Otthoni számítógépek biztonsága - példák

Az alábbi anyag a Home Computer Security -- Examples c. dokumentum fordítása. 

Translations of "Home Computer Security", (c) 2002 by Carnegie Mellon University, with special permission from the Software Engineering Institute. Accuracy and interpretation of this translation are the responsibility of Computer and Automation Institute of Hungarian Academy of Sciences. The SEI has not participated in this translation.

 Példák - Tartalomjegyzék

Bevezetés
Egy vírusölő program bemutatása
Javítások telepítése
Egy tűzfalprogram bemutatása
Adatállományok kódolása és visszafejtése
ACL beállítása

 Bevezetés

Az itt felsorolt példák a Microsoft Windows 2000 rendszer alatt mutatják be a tennivalókat. Vegye figyelembe, hogy a számítóggépe eltérhet az itteni példáktól. Ha így van, akkor is képes lesz beállítani a saját rendszerét, bár némi erőfeszítést igényelhet, hogy a saját Windows rendszeréhez igazítsa a megoldásokat.

A példákban az alábbi jelölés látható A->B->C. Ez azt jelenti, hogy először a használja az egér bal gombját az A menütétel kiválasztásához, majd ugyancsak a bal gombot a B menütétel, majd újra a bal gombot a C menütétel kiválasztásához.

 
A legtöbb esetben az első menütétel a Start menü. A Start a Windows tálcáján (az ún. Taskbar-on) található, mégpedig gyakran a képernyő bal alsó részén. Tehát ha a Windows 2000 súgójára kíváncsi, akkor Start->Súgó (Help). Ekkor egy új ablak nyílik meg az alábbi ábrával, Microsoft Windows 2000 Professional, Start Here
Image

 Egy vírusölő program bemutatása

Ebben a részben néhány olyan feladatot mutatunk be, amit az otthoni számítógépére telepített vírusölő programon kell elvégeznie. A példák a Norton AntiVirusTM 2002 programot mutatják. Az 1. feladat - Telepítsen és használjon vírusölő programot! c. fejezetben leírt KFVEH próbát használjuk arra, hogy a Norton AntiVirus 2002-t megvizsgáljuk vajon eleget tesz-e a követelményeknek. 

Image

Az első ablak Norton AntiVirus 2002 fő ablakát mutatja. Ebben az ablakban kapunk választ az említett tesztekre. Az ablakot 

Start->Programok (Programs)->Norton AntiVirus-> Norton Antivirus 2002

úton nyithatja meg. 

Az első teszt a kérési teszt, vagyis adott állományokat le tud-e kérésre tesztelni. A Norton a Windows Explorer file-listáját megváltoztatja, így tetszőleges állományt vagy könyvtárat le lehet ellenőrizni. Válassza ki a megfelelő könyvtárat! Ezen belül válassza ki az adott állományt és kattintson rá az egér jobb gombjával! A megjelenő menüsorból keressen rá Scan with Norton AntiVirus menütételre, ahogy a következő ábrán látható. 

Image 

Image

Ha kiválasztotta, a Scan: Summary ablakban megjelenik az eredmény. Amint látszik, a kiválasztott adatállomány nem tartalmaz vírust (Infected: 0 0 0). Ez azt jelenti, hogy a Norton AntiVirus 2002 eleget tesz a a kérési tesztnek. 

Image

A következő követelmény szerint a vírusadatbázis napi frissítése szükséges. A Norton termékben ezt a főablakból kiindulva az Options->Live Update kattintással éri el. Ezután a Enable automatic LiveUpdate és Apply updates without interrupting me (recommended)opciókat válassza ki, ahogy a képen is látható. Bár itt nem állíthatja be, hogy mikor történjen a frissítés, a Help segítségével megnézett dokumentáció megmagyarázza, hogy a frissítés akkor történik, amikor az Internethez csatlakozik a gépe. Evvel a Norton AntiVirus 2002 teljesítette afrissítési próbát. 

Image

Mi történik, ha vírust észlel a program? Ez a válasz próba. A Norton termékben az Options menütételben dönthet arról, hogy mi történjen egy vírus észlelése után. Az Option után a (képen látható) Auto-Protect ablakot nézze meg. Az alapértelmezés szerint a program a fertőzött adatállományt kijavítja, ezt a beállítást javasoljuk. Az ablakban további tulajdonságok kiválasztása is történhet. 


Image

Elektronikus levelekben felfedezett vírus esetén a lehetséges lépéseket a következő ablak, az Email Scanning mutatja. Ezt a Options->Emailúton érhetjük el. Ismételjük, hogy a javasolt alapértelmezéseket állítsa be, mert így lesz teljes a szűrés és a lehető leghatékonyabb a vírusos állományok javítása (már ahol persze ez lehetséges).

Ezzel megmutattuk, hogy a Norton AntiVirus eleget tesz a válasz próbának. 

Image

A következő az ellenőrzési próba. A Norton AntiVirus 2002-ben ezt automatikus védelemnek (Auto-Protect) nevezik. Az egér bal gombjával azAuto-Protect gombra kattintva és a More Info-t kiválasztva az alábbi ablak jelenik meg, ami elmagyarázza, hogy hogyan működik az automatikus védelem és hogyan kell a hibákat elhárítani.

(Az ablakban lévő szöveg: 

Az automatikus védelmet (Auto-Protect) mindig kapcsoljuk be (enabled), hogy a vírusfertőzést megelőzzük. Az automatikus védelem a háttérben működik, anélkül, hogy félbeszakítaná a munkáját. 

Az automatikus védelem:

  • mindenfajta vírust - beleértve a makro-vírust, boot sector vírust, a memóriarezidens vírust, a trójaikat, a férgeket és más rosszindulató kódokat is - észlel és megvédi a gépet,
  • megvédi a gépét az Internetről kapott vírusoktól azáltal, hogy minden az Internetről letöltött file-t, beleértve a Java Applet-eket és az ActiveX-t is is ellenőrzi,
  • vírusellenőrzést végez minden alkalommal, amikor programot futtat, floppy diszket vagy más cserélhető tárolóeszközt tesz a gépébe, dokumentumot vesz elő vagy módosít, így állandóan biztonságban lesz a rendszere,
  • figyeli a gépén megjelenő szokatlan dolgokat, ami aktív vírustevékenységre utalhat,

Az automatikus védelem be/kikapcsolása

Az automatikus védelem be- és kikapcsolása a Norton Antivirus főablakában lévő Options menüben történik. A System alatt kattintson az Auto-Protect gombra, majd az Enable Auto-Protect jelölőnégyzetet állítsa megfelelően.

Hibakezelés

Ha az Auto-Protect "Error" állapotba kerül (azaz hibát jelez az automatikus védelem):

1.       Kapcsolja be a fent leírt eljárás szerint az automatikus védelmet.

2.       Ha az előbbi lépés nem segített, indítsa újra a gépet.

3.       Ha a 2. lépés sem segített, törölje le és telepítse újra a Norton Antivirus-t.

Lehetséges az elektronikus levelek és a scriptek szűrése is (Email Scanning és a Script Blocking. Script: valamilyen számítógépes nyelven - legtöbbször perl, php, Java-Script... - megírt parancssorozat, amely a felhasználó közbeavatkozása nélkül hajtódik végre.) Ha többet szeretne ezekről megtudni, az előzőekhez hasonlóan járjon el és olvassa el a More Info alatti információt. Mivel a Norton Antivirus 2002 képes az automatikus védelem beállítására, az elektronikus levelek és a scriptek szűrésére, a program eleget tesz az ellenőrzési próbának. 

Image 
 

Az utolsó próba a heurisztika próba. A Norton Antivirus 2002-ben a Options->AutoProtect-> Bloodhound kiválasztásával próbáljuk ki a heurisztika tesztet. Ekkor a Bloodhound ablak megjelenik. Az fenti ablakban az alapértelmezésként beállított értékek láthatók. Ellenőrizzük, hogy valóban ezek az értékek vannak-e a gépünkön is beállítva. 

Help kiválasztásával a következő ablakban elolvashatjuk, hogy a Bloodhound tulajdonképpen mit csinál.

Image

(Az ablakban lévő szöveg: 

A Norton Antivírus egy új technológiát, az ún. Bloodhound-t alkalmazza, amelynek révén az újonnan megjelenő és ismeretlen vírusokkal szemben drasztikusan nő a vírusvédelem hatékonysága. 
A Bloodhound egy adatállomány különböző logikai részeit beazonosítja, szétválasztja, majd elemzi, hogy mutat-e vírusszerű viselkedést. Így a Bloodhound az ismeretlen vírusok legtöbbjét felfedezi. Továbbá úgy is felderít ismeretlen vírusokat, hogy figyeli a számítógépen a tipikusan vírusokhoz köthető tevékenységet. Ha gyanús aktivitást észlel, akkor leállítja azt.

Hogyan védekezzünk új és ismeretlen vírusok ellen?

Kapcsoljuk be a Bloodhound heurisztikát (javasolt): A Bloodhound heurisztika be- illetve kikapcsolása a jelölőnégyzet bejelölésével illetve törlésével történik. Ha a Bloodhound heurisztika be van kapcsolva, akkor a vírusérzékenységet is állíthatjuk. A magasabb szint beállítása növeli a vírusvédelmet, bár ez egy kicsit több időt igényelhet.)

Most már látjuk, hogy a Norton Antivirus 2002 termék teljesíti a KFVEH próbát, és alkalmas lehet, hogy sikeresen megküzdjön a számítógépes betörőkkel, akik vírusok és férgek révén szeretnének a számítógépébe bejutni.

Javítások telepítése

 
A Windows 2000 egyszerű módszert fejlesztett ki a javítások lekérésére és az Interneten keresztül történő frissítésre. Válassza ki a Microsoft 'Windows Update' weboldalát a Start->Windows Update úton. Ha így tesz, megjelenik az alábbi ablak. A Scan for updates gomb kiválasztásával megnézheti, hogy milyen Microsoft javítások várnak telepítésre szemben a már telepített javításokkal. Olvassa el a Note gomb alatti információt, hogy megtudja, hogyan működik a frissítés és hogyan tartják tiszteletben a számítógépén lévő információkat (privacy). 

(A Note melletti szöveg: 

Megjegyzés: A Windows Update semmilyen személyes információkat nem gyűjt. 
Olvassa el az erről szóló nyilatkozatot!) 

Image

Visszatérve az előzőekhez, a Scan for updates gomb megnyomása után megjelennek a számítógépre telepíthető javítások listája. Amit a számítógépén lát, szinte biztosan eltér az alábbi ablaktól, de így is kialakul egy kép Önben, hogy tulajdonképpen mi történik.

A példa szerint egy kritikus javítás vár a példában bemutatott számítógépre. Rákattintva a Critical Updates and Service Packs (1) gombra az egér bal gombjával, látható lesz, hogy a javítás mire szolgál, milyen nagy, hogyan telepítse és vajon törölhető-e. Ezeket az adatokat a 2. feladathoz tartozó űrlapon rögzítse. Az ablakban a Frissítések kiválasztása, áttekintése és telepítése (Review and install critical updates) gomb kiválasztásával az adott javítás telepítése megkezdődik.

Image

Az előzőekhez hasonlóan, a "Windows Update" képernyő tetején az Office Update gomb kiválasztásával a következő - nem feltétlenül evvel egyező - ablak jelenik meg Önnél is. A frissítési eljárás először végignézi, hogy milyen javításokra van szükség a gépen telepített Office termékek frissítéséhez. Nyomja meg a Use automatic detection to find the latest Office product updates for this computer melletti GO gombot a gép átvizsgálásához. Az eredmény az Office termékhez szükséges javításokat mutatja. Kiválaszthatja azokat a javításokat, amiket jónak lát, és utána ugyanúgy telepítheti, ahogy korábban az operációs rendszer javítások telepítésénél leírtuk.

Image

Mindkét weblapon láthatja, hogy milyen javításokat telepített már, mikor, és a javítások honnan érkeztek. Ez segíthet a korábbi frissítések áttekintésében.

Egy tűzfalprogram bemutatása

A példában bemutatott tűzfal a Tiny Software, Inc. terméke a Tiny Personal Firewall (TFP). Jelenleg a 2. verzió szabadon használható otthoni gépekre, bár van újabb, több funkcióval - például tartalomszűréssel - rendelkező verzió is. A 2. verziót telepítse, ha a licensz szerint kíván eljárni. A példák a 2.0.15A verzióval készültek.

A TPF-fel végzett első feladata az, hogy a szabályokról készítsen másolatot. Ehhez a C:\Program Files\Tiny Personal Firewall\persfw.conf-ról készítsen másolatot és tárolja el oda, ahol a másolt adatállományokat tartja. Legjobb ezt akkor elkészíteni, mikor a TPF éppen nem fut, nehogy a másolási idő alatt a szabályok megváltozzanak.

Az első ablakban azok az alapértelmezésként beállított szabályok vannak, amelyeket az Internetről jövő illetve az Internetre menő forgalmat szabályozzák. Ehhez az ablakhoz az Start->Tiny Personal Firewall->Personal Firewall Administration->Advanced úton jut el. 

Image

Felhívjuk a figyelmet arra, hogy az Ask for action when no rule négyzet be van jelölve. Ez azt jelenti, ha megjelenik egy másik számítógépről érkező vagy odamenő adatforgalom, amelyre egyik szabály sem vonatkozik, akkor egy ablak nyílik meg, amely megkérdezi, hogy mi történjen evvel a forgalommal. A TFP eme tulajdonsága segít annak eldöntésében, hogy hogyan kezeljük a különböző adatforgalmakat. Most már lassan elérkezett ahhoz a ponthoz, hogy ki tudja tölteni a 4. feladat - Telepítsen és használjon tűzfalat! c. részben javasolt űrlap oszlopait és sorait.

Próbáljuk meg az űrlap egy sorát kitölteni! Indítsunk el egy alkalmazást, hogy megtudjuk milyen kapcsolatokat épít fel. Támaszkodjuk arra, amit megtanultunk, vagyis fokozatosan konfiguráljuk a TPF-et, és csak azt a forgalmat engedjük meg, amire szükségünk van, és semmi többet. Ebben a példában az AOL Instant Messenger (AIM) alkalmazást választottuk ki. Feltételezzük, hogy az AIM és a TPF is telepítve van. És azt is feltételezzük, hogy a TPF a fenti ablakban található, alapértelmezésként megadott szabályokkal fut. 

Image 

Az AIM indítása után egy, az alábbihoz hasonló új ablak nyílik meg, Outgoing Connection Alert! Az ablakból leolvashatjuk az adatforgalmat indító alkalmazás nevét (c:\program files\aim95\aim.exe) és azt a távoli gépet, amellyel összeköttetést akar teremteni (a címét - 64.12.161.185 - és a portszámát - 5190 - egyaránt). Most kellene arról dönteni, hogy engedélyezzük-e a kapcsolatot, és ha igen, akkor állandó vagy ideiglenes legyen-e az engedély.

A cikk 4. feladatának javaslatai szerint ha még nem tudjuk a két választ megadni, akkor legyünk inkább konzervatívak, és tiltsuk meg az összeköttetést. Ezért új szabályt sem állítunk fel, mert fogalmunk sincs arról, hogy engedélyezzük-e állandóra ezt a kapcsolatot. A Deny gomb megnyomásával adjuk meg a választ. Mostantól kezdve várjunk arra, hogy vajon az AIM mit lép erre. 

Azonnal megjelenik ugyanaz az ablak, ezért még néhányszor nyomjuk meg a Deny gombot, hogy vajon végülis tovább megy-e az AIM. Néhány kísérlet után rájövünk, hogy nem megy tovább, ezért engedélyezzük a kapcsolatot. Kattintsunk a Permit gombra, ezzel ideiglenesen engedélyezzük a kapcsolatot. Még nem vagyunk készek arra, hogy fejest ugorva az ismeretlenbe bármilyen új szabályt állítsunk fel. 

Image 

A kapcsolat engedélyezése után egy újabb ablak jelenik meg. A korábbi stratégiánkat megismételve először a Deny gombot nyomjuk meg, hogy vajon mi történik. Végülis ugyanúgy, ahogy az előbb, a Permit gombbal engedélyezzük a kapcsolatot.

Eddig megtudtuk azt, hogy az AIM két géppel - 64.12.161.185 és 205.188.8.201 - lép kapcsolatba, mindkettővel az 5190-es porton. Ezen a ponton azt az ésszerű következtetést vonhatjuk le, hogy az AIM-nak legalább ezzel a két géppel a megadott portokon keresztül kapcsolatban kell lennie ahhoz, hogy tudja végezni a dolgát. Folytassuk a nyomozást! 

Állítsuk le és indítsuk újra az AIM-et, hogy meg tudjuk figyelni a viselkedését. Arra vagyunk kíváncsiak, hogy az eddig észrevett két kapcsolaton kívül akar-e további kapcsolatokat felépíteni. Észrevehetjük, hogy további számítógéphez, a 64.12.161.153 gép 5190-es portjához is csatlakozni szeretne. Egy kis időt megtakarítva azonnal engedélyezzük ezt a kapcsolatot is.

Most már megállapíthatjuk, hogy az AIM az aol.com névterében több géphez szeretne csatlakozni. Minden esetben 5190 a portszám, tehát mondhatjuk, hogy az AIM az 5190-es portot használja. Ennek alapján elfogadhatjuk azt a tényt, hogy az AIM az aol.com névtéren belül bármely gép 5190-es portjára kapcsolódhat. Így elkészíthetjük azt a szabályt, amely kérdezés nélkül engedélyezi ezt a kapcsolatot, és az engedélyezést állandóra állítja be.

A szabály felállításához újra állítsuk le és indítsuk el az AIM-ot. Az aol.com gépekhez felépített kapcsolat ideiglenes engedélyezése helyett válasszuk a Create appropriate filter rules and don't ask me again gombot az állandó engedélyezésre. A gomb kiválasztásával megjelenik aCustomize rule gomb, kattintsunk rá. Az alábbi két ablak közül az első jön fel, módosítás után megjelenik a második ablak is. Megengedjük, hogy az AIM egy adott gép adott portjához csatlakozzon, de semmi mást. Ez az ideiglenességi próba. 

Image

Image

Ha lenyomjuk az OK gombot, visszajutunk az eredeti ablakhoz, ahol a Permit gombra kattintunk. Ez az engedélyezési teszt.

Összefoglalva, az AIM programnak engedélyeztük, hogy az Internet egy speciális gépének 5190-es portjával kapcsolatot létesítsen, és semmi több. Ha még néhányszor elindítjuk az AIM-et, hogy minden AIM szerverhez csatlakozhasson, akkor az alábbi Firewall Configuration ablakot kapjuk. Az otthoni gépén is valahogy így kell kinéznie az ablaknak. 

Image

Most már elkészültek azok a szabályok, amelyek lehetővé teszik, hogy az AIM a szükséges gépekkel kapcsolatot létesítsen. A 4. feladathoz tartozó űrlapon néhány sort kitöltünk. Az otthoni gépén ezt minden hálózatot használó alkalmazásnál ki kell töltenie. Ettől kezdve az Ask for action when no rule is found jelölőnégyzet legyen bejelölve. Evvel ún. tanulómódba kerül a tűzfalprogram anélkül, hogy közben bárkinek vagy bárminek extra jogokat biztosítanánk. 

Image 

Végül, a biztonsági őrhöz hasonlóan, vezessen be egy új szabályt, amely minden más forgalmat kitilt. A Filter rule ablakban láthatja, hogyan tegye ezt. A Start->Tiny Personal Firewall->Personal Firewall Administration -> Advanced -> Filter Rules -> Add útvonalon elérheti ezt az ablakot. Kattintson az OK gombra, és a fel- illetve lefelé álló nyilak segítségével állítsa be, hogy ez legyen az utolsó szabály. Bejelölheti aDisplay alert box when this rule matches négyzetet, így ellenőrizheti, hogy valóban azt a forgalmat tiltja, amit tiltani kíván. 

Megjegyezzük, hogy a Filter Rules táblázat minden sorában látható az alkalmazás és rá vonatkozó korlátozás. Ha a korlátozás csak az alkalmazás nevére vonatkozna, akkor a számítógépes betörőknek túl könnyű lenne a dolguk egyszerűen azzal, hogy az alkalmazást egy ugyanilyen nevű másik programmal helyettesítenék, ami más feladatot is elláthatna. Például, képzeljük el hogy az AIM nevű alkalmazás néhány más számítógéphez is csatlakozna, hogy például az Ön fix lemezegységéről bizalmas információkat továbbítson.

Hogy ennek az esetnek a valószínűségét csökkentsük, a TPF minden, valamelyik szabályban előforduló alkalmazásról olyan információt (MD5 aláírás) őriz, amely az adott alkalmazás sértetlenségét bizonyítja. Az alábbi Application's MD5 táblázat listázza ki ezeket az információkat. E tulajdonság érvénybe léptetéséhez jelölje be Check MD5 Signature négyzetet. 

Image

Ha Ön vagy bárki más egy alkalmazás új változatát telepíti fel, a TPF figyelmezteti, hogy az MD5 aláírás megváltozott. Ekkor eldöntheti, hogy ez a változás jogos volt-e és a TPF most már az új MD5 aláírást őrizze meg, vagy valami egyéb dolog történt. 

Image 

Az utolsó dolog amit bemutatunk, hogy hogyan védekezzünk jelszó használatával a szabályok illegális módosítása ellen. A Miscellaneous táblázat kiválasztásával a fenti ablak nyílik meg. Ebben az ablakban beállíthatja, hogy a TPF adminisztratív feladatainak ellátásához jelszó kelljen. Megjegyezzük, hogy itt a távoli adminisztráció lehetőségét nem használjuk. Ugyanis otthoni számítógépes környezetben így korlátozni tudjuk azokat a rosszindulatú próbálkozásokat, amelyek távolról kívánják módosítani a szabályainkat. Tehát hagyjuk kikapcsolva ezt a funkciót, és így csak az változtathat a tűzfal beállításán, aki az otthoni számítógép előtt ülve próbálja ezt megtenni. 

Image 

A két jelszó közül a tűzfal adminisztrációjához szükséges jelszó beállítása a fontosabb. Állítson be jelszót, hogy a felállított szabályokat az Ön tudta nélkül ne változtathassák. A forgalomról szóló információkat (az ún. logállományok) és a statisztikákat is védheti jelszóval. Ne felejtkezzen el a 6. feladat - Használjon erős jelszavakat! c. részben lefektetett irányelvekről, amikor jelszót választ.

Ha az adminisztratív jelszót beállította, akkor a TPF módosításkor mindig az fentihez hasonló ablak fog megjelenni, amelynek első sora: Personal Firewall is running on. Az otthoni gépén a Localhost melletti kört kell bejelölnie. Ha megadja a helyes jelszót, akkor a TPF a továbbiakban ugyanúgy működik, ahogy eddig láttuk. 

A Tiny Software, Inc. által gyártott Tiny Personal Firewall program lehetővé teszi, hogy az otthoni számítógépe által generált hálózati forgalmat felügyelje. Van egy ún. tanulómód állapota is, amikor minden újonnan felépített kapcsolatról tájékoztást nyújt Önnek. Megtudhatja, hogy a számítógépe milyen forgalmat bonyolít, valamint korlátozhatja, hogy ezek közül milyen forgalmat enged meg. Az alkalmazások sértetlenségének ellenőrzésével a még látszólag kicsiny változtatásokra is felhívja a figyelmet, és ezt arra is lehet használni, hogy a veszélyes kapcsolatokat letiltsa. A TPF adminisztrációja jelszóval védhető. 

Adatállományok kódolása és visszafejtése

Az adatok kódolása révén megakadályozható, hogy a bizalmas információk - mégha az információt tartalmazó file-t ellopják vagy más módon meg is szerzik - ne kerüljenek illetéktelen kezekbe, vagyis titkosságuk megmaradjon. Többféle kódolási eszköz található a piacon. Az itt bemutatásra kiválasztott eszköz a HandyBits EasyCrypto Deluxe. Az 5.5-ös verzió személyes használatra ingyenes. A Windows különböző verziói alatt fut, az itt bemutatott példában Windows 2000 alatt láthatjuk.
Az EasyCrypto Deluxe a Windows Intéző (Windows Explorer) alá bekerül, így könnyen kódolhat vele adatállományokat és könyvtárakat úgy, hogy először kiválasztja azokat, majd az egér jobb gombjával felhozza a kódolási menüt. A bemutatás kedvéért hozzunk létre egy adatállományt a Jegyzetfüzet (Notepad) nevű alkalmazás segítségével (Start -> Programok -> Eszközök -> Jegyzettömb - vagy - 
Start -> Programs -> Accessories -> Notepad). Az alábbi ablak Lincoln elnök Gettysburg-i beszédét tartalmazza, az adatállomány neve Gettysburg Address.txt. 

Image

A következő ablak a diszken tárolt adatállományt mutatja a Windows Intéző (Windows Explorer) segítségével. 

Image

Ha ezt a file-t kódolni szeretnék, kattintsunk az egér jobb gombjával egyszer a file nevére, és megjelenik a menü. Mivel a kódoló program a Windows Intéző (Windows Explorer) alá bekerült, a menüben olvasható a szükséges menütétel. Azaz, mivel ez az állomány még nincs kódolva, a menü azEncrypt tételt tartalmazza, ahogy az alábbi ábrán is látható. 

Image

Az Encrypt kiválasztásával a következő (Encrypt Files) ablak nyílik meg. Az ablak kiírja a kódolandó adatállomány nevét. A Show Password-höz tartozó négyzetet bejelöltük, ezért a kódoláshoz szükséges jelszó olvasható lesz. Nem ez az alapértelmezés, általában nem is kell ezt a négyzetet bejelölnie. Ha ezt bejelöli, akkor bárki, aki a válla fölött a képernyőjére pillant, megláthatja a jelszót. Ezután a Encrypt Now gombra kattintva a kódolás megtörténik. Az EasyCrypto a kódolás után a nyílt szöveget kitörli. Így a bizalmas információ valóban titkos marad, mivel az olvasható változatot letörölte a program.

Image

Ha ugyanezt az állományt vissza szeretné fejteni, újra a Windows Intézőt (Windows Explorer) vegye elő. Észreveheti, hogy a menütételekben változás történt, most a Decrypt jelenik meg, mivel az állomány kódolva van. 

Image

Image

A feljövő ablak szintén megváltozott az előzőekhez képest (decryption), mivel most az adatállományt vissza kell fejteni. Megint megjegyezzük, hogy a Show Password négyzet be van jelölve, ahogy a Open File After Decrypting melletti négyzet is. Ez utóbbi különösen akkor hasznos, ha a visszafejtett file-t szerkeszteni kívánja, majd a már módosított file-t újra kódolva szeretné eltárolni. Ha a Decrypt Now gombra rákattint, a visszafejtés megtörténik, valamint a megfelelő alkalmazás meg is nyitja a file-t. 

A példánkban Lincoln elnök neve alá beírjuk a Gettysburg-i beszéd dátumát - 1863. november 19. - és elmentjük az adatállományt. A kódolástSzerkesztés -> Vissza vagy angol Windows esetén Edit -> Undo útvonalon végezhetjük. (Megjegyzés: a kipróbálás során ez az út nem sikerült, ezért az előbbiek során leírt kódolást javasoljuk.) Az alábbi ablak a Windows Intézőben (Windows Explorer) megjelenő kódolt változatot mutatja. 

Image

A következő ablak a visszafejtett adatállományt mutatja, a hozzáírt dátummal együtt. 

Image

A kódolás az információk titkosságának megőrzésére szolgáló eszköz, amely akkor is működik, ha az adatállományt ellopják vagy egyéb úton megszerzik. Emlékezzen a 9. feladat - Telepítsen és használjon kódoló programot, valamint korlátozza az adatállományokhoz való hozzáférést! c. részben leírtakra, hogy a kódolásnak eléggé erősnek kell lennie ahhoz, hogy az információ élettartama alatt megőrizze a titkosságát. Az itt bemutatott termék - a HandyBits EasyCrypto Deluxe - elég erős kódolást használ e cél eléréséhez. 

 ACL beállítása

Az adatállományok vagy könyvtárak hozzáférési listáinak (ACL) beállításával elérhetjük, hogy az otthoni számítógépének felhasználói csak arra a tevékenységre kapnak engedélyt, amire szükségük van. Éppúgy, ahogy a fontos dokumentumait elzárható szekrényben őrzi, az ACL-ek elzárják az általuk őrzött adatállományokhoz és a könyvtárakhoz való hozzáférést. Az ACL-ek beállítását Microsoft Windows 2000 rendszer alatt mutatjuk be. Megjegyezzük, hogy csak a Windows NT, Windows 2000 és a Windows XP rendszerek alatt van ACL. Ha nem ilyen rendszert használ, akkor ugorja át ezt a részt.

Hol találja meg a file-okhoz illetve a könyvtárakhoz tartozó ACL-t? Mielőtt válaszolnánk a kérdésre, hozzon létre egy könyvtárat és tegyen bele egy állományt. Ezt a könyvtárat és állományt fogjuk arra használni, hogy bemutassuk az ACL működését és a könyvtárak illetve az adatállományok elérésének korlátozását. A létrehozott könyvtár neve C:\temp\Home Computer Users. A Windows Intézővel (Windows Explorer) állítottuk elő. Egy "Restricted File" nevű adatállományt teszünk a könyvtárba. Ez utóbbit a Jegyzettömb (Notepad) nevű alkalmazással generáltuk (Start -> Programok -> Eszközök -> Jegyzettömb - vagy angol Windows-ban Start -> Programs -> Accessories -> Notepad). Az alábbi ablakban a file létrehozása utáni állapotban láthatjuk a könyvtár tartalmát. Ha a számítógépén még nincs C:\temp nevű könyvtár, először azt kell létrehoznia. 

Image

Az egér jobb gombjával kattintson erre a file-ra, és az alábbihoz hasonló menü nyílik meg. Ezután a Tulajdonságok (Properties) nevű tételt válassza ki, és megjelenik a Restricted File Tulajdonságai (Restricted File Properties) nevű ablak. Végül a Biztonság (Security) fülre kattintva a jobboldalihoz hasonló ablakot fog látni. Ebben az ablakban láthatja a Restricted File állományhoz tartozó ACL-et. 

Image Image Image

A harmadik ablak szerint a Restricted File nevű állományhoz mindenkinek (Everyone) minden joga ( Teljes hozzáférés - Full Control) megvan. Ez azt jelenti, hogy bárki módosíthatja, elolvashatja, felülírhatja a file-t. Túl engedékeny beállítás, ezt meg kell változtatni.

Először döntenünk kell, hogy melyik felhasználó férhet a file-hoz és melyik nem. Akiknek hozzáférést adunk, azoknál is meg kell gondolnunk, hogy milyen típusú hozzáférést biztosítunk. Lásd a 9. feladat - Telepítsen és használjon kódoló programot, valamint korlátozza az adatállományokhoz való hozzáférést! c. részben leírt KHA tesztet.

Tegyük fel, hogy a lrr nevű felhasználónak, e dokumentum szerzőjének szeretnénk teljes hozzáférést (Teljes hozzáférés - Full Control) biztosítani. Azonban bárkinek (Everyone) ne adjunk jogokat! Most már tudjuk, hogy kinek és milyen jogot biztosítsunk, folytathatjuk a munkát.

Előszöris a lrr nevű felhasználót adjuk a ACL listához. Rákattintunk az ablak bal oldalán található Hozzáadás (Add) gombra. Ekkor a jobboldali ablak nyílik meg. Megkeressük azt a felhasználót, akit az ACL-hez hozzá szeretnénk adni, majd a Hozzáadás (Add) és az OK gomb lenyomásával befejezzük a műveletet. 

Image Image

Ezután a következő ablakot látjuk, ahol az lrr nevű felhasználónak minden jogot (Teljes hozzáférés - Full Control) megadunk. 

Image Image

Most már csak a többi felhasználót (Everyone) töröljük az ACL-ről. Az egér bal gombjával rákattintunk az Everyone-ra majd a Eltávolítás(Remove) gombra. Ha így teszünk, akkor egy figyelmeztetést kapunk, hogy az Everyone nem törölhető. 

Image

(A szöveg fordítása: 
Nem tudja az "Everyone"-t törölni, mivel jogait a szülőtől örökölte. A törléshez először a jogok öröklését kell megszüntetni. Kapcsolja ki az öröklési funkciót, majd próbálja meg újra a törlést! 

Ez azt jelenti, hogy az előző ablakban az Allow inheritable permissions from parent to propagate to this object melletti négyzet jelölését törölnünk kell. Az OK-ra való kattintással választási lehetőség elé kerülünk, ahogy a következő ábra mutatja. 

Image
(A szöveg fordítása: 
Most szünteti meg erre az objektumra vonatkozó jogok öröklödősét. Mit szeretne tenni?

  • Ha le szeretné másolni az objektum örökölt jogait, nyomja meg a Copy-t.
  • Ha törölni szeretné az örökölt jogokat, hogy csak azok a jogok érvényesüljenek, amelyek erre az objektumra vonatkoznak, akkor nyomja meg a Remove-ot.
  • Ha félbe akarja szakítani ezt a műveletet, nyomja meg a Cancel-t.

Image

Copy-ra kattintunk, a Restricted File Tulajdonságok (Restricted File Properties) nevű ablak újra előjön. Újra kiválasztjuk a Everyone-t és a Eltávolítás-t (Remove). Ha mindezt megtettük, az fentihez hasonló Biztonság (Security) elnevezésű ablakot kapunk. Az OK-ra kattintunk. Most már a Restricted File nevű állományt az használhatja, akit megjelöltünk, vagyis lrr mindent megtehet, de a többi felhasználó egyáltalán nem férhet hozzá.

Ha ebben a könyvtárban minden adatállománynak hasonló jogokat szeretne adni, akkor az ACL-eket a fenti módon be kell állítanunk. Egy idő múlva már követhetetlen lesz a folyamat. Talán néhány file-ra elfelejti a beállítást megcsinálni. A file-ok titkossága már megkérdőjelezhető lesz, mert néhány file nincs kellőképpen védve.

Szerencsére egy jobb módszert is kitaláltak egy könyvtár összes adatállományának vagy egy alkönyvtár jogainak beállítására, ami még jövőben létrehozandó állományokra is vonatkozik: ez a szülőkönyvtár tulajdonságainak öröklése. A következőkben ezt állítjuk be. 

Image

Előszöris a szülőkönyvtárra, a C:\temp-re kell állnunk, hogy Home Computer Users könyvtárral tudjunk dolgozni. Ha ott vagyunk, az egér jobb gombjával rákattintunk a könyvtárra, kiválasztjuk a Tulajdonságok (Properties) nevű menütételt, majd a Biztonság (Security) fület. Kezdetben ugyanazt tesszük, mint az előbb, kivéve azt, hogy most könyvtáron dolgozunk, nem file-on. Ezek: hozzáadjuk az lrr felhasználót minden joggal felruházva (Teljes hozzáférés - Full Control), kikapcsoljuk a Allow inheritable permissions from parent... jelölőnégyzetet, és bárki mástól (Everyone) minden jogot megvonunk. 

Ha mindezt megtettük, a következőhöz hasonló ablakot kapunk, benne az lrr felhasználóval. Azonban mielőtt megnyomnánk az OK gombot, még valamit meg kell tennünk. Kattintsunk az Speciális (Advanced) gombra, hogy egy új ablakot felhozzunk. Ebben az ablakban állíthatjuk be, hogy a most meghatározott jogok a Home Computer Users könyvtár minden alkönyvtárára és adatállományára is érvényesek legyenek. Ez az ablak nagyon hasonlít a korábban látott Permissions és a Permissions entries ábrához. 

Image Image

Jegyezzük meg, hogy a Engedélyek öröklésének engedélyezése a szülőtől (Reset permissions in all child objects and enable propagation of inheritable permissions) négyzetet bejelöltük. Az OK gombra kattintva egy új ablak jelenik meg. A Yes-t megnyomva már készen is vagyunk. 

Image

Most már a Home Computer Users könyvtárat úgy állítottuk be, hogy az lrr nevű felhasználónak minden joga megvan, de senki másnak sincs joga semmihez. Továbbá minden, ebben a könyvtárban később létrehozandó adatállományra és alkönyvtárra ugyanezek a jogok lesznek érvényesek. Ezt most ki is próbáljuk.

Vajon valóban azt állítottuk be, amit szerettünk volna? Hozzunk létre a Home Computer Users könyvtárban a Windows Intéző (Windows Explorer) segítségével egy új alkönyvtárat. A Test Folder nevet adjuk neki. A létrehozás után ellenőrizzük a jogokat, mégpedig az egér jobb gombjának lenyomásával, majd a Tulajdonságok (Properties) és Bizonság (Security) útvonalon. 

Image

Image 

Ha mindezt megtettük, akkor az alábbi Test Folder Tulajdonságok (Test Folder Properties) nevű ablakot kapjuk. Ez az ablak azt mutatja, hogy valóban azokat az engedélyeket adtuk meg, amit meg szerettünk volna adni a könyvtárnak, és ezek vonatkoznak az alkönyvtárakra és a benne lévő adatállományokra.

Ha az otthoni számítógépe támogatja az ACL-t, például Windows NT, Windows 2000 vagy Windows XP operációs rendszere van, akkor a felhasználók igénye szerint állíthatja be az ACL-eket. A 9. feladat - Telepítsen és használjon kódoló programot, valamint korlátozza az adatállományokhoz való hozzáférést! c. részben leírt KHA tesztet használja a szükséges beállításokhoz! 

 
Az itt bemutatott termékek csak példáként szolgálnak. Bármely termék bemutatása vagy elhagyása nem jelenti a Carnegie Mellon University, Software Engineering Institute, General Services Agency (GSA) vagy bármely U.S kormányzati ügynökségnek a termékhez való hozzájárulását vagy hozzájárulás tagadását. Egy termék megnevezése nem jelenti, hogy az a legjobb termék vagy csak az a termék felel meg a kitűzött célnak. 

Copyright 2002 Carnegie Mellon University