Takaisin etusivulle

Esimerkki tietoturvaominaisuuden käyttömahdollisuudesta

Lisätietoa:
Kimmo Rousku
kimmo.rousku@ict-tuki.fi

Alla esimerkki siitä, kuinka Vistan asennusmedian Järjestelmän palautusasetusten
(System Recovery options) Komentorivi-toimintoon (Command Prompt) liittyvää
ominaisuutta voidaan hyödyntää.


Esimerkkitietokoneelle tehdään kaksi kansiota, joihin tehdään kolme tiedostoa, tiedostoista yksi jätetään oletusoikeuksille,
toisesta tiedostosta poistetaan kaikki käyttöoikeudet paitsi system-oikeus, kolmannesta tiedostosta poistetaan myös system-oikeus.
Tämän jälkeen tiedostot kopioidaan toiseen kansioon, joka suojataan EFS-salauksella.

Tämän jälkeen tietokone käynnistetään Korjaa tietokone -ominaisuuden kautta komentokehotetilaan ja katsotaan,
voidaanko kyseiset tiedostot
a) kopioida usb-muistille tai
b) poistaa tiedostot. Tämän jälkeen
c) tietokone tuhotaan formatoimalla sen kiintolevy.



Esimerkkikoneen C:-asemalle on tehty kaksi kansiota nimeltään Data1 ja Data2, joista Data2 on suojattu
käyttäen EFS-salausta. Se näkyy normaalisti vihreästä kansioväristä.



Kansioista löytyy kolme tiedostoa, jotka ovat nimeltään file1.txt, file2.txt ja file3.txt.



File1.txt-tiedoston acl-käyttöoikeudet on jätetty oletukseksi eli niitä ei ole muutettu millään tavalla.



File2.txt-tiedoston acl-käyttöoikeuksista on poistettu kaikki käyttöoikeudet, ainoastaan sisäänrakennetulle
System- eli järjestelmätunnukselle on jätetty oletusoikeus. Tiedostoon ei ole siis yhdelläkään
tietokoneen tavallisella käyttäjätunnuksella käyttöoikeutta.



File3.txt-tiedostosta on poistettu kaikki oikeudet, mukaan luettuna system-oikeus, josta järjestelmä antaakin huomautuksen.



Tietokone käynnistetään asennus-dvd-levyltä napsauttamalla jotain näppäintä kyseisen ilmoituksen kohdalla,
jotta tietokone buuttaa dvd-asemassa olevalta asennuslevyltä normaalin C:-kiintolevyn sijaan.



Jos et ole tarkka napsautuksessasi, tietokone saattaakin lähteä liikkeelle C:-asemalta eli käynnistää Windowsin aivan normaalisti.
Mikäli sinulle käy näin, odota rauhassa, että Vista käynnistyy normaalisti, kirjaudu järjestelmään ja käynnistä sen jälkeen Vista uudelleen
Käynnistä | Käynnistä uudelleen - valinnalla.



Tarkistetaan, että maa-asetukset ovat oikein eli suomi/suomalainen ja napsautetaan Seuraava- painiketta.



Emme asenna Vistaa, vaan valitsemme vasemmasta alakulmasta Korjaa tietokone.



Jos tietokoneessa ei ole standardinmukaista levyjärjestelmää, pitää tässä kohdassa ladata käyttöön
Vista-yhteensopiva levyjärjestelmän laiteohjain valinnasta Lataa ohjaimet. Omissa testeissäni olen
päässyt ilman ongelmia myös useisiin RAID-levyjärjestelmillä varustettuihin 2003-palvelimiin suoraan
Vistan mukana tulevilla laiteohjaimilla. Hätätilassa voit kokeilla myös vanhempia laiteohjaimia,
ainoastaan 64-bittinen Vista edellyttää 64-bittiset Vista-ohjaimet, muut 32-bittiset versiot hyväksyvät
myös vanhempia laiteohjaimia.



Tämän jälkeen tulee tämän tietoturvaominaisuuden kaikista keskeisin näyttö. Valitaan alin vaihtoehto Komentorivi.
Huomaa, ettet tarvitse toimintoa varten mitään käyttäjätunnusta tai salasanaa!



Oletuksena olet X:\Sources-kansiossa. Normaalisti siirtyisit C:-asemalle, mutta tässä kuvan tapauksessa järjestelmätiedostot
eli Vista sijaitseekin D:-asemalla. Omissa kokeiluissasi kokeile ensin C:-asemaa, jolloin komento on C: eikä D: kuten kuvan tapauksessa.

Kuten näet, voidaan sekä file1.txt- että file2.txt-tiedostojen sisältöä katsoa aivan normaalisti!
Muistathan, että file2.txt-tiedoston ainoa käyttöoikeus oli system-käyttäjällä, jolloin tämä osoittaa sen,
että toimit nyt tietokoneella korkeimmalla mahdollisella eli system-käyttöoikeustasolla. Sen sijaan
file3.txt ei oletuksena aukea, koska sille ei ole annettu kenellekään käyttöoikeuksia, ei edes system- tasolle.



Kuten edellisessä kuvassa huomattiin, File3.txt-tiedoston suojaus kesti, koska siihen ei ole annettu kenellekään oikeuksia.
Jotta ei jää epäselvää se, kuinka vaarallisesta ominaisuudesta on kyse, tämän kuvan kahdella komennolla
eli takeown ja icacls otetaan kyseinen tiedosto järjestelmänvalvojat-ryhmän omistajuuteen ja sen jälkeen
annetaan sille tarvittavat oikeudet. Tiedosto voidaan avata ja käsitellä.


Data1-kansion tiedostojen kopiointi usb-muistille (F:kopsatut) onnistui.



Sen sijaan data-kansion tiedostot pitävät salaisuutensa, koska kansio ja tiedostot ovat suojattuja EFS- salaustekniikalla.



Mikäli väärinkäyttäjä haluaisi aiheuttaa tuhoa, helppo tapa olisi formatoida eli alustaa tietokoneen kiintolevy.

Sivun alkuun

Takaisin