Podstawy zabezpieczeń XP

Zakończona sukcesem instalacja systemu Windows XP, to dopiero początek drogi do bezpiecznego systemu operacyjnego. Zanim podłączysz się do Internetu lub udostępnisz innym swój komputer, musisz wykonać jeszcze sporo czynności, żeby móc spać spokojnie.

Zakończona sukcesem instalacja systemu Windows XP, to dopiero początek drogi do bezpiecznego systemu operacyjnego. Zanim podłączysz się do Internetu lub udostępnisz innym swój komputer, musisz wykonać jeszcze sporo czynności, żeby móc spać spokojnie.

Zabezpieczanie systemów informatycznych sprowadza się do realizacji jednego głównego celu: ochrony danych. Wszystkie działania mają zabezpieczać przed: zniszczeniem instalacji Windows XP, nielegalnym dostępem do plików i folderów, kradzieżą haseł oraz wykorzystaniem stacji do ataku na inne komputery. W Windows XP Professional jest sporo narzędzi pozwalających na zwiększenie bezpieczeństwa komputera, ale nie chronią one przed użytkownikiem nieświadomie produkującym dziury w zabezpieczeniach komputera.

Mieć świadomość

Stara prawda mówi, że bezpieczeństwo systemów informatycznych zależy głównie od świadomości administratorów. Administrator Windows XP jest odpowiedzialny za zarządzanie systemem, do jego obowiązków należy między innymi instalacja oprogramowania, wgrywanie poprawek, określanie dostępu do plików i drukarek oraz konfiguracja kont. W wypadku komputerów domowych odpowiedzialność ta spoczywa na jego użytkowniku i jeśli popełni on błąd, będzie ponosić tego konsekwencje.

Jeżeli chcesz, by twoja stacja była bezpieczna, przestrzegaj kilku "złotych" zasad chroniących przed zagrożeniami. Po pierwsze, nigdy nie uruchamiaj programów, skryptów albo plików wsadowych nieznanego pochodzenia. Zasada ta obejmuje również odczytywanie wiadomości pocztowych otrzymywanych z nieznanego źródła. Mnóstwo przypadków związanych z utratą bezpieczeństwa lub uszkodzeniem systemu opiera się właśnie na "podpuszczeniu" użytkownika. Najbardziej znany przykład to oczywiście list AnnaKurnikowa.jpg.vbs, który był masowo otwierany, przez użytkowników korzystających z poczty elektronicznej.

Jeśli system jest używany przez więcej niż jedną osobę, należy tak skonfigurować Windows, żeby użytkownicy nie mogli za dużo napsuć. Żaden z nich nie powinien pracować z wysokimi uprawnieniami, a praca na koncie administratora jest wręcz karygodna. Mając szerokie uprawnienia, mogą oni, najczęściej nieświadomie, przyczynić się np. do podmiany plików systemowych. W rezultacie przestajesz być administratorem własnego komputera. Podobnie jest wtedy, gdy do twojego komputera mają fizyczny dostęp inne osoby. Trzeba pamiętać, o możliwości uruchamiania dowolnego kodu, gdy system startuje z dyskietki lub płyty CD. Prędzej czy później równa się to utracie kontroli nad systemem.

Na koniec należy pamiętać, że żaden system sam w sobie nie jest niezdobytą twierdzą. Zanim zaczniesz pracę, poświęć chwilę lub dwie na zapoznanie się z przewodnikiem po podstawowych zabezpieczeniach Windows XP. Nie zapominaj również o bieżącej implementacji poprawek systemowych oraz aktualizacji oprogramowania antywirusowego.

Źródła zła wszelkiego

SID zalogowanego użytkownika.

SID zalogowanego użytkownika.

Rozpoznawanie, które elementy systemu są narażone na atak, należy rozpocząć od identyfikacji roli komputera. Najczęściej mamy do czynienia z wykorzystaniem Windows do pracy w Internecie, w małej sieci lub współużytkowaniem systemu przez kilka osób. W każdym z tych środowisk pojawiają się inne zagrożenia, o których administrator nie powinien zapomnieć.

Najbardziej niebezpieczna jest praca w Internecie. Jeżeli jesteś podłączony na stałe, beztroska jest wręcz zabroniona. Podczas przeglądania witryn, pobierania oprogramowania czy poczty możesz spotkać się z wieloma próbami uszczęśliwienia cię przesyłką zawierającą wirusa lub konia trojańskiego. Zachowanie daleko idącej ostrożności i zapewnienie szczelności systemu jest bardzo zalecane. Najważniejsze komponenty Windows, na jakie należy zwrócić szczególną uwagę, to: dostęp przez sieć, hasła, konta użytkowników, oprogramowanie i pliki systemowe. W środowisku takim niezbędne jest również ciągłe nadzorowanie systemu i bieżące wprowadzanie poprawek udostępnianych przez Microsoft.

Wykorzystanie komputera jedynie w niewielkiej sieci lokalnej nie wymaga od użytkowników zdwojonej czujności, ale nie zwalnia cię od obowiązku dbania o bezpieczeństwo. Czasem mała sieć może stanowić większe zagrożenie niż Internet, gdyż łatwiej w niej np. posługiwać się oprogramowaniem do podsłuchiwania ruchu sieciowego. Równie łatwo mogą rozprzestrzeniać się w niej wszelkiego rodzaju wirusy i robaki. Wystarczy, że zainfekowany plik jest udostępniany członkom sieci, którzy raz po raz go otwierają. Użytkownicy mają do siebie większe zaufanie, co radykalnie zmniejsza czujność. Kto by się spodziewał przykrej niespodzianki otrzymanej w poczcie od sąsiada, zwłaszcza jeśli zawiera interesujący załącznik (wspomniany już przykład AnnaKurnikowa.jpg.vbs). Potencjalne źródła zagrożeń w małej sieci są zbliżone do internetowych, w związku z czym elementy objęte ochroną są bardzo podobne. Trzeba dbać o konta, hasła, nadzorować dostęp do plików, uważać, jakie dane są udostępniane i komu.

Ostatnią z opisywanych sytuacji jest współdzielenie komputera przez wielu użytkowników. W systemie domowym zagrożenie jest raczej niewielkie, ale realne. Naturalnie nie ze strony członków rodziny, ale przypadkowego zainfekowania stacji wirusem lub usunięcia ważnych plików. W takim wypadku zalecane jest założenie oddzielnego konta dla każdego z użytkowników. Na upartego można nawet zabezpieczyć je hasłem. We wszystkich opisanych konfiguracjach nie zapomninaj o dobrym programie antywirusowym, a także o ograniczeniu dostępu do plików.

Konta XP

Dodawanie nowego konta.

Dodawanie nowego konta.

W Windows XP kontrolowanie dostępu do plików, folderów lub drukarek, jest realizowane poprzez system kont. Konto użytkownika służy do jednoznacznej identyfikacji, kto korzysta z zasobów systemu oraz jaki ma do nich dostęp. Zaleca się, aby każda z osób pracujących przy komputerze miała własne konto. Dzięki temu można łatwo skonfigurować odpowiednie zasady bezpieczeństwa. Dodatkowo zastosowanie profili pozwala użytkownikowi przystosować Windows do własnych potrzeb.

Windows XP przechowuje informacje o kontach użytkowników w lokalnej bazie SAM (Security Account Manager,) zapisanej w katalogu katalog_systemowy\System32\config. Gromadzone w niej informacje to: nazwa konta, jego właściwości, przynależność do grup itp. Użytkownicy identyfikowani są przez nazwy np. Jacek, Marcin czy Administrator, jednak system rozpoznaje poszczególne konta za pomocą specjalnego identyfikatora, tzw. SID (Security Identifier). Jest on wykorzystywany przez takie mechanizmy zabezpieczeń, jak uprawnienia do zasobów oraz prawa. Istotne, że przyznawany przez system SID jest niepowtarzalny i każde z nowo zakładanych kont będzie miało inny identyfikator. Usunięcie oraz powtórne założenie konta o takiej samej nazwie i tak wiąże się z wygenerowaniem unikatowego identyfikatora. Odnalezienie własnego SID nie jest trudne, wystarczy uruchomić edytor rejestru i tam rozwinąć klucz HKEY_USERS. Najdłuższy ciąg znaków rozpoczynający się od wartości S-1.., będzie tym identyfikatorem. Innym sposobem jest wykorzystanie narzędzia whoami z parametrami /user /SID. Jest ono dostępne po zainstalowaniu oprogramowania znajdującego się na płycie instalacyjnej Windows XP Professional w katalogu Support\Tools.

Wbudowane konta Użytkowników.

Wbudowane konta Użytkowników.

W Windows XP nowe konto użytkownika najlepiej zakładać, korzystając z przystawki Zarządzanie komputerem. Daje ona szersze możliwości niż opcja Konta użytkowników w Panelu sterowania. Po kliknięciu prawym przyciskiem obiektu Mój komputer wybierz opcję Zarządzaj i przechodzimy do folderu Użytkownicy i grupy lokalne. Znajdź w nim folder Użytkownicy i po kliknięciu go prawym przyciskiem myszy wskaż opcje Nowy użytkownik. Jeśli zakładasz konto dla osób pracujących przy komputerze, wprowadź nazwę, pełną nazwę i koniecznie hasło. Zalecane jest jednoczesne zaznaczenie opcji związanej ze zmianą hasła podczas pierwszego logowania. Gwarantuje to, że hasło będzie znał jedynie właściciel konta. Pozostałe opcje, takie jak przynależność do grup lub położenie profilu użytkownika, konfigurujesz po założeniu konta.


Zobacz również