sandbox deep freeze
TRANSCRIPT
Sadržaj
1. Uvod ................................................................................................................................... 1
2. Princip rada sandbox programa ........................................ Error! Bookmark not defined.
3. Faronics Deep Freeze ....................................................... Error! Bookmark not defined.
3.1. Instalacija programa Deep Freeze .............................................................................. 6
3.2. Deep Freeze Configuration Administrator ................................................................. 8
3.2.1. Kreiranje instalacijskog i Seed programa za radne stanice ................................. 12
3.3. Deep Freeze Enterprise Console ............................ 1Error! Bookmark not defined.
3.3.1. Komunikacija između Enterprise konzole i radnih stanica13 ............................. 15
3.3.2. Udaljene konzole i spajanje na udaljene konzole ................................................ 16
3.3.3. Upravljanje Deeep Freeze programom putem konzole ....................................... 17
3.3.4. Instalacija programa Deep Freeze na radne stanice ............................................ 19
3.3.5. Upravljanje računalima (radnim stanicama) sa Deep Freeze programom .......... 21
4. Mogućnost primjene na računalni sustav Pomorskog fakulteta ....................................... 23
5. Zaključak .......................................................................................................................... 26
Literatura .................................................................................................................................. 27
1
1. Uvod
Pored anti virusnih, anti spyware alata i vatrozida kao danas najčešće upotrebljavanih alata za
sigurnosnu zaštitu računala i računalnih sustava, sve više susrećemo i tzv. sandbox alate koji
itekako mogu povećati ukupnu sigurnost sustava.
Samu riječ, odnosno pojam sandbox možemo definirati kao dio prostora (okoline) u kojem
(kojoj) je izvršavanje određenih funkcija zabranjeno.
Upravo iz te definicije proizlazi i osnovna namjena sandbox alata. Oni stvaraju ograničeni
prostor na disku ili memoriji računala, te vrše dodjelu određenih pravila procesima u
izvođenju, kako bi se izvršavanje istih moglo odvojiti od jezgre operacijskog sustava
računala.
To ima velikih prednosti prilikom testiranja raznih programskih alata i dijelova programskog
koda, bilo u istraživačke svrhe, ili kada nismo sigurni u podrijekto i namjenu korištenog
programa.
Sandbox alati danas svoju primjenu nalaze unutar edukacijskih ustanova (računalni
laboratoriji i knjižnice), korporacija i državnih službi (uredska računala, trening centri i
mobilna računala), te bolnica, knjižnica ostalih javnih ustanova čijim računalnim resursima
pristupa velik broj različitih korisnika.
Cilj ovoga rada je reći nešto više o načinu primjene i konfiguracije sandbox alata, koristeći
program Deep Freeze razvijen od strane softverske kompanije Faronics.
U poglavljima koja slijede biti će općenito opisan način rada sandbox alata, zatim praktičan
rad sa programom Deep Freeze i na kraju će biti dan osvrt na mogućnost primjene tih alata
unutar računalnog sustava Pomorskog fakulteta u Rijeci.
2
2. Princip rada sanbox programa
Kao što je već u uvodu rečeno sandbox možemo smatrati sigurnosnim mehanizmom koji
odvaja procese u izvođenju od same jezgre operacijskog sustava, čineći ga time manje
ranjivim s obzirom na moguće posljedice koje ti procesi mogu prouzročiti.
Najčešće se upotrebljava prilikom izvršavanja programskog koda u čije performanse i
sigurnosne postavke nismo u potpunosti sigurni.
Sandox alati određuju strogo kontrolirane uvjete pod kojima se gostujući program može
izvršavati, kao što je izdvojeni prostor unutar diska i memorije računala. Pristup mreži,
mogućnost provjere sistemskih resursa i datoteka računala, te učitavanje podataka sa vanjskih
prijenosnih medija obično su onemogućeni za programe koji rade unutar sanbox okruženja. S
obzirom na tako kontrolirano okruženje sandbox možemo u neku ruku smatrati i specifičnim
oblikom virtualizacije.
Prvi uvjet koji je potrebno ispuniti da bi se stvorilo sandbox okruženje je kreiranje zasebnog i
ograničenog prostora na čvrstom disku i memoriji, unutar kojega će se pohranjivati
promgramski kod i svi podaci koje generira proces čije resurse želimo ograničiti pomoću
sanbox alata.
Slika 1. Zapisivanje podataka na čvrsti disk sa i bez upotrebe sandbox alata
Dobro je poznato da se podaci na čvrsti disk zapisuju nasumično i da ne postoji nikakvo
ograničenje gdje će se ti podaci pohraniti.
3
Samim tim, bilo koji proces koji se odvija na nezaštićenom računalu u mogućnosti je
pristupiti resursima i datotekama operacijskog sustava. Kod upotrebe sandbox alata podaci se
zapisuju unutar točno definiranog i ograničenog područja, unaprijed definiranim redosljedom
i potpuno su izolirani od drugih programskih datoteka kao što se može vidjeti na slici 1.
Sam princip rada sandbox mehanizma može se objasniti pomoću slike 2.
Slika 2. Princip rada sanbox mehanizma
Ukoliko neki proces X koji na računalu radi bez ograničenja pokrene pod proces Y unutar
sandbox okruženja, taj pod proces će imati samo dio ovlasti procesa X i to one koje su
određene (definirane) pomoću samog procesa X. Proces X je pokrenut na računalu u
normalnom modu, dakle bez ograničenja pristupa resursima razmatranog računala. Procesu Y
je pak omogućen pristup samo resursima koji se nalaze unutar istog sandbox okuženja (imaju
ista ograničenja), što znači da on nema nikakvog utjecaja na operacijski sustav i kao takav ne
može prouzročiti štetu na računalu. Ukoliko pod proces Y pokrene neki svoj pod proces, šteta
koju bi on eventualno izazvao ograničena je samo na prostor i datoteke unutar sandboxa.
To vrijedi i uslučaju preuzimanja bilo kakvog malicioznog sadržaja sa interneta, lokalne
mreže i prijenosnih medija za pohranu podataka, jer će se u tom slučaju i taj kod izvršiti samo
unutar sandbox okruženja bez dodira sa datotekama operacijskog sustava.
Na kraju treba još spomenuti i neke od najčešće upotrebaljavanih mehanizama koje koriste
sandbox alati, a susrećemo ih gotovo svakodnevno prilikom rada na računalu. To su aplet
programi, zatvor (eng. jail), pokretanje određeno pravilima (eng. rule-based execution),
4
virtualna računala, sandbox mehanizmi na stvarnim računalima i sustavi mogućnosti (eng.
capability systems). [1]
Pregled tih mehanizama i njihovih značajki dan je u tablici 1.
Tablica 1. Mehanizmi rada sandbox alata (preuzeto sa CARNet-ovog javnog dokumenta CCERT-
PUBDOC-2009-03-259)
MEHANIZAM UPOTREBA ZAŠTITA
Applet programi Pokretanje programskih kodova
sa web stranica
Zaštita od zlonamjernih
programskih kodova koji se nalaze
na web stranicama.
Zatvor Odvajanje više web domena na
istom poslužitelju
Zaštita od širenja neispravnog
djelovanja jednog procesa na druge
procese.
Pokretanje određeno pravilima Ograničavanje mogućnosti
programa na računalu
Sprječavanje djelovanja i „zaraze“
zlonamjernim programima.
Virtualna računala Virtualno pokretanje i/ili
ispitivanje programa i
operacijskih sustava
Zaštita od nepoželjnog djelovanja
ispitivanih alata na operacijski
sustav računala.
Sandbox na stvarnim računalima Analiza ponašanja programa Zaštita od „zaraze“ zlonamjernim
programima i mijenjanja postavki
na računalu.
Sustavi mogućnosti Određivanje razine ovlasti nekog
programa
Zaštita od nedozvoljenog
pokretanja programa nepoznatih
autora.
5
3. Faronics Deep Freeze
Faronics Deep Freeze jedan je od ponajboljih sandbox programa za primjenu u ustanovama
gdje velik broj korisnika raznih profila ima pristup računalnim resursima. To su u prvom redu
edukacijske i javne ustanove, gdje se on najčešće i koristi. Program je pisan za više platformi i
postoje verzije za operacijske sustave Windows, Linux i Mac OS X, te dolazi u dvije verzije
Standard i Enterprise. Ključne osobine koje su zajedničke za obje verzije su:
Garancija 100 postotnog povratka radne stanice u prvobitno stanje nakon restartanja
Omogućena zaštita pomoću zaporke i kompletna sigurnost
Mogućnost zaštite višestrukih diskova i/ili particija
Podrška za multi-boot
Kompatibilnost sa Fast User Switching mogućnostima modernih operacijskih sustava
(prebacivanje između korisničkih računa bez zatvaranja pokrenutih aplikacija)
Podrška za SCASI, ATA, SATA i IDE diskove
Jedinstvena instalacija za sve novije verzije Windows operacijskog sustava (2000, XP,
Vista i 7)
Podrška za FAT, FAT32 i NTFS datotečne sustave
Omogućena opcija ˝tihe˝ instalacije preko mreže
Omogućena opcija primjene na višestrukim radnim stanicama kao dio iste presllike
diska (disk imagea)
Unitar Enterprise inačice uključeno je još mnoštvo dodatnih opcija, prvenstveno za udaljenu
administraciju preko lokalnih mreža, no nabrajanje istih prešlo bi izvan okvira ovoga rada.
Kompletna lista ključnih osobina za obje verzije može se naći na web adresi
http://www.faronics.com/html/DFFeatures.asp.
Primarni zadatak programa Deep Freze je spriječavanje zastoja rada i oštećenja računala tako
da se postavke računalne konfiguracije učine praktički neuništivima.
Jednom kada je instaliran na računalo Deep Freeze se ponaša kao drajver na nivou kernela
koji štiti integritet podataka na čvrstom disku tako da preusmjerava nove podatke na zasebnu
particiju ili disk, ostavljajući originalne podatke netaknutima [2].
6
Nakon restartanja računala sve preusmjerene informacije više nemaju nikakvog utjecaja i
sistem se vraća u svoje originalno stanje na nivou štićenog diska ili particije, dakle onako
kako je prvotno bio podešen od strane administratora. To omogućuje korisniku da nesmetao
radi na računalu i pri tom po volji vrši izmjene postavki sustava (koje su u stvari samo
virtualne), čak i onih koje mogu naškoditi samom radu operacijskog sustava i blokirati
računalo. Nakon ponovnog pokretanja operacijski sustav će se opet vratit u prvotno
˝zamrznuto˝ stanje. Ukoliko se pak želi napraviti određene izmjene unutar štićene particije
(instalirati neki program, nadograditi sustav i slično), sve što administrator treba učiniti je
privremeno onesposobiti Deep Freeze, napraviti potrebne izmjene i zatim ponovo ˝zamrznuti˝
štićenu particiju. Dobra stvar kod ovog programa je ta da gore opisane radnje nije potrebno
vršiti na svakoj radnoj stanici zasebno, već je to moguće izvršiti sa jednog mjesta (centralne
konzole) ukoliko koristimo ˝Enterprise˝ inačicu.
3.1. Instalacija programa Deep Freeze
Deep Freeze je komercijalni program koji se naplaćuje prema broju izdanih licenci. Pored
komercijalne postji i probna, tj. demo verzija koja omogućuje rad sa programom bez bilo
kakvih ograničenja u periodu od 30 dana i ona je sasvim dovoljna za potrebe ovog rada.
Probnu verziju je moguće preuzeti sa faronicsovih službenih web stranica
http://www.faronics.com.
Slika 3. Instalacija programa Deep Freeze Enterprise
7
Sam postupak instalacije (slika3) je vrlo jednostavan i od korisnika ne zahtjeva previše
intervencije. Enterprise inačica programa se satoji od dva dijela: Configuration Administrator
i Enterprise Console.
Configuration Administrator je alat koji se upotrebljava za kreiranje prilagođenih Deep Freeze
instalacijskih paketa sa unaprijed konfiguriranim postavkama kao što su zaporke, planirane
radnje, mrežne postavke i slično. Enterprise Console služi za kontrolu i nadzor radnih stanica
koje su spojene na istu mrežu.
Potrebno je samo kliknuti na datoteku ˝DF65Ent.exe˝ unutar instalacijskog paketa i slijediti
upute. Nakon završetka instalacije potrebno je pokrenuti Configuration Administrator iz
izbornika Start (Start menu: Start > Programs > Faronics > Deep Freeze 65 Enterprise > Deep
Freeze Administrator) i unjeti tzv. Customization kod, koji se sastoji od minimalno osam
alfanumeričkih znakova (slika 4).
Slika 4. Inicijalizacija Configuration Administrator alata pomoću Customization koda
Pomoću toga koda vrši se inicijalizacija Configuration Administrator alata. Taj kod nije
zaporka već jedinstveni identifikacijski kod koji služi za enkripciju Configuration
Administratora i svih njemu pripadajućih programa.
Customization kod je potrebno zapamtiti i pažljivo ga čuvati jer je jednom izgubljeni, ili
zaboravljeni kod nemoguće povratit.
Nakon što su gore opisane radnje izvršene program je spreman za upotrebu.
8
3.2. Deep Freeze Configuration Administrator
Kao što smo već ranije spomenuli Configuration Administrator pokrećemo preko izbornika
Start i to na sljedeći način: Start menu: Start > Programs > Faronics > Deep Freeze 65
Enterprise > Deep Freeze Administrator.
Slika 5. Sučelje, alatna traka, izbornici i dijaloški prozori (tabovi) Configuration Administrator alata
Izgled sučelja sa alatnom trakom, izbornicima i dijaloškim prozorima prikazan je na slici 5.
Alatna traka nam omogućuje kreiranje nove konfiguracijske .rtf datoteke (New), otvaranje
snimljene konfiguracijske datoteke (Open), snimanje konfiguracijske datoteke (Save ili Save
As) i pristup sustavu pomoći (Help). Naredba Create iz alatne trake kreira izvršnu datoteu
(.exe) instalacijskog programa za radne stanice prema postavkama koje su namještene unutar
pojedinih dijaloških okvira.
Izbornik ˝File˝sadrži iste opcije kao i traka sa alatima uz dodatak mogućnosti izbora jezika i
kreiranja zaštitne zaporke.
Dijaloški okvir ˝Password˝ (slika 6) omogućuje korisniku kreiranje do petnaest fiksnih
zaporki. Da bismo kreirali zaporku potrebno je izvršiti sljedeće radnje:
1. Aktivirati opciju Enable u odabranom retku
2. Iz padajućeg izbornika odabrati željeni tip zaporke (Worksatation, Command Line, ili
LANDesk)
3. Opcionalno omogućiti korisniku izmjenu zaporke aktiviranjem opcije User Change
4. Unijeti željenu zaporku i po želji odrediti vrijeme trajanja iste (opcija Timeout)
9
Slika 6. Dijaloški okvir Password
Pomoću Dijaloškog okvira ˝Drives˝ (slika 7) se odabire koji će disk, ili particija biti zaštićena
pomoću programa Deep Freeze (Frozen stanje), ili pak nezaštićena (Thawed stanje). Ovdje
takođe možemo kreirati i tzv. Thaw Space, odnosno virtualnu particiju na štićenom disku
gdje se mogu spremiti podaci za koje ne želimo da budu izbrisani od strane Deep Freeze
programa nakon restartanja računala.
Slika 7. Dijaloški okvir Drives
10
Svi diskovi i particije su prema zadanoj (default) vrijednosti u stanju Frozen (štićeno stanje).
Da bismo disk, ili particiju prebacili u stanje Thawed (neštićeno) potrebno je maknutu
kvačicu iz okvira za provjeru pored imena odabranog diska.
Da bismo kreirali Thaw Space pomoću ConfigurationAdministratora potebno je prvo odabrati
oznaku (slovo) diska. Ukoliko se odabrano slovo već koristi na računalu gdje je instaliran
Deep Freeze, automatski će se odabrati prvo sljedeće slobodno slovo. Nakon toga potrebno je
unesti željenu veličinu Thaw Spacea (u polje Size) i odabrati disk domaćin (Host Drive) na
kojem želimo smjestiti Thaw Space. Minimalna veličina toga prostora je 16 MB, a
maksimalna 1024 GB (1TB). Pomoću padajućeg izbornika Visibility odaberemo da li želimo
da Thaw Space bude prikazan, ili skriven. Kada smo podesili sve parametre kako želimo,
tipkom Add dodajemo Thaw Space unutar odabranog diska.
Sve gore navedeno može se primjeniti i na vanjske USB, ili IEEE 1394 (FireWire) diskove.
Ukoliko želimo unaprijed planirati i automatizirati izvršavanje određenih radnji koristit ćemo
dijaloški okvir ˝Embedded Events˝ (slika 8).
Slika 8. Dijaloški okvir Embedded Events
Ovdje možemo odabrati tip događaja (radnje) koju želimo automatizirati pomoću padajućeg
izbornika Event Type i potom odabrani događaj jednostavno dodati unutar liste putem tipke
Add. Radnje koje možemo automatizirati su redom: ponovno startanje (restart), gašenje
(shutdown), održavanje (maintenance) i vrijeme bez rada (idle time).
11
U dijelu Event Properties određujemo željene parametre za svaku odabranu radnju (vrijeme i
interval izvršenja, dozvolu korisniku da obustavi izvršenje zadatka, itd.).
Preostali su još dijaloški okviri ˝Maintenance˝i ˝Advanced Options˝ (slika 9).
Slika 9. Dijakoški okviri Maintenance i Advanced Options
Unutar Dijalškog okvira Maintenance specificiramo postavke SUS (Microsoft Software
Update Service) i WSUS (Windows Software Update Service) servisa, kao i opcije Batch
datoteka za planirano održavanje.
Dijaloški okvir Advanced Options služi za konfiguriranje mrežnih postavki koje se rabe kod
komunikacije između radnih stanica i administratorske konzole, konfiguriranje raznih
sigurnosnih opcija i licencnih ključeva.
Postoje dva moda za komunikaciju između administratorske konzole i radnih stanica: LAN i
LAN/WAN.
LAN mod koristimo kada želimo da Deep Freeze svu komunikaciju vrši unutar LAN (Local
Area Network) mreže. To je samokonfigurirajući mod koji zahtjeva samo unos broja porta
koji se koristi. Deep Freeze koristi unaprijed zadani port 7725, ali se on može po želji
mijenjati.
LAN/WAN mod koristimo kada želimo da se komunikacija odvija bilo unutar LAN ili WAN
(Wide Area Network) mreže. Kada odeberemo taj mod komunikaciju je moguće vršiti i putem
interneta, pa se stoga koristi i IP (Internet Protocol) adresa uz broj porta da bi se omogućila
komunikaija između administratorske konzole i radnih stanica. Konzolu možemo identificirati
na dva načina: tako da specificiramo IP adresu konzole koja u tom slučaju mora biti statička,
ili ime konzole, u kojem slučaju IP adresa može biti dinamička.
12
3.2.1. Kreiranje instalacijskog i Seed programa za radne stanice
Ukoliko želimo kreirati prilgođene Deep Freeze instalacijske programe sa postavkama koje
smo unaprijed definirali unutar Configuration administrator konzole potrebno je kliknuti na
˝Create˝gumb unutar alatne trake (slika 10) i izabrati Create Workstation Install Program
opciju.
Slika 10. Odabir opcije za kreiranje instalacijskog i Seed programa
Pomoću izvršne datoteke instalacijskog programa Deep Freeze možemo instalirati na radnu
stanicu na tri načina:
Klasična instalacija (zahtjeva interakciju s korisnikom)
Tiha instalacija (ne zahtjeva korisničku intervenciju i ne prikazuje prozore s porukama
tokom instalacije. Pogodna za instalaciju putem mreže).
Ciljana instalacija (instalacija programa kreiranih purem Enterprise konzole za
primjenu na ciljanim računalima).
Odabirom opcije Create Workstation Seed kreiramo tzv. Seed program za radne stanice. To je
u biti mali pomoćni program koji omogućuje administratorima da vrše kontrolu, instalaciju
programa i potrebne izmjene na udaljenim računalima direktno sa Enterprise konzole.
Seed program može biti implementiran unutar glavne preslike (master image) i zatim
instaliran putem imaging programa kao što su Norton Ghost i Acronis True Image. Sva
računala koja imaju instaliran Workstation Seed program, a nalaze se unutar LAN mreže
mogu se vidjeti na Enterprise konzoli.
13
3.3. Deep Freeze Enterprise Console
Deep Freeze Enterprise konzola služi za prikaz statusa svih računala na mreži (frozen,
thawed, target) i omogućuje administratorima vršenje specifičnih radnji nad tim računalima
kao što su redom:
Ciljana instalacija
Selektivno određivanje stanja jednog ili više računala
Zaključavanje i otključavanje jednog ili više računala
Dinamičko ažuriranje postavki održavanja
Restartanje ili gašenje računala
Zaustavljanje planiranih radnji
Uključivanje računala koja imajuWake-On-LAN mogućnost
Ažuriranje Deep Freeze programa
Planiranje i automatizacija radnji direktno sa Enterprise konzole
Slanje poruka na udaljena računala
Uvoz grupa iz aktivnih direktorija
Generiranje jednokratnih zaporki
Planiranje akcija
Prilagođavanje Enterprise konzole
Ažuriranje licencnih ključeva
Enterprise konzola je instalirana u istom direktoriju gdje i Configuration Administartor i da
bismo ju pokrenuli potrebno je takođe koristiti izbornik Start; Start > Programs > Faronics >
Deep Freeze 65 Enterprise > Deep Freeze Console.
Unutar Deep Freeze Enterprise programa implementirana je sigurnosna značajka koja
onemogućuje neautoriziranu upotrebu Enterprise konzole. Kada se ˝DFConsole.exe˝ izvršna
datoteka kopira na na neko novo računalo, konzola mora biti aktivirana. Prilikom prvog
pokretanja na novom računalu prikazuje se prozor u kojem se traži unos OTP (One Time
Password) tokena. Taj token je potrebno generirati pomoću Configuration Administrator alata
(File -> One Time Password) i zatim ga unjeti u prozor za unos kako bi se Enterprise konzola
pokrenula.
Sučelje Enterprise konzole prikazano je na slici 11.
14
Slika 11. Sučelje Enterprise konzole
Kako bismo mogli pratiti status računala na mreži potrebno je dobro poznavati značenje
statusnih ikona koje se pojavljuju uz ime, ili iznad imena računala ovisno o izabranom načinu
prikaza. To su sljedeće ikone:
Računala koja imaju instaliran Workstation Seed program, ali nemaju instaliran Deep
Freeze. To znači da Deep Freeze može biti daljinski instaliran samo na računala koja
imaju tu ikonu
Računala sa instaliranim Deep Freeze programom koja su u štićenom (Freeze) stanju.
Računala sa instaliranim Deep Freeze programom koja su u neštićenom (Thawed)
stanju.
Računala sa instaliranim Deep Freeze programom koja su u zaključanom neštićenom
(Thawed Locked) stanju.
Računala koja su trenutno ugašena.
15
Računala koja su trenutno u režimu održavanja (Maintenance mode).
Računala čija je komunikacija sa konzolom iz nekog razloga prekinuta.
Računala koja su zaključana (locked).
3.3.1. Komunikacija između Enterprise Console i radnih stanica
Postoje dva osnovna tipa konekcije između Enterprise konzole i radnih stanica, te između
dviju ili više konzola. To su:
Lokalne konekcije kojima je moguće pristupiti samo putem konzole koja je domaćin
tim konekcijama
Konekcije sa omogućenom daljinskom kontrolom kojima je moguće pristupiti kako
putem konzole koja je domaćin, tako i putem drugih konzola koje su spojene na
daljinu
Da bismo postavili i održavali konekcije među računalima potrebno je konfigurirati lokani
servis (local service). Prema zadanim podtavkama lokalni servis bi trebao biti instaliran i
omogućen prilikom prvog pokretanja konzole. Ukoliko je nekim slučajem došlo do
onesposobljavanja ili deinstalacije lokalnog servisa vrlo ga je lako ponovo pokrenuti putem
izbornika Tools (Tools -> Network Configuration) tako da označimo Enable local service
boks (slika 12).
Slika 12. Konfiguracija lokalnog servisa
16
Ukoliko tu oznaku pokušamo ponovo maknuti biti će ponuđen izbor između dvije opcije:
onesposobljavanja (disable) i deinstalacije (uninstall) lokalnog servisa.
Da bismo dodali konekciju potrebno je opet koristiti izbornik Tools (Tools -> Network
Configuration). Kada nam se otvori Configure Local Service prozor kliknemo na dugme Add
i unesemo željeni broj porta (slika 13). Ukoliko želimo imati mogućnost pristupa konzoli sa
udaljene lokacije potrebno je označiti Allow Remote Control opciju i unjeti odgovarajuću
zaporku.
Slika 13. Dodavanje konekcije
Svakoj dodanoj konekciji moguće je na jednostavan način mjenjati parametre pomoću
naredbe Edit ili ju maknuti iz lokalnog servisa putem naredbe Remove. Korištenje naredbe
Remove ne briše unos iz Enterprise konzole nego ga samo miče iz liste konekcija lokalnog
servisa.
3.3.2. Udaljene konzole i spajanje na udaljene konzole
Udaljena konzola je konzola koja je domaćin jednoj ili više konekcija koje omugućuju drugim
konzolama da se spoje na nju. Postojeće konekcije moraju imati uljučenu mogućnost pristupa
sa udaljene lokacije kao što je to objašnjeno u prethodnom poglavlju (slika 13).
Jednom kada je udaljena konzola upostavljena pomoću konzole domaćina (host konzole)
može joj se pristupiti putem drugih konzola koje su instalirane na različitim računalima na
sljedeći način:
Klikom na Connect to Remote Console ikonu u alatnoj traci sa lijeve strane otvaramo
Connect to Remote Console dijalog (slika 14) i zatim je potrebno ispuniti odgovarajuća polja
da bismo definirali ime, IP adresu i broj porta udaljene konzole (slika 14).
17
Slika 14. Spajanje na udaljenu konzolu
3.3.3. Upravljanje Deep Freeze programom putem konzole
Kao što je već u prethodnim poglavljima spomenuto Enterprise konzola nam primarno služi
kao sučelje prema računalima u zajedničkoj mreži na kojima je instaliran Deep Freeze
program. Da bismo mogli vršiti određene radnje nad tim računalima putem programa Deep
Freeze, potrebno je poznavati određene ikone koje se nalaze na alatnoj traci (slika 15), ili
unutar kontekstualnog izbornika.
Slika 15. Alatna traka Deep Freeze Enterprise konzole
Značenje pojedinih ikona je sljedeće:
Restartanje računala
Gašenje (shutdown) računala
18
Uključivanje putem LAN mreže (Wake-On-LAN)
Rebootanje neštićenog (thawed) računala
Rebootanje zaključanog neštićenog (thawed locked) računala
Rebootanje štićenog (frozen) računala
Završetak održavanja
Zaključavanje
Otključavanje
Slanje poruke
Ažuriranje konfiguracije
Ažuriranje ugrađenih događaja (embedded events)
Instalacija
Ažuriranje Deep Freeze programa
Deinstalacija (seed program ostaje na računalu)
Prikaz bilješki (log)
Micanje iz grupe
Micanje iz povijesti
Detaljno objašnjenje postupaka za svaku od ovih radnji pojedinačno izašlo bi izvan okvira
koji je predviđen ovim radom, a ono s može pronaći unutar sustava pomoći programa Deep
Freeze Enterprise, ili u službenom manualu u .pdf formatu koji se može preuzeti sa web
adrese http://www.faronics.com/doc/DF6Ent_Manual.pdf.
19
3.3.4. Instalacija programa Deep Freeze na radne stanice
U poglavlju 3.2.1 (str.12) objašnjen je postupak kreiranja prilagođenog instalacijskog
programa pomoću Configuration Administrator alata. Pomoću tog programa Deep Freeze se
može instalirati na odabrana računala (radne stanice) putrem nadzirane, tihe, ili ciljane
instalacije. Prije instalacije potrebno je isključiti antivirsni program ukoliko je isti instliran
kao i sve aktivne pozadinske servise kako bismo osugurali da Deep Freeze pravilno radi
nakon instalacje. Nakon što je instalacija završena potrebno je restartati računalo. Ukoliko pak
želimo deinstalirati Deep Freeze, tada on mora biti u neštićenom (thawed) stanju, inače
deinstalacija neće biti moguća. Bilo koji postojeći Thaw Space prostor na disku će takođe biti
izbrisan nakon deinstalacije programa ukoliko prethodno nije bila aktivirana opcija da se
postojeći Thaw Space zadrži.
Nadzirana instalacija/deinstalacija:
Da bismo instalirali Deep Freeze na ovaj način potrebno je najprije pokrenutu izvršnu
datoteku instalacijskog programa (DFWks.exe) koji smo prethodno kreirali putem
Configuration Administratora. Nakon toga pojavit će se prozor kao na slici 16.
Slika 16. Nadzirana instalacija proframa Deep Freeze na radnu stanicu
Sve što je potrebno je kliknuti na tipku next, prihvatiti licencni ugovor i nakon instalacije
restartati računalo. Nakon toga program je instaliran na radnu stanicu.
20
Depp Freeze je moguće instalirati na radnu stanicu i pomoću konzole ukoliko je na radnoj
stanici instaliran Workstation Seed program.
Tiha instalacija/deinstalacija:
Deep Freeze se može instalirati preko mreže na više radnih stanica odjednom pomoću tzv.
tihe (silent) instalacije. Bilo koje razvojno okruženje koje omogućuje izvršavanje komandno
linijskih naredbi na udaljenom računalu može se koristiti za implementaciju tihe instalacije.
Nakon što je instalacija gotova računalo se automatski restarta kao i u prethodnom primjeru.
Za instalaciju putem komandne linije koriste se sljedeće naredbe:
[/Install] instalacija Deep Freezea upotrebom instalacijske datoteke
[/Install /Seed] instalacija samo određene Workstation Seed datoteke
[/Uninstall] deinstalacija Deep Freezea
[/Uninstall /Seed] deinstalacija Deep Freezea i ostavljanje Workstation
Seeda instaliranim
[/PW=password] postavljanje zaporke tjekom instalacije
[/AllowTimeChange] omogućuje promjenu sistemskog sata
[/Freeze=C,D,...] postavlja selektirane diskove u štićeno (freeze) stanje, a sve
ostale u neštićeno (thaw) stanje
[/Thaw=C,D,...] postavlja selektirane diskove u neštićeno (thaw) stanje, a sve
ostale u štićeno (freeze) stanje
[/USB] izuzima vanjske USB diskove iz štićenog stanja
[/FireWire] izuzima vanjske FireWire diskove iz štićenog stanja
Primjer upotrebe komandne linije bio bi DFWks.exe /Install /Freeze=E
/PW=password
Tu možemo vidjeti da je ime izvršne datoteke instalacijskog programa DFWks.exe, da će
samo E: disk biti štićen. Ostali diskovi ukoliko ih ima biti u neštićenom (thawed) stanju.
Takođe će biti kreirana i zaporka za pristup Deep Freeze programu. Nakon izvršenja komande
Deep Freeze će birti instaliran sa zadanim postavkama. Tiha instalacija može se izvršiti i
upotrebom prečaca, tako da kreiramo prečac na izvršnu datoteku instalacijskog programa i
zatim odaberemo osobine (properties) te izmjenimo put do ciljane aplikacije.
21
To radimo na način da na kraju prečaca dodamo /install ili /uninstall ( npr.
C:\Documents and Settings\DFWks.exe /install).
Ukoliko pak želimo izvršiti tihu instalaciju na više računala odjednom (preko mreže), to
činimo pomoću tzv. logon skripti koje moraju biti omogućene na radnim stanicama gdje
želimo provesti instalaciju.
3.3.5. Upravljanje računalima (radnim stanicama) sa instaliranim Deep
Freeze programom
Da bismo pristupili programu Deep Freeze potrebno je istovremenu držati pritisnutu tipku
SHIFT i ljevom tipkom miša dvostruko kliknuti na Deep Freeze ikomu u sistemskoj traci,
kako bismo dobili prozor za logiranje putem zaporke (slika 17).
Slika 17. Deep Freeze prozor za logiranje
Tek nakon što se unese administratorska zaporka, moguće je logiranje u Deep Freeze.
Ukoliko se zaporka krivo unese 10 puta za redom, računalo se automatski restarta. Nakon
uspješnog logiranja pojavljuje se glavno sučelje programa Deep Freeze koje nam nudi izbor
između četri dijaloška okvira.
Dijaloški okvir Status (slika 18) služi za namještanje statusa programa nakon sljedećeg
restartanja sustava. Računalo nakon restartanja može ostati u štićenom stanju (Boot Frozen),
preći u nezaštićeno stanje nakon proizvoljnog broja restartanja (Boot Thawed on Next), ili
potpuno preći u nezaštićeno stanje (Boot Thawed).
22
Slika 18. Dijaloški okvir Status
Klikom na Set Clone Flag dugme vrši se priprema preslika (image) za instalaciju pomoću
imaging softvera. U polje Licence unosimo ključ dobiven prilikom kupnje programa. Ukoliko
se to polje ostavi prazno Deep Freeze prestaje raditi nakon 30 dana (probna verzija).
Ukoliko želimo izmjeniti zaporku koristit ćemo dijaloški okvir Password. Sve što je potrebno
je unjeti novu zaporku i još jednom ju potvrditi. Nakon restartanja računala nova će zaporka
biti aktivirana.
Mrežne postavke se uređuju unutar dijaloškog okvira Network (slika 19). Tu možemo
odabrati preferiranu metodu komunikacije (LAN ili WAN), unesti broj porta koji želimo
koristiti kao i IP adresu i ime konzole.
Slika 19. Dijaloški okvir Network
Unutar dijaloškog okvira Thaw Space (postoji samo ako je Thaw Space kreiran) određujemo
da li će se taj prostor prikazati na stablu direktorija računala, ili će biti skriven [3].
23
4. Mogućnost primjene na računalni sustav Pomorskog
Fakulteta u Rijeci
Deep Freeze je jedan od češće korištenih alata kada je u pitanju zaštita računalnih laboratorija
u edukacijskim ustanovama, pa je stoga razumljivo da svoju primjenu može pronaći i unutar
računalnog sustava Pomorskog Fakulteta u Rijeci.
Na web adresi http://www.faronics.com/html/library.asp mogu se naći brojne studije o
primjeni programa Deep Freeze unutar raznih javnih ustanova, među kojima se nalaze brojna
sveučilišta i srednje škole. Može se vidjeti da su gotovo svugdje bili prisutni isti, ili slični
problemi. Tu se prvenstveno misli na česte izmjene stanja sustava i brisanje važnih datoteka
od strane studenata koji računala svakodnevno koriste za rad i laboratorijske vježbe, te kao
posljedicu toga povećan broj radnih sati i ljudstva potrebnih za otklanjanje nastalih problema.
Nakon instalacije Deep Freeze programa, potreba za stručnom podrškom se u velikoj mjeri
smanjila. Kao primjer možemo uzeti istraživanje provedeno na sveučilištu u Kentucky
(University of Kentucky) gdje je nakon instalacije programa Deep Freeze broj poziva službi
za IT podršku pao za cijelih 90 %. [4]
Svi mi koji svakodnevno koristimo resurse računalnog laboratorija Pomorskog fakulteta
svjedoci smo sličnih problema, za koje je vrlo izgledno da bi se mogli riješiti upotrebom alata
Deep Freeze (ili nekog sličnog sandbox rješenja).
Unutar Pomorskog fakulteta trenutno se nalaze tri računalna laboratorija, knjižnica i prostorije
s računalima za pristup internetu. Ukupan broj instaliranih računala (radnih stanica) je 56, a
raspodjeljena su na sljedeći način:
Laboratorij (soba 418) – 15 računala
Laboratorij (soba 401) – 20 računala
Laboratorij (soba 301) – 20 računala
Knjižnica – 5 računala
Internet (kraj dvorane) – 16 računala
Ukoliko bi Deep Freeze bio instaliran na gore navedena računala, najoptimalnija
konfiguracija za primjenu unutar Pomorskog fakulteta bila bi ona sa upotrebom višestrukih
podmreža (subnet) i višestrukih lokalnih servisa (slika 20).
24
Slika 20. Primjer optimalne mrežne konfiguracije za primjenu programa Deep Freeze unutar
računalnog sustava Pomorskog falulteta
U primjeru konfiguracije na slici 20 imamo dvije udaljene lokacije koje su međusobno
udaljene i imaju minimalne, ili gotovo nikakve potrebe za međusobnom komunikacijom. Za
svaku lokaciju postoji zasebna udaljena (remote) konzola, kako bi lokalni administratori imali
pristup računalima na lokacijama za koje su odgovorni (npr. profesori za laboratorije koje
koriste). Sa centralne konzole može se upravljati sa svim udaljenim (remote) konzolama.
Lokacija 1 koja pretstavlja računalne laboratorije unutar fakulteta koristi port A za
komunikaciju među računalima i sa konzolom, dok se unutar lokacije 2 koja sadrži javne
službe (knjižnica i internet) komunikacija odvija putem porta B.
Prednost ovakve konfiguracije je ta da se administrator lokacije 1 može spojiti na bilo koje
računalo unutar te lokacije, ali se ne može spojiti na neku drugu lokaciju (u ovom slučaju 2)
jer nezna zaporku za pristup lokalnom servisu te lokacije. Također svi paketi koji su poslani
od strane klijent računala unuar neke od lokacija i ostaju unutar te iste lokacije. Time je
dodatno povećana robusnost i sigurnost sustava u odnosu na najjednostavniju konfiguraciju
kod koje se sa svim računalima upravlja pomoću samo jedne centralne konzole.
Za namještanje komunikacijskih postavki vidjeti poglavlje 3.2 (Deep Freeze Configuration
Administrator) i 3.3.1. ( Komunikacija između enterprise konzole i radnih stanica).
Cijena programa Deep Freeze Enterprise sa licencom za 56 radnih stanica i uključenim
jednogodišnjim paketom održavanja, iznosi 1154,50 eura, ondnosno preračunato u hrvatske
kune, otprilike 8500 kuna (slika 21). [izvor www.faronics.com].
25
Slika 21. Cijena Deep Freeze Enterprise inačice s brojem licenci potrebnih na Pomorskom Fakultetu
[www.faronics.com]
Iz svega do sad navedenog može se vidjeti da bi se instalacijom sandbox riješenja baziranog
na programu Deep Freeze povećala sigurnost, fleksibilnost i otpornost na zastoje i kvarove
uzrokovane nestručnom upotrebom, nepažnjom ili zlonamjernim pobudama unutar
računalnog sustava Pomorskog fakulteta. U prethodnim poglavljima izneseno je dovoljno
činjenica na temelju kojih bi se mogla donjeti odluka o isplativosti upotrebe ovakvog riješenja
na Pomorskom fakultetu. Ukoliko bi se došlo do zaključka da je nabava jednog ovakvog, ili
sličnog sandbox riješenja baziranog na nekom drugom programskom paketu isplativa,
korištenje istoga na Pomorskom fakultetu donjelo bi neospornu korist, kako po pitanju
sigurnosti, tako i rasterećenja osoblja zaduženog za IT podršku.
26
5. Zaključak
O ovom radu prikazan je osnovni princip rada sandbox mehanizma na kojem se uz neke
manje razlike baziraju gotovo svi danas dostupni programi za primjenu sandbox riješenja na
računalima. Nakon toga je detaljno opisan program Deep Freeze i to njegova Enterprise
inačica koja je prilagođena upotrebi unutar sustava sa većim brojem umreženih računala.
Svaki pojedini alat i modul utar Deep Freeze Enterprise paketa je zasebno obrađen i objašnjen
je način upotrebe i namještanja pojedinih postavki potrebnih za ispravan rad. Na bazi
činjenica navedenih u radu, na kraju je pokušano dati osvrt na mogućnost primjene sandbox
riješenja baziranog na programu Deep Freeze unutar računalnog sustava Pomorskog fakulteta
u Rijeci.
Iz svega iznesenog u ovom radu može se zaključiti da sandbox alati svakako imaju budućnost.
Iako se još uvijek ne nalaze instalirani na dovoljno velikom broju računala stalan porast
sigurnosnih incidenata svakako će pridonjeti njihovom širenju. Kako niti jedan sistem zaštite,
pa tako ni sandbox ne pruža sam po sebi dovoljnu zaštitu, potrebno uz njega imati i dodatnu
zaštitu (vatrozid, antivirus, antispyware) kako bi se u potpunosti otklonila mogućnost da neki
zlonamjerni program zaobiđe sandbox i napravi štetu na računalu. Iako je teško predvidjeti
razvoj nekog alata u budućnosti za sandbox mehanizme se može reći da su svakako na
dobrom putu da postanu široko prihvaćeni i kao takvi implementirani unutar integriranih
riješenja za zaštitu računala, kakve već duže vrijeme nude vodeće tvrtke na polju računalne
sigurnosti.
27
Literatura
[1] Grupa autora: "Usporedba ˝sandbox˝ programskih alata – CCERT-PUBDOC-2009-03-
259", CARNet – hrvatska akademska istraživačka mreža, 2009.
[2] Wikipedia: "Deep Freeze (software)", s Interneta, URL:
http://en.wikipedia.org/wiki/Deep_Freeze_%28software%29, 05.12. 2009.
[3] Faronics Corporation: "Faronics Deep Freeze Enterprise user guide", s Interneta, URL:
http://www.faronics.com/doc/DF6Ent_Manual.pdf , 05.12. 2009.
[4] Faronics Corporation: "Faronics Deep Freeze and the University of Kentucky case
study", s Interneta, URL: http://www.faronics.com/doc/cs/CaseStudy_UK.pdf , 05.12.
2009.