Ministerul Educaiei al Republicii Moldova Universitatea Tehnic a Moldovei Facultatea Inginerie i Management n Electronic i Telecomunicaii Catedra de Sisteme i Reele

de Comunicaii Optoelectronice

DARE DE SEAM La disciplina: Securitatea Sistemelor Informaionale

Lucrarea de laborator Nr. 2

Tema: Administrarea conturilor de utilizator. Administrarea folderelor i a fiierelor utilizate n comun

A efectuat st. gr. SOE-121

Mari Daniela

A verificat profesorul

Lachi Arina

Chiinu 2013

1. Scopul lucrrii Administrarea eficient a conturilor, securizarea calculatorului prin exploatarea eficient a posibilitilor standart din Windows, securizarea folderelor ce conin informaii sensibile, securizarea MS Office.

2. Obiective - familizarizarea cu tipurile de conturi de utilizator; - nelegerea metodelor de creare/modificare/tergere a conturilor de utilizator; - ntelegerea conceptelor de grup de utilizatori, drepturi NTFS; - familiarizarea cu metodele de securizare a accesului la resurse prin asignarea de drepturi NTFS i administrarea directoarelor utilizate n comun; - crearea abilitilor de securizare a folderelor de sistem precum i a folderelor cu informaii confideniale; - posibilitatea de a securiza fiierele ce aparin MS Office. 3. Contul nou creat cu toate setrile de securitate asociate lui Pentru a crea un cont cu drepturi limitate n Windows este necesar de a parcurge urmtoarele etape: Clic dreapta pe My Computer i se alege Manage. n fereastra care se deschide se alege Local users and groups => Users:

Clic pe dreapta Users i se selecteaz New User:

 n fereastra care se deschide se introduce numele de cont, parola implicit pentru cont i de asemenea, se bifeaz User must change password at next logon (pentru sporirea securitii). Se apas butonul Create:

Dup ce au fost parcurse etapele de mai sus, se apas clic-dreapta pe noul utilizator, se alege Proprieties, se apas tab-ul Member of i se asigur c este membru numai n grupul Users:

4. Analiza complet a modurilor de creare a conturilor Sistemul de operare Windows XP are dou unelte pentru operaiile de creare/modificare/tergere a conturilor de utilizator: User Accounts din Control Panel (doar pentru conturile dintr-un workgroup) i snap-in-ul Computer Managament (pentru conturi dintr-un workgroup sau domeniu). User Accounts Unealta de lucru User Accounts din Control Panel permite crearea/modificarea/tergerea conturilor de utilizator locale dac staia este nregistrat ntr-un workgroup. Dac ai obinut accesul pe staie cu un cont de utilizator membru al grupului Administrator, opiunea Pick a Task din User Accounts v permite s efectuai urmtoarele operaii: s modificai un cont de utilizator (include i operaia de tergere a contului) Change an account; s creai un cont nou de utilizator Create a new user account; s schimbai modalitatea de log on sau log off Change the way users log on or log off.

Snap-in-ul Computer Management Snap-in-ul Computer Management pune la dispoziia utilizatorilor modaliti mai sofisticate de administrare a conturilor de utilzator locale.Aici se pot creea, terge i dezactiva conturi de utilizator. Pentru crearea unui cont de utilizator se efectueaz paii din punctul 3. 5. Modul n care are loc securizarea conturilor i a calculatorului n ansamblu prin prisma conturilor de utilizator. Conturile de utilizator ne ofer posibilitatea s partajm computerul cu mai multe persoane, dar s avem n continuare fiiere i setri proprii. Fiecare tip de cont ofer utilizatorului un alt nivel de control asupra computerului. Ideea este de a atribui unui utilizator Windows doar acele drepturi de care acesta are nevoie n activitatea sa curent. Astfel, toate programele care ruleaz n acest cont au drepturi limitate- inclusiv aplicaiile potenial duntoare.

Configurrile care pot ajuta la ridicarea gradului de securitate a unui calculator : 1. Utilizarea unei parole dificile, care conine minim 8 caractere (litere,cifre, simboluri). 2. La crearea contului de administrator este de dorit s nlocuim numele de administrator printro denumire care va fi greu de dedus de ctre un eventual atacator. Astfel, n acest caz atacatotul va trebui s afle mai nti numele i apoi parola. 3. Alegem o parol pentru utilizator care nu va expira i pe care utilizatorul s nu o poat schimba singur. Deasemenea, trebuie s specificm grupa din care va face parte account -ul creat, dac e utilizator trebuie s fie membru al grupului Users, n aa caz el va avea posibiliti limitate pe staia de lucru: el nu va putea crea, schimba, terge alte conturi, schimba setrile sistemului de operare, s instaleze programe i s aib acces la toate fiierele. 4. Trebuie s limitm accesul la unele directoare i fiiere utiliznd opiunea Security din Properties. Astfel, vom fi asigurai c utilizatorul nu va efectua operaii utile pentru a shimba ceva n sistem i deasemenea nu va poseda informaii depline despre staia de lucru la care lucreaz, pentru a putea efectua un atac. Zonele vulnerabile sunt de obicei: program files i windows, fiierele i directoarele proprii administratorului pe staia dat. 6. Opiunile existente n Administrative tools/Local security policy/account policies/password policy.

Enforce password history Aceast setare de securitate determin numrul unic de parole noi care trebuie s fie asociat cu un cont de utilizator nainte ca o parol veche s poat fi refolosit. Valoarea trebuie s fie cuprins ntre 0 i 24 de parole. Aceast politic permite administratorilor de a consolida securitatea prin garantarea faptului c parolele vechi nu sunt reutilizate n continuu.

 Maximum password age Aceast setare de securitate determin perioada de timp (n zile) pentru o parol care poate fi folosit nainte ca sistemul s cear utilizatorului schimbarea aceasteia. Avei posibilitatea s setai parola s expire dup un numr de zile ntre 1 i 999, sau putei specifica faptul c parolele nu expir niciodat prin stabilirea numrul de zile de la 0. n cazul n care vrsta maxim a parolei este ntre 1 i 999 de zile, vrsta minim a parolei trebuie s fie mai mic dect vrsta maxim. n cazul n care vrsta maxim a parolei este setat la 0, vrsta minim a parolei poate fi orice valoare cuprins ntre 0 i 998 zile. Pentru o securitate sporit, e cel mai bine de a avea parole ce expir la fiecare 30 - 90 de zile, n functie de mediul dvs.. n acest fel, un atacator are o perioad limitat de timp n care s crack eze parola unui utilizator i s aib acces la resurse de reea.

Minimum password age Aceast setare de securitate determin perioada de timp (n zile), timp de care o parol trebuie s fie utilizat nainte ca utilizatorul s o poat schimba. Avei posibilitatea s setai o valoare cuprins ntre 1 i 998 zile, sau putei permite modificri imediat prin stabilirea numrul de zile de la 0. Configurai vrsta minim a parolei mai mult de 0. Fr o parol de vrst minim, utilizatorii pot cicla parolele n mod repetat, pn cnd acestea ajung la un favorit vechi. Setarea implicit nu respect aceast recomandare, astfel nct un administrator poate s specifice o parol pentru un utilizator i apoi s solicite utilizatorului schimbul parolei de administrator-definit atunci cnd utilizatorul face Log on. n cazul n care istoria parolei este setat la 0, utilizatorul nu trebuie s aleag o parol nou. Din acest motiv, punerea n aplicare a istoriei parolei este setat la 1 n mod implicit.

 Minimum password length Aceast setare de securitate determin numrul minim de caractere pe care o parol pentru un cont de utilizator l-ar putea conine. Avei posibilitatea s setai o valoare cuprins ntre 1 i 14 caractere, sau se poate stabili c nici o parol nu este necesar prin stabilirea numrului de caractere la 0.

Passwords must meet complexity requirements Dac aceast politic este activat, parolele trebuie s ndeplineasc urmtoarele cerine minime atunci cnd acestea sunt modificate sau create: s nu conin numele contului sau numele complet al utilizatorului. Numele de cont i numele complet sunt analizate pentru delimitatori: virgule, puncte, liniue sau cratime, de subliniere, spaii, etc. Dac oricare dintre aceste delimitatori se gsesc, numele contului sau numele complet sunt mprite i toate seciunile sunt verificate, pentru a nu fi incluse n parol. Store passwords using reversible encryption Aceast setare de securitate determin dac sistemul de operare stocheaz parolele utiliznd criptare reversibil. Aceast politic ofer suport pentru aplicaii care utilizeaz protocoale care necesit cunoaterea parolei utilizatorului pentru scopuri de autentificare. Aceast politic nu ar trebui s fie activ cu excepia cazului n care aplicaiile sunt importante i necesit de a fi protejat informaia cu o parol.

7. Opiunile existente n Administrative tools/Local security policy/local policies/user rights assignement.

Aceast seciune include urmtoare opiuni:

Access this computer from the network Act as part of the operating system Add workstations to domain Adjust memory quotas for a process Allow log on locally Allow log on through Terminal Services Back up files and directories Bypass traverse checking Change the system time Create a pagefile Create a token object Create global objects Create permanent shared objects

Debug programs Deny access to this computer from the network Deny log on as a batch job Deny log on as a service Deny log on locally Deny log on through Terminal Services Enable computer and user accounts to be trusted for delegation Force shutdown from a remote system Generate security audits Impersonate authentication a client after

Increase scheduling priority

Load and unload device drivers Lock pages in memory Log on as a batch job Log on as a service Manage auditing and security log Modify values firmware environment

Profile system performance Remove computer from docking station Replace a process level token Restore files and directories Shut down the system Synchronize directory service data Take ownership of files or other object

Perform volume maintenance tasks Profile single process

Analiza a cteva din cele mai folosite setri: Access this computer from the network

Aceast opiune permite grupelor de utilizatori enumerate de a accesa computerul de la distan prin sesiuni de SMB. Este o idee bun de a limita utilizatorii care s-ar putea conecta de la distan. Aceat regul presupune c n cazul n care un oarecare grup de utilizatori nu are nevoie de accesa un calculator prin reea, atunci nu ar trebui ca s i se permit acest lucru. Aceasta ajut la limitarea numrului de conturi expuse la un eventual atac.

 Backup files and directories

Proprietatea de a pstra fiierele de rezerv i directoarele este foarte important pentru sntatea pe un termen lung a unui sistem de operare. Singura problem este faptul c este combinat cu posibilitatea de a restaura fiiere, un utilizator poate face o copie de rezerv a unui fiier i -l poate restaura cu privilegiu de acces. Proprietatea de a face copii de acces a fiierelor nlocuiete privilegiile de acces atribuite acestor fiiere. Deci, un utilizator cu privi legiile de backup poate face o copie de rezerv la un fiier la care el nu are acces regulat. Aceasta este o vulnerabilitate evident deoarece un utilizator poate avea acces la un fiier la care n mod normal nu ar trebui s aib. Create permanent share objects Creare obiectelor permanente partajate este folosit intern de ctre operaiunile kernel-mode. Toate componentele care au nevoie de a crea aceste obiecte au deja atribuite aceste drepturi, astfel nct nu este necesar de a aduga ceva la list. Sistemul nu va fi afectat n nici un fel deoarece toate drepturile pentru acele componente care au nevoie de asta au fost deja alocate.

 Shut down the system Determin care utilizatori pot nchide sistemul de operare folosind comanda Shut Down. De obicei aceast opiune poate fi oferit tuturor utilizatorilor, deoarece nu va avea mari efecte n sistem.

Lock pages in memory Blocarea paginilor n memorie va fora paginile memoriei de a rmne n RAM, n loc s fie paginate pe disc. Dac aceast posibilitate este dezactivat, este posibil de a lansa un DOS atac pe acest calculator, care va consuma tot RAM-ul, deci va bloca terminalul pna la restartarea lui. Respectiv, nimeni nu ar trebui s dispun de acest drept. Setarea implicit este setat astfel nct s nu permit nimnui acest drept i acest lucru ar trebui s rmn neschimbat.

8. Lista de permisiuni pentru directoarele utilizate n comun Utilizarea n comun a fiierelor (simple file sharing) definete un model simplificat de utilizare a resurselor mpreuna cu ali utilizatori locali sau cu utilizatori din acelai workgroup fr configurarea permisiunilor NTFS sau a utilizrii n comun a directoarelor. Cnd opiunea de utilizare n comun a fiierelor e activat, utilizatorii au o singur opiune un director poate fi utilizat n comun sau nu de ctre toi utilizatorii din reea. Permisiunile sunt urmtoarele: Read: se pot afia numele directoarelor/fiierelor i atributele lor, se pot rula fiiere program; Change: se pot creea directoare, se pot aduga fiiere n directoare, se pot modifica date din fiiere, se pot aduga date n fiiere, se pot modifica atributele fiierelor, se pot terge directoare i fiiere; desemenea, sunt permise toate aciunile din cadrul permisiunilor de tip Read; Full Control: se pot modifica drepturile i se pot executa toate aciunile din cadrul permisiunilor de tip Change.

Membrii grupurilor Administrators, Power Users i utilizatorii cu drepturi de tip Create Permanent Shared Folders pot creea directoare care apoi sunt utilizate n comun.

9. Reprezentai toate setrile efectuate la partea practic pentru un director specificat Pentru a securiza un folder din PC am folosit programul Folder Guard pentru c este uor de folosit i destul de rapid. Dup instalarea i deschidera programului, trebuie setat parola principal. Ea va fi folosit pentru a intra n program:

Dup introducerea parolei, va fi afiat interfaa programului:

Cu ajutorul acestui program poate fi setat accesibilitatea unui folder (acces complet, doar citire sau fr acces), vizibilitatea folderului (vizibil, gol sau ascuns) i protejarea folderului prin parol. Pentru a securiza folderul, apasm butonul Protect din colul stng de sus al barei de meniuri. Ne va aprea o fereastr ce ne va propune s alegem folderul pentru securizare:

Dup accesarea urmtorului pas, va aprea o fereastr, n care se va introduce parola prin care va fi securizat acel folder. Parola nu trebuie obligatoriu sa fie aceeiai ca i parola principal dar se recomand utilizarea a uneia i aceeai parole.

 Atunci cnd se nchide programul se marcheaz csua Enable protection automatically at Windows startup adic Activeaz automat protecia la deschiderea Windows-ului se d clic pe butonul YES pentru a activa preotecia folderelor la fel ca n imaginea urmtoare:

Atunci cnd o s ncercm s deschidem folderul securizat, ne va aprea urmtoarea fereastr, n care ni se va cere autentificarea prin parol:

10. Reprezentai totalitatea setrilor pentru fiierul pe care l-ai creat. n mod asemntor blocrii accesului persoanelor la computerul utiliznd o parol, se poate securiza i un document. Pentru a securiza un document Word, am efectuat urmtorii pai:

n meniul Instrumente, se alege comanda Opiuni:

 Se face clic pe fila Securitate. Aici este posibilitatea de a selecta dintre mai multe opiuni, inclusiv criptarea de fiier i partajare de fiier, pentru a proteja documentul. Pentru a preveni vizualizarea unui document, se poate solicita o Parol pentru deschidere i/sau o Parol pentru modificare:

Exist i posibilitatea de a selecta tipul de criptare utilizat pentru acel document:

Pentru a seta nivelurile de securitate n Word, se face clic pe butonul Securitate macrocomenzi n fila Securitate din caseta de dialog Opiuni, apoi se alege nivelul de securitate dorit:

11) Concluzii: Efectund lucrarea dat de laborator am aflat multe lucruri noi. Am nvat cum s creez un cont nou de utilizator prin alt metod dect cea cunoscut, precum i am vzut ce setri de securitate deine contul de utilizator. Am aflat cum cu ajutorul unui soft, Folder Guard, putem s securizm foldere care pot fi accesate doar prin introducerea parolei. Deasemenea, efectund lucrarea de laborator, am aflat cum poate fi securizat MS Office, mai exact cum putem proteja documentul Word de stergere sau modificare de ctre persoane neautoriate.