Hands-on-Labs: Virtual PC Setup

Transkript

(C) 2009 Ondřej Ševeček, GOPAS a.s., [email protected], www.sevecek.com
Základní parametry sítě
Všechna nastavení počítačů jsou víceméně výchozí konfigurace. Všechny stroje jsou členem domény.
Základní parametry sítě jsou v tabulkách:
Počítač
DC1
SRV1
Seven1
Vista1
XP1
Seven2
Operační systém
Windows Server 2008
Enterprise, x32
Služby: AD DS, AD CS
Další: autoenrolment
user certifikátu, C:\Sales
Windows Server 2008
Enterprise, x32
Služby: IIS
Další: C:\WEB
Windows 7 Ultimate, x32
Další: files-fat.vhd,
hdd2.vhd
Windows Vista Ultimate,
x32
Windows XP Professional,
x32
Windows 7 Ultimate, x32
Doména
gopas.virtual
Uživatelské účty
domain-admin
srv-admin
wks-admin
gpo-admin
kamil
judith
Strana: 1
IP adresa
10.10.0.10
Login
gopas\domain-admin
Heslo
Pa$$w0rd
10.10.0.11
gopas\srv-admin
Pa$$w0rd
10.10.0.101
srv1\administrator
gopas\wks-admin
seven1\ondrej
Pa$$w0rd
Pa$$w0rd
Pa$$w0rd
10.10.0.102
gopas\wks-admin
Pa$$w0rd
10.10.0.103
vista1\ondrej
gopas\wks-admin
Pa$$w0rd
Pa$$w0rd
10.10.0.104
xp1\ondrej
xp1\administrator
seven2\ondrej
Pa$$w0rd
Pa$$w0rd
Pa$$w0rd
DNS server
10.10.0.10
Přístup
Domain Admins
SRV1\Administrators
XP1\Administrators
Vista1\Administrators
Seven1\Administrators
Group Policy Creators Owners
link GPO
Domain Users
Domain Users
DHCP server
10.10.0.10
Námi používané protokoly:
Protokol
PING
SMB
HTTP
HTTPS
RDP
LDAP
DNS
DHCP
RPC/DCOM (WMI)
Strana: 2
Protokol
ICMP, IP
TCP, IP
TCP, IP
TCP, IP
TCP, IP
TCP, IP
UDP, IP
UDP, IP
TCP, IP
Port
445
80
443
3389
386
53
67
135, random >1024
Hands-on-Lab: User Interface Features
Windows 7 nebo 6.1?
a) přihlaste se na Seven1 jako .\ondrej
b) otevřete nabídku start, do vyhledávacího políčka zadejte winver a program spusťte
- dozvíte se, že Windows 7 je vlastně Windows NT 6.1 :-)
- Windows Vista je verze 6.0 a Windows XP 5.1
Průzkum uživatelského rozhraní
a) přihlaste se na Seven1 jako .\ondrej
-
tím jste se přihlásili jako místní uživatel Ondrej. Výhoda je, že nemusíte do loginu zadávat
jméno počítače. Takto to funguje i na Vista.
-
prohlédněte si zběžně tento Windows Classic skin (není výchozí)
b) klikněte pravým tlačítkem na ploše a vyberte Personalize
c) sjeďte v seznamu témat dolů do oblasti Basic and High Contrast Themes a vyberte kliknutím
Windows 7 Basic
-
všimněte si, že se vám skin okamžitě změní jako náhled
-
všimněte si vpravo dole, že nemáte ve výchozím stavu zapnut Screen Saver
-
to je zajímavé, protože na Windows XP je automaticky zapnut a chráněn heslem, na
Windows Vista je zapnut, ale bez ochrany a na Windows 7 není zapnut vůbec :-)
d) nastavte Desktop Background na výběr Solid Colors a vyberte si barvu, která se vám líbí
-
zobrazení této položky je přibližně 4x rychlejší než ve Windows Vista
e) běžte zpět do okna Personalize
f)
vlevo nahoře vyberte Change desktop icons a vypněte zobrazení Recycle Binu na ploše
-
to na Windows XP nešlo, musel se na to použít speciální nástroj TweakUI
-
můžete to vyzkoušet na XP1
g) přihlaste se na XP1
h) pravým tlačítkem na ploše Properties – Desktop – Customize Desktop a všimněte si, že zde
není možnost vypnout koš. Spusťte D:\TweakUI.exe, položka Desktop – Recycle Bin.
i)
zpět na Seven1
j)
přepněte uživatele pomocí volby Start Menu – Switch User na uživatele gopas\kamil
-
počítač je v doméně, přepínání uživatelů na Windows XP v doméně nefungovalo. Klidně
se na to podívejte na XP1. V nabídce Start je tam jen Log off.
k) zmáčkněte logo-key + Pause
-
zobrazí se vám System Properties počítače
-
nahoře si všimněte, že máte verzi Ultimate
Strana: 1
l)
-
všimněte si, že systém je 32-bitový
-
všimněte si, že počítač je členem domény gopas.virtual
-
nezavírejte okno
stiskněte logo-key
-
zobrazí se vám nabídka Start
-
konečně to vyhledávání nejde vůbec vypnout!
m) do vyhledávacího políčka napište a spusťte postupně Notep, Ca
-
vyhledá se vám Notepad a Calculator
n) stiskněte logo-key + D
-
všechny aplikace se vám minimalizují a při dalším stisku zase obnoví, to jede i na
Windows XP
o) úplně vpravo dole vedle hodin je takový malý panýlek Aero Peek, tak ho stiskněte
-
funguje to stejně jako předchozí klávesová zkratka
p) stiskněte logon-key + L
-
tohle zamyká plochu
q) ostatní klávesové zkratky zjistíte jednoduše. Stiskněte logo-key, pomocí nabídky start
vyhledejte help a otevřete Help and Support. Do vyhledávání zadejte keyboard shortcuts,
klikněte na stejně pojmenované téma a v něm si najděte Windows logo key keyboard
shortcuts.
Práce s okny
a) znovu se přihlaste na Seven1 jako uživatel Kamil
b) vlevo dole na liště programů je ikonka Windows Explorer (když chvilku počkáte s kurzorem
myši, řekne vám to která)
c) spusťte program Windows Explorer
-
ikonka zůstane na liště jen jedna, i když se v tomto případě jednalo o program na panelu
Quick Launch
d) poklepávejte několikrát na stejnou ikonku
-
program se pouze minimalizuje a zase obnovuje
e) stiskněte Shift a znovu klikněte na stejnou ikonku
f)
spustí se vám další instance programu
na ikonce Notepad klikněte pravým tlačítkem a vyberte Pin this program to taskbar
-
Strana: 2
všimněte si i ostatních možností, které máte
-
tohle na Windows Vista nešlo. Pokud jste chtěli program připíchnout k nabídce Start,
museli jste nejprve najít zástupce
g) ukončete program Notepad a všimněte si, že vám ikonka na panelu zůstala a dá se znovu
použít stejně jako v předchozím případě Windows Explorer
h) spusťte Internet Explorer a Notepad
i)
chyťte myší okno Internet Explorer a přetáhněte ho úplně doleva – vytáhněte myš úplně pryč
vlevo z obrazovky a pusťte levé tlačítko myši
-
j)
program se vám roztáhne na výšku ale jen na polovinu obrazovky vodorovně
přepněte se do aplikace Notepad a stiskněte logo-key + šipka-do-prava
-
šipky vlevo a vpravo dělají to stjené, jako přetahování okna myší
k) zkuste ještě stiknout dvakrát kombinaci logo-key + šipka-dolů
l)
může zkusit i logon-key + šipka-nahoru
spusťte si ještě další okna, ať jich máte více na obrazovce
m) chyťte okno aplikace Notepad za horní okraj a zatřepejte jím - Aero Shake
-
ostatní okna by se měla minimalizovat. Stejně byste to mohli udělat pomocí logo-key +
home.
n) až se nabažíte okeních oparací, otevřete nabídku Start a do vyhledávání zadejte cmd
o) na nalezeném programu cmd klikněte pravým tlačítkem myši a všimněte si, že nabídka
obsahuje Run as administrator
-
to je stejné jako ve Windows Vista
-
program nespouštějte, nechte si jen otevřenu onu nabídku s nalezeným cmd
p) za současného stisku Shift znovu klikněte na cmd pravým tlačítkem myši
-
tentokrát byste již měli vidět i volbu Run as different user, což ve Windows Vista nebylo
q) otevřete nabídku Start a do vyhledávání zadejte co ma
r) na nalezeném programu Computer Management za současného stisku Ctrl+Shift program
spusťte
-
systém spouští program s právy administrátora a zeptá se vás na jeho login a heslo
-
akci klidně zrušte
Blbůstky (Gadgets)
a) minimalizujte všechna okna pomocí Aero Peek vedle hodin
b) na ploše klikněte pravým tlačítkem a vyberte Gadgets
c) z výběru si přidejte Calendar, Clock a CPU Meter
Strana: 3
-
všimněte si, že panel Side Bar z Windows Vista byl definitivně zlikvidován a blbůstky
prostě visí na obrazovce
d) najeďte na jednu s blbůstek a všimněte si jejího malého systémového menu vpravo
-
má položky Close, Larger Size, nebo Options a můžete ji pomocí toho i přesouvat
-
Calendar a Clock mají toto menu jiné!
e) klikněte pravým tlačítkem na blbůstku a vyberte Always on top
f)
maximalizujte okno aplikace Notepad a všimněte si, jak se blbůstky chovají
Nabídka start
a) stiskněte klávesu logo-key
b) do vyhledávacího boxu zadejte re
-
všimněte si, že výsledky hledání jsou setříděny podle kategorií Programs, Control Panel
apod. Porovnejte to s chováním na Vista1, kde k třídění nedocházelo a bylo to poněkud
nepřehlednější. Navíc Windows Vista neuměly vyhledávat v Control Panel apletech
(všimněte si Region and Language na Seven1 a hledejte Regional Settings na Vista1)
c) klikněte pravým tlačítkem na Start Menu – Properties
d) na záložce Taskbar nastavte Taskbar location on screen na Left a aplikujte tlačítkem Apply
e) vraťte nastavení panelu na Bottom a přepněte Taskbar buttons na hodnotu Never Combine
f)
zobrazí se vám dole v panelu popisky oken
stále na záložce Taskbar stiskněte tlačítko Notification Area a pro ikonku Volume vyberte
Hide icon and notification
-
každá jednotlivá ikonka se dá schovat úplně, nebo jen částečně
Task Manager a regionální nastavení
a) pomocí klávesy logo-key otevřete nabídku Start a zadejte re
b) spusťte Region and Language panel
-
ne že by to bylo nějak důležité, ale zkusíme zjistit, co to je za proces a co ho startuje
c) stiskněte Ctrl-Shift-ESC spusťte Task Manager
d) na záložce Applications klikněte pravým tlačítkem na Region and Language – Go to Process
-
tohle vás přepne na záložku Processes a vybere vám to správný proces – rundll.exe
-
nevidíme ale jeho startovací cestu
e) v menu View – Select columns vyberte Command Line a podívejte se, že u příslušného
procesu je skutečně celá spouštěcí cesta končící INTL.CPL. Proces ukončete tlačítkem End
Process
Strana: 4
f)
jen pro zajímavost ještě vyzkoušíme zjistit, které služby běží v kterém procesu
v aplikaci Task Manager na záložce Processes si vyberte nějaký proces SVCHOST.EXE a
pravým tlačítkem klikněte Properties – Go to Services
-
zobrazí se vám seznam služeb běžících v daném procesu
-
a jen pro pobavení ještě ukončíme proces EXPLORER.EXE a zase ho spustíme
g) na záložce Processes pomocí tlačítka End Process ukončete EXPLORER.EXE
-
ztratí se vám panel Start a ikonky na ploše :-)
-
ale nic se neděje, aplikace jede beze změny, můžete je i minimalizovat
h) znovu spusťte process EXPLORER pomocí menu File – New Task (Run)
-
uf, je to zachráněno :-)
i)
zkuste spustit intl.cpl přímo z nabídky Start
j)
na záložce Administrative stiskněte tlačítko Copy settings, zadejte login wks-admin
-
všimněte si, že se přepnete na chráněnou obrazovku, kde jste vyzváni k zadání hesla.
Žádný trojan po vás nemůže náhodně požadovat heslo a tvářit se jako operační systém
k) zatrhněte zaškrtávátka Welcome screen a New user accounts a volbu potvrďte
-
zkopírují se vám tato regionální nastavení do výchozího účtu i přihlašovací systémové
obrazovky. Je to pohodlnější, než na Windows XP kopírovat celé profily. Na Windows
Vista to bylo podobně, jen jste neviděli co je konkrétně kde nastaveno (můžete se
podívat na stejnou tabulku ve Vista1).
Uživatelské účty a User Account Control
a) přepněte uživatele a přihlaste se jako wks-admin
-
tento doménový uživatel je členem lokální skupiny Administrators
b) do nabídky Start zadejte us a spusťte konzoli User Accounts
-
všimněte si, že u tlačítka Change User Account Control Settings je štítek značící potřebu
pracovat jako administrátor
c) stiskněte tlačítko Change User Account Control Settings
-
na nic se vás to neptalo, vy totiž jste již administrátoři
-
Windows Vista by se vás zeptala. Můžete to ověřit na Vista1
-
to je způsobeno právě zobrazeným nastavením říkajícím Notify me only when programs
make changes to my computer. Tato volba se neptá, pokud používáte ovládací panely a
nástroje digitálně podepsané firmou Microsoft.
Strana: 5
-
úplně horní volba Always Notify je stejné chování jako na Windows Vista při zapnutém
UAC (User Account Control)
-
úplně dolní volba Never Notify je rovna úplně vypnutému UAC, stejně jako na Windows
Vista.
d) přepněte volbu o jednu možnost níže na Do not dim desktop
-
sice se vás to ptát bude, ale nebude se přitom přepínat na chráněnou obrazovku. Je to
méně bezpečné, ale za to rychlejší. Nějaký trojan by vám mohl občas zobrazit tabulku na
zadání hesla, aniž byste to poznali. Ale zase je to opravdu svižnější.
e) přepněte se na uživatele gopas\kamil
f)
spusťte z nabídky Start program ncpa.cpl
-
blesková zkratka na síťová připojení :-)
g) pravým tlačítkem vyberte LAN1 – Properties
-
všimněte si, že se vás to sice ptá na heslo, ale bez přepnutí na chráněnou obrazovku, tedy
jinak než tomu bylo dříve
Aplikace
a) přihlaste se na Seven1 jako gopas\kamil
b) otevřete nabídku Start, zadejte paint a program spusťte
c) prohlédněte si záložky Windows Ribbon ve stylu Office 2007 a něco načmárejte
d) obrázek uložte pomocí menu Save as jako BPM Picture do Libraries – Pictures
-
co to je Libraries se dozvíte později, nebojte :-)
e) zpátky v aplikaci Paint se podívejte nahoru na levý okraj. Je tam ikonka diskety a od ní vpravo
je malá šipečka. Klikněte na ni a přidejte si ikonku Open a Print
f)
jen pro zajímavost, panel jde prostě upravovat
stiskněte Ctrl+F1 a uvědomte si, jak se potom asi pracuje s panelem záložek
g) otevřete nabídku Start, zadejte cal a program spusťte
h) v programu Calculator, pomocí menu View změňte jeho zobrazení postupně na Scientific,
Programmer a Statistics
-
v Microsoftu existuje speciální Windows Calculator team. Zajímalo by mě, co dělali celé
ty roky až do Windows 7. Zřejmě si jich nikdo nevšiml, až teď :-)
i)
do zobrazení Programmer se pokuste zadat desetinné číslo
-
Strana: 6
to by nemělo jít
j)
při Scientific zobrazení zkuste v menu View zapnout History a Unit Conversion a podívejte
se, co to dělá
k) ještě jednou při Scientific zobrazení zkuste v menu View vybrat Date Calculation a
vypočítejte si svoje stáří ve dnech
l)
otevřete nabídku Start, zadejte wordp a program spusťte
m) ujistěte se, že i WordPad má panel záložek
-
skvělá nová fíčura, na které musel WordPad team pracovat roky!
n) do menu Start zadejte stic a spusťte si aplikaci Sticky Notes
o) aplikaci Sticky Notes si připíchněte dolů do panelu a vyzkoušejte si uložit nějakou poznámku
a pomocí ikonky + si otevřete poznámku další
p) zkuste najít v nabídce start Windows Mail
-
nemělo by se vám to podařit
-
tato aplikace byla k dispozici jen na Windows Vista, jako nástupce Outlook Express
-
ve Windows 7 si můžete z Microsoft Update stáhnout Windows Life Essentials což je
náhrada původního dodávaného software
q) otevřete průzkumníka pomocí logo-key + E a podívejte se do adresáře E:\movie. Uvidíte
rovnou náhled videa ve formátu .MOV. Můžete ho i přehrát pomocí Windows Media Player
-
toto dříve nešlo. Už chybí jen prohlížeč .PDF :-)
Instalovatelné součásti
-
Windows 7 výrazně rozšířila množství věcí, které se dají nainstalovat nebo odinstalovat
a) pomocí nabídky Start vyhledejte fea a spusťte konzoli Turn Windows Features on or off
b) všimněte si, že lze odebrat Internet Explorer 8 i všechny hry jednotlivě
c) všimněte si také, že lze odebrat Media Features – Windows Media Player, Windows Gadget
Platform
-
ve všech případech se jedná o výsledek tlaků konkurence a Evropské Komise proti tzv.
monopolnímu chování
d) dále se podívejte, že Windows 7 má nainstalován novější vyhledávací motor Windows
Search, je ale možné přidat si i starší Indexing Service – detaily viz. dále
-
Windows Search je ke stažení i pro Windows XP jako volitelný update
e) nakonec se ještě ujistěte, že máte nainstalovány
XPS Services
XPS Viewer
Windoze TIFF iFilter
Strana: 7
-
Windows TIFF iFilter a předchozí Windows Search použijeme za chviličku při vyhledávání
stejně jako XPS iFilter dodaný při instalaci aplikace XPS Viewer
-
XPS Services a XPS Viewer umožňují tisknout a prohlížet dokumenty ve formátu XPS, což
je standardní, otevřený formát dokumentů podobně jako .PDF (tento je ale založen na
XML)
-
bez ohledu na to, jestli jste museli cokoliv přidat, nebude na to potřebovat (už od
Windows Vista) instalační medium a většinou ani restart
Libraries na Vista1 a Seven1
f)
přepněte se na počítač Vista1 jako uživatel gopas\kamil
g) v nabídce start klikněte na položku Pictures
h) v průzkumníkovi pravým tlačítkem New – Bitmap Image, soubor si pojmenujte jak chcete a
upravte ho v aplikaci Paint
i)
stiskněte současně klávesy logo-key + E
-
j)
spustí se vám průzkumník
najděte si složku C:\Users\Kamil\Pictures a přesvědčte se, že obsahuje váš obrázek
-
váš obrázek je v tomto případě ve vašem soukromém profilu
-
žádný jiný uživatel se na něho nepodívá
-
ke sdílení souborů slouží složka Public, do které má přístup každý uživatel
k) v průzkumníkovi v levém panelu si najděte složku Public – Public Pictures, vytvořte zde nový
obrázek a ověřte, že se nachází na disku v cestě C:\Users\Public\Public Pictures
l)
na Windows Vista se vám prostě musí chtít něco ukládat do veřejné složky
přepněte se zpět na počítač Seven1 na uživatele gopas\kamil
m) v předchozím cvičení jste uložili obrázek z aplikace Paint do Libraries – Pictures
-
teď prozkoumáme, co to znamená
-
Library je jednoduše pohled do více složek současně
n) klikněte na tlačítko Start – Pictures
-
otevře se vám okno průzkumníka a měli byste vidět náhled vašeho obrázku
-
vlevo je vybráno Libraries – Pictures, tedy nikoliv My Pictures jako dříve
o) v levém panelu je vybráno Libraries – Pictures, tuto položku ještě dále rozklikněte
-
zjistíte, že sdružuje zobrazení obsahu dvou složek – vašich vlastních My Pictures a Public
Pictures
p) podívejte se na obsah My Pictures i Public Pictures
Strana: 8
-
váš obrázek by měl být ve vašich osobních obrázcích, ale vidíte obsah i Public Pictures
q) v levém panelu klikněte pravým tlačítkem na Libraries – Pictures – Properties
-
všimněte si dvou základních parametrů
-
Set save location pomocí kterého se nastaví výchozí ukládací složka
-
Include a folder kde můžete přidat jednoduše další podsložku do zobrazení
r) pomocí tlačítka Include a folder přidejte složku C:\Windows a vše potvrďte
s) vpravo nahoře rozklikněte odkaz Arrange by a nastavte ho na Month
t)
-
podívejte se, jak pěkně vám průzkumník umí obrázky seskupit podle měsíců
-
v levém stromě se stále můžete dostat do každé z jednotlivých složek
pokuste se do knihovny obrázků přidat ještě jednu složku – E:\Photo
-
pokud by se jednalo o USB disk, nemělo by se vám to povést, disk E je naformátován na
FAT. V tomhle případě je to ale pevný disk a připojit se to podaří.
u) vyzkoušejte ještě pravým tlačítkem na nějakém obrázku Rotate Clockwise
-
to je novinka již ve Windows Vista
Vyhledávání a indexování
-
už Windowous Vista přišla s novou indexovací (vyhledávací) službou Windows Search. Ta
nahradila dřívější jednodušší Indexing Service dodávaný s Windows XP a staršími
systémy.
-
pro Windows expí a Windows 2003 se nová služba dá stáhnout jako volitelný update. To
se projeví ikonkou lupy u hodin a případně vyhledávacím panelem vedle panelu jazyků –
určitě jste je už někdy viděli.
-
naopak Windows Vista a Windows 7 obsahují volitelnou feature Indexing Service. To
jste si mohli všimnout v předchozím cvičení.
-
Windows Search je lepší v tom, že je rozšiřitelný o tzv. iFilter. Jedná se o knihovnu,
pomocí které indexuje texty obsažené v ne-textových souborech. V našem cvičení uvidíte
v akci iFilter pro .PDF, .XPS a .TIF soubory. Samozřejmě je k dispozici iFilter pro formáty
Office 2003 i Office 2007. Tyto knihovny se většinou instalují s odpovídající aplikací,
někdy jsou ke stažení i samostatně.
b) pomocí nabídky Start vyhledejte services a spusťte si konzoli Services
c) v konzoli Services ověřte, že běží služba Windows Search
Strana: 9
služba, která provádí na pozadí indexování souborů
-
pokud byste měli nainstalován Indexing Service, našli byste zde i tuto službu
d) všimněte si, že služba se startuje jako Automatic (Delayed Load)
-
tohle je novinka na Windows Vista. Nedůležité služby se startují jako poslední,
asynchronně a s nízkou prioritou až v době, kdy už systém nějakou dobou pracuje
e) nainstalujte Adobe Reader z D:\adobe-reader-90.exe
f)
potřebujeme ho kvůli instalaci iFiltru pro indexování PDF souborů
pomocí nabídky Start vyhledejte slovo inde a spusťte Indexing Options
g) v ovládacím panelu Indexing Options pod listem stiskněte tlačítko Modify a přidejte
E:\Economy
h) stiskněte dále tlačítko Advanced a zadejte login a heslo pro gopas\wks-admin
i)
na záložce File Types si najděte příponu .PDF a ověřte, že je nastaveno Index Properties and
File Contents
j)
to stejné ověřte pro .XPS, .TIF a .TIFF příponu
-
před malou chvilkou jste se ujišťovali, že máte nainstalované příslušné systémové
komponenty, se kterými je iFilter doinstalován
k) zkuste přepnout například příponu .BIN na Properties and File Contents a zkontrolujte
výsledek ve sloupečku Filter Description
l)
pro ni neexistuje iFilter, takže jediné co můžete zkusit indexovat je prostý text
pouze pro zájemce prozkoumáme, kde je iFilter v registrech registrován. Otevřete si REGEDIT
– HKEY_CLASSES_ROOT\CLSID\{56594A6D...
-
v tomto klíči je nápis PDF Persistand Handler pro registrovanou příponu .PDF a pod ním
najdete hodnotu {89BCB740..., která značí iFilter. V tomto podklíči je odkaz na samotný
iFilter s číslem {E8978DA6...
-
najděte si CLSID {E8978DA6. a v jeho podklíči InprocServer32 je odkaz na .DLL daného
iFiltru nainstalovaného Acrobat Readerem
-
v tomto případě AcroRdIF.dll
m) můžete ještě zkusit v klíči HKEY_CLASSER_ROOT jednoduše vyhledat text XML Paper
Specification Filter a opět najdete jeho .DLL knihovnu
n) spusťte si program Paint a do obrázku napište (font Calibri) text bmw jaguar audi mercedes
superb. Pomocí fontu Bradley Hand napište ještě chicago london paris
-
OCR obsažené v TIFF iFilter tohle už nepřečte
o) obrázek uložte jako auta.TIF do Documents
Strana: 10
p) spusťte si program WordPad, napište stejný seznam aut a nějak ho naformátujte. Soubor
uložte jako seznam-aut.RTF do Documents. Soubor také vytiskněte pomocí tiskárny
Microsoft XPS Document Writer do souboru auta-tisk.XPS.
q) vraťte se zpátky do Indexing Options a všimněte si nahoře stavu indexování. Buď je tam
napsáno Indexing complete, nebo pokud indexování stále ještě probíhá, to píše Indexing
speed is reduced due to user activity
-
jen pokud byste zamknuli desktop, nehýbali s myší a nepsali nic na klávesnici, indexovací
služba by použila plný výkon procesoru
-
můžete si třeba najít v Task Manageru na záložce Services službu Windows Search
(setřiďte si to podle sloupečku Description) a pravým tlačítkem Go to Process se
přepnout na její proces a podívat se, kolik to žere procesoru
r) pro hledání stiskněte klávesy logo-key + F
s) vpravo nahoře do vyhledávacího boxu napište demand a podívejte se, co jste vyhledali
-
pokud se nevyhledalo moc souborů a nejsou zobrazeny výsledky z textu, musíte ještě
chvíli počkat, než se dokončí indexování nových .PDF souborů
t)
zkuste ještě jednou kliknout do vyhledávacího boxu a upřesněte například Size vyhledaných
souborů – size:>940kb
u) dole pod výsledky v oblasti Search again in si klepněte na Custom Scope a podívejte se, jak
můžete změnit místo vyhledávání
v) klikněte někam na horní okraj vyhledávacího okna (mimo editační políčka) a stiskněte Alt
-
zobrazí se vám menu
w) v menu Tools – Folder Options – záložka Search se podívejte, jaké další možnosti
vyhledávání máte a vyzkoušejte vypnout a zapnout Find partial matches a současně hledat
demand monop
-
při zapnutém částečném vyhledávání vám to najde dokumenty obsahující slova
monopoly, monopol apod.
x) zpět v okně Search stiskněte Ctrl + E, to vás přepne do vyhledávacího boxu, a zkuste ještě
vyhledat jedno z aut – bmw, mercedes, superb nebo jaguar. Ověřte, že byly nalezeny
všechny tři soubory, .XPS, .RTF i obrázek .TIF.
Změna obrázku na přihlašovací obrazovce
-
Strana: 11
Windošky Sedmičky umí změnit obrázek na přihlašovací obrazovce
a) spusťte REGEDIT jako administrátor wks-admin a rozbalte
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\Lo
gonUI\Background
b) nastavte OEMBackground = DWORD = 1
c) překopírujte soubor E:\Photo\sykora-konadra.jpg do adresáře
C:\Windows\System32\oobe\info\backgrounds a přejmenujte ho na
BackgroundDefault.jpg
-
pozor! nevidíte přípony souborů!
-
obrázek má limit 250 kB, ale naše obrázky se sem všechny vlezou, kromě ledňáčka :-)
d) odhlaste se, nebo dejte alespoň jen přepnout uživatele
Strana: 12
Hands-on-Lab: Management Options
Naplánované úlohy
-
Windows Vista přišla s množstvím nových naplánovaných úloh.
a) přihlaste se na Seven1 jako gopas\wks-admin
b) pomocí nabídky Start spusťte konzoli Task Scheduler s právy administrátora a rozbalte Task
Scheduler Library – Microsoft - Windows
c) rozbalte složku Defrag a podívejte se, kdy se spouští defragmentace
d) rozbalte složku CertificateServicesClient, jedná se o úlohy, které provádí Autoenrollment
-
tedy automatické vydávání certifikátů z Enterprise CA
-
na Windows XP se tato operace spouštěla v procesu USERINIT přesně 1 minutu po
aplikaci Group Policy a bylo ji možno vynutit příkazem CERTUTIL -pulse
-
na Windows Vista se spouští se při startu počítače, přihlášení a potom každých 8 hodin
-
na Windows 7 se podívejte, že se ještě spouští po každé úspěšné aplikaci Group Policy.
To se pozná podle události číslo 1502 od zdroje Microsoft-Group-Policy
e) spusťte prohlížeč uživatelských certifikátů certmgr.msc, rozbalte Personal – Certificates a
vymažte certifikát wks-admin.
f)
běžte zpět do konzole Task Scheduler a spusťte ručně úlohu CertificateServicesClient –
UserTask. Zkontrolujte, že se v uživatelově uložišti znovu objevil certifikát wks-admin
-
na Windows Vista byste museli počkat ještě 1 minutu od spuštění dané úlohy
g) rozbalte ještě složku SystemRestore a Registry. Jsou zde úlohy spouštěné automaticky každý
den o půlnoci. System Restore (System Protection) provádí zálohování celého počítače a
Registry zálohuje jen registrové soubory.
h) spusťte příkazovou řádku Command Line s právy administrátora a vypište si obsah záložního
registrového adresáře DIR C:\Windows\System32\Config\RegBack a všiměte si data a času
souborů
-
v adresáři C:\Windows\System32\Config jsou aktuální systémové registry
-
v podadresáři RegBack je právě záloha vytvářená touto naplánovanou úlohou
RegIdleBackup
i)
vraťte se do konzole Task Scheduler a pokuste se spustit úlohu Registry – RegIdleBackup. To
nelze, protože úloha je označena jen pro automatické spouštění. Opravte to v Properties –
záložka Settings – Allow task to be run on demand.
j)
spusťte úlohu a až doběhne, zkontrolujte znovu v příkazové řádce datum a čas souborů
v podadresáři RegBack. Musí být téměř aktuální.
k) přepněte se na Vista1 a přihlaste se jako gopas\wks-admin
Strana: 1
l) spusťte konzoli Task Scheduler s právy administrátora.
m) naleznete pouze úlohu ve složce SystemRestore, která dělá obě dvě funkce jako předchozí
dvě samostatné úlohy na Windows 7
-
rozdíl je v tom, že System Restore se dá na obou systémech vypnout pomocí konzole
System – odkaz System Protection
-
pokud si to na Windows Vista uživatel vypnul, zbytečně přicházel o zálohu registrů pro
případ havárie
-
ve Windows 7 byste museli úlohu Registry – RegIdleBackup ručně nastavit do stavu
Disabled, abyste ji zakázali
Možnosti lokální správy disků
b) stiskněte logo-key + E a v průzkumníkovi otevřete obsah disku E:
c) pravým tlačítkem na E:\hol.iso a všimněte si, že Windows 7 umí vypalovat .ISO soubory
d) do nabídky Start zadejte co ma a spusťte nalezený Computer Management
e) rozbalte větev Storage – Disk Management
f)
podívejte se, že instalace sama vytvořila 100 MB System Reserved oddíl pro zaváděcí
soubory a odkládací místo pro BitLocker
-
oddíl je Active, to znamená, že se na něm musí nacházet BOOTMGR a BOOT adresář
-
tento soubor je hledán kódem v MBR daného disku hned po příchodu řízení z BIOSu
-
oddíl nemá přiděleno písmeno disku, aby do něho uživatelé zbytečně nelezli :-)
g) pravým tlačítkem klikněte na System Reserved oddíl Change drive letter and path a nastavte
mu písmeno S:
h) v průzkumníkovi se pomocí Folder Options – Show system files podívejte, že disk S: skutečně
obsahuje soubor BOOTMGR a adresář BOOT se zaváděcími soubory operačního systému
i)
zpět v konzoli Disk Management pravým tlačítkem klikněte na disk C: - Shrink a zmenšete
oddíl o 1024 MB
-
j)
tohle je novinka už ve Windows Vista
pravým tlačítkem vlevo na Disk Management – Create VHD s následujícími parametry:
Location: C:\DATA\virtual-disk.vhd
Size: 300 MB
Type: Fixed Size
-
tímto jste vytvořili virtuální disk (otevřený standard .VHD)
-
takový disk se používá například pro Virtual PC, Virtual Server a Hyper-V
Strana: 2
- Windows Backup do takového typu souboru zálohuje – dělá image systému
-
a my ho můžeme například připojit do Windows 7 jako normální disk
-
všimli jste si instalace ovladače virtuálního disku?
k) v pravo dole v Notification Area by měla být malá šipečka a přes ni se podívejte na ikonku k
odpojení výměnného zařízení Msft Virtual Disk SCSI Disk Device
l)
pravým tlačítkem vlevo na Disk Management – Attach VHD, vyberte C:\DATA\virtualdisk.vhd
-
disk se musí inicializovat, nemůžete tedy zvolit Read Only
m) v prostřední části najděte Disk 2, který je ve stavu Not Initialized
-
to znamená, že je úplně čistý, nemá ani MBR sektor
n) pravým tlačítkem na disku Initialize Disk – MBR
o) pravým tlačítkem do volného prostoru disku New Simple Volume, jen jméno nastavte
RemovableHD a dokončete průvodce s výchozími parametry
p) znovu v pravo dole v Notification Area by měla být malá šipečka a přes ni se podívejte na
ikonku k odpojení výměnného zařízení Msft Virtual Disk SCSI Disk Device – RemovableHD
(F:)
-
narozdíl od Windows Vista a starších tato ikonka zobrazuje i jméno svazku a typ zařízení,
to je slušné vylepšení
BitLocker To Go
-
pro výměnný (virtuální .VHD) disk F:, vytvořený v předchozí části, zapneme šífrování
celého oddílu BitLocker to Go, což je novinka ve Windows 7. Můžete šifrovat buď
normálním heslem, nebo pomocí certifikátu uloženého na čipové kartě
a) pomocí vyhledávání v nabídce Start spusťte konzoli BitLocker
-
pro pevné disky není možné BitLocker zapnout, protože nemáte bezpečnostní TPM
modul a pomocí GPO není povolena jiná alternativa
b) v části BitLocker Drive Encryption – BitLocker To Go klikněte Turn On BitLocker
c) zadejte heslo Pa$$w0rd do části Use a password to unlock the drive
d) v následující obrazovce si musíte ještě uložit náhradní tzv. Recovery Key na Desktop a nechte
disk zašifrovat
-
ideálně bychom ho vytiskli a papír schovali na bezpečné místo
e) mezitím můžete prozkoumat obsah Recovery Key souboru na ploše. Obsahuje 48 číslic ve
skupinách po 6 číslicích, používá se, pokud byste zapomněli heslo
Strana: 3
f) pomocí ikony Safely Remove Hardware odpojte virtuální disk a znovu ho připojte pomocí
konzole Computer Manager - Disk Manager
-
systém se vás zeptá na heslo pro připojení tohoto disku šifrovaného BitLockerem
Offline Computer Recovery
-
vyzkoušíme co se dá s počítačem udělat pomocí instalačního DVD Windows 7
-
dostaneme se na disk počítače, bez znalosti hesla
a) přihlaste se na Seven1 jako gopas\judith
b) na ploše vytvořte textový soubor Tajnosti.txt s jednoduchým textem
c) na ploše vytvořte druhý textový soubor SuperBezpecne.txt s jednoduchým textem
d) pravým tlačítkem na soubor SuperBezpecne.txt – Properties – Security – Advanced – Edit a
zabezpečte soubor tak, že jen Judith má Full Control
e) pomocí menu virtuálního počítače CD – Capture ISO Image vložte DVD Windows 7 a počítač
nobootujte z DVD
f)
-
instalačku můžete mít nakopírovanou třeba jen na USB flash disku a nabootujete ji
-
zeptejte se lektora, jak vytvořit USB bootvací flash disk
na úvodní obrazovce klikněte jen Next
g) na další obrazovce klikněte na odkaz Repair your computer
h) v listu operačních systému vyklikněte mimo Windows 7 tak, aby nezůstalo nic označeno
i)
na následující obrazovce si všimněte, že můžete provést obnovu dřívější zálohy pomocí
System Restore
j)
spusťte Command Prompt
k) zkuste postupně zadávat příkazy C:, DIR, D:, DIR, E:, DIR atd. až najdete systémový oddíl
l)
na systémovém oddíle zadejte CD \Users\Judith\Desktop, DIR, TYPE Tajnosti.txt a podívejte
se, že vidíte na svůj původně vytvořený soubor
-
nezadávali jste žádné heslo!
m) můžete zkusit také NOTEPAD Tajnosti.txt
n) pokuste se dostat do druhého souboru TYPE Superbezpecne.txt
-
to by se nemělo podařit. Pracujete ve skutečnosti pod účtem SYSTEM, ale ten nemá
v tomto případě NTFS oprávnění přístup k souboru
-
použijeme tedy ROBOCOPY k tomu, abychom soubor vykopírovali za použití Backup
uživatelského práva bez ohledu na jeho zabezpečení
o) zadejte ROBOCOPY .\ obnova\ superbezpecne.txt /B /COPY:DAT
Strana: 4
- normálně bychom kopírovali na nějaký USB flash disk například, tady se pro soubor
jednoduše vytvoří podadresář
p) a prohlédněte si obsah souboru TYPE obnova\superbezpecne.txt
-
dále vyzkoušíme připojit náš dřívější virtuální disk (.VHD soubor)
q) zadejte DISKPART, SELECT VDISK FILE=\DATA\virtual-disk.vhd, ATTACH VDISK, ASSIGN
-
tento příkaz nám připojil virtuální disk jako další písmenko disku
-
problém je, že je zašifrován technologií BitLocker a nedostaneme se tedy k jeho obsahu!
-
stejně tak bychom se nedostali k jinému USB ani pevnému disku, pokud bychom neznali
Recovery Key
-
dále vyzkoušíme nahradit nějaký systémový soubor
r) přepněte se do CD \Windows\System32
s) vymažte originál souboru DEL utilman.exe
t)
vytvořte kopii CMD.EXE na místo původního souboru COPY cmd.exe utilman.exe
-
vyzkoušíme po restartu :-)
-
dále ještě upravíme registry mrtvého počítače
u) spusťte REGEDIT – HKEY_LOCAL_MACHINE, v jeho menu File – Load Hive a načtěte registry z
disku počítače \Windows\System32\Config\SOFTWARE jako klíč Soft
-
tímto jste načetli aktuální registry. Po poslední záloze máte ale také podadresář RegBack,
který obsahuje právě poslední zálohu registrů (například od poslední instalace)
v) v nově
otevřeném
klíči
přidejte
autostart
hodnotu
HKLM\Soft\Microsoft\Windows\CurrentVersion\Run\calc = REG_SZ = calc.exe
-
to je program, který se bude automaticky spouštět všem uživatelům po startu. Někdy se
to hodí takto zařídit, někdy jim chcete přivodit jen takové malé překvapení :-)
w) pravým tlačítkem na nahraném klíči Soft – Unload Hive a restartujte počítač do pevného
operačního systému
x) těsně před přihlášením si klikněte vlevo dole na modrou ikonku Ease of Access, spustí se vám
skutečně jednoduchý přístup do počítače. Příkazová řádka teď běží pod účtem System a
nikdo se nemusel přihlašovat – zjistíte to pomocí příkazu WHOAMI /ALL
Instalace operačního systému do VHD disku
-
není nutno dělat, jen pokud vás to zajímá
a) restartujte stroj Seven1 do Windows 7 instalačního DVD
b) proklikejte instalaci až po místo výběru cílového disku pro instalaci – Custom (Advanced)
c) stiskněte Shift + F10, spustí se vám příkazová řádka
Strana: 5
d) spusťte DISKPART z příkazové řádky a vylistujte seznam disků LIST DISK a seznam oddílů a
písmenek – to je sloupeček LTR
e) měli byste zjistit, že zřejmě DISK 2 je bez písmenka
-
to bude disk, na kterém vytvoříme prázdný oddíl a v něm jeden virtuální disk ve formě
.VHD souboru. Do něho teprve potom nainstalujeme operační systém. Na daném
počítači tak budou dva operační systémy. Jeden stávající na DISKu 0 a druhý ve .VHD
souboru na druhém disku.
f)
zadejte tedy SELECT DISK 2 a vylistujte si všechny jeho oddíly LIST PARTITION. Žádné by tam
být neměly – There are no partitions on this disk to show.
g) jeden oddíl vytvoříme přímo na fyzickém disku CREATE PARTITION PRIMARY. Můžete si ji
znovu vypsat pomocí LIST PARTITION
-
ta hvězdička v listu znamená, že oddíl je vybrán k dalším činnostem
h) přidělte jí volné písmenko ASSIGN a rovnou to naformátujte FORMAT QUICK
i)
znovu si vypište seznam písmenke disků a disků pomocí LIST VOLUME ať víte, na kterém
disku teď ten soubor budete vytvářet
j)
vytvořte na vhodném disku nový .VHD soubor a připojte ho
CREATE VDISK FILE=x:\os.vhd MAXIMUM=65535 TYPE=FIXED – místo písmene disku X:
zadejte vaše písmenko disku, kde chcete vytvořit .VHD soubor
SELECT VDISK FILE=x:\os.vhd
ATTACH VDISK
k) přepněte se zpět do instalačního programu Alt + TAB
l)
vlevo dole klikněte na odkaz Refresh
-
měli byste vidět právě připojený virtuální disk
-
jeho velikost bude něco okolo 64 GB
-
bude označen jako Unallocated Space
-
při výběru virtuálního disku si všimněte varování na spodu okna. Můžete ho ignorovat,
protože je jasné, že váš BIOS neumí bootovat z virtuálního disku. To všechno ale zařídí
normální BOOTMGR na disku skutečném.
m) jako cíl instalace vyberte právě tento disk a nechte systém nainstalovat na něj
n) instalaci přerušte, není třeba to dokončovat, už ji na nic potřebovat nebudete
Strana: 6
Instalace ovladačů zařízení z Windows Update
-
Windows 7 mají v základu vypnuto stahování ovladačů zařízení z Windows/Microsoft
Update. Je vhodné to hned po instalaci povolit. Nepomůže vám jenom jít do Device
Manageru a tam si vybrat volbu Update Driver. Musíte to nejprve povolit.
b) pomocí nabídky Start vyhledejte device a spusťte nalezenou konzoli Change device
installation settings
c) přepněte nastavení na Always install the best driver software from Windows Update
-
volba neznamená, že se úplně vždy bude instalovat přímo z Windows Update. Instalace
ovladačů vždy kontroluje verzi ovladače, kterou byste normálně viděli na záložce Driver
v konzoli Device Manager a vždy zachovává jen nejnovější ovladač.
Prohlížení seznamu nepřítomných zařízení
-
nic nového pod sluncem to není. Už do Windows XP je možné v Device Manageru vidět i
zařízení, která nejsou zrovna přítomna – tedy všechny USB flash disky, kamery, foťáky,
skenery apod., které kdysi byly na počítači přítomny. Takže jen pro zajímavost.
a) na svém železném počítači stiskněte logo-key + R a spusťte příkazovou řádku CMD
b) vytvořte proměnnou prostředí SET DEVMGR_SHOW_NONPRESENT_DEVICES=1
c) a nastartujte Device Manager pomocí devmgmt.msc
d) v menu View vyberte Hidden Devices a prohlédněte si jejich seznam
Vypnutí hibernace
-
i když váš počítač hibernaci vůbec nepoužívá a zdá se, že je vypnutá, stejně máte v rootu
systémového oddílu stále soubor HIBERFIL.SYS tak velký jako je vaše paměť RAM. Možná
zbytečně. Hibernaci je možno vypnout úplně, ale musí se to udělat z příkazové řádky.
-
v našem případě máte počítač ve virtuálním stroji, který hibernaci ani sleep nepodporuje,
takže nic neuvidíte. Ale je to užitečné do života :-)
b) spusťte příkazovou řádku CMD s právy administrátora
c) zadejte POWERCFG –H OFF
Security Center a Action Center
-
na Windows XP a Windows Vista je ovládací panel Security Center. Security Center
používá službu stejného jména ke kontrole základních bezpečnostních parametrů
počítače.
Strana: 7
- na Windows XP kontroluje přítomnost firewallu, antiviru a nastavení automatických
aktualizací – Windows Update.
-
na Windows Vista se kontroluje navíc ještě přítomnost tzv. antispyware (například
Windows Defender)
-
na Windows 7 se přidala kontrola dalších věcí jako je pravidelné zálohování, zasílání
chybových reportů do Microsoftu a nástroj se přejmenoval na Action Center
a) přihlaste se na XP1 jako gopas\wks-admin
b) přes nabídku Start otevřete Control Panel – Security Center
-
všimněte si, že Security Center je vypnut, protože počítač je členem domény
-
odkaz v levém panelu Change the way Security Center alerts me je také zakázán
a) přihlaste se na Vista1 jako gopas\wks-admin
b) přes nabídku Start otevřete Control Panel – Security – Security Center
-
všimněte si, že Security Center je vypnut, protože počítač je členem domény
c) přihlaste se na Seven1 jako gopas\wks-admin
d) vpravo dole vedle hodin klikněte levým tlačítkem na ikonku Action Center. Otevřete Action
Center konzoli. Měli byste vidět celkem čtyři zprávy o chybějícím antiviru (security),
antispyware (security), windows update (security) a zálohování (maintainance)
e) vlevo klikněte na odkaz Change Action Center Settings a vypněte všechny hlášky
f)
vraťte se zpátky do Action Center a dole v seznamu zase zapněte hlášky o Windows Backup
pomocí odkazu Turn on messages about Windows Backup
Group Policy Management a GPO Preferences
-
a)
b)
c)
d)
e)
f)
naše doména běží pouze na Windows 2008. Pokud potřebujete editovat nová nastavení
v Group Policy, musíte to dělat z počítače s Windows 7.
- novější editor na Windows 7 je schopen GPO upravit i s nejnovějšími nastaveními. Starší
editory tato nastavení prostě jen neuvidí
přihlaste se na Seven1 jako gopas\gpo-admin
spusťte konzoli Group Policy Management
rozbalte Forest – Domain – gopas.virtual – Company
pravým tlačítkem na Company – Create and Link a Group Policy Object vytvořte nový GPO
se jménem Local Administrator Password
- změníme například centrálně všechna hesla lokálních administrátorů
pravým tlačítkem na novém GPO vyberte Edit
rozbalte Computer Configuration – Preferences – Windows Settings
- Windows 7 má rovnou v instalaci přidané rozšíření Group Policy Preferences Client Side
Extension, které je nutno jinak vždy stáhnout pro Windows XP i Windows Vista
- stačí tedy pohodlně nastavit GPO a preferences se budou aplikovat bez řečí :-)
Strana: 8
g) pravým tlačítkem na Local Users and Groups – New Local User a zadejte následující
parametery:
User: Administrator (built-in)
Password: Pa$$w0rd
Strana: 9
Hands-on-Lab: Windows Firewall a Networking
Průzkum výchozího nastavení na Vista1
-
začneme nejprve s Windows Vista, abychom porozuměli rozdílům mezi všemi třemi
systémy Windows XP, Windows Vista i Windows 7.
a) přihlaste se na Vista1
b) otevřete si konzoli Windows Firewall a prozkoumejte výchozí nastavení Vista/7 firewallu
-
pozor! rozlišujte dvě různé konzole Windows Firewall a Windows Firewall with
Advanced Security
-
je zapnut
-
povoluje výjimky
-
jediná výjimka je jakýsi Core Networking, ten povoluje jedině sadu různých IPv6
protokolů, které nás nemusejí zajímat, ale stejně to pro demonstraci vypneme
c) v konzoli Windows Firewall zapněte Block all incoming connections
-
jde nám o to, vyzkoušet co se děje, pokud je firewall celý zablokovaný a jestli to něčemu
vadí
d) vyzkoušejte PING DC1
-
jméno se korektně přeloží na IP adresu (10.10.0.10), to znamená, že muselo být možno
poslat DNS dotaz a dostat na něj odpověď
-
dostali jsme také odpověď na PING, takže to znamená, že jsme museli být schopni
odeslat paket a dostat na něj odpověď, i přesto, že firewall je celý zablokovaný
-
jen si zapamatujte, že protokol PING používá k přenosu IP pakety a protokol ICMP
e) vyzkoušejte otevřít \\DC1
-
to se opět musí podařit, i přesto, že máte na Vista1 zablokovaný firewall
-
důvod je ten, že firewall funguje jako statefull-inspection-firewall
-
chová se to tak, že povoluje odeslat cokoliv a pokud na to jde zpátky odpověď, tak tu
také pustí
-
pro zajímavost, sdílené soubory se přenáší pomocí IP paketů, TCP datagramů na
portu 445 a protokolu SMB
f)
vyzkoušejte PING SRV1
-
nefunguje to, protože na SRV1 je výchozí nastavení firewallu, který je zapnut
-
jméno se korektně přeloží na IP adresu (10.10.0.11), to znamená, že muselo být možno
poslat DNS dotaz a dostat na něj odpověď
Strana: 1
PING vrací timeout, to znamá, že paket se musel ztrati někde v síti
g) zadejte ARP –A
-
najděte ve výstupu MAC adresy obou počítačů DC1 i SRV1
-
to znamená, že cílový stroj byl ochoten odpověď v obou případech na ARP dotaz a je v síti
přítomen, i když možná neodpovídá na PING
h) do prohlížeče si zadejte adresu http://srv1/web
-
měla by se vám zobrazit webová stránka ze serveru SRV1
-
což musí znamenat, že můj firewall na Vista1 pustil požadavek ven a na druhé straně ho
firewall na SRV1 pustil díky nějaké výjimce do počítače a nechal potom odejít i odpověď
-
je ale dost nepříjemné, že někdy věci nejdou otestovat pomocí PINGu. Použijeme tedy
lepší nástroj – port scan, který testuje přímo daný TCP, nebo UDP port.
i)
do virtuálního počítače si pomocí jeho menu CD připojte TOOLS.ISO
j)
do příkazové řádky zadejte D:\PORTQRY –n srv1 –e 80
-
to by se mělo podařit, protože před chvilkou jste viděli, že přístup na web server funguje.
k) můžete vyzkoušet ještě D:\PORTQRY –n dc1 –e 445
l)
to jsou sdílené soubory z minulého případu
vyzkoušejte také D:\PORTQRY –n dc1 –e 53 –p UDP
-
to je DNS překlad nutný k přeložení jmen DC1 a SRV1 na jejich IP adresy, používá
protokol UDP
m) vyzkoušejte také D:\PORTQRY –n dc1 –e 3389
-
to je protokol RDP – vzdálená plocha, terminálové služby. Není na firewallu povolen a
proto vám port scan vrací nikoliv hodnotu LISTENING, ale FILTERED. Všimněte si, že to
také chvilku timoutovalo.
-
pokud nefunguje PORTQRY na TCP spojení, není vůbec možné se tam připojit. Je to
vynikající testovací utilitka, bez které se neobejdete
n) vyzkoušejte také D:\PORTQRY –n dc1 –e 389
-
to je protokol LDAP, tedy přístup do Active Directory, který musí být povolen, protože
DC1 je řadičem domény
-
PORTQRY není zase až tak blbý jako například TELNET, protože si dokonce umí říct
(anonymně) o nějaké základní informace, které každé DC zveřejňuje pro kohokoliv
o) vyzkoušejte také D:\PORTQRY –n dc1 –e 53 –p UDP
-
to je DNS překlad nutný k přeložení jmen DC1 a SRV1 na jejich IP adresy, používá
protokol UDP
p) závěr z těchto pokusů je tento:
Strana: 2
-
firewall neblokuje odchozí pakety
-
klientské systémy vždycky všechny doménové i síťové služby požadují samy. Nikdy
většinou není potřeba, aby se třeba DC připojovalo samo na stanici. Například Group
Policy si stanice stahuje sama, připojení do domény je vyžádáno ze stanice apod. Přístup
na web i přes proxy je vždy vyžádán ze stanice, stejně jako FTP (v pasivním režimu).
-
jiný příklad je ICQ, Messenger i Skype. Sami komunikaci začínají a kromě přenosu
souborů není potřeba, aby se na stanici nikdo připojoval z venku.
-
znamená to tedy, že klidně můžete mít firewall na stanici ve stavu On/Block all incoming
connections a všechno vám nejspíš pojede bez problémů. Já to tak mám roky a nikdy
jsem žádný problém neměl.
Pokusy s PORTQRY a DC1
a) přihlast se na DC1
b) vypněte Windows Firewall
c) vraťte se zpátky na Vista1
d) vyzkoušejte ještě D:\PORTQRY –n dc1 –e 8000
-
tenhle port na DC1 neposlouchá
-
dozvíte se ale, že port je NOT LISTENING, což znamená, že firewall vás propustil až na
cílový počítač, který vám sám říká, že na tom portu nic neposlouchá
e) vyzkoušejte naposledy ještě D:\PORTQRY –n dc1 –e 67 –p UDP
-
tento poslední port je DHCP Server, který ve skutečnosti na DC1 běží
-
dozvíte se ale jen LISTENING or FILTERED
-
to je tím, že pracuje na UDP protokolu. TCP protokol má povinnou výměnu 3 paketů na
úvod, než začne komunikovat, takže pokud port poslouchá, prostě vám to musí
odpovědět
-
jenže v případě UDP nic takového není povinné. DNS server (taky UDP) nám sice
odpověděl, protože jsme mu poslali nějaký nesmyslný dotaz. Zatímco DHCP prostě
nesmysly ignoruje, pokud to nejsou platné DHCP dotazy
f)
jen pro zajímavost, PORTQRY nenabízí parametr –T tak jako PING. Pokud chcete pustit
PORTQRY do nekonečna, musíte použít příkaz FOR takto:
-
FOR /L %a IN (1,1,10000) DO (portqry –n DC1 –e 445)
-
ve skutečnosti to neběží do nekonečna, ale jen 10 000x
-
hezčí výstup byste dostali takto
Strana: 3
-
FOR /L %a IN (1,1,10000) DO (portqry –n DC1 –e 445 | findstr “tcp port”)
Průzkum výchozího nastavení na SRV1
a) přihlast se na SRV1
-
počítač SRV1 je Windows Server 2008, takže jeho firewall je stejný jako na Vista
b) otevřete si konzoli Windows Firewall a prozkoumejte výchozí nastavení Vista firewallu
-
je zapnut
-
povoluje výjimky
-
jednou výjimkou je Core Networking, ten povoluje jedině sadu různých IPv6 protokolů,
které nás nemusejí zajímat
-
viděli jste před chvilkou, že to nepomohlo a PING stejně neprošel
-
také tam vidíte úplně naspodu, že je povolen přístup na HTTP. To vzniklo automaticky
tím, že jsme si nainstalovali IIS. Na Windows 2008 si to každá služba otevře sama. Na
Windows 2003 jste to museli udělat pomocí Security Configuration Wizard, nebo ručně.
Proto tam taky nebyl Windows Firewall zapnut ve výchozí konfiguraci.
c) vyzkoušejte PING DC1
-
povede se to, protože opět firewall na SRV1 neblokuje odchozí komunikaci
d) vyzkoušejte PING Seven1
-
víme, že se to nemá povést, protože na Vista1 je kompletně zablokovaný firewall
e) zadejte ARP –A
-
najděte ve výstupu MAC adresy obou počítačů DC1 i Vista1
-
to znamená, že cílový stroj Vista1 byl ochoten odpověď na ARP dotaz a je v síti přítomen,
i když možná neodpovídá na PING
-
to také znamená, že i když jsem si před chvilkou na Vista1 úplně zablokoval firewall, něco
přece jen jde zjistit – tedy jestli v síti jsme, nebo nejsme
Profily
a) přepněte se na Vista1
b) otevřete si konzoli Windows Firewall
c) všimněte si položky Network Location: Domain Network
-
váš firewall si myslí, že jste připojeni do doménové sítě a podle toho taky aplikuje
pravidla
d) v konzoli firewallu přidejte nové pravidlo/výjimku pro FTP, TCP 21
Strana: 4
prostě jen si děláte nějakou konfiguraci firewallu v době, kdy jste na doménové síti
-
už byste měli vědět, že tohle není kvůli tomu, aby se Windows 7 dostala někam do sítě na
FTP. Tohle je kvůli tomu, aby se někdo ze sítě mohl dostat na Vista na FTP server, který
byste si tam třeba nainstalovali
e) ověřte, že konfigurace skutečně je následující
f)
-
firewall zapnut
-
žádné výjimky nepovoleny
-
existuje výjimka pro FTP
běžte zpátky na DC1
g) v okně Virtual PC v menu Edit/Settings přepněte všechny síťovky na Not Connected
-
DC je teď nedostupné
-
simulujeme přenos Vista1 počítače mimo firmu
h) vraťte se na Vista1
i)
pomocí konzole NCPA.CPL zakažte a znovu povolte síťovku LAN
-
j)
jen to potřebujeme osvěžit, pokud byste si vytáhli kabel, bylo by to stejné
běžte zpátky do konzole Windows Firewall
k) a všimněte si, že teď je tam Network Location: Public Network
l)
počítač nebyl schopen pingnout DCčko, takže se automaticky přepnul do jiného profilu
prozkoumejte konzoli Windows Firewall a ověřte, že se konfigurace změnila
-
firewall je zapnut
-
jsou povoleny výjimky
-
chybí naše výjimka pro FTP
-
tohle je tím, že firewall má více různých konfigurací, které jsou závislé na typu sítě, do
které je právě připojen. Jen ta konzole zobrazuje jen aktuální profil.
m) v konzoli Windows Firewall znovu přidejte výjimku pro FTP, TCP 21
n) vpravo dole u hodin klikněte na ikonku sítě a otevřete si Network and Sharing Center
-
v něm byste měli vidět Unidentified Network (Public network)
-
tak to zkusíme změnit na Private
o) klikněte u sítě na odkaz Public network a řekněte mu, že jste zaručeně na Private (Work) síti
-
typy sítí jsou jen dvě Public a Private, jen kvůli uživatelům se zobrazuje volba Home
(Private), Work (Private) a Public. Home a Work jsou úplně stejné :-)
p) zpátky ve Windows Firewall znovu ověřte, že se konfigurace přepnula na Private profil
-
máte najednou zase úplně jiná pravidla (například Remote Assistance)
-
ale co když budete mít více síťovek?
Strana: 5
q) otevřete si konzoli NCPA.CPL a povolte síťovku Classroom
r) pokud na vás vyskočí okno s výběrem typu, zadejte Public
-
v tuto chvíli máte původní síťovku LAN nastavenou na Private
-
a novou síťovku Classroom nastavenou na Public
s) ověřte v konzoli Network and Sharing Center, že to je skutečně pravda
t)
no a co se asi tak stalo s firewallem?
v konzoli Windows Firewall prozkoumejte a ověřte, že jsme zpátky na Network Location:
Public Network
-
funguje to tak, že firewall je vždycky v tom horším profilu, ze všech možných v pořadí od
nejbezpečnějšího Domain profilu, přes Private profil, který je ještě pořád alespoň trošku
bezpečný až po Public, který se považuje za nebezpečný
u) nahoďte zpátky síťovou kartu na DC1 pomocí menu Edit/Settings
Podle čeho se sítě pamatují?
-
Windows Vista a novější si jednotlivé sítě pamatují podle MAC adresy Default Gateway.
To je nejstabilnější identifikace sítě, kterou je možno získat. Pokud není Default Gateway
dostupná, Windows Vista si síť pamatuje podle rozsahu IP adres
-
Z bezpepečnostních důvodů si ale Windows 7 sítě bez Default Gateway nechce
pamatovat vůbec a všechny je považuje za Public
a) přihlaste se na Seven2 pod účtem .\ondrej
b) vpravo u hodin klikněte na ikonku sítě a otevřete Network and Sharing Center
c) zkontrolujte v prostředku, že vaše síť je Public Network a že toto nastavení nelze změnit
d) pomocí nástroje NCPA.CPL nastavte síťové kartě LAN1 adresu Default Gateway na
10.10.0.33
-
tato IP adresa v síti neexistuje a nelze tedy zjistit MAC adresu
e) zkontrolujte, že Network and Sharing Center stále ukazuje jen nezměnitelnou Public
Network
f)
přenastavte IP adresu Default Gateway na 10.10.0.10. Tato IP/MAC adresa v síti existuje
(není podstatné, jestli se skutečně jedná o router), systém se vás tedy dotáže na typ sítě a
zapamatuje si ji.
g) změňte ještě jednou IP adresu Default Gateway na 10.10.0.11. Tato IP/MAC adresa v síti
opět existuje, systém se vás tedy opět dotáže na typ sítě a zapamatuje si ji.
Strana: 6
h) vraťte IP adresu Default Gateway zpět na původní hodnotu 10.10.0.10. Tentokrát se vás
systém neptá a rovnou síť identifikuje.
i)
pokuste se v Network and Sharing Center změnit typ sítě
-
tentokrát by se vám to mělo podařit bez problémů
Průzkum pomocí konzole Windows Firewall with Advanced Security
a) přepněte se na SRV1
b) pusťte si konzoli Windows Firewall with Advanced Security
c) všimněte te si, že pěkně zobrazuje přehled všech profilů, i který je zrovna aktuální (Active)
d) v prostředku pod seznamem profilů je odkaz Windows Firewall Properties, tak na něho
klikněte
-
měli byste vidět, že jsou zobrazeny celkem tři záložky, jedna pro každý profil
-
obsahuje to vypínač firewallu Firewall State
-
obsahuje to také přepínač výjimek pro příchozí spojení. Buď máte Block All (nepovoluj
natvrdo žádné výjimky), nebo Block (povoluje výjimky) a nebo Allow, což by vlastně
firewall vypnulo
e) na záložce aktuálního profilu si v oblasti Logging zapněte Log dropped packets na Yes a
současně Log successfull connections na Yes
f)
-
a vyzkoušíme logování
-
hlavně si naberte do bloku, nebo si najděte v průzkumníkovi ten logový soubor
zpátky na Vista1
g) vyzkoušet v prohlížeči http://srv1/web
-
to by se mělo podařit v pohodě
h) vyzkoušejte také přístup na sdílené soubory \\srv1
i)
vraťte se zpátky na SRV1
j)
zkuste přistoupit na \\DC1
k) otevřete soubor logu v cestě C:\Windows\System32\LogFiles\Firewall\pfirewall.log
-
možná to bude chviličku trvat, ale zobrazí se vám tam tato dvě povolená připojení
(ALLOW) i to připojení nepovolené (DROP)
-
všimněte si, že vidíte i směr prvního paketu z takové komunikace – buď RECEIVE nebo
SEND
-
Strana: 7
můžete logovat i do windows logu, jak hned uvidíte
Auditování firewallu do Windows Event Logu
a) přepněte se na SRV1
b) do příkazové řádky zadejte AUDITPOL /LIST /CATEGORY
-
tohle vylistuje všechny běžně známé auditovací kategorie
c) zadejte AUDITPOL /GET /CATEGORY:“object access“
-
tím jste zobrazili nastavení jednotlivých podkategorií v kategorii Object Access
-
všimněte si různých věcí jako je File System, Registry a File Share
-
tohle ale zapínat nechceme, protože to nepotřebujeme a Vista a Windows Server 2008
nám nabízí možnost to pozapínat jen velmi citlivě
d) zapněte tedy AUDITPOL /SET /SUBCATEGORY:“ Filtering Platform Packet Drop“
/SUCCESS:enable /FAILURE:enable
e) zapněte také AUDITPOL /SET /SUBCATEGORY:“ Filtering Platform Connection“
/SUCCESS:enable /FAILURE:enable
f) vyzkoušejte znovu z Vista1 přístup na SRV1
g) vyzkoušejte znovu ze SRV1 přístup na DC1
h) na SRV1 otevřete konzoli Event Viewer
i)
ve složce Windows Logs/Security byste měli najít nějaké záznamy, které jste si vygenerovali
Lock-down Mode
a) na SRV1 otevřete konzoli Services
b) stopněte službu Windows Firewall
c) běžte na Vista1 a zkuste znovu několikrát přistoupit na http://srv1/web
-
tentokrát by se to nemělo podařit
-
firewall se automaticky přepnul do lock-down módu, ve kterém nepouští žádná připojení
z venku
-
je to bezpečnostní opatření, aby se útočníkovi například nepodařilo shodit službu a získat
tak přístup
-
obecně řečeno, není možné vypnout službu Windows Firewall, firewall se vypíná přes
konzoli Windows Firewall nebo Windows Firewall with Advanced Security
-
na Windows XP nic takového nebylo, takže je velké nebezpečí, že jste si zvykli službu
vypínat
d) na SRV1 v konzoli Event Viewer zkontrolujte, že se všechny blokace zalogovaly
Strana: 8
e) zkuste se podívat také do logového souboru
C:\Windows\System32\LogFiles\Firewall\pfirewall.log
f)
v něm by nic být nemělo, protože tento soubor je plněn až běžící službou
v konzoli Services zase znovu spusťte Windows Firewall službu
g) ověřte, že všechno najednou jede z Vista1 jak má
Prohlídka firewallu na Seven1
a) běžte na Seven1 jako gopas\wks-admin a otevřete si konzoli Windows Firewall
b) zkontrolujte, že jste připojeni do Domain networks, zatímco nejste připojeni do Home or
Work (private) network ani do Public networks
c) klikněte vlevo na Turn Windows Firewall on or off a pro všechny tři profily zapněte Block all
incoming connections a nastavení potvrďte
-
potřebujete snad, aby se někdo připojoval na vaši stanici?
-
pokud si třeba někdo chce stáhnout nějaké soubory, vždycky je přece můžete uložit do
nějakého sdíleného adresáře a odtud si je daná osoba už sama vyzvedne.
d) v konzoli Windows Firewall klikněte na Allow a program or feature through Windows
Firewall – zobrazí se vám obdoba staré Windows Vista/XP konzole, jen jsou vidět
zaškrtávátka pro všechny síťové profily současně
-
důvodem je to, že Windows 7 aplikuje firewall profily jednotlivě na každou síťovou kartu
zvlášť a stará konzole pro jeden společný profil tedy už nemá smysl. Ověříme to
jednoduše.
e) v konzoli Windows Firewall klikněte ještě vlevo na Advanced Settings
f)
zobrazí se vám konzole Windows Firewall with Advanced Security
spusťte nástroj NCPA.CPL a povolte navíc ještě síťovku Classroom
g) vraťte se do konzole Windows Firewall with Advanced Security a zkontrolujte, že firewall běží
současně ve dvou profilech Domain i Public
-
firewall ve Windows 7 prostě aplikuje různé sady pravidel na různé síťové karty zvlášť
h) pomocí nástroje NCPA.CPL znovu vypněte síťovou kartu Classroom a nechte zapnutou jen
LAN1
Blokování odchozí komunikace
i)
na Seven1 si otevřete konzoli Windows Firewall with Advanced Security
j)
zjistěte jaké je nastavení firewallu pro aktuální profil v oblasti State v položce Outbound
Connections
Strana: 9
-
Windows 7 i Windows Vista umí omezit i odchozí spojení, je to vhodné například na
zamezení SMTP přístupu a tím eliminaci spamovacích prográmků apod.
-
my to ale vyzkoušíme s HTTP protokolem
k) ověřte, že položka obsahuje Allow
-
to znamená, že odchozí spojení jsou povolena, pokud neexistuje explicitně zakazovací
pravidlo
l)
vlevo ve stromě rozklikněte Outbound Rules
m) prohledněte si seznam pravidel
-
jedná se o samá povolovací pravidla, takže to můžete klidně ignorovat. Aktuální
nastavení je stejně povolit všechno pokud to není zakázáno, takže povolovací pravidla
nemají efekt
n) vytvořte nové odchozí pravidlo s těmito parametry:
-
Type: Custom
-
Program: All programs
-
Protocol and ports: TCP, Local port – All, Remote port – 80
-
zde si všimněte, že jde použít rozsah portů, na Windows Vista šlo pouze vyjmenovat
jednotlivé porty do seznamu odděleného čárkou, ach jaké vylepšení!
-
Scope: Any-Any
-
Action: Block
-
Profile: jen aktuální
-
Name: Blokování HTTP
o) vyzkoušejte přístup z Seven1 na http://srv1/web
-
nemělo by se to podařit
Průzkum inbound pravidel
a) na Seven1 si pusťte konzoli Windows Firewall with Advanced Security
b) ve vlastnostech zjistěte, jaký je aktuální Active profil
-
měl by být pouze Domain
c) pod odkazem Windows Firewall Properties přepněte daný profil Domain v položce Inbound
connections na Block (default)
-
Block (default) znamená „pustit všechno, co je explicitně povoleno pravidlem“, povoluje
to tedy příchozí výjimky
Strana: 10
Block all connections znamená naopak „nepovolovat žádné výjimky“
d) novinkou oproti Windows Vista je tlačítko Protected Network Connections – Customize, kde
můžete vypnout firewall kompletně i pro jednotlivé síťové karty
e) vlevo ve stromě klikněte pravým tlačítkem na Inbound Rules
f)
zapněte Filter by Profile – aktuální profil
-
podívejte se do listu pravidle, jaká pravidla jsou zapnuta
-
speciálně si všimněte, že zde existuje množství pravidel Core Networking – XXX
-
podívejte se na sloupeček Group, mělo by tam být Core Networking
-
položka Group je to, co se zobrazuje v té starší konzoli Windows Firewall
-
ve skutečnosti se každá skupina skládá z více pravidel, ale ta jednodušší konzole
zobrazuje jen skupinu, protože by to bylo nepřehledné
g) vlevo ve stromě klikněte pravým tlačítkem na Inbound Rules
h) zapněte Filter by Group – Filter by Windows Management Instrumentation
i)
-
tato skupina povoluje vzdálený přístup na WMI správu počítače
-
používá se to například na Group Policy Results apod.
celou skupinu zapněte Enable (umí to multiselect)
-
j)
máte filtr jen na aktuální profil, takže zapnete ve skutečnosti jen příslušná pravidla
otevřete Properties pravidla Windows Management Instrumentation (WMI-In)
k) přepněte se na záložku Programs and Services
-
ověřte, že pravidlo se vztahuje jen na jediný proces SVCHOST.EXE
-
problém je, že v tomto procesu ve Windows běží většina služeb, takže bychom tím
povolili příliš velké množství služeb současně (případ Windows XP)
l)
-
klepněte na tlačítko Settings v oblasti Services
-
zjistíte, že firewall umí rozlišovat i jednotlivé služby uvnitř procesů
přepněte se na počítač SRV1 a přihlaste se jako gopas\srv-admin
-
otestujeme WMI přístup na Seven1
m) spusťte příkazovou řádku CMD a v ní nechte provést RUNAS /netonly /user:gopas\wksadmin MSINFO32.exe
-
potřebujeme spustit MSINFO32 tak, aby běželo lokálně jako srv-admin, ale do sítě
chodilo pod účtem uživatele wks-admin. To zařídí parametr /netonly
-
přístup na vzdálené WMI servery je možný jen pod jejich lokálním administrátorem.
V našem případě je vzdáleným serverem Seven1 a jeho adminem je wks-admin
n) v menu programu MSInfo32 vyberte View - Remote Computer zadejte Seven1
Strana: 11
mělo by se vám podařit vzdáleně se připojit k Seven1 počítače pomocí WMI
-
jak již bylo řečeno, pod účtem uživatele wks-admin
o) pokud chcete, můžete vyzkoušet příkaz PORTQRY –n Seven1 –e 135
-
to je ověření přístupu na RPC/DCOM Endpoint Mapper, který jako jediný pevný právě
WMI a tedy i MSINFO32 používají
Povolení sdílených souborů
a) na počítači Seven1
b) otevřete konzoli Windows Firewall with Advanced Security
c) vlevo klikněte pravým tlačítkem na Inbound Rules
d) vyberte Filter by Group/Filter by File and Printer Sharing
-
nastavíme filter, abychom neměli v seznamu moc pravidel
-
zamyslete se teď, jestli vidíte pravidla jen pro aktuální profil, nebo pro všechny
e) zobrazte Properties pravidla File and Printer Sharing (SMB-In)
f)
na záložce Protocols and Ports ověřte, že se jedná o port TCP 445
přepněte se na záložku Scope
g) všimněte si velice důležité věci v položce Remote IP address
-
je tam jenom Local Subnet
-
znamená to, že se na sdílené soubory ve výchozím nastavení nedá dostat z jiných IP
rozsahů, než místního
-
to není obvykle moc velký problém. Jedině, kde vám to může dělat problémy je v případě
vzdálené pobočky na jiném IP rozsahu a VPN klinetů, kteří mají tzv. off-subnet IP adresy
h) pokud chcete, pravidlo povolte a vyzkoušejte vzdálený přístup na Seven1 třeba z počítače
SRV1
Řízení firewallu přes Group Policy
a) na DC1 si otevřete konzoli Group Policy Management
b) rozbalte doménu GOPAS.VIRTUAL
c) pravým tlačítkem vytvořte nový group policy object – Create and Link Group Policy Object
-
Name: Windows Firewall – Vista/7 Workstations
d) pravým tlačítkem otevřete editor – Edit
e) rozbalte Computer Configuration/Policies/Windows Settings/Security Settings/Windows
Firewall with Advanced Security
f)
v prostředku klikněte na odkaz Windows Firewall Properties
g) nastavte následující parametry na záložce Domain Profile:
Strana: 12
-
Firewall state: On
-
Inbound connections: Block
-
Outbound connections: Allow
-
Settings/Customize: Rule Merging – Apply local firewall rules - Yes
o
tohle znamená, že uživatelé si na stanici mohou stále vytvářet sami svoje
pravidla, která se prostě sečtou s pravidly z politiky
o
bezpečnější by zřejmě bylo vynutit pravidla jen přesně podle politiky a neumožnit
vlastní lokální nastavení. To je rozhodnutí správy vs. bezpečnost
h) všechny ostatní záložky nechte ve stavu Not configured
i)
j)
vlevo v seznamu Outbound Rules vytvořte nové pravidlo:
-
Type: Custom
-
Program: All programs
-
Protocol and ports: TCP, Local port – All, Remote port – 25
-
Scope: Any-Any
-
Action: Block
-
Profile: Domain
-
Name: Blokování SMTP
zavřete Group Policy Editor a vraťte se do konzole Group Policy Management
k) otevřete položku WMI Filters
-
politika se nám aplikuje na celou doménu. Zařídíme tedy, aby se aplikovala jen na
klientské počítače (tedy nikoliv servery a nikoliv DC)
l)
nechceme, aby nám to ovlivňovalo servery, které možná potřebují přes SMTP odesílat
vytvořte nový WMI Filter:
-
Name: Vista/7 Workstations
-
Filter: SELECT * FROM Win32_OperatingSystem WHERE ProductType = 1
m) klikněte zpět na původně vytvořený Group Policy Object – Windows Firewall
n) na záložce Scope, dole v sekci WMI Filtering vyberte vámi vytvořený WMI filter Workstations
o) pokud chcete, na stejné záložce v položce Security Filtering můžete ještě omezit aplikaci jen
na určitou skupinu počítačů z Active Directory
-
odstraňte Authenticated Users
-
přidejte skupinu Domain Computers
-
jinou skupinu nemáme, ale bylo by velmi jednoduché si nějakou vytvořit
p) přepnete se zpět na Seven1
Strana: 13
q) aplikujte politiku pomocí GPUPDATE /FORCE
r) otevřete konzoli Windows Firewall with Advanced Security
s) zkontrolujte aplikaci pravidla
-
podívejte se do odkazu Windows Firewall Properties. Měli byste být schopni měnit jen
nastavení pro Public a Private profil, zatímco profil Domain je nastaven z politiky
-
podívejte se do listu Outbound Rules. Měl by obsahovat všechna lokální pravidla i to
nové pravidlo z politiky.
-
ve sloupečku Group Policy Object by mělo být jméno objektu, ze kterého se sem toto
pravidlo dostalo
Porovnání s firewallem na Windows XP
a) přihlaste se na XP1
b) spusťte Control Panel konzoli Windows Firewall
c) prozkoumejte výchozí nastavení
-
mělo by tam být Zapnuto/Povolit výjimky
-
na záložce Obecné by mělo být dole nenápadně napsáno Brána firewall systému
Windows používá nastavení domény. To znamená, že se používá Domain profil.
-
ve výjimkách není povoleno Sdílení souborů a tiskáren
d) všimněte si také, že nemůžete měnit některá nastavení firewallu.
-
aplikuje se nám Group Policy objekt obsahující Vista nastavení
-
Windows XP má sice svoje vlastní Group Policy nastavení. Úplně oddělené od Windows
Vista a Windows 7. Jen určitá část Windows Vista parametrů se aplikuje i na Windows
XP klienta.
e) zkuste povolit výjimku pro Sdílení souborů a tiskáren
f)
pod tlačítkem Upravit klikněte na tlačítko Změnit obor
-
všimněte si stejného omezení jako na Seven1, tedy že výchozí přístup na sdílené soubory
je jen ze stejného subnetu, v jakém je právě XP/2003 klient
g) v menu virtuálního počítače Edit/Properties zastrčte do první síťové karty tzv. Shared
Networking (NAT)
h) pomocí nástroje NCPA.CPL povolte síťovou kartu Classroom
i)
chceme vyzkoušet, jak se XP chová k firewall profilům
zavřete a znovu spusťte konzoli Brána Firewall Systému Windows, na záložce Obecné ověřte
dole, že je tam stále Brána firewall systému Windows používá nastavení domény.
Strana: 14
-
Windows XP používají profil domény dokud je doména dostupná, bez ohledu na existenci
ostatních nebezpečných sítí!
j)
pomocí nástroje NCPA.CPL zakažte síťovou kartu LAN
-
tím se odpojíte od domény a zbude vám už jen jediná síťová karta
k) zavřete a znovu spusťte konzoli Brána Firewall Systému Windows
l)
na záložce Obecné ověřte dole, že je tam nyní Brána firewall systému Windows používá
nastavení nepocházející z domény.
-
firewall se konečně přepnul do tzv. Standalone profilu
-
Windows XP nemají Domain, Public a Private profily. Mají jen dva – Domain a
Standalone.
m) na záložce Výjimky se podívejte, že máte jinou sadu pravidel, než v původním Domain profilu
-
uvedeme to zase do původního stavu
n) pomocí nástroje NCPA.CPL povolte zpět LAN a zakažte Classroom síťovku
Group Policy nastavení pro Windows XP
a) přepněte se zpět na DC1
-
nejprve upravíme WMI filter pro původní objekt, aby platil jen pro Vista počítače
-
potom teprve vytvoříme nový objekt pro Windows XP a opět aplikujeme WMI filter,
tentokrát s testem pro Windows XP
b) otevřete konzoli Group Policy Management
c) rozbalte gopas.local doménu a větev WMI Filters
d) změňte filter nazvaný Vista/7 Workstations tak, že opravíte aktuální Query:
-
Filter: SELECT * FROM Win32_OperatingSystem WHERE ProductType = 1 AND Version
>= ‘6.0’
e) přidejte nový filter nazvaný XP Workstations:
-
Filter: SELECT * FROM Win32_OperatingSystem WHERE ProductType = 1 AND Version <
‘6.0’
-
Windows XP je sice verze 5.1, ale Windows XP x64 je verze 5.2, takže je lepší dát tam
tuto nerovnost
f)
na doméně vytvořte nový Group Policy Object pomocí Create and Link Group Policy Object:
-
Name: Windows Firewall – XP Workstations
-
záložka Scope/WMI Filtering: XP Workstations
Strana: 15
g) pravým tlačítkem vyberte Edit a rozbalte Computer Configuration/Policies/Administrative
Templates/Network/Network Connections/Windows Firewall
-
všimněte si, že to obsahuje rovnou dvě samostatná nastavení pro Domain Profile a
Standalone Profile
h) v Domain Profile nastavte následující:
i)
-
Protect all network connections: enabled
-
Allow ICMP exceptions: enabled, Allow inbound echo request
-
Allow inbound file and printer sharing exception: enabled, *
-
použitím * jsme povolili přístup na sdílené soubory ze všech IP adres
vraťte se zpátky na XP1, aplikujte politiku pomocí GPUPDATE /FORCE a prozkoumejte efekt
v konzoli Windows Firewall
Kdo může měnit nastavení sítě
-
nemusíte to dělat, jedná se jen o zajímavost pro fajnšmekry :-)
-
pouze dvě skupiny uživatelů mohou měnit síťová nastavení. Jsou to skupiny
Administrators a ne příliš známá skupina Network Configuration Operators. Tohle
funguje od Windows XP.
-
tato skupina například může měnit i typ síťového profilu apod.
a) přihlaste se na Seven1 jako gopas\kamil. Kamil je obyčejný uživatel.
b) zkuste pomocí nástroje NCPA.CPL pod jeho účtem změnit IP adresu síťového připojení LAN2
-
nemělo by se vám to podařit
c) přihlaste se jako .\ondrej, přidejte uživatele gopas\kamil do lokální skupiny Administrators
a znovu se přihlaste jako gopas\kamil.
d) tentokrát by se vám mělo podařit změnit IP adresu síťové karty LAN2. Nepovede se vám ji
stejně ale povolit :-) Nemáte uživatelské právo Load/Unload Device Drivers, které mají
jenom administrátoři
VPN připojení
-
Windows Vista přišla s novým VPN protokolem SSTP – Secure Socket Tunneling Protocol,
tedy VPN připojením přes obyčejné HTTPS
-
tento protokol má dokonalou propustnost přes internet, používá jen TCP port 443 a
nezávisí tak na žádných jiných IP protokolech se špatnou průchodností přes různé routery
-
jen pro info, dřívější PPTP používá IP protokol GRE 47, podobně L2TP používá ESP 49
Strana: 16
b) klikněte vpravo u hodin na ikonku sítě a otevřete Network and Sharing Center
-
jen pro zajímavost si všimněte, že u vašeho síťového připojení je napsáno No Internet
Access. To je proto, že nelze pingnout www.microsoft.com. Důvod je ten, že nemáte
vůbec nastavenu IP adresu Default Gateway.
c) vprostřed klikněte na odkaz Setup a connection or network – Connect to a workplace – Use
my Internet connection (VPN) – I will setup Internet Connection Later
-
zde jen poznámka – protože detekce sama poznala, že nemáte internetovou konektivitu,
jinak by vám to nenabízela
d) zadejte následující parametry připojení:
Internet address: srv1.gopas.virtual
Destination name: GOPAS (nebo cokoliv vás napadne jako jméno VPN připojení)
Allow other people to use this connection
User name: gopas\kamil
-
použijte login gopas\wks-admin
-
chceme vytvořit VPN připojení pro všechny uživatele, což může jen skupina
Administrators nebo Network Configuration Operators.
e) po dokončení průvodce zavřete Network and Sharing Center
f)
klikněte vpravo u hodin na ikonku sítě a prozkoumejte možnosti vybaleného seznamu
připojení
g) na VPN připojení GOPAS klikněte Connect, ale nepřipojujte se. Na přihlašovacím dialogu
pokračujte do Properties – záložka Options – vypněte Prompt for name and password
h) na záložce Security si prohlédněte seznam Type of VPN, měl by obsahovat dva nové
protokoly SSTP (Secure Socket Tunneling Protocol – SSL VPN) a IKEv2 (VPN Reconnect)
i)
SSTP je k dispozici už s Windows Server 2008, IKEv2 až s Windows Server 2008 R2
připojte si VPN připojení a podívejte na jeho Status, kde byste měli vidět, že běží nad
protokolem SSTP. VPN opět odpojte.
j)
odhlaste se ze stanice
k) na přihlašovací obrazovce by měla být vpravo dole modrá ikonka pro vytočení VPN ještě
před přihlášením (hned vedle červeného vypínacího tlačítka)
l)
zkuste se přihlásit jako gopas\judith se současným vytočením VPN
Strana: 17
HomeGroup
-
HomeGroup je nová špičkově jednoduchá metoda, jak nasdílet bezpečně soubory
ostatním počítačům na domácí síti. Potřebujete k tomu Windows 7 který soubory sdílí,
ale připojit se mohou opět jen počítače s Windows 7. Principiálně by bylo možné připojit
se i z jiných strojů, ale neznáme skutečnou metodu generování uživatelského hesla.
b) pomocí nabídky Start vyhledejte allow a v konzoli Allow a program through Windows
Firewall se ujistěte, že počítač nemá povoleno sdílení souborů
c) otevřete si konzoli HomeGroup a přečtěte si, co je za problém s vytvářením HomeGroup,
pokud je váš počítač členem domény
-
vy sami nemůžete žádné soubory takto sdílet, pokud jste členem domény
d) přepněte se na počítač Seven2 a přihlaste se jako .\ondrej
e) změňte si heslo
-
chceme demonstrovat, že není podstatné, jací lokální ani doménoví uživatelé na počítači
pracují. HomeGroup používá svoje vlastní heslo - uživatelský účet
f)
v knihovně Documents vytvořte dva textové soubory s libovolným obsahem
g) otevřete konzoli System a zkontrolujte, že počítač není členem domény
h) otevřete konzoli HomeGroup a přečtěte si, proč stále nemůžete skupinu vytvořit a sdílet
soubory
-
je to proto, že vaše síťová karta nevede do Home (Private) sítě, ale nejspíš do Work
(Private) sítě. Zde je jediné místo, které rozlišuje mezi Home a Work sítí. Je to jen
ochrana uživatelů, nic funkčního v tom není.
i)
vpravo u hodin si klikněte na ikonku sítě, otevřete Network and Sharing Center a přepněte
aktuální profil na Home network
-
pokud to nejde, musíte na aktuální síťové kartě přidat IP adresu nějakého existujícího
počítače jako IP adresu Default Gateway
-
Windows 7 má takovou podivnou bezpečnostní vlastnost, že pokud na síťovce není
dosažitelná IP adresa Default Gateway (a tím není známa její MAC adresa), nelze
přepnout síťovou kartu z Public profilu.
j)
vraťte se zpátky do konzole HomeGroup a pomocí klávesy F5 proveďte Refresh
k) stiskněte dole tlačítko Create a HomeGroup, sdílejte všechno, včetně Documents a opište si
vygenerované heslo
Strana: 18
-
heslo je možné kdykoliv později opět vypsat v konzoli HomeGroup pomocí odkazu dole
View or print the homegroup password
l)
prozkoumáme teď dopady této HomeGroup
otevřete si konzoli Allow a program through Windows Firewall a ověřte, že HomeGroup
povolila sdílení souborů v Home/Work (Private) profilu
-
znamená to, že se na váš počítač dostanou uživatelé na sdílené soubory, pokud znají login
a heslo vašeho stroje
m) stiskněte logo-key + E a v průzkumníkovi pravým tlačítkem na C:\User – Properties – záložka
Sharing – tlačítko Advanced Sharing, zjistíte, že celý profilový adresář byl automaticky
nasdílen
-
jeho bezpečnost stojí na dvou bariérách. Vzdálený uživatel musím znát login a heslo a
současně musí mít přístup do nižších profilových adresářů, kam má přístup vždy jen
majitel daného profilu. Takže bezpečí je zajištěno :-)
n) spusťte konzoli Computer Management – Local Users and Groups – Users a zkontrolujte, že
je zde vytvořen nový uživatel HomeGroupUser$
-
to je ten uživatel, přes něhož budou ostatní Windows 7 přistupovat přes síť na váš
počítač. Jeho heslo je přesně to, které jste si před chvilkou opisovali
j)
vraťte se na počítač Seven1 a přihlaste se pod účtem gopas\kamil
k) spusťte konzoli HomeGroup. Všimněte si, že Seven1 už ví o tom, že je k dispozici nějaká
HomeGroup. Pomocí odkazu Join HomeGroup se ke skupině připojte.
l)
stiskem logo-key + E spusťte průzkumníka a v levém panelu klikněte na HomeGroup. Ověřte,
že vidíte sdílené textové soubory z počítače Seven2
Strana: 19
Hands-on-Lab: Security
Výchozí lokální účty na Seven1
b) otevřete konzoli Computer Management – Local Users and Groups a zkontrolujte, že lokální
účet Administrator je hned po instalaci zakázán
-
jen pro informaci, nemá ani žádné heslo
-
takto je to stejně i na Vista1
c) jediný další účet ve skupině Administrators je uživatel ondrej
-
co se stane, když se ondrej zamkne, kvůli velkému počtu špatných pokusů o heslo?
-
vždycky se dá přihlásit na built-in účet Administrator v Safe Mode
User Account Control na Seven1
-
stejně jako na Windows Vista je i zde User Account Control (UAC). Podívejme se na jeho
detailní chování
-
v tomto okamžiku jste se přihlásili jako členové lokální skupiny Administrators
b) spusťte Calc, Notepad
c) spusťte D:\SysInternals\procexp.exe
-
tohle je Process Explorer, vynikající Task Manager od Microsoftu
d) v Process Exploreru klikněte pravým tlačítkem na proces Calc – Properties – záložka Security
e) uvědomte si, pod jakým účtem a skupinami procesy běží
Domain Users, Users, Domain Admins, apod.
Administrators má ale ve sloupečku Flags nastaveno Deny
f)
-
to znamená, že v této skupině onen proces ve skutečnosti vůbec není
-
proces tak běží jen jako obyčejný uživatel
pokuste se v Notepadu uložit soubor do C:\Program Files
-
nemělo by se vám to podařit, ani Notepad není ve skupině Administrators
g) spusťte program CMD a pokuste se vyvolat IPCONFIG /RELEASE. Měli byste obdržet celkem
nejasnou chybu týkající se permissions. Důvod opět stejný, a to že příkazová řádka běží
omezeně bez skupiny Administrators a tudíž nemůže tuto operaci provádět.
h) spusťte Notepad pomocí Run as administrator
i)
systém se vás pouze zeptá na potvrzení, protože ve skutečnosti jste administrátorem
v Process Exploreru klikněte pravým tlačítkem na tento nový proces Notepad – Properties –
záložka Security
Strana: 1
j)
všimněte si, že skupina Administrators již v tomto případě nemá nastaveno Deny
-
proces tedy běží plnohodnotně s identitou této skupiny
k) ověřte, že jste schopni z tohoto Notepadu uložit soubor do Program Files
l)
znovu si najděte postupně program Notepad a CMD v nabídce Start
m) pravým tlačítkem na něho klikněte Properties – záložka Compatibility a všimněte si, že není
možno pro Windows programy vynutit Run this program as an administrator automatické
startování jako Administrator
-
podepsané Windows součásti toto prostě neumožňují
-
na Windows Vista to ještě šlo
User Account Control není nic nového
-
UAC bylo k dispozici již na Windows XP, jen nebylo moc využíváno a nebylo to výchozí
nastavení
a) přihlaste se na XP1 jako gopas\wks-admin
b) najděte si nabídce Start program Notepad a spusťte ho. Pomocí nástroje
D:\SysInternals\procexp.exe ověřte, že aplikace běží s plným členstvím skupiny
Administrators
c) najděte znovu v nabídce Start program Notepad, klikněte na na něj prvým tlačítkem Run as
– Current User – Protect my computer
d) podívejte se pomocí Process Exploreru, že v tomto případě byla aplikace spuštěna v
chráněném režimu s potlačenou skupinou Administrators stejně tak, jak se tomu děje na
Windows Vista a Windows 7 automaticky
-
nejedná se tedy o nic nového, jen se změnilo výchozí chování a aplikace se více
přizpůsobily
User Account Control pro obyčejné uživatele
-
a)
b)
c)
d)
e)
pokud je uživatel sám ve skupině Administrators, není problém, aby se spouštěným
procesům prostě tato skupina povolila
- pokud ale uživatel není členem takové skupiny, spouštění procesu s právy administrátora
bude muset být provedeno pod jiným uživatelským účtem
přihlaste se na Seven1 jako gopas\kamil
- kamil je obyčejným uživatelem, není administrátor
stiskem Ctrl + Shift + ESC spusťte Task Manager a přepněte se na záložku Processes
najděte v seznamu právě proces taskmgr.exe a všimněte si, že běží pod vaším účtem
klikněte dole na tlačítko Show processes from all users a použijte účet .\ondrej
všimněte si, že okno programu Task Manager nějak podivně bliklo
Strana: 2
f)
najděte v seznamu znovu proces taskmgr.exe
- tentokrát už běží pod uživatelem ondrej
- původní Task Manager se musel ukončit a spustil se prostě nový, běžící pod účtem
příslušného administrátora
User Account Control a vzdálené přístupy lokálních uživatelů
-
UAC se uplatňuje i při vzdáleném přístupu lokálních uživatelů na stanic
b) pomocí konzole Windows Firewall – Turn Windows Firewall on or off vypněte úplně
Windows Firewall na stanici
c) přepněte se na XP1 a přihlaste se jako gopas\wks-admin
d) spusťte příkazovou řádku CMD – net use \\10.10.0.101 /user:Seven1\ondrej Pa$$w0rd
-
tímto příkazem zadáváte login a heslo pro připojení sdílených souborů na Seven1
-
bude se používat vzdálený lokální uživatel místo aktuálně přihlášeného uživatele wksadmin
e) zkuste se z XP1 dostat na sdílený adresář \\10.10.0.101
f)
to by mělo být v pořádku, sice nejsou sdílený žádné adresáře, ale připojili jste se
zkuste se z XP1 dostat na sdílený adresář \\10.10.0.101\c$ mělo by se vám zobrazit
přihlašovací okno signalizující, že přihlášení pod uživatelem Seven1\ondrej se nezdařilo
g) zavřete okna průzkumníka a zruště opět přihlašovací údaj pomocí CMD – net use
\\10.10.0.101 /delete
h) zkuste zopakovat pokus o přístup na \\10.10.0.101\c$. Tentokrát by se to mělo podařit,
protože přistupujete pod účtem aktuálně přihlášeného wks-admin
i)
na stanici Seven1 by bylo možno vypnout vzdálený UAC jen v registrech
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System,
LocalAccountTokenFilterPolicy = DWORD = 1. Není třeba to zkoušet
Průzkumník a ikonky adresářů
-
a)
b)
c)
d)
pokud se podíváte na obsah adresáře C:\ ve Windows 7, uvidíte některé podadresáře se
zámečkem. To je novinka, která názorně zobrazuje všechny adresáře, do kterých mohou
jen SYSTEM a/nebo Administrators
přihlaste se na Seven1 jako gopas\kamil
otevřete okno průzkumníka pomocí logo-key + E
stiskněte Alt až se vám zobrazí menu Tools – Folder Options – záložka View, vypněte Hide
operating system files a zapněte Show hidden files and folders a vše potvrďte
zobrazte si obsah adresáře C:\ a všimněte si, že některé systémové složky mají ikonku
zámečku
Strana: 3
-
to znamená, že jejich NTFS zabezpečení (permissions) umožňují přístup jen skupině
Administrators a/nebo SYSTEM
e) pravým tlačítkem na Documents and Settings – Properties – záložka Security
- měli byste vidět, že je zde opravdu jen SYSTEM a Administrators
- je ale divné, že je tady také Everyone. Hned to prozkoumáme detailněji
f) klikněte na tlačítko Advanced a podívejte se na přesný seznam ACE – Access Control Entries
na záložce Permissions. Podstatný je sloupeček Apply to, kde je vidět, že Everyone sice
nějaký přístup má, ale má ho jen na adresář samotný
- je tam totiž napsáno This folder only
- přístup na vnitřnosti adresáře by měl jen pokud by tam bylo například This folder,
subfolders and files
- z toho plyne – pokud na obsah! adresáře nemá přístup nikdo jiný než SYSTEM a
Administrators, průzkumník zobrazuje ikonku zámečku. Výborná indikace!
g) okna nezavírejte, hned s nimi provedeme něco dalšího
Změna zabezpečení adresáře pod obyčejným uživatelem
-
a)
b)
c)
d)
e)
f)
díváte se do editoru zabezpečení adresáře, ale protože jste jen obyčejný uživatel,
nemůžete nic rovnou změnit
klikněte na tlačítko Change permissions a použijte účet .\ondrej
zobrazí se vám další okno, tentokrát již editovatelné
- prozkoumáme, pod čím účtem toto okno běží
- jako v případě pokusu s Task Managerem by mělo běžet zřejmě pod uživatelem ondrej
- jenže ono to tak není :-)
spusťte si pomocí Ctrl + Shift + ESC program Task Manager
na záložce Applications pravým tlačítkem klikněte na Documents and Settings Properties –
Go to process
tohle vás přepne na záložku Processes a kurzor bude ukazovat proces explorer.exe
- podivné je, že to běží pod vaším původním účtem kamil, který není administrátor, a
přitom můžete editovat
- ve skutečnosti se spustil navíc ještě jeden proces, který teď zřejmě nevidíte
klikněte dole na tlačítko Show processes from all users a najděte v seznamu proces
dllhost.exe, který běží pod uživatelem ondrej
- jedná se o COM server, který provádí čistě změnu a výpis oprávnění
- grafiku zobrazuje normálně průzkumník explorer.exe, zatímco operaci změny provede
tento COM proces
Advanced Auditing
-
Už Windows Vista přišla s novinkou v podobě detailního nastavení auditování. Dříve byly
k dispozici jen známé auditovací kategorie Logon Events, Account Logon Events, Account
Management, Object Access apod. Nově tyto kategorie mají i své podkategorie.
-
Ve Windows Vista ke konfiguraci sloužila pouze CMD utilita AUDITPOL
Strana: 4
b) spusťte konzoli Local Security Policy pod účtem administratora
c) rozbalte Local Policies – Audit Policy. Díváte se na původní Windows XP auditování.
Zapněte například Object Access – Success/Failure a Process Tracking – Success Failure.
d) spusťte program CMD s právy administrátora
e) vypište si všechny kategorie pomocí AUDITPOL /LIST /CATEGORY
f)
vypište si nastavení podkategorií AUDITPOL /GET /CATEGORY:“Object Access“ a AUDITPOL
/GET /CATEGORY:“Detailed Tracking“
-
všimněte si, že každá kategorie má více podkategorií, které byly tímto rovnou zapnuty
-
zapínat a vypínat podkategorie by šlo také pomocí AUDITPOL
g) například AUDITPOL /SET /SUBCATEGORY:“Account Lockout“ /Success:Enable
/Failure:Enable, a zpětně vypsat AUDITPOL /GET /CATEGORY:“Logon/Logoff“
-
Windows 7 však na to již má Group Policy Editor
h) otevřete opět konzoli Local Security Policy s právy administrátora
i)
rozbalte Advanced Audit Policy Configuration a zapněte například System Audit Policies –
Object Access – Audit File Share
j)
editor zavřete a zkuste se znovu z XP1 připojit na sdílený adresář \\10.10.0.101\c$
k) na Seven1 otevřete konzoli Event Viewer s právy administratora a zkontrolujte, že vidíte
událost o přístupu na tento sdílený adresář
AppLocker
-
Windows 7 přichází s nástupcem Software Restriction Policies (SRP), které se nabízí od
Windows XP, ale nebyly příliš flexibilní
-
nový AppLocker umožňuje lépe povolovat digitálně podepsané programy, konkrétně
určit vydavatele, a nebo celou rodinu produktů
-
dřívější systém byl méně citlivý. Povolit digitálně podepsaný software šlo jen pomocí
certifikátu jednoho vydavatele – tedy veškerý software například od Microsoftu nebo
Adobe
b) spusťte konzoli Local Security Policy s právy administrátora
c) rozbalte Application Control Policies – AppLocker, v prostřed klikněte na odkaz Configure
Rules Enforcement a zapněte Executable Rules – Enforce
-
pravidla se budou vynucovat, na rozdíl od volby Audit Only, kdy by se pouze zapisovala
do logu
Strana: 5
d) pravým tlačítkem na položku Executable Rules – Create New Rule a vytvořte pravidlo
s následujícími parametry:
Action: Deny
User or Group: Judith
Condition: Path
Path: %HOT% - znamená hot swap removable storage device, tedy libovolný USB disk apod.
Exceptions: e) klepněte pravým tlačítkem na položku Executable Rules – Create Default Rules a podívejte
se jaká pravidla byla vytvořena
f)
klepněte pravým tlačítkem na položku Executable Rules – Create New Rule a vytvořte
pravidlo s následujícími parametry (musíte vybrat libovolný EXE soubor a pozměnit
parametry):
Action: Deny
User or Group: Judith
Condition: Publisher
Publisher: User Custom Values,
O=SKYPE TECHNOLOGIES SA,L=LUXEMBOURG,S=LUXEMBOURG,C=LU
Product Name: Skype
File Name: Skype.exe
Strana: 6

Hands-on-Labs: Virtual PC Setup

Transkript

Podobné dokumenty