Kilpailupäivä 2, torstai 26.1.2005 Kilpailijan numero allekirjoitus nimen selvennys Sivu 1
Tietokoneet ja verkot PÄIVÄ 2: Yrityksen palvelimen ja työasemien asentaminen ja konfigurointi sekä turvallisen langattoman verkon pystyttäminen Olet töissä ATK-konsultti ja asennuspalvelu nimisessä yrityksessä. Pomosi on antanut sinulle tehtäväksi asentaa erään asiakkaan yritykseen palvelin (w2k3). Pomosi on kerännyt asiakkaalta tarpeelliset tiedot ja tehnyt sinulle listan, mitä palvelimeen tulee asentaa ja miten se tulee konfiguroida. Yrityksessä on 6 työasemaa joista yksi on jo valmiiksi asennettu. Yritykseen ollaan hankittu myös langaton tukiasema, joka toimii aluksi myös yrityksen reitittimenä. Tehtävänäsi on myös ottaa käyttöön ja konfiguroida langaton tukiasema annettujen ohjeiden mukaisesti. Ohessa on yrityksen verkon kuva. Sivu 2
Yritykseen on hankittu esiasennettu palvelin Windows 2003 server. Tehtävänäsi on asentaa ja konfiguroida se sekä yrityksen työasemat, joista yksi on tällä hetkellä työpisteessäsi. Pomosi on antanut sinulle ohjeita palvelimen konfiguroimiseksi: Asenna palvelimeen Active Directory. Palvelimen nimeksi tulee SRVX, missä X on kilpailijanumerosi. Toimialueen nimeksi tulee domainx.local. Yrityksessä on käytössä verkko 192.168.x.0 /24. Palvelimen IPosoitteeksi tulee laittaa 192.168.X.100 (X:n paikalle kilpailijanumerosi). Laita palvelimen järjestelmänvalvojalle salasana ja kirjoita se SELVÄSTI tähän sekä pöydällä olevaan koonti paperiin. Asenna palvelimeen seuraavat palvelut: DHCP palvelu, joka tulee toimimaan toimialueen työasemien DHCP-palvelimen DNS palvelu, joka tulee toimimaan toimialueen työasemien DNS palvelimena. WINS palvelu, joka tulee toimimaan toimialueen työasemien WINS-palvelimena. DHCP säädetään siten, että se jakaa työasemille kaikki internetyhteydessä tarvittavat TCP/IP asetukset. Kiinteille IP osoitteille varataan verkosta viimeiset viisikymmentä IP:tä, muut vapaana olevat osoitteet jaetaan DHCP:tä käyttäville työasemille. Verkon reitittimenä toimii langaton tukiasema. Langattoman tukiaseman IP:ksi tulee laittaa verkon ensimmäinen käytettävissä oleva IP. DNS säädetään selvittämään aina IP -osoitteet nimiksi ja nimet IPosoitteiksi, sekä laitetaan forwarderiksi 192.168.100.100. Sivu 3
Aseta palvelimelta salasanan vaihtoajaksi maksimissaan 30 päivää ja minimissään 14 päivää. Salasanan pituus on oltava vähintään 5 merkkiä ja 8 viimeistä salasanaa eivät kelpaa. Toimialueella tullaan liittämään 6 työasemaa. Tee näille työasemille jo valmiiksi tili toimialueelle organisaatioyksikköön nimeltä koneet. Koneiden nimet ovat: WKS1-WKS6 Luo käyttäjä nimeltään valvoja ja anna hänelle salasana. Kirjoita valvojan salasana SELVÄSTI myös tähän. Valvojalla tulee olla järjestelmänvalvojan oikeudet sekä palvelimella että toimialueeseen liitetyissä työasemissa. Luo toimialueelle OU nimeltä YRITYS. Tee YRITYS OU:hun kolme OU:ta nimeltään Johtajat, Myynti, ja Työntekijät. Tee kuhunkin OU:hun myös samannimiset ryhmät (johtajat, myynti, työntekijät) ja seuraavan ohjeen mukaisesti käyttäjät. Johtajat-ryhmään tulee tehdä käyttäjät: Iso Päällikkö, osoite Porvarinkuja 6, 00100 Helsinki ja puhelinnumero 0700-1256. Käyttäjätunnus iso paallikko ja salasana theboss. Apu Veikko, Osoite Eerikinkatu 5A4, 20100 Turku ja puhelinnumero 040-4443332 Käyttäjätunnus apu veikko ja salasana theapu Myyjät-ryhmään tulee tehdä käyttäjät: Helppo Heikki, Höynäyttäjänkuja 5, 00100 Helsinki ja puhelinnumero 050-12567. Käyttäjätunnus helppo heikki ja salasana salesman. Nakki Kone, käyttäjätunnus nakki kone ja salasa salesapu Työntekijät-ryhmään tulee tehdä käyttäjät: Työ Myyrä. Käyttäjätunnus tyo myyra ja salasana worker. Laiska Jaakko, Käyttäjätunnus laiska jaakko ja salasana laiskis Sivu 4
Luo palvelimen c-asemalle kansio nimeltään myynnit, johon myyjillä on luku- ja kirjoitusoikeudet, mutta ei tiedostojen poisto-oikeutta. Johtajilla on vain lukuoikeus ja järjestelmänvalvojilla täydet oikeudet. Kaikille toimialueen käyttäjille tulee tehdä palvelimelle kotikansio, johon vain ko. käyttäjällä on täysi oikeus. Luo c-asemalle käyttäjien kotikansioita varten kansio nimeltään home. Tee tähän kansioon kaikille käyttäjille kotihakemistot muotoa etunimi.sukunimi. Määrittele palvelimen asetukset siten, että kun käyttäjät kirjautuvat toimialueelle työasemastaan tulee heidän kotikansionsa yhdistyä automaattisesti H- asemaksi. Tee jokaiselle toimialueen käyttäjälle liikkuva profiili. Luo näitä profiileja varten C-asemalle profiilit -niminen kansio, ja jaa tämä kansio piilotettuna, ettei se näy verkkojakojen listauksessa. Käyttäjien profiilikansioiden nimi tulee olla sama kuin käyttäjätunnus. Määrittele annetuille ryhmien käyttäjille seuraavat käytänteet (policyt), joiden tulee toimia käyttäjän kirjautuessa mistä tahansa toimialueen työasemasta. Työntekijät-ryhmään kuuluvat käyttäjät: Tekotavalla ei ole väliä, kunhan vaaditut asiat toimivat! käyttäjien kirjautuminen sallitaan vain 08-20.00 välisenä aikana ja heidät kirjataan automaattisesti ulos kuin sallittu kirjautumisaika umpeutuu. Käyttäjien omat tiedostot uudelleen ohjataan automaattisesti palvelimelle käyttäjän kotikansioon. = kun käyttäjä tallentaa työasemassaan esim. tiedoston minun.doc kansioon Omat Tiedostot, tallentuu ko. tiedosto automaattisesti käyttäjän palvelimelle sijaitsevaan kotikansioon (home\etunimi.sukunimi). kirjautumisen yhteydessä pasianssi käynnistyy automaattisesti Sivu 5
Myyjät- ryhmää kuuluvat käyttäjät: Tekotavalla ei ole väliä, kunhan vaaditut asiat toimivat! käyttäjien kirjautuminen sallitaan vain 08-20.00 välisenä aikana ja heidät kirjataan automaattisesti ulos kuin sallittu kirjautumisaika umpeutuu. palvelimella oleva myynnit kansio tulee kytkeytyä automaattisesti Z-asemaksi kun myyjät -ryhmän käyttäjä kirjautuu toimialueelle. Ohjauspaneelin ja sen sisältämien sovellusten avaaminen ja käyttö on estetty. Johtajat-ryhmään kuuluvat käyttäjät: yhdistää Z-aseman palvelimella jaettuun myynnit-kansioon tyhjentää käyttäjän oman temp-hakemiston koneen sammuessa Käyttäjillä tulee olla oikeus lisätä ja poistaa toimialueen käyttäjiä, mutta he eivät saa kuulua järjestelmänvalvoja-ryhmään. Aseta palvelimen asetukset siten, että järjestelmänvalvojat pääsevät ylläpitämään palvelinta etäyhteyden kautta (RDP). Etäyhteyden kautta kirjautuminen tulee olla mahdollista vain järjestelmänvalvojat ryhmään kuuluville. Muuta työpisteessäsi oleva XP työaseman nimi nimeksi wks3 ja kytke se verkkoon. Konfiguroi työaseman verkkoasetukset siten, että työasema saa tarvittavat IP asetukset automaattisesti DHCP palvelimelta. Aseta palvelimen DHCP antamaan tälle työasemalle aina sama IP-osoite (192.168.X.250). Liitä ko. työasema toimialueelle. Palvelimella sijaitsevista käyttäjien kotikansioista ja profiili-kansioista tulee ottaa varmuuskopio (backup) C-asemalle kansioon BACKUP (Tee ko. kansio BACKUP) seuraavasti: Varmistus kaikista tiedostoista (Full Backup) tulee ottaa joka sunnuntai klo: 22.00 sekä incremental backup kaikkina muina viikonpäivinä klo: 23.00. Nämä backup:t tulee tehdä vuoden 2006 loppuun asti. Sivu 6
Pomosi on hiukan vainoharhainen, koska hän pelkää vakoojia, siksi hän haluaakin, että toimialueelle liitettävien Windows XP-työasemien tulee olla yhdenmukaisia(wks1-wsk3) : XP:n oma palomuuri käynnistyy automaattisesti eikä työasemasta käsin voida palomuuria ottaa pois käytöstä. Tämän lisäksi kenelläkään XP työaseman käyttäjällä ei tule olla oikeutta/ mahdollisuutta estää poikkeuksia. Työasemassa tulee myös olla pakotettuna etäyhteyksien (RDP) salliminen työasemaan sekä koneen pingaaminen muualta verkosta. Windows Messengerin automaattinen käynnistys on estetty Kaikki epäonnistuneet kirjautumiset työasemista tulee tallentua palvelimen lokiin. Lopuksi kirjaudu ulos molemmista koneista ja jätä ne käyntiin. Sivu 7
PIKATAIVAL tehtävä Aikaa puoli tuntia!! Konfiguroi yritykseen langaton tukiasema/reititin seuraavasti: Langaton tukiasema tulee näkyä verkossa nimellä YRITYSX, ja toimia kanavalla X, missä X on kilpailijanumerosi. Root käyttäjätunnuksen salasana sinun tulee keksiä itse ja kirjoittaa se selväsi tähän viivalle: Määrittele tukiasemaan 40-bittinen WEB -salausavain ja kirjoita se tähän: Pomolla on kannettava tietokone, johon on tarkoitus asentaa langaton verkkokortti (USB-tikku, joka on työpisteessäsi). Hän haluaa, että hänen koneensa tulee saamaan aina saman IP osoitteen. Määrittele asetukset siten, että pomon langaton yhteys tulee saamaan DHCP:llä aina saman osoitteen eli IP:n 192.168.x.2. Asenna testausta varten ko. langaton USB-tikku työasemaan WKS3 Koska yritys toimii alueella, missä on paljon tukiasemia ja yritysvakoojia, haluaa pomosi, että yrityksen langaton tukiasema ei saa näkyä valittavien tukiasemien joukossa. Tukiaseman tulee kuitenkin toimia moitteettomasti, vaikka sen SSID:tä ei näy valittavien tukiasemien listassa. Palvelimeen tulee päästä etätyöpöydän (RDP) kanssa ulkoverkosta käsiksi. Sivu 8
TÄYTÄ TÄMÄ LOMAKE ENNEN KUIN POISTUT KILPAILUPAIKALTA: Administratorin salasana : Valvoja käyttäjän salasana: DHCP:llä jaettavat IP osoitteet: Kaikkien verkossa olevien laitteiden nimi ja IP osoite: * * * Sivu 9
Kilpailupäivä 1, keskiviikko 25.1.2005 Kilpailijan numero allekirjoitus nimen selvennys Kirjoita työn edetessä tähän selvällä käsialalla Server 2003 Administrator XP pro Järjestelmänvalvojan Langattoman reitittimen Root Käyttäjä: Matti. Käyttäjä: Maija. salasana = salasana = salasana = salasana = salasana = Sivu 1
Tietokoneet ja verkot Päivä 1. Rakennetaan verkkoyhteydet ja asennetaan serverin ja työaseman yhteydet. Kuva 1. Yhteydet ilman langatonta verkkoa. Käytettävä verkko on 192.168.11.0 /24 Kuva 2. Wireless LAN. Lopullinen verkkotopologia. Sivu 2
Ensimmäisen päivän kilpailutehtävä Tehtävänä on rakentaa verkko ja asentaa standalone Windows 2003 Server ja Windows XP Pro langattomaan verkkoon. Verkon konfigurointi työryhmäksi. Henkilökohtaisen kotihakemiston luominen. Lopullinen verkko on kuvan 2. mukainen. Käyttöjärjestelmien asennusohjeet. Tämä ohjeistus ei ole yksityskohtainen. Joudut itse päättelemään, missä järjestyksessä mitäkin verkon, serverin, työaseman ja reitittimen asennuksia tehdään. Mitä X tarkoittaa ohjeistuksessa: Kilpailijoita on kahdeksan. Käyttäjätunnuksia ja salasanoja asetettaessa merkintä X tarkoittaa omaa kilpailijanumeroasi. Salasanat ja käyttäjätunnukset. Määrittele työn edetessä itse 5- (viisi) merkkiset salasanasi Esimerkiksi olet kilpailija numero 3. Jos sinun on asetettava käyttäjätunnukseksi Taitajax, niin kirjoita silloin käyttäjätunnukseksi Taitaja3 Lisenssinumerot Windows Server 2003 + SP ABCDE ABCDE ABCDE ABCDE ABCDE Windows XP Professional +SP2 ABCDE ABCDE ABCDE ABCDE ABCDE Sivu 3
Verkon rakentaminen Rakenna kuvan 1 mukainen verkko 1. Kaapeloi kaksi kiinteää yhteyttä kouruun rasioilta räkille yleiskaapelilla (EN50173 luokan E ja T568A). 2. Mittaa kaapelointi ja laitejohdot standardin mukaan. Tallenna tulokset mittariin. Siirrä myöhemmin tulokset XP-työasemaan Tee päätelmät ja kirjaa ne tähän. 3. Mikä on linkin maksimi pituus? m 4. Mikä on kanavan maksimi pituus? m 5. Mitä asioita on otettava huomioon parikaapeleita käsiteltäessä? 1. 2. 3. 4. Sivu 4
Kytke koneet kuvan (1) mukaiseksi verkoksi. Windows Server 2003 asennus standalone fileserveriksi. Poista kiintolevyn osiot. Aloita asennus. Koko kiintolevy varataan Server 2003 :a varten NTFS tiedostojärjestelmäksi. Tietokoneen nimi: KilpailijaX Yritys: Serverin nimi: KilpailijaX KilpailijaX Administrator salasana: Määrittele viisimerkkinen salasana. Kirjoita salasana selvästi tähän ja kirjoita se myös tämän ohjeen etusivulle. Aseta kello ja päivämäärä. Koska serveriä ei kytketä internettiin, niin todennäköisesti aina käynnistettäessä tulee virheilmoitus kellonajan päivityksestä. Jätä asia huomioimatta. Tarkista laitteiston toimivuus. Asenna tarvittavat ohjaimet. LAN verkkoyhteydet IP 192.168.11.100 Aliverkon peite 255.255.255.0 Yhdyskäytävä 192.168.11.1 ensisijainen DNS 192.168.11.1 DHCP jakaa IP-osoiteavaruuden 192.168.11.10-192.168.11.254 poislukien 192.168.11.100 Luo kiintolevyn juureen hakemisto C:\KOTI ja C:\KOTI\YHTEISET. Verkkokäyttäjät eivät saa muuttaa hakemiston oikeuksia. Kansiot jakoon sopivin jakotason oikeuksin. Sivu 5
Windows XP asennus. Poista kiintolevyn osiot. Aloita asennus. Puolet kiintolevystä varataan Windows XP:tä varten NTFS tiedostojärjestelmäksi. Järjestelmänvalvojan salasana: Määrittele viisimerkkinen salasana. Kirjoita salasana selvästi tähän ja kirjoita se myös tämän ohjeen etusivulle. Tietokoneen nimeksi TaitajaX. Aseta kello ja päivämäärä. Tarkista laitteiston toimivuus. Asenna tarvittavat ohjaimet Konfiguroi työasemaan kiinteät IP-asetukset. Kytke työasema verkkoon. Reitin Käytössäsi on reitittimen manuaali. Tehtaan jäljiltä IP-osoite on 192.168.11.1. Käyttäjätunnus: Root Salasanaa ei ole. Määrittele viisimerkkinen salasana root :lle. Kirjoita salasana selvästi tähän ja kirjoita se myös tämän ohjeen etusivulle. IP osoite 192.168.11.1 Aliverkon maski 255.255.255.0 Yhdyskäytävä 192.168.11.1 Konfiguroi langaton yhteys työasemaan. Langattoman verkon salausta ei käytetä. Verkon nimi on: VerkkoX Sivu 6
Lisää verkkokäyttäjät Käyttäjä: Matti. Määrittele viisimerkkinen salasana. Käyttäjä: Maija. Määrittele viisimerkkinen salasana. Kirjoita salasanat myös tämän ohjeen etusivulle Luo serverille hakemistot: C:\Koti\Yhteiset C:\Koti\Matti C:\Koti\Maija verkkokäyttäjä ei voi muuttaa oikeuksia verkkokäyttäjä ei voi muuttaa oikeuksia. verkkokäyttäjä ei voi muuttaa oikeuksia. Järjestelmänvalvojan oikeuksia ei rajoiteta. Käyttäjät eivät pääse toistensa hakemistoihin. Kotihakemisto Matti ja Maija mappautuu käyttäjän H:asemaksi aina käynnistyksen yhteydessä. Kytke koneet kuvan 2. mukaiseksi verkoksi. Asenna langaton USB verkkokortti työasemaan. Kirjaudu työasemassa käyttäjäksi Matti. Siirrä verkkoanalysaattoriin tallentamasi mittaustulokset työasemaan. Kopioi mittaustulokset Matin kotihakemistoon serverille. Sivu 7
Pikataivaltehtävä keskiviikko 25.1.2005 kello 1200 Aikaa on puoli tuntia. Tehtävä Tee tarvittava määrä laitejohtoja (CAT 5). Valmiiden johtojen pituudeksi 2 metriä +- 2 cm Sivu 8
Ilmailualan tehtävä keskiviikkopäivän päätteeksi. Tehtävä on nopeustesti. Tehtävä on suoritettava kuitenkin virheettömästi. Tehtävä Ilmoita tuomarille, kun haluat aloittaa tehtävän. Tuomari toimii nyt lähettäjänä ja ajanlaskijana. Asenna joystic työasemaan. Asenna Flight Simulator ohjelmisto. Olet pilotti, jonka tehtävänä on koeajaa lentokoneprototyyppi. Nouse ilmaan ja tuo lentokone ehjänä takaisin samalle lentokentälle. Pyydä tuomaria pysäyttämään kellot. START THE ENGINES Sivu 9
Kilpailupäivä 3, perjantai 27.1.2005 Tietoturva. F-Secure. Kilpailijan numero allekirjoitus nimen selvennys Ensimmäisen ja toisen kilpailupäivän tehtävälomakkeessa on tähänastiset salasanasi. Sivu 1
Päivä 3. Tietoturva. Palvelin ja hallintakonsoli Asenna palvelimeen hallintaa varten F-Secure Policy Manager Server ja työasemaan F-Secure Policy Manager Console: 1. Hallintapalvelimen työasemia palvelevaksi portiksi asetetaan 81 oletusarvon sijasta. Hallintakonsolin palvelinportiksi asetetaan 8090 ja webraportoinnin palvelinportiksi 8091 2. Aseta työasemien pollausväliksi 30 sekuntia oletuksen sijaan, muista asettaa palvelimen osoite keskitettyyn hallintaan. 3. Luo Policy Manageriin työasemia ja palvelimia varten omat kansiot hallintapuuhun. 4. Siirrä hallittavat tietokoneet oikeisiin kansioihin. 5. Jaa policyt Asenna järjestelmä siten, että palvelin hakee virus- ja vakoiluohjelmatunnisteet automaattisesti ja jakaa ne kaikille koneille. Tee seuraavat määritykset keskitetyn hallinnan avulla: 1. Työasemiin voi ottaa yhteyttä etätyöpöytäohjelmalla (rdp) 2. Työasemien pitää voida jakaa levyä ja kirjoittimia ollessaan paikallisverkossa 3. Työasemissa otetaan käyttöön verkkokaranteeni, jos työasemien virustunnisteet ovat 10 päivää vanhempia. 4. Käyttäjä ei saa kytkeä reaaliaikaista virustorjuntaa ja palomuuria pois päältä. 5. Http-liikenteen skannaus on oltava päällä kaikissa työasemissa. 6. Jaa policyt Sivu 2
Työasema Työasemaan tulee asentaa F-Secure Anti-Virus Client Security ja siihen liittyvä turvapäivitys. Yrityksen mikrotuki haluaa, että ohjelmisto asennetaan etäkäytöllä (Push-install) työasemalle. Lisätehtävät: Asenna keskitetyn hallinnan kautta tietoturvapäivitys FSC-2006-1, joka löytyy osoitteesta: http://www.f-secure.com/security/fsc-2006-1.shtml Mene selaimella osoitteeseen eicar.org ja lataa sieltä testitiedosto eicar.com. Tarkastele työaseman selaimen avulla hallintapalvelimen tilaa, jätä selain näkyviin. Sivu 3