Dejte mi práva na...



Podobné dokumenty
Bezpečn č os o t t dat

Služby, Registr Služby, Registr Procesy, BCD Pro, Událo cesy, BCD sti, Událo

Migrace Windows Small Business 2011 do Windows Server 2012 Essentials

Úvod Ovládáme základní nástroje 17

Active Directory organizační jednotky, uživatelé a skupiny

Active Directory aktivně

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Šifrování ve Windows. EFS IPSec SSL. - Encrypting File System - Internet Protocol Security - Secure Socket Layer - Private Point to Point Protocol

<Insert Picture Here> Jak garantovat bezpečnost systémů ve státní správě

MS WINDOWS II. Jádro. Správa objektů. Správa procesů. Zabezpečení. Správa paměti

Windows 2008 R2 - úvod. Lumír Návrat

Řešení Quest pro správu Windows Martin Malý, ředitel divize Solutio

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

Tabulka Nabídková cena za předmět plnění *uchazeč vyplní cenu za celý kurz nebo cenu za 1 účastníka dle zadávací dokumentace a nabídky uchazeče

Ope p r e a r čn č í s ys y té t m é y y Windo d w o s Stručný přehled

Jak na úspěšnou migraci Windows Small Business Server 2011 Standard. Jan Pilař MVP KPCS CZ

Co mi to tu vlastně běží?

Group Policy od A do Z. Lukáš Brázda MCT, MCSA, MCSE lukas@brazda.org

2012 (červen) Microsoft Sharepoint Portal Server. Microsoft Live Communications Server 2003 Řešení pro online komunikaci. Microsoft Exchange

Serverové systémy Microsoft Windows

Úvod. Klíčové vlastnosti. Jednoduchá obsluha

Úvod 17 ČÁST 1. Kapitola 1: Principy návrhu doménové struktury služby Active Directory 21

Windows Server 2003 Active Directory GPO Zásady zabezpečení

Platforma.NET 11.NET Framework 11 Visual Basic.NET Základní principy a syntaxe 13

Střední průmyslová škola elektrotechnická Praha 10, V Úžlabině 320 M A T U R I T N Í T É M A T A P Ř E D M Ě T U

Využití identity managementu v prostředí veřejné správy

Příprava k certifikaci , TS: Windows 7, Configuring

Základní typy struktur výpočetních systémů

PV176 Správa systémů MS Windows II

Zpětná vazba od čtenářů 11 Dotazy 11 Zdrojové kódy ke knize 11 Errata 11 Typografické konvence použité v knize 12

monolitická vrstvená virtuální počítač / stroj modulární struktura Klient server struktura

KOMPONENTY APLIKACE TreeINFO. Petr Štos ECM Business Consultant

Praktické využití Windows Server 2012 Essentials ve firmě. Jan Pilař, MVP

POWERSHELL. Desired State Configuration (DSC) Lukáš Brázda MCT, MCSA, MCSE

OFFICE 365 popis služeb

Stručný Obsah. IntelliMirror, 1. část: Přesměrování složek, Soubory offline, Správce synchronizace a Diskové kvóty 349

Jan Pilař MVP, MCP, MCTS KPCS CZ

Compatibility List. GORDIC spol. s r. o. Verze

Windows Server 2003 Active Directory

Střední průmyslová škola elektrotechnická Praha 10, V Úžlabině 320

Michal Hroch Server Product Manager Microsoft Česká republika

Serverové systémy Microsoft Windows

Č á s t 1 Příprava instalace

Auditování ve Windows. Lukáš Brázda MCT, MCSA, MCSE

Microsoft Access tvorba databáze jednoduše

Microsoft SharePoint Portal Server Zvýšená týmová produktivita a úspora času při správě dokumentů ve společnosti Makro Cash & Carry ČR

Instalace Active Directory

Bezpečnostní nástroje

Část 1. Instalace, plánování a správa. Část 2. Vyhledávání prostředků, instalace klientů a vzdálené řízení. Část 3. Správa softwaru a balíčků.

RBAC (ROLE BASED ACCESS CONTROL) Martin Zukal

Přednáška 2. Systémy souborů OS UNIX. Nástroje pro práci se souborovým systémem. Úvod do Operačních Systémů Přednáška 2

Osnova dnešní přednášky

ČÁST 1 ÚVOD. Instalace operačního systému 21 Aktualizace operačního systému 57 Příkazový řádek 77 Windows Script Host 103 ČÁST 2 ŘEŠENÍ

Instalace Windows 2012 Správa účtů počítačů

Nové jazykové brány do Caché. Daniel Kutáč

Desktop systémy Microsoft Windows

Obsah. Úvod 9 Komu je kniha určena 11 Konvence použité v knize 11

Nastavení DCOM. Uživatelský manuál

WINDOWS Nastavení GPO - ukázky

C# - Databáze úvod, ADO.NET. Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí

Ukázka knihy z internetového knihkupectví

Jiří Kadavý Technický specialista pro školství Microsoft Česká republika

POŽADAVKY NA INSTALACI

IT ESS II. 1. Operating Systém Fundamentals

Souborové služby. Richard Biječek

Otevřený svět ICS. Radim Navrátil. aneb co svět oken a ICS? Vedoucí oddělení aplikační administrace a bezpečnosti, YOUR SYSTEM, spol. s r.o.

Profilová část maturitní zkoušky 2017/2018

Wonderware Information Server 4.0 Co je nového

Možnosti využití cloudových služeb pro provoz IT

Informační technologie. Název oboru: Školní rok: jarní i podzimní zkušební období 2017/2018

Desktop systémy Microsoft Windows

Aktualizace a zabezpečení systémů Windows

POZVÁNKA NA KURZY. Literatura Ke všem kurzům jsou poskytovány metodické příručky pro školství v elektronické podobě.

Technologie Sharepoint

ShadowProtect Granular Recovery for Exchange Prohlášení o autorských právech společnosti StorageCraft

Serverové systémy Microsoft Windows

Mobilní malware na platformě Android Přednáška 2. Ing. Milan Oulehla

Architektura rodiny operačních systémů Windows NT Mgr. Josef Horálek

WSH Windows Script Hosting. OSY 2 Přednáška číslo 2 opravená verze z

Firemní strategie pro správu mobilních zařízení, bezpečný přístup a ochranu informací. Praha 15. dubna 2015

Monitoring SQL Server, Resource Governor, Tracing SQL Server

Nápověda k aplikaci EA Script Engine

Nové politiky pro administraci Windows Vista. Ing. Bohuslav Frk

Nintex Workflow 2007 je nutné instalovat na Microsoft Windows Server 2003 nebo 2008.

Programovací jazyky Přehled a vývoj

Acronis. Lukáš Valenta

Technologie. Osnovy kurzu: Školení správců systému. 1. den, dopolední blok

Kapitola 1: Co je Microsoft Access? 27 Kapitola 2: Mnoho tváří aplikace Microsoft Access 41 Kapitola 3: Návrh databázové aplikace 75

1 Webový server, instalace PHP a MySQL 13

TGMmini. začínáme. komplexní dodávky a zprovoznění servopohonů dodávky řídicích systémů

VÝUKOVÝ MATERIÁL. Bratislavská 2166, Varnsdorf, IČO: tel Číslo projektu

Zakázka Vnitřní integrace úřadu v rámci PROJEKTU Rozvoj služeb egovernmentu ve správním obvodu ORP Rosice

Nasazení Microsoft Exchange Server 2010 a migrace z Microsoft Exchange Server 2007

Petr Vlk KPCS CZ. WUG Days října 2016

Připravil: Ing. Vít Ondroušek, Ph.D. Technologie.Net Framework

Transakce a zamykání. Administrace MS SQL Serveru (NDBI039) Pavel Hryzlík

STUDIJNÍ MATERIÁL PRO TECHNICKOU CERTIFIKACI ESET Server Security, Serverové produkty

TÉMATICKÝ OKRUH Softwarové inženýrství

Windows Server Novinky. Petr Špetlík Cloud & Server PTA

Transkript:

Dejte mi práva na... ACL a řízení přístupu ve Windows skrz naskrz Patrik Malina patrikmalina.eu Patrik Malina 1 O čem bude řeč Co je a jak vypadá ACL Kde všude jsou ACL Co vypadá jako ACL, ale není ACL Mechanismy uplatnění ACL Nástroje pro správu ACL Grafika Příkazové rozhraní Automatizace pomocí skriptů Jak na správu ACL prakticky Patrik Malina 2 1

O čem bude řeč Konkrétní správa Souborový systém Sdílení Active Directory Služby Tiskárny Registry Exchange 2003 Exchange 2007 IIS... MS Office Sharepoint Patrik Malina 3 O čem bude řeč Co je a jak vypadá ACL Kde všude jsou ACL Co vypadá jako ACL, ale není ACL Mechanismy uplatnění ACL Nástroje pro správu ACL Grafika Příkazové rozhraní Automatizace pomocí skriptů Jak na správu ACL prakticky Patrik Malina 4 2

Co je ACL Principiálně Mechanismus řízení přístupu ke zdrojům Seznam vyvolených identity s oprávněním k přístupu, případně s bližším určením Technologicky Seznam logicky přiřazený zdroji Tabulka v paměti používaná vlákny procesu Binární struktura s SID a přístupovou maskou Patrik Malina 5 Co je ACL Z pohledu OS Řízení přístupu vláken na objekty Vlákno (thread) základní jednotka běhu v systému Dědí identitu od procesu Obecný zabezpečitelný objekt s potřebnými popisnými informacemi NTFS Tiskárny Patrik Malina 6 3

Co je ACL Z pohledu programátora v OS ACL je Univerzální mechanismus na různorodých objektech Je zprostředkován a zapouzdřen prostřednictvím Windows API Private Declare Function RegGetKeySecurity Lib "advapi32.dll Patrik Malina 7 Co je ACL Z pohledu skriptujícího administrátora ACL je Kolekce objektů použitelná pomocí metod a vlastností Rozhraní dosažitelné použitím příslušných knihoven NTFS ADsSecurity.dll Exchange 2003 CDOEX.dll Patrik Malina 8 4

Jak vypadá ACL Pohled z různých výšek Poctivý oknař Umírněný inovátor Skriptař a shellman Aplikační programátor Patrik Malina 9 Jak vypadá ACL Pohled schematický Patrik Malina 10 5

Jak vypadá ACL Pohled pro lidi Editory ACL Určeny pro běžnou, nahodilou správu Patrik Malina 11 Jak vypadá ACL Ještě pořád text Security Descriptor Definition Language Textový řetězec jako varianta zápisu Powershell: Get-Acl fl Security templates "c:\windows\system32", 2, "D:P(A;CIOI;GRGX;;;BU)(A;CIOI;GA;;;BA)(A;CIOI;GA;;;SY)(A;CIOI;GA;;;CO)" "w32time", 3, "D:(A;;CCLCSWLORC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPL O;;;IU)(A;;CCLCSWRPLO;;;BU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD) Patrik Malina 12 6

Jak vypadá ACL Už jen bity a bajty Struktura ACL zahrnuje masku přístupu (access mask) 4bajtové číslo Jednotlivé bity pracují jako řídící příznaky Je spojena s konkrétním SID Je spojena s příznakem: Deny Allow Audit Patrik Malina 13 O čem bude řeč Co je a jak vypadá ACL Kde všude jsou ACL Co vypadá jako ACL, ale není ACL Mechanismy uplatnění ACL Nástroje pro správu ACL Grafika Příkazové rozhraní Automatizace pomocí skriptů Jak na správu ACL prakticky Patrik Malina 14 7

Kde všude jsou ACL Souborový systém NTFS Dva typy objektů Uplatnění hierarchie a dědičnosti Problém zachování při přenosu souborů Klasické řízení přístupu Registry Hierarchie klíčů Řízení přístupu k hodnotám Patrik Malina 15 Kde všude jsou ACL Sdílení (shares) Vykopávka služby LanMan Slabá granularita Řízení síťového přístupu Tiskárny Kontrola připojení ke službě Pozor na souvislost se službou spooler Patrik Malina 16 8

Kde všude jsou ACL Služby (services) Řízení činnosti služby Žádná hierarchie Dostatečné možnosti Start, stop, pause Change startup type Read/Query Bez výchozí grafické konfigurace Security templates Příkazový řádek, skripty Patrik Malina 17 Kde všude jsou ACL WMI Řízení přístupu ke službě Mgmt Hierarchie dle WMI namespaces Vymezení možnosti inventarizace sítě IIS Metabase Další konfigurační databáze Významem odpovídá zhruba registry Hierarchie, dědičnost MetaACL.exe Patrik Malina 18 9

Kde všude jsou ACL Active Directory Propracovaný model zabezpečení Hierarchické uspořádání Možnost nastavení na úroveň atributu či jejich skupin Dědičnost Pomocné nástroje Delegation wizard Patrik Malina 19 Kde všude jsou ACL Poštovní schránky (Exchange) Kombinované řízení Přístupový záznam uživatele v AD ACL na schránce mail store Nebezpečí narušení synchronizace Opatrně při skriptování Patrik Malina 20 10

Kde všude jsou ACL Objekty jádra Windows Speciální objekty nízké systémové úrovně Určeny k pokročilému programování Při běžné správě bezvýznamné Patrik Malina 21 O čem bude řeč Co je a jak vypadá ACL Kde všude jsou ACL Co vypadá jako ACL, ale není ACL Mechanismy uplatnění ACL Nástroje pro správu ACL Grafika Příkazové rozhraní Automatizace pomocí skriptů Jak na správu ACL prakticky Patrik Malina 22 11

Co vypadá, ale není ACL Poštovní schránky (Exchange) Právo Send On Behalf Ve skutečnosti příznak (atribut) v Active Directory (LDAP) publicdelegates Patrik Malina 23 Co vypadá, ale není ACL MS Office Sharepoint Velmi propracovaný systém Přístupová práva řešena na aplikační úrovni Záznamy o přístupu v databázi SQL Vlastní systém skupin a dědění Vztah k aplikačním objektům (sites, webparts ) Patrik Malina 24 12

O čem bude řeč Co je a jak vypadá ACL Kde všude jsou ACL Co vypadá jako ACL, ale není ACL Mechanismy uplatnění ACL Nástroje pro správu ACL Grafika Příkazové rozhraní Automatizace pomocí skriptů Jak na správu ACL prakticky Patrik Malina 25 Mechanismy uplatnění ACL Jak pracuje DACL přednost Patrik Malina 26 13

Mechanismy uplatnění ACL Jak pracuje DACL pořadí Patrik Malina 27 Mechanismy uplatnění ACL Jak pracuje DACL objekt DS a properties Patrik Malina 28 14

O čem bude řeč Co je a jak vypadá ACL Kde všude jsou ACL Co vypadá jako ACL, ale není ACL Mechanismy uplatnění ACL Nástroje pro správu ACL Grafika Příkazové rozhraní Automatizace pomocí skriptů Jak na správu ACL prakticky Patrik Malina 29 Nástroje pro správu ACL Grafika Windows Patrik Malina 30 15

Nástroje pro správu ACL Grafika Sysinternals AccessEnum Patrik Malina 31 Nástroje pro správu ACL Grafika SomarSoft DumpSec http://www.somarsoft.com/ Patrik Malina 32 16

Nástroje pro správu ACL Příkazové rozhraní MS NTFS nastavení Cacls.exe XCacls.exe ICacls.exe xcacls c:\temp xcacls *.* /g Uzivatel:rwed;rw /e xcacls *.* /g Uzivatel:r;trw /e xcacls "F:\Directory" /e /g "Domain Users":R /y Patrik Malina 33 Nástroje pro správu ACL Příkazové rozhraní MS NTFS přenos Robocopy robocopy \\zdroj \\cil /MIR /COPY:DATSOU /V /LOG:C:\robocopy.log /Tee /COPY:copyflag[s] : What to COPY (default is /COPY:DAT). (copyflags : D=Data, A=Attributes, T=Timestamps). (S=Security=NTFS ACLs, O=Owner info, U=aUditing info). /SEC : Copy files with SECurity (equivalent to /COPY:DATS). Patrik Malina 34 17

Nástroje pro správu ACL Příkazové rozhraní MS Různé typy objektů SubInACL Univerzální robustní nástroj Velmi pokročilé možnosti Komplikovanější syntax Výborná podpora pro migrace a záměny identit Patrik Malina 35 Nástroje pro správu ACL Příkazové rozhraní MS Různé typy objektů SubInACL subinacl /file c:\temp /display subinacl /service CPUCooLServer Service /display subinacl /file C:\TEST.TXT /owner=domain1\user1 subinacl /subdirectory C:\*.* /changedomain=domain1=domain2 Patrik Malina 36 18

Nástroje pro správu ACL Příkazové rozhraní MS Active Directory DSacls.exe Univerzální nástroj Nesnadná syntax dsacls <somedn> /I:T /G "<somedomain\somegroup>:ca;reset Password;" Patrik Malina 37 Nástroje pro správu ACL Příkazové rozhraní MS Active Directory Acldiag.exe Možnost nápravy po změnách kontrola oproti schématu Acldiag <DN> /schema Dsacls <DN> /s Patrik Malina 38 19

Nástroje pro správu ACL Příkazové rozhraní MS MS Exchange 2007 Založeno na Powershellu Add-MailboxPermission Schranka1" -AccessRights FullAccess - user Uzivatel01 Add-ADPermission Schranka01" -User Uzivatel01" AccessRights extendedright -ExtendedRights "send as" Patrik Malina 39 Nástroje pro správu ACL Příkazové rozhraní nems SetACL Nastavení, záloha ACL Pro řadu typů objektů Velmi pokročilé možnosti Přehledná syntax Objektový model přístup přes COM (WSH) Dobrá nápověda Patrik Malina 40 20

Nástroje pro správu ACL Příkazové rozhraní nems SetACL příklady SetACL.exe -on "\\server1\share1\my dir" -ot file -actn ace -ace "n:domain1\user1;p:change" -ace "n:s-1-5-32-544;p:full;s:y" -ace "n:domain2\user2;p:full;m:aud_fail;w:sacl" -actn clear -clr "dacl,sacl" -actn rstchldrn -rst "dacl,sacl" psexec \\server -c c:\setacl -on "MyService" -ot srv -actn ace ace "n:user;p:start_stop Patrik Malina 41 Nástroje pro správu ACL Příkazové rozhraní nems Sysinternals AccessChk http://technet.microsoft.com/en-us/sysinternals/bb664922.aspx 7# C:\accesschk accesschk.exe exe "patrik" c: -q RW C:\Documents and Settings\Patrik\.GalleryRemote RW C:\Documents and Settings\Patrik\.SygateTmpYY 16# C:\accesschk accesschk.exe exe -k hklm\software -q q more HKLM\software R BUILTIN\Users RW BUILTIN\Power Users RW BUILTIN\Administrators Patrik Malina 42 21

Nástroje pro správu ACL Příkazové rozhraní nems Joeware.net ADFind http://www.joeware.net/freetools/tools/adfind/index.htm adfind -default -f (objectcategory=organizationalunit) -sc sdfilterns:fc elapsed dn:ou=exchange,dc=joe,dc=com >ntsecuritydescriptor: [DACL] ALLOW;;(FC);;;JOE\Domain Admins >ntsecuritydescriptor: [DACL] ALLOW;;(FC);;;NT AUTHORITY\SYSTEM >ntsecuritydescriptor: [DACL] ALLOW;(CONT INHERIT)(INHERITED);(FC);;;JOE\Enterprise Admins Patrik Malina 43 Nástroje pro správu ACL Skripty obecně Objektové rozhraní ADSI ADsSecurity.dll Poměrně komplexní a komplikované Dosti riskantní při chybách Objektové rozhraní Exchange Cdoexm.dll Podobné jako u ADSI Patrik Malina 44 22

Nástroje pro správu ACL Skripty obecně Powershell Čtení a zápis ACL pomocí cmdletů Práce s ACL pomocí tříd.net Frameworku Přímočaré, dobře uchopitelné Patrik Malina 45 Nástroje pro správu ACL Skripty prakticky XCacls.vbs Předchůdce XCacls.exe Dobrá ukázka postupů a technik Hotový použitelný nástroj Patrik Malina 46 23

Nástroje pro správu ACL Skripty prakticky Čistý skript WSH (mailbox) AddAce dacl, strustee, 131073, _ ADS_ACETYPE_ACCESS_ALLOWED, 2, 0, 0, 0 Function AddAce(dacl, TrusteeName, gaccessmask, gacetype, gaceflags, gflags, gobjecttype, ginheritedobjecttype) ' Add the modified DACL to the security descriptor. osecuritydescriptor.discretionaryacl = dacl objuser.mailboxrights = osecuritydescriptor ' Save new SD onto the user. objuser.setinfo ' Commit changes from the property cache to the information store. Patrik Malina 47 Nástroje pro správu ACL Skripty prakticky Kombinace WSH a jiných nástrojů Volání ze skriptů WSH (např. Vbs) 'strcurrentfolder = "patrik" 'strdomainname = "patrik-wkst" strsetaclcommand = "setacl.exe -on """ & strstorage & "\" & strcurrentfolder & """ -ot file -actn ace -ace ""n:" & strdomainname & "\" & strcurrentfolder & ";p:full;i:so,sc;m:grant"" -actn setowner -ownr ""n:" & strdomainname & "\" & strcurrentfolder & """ -actn setprot -op ""dacl:np"" -actn rstchldrn -rst ""dacl""" objshell.run (strsetaclcommand( strsetaclcommand) Patrik Malina 48 24

Nástroje pro správu ACL Skripty prakticky Powershell Přenos ACL Get-Acl test.txt Set-Acl test2.txt Tvorba ACE $acl = Get-Acl c:\temp $permission = domain\user, FullControl, Allow $accessrule = New-Object ` System.Security.AccessControl.FileSystemAccessRule $permission $acl.setaccessrule($accessrule) $acl Set-Acl c:\temp Patrik Malina 49 Nástroje pro správu ACL Skripty prakticky Powershell ACL důkladněji $acl = get-acl test.txt $acl Get-Member Patrik Malina 50 25

Zdroje informací Knihy Microsoft Windows Internals http://www.microsoft.com/mspress/books/6710.aspx Patrik Malina 51 Zdroje informací Internet Technet Access Control http://www.microsoft.com/technet/prodtechnol/windows2000serv/r eskit/w2rkbook/distsystems.mspx?mfr=true Technet New ACLs Improve Security in Windows Vista http://technet.microsoft.com/en-us/magazine/cc138011.aspx MSDN ACL overview http://msdn.microsoft.com/en-us/library/ms229742.aspx Patrik Malina 52 26

Zdroje informací Internet The Code Project The Windows Access Control Model Part 1 http://www.codeproject.com/kb/winsdk/accessctrl 1.aspx TechTasks Code Center Display object ACL (Perl) http://techtasks.com/code/viewbookcode/1881 http://techtasks.com/code Patrik Malina 53 Dotazy a diskuse Patrik Malina 54 27

Další informace Autor http://www.patrikmalina.eu/ Blog http://patrikmalina.cz Patrik Malina 55 28