4. mérés: Windows
Mérési jegyzőkönyv
A Windows vizsgálata
|A mérés helyszíne: |IE504 |
|A mérés időpontja: |2012. 04.06 |
|A mérést végezték: |Sárközi László, pde101 mérőcsoport |
|Ennek a fájlnak a neve: |ML4_pde101_4.doc |
|A mérésvezető neve: |V1 |
Felhasznált hardver/szoftver eszközök:
|Eszköz megnevezése |
|PC |
|VMware Player program |
|Windows 7 virtuális gép |
| | | |
|Tudnivalók: |
|Csak a sárga színnel megjelölt részre írjon. |
|A helyőrzőt törölje ki, és a helyére illesszen be egy, a feladat megoldását igazoló képernyőképet. |
|A feladatok egy részét csak az ötös jegyhez kell megoldani, ezeket *-gal jelöltük. Az ötöshöz viszont mindegyik csillagos feladatot meg kell oldani. |
|A feladatok egy része fakultatív, ezek nem számítanak bele az értékelésbe, csak ha marad idő, akkor álljunk neki. |
|Visszajelzéseket Micskei Zoltánnak (micskeiz AT mit.bme.hu) küldjük. |
1. feladat: Futó folyamatok vizsgálata
Futó folyamatok vizsgálata Process Explorer segítségével.
• A feladatok megoldása előtt, ha még nem tettük volna meg otthon, akkor ismerkedjünk meg a Process Explorer felületével: nézzük meg, hogy milyen opciók vannak a menükben; hogyan lehet bekapcsolni az alsó panelt stb.
• A feladatokhoz rendszergazdaként indítsuk el a Process Explorert!
|1.1 |
|Hány darab svchost.exe fut a gépen? |
|Darabszám: 10 |
|[pic] |
|Mi PID-je annak a példánynak, ami a DNS Client szolgáltatást futtatja? |
|PID: 1216 |
|[pic] |
|Milyen más szolgáltatások futnak még ebben az svchost folyamatban? |
| Cryptographoc |
|Service |
|Worksation, |
|Network Location Awareness, |
|Remote Desktop Services |
|1.2 |
|Hány munkamenethez (session ) tartoznak jelenleg futó folyamatok? |
|Munkamenetek száma és azonosítói: 2 db futó session van , 0 és 1 azonosítóval |
|Hány szála van az egyes sorszámú munkamenethez tartozó csrss.exe folyamatnak? |
|Szálak száma: 10 |
|[pic] |
|Milyen típusú erőforrásokhoz tartozó prioritásokat adhatunk meg egy szálhoz? |
| Base Priority |
|Dynamic Priority |
|I/O Priority |
|Memory Priority |
|Nézzük meg a csrss.exe egyik szálának prioritásait! |
|[pic] |
|1.3 * (csak az ötöshöz) |
|Miket futtathat a System folyamat a hozzá tartozó szálak alapján (legalább 3 feladat felsorolása)? |
|Parallel port driver (Parport.sys) |
|Microsoft Protection Service Driver (Mpsdrv.sys) |
|Advanced Configuration and Power Interface (ACPI.sys) |
|BLB Drive Driver (blbdrive.sys) |
|DirectX system driver (dxgkrnl.sys) |
2. feladat: Leírók vizsgálata
Indítsunk egy Jegyzettömböt!
|2.1 |
|Soroljuk fel, hogy milyen registry kulcsokat ér el (Ctrl + H)? |
|HKLM\SYSTEM\ControlSet001\Control\Nls\Sorting\Versions |
|HKLM\SYSTEM\ControlSet001\Control\Session Manager |
|HKLM |
|HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions\{FDD39AD0-238F-46AF-ADB4-6C85480369C7}\PropertyBag |
|HKCU |
|HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer |
|HKLM\SYSTEM\ControlSet001\Control\Nls\Locale |
|HKLM\SYSTEM\ControlSet001\Control\Nls\Locale\Alternate Sorts |
|HKLM\SYSTEM\ControlSet001\Control\Nls\Language Groups |
|[pic] |
|2.2 |
|Nézzük meg a Jegyzettömb által megnyitott DLL-ek listáját (Ctrl + D)! |
|[pic] |
|Mi történik akkor, ha megnyitunk a jegyzettömbben egy szövegfájlt? |
|Új DLL-ek jelennek meg a listában, és néhány DLL időlegesen némelyik zöld hátterűvé válik. |
|2.3 |
|Próbáljunk meg beleírni a C:\temp\temp.txt fájlba! Nem sikerül, ugyanis egy másik folyamat már nyitva tartja. |
|Keressük meg, melyik folyamat az (használjuk a Find Handle parancsot a Find menüből)! |
|Folyamat neve: VMHelper.exe |
|[pic] |
|Mi lehet gyanús ezzel a folyamattal kapcsolatban? A kapcsolódó folyamatokhoz tartozó digitális aláírást érdemes megnézni. (A digitális aláírást a |
|fájlt az Explorerben kikeresve a fájl tulajdonságainál a Digital Signatures lapon találjuk. A digitális aláírás hitelességét például a Process |
|Explorer tudja ellenőrizni: a folyamat tulajdonságainál az Image lapon a Verify gomb erre szolgál.) |
|Alá van írva a VMware Inc. nevében, de a digitális aláírás nem ellenőrizhető, míg más VMWare folyamat esetében ellenőrizhető. |
3. feladat: Szolgáltatások kezelése
|3.1 |
|A Control Panel / System and Maintenance / Administrative tools / Services kezelőfelületen keresztül nézzük meg a Security Accounts Manager |
|(Biztonsági fiókkezelő) szolgáltatást! |
|Mi a szerepe ennek a szolgáltatásnak? |
|Szerepe: A helyi felhasználói fiókok tárolását és kezelését végzi |
|Mi a szolgáltatás belső neve és mi a megjelenítendő neve? |
|Belső név: SamSs |
|Megjelenítendő név: Security Accounts Manager |
|Milyen program tartozik ehhez a szolgáltatáshoz? |
|C:\Windows\system32\lsass.exe |
|Milyen felhasználó nevében fut a szolgáltatás? |
|Local System ( nagyon magas jogosultsági szint) |
|3.2 |
|Milyen függőségei vannak ennek a szolgáltatásnak? |
|[pic] |
|3.3 |
|Milyen helyreállítási lehetőségeket állíthatunk be, ha meghibásodik a szolgáltatás? |
|[pic] |
|Nem támogat helyre állítási lehetőségeket. |
|Ezt egy másik szolgáltatáson is nézzük meg! |
|Helyreállítási lehetőségek: |
|Ne tegyen semmit |
|A szolgáltatás újraindítása |
|Egy megadott program futtatása |
|A számítógép újraindítása |
|[pic] |
|3.4 |
|Nézzük meg, hogy melyik svchost.exe foglalja a legtöbb fizikai memóriát! |
|[pic] |
|Mi a csoport neve ennek az svchost példánynak (az svchost csoport nevet a Feladatkezelő Szolgáltatások lapján találhatjuk meg)? |
|LocalSystemNetworkRestricted |
|3.5 * (csak az ötöshöz kell) |
|Nézzük meg, hogy a Windows Time szolgáltatáshoz milyen beállítások tartoznak a rendszerleíró adatbázisban |
|(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services résznél)! |
|[pic] |
|Melyik kulcsban tárolja, hogy milyen NTP (Network Time Protocol) kiszolgálóhoz csatlakozik? |
|Parameters/NtpServer A kiszolgáó pedig: time.,0x9 |
4. feladat: Rendszereszközök
MMC
|4.1 |
|Indítsunk el egy konzolt (mmc.exe)! |
|Készítsünk egy olyan konzolt, amin a lemezekkel és megosztásokkal kapcsolatos eszközöket gyűjtjük össze! |
|[pic] |
Eseménynapló
|4.2 |
|Állítsuk be, hogy a biztonsági napló maximális mérete 32 MB legyen, és hogy archiválja a megtelt naplót! |
|[pic] |
|4.3 |
|Volt-e hiba típusú bejegyzés az elmúlt hét napban (bármelyik naplóba)? Ha igen, milyen forrás naplózta? Használjuk az Eseménynapló kezdőképernyőjén |
|megjelenő összesítést! |
|Források: |
|Kernel-Event Tracing |
|[pic] |
|4.4 |
|Milyen eseményazonosítókat naplózott az Eseménynapló (EventLog) mint forrás a Rendszer naplóba? (Használjuk a szűrés és a csoportosítás funkciókat!) |
|Soroljuk fel az eseményazonosító – esemény szövege párokat! |
|Eseményazonosító – szöveg: |
|6005 - The Event log service was started. |
|6006 - The Event log service was stopped. |
|6009 - Microsoft (R) Windows (R) 6.01. 7600 Multiprocessor Free. |
|6011 - The NetBIOS name and DNS host name of this machine have been changed from … to … |
|6013 - The system uptime is xy seconds. |
|[pic] |
Rendszerleíró adatbázis
|4.5 |
|Milyen registry kulcsban tárolja a VMware Tools, hogy megjelenjen-e az ikonja a system tray-ben? |
|Registry kulcs neve Registry kulcs neve: HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware Tools\Show Tray |
|[pic] |
5. feladat: Terheltség és teljesítmény vizsgálata
|5.1 |
|Indítsuk el a Resource Monitort! A kezdőoldalon lévő számlálók alapján melyik folyamat olvasott az utóbbi időben a legtöbbet a lemezről? |
|Folyamat neve: svchosts.exe |
|[pic] |
|5.2 |
|A Resource Monitorban nézzük meg, hogy jelenleg melyik folyamat használja a legtöbb fizikai memóriát! |
|Folyamat neve: explorer.exe |
|[pic] |
|Mennyi ebből az, amit megosztva használ más folyamatokkal? |
|Megosztott memória: ~ 33,5 MB |
|[pic] |
|És mennyi virtuális memória van lefoglalva ehhez a folyamathoz? (A feladatban a Process Explorert is kell használni.) |
|Virtuális memória: ~229,5 MB |
|[pic] |
|5.3 |
|Ha ennél is részletesebb teljesítményadatokat akarunk lekérdezni, akkor a Performance Monitor (Teljesítményfigyelő) a megfelelő eszköz. |
|Indítsuk el, és adjunk hozzá egy olyan számlálót, ami a hálózati kártyán másodpercenként elküldött csomagokat méri! |
|Hozzáadás menete: Monitoring Tools / Performance Monitor / Add (zöld + gomb) |
|[pic] |
|Generáljunk hálózati forgalmat, és készítsünk olyan grafikont, ami jelzi a hálózati forgalom alakulását! |
|[pic] |
6. feladat: Felhasználók kezelése
|6.1 |
|Nyissuk meg a Helyi felhasználók és csoportok MMC beépülő modult! |
|Hozzunk létre egy új felhasználót (név: Test User, felhasználónév: testuser, jelszó: MeresUser1) |
|[pic] |
|Állítsuk be, hogy a jelszavát ne tudja megváltoztatni a felhasználó! |
|[pic] |
|6.2 |
|Hozzunk létre egy Teachers csoportot, és adjuk hozzá az előbb létrehozott felhasználót! |
|[pic] |
|6.3 |
|A felhasználókat és csoportokat a rendszer nem a nevével, hanem a SID-jével (Security Identifier) azonosítja. |
|Kérdezzük le a számítógép, a rendszergazda és az újonnan létrehozott testuser felhasználó SID-jét a Sysinternals psgetsid ( ) programjával! |
|Számítógép: S-1-5-21-424840485-2337053192-2339766225 |
|Rendszergazda: S-1-5-21-424840485-2337053192-2339766225-500 |
|Testuser: S-1-5-21-424840485-2337053192-2339766225-1006 |
|[pic] |
|Hogy épül fel egy felhasználói SID? |
|Mérési segédlet: |
|„A számítógép telepítéskor kap egy SID-et, a helyi felhasználók SID-je ebből generálódik, a végére a |
|rendszer egy relatív azonosítót (RID, relative identifier) illeszt. A fenti SID a beépített rendszergazda |
|felhasználó SID-je, az ő RID-je mindig 500. A sima felhasználók RID-jét 1000-től kezdi osztani a Windows. A beépített csoportoknak fix |
|SID-je van, például a Mindenki (Everyone) csoporté S–1–1–0.” |
|Kérdezzük le az Rendszergazdák, Felhasználók és a Teachers csoport SID-jét! Mi a különbség közöttük? |
|Rendszergazdák: S-1-5-32-554 |
|Felhasználók: S-1-5-32-545 |
|Teachers: S-1-5-21-424840485-2337053192-2339766225-1005 |
| |
|[pic] |
|Különbség: |
|A mérési segédletben leírtak alapján: „A számítógép telepítéskor kap egy SID-et, a helyi felhasználók SID-je ebből generálódik, a végére a |
|rendszer egy relatív azonosítót (RID, relative identifier) illeszt. A fenti SID a beépített rendszergazda |
|felhasználó SID-je, az ő RID-je mindig 500. A sima felhasználók RID-jét 1000-től kezdi osztani a Windows. A beépített csoportoknak fix |
|SID-je van, például a Mindenki (Everyone) csoporté S–1–1–0.” |
|6.4 |
|A meres felhasználó, bár rendszergazda, belépéskor egy sima felhasználó tokenjét kapja meg. Ez látszik abból, hogy milyen jogosultságokat (privilege) |
|kap meg. |
|Melyek ezek (használjuk a whoami parancsot megfelelő paraméterezéssel)? |
|SeShutdownPrivilege Shut down the system Disabled |
|SeChangeNotifyPrivilege Bypass traverse checking Enabled |
|SeUndockPrivilege Remove computer from docking station Disabled |
|SeIncreaseWorkingSetPrivilege Increase a process working set Disabled |
|SeTimeZonePrivilege Change the time zone Disabled |
|És ha rendszergazdaként indítjuk a parancssort milyen jogosultságokat kap meg? |
|[pic] |
|6.5 * (csak az ötöshöz) |
|Töröljük le a testuser felhasználót! |
|Keressük meg, hogy hogyan lehet létrehozni parancssorból felhasználókat, és hozzuk létre újra a testusert (ne felejtsük el újra berakni a Teachers |
|csoportba)! |
|Parancs: net user |
|[pic] |
|Nézzük meg újra a SID-jét, mit tapasztalunk? |
|Megváltozott a SID, hiába ugyanaz a felhasználónév. |
7. feladat: Fájl jogosultságok kezelése
|7.1 |
|Indítsuk el a Total Commandert a testuser felhasználó nevében (runas parancs)! |
|Parancs: runas /user:mymachine\testuser totalcmd |
|Hozzunk létre egy acltest mappát a C meghajtón! Milyen jogosultságokat kapott alapból, miért? |
|[pic] [pic] |
|Indoklás: |
|A tulajdonosi jogokat a testuser kapta, de teljes jogosultságot kapott a SYSTEM és a rendszergazdák csoportja is. A Users csoport olvasási és |
|futtatási jogot kapott. |
|Indoklás: |
|A létrehozó mindig megkapja a tulajdonosi jogot , a helyi rendszergazda viszont teljes kontrollt kap minden felhasználói erőforrásra a számítógépen |
|7.2 |
|Távolítsuk el a jogosultságokat úgy, hogy csak a Teachers csoportnak legyen teljes hozzáférése a mappára! (A megoldáshoz ne használjunk Deny típusú |
|jogosultságokat.) |
|Megoldás menete: |
|[pic] |
|Ellenőrizzük, hogy a meres felhasználó tényleg nem tud belépni a könyvtárba, a testuser felhasználó viszont igen és tud ott fájlt is létrehozni! |
|[pic] |
|[pic] |
|7.3 |
|A rendszergazdák azonban ekkor is meg tudják nézni az ilyen könyvtárakat, ehhez viszont saját tulajdonba kell venniük a mappát! |
|A speciális beállításoknál a Tulajdonos fülön állítsuk át, hogy a mappa tulajdonosa az Rendszergazdák csoport legyen! |
|[pic] |
|7.4 |
|Állítsuk át az acltest könyvtár jogait úgy, hogy a Rendszergazdák és a Teachers csoportnak teljes hozzáférése legyen, a testuser felhasználónak pedig |
|csak olvasási joga! |
|[pic] |
|Tud-e ilyenkor írni a testuser a könyvtárba, miért? |
|Tud, mert örökli a Teachers csoporttól a jogosultságot. |
|Hozzunk létre egy Students csoportot, rakjuk bele a testuser felhasználót, és állítsuk be, hogy a Students csoportnak is legyen olvasás joga, de |
|tagadjuk meg az írás jogot tőle. (A csoporttagság változás érvénybe lépéséhez be kell zárni a Total Commandert és elindítani újra.) |
|Nézzük meg, hogy most tud-e írni a testuser a könyvtárba, miért ez az eredmény? |
|[pic] |
| |
|Eredmény: [pic] |
|Indoklás: |
|[pic] |
|A tiltás erősebb, mint az engedélyezés. |
|7.5 |
|Osszuk meg az acltest könyvtárat sharetest néven! Állítsuk be, hogy a megosztásra csak a Hitelesített felhasználók (Authenticated Users) csoportnak |
|legyen olvasás joga! Érjük el a megosztást a gazda gépről! A gépen lévő fájlmegosztásokat \\gepnev\megosztasnev formában érhetjük el (ilyenkor a |
|Windows az SMB protokollt használja). |
|[pic] |
|Tudunk-e a megosztáson keresztül új fájlt létrehozni az actest mappában, miért ez az eredmény? |
|Nem tudunk, mert úgy osztottuk meg, hogy csak olvasási joga legyen. |
|7.6 * (csak az ötöshöz) |
|A Windowsos hálózati erőforrások elérését megkönnyíthetjük, ha csatlakoztatjuk őket hálózati meghajtóként. Ezt megtehetjük a Sajátgép / Eszközök / Map|
|network drive menüben vagy a net use paranccsal. |
|A net use segítségével csatlakoztassuk a helyi gépen lévő sharetest megosztást s: meghajtóként. Listázzuk ki, majd töröljük is a létrehozott |
|kapcsolatot! |
|Parancs: net use s: \\WIN7MERES\acltest2 |
|dir s:\ |
|net use s: /delete |
|[pic] |
|7.7 |
|Töröljük le a testusert, és nézzük meg, hogy ilyenkor hogyan jelzi ki a jogosultságokat az acltest könyvtáron! |
|[pic] |
|Indoklás: |
|A felhasználó törölődött, de a privilege a SID-hez kötött , így azt mutatja továbbra is. |
8. feladat: FAKULTATÍV: Helyi biztonsági házirend
|8.1 |
|Állítsuk be a naplózási házirendben, hogy a sikeres és sikertelen bejelentkezéseket, házirend változtatásokat és rendszerjogok használatát is |
|naplózza a rendszer! |
| |
|8.2 |
|Állítsuk be, hogy a legrövidebb jelszó 8 karakter lehessen, és hogy 3 érvénytelen belépési kísérlet után zárolja a felhasználót a rendszer! |
| |
|Hozzuk létre újra a testusert, és próbáljuk is ki, hogy kizárja-e a testuser felhasználót 3 hibás próbálkozás után (ehhez nem kell kilépnünk, elég, |
|ha a runas parancs segítségével próbálkozunk)! |
| |
|Milyen eseményeket látunk ilyenkor az eseménynapló biztonsági részében? |
| |
|8.3 |
|A felhasználói jogok kiosztása résznél nézzük meg, hogy milyen egyéb, rendszerszintű jogokat lehet kiosztani (ezek fiók jogok vagy privilégiumok |
|lehetnek). |
|Állítsuk be, hogy a Teachers csoport is meg tudja változtatni a rendszeridőt! (A Teachers csoport hozzáadásához a felhasználót vagy csoportot |
|kiválasztó ablakban az Objektumtípusnál be kell pipálni a csoportokat is.) |
| |
|8.4 |
|Állítsuk be a biztonsági beállításoknál, hogy csak akkor lehessen leállítani a rendszert, ha bejelentkeztünk előtte. |
| |
|Mire lehet jó, hogy a beállításoknak az engedélyezet / nem engedélyezett mellett lehet egy harmadik értékük is, az, hogy nem definiált. |
| |
9. feladat: FAKULTATÍV: Memóriahasználat
|9.1 |
|A memóriahasználatról igazán pontos képet akkor kapunk, ha megnézzük, hogy mi az állapota az egyes fizikai memória lapoknak, ezt például a kernel |
|debugger tudja megjeleníteni. Indítsuk el a Windbg programot! Ellenőrizzük, hogy a hibakeresési szimbólumok letöltése be van-e állítva rendesen (File|
|/ Symbol File Path)! Indítsunk egy helyi kernel debuggolást (File / Kernel debug / Local)! |
|Olvassuk végig figyelmesen, hogy mit ír ki! |
| |
|A Debugger Tools for Windows súgójából nézzük ki, hogy hogyan kell paraméterezni a !memusage parancsot, hogy csak az összesítő információkat |
|jelenítse meg. Hajtsuk végre a parancsot! |
|Parancs: |
| |
|Hogyan oszlik meg a memórialapok állapota az egyes típusok között? |
| |
|Végezetül futassuk le a !memusage parancsot paraméterek nélkül, így képet kaphatunk, hogy pontosan mi is van betöltve a memóriába! |
| |
................
................
In order to avoid copyright disputes, this page is only a partial summary.
To fulfill the demand for quickly locating and searching documents.
It is intelligent file search solution for home and business.