Päev 2. Arvutitöökohtade ja väikevõrkude turvamine ja ... · Konfigureeri sertifikaadi templiit VPN serveri ... Microsoft Routing ja Remote Access server iv. Vali ... Ava arvutis

Koolitused ja infopäevad toimuvad Euroopa Liidu struktuurifondide programmi „Infoühiskonna teadlikkuse tõstmine“ raames,

mida rahastab Euroopa Regionaalarengu Fond. Läbiviija on BCS Koolitus AS.

Päev 2. Arvutitöökohtade ja väikevõrkude turvamine ja konfimine ettevõttes

Praktilised harjutused nr. 4 1. Windowsi tulemüüri häälestamine ja autenditud ühenduse lubamine läbi tulemüüri

1. Tulemüüri reegli konfimine a. Lülitu serverile TLN-DC1 b. Ava Command prompt ja proovi käivitada ping tln-srv1 c. käivita tulemüüri konsool käsuga wf d. Ava Connection Security Rules e. Loo uus IPSEC reegel järgmiste seadetega:

i. Reegli tüüp: Custom ii. Lõpppunktid: All

iii. Require authentication for inbound and request authentication for outbound connections

iv. Autentimismeetod: Computer and User (Kerberos) v. Protokoll ja port: Endpoint 1: TCP port 80, Endpoint 2: All ports

vi. Profiil: All vii. Nimi: IPSEC turvareegel HTTP jaoks

f. Tee sama reegel ka TLN-SRV1 arvutis. g. Lülitu TLN-DC1 arvutisse ja ava veebilehitsejaga aadress http://TLN-SRV1

h. Kontrolli kas IPSec ühendus on loodud, selleks ava Windowsi tulemüür i. Ava monitoring->Security Associations->Main Mode j. Millist autentimismeetodit, krüpteeringut ja porti (remote) kasutatakse? k. Loo tulemüüri reegel (sissetulevale liiklusele):

i. Lülitu arvutisse TLN-SRV1 ja käivita tulemüüri konsool ii. Ava Inbound connections ja keela pordiga 80 seotud reeglid ning

tee uus reegel

iii. Reegli tüüp: Custom iv. Programm: Vaikimisi seade

v. Protokoll ja port: Local port: TCP 80 vi. Skoop: Vaikeseade

vii. Tegevus: Allow the connection if it is secure: Allow the connection if it is authenticated and integrity-protected

viii. Kasutajad: vaikeseade ix. Profiil: All

x. Nimi: Turvaline HTTP lubamine l. Lülitu arvutisse TLN-DC1 ja proovi avada veebilink http://TLN-SRV1.

Kontrolli, et liiklus on krüpteeritud ja autentimine toimib. m. Proovi ühenduda kliendiarvutist TLN-CL1 veebiteenusega serveris

http://TLN-SRV1 ja veendu, et ühendust ei õnnestu luua

2. Sertifikaatide konfimine ja SSL ühenduse häälestamine

http://tln-srv1/

http://tln-srv1/

http://tln-srv1/



a. Konfigureeri sertifikaadi templiit serveri ja arvuti autentimiseks i. Logi arvutisse TLN-SRV1 ja käivita IIS konsool

ii. Vali Server certificates ja paremalt Create domain certificate 1. Common name siseveeb.sise.lan

2. Org: sise 3. Unit: IT

4. City:tln 5. State: hrj

iii. Vajuta select nuppu Specify Online certification authority ja vali siseCA iv. Friendly name väljale kirjuta veebiserver v. Ava Default web Site ja bindings ning vajuta add ja lisa https, IP

10.10.10.13 ja SSL certificate veebiserver vi. ava veebilehitseja arvutis TLN-CL1 ning aadress

https://siseveeb.sise.lan vii. Jälgi, et ühendus oleks krüpteeritud (luku märk aktiivne) ja sertifikaadi

viga ei genereerita. b. Konfigureeri sertifikaadi templiit VPN serveri autentimiseks

i. Ava Administrative tools->Certification Authority ii. Vajuta paremat nupp menüül Certificate Templates ja vali Manage

iii. Vajuta paremat hiire nuppu sertifikaadil Web server ja vali Duplicate Template->Windows server 2008 Enterprise

iv. Nimeta templiit VPN sert, vali Publish certificate in Active Directory v. Vali Subject Name aken ja Subject Name Format:DNS name

vi. Vali security aken ja lisa TLN-SRV1 ning lisa õigused Enroll ja Autoenroll vii. Vajuta OK

viii. Vajuta paremat nuppu Certificate Templates menüüs ja New->Certificate Template to Issue ->VPN cert

c. Jaga sertifikaat arvutitele välja i. Ava TLN-SRV1 arvutist MMC ja ava file menüüst Add/Remove Snap-in

ning Certificates ja vajuta nuppu Add ning vali Computer Account ja vajuta next, finish ja OK

ii. Ava menüüst Personal Certificates ja vajuta sellel paremat hiire nuppu ning vali Request new certificate ja vali VPN sert

d. VPN SSTP ühenduse konfimine i. Ava arvutis TLN-SRV1 Server manager->Roles->Network Policy And

Access Services->Routing and Remote Access Services ja vajuta sellel

paremat hiire nuppu ning vali properties ii. Vali Security ja vali sertifikaat vpn sert ja OK

iii. Vali NPS->Policies ->Network Policies ja tee topeltklikk Connections to Microsoft Routing ja Remote Access server

iv. Vali Overview lehel Grant Access v. Vaata üle autentimisseaded Constraints aknas ja vajuta OK.

vi. Lülitu TLN-CL1 arvutisse ja käivita Control Panel vii. Vali Network and Internet->Network and Sharing Center->Setup New

Connection viii. Vali Connect to workplace ja Use My Internet connection (VPN) ->I’ll

set up connection later

https://siseveeb.sise.lan/



ix. Aadressiks TLN-SRV1.sise.lan x. Kasutajanimi sise\administrator, parool ja remember password

xi. Vajuta Network Connections ja tee topeltklikk VPN Connection nimelisel võrguühendusel

xii. Peale ühenduse loomist vajuta ühendusel paremat nuppu ->Status ja Details

xiii. Kontrolli, et on loodud IKEv2 ühendus ja kasutatakse AES 256 krüpteeringut

xiv. Katkesta ühendus, vajuta ühendusel paremat nuppu ja vali properties xv. Muuda Security tabil ühenduse tüübiks SSTP

xvi. Tee topeltklikk ühendusel ja veendu, et ühenduse loomisel tekib viga. xvii. Ava administraatori õigustes Command Prompt ja käivita Regedit xviii. Ava asukoht

HKLM\System\Currentcontrolset\services\sstpsvc\parameteres xix. Tee uus dword32 kirje nocertrevocationcheck ja sea väärtuseks 1 xx. Proovi uuesti luua VPN SSTP ühendust

xxi. Esimesel katsel viga on seotud sertifikaatide tühistusnimekirja kättesaadavuse puudumisega, reaalses keskkonnas peab vastava nimekirja tegema kättesaadavaks ja publitseerima asukoha

sertifikaatidel. 2. Linuxi tulemüüri häälestamine

a. Käivita arvuti debian-srv1 ja käivita halduri režiim b. Kontrolli kehtivaid tulemüüri reegleid eri tabelitele:

i. iptables –t filter --list ii. Iptables –t mangle --list

iii. Iptables –t nat --list iv. Iptables –t –raw –list

c. Tulemüüri reegel sissetuleva PING, SSH ja HTTP liikluse lubamiseks ja ülejäänud liikluse blokeerimiseks:

i. Kontrolli võrgu seadme nimi (ethx) käsuga ip a ja muuda järgnevas skriptis see õigeks

ii. Tee uus file pico /etc/fw1 ja sisesta järgmised reeglid: *filter

#Append-rule kasutamine: iptables -A chain firewall-rule #Luba loopback liiklus ja keela liiklus 127/8 aadressile, mis ei kasuta loopback liidest

-A INPUT -i lo -j ACCEPT -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT

#Aktsepteeri loodud sissetulevad yhendused -A INPUT -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Luba liiklus arvutist valja -A OUTPUT -o eth1 -j ACCEPT

#Luba HTTP ja HTTPS yhendused -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT

#-A INPUT -i eth1 -p tcp --dport 443 -j ACCEPT #Luba SSH yhendused

-A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT



#Luba ping -A INPUT -i eth1 -p icmp -m icmp --icmp-type 8 -j ACCEPT

#Logi blokeeritud päringud

-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

#Blokeeri muu liiklus sisse -A INPUT -j REJECT -A FORWARD -j REJECT COMMIT

iii. Aktiveeri loodud reeglid: iptables-restore < /etc/fw1 iv. Kontrolli reeglite lisandumine: iptables -L v. Proovi reeglite toimivust, lülitudes ümber arvutisse debian-fog ja

kontrollides avatud porte käsuga nmap debian-srv1 vi. Salvesta loodud reeglid faili: iptables-save > /etc/iptables.up.rules

vii. Loo uus skript fail reeglite käivitamiseks automaatselt: 1. Pico /etc/network/if-pre-up.d/iptables ja sisesta read:

#!/bin/bash /sbin/iptables-restore < /etc/iptables.up.rules

2. Luba faili käivitamine: chmod +x /etc/network/if-pre-up.d/iptables

viii. Tee restart ja veendu, et tulemüüri reeglid on aktiivsed käsuga iptables -L

3. Kaughaldus Windows serverile kasutades Powershelli a. Powershelli käskudega tutvumine

i. Logi arvutisse TLN-DC1 ja käivita Powershelli käsurida halduri õigustega 1. Teenuse info koos peidetud jutuga "winrm"|get-service|ft –

wrap 2. Loetelu grupeerimine: get-eventlog -logname application -

newest 10 |fl -groupby entrytype 3. Tarkvara nimekiri: Gwmi win32_product | fl caption

4. Info arvutikonfi kohta: a. Get-WmiObject -Class Win32_Operatingsystem -

computer localhost|fl caption,version, csdversion, osarchitecture,free

b. Get-WmiObject -Class Win32_PhysicalMemory -

computer localhost c. Get-WmiObject -Class Win32_DiskDrive -computer

localhost d. Get-WmiObject -Class Win32_DiskPartition -computer

localhost 5. Protsessi startimine:

a. start-process -filepath "notepad.exe" -argumentlist “/argument”

b. Serverile rollide vaatamine-lisamine i. Impordi servermanager moodul (import-module)

ii. Vaata installitud rolle (get-windowsfeature)



iii. Lisa mingi roll (add-windowsfeature) c. AD käskude katsetamine

i. käivita powershell ja impordi activedirectory moodul (ipmo activedirectory)

ii. vaata käskude loendit AD jaoks (gcm –module activedirectory)

iii. AD kasutajate atribuutide loendi vaatamine (Get-aduser administrator –properties *)

iv. Kõigi kasutajate päring (Get-aduser –filter *) b. Kontrolli Powershelli kaughalduse eelduste olemasolu

i. Logi arvutisse TLN-SRV1 ja käivita powershelli käsurida halduri õigustega ning sisesta käsud:

1. Enable-psremoting –force 2. Set-executionpolicy unrestricted 3. Kontrolli Windows remote managementi konfiguratsioon:

Winrm get winrm/config 4. Kontrolli, et teenus kuulab vastavat porti: Netstat –ano|findstr

5985 5. Kontrolli teenuse staatus: Gsv winrm|fl

6. Ava tulemüür käsuga wf ja kontrolli, et pordile 5985 on lubatud sissetulev liiklus

c. Kaughaldus: 1. Lülitu arvutisse TLN-DC1 ja katseta kaughalduse toimivust:

a. Kaugarvutisse käsu saatmine i. Invoke-command –computername TLN-SRV1 {ps}

b. Kaugseansi loomine i. $arvuti=new-Pssession –computername TLN-

SRV1 ii. Enter-Pssession $arvuti

iii. Exit-Pssession 2. Kaughalduse saab keelata käsuga Set-Service winrm -

StartupType Manual; Stop-Service winrm d. Taaskasutatava skripti loomine

i. Logi arvutisse TLN-CL1 ii. Ava notepad ja sisesta järgmine tekst

#Funktsioon WMI päringu tegemiseks arvutite grupile

Function otsi-info {

PARAM( $wmiklass,

$arvutid )

import-csv $arvutid|foreach ($_.name) {Get-WmiObject -Class $wmiklass -ComputerName $_.name}

} otsi-info win32_computersystem arvutid.csv

iii. Salvesta fail nimega otsiinfo.ps1



iv. Loo fail arvutid.csv, kus sees päis Name ja selle all arvutite nimed TLN-DC1 ja TLN-SRV1

v. Ava arvutis TLN-CL1 Powershelli käsurida ja kaust loodud skriptiga ning käivita skript .\otsiinfo.ps1

vi. Tee uus skript otisinfo2.ps1 sisuga: Function otsi-info2

{ PARAM( $arvutid ) import-csv $arvutid|foreach ($_.name) {icm –computername $_.name {Get-WmiObject -Class win32_computersystem}} } otsi-info arvutid.csv

vii. Salvesta skript ja käivita arvutis TLN-CL1 viii. Kasutades analoogset skripti tee päring protsesside nimekirja

tõmbamiseks kaugarvutitest. 4. Ssh kasutamine kaughalduseks

a. SSH juurdepääsu lubamine

i. Logi arvutisse debian-srv1 ii. Kontrolli kas ssh teenus on aktiivne käsuga nmap localhost (vajadusel

lisa ssh teenus käsuga apt-get install ssh) iii. Logi arvutiosse debian-fog ja kontrolli juurdepääsu ssh abi ssh

root@debian-srv1 iv. Keela ssh juurdepääs kasutajale root

v. Pico /etc/ssh/sshd_config failis muuda PermitRootLogin no vi. Taaskäivita teenus service ssh restart

vii. Keela juurdepääs kasutajale opilane viii. Pico /etc/ssh/sshd_config failis lisa rida DenyUsers opilane

ix. Taaskäivita teenus service ssh restart x. Kontrolli, et ssh juurdepääs puudub nii root kui opilane kasutajale

xi. Luba ssh juurdepääs kasutajale opilane xii. Pico /etc/ssh/sshd_config failis eemalda rida DenyUsers opilane ja lisa

rida AllowUsers opilane xiii. Taaskäivita teenus service ssh restart

b. SSH avaliku võtmega logimine

i. logi sisse arvutisse debian-fog kasutajana opilane ii. tee kasutajaprofiili uus kaust mkdir ~/.ssh

iii. piira juurdepääsuõigused chmod 700 ~/.ssh iv. loo võtmepaar käsuga ssh-keygen -t rsa

v. kopeeri avalik võti arvutisse debian-srv1 ssh-copy-id opilane@debian-srv1

vi. katkest ühendus ja loo uus ssh seanss ning veendu, et autentimine toimub avaliku võtmega.

Praktilised harjutused nr. 5 5. Windowsi domeenikontrolleri loomine

a. Logi arvutisse TLN-TESTDC



b. Ava Servermanager c. Määra arvutile staatiline IP aadress 10.10.10.15

d. Muuda arvuti nimi TLN-TESTDC e. Häälesta ajavöönd ja regionaalsed seaded

f. Ava käsurida halduri õigustes ja käivita dcpromo g. Lehel Choose Deployment Configuration vali Create a new domain in a new

forest h. Lehel Name the Forest Root Domain vali testdomeen.lan i. Lehel Set Forest Functional Level vali Windows Server 2008 R2 j. Lehel Directory Services Restore Mode Admin Password sisesta parool k. Kui domeeni loomise rakendus lõpetab taaskäivita arvuti ja logi sisse

kasutajana testdomeen\administrator l. Ava Servermanager-Roles ja sealt Active Directory Domain Services haru ning

käivita Best practices analyzer ning tutvu soovitustega m. Sama lehekülje allosas on nimekiri tööriistadest domeenikontrolleri

haldamiseks n. Ava käsurida ja käivita käsk dcdiag

6. DNS teenuse konfimine a. Teenuskirjete taastamine:

i. Ava DNS konsool ja seal testdomeen.lan-Sites-Default-first-Site-tcp ning kontrolli teenuskirjete olemasolu

ii. Kustuta teenuskirjed iii. Käivita Powershelli käsurida halduri õigustes ja tee restart netlogon

teenusele käsuga: gsv netlogon|restart-service iv. Värskenda DNS konsoolis teenuskirjete aken – kirjed taastati

b. Cname kirje tegemine käsurealt: i. Käivita administraatori õigustes Command Prompt ja sisesta käsk

Dnscmd /RecordAdd SISE.LAN DC CNAME TLN-TESTDC.testdomeen.lan ii. Käivita ping DC

iii. Milline arvuti pingile vastas c. Kirje päring CNAME, SRV

i. Tee nslookup päring SRV kirjete küsimiseks ldap teenusele ii. Nslookup -q=SRV _ldap._tcp.testdomeen.lan

d. GLOBALNAMES tsooni loomine

i. Käivita käsk Dnscmd TLN-testdc /config /EnableGlobalnamesSupport1 ii. Vajuta paremat hiire nuppu Forward Lookup Zones väljal ja vali New Zone iii. Tee uus Primary tsoon, mis replikeeritakse kõigile DNS serveritele Forestis nimega

GlobalNames ja luba ainult staatilised kirjed iv. Tee uude tsooni cname kirje dc arvutile tln-testdc.testdomeen.lan

v. Proovi pingida kirjet dc 7. Rühmapoliitika rakendamine

a. Logi arvutisse TLN-DC1 ja aga rühmapoliitika halduskonsool (GPMC) b. Vali Domains-sise.lan ja ava Group Policy Objects haru

i. Aktiveeri default domain policy ja vali kõrvalolevalt lehelt Scope, Details, Settings ja delegation lehti ning kontrolli GPO seadeid ja

mõjuulatust c. Vajuta paremat hiire nuppu Default domain Policy peal ja vali edit



i. Ava Computer policies-Windows settings-security settings-account policies-password policyning muuda: Minimum password length 10

characters ii. Ava Account lockout policies ning muuda: account lockout threshold 3

invalid logon attempts iii. Sulge GPO editor

d. Vali Domains-sise.lan-klass ja vajuta sellel paremat hiire nuppu ning vali Create a GPO in this domain and link it here

e. Nimeta GPO klassi GP, vajuta paremat nuppu GPO peal ja val edit f. Vali Computer configuration-Windows firewall with advanced security ja

Windows firewall properties g. Lehel Domain Profile vali

i. firewall state: ON ii. Inbound connections: Block

iii. Outbound connections Allow h. Sulge GPO editor i. Logi arvutisse TLN-CL1, ava käsurida ja sisesta gpupdate /force j. Käivit GPO aruanne gpresult /h gpoinfo.html k. Ava loodud raport gpoinfo.html ja kontrolli, et seaded, mis eelnevalt konfiti on

jõustunud 8. Administreerimise delegeerimine jas auditeerimine

a. Administreerimise delegeerimine i. Logi arvutisse TLN-DC1 ja ava AD users and computers konsool

ii. Loo klass-grupid OU alla grupp kasutajatugi iii. Lisa gruppi kasutaja opilane

iv. Vajuta paremat nuppu klass organisatsiooniüksusel ja vali delegate control

v. Vali AD grupp kasutajatugi ja lisa esimesed kolm Tasks to delegate lehel olevast valikust.

vi. Logi arvutisse TLN-CL1 ja käivita Remote server administration tools install z:\install\rsat\windows6.1-kb958830-x86-RefreshPkg.msu

vii. Ava juhtpaneel –Programs-Turn Windows Features On and off ja lülita sisse RSAT haldustööriistad

viii. Ava ADUC ja, vali organisatsiooniüksus klass ning veendu, et kõiki seadeid saab muuta ja kõiki uusi objekte luua

ix. Logi välja ja logi sisse kasutajana sise\opilane ning ava ADUC ja

veendu, et luua saab vaid uusi kasutajaid klass OU-s x. Proovi teha uus kasutaja testkasutaja ja veendu, et see õnnestub

xi. Proovi nullida testkasutaja parool b. Auditeerimine

i. Logi arvutisse tln-dc1 ja luba aktiivkataloogi muudatuste auditeerimine käsuga auditpol /set /subcategory:“Directory Service Changes“

/success:enable ii. Ava AD Users and Computers konsool ja vajuta paremat hiire nuppu

harul sise.lan ning vali properties iii. Vali security lehelt advanced ning edasi auditing



iv. Vali auditing lehel add everyone ja märgi Auditing entry for sise lehel full control success veerus.

v. Muuda kasutajal opilane description parameetriks student vi. Ava Eventlogist security log ja kontrolli, et kasutaja muutmise kohta on

tekkinud kirje logisse. 9. Linuxi kliendi autentimine aktiivkataloogi

a. Logi sisse arvutisse debian-cl1 b. Käivita juurkasutaja terminal Application-Accessories menüüst c. Installeeri paketid kerberose autentimise konfimiseks:

i. Apt-get install krb5-user libpam-krb5 krb5-config libkrb53 libkdb5-4 libgssrpc4

d. Tee parandused konfifailis pico /etc/krb5.conf [logging] Default = FILE:/var/log/krb5.log [libdefaults] default_realm = SISE.LAN [realms] SISE.LAN = { kdc = TLN-DC1.SISE.LAN:88

admin_server = TLN-DC1.SISE.LAN default_domain =SISE.LAN

} [domain_realm]

.SISE.LAN = SISE.LAN SISE.LAN = SISE.LAN

e. Kontrolli teenuse toimivust: i. Kerberose ticketi küsimine: kinit [email protected]

ii. Nimekiri väljastatud piletitest: klist f. Ühenda Linux arvuti domeeni:

i. Installeeri paketid: apt-get install winbind samba ii. Muuda Samba konfifail:

[global] security = ads

realm = SISE.LAN password server = 10.10.10.10 workgroup = SISE

idmap uid = 10000-20000 idmap gid = 10000-20000

winbind enum users = yes winbind enum groups = yes

template homedir = /home/%D/%U template shell = /bin/bash

client use spnego = yes client ntlmv2 auth = yes

encrypt passwords = yes winbind use default domain = yes

restrict anonymous = 2

mailto:[email protected]



domain master = no local master = no

preferred master = no os level = 0

iii. Tee restart teenustele: /etc/init.d/winbind stop

/etc/init.d/samba restart /etc/init.d/winbind start

iv. Ühenda arvuti domeeni: net ads join -UADMINISTRATOR

v. Häälesta autentimisinfo: 1. Pico /etc/nsswitch.conf ja muuda

passwd: compat winbind group: compat winbind shadow: compat tee restart arvutile

vi. Kontrolli domeeni kasutajate/gruppide olemasolu failides: getent passwd ja getent group

vii. Häälesta autentimis moodulid (PAM):

1. Pico /etc/pam.d/common-account account sufficient pam_winbind.so

account required pam_unix.so 2. Pico /etc/pam.d/common-auth

auth sufficient pam_winbind.so auth sufficient pam_unix.so nullok_secure use_first_pass

auth required pam_deny.so 3. Pico /etc/pam.d/common-session

session required pam_unix.so session required pam_mkhomedir.so umask=0022

skel=/etc/skel 4. pico /etc/pam.d/sudo

Auth sufficient pam_winbind.so Auth sufficient pam_unix.so use_first_pass

Auth required pam_deny.so @include common-account

viii. Tee arvutile restart ja logi sisse kasutajana tavakasutaja

10. Samba teenuste kasutamine a. Smb kliendi kasutamine Windowsi serveri jagatud ketta ühendamiseks

i. Käivita arvuti debian-cl1 ja logi sisse ii. Käivita juurkasutaja terminal Application-Accessories menüüst

iii. Installeeri paketid: apt-get install smbclient cifs-utils iv. Tee kaust Windowsi jagatud ketta ühendamiseks mkdir /mnt/winshare

v. mount //10.10.10.11/kursus /mnt/winshare -t cifs -o username=opilane vi. ava jagatud kaust cd /mnt/winshare

vii. Vaata kasuta sisu käsuga ls



Praktilised harjutused nr. 6 11. Tööriistad Windowsi klientide turvalisuse kontrollimiseks

a. MBSA tööriista kasutamine i. Käivita arvuti win7baas ja logi sisse sise\administrator ii. Käivita MBSA install \\10.10.10.11\kursus\install\mbsasetup-x86-

en.exe iii. Käivita MBSA rakendus ja vali Scan a computer

iv. Vali Configure computers for Microsoft update and scanning prerequisites

v. Vajuta start scan vi. Vaata üle skaneerimise tulemused

12. Tööriistad Windows serveri turvalisuse kontrollimiseks a. Tuvasta avatud pordid serveril

i. Käivita Command Prompt TLN-DC1 arvutil ja sisesta Wf ii. Kontrolli, kas tulemüür on lubatud ja milliste võrguprofiilide jaoks on

tulemüür lubatud. iii. Vali Inbound Rules ja leia portide nimekiri, mis on reeglitega lubatud iv. Lülitu Command Prompti ja käivita Netsh advfirewall firewall sh rule

name=all kõigi tulemüüri reeglite kuvamiseks v. Kontrolli aktiivsed teenused käsuga netstat –ano|findstr LISTENING

vi. Kontrolli teenuse taga olevat protsessi käsuga tasklist /svc|findstr protsessinumber

vii. Teenuse juurdepääsukontrolliks lülitu TLN-CL1 arvutisse viii. Lisa telnet klient juhtpaneelist-programs-Turn on windows features alt ix. käivita Command Prompt ja käivita telnet TLN-DC1 25 ja telnet TLN-

DC1 53. Millised teated ilmusid ekraanile. x. Lülitu debian-srv1 arvutisse ja käivita käsk nmap tln-dc1, et tuvastada

avatud pordid b. Kontrolli windows serveri turvapoliitikat kasutades Security Configuration

Wizard nimelist rakendust. Selleks käivita TLN-SRV1 all käsurealt SCW. i. Vaata läbi erinevad valikud serveri turvamiseks ja salvesta soovituslikud

seaded c. Kasuta scwcmd transform käsku, et muuta loodud turvakonf

rühmapoliitikobjektiks ja rakenda see TLN-SRV1 serverile läbi rühmapoliitikahalduskonsooli GPMC.

d. Logide kogumine üle serverite (Create Event Log Subscription) i. Logi sisse arvutisse TLN-SRV1 kasutajana sise\administrator ii. käivita käsurida administraatori õigustes ja sisesta käsk winrm qc

iii. ava Computer-Manage ja lisa TLN-dc1 arvuti lokaalsesse event-log readers gruppi

iv. logi sisse domeenikontrollerisse tln-dc1 sise\administrator v. käivita admin õigustes käsurida ja sealt wecutil qc

vi. käivita eventvwr vii. tee uus subscription arvutile tln-srv1. Nimi= srv1, select

computers=tln-srv1, event level= Error, Warning, Event log= System, Security, Application

viii. lülitu arvutisse TLN-srv1 ja sisesta käsurealt: eventcreate /T ERROR /ID



1000 /L APPLICATION /D "TEST" ix. kontrolli tln-dc1 forwarded events logi. Kui eventid kohe ei tule siis ava

subscription-runtime status ja kontrolli, kas probleeme ei ole. x. Keela subscription

13. Tööriistad Linux serveri turvalisuse kontrollimiseks

a. Logi sisse arvutisse debian-srv1 ja kävita halduri režiim su – b. Kontrolli uuendusi ja paigalda uuendused

i. apt-get update ii. apt-get upgrade

c. Sisesta käsk lastlog|more, et näha sisseloginud kasutajaid d. Vaata kõiki logimisi käsuga last|more e. Lukusta kasutaja konto passwd -l opilane f. Vajuta ALT+F2 ja proovi sisse logida g. Luba kasutajakonto passwd -u opilane h. Kontrolli autentimisprobleeme

i. Grep ’failure’ /var/log/auth.log (logis peab olema opilase viimane autentimisviga)

i. Käivita käsk chage –l opilane ja vaata opilase turvapoliitikat

j. Konfi kasutaja paroolipoliitika käsuga chage opilane k. Kontrolli tühjade paroolidega kontosid: awk -F: '($2 == "") {print}' /etc/shadow

l. Kontrolli avatud porte nmap localhost|more m. Kontrolli porte kuulavaid teenuseid netstat –tulpn

n. Kontrolli süsteemilogi käsuga tail -50 /var/log/syslog – näitab viimast 50 rida o. Logi pidevaks kuvamiseks tail –f /var/log/syslog

p. Installi rakendus terminali lukustamiseks apt-get install vlock q. Aktiveeri lukk vlock

r. Keela CTRL+ALT+DEL serverile: a. Pico /etc/inittab

b. Leia rida ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now c. Muuda rida järgmiselt: ca:12345:ctrlaltdel:/bin/echo "CTRL-ALT-DEL

pole lubatud" d. Aktiveeri muutused init q

e. Vajuta klahvidele CTRL+ALT+END (virtuaalmasinale on see sama, mis ATRL+ALT+DEL)

Documents

Päev 2. Arvutitöökohtade ja väikevõrkude turvamine ja ... · Konfigureeri sertifikaadi templiit VPN serveri ... Microsoft Routing ja Remote Access server iv. Vali ... Ava arvutis