Sikkerhet. Fag: Operativsystemer

Like dokumenter
6105 Windows Server og datanett

6105 Windows Server og datanett

Nettverkstilgang - problemstilling

6105 Windows Server og datanett

6105 Windows Server og datanett

6105 Windows Server og datanett

6105 Windows Server og datanett

SQL Server guide til e-lector

6105 Windows Server og datanett

6105 Windows Server og datanett

6105 Windows Server og datanett

6105 Windows Server og datanett

6105 Windows Server og datanett

6105 Windows Server og datanett

Hybrid Cloud and Datacenter Monitoring with Operations Management Suite (OMS)

Om Samba/fildeling. Hans Nordhaug Institutt for informatikk Høgskolen i Molde

6105 Windows Server og datanett

Om Samba/fildeling. Hans Nordhaug Institutt for informatikk Høgskolen i Molde

Installasjonen krever en Windows 2003 server innmeldt i domene.

6105 Windows Server og datanett

1. MSI fra Group Policy

Før du starter, del 2

Installasjonen krever en Windows 2008 server innmeldt i domene.

Trådløsnett med Windows XP. Wireless network with Windows XP

6105 Windows Server og datanett

Huldt & Lillevik Lønn 5.0. Installere systemet

Huldt & Lillevik Lønn 5.0. Installere systemet

6105 Windows Server og datanett

6105 Windows Server og datanett

Compello Fakturagodkjenning Versjon 10 Software as a service. Tilgang til ny modulen Regnskapsføring

Compello Fakturagodkjenning Versjon 10.5 As a Service. Tilgang til Compello Desktop - Regnskapsføring og Dokument import

GLOBALCOMSERVER HP 9100C DIGITAL SENDER GATEWAY ADMINISTRATOR S GUIDE 1998 AVM INFORMATIQUE (UPDATED: AUGUST 22, 2006)

Introduction to DK- CERT Vulnerability Database

Konfigurasjon av Eduroam i Windows Vista

Printer Driver. Denne veiledningen beskriver installasjonen av skriverdriveren for Windows Vista. Før denne programvaren brukes

Programvare som installeres Følgende tre programmer benyttes til oppgraderingen og kan lastes ned fra

EndNote online. Den er nettbasert, og man trenger derfor ikke installere et eget program for å bruke den.

Den er nettbasert, og man trenger derfor ikke installere et eget program for å bruke den.

Trådløsnett med. Wireless network. MacOSX 10.5 Leopard. with MacOSX 10.5 Leopard

Huldt & Lillevik Lønn og Personal - System 4. Installasjon. Microsoft SQL 2005 Express. Aditro HRM AS

Nasjonal sikkerhetsmyndighet

Tekniske krav. Installasjonsrekkefølge. Operativsystem og web-server. Maskinvare. .Net Framework 2.0. ASP.Net AJAX 1.0

Opprette dokumentbibliotek med unike rettigheter

Installasjonsveiledning PowerOffice SQL

Den er nettbasert, og man trenger derfor ikke installere et eget program for å bruke den.

For mer informasjon om SQL Server 2014 Express, se Microsoft sine nettsider:

Oppgave 1 (Opprett en database og en tabell)

På denne måten har man til enhver tid full oversikt over hvem som har tilgang til hvilke deler av programmet.

6105 Windows Server og datanett

INTEGRASJONSGUIDE BP CODE Check Point R75.x R76

HONSEL process monitoring

Intentor Helpdesk - Installasjon Step #3: Microsoft Reporting Services

ephorte Installasjon av klienter

Huldt & Lillevik Lønn 5.0. Installere systemet

Trådløst nett UiT Feilsøking. Wireless network UiT Problem solving

Lab 1: Installasjon av Virtualiseringsløsning (VMWare Server ESXi 6.5) med en Virtuell Linux maskin (Cent OS 7 64-bit)

PRINTER DRIVER ADMINISTRATOR GUIDE

Trådløsnett med Windows Vista. Wireless network with Windows Vista

Din verktøykasse for anbud og prosjekt

6105 Windows Server og datanett

VPN for Norges idrettshøgskole, Windows

6105 Windows Server og datanett

6105 Windows Server og datanett

Unit Relational Algebra 1 1. Relational Algebra 1. Unit 3.3

Publisering av statiske og dynamiske websider til klasserom.net fra Dreamweaver og MySQL

6105 Windows Server og datanett

6105 Windows Server og datanett

Oppdatering av Extensor 05

PowerOffice Server Service

SuperOffice hurtigstart guide

6105 Windows Server og datanett

Sikring av kritisk infrastruktur. Torbjørn Remmen CISSP,CISA,ISO27001

6105 Windows Server og datanett

oppgavesett 4 INF1060 H15 Øystein Dale Hans Petter Taugbøl Kragset September 22, 2015 Institutt for informatikk, UiO

Installasjon av serveren 1. Hvordan sette bootrekkefølgen slik at maskinen kan boote fra CDrommen?

Filsikkerhet i Linux

Nasjonal sikkerhetsmyndighet

6105 Windows Server og datanett

Intentor Helpdesk - Installasjon Step #4: Database

Kommunikasjon mellom XC PLS'er over CAN

6105 Windows Server og datanett

Velkommen til Pressis.

Eduroam på Windows Vista

Installasjon- og oppgraderingsveiledning Visma Avendo Lønn 7.80

6105 Windows Server og datanett

6105 Windows Server og datanett

Windows Server 2008 Hyper-V, Windows Server 2008 Server Core Installation Notes

Administrator guide. Searchdaimon ES (Enterprise Server)

Oppløsning vil si antallet pixler det er i skjermen, i min skjerm er det 2560x1600px.

6105 Windows Server og datanett

Munik sin hjemmeside BRUKERMANUAL LITAL ROZENTAL-EIDE

EndNote online. Alle studenter og ansatte ved UIS har tilgang til å bruke EndNote online.

CMI. Brukermanual. Comendo Dronning Eufemias Gate 16 N-0191 Oslo T: F:

Fjerninnlogging over Internett

Tilgang til nytt skrivebord «KONTOR»

Endringer i Windows endrer bransjen - hvilke muligheter gir det deg? Arne Hartmann Produktsjef Windows, Microsoft Norge

Trådløst nett UiT. Feilsøking. Wireless network UiT Problem solving

Bruke DVD-RAM-plater

Forklaring til bruk av webinterface på Cobalt RaQ2 server hos WebTjenester. Versjon 1.0 Runar Espeland Side

NSA mandag 4. oktober Brukerbehandling Systempolitikk Kontroll av resurser Om system logger Litt om cron og cfengine

Transkript:

Sikkerhet Fag: Operativsystemer 1

Innhold: forelesning om sikkerhet Inneholder 3 deler: 1. Filsystem - 2 Generelt om sikkerhet og beskyttelse 2. Drift - Accounts, Groups, Rights, Eksempel med Windows NT sett fra administrators ståsted 3. Overview: Accounts, Groups Oversikt over rettigheter for brukere og grupper Sikkerhet operativsystemer 2

Filsystem - 2: Sikkerhet Operativsystemer 3

Innhold: Filsystem Beskyttelse og sikkerhet Domener: UNIX, MULTICS Beskyttelsesmatrise (objekt, domene) Access Control List: UNIX, NT Capabilities Sikkerhet mot: jordskjelv, feil bruk inntrengere, worm, virus Sikkerhet operativsystemer 4

Sikkerhet og beskyttelse Beskyttelse - Protection Mekanismer innebygd i opsys for å kontrollere adgang for programmer, prosesser eller brukere til ressursene i datasystemet Sikkerhet - Security Hele problemområdet» Låsing av dører, lagring av disketter» Forsøk på å omgå innebygd sikkerhet i opsys» Autentisering, passord, virus, Sikkerhet operativsystemer 5

Beskyttelse Objekt Maskinvare: CPU, minne, skriver, disk, Programvare: Prosesser, filer, semaforer, Aksess-rettighet Operasjon som det er adgang til å gjøre på et objekt Domene - Domain Et sett av (objekt, rettigheter) Sikkerhet operativsystemer 6

Domener - (fig 4.27) Domain 1 Domain 2 Domain 3 File1 [R] File2 [RW] File3 [R] File4 [RWX] File5 [RW] File6 [RWX] Printer1 [W] Plotter2 [W] Prosess kjører i et domene Prosess kan skifte domene Prosess bør kun ha adgang til de ressursene den trenger for å fullføre aktuell oppgave Sikkerhet operativsystemer 7

Domener - Unix Prosess domene = (uid,gid) Kan liste opp alle objektene + rettigheter for denne prosessen Samme (uid,gid) = samme domene Domeneskifte når en prosess gjør systemkall dvs. prosess skifter fra bruker-modus til kjernemodus. Sikkerhet operativsystemer 8

Domener - Unix (Eks) Prosess med uid=a eksekverer en fil eid av B: setuid = av -----> intet eierskifte setuid = på -----> ny eier = B (Domene-skifte) uid=tor uid=root User mode Kernel mode Sikkerhet operativsystemer 9

Domener - Multics (fig 4-28) 0 1 2 3 Operativsystemet Kritiske utilities Graduertes prosdesedyrer Studentenes prosedyrer Sikkerhet operativsystemer 10

Beskyttelses-matrise (fig 4-29) Objekt File1 File2 File3 File4 File5 File6 1 Read Read Write Print er1 Plotte r2 Domene 2 Read Read Write Exec. Read Write 3 Read Write Exec. Write Write Write Holde styr på objekter og domener Sikkerhet operativsystemer 11

Beskyttelses-matrise (fig 4-30) Objekt File1 File2 File3 File4 File5 File6 Print er1 Plotte r2 Dom ain1 Dom ain2 Dom ain3 1 Read Read Write Enter Domene 2 Read Read Write Exec. Read Write 3 Read Write Exec. Write Write Write De fleste elementene er tomme Sikkerhet operativsystemer 12

Access Control List - Unix 1 Kolonnene i matrisen lagres for hvert objekt Mulig implementasjon i Unix: uid: Jan, Els, Jelle, Maaike gid: system, staff, student, File0: (Jan,*,RWX) File1: (Jan, system,rwx) File2: (Jan,*,RW-), (Els, staff, R--), (Maaike,*,RW-) File3: (*,student,r--) File4: (Jelle,*,---), (*,student,r--) Sikkerhet operativsystemer 13

Access Control List - Unix 2 RWX-bits Komprimert ACL (9 bits) Sikkerhet operativsystemer 14

NT Access Control List 1 File Sikkerhet manager startes på taskbar operativsystemer med: Start Run Winfile 15

NT Access Control List 2 Velg Permissions i Security menyen av Winfile for å få dette bilde Sikkerhet operativsystemer 16

NT Access Control List 3 Velg Permissions i Security menyen av Winfile for å få dette bilde Sikkerhet operativsystemer 17

Capabilities Langs en linje i beskyttelsesmatrisen For hver prosess finnes en liste av objekter med tilhørende lovlige operasjoner Capability list Ofte organisert rundt moduler for typer av objekter File manager, mailbox manager Sikkerhet operativsystemer 18

Capabilities (fig. 4-31) Type Rights Object 0 File R-- Pointer to File3 1 File RWX Pointer to File4 2 File RW- Pointer to File5 3 Printer -W- Pointer to Printer1 Capability list for domain 2 in fig. 4-29 Sikkerhet operativsystemer 19

Sikkerhet - Security 1 Beskytte mot jordskjelv, brann, rotteangrep Beskytte mot feil bruk Beskytte mot uønskede inntrengere Trojansk hest Modifisere et program til å gjøre noe ekstra Eks. Editor som kopierer alle filene over til ekstra katalog Sikkerhet operativsystemer 20

Sikkerhet - Security 2 Internet worm Program som repliserer seg selv Virus Programbit som henger seg på andre program Infiserer andre program Kan infisere boot-sektor Sikkerhet operativsystemer 21

The Security Environment Security goals and threats Sikkerhet operativsystemer 22

Intruders Common Categories 1. Casual prying by nontechnical users 2. Snooping by insiders 3. Determined attempt to make money 4. Commercial or military espionage Sikkerhet operativsystemer 23

Betegnelser for farlige programmer Sikkerhet operativsystemer 24

Virus spredning Virus Jerusalem, Cascade, Form Year Launched Type Time to become prevalent Sikkerhet operativsystemer 25 Estimated Damages 1990.exe file 3 years $ 50 millions Concept 1995 Word macro 4 months $ 50 million Melissa 1999 E-mail file 4 days $ 385 million Love letter 2000 E-mail VSB based 5 hours $ 15 billion

User Authentication Basic Principles. Authentication must identify: 1. Something the user knows 2. Something the user has 3. Something the user is This is done before user can use the system Sikkerhet operativsystemer 26

Authentication Using Passwords How a cracker broke into LBL a U.S. Dept. of Energy research lab Sikkerhet operativsystemer 27

Authentication Using a Physical Object Magnetic cards magnetic stripe cards chip cards: stored value cards, smart cards Sikkerhet operativsystemer 28

Authentication Using Biometrics A device for measuring finger length. Sikkerhet operativsystemer 29

Countermeasures Limiting times when someone can log in Automatic callback at number prespecified Limited number of login tries A database of all logins Simple login name/password as a trap security personnel notified when attacker bites Sikkerhet operativsystemer 30

Driftsikkerhet: Accounts, Groups, Rights, Permissions Operativsystemer 31

Drift: Accounts, Groups, Rights,... Accounts, Groups, Rights, Permissions Lage brukerkontoer Audit policy Event monitoring Permissions - filrettigheter Sikkerhet operativsystemer 32

Accounts, Groups, Rights, Permisjons Accounts En account er en brukerkonto Denne kontoen kan ha en hjemmekatalog Groups Right En brukerkonto er alltid minst medlem av en gruppe Gruppene har rettigheter og bestemmer dermed brukeren rettigheter Beskriver hvilke rettigheter en bruker har Dette bestemmer indirekte brukerens muligheter å kjøre/endre systemfiler Permission Tillatelse på filnivå Kan individuelt konfigureres å gi tillatelse til grupper eller enkeltbrukere Sikkerhet operativsystemer 33

Lage brukerkontoer 1 Logg inn som administrator Start User manager i programgruppen Administrative tools Velg New User under menyen User Fyll inn opsjonene Utfør så operasjonene som ligger under knappene Groupes og Profile Sikkerhet operativsystemer 34

Lage brukerkontoer 2 Sikkerhet operativsystemer 35

Lage brukerkontoer 3 Groups: Velger hvilke grupper en konto skal tilhøre Profile Setter brukerens hjemmekatalog Kan fylles ut eksplisitt eller som c:\users\%username% Nettverkskatalog Bruk Universal Naming Convention (UNC) eks. \\oversoul\tor Logon script For eksempel kommandoen net use for å knytte opp nettverksdrev Legges i c:\winnt35\system32\repl\import\scripts Kun script-navnet oppgis, ikke katalogen Sikkerhet operativsystemer 36

Lage brukerkontoer 4 Sikkerhet operativsystemer 37

Lage brukerkontoer 5 Lage en ny gruppe Velg New local group fra menyen User Spesialsy rettigheter til grupper eller individuelle kontoer Velg User rights fra Policy-menyen i User manager Sikkerhet operativsystemer 38

Lage brukerkontoer 6 Lage mange kontoer til en gruppe Lage en ny bruker uten brukernavn men med hjemmekatalogen c:\users\%username% Bruke copy og paste og føy kun til brukernavn Forandre Policy for brukernavn Veg Account under menyen Policy Her setter man restriksjoner på passordet så som varighet, minimunslengde, byttefrekvens osv. Man setter også maks. antall påloggingsforsøk her Sikkerhet operativsystemer 39

Lage brukerkontoer 7 Sikkerhet operativsystemer 40

Audit policy 1 Her setter man opp hvilke bruker-aktiviteter man vil logge (default: ingen) Loggingen kan gjøres i 2 tilfeller: 1. Vellykket operasjon 2. Mislykket operasjon Aktiviteter som kan logges: Logon og Logoff Fil og objekt-aksess Bruk av User rights (se lysark nr. 26) User and Group management, lage ny bruker, forandre passord Restart and Shutdown Security Policy Changes, Prosess Tracking Sikkerhet operativsystemer 41

Audit Policy 2 Hendelser som kan logges Sikkerhet operativsystemer 42

Event Monitoring 1 Administrative Tools Event Viewer logger hendelser System: Security: Application: Opsys generelt Generelt ut i fra spesifikasjonene i User Manager, Print Manager, File Manager, Registry Editor Feil osv. Generert av applikasjon Kan sette opp filter for hvilke hendelser som skal vises Kan se hendelser på andre maskiner Sikkerhet operativsystemer 43

Event Monitoring 2 Bruk meny View Filter Events for å bestemme hvilke hendelser Sikkerhet som skal vises operativsystemer 44

Permissions - NT Filrettigheter 1 Generelt er det den som lager filene som blir eier av dem Administrator eier filene som lages under installasjonen Eieren av en fil kan sette rettigheter på filen Administrator kan ta Take Ownership over en fil han ikke eier (om nødvendig), men kan ikke overføre eierskap til andre Dette gjøres i Explorer ved å høyreklikke filen (på harddisk c:), velge Properties, så Security og så opsjon Owner Sikkerhet operativsystemer 45

Permissions - NT Filrettigheter 2 For harddisk c: Dette gjøres i Explorer ved å høyreklikke filen, velge Properties, så Security og så opsjon Permissions. For Type of Access velges nå Special Access: Det er 6 rettighetsbits som kan settes: Sikkerhet operativsystemer 46

Permissions - NT Filrettigheter 3 Disse rettigheter kan settes for kataloger og individuelle filer Dette gjøres i Explorer ved å høyreklikke filen (på harddisk c:), velge Properties, så Security og så opsjon Permissions. For Type of Access finnes følgende opsjoner: Full Control (All) No Acess (None) Read (RX) Change (RWXD) Sikkerhet operativsystemer 47

Permissions - NT Filrettigheter 4 Add - Her kan man legge til nye grupper eller bruker-rettigheter på denne katalogen Sikkerhet operativsystemer 48

IntranetWare - Filrettigheter Høyreklikk IntranetWare (Novell) disk velg IntranetWare Rights Sikkerhet operativsystemer 49

Overview: Accounts, Groups... Operativsystemer 50

Accounts, groups, rights Right #1 A Group Right #2 A Account An account is a member of one or more groups Right #3 Each group possesses certain rights to each of its accounts The relationship between accounts, groups, and rights Sikkerhet operativsystemer 51

Pre-defined groups Administrators Backup Operators Guests Power Users Replicators Users People needing administrative privileges People who operate backup devices Infrequent or unusual users Knowledgeable people, nearly full access Used with file replication features of the advanced server - never assigned to a user People who need to use the machine Sikkerhet operativsystemer 52

Normal Rights 1 Access this computer from the network: Everyone, Power User, Administrator Back up files and directories: Administrators, Power Users Force shutdown from a remote system Administrators, Power Users Log on locally Everyone, Administrator, Backup Operator, Power User, Guests, Users Sikkerhet operativsystemer 53

Normal Rights 2 Manage auditing and Security log: Administrator Restore files and directories: Administrators, Backup Operators Shut down the system Everyone, Administrator, Backup Operator, Power User, Users Take ownership of files and other objects: Administrator Sikkerhet operativsystemer 54

Rights by Group Administrators Power Users Backup Operators Users Guests All normal rights Access computer from network, Change system time, Force remote shutdown, Log on locally, Shut down the system Back up files and directories, Log on locally, restore files and directories, Shut down the system Log on locally, Shut down the system Log on locally Sikkerhet operativsystemer 55

Advanced User Rights Act as part of operation system Bypass travers checking Create a page file Create a token object Create permanent shared objects Debug programs Generate security audits Increase quotas Increase scheduling priorities Load and unload device drivers Lock pages in memory Log on as service Modify Firmware enviroment values Sikkerhet operativsystemer 56

Built-in capabilities Assign user rights Create and manage user accounts Create common groups in the Program Manager Format the workstation s hard disk Keep local profile Lock the workstation Override a lock on a workstation Share and stop sharing directories Share and stop sharing printers Sikkerhet operativsystemer 57

Oversikt over hele faget Klikk her for å se på en detaljert faglig oversikt over hele faget. Sikkerhet operativsystemer 58

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding