Esercizi
Transcript
Esercizi
Controllo degli accessi in ambiente Windows Roberto Paleari, Emanuele Passerini 5 Novembre 2008 1 SID, Access Token e Privilegi 1. Determinare il SID relativo all’account utente sicurezza e confrontarlo con quello dell’account Administrator. Quali sono i RID dei due account? Quali altri account sono disponibili nel sistema? Qual è il primo account ad essere stato creato? 2. Creare due nuovi account utente1 e utente2, determinarne i SID, rimuovere utente2 e infine aggiungere un nuovo account utente3. Qual è il SID di utente3? Il sistema ha riutilizzato quello di utente2? 3. Rinominare l’account utente1. Il suo SID cambia? 4. Seguire il seguente procedimento per osservare come i privilegi concessi ad un utente possono essere abilitati dal sistema: • eseguire Process Explorer procexp.exe e mettere in pausa • visualizzare l’access token di explorer.exe e verificare lo stato del privilegio SeSystemTimePrivilege (fare doppio click su explorer.exe e aprire la tab Security) • eseguire l’applet per l’aggiornamento dell’orologio di sistema • fare il refresh di Process Explorer (F5) • aprire rundll32.exe (processo che “ospita” l’applet) e verificare lo stato del privilegio SeSystemTimePrivilege. 2 ACL 1. Creare il file C:\test.txt e permetterne la sola lettura all’utente utente1. 1 2. Seguire il seguente procedimento: • creare una directory foo • evitare che foo erediti le autorizzazioni propagate dal padre (scegliere “Copia” quando richiesto) • configurare la DACL di foo, in modo tale da concedere controllo completo a Administrators (su directory, sotto-directory e file) e Creator Owner (su sotto-directory e file) • creare due sotto-directory bar1 e bar2 • evitare che bar1 erediti le autorizzazioni propagate dal padre (scegliere “Copia” quando richiesto) • modificare la DACL di foo concedendo il permesso di lettura agli utenti del gruppo Users (su directory, sotto-directory e file). Alla fine quali ACE comprendono le DACL di bar1 e bar2? Commentare i risultati ottenuti. 3. Visualizzare con calcs.exe le DACL delle directory create nel punto precedente e verificare lo stato dei flag di inheritance. 4. Proseguire l’esercizio precedente creando un file nella directory foo e uno in ciascuna delle due sotto-directory. Verificare quali autorizzazioni ha il gruppo Users su ciascuno di questi file. È possibile configurare la DACL di foo in modo che il gruppo Users possa leggere i file all’interno di foo ma non abbia alcun diritto di accesso sui file creati in foo\bar2? 2