirend/ Legrövidebb jelszó. - RGi fiók védelme Fiókok: A rgi fiók átnevezése.. Helyi felhasználók és csoportok modulban is át lehet nevezni, de ha a házirendben letiltjuk, a felügyeleti konzolon nem lehet visszanevezni. ()Így támadás esetén a RG nevét is ki kell találni nemcsak a jelszavát. - SMB protokoll (kapcsolódás megosztott erőforráshoz)nem biztos, hogy titkosított, tiltsuk le Microsoft hálózati ügyfél: titkosítatlan. - A SAMban lévő felhasználók neveit bárki láthatná, ezért Hálózati hozzáférés: A SAM-fiókok tiltsuk le A Mindenki (Everyone) csoportnak minél kevesebb jogot adjunk! (Nehéz, mert a W jogkiosztáskor több erőforrásnál is használja.) 19. oldal

Windows Felhasználókezelés, jogosultságok, megosztás előadás 2010. november 25. NAPLÓREND Mikor, ki Bejelentkezés Jelszóváltoztatás Joghasználat bejegyzések a biztonsági naplóba (SecurityLog) Számítógépkezelés / Eseménynapló Hozzáférés szabályozás NTFS fájlrendszerben NTFS jogok érvényesek: - helyben - hálózaton - megosztáson keresztül Fajtái: - engedélyezés - tiltás: mindig erősebb (ACL elején van) Mindent visz (7 zsírban) bármelyik csoport tagjaként kapott egy Deny-t, az az övé! ACL (Access Control List) ezt szerkesztjük a biztonsági fülre kattintva AC (ász) = ki (SecurityIdentifer: SID), mit (Read, Write,..), csinálhat / nem Jogadás feltétele, hogy a könyvtár ill fájl fölött - FullControl jog - vagy legalább Engedélyek olvasása és Engedélyek módosítása jog - tulajdonos legyen (Owner) bármit megtehet (Change Permission joga van: bármit megtehet, még azt is amit nem), tulajdonjogot csak ÁTVENNI lehet hozzávágni valakihez nem! (pl kvóta miatt) (Előtte: Mappa beállítások/nézet/e ) Könyvtár vagy fájl / je / Tulajdonságok / Biztonság Könyvtár vagy fájl / je / Properties / Security Ablak felső részében kinek, alsó részében milyen összetett (Standard) jogai vannak. Elemi jogokat elérni: ugyanebben a ablakban Speciális gomb / Szerkesztés gomb(advanced / Edit) Mutatni - pl a List Folder Contest (Mappa tartalmának listázása) jogot, mely elemi jogokból áll össze. - Speciális engedélyek jelentése - Törlés jog könyvtárra van értelme, fájlra hatástalan Öröklődés, eredő jogok Könyvtár, fájl jogai = örököltek + helyben kapott (egyenrangúak) Mutatni a - C:\ ezért nem tud mezei User a gyökérben fájlt létrehozni, hanem csak alkönyvtárban. - Öröklődés kikapcsolását. Mikor lehet ebből baj? megosztott könyvtár esetén ne kapcsoljuk ki! 20. oldal

Windows Felhasználókezelés, jogosultságok, megosztás előadás 2010. november 25. - Telepítéskor a Windows külön állít jogokat pl a Windows, ProgramFiles, DocumentAndSettings könyvtárakhoz kikapcsolja a C:\-től való öröklődést, a többinél benn van a pipa - Mindenki minden jogát levenni egy könyvtáradban lévő fájlról. Próbáld nyitni, másolni, mozgatni. Access denied. Na, és törölni? Nem lomtárba, mert az Move! Ha olyan könyvtárban, melyre nincs FullControl, akkor nem működik. RG miatt van, amely könyvtárhoz RGnak FullControll joga van, onnan bármit letörölhet. (De különben saját tulajdonba is veheti tulaj lesz, azt csinál, amit akar) Másik pipa: (A gyerekobjektum ) felülbírálja az öröklődés kikapcsolását (erősebb), rájuk kényszeríti: törli a helyben beállított jogokat + kikapcsolja az öröklődést tiltó beállítást. Ez lefelé a hierarchiában beállítja az öröklődést. ELVEK: - Maximális biztonság ÉS Egyszerűség ÉS Áttekinthetőség - Felhasználói csoportok jogait megtervezni, átgondolni - Mindig csoportnak adjunk jogokat - Inkább könyvtárhoz rendeljünk jogot, mint fájlhoz (példaértékű a Törlés) - NE használjuk a Mindenki (Everyone) csoportot! HA mindenkinek szeretnénk adni vmilyen jogot Hitelesített felhasználók csoportját használjuk - Gondoljuk át, opr-nek kell-e itt jog System-nek adjunk. Mindenképp a rendszerkönyvtárhoz Document and Settings könyvtárhoz, el ne vegyük!! - Használjuk az öröklődést (minél kevesebb helyen kapcsoljuk ki) - Megosztás esetén is inkább az NTFS-t használjuk o Részletesebb o Biztonságosabb Saját tulajdonbavétel NTFS fájl, könyvtár tulajdonosa, aki azt létrehozta. Más felhasználók átvehetik ezt a jogot (ha van Saját tulajdonbavételi joguk). Tulajdonosnak nem biztos, hogy teljes hozzáférése van, de meg tudja csinálni, hogy az legyen, ugyanis a tulajdonosnak jogadási joga van! Tulajdonjogot csak átvenni lehet (akinek ehhez meg van a joga)!! (Miért? Pl kvótahatárhoz közel mindenkinek adhatnád, hogy az illető fájl vagy könyvtár nem is a tiéd.) Menete: - Adni tulajdonbavételi jogot../biztonság/ Speciális /Hozzáadás/Felhasználó választás / Saját tulajdonba vételi jog megadása - Az illető felhasználó../biztonság/ Speciális / Tulajdonság fülön Tulajdonos cseréje Mely két jog, amelyet nem szabad odaadni? - Jog változtatás joga (Engedély módosítása / Change Permissions) bármilyen jogot kioszthat!!! - Saját tulajdonbavétel joga bármit megtehet!!! Megosztás Könyvtár a hálózaton keresztül is elérhető lesz, létrehozásához joga RG és Kiemelt felhasználóknak van, de ha a megosztás létrejött, a beállítások szerint elérhető lesz!! NEU csoportba felvenni a virtuális gépeket, megfelelő HKt engedélyezni a VirtualPCben VIGYÁZAT! A megosztás rendszerszintű jogosultság, bárki jelentkezik be, az illető könyvtár megosztott marad, hálózatból is elérhető. Számítógép, melyen a megosztott könyvtár található állománykiszolgálóvá válik - munkacsoport kiszolgáló (felh. szg) 21. oldal

Windows Felhasználókezelés, jogosultságok, megosztás előadás 2010. november 25. - hálózati kiszolgáló (server gép) Módjai: 1. Intéző (fájlkezelő) / je/megosztás és../ Megosztás Egy könyvtár többször és több néven is megosztható. Kifelé annyinak látszik, ahányszor megosztottuk. 2. Számítógépkezelés / Megosztott mappák /Megosztások /je varázslat indul Majd létrehozott / je beállítások megtehetők Itt valamennyi megosztás látszik, nemcsak a RGé. Amely nem a RGé, annak neve $-ra végződik, és ezek máshol nem jelennek meg (Intéző vagy más fájlkezelő) /XP alapértelmezés szerint megosztja valamennyi logikai lemez gyökerét, neve: betűjelele$, ezekhez csak rendszergazdák kapcsolódhatnak./ Így mi is készíthetünk rejtett megosztást, neve végére + $ További lehetőségek: - Megosztott mappák / Munkamenetek hálózatról jövő felhasználók listája (felhasználói név nélküli sor: IPC$ megosztáshoz szg kapcsolódott) - Megosztott mappák / Megnyitott fájlok mit használnak - Egyik sem naplózható - Megszakíthatók a kapcsolódások Mikor érdemes? Nemcsak, ha haragszol rá valamiért, hanem, ha túlterhelt a hálózat, le lehet dobálni néhány felhasználót 3. Hálózat másik számítógépén lévő könyvtár megosztása: Csak ha a másik gépen is uezen névvel-jelszóval RGként szerepelsz. - Szgépkezelést ikon/je/futtatás mint.. - Ebben az ablakban a Számítógépkezelés(Helyi)/je / Csatlakozás másik számítógéphez megy. Figyeld, most mi van a zárójelben! 4. és még sokféleképp. (Így csak könyvtár érhető el a hálózaton. Ha a teljes lemezt kell megosztani, Intéző/csak helyi lemezek megosztása-> Súgó) Megosztási engedélyek Alapértelmezett a Mindenki csoport teljes hozzáférése. (Esetenként még a Névtelen bejelentkezőket is bele lehet tenni) Ezt érdemes meghagyni így a jog plafonját beállítottuk. (Nem FATban vagyunk, ezért az NTFS adta lehetőségekkel élünk) Így a felhasználó ugyanúgy használhatja a megosztásokat a hálózatról, mintha odaülne az illető géphez. Megosztási engedélyek és NTFS jogok érvényesülése > EFFEKTÍV JOG Megosztási engedélyek: FAT és NTFS esetén is érvényesek másik gépről történő elérés esetén, effektív jog a kettő metszete lesz. A tiltás mindig erősebb A Nincs hozzáférés jog (nincs a jogosultsági listán) mindennél erősebb, ez lesz az effektív joga Engedélyek közül a legtágabb érvényesül Hálózatról jön a fenti elvek élnek Leül a géphez NTFS jogok élnek 22. oldal