CHIP 5/2003, 140
), poprawiające tę sytuację. Umiejętne ich stosowanie stanowi jedno z podstawowych zabezpieczeń przed dostępem niepowołanych osób do danych.
Najnowszy systemem operacyjny inżynierów z Redmond – Windows XP – jest sprzedawany w trzech wersjach: Home, Professional oraz 2003 Server. Pierwszy z nich przeznaczony jest dla użytkownika indywidualnego, drugi (jak sama nazwa wskazuje) dla profesjonalistów (np.: firm, instytucji), trzeci natomiast to po prostu serwer sieciowy.
Niniejszy artykuł adresowany jest głównie do posiadaczy wersji Professional, aczkolwiek użytkownicy edycji Home też znajdą w nim coś dla siebie. Przedstawimy podstawowe mechanizmy oraz narzędzia mające wpływ na bezpieczeństwo, co pozwoli każdemu (także mniej zaawansowanemu) użytkownikowi peceta ustrzec się przed elementarnymi błędami, popełnianymi niekiedy nawet przez administratorów.
Abecadło domowego admina
Każdą czynność związaną z konfiguracją czy konserwacją systemu zaczynamy od podstaw. W przypadku bezpieczeństwa najważniejsze jest jak najczęstsze aktualizowanie systemu. Nie wymaga to od nas praktycznie żadnego wysiłku – wystarczy skorzystać z mechanizmu Windows Update, który sam będzie nas informował o pojawiających się poprawkach. Jeżeli wyłączyliśmy automatyczną aktualizację, to po prostu możemy co jakiś czas wejść na odpowiednią stronę, klikając Start | Windows Update, i zainstalować dostępne tam łatki (przede wszystkim te określane jako krytyczne). Co dziwne, konieczność “łatania” systemu jest często lekceważona nawet przez osoby obeznane z tajnikami jego konfiguracji.
Drugą czynnością, mającą duży wpływ na bezpieczeństwo, jest modyfikacja nazw standardowych kont administratora oraz gościa, co pozwala utrudnić wykorzystanie metody brute-force (patrz: poniżej) w celu włamania się na konto administratora oraz ukryć przed niepowołanymi osobami dostępne bez hasła konto gościa.
Zmian dokonujemy w oknie Ustawienia zabezpieczeń lokalnych. Do tego narzędzia konfiguracyjnego prowadzą dwie drogi: przez
Start | Ustawienia | Panel Sterowania | Narzędzia administracyjne | Zasady zabezpieczeń lokalnych
lub po prostu Start | Uruchom | secpol.msc. Teraz rozwijamy kolejno gałąź Zasady lokalne | Opcje zabezpieczeń i w prawym oknie odszukujemy pozycje Konta: Zmień nazwę konta administratora oraz Konta: Zmień nazwę konta gościa, w których wpisujemy nowe nazwy.
Następną przeszkodą dla potencjalnego włamywacza jest utworzenie fałszywego konta administratora. Wymyślamy dowolne hasło zawierające powiedzmy 20 znaków (w tym duże litery i polskie znaki).
Uwaga:
konta nie zamierzamy używać, ponieważ ma być ono tylko przynętą dla hakera. Tym razem posłużymy się narzędziem
Zarządzanie komputerem (Start | Ustawienia | Panel sterowania | Narzędzia administracyjne | Zarządzanie komputerem
lub klikamy prawym przyciskiem myszy ikonę Mój komputer i z menu kontekstowego wybieramy opcję
Zarządzaj
). Teraz w oknie Zarządzanie komputerem przechodzimy do grupy Użytkownicy i grupy lokalne, a następnie Użytkownicy. Klikając prawym przyciskiem myszy opcję Użytkownicy, rozwijamy menu kontekstowe, z którego wybieramy pozycję Nowy użytkownik. Konto nowo utworzonego użytkownika nazywamy Administrator, ustawiamy hasło (pamiętajmy, aby było ono skomplikowane, np.:
aTuę402uPwó65źtryLlo9XTąśdó9LBęŚr
), i przypisujemy konto do grupy
Użytkownicy
(
Uwaga:
operacja ta jest możliwa tylko po wcześniejszej zmianie standardowej nazwy konta administratora!).
Bardzo istotną z punktu widzenia bezpieczeństwa systemu czynnością jest także wyłączenie domyślnych udziałów. Z założenia “podpiąć” się do nich może tylko użytkownik mający uprawnienia administracyjne. Jednakże wykorzystując metodę brute-force, polegającą na losowym wybieraniu kolejnych wyrazów ze słownika oraz tworzeniu różnych kombinacji tych słów z cyframi, znakami graficznymi itd., przy użyciu komendy net use \ azwa_komputera\c$ potencjalny włamywacz może złamać nasze hasło i w łatwy sposób uzyskać dostęp do wszystkich zasobów na dysku. Mimo że domyślne udziały da się wyłączyć w konsoli Zarządzanie komputerem, i tak będą one dostępne po restarcie. Jeżeli chcemy je trwale ukryć, musimy w Rejestrze dodać wartości AutoShareWks oraz AutoShareServer typu DWORD w gałęzi
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
. Obie stałe powinny mieć wartość 0.
