A Windows Vista biztonsági szolgáltatásai - MIC - Mandatory Integrity Control 6. rész

Hogy miért szükséges ez a bűvészkedés a jogosultsági szintekkel? Képzeljük el a következő helyzetet: kapunk egy e-mailt egy csatolmánnyal. Mikor lementjük a fájlt, az rögtön alacsony integritás-szintre kerül, mivel az internetről - egy nem megbízható helyről érkezett. Ezért aztán bármi legyen is a fájl tartalma, mikor lefuttatjuk azt semmi különös nem történhet, mivel - a fentiek alapján - egy alacsony szinten futó folyamat nem férhet hozzá a felhasználó magas, vagy nem jelölt, így közepes szinten lévő adataihoz. Az Internet Explorer védett módja a megbízhatósági szintek köré épült, és mivel a böngésző alapértelmezésként alacson integritás-szinten fut, biztosak lehetünk benne, hogy az Internet Explorer-en kereszül nem települhet többé a rendszerre semmilyen ártó kód. Ezen túlmenően, mivel a Windows munkaasztal közepes szintre van besorolva, a böngészőben esetlegesen lefuttatott ActiveX vezérlő sem küldhet többé olyan megtévesztő üzeneteket a desktopra, miszerint vírustámadás áldozatai lettünk és azonnali hatállyal töltsük le ezt-és-ezt a programot - ami valójában maga a vírus.

user account control - 5.rész

A User Account Control egy másik feladata a szoftverkörnyezet virtualizálása az olyan alkalmazások számára, melyek nem többfelhasználós rendszerekre lettek készítve, vagy nem kezelik jól a jogosultságokat. Meglehetősen sok olyan program létezik, mely vagy nem veszi figyelembe, hogy többfelhasználós környezetben működik, vagy egyszerűen nem is hajlandó futni, csak és kizárólag rendszergazdai jogosultságokkal. Az UAC ezért detektálja az alkalmazás fájlrendszerbe és a registry-be való írási kéréseit, és ennek megfelelően - minden felhasználói fiókban egyéni - virtuális környezetet hoz létre a programnak. A rendszergazda jogosultságot megkövetelő programok így tulajdonképpen "azt hiszik", hogy tudnak írni a \Windows, vagy a \Program Files mappákba, esetleg a rendszerleíró-adatbázis kritikus részeibe is, ám valójában egy, a számukra létrehozott virtuális valóságban működnek - immáron gond nélkül.

user account control - 1.rész

A Windows tűzfal és a Defender képernyőin is láthattunk kis színes pajzzsal ellátott gombokat, vagy hivatkozásokat. Mit is jelentenek ezek a pajzsok és miért vannak egyes műveletek megkülönböztetve?
A Windows Vista a korábbiaktól kissé eltérően értelmezi a "rendszergazda" kifejezést. A rendszer telepítésekor - a korábbi verziókhoz hasonlóan - létrejön egy alapértelmezett rendszergazda (Administrator) felhasználói fiók, mely azonban rögtön letiltásra kerül. A telepítő utolsó fázisában létre kell hoznunk egy saját névvel ellátott felhasználót, mely szintén rendszergazdai jogosultságokat kap - legalábbis elsőre úgy tűnik. A Windows korábbi verzióival szerzett tapasztalatok azt mutatják, hogy a legtöbb olyan felhasználó, aki egyedül felügyeli számítógépét, rendszergazda jogosultságú fiókkal használja azt és nem sokat törődik a biztonsági szakemberek figyelmeztetéseivel. Az ideális állapot természetesen az lenne, ha mindenki korlátozott felhasználóként lépne be a Windows-ba, majd rendszerbeállítás módosításakor, vagy program telepítésekor átjelentkezne "rendszergazdába", vagy a "futtatás mint..." opciót használná. Az igazság azonban az, hogy jóval kényelmesebb eleve rendszergazdaként működtetni a rendszert, így szinte sosem ütközünk ellenállásba. Nem így a Vista-ban.

az adminisztrátori parancssor beszínezése - 2.rész

Hozzunk létre egy karakterláncot (string), melynek adjunk "autorun" nevet, értékként pedig állítsuk be az előző lépésekben elkészített kötegfájl helyét
pl. "C:\Users\felhasználónév\admincmd.cmd".
 Ha ebbe a mappába helyezzük a fájlt, ügyeljünk rá, hogy állítsunk be a fájlra rejtett (hidden) attribútumot, különben a Windows Intézőben zavaró módon meg fog jelenni! Ezek után ha adminisztrátori jogosultsággal indítunk egy parancssort (jobbkattintás a Parancssor ikonján, majd "Run as administrator"), az ablak piros háttérrel nyílik meg, így rögtön megkülönböztethető lesz a többi, hagyományos parancssortól. A kötegfájlban használt színkódok piros alapon fehér betűket eredményeznek. A parancssorban használható színek listáját oldalt találjátok.

az adminisztrátori parancssor beszínezése - 1.rész

Ha egyszerre több parancssoros ablakban is dolgozunk - már csak a véletlen módosítások elkerülése érdekében is - jól jöhet, ha látjuk melyikben rendelkezünk adminisztrátori jogosultságokkal. Ahhoz, hogy meghatározzuk a parancssorok hozzáférési szintjét, egy jogosultság-ellenőrző műveletet kell végrehajtanunk a parancssor indításakor, majd az eredménytől függően más-más színűre - példánkban pirosra - állítani az ablakot. Ehhez egy registry-beállítást fogunk használni, mellyel minden egyes parancssor (cmd.exe) indításakor lehetőségünk van egy előre megadott utasítás végrehajtására.

- Nyissunk egy Jegyzettömböt, majd másoljuk be a következőket:
 @echo off
echo. > %systemroot%\admincmd.txt
:start
 if exist %systemroot%\admincmd.txt goto admin
goto end
:admin
color 4f
del /q %systemroot%\admincmd.txt
:end
- Mentsük el a fájlt admincmd.cmd néven, majd helyezzük el egy általunk elérhető, tetszőleges könyvtárba. • - Nyissuk meg a rendszerleíróadatbázis-szerkesztőt (regedit.exe), majd navigáljunk az alábbi kulcshoz:

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor"

a telnet engedélyezése Windows Vista rendszerben - 3. rész

A telnet-jogosultságok beállítása

• Ha mindezzel elkészültünk a korábban megszokotthoz hasonlóan használhatjuk a telnet
kliens és szerveroldali szolgátlatásait is.

a telnet engedélyezése Windows Vista rendszerben - 2. rész

A felbukkanó ablakban lehetőségünk nyílik néhány alapértelmezettként fel nem települő alkalmazás és szolgáltatás engedélyezésére, vagy a meglévők eltávolítására. Ha a telnet kliensen kívül szeretnénk ha gépünk szerverként is funkcionálna jelöljük be mindkét telnetre vonatkozó dobozt.

 Az OK gomb lenyomása után néhány másodperces konfigurálás következik. Pipáljuk ki a szükséges komponenseket

 • A telnet kliens mostantól a szokásos módon parancssorból használható. Ha azonban bejövő telnet-kéréseket is szeretnénk fogadni, még két dolgot be kell állítanunk. Először is a telnet szolgáltatás alapértelmezettként le van tiltva. Az engedélyezéséhez írjuk be a Start menü "Run" mezőjébe a "services.msc" parancsot, majd a felbukkanó szolgáltatáslistában keressük ki a "Telnet" bejegyzést. Kattintsunk kettőt a sorra, az indítás típusát állítsuk "Automatic"-ra, majd indítsuk el a szolgáltatást.
• Most már csak a jogosultságokat kell kiosztanunk, vagyis meg kell határoznunk, kik csatlakozhatnak telneten keresztül gépünkhöz. Ehhez írjuk be a Start menü "Run" mezőjébe a "lusrmgr.msc" parancsot, majd a felbukkanó ablakban jelöljük ki a "Group" sort és kattintsunk kettőt a "TelnetClients" bejegyzésre. Itt az "Add" gomb megnyomásával felvehetünk olyan helyi vagy tartományi felhasználókat, akiknek engedélyezni akarjuk a hozzáférést.

jogosultsági problémák mappa-átirányítás esetén - 2.rész

Mappa átirányítása

Mivel a Windows Vista megerősített biztonsági konfigurációval rendelkezik, az adminisztrátorok is felhasználói jogosultsággal tevékenykednek. Ezért aztán hiába van az "administrators" csoportnak is teljes hozzáférése egy mappához, a csökkentett jogokkal dolgozó adminisztrátor-felhasználó nem tud írni oda. (például a védett módban futó Internet Explorer-ben "hozzáférés megtagadva" üzenetet egy kedvenc hozzáadásakor).Bár az üzenet nem túl informatív, a probléma a jogosultságok körül van
Hogy a problémát megoldjuk, teljes hozzáférést kell szereznünk az érintett mappákhoz és a bennük található fájlokhoz. Ehhez először nyissunk egy adminisztrátori jogosultsággal futó parancssort:

a Start gomb lenyomása után gépeljük be a "cmd" betűket, majd a "cmd.exe" megjelenése után
nyomjunk "Ctrl+Shift+Enter"-t. A megnyíló parancssorban adjuk ki az alábbi parancsot:
"icacls x:\mappa /grant \\:(F)(CI)(OI)"
Ha a parancs sikeresen lefutott, az Internet Explorer-t újra kell indítani, hogy a megváltozott
jogosultság érvénybe lépjenek és - többek között - tudjunk kedvencet is menteni. A fenti parancs
teljes hozzáférést biztosít a mappához és egyben leörökíti a jogokat a gyermekobjektumokra, azaz az almappákra és fájlokra is.

UAC kikapcsolása

1. A vezérlőpult keresőmezőjébe írd be, hogy "UAC"
1. Ez a megoldás egy kicsit erőltetett, mert az egészet kikapcsolja.
Van egy finomabb beállíthatósági lehetőség, amivel az UAC néhány előnyét megtarthatod. Ehhez a
házirendeket kell a következőképpen beállítani:
1. Lépj be a "Vezérlőpult\Rendszer és karbantartás\Felügyeleti eszközök"-be, majd indítsd el a
"Helyi biztonsági házirend"-et
2. Oldalt válaszd ki a "Helyi házirend"-et, majd a "Biztonsági beállítások"-at
3. A felsorolásban keresd meg a "Felhasználói fiókok felügyelete: A jogosultságszint-emelési
kérés működése rendszergazdák esetében, rendszergazdai engedélyezéses módban"-t, majd
állítsd az értékét "Elevate without prompting" (mivel ezt még nem fordították le magyarra)