Zakaz wstępu!

Jeżeli chcecie zabronić osobom niepowołanym dostępu do aplikacji albo wybranych funkcji systemowych, powinniście sięgnąć po narzędzie dostarczane wraz z Windows 2000/XP - Microsoft Management Console

Okazuje się, że jeśli naszym systemem operacyjnym jest Windows 2000 lub XP Professional, możemy bardzo skutecznie zabezpieczyć nasz komputer przed złośliwymi lub zbyt ciekawskimi użytkownikami. Już sam system plików NTFS stwarza bogate możliwości ustalenia praw dostępu do zasobów dyskowych, takich jak pliki i foldery. Nam jednak zależy na czymś bardziej wyrafinowanym – chcielibyśmy pewne elementy systemu ukryć, inne zaś znacząco okroić z dostępnych funkcji. W tym celu posłużymy się standardowymi narzędziami administracyjnymi: konsolą MMC wraz z przystawkami Użytkownicy i grupy lokalne oraz Zasady grupy .

Szczypta historii

Takie zabezpieczanie komputerów pracujących pod kontrolą systemu Windows nie jest niczym nowym. Aplikacją, która służyła do tego celu w Windows NT 4.0, był

Edytor zasad systemowych (System Policy Editor

). Za jego pomocą administrator definiował różnorakie ustawienia ekranu, logowania, drukowania, dostępu do sieci itp. Zabezpieczenia mogły dotyczyć zarówno pojedynczych kont użytkowników, jak i całych ich grup.

Edytor zasad systemowych był na tyle uniwersalny, że pozwalał tworzyć polisy bezpieczeństwa (zasady zabezpieczania) dla systemów Windows 9x, Windows NT 4.0 Workstation i Windows NT 4.0 Server.

Zasada pracy była nader prosta – należało za pomocą programu zdefiniować własne reguły bezpieczeństwa, a później zapisać je w pliku config.pol (dla systemów Windows 9x) lub NTconfig.pol (dla Windows NT). Taki zbiór trzeba było umieścić w katalogu Netlogon, znajdującym się na kontrolerze domeny.

Do tworzenia polis bezpieczeństwa wykorzystywano szablony zawarte w plikach winnt.adm, common.adm oraz windows. adm. Podstawową niedogodnością tej metody była konieczność dysponowania kontrolerem domeny, czyli komputerem z systemem Windows NT 4.0 Server. To właśnie ta maszyna obsługiwała procesy logowania do domeny i ona rozdzielała polisy. Stąd prosty wniosek, że zabezpieczany komputer musiał należeć do domeny. Niestety, takiego rozwiązania nie dało się zastosować na komputerach wolno stojących.

Dzisiaj jest lepiej

W systemach z rodziny Windows 2000 oraz Windows XP zmieniono metodę zarządzania. Przede wszystkim wprowadzono nową formę narzędzi administracyjnych. Dostaliśmy do dyspozycji centrum zarządzania w postaci konsoli MMC (Microsoft Management Console) oraz uzupełniających ją przystawek (snap-in). Taka architektura pozwala na tworzenie własnych konfiguracji konsoli – zawiera ona wówczas tylko wybrane przez nas elementy.

Drugim istotnym ulepszeniem jest możliwość wprowadzania zabezpieczeń na poziomie lokalnym. Nie musimy już dołączać komputera do domeny ani korzystać z usługi Active Directory. Nasza stacja z Windows 2000/XP Professional standardowo zawiera narzędzia umożliwiające zdefiniowanie własnych, lokalnych polis bezpieczeństwa, zwanych lokalnymi zasadami grupy. Najważniejsze różnice między zabezpieczeniami w Windows 2000/XP i Windows 9x/NT opisałem w ramce na sąsiedniej stronie.

Bardzo istotne jest, że zasady grupy w Windows 2000/XP zostają zastosowane wobec komputera po jego uruchomieniu, a wobec użytkownika – po jego zalogowaniu. Polisy bezpieczeństwa w Windows 9x/NT były stosowane dopiero po zalogowaniu użytkownika. Niebagatelne znaczenie ma również odświeżanie zasad grupy co kilkadziesiąt minut. Oznacza to, że Windows 2000/XP mogą mieć zmieniane ustawienia bezpieczeństwa w trakcie pracy, a nie tylko między kolejnymi logowaniami użytkownika do systemu.

Sposób ustalania uprawnień osób pracujących z pecetem najlepiej prześledzić na konkretnym przykładzie. Załóżmy, że chcemy komuś zabronić manipulowania w ustawieniach Internet Explorera, ukryć obecność dysku C: w Eksploratorze Windows, zablokować możliwość dostosowywania do własnych potrzeb pasków narzędzi oraz zabronić dostępu do Panelu sterowania.

Konsola na miarę

Do zabezpieczania naszego komputera będą potrzebne dwie przystawki:

Użytkownicy i grupy lokalne

oraz Zasady grupy. Najpierw uruchamiamy konsolę MMC: wydajemy komendę Start | Uruchom i wpisujemy polecenie MMC .

Teraz dodajemy do konsoli potrzebne przystawki: jeśli pracujemy z Windows 2000, w menu głównym wydajemy polecenie Konsola | Dodaj/Usuń przystawkę. Natomiast w Windows XP komenda jest nieco inna:

Plik | Dodaj/Usuń przystawkę

. Używając przycisków Dodaj, wybieramy ikony Użytkownicy i grupy lokalne oraz Zasady grupy. Nową przystawkę możemy zapisać pod dowolną nazwą.

Wystarczy wydać komendę

Konsola | Zapisz jako (Plik | Zapisz jako

) lub wcisnąć kombinację klawiszy [Ctrl]+[S].

Właśnie utworzyliśmy dla własnych potrzeb narzędzie administracyjne z dwoma elementami, noszącymi nazwę kontenerów. W skład pierwszego z nich wchodzą foldery Użytkownicy i Grupy; w drugim natomiast znajdziemy dwa kolejne podkontenery –

Konfiguracja komputera

oraz Konfiguracja użytkownika .

Folder Użytkownicy zawiera listę lokalnych kont użytkowników i pozwala na ich modyfikację.

Folder Grupy

to listy lokalnych kont grup. Podkontenery Konfiguracja komputera i

Konfiguracja użytkownika

umożliwiają podgląd i zmiany lokalnych zasad grup dla stacji roboczych i użytkowników.

Drugi etap pracy rozpoczynamy od przygotowania konta użytkownika dla naszych potencjalnych gości i przydzielenia go do grupy Użytkownicy. Będzie on miał wystarczające uprawnienia do wykonania większości prac, a jednocześnie będzie pozbawiony dostępu do newralgicznych części systemu. Każde nowo tworzone konto jest automatycznie przydzielane do takiej grupy. W razie konieczności możemy zmienić przydział, dwukrotnie klikając nazwę konta użytkownika i wybierając zakładkę Członek grupy w otwartym oknie dialogowym.

Zamknij

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.