Video of the week

I've found this great video and I recommend you to watch if you are interested in wireshark and filtering methods

NTFS - ACL - logs

Zagadka: czy jeśli użytkownik np.: chuck należy do grupy zabezpieczeń w systemie Windows, która ma zielone światło na czytanie pliku X - to czy może odczytać plik jeśli posiada indywidualną odmowę nałożoną przez właściciela pliku X ? Pytanie byłoby mniej intuicjne, gdybym zadał je z drugiej strony - chuck ma indywidualną odmowę czytania pliku X użytkownika Y; ale okazuje się, że należy do specjalnej grupy zabezpieczeń, której wszyscy członkowie mogą czytać plik X użytkownika Y. Co jest silniejsze: indywidualna odmowa nałożona przez użytkownika najbardziej podstawowej grupy zabezpieczeń w Windowsie? Czy może pozwolenie z racji przynależności chuck'a do grupy o poziomie minimalnym 'Użytkownicy zaawansowani' ( wyżej jest tylko grupa Administratorzy )? A gdyby chuck był Administratorem? Czy Administrator rzeczywiście może wszystko w systemie np. w kontekście zarządzania użytkownikami?

Tworzę nowego user'a chuck'a ( Charles Bartkowski, pracownik Buy More ) i standardowo chuck ląduje w grupie Użytkownicy - grupa zabezpieczeń bez większych fajerwerków:
- brak możliwości modyfikacji ogólnosystemowych ustawień rejestru
- brak możliwości ingerencji w pliki systemowe
- brak instalek czy korzystania z programów zainstalowanych przez innych
- inne

users

Obiektem operacyjnym jest zwykły plik tekstowy, aktualnie zalogowani jesteśmy na koncie Administratora. Aby móc skorzystać z zaawansowanych opcji sterowania uprawnieniami NTFS w systemie Windows dla pliku czy katalogu należy wyłączyć Proste udostępnianie plików, obrazek Kate Beckinsale to plik w katalogu na bazie którego utworzymy potem zasadę inspekcji (zasady inspekcji w dalszej części):

 

prosteud

Ox, teraz we właściwościach pliku czy katalogu mamy uaktywnioną zakładkę Zabezpieczenia. Najpierw jako Administrator odmówię chuckowi prawa do czytania pliku:

odmow read

Następnie awansujemy chucka w drabince eweolucji grup zabezpieczeń Windows'a:

chuck admin group

Dołączyliśmy chuck'a do grupy Administratorzy a następnie zezwólmy wszystkim członkom grupy na czytanie pliku:

chuck sid

Powstaje konflikt i pytanie, czy chuck odczyta plik czy nie?

odmowa dostepu

Nic z tego, zasada jest taka:

zabezpieczenia

Zagadka związana z uprawnieniami NTFS została rozwikłana. Jeszcze jedna ciekawa rzecz - często słyszy się w TV przy okazji jakiegoś cybernetycznego wyskoku o logach - przejrzymy logi, sprawdzimy logi, poprosimy o logi, znajdziemy w logach. Czy na chwilę obecną potrafisz srawdzić w swoich logach, kto logował się w ciągu ostatnich 24h do Twojego komputera? Jeśli nikt prócz Ciebie nie dotyka Twojego konta to zapytam inaczej - czy potrafisz sprawdzić czy ktoś próbował zalogować się na twoje konto lub konto Administratora?

alert

Wstukaj to w Uruchom a i tak zobaczysz pustke w swoich dziennikach. W Windowsach XP i 2000 domyślnie dzienniki zdarzeń są wyłączone. Aby włączyć rejestrację czegokolwiek w systemie:

control

Dalej do Narzędzia administracyjne i na koniec Zasady zabezpieczeń:

zasady zabezpieczen

Ustawienia zabezpieczeń / Zasady lokalne / Zasady inspekcji

inspekcja

Mamy do wyboru sporo opcji inspekcji elementów systemu. Brak inspekcji oznacza, że dziennik jest wyłączony. Aby uaktywnić np inspekcję logowania na kontach należy dwa razy kliknąć na opcje i zahaczyć "Sukces" i "Niepowodzenia". Zasada jest prosta - prosimy o zapisanie udanych i nieudanych prób wystąpienia określonego zdarzenia. Spróbujemy wyśledzić teraz, kto próbował dostać się do naszego katalogu ze zdjęciami Pani Kate Beckinsale ustawiając inspekcję dostępu do obiektów. Klikam na katalog Kate Beckinsale i wybieram Właściwości. Następnie karta Zabezpieczenia i wybieram Zaawansowane. Przechodzę do karty Inspekcja i klikam Dodaj.

wpisinspekcji2

wpisinspekcji

Tutaj wybieram sobie to co chce aby znalazło się w dzienniku zdarzeń w kontekście obiektu czyli tego katalogu. Zaznaczam np. Przechodzenie przez folder/.. oraz Wyświetlanie zawartości folderu/.. - i okey, Zastosuj itd. Wejdzmy do katalogu teraz i sprawdzmy dziennik sposobem jaki opisany został wyżej. Popatrzmy na wynik całej operacji (poniżej).

Podsumowanie: NTFS to złożony mechanizm systemu plików w systemie Windows i łatwo pogubić się w tych wszystkich uprawnieniach, grupach zabezpieczeń, atrybutach itp.; nie mniej jednak kwestia przewagi nad FAT'em to nawet nie kwestia dyskusji  co do tego który jest szybszy na mniejszych woluminach itp. NTFS i długo, długo nic. Wiadomo teraz (jeśli nie było wcześniej) jak sprawdzić, czy ktoś dobierał się do naszych dokumentów w komputerze - uważam to za ciekawą opcję and I hope someone will use this method.