Windows pod kluczem

Adresy znajomych, deklaracje podatkowe, amatorskie próby twórczości poetyckiejlub literackiej czy niejednoznaczne, demaskujące fotografie - każdy gromadzina twardym dysku jakieś prywatne dane. Ale jak ustrzec je przed współużytkownikami komputera i sieci?


Adresy znajomych, deklaracje podatkowe, amatorskie próby twórczości poetyckiejlub literackiej czy niejednoznaczne, demaskujące fotografie - każdy gromadzina twardym dysku jakieś prywatne dane. Ale jak ustrzec je przed współużytkownikami komputera i sieci?

Windows 2000 i XP to systemy wielozadaniowe, przeznaczone do współużytkowania przez wiele osób. Dysponują przejrzystym mechanizmem logowania, jasnym podziałem danych poszczególnych osób i bezpiecznym udostępnianiem zasobów. Jednak wcale nie tak łatwo wykorzystać techniczne fundamenty systemu tak, aby każdy miał możliwość wykonywania dokładnie tego, na co chcesz mu zezwolić, pełniąc funkcję administratora peceta. W poniższym materiale staramy się uporządkować ten wielki zbiór wiedzy, na który składają się procedury logowania, zasady systemowe, podziały uprawnień i udostępnienia. Rozpoczynamy od stosunkowo prostych do zrozumienia reguł logowania. W kolejnych częściach artykułu koncentrujemy się na bardziej zawiłych zagadnieniach - uwierzytelnianiu użytkowników i ich grup, konfigurowaniu zasad grup i przydzielaniu uprawnień do plików. Dzięki naszym poradom sprostają temu nawet mniej wprawni użytkownicy i ci, którzy do tej pory korzystali ze środowisk Windows 9x/Me. Zauważ, że poszczególne wersje systemu różnią się nawet drobnymi szczegółami - przede wszystkim edycją XP Home. Wyposażony w nasze wskazówki, będziesz mógł sam decydować o bezpieczeństwie danych w obrębie swojego komputera.

Logowanie i zasady systemowe

Windows pod kluczem

Przystawka GPEDIT.MSC, czyli edytor zasad grup, pozwala m.in. nakładać restrykcje na poszczególne konta użytkowników, a także zmieniać ponad sto innych ustawień dotyczących bezpieczeństwa. Jest dostępna w Windows 2000 i XP Professional.

Windows 2000 i XP Professional (ze sporymi ograniczeniami również XP Home Edition) zapewniają znacznie wyższy poziom bezpieczeństwa niż Windows 98/Me. Podstawową rolę odgrywa w tym system plików NTFS, ale nawet zainstalowane na partycji FAT32 środowisko Windows 2000/XP oferuje większe ograniczenia dostępu podczas logowania, podczas zwyczajnej pracy w systemie i podczas wykonywania czynności konserwacyjnych z poziomu konsoli odzyskiwania. Właśnie te ogólne założenia i wytyczne systemowe są tematem pierwszej części artykułu.

1. Bezpieczeństwo podczas logowania

Okno logowania się użytkowników nie sieciowych, lecz lokalnych nieubłaganie żąda nazwy konta i odpowiedniego hasła. Mechanizm ten zdaje się bezpieczny - i jest, jeśli zastosujesz się do pewnych wskazówek.

Okno powitalne środowiska Windows XP samodzielnie oferuje konta użytkowników zarejestrowanych w systemie. Okazuje się mniej restrykcyjne niż klasyczne okno logowania, w którym trzeba własnoręcznie wpisywać nazwę użytkownika. Swój ulubiony rodzaj logowania możesz wybrać w aplecie Konta użytkowników Panelu sterowania (menu Start | Ustawienia | Panel sterowania).

Windows pod kluczem

Narzędzie SECPOL.MSC oferuje niewielki, lecz przejrzysty zbiór ustawień bezpieczeństwa.

Logowanie w systemie nie jest bezpieczne, jeśli są w nim zdefiniowane konta bez haseł. Brzmi to trywialnie, jednak to złudne wrażenie, bo określone predefiniowane konta nie wymagają podawania haseł, choć nie wie o tym większość użytkowników. W Windows XP Home Edition konto Administrator nie dysponuje domyślnie hasłem. W rezultacie każdy ma nieograniczony dostęp do komputera - wystarczy wybrać konto Administrator w trybie awaryjnym lub uruchomić system z poziomu Konsoli odzyskiwania. Koniecznie zamknij tę lukę w zabezpieczeniach. Przywołaj w tym celu okno wiersza poleceń i wpisz:

net user administrator <hasło>

Jeśli ponadto jest uaktywnione konto Gość, każdy może się dostać do systemu bez podawania hasła. Zasadniczo nie ma racjonalnego powodu do uaktywniania (lokalnego) konta Gość. Nawet jeśli chcesz udostępnić pewne zasoby wszystkim użytkownikom w sieci, nie musisz zakładać konta gościa. Anonimowy dostęp przez sieć wymaga tylko złagodzenia określonych restrykcji w zasadach konta Gość, a nie możliwości lokalnego logowania się Gościa w komputerze.

2. Bezpieczeństwo haseł

W odróżnieniu od nazwy kont, które można wpisywać w dowolny sposób (małymi lub wielkimi literami albo różnie), Windows wymaga dokładnego podawania hasła, z rozróżnieniem małych i wielkich liter. Pozostałe wymagania co do haseł można definiować w przystawce Ustawienia zabezpieczeń lokalnych (nie dotyczy Windows XP Home Edition). Przywołasz ją, otwierając menu Start | Uruchom i wpisując secpol.msc. Rozwiń gałęzie Zasady konta i Zasady haseł. Godne polecenia jest przede wszystkim ustawienie minimalnej długości hasła i zasad złożoności. Oznacza to, że hasło musi spełniać co najmniej trzy z czterech kryteriów - zawierać małe litery, wielkie litery, cyfry i/lub znaki specjalne. Zmiany powyższych zasad nie mają wpływu na dotychczas założone hasła. Tylko podczas modyfikowania hasła lub zakładania nowego system sprawdza, czy wpis odpowiada powyższym ustawieniom.

Zwróć uwagę na to, że wszystkie hasła i zasady systemowe można modyfikować z poziomu każdego konta z uprawnieniami administratora. Zatem im mniej kont administratorskich w systemie, tym większe bezpieczeństwo podczas logowania.

Centrale zabezpieczeń w Windows 2000/XP

Wymuszone logowanie w systemie, prawa dostępu NTFS i zasady grup to bardzo skuteczne środki zabezpieczania danych przed nieupoważnionymi i kontrolowanego przekazywania ich we właściwe ręce. Środowisko Windows zapewnia kilka narzędzi do sterowania konfiguracją zabezpieczeń.

CACLS.EXE służy do podglądania i przedefiniowania uprawnień NTFS. Nie dysponuje graficznym interfejsem - działa tylko w oknie wiersza poleceń. Chcąc przydzielić użytkownikowi Anna pełny dostęp do katalogu C:\DOKUMENTY, wystarczy wpisać:

cacls c:\dokumenty /g Anna:F

Przyznanie uprawnień umożliwia parametr /g. Przełącznikiem /d odbiera się użytkownikowi uprawnienia, a przełącznikiem /p zmienia jego dotychczasowe prawa dostępu. Pełny opis parametrów i ich znaczenia uzyskasz, wpisując polecenie cacls /?.

FSMGMT.MSC - przystawka Foldery udostępnione wyświetla przejrzyste zestawienie zasobów udostępnionych w sieci. Przywołując ich właściwości w menu podręcznym, uzyskasz przegląd bieżących praw dostępu do poszczególnych udziałów, a nawet możliwość ich edytowania (patrz również polecenie net share).

GPEDIT.MSC (tylko w środowisku Windows 2000 i XP Professional) - edytor zasad grup stanowi centralny moduł licznych ustawień rejestru, które dotyczą bezpieczeństwa. Chcąc zmodyfikować lub uaktywnić określoną zasadę, wystarczy kliknąć ją dwukrotnie i dokonać żądanych zmian.

LUSR.MSC - menedżer użytkowników. Wyświetla wszystkich użytkowników i grupy lokalne zarejestrowane w systemie, a także przynależności użytkowników do tychże grup. Oferuje możliwość edytowania, usuwania i zakładania kont użytkowników (patrz również polecenie net user).

net localgroup - polecenie działające wyłącznie w trybie tekstowym (podobnie jak CACLS.EXE). Pozwala zakładać (net localgroup /add <nazwa_grupy>) i usuwać (net localgroup /delete <nazwa_grupy>) grupy użytkowników. Jest dostępne nawet w Windows XP Home Edition.

net share - polecenie do użytku w trybie tekstowym. Wyświetla listę zasobów udostępnionych w sieci, tworzy nowe udostępnienia (net share <nazwa_udziału>=<ścieżka>) i usuwa dotychczasowe (net share <nazwa_udziału>/delete). Uwaga - do zasobów udostępnionych poleceniem net share mają pełny dostęp (w trybie odczytu i zapisu) wszyscy uwierzytelnieni użytkownicy i goście, jeśli dopuszczają to ich lokalne uprawnienia NTFS.

net user - bardzo funkcjonalna alternatywa przystawki LUSR.MSC (patrz wyżej), działająca w trybie tekstowym. Wyświetla listę kont, pozwala tworzyć nowe konta (parametr /add), usuwać dotychczasowe (/delete), a nawet wyłączać je i ponownie włączać (/active:no i /active:yes). Za jego pomocą można zmieniać hasła użytkowników (net user <nazwa_konta> <hasło>). Do nieudokumentowanych należy funkcja ograniczania dopuszczalnej pory logowania (np. net user <nazwa_konta> /times:pn-pt, 14-18). Ograniczenia te cofa się poleceniem net user <nazwa_konta> /times:all.

XCACLS.EXE - narzędzie z zestawu Windows 2000 Resource Kit, działa również w Windows XP. W porównaniu do standardowego CACLS.EXE umożliwia bardziej szczegółowe przydzielanie praw dostępu, a także przejmowanie praw własności do określonych obiektów na dysku.