03wininout.pdf

Rozdzia³ 3

Bezpieczeñstwo w Windows XP

– wprowadzenie

Kontrolowanie

dostêpu do

komputera

Nowa funkcja!

Konta u¿ytkowników

Wybór sposobu logowania

u¿ytkowników

Wylogowywanie siê lub blokowanie

komputera

Czêœæ I: Konfiguracja, uruchamianie i usprawnianie systemu

Rozdzia³ 3: Kontrolowanie dostêpu do komputera

Korzystaj¹c z opcji bezpieczeñstwa opracowanych

dla biznesowej linii produktów Windows – Win-

dows NT i Windows 2000 – Windows XP uniemo-

¿liwia dostêp do twojego komputera wszystkim

niepowo³anym osobom. Jest to zdecydowana ró¿-

nica w stosunku do Windows 95/98/Me, w któ-

rych mo¿na by³o omin¹æ opcje zabezpieczaj¹ce, na-

ciskaj¹c klawisz [Esc], gdy system prosi³ o podanie

has³a. W Windows XP mo¿esz:

za¿¹daæ, aby ka¿dy u¿ytkownik podlega³ iden-

tyfikacji przy logowaniu,

kontrolowaæ dostêp do plików i innych zaso-

bów,

kontrolowaæ zdarzenia systemowe, takie jak

historia logowania oraz u¿ycie plików i in-

nych zasobów.

Nowa funkcja!

Co siê sta³o z kontem

Administrator?

Zaawansowane opcje

konfiguracyjne kont

100

Tworzenie hase³

107

Konfigurowanie Windows XP

w komputerze udostêpnionym

113

Wiêcej informacji na temat bezpieczeñstwa znajdziesz w rozdziale 36

„Inspekcja zabezpieczeñ”.

Oczywiœcie, jeœli komputer znajduje siê w bez-

piecznym miejscu i masz pe³ne zaufanie do osób

maj¹cych do niego dostêp, zagadnienia te mog¹

nie byæ dla ciebie tak istotne. Programistom Win-

dows XP uda³o siê zaprojektowaæ system, który

z jednej strony zapewnia bezpieczeñstwo tym,

którzy go potrzebuj¹, a z drugiej strony oferuje

wygodê pozosta³ym u¿ytkownikom. Nawet jeœli

nie zale¿y ci na dodatkowych opcjach bezpiecze-

ñstwa, i tak zapewne zechcesz utworzyæ oddziel-

ne konta dla wszystkich u¿ytkowników twojego

komputera. Z ka¿dym kontem zwi¹zany jest bo-

wiem oddzielny profil u¿ytkownika, który za-

wiera wszystkie jego ustawienia: ulubione strony

sieci Web, t³o pulpitu, foldery dokumentów itd.

Czêœæ I: Konfiguracja, uruchamianie i usprawnianie systemu

Dziêki funkcjom opisanym w tym rozdziale, takim jak ekran logowania i szybkie

prze³¹czanie miêdzy u¿ytkownikami, mo¿na szybko zalogowaæ siê do systemu

i prze³¹czaæ miêdzy kontami.

Bezpieczeñstwo w Windows XP

– wprowadzenie

Ide¹ systemu zabezpieczeñ w Windows XP jest okreœlenie w³aœciciela ka¿dego zaso-

bu – na przyk³ad pliku lub drukarki. W³aœciciel danego zasobu ma pe³n¹ kontrolê nad

nim i mo¿e wybraæ u¿ytkowników, którym chce udzieliæ dostêpu do tego zasobu. Za-

zwyczaj zasób jest w³asnoœci¹ tego u¿ytkownika, który go utworzy³. Na przyk³ad jeœli

utworzy³eœ plik, to jesteœ jego w³aœcicielem. (Jednak administratorzy komputera

mog¹ przej¹æ na w³asnoœæ zasób, którego sami nie utworzyli).

UWAGA

Aby mieæ pe³n¹ kontrolê nad poszczególnymi plikami, musz¹ one znajdowaæ siê na woluminie NTFS. Dla celów

zgodnoœci Windows XP obs³uguje tak¿e systemy plików FAT i FAT32, u¿ywane przez MS-DOS i Windows 95,

Windows 98 i Windows Me. Jednak systemy FAT i FAT32 nie zapewniaj¹ takiego poziomu bezpieczeñstwa. Aby

w pe³ni korzystaæ z systemów zabezpieczeñ Windows XP, musisz u¿ywaæ systemu plików NTFS. Wiêcej infor-

macji na ten temat znajdziesz na stronie 740 w podrozdziale„NTFS czy FAT32: który system plików wybraæ?”

W celu okreœlenia, którzy u¿ytkownicy maj¹ dostêp do zasobu, Windows przydziela

do ka¿dego konta u¿ytkownika identyfikator zabezpieczeñ (SID). Twój SID (unikalna

wartoœæ liczbowa) pod¹¿a za tob¹ wszêdzie po ca³ym systemie. Podczas logowania

system operacyjny sprawdza nazwê u¿ytkownika i has³o. Nastêpnie tworzy znak za-

bezpieczenia (token) dostêpu . Jest to swojego rodzaju elektroniczny identyfikator. Za-

wiera on twoj¹ nazwê u¿ytkownika oraz SID wraz z informacjami na temat grup za-

bezpieczeñ, do których nale¿y twoje konto. (Ka¿dy uruchamiany przez ciebie pro-

gram otrzymuje kopiê twojego znaku zabezpieczenia dostêpu).

Za ka¿dym razem, gdy próbujesz przejœæ przez strze¿one „drzwi” w Windows (na

przyk³ad gdy próbujesz skorzystaæ z udostêpnionej drukarki) lub te¿ gdy próbuje to

zrobiæ uruchomiony przez ciebie program, system operacyjny sprawdza znak zabez-

pieczenia dostêpu i decyduje, czy masz wystarczaj¹ce uprawnienia. Jeœli nie uzyskasz

dostêpu, zobaczysz menu lub okno dialogowe niedostêpne, a w niektórych przypad-

kach us³yszysz sygna³ dŸwiêkowy i zobaczysz wiadomoœæ systemow¹.

Windows decyduje o udzieleniu lub odmówieniu dostêpu do zasobu na podstawie li-

sty kontroli dostêpu (ACL). Jest to lista identyfikatorów zabezpieczeñ oraz powi¹za-

nych z nimi przywilejów dostêpu. Ka¿dy zasób poddany kontroli dostêpów ma ACL.

Uprawnienia i prawa u¿ytkowników

Windows wyró¿nia dwa typy przywilejów dostêpu: uprawnienia i prawa. Uprawnienie

pozwala na uzyskanie dostêpu do danego obiektu w okreœlony sposób, na przyk³ad po-

zwala na zapisanie pliku NTFS lub zmianê kolejki wydruku. Prawo pozwala na wykona-

nie okreœlonej akcji systemowej, na przyk³ad zalogowanie siê lub wyzerowanie zegara.

W³aœciciel zasobu (lub administrator) przyznaje uprawnienia dostêpu do zasobu po-

przez jego okno dialogowe w³aœciwoœci. Na przyk³ad jeœli jesteœ w³aœcicielem drukar-

Rozdzia³ 3: Kontrolowanie dostêpu do komputera

Identyfikatory zabezpieczeñ bez tajemnic

Bezpieczeñstwo w Windows XP opiera siê na zastosowaniu identyfikatorów za-

bezpieczeñ (SID) w celu identyfikacji u¿ytkownika. Windows przydziela unikalny

SID do ka¿dego konta u¿ytkownika tworzonego w systemie. SID pozostaje

powi¹zany z tym kontem a¿ do momentu usuniêcia go. Ten sam SID nie jest ju¿

wiêcej wykorzystywany – ani dla tego, ani dla ¿adnego innego u¿ytkownika. Na-

wet jeœli ponownie utworzysz konto z identycznymi informacjami co poprzednio,

zostanie mu nadany nowy SID.

SID jest wartoœci¹ o ró¿nej d³ugoœci zawieraj¹c¹ poziom wersji, 48-bitow¹ wartoœæ

identyfikatora uprawnieñ ( Identifier Authority ) oraz numer 32-bitowej wartoœci upraw-

nieñ ni¿szego rzêdu. SID ma formê S-1-x-y1-y2-... S-1 identyfikuje go jako wersjê 1 SID;

x jest wartoœci¹ IdentifierAuthority; a y1, y2 itd. to wartoœci kolejnych uprawnieñ.

Czasem SID mo¿na zobaczyæ w oknie dialogowym zabezpieczeñ (na przyk³ad na

karcie Zabezpieczenia okna dialogowego W³aœciwoœci pliku, gdy wy³¹czone jest

Proste udostêpnianie plików) zanim Windows zd¹¿y sprawdziæ nazwê konta u¿yt-

kownika. Jeœli SID widoczny na karcie Zabezpieczenia nie zmieni siê po chwili na

nazwê, oznacza to, ¿e jest to SID dla konta, które zosta³o usuniête. W takiej sytuacji

mo¿esz spokojnie usun¹æ je z listy uprawnionych u¿ytkowników, gdy¿ nie bêdzie

ono nigdy ponownie u¿yte. Identyfikatory zabezpieczeñ mo¿esz tak¿e zobaczyæ

miêdzy innymi w ukrytym folderze /Recycled (ka¿dy SID w tym folderze reprezen-

tuje Kosz innego u¿ytkownika), w rejestrze (grupa HKEY_USERS zawiera klucze,

identyfikowane identyfikatorami, dla ka¿dego konta u¿ytkownika w komputerze)

oraz g³êboko w strukturze folderów %UserProfile%\Application Data\Microsoft.

Nie wszystkie SID s¹ unikalne. Kilka identyfikatorów stale powtarza siê we

wszystkich instalacjach Windows XP. Na przyk³ad S-1-5-18 to SID dla wbudowa-

nego konta System, ukrytego cz³onka grupy Administratorzy, który jest u¿ywany

przez system operacyjny i us³ugi loguj¹ce siê za pomoc¹ tego konta. Microsoft Win-

dows XP Professional Resource Kit Documentation (Microsoft Press, 2001) zawiera

pe³n¹ listê takich znanych identyfikatorów zabezpieczeñ.

ki lub masz uprawnienia administratora, mo¿esz uniemo¿liwiæ korzystanie z tej dru-

karki innemu u¿ytkownikowi, okreœlaj¹c go w oknie dialogowym w³aœciwoœci tego

urz¹dzenia. Administratorzy okreœlaj¹ prawa poprzez konsolê Ustawienia zabezpie-

czeñ lokalnych znajduj¹c¹ siê w folderze Narzêdzia administracyjne. Je¿eli masz kon-

to administratora, mo¿esz u¿yæ konsoli Ustawienia zabezpieczeñ lokalnych, aby na-

daæ u¿ytkownikowi prawo do za³adowania sterownika urz¹dzenia.

UWAGA

Stosowany w tej ksi¹¿ce, podobnie jak w wielu komunikatach i oknach dialogowych Windows, termin

przywileje jest nieformalnym okreœleniem obejmuj¹cym zarówno uprawnienia, jak i prawa.

Konta u¿ytkowników

Podstaw¹ systemu zabezpieczeñ w Windows XP jest mo¿liwoœæ jednoznacznego okre-

œlenia ka¿dego u¿ytkownika. W trakcie instalacji lub w dowolnym momencie po niej ad-

Czêœæ I: Konfiguracja, uruchamianie i usprawnianie systemu

ministrator tworzy konta dla wszystkich u¿ytkowników komputera. Konto u¿ytkownika

identyfikowane jest nazw¹ u¿ytkownika i (opcjonalnie) has³em, które u¿ytkownik poda-

je przy logowaniu siê do systemu. Nastêpnie Windows kontroluje, monitoruje i ograni-

cza dostêp do zasobów systemu w oparciu o uprawnienia i prawa przyznane poszcze-

gólnym u¿ytkownikom przez w³aœcicieli zasobów oraz administratora systemu.

Oprócz takich „zwyk³ych” kont u¿ytkowników, Windows zawiera tak¿e dwa specjal-

ne konta ze zdefiniowanymi wstêpnie zestawami uprawnieñ i praw: konto Admini-

strator i konto Goœæ.

Konto Administrator . Ka¿dy komputer pracuj¹cy pod kontrol¹ systemu operacyjne-

go Windows XP zawiera specjalne konto o nazwie Administrator. Konto to ma pe³ne

prawa. Pozwala na tworzenie innych kont u¿ytkowników i jest ogólnie odpowie-

dzialne za zarz¹dzanie ca³ym komputerem. Wiele funkcji i praw jest ograniczonych

tylko do tego konta (lub te¿ do innych kont nale¿¹cych do grupy Administratorzy).

Konto Goœæ . To konto znajduje siê na przeciwnym biegunie uprzywilejowania.

Przeznaczone jest dla u¿ytkowników, którzy sporadycznie lub jednorazowo ko-

rzystaj¹ z komputera. Przyk³adem takiego u¿ytkownika mo¿e byæ goœæ loguj¹cy

siê do systemu bez pomocy has³a i korzystaj¹cy z komputera w œciœle okreœlony

sposób. (Domyœlnie konto Goœæ jest wy³¹czone w czystej instalacji Windows XP;

nikt nie mo¿e u¿yæ wy³¹czonego konta). Konto goœcia jest tak¿e u¿ywane w celu

uzyskania dostêpu do zasobów sieciowych w twoim komputerze przy w³¹czonym

Prostym udostêpnianiu plików.

Wiêcej informacji na temat u¿ywania konta Administrator znajdziesz w podrozdziale „Co siê sta³o z kontem Administrator?” na

stronie 98. Natomiast w ramce „Tworzenie bezpiecznego konta goœcia” znajdziesz dodatkowe informacje na temat konta goœcia.

Nowa funkcja!

Typy kont

Typ konta jest uproszczonym sposobem – nowym w Windows XP – opisywania cz³on-

kostwa w grupie bezpieczeñstwa, zbiorem kont u¿ytkowników. Grupy pozwalaj¹ ad-

ministratorowi systemu na tworzenie klas u¿ytkowników o jednakowych przywile-

jach. Na przyk³ad jeœli wszyscy pracownicy dzia³u ksiêgowoœci potrzebuj¹ dostêpu

do folderu Nale¿noœci, to administrator mo¿e utworzyæ grupê o nazwie Ksiêgowoœæ

i przyznaæ jej dostêp do tego folderu. Jeœli administrator doda wszystkie konta na-

le¿¹ce do pracowników dzia³u ksiêgowoœci do grupy Ksiêgowoœæ, to wszyscy ci u¿yt-

kownicy automatycznie uzyskaj¹ dostêp do folderu Nale¿noœci. Konto u¿ytkownika

mo¿e nale¿eæ do jednej grupy, do kilku grup lub te¿ nie nale¿eæ do ¿adnej grupy.

Grupy s¹ przydatnym narzêdziem administracyjnym. Dziêki nim mo¿na mieæ pew-

noœæ, ¿e wszyscy u¿ytkownicy grupy maj¹ identyczne przywileje. Chocia¿ mo¿na

okreœliæ przywileje oddzielnie dla ka¿dego konta, to jednak jest to pracoch³onne zajê-

cie, w trakcie którego mo¿na pope³niæ sporo b³êdów. Znacznie lepszym rozwi¹za-

niem jest okreœlenie uprawnieñ i praw poszczególnym grupom, a nastêpnie przydzie-

lenie do tych grup u¿ytkowników.

Uprawnienia i prawa cz³onków grup sumuj¹ siê. Oznacza to, ¿e jeœli konto jednego

u¿ytkownika nale¿y do kilku grup, to u¿ytkownik ten ma wszystkie przywileje wyni-

kaj¹ce z przynale¿noœci do wszystkich tych grup.

Rozdzia³ 3: Kontrolowanie dostêpu do komputera

Lokalne konta i grupy a konta i grupy domeny

Windows przechowuje informacje na temat kont u¿ytkowników i grup zabezpie-

czeñ w specjalnej bazie danych. Miejsce przechowywania tej bazy zale¿y od tego,

czy twój komputer jest czêœci¹ grupy roboczej, czy domeny.

W przypadku konfiguracji z grup¹ robocz¹ (lub te¿ komputera poza sieci¹) u¿ywa-

ne s¹ jedynie lokalne konta u¿ytkowników i lokalne grupy – takie jak opisano

w tym rozdziale. Baza danych z informacjami o zabezpieczeniach, znajduj¹ca siê

w ka¿dym komputerze, przechowuje lokalne konta u¿ytkowników i lokalne grupy

danego komputera. Lokalne konta u¿ytkowników umo¿liwiaj¹ u¿ytkownikom lo-

gowanie siê tylko do tego komputera, w którym utworzono dane konto lokalne.

Oznacza to tak¿e, ¿e lokalne konto pozwala u¿ytkownikowi na dostêp do zasobów

znajduj¹cych siê tylko w tym komputerze. (Co nie znaczy, ¿e nie mo¿na udostêpniæ

zasobów innym u¿ytkownikom sieciowym, nawet jeœli komputer nie jest czêœci¹

domeny. Szczegó³owe informacje na ten temat znajduj¹ siê w rozdziale 31

„Zarz¹dzanie udostêpnionymi folderami i drukarkami”). Dziêki takiemu roz-

wi¹zaniu unika siê koniecznoœci zakupu i konfiguracji Microsoft Windows .NET

Server. Natomiast wad¹ jest koniecznoœæ zarz¹dzania kontami u¿ytkowników na

wielu komputerach jednoczeœnie, co sprawia, ¿e jest to rozwi¹zanie niepraktyczne,

jeœli masz ponad 5 lub 10 komputerów.

Innym rozwi¹zaniem jest skonfigurowanie sieci jako domeny. Domena Windows jest

to sieæ, w której przynajmniej jeden komputer dzia³a z oprogramowaniem Windows

.NET Server, Windows 2000 Server lub Windows NT Server i kontroluje domenê.

Kontroler domeny to komputer, w którym znajduje siê baza danych zabezpieczeñ z za-

pisanymi kontami u¿ytkowników i grupami domeny. Korzystaj¹c z konta u¿ytkowni-

ka domeny mo¿esz zalogowaæ siê do dowolnego komputera w domenie (oczywiœcie

jeœli pozwalaj¹ na to twoje uprawnienia na poziomie domeny i poszczególnych kom-

puterów) oraz mo¿esz skorzystaæ z zasobów udostêpnionych w sieci.

Ogólnie rzecz bior¹c, jeœli twój komputer jest czêœci¹ domeny Windows, nie powi-

nieneœ zajmowaæ siê lokalnymi kontami u¿ytkowników. Wszystkie konta powinny

byæ zarz¹dzane w kontrolerze domeny. Mo¿esz jednak dodaæ niektóre konta u¿yt-

kowników domeny lub grupy do grup lokalnych. Domyœlnie grupa Administrato-

rzy domeny jest cz³onkiem lokalnej grupy Administratorzy, a U¿ytkownicy dome-

ny s¹ cz³onkami lokalnej grupy U¿ytkownicy; tak wiêc cz³onkowie tych grup do-

meny maj¹ prawa i uprawnienia przys³uguj¹ce u¿ytkownikom lokalnym.

Konta i grupy domen s¹ tak¿e okreœlane mianem kont globalnych i grup globalnych .

Wiêcej informacji na temat pracy z domenami znajdziesz w rozdziale 33 „Praca

z domenami Windows”.

W Windows XP konto u¿ytkownika mo¿e nale¿eæ do jednego z czterech typów kont:

Administrator komputera . Cz³onkowie grupy Administratorzy dysponuj¹ konta-

mi administratorów. Grupa ta, która domyœlnie zawiera konto Administrator oraz

wszystkie konta utworzone podczas instalacji Windows XP, oferuje znacznie

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: