Rozdział 3 Bezpieczeństwo w Windows XP Kontrolowanie wprowadzenie 74 dostępu do Nowa funkcja! Konta użytkowników 83 komputera Wybór sposobu logowania użytkowników 88 CzęSć I: Konfiguracja, uruchamianie i usprawnianie systemu Wylogowywanie się lub blokowanie komputera 96 Rozdział 3: Kontrolowanie dostępu do komputera Korzystając z opcji bezpieczeństwa opracowanych Nowa funkcja! dla biznesowej linii produktów Windows Win- Co się stało z kontem dows NT i Windows 2000 Windows XP uniemo- Administrator? 98 żliwia dostęp do twojego komputera wszystkim Zaawansowane opcje niepowołanym osobom. Jest to zdecydowana róż- konfiguracyjne kont 100 nica w stosunku do Windows 95/98/Me, w któ- rych można było ominąć opcje zabezpieczające, na- Tworzenie haseł 107 ciskając klawisz [Esc], gdy system prosił o podanie Konfigurowanie Windows XP hasła. W Windows XP możesz: w komputerze udostępnionym 113 zażądać, aby każdy użytkownik podlegał iden-
tyfikacji przy logowaniu, kontrolować dostęp do plików i innych zaso-
bów, kontrolować zdarzenia systemowe, takie jak
historia logowania oraz użycie plików i in- nych zasobów. Więcej informacji na temat bezpieczeństwa znajdziesz w rozdziale 36 Inspekcja zabezpieczeń . OczywiScie, jeSli komputer znajduje się w bez- piecznym miejscu i masz pełne zaufanie do osób mających do niego dostęp, zagadnienia te mogą nie być dla ciebie tak istotne. Programistom Win- dows XP udało się zaprojektować system, który z jednej strony zapewnia bezpieczeństwo tym, którzy go potrzebują, a z drugiej strony oferuje wygodę pozostałym użytkownikom. Nawet jeSli nie zależy ci na dodatkowych opcjach bezpiecze- ństwa, i tak zapewne zechcesz utworzyć oddziel- ne konta dla wszystkich użytkowników twojego komputera. Z każdym kontem związany jest bo- wiem oddzielny profil użytkownika, który za- wiera wszystkie jego ustawienia: ulubione strony sieci Web, tło pulpitu, foldery dokumentów itd. 74 CzęSć I: Konfiguracja, uruchamianie i usprawnianie systemu Dzięki funkcjom opisanym w tym rozdziale, takim jak ekran logowania i szybkie przełączanie między użytkownikami, można szybko zalogować się do systemu i przełączać między kontami. Bezpieczeństwo w Windows XP wprowadzenie Ideą systemu zabezpieczeń w Windows XP jest okreSlenie właSciciela każdego zaso- bu na przykład pliku lub drukarki. WłaSciciel danego zasobu ma pełną kontrolę nad nim i może wybrać użytkowników, którym chce udzielić dostępu do tego zasobu. Za- zwyczaj zasób jest własnoScią tego użytkownika, który go utworzył. Na przykład jeSli utworzyłeS plik, to jesteS jego właScicielem. (Jednak administratorzy komputera mogą przejąć na własnoSć zasób, którego sami nie utworzyli). UWAGA Aby mieć pełną kontrolę nad poszczególnymi plikami, muszą one znajdować się na woluminie NTFS. Dla celów zgodnoSci Windows XP obsługuje także systemy plików FAT i FAT32, używane przez MS-DOS i Windows 95, Windows 98 i Windows Me. Jednak systemy FAT i FAT32 nie zapewniają takiego poziomu bezpieczeństwa. Aby w pełni korzystać z systemów zabezpieczeń Windows XP, musisz używać systemu plików NTFS. Więcej infor- macji na ten temat znajdziesz na stronie 740 w podrozdziale NTFS czy FAT32: który system plików wybrać? W celu okreSlenia, którzy użytkownicy mają dostęp do zasobu, Windows przydziela do każdego konta użytkownika identyfikator zabezpieczeń (SID). Twój SID (unikalna wartoSć liczbowa) podąża za tobą wszędzie po całym systemie. Podczas logowania system operacyjny sprawdza nazwę użytkownika i hasło. Następnie tworzy znak za- bezpieczenia (token) dostępu. Jest to swojego rodzaju elektroniczny identyfikator. Za- wiera on twoją nazwę użytkownika oraz SID wraz z informacjami na temat grup za- bezpieczeń, do których należy twoje konto. (Każdy uruchamiany przez ciebie pro- gram otrzymuje kopię twojego znaku zabezpieczenia dostępu). Za każdym razem, gdy próbujesz przejSć przez strzeżone drzwi w Windows (na przykład gdy próbujesz skorzystać z udostępnionej drukarki) lub też gdy próbuje to zrobić uruchomiony przez ciebie program, system operacyjny sprawdza znak zabez- pieczenia dostępu i decyduje, czy masz wystarczające uprawnienia. JeSli nie uzyskasz dostępu, zobaczysz menu lub okno dialogowe niedostępne, a w niektórych przypad- kach usłyszysz sygnał dxwiękowy i zobaczysz wiadomoSć systemową. Windows decyduje o udzieleniu lub odmówieniu dostępu do zasobu na podstawie li- sty kontroli dostępu (ACL). Jest to lista identyfikatorów zabezpieczeń oraz powiąza- nych z nimi przywilejów dostępu. Każdy zasób poddany kontroli dostępów ma ACL. Uprawnienia i prawa użytkowników Windows wyróżnia dwa typy przywilejów dostępu: uprawnienia i prawa. Uprawnienie pozwala na uzyskanie dostępu do danego obiektu w okreSlony sposób, na przykład po- zwala na zapisanie pliku NTFS lub zmianę kolejki wydruku. Prawo pozwala na wykona- nie okreSlonej akcji systemowej, na przykład zalogowanie się lub wyzerowanie zegara. WłaSciciel zasobu (lub administrator) przyznaje uprawnienia dostępu do zasobu po- przez jego okno dialogowe właSciwoSci. Na przykład jeSli jesteS właScicielem drukar- Rozdział 3: Kontrolowanie dostępu do komputera 75 Identyfikatory zabezpieczeń bez tajemnic Bezpieczeństwo w Windows XP opiera się na zastosowaniu identyfikatorów za- bezpieczeń (SID) w celu identyfikacji użytkownika. Windows przydziela unikalny SID do każdego konta użytkownika tworzonego w systemie. SID pozostaje powiązany z tym kontem aż do momentu usunięcia go. Ten sam SID nie jest już więcej wykorzystywany ani dla tego, ani dla żadnego innego użytkownika. Na- wet jeSli ponownie utworzysz konto z identycznymi informacjami co poprzednio, zostanie mu nadany nowy SID. SID jest wartoScią o różnej długoSci zawierającą poziom wersji, 48-bitową wartoSć identyfikatora uprawnień (Identifier Authority) oraz numer 32-bitowej wartoSci upraw- nień niższego rzędu. SID ma formę S-1-x-y1-y2-... S-1 identyfikuje go jako wersję 1 SID; x jest wartoScią IdentifierAuthority; a y1, y2 itd. to wartoSci kolejnych uprawnień. Czasem SID można zobaczyć w oknie dialogowym zabezpieczeń (na przykład na karcie Zabezpieczenia okna dialogowego WłaSciwoSci pliku, gdy wyłączone jest Proste udostępnianie plików) zanim Windows zdąży sprawdzić nazwę konta użyt- kownika. JeSli SID widoczny na karcie Zabezpieczenia nie zmieni się po chwili na nazwę, oznacza to, że jest to SID dla konta, które zostało usunięte. W takiej sytuacji możesz spokojnie usunąć je z listy uprawnionych użytkowników, gdyż nie będzie ono nigdy ponownie użyte. Identyfikatory zabezpieczeń możesz także zobaczyć między innymi w ukrytym folderze /Recycled (każdy SID w tym folderze reprezen- tuje Kosz innego użytkownika), w rejestrze (grupa HKEY_USERS zawiera klucze, identyfikowane identyfikatorami, dla każdego konta użytkownika w komputerze) oraz głęboko w strukturze folderów %UserProfile%\Application Data\Microsoft. Nie wszystkie SID są unikalne. Kilka identyfikatorów stale powtarza się we wszystkich instalacjach Windows XP. Na przykład S-1-5-18 to SID dla wbudowa- nego konta System, ukrytego członka grupy Administratorzy, który jest używany przez system operacyjny i usługi logujące się za pomocą tego konta. Microsoft Win- dows XP Professional Resource Kit Documentation (Microsoft Press, 2001) zawiera pełną listę takich znanych identyfikatorów zabezpieczeń. ki lub masz uprawnienia administratora, możesz uniemożliwić korzystanie z tej dru- karki innemu użytkownikowi, okreSlając go w oknie dialogowym właSciwoSci tego urządzenia. Administratorzy okreSlają prawa poprzez konsolę Ustawienia zabezpie- czeń lokalnych znajdującą się w folderze Narzędzia administracyjne. Jeżeli masz kon- to administratora, możesz użyć konsoli Ustawienia zabezpieczeń lokalnych, aby na- dać użytkownikowi prawo do załadowania sterownika urządzenia. UWAGA Stosowany w tej książce, podobnie jak w wielu komunikatach i oknach dialogowych Windows, termin przywileje jest nieformalnym okreSleniem obejmującym zarówno uprawnienia, jak i prawa. Konta użytkowników Podstawą systemu zabezpieczeń w Windows XP jest możliwoSć jednoznacznego okre- Slenia każdego użytkownika. W trakcie instalacji lub w dowolnym momencie po niej ad- 76 CzęSć I: Konfiguracja, uruchamianie i usprawnianie systemu ministrator tworzy konta dla wszystkich użytkowników komputera. Konto użytkownika identyfikowane jest nazwą użytkownika i (opcjonalnie) hasłem, które użytkownik poda- je przy logowaniu się do systemu. Następnie Windows kontroluje, monitoruje i ograni- cza dostęp do zasobów systemu w oparciu o uprawnienia i prawa przyznane poszcze- gólnym użytkownikom przez właScicieli zasobów oraz administratora systemu. Oprócz takich zwykłych kont użytkowników, Windows zawiera także dwa specjal- ne konta ze zdefiniowanymi wstępnie zestawami uprawnień i praw: konto Admini- strator i konto GoSć. Konto Administrator. Każdy komputer pracujący pod kontrolą systemu operacyjne-
go Windows XP zawiera specjalne konto o nazwie Administrator. Konto to ma pełne prawa. Pozwala na tworzenie innych kont użytkowników i jest ogólnie odpowie- dzialne za zarządzanie całym komputerem. Wiele funkcji i praw jest ograniczonych tylko do tego konta (lub też do innych kont należących do grupy Administratorzy). Konto GoSć. To konto znajduje się na przeciwnym biegunie uprzywilejowania.
Przeznaczone jest dla użytkowników, którzy sporadycznie lub jednorazowo ko- rzystają z komputera. Przykładem takiego użytkownika może być goSć logujący się do systemu bez pomocy hasła i korzystający z komputera w SciSle okreSlony sposób. (DomySlnie konto GoSć jest wyłączone w czystej instalacji Windows XP; nikt nie może użyć wyłączonego konta). Konto goScia jest także używane w celu uzyskania dostępu do zasobów sieciowych w twoim komputerze przy włączonym Prostym udostępnianiu plików. Więcej informacji na temat używania konta Administrator znajdziesz w podrozdziale Co się stało z kontem Administrator? na stronie 98. Natomiast w ramce Tworzenie bezpiecznego konta goScia znajdziesz dodatkowe informacje na temat konta goScia. Nowa funkcja! Typy kont Typ konta jest uproszczonym sposobem nowym w Windows XP opisywania człon- kostwa w grupie bezpieczeństwa, zbiorem kont użytkowników. Grupy pozwalają ad- ministratorowi systemu na tworzenie klas użytkowników o jednakowych przywile- jach. Na przykład jeSli wszyscy pracownicy działu księgowoSci potrzebują dostępu do folderu NależnoSci, to administrator może utworzyć grupę o nazwie KsięgowoSć i przyznać jej dostęp do tego folderu. JeSli administrator doda wszystkie konta na- leżące do pracowników działu księgowoSci do grupy KsięgowoSć, to wszyscy ci użyt- kownicy automatycznie uzyskają dostęp do folderu NależnoSci. Konto użytkownika może należeć do jednej grupy, do kilku grup lub też nie należeć do żadnej grupy. Grupy są przydatnym narzędziem administracyjnym. Dzięki nim można mieć pew- noSć, że wszyscy użytkownicy grupy mają identyczne przywileje. Chociaż można okreSlić przywileje oddzielnie dla każdego konta, to jednak jest to pracochłonne zaję- cie, w trakcie którego można popełnić sporo błędów. Znacznie lepszym rozwiąza- niem jest okreSlenie uprawnień i praw poszczególnym grupom, a następnie przydzie- lenie do tych grup użytkowników. Uprawnienia i prawa członków grup sumują się. Oznacza to, że jeSli konto jednego użytkownika należy do kilku grup, to użytkownik ten ma wszystkie przywileje wyni- kające z przynależnoSci do wszystkich tych grup. Rozdział 3: Kontrolowanie dostępu do komputera 77 Lokalne konta i grupy a konta i grupy domeny Windows przechowuje informacje na temat kont użytkowników i grup zabezpie- czeń w specjalnej bazie danych. Miejsce przechowywania tej bazy zależy od tego, czy twój komputer jest częScią grupy roboczej, czy domeny. W przypadku konfiguracji z grupą roboczą (lub też komputera poza siecią) używa- ne są jedynie lokalne konta użytkowników i lokalne grupy takie jak opisano w tym rozdziale. Baza danych z informacjami o zabezpieczeniach, znajdująca się w każdym komputerze, przechowuje lokalne konta użytkowników i lokalne grupy danego komputera. Lokalne konta użytkowników umożliwiają użytkownikom lo- gowanie się tylko do tego komputera, w którym utworzono dane konto lokalne. Oznacza to także, że lokalne konto pozwala użytkownikowi na dostęp do zasobów znajdujących się tylko w tym komputerze. (Co nie znaczy, że nie można udostępnić zasobów innym użytkownikom sieciowym, nawet jeSli komputer nie jest częScią domeny. Szczegółowe informacje na ten temat znajdują się w rozdziale 31 Zarządzanie udostępnionymi folderami i drukarkami ). Dzięki takiemu roz- wiązaniu unika się koniecznoSci zakupu i konfiguracji Microsoft Windows .NET Server. Natomiast wadą jest koniecznoSć zarządzania kontami użytkowników na wielu komputerach jednoczeSnie, co sprawia, że jest to rozwiązanie niepraktyczne, jeSli masz ponad 5 lub 10 komputerów. Innym rozwiązaniem jest skonfigurowanie sieci jako domeny. Domena Windows jest to sieć, w której przynajmniej jeden komputer działa z oprogramowaniem Windows .NET Server, Windows 2000 Server lub Windows NT Server i kontroluje domenę. Kontroler domeny to komputer, w którym znajduje się baza danych zabezpieczeń z za- pisanymi kontami użytkowników i grupami domeny. Korzystając z konta użytkowni- ka domeny możesz zalogować się do dowolnego komputera w domenie (oczywiScie jeSli pozwalają na to twoje uprawnienia na poziomie domeny i poszczególnych kom- puterów) oraz możesz skorzystać z zasobów udostępnionych w sieci. Ogólnie rzecz biorąc, jeSli twój komputer jest częScią domeny Windows, nie powi- nieneS zajmować się lokalnymi kontami użytkowników. Wszystkie konta powinny być zarządzane w kontrolerze domeny. Możesz jednak dodać niektóre konta użyt- kowników domeny lub grupy do grup lokalnych. DomySlnie grupa Administrato- rzy domeny jest członkiem lokalnej grupy Administratorzy, a Użytkownicy dome- ny są członkami lokalnej grupy Użytkownicy; tak więc członkowie tych grup do- meny mają prawa i uprawnienia przysługujące użytkownikom lokalnym. Konta i grupy domen są także okreSlane mianem kont globalnych i grup globalnych. Więcej informacji na temat pracy z domenami znajdziesz w rozdziale 33 Praca z domenami Windows . W Windows XP konto użytkownika może należeć do jednego z czterech typów kont: Administrator komputera. Członkowie grupy Administratorzy dysponują konta-
mi administratorów. Grupa ta, która domySlnie zawiera konto Administrator oraz wszystkie konta utworzone podczas instalacji Windows XP, oferuje znacznie 78 CzęSć I: Konfiguracja, uruchamianie i usprawnianie systemu większą kontrolę nad systemem niż jakakolwiek inna grupa. Administratorzy komputera mogą: tworzyć, zmieniać i usuwać konta użytkowników i grupy
instalować programy
udostępniać foldery
okreSlać uprawnienia
uzyskiwać dostęp do wszystkich plików
przejmować własnoSć plików
nadawać prawa innym użytkownikom i samym sobie
instalować i usuwać urządzenia sprzętowe
logować się w trybie awaryjnym
Ograniczone. Członkowie grupy Użytkownicy dysponują kontami z ogranicze-
niami. WłaSciciele takich kont domySlnie mogą: zmieniać hasło, obraz i profil .NET Passport własnego konta użytkownika
używać programów, które zostały zainstalowane w komputerze
przeglądać uprawnienia (jeSli wyłączone jest Proste udostępnianie plików)
tworzyć, zmieniać i usuwać pliki w swoich folderach dokumentów
przeglądać pliki w folderze Dokumenty udostępnione
GoSć. Członkowie grupy GoScie dysponują kontami goScia. Konta te mają podobne
przywileje co konta ograniczone. Użytkownik zalogowany z konta goScia (ale nie z innego konta będącego członkiem grupy GoSć) nie może tworzyć hasła do konta. Nieznany. Typ konta dla konta użytkownika nie będącego członkiem grupy Admini-
strator, Użytkownik lub GoSć wySwietlany jest jako Nieznany. Ponieważ konta utwo- rzone w aplecie Konta użytkowników w Panelu sterowania mogą należeć wyłącznie do grupy Administratorzy lub Użytkownicy, to z kontem tego typu możesz mieć do czynienia tylko w sytuacji, gdy dokonałeS aktualizacji systemu z wczeSniejszej wer- sji Windows (na przykład nowi użytkownicy w Windows 2000 są automatycznie przydzielani do grupy Użytkownicy uwierzytelnieni) lub też jeSli zarządzasz członkostwem w grupach za pomocą konsoli lub poleceniem Net Localgroup. WSKAZÓWKA Konta administratorów rezerwuj na wyjątkowe sytuacje Na co dzień najlepiej i najbezpieczniej jest korzystać z konta ograniczonego. Konta te wraz z ich ograniczo- nymi przywilejami dają hakerom mniej okazji do włamania się do systemu. Ponadto konta te zapobiegają przypadkowym szkodom wyrządzanym przez samego użytkownika komputera, na przykład usunięciu pli- ków współużytkowanych. Niestety, niektóre programy nie działają właSciwie, jeSli dostęp do nich uzyski- wany jest z takiego konta. Utwórz dla siebie konto ograniczone (jeSli używasz Windows XP Professional, konto będące członkiem grupy Użytkownicy zawansowani) i sprawdx, czy możesz normalnie pracować. Jeżeli będziesz chciał uruchomić program, który nie działa w koncie ograniczonym, lub też zechcesz wyko- nać czynnoSci administracyjne, użyj odrębnego konta administratora, które utworzyłeS do tych celów. (Za- loguj się używając konta administratora lub skorzystaj z polecenia Uruchom jako. Więcej informacji na temat tego polecenia znajdziesz w podrozdziale Uruchamianie programów jako inny użytkownik na stro- nie 156.) JeSli po pewnym czasie dojdziesz jednak do wniosku, że nie jest to wygodne rozwiązanie, ponow- nie zacznij korzystać na co dzień z konta administratora. Rozdział 3: Kontrolowanie dostępu do komputera 79 Nie ma nic złego w korzystaniu z kont tego typu, a jeSli chcesz wykorzystać inne gru- py bezpieczeństwa w celu sklasyfikowania kont w twoim komputerze, to nie ma ku temu żadnych przeszkód. Dla kont Użytkownicy dostępne są wszystkie typowe za- dania zarządzania kontami typu Nieznany, ale jeżeli chcesz przejrzeć lub zmienić członkostwo w grupach, musisz użyć konsoli Użytkownicy i grupy lokalne lub pole- cenia Net Localgroup. Więcej informacji na temat opcji Konta użytkowników dostępnej w Panelu sterowania znajdziesz w podrozdziale Konta użytkowników na stronie 75. Natomiast dodatkowe informacje dotyczące narzędzi Użytkownicy i grupy lokalne oraz Net Localgroup znajdują się w podrozdziale Zaawansowane opcje konfiguracyjne kont na stronie 100. Podczas czystej instalacji Windows XP Professional, oprócz grup Administratorzy, Użytkownicy i GoScie, tworzone są następujące grupy każda ze wstępnie okreSlo- nym zestawem praw i uprawnień: Operatorzy kopii zapasowych. Członkowie grupy Operatorzy kopii zapasowych
mają prawo do tworzenia kopii zapasowych i przywracania folderów i plików nawet tych, do których nie mają dostępu. Członkowie tej grupy mają także dostęp do narzędzia Kopia zapasowa. Grupa usług pomocy. Ta grupa jest wykorzystywana przez Microsoft i producen-
tów komputerów do Pomocy zdalnej, umożliwiając pracownikom obsługi tech- nicznej połączenie z twoim komputerem (oczywiScie tylko za twoją zgodą!). Więcej informacji na temat Pomocy zdalnej znajdziesz w rozdziale Łączenie się z innym komputerem za pomocą narzę- dzia Pomoc zdalna na stronie 129. Operatorzy konfiguracji sieci. Członkowie tej grupy mają przywileje administra-
cyjne w zakresie konfiguracji składników sieci. Użytkownicy zaawansowani. Grupa ta przeznaczona jest dla użytkowników,
którzy potrzebują wielu, ale nie wszystkich uprawnień administracyjnych. Człon- kowie tej grupy nie mogą przejmować własnoSci nad plikami, wykonywać kopii zapasowych czy przywracać plików, ładować lub usuwać sterowników urządzeń czy też zarządzać dziennikami bezpieczeństwa czy zdarzeń. Jednak w przeciwień- stwie do zwykłych użytkowników, użytkownicy zaawansowani mogą udostęp- niać foldery, tworzyć, zarządzać, usuwać i udostępniać lokalne drukarki, a także tworzyć lokalnych użytkowników i grupy. Użytkownicy pulpitu zdalnego. Użytkownicy tej grupy mają prawo do logowa-
nia zdalnego, oczywiScie o ile funkcja ta jest włączona. Więcej informacji na temat Pulpitu zdalnego znajdziesz w rozdziale 32 Opcje dostępu zdalnego . Replikator. Członkowie grupy Replikator mogą obsługiwać replikację plików
w domenie, stacji roboczej lub serwerze. (W tej książce nie zajmujemy się zagad- nieniem replikacji plików, jako że jest to funkcja Windows .NET Server i jego po- przedników Windows 2000 Server i Windows NT Server). Z wyjątkiem grupy Grupa usług pomocy, te dodatkowe grupy nie są tworzone w komputerze z Windows XP Home Edition. 80 CzęSć I: Konfiguracja, uruchamianie i usprawnianie systemu UWAGA Komputer będący członkiem domeny oferuje dwa standardowe typy kont, które różnią się nieco od tych spotykanych w komputerach należących do grupy roboczej. Użytkownik typowy jest członkiem grupy Użytkownicy zaawansowani, natomiast użytkownik z ograniczeniem jest członkiem grupy Użytkownicy. Profile użytkowników Windows ogranicza dostęp do informacji poprzez profile użytkowników. Profil użyt- kownika zawiera wszystkie ustawienia pulpitu dla Srodowiska pracy tego użytkowni- ka. Ale to nie wszystko! Oprócz przechowywania wszystkich osobistych ustawień począwszy od tła pulpitu do inicjałów autora używanych w Microsoft Word, profil zawiera liczne pliki użytkownika, takie jak pliki cookie, które otrzymuje podczas pra- cy w programie Microsoft Internet Explorer, dokumenty w folderze Moje dokumenty i jego podfolderach, a także skróty do miejsc sieciowych. DomySlnie każdy użytkownik logujący się do komputera posiada własny lokalny profil użytkownika, który tworzony jest przy pierwszym logowaniu. Profile użyt- kowników przechowywane są w folderze %SystemDrive%\Documents And Set- tings. Każdy profil znajduje się w oddzielnym podfolderze opatrzonym nazwą użyt- kownika. Na przykład w jednym z komputerów w naszym biurze pełna Scieżka do jednego z profili wygląda tak: C:\Documents And Settings\Cheryl. (Pełna Scieżka do bieżącego profilu użytkownika przechowywana jest w innej, często używanej zmien- nej Srodowiskowej %UserProfile%). Ogólnie rzecz biorąc, każdy posiadacz konta użytkownika ma pełny dostęp do swojego własnego profilu i może tworzyć, zmieniać oraz usuwać pliki z własnego profilu, a tak- że zmieniać wszystkie przechowywane w nim ustawienia. WłaSciciele kont innych niż konta administratorskie mają jedynie ograniczony dostęp do profili innych użytkowni- ków; domySlnie mogą jedynie przeglądać pliki, ale nie mogą ich modyfikować. Więcej informacji na temat zawartoSci profili użytkowników i zarządzania nimi znajdziesz w rozdziale 34 Zarządzanie profilami użytkownika i zasadami . Nowa funkcja! Proste udostępnianie plików a styl udostępniania plików w Windows 2000 Jedną z najważniejszych funkcji Windows XP jest możliwoSć bezpiecznego przyzna- wania lub odmawiania dostępu do plików, drukarek i innych zasobów. Maksymalna elastycznoSć możliwoSć okreSlania uprawnień na jak najniższym poziomie (na przykład oddzielne uprawnienia do otwierania folderu, otwierania pliku, zmiany pliku, tworzenia nowego pliku, usuwania go itd.) dla poszczególnych użytkowników lub grup wymaga skomplikowanego interfejsu, co z kolei może zniechęcić wielu użytkowników. W Windows XP sprzecznoSć tę rozwiązano poprzez wprowadzenie funkcji Proste udostępnianie plików, która znacznie ułatwia okreSlenie najbardziej typowych konfigu- racji zabezpieczeń. Proste udostępnianie plików różni się od klasycznego udostępnia- nia plików (znanego z Windows 2000): Karta Udostępnianie w oknie dialogowym WłaSciwoSci folderu oferuje tylko pod-
stawowe opcje (patrz rysunek 3-1). Opcje te kontrolują zasady udostępniania pli- Rozdział 3: Kontrolowanie dostępu do komputera 81 ków oraz uprawnienia systemu plików NTFS. (Wielu użytkowników Windows NT i Windows 2000 miało problemy z tą niewielką, a jednak istotną różnicą; umieszczenie wszystkich opcji na jednej karcie rozwiązuje ten problem, pozwa- lając na szybkie udostępnienie wybranych zasobów użytkownikom lokalnym i sieciowym). karta Udostępniania przy klasycznym modelu udostępniania plików karta Udostępnianie przy włączonym Prostym udostępnianiu plików Rysunek 3-1. Proste udostępnianie plików konsoliduje niewielką liczbę opcji udostępniania i zabezpieczeń na jednej karcie. Okno właSciwoSci folderu, pliku lub drukarki nie zawiera karty Zabezpieczenia.
Na rysunku 3-2 widać kartę Zabezpieczenia, która pojawia się po wyłączeniu Pro- stego udostępniania plików. Uprawnienia okreSlane są tylko na poziomie folderów; nie możesz nadać upraw-
nień dla poszczególnych plików (chyba że skorzystasz z zaawansowanych narzę- dzi Cacls i Xcacls uruchamianych z wiersza poleceń). Użytkownik ma niewiele opcji udostępniania folderów i znajdujących się w nich
plików: może udostępnić zasoby wszystkim użytkownikom lokalnym, użytkow- nikom sieciowym oraz może uniemożliwić innym użytkownikom przeglądanie jednego lub wielu folderów prywatnych. Użytkownicy sieciowi podczas łączenia się z twoim komputerem są uwierzytel-
niani za pomocą konta GoSć. Oznacza to, że użytkownicy sieciowi, uzyskując do- stęp do udostępnionego folderu w twoim komputerze, mają tylko taki zakres praw i uprawnień, jaki okreSlono dla konta GoSć. 82 CzęSć I: Konfiguracja, uruchamianie i usprawnianie systemu Rysunek 3-2. Klasyczny interfejs udostępniania pliku (widoczny tutaj) lub folderu pozwala na okreSlenie różnych uprawnień dla poszczególnych użytkowników i grup. Więcej informacji na temat okreSlania uprawnień znajdziesz w rozdziale 13 Zabezpieczanie plików i folderów . Nato- miast zagadnienia związane z udostępnianiem plików innym użytkownikom sieci poruszono w rozdziale 31 Zarządzanie udostępnionymi folderami i drukarkami . Użytkownicy Windows XP Home Edition nie mają wyboru: Proste udostępnianie pli- ków jest jedyną dostępną opcją. Jeżeli korzystasz z systemu operacyjnego Windows XP Professional, możesz korzy- stać z Prostego udostępniania plików lub klasycznego interfejsu opcji udostępniania i zabezpieczeń. Aby przełączyć się między tymi dwiema opcjami, otwórz aplet Opcje folderów (w kategorii Wygląd i kompozycje Panelu sterowania), kliknij kartę Widok i zaznacz lub wyczySć pole wyboru Użyj prostego udostępniania plików (zalecane) w sekcji Ustawienia zaawansowane. Proste udostępnianie plików jest domySlnie włączone w komputerach, które nie są członkami domeny. DLA EKSPERTÓW Nawet zaawansowani użytkownicy doceniają prostszy i czytelniejszy sposób udostępniania plików ofe- rowany przez opcję Proste udostępnianie plików. Jest to jedno z tych ustawień, które powinno dawać możliwoSć szybkiego włączania i wyłączania, na przykład gdy chcesz okreSlić jakieS specjalne uprawnie- nia dla danego obiektu. Jednak zmiana tego ustawienia wymaga co najmniej szeSciu kliknięć. Dlatego też, aby móc szybko włączać i wyłączać Proste udostępnianie plików, możesz utworzyć skrypt, który bę- dzie zmieniał wartoSć ForceGuest w kluczu rejestru HKLM\System\CurrentControlSet\Control\Lsa. War- toSć 0 wyłącza Proste udostępnianie plików, a 1 włącza ją. Skrypt taki znajdziesz na płycie dołączonej do książki ma on nazwę ToggleSharingOptions.vbs. (Na stronie 425 w podroz- dziale Kontrolowanie dostępu za pomocą uprawnień dla systemu plików NTFS znajdziesz szcze- gółowy opis tego skryptu). Skrypt warto umieScić w łatwo dostępnym folderze lub przydzielić mu skrót klawiaturowy. (Ogólne informacje na temat skryptów znajdziesz w podrozdziale Automatyzacja za- dań za pomocą Hosta skryptów systemu Windows na stronie 322. Przykładowy skrypt przełączający usta- wienia rejestru znajdziesz w ramce Programy wsadowe a skrypty: których używać? na stronie 320). Rozdział 3: Kontrolowanie dostępu do komputera 83 Nowa funkcja! Konta użytkowników Już w trakcie instalacji Windows XP program instalacyjny wymaga od ciebie utwo- rzenia przynajmniej jednego konta użytkownika (oprócz domySlnych kont Admini- strator i GoSć). Jeżeli dokonałeS aktualizacji systemu do Windows XP i w poprzednich systemach operacyjnych miałeS konta lokalne (jeSli korzystałeS z Windows NT lub Windows 2000 albo też włączyłeS profile użytkownika w Windows 95/98/Me), insta- lator Windows przeniesie te konta do Windows XP. Konta przeniesione z Windows NT/2000 zachowują członkostwo grup i hasła. Konta utworzone podczas instalacji, a także te przeniesione z Windows 95/98/Me są członkami grupy Administratorzy i nie są chronione hasłami. UWAGA Konto Administrator niezabezpieczone hasłem stanowi poważne zagrożenie dla systemu! (Pamiętaj, że je- Sli dokonałeS aktualizacji z Windows 95/98/Me, Windows XP przeniesie z tych wersji systemów konta użyt- kowników, ale usunie hasła do nich). Chociaż nowe funkcje zabezpieczeń w Windows XP uniemożliwiają zalogowanie poprzez sieć pustym hasłem, to jednak osoby mające fizyczny dostęp do komputera będą mogły zalogować się do niego bez koniecznoSci podawania hasła. A ponieważ będą miały uprawnienia ad- ministratora, to uzyskają tym samym pełny dostęp do komputera. Innymi słowy, dopóki nie okreSlisz hasła do każdego konta tworzonego podczas instalacji, każdy będzie mógł zalogować się do komputera oraz przeglądać lub modyfikować pliki i ustawienia. Dzięki opcji Konta użytkowników w Panelu sterowania Windows XP oferuje prosty sposób tworzenia nowych kont, wykonywania rutynowych zmian w istniejących kontach i usuwania ich. Jeżeli twój komputer nie jest członkiem domeny, po urucho- mieniu apletu Konta użytkowników w Panelu sterowania zobaczysz okno podobne do tego pokazanego na rysunku 3-3. Rysunek 3-3. Aplet Konta użytkowników w komputerze będącym członkiem grupy roboczej ma przejrzysty, prosty interfejs. 84 CzęSć I: Konfiguracja, uruchamianie i usprawnianie systemu JeSli twój komputer jest członkiem domeny, interfejs apletu Konta użytkowników w ni- czym nie przypomina interfejsu widocznego na rysunku 3-3 i bliżej mu raczej do okna Użytkownicy i hasła znanego z Windows 2000. Więcej informacji na ten temat znaj- dziesz w podrozdziale Zaawansowane opcje konfiguracyjne kont na stronie 100. UWAGA Aby móc tworzyć konta lub wprowadzać zmiany do innych kont, musisz być zalogowany jako administra- tor. Użytkownicy bez uprawnień administratorów mogą korzystać z kont użytkownika tylko do nadawania, zmiany lub usuwania własnego hasła, zmiany obrazu lub zmiany profilu usługi .NET Passport. Tworzenie nowego konta użytkownika W głównym oknie Kont użytkowników znajduje się bardzo wygodne łącze Utwórz nowe konto, które pozwala na szybkie i bezproblemowe utworzenie nowego konta. Musisz okreSlić jedynie jego nazwę i wybrać typ konta: Administrator komputera lub Ograniczone. UWAGA Nazwa podawana podczas tworzenia konta w Windows jest zarówno nazwą użytkownika, jak i pełną nazwą. Nazwa użytkownika służy do wewnętrznego wykorzystania przez Windows. Jest ona używana, jeSli logo- wanie nie odbywa się poprzez ekran powitalny, oraz przy okreSlaniu nazwy konta w różnych poleceniach i oknach dialogowych w celu okreSlenia uprawnień. Pełna nazwa wySwietlana jest na ekranie powitalnym, w menu Start oraz w Kontach użytkownika. Obie nazwy można zmienić w dowolnym momencie. Inne informacje dotyczące konta w tym także hasło musisz okreSlić dopiero po jego utworzeniu, zgodnie z opisem w kolejnym podrozdziale. Alternatywnym roz- wiązaniem jest skorzystanie z przystawki Użytkownicy i grupy lokalne lub polecenia Net User/Add, które pozwalają na równoczesne utworzenie i dostosowanie innych opcji konta. Więcej informacji na ten temat znajdziesz w podrozdziale Zaawansowa- ne opcje konfiguracyjne kont na stronie 100. WSKAZÓWKA Nie stosuj spacji w nazwach użytkowników Aplet Konta użytkowników pozwala na wpisanie spacji w nazwach użytkowników tworzonych kont. Jednak nie rób tego. Spacje w nazwach użytkowników mogą powodować problemy z niektórymi programami oraz narzędziami do zarządzania kontami uruchamianymi z wiersza poleceń. JeSli chcesz, aby nazwa wySwietla- na na ekranie powitalnym oraz w menu Start zawierała spację (na przykład chcesz, aby było tam twoje imię i nazwisko), w nazwie konta nie wpisuj spacji. (Na przykład możesz podać tylko imię, a jeSli to samo imię nosi inny użytkownik komputera, dodaj do niego pierwszą literę nazwiska, ale nie oddzielaj jej spacją). Po utworzeniu konta możesz zmienić pełną nazwę, tak jak opisano w następnym podrozdziale. Zmiana ustawień konta Dokonywanie typowych zmian w aplecie Konta użytkowników jest bardzo łatwe. Nie musisz nawet klikać łącza Zmień inne konto, które poprowadzi cię do okna z listą wszystkich kont, które możesz zmodyfikować. Zamiast tego, na dole strony głównej Konta użytkowników kliknij od razu nazwę konta, które chcesz zmienić. Zobaczysz okno podobne do pokazanego na rysunku 3-4. Rozdział 3: Kontrolowanie dostępu do komputera 85 Rysunek 3-4. Okno Konta użytkowników zapewnia łatwy dostęp do najczęSciej modyfikowanych informacji konta. UWAGA Jeżeli będąc zalogowany jako użytkownik z ograniczeniami otworzysz Panel sterowania i aplet Konta użyt- kowników, pominiesz pierwsze okno, to pokazane na rysunku 3-3, które zawiera listę wszystkich kont użyt- kowników i umożliwia administratorom wykonanie kilku zadań. Przejdziesz od razu do okrojonej wersji okna podobnego do tego widocznego na rysunku 3-4. Możesz tu utworzyć, zmienić lub usunąć własne hasło; zmienić obraz lub połączyć konto z .NET Passport. Użytkownik z ograniczonymi uprawnieniami nie może zmienić nazwy lub typu konta ani też modyfikować innych kont. W tym oknie możesz wprowadzać następujące zmiany do swojego konta lub też do innych kont w twoim komputerze: Nazwa. Chociaż w tym oknie dialogowym nie ma żadnej informacji na ten temat,
to zmiana nazwy tutaj spowoduje zmianę pełnej nazwy (która jest wySwietlana na ekranie powitalnym, w menu Start i w aplecie Konta użytkowników), a nie nazwy użytkownika. To tutaj możesz wprowadzić nazwę ze spacjami, która ma pojawiać się na ekranie. Hasło. Możesz utworzyć hasło i podać wskazówkę dotyczącą hasła, która pomoże
przypomnieć je sobie. Jeżeli konto jest już chronione hasłem, będziesz mógł je tutaj zmienić lub usunąć. Więcej informacji na temat haseł znajdziesz w podrozdziale OkreSlanie hasła na stronie 108. Obraz. Jeżeli nie chcesz być identyfikowany obrazem gumowej kaczuszki (lub inną
ikoną wybraną przez Windows dla tego konta), to tutaj możesz zmienić obraz powiązany z nazwą użytkownika. Obraz ten wySwietlany jest podczas logowania, a także w menu Start oraz w aplecie Konta użytkownika. (Obraz nie jest wySwietlany, jeSli komputer jest członkiem domeny lub też używasz klasycznego menu Start). Jak widać na rysunku 3-5, kliknięcie łącza Zmień obraz pozwoli wybrać spoSród obrazów przechowywanych w folderze %AllUsersProfile%\Dane aplikacji\Microsoft\User Account Pictures\Default Pictures, ale nie jesteS ograniczony do tych propozycji (wię- 86 CzęSć I: Konfiguracja, uruchamianie i usprawnianie systemu kszoSć z nich i tak ma użytecznoSć na poziomie ikony z gumową kaczką). Kliknij łącze Przeglądaj w poszukiwaniu innych obrazów, aby wybrać dowolny obraz w forma- cie bitmapy (rozszerzenie .bmp), Graphics Interchange Format (GIF), Joint Photo- graphic Experts Group (JPEG), lub Portable Network Graphics (PNG). Możesz wybrać swoje zdjęcie lub ulubiony krajobraz. Windows dostosuje rozmiar obrazu i zachowa plik w folderze %AllUsersProfile%\Dane aplikacji\Microsoft\User Account Pictures. Plik będzie miał nazwę taką, jak konto użytkownika. WSKAZÓWKA Szybki dostęp do okna zmiany ustawień konta Jeżeli chcesz teraz szybko zmienić własny obraz, możesz przejSć bezpoSrednio do okna, które to umożliwia (patrz rysunek 3-5). Otwórz menu Start i kliknij swój obraz. Jeżeli chcesz zmienić inne ustawienia swojego konta, kliknij przycisk Wstecz, aby przejSć do okna widocznego na rysunku 3-4. Aby przejSć do okna wi- docznego na rysunku 3-3 (umożliwiającego zmianę ustawień innych kont), kliknij łącze Strona główna. Kliknij tutaj, aby wybrać własny obraz Kliknij tutaj, aby przechwycić obraz Rysunek 3-5. Wybierz obraz, który najlepiej odzwierciedla twoją osobowoSć. Typ konta. W oknie Konta użytkowników możesz zmienić typ konta na Admini-
strator komputera (co powoduje dodanie konta do grupy Administratorzy) lub Ograniczone (co powoduje dodanie konta do grupy Użytkownicy). JeSli chcesz do- dać konto do innych grup, musisz skorzystać z przystawki Użytkownicy i grupy lo- kalne lub też z polecenia Net Localgroup. Więcej informacji na temat tych opcji znaj- dziesz w podrozdziale Zaawansowane opcje konfiguracyjne kont na stronie 100. Dodatkowo, we własnym koncie (to jest tym, w którym jesteS aktualnie zalogowany) możesz wprowadzić następujące zmiany: .NET Passport. Możesz skonfigurować własne konto do korzystania z usługi .NET
Passport lub zmienić bieżący profil usługi. Więcej informacji na temat ustawień usługi .NET Passport znajdziesz w ramce Konfigurowanie usługi .NET Passport na stronie 114. Rozdział 3: Kontrolowanie dostępu do komputera 87 Hasła sieciowe. W sekcji Zadania pokrewne znajduje się łącze Zarządzaj moimi
hasłami sieciowymi, które pozwala na zarządzanie przechowywanymi hasłami używanymi w celu uzyskania dostępu do zasobów sieciowych i witryn sieci Web. Więcej informacji na ten temat znajdziesz w podrozdziale Uzyskiwanie dostępu do udostępnionego folderu na innym komputerze na stronie 872. Dysk resetowania hasła . Łącze Zapobiegaj zapominaniu hasła, które także
znajduje się w sekcji Zadania pokrewne, uruchamia kreatora umożliwiającego utworzenie dysku resetowania hasła . Więcej informacji na ten temat znajdziesz w podrozdziale Przywracanie zapomnianego hasła na stronie 112. Usuwanie konta Możesz usunąć każde konto z wyjątkiem tego, w którym jesteS aktualnie zalogowany. Aby usunąć konto, otwórz aplet Konta użytkowników i kliknij nazwę konta, które chcesz usunąć. Kliknij łącze Usuń konto. Masz teraz dwie możliwoSci (patrz rysunek 3-6). Możesz: Zachować pliki. Windows kopiuje niektóre elementy usuwanego profilu, pliki
i foldery przechowywane na pulpicie oraz w folderze Moje dokumenty do folderu na twoim pulpicie. Pliki te stają się częScią twojego profilu i przechodzą pod twoją kontrolę. Pozostałe elementy usuwanego profilu, takie jak wiadomoSci e-mail oraz inne dane przechowywane w folderze Dane aplikacji, ulubione łącza internetowe oraz ustawienia zapisane w rejestrze zostaną usunięte po potwierdzeniu w na- stępnym oknie dialogowym. Usunąć pliki. JeSli klikniesz przycisk Usuń pliki i potwierdzisz to polecenie w na-
stępnym oknie dialogowym, Windows usunie konto, profil użytkownika oraz wszystkie pliki powiązane z kontem, włącznie z tymi, które znajdują się w folde- rze Moje dokumenty. Rysunek 3-6. Kliknij przycisk Zachowaj pliki, jeSli nie chcesz utracić plików przechowywanych w folderze Moje dokumenty. 88 CzęSć I: Konfiguracja, uruchamianie i usprawnianie systemu UWAGA Nikt, nawet osoba zalogowana jako Administrator, nie może usunąć ostatniego konta w komputerze. To ograniczenie pomaga wymusić na użytkownikach stosowanie kont innych niż Administrator w codziennej pracy. OczywiScie po usunięciu konta jego użytkownik nie może zalogować się do kompute- ra. Nie można przywrócić dostępu do zasobów poprzez ponowne utworzenie konta. Dotyczy to wszystkich zasobów, także i tych, do których użytkownik miał wczeSniej dostęp, zaszyfrowanych przez niego plików, certyfikatów osobistych i przechowy- wanych w systemie haseł do witryn sieci Web i zasobów sieciowych. Jest to spowodo- wane tym, że wszystkie uprawnienia są związane z identyfikatorem zabezpieczeń (SID), a nie nazwą użytkownika. Nawet jeSli utworzysz konto z taką samą nazwą użytkownika, hasłem itp., będzie ono miało inny SID, nie dając dostępu do danych użytkownika. Usunięcie konta może wiązać się jeszcze z innym utrudnieniem. JeSli usuniesz konto w inny sposób niż w oknie Konta użytkowników, to profil danego użytkownika po- zostanie w folderze Documents and settings. JeSli utworzysz póxniej nowe konto o tej samej nazwie, Windows utworzy dla niego nowy folder profilu. Ponieważ jednak ist- nieje już folder o nazwie użytkownika (np.: C:\Documents and settings\Jan), system dołączy do nazwy użytkownika nazwę komputera tworząc w ten sposób unikalną nazwę folderu (np.: C:\Documents and settings\Jan.BIURO). Zbędny folder nie tylko zajmuje miejsce na dysku, ale utrudnia także zorientowanie się, który folder jest właSciwy. (Ogólnie rzecz biorąc można założyć, że folder o najdłuższej nazwie jest folderem utworzonym ostatnio. Jednak tylko sprawdzenie zawartoSci folderu może dać ci całkowitą pewnoSć). Aby uniknąć tego problemu, należy usuwać konta wyłącznie w oknie Konta użytkownika. Tylko ta metoda daje pewnoSć, że wraz z kon- tem usunięty zostanie stary profil. DLA EKSPERTÓW JeSli usuniesz konto przy użyciu innego narzędzia niż Konta użytkowników, profil tego konta pozostanie w folderze Documents and settings oraz w rejestrze. Nie zaleca się bezpoSredniego usuwania plików lub wpisów rejestru, ponieważ najmniejsza pomyłka może mieć wpływ na działanie pozostałych kont. Zamiast tego kliknij prawym przyciskiem myszy ikonę Mój komputer i z menu skrótów wybierz polecenie WłaSci- woSci. Wybierz kartę Zaawansowane i kliknij przycisk Ustawienia w sekcji Profile użytkownika. Wybierz konto o nazwie Konto nieznane (konto usunięte) i kliknij przycisk Usuń. Wybór sposobu logowania użytkowników Jeżeli twój komputer nie jest częScią domeny, Windows XP oferuje dwa sposoby logo- wania się: Nowa funkcja! Ekran powitalny. Ekran powitalny, widoczny na rysunku 3-7, oferuje najprostszą
metodę logowania się. Użytkownik musi jedynie kliknąć swoją nazwę użytkowni- ka i wpisać hasło (jeSli jest wymagane). Więcej informacji na temat ekranu powital- nego znajdziesz na stronie 91, w podrozdziale Używanie ekranu powitalnego . Rozdział 3: Kontrolowanie dostępu do komputera 89 Rysunek 3-7. Ekran powitalny to najprostszy sposób na zalogowanie się do komputera używanego wspólnie przez kilka osób. UWAGA Ekran powitalny to ekran, który umożliwia zalogowanie się do komputera. Nie daj się zwieSć faktem, że nie ma na nim słowa Witamy . Nazwa ekran powitalny stosowana w pomocy oraz w oknach dialogowych, od- nosi się właSnie do tego ekranu, widocznego na rysunku 3-7. Logowanie klasyczne. Alternatywą dla ekranu powitalnego są sekwencje ekra-
nów logowania znanych z Windows NT oraz Windows 2000. Gdy ekran powital- ny jest wyłączony (lub też komputer jest częScią domeny), po załadowaniu syste- mu użytkownik widzi jedno z następujących okien: System Windows Zaprasza- my!, pokazane na rysunku 3-8 lub Logowanie do systemu Windows, pokazane na rysunku 3-9. Rysunek 3-8. JeSli pojawi się to okno dialogowe, naciSnij [Ctrl+Alt+Del], aby rozpocząć proces logowania. 90 CzęSć I: Konfiguracja, uruchamianie i usprawnianie systemu Rysunek 3-9. DomySlnie pole Nazwa użytkownika zawiera nazwę użytkownika, który jako ostatni logował się do komputera. WSKAZÓWKA Ukrywanie nazwy ostatniego użytkownika Ustawienia zabezpieczeń lokalnych zawierają zasadę, którą warto włączyć, jeSli nie używasz ekranu powi- talnego Windows. DomySlnie nazwa użytkownika, który logował się do systemu jako ostatni, wySwietlana jest w oknie dialogowym Logowanie do systemu Windows. W przypadku komputera używanego najczę- Sciej przez jednego użytkownika jest to wygodne, gdyż nie musi on przy każdym logowaniu podawać swo- jej nazwy. Jednak może to być także potencjalna dziura w zabezpieczeniach, ponieważ każdy może bez przeszkód poznać nazwę użytkownika. Aby zapobiec wySwietlaniu nazwy ostatniego użytkownika, wpisz w wierszu polecenia secpol.msc, otwierając w ten sposób okno Ustawienia zabezpieczeń lokalnych. Na- stępnie otwórz Zasady lokalne\Opcje zabezpieczeń i włącz zasadę Logowanie interakcyjne: nie wySwietlaj nazwy ostatniego użytkownika. System skonfigurowany pod kątem największego bezpieczeństwa wySwietla przy uruchomieniu okno powitania, które zaprasza użytkownika do zalogowania się po- przez naciSnięcie [Ctr+Alt+Del]. Gdy to zrobi, pojawi się okno Logowanie do systemu Windows. Wystarczy wpisać nazwę i hasło, aby się zalogować. WSKAZÓWKA Pomijanie okna z żądaniem naciSnięcia [Ctr+Alt+Del] Jeżeli nie chcesz, aby Windows wymuszał na użytkownikach naciSnięcie kombinacji klawiszy [Ctr+Alt+Del] przed przejSciem do okna Logowanie do systemu Windows, zmień następujące ustawienie: 1. W wierszu polecenia wpisz control userpasswords2 i naciSnij [Enter]. Jeżeli komputer jest częScią domeny, wystarczy otworzyć Konta użytkowników w Panelu sterowania. 2. W oknie dialogowym Konta użytkowników kliknij kartę Zaawansowane. 3. WyczySć pole wyboru Żądaj od użytkowników naciSnięcia klawiszy Ctrl+Alt+Delete znajdujące się w sekcji Bezpieczne logowanie. Pamiętaj, że w ten sposób usuwasz ważną funkcję bezpieczeństwa. Ponieważ system uniemożliwia przechwycenie tej kombinacji klawiszy przez inny program, to naciSnięcie jej zapewniało, że kolejnym oknem dialogowym może być tylko Logowanie do systemu Windows. Funkcja ta uniemożliwia załado- wanie w międzyczasie innych programów, które mogą na przykład przechwytywać hasła. Rozdział 3: Kontrolowanie dostępu do komputera 91 Nowa funkcja! Używanie ekranu powitalnego Windows XP domySlnie używa ekranu powitalnego, z wyjątkiem komputerów będących częScią domeny (ta konfiguracja nie obsługuje tej funkcji). WSKAZÓWKA Logowanie przy użyciu ukrytych kont Gdy wySwietlony jest ekran powitalny, możesz uaktywnić okno dialogowe Logowanie do systemu Win- dows (rysunek 3-9), dwukrotnie naciskając kombinację klawiszy [Ctrl+Alt+Del]. Pozwala to na zalogowa- nie się przy użyciu konta, które nie jest widoczne na ekranie powitalnym (np. Administrator). Należy jednak pamiętać, że ta możliwoSć dostępna jest tylko wtedy, gdy nie są zalogowani żadni inni użytkownicy. Jeżeli uruchamiając system nie widzisz ekranu powitalnego, wykonaj następujące czynnoSci: 1. Po zalogowaniu się jako administrator otwórz Konta użytkowników w Panelu ste- rowania. 2. Kliknij łącze Zmień sposób logowania lub wylogowywania użytkowników. Jeżeli wySwietlone zostanie ostrzeżenie dotyczące plików offline, kliknij przycisk Anuluj. Jak wynika z informacji, pliki trybu offline i funkcja Szybkie przełączanie użytkowników nie współpracują ze sobą. Nie musisz jednak wyłączać plików w trybie offline, aby włączyć wySwietlanie ekranu powitalnego. 3. Zaznacz pole wyboru Użyj ekranu powitalnego i kliknij przycisk Zastosuj opcje. DomySlnie, po uruchomieniu wygaszacza ekranu i próbie powrotu do pracy ponow- nie pojawia się ekran powitalny. Uniemożliwia to użycie twojego komputera, gdy zrobisz sobie przerwę w pracy. Musisz kliknąć swoją nazwę użytkownika i podać hasło. Jeżeli nie zależy ci na tej formie ochrony, wykonaj następujące czynnoSci: 1. Prawym przyciskiem myszy kliknij dowolne miejsce na pulpicie i z menu skrótów wybierz polecenie WłaSciwoSci. 2. Wybierz kartę Wygaszacz ekranu. 3. WyczySć pole wyboru Po wznowieniu wySwietl ekran powitalny (jeżeli Szybkie przełączanie użytkowników jest włączone) lub Po wznowieniu chroń hasłem (je- żeli Szybkie przełączanie użytkowników jest wyłączone). Twoja decyzja odnoSnie używania ekranu powitalnego Windows ma także swoje skutki uboczne. Na przykład jeSli używasz ekranu powitalnego, naciSnięcie klawiszy [Ctrl+Alt+Delete] podczas pracy w systemie powoduje wySwietlenie Menedżera za- dań Windows, cennego, choć niewielkiego programu, który między innymi pozwala zamknąć programy, które przestały odpowiadać, pokazuje listę uruchomionych za- dań i procesów, iloSć zajmowanej przez nie pamięci oraz czasu procesora, a także wskazania kilku mierników systemowych. Jednak jeSli wyłączysz ekran powitalny, po naciSnięciu klawiszy [Ctrl+Alt+Del] pojawi się ekran Zabezpieczenia systemu Windows, widoczny na rysunku 3-10. 92 CzęSć I: Konfiguracja, uruchamianie i usprawnianie systemu ROZWIĄZYWANIE PROBLEMÓW Nie możesz włączyć (lub wyłączyć) ekranu powitalnego Jeżeli masz problemy z włączeniem lub wyłączeniem ekranu powitalnego w oknie Konta użytkowników, to możesz dokonać edycji rejestru lub włączyć zasadę, która będzie wymuszała wybrany sposób logowania. Aby włączyć lub wyłączyć ekran powitalny Windows w rejestrze, otwórz program Edytor rejestru i zmień wartoSć w kluczu HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon. WartoSć 0 wymusza klasyczny sposób logowania, wartoSć 1 włącza ekran powitalny. Aby włączyć lub wyłączyć ekran powitalny za pomocą zasad, wykonaj następujące czynnoSci: 1. W wierszu polecenia wpisz gpedit.msc, aby otworzyć konsolę Zasady grupy. 2. Otwórz folder Konfiguracja komputera\Szablony administracyjne\System\Logowanie. 3. Dwukrotnie kliknij zasadę Zawsze używaj klasycznego sposobu logowania. 4. Zaznacz pole wyboru Włączone, aby używać klasycznego sposobu logowania, Wyłączone, aby uży- wać okna powitalnego Windows lub Nie skonfigurowano, jeżeli wybór opcji ma zależeć od ustawie- nia w rejestrze. Ustawienie zasady jest nadrzędne wobec ustawień w oknie Konta użytkowników oraz w rejestrze. Więcej in- formacji na temat zasad grupy znajdziesz w rozdziale 34 Zarządzanie profilami użytkownika i zasadami . Rysunek 3-10. Gdy ekran powitalny jest wyłączony, naciSnięcie klawiszy [Ctrl+Alt+Del] wywołuje to okno dialogowe zamiast Menedżera zadań Windows. WSKAZÓWKA Bez względu na to, czy używasz ekranu powitalnego czy nie, zawsze możesz uruchomić Menedżera zadań Windows, naciskając [Ctrl+Shift+Esc]. DLA EKSPERTÓW Możesz zapobiec wySwietlaniu nazwy konta na ekranie powitalnym, tworząc w ten sposób ukryte konto. (Nie jest ono całkowicie ukryte, gdyż administratorzy mogą zobaczyć je w oknie Użytkownicy i grupy lokal- ne, a wszyscy użytkownicy mogą zobaczyć profil konta w folderze Documents and settings). Za pomocą Edytora rejestru otwórz klucz HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Specia- lAccounts\UserList. Utwórz nową wartoSć DWORD, wpisz jako jej nazwę nazwę użytkownika, którego konto chcesz ukryć, i pozostaw wartoSć 0. Korzystając z tego sposobu, musisz jednak zachować ostrożnoSć i pamiętać, że nie będziesz mógł korzy- stać z Szybkiego przełączania użytkowników, ponieważ konto to nie będzie widoczne na ekranie powital- nym. Dwukrotne naciSnięcie [Ctrl+Alt+Del] przy wySwietlonym ekranie powitalnym działa tylko wtedy, gdy nie jest zalogowany żaden inny użytkownik. Tak więc jeSli, chcesz korzystać z takiego ukrytego konta, po- winieneS wyłączyć Szybkie przełączanie użytkowników lub ograniczyć jego zastosowanie tylko do takich sytuacji, gdy nikt inny nie będzie zalogowany. Rozdział 3: Kontrolowanie dostępu do komputera 93 Inne drobne zmiany także naSladują zachowanie Windows 2000 i Windows XP, gdy komputer jest częScią domeny. Na przykład przycisk u dołu menu Start zmienia się z Wyłącz komputer na Zamknij system. A okno dialogowe, które pojawi się po klik- nięciu tego przycisku, oferuje listę opcji zamykania systemu zamiast oddzielnych przycisków. ROZWIąZYWANIE PROBLEMÓW Ekran powitalny nie zawiera żadnych kont Może się zdarzyć, że ekran powitalny będzie prosił cię o kliknięcie nazwy użytkownika ale nie będzie wy- Swietlał żadnej nazwy. Może się to zdarzyć, jeSli uda ci się usunąć wszystkie konta użytkowników lokalnych (aplet Konta użytkowników nie pozwala na to, ale inne narzędzia do zarządzania kontami nie są tak przewi- dujące) lub też, w niektórych przypadkach, gdy dokonasz aktualizacji Windows z wczeSniejszej wersji. Jeżeli używasz Windows XP Professional, naciSnij dwukrotnie [Ctrl+Alt+Del] aby wySwietlić okno dialogo- we Logowanie do systemu Windows. W pole Nazwa użytkownika wpisz Administrator i wprowadx hasło, które utworzyłeS dla konta Administrator podczas instalacji systemu. Po zalogowaniu jako Administrator możesz uruchomić aplet Konta użytkowników i utworzyć jedno lub kilka nowych kont, które będą widocz- ne na ekranie powitalnym. Użytkownicy Windows XP Home Edition nie mogą zalogować się do komputera za pomocą konta Administrator, gdyż uniemożliwiają to ograniczenia konta. Zamiast tego należy urucho- mić Windows XP w trybie awaryjnym, naciskając klawisz [F8] na początku procesu uruchamiania syste- mu. Pracując w tym trybie, można uruchomić aplet Konta użytkowników i utworzyć jedno lub kilka nowych kont. Pomijanie ekranu logowania Jeżeli w twoim komputerze jest tylko jedno konto (oprócz kont Administrator i GoSć) i jeSli konto to nie jest chronione hasłem, podczas uruchomienia Windows XP automa- tycznie loguje tego jedynego użytkownika. Nie zobaczysz ekranu powitalnego ani żadnego innego ekranu logowania; Windows od razu wySwietla zawartoSć pulpitu. Możesz logować się w ten sposób, nawet jeSli w komputerze skonfigurowano kilka kont użytkowników. Jest to wygodne w kilku sytuacjach: jeSli jesteS głównym użyt- kownikiem komputera i inne osoby korzystają z niego sporadycznie, jeSli ty sam cza- sem potrzebujesz zalogować się jako inny użytkownik w celu instalacji sprzętu lub wykonania innych zadań lub jeSli okreSliłeS hasło dla swojego konta (aby móc używać zaplanowanych zadań lub łączyć się zdalnie wykonywać operacje, które są dostęp- ne tylko dla kont z hasłami), ale nadal chcesz mieć możliwoSć automatycznego logo- wania przy uruchomieniu. OSTRZEŻENIE Automatyczne logowanie oznacza, że system sam wprowadza twoją nazwę użytkownika i hasło podczas uruchamiania komputera. Każdy, kto ma fizyczny dostęp do komputera, może więc zalogować się do niego i uzyskać dostęp do wszystkich zasobów (włącznie z witrynami, dla których zapisałeS hasła). Możesz wymusić automatyczne logowanie w następujący sposób: 1. W wierszu polecenia wpisz control userpasswords2 i naciSnij klawisz [Enter]. W ten sposób uruchomisz aplikację Konta użytkowników. 94 CzęSć I: Konfiguracja, uruchamianie i usprawnianie systemu 2. Na karcie Użytkownicy wyczySć pole wyboru Aby używać tego komputera, użyt- kownik musi wprowadzić nazwę użytkownika i hasło, a następnie kliknij przycisk OK. Pamiętaj, że to pole wyboru nie pojawi się, jeSli komputer jest częScią domeny. Tylko komputery nie będące częScią sieci lub należące do grupy roboczej mogą po- mijać okno logowania. Użytkownicy domen muszą wprowadzać nazwę użytkow- nika i hasło nawet wtedy, gdy chcą zalogować się tylko lokalnie. Pojawi się okno dialogowe Logowanie automatyczne. 3. Wpisz nazwę użytkownika i hasło konta, do którego chcesz być automatycznie lo- gowany podczas uruchamiania komputera. Po dokonaniu tej zmiany, przed zalogowaniem do innego konta będziesz musiał wy- logować się z konta bieżącego lub też skorzystać z funkcji Szybkie przełączanie użyt- kowników. Rozdział 3: Kontrolowanie dostępu do komputera 95 Nowa funkcja! Konfigurowanie funkcji Szybkie przełączanie użytkowników Szybkie przełączanie użytkowników to jedna z najciekawszych nowych funkcji Win- dows XP. Pozwala ona na równoczesne zalogowanie kilku użytkowników. Jak sama nazwa wskazuje, funkcja ta umożliwia szybkie przełączanie między użytkownikami. Może to być przydatne na przykład w sytuacji, gdy jeden użytkownik zaloguje się, otworzy kilka dokumentów, a w tym czasie inny użytkownik zechce szybko spraw- dzić pocztę. Przy włączonej funkcji szybkiego przełączania użytkowników nie stano- wi to żadnego problemu. Drugi użytkownik może się zalogować, sprawdzić pocztę, wylogować i ustąpić miejsca koledze. Wszystkie programy uruchomione przez pierwszego użytkownika (takie jak proces pobierania) działają przez cały czas. Aby przełączyć się do konta innego użytkownika, naciSnij klawisz [Windows+L]. Zo- baczysz ekran powitalny, na którym drugi użytkownik klika swoją nazwę i wprowa- dza hasło, jeSli jest ono wymagane. UWAGA JeSli na twojej klawiaturze nie ma przycisku z logo Windows (lub też wolisz używać myszy), możesz włączyć ekran powitalny klikając przycisk Start, a następnie Wyloguj. W oknie dialogowym Wylogowywa- nie z systemu Windows kliknij przycisk Przełącz użytkownika. Szybkie przełączanie użytkowników nie działa w każdej sytuacji. Aby funkcja ta była włączona, musisz spełnić kilka warunków: Ekran powitalny musi być włączony.
Komputer nie może być częScią domeny.
Pliki w trybie offline muszą być wyłączone.
Chociaż nie jest to wymóg bezwarunkowy, to komputer powinien mieć więcej niż
64 MB pamięci. DomySlnie funkcja szybkiego przełączania użytkowników jest wyłączona w komputerach zapatrzonych jedynie w 64 MB pamięci. (Aby Win- dows XP mógł działać sprawnie, i tak potrzebuje przynajmniej 128 MB). Aby włączyć Szybkie przełączanie użytkowników, wykonaj następujące czynnoSci: 1. Zaloguj się jako administrator, otwórz Panel sterowania i dwukrotnie kliknij aplet Konta użytkowników. 2. Kliknij łącze Zmień sposób logowania lub wylogowywania użytkowników, aby wySwietlić takie okno jak poniżej. 96 CzęSć I: Konfiguracja, uruchamianie i usprawnianie systemu 3. Zaznacz pole wyboru Użyj szybkiego przełączania użytkowników i kliknij przy- cisk Zastosuj opcje. UWAGA JeSli pojawi się ostrzeżenie dotyczące plików trybu offline, otwórz okno dialogowe Opcje folderów, klikając przycisk OK. Przed włączeniem szybkiego przełączania użytkowników musisz wyłączyć pliki trybu offline. WSKAZÓWKA Sprawdzane poczty bez koniecznoSci przełączania się Ekran logowania szybkiego przełączania użytkowników zawiera informację o zalogowanych użytkowni- kach (pod każdą nazwą użytkownika widoczna jest liczba uruchomionych przez niego programów; jeżeli użytkownik nie uruchomił żadnych programów, w tym miejscu znajduje się informacja o statusie zalogo- wania). Dodatkowo na ekranie logowania, pod nazwą każdego użytkownika z uruchomionym programem pocztowym, znajduje się informacja o liczbie nieprzeczytanych wiadomoSci. Aby skorzystać z tej funkcji, wystarczy po prostu uruchomić Outlook Express lub Windows Messenger i nie zamykać przed przełącze- niem się do innego konta. Wylogowywanie się lub blokowanie komputera Gdy skończysz pracę z komputerem, powinieneS się upewnić, że nikt nie będzie miał dostępu do twoich plików. W tym celu musisz się wylogować, zmienić użytkownika lub zablokować komputer. Wylogowywanie. JeSli wybierzesz tę opcję, wszystkie programy zostaną zam-
knięte, a połączenia telefoniczne zakończone. Aby się wylogować, kliknij przycisk Start, Wyloguj, a następnie jeszcze raz Wyloguj. Zmiana użytkownika. Ta metoda dostępna jest tylko przy włączonej funkcji szyb-
kiego przełączania użytkowników. Wszystkie twoje programy będą nadal Rozdział 3: Kontrolowanie dostępu do komputera 97 działały, konto pozostanie zalogowane, ale (jeSli jest chronione hasłem) tylko ty będziesz mógł wrócić do swojej sesji. Aby zmienić użytkownika, naciSnij [Win- dows+L] lub wybierz Start, Wyloguj i Przełącz użytkownika. Niezależnie od wy- branej metody wySwietlone zostanie okno powitalne Windows szybkiego przełączania użytkowników. Blokowanie komputera. Ta opcja dostępna jest tylko po wyłączeniu funkcji szyb-
kiego przełączania użytkowników. Tylko ty lub inny administrator będzie mógł odblokować komputer. Jeżeli zrobi to inny administrator, będzie musiał zamknąć wszystkie twoje uruchomione programy (nie zapisując otwartych dokumentów) i wylogowując cię z komputera. Aby zablokować komputer, naciSnij [Win- dows+L] lub (jeSli ekran powitalny jest wyłączony) naciSnij [Ctrl+Alt+Del] i kliknij przycisk Zablokuj komputer. Jeżeli naciSniesz [Ctrl+Alt+Del] przy włączonym ekranie powitalnym, możesz wybrać polecenie Zablokuj komputer z menu Zam- knij Menedżera zadań Windows. JeSli chcesz uniemożliwić niepowołanym osobom dostęp do twojego komputera, mu- sisz zabezpieczyć swoje konto hasłem. Gdy wybierzesz którąkolwiek z opcji przed- stawionych w tym podrozdziale, Windows ukryje wszystkie okna i programy, w któ- rych pracowałeS. Twój komputer nadal będzie działał (w zależnoSci od ustawień zarządzania energią) i wszystkie zasoby udostępniane przez twój komputer pozo- stają dostępne dla innych użytkowników sieci. WSKAZÓWKA Utwórz skrót do przełączania użytkowników lub blokowania komputera Skrót [Windows+L] jest wspaniałym skrótem do przełączania użytkowników lub blokowania komputera. Jednak jeSli nie masz na klawiaturze klawisza z logo Windows lub też wolisz używać myszy, możesz utworzyć skrót do programu, który daje szybki dostęp do tej funkcji. Aby wykonać skrót do funkcji przełączania/blokowania komputera, wykonaj następujące czynnoSci: 1. Prawym przyciskiem myszy kliknij dowolne miejsce pulpitu i wybierz Nowy, Skrót. 2. Na pierwszej stronie kreatora Tworzenie skrótu wpisz rundll32.exe user32.dll,LockWorkStation i kliknij przycisk Dalej. 3. Wpisz nazwę skrótu (na przykład Zablokuj komputer) i kliknij przycisk Zakończ. 4. Prawym przyciskiem myszy kliknij nowy skrót i wybierz polecenie WłaSciwoSci. 5. Na karcie Skrót kliknij przycisk Zmień ikonę. 6. W polu teksowym wpisz shell32.dll i naciSnij klawisz [Enter]. 7. Wybierz ikonę znajdziesz tu kilka ikon z symbolem kłódki, klucza i innymi obrazami. Kliknij OK. 8. W pole Klawisz skrótu wpisz kombinację klawiszy, które chcesz przydzielić poleceniu (na przykład [Ctrl+Alt+B]). JeSli chcesz szybko wySwietlić ekran logowania (przy włączonym szybkim przełączaniu użytkowników) lub też zablokować komputer (jeSli szybkie przełączanie użytkowników jest wyłączone), wystarczy dwu- krotnie kliknąć utworzony przed chwilą skrót lub nacisnąć skrót klawiaturowy. JeSli wolisz, aby polece- nie było zawsze widoczne i można je było uruchomić pojedynczym kliknięciem, przenieS skrót do paska Szybkie uruchamianie. 98 CzęSć I: Konfiguracja, uruchamianie i usprawnianie systemu Nowa funkcja! Co się stało z kontem Administrator? Konto Administrator jest zazwyczaj ukryte. Pojawia się ono na ekranie powitalnym tylko w następujących okolicznoSciach: Nie ma w systemie żadnego innego konta administratora.
Komputer został uruchomiony w trybie awaryjnym (poprzez naciSnięcie klawisza
[F8] podczas uruchamiania). JesteS zalogowany do konta Administrator i używasz szybkiego przełączania
użytkowników. W każdym razie, konto to istnieje i obsługuje kilka istotnych funkcji. Po pierwsze, po- nieważ nie można go usunąć, zapewnia bezpieczne rozwiązanie na wypadek, gdyby komuS udało się usunąć wszystkie pozostałe konta. W takiej sytuacji możesz zalogo- wać się jako Administrator i utworzyć inne konta. Po drugie, jest to jedynie konto, któ- re pozwala na zalogowanie się do Konsoli odzyskiwania, ostatniej deski ratunku dla uszkodzonego systemu. UWAGA DomySlnie w Windows XP Home Edition hasło dla konta Administrator jest puste. Nie jest to jednak dziura w systemie zabezpieczeń, ponieważ w Home Edition konto Administrator nie daje możliwoSci zalogowania się lokalnie lub przez sieć. PowinieneS jednak wiedzieć o tym, że hasło jest puste, na wypadek gdybyS mu- siał uruchomić Konsolę odzyskiwania, która wymaga podania hasła administratora. Więcej informacji na ten temat znajdziesz w podrozdziale Zabezpieczanie konta Administrator na stronie 99. Logowanie się jako Administrator W systemie Windows XP Professional możesz zalogować się z konta Administrator. Jeżeli ekran powitalny jest włączony, dwukrotnie naciSnij kombinację [Ctrl+Alt+Del], aby wySwietlić okno dialogowe Logowanie do systemu Windows. (Jeżeli ekran powi- talny jest włączony, naciSnij [Ctrl+Alt+Del] jeden raz, tak jakbyS miał zalogować się do innego konta). Wpisz Administrator w polu Nazwa użytkownika, a w polu Hasło wpisz hasło, które nadałeS temu kontu podczas instalacji. UWAGA Użytkownicy Microsoft Windows XP Home Edition nie mogą logować się do komputera, korzystając z kon- ta Administrator. Jedynym wyjątkiem jest uruchomienie komputera w trybie awaryjnym. Dodawanie konta Administrator do ekranu powitalnego Jeżeli twoje programy dobrze współpracują z kontami o ograniczonych uprawnie- niach (lub Użytkownicy zaawansowani), to w codziennej pracy powinieneS zdecydo- wanie korzystać właSnie z takiego konta. Konto administratora powinno być wyko- rzystywane tylko w celu wykonywania zadań administracyjnych. Możesz w tym celu użyć konta administratorów lub też konta Administrator. Oto w jaki sposób możesz uzyskać łatwy dostęp do tego konta: 1. W wierszu polecenia wpisz lusrmgr.msc, aby otworzyć okno Użytkownicy i gru- py lokalne. Rozdział 3: Kontrolowanie dostępu do komputera 99 2. W drzewie konsoli kliknij folder Grupy. 3. Dwukrotnie kliknij grupę Administratorzy i usuń wszystkie konta z wyjątkiem Administrator. 4. Otwórz grupę Użytkownicy lub Użytkownicy zaawansowani, a następnie kliknij przycisk Dodaj, aby dodać konta, które przed chwilą usunąłeS z grupy Admini- stratorzy. UWAGA Użyj tej procedury tylko w Windows XP Professional. W Windows XP Home Edition nie możesz używać konsoli Użytkownicy i grupy lokalne (chociaż możesz zmienić przydziały do poszczególnych grup polece- niem Net Localgroup). Jednak najważniejsze jest to, że z konta Administrator nie można zalogować się do Windows XP Home Edition, tak więc nawet jeSli konto to pojawi się na ekranie powitalnym, nie będziesz mógł z niego korzystać. Zabezpieczanie konta Administrator Ponieważ konto Administrator obecne jest w niemal każdym komputerze pra- cującym pod kontrolą systemu operacyjnego Windows XP i ponieważ daje ono pełną kontrolę nad komputerem, istnieje ryzyko, że zostanie ono wykorzystane przez hake- rów próbujących włamać się do komputera. Znają już przecież nazwę użytkownika, pozostaje więc im tylko zdobyć hasło. Możesz zabezpieczyć konto Administrator na dwa sposoby: Używać bezpiecznego hasła. JeSli jesteS zalogowany jako Administrator, to mo-
żesz w oknie Konta użytkowników utworzyć hasło. Jeżeli chcesz mieć bezpieczne losowe hasło, otwórz okno Wiersz polecenia i wpisz to polecenie: net user administrator /random Windows wySwietli wygenerowane hasło. Zapisz je i przechowuj w bezpiecznym miejscu! Zmienić nazwę konta. Nazwa ta nie musi być tak trudna do rozgryzienia, jak
hasło. Wystarczy, jeSli będzie to coS innego niż Adminstrator , którą to nazwę zna każdy haker i którą spodziewa się znalexć w komputerze ofiary. Aby zmienić nazwę, wykonaj następujące czynnoSci: 1. W wierszu polecenia wpisz secpol.msc, aby otworzyć okno Ustawienia zabezpie- czeń lokalnych. (Możesz także dwukrotnie kliknąć skrót Zasady zabezpieczeń lo- kalnych w folderze Narzędzia administracyjne w Panelu sterowania). 2. Otwórz Zasady lokalne\Opcje zabezpieczeń. 3. W panelu zawierającym szczegóły dwukrotnie kliknij zasadę Konta: Zmień nazwę konta administratora. 4. Wpisz nową nazwę dla konta Administrator. UWAGA Ponieważ przystawka Ustawienia zabezpieczeń lokalnych nie jest dostępna w Windows XP Home Edition, nie możesz użyć jej do zmiany nazwy konta Administrator. Możesz jednak zrobić to, uruchamiając okno Konta użytkowników znane z Windows 2000. W wierszu polecenia wpisz control userpasswords2. Wy- bierz Administrator i kliknij WłaSciwoSci. Pamiętaj aby zmienić nazwę użytkownika, a nie pełną nazwę. 100 CzęSć I: Konfiguracja, uruchamianie i usprawnianie systemu Zaawansowane opcje konfiguracyjne kont Windows XP używa czterech różnych interfejsów do zarządzania użytkownikami i grupami: Konta użytkowników. Ten aplet znajdujący się w Panelu sterowania oferuje naj-
prostszy sposób wykonania typowych zadań. Więcej informacji na jego temat znajdziesz w podrozdziale Konta użytkowników na stronie 83. Konta użytkowników (styl Windows 2000). Jeżeli twój komputer jest częScią dome-
ny, po otworzeniu apletu Konta użytkowników w Panelu sterowania zobaczysz nieco inną wersję (patrz rysunek 3-11). JeSli komputer nie jest częScią domeny, możesz otworzyć tę wersję, wpisując control userpasswords2 w wierszu polecenia. Rysunek 3-11. Konta użytkowników w komputerze będącym częScią domeny styl Windows 2000. W tej wersji okno Konta użytkowników oferuje niewiele opcji (możesz dodawać lub usuwać lokalnych użytkowników, okreSlać hasła i przydzielać konta użyt- kowników do wybranej grupy), ale ma także kilka unikalnych funkcji, które mogą okazać się przydatne. W tej wersji możesz Zmieniać nazwę użytkownika konta
Konfigurować logowanie automatyczne (więcej informacji na ten temat znaj-
dziesz w podrozdziale Pomijanie ekranu logowania na stronie 93). Zrezygnować z koniecznoSci naciskania [Ctrl+Alt+Del], jeżeli nie używasz
ekranu powitalnego WSKAZÓWKA Utwórz skrót do apletu Konta użytkowników Jeżeli twój komputer nie jest członkiem domeny, to prawdopodobnie będziesz doSć często korzystał z aple- tu Konta użytkowników. W takim przypadku możesz utworzyć do niego skrót i przechowywać go w folde- rze Narzędzia administracyjne Panelu sterowania. Rozdział 3: Kontrolowanie dostępu do komputera 101 Użytkownicy i grupy lokalne. Ta przystawka konsoli Microsoft Management
Console (MMC) daje dostęp do większej liczby funkcji związanych z zarządza- niem kontami niż Konta użytkowników i jest przyjaxniejsza od narzędzi urucha- mianych z wiersza poleceń. Więcej informacji na ten temat znajdziesz w podroz- dziale Używanie przystawki Użytkownicy i grupy lokalne na stronie 102. Narzędzia uruchamiane z wiersza poleceń. Polecenia Net User i Net Localgroup,
chociaż nie są narzędziami zbyt intuicyjnymi w obsłudze (już ich nazwy są mylące mówimy tu o kontach i grupach lokalnych, a nie o sieciowych!), zapewniają naj- pełniejszy i bezpoSredni dostęp do różnych zadań związanych z kontami. Narzę- dzia te omówiono szczegółowo w podrozdziale Używanie poleceń Net User i Net Localgroup na stronie 104. Wszystkie te narzędzia, niektóre łatwiejsze, a niektóre trudniejsze w użyciu, pozwa- lają administratorowi na utworzenie, zmodyfikowanie i usunięcie lokalnych kont użytkowników i grup. DostępnoSć i wygląd poszczególnych narzędzi zależy od po- siadanej wersji Windows XP (konsola Użytkownicy i grupy lokalne nie jest dostępna w Windows XP Home Edition), a także od tego, czy komputer jest częScią domeny (Aplet Użytkownicy i hasła w Panelu sterowania jest całkowicie odmienny dla człon- ków domeny). Wybór interfejsu zależy częSciowo od osobistych preferencji wolisz graficzny interfejs czy też wiersz polecenia. Ale wkrótce przekonasz się także, że jed- no narzędzie oferuje możliwoSci, których na próżno szukać w pozostałych. Aby po- móc ci w podjęciu decyzji i dokonaniu właSciwego wyboru narzędzia do konkretnego zadania, przygotowaliSmy tabelę 3-1, zawierającą spis zadań, które można wykonać za pomocą tych narzędzi. Tabela 3-1. Zadania, które można wykonać za pomocą narzędzi zarządzania kontami Zadanie Konta Konta Konsola Narzędzia użytkowników użytkowników Użytkownicy wiersza w Panelu w Panelu i grupy poleceń sterowania sterowania lokalne (grupa robocza) (domena) Lokalne konta użytkowników Tworzenie kont użytkowników Usuwanie kont użytkowników 1 1 Umieszczanie kont w grupach Zmiana nazwy użytkownika Zmiana pełnej nazwy Zmiana opisu Zmiana obrazu 2 OkreSlanie hasła Tworzenie podpowiedzi hasła OkreSlanie ograniczeń hasła OkreSlanie godzin logowania 3 Włączanie lub wyłączanie konta Odblokowywanie konta Dokończenie tabeli na następnej stronie 102 CzęSć I: Konfiguracja, uruchamianie i usprawnianie systemu Dokończenie tabeli z poprzedniej strony Tabela 3-1. Zadania, które można wykonać za pomocą narzędzi zarządzania kontami Zadanie Konta Konta Konsola Narzędzia użytkowników użytkowników Użytkownicy wiersza w Panelu w Panelu i grupy poleceń sterowania sterowania lokalne (grupa robocza) (domena) Lokalne koonta użytkowników OkreSlanie daty ważnoSci konta OkreSlanie profilu i skryptu logowania Łączenie konta z .NET Passport Grupy zabezpieczeń Tworzenie Usuwanie Zmiana nazwy OkreSlanie członkostwa w grupie 1 Dodawane konta domeny do grupy 1 W oknie Konta użytkowników można dodać konto tylko do jednej grupy. Wersja okna Konta uży- tkowników dla grup roboczych umożliwia dodanie konta wyłącznie do grupy Administratorzy lub Użytkownicy. 2 W oknie Konta użytkowników można okreSlić hasło tylko dla lokalnego konta. Hasło musi różnić się od bieżącego hasła logowania. 3 W oknie Konta użytkowników można włączyć lub wyłączyć jedynie konto GoSć. Używanie przystawki Użytkownicy i grupy lokalne Przystawka programu MMC Użytkownicy i grupy lokalne oferuje bardziej zaawan- sowane funkcje niż którakolwiek z wersji apletu Konta użytkowników. Przystawka ta nie jest dostępna w Windows XP Home Edition. W wersji Professional przystawkę tę, pokazaną na rysunku 3-12, można uruchomić w jeden z następujących sposobów: W folderze Zarządzanie komputerem otwórz Narzędzia systemowe, Użytkowni-
cy i grupy lokalne. W wierszu polecenia wpisz lusrmgr.msc.
Jeżeli komputer jest członkiem domeny, w oknie Konta użytkowników kliknij kar-
tę Zaawansowane, a następnie przycisk Zaawansowane. W tabeli 3-2 zebrano procedury umożliwiające wykonanie różnych zadań w przy- stawce Użytkownicy i grupy lokalne. Rozdział 3: Kontrolowanie dostępu do komputera 103 Czerwony x oznacza, że konto to zostało wyłączone Rysunek 3-12. Pomimo niezbyt wyszukanego interfejsu, przystawka Użytkownicy i grupy lokalne oferuje więcej możliwoSci niż Konta użytkowników. Tabela 3-2 Procedury przystawki Użytkownicy i grupy lokalne Zadanie Opis czynnoSci Konta użytkowników lokalnych Tworzenie Prawym przyciskiem myszy kliknij folder Użytkownicy i wybierz polecenie Nowy użytkownik. Usuwanie W folderze Użytkownicy prawym przyciskiem myszy kliknij nazwę konta i wybierz polecenie Usuń. Zmiana nazwy W folderze Użytkownicy prawym przyciskiem myszy kliknij nazwę konta użytkownika i wybierz polecenie Zmień nazwę. Zmiana pełnej nazwy W folderze Użytkownicy dwukrotnie kliknij nazwę konta i wybierz kartę lub opisu Ogólne w oknie dialogowym WłaSciwoSci. OkreSlanie W folderze Użytkownicy prawym przyciskiem myszy kliknij nazwę konta lub zmiana hasła i wybierz polecenie Ustawianie hasła. OkreSlanie ograniczeń W folderze Użytkownicy kliknij dwukrotnie nazwę konta i wybierz kartę hasła Ogólne w oknie dialogowym WłaSciwoSci. Włączanie lub wyłączanie W folderze Użytkownicy kliknij dwukrotnie nazwę konta i wybierz kartę Ogólne w oknie dialogowym WłaSciwoSci. WyczySć lub zaznacz pole wyboru Konto jest wyłączone. (Po wyłączeniu konta jego użytkownik nie może zalogować się i uzyskać dostępu do zasobów komputera). Odblokowywanie W folderze Użytkownicy kliknij dwukrotnie nazwę konta i wybierz kartę po zbyt wielu nieudanych Ogólne w oknie dialogowym WłaSciwoSci. WyczySć pole wyboru Konto jest próbach zalogowania się zablokowane. OkreSlanie przynależnoSci W folderze Użytkownicy kliknij dwukrotnie nazwę konta, a następnie wybierz do grupy kartę Członek grupy. Dokończenie tabeli na następnej stronie 104 CzęSć I: Konfiguracja, uruchamianie i usprawnianie systemu Dokończenie tabeli z poprzedniej strony Tabela 3-2 Procedury przystawki Użytkownicy i grupy lokalne Zadanie Opis czynnoSci OkreSlanie profilu W folderze Użytkownicy kliknij dwukrotnie nazwę konta, a następnie kliknij i skryptu logowania kartę Profil. Więcej informacji znajdziesz w podrozdziale Praca z profilami użytkownika na stronie 946. Grupy lokalne Tworzenie Prawym przyciskiem myszy kliknij folder Grupy i wybierz polecenie Nowa grupa. Usuwanie W folderze Grupy prawym przyciskiem myszy kliknij grupę i wybierz polecenie Usuń. Zmiana nazwy W folderze Grupy prawym przyciskiem myszy kliknij nazwę grupy i wybierz polecenie Zmień nazwę. OkreSlanie przynależnoSci W folderze Grupy kliknij dwukrotnie nazwę grupy, aby wySwietlić okno do grupy dialogowe WłaSciwoSci. Do grupy lokalnej możesz dodać konta lokalnych użytkowników, użytkowników domeny oraz grupy domeny. W oknie dialogowym Wybieranie: Użytkownicy, które zostanie wySwietlone, gdy klikniesz przycisk Dodaj, kliknij przycisk Lokalizacje i wybierz nazwę komputera (dla użytkowników lokalnych) lub nazwy domen (dla użytkowników i grup domeny). Używanie poleceń Net User i Net Localgroup JeSli nad graficzny interfejs przedkładasz wiersz polecenia, to prawdopodobnie do zarządzania lokalnymi użytkownikami i grupami wybierzesz narzędzie Net.exe. Aby zmienić jakiekolwiek informacje w kontach lokalnych użytkowników lub grup, musisz być zalogowany jako członek lokalnej grupy Administratorzy. (Możesz także użyć polecenia Uruchom jako do otwarcia okna Wiersz polecenia lub poprzedzać każde polecenie wpisywane w wierszu polecenia innym poleceniem: runas /user:administrator). Opiszemy tu tylko najczęSciej wykorzystywane polecenia narzędzia Net (oraz ich naj- ważniejsze parametry), służące do zarządzania lokalnymi użytkownikami i grupami. Należy pamiętać, że nie jest to wyczerpujący opis. Szczegółowe informacje można uzyskać wpisując net help polecenie, zastępując polecenie nazwą polecenia, które jest okreSlone po wyrażeniu Net. Na przykład aby otrzymać więcej informacji na temat polecenia Net Localgroup, wpisz net help localgroup. Uzyskasz w ten sposób znacz- nie więcej informacji niż po wpisaniu net localgroup /?, gdyż ta pomoc ogranicza się do wySwietlenia jedynie składni polecenia. Net User Polecenie Net User pozwala na przeglądanie, dodawanie, modyfikowanie oraz usu- wanie kont użytkowników. Przeglądanie informacji o koncie użytkownika JeSli wpiszesz polecenie net user bez żadnych parametrów, program wySwietli naz- wę komputera i listę lokalnych kont użytkowników. JeSli do polecenia Net User Rozdział 3: Kontrolowanie dostępu do komputera 105 dołączysz nazwę konta (przykładowo, net user jan), Net User wySwietli wszyst- kie informacje o tym koncie, jak pokazano poniżej. C:\>net user Konta użytkowników dla \\SEQUOIA ------------------------------------------------------------ Administrator Carl Gooa Pomocnik Jan SUPPORT_388945a0 Polecenie zostało wykonane pomySlnie. C:\>net user jan Nazwa użytkownika Jan Pełna nazwa Jan Komentarz Komentarz użytkownika Kod kraju 000 (DomySlne ustawienia systemu) Konto jest aktywne Tak Wygasanie konta Nigdy Hasło ostatnio ustawiano 7/4/2001 12:43 PM WażnoSć hasła wygasa Nigdy Hasło może być zmieniane 7/4/2001 12:43 PM Wymagane jest hasło Tak Użytkownik może zmieniać hasło Tak Dozwolone stacje robocze Wszystkie Skrypt logowania Profil użytkownika Katalog macierzysty Ostatnie logowanie 7/4/2001 11:54 AM Dozwolone godziny logowania Wszystkie Członkostwa grup lokalnych *Użytkownicy Członkostwa grup globalnych *Brak Polecenie zostało wykonane pomySlnie. Dodawanie lub modyfikowanie konta użytkownika Do polecenia Net User nazwa użytkownika możesz dodać dowolne parametry wi- doczne w tabeli 3-3. Na przykład możesz dodać nowe konto dla użytkownika o nazwie Jacek, utworzyć skomplikowane hasło i uniemożliwić temu użytkowni- kowi zmianę hasła. Polecenie będzie miało następującą składnię: C:\>net user Jacek /add /random /passwordchg:no Hasło dla Jacek to: nkHRE$oU Polecenie zostało wykonane pomySlnie. 106 CzęSć I: Konfiguracja, uruchamianie i usprawnianie systemu Tabela 3-3. Przydatne parametry polecenia Net User Parametr Opis password Tworzy hasło. Jeżeli wpiszesz gwiazdkę (*), Net User poprosi o podanie hasła; lub * wpisywane przez ciebie hasło nie będzie wySwietlane na ekranie. Parametr lub /Random /Random automatycznie generuje trudne do złamania 8-znakowe hasło. /Add Tworzy nowe konto użytkownika. Nazwa użytkownika musi składać się z maksymalnie 20 znaków i nie może zawierać żadnego z tych znaków: " / \ [ ] : ; | =, +*?<> /Fullname:"nazwa " OkreSla pełną nazwę użytkownika. /Comment:"tekst " Pozwala na umieszczenie komentarza (maksymalnie 48 znaków). /Passwordchg:yes OkreSla, czy użytkownik może zmienić hasło. lub /Passwordchg:no /Active:no Wyłącza lub włącza konto. (Gdy konto jest wyłączone, użytkownik nie może lub /Active:yes zalogować się do komputera ani uzyskać dostępu do jego zasobów). /Expires:data OkreSla datę wygaSnięcia konta. Wpisując datę, użyj krótkiego formatu daty lub /Expires:never okreSlonego w Ustawieniach regionalnych. Konto wygaSnie z początkiem okreSlonego dnia; od tego momentu użytkownik nie będzie mógł zalogować się do komputera i nie będzie miał dostępu do znajdujących się w nim zasobów, dopóki administrator nie okreSli nowej daty wygaSnięcia konta. /Passwordreq:yes OkreSla, czy konto użytkownika może mieć puste hasło. lub /Passwordreq:no /Times:dni,godziny OkreSla godziny, w których użytkownik może się zalogować. W miejsce dni lub /Times:all wpisz dni tygodnia, w które użytkownik może się logować. Jeżeli chcesz podać zakres dni, musisz oddzielić je mySlnikiem lub użyć przecinka, jeżeli chcesz podać listę dni. W każdym dniu możesz okreSlić godziny, w których dopuszczalne jest logowanie. Na przykład: M-F,8am-6pm; Sa,9am-1pm oznacza, że użytkownik może logować się od poniedziałku do piątku w godzinach 8-18, a w soboty w godzinach 9-13. Parametr All pozwoli na logowanie o dowolnej godzinie; brak wartoSci całkowicie uniemożliwi zalogowanie się. UWAGA Ostatnie trzy parametry w tabeli 3-3 (/Expires, /Passwordreq i /Times) pozwalają na modyfikację ustawień, których nie możesz zmienić (ani nawet zobaczyć) za pomocą przystawki Użytkownicy i grupy lokalne. Oprócz tego opcje te dostępne są tylko w Windows 2000 Server lub Windows .NET Server. Usuwanie konta użytkownika Aby usunąć konto użytkownika z lokalnej bazy danych, użyj przełącznika /Delete z poleceniem Net User: C:\>net user Jacek /delete Polecenie zostało wykonane pomySlnie. Net Localgroup Polecenie Net Localgroup pozwala na przeglądanie, dodawanie, modyfikowanie lub usuwane grup lokalnych. Przeglądanie informacji o grupie Wpisz net localgroup bez żadnych parametrów, aby wySwietlić nazwę kompute- ra oraz listę grup lokalnych. Jeżeli po Net Localgroup wpiszesz nazwę grupy (na Rozdział 3: Kontrolowanie dostępu do komputera 107 przykład net localgroup "użytkownicy zaawansowani" ), Net Localgroup wy- Swietli listę członków grupy. Dodawanie lub usuwanie grupy Do polecenia Net Localgroup nazwagrupy, dodaj /Add, aby utworzyć nową grupę, lub /Delete, aby usunąć bieżącą grupę. Dodając grupę lub przeglądając informacje o niej, możesz opcjonalnie dodać komentarz (o maksymalnej długoSci 48 znaków) poprzez dołączenie /Comment:"tekst". Dodawanie lub usuwanie członków grupy Do grupy lokalnej możesz dodać lokalne konta użytkowników, konta użytkowni- ków domeny oraz grupy globalne (nie możesz dodawać innych grup lokalnych). W tym celu wpisz nazwy użytkowników lub grup (oddzielając je spacjami) i dołącz przełącznik /Add. Na przykład aby dodać Jana i Jacka do grupy Użyt- kownicy zaawansowani, należy wpisać: C:\>net localgroup "power users" jan jacek /add Polecenie zostało wykonane pomySlnie. Aby usunąć jednego lub kilku członków grupy, użyj tej samej składni, ale zamiast /Add wpisz /Delete. Praca z kontami domeny Dodając przełącznik /Domain do polecenia Net User lub Net Localgroup, możesz przeglądać, dodawać, modyfikiwać lub usuwać konta użytkowników domeny oraz grupy globalne, oczywiScie o ile jesteS członkiem grupy Administratorów domeny. Nie musisz okreSlać nazwy domeny, polecenia Net User i Net Localgroup zawsze działają na podstawowym kontrolerze domeny, do której należy twój komputer. Tworzenie haseł DomySnie Windows XP nie jest w pełni zabezpieczony. Konta użytkowników two- rzone podczas instalacji (a także konta przeniesione podczas aktualizacji z Windows 95/98/Me) mają przywileje administracyjne i nie są chronione hasłami. Ponieważ ekran powitalny zawiera listę wszystkich kont użytkowników w systemie, każdy, kto ma fizyczny dostęp do komputera, może zalogować się do niego jako administrator, klikając dowolną nazwę. Wymóg podawania hasła przy logowaniu się z każdego konta (zwłaszcza administratorów) jest ważnym krokiem w stronę zapewnienia bez- pieczeństwa. Nowa funkcja! UWAGA Nie musisz się obawiać, że ktoS zdoła zdalnie zalogować się do twojego komputera (poprzez sieć, Internet lub Zdalny pulpit), korzystając z konta niezabezpieczonego hasłem. Nowe funkcje zabezpieczeń w Win- dows XP uniemożliwiają zdalne logowanie się z kont niezabezpieczonych hasłem. Jeżeli nie masz hasła w Windows XP, twoim jedynym zagrożeniem są osoby mające fizyczny dostęp do komputera. Ta funkcja zabezpieczeń jest wymuszana zasadą. Jeżeli masz Windows XP Professional, możesz upewnić się, czy jest ona włączona. W wierszu polecenia wpisz secpol.msc, aby otworzyć Ustawienia zabezpieczeń lokalnych. Otwórz folder Zasady lokalne\Opcje zabezpieczeń i upewnij się, że zasada Konta: ogranicz uży- wanie pustych haseł przez konta lokalne tylko do logowania do konsoli jest włączona. (JeSli masz Windows XP Home Edition, także nie masz powodów do obaw, w tej wersji zasady nie można wyłączyć). 108 CzęSć I: Konfiguracja, uruchamianie i usprawnianie systemu ROZWIĄZYWANIE PROBLEMÓW Windows wymaga hasła logowania, którego nie masz Zazwyczaj użytkownik, który nie ma przydzielonego hasła, może zalogować się do komputera, klikając swoją nazwę użytkownika na ekranie powitalnym. Jednak czasem kliknięcie nazwy użytkownika powo- duje wySwietlenie proSby o podanie hasła. Cokolwiek wpiszesz (a także jeSli pozostawisz to pole puste i naciSniesz klawisz [Enter], i tak nie zostanie zaakceptowane przez system. Dzieje się tak czasem przy włączonym dzienniku. Problem ten możesz rozwiązać, wyłączając dziennik (więcej informacji na ten temat znajdziesz w rozdziale Sprawdzaj, kto używa twojego komputera na stronie 986), ale znacznie lepszym rozwiązaniem jest przydzielenie hasła nawet krótkiego do każde- go konta. Tworzenie bezpiecznego hasła Hasło ma niewielką wartoSć, jeSli można je łatwo odgadnąć. Nie należy więc używać jako hasła swojego imienia lub innego, oczywistego słowa. Jednak nawet losowo wy- brane słowo nie zapewnia wystarczającego poziomu ochrony przed zdeterminowa- nym hakerem, który może korzystać z narzędzi zawierających słowniki i próbujących kolejno wpisać jako hasło wszystkie znane słowa. Poniższe wskazówki pomogą ci utworzyć hasło trudniejsze do złamania: Hasło powinno składać się przynajmniej z 7 znaków.
Hasło powinno być mieszaniną wielkich i małych liter, cyfr i symboli (na przykład
JednoSłowo7). Zamiast słów używaj losowych sekwencji znaków lub wstaw w słowa cyfry i sym-
bole (na przykład, oJe6DnoSł7OlwO). PomySl o użyciu pierwszych liter zwrotu, który łatwo zapamiętasz. Na przykład
hasło CChdzR zapamiętasz jako Co chcesz dziS robić? . ROZWIĄZYWANIE PROBLEMÓW Nie możesz się zalogować. Nawet jeSli jesteS pewien, że pamiętasz hasło, to możesz mieć problemy z zalogowaniem się. Po pierwsze musisz pamiętać, że w hasłach rozróżniane są duże i małe litery: musisz wpisać hasło dokładnie tak, jak zrobiłeS to podczas tworzenia go. JeSli w dalszym ciągu nie możesz się zalogować, upewnij się, czy Caps Lock nie jest włączony. OkreSlanie hasła Najprostszym sposobem okreSlenia hasła dla swojego konta lub konta innego użyt- kownika (jeSli jesteS zalogowany jako administrator) jest skorzystanie z apletu Konta użytkowników w Panelu sterowania. Kliknij nazwę użytkownika, dla którego chcesz utworzyć hasło, i kliknij łącze Utwórz hasło. Pojawi się okno dialogowe pokazane na rysunku 3-13. Hasła można utworzyć także za pomocą innych narzędzi, ale aplet Konta użytkowni- ków jest jedynym, który pozwala na utworzenie wskazówki dotyczącej hasła. Wska- zówka ta zostanie wySwietlona, gdy klikniesz znak zapytania widoczny po kliknięciu nazwy użytkownika na ekranie powitalnym. Pamiętaj tylko, że wskazówka ma być jedynie podpowiedzią i nie może zawierać samego hasła każdy może ją przeczytać. Rozdział 3: Kontrolowanie dostępu do komputera 109 Rysunek 3-13. Okno Konta użytkowników pozwala wpisać zdanie, które pomoże ci przypomnieć sobie hasło. OSTRZEŻENIE Używając opisywanych w tym rozdziale narzędzi zarządzania kontem, możesz utworzyć wstępne hasło dla innego użytkownika. Ale nie usuwaj i nie zmieniaj hasła innego użytkownika, o ile nie zapomniał on hasła i nie ma już innego sposobu na uzyskanie dostępu do swojego konta. (Więcej informacji na ten temat znaj- dziesz w podrozdziale Przywracanie zapomnianego hasła na stronie 112). JeSli usuniesz lub zmienisz hasło innego użytkownika, straci on wszystkie osobiste certyfikaty i zapisane hasła do witryn sieci Web i zasobów sieciowych. Bez certyfikatów użytkownik traci dostęp do wszystkich zaszyfrowanych przez sie- bie plików (informacje na temat szyfrowania znajdują się w rozdziale 14 Szyfrowanie informacji ) oraz wszystkie wiadomoSci pocztowe zaszyfrowane kluczem prywatnym. Windows usuwa te certyfikaty i hasła w celu uniemożliwienia administratorowi dokonującemu zmiany hasła uzyskania dostępu do tych plików to zabezpieczenie ma jednak swoją cenę! ROZWIĄZYWANIE PROBLEMÓW Nie możesz uzyskać dostępu do zaszyfrowanych plików, ponieważ administrator zmienił twoje hasło. Gdy administrator usunie lub zmieni hasło do lokalnego konta użytkownika, traci on dostęp do swoich za- szyfrowanych plików i wiadomoSci pocztowych. Jest to spowodowane tym, że klucz główny służący do odblokowania osobistego certyfikatu szyfrowania (który z kolei jest niezbędny do otworzenia zaszyfrowa- nych plików), jest zaszyfrowany przy użyciu hasła logowania. Gdy hasło to zostanie zmienione, klucz staje się niedostępny. Aby odzyskać dostęp do klucza głównego (oraz za jego pomocą do zaszyfrowanych pli- ków i wiadomoSci poczty elektronicznej), z powrotem zmień hasło na stare. Hasło możesz także zmienić, korzystając z Dysku resetowania hasła. W przypadku zmiany własnego hasła (poprzez aplet Konta użytkowników lub Dysk resetowania hasła), Windows używa twojego starego hasła w celu zdeszyfrowania klucza głównego, a następnie szyfruje go ponownie przy użyciu nowego hasła. Dzięki temu wszystkie zaszyfrowane pliki i wiadomoSci pocztowe po- zostają dostępne. 110 CzęSć I: Konfiguracja, uruchamianie i usprawnianie systemu Zwiększanie bezpieczeństwa haseł Nawet jeSli uda ci się przekonać wszystkich użytkowników twojego komputera do korzystania z haseł, to możesz być niemal pewny, że nie wszyscy wybiorą wystar- czająco bezpieczne hasła i nie wszyscy też będą regularnie je zmieniali. JeSli w twojej firmie zagadnienie bezpieczeństwa jest bardzo istotne, to możesz wymusić na użyt- kownikach takie zachowanie, które utrudni zadanie hakerom: Możesz skorzystać z polecenia Net User w celu wygenerowania losowego i trud-
nego do złamania hasła. W oknie Wiersz polecenia wpisz net user nazwa użyt- kownika/random. JeSli pracujesz w Windows XP Professional, możesz okreSlić zasady haseł, które
wymuszają na użytkownikach tworzenie odpowiednich haseł oraz częstotliwoSć i sposób ich zmiany. Najprostszym sposobem okreSlenia zasad bezpieczeństwa hasła jest użycie konsoli Ustawienia zabezpieczeń lokalnych (patrz rysunek 3-14). Aby otworzyć tę konsolę, w Panelu sterowania otwórz folder Narzędzia administracyjne i dwukrotnie kliknij skrót Zasady zabezpieczeń lokalnych. (Jeżeli korzystasz z widoku kategorii, to Narzę- dzia administracyjne znajdziesz w grupie WydajnoSć i konserwacja). Możesz także wpisać secpol.msc w wierszu polecenia. Rysunek 3-14 Przystawka Ustawienia zabezpieczeń lokalnych umożliwia okreSlenie wymagań wobec haseł dla wszystkich kont lokalnych. Aby obejrzeć zasady związane z zachowaniem haseł dla wszystkich kont, rozwiń drzewo folderu Zasady konta\Zasady haseł. Tabela 3-4 zawiera listę z opisem po- szczególnych zasad. Niektóre z tych zasad możesz także okreSlić za pomocą polecenia Net Accounts. W tabeli 3-4 obok nazwy zasady znajduje się dostępny przełącznik. Na przykład aby okreSlić maksymalną ważnoSć hasła na 21 dni, należy wpisać w wierszu polecenia net accounts /maxpwage:21. Rozdział 3: Kontrolowanie dostępu do komputera 111 Table 3-4. Zasady konta Zasada Przełącznik polecenia Opis Net Accounts Hasło musi spełniać niedostępne Włączenie tej zasady wymusi tworzenie nowych wymagania co do haseł o długoSci przynajmniej 6 znaków, złożonoSci będących kombinacją dużych i małych znaków z cyframi i znakami specjalnymi (przynajmniej po jednym znaku z każdej z tych klas znaków) oraz niezawierających nazwy użytkownika czy częSci pełnej nazwy. Uwaga: zmiana tej zasady nie ma wpływu na bieżące hasła. Maksymalny okres /Maxpwage:dni Podanie wartoSci większej niż 0 (wartoSć ważnoSci hasła maksymalna to 999) okreSla długoSć okresu ważnoSci hasła. (Aby zmienić to ustawienie dla niektórych kont, otwórz okno dialogowe WłaSciwoSci dla wybranego konta w przystawce Użytkownicy i grupy lokalne i zaznacz pole wyboru Hasło nigdy nie wygasa). WartoSć 0 powoduje, że hasło nie wygasa nigdy. (Używając polecenia Net Accounts, musisz zastosować przełącznik /Maxpwage: unlimited jeżeli chcesz, aby hasło nigdy nie wygasało 0 jest wartoScią niedozwoloną). Minimalna długoSć hasła /Minpwlen:długoSć OkreSlenie wartoSci większej niż 0 (maksymalna wartoSć to 14) wymusza na użytkownikach tworzenie haseł dłuższych niż podana wartoSć. WartoSć 0 pozwala użytkownikom na całkowitą rezygnację z hasła. Uwaga: zmiana tej zasady nie ma wpływu na bieżące hasła. Minimalny okres ważnoSci /Minpwage:dni Podanie wartoSci większej niż 0 (wartoSć hasła maksymalna to 999) pozwala okreSlić minimalną liczbę dni, jaka musi upłynąć, zanim użytkownik będzie mógł zmienić hasło. WartoSć 0 daje możliwoSć zmiany hasła dowolnie często. Wymuszaj tworzenie historii /Uniquepw:liczba OkreSlenie liczby większej niż 0 (maksymalna haseł wartoSć to 24) powoduje, że Windows pamięta taką liczbę ostatnich haseł i zmusza użytkownika do wybrania innego hasła niż którekolwiek z zapamiętanych. Zapisz hasła dla wszystkich niedostępne Włączenie tej zasady powoduje przechowywanie użytkowników w domenie, haseł w postaci zwykłego tekstu, a nie w formie korzystając z szyfrowania zaszyfrowanej, co znacznie obniża poziom odwracalnego bezpieczeństwa systemu. Zasadę tę możesz więc włączyć jedynie wtedy, gdy jakiS program wymaga bezpoSredniego dostępu do hasła użytkownika w celu weryfikacji. UWAGA Jeżeli okreSlisz maksymalny okres ważnoSci hasła, na 14 dni przed jego wygaSnięciem Windows zacznie przypominać użytkownikowi o koniecznoSci zmiany hasła. Okres przypominania możesz zmienić, otwie- rając w przystawce Ustawienia zabezpieczeń lokalnych folder Zasady lokalne\Opcje zabezpieczeń. Dwu- krotnie kliknij zasadę Logowanie interakcyjne: monituj użytkownika o zmianę hasła przed jego wygaSnięciem i zmień liczbę dni. 112 CzęSć I: Konfiguracja, uruchamianie i usprawnianie systemu Nowa funkcja! Przywracanie zapomnianego hasła To musiało się w końcu wydarzyć: zapomniałeS hasła. Windows XP oferuje dwa na- rzędzia, które powinny pomóc ci rozwiązać ten problem: Wskazówka dotycząca hasła. Wskazówkę tę możesz przeczytać, klikając ikonę
znaku zapytania, która pojawia się po kliknięciu nazwy użytkownika na ekranie powitalnym. (Wskazówka nie jest dostępna, jeSli nie używasz ekranu powitalne- go). Więcej informacji znajdziesz w rozdziale Tworzenie haseł na stronie 107. Dysk resetowania hasła. Dysk resetowania hasła pozwoli ci (oraz każdemu, kto
dysponuje twoim dyskiem resetowania hasła) na zmianę hasła bez znajomoSci po- przedniego hasła. Każdy użytkownik powinien utworzyć taki dysk i przechowy- wać go w bezpiecznym miejscu. UWAGA Dysk resetowania hasła możesz utworzyć tylko dla swojego lokalnego konta użytkownika. JeSli twój kom- puter jest częScią domeny, nie możesz w ten sposób zabezpieczyć się przed utratą hasła do domeny. Jed- nak administrator domeny może bezpiecznie zmienić twoje hasło, nie pozbawiając cię przy tym dostępu do zaszyfrowanych plików. Oba narzędzia wymagają od ciebie umiejętnoSci przewidywania. Musisz bowiem za- pisać wskazówkę już podczas tworzenia hasła oraz utworzyć dysk resetowania hasła, jeszcze zanim zajdzie koniecznoSć jego użycia. Aby utworzyć dysk resetowania hasła, musisz pamiętać swoje bieżące hasło i dyspo- nować pustą dyskietką. Wykonaj poniższe czynnoSci: 1. Zaloguj się do komputera używając konta, dla którego chcesz utworzyć dysk rese- towania hasła. 2. W panelu sterowania otwórz Konta użytkowników. 3. Wybierz swoją nazwę użytkownika. 4. Kliknij łącze Zapobiegaj zapominaniu hasła (w sekcji Zadania pokrewne), aby uruchomić Kreatora przypominania hasła. Rozdział 3: Kontrolowanie dostępu do komputera 113 5. Wykonaj instrukcje kreatora. Do każdego konta możesz mieć tylko jeden dysk resetowania hasła. Jeżeli utworzysz nowy dysk, stary stanie się bezużyteczny. UWAGA Nawet jeSli twój komputer jest członkiem domeny, możesz utworzyć dysk resetowania hasła dla lokalnego konta w twoim komputerze. W tym celu zaloguj się jako użytkownik lokalny. NaciSnij [Ctrl+Alt+Del] i kliknij przycisk Zmień hasło, a następnie Kopia zapasowa, aby uruchomić Kreatora przypominania hasła. Jeżeli podczas logowania nie podasz właSciwego hasła, masz dwie możliwoSci: Jeżeli utworzyłeS dysk resetowania hasła, Windows wySwietli wiadomoSć, która
będzie zawierała łącze Użyj dysku resetowania hasła (jeżeli włączony jest ekran powitalny) lub przycisk Zresetuj (jeżeli nie używasz ekranu powitalnego). Kliknij łącze lub przycisk, aby uruchomić Kreatora przypominania hasła. Oczy- wiScie potrzebny ci będzie dysk resetowania hasła. Kreator poprosi o utworzenie nowego hasła i wskazówki. Zaloguj się przy użyciu nowego hasła i umieSć dysk resetowania hasła w bezpiecznym miejscu. Nie musisz tworzyć go ponownie. JeSli nie utworzyłeS dysku resetowania hasła, Windows wySwietli proSbę o wpisa-
nie poprawnego hasła. W tej sytuacji, jeżeli nie możesz sobie przypomnieć hasła, nawet korzystając ze wska- zówki, musisz poprosić o pomoc administratora. Administrator może zalogować się do komputera i zmienić twoje hasło, ale w takiej sytuacji musisz liczyć się z tym, że utracisz dostęp do wszystkich swoich zaszyfrowanych plików i wiadomoSci e-mail. Konfigurowanie Windows XP w komputerze udostępnionym Bez względu na to, czy konfigurujesz komputer domowy czy też w firmie, warto po- mySleć o odpowiednim zabezpieczeniu go. Dzięki temu będziesz mógł mieć pew- noSć, że dane użytkowników nie zostaną usunięte lub zmienione czy to przez przy- padek, czy też specjalnie. Konfigurując komputer, powinieneS rozważyć następujące sugestie: Ogranicz możliwoSci logowania się. Utwórz konta wyłącznie dla użytkowników,
którzy logują się lokalnie (nie przez sieć). Usuń lub wyłącz inne konta (oprócz wbudowanych kont systemu Windows). Zmień wszystkie konta użytkowników z wyjątkiem jednego na konta o ograni-
czonych uprawnieniach. Będziesz potrzebował jednego konta administratora do instalowania programów, tworzenia i zarządzania kontami itp. Wszystkie inne konta, włączając w to konto, z którego korzystasz na co dzień, mogą być kontami o ograniczonych uprawnieniach. 114 CzęSć I: Konfiguracja, uruchamianie i usprawnianie systemu Nowa funkcja! Konfigurowanie usługi .NET Passport Twoje konto użytkownika może być połączone z usługą .NET Passport, która umo- żliwia szybki (wymagający jednego kliknięcia) dostęp do wielu witryn sieci Web oraz zapewnia bezpieczny sposób dokonywania płatnoSci w Internecie. Dzięki usłudze Passport po jednokrotnym podaniu nazwy użytkownika i hasła, otrzymu- jesz dostęp do konta Hotmail, Windows Messengera oraz wielu witryn sieci Web. Twój profil Passport (zwany paszportem) może zawierać (oczywiScie jeSli chcesz) numer twojej karty kredytowej, dzięki czemu możesz bez trudu dokonywać płat- noSci w trybie online. Jest to znaczny postęp w stosunku do pierwszych systemów płatnoSci, w których potrzebowałeS innej nazwy użytkownika i hasła do każdej wi- tryny. JeSli na przykład zmienił się numer twojej karty kredytowej, to musiałeS osobno wpisywać nowy numer na każdej witrynie. Paszport będzie także niezbędny, jeSli zamierzasz używać programu Windows Messenger do komunikacji z innymi użytkownikami Internetu lub też korzystać z wbudowanych w system Windows XP możliwoSci publikowania witryn sieci Web czy też zamawiania odbitek fotograficznych przez Internet. Microsoft i inne firmy korzystające z technologii .NET Passport mają zamiar zaoferować w przyszłoSci także inne usługi. Aby utworzyć paszport (jeSli jeszcze go nie masz) i połączyć go ze swoim kontem użytkownika, tak aby automatycznie logować się do usługi Passport przy logowa- niu do komputera, wykonaj następujące czynnoSci: 1. Otwórz okno Konta użytkowników w panelu sterowania. 2. Kliknij swoją nazwę użytkownika. 3. Kliknij łącze Zmień mój profil usługi .NET Passport, aby uruchomić Kreatora usługi Passport w sieci .NET. 4. Wykonaj instrukcje kreatora. Możesz połączyć swój paszport z jednym z twoich kont poczty elektronicznej lub też otrzymać nowe, bezpłatne konto e-mail. Rozdział 3: Kontrolowanie dostępu do komputera 115 UWAGA Niektóre programy, zwłaszcza ta napisane dla wczeSniejszych wersji Windows, nie działają prawidłowo z kontami o ograniczonych uprawnieniach. Spróbuj rozwiązać ten problem, dodając użytkowników tego programu do grupy Użytkownicy zaawansowani. (Jeżeli twój komputer nie jest członkiem domeny, bę- dziesz musiał skorzystać z przystawki Użytkownicy i grupy lokalne lub z polecenia Net Localgroup, aby do- dać użytkowników do tej grupy. Więcej informacji na ten temat znajdziesz w podrozdziale Zaawansowane opcje konfiguracyjne kont na stronie 100). Jeżeli programy nadal nie będą działały, musisz nadać wybra- nym użytkownikom uprawnienia administratorów. Upewnij się, że wszystkie konta są chronione hasłami. Jest to szczególnie istotne
w przypadku kont administratorów oraz dla wszystkich kont, których profile za- wierają ważne lub poufne dokumenty. Nie musisz zakładać hasła na konto swoje- go dziecka, ale pozostałe konta powinny być chronione choćby po to, aby unie- możliwić dziecku dostanie się do czyjegoS konta przez omyłkowe kliknięcie niewłaSciwej nazwy użytkownika na ekranie powitalnym. Ogranicz godziny dostępu. Możesz także ograniczyć niektórym użytkownikom
godziny dostępu do komputera. Możesz to zrobić poleceniem Net User nazwa użytkownika/godziny. (Więcej informacji na ten temat znajdziesz w podrozdziale Używanie poleceń Net User i Net Localgroup na stronie 104). JeSli używasz Windows XP Professional, to możesz nawet wylogować użytkowników, jeSli są zalogowani po przeznaczonym dla nich czasie. W tym celu w wierszu polecenia wpisz secpol.msc, aby otworzyć Ustawienia zabezpieczeń lokalnych. Otwórz fol- der Zasady lokalne\Opcje zabezpieczeń i włącz zasadę Zabezpieczenia sieciowe: WymuS wylogowanie użytkowników po upłynięciu czasu logowania. Ogranicz dostęp do niektórych plików. Niektóre pliki powinny być dostępne dla
wszystkich użytkowników, ale do innych dostęp powinien mieć tylko ten użyt- kownik, który je utworzył. We wszystkich wersjach Windows XP możesz włączyć takie zabezpieczenia. A jeSli masz Windows XP Professional, to możesz dokładnie skonfigurować zabezpieczenia dla różnych plików, folderów i i użytkowników. Szczegółów szukaj w rozdziale 13 Zabezpieczanie plików i folderów . Ogranicz iloSć miejsca na dysku dostępną dla każdego użytkownika. W Win-
dows XP Professional dla każdego użytkownika możesz okreSlić limit miejsca na dysku, zapobiegając na przykład zapełnieniu go przez twoje dziecko muzyką po- braną z Internetu lub też uniemożliwiając współpracownikowi wykorzystanie dysku jako miejsca do przechowywania zdjęć. Szczegółowe informacje na ten te- mat znajdziesz w podrozdziale OkreSlanie przydziałów przestrzeni dyskowej na stronie 764. Korzystaj z konta GoSć tylko wtedy, gdy jest to niezbędne. Czasem zdarzają się
sytuacje, w których musisz pozwolić komuS obcemu na skorzystanie z twojego komputera. Zamiast logować go do własnego konta i narażać na niebezpieczeńst- wo prywatne pliki i ustawienia, powinieneS w takich sytuacjach włączać konto GoSć. W tym celu musisz zalogować się jako administrator. W panelu sterowania otwórz Konta użytkowników, wybierz konto GoSć i kliknij przycisk Włącz konto goScia. Aby je wyłączyć, ponownie otwórz to okno i kliknij łącze Wyłącz konto goScia. 116 CzęSć I: Konfiguracja, uruchamianie i usprawnianie systemu Tworzenie bezpiecznego konta goScia Konto GoSć daje domySlnie dostęp do programów zainstalowanych w kompute- rze, plików znajdujących się w folderze Dokumenty udostępnione oraz do plików w profilu GoSć. Do korzystania z tego konta nie jest wymagane żadne hasło, musisz więc mieć pewnoSć, że goSć nie umieSci w swoim profilu żadnych poufnych da- nych, które przypadkowy użytkownik mógłby zobaczyć lub zmienić. DomySlne ustawienia nakładają na konto GoSć wiele ograniczeń, ale powinieneS rozważyć także dodatkowe opcje zabezpieczające: Uniemożliwienie logowania do sieci z konta GoSć. Możesz w ten sposób unie-
możliwić osobom korzystającym z konta GoSć próbę zalogowania się do twoje- go komputera poprzez sieć. W przystawce Ustawienia zabezpieczeń lokalnych (Secpol.msc), otwórz Zasady lokalne\Przypisywanie praw użytkownika. Upewnij się, że konto GoSć jest objęte zasadą Odmowa dostępu do tego kompu- tera z sieci. Nie dodawaj konta GoSć do tej zasady, jeżeli używasz prostego udostępniania plików i udostępniasz foldery lub drukarki. Proste udostępnianie plików wy- maga umożliwienia kontu GoSć dostępu poprzez sieć. Uniemożliwienie użytkownikowi konta GoSć zamknięcie systemu. W przy-
stawce Ustawienia zabezpieczeń lokalnych otwórz Zasady lokalne\Przypisy- wanie praw użytkownika. Upewnij się, że konto GoSć nie jest objęte zasadą Za- mykanie systemu. (Pamiętaj, że nawet po włączeniu tej zasady każdy włącznie z użytkownikami konta GoSć może zamknąć komputer, korzystając z ekranu powitalnego. Możesz jednak uniemożliwić zamknięcie komputera przez osoby niezalogowane. W tym celu otwórz Zasady lokalne\Opcje zabez- pieczeń i wyłącz zasadę: Zamknięcie: zezwalaj na zamykanie systemu bez ko- niecznoSci zalogowania). Uniemożliwienie przeglądania przez goScia dzienników zdarzeń. W Edyto-
rze rejestru otwórz HKLM\System\CurrentControlSet\Services\Eventlog. Przejrzyj wszystkie trzy klucze Application, Security i System i upewnij się, że w każdym z nich znajduje się wartoSć DWORD o nazwie RestrictGuestAc- cess równa 1.