Засоби забезпечення безпеки ОС Windows

Лабораторна робота №1

Засоби забезпечення безпеки ОС Windows

Мета: вивчити модель безпеки операційної системи Windows, отримати навики

практичного використання її засобів забезпечення безпеки.

Порядок виконання роботи.

2.1. Ознайомтеся з теоретичними основами захисту інформації в ОС сімейства Windows в цих вказівках і конспектах лекцій. Перевірте чи включений режим Служби захисту користувачів UAC. При необхідності включіть.

2.2. Виконайте завдання 2.2.1-2.2.8

2.2.1. Запустіть в програмі VM Virtualbox віртуальну машину Win7. Увійдіть в систему під обліковим записом адміністратора, пароль дізнайтеся у викладача. Всі дії в пп 2.2.1-2.2.8 виконуйте в системі, що працює на віртуальній машині.

2.2.2. Створіть обліковий запис нового користувача testUser в оснащенні «Керування комп'ютером» (compmgmt.msc). При створенні нового облікового запису забороніть користувачеві зміну пароля і зніміть обмеження на термін дії його пароля. Створіть нову групу "testGroup" і включіть в неї нового користувача. Видаліть користувача з інших груп.

[pic 1]            [pic 2]

Створіть на диску С: папку forTesting. Створіть або скопіюйте в цю папку кілька текстових файлів (* .txt).

[pic 3]

2.2.3. За допомогою команди runas запустіть сеанс командного рядка (cmd.exe) від

імені новоствореного користувача.

[pic 4]

Командою whoami подивіться SID користувача і всіх його груп, а також поточні привілеї користувача. Рядок запуску і результат роботи цієї та всіх наступних консольних команд копіюйте в файл протоколу лабораторної роботи.

[pic 5]

[pic 6]

[pic 7]

2.2.4. Переконайтеся у відповідності імені користувача та отриманого SID в реєстрі Windows. (Використовуйте ключ реєстра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList).

[pic 8]

- SID, отриманий в реєстрі Windows належить користувачу testUser і співпадає з отриманим командою whoami.

2.2.5. Командою whoami визначте перелік поточних привілеїв користувача testUser. У сеансі командного рядка користувача спробуйте змінити системний час командою time.

[pic 9]

- Поточні привілеї користувача наведені в пункті 2.2.3.

Щоб надати користувачеві такі привілеї, запустіть оснащення «Локальні параметри безпеки» (secpol.msc). Додайте користувача в список параметрів політики «Зміна системного часу» розділу Локальні політики  > Призначення прав користувача.

[pic 10]

Після цього перезапустіть сеанс командного рядка від імені користувача, переконайтеся, що в списку привілеїв додалася SeSystemtimePriviege.

[pic 11]

Спробуйте змінити системний час командою time.

[pic 12]

2.2.6. Переконайтеся, що привілей «Завершення роботи системи» (SeShutdownPrivilege) надана користувачеві testUser. Після цього спробуйте завершити роботу системи з сеансу командного рядка користувача командою shutdown -s. Добавте йому привілеїв «Примусове віддалене завершення» (SeRemoteShutdownPrivilege).

[pic 13]

Спробуйте завершити роботу консольної командою ще раз (скасувати команду завершення до її безпосереднього виконання можна командою shutdown -a).

[pic 14]

2.2.7. Ознайомтеся з довідкою по консольній команді cacls. Використовуючи цю команду, перегляньте дозволи на папку c: \ forTesting. Поясніть все позначення в описах прав користувачів і груп у видачі команди.

[pic 15]

- Позначення прав доступу до обєкту:

F - повний доступ;

C - зміна (запис);

W - запис;

R - читання;

N - нема доступу.

[pic 16]

а) Дозвольте користувачеві testUser запис в папку forTesting, але забороніть запис для групи testGroup.

[pic 17]

[pic 18]

Спробуйте записати файли або папки в forTesting від імені користувача testUser.

[pic 19]

Поясніть результат. Подивіться ефективні дозволу користувача testUser до папки forTesting у вікні властивостей папки.

[pic 20]

- Групі testGroup було заборонено запис в дану папку, і хоча для користувача він і дозволений, він не має доступу до запису файлів, адже входить в дану групу. Отже і заборону для запису мають всі члени групи.

б) Використовуючи стандартне вікно властивостей папки, задайте для користувача testUser такі права доступу до папки, щоб він міг записувати інформацію в папку forTesting, але не міг переглядати її вміст.