WINDOWS HÁLÓZATI ALAPOK OKTATÁSA VIRTUÁLIS GÉP HASZNÁLATÁVAL

WINDOWS HÁLÓZATI ALAPOK OKTATÁSA VIRTUÁLIS GÉP HASZNÁLATÁVAL Szakmai – módszertani segédanyag

Pedagógus továbbképzés: az informatika szakmacsoportban oktató tanárok számára Időpontja: 2010. november 25. Helye: Neumann János Számítástechnikai Szakközépiskola A továbbképzés előadója: Pintér Imréné informatika tanár, szaktanácsadó

Összeállította a tanfolyam résztvevői számára: Pintér Imréné

Windows XP Lemezkezelés I.

előadás 2010. november 25.

XP lemezkezelése Fizikai lemez (HDD) lehet: -

Alapszintű (alapvető)  partíciók (részekre osztás) o elsődleges partíció: (XP itt lehet) o kiterjesztett  több logikai meghajtóra osztható o gyakorlat: parancssorba: compmgmt.msc vagy diskmgmt.msc Fizikai Lemez üres területe

-

/ je /Create New partiton

dinamikus  logikai lemezei = kötetek Alapszintű FAT NTFS

Dinamikus Simán Ha nincs rajta kötet Ha üres

Lemez01 Alapvető X GB online

/je/Konvertálás dinamikus lemezzé

Fizikai Lemez üres területe

/je/újkötet Varázslat indul Beállíthatod: - egyszerű vagy összetett kötetet: átnyúló, kiterjesztett hozol létre - méretét, több lemez esetén lemezenként (átnyúló, kiterjesztett kötetnél éred el) - betűjelet, könyvtárat rendelhetsz hozzá - formázva legyen? gyorsformázva? - foglalási egység méretét (cluster méret), kötetnek címkét, engedélyezheted a tömörítést (ezeket később is beállíthatod: kötet/je/..)

Készítette: Pintér Imréné [email protected] Neumann János Számítástechnikai Szakközépiskola

2. oldal



o egyenrangúak o operációs rendszer innen indulhat???? (Attól függ melyikről és melyik op_r) o fajtái:  Egyszerű dinamikus lemez: (XP itt lehet) egyetlen, összefüggő lemezterületen Ha alapszintű lemezt (rajta elsődleges, kiterjesztett partíciók) dinamikussá konvertálsz  mindkét partícióból egyszerű kötet lesz! 

Összetett csak: NTFS filerendszer  Átnyúló kötet: több lemezre átnyúló, akár bármely fizikai lemeznél nagyobb kapacitású lemezterület hozható létre (ua a betűjele) o Max 32 lemezterületből állhat o CSAK NTFS filerendszerrel o Formázatlan területen o Méretét csak növelni lehet o Törölni csak egyben, részenként nem o Nem lehet: rendszerkötetet illetve egyszerű kötetet, mely konverzió útján jött létre (hiszen alapszintű lemez partíciója volt) o Op.rendszer innen nem indulhat (csak elsődleges partícióról vagy egyszerű kötetről!!!) o Még rendszerkönyvtár sem lehet rajta


3. oldal




1.blokk


Csíkozott kötet: különböző fizikai lemezeken az adatok egyenletesen szétszórva. o Szintén különálló fizikai lemezeket egyetlen logikai lemeznek lát o DE itt a cél a lemezműveletek gyorsítása! o Írás 64 KB-os blokkokban o Olvasás már párhuzamosan történhet (egyszerre pl. 3 blokkot olvas) ezért gyorsít o Legalább két dinamikus lemez kell hozzá o Csak üres lemezterület használható

2.blokk

3.blokk

4.blokk

5.blokk

…….

N. blokk

Pl. 3 fizikai lemez esetén: 1. lemez

2. lemez

1.blokk 4. blokk

2. blokk 5. blokk

3. lemez 3. blokk

?? Mekkora lemezterületet lehet csíkozni?  a 3 lemezen azonos méretű helyek kellenek  a 3 közül a legkisebb szabadterülete határozza meg a maxméretet!!!! 

Hibatűrő kötet: adatok redundáns tárolása !!NEM RAID: csak megemlítjük o XP nem tudja, csak a Server programok használhatják, pl. WindowsServer2003 RAID 5. szintje a hibajavító információval ellátott csíkozott kötet (hardveres megoldás azért jobb ) 1. lemez

2. lemez

3. lemez

4. lemez

1.blokk P_blokk_XOR 7. blokk 10. blokk

2. blokk 4. blokk P_blokk_XOR 11. blokk

3. blokk 5. blokk 8. blokk P_blokk_XOR

P_blokk_XOR 6. blokk 9 .blokk 12. blokk


4. oldal

Windows XP Lemezkezelés II.


NTFS = New Technology File System Nem 64 bites FAT, NEM utódja a FATnak, teljesen más fájlrendszer!! Megjelenésekor csodaszámba ment. (azért vannak ám hiányosságai is) Nincsenek táblázatai, mindent fájlokban tárol  segédfájljai vannak. Új attribútumok is megjelentek a régiek mellett, lsd táblázat:

Írásvédett Rejtett Archiválandó Rendszer Tömörített Titkosított Indexelt I.

FAT

NTFS

+ + + +

+ + + + + + +

-

Utolsó 3at fájlredszer szintjén!! Az opr kernelje végzi!

Főbb jellemezők: 1. Hatékony  Kiterjeszthető, átnyúló kötet létrehozható: az ilyen kötet kapacitásának maximuma a rendelkezésre álló fizikai lemezek szabad területe  Tömörítve tárolás: fájlrendszer szintjére került a ki-becsomagolás, abszolút „online”. DE ez lokális, hálózaton az ilyen fájl tömörítetlenül megy. Miért nyereséges a használata?  HDD lassú Kevesebbet kell olvasni

RAM gyors CPU gyorsan kitömöríti

 Gyorsabb JA, és még egy fontos dolog: színes lesz a fájl neve Intézőben, így aztán Felhasználó örömmel fog tömöríteni illetve titkosítani   Mountolás: könyvtárba csatolt, névvel bíró lemezmeghajtó létrehozása Újraértelmezési pontot használ az NTFS = dinamikus hivatkozás Lsd előző feladatsornál 2féleképp tudtuk elérni a k_lemez könyvtárat, a C:-n illetve az elnevezett meghajtón keresztül  sparse fájl = ritka fájl (nagy mennyiségű 0t vagy 1t tartalmaz.) Virtuálisan nagy size Fizikailag kicsi size on disk http://www.softwareonline.hu/Article/View.aspx?id=3074 oldalon utána tudsz nézni, hogyan.  Nagy partícióméret: elméletileg 16 EB (exa=G*G) 32 bites rendszerekben max 2TB.Miért? Mert HDD-n partíció méretét 4Bon tudjuk megadni  232 db sector  512B=29  232*29=241=2TB Készítette: Pintér Imréné [email protected] Neumann János Számítástechnikai Szakközépiskola

5. oldal



Azért ez még most elég, ha mégsem 64 bites rendszer kell. 2. Biztonságos  $LogFile  Admin területet 2* tárolja (HDD elején, közepén)  Serveren hibatűrő partíció (RAID technika)  $BadClus 3. Védhető  hozzáférési jogok  titkosítás (színes ) 4. Szolgáltatások: pl. kvótázás

II. NTFS adminisztrációja: nem táblákkal, hanem segédfájlokban ($jellel kezdődik a nevük. (windowsban $=rejtett)) tárol mindent, a fájlrendszer gyökerét mégis táblának hívják, DE ő is fájl MFT (Master File Table): benne a többi rendszerfájl címe. $MFT a HDD elején van $MFTMIRR az MFT biztonsági tükre, a HDD közepe táján található $LogFile . . $BitMap $Boot: boot programkód helyét tartalmazza $BadClus $Secure: biztonsági alapbejegyzéseket tartalmazó rendszerfájl. Kicsi, csak pointereket tartalmaz, mert a jogosultságok a user-fájlon lógnak . . Összesen 15 darab ilyen rendszerfájl van. Ezek után a bejegyzések után a $MFTben a user-fájlok elérési címe szerepel, könyvtárak is fájlként tárolódnak. 1. $LogFile: tranzakciónapló Vagyis mindent 2* ír 2* ír FATnál: módosítottad egy fájl tartalmát, mentés közben áramkimaradás, dőlhettél a kardodba, mert egy se előtte – se utána állapotú használhatatlan bithalmazt kaptál. NTFS okos, két helyre ír: HDDre és ide a $LogFileba. Erre a naplóterületre ír, majd szabad CPUidőben kiírja a HDDre, ha kész, tranzakciós naplóból törli. 2. $BitMap: helyfoglalási térkép Benne 1 bit  1 klaszter Könnyű egybefüggő, üres területet találni  hatékony helykihasználás Ráadásul minden fájl után NTFS hagy szabad területet (fájl úgyis nő) így a lemez nem lesz rögtön töredezett a legelső módosításkor. Valójában a töredezettségmentesítő ezeket az üres helyeket elviszi a fájlok végéről, így megágyaz a későbbi töredezettségnek  3. $BadClus: (harakirit megelőző fájl) NTFS hajnalán csodaszámba ment, hogy mit tud. Ugyanis így időben kiderül, hogy egy klaszter hibás, mikor? Még HDDre írásakor, ellenőrzi, ha nem egyezik a $LogFileban lévő tartalommal, megjelöli (1 bit  1 klaszter) majd kiírja egy másik klaszterbe, és a $LogFileból csak ezután törli. Készítette: Pintér Imréné [email protected] Neumann János Számítástechnikai Szakközépiskola

6. oldal



FAT esetén dőltél a kardodba, mert mikor derült ki, hogy hibás a klaszter? Mikor már fogalma sem volt senkinek (FATnak főleg nem) mi volt a klaszter tartalma  fájl elszállt.

III. NTFS fájlok felépítése Fájl = különböző streamek halmaza (egyes irodalmak az attribútum kifejezést is használják a stream helyett, de ez megtévesztő lehet, mert az attribútum kifejezés már foglalt) pl steramek: Fájl neve Dátum Attribútum Titkosítás Jogosultság . . $Data=adat

Tehát maga az adat is egy stream, csak nagyobb. Biztos? Mindig?

$DATA

Az adaton ($Data) „kinövések”, további streamek lehetnek, melyek száma és terjedelme gyakorlatilag korlátlan. Ez bizony okozhat bajt, már okozott is.

NA, lássuk! 1. saját stream Létrehozunk egy fájlt, C:\a.a néven, tök mindegy, valamit beleírunk, elmentjük. Mekkora? 34Bájt Tegyünk bele mi streamet! Hogyan? Ezt lehet? Lehet. Így mekkora lett? Mi? Ugyanakkora? De hát írtam hozzá! Biztos? Nézzük meg! Ott van a stream-ünk, a fájl mérete mégsem változott!  ő egy alternatív DataStream, vagyis egy „kinövés”. Sok-sok ilyen kinövés van egy fájlon, amit nem látunk, mert egyszerű halandóként csak az adatrész láthatósága adatott meg, na de mostmár…..


7. oldal



Hamarosan fog következni a jogadás. Úgynevezett ACL (Access Control List) ugyanígy streamként tárolódik a fájlon. Ahány felhasználó, annyi stream. Emiatt mindig felhasználói csoportoknak adunk jogot, mert így sokkal kevesebb kinövés lesz a fájlunkon. 2. Internetről letöltött fájl, ha IEvel töltötted le, későbbi nyitáskor nyöszörög, hogy nem megbízható helyről származó….  emlékszik, hogy internetes fájl, tehát megbízhatatlan. Eltárolta szintén egy streamben. 3. rejtőzködésre is használható, pl vírusok számára csináljuk mi is, dugjunk bele egy alternatív datastreambe mondjuk egy jegyzettömböt (notepad.exe) vagy egy számológépet (calc.exe) Ezzel létrejött egy általunk készített stream, mely egy EXE fájlt tartalmaz. Indítsuk el! Ééééés sikerült! Na, a vírus is tehet ugyanígy, vírusirtók nézik!! Vírusok másik kedvenc tartózkodási helye a hibásként megjelölt klaszterek, egyrészt nem tökre hibásak, másrészt a kutya se használja, ráadásul az NTFS tálcán kínálja ($BAdClus). A vírusirtók ezeket a területeket is vizsgálják. Hogyan tudjuk megnézni bármely tetszőleges fájl alternatív datastreamjét? Hogyan tudjuk törölni?  böngésző indít / sysinternals.com / Utilities index (névsorba rendezve látod a letölthető fájlokat). Letöltjük Mark Russinovich által készített SREAMS.EXE fájlt ugyanide a C:\be! Indítsuk rá a fájlunkra.  jó mi? Így lehet 5Bos txt fájlba akár egy DVDnyi tartalmat rakni, soha nem veszik észre! Készítette: Pintér Imréné [email protected] Neumann János Számítástechnikai Szakközépiskola

8. oldal



Felhasználói felületen ez hogyan látszik? Fájl/je/tul../összegzés fül  valamennyi itt megadott alternatív datastreambe kerül. Töltögessünk ki a a.a fájlunknak, majd engedjük rá a streams.exe-t! Töltsünk le IEvel fájlokat, engedjük rá erre a könyvtárrra is!


9. oldal



Titkosítás, XP EFS Csak az NTFS fájlrendszerben fájl illetve könyvtár attribútuma (FAT nem tudja) EFS = Encrypting File System (titkosítás feltétele: módosítási jog)  Nemcsak a tulajdonos titkosíthatja a fájlt, viszont titkosítás után CSAK az a felhasználó tudja használni, aki titkosította! Hogyan készül ez a kulcs?  k r i p t o g r á f i a Tartalom titkosítása  szimmetrikus kulccsal Szimmetrikus kulcs titkosítása  aszimmetrikus kulccsal (RSA kulcspár) Mindkét kulcs azon felhasználó adataiból készül, aki titkosított, ráadásul teljesen publikus helyen tárolódik!! - könnyen letörölhető, illetve milyen kulcs az, amely elérhető egy könyvtárból  - felhasználót eltávolítják  profilja megszűnik  kulcs eltűnik - felhasználó profilja sérül  új profilja lesz  kulcs eltűnik  EFS-sel csak baj van, NE használjuk!! De, azért néhány dolgot tudunk tanulmányozni a segítségével, hiszen egy nagyon biztonságos aszimmetrikus titkosítási algoritmussal (RSA kulcspár) készül, és ugyanolyan felépítésű külsőt, „dekorációt” kap, mint azok a kulcsok, melyet tanúsítvány kiszolgálóktól kapunk. Először nézzük meg, hol tárolódnak ezek a tanúsítványok! IE/Internetbeállítások/Tartalom/Tanúsítványok RSA kulcspár  publikus kulcs  „mindenkinek” odaadom

Nyitja a titkosított fájlt Címzettnél

+

privát kulcs  senkinek, és ráadásul: Privát kulcs sohasem megy át a hálózaton, (kivéve, ha mégis), nagyon vigyázok rá Zárja a titkosított fájlt nálam, (és jól eldugom)

Hogyan lehet jól eldugni egy fájlt?  s z t e g a n o g r á f i a (mi JPHS programmal) Titkosítunk EFS-sel  lesz kulcspárunk IEből kiexportáljuk egy fájlba Ezt a fájlt dugjuk el JPHSsel Töröljük a tanúsítványt! Most próbál megnyitni a fájlt! Előtte ki/bejelentkezés (cash miatt) Szedd ki a fájlt a jpg-ből, majd importáld a tanúsítványkezelőbe! És már használhatod is!


10. oldal



Lemezkarbantartás Lemezkezelés prban: - konvertálás - partíciók / kötetek létrehozása - . - . - . Rendszereszközök (Számítógépkezelés prban is lehet) - töredezettségmentesítés - lemezellenőrzés - Biztonsági mentés

Biztonsági mentés (backup) Nem archiválás!!! Archiváláskor a eredeti elvész

Jogadás, szabályozás: RGnak és Biztonsági másolat felelősöknek van. Szabályozása (jogadás) a Helyi biztonsági házirenddel (Local Security Police)  Futtatás/secpol.msc/Helyi házirend/ Felhasználói jogok kiosztása Indítása: Rendszereszközök/ Biztonsági másolat Futtatás/ ntbackup Mindig varázslót pipát kivenni / Bezár, újraindít  speciális üzemmódban vagyunk, így kezelhetőbb Biztonsági másolat fül  biztonsági mentés Beállíthatod: - mit - hová (mindkettő tallózható) - Eszközök / Beállítások lapon típusát, visszaállítási paramétereket, kivétel hozzáadására lehetőség  tanulmányozd! Adathordozó visszaállítása … fül  visszaállítási paraméterek beállítása Feladatok ütemezése fül  ütemezz (pl éjszaka, mikor senkit nem zavar, meg ráadásul ekkor érdemes – senki nem dolgozik nem keletkeznek új dolgok) Biztonság mentés típusai: -

+ jelöli a mentés tényét Másolás: ment NEM jelöli a mentés tényét Normál: ment

-

Növekményes: csak az új illetve a megváltozottak mentődnek tényét

-

Különbségi: mint előző, de

-

+ jelöli a mentés

NEM jelöli a mentéstényét Naponta: mentés napján változtatottat, létrehozottat, de NEM jelöli a mentés tényét


11. oldal



Hétfő Normál

Kedd Növ_K

Szerda Növ_Sz

Csütörtök Növ_Cs

Normál

Kül_K

Kül_Sz

Kül_Cs

Péntek Visszaállítás: Normál+ Növ_K+ Növ_Sz+ Növ_Cs Visszaállítás: Normál+ Kül_Cs

Növekményes: - Az előző mentéshez képesti változásokat menti - Gyors mentés - Kisebb fájl - Visszaállítás lassabb, több fájlra van szükség Különbségi: - A teljes (normál) mentéshez képesti változásokat menti - Tovább tart a mentés - Nagyobb fájl - Gyors visszaállítás

Mindent beállítasz, elindítod  Speciális gomb /  Árnyékmásolat…. Háát az meg mi? Árnyékmásolat vagy kötetpillanatkép = „fénykép” kötetről


12. oldal

Windows Felhasználókezelés, jogosultságok, megosztás


Helyi felhasználók és beállításaik felhasználói fiók: név + jelszó  hitelesítés (SAM: helyi biztonsági ab) jogosultság szerint  Administrator  Users ! éppen elégséges jogok elve!  a feladathoz épp elegendő jog Egyszerű (Useres) felhasználókezelés  (most biztonságosabbá tesszük)  Vezérlőpult / jelszó létrehozása  Kijelentkezés – bejelentkezés  Vezpult /../ A felhasználók ki-és bejelentkezésének …… / Üdvölőképernyő használata  pipa ki  Nem látszanak a felhasználók, bejelentkező ablak kéri a jelszót  Bejelentkező ablakban felhasználó neve sem látszódjon: secpol.msc / Helyi házirend / Biztonsági beállítások / Interaktív bejelentkezés: Ne jelenjen meg……. Felhasználókezelés  több beállítási lehetőség (szgépkezelés/Helyi felh / Vezpult/ Felügy eszk) (compmgmt.msc) Megnézni az ablak tartalmát (felhasználók, csoportok, …..) !Rg nevét mindig változtassuk meg, ne legyen élből Admin vagy RG (egy pici védelem, legalább a usernevét ne ismerje a támadó) Mindig csak 1 RG legyen, a többi „szakmás” a Kiemelt felh csoportba kerüljön, kaphatnak a mezei userekhez képest + jogokat (pl. kt megosztás), DE! a rendszerkonfigurációhoz nem nyúlhatnak! RGnak sem kell mindig RGként dolgoznia, használnia a gépét! Ha kell RGnak RG jogosultság  másodlagos bejelentkezés (Vezpult/Felh fiókok/shift+je) 1. Új felhasználó felvétele Felh/je/Új felh  név teljes név kezdeti jelszó ’a’ A köv… pipa Jelszót nem lehet pipa Fiók le van tiltva pipa: be sem tud jelentkezni, pl ha rosszhiszemű támadások gyaníthatók a felhasználó nevében, de nem akarod megszűntetni a felh-t NEM lehet itt: Felh tulajdonságlapján kell - csoporttagság beállítani - személyes beállítások Felhnév/je/Tulajd/fülek - logon parancsfájl 2. Felhasználó tulajdonságainak beállítása A. Csoporttagság Valaki/je/Tulajd/Tagság/Hozzáadás/Spec/Keresés most  listából választhatsz B. Profil = munkakörnyezet (felhasználói profil) Készítette: Pintér Imréné [email protected] Neumann János Számítástechnikai Szakközépiskola

13. oldal



elérési út: felh saját kt-a (környezeti beállításai, dokumentumai) C:\Document and Settings\Valaki Logon script: parancsfájl, bejelentkezéskor fut le !itt csak relatív elérési út lehet! Kezdő mappa: Valaki alapkt-ra (mutatni). HA a felh parancssort nyit, ezt a kt-t használja. 3. Felhasználó átnevezése Valaki/je/Átnev feltétel: azonos nevű nem lehet a helyi biztonsági ab-ban (SAM). Mindenen megmarad, mert a SIDje (Security Identifer) nem változik, és az azonosítást ő végzi.

4. Felhasználó jelszavának változtatása Valaki/je/Jelszó megadása  elfelejtette! RGnak jó tanács: kapcsolja be a Valaki/je/Tulajd/első pipa ne tudja megváltoztatni a jelszót a felhasználó, amennyiben elég bonyolult a jelmondat! 5. Felhasználó törlése, letiltása A. Törlés pl Valaki elmegy a cégtől  NE használhasson semmit Valaki/je/Törlés SIDje sok helyen szerepelhet SAM felhasználói csoport bejegyzéseiben NTFS törlés esetén csak a SAMból és a felhasználói csoportból törlődik (SIDje), Csúnya, de jó: ’ könyvtárhoz 1 felh-nak teljes hozzáférést – csak neki estleg majd kitörlöd, újra biztonság fül -> a SID-je fog láétszani máshonnan nem. Ha a felhasználó visszajön, újra fiókot kap  másik SIDje lesz, így felesleges SIDek foglalhatják a helyet, növelik az adminisztrációs ab-t. Emiatt  erőforráshoz hozzáférési jogot CSAK felhasználói csoportnak adjunk!


14. oldal



valamint így Felhasználó felvételekor is könnyebb dolgunk van: olyan csoportot kell keresnünk, aki a neki megfelelő jogosultságokkal rendelkezik és PUFF, abba belepakolni. B. Letiltás Ha Valaki nem végleg megy el a cégtől NE töröljük, hanem tiltsuk le Valaki/je/Tulajdonságok/ Fiók le… pipa HA mégsem jön vissza, és ugyanebbe a munkakörbe új ember jön, megkapja ezt a felhasználót - Valaki (letiltás  tulajdonságlapon letiltás megszüntetése: …………./ átnevezés felh jelszó megadása tulajdonságlap/bejelentkezéskor kötelező jelszóváltoztatás)


15. oldal



Felhasználói csoportok -beépített -speciális Látszik több csoport, ha újat hozol létre, DE sokkal nagyobb lista látszik a „keresés most..-tal” Jogadás egységesen és egy lépésben Adminisztráció bonyolultsága és helyigénye is csökken (erőforrások, file-k, kt-ak, ….)  egy bejegyzés A. Beépített csoportok  speciális képességek, jogok (tőlük elvenni nem lehet, másoknak adni nem lehet, csak ha ebben a csoportban vannak) B. Speciális csoportok (111.oldal): rendszerfelügyeleti programban nem jelennek meg, a rendszer működése során dinamikusan változik a tagsága pl Mindenki Hitelesített felhasználók Névtelen bejelent.. Köteg Létrehozó tulajd.. NÉZD MEG A KÖNYVBEN!!!! Műveletek felhasználói csoportokkal A. Létrehozás, tagfelvétel Létrehozás: Vezpult/Felügy eszközök/Számítógépkezelés/Helyi…/je/Új csoport/ Hozzáadás/ Speciális/Keresés most/katt+Ctrl  több felh is kijeleölhető Nagyon fontos a jól átgondolt csoportfelépítés, mert különböző jogosultságokat adhatsz nekik, így a felhasználókat csak a jól felépített rendszer valamely csoportjába (vagy csoportjaiba) kell felvenni tagként  nem a felhasználóknak adok jogosultságokat, hanem a felhasználói csoportoknak! Tagfelvétel: Felhasználói csoport/je/Tulajd/Hozzáadás….. B. Átnevezés, törlés SID is törlődik! Csoport törlődik, a tagok nyilván nem (felhasználót nem így törlünk), DE a csoportnak beállított jogok értelemszerűen törlődnek, tehát a csoport tagjai elvesztik az itt megszerzett jogokat. (pl törlik az Igazgatóság csoportot: igazgatók nem haláloznak el, de azok a jogaik, amiket e csoport tagjaként kaptak, megszűnnek!!!)


16. oldal



Biztonsági beállítások Valamennyi felhasználóra! (115.oldal) Rendszerszintű jogosultságok Windows opr viselkedésének módosítása, beállítása Tartományi környezetben (ActiveDirectory) a GroupPolicy (GP) „fejbe tudja csapni”  az elérhetetlen beállításokkal (szürke) ez történt, a GP beállította, a LPból nem érhető el. Hasznos lehet: IPcím beállításának jogosultsága Fájlmegosztás jogosultsága hol állítható?  Nem itt, de legalább a jogokat jól átnézted! IPcím állítás Regedit / HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/ lanmanserver/tcpip/parameters/je/permision bele a mélyébe, megeditálni, Add, Ott NetworkConfig.. csoporton Editke SetValue pipa, na az övé a jog Megosztás: …./lanmanserver/Shares/je/….. Serveren: Back up files and … lopás jog megadása, mert kimenti a tartalmat vmilyen külső tárra, visszarakja FATra  Mindenkinek (Everyone) Teljes hozzáférés (Full Control). Párja a Restore…. Change the system time  Kerberos több mint 5’ késés van domain-kliens között, sikoltozni kezd, nem enged hálózati kapcsolatot, létszükséglet, hogy az órák együtt járjanak

Vezérlőpult/Felügyeleti eszközök/Helyi biztonsági házirend VAGY

Futtatás/secpol.msc Felhasználók jelszóhasználata (hossz, ….) Felhasználó asztalán mi látható Felhasználónak milyen rendszerszintű jogosultságai lehetnek (helyi szg  1 helyi házirend tartomány – címtár ab  házirend objektumok, szabályok, érvényesek szgépekre, felhasználókra

Felépítése: -

szgépre vonatkozók Felhasználóra vonatkozó (az itt beállítottak valamennyi felhasználóra vonatkoznak!!!) A. Fiókházirend - jelszóházirend - fiókzárolási házirend


17. oldal



ablak jobb oldali részen valamely elemen/je/Tulajdonságok/ o engedélyezett o letiltott B. Helyi házirend - naplórend - felhasználói jogok kiosztása - biztonsági beállítások Felhasználói jogok kiosztása jogdömping! Amit nem ismerünk, NE változtassuk!! Virtuális gépen szabadon, DE ésszel próbálgasd!! Készítette: Pintér Imréné [email protected] Neumann János Számítástechnikai Szakközépiskola

18. oldal



RG csoporttól csak az öngyilkosjelöltek vegyenek el jogokat!!! (Későbbi anyag, de már most fontos lehet: ha tiltó és engedélyező jog is be van kapcsolva, mindig a TILTÓ ERŐSEBB!!!!)

Biztonsági beállítások:rendszer viselkedésének biztonsága - a hálózatról bejelentkezőket ne engedje be vendégként Fiókok: A vendégfiók állapota  letiltva - Ne engedjük be üres jelszóval sem Fiókok: Üres jelszavak….. - ne rövid jelszó Fiókházirend / Jelszóházirend/ Legrövidebb jelszó…. - RGi fiók védelme Fiókok: A rgi fiók átnevezése..  Helyi felhasználók és csoportok modulban is át lehet nevezni, de ha a házirendben letiltjuk, a felügyeleti konzolon nem lehet visszanevezni. ()Így támadás esetén a RG nevét is ki kell találni nemcsak a jelszavát. - SMB protokoll (kapcsolódás megosztott erőforráshoz)nem biztos, hogy titkosított, tiltsuk le Microsoft hálózati ügyfél: titkosítatlan…. - A SAMban lévő felhasználók neveit bárki láthatná, ezért Hálózati hozzáférés: A SAM-fiókok …tiltsuk le A Mindenki (Everyone) csoportnak minél kevesebb jogot adjunk! (Nehéz, mert a W jogkiosztáskor több erőforrásnál is használja.)


19. oldal



NAPLÓREND Mikor, ki Bejelentkezés  bejegyzések a biztonsági naplóba (SecurityLog) Számítógépkezelés / Eseménynapló

Jelszóváltoztatás Joghasználat

Hozzáférés szabályozás NTFS fájlrendszerben NTFS jogok érvényesek: -

helyben hálózaton megosztáson keresztül

Fajtái: -

engedélyezés tiltás: mindig erősebb (ACL elején van) Mindent visz (7 zsírban) bármelyik csoport tagjaként kapott egy Deny-t, az az övé! ACL (Access Control List) ezt szerkesztjük a biztonsági fülre kattintva AC (ász) = ki (SecurityIdentifer: SID), mit (Read, Write,..), csinálhat / nem Jogadás feltétele, hogy a könyvtár ill fájl fölött - FullControl jog - vagy legalább Engedélyek olvasása és Engedélyek módosítása jog - tulajdonos legyen (Owner)  bármit megtehet (Change Permission joga van: bármit megtehet, még azt is amit nem), tulajdonjogot csak ÁTVENNI lehet hozzávágni valakihez nem! (pl kvóta miatt) (Előtte: Mappa beállítások/Nézet/E…) Könyvtár vagy fájl / je / Tulajdonságok / Biztonság Könyvtár vagy fájl / je / Properties / Security Ablak felső részében kinek, alsó részében milyen összetett (Standard) jogai vannak. Elemi jogokat elérni: ugyanebben a ablakban Speciális gomb / Szerkesztés gomb(Advanced / Edit) Mutatni - pl a List Folder Contest (Mappa tartalmának listázása) jogot, mely elemi jogokból áll össze. - Speciális engedélyek jelentése - Törlés jog  könyvtárra van értelme, fájlra hatástalan Öröklődés, eredő jogok Könyvtár, fájl jogai = örököltek + helyben kapott (egyenrangúak) Mutatni a - C:\  ezért nem tud mezei User a gyökérben fájlt létrehozni, hanem csak alkönyvtárban. - Öröklődés kikapcsolását. Mikor lehet ebből baj?  megosztott könyvtár esetén ne kapcsoljuk ki!


20. oldal



-

Telepítéskor a Windows külön állít jogokat pl a Windows, ProgramFiles, DocumentAndSettings könyvtárakhoz kikapcsolja a C:\-től való öröklődést, a többinél benn van a pipa - Mindenki minden jogát levenni egy könyvtáradban lévő fájlról. Próbáld nyitni, másolni, mozgatni. Access denied. Na, és törölni? Nem lomtárba, mert az Move!  Ha olyan könyvtárban, melyre nincs FullControl, akkor nem működik. RG miatt van, amely könyvtárhoz RGnak FullControll joga van, onnan bármit letörölhet. (De különben saját tulajdonba is veheti  tulaj lesz, azt csinál, amit akar) Másik pipa: (A gyerekobjektum…)  felülbírálja az öröklődés kikapcsolását (erősebb), rájuk kényszeríti: törli a helyben beállított jogokat + kikapcsolja az öröklődést tiltó beállítást. Ez lefelé a hierarchiában beállítja az öröklődést. ELVEK: - Maximális biztonság ÉS Egyszerűség ÉS Áttekinthetőség - Felhasználói csoportok jogait megtervezni, átgondolni - Mindig csoportnak adjunk jogokat - Inkább könyvtárhoz rendeljünk jogot, mint fájlhoz (példaértékű a Törlés) - NE használjuk a Mindenki (Everyone) csoportot! HA mindenkinek szeretnénk adni vmilyen jogot  Hitelesített felhasználók csoportját használjuk - Gondoljuk át, opr-nek kell-e itt jog  System-nek adjunk. Mindenképp a rendszerkönyvtárhoz – Document and Settings könyvtárhoz, el ne vegyük!! - Használjuk az öröklődést (minél kevesebb helyen kapcsoljuk ki) - Megosztás esetén is inkább az NTFS-t használjuk o Részletesebb o Biztonságosabb Saját tulajdonbavétel NTFS  fájl, könyvtár tulajdonosa, aki azt létrehozta. Más felhasználók átvehetik ezt a jogot (ha van Saját tulajdonbavételi joguk). Tulajdonosnak nem biztos, hogy teljes hozzáférése van, de meg tudja csinálni, hogy az legyen, ugyanis a tulajdonosnak jogadási joga van! Tulajdonjogot csak átvenni lehet (akinek ehhez meg van a joga)!! (Miért? Pl kvótahatárhoz közel  mindenkinek adhatnád, hogy az illető fájl vagy könyvtár nem is a tiéd.) Menete: - Adni tulajdonbavételi jogot ../Biztonság/ Speciális /Hozzáadás/Felhasználó választás / Saját tulajdonba vételi jog megadása - Az illető felhasználó ../Biztonság/ Speciális / Tulajdonság fülön Tulajdonos cseréje Mely két jog, amelyet nem szabad odaadni? - Jog változtatás joga (Engedély módosítása / Change Permissions)  bármilyen jogot kioszthat!!! - Saját tulajdonbavétel joga  bármit megtehet!!!

Megosztás  Könyvtár a hálózaton keresztül is elérhető lesz, létrehozásához joga RG és Kiemelt felhasználóknak van, de ha a megosztás létrejött, a beállítások szerint elérhető lesz!! NEU csoportba felvenni a virtuális gépeket, megfelelő HKt engedélyezni a VirtualPCben VIGYÁZAT! A megosztás rendszerszintű jogosultság, bárki jelentkezik be, az illető könyvtár megosztott marad, hálózatból is elérhető. Számítógép, melyen a megosztott könyvtár található  állománykiszolgálóvá válik - munkacsoport kiszolgáló (felh. szg) Készítette: Pintér Imréné [email protected] Neumann János Számítástechnikai Szakközépiskola

21. oldal

Windows Felhasználókezelés, jogosultságok, megosztás -


hálózati kiszolgáló (server gép)

Módjai: 1. Intéző (fájlkezelő) / je/Megosztás és../ Megosztás Egy könyvtár többször és több néven is megosztható. Kifelé annyinak látszik, ahányszor megosztottuk. 2. –Számítógépkezelés / Megosztott mappák /Megosztások /je  varázslat indul Majd létrehozott / je  beállítások megtehetők Itt valamennyi megosztás látszik, nemcsak a RGé. Amely nem a RGé, annak neve $-ra végződik, és ezek máshol nem jelennek meg (Intéző vagy más fájlkezelő) /XP alapértelmezés szerint megosztja valamennyi logikai lemez gyökerét, neve: betűjelele$, ezekhez csak rendszergazdák kapcsolódhatnak./ Így mi is készíthetünk rejtett megosztást, neve végére + $ További lehetőségek: - Megosztott mappák / Munkamenetek  hálózatról jövő felhasználók listája (felhasználói név nélküli sor: IPC$ megosztáshoz szg kapcsolódott) - Megosztott mappák / Megnyitott fájlok  mit használnak - Egyik sem naplózható - Megszakíthatók a kapcsolódások Mikor érdemes? Nemcsak, ha haragszol rá valamiért, hanem, ha túlterhelt a hálózat, le lehet dobálni néhány felhasználót 3. Hálózat másik számítógépén lévő könyvtár megosztása: Csak ha a másik gépen is uezen névvel-jelszóval RGként szerepelsz. - Szgépkezelést ikon/je/Futtatás mint.. - Ebben az ablakban a Számítógépkezelés(Helyi)/je / Csatlakozás másik számítógéphez  megy. Figyeld, most mi van a zárójelben! 4. és még sokféleképp…. (Így csak könyvtár érhető el a hálózaton. Ha a teljes lemezt kell megosztani, Intéző/csak helyi lemezek megosztása-> Súgó)

Megosztási engedélyek Alapértelmezett a Mindenki csoport teljes hozzáférése. (Esetenként még a Névtelen bejelentkezőket is bele lehet tenni) Ezt érdemes meghagyni  így a jog plafonját beállítottuk. (Nem FATban vagyunk, ezért az NTFS adta lehetőségekkel élünk) Így a felhasználó ugyanúgy használhatja a megosztásokat a hálózatról , mintha odaülne az illető géphez.

Megosztási engedélyek és NTFS jogok érvényesülése –> EFFEKTÍV JOG Megosztási engedélyek: FAT és NTFS esetén is érvényesek másik gépről történő elérés esetén, effektív jog a kettő metszete lesz. A tiltás mindig erősebb A Nincs hozzáférés jog (nincs a jogosultsági listán) mindennél erősebb, ez lesz az effektív joga Engedélyek közül a legtágabb érvényesül Hálózatról jön  a fenti elvek élnek Leül a géphez  NTFS jogok élnek Készítette: Pintér Imréné [email protected] Neumann János Számítástechnikai Szakközépiskola

22. oldal



Példák: 1. NTFS jogok érvényesülése, ha a felhasználó két különböző csoport (CS1, CS2) tagjaként kap jogokat. CS1 CS2 Effektív jog Olvasás Módosítás Módosítás Módosítás Olvasás Módosítás Teljes hozzáférés Módosítás Teljes hozzáférés Módosítás Nincs hozzáférés Nincs hozzáférés Módosítás Módosítás 2. Megosztási engedélyek és NTFS jogok este (jogok metszete, ekkor távolról jön!!!) Megosztási engedély NTFS Effektív jog Olvasás Módosítás Olvasás Módosítás Olvasás Olvasás Teljes hozzáférés Módosítás Módosítás Módosítás Nincs hozzáférés Nincs hozzáférés Módosítás Nincs hozzáférés Módosítás Nincs hozzáférés 3. A két előző együtt: a felhasználó több csoport tagja, ráadásul megosztáson keresztül jön Megosztási engedély NTFS Effektív CS1 CS2 CS3 CS4 Olvasás Módosítás Írás Teljes Módosítás Teljes Módosítás Tiltás Módosítás Teljes Teljes Tiltás Teljes Tiltás Jó bonyolult, ugye? Ezért a következő a javaslat: megosztási engedélyként (tulajdonképp ő a plafon) ne korlátozzunk (Mindenki csoportnak Teljes hozzáférést)! Jogosultságokat NTFS szintjén állítsuk be. Így: - mindegy hálózatról jön vagy leül a gép elé, ugyanazok a jogai lesznek - nem kell a bonyolult effektív jogokat számolgatni 

Csatlakozás megosztott könyvtárhoz 1. Sajátgép / Hálózati helyek rendszermappában alapból valamennyi megosztás látszik (helyi és a hálózaton elérhetők egyaránt) 2. Futtatás-ba \\szgépnév  megosztott erőforrások megjelennek 3. net use betű:\\kiszolgáló\könyvtárnév net use  hálózati meghajtók

Állandó kapcsolat megosztott könyvtárhoz  betűjel hozzárendelése Sajátgép (Intéző) / Eszközök / Hálózati meghajtó csatlakoztatása…  tallózgatással beállíthatod. Pipa Bejelentkezés újracsatlakoztatáskor  aktuális név, jelszó küldődik tovább. (Nem mindig jó, ha más felhasználói névvel akarsz csatlakozni pl Ugyanis a felhasználói profilodban eltárolódik, mely hálózati könyvtárakat, erőforrásokat használod.)


23. oldal



FONTOS! Hálózati szgéphez csatlakoztál, vele új kapcsolatot más névvel, jelszóval NEM lehet! UNC név (Universal Naming Convention): egységes elnevezés - hálózati kiszolgáló - megosztott könyvtár formája  \\szgépnév\megosztásnév meghajtó betűjel helyett is használható, tehát nem kötelező a megosztáshoz a betű hozzárendelése, parancssorból UNC névvel is elérhető. !FONTOS! UNC csak akkor működik, ha a kiszolgálón ugyanazzal a névvel szerepelünk, és persze be kell jelentkezni. HIBAÜZENETEK „Access is denied”  Hozzáférés megtagadva - nem férünk hozzá a szghez - nem férünk hozzá a könyvtárhoz  mindkét lehetőség miatt RGhoz fordulni „The network path was not found „ Hálózati elérési út nem található (nincs ilyen névvel) - elgépelted - ki van kapcsolva a célgép - szétesett a kábel - opr hiba  - kiszolgáló neve megváltozott „The network name cannot be found”  Hálózati név nem található, nincs ilyen nevű megosztás Hiba lehet még, ha egyszerre túl sokan akarnak csatlakozni (Egyidőben csatlakozók max száma) XP  10 felhasználó Server  korlátlan, de CAL (Client Access License) hozzáférési engedélyeket kell venni, telepítéskor ezt kell megadni, tehát technikai korlát itt is létezik


24. oldal



Feladat: Külső gépen:  Hozz létre egyszerű fájlmegosztást, saját neveden, legyen benne egy kép!  Hogyan tudsz csatlakozni szomszédod megosztásához? Rendelj a megosztáshoz betűjelet!  Hogyan tudod elérni, hogy ne tudjanak megosztásodhoz csatlakozni? Serveren  Server-en hozzuk létre a következő könyvtárszerkezetet!



  

Osszuk meg a megoszt nevű könyvtárunkat! Megosztás szinten Hitelesített felhasználók csoportjának Full Control-t, NTFS szinten a Hitelesített felhasználók csoportjának olvasási jogot adjunk! Mi történik, ha a Hitelesített felhasználókat kiveszem a jogosultság listából? Csatlakozzunk XPről ehhez a megosztáshoz! Rendeljük hozzá a K-betűjelet!



Lépjünk be másik felhasználóval, tudjuk használni a megosztást?



Ki tudjuk javítani: adjuk hozzá a Mindenki csoportot, ez meggyógyítja!


25. oldal

Windows2003: Hálózati alapok


Hálózati protokoll 0. Ismétlés közeg A

B

Adatátvitel feltétele: - A és B gép azonosítása Szabványosítani: egységes legyen - Közeg működik: van kapcsolat  - Közös nyelvet beszélnek Mi legyen szabvány? OSI: gond  előbb volt a TCP/IP, ráadásul mindenki ezt használja RFC = defacto szabvány (nem kötelező) TCP/IP ilyen (Phisical, DataLink, Network, Transport Layers)

Hálózati rétegek: („hagymahéjak”) Valamennyi réteg rárak (küldés) Az adatra saját infót levesz (fogadás) Mindig a feladat határozza meg a rétegek számát! OSIban van, TCP/IPben nincs viszony illetve megjelenítési réteg  TCP/IPben nincs az RFCben (kódkonverzió, tömörítés, hitelesítés, titkosítás)

Néhány alapfogalom: port: mely program kapja meg, dolgozza fel állította elő, küldi az adatot

pl http kérés esetén csak a server oldali port száma biztos, a klienssé véletlenszerű böngészőben njszki.hu, om.hu

netstat -nao K L I E N S

küldő port x fogadó port

küldő port 80 fogadó port

S E R V E R

Alhálózat Alhálózati maszk Alapértelmezett átjáró

ping 192.168.1.111 arp –a ping origo.hu arp –a Készítette: Pintér Imréné [email protected] Neumann János Számítástechnikai Szakközépiskola

26. oldal



Unicast, broadcast: IP-alhálózat-darabolás

1. Azonosítás a hálózaton Számítógépet a hálózathoz a Hálózati Kártya (HK) kapcsolja A. NIC: HK azonosítója = fizikai cím = M A C A d d r e s s Világon egyedi 1-3 B gyártó azonosítója 4-6 B egyedi azonosító B.IPcím: IPv4: 4B pl 192.168.100.15 SM 255.255.255.0 Világon egyedi  Interneten kinn lévő „kliensek” LANon belül egyedi  LAN kliensei Cosztályú címekből (pl) a 192.168.x.y fenntartva LANoknak, Interneten nem használható Mihez rendeljük az IPcímet? Mely vasnak van IPje?  HK SŐT!! Egy HKnak több is lehet! Feltérképezés

ipconfig IP SM DG

Triumvirátus I.

ipconfig /all Állomásnév: NetBIOS név (egyszerű név, csak a helyi hálózaton használható, nincs hierarchiában, nem látszik, mely alhálózat tagja -> nincs körzetszám. Max 15 karakteres, XP telepítésekor te állítottad be. pl mancigepe) . . . MACAddress Triumvirátus I. DNS DHCP Triumvirátus II. WINS

ipconfig /? Beállítási lehetőségek, kapcsolók

ipconfig / renew DHCPtől új IP kérése

ipconfig / release DHCPnek IP visszaadása  „0s IP”

ipconfig / flushdns a kliens DNScache-nek törlése próba: nem volt jó a DNS beállítás, nem működött a névfeloldás javítottad csatlakoznál  nem megy

 cache-ben a régi, rossz van, na ezért kell tudni törölni Készítette: Pintér Imréné [email protected] Neumann János Számítástechnikai Szakközépiskola

27. oldal


előadás 2010. november 25. (10’-ig marad benne)

ipconfig / displaydns DNScache tartalmának megjelenítése

ipconfig / registerdns majd ADnál jön!

C. Névfeloldás IP – MAC párok az ARP cache-ben IP: hálózati réteg  MAC: adatkapcsolati réteg Servert, XPt LocalOnlyra, így látják egymást (192.168.6.1 illetve 192.168.6.5) Pingeljünk és nézzünk arp-cachet! Servert, XPt NATolni, mindkettőt dinamikus IPre. Pingeljenek kifelé, illetve egymást! Kifelé megy, saját háló nem. Miért? Mert rajta ül a tűzafal. Honnan látod?  arp –a  ott van a másik gép MACAddress-IP párosa (ugye az ARP másik rétegben van mint az IP) Gyönyörű! Adatkapcsolati rétegben (MAC) tök jól eldumálnak, de a hálózati rétegbe (IP) már nem engedik fel a másikat (TŰZFAL!!)

arp –a arp -d BEMUTAT Futtatás/cmd

ipconfig / displaydns sok rekord

ipconfig / flushdns 2 mindig benn marad  ÉN vagyok magam…/ Majd később….

ping njszki.hu ping origo.hu ping freemail.hu ipconfig / displaydns ipconfig / flushdns ping hálózat egy gépe ipconfig / displaydns D. IPcím beállítása: ha elrontod  na, az nagy baj Grafikusan: VezPult / HálKapcs / HelyiKapcs / TCP/IP / TulajdGomb bogyó_IP autom…: DHCPtől kapjon IPt bogyó_A köv…….: statikus IP beállítható: IPcím, SM, DG, DNSServer Parancssorból: NetSh  hierarchikus felépítésű (mint egy ktszerkezet) Mindkét virtuális gépen +HK, statikus IPvel, LANon Készítette: Pintér Imréné [email protected] Neumann János Számítástechnikai Szakközépiskola

28. oldal



Szerveren:

netsh netsh>i netsh interface>ip netsh interface ip> set? Beállíthatunk: új IPcímet DNS Servert . .

netsh interface ip> .. netsh interface> show interface Egy szinttel feljebb mentünk Mutatja a HKkat. Nézzük meg a grafikus felületen is  mindkét helyen látszik mind a kettő. Állítsuk le a wserver gépet, töröljük le az utóbb feltett statikus HK-t! Nézzük meg grafikus módban  nem is látszik. (ipconfig/all sem mutatja)

netsh interface> show interface na, itt látszik  „zombi HK”

Csatolj fel egy új HK-t, próbáld kiadni új HKnak a törölt IPjét! Sajnos virtuális környezetben nem tudom megmutatni, mert a régit rakja vissza. De csak a NETSH paranccsal tudod megoldani, hogy ugyanazt a statikus IPt kiadd egy másik HKnak, amit egy már nem létező HK fog.  dinamikusra lehet állítani, így az elengedi a hőn áhított IPt, így azt kiadhatod az új élő HKnak. (DEMO: a 192.168.6.1 statikus IPjű HKt kitöröljük a VirtPCből (NotConncted)dinamikus IPjű HKt állítsuk át statikusra és adjuk neki a 192.168.6.1 IPt ? Nem engedi! De, igen, engedi. Grafikus felületen nem látszik Megoldás: netsh-val átállítani a „zombit” dinamikusra, akkor már elengedi és kiosztható, sőt a már nem létező HK adatai ki is törölhetők.

set a "Local Area Connection 2" dhcp


29. oldal



Itt látszik: mi is a broadcast IPje?  csupa 1es () broadcast jobb oldalon Ki a …. bal oldalon SenderMAC, SenderIP,…..


30. oldal



Felhasznált irodalom: Kis Balázs – Lovassy Zsolt: Windows Server 2003 rendszergazdáknak Holczer – Benkovics: Windows Server 2003 hálózatok kezelése

Valamint a NetAcademia 2008. Hálózatbiztonsági képzés tanfolyamának előadásai valamint „gugli”, a barátunk


31. oldal

WINDOWS HÁLÓZATI ALAPOK OKTATÁSA VIRTUÁLIS GÉP HASZNÁLATÁVAL

Recommend Documents