Esercizi

Controllo degli accessi in ambiente Windows
Roberto Paleari, Emanuele Passerini
5 Novembre 2008
1
SID, Access Token e Privilegi
1. Determinare il SID relativo all’account utente sicurezza e confrontarlo con quello dell’account Administrator. Quali sono i RID dei due
account? Quali altri account sono disponibili nel sistema? Qual è il
primo account ad essere stato creato?
2. Creare due nuovi account utente1 e utente2, determinarne i SID, rimuovere utente2 e infine aggiungere un nuovo account utente3. Qual
è il SID di utente3? Il sistema ha riutilizzato quello di utente2?
3. Rinominare l’account utente1. Il suo SID cambia?
4. Seguire il seguente procedimento per osservare come i privilegi concessi
ad un utente possono essere abilitati dal sistema:
• eseguire Process Explorer procexp.exe e mettere in pausa
• visualizzare l’access token di explorer.exe e verificare lo stato del privilegio SeSystemTimePrivilege (fare doppio click su
explorer.exe e aprire la tab Security)
• eseguire l’applet per l’aggiornamento dell’orologio di sistema
• fare il refresh di Process Explorer (F5)
• aprire rundll32.exe (processo che “ospita” l’applet) e verificare
lo stato del privilegio SeSystemTimePrivilege.
2
ACL
1. Creare il file C:\test.txt e permetterne la sola lettura all’utente utente1.
1
2. Seguire il seguente procedimento:
• creare una directory foo
• evitare che foo erediti le autorizzazioni propagate dal padre (scegliere “Copia” quando richiesto)
• configurare la DACL di foo, in modo tale da concedere controllo
completo a Administrators (su directory, sotto-directory e file)
e Creator Owner (su sotto-directory e file)
• creare due sotto-directory bar1 e bar2
• evitare che bar1 erediti le autorizzazioni propagate dal padre
(scegliere “Copia” quando richiesto)
• modificare la DACL di foo concedendo il permesso di lettura agli
utenti del gruppo Users (su directory, sotto-directory e file).
Alla fine quali ACE comprendono le DACL di bar1 e bar2? Commentare i risultati ottenuti.
3. Visualizzare con calcs.exe le DACL delle directory create nel punto
precedente e verificare lo stato dei flag di inheritance.
4. Proseguire l’esercizio precedente creando un file nella directory foo e
uno in ciascuna delle due sotto-directory. Verificare quali autorizzazioni
ha il gruppo Users su ciascuno di questi file. È possibile configurare la
DACL di foo in modo che il gruppo Users possa leggere i file all’interno
di foo ma non abbia alcun diritto di accesso sui file creati in foo\bar2?
2