Operációs Rendszerek I. Jogosultságkezelés 1
Bevezetés Többfelhasználós rendszerben nem férhet hozzá mindenki mindenhez Windows XP-ben beállítható, hogy ki mihez férhet hozzá, mivel mit csinálhat háromféleképp szabályozhatóak a felhasználók: Egyszerűsített felület (kétfajta) Adminisztrációs felület Parancssor 2
Bevezetés Parancssor net user parancs különböző variánsai pl: van egy szerverünk, ahova létre kell hozni 150 felhasználó hozzáférését és saját könyvtárát. Grafikus felületen ez néhány óra, parancssorban 1 for. Szintaxisa: net user <username> /add net localgroup <groupname> /add 3
Jogosultságkezelés Minden erőforráshoz tartozik egy ACL (Access Control List) ACL tartalma: Felhasználó vagy csoport azonosító(sid) Művelet leírása (írás, olvasás stb.) Adott művelet engedélyezése, tiltása Előhozás: állomány tulajdonságai/biztonság/speciális 4
SID felépítése Példa: S-1-5-21-3623811015- 3361044348-30300820-1013 S a string egy SID-et reprezentál 1 SID specifikáció verziója 5 NT authority 21-3623811015-3361044348-30300820 domain vagy local computer azonosító 1013 relatív ID (RID) - nem alapértelmezett csoportok vagy felhasználók esetében 1000 vagy annál nagyobb 5
Példa SIDekre S-1-1-0 Everyone S-1-5-32-544 Administrators S-1-5-XXX-500 Administrator S-1-5-XXX-501 Vendég S-1-5-XXX-512 Domain admin (XXX - domain) S-1-5-545 Users whoami /user - aktuális felhasználó SIDjének megjelenítése 6
összetett jogosultságok: egymásra épülnek: pl. az Olvasás és végrehajtás szint tartalmazza ugyanazokat a beállításokat, amelyeket az Olvasás, valamint hozzáad még néhány sajátot.. Elemi jogok 7
Minden összetett jog megfelel egy vagy több elemi jognak. A megfeleltetés: Pl. az Írás összetett jogba tartozik a fájlok létrehozása, attribútumok írása stb. Nem szükséges az adott összetett jog minden elemét kiválasztani. 8
Jogosultságkezelés Egy felhasználó kétféleképpen szerezhet jogokat kap valamilyen jogosultságot, vagy a csoportja. A saját és az örökölt jogok egyenértékűek. Ha egy felhasználó több csoportnak is a tagja, akkor minden csoportjától megörökli az összes jogot (és a tiltásokat is). 9
Jogosultságkezelés Jogosultságok/Permissions Erőforráshoz hozzáférés állítható Naplózás/Auditing Műveletek naplózása Tulajdonos/Owner Tényleges Jogosultságok /Eff.Perm Ki-mit tehet meg az adott erőforrással 10
Jogosultságkezelés 11
Jogosultságok (1) Windows opt-in jellegel kezeli a jogosultságot Csak az férhet hozzá erőforráshoz, akinek engedik A felhasználó több címen is kaphat jogot (pl. saját név és csoport) A tagadás mindig erősebb 12
Jogosultságok (2) Jogosultság változtatásához kattintsunk az add gombra, majd írjunk be felhasználó vagy csoport nevet A megfelelő jogosultságokat a pipákkal állíthatjuk 13
Jogosultságok (3) Jogokat mindig csoportnak adjunk Könnyíti a személycserét Kevesebb bejegyzés az ACL-en Gyorsabb kiértékelés 14
Naplózás (1) Minden felhasználóra beállítható Sikeres és sikertelen hozzáféréseket naplózhatjuk Be kell kapcsolni a helyi gépen a naplózást Vez/Felügyeleti Eszk./Helyi Bizt. Házirend/Naplórend/Obj.Hozzáférés naplózása/sikeres,sikertelen 15
Feladat Vegyük saját tulajdonba a Kék hegyek mintaképet Hozzuk létre Kiss Béla felhasználót (korlátozott) Állítsunk be naplózást (törlésre, saját tuladonba vételre) Lépjünk be vele Póbáljuk meg törölni, illetve saját tulajdonba venni a Kék hegyek mintaképet. Lépjünk vissza a Hallgatóval és nézzük meg a naplóbejegyzéseket 16
Naplózás bekapcsolása 17
Naplózás (2) A naplóbejegyzések az eseménynaplóban fognak megjelenni (vezérlőpult/eseménynapló) Körültekintően alkalmazzuk, mivel erőforrásigényes 18
19
Tulajdonos Minden erőforrásnak van tulajdonosa kezdetben a létrehozó majd aki saját tulajdonba vette Tulajdont átadni nem lehet, de engedélyezhető az átvétele 20
Tényleges jogok Itt tekinthető meg, hogy egy felhasználó milyen jogosultsággal rendelkezik Nevet be kell írni, ahol pipa van, az mehet 21
UAC - User Access Control Windows Vista új alapokra helyezte a hozzáférés vezérlést Miért? Windows XP-ben a jogosultságok szerteágazóan beállíthatóak Ki mikor mit csinálhasson a rendszerben De Az elsőként létrehozott felhasználó rendszergazda volt. Nem volt mód magasabb jogokat kapni run as vagy átjelentkezés nélkül --> rendszergazdaként használták inkább a rendszert Igazán hatékonyan a rendszert csak rendszergazdaként lehetett használni (programok telepítése, idő beállítás stb) 22
UAC - User Access Control UAC mindezt lehetővé teszi Az administrator user alapból tiltva van Rendszergazdaként fellépni a rendszergazdák csoport tagjai tudnak Ilyen felhasználók is egyszerű userként vannak bejelentkezve Ha nincs elég jog, akkor a rendszer rákérdez, hogy "kérünk-e" A kérdés biztonsági konzolon jön elő - csak a windows folyamatok érhetik el Értesítést küld róla - biztonságosabb, mert a háttérben nem történik meg 23
UAC - User Access Control Forrás: http://technet.microsoft.com/en-us/library/cc709628(ws.10).aspx 24
UAC - User Access Control A funkciók egy részét minden felhasználó elérheti Időzóna váltás Naptár megtekintése Órát beállítani csak a rendszergazda tudja 25
Windows Integrity Mechanism Vistában megjelent biztonsági featúra A folyamatok és erőforrások biztonsági szintet kapnak A folyamatok nem férhetnek hozzá a náluk nagyobb biztonsági szinthez (integrity level) Felülírja az NTFS jogokat http://msdn.microsoft.com/en-us/library/bb625957.aspx http://www.symantec.com/connect/articles/introduction-windows-integrity-control http://msdn.microsoft.com/en-us/library/bb625963.aspx 26
Integrity levels Untrusted anoním folyamatok Low Minden, ami az internettel kapcsolatos - IE összes eleme pl. Bizonyos könyvtárak: Temporary Internet Folder is low Medium Az alapértelmezett szint. Minden amit nem állítanak alacsonyra vagy magasra, az ezt a közepes értéket kapja. High Rendszergazdák szintje, így hozzáférhetnek minden medium, low és high szintű erőforráshoz. System A rendszerhez rendelt szint. A Windows kernel elemei és alapvető szolgáltatások futnak így - még a rendszergazdák sem férhetnek hozzá alapértelmezés szerint Installer Telepítő: speciális szint, a legmagasabb. Telepíteni és eltávolítani is tudnak elemeket. 27
Jogosultságkezelés parancssorból cacls: Minden windows XP része, korlátozott használhatósággal xcacls: Resource kitben található icacls: Vista / Windows 2003 SP2 óta elérhető get-acl, set-acl 28
cacls használata cacls filename [/t] [/e] [/c] [/g user group:perm] [/r user group [...]] [/p user group:perm [...]] [/d user group [...]] Opciók /t: könyvtárban és alkönyvráraiban is dolgozik /e: szerkeszti az ACL-t, nem kicseréli /c: hibáknál nem áll le /g user csoport: engedélyezés: r: olvasás, c: írás, f: teljes elérés /r user: jog megvonása /p user group: felhasználó jogainak lecserélése: n: minden megvonása, r: olvasás, c: írás, f. teljes hozzáférés /d user group: hozzáférés tiltása 29
cacls eredmény 30
cacls kimenet értelmezés Írjuk be: Cacls c:\ Eredmény (kb) BUILTIN\Rendszergazdák:(OI)(CI)(IO)F Rendszergazdák csoportra vonatkozik ez a sor OI: Object Inherit : ezen könyvtár fájljai örökölni fogják ezt a jogot. CI: Container Inherit: az alkönyvtárak örökölni fogják ezt a jogot. IO: Inherit Only: Ez a jog csak öröklődik, erre az objektumra nem vonatkozik. NP: Non-Propagate: gyermekobjektumok nem fogják örökölni ezt a jogot. F: Full control C: Change W: Write 31
cacls példa c mappa minden fájljához és könyvtárához teljes hozzáférés a rendszergazdának cacls c:\ /t /e /g Administrators:f C:\ -- itt dolgozzon /t -- öröklődjenek a jogok /e -- szerkeszteni szeretnénk /g Adm. -- administrators csoportnak jog :f -- teljes hozzáférés 32
cacls feladat Adjunk olvasási jogosultságot a hallgató felhasználónak a c:\... fájlhoz. Ellenőrizzük a GUI-n. cacls file.txt /e /g hallgato:r 33
xcacls Felépítésében hasonló a cacls-hez, azonban részletesebb jogosultság kezelést tesz lehetővé: /G user:permision[;folderspec] Grant specified user access rights, permision can be: r Read c Change (write) f Full control p Change Permissions (Special access) o Take Ownership (Special access) x EXecute (Special access) e REad (Special access) w Write (Special access) d Delete (Special access) t Used only by FolderSpec. see below 34
xcacls 35
xcacls Barátságosabb kimenet A mezők nagyjából lefedik a GUIban láthatóakat 36
icacls http://technet.microsoft.com/enus/library/cc753525(ws.10).aspx To grant the user User1 Delete and Write DAC permissions to a file named "Test1", type: icacls test1 /grant User1:(d,wdac) icacls test2 /grant *S-1-1-0:(d,wdac) 37
icacls icacls egyikfile.txt /grant User:F icacls masik.txt /grant User2:(GR) Integrity level állítása icacls masik.txt /setintegritylevel F 38
icacls gyakorlat Hozzunk létre egy minta nevű könyvtárat és benne egy.txt és egy.bat fájlt. Adjunk teljes hozzáférést a hallgato nevű felhasználónak. Vonjuk meg a hallgato usertől a törlés jogát. 39
Feladatok jogosultsághoz Hozzon létre egy zh és egy puska nevű könyvtárat a c meghajtón A zh könyvtár az oktatók otthona, itt tárolhatják a soron következő dolgozataikat. Mivel a hallgatók is hozzáférhetnek ehhez a géphez, ezért gondot okozhat, ha elolvashatják ezeket az állományokat. Állítsa be, hogy a hallgatók a könyvtárba ne léphessenek be, az ottani fájlokat ne olvashassák. 40
Feladatok jogosultsághoz A puska könyvtárba a hallgatók helyezhetik el segédleteiket. Sajnos a legtöbb ilyen segédlet tartalmaz hibákat. Vannak rendes oktatók, akik nem sajnálják az időt, hogy az ilyen segédletet kijavítsák, ezért célszerű, ha láthatják a könyvtár tartalmát, és tudnak módosítani a fájlokon. Állítsa ezt be. Sajnos vannak olyan oktatók is, akik le akarják törölni ezeket a fájlokat, vagy direkt használhatatlan puskákat másolnának be, megzavarva ezzel a tanulni vágyó ifjúságot. Akadályozza meg ezeket! 41
Feladatok jogosultsághoz A zh könyvtáron belül hozzon létre user3 és user4 könyvtárakat, amelyek tulajdonosa legyen user3 és user4. A saját könyvtárába csak a könyvtár tulajdonosa írhasson (explicit megadással), de az ott található dolgokat más is olvashassa. 42
Feladatok jogosultsághoz - PS Script segítségével hozzon létre 200 könyvtárat, mindegyikben 3 alkönyvtárral (A nevek lehetnek számok 1-200 között) Írjon olyan scriptet, ami az összes könyvtáron ad a hallgato usernek teljes hozzáférést. 43