Wykorzystanie systemu
ochrony Windows NT do
zabezpieczania zasobów
domen
h
Wykorzystanie narzędzi przeznaczonych
do zarządzania Windows NT
Jak korzystać z
narzędzi do
administrowania systemem, takich jak:
User Manager for Domains, Server
Manager oraz Event Viewer.
h
Zapewnianie dostępu do zasobów
plikowych
System pozwoleń dostępu NTFS. Wybrane
zasady udostępniania zbiorów z zachowa-
niem wymagań bezpieczeństwa.
Wiele rozdziałów podręcznika omawia, czym są
domeny Windows NT, jak je konfigurować oraz
jak konstruować struktury domen, wykorzystu-
jąc relacje upoważnienia. Zadaniem niniejszego
rozdziału jest omówienie zasad korzystania
z różnorodnych narzędzi Windows NT oraz
profili i ograniczeń użytkownika, celem zapew-
nienia odpowiedniego poziomu bezpieczeństwa
zasobów domeny.
h
Nadzór nad zasobami drukarek
Jak ograniczyć dostęp do drukarek wy-
łącznie dla uprawnionych użytkowników.
h
Ochrona rejestrów Windows NT 4.0
Rejestry są sercem i duszą systemu. Jak
zapewnić rejestrom odpowiedni poziom
bezpieczeństwa.
h
Inne metody nadzorowania dostępu
użytkowników do zasobów.
Dodatkowe techniki nadzorowania dostępu
do domen: ograniczenia rejestracji, przy-
działy dysku i profile użytkownika. Pro-
blemy związane ze stosowaniem profili
użytkownika.
Część II Implementacja systemu ochrony Microsoft Windows NT
218
Korzystanie z programów wspomagających zarządzanie
Windows NT
System operacyjny Windows NT wyposażony jest w kilka programów
narzędziowych do wspomagania prac administracyjnych.
User Manager for Domains jest przeznaczony do w tworzeniu kont oraz
służy pomocą przy konfigurowaniu kiedy, gdzie i jak użytkownicy
mogą się rejestrować w
domenie. Możemy ustalać środowisko
robocze (desktop) użytkownika, tak aby bez względu na miejsce
rejestracji w sieci mógł pracować dokładnie z tym samym interfejsem.
W instytucjach o szczególnie surowych wymaganiach, można nawet
skonfigurować środowisko użytkownika, którego nie można zmienić
bez ingerencji osób upoważnionych.
Server manager pozwala zarządzać serwerami domeny. Służy do
synchronizacji kontrolerów domeny, podnoszenia kontrolera
zapasowego do roli kontrolera głównego, konfigurowania zasobów
współdzielonych i
uprawnień dostępu, identyfikowania
użytkowników pracujących w
domenie oraz zasobów, z
jakich
korzystają, ustawiania opcji replikowania katalogów oraz
konfigurowania miejsca przesyłania alarmów systemowych.
Event Viewer służy do prezentowania zapisów dokonanych przez
systemy rejestrujące. Układ nadzoru Windows NT umożliwia
zapisywanie w dziennikach wszystkich zdarzeń związanych z pracą
systemu, działaniem aplikacji oraz mających wpływ na
bezpieczeństwo. Przeglądarka zdarzeń jest narzędziem do
odczytywania informacji zapisanych w dziennikach maszyny lokalnej
i innych komputerów sieci.
User Manager for Domains Windows NT
User Manager for Domains jest głównym narzędziem do zabezpieczania
kont. To za pomocą tego programu tworzy się nowe konta (por. roz-
dział 4), modyfikuje się parametry kont istniejących, steruje czasem do-
stępności sieci dla użytkownika oraz decyduje, z których stacji roboczych
może się zarejestrować, wyznacza się prywatne katalogi oraz obowiąz-
kowe profile użytkownika. Oprócz tego program umożliwia konfiguro-
wanie strategii nadzoru. System monitorowania jest jednym z najsilniej-
szych mechanizmów programu i powinien być wykorzystany w sposób
wykorzystujący wszystkie jego zalety. Aby umieć identyfikować proble-
my związane z
ochroną domeny, musimy nauczyć się korzystać
Wykorzystanie systemu ochrony Windows NT do zabezpieczania zasobów domen
219
z systemu nadzoru oraz przeglądarki zdarzeń. Rysunek 8.1 ilustruje
główne okno programu User Manager for Domains.
Korzystanie z programu Server Manager
Server Manager jest narzędziem do obsługi wszystkich czynności
związanych z
zarządzaniem domeną na poziomie serwera. Służy
w szczególności do administrowania parametrami komputera, zasobami
współdzielonymi oraz programami usługowymi zainstalowanymi na
serwerze. Za pomocą menedżera ustalamy, który serwer jest zapasowym,
a który głównym kontrolerem domeny. Umożliwia synchronizację bazy
danych kont na wszystkich kontrolerach w domenie.
Rysunek 8.1
Program User Manager for
Domains jest orężem
należącym do najsilniejszych
środków w arsenale systemu
ochrony. Należy wykorzystać
wszystkie zalety tej broni.
Najważniejszą cechą menedżera serwerów jest zdolność do
synchronizowania wszystkich kontrolerów domeny. Aby odpowiedzieć,
dlaczego możemy chcieć synchronizować kontrolery, należy sobie
przypomnieć architekturę domeny. Filar domeny stanowi PDC (główny
kontroler domeny), na którym jest przechowywany oryginał
scentralizowanej bazy kont. Baza jest systematycznie kopiowana na
pozostałe, zapasowe kontrolery domeny (BDC). Wszystkie zmiany są
zapisywane na kontrolerze głównym, a zapasowe są aktualizowane
poprzez kopiowanie baz. Aby ograniczyć obciążenie PDC, kontrolery
zapasowe mogą weryfikować uprawnienia użytkowników.
Przypuśćmy teraz, że nasza firma zwolniła siedemdziesięciu pracowni-
ków. Chcąc mieć całkowitą pewność, że żaden z nich nie wyładuje swojej
wściekłości na sieci, należy usunąć lub wyłączyć ich konta. Microsoft
poleca wyłączanie, ponieważ konto raz usunięte, nie może być odtwo-
rzone. Z punktu widzenia osoby odpowiedzialnej za ochronę systemu,
niewykorzystane konta mogą być powodem licznych problemów. Naj-
Część II Implementacja systemu ochrony Microsoft Windows NT
220
lepszym rozwiązaniem jest wyłączenie konta, zabezpieczenie wszystkich
informacji, pozwoleń oraz pozostałych danych związanych z kontem,
a następnie usunięcie go z systemu. Wszystkie te zmiany są zapisywane
na głównym kontrolerze domeny. Zanim bazy danych na kontrolerach
zapasowych zostaną uaktualnione, jeden ze zwolnionych użytkowników
może przejść weryfikację na DC. Aby mieć pewność, że wszystkie zmia-
ny w bazie danych kont użytkowników są natychmiast zaktualizowane
na wszystkich serwerach, należy zsynchronizować kontrolery.
Przećwiczmy to w praktyce i otwórzmy program Manager Server (por.
rysunek 8.2).
Rysunek 8.2
Zauważmy, że pozycja
opisująca kontroler
zapasowy Beppo, jest
wyświetlona w szarym
kolorze. Oznacza to, że
aktualnie nie możemy
zarządzać tym serwerem.
Teraz należy zaznaczyć PDC i w menu Computer wybrać pozycję
Synchronize
Entire Domain (synchronizacja zawartości domeny) (por.
rysunek 8.3).
Rysunek 8.3
System nie wyświetli
komunikatu o zakończeniu
synchronizacji. Aby się
upewnić, że proces jest
zakończony, należy
skorzystać z dziennika
zdarzeń.
Wykorzystanie systemu ochrony Windows NT do zabezpieczania zasobów domen
221
System poinformuje, że synchronizacja może zająć kilka minut i zażąda
potwierdzenia wyboru. Po potwierdzeniu przyciskiem Yes, zostaniemy
poinformowani, że system przystąpił do synchronizacji serwerów
zapasowych. Sprawdzenie, że synchronizacja przebiegła bez zakłóceń,
wymaga skorzystania z
przeglądarki zdarzeń, celem weryfikacji
odpowiednich pozycji dzienników PDC oraz kontrolerów zapasowych.
Czas synchronizacji zależy od wielkości bazy danych domeny oraz od
liczby kontrolerów.
Zobaczmy teraz, jakimi elementami możemy sterować przy pomocy
menedżera serwerów:
1. Otworzyć główne okno aplikacji menedżera serwerów (tytuł okna
powinien wyświetlać nazwę domeny) i dwukrotnie kliknąć na nazwie
serwera, na którym chcemy podjąć prace administracyjne.
2. Wcisnąć przycisk Users na dole okna dialogowego (por. rysunek 8.4).
W oknie User Session on ...., możemy zobaczyć, jacy użytkownicy
korzystają z systemu, jak długo są zarejestrowani oraz jak długo
pozostają nieaktywni. W
dolnym okienku widać zasoby
wykorzystywane przez użytkowników. Zaznaczenie pozycji
użytkownika i wybranie przycisku Disconect spowoduje przerwanie
sesji, wciśnięcie przycisku Disconect All spowoduje rozłączenie
wszystkich użytkowników.
Rysunek 8.4
Ekran przedstawia
„fotografię” działań systemu
obejmującą: Sesje, otwarte
pliki, zamknięcia plików
i otwarcie połączeń
kanałowych (Named Pipes).
Rysunek 8.5
Zapamiętajmy, że przerwanie
sesji nie zapobiega ponownej
rejestracji użytkownika,
zanim zdążymy wyłączyć
jego konto lub zmienić
pozwolenia dostępu. Aby
zapobiec powtórnej
rejestracji, można przerwać
lub zatrzymać usługę
serwera.
Część II Implementacja systemu ochrony Microsoft Windows NT
222
3. Zamknąć okno przyciskiem Close. W oknie Properties for ... wcisnąć
przycisk Shares. Za pomocą tego narzędzia można przerwać dostęp
użytkownika do wybranych zasobów (por. rysunek 8.6).
Rysunek 8.6
Z tego okna można przerwać
dostęp użytkownika do
wybranych zasobów bez
rozłączania sesji z serwerem.
4. Przerwanie dostępu do zasobów jest podobne do przerwania sesji na
serwerze (por. punkt 2). Zacząć należy od zaznaczenia zasobu, do
którego połączenie chcemy zerwać. Następnie zaznaczyć wybranego
użytkownika i wcisnąć przycisk Disconect. Kliknięcie na przycisku
Disconect All
spowoduje przerwanie dostępu do zasobów dla
wszystkich użytkowników.
5. Aby zobaczyć jak działają alarmy systemowe, należy wybrać opcję
Alerts
okna Properties for ..., otwierając okno dialogowe Alerts (por.
rysunek 8.7). Wprowadzając do pola edycji nazwy odpowiednich
komputerów, można tworzyć listę maszyn, które będą odbierały
alarmy administracyjne.
Rysunek 8.7
Można skonfigurować
wszystkie serwery domeny
do przesyłania alarmów
administracyjnych na jedną
konsolę (lub kilka
wybranych). Stosując takie
rozwiązanie, możemy śledzić
problemy występujące na
serwerach, bez konieczności
indywidualnej kontroli
każdego z nich.
6. Zamknąć okno Alerts wciskając przycisk Close oraz okno Properties
przyciskiem OK.
7. Celem przejrzenia zdolności menedżera serwerów do zarządzania
zasobami wspólnymi, należy wybrać opcję Computer\Shared Directores.
Wykorzystanie systemu ochrony Windows NT do zabezpieczania zasobów domen
223
Okno dialogowe Shared Directores jest przedstawione na rysunku 8.8.
Przy jego pomocy można wydzielać zasoby do wspólnego użytkowa-
nia, przerywać współdzielenie już zdefiniowanych oraz zmieniać wła-
sności zasobów współdzielonych. Ponieważ zasada pracy z oknem
jest taka sama, jak z elementem eksploratora Windows odpowiedzial-
nym za sterowanie właściwościami zasobów, nie będziemy jej tutaj
szczegółowo omawiać.
Rysunek 8.8
Pamiętajmy! W czasie
tworzenia zasobów współ-
dzielonych, potencjalnie
wszyscy użytkownicy sieci
mają do nich dostęp. Należy
mieć pewność, że ograniczy-
liśmy uprawnienia dostępu
dostatecznie dobrze, zanim
udostępnimy zasoby użyt-
kownikom.
Do zadań menedżera serwerów należy jeszcze kilka funkcji, o których
wypada powiedzieć chociaż kilka słów:
Za pomocą menedżera serwerów zarządza się relacjami
upoważnienia między domenami. Szczegółowy opis tej funkcji
zawierają rozdziały 5 i 12.
Aplikacja umożliwia powielanie struktury katalogów z
jednego
serwera na inny. Chociaż usługa jest bardzo pożyteczna, tutaj nie
będzie omawiana zbyt drobiazgowo.
Ostatnią funkcją programu jest możliwość rozsyłania komunikatów
do wszystkich użytkowników korzystających z serwerów domeny
(por. rysunek 8.9).
Rysunek 8.9
Powiadamianie użytkowni-
ków o zamiarze podjęciu
prac związanych
z administrowaniem serwera
świadczy o dobrych obycza-
jach administratora. Nic
bardziej nie wyprowadza
z równowagi, niż utrata
trzech godzin pracy
z powodu wyłączenia serwe-
ra bez ostrzeżenia.
Część II Implementacja systemu ochrony Microsoft Windows NT
224
Wykrywanie zagrożeń ochrony za pomocą przeglądarki zdarzeń -
Event Viewer
Trudno przecenić rolę przeglądarki zdarzeń, w przypadku zetknięcia się
z zagrożeniami dla bezpieczeństwa systemu. Niewiele jest działań
Windows NT, których nie można nadzorować za pomocą systemu
monitoringu oraz przeglądarki zdarzeń. Wykorzystanie narzędzi
kontrolnych, wymaga jednak wcześniejszego uaktywnienia
odpowiednich funkcji systemu za pomocą programu User Manager for
Domains. Zanim więc skupimy się na nadzorze układu ochrony,
wymienimy listę czynności niezbędnych do uruchomienia monitoringu:
1. Zarejestrować się w systemie z uprawnieniami administratora.
2. Uruchomić program User Manager for Domains.
Uwaga
Mając pod opieką dużą liczbę kont, należy utworzyć skrót do tej aplikacji.
Zaoszczędzi to licznych manipulacji związanych z
jakąkolwiek zmianą
dotyczącą kont użytkowników.
3. Wybrać opcję Polcies\Audit, aby otworzyć okno przedstawione na
rysunku 8.10.
4. Wybrać zdarzenia, które będą monitorowane. Listę zdarzeń, które
można nadzorować zawiera Tablica 8.1.
Rysunek 8.10
Rozpoczęcie nadzoru wyma-
ga wyboru zdarzeń podlega-
jących monitorowaniu.
Śledzenie zbyt wielu pozycji
powoduje szybkie zapełnia-
nie dzienników i sprzyja
przegapieniu istotnych
informacji w powodzi zbęd-
nych danych.
Wykorzystanie systemu ochrony Windows NT do zabezpieczania zasobów domen
225
Tablica 8.1 Funkcje nadzoru, możliwe do skonfigurowania przy pomocy progra-
mu User Manager for Domains.
Zdarzenie (Event)
Uruchamia nadzór nad:
Logon and Logoff
rejestracjami w systemie i połączeniami
sieciowymi.
File and Object Access
dostępem do plików i katalogów oraz zlecaniem
zadań do drukowania.
Use of User Right
wykorzystaniem praw użytkowników (z wyjątkiem
rejestracji i wyrejestrowania ).
User and Group Management
wszelkimi zmianami kont lub grup, obejmującymi
ich tworzenie, zmiany i usuwanie oraz zmiany
haseł.
Security Policy Change
zmianami dotyczącymi strategii nadzoru, relacji
upoważnienia lub praw użytkownika. (Ważne!:
Jeśli wystąpiło zdarzenie tej grupy, niewywołane
przez administratora, to powstaje pytanie: przez
kogo?)
Restart, Shutdown and System
wszystkimi wygaszeniami i restartami systemu, jak
również wszelkimi zmianami mającymi wpływ na
bezpieczeństwo sieci.
Proces Tracking
śledzeniem procesów uruchamianych przez
aplikację, innych procesów związanych z jej
działaniem oraz wyłączeniem programu.
Uwaga
Nadzór nad plikami i folderami dotyczy partycji NTFS. Osoba korzystająca
z systemu monitoringu musi być członkiem grupy administratorów lub posiadać
równoważne uprawnienia dostępu.
5. Nie mogąc się zdecydować, jakie zdarzenia mają być śledzone, można
zaznaczyć wszystkie pola wyboru i pozwolić systemowi pracować
około tygodnia. Potem należy uważnie przeanalizować dzienniki
i zdecydować, jakie informacje są rzeczywiście istotne.
Wiemy już, jak uruchomić system nadzoru, ale jak z sensem go
wykorzystać - jeszcze nie. Przeanalizujmy przykład, który wydarzył się
naprawdę:
Administrator pewnego systemu miał komputer podłączony do Interne-
tu. Pewnego ranka usiadł przed swoim urządzeniem, aby wykonać co-
dzienne obowiązki, ale okazało się, że praca nie jest możliwa. Chwila
zastanowienia nad błędnym działaniem komputera i odkrycie: „Ktoś
włamał się do systemu!”. Dalsze badania wykazały, że nieznana osoba
pracowała w jego sieci o 3.00 nad ranem - w dość osobliwej porze, jak na
zwyczaje w jego przedsiębiorstwie. Po jakimś czasie udało się ustalić, że
Część II Implementacja systemu ochrony Microsoft Windows NT
226
tropy pozostawione przez hakerów wiodą do położonego na głębokim
południu USA uniwersytetu, którego student lub studenci zabawiali się
jako „Lodowi hakerzy”.
Zwróćmy uwagę, że jeśli hakerzy nie „spaskudzą” swojego konia trojań-
skiego, to administrator może się nigdy nie dowiedzieć, co się stało lub,
co gorsza, odkryć włamanie dopiero, gdy zostanie uszkodzony jego ser-
wer.
Czytelnik tej książki ma prawo spytać, w jaki sposób mógłby rozpoznać
niebezpieczeństwo? Jako świadomy zagrożeń administrator (bez powodu
nie czytałby tego podręcznika, nieprawdaż?), na pewno zadba, aby moni-
toring procesów rejestracji był włączony. Sprawdzając rano dzienniki,
niewątpliwie odnotuje dużą liczbę nieudanych prób rejestracji i dziwną
sesję przed świtem. Właściwą w takiej sytuacji reakcją jest natychmiasto-
we wyłączenie konta, a w razie potrzeby zmiana haseł, przeskanowanie
dysków pod kątem wirusów i w końcu odtworzenie systemu z czystej
kopii zapasowej. Taka procedura eliminuje wszelkie szanse na przykre
niespodzianki ze strony systemu. Poniższa lista opisuje, jak wykorzystać
program Event Viewer:
1. Zarejestrować się w systemie z uprawnieniami administratora.
2. Uruchomić Event Viewer w grupie Administrative Tools. Na ekranie
ukaże się okno aplikacji przedstawione na rysunku 8.11.
Rysunek 8.11
Event Viewer można rów-
nież wykorzystać do analizy
zdarzeń systemowych oraz
generowanych przez aplika-
cje.
3. Wybrać opcję Security z menu Log.
4. W oknie pokaże się lista zdarzeń związanych z bezpieczeństwem.
Dwukrotne kliknięcie dowolnej pozycji wyświetli szczegółowy opis
zdarzenia (por. rysunek 8.12).
Wykorzystanie systemu ochrony Windows NT do zabezpieczania zasobów domen
227
Wiemy już, czym jest przeglądarka zdarzeń i dlaczego należy z niej ko-
rzystać. Program jest pierwszym wskaźnikiem, który może wzbudzić
podejrzenie o próbie lub wtargnięciu do systemu.
Rysunek 8.12
Niektóre szczegółowe opisy
są bardzo użyteczne, znacze-
nie innych wydaje się nieja-
sne. Regularna praca
z przeglądarką wyrabia
rozeznanie, jakie zapisy są
wyznacznikiem normalnej
pracy, a które sygnalizują, że
dzieje się coś podejrzanego.
Nadzorowanie zasobów drukarek
Wykorzystując rozwiązania systemowe Windows NT można regulować,
którzy użytkownicy i w jakim zakresie mają prawo korzystać z drukarek.
Przypuśćmy, że wszyscy użytkownicy mają pozwolenie na pełną kontro-
lę drukarek. Pewien przedsiębiorczy, zamierzający wkrótce się zwolnić
pracownik, wpada na znakomity pomysł, że pilnując drukarek, może
przechwycić wiele „interesujących” plików, które warto wydrukować po
godzinach. Typowy użytkownik, widząc że drukarka nie realizuje jego
zadania, ponawia po prostu zlecenie wydruku. Administrator sieci, mają-
cy zazwyczaj ciekawsze zadania, niż śledzenie zadań pozostających
w kolejkach drukarek nie wie, co robią pracownicy. Tymczasem przez
dłuższy okres czasu, wkrótce już były pracownik, czyta szczegóły przy-
chodzącej korespondencji, którą sekretarka szefa musi dwukrotnie zlecać
do wydruku, gdyż za pierwszym razem drukarka „nie chce” drukować.
Opisany przykład rozwiał, mamy nadzieję, wątpliwości dotyczące po-
trzeby kontroli drukarek, pora więc opowiedzieć, jak zabrać się do pracy.
Zanim zaczniemy, warto zapamiętać, że odpowiednie uprawnienia mu-
szą być skonfigurowane dla każdej drukarki oddzielnie, a więc w sposób
odbiegający od normalnej praktyki. Ponadto, aby zmienić uprawnienia
dostępu do drukarki, trzeba być właścicielem jej konta lub mieć do niej
uprawnienia pełnej kontroli.
Część II Implementacja systemu ochrony Microsoft Windows NT
228
Rozróżniamy cztery poziomy uprawnień:
No Access - zakaz drukowania.
Print - pozwolenie drukowania na wybranej drukarce.
Manage Documents - pozwolenia na zarządzanie wszystkimi doku-
mentami przesyłanymi do drukarki.
Full Control - wszystkie uprawnienia do drukarki obejmują miedzy
innymi przyznawanie uprawnień dla innych użytkowników.
Z uprawnienia należy korzystać powściągliwie.
Pamiętajmy, że uprawnienia drukowania mogą być przyznawane użyt-
kownikom indywidualnym lub grupom. Grupy są zwykle łatwiejsze do
zarządzania. Administracja drukarkami wymaga następujących czynno-
ści:
1. Otworzyć odpowiadające drukarce okno Properties, kliknąć na etykiet-
ce Security (por. rysunek 8.13) i wcisnąć przycisk Permissions.
Rysunek 8.13
Pamiętajmy, że z chwilą
zainstalowania drukarki
mogą z niej domyślnie
korzystać wszyscy użytkow-
nicy sieci. Jeśli eksploatacja
urządzenia jest bardzo
kosztowna, domyślne usta-
wienia należy zmienić.
2. Rysunek 8.14 ilustruje okno dialogowe Printer Permissions (pozwolenia
drukowania). Przy pomocy dostępnych w nim narzędzi można do-
dawać, usuwać lub zmieniać uprawnienia dla dowolnego użytkowni-
ka lub grupy.
Z okna dialogowego Properties dotyczącego drukarki, możemy urucho-
mić monitorowanie wykorzystania drukarek. Przykładem użyteczności
nadzoru drukarki niech służy możliwość obciążania poszczególnych
wydziałów kosztami wydruków na specjalnej drukarce o wysokiej jakości
Wykorzystanie systemu ochrony Windows NT do zabezpieczania zasobów domen
229
wydruku. Monitoring umożliwia śledzenie kto i co drukuje oraz pozwala
rozliczać wydziały za wydrukowane strony.
Rysunek 8.14
Zmieniając uprawnienia
dostępu do drukarek, należy
pamiętać, aby przez nieuwa-
gę nie pozbawić się upraw-
nienia pełnej kontroli,
zwłaszcza jeśli mamy je
dzięki przynależeniu do
grupy. Usuwając swoje
uprawnienia, nie będziemy
zdolni przywrócić go z tego
samego konta.
Uwaga
Aby móc śledzić zdarzenia związane z
drukowaniem, należy wcześniej
uaktywnić nadzór nad plikami i obiektami (File and Object), w programie User
Manager for Domains.
Ochrona rejestrów Windows NT 4.0
Z dotychczasowej lektury wiemy, jak ważną rolę pełnią rejestry Windows
NT. Na kolejnym etapie nauki opanujemy umiejętność zapewnienia im
odpowiedniej ochrony. Poznamy trzy różne metody zabezpieczania reje-
strów. Pierwszy sposób zawdzięczamy naszemu staremu przyjacielowi -
systemowi nadzoru. Podejrzewając, że ktoś manipuluje rejestrami lub
niepokojąc się ewentualnością naruszenia ich integralności, najlepiej pod-
jąć monitorowanie rejestrów. Aby móc śledzić dostęp do rejestrów, nale-
ży:
1. Zarejestrować się w systemie z uprawnieniami administratora.
Rysunek 8.15
Zachowanie rejestrów przed
rozpoczęciem jakichkolwiek
modyfikacji świadczy
o bardzo dobrych nawykach.
Część II Implementacja systemu ochrony Microsoft Windows NT
230
2. Uruchomić User Manager for Domains i uaktywnić system nadzoru, zgod-
nie z zaleceniami z wcześniejszej części rozdziału.
3. Uruchomić program REGEDIT32.EXE (por. rysunek 8.15).
4. Z menu, wybrać pozycję Security i kliknąć na opcji Audit. Otworzy się okno,
umożliwiające wybór, jakie zdarzenia związane z rejestrami będą monito-
rowane. Nadzorować można prowadzić na różnych poziomach szczegóło-
wości. Można również ograniczyć monitoring do pewnego poziomu reje-
strów, nie śledząc struktur niższego poziomu.
Rysunek 8.16
Podejmując decyzję
o monitorowaniu rejestrów,
należy ograniczyć się do
niezbędnych zdarzeń. Od-
powiedni dobór umożliwia
skupienie się na kluczowych
zapisach, bez konieczności
analizy tysięcy rekordów
dziennika.
5. Mając włączony system nadzoru, korzystać z przeglądarki zdarzeń do
analizy podejrzanej aktywności użytkowników.
Kończąc rozważania o nadzorze rejestrów, warto poruszyć dwie sprawy:
podejmując próbę monitorowania, trzeba mieć uprawnienia administra-
tora; ponieważ każda maszyna ma swoje własne unikalne rejestry, sys-
tem monitorowania musi być skonfigurowany na każdym serwerze wy-
magającym ochrony. Uwagi dotyczą również konfiguracji uprawnień.
Druga metoda ochrony rejestrów wynika ze zdolności do przyznawania
specyficznego poziomu uprawnień dostępu dla odpowiednich użytkow-
ników i grup.
Uwaga
Należy podkreślić, że ustawianie lub zmiana uprawnień dostępu do rejestrów
jest bardzo niebezpieczna i wymaga dużego doświadczenia. Można łatwo
unieruchomić komputer przez przypadkowe usunięcie uprawnienia, niezbęd-
nego systemowi do działania. Potencjalnie można również zrobić dziurę w ukła-
dzie ochrony, umożliwiając hakerom przechwycenie listy haseł, uszkodzenie
rejestrów lub w skrajnym wypadku pozbawienie nas dostępu do własnego
systemu.
Wykorzystanie systemu ochrony Windows NT do zabezpieczania zasobów domen
231
Uprawnienia dostępu konfiguruje się w sekcji rejestrów, wykonując na-
stępujące czynności:
1. Uruchomić program REGEDIT32.EXE (por. rysunek 8.15).
2. Z menu wybrać pozycję Security i kliknąć na opcji Permissions, co spo-
woduje otwarcie się okna Registry Key Permissions (por. rysunek 8.17).
Rysunek 8.17
Przed rozpoczęciem jakich-
kolwiek modyfikacji reje-
strów, należy zrobić kopię
zapasową i upewnić się, ze
posiadamy zaktualizowany
ratunkowy dysk naprawczy.
3. Uprawnienia konfiguruje się w sposób analogiczny do ustawiania
uprawnień NTFS, za pomocą eksploratora Windows NT. Dla reje-
strów można ustawić uprawnienia Read, Full Control lub Special Ac-
cess, które pozwalają ograniczać uprawnienia dostępu zgodnie
z indywidualnymi potrzebami konkretnego konta.
Wskazówka
Jeśli zachodzi niezbędna konieczność zmiany uprawnień do pozycji rejestru, to
dobrze jest monitorować niepowodzenia dostępu do tej pozycji. Jeśli
przypadkowo usuniemy uprawnienia niezbędne dla systemu, to szybko się
o tym dowiemy z przeglądarki zdarzeń.
Trzecia metoda ochrony rejestrów związana jest z ogólną procedurą
ochrony. Przede wszystkim, należy ograniczyć liczbę użytkowników
mających dostęp do rejestrów. Zmniejszyć do niezbędnego minimum
liczbę administratorów. Następnie, należy usunąć edytor Rejestrów ze
wszystkich komputerów z wyjątkiem stacji służących do zarządzania
systemem. Wszystkie zmiany w rejestrach wykonywać z wybranych sta-
cji roboczych.
Umiejętnie stosując omówione narzędzia i techniki, nie powinniśmy mieć
najmniejszych problemów z utrzymaniem użytkowników z dala od reje-
strów.
Część II Implementacja systemu ochrony Microsoft Windows NT
232
Uwaga
Mówiąc o ochronie rejestrów, należy wspomnieć o potencjalnych problemach
z zawartością rejestrów, przy uaktualnianiu systemu z wersji 3.51 do 4.0.
Instalując nowy system, tracimy pozycje poniżej:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceGroupOrder\List of Items.
Omawiane pozycje są nadpisywane podczas aktualizacji do wersji 4.0.
Zalecanym przez Microsoft rozwiązaniem problemu jest ponowna instalacja
dotkniętych błędem aplikacji i sterowników. Reinstalacja powoduje odtworzenie
niezbędnych pozycji rejestrów. Microsoft zdaje sobie sprawę z trudności
i obiecuje dostarczać użytkownikom możliwie szybko, wszelkich dostępnych
informacji.
Więcej informacji na ten temat można znaleźć na stronie WWW Microsoftu pod
adresem http://www.microsoft.com/kb/articels/q163/4/13.htm. Osoby posia-
dające dostęp do Microsoft Knowledge Base, mogą wybrać artykuł Q163413,
który był ostatnio aktualizowany 28 marca 1997r.
Inne narzędzia i metody sterowania dostępem
użytkowników do zasobów
Oprócz omówionych wcześniej rozwiązań, istnieją dodatkowe narzędzia
i metody regulacji współdziałania użytkownika z systemem. Patrząc
z perspektywy ochrony systemu, należy omówić obowiązkowe profile
użytkownika (Mandatory User Profiles) oraz opcje konfiguracji kont, takie
jak prywatna kartoteka użytkownika, wskazanie komputerów, na któ-
rych może się rejestrować, wyznaczenie czasu, w jakim wolno rejestro-
wać się w systemie
Obowiązkowe profile użytkownika
Do narzędzi umożliwiających rzeczywiste sterowanie interfejsem klienta
należą profile. Profile są plikami, które zawierają wszystkie ustawienia
określające środowisko pracy (desktop) użytkownika. Rozróżnia się kilka
różnych typów profili, ale w instalacjach wymagających szczególnej
ochrony najważniejszym jest obowiązkowy profil użytkownika (Manda-
tory User profile).
Związany z serwerem profil obowiązkowy wyznacza się użytkownikowi
za pomocą Menedżera Użytkowników Domen (por. rysunek 8.18).
Wykorzystanie systemu ochrony Windows NT do zabezpieczania zasobów domen
233
Rysunek 8.18
Konfigurując profil obo-
wiązkowy, należy pamiętać,
ze profile zawierają między
innymi ustawienia sprzęto-
we, takie jak parametry karty
graficznej. Ustawienie
rozdzielczości 800×600
SVGA może być przykre dla
osoby korzystającej
z monitora 14’’ VGA.
Tym co odróżnia profile obowiązkowe od innych profili, jest parametr
pliku read-only. Wszystkie zmiany środowiska podejmowane przez
użytkownika w czasie sesji są kasowane, zanim ponownie zarejestruje się
w systemie. Ta zasada obejmuje kolory tła, parametry obrazu, formato-
wanie ekranu - wszystko. Profile obowiązkowe stosuje się zazwyczaj dla
grup użytkowników, celem udostępnienia im logicznego środowiska
pracy, ze względu na wygodę oraz bezpieczeństwo.
Uwaga
Dwie ważne informacje: Nazwy profili obowiązkowych mają zawsze postać
*.MAN. Rozszerzenie odróżnia je od pozostałych profili. Jeśli podczas rejestracji
plik z profilem obowiązkowym nie jest dostępny, to użytkownik nie może
zarejestrować się w systemie.
Aby utworzyć profil obowiązkowy, należy:
1. Zarejestrować się w systemie z uprawnieniami administratora. Pod-
czas tworzenia profilu obowiązkowego, dobrze jest założyć konto
specjalnie dla tego celu. Takie rozwiązanie pozwala zaoszczędzić spo-
ro czasu, jeśli trzeba po jakimś czasie wrócić do zadania i stworzyć
więcej profili lub zastosować jeden z już istniejących.
2. Skonfigurować środowisko Windows NT komputera, na którym two-
rzony jest profil dokładnie tak, jak ma wyglądać środowisko użyt-
kownika. Sprawdzić, czy wszystkie parametry ustawione są zgodnie
z założeniami.
3. Uruchomić edytor profili użytkownika (User Profile Editor) (por.
rysunek 8.19). Za pomocą programu, należy przyznać dostęp
użytkownikowi (użytkownikom) lub grupie (grupom), które mają
używać profilu. Korzystając z pozostałych pozycji, dokończyć konfi-
gurowanie środowiska, ostatecznie ustalając funkcje dostępne użyt-
kownikowi.
Część II Implementacja systemu ochrony Microsoft Windows NT
234
Rysunek 8.19
Edytor Profili Użytkownika
jest przeznaczony do konfi-
gurowania użytkownika
(użytkowników) lub grupy
(grup), które będą korzystać
z profilu oraz kilku przydat-
nych ustawień aplikacji.
4. Po zakończeniu konfiguracji należy ją zachować. Podobnie jak we
wszystkich aplikacjach Windows, w celu zapisania pliku wybrać opcję
File\Save As
. Ponieważ zdefiniowany profil ma być obowiązkowy,
wybrać typ pliku określony jako Mandatory Profile. Wprowadzić od-
powiednią ścieżkę dostępu. Nazwa pliku powinna mieć rozszerzenie
.MAN.
5. Mając zapisany profil, można przyporządkować go użytkownikowi.
Uruchomić menedżer użytkowników domen (por. rysunek 8.1)
i wybrać opcję User\Properties\Profile, aby otworzyć dialog przedsta-
wiony na rysunku 8.20.
Rysunek 8.20
Przyznając użytkownikowi
profil obowiązkowy upewnij
się, że podana do niego
ścieżka dostępu jest w kon-
wencji UNC, aby mógł on
być zakodowany przez sieć.
6. Wcisnąć przycisk OK i zamknąć menedżer użytkowników. Następ-
nym razem, użytkownik rejestrujący się w systemie, powinien ujrzeć
środowisko zgodne z utworzonym profilem.
Uwaga
Profile użytkownika można konfigurować zarówno dla klientów Windows NT
jak i Windows 95. Profile nie są wymienne. Każdy system operacyjny, ze
względu na odmienną architekturę, wymaga odrębnego tworzenia profili.
Wykorzystanie systemu ochrony Windows NT do zabezpieczania zasobów domen
235
Diagnozowanie problemów związanych z profilami
Na początek uwaga ogólna: większość problemów związanych ze
stosowaniem profili, wynika z różnic konstrukcyjnych monitorów video.
Tworząc profil dla grupy użytkowników, trzeba mieć pewność, że
monitory, z których będą korzystać członkowie grupy mają jednakowe
parametry wyświetlania obrazu. Jeśli na przykład Anna zarejestruje się
na komputerze Laury wyposażonym w monitor 640×480 VGA, a jej profil
jest ustawiony na 800×600, to na ekranie zobaczy wiele dziwnych rzeczy.
Modyfikując profil pojedynczego użytkownika, należy się upewnić, że
maszyna na której go robimy, ma porównywalną konfigurację.
Jeśli problem nie jest związany z urządzeniami wyświetlającymi, lecz
z innymi elementami konfiguracji, należy spróbować następujących pro-
cedur:
1. Spróbować zalogować się przy pomocy innej, ale podobnie skonfigu-
rowanej maszyny. Jeśli problem się powtarza, winne są ustawienia
profilu. W przeciwnym razie, źródłem kłopotów jest raczej konkretny
komputer.
2. Korzystając z menedżera użytkowników, przyporządkować przezna-
czony do modyfikacji profil, kontu użytkownika służącemu do konfi-
guracji profili. Zarejestrować się w systemie, korzystając z konta kon-
figuracyjnego i usunąć problem odpowiednio korygując ustawienia
środowiska roboczego. Zachować zmiany i ponownie zarejestrować
się w systemie z konta użytkownika, który miał kłopoty.
3. Odtworzyć profil z wersji tymczasowej i przyporządkować go użyt-
kownikowi. Jeśli profil dalej nie pracuje, to należy upewnić się, że zo-
stał utworzony bezbłędnie.
Wyznaczanie prywatnego katalogu użytkownika
Katalog prywatny jest miejscem składowania danych użytkownika. Mogą
to być zarówno pliki jak i programy. Według ogólnej zasady przyjmowa-
nej w instalacjach podlegających szczególnej ochronie, osobiste pliki każ-
dego użytkownik muszą być przechowywane w jego prywatnej kartote-
ce. Dla zbiorów przeznaczonych do wspólnego użytku wydziela się kata-
logi w postaci zasobów współdzielonych. W środowiskach nie wymaga-
jących restrykcyjnych zabezpieczeń, jeden katalog prywatny może być
wyznaczony dla kilku użytkowników. Takie rozwiązanie stosuje się na
przykład wtedy, gdy zespół lub cały wydział potrzebuje dostępu do
wspólnych zbiorów umieszczonych w jednym miejscu.
Część II Implementacja systemu ochrony Microsoft Windows NT
236
Uwaga
Katalog prywatny staje się domyślną kartoteką pojawiającą się w okienkach File
Open
oraz Save As wszystkich programów, z wyjątkiem tych aplikacji, które mają
skonfigurowane inne domyślne ustawienia.
Często zadaje się pytanie: „Po co tworzyć zbędne katalogi prywatne?”
Większość stacji roboczych ma przecież nawet gigabajtowe twarde dyski.
Jaki jest cel przechowywania danych użytkownika na serwerach siecio-
wych?
Kilka poważnych powodów uzasadnia takie postępowanie. Pierwszy
wynika z planowania przestrzeni dyskowej. Decydując się na składowa-
nie danych prywatnych na serwerach sieciowych, zmniejszamy koszty
poszerzania systemu. Łatwiej jest dodać kilka gigabajtów pamięci do
serwerów, niż wyposażać kilkadziesiąt stacji roboczych w nowe twarde
dyski. Drugi powód jest związany z bezpieczeństwem danych. Zasoby
serwerów są systematycznie archiwizowane. Jak często końcowi użyt-
kownicy tworzą kopie zapasowe swoich zbiorów? W bardzo dużych
biurach wszystkich zapobiegliwych można policzyć na palcach jednej
ręki. Tymczasem dane złożone w sieci są zapisywane na taśmach, któ-
rych kopie są nierzadko zabezpieczane poza siedzibą przedsiębiorstwa.
Stosowanie prywatnych katalogów na serwerach sieciowych jest najbar-
dziej niezawodnym sposobem przechowywania danych.
Za takim rozwiązaniem przemawiają również względy bezpieczeństwa.
Aby skorzystać z zasobów sieciowych, trzeba przejść proces weryfikacji.
Aby uzyskać dostęp do dysków stacji lokalnych, wystarczy wejść do biu-
ra w przerwie śniadaniowej lub w czasie krótkiej nieobecności pracowni-
ka. Jeśli użytkownik nie zamknie i nie zablokuje dostępu do komputera,
intruz ma na ogół nieograniczony dostęp do stacji roboczej i jej dysków.
Z drugiej strony, jeśli ktoś jest tak uprzejmy, że w czasie przerwy obia-
dowej zostawia komputer zalogowany do sieci, Jasiu Wędrowniczek ma
dostęp do wszystkich zasobów użytkownika. Skuteczność stosowania
katalogów prywatnych wymaga, aby użytkownicy nie pozostawiali
komputerów niezamkniętych. Rzeczywistość nakazuje niestety używania
haseł, chronionych hasłem wygaszaczy ekranów, a w niektórych przy-
padkach nawet kodowania danych.
Jeśli argumenty za stosowaniem katalogów prywatnych przekonały czy-
telnika, to śpieszymy z opisem implementacji:
1. Zarejestrować się w systemie z uprawnieniami administratora.
2. Uruchomić User Manager for Domains z grupy narzędzia administra-
cyjne.
Wykorzystanie systemu ochrony Windows NT do zabezpieczania zasobów domen
237
3. Dwukrotnie kliknąć na odpowiedniej nazwie użytkownika (username),
aby otworzyć okno User Properties. Tworząc nowe konto wybrać opcję
User\New User
.
4. Wybrać, znajdujący się w dolnej części okna przycisk Profile.
5. Otworzy się okno dialogowe User Environment Profile (por. rysunek
8.21).
Rysunek 8.21
Pamiętajmy! Jeśli ustalimy
katalog prywatny, za pomocą
tego narzędzia, to system
automatycznie utworzy
odpowiedni katalog
i wyznaczy do niego odpo-
wiednie pozwolenia dostępu.
6. W dolnej części okna można ustalić katalog prywatny na ścieżce lo-
kalnej lub połączyć go z napędem sieciowym serwera. Wybierając
drugie rozwiązanie (rekomendowane), należy stosować adres zgodny
z uniwersalną konwencję nazewniczą (UNC - Universal Naming
Convention). Dla osób nieznających konwencji podajemy format adre-
su:
\\nazwa_komputera\nazwa_zasobu_współdzielonego\katalog\
katalog_prywatny
Uwaga
Jeśli wykorzystujemy nazwę konta użytkownika jako nazwę katalogu
prywatnego, to zamiast wpisywać nazwę katalogu explicite, można użyć
zmiennej %USERNAME%. Rozwiązanie ułatwia pracę przy tworzeniu kont dla
większej liczby użytkowników oraz zapewnia wygodną konwencję nazewniczą.
7. Zakończyć pracę wciskając przycisk OK. W następnej sesji użytkow-
nik będzie miał już katalog prywatny.
Ograniczanie dostępnej przestrzeni dyskowej
W pakiecie Windows NT nie ma narzędzi, które umożliwiają ogranicze-
nie przestrzeni dyskowej dostępnej dla użytkownika. Oznacza to, że
chcąc wprowadzić limit objętości zbiorów, które wolno zapisać na serwe-
Część II Implementacja systemu ochrony Microsoft Windows NT
238
rze, trzeba skorzystać z programów pozasystemowych. Listę produktów
przeznaczonych do tego celu zamieszczamy na końcu rozdziału.
Można zapytać: Po co wprowadzać ograniczenia? Czy brak limitu niesie
jakieś zagrożenia? Odpowiedź nieoczekiwanie brzmi TAK.
Scenariusz 1. Do serwera włamuje się haker, który wykorzystał hasło
kolegi spotkanego w zeszłym roku. (Oczywiście w naszym systemie
rzecz niewyobrażalna, bo niedługo nauczymy się wymuszać systema-
tyczną zmianę haseł). Co może zrobić włamywacz? Administrator sieci
przeczytał niniejszy podręcznik, więc konta są skonfigurowane bezbłęd-
nie, ważne pliki są zabezpieczone, rejestry niedostępne, a dostęp do bazy
kont jest zamknięty na cztery spusty.
Wściekły haker postanawia wykorzystać jedyne dostępne mu konto
i ładuje na nasz serwer osiemset megabajtów dziecięcej pornografii. Nie-
oczekiwanie mamy dwa problemy. Po pierwsze prawny, gdyż jako ad-
ministrator sieci odpowiadamy za przechowywanie w podległych nam
komputerach nielegalnego towaru. Po drugie, owe osiemset megabajtów
było całą rezerwą przestrzeni na naszym serwerze. W zależności od tego,
jaki dysk został zapełniony, nasz system może stać się zupełnie bezuży-
teczny. Programy nie mogą założyć żadnego pliku roboczego, użytkow-
nicy nie mogą zapisać swoich zbiorów, a zadania do drukowania nie
mają miejsca w kolejce. Kiepsko!
Scenariusz drugi. Filip - kierownik wydziału sprzedaży - wyjeżdża
w podróż służbową. Uznając, że targanie laptopa do samolotu jest nie-
wygodne, postanawia wysłać go jako bagaż. (Nawiasem mówiąc: skan-
dal! Nigdy nie należy tego robić!) Na wszelki wypadek, Filip postanawia
zabezpieczyć dane ze swojego komputera. Zamiast jednak sporządzić
backup na taśmie lub nośnikach wymiennych, wpada na znakomity po-
mysł (raczej kiepski z punktu widzenia administratora) skopiowania
całego swojego dysku na serwerze sieciowym.
Tak oto, bez żadnych nielegalnych działań, na naszym serwerze wylą-
dowały dwa gigabajty prezentacji, aplikacji, gier i innych, nikomu poza
Filipem niepotrzebnych, zbiorów. Wszystko co napisaliśmy o ewen-
tualnych następstwach zapełnienia dysku, jest aktualne i trudno nawet
mieć do kogoś pretensje.
Kończąc - administrator, poważnie troszczący się o bezpieczeństwo sieci
i zasobów swoich użytkowników, może chcieć dodać do swojego arsena-
łu jedną z następujących aplikacji:
Quota Manager for Windows NT
New Technology Partners
40 Sought River Road BLDC 44
Wykorzystanie systemu ochrony Windows NT do zabezpieczania zasobów domen
239
Bedford, New Hampshire 03110
telefon: (800) 226-2755 lub (603) 622-4400
fax: (603) 641-6934
http: //199.107.233.3/software/ntp/
Quota Server for Windows NT
Northern Technologies
http: //www.cleveland.co.uk/quotaserver/mainpage.html
Miss Marple
Adlon Datenverarbeltung
Josef Strobel Strasse 38
Ravensburg, RFN/BRD 88-213
telefon: (49) (751) 760729
fax: (49) (751) 760788
Umieszczając na liście wymienione produkty, nie kierowaliśmy się chęcią
ich promocji. Autor korzystał z programu Quota Manager w ograniczonej
implementacji. Działał zgodnie z reklamą, ale nie był wszechstronnie
testowany. Dostępne są przebadane wersje wymienionych aplikacji. Po-
dobnie jak przy innych programach, przed zainstalowaniem na serwerze
roboczym, należy je gruntownie przetestować w warunkach laboratoryj-
nych.
Ograniczanie miejsca rejestracji do wybranych stacji roboczych
Jednym z silniejszych rozwiązań służących zabezpieczeniu sieci jest
ograniczenie użytkownikowi możliwości rejestrowania się w systemie do
wybranych stacji roboczych. Co prawda nie wszystkie środki, które do-
brze wyglądają na papierze, zdają egzamin w życiu, ale to zupełnie inna
sprawa.
Oto kolejny przykład: W naszym przedsiębiorstwie właśnie zatrudniono
nową administratorkę o imieniu Jane, aby wsparła zespół zarządzający
siecią. Zgodnie z powierzonym jej zakresem obowiązków, nowa pracow-
nica ciągle interesuje się pracą swoich klientów i często pracuje przy ich
stacjach roboczych. John, szef administratorów, założył jej dwa konta.
Jedno ze zwykłymi uprawnieniami, które umożliwia dostęp do wspól-
nych zbiorów, drukarek, poczty elektronicznej. Drugie, z uprawnieniami
administratora, przeznaczone do obsługi kont użytkowników i innych
zadań wymagających dodatkowych przywilejów.
Niestety, Jane przyszła z instytucji, w której reguły ochrony były bardziej
liberalne. Przysiadając się do stacji użytkownika, ma zwyczaj rejestrowa-
nia się z przywilejami administratora, a co gorsza notorycznie odchodzi
od komputera, zapominając się wyrejestrować. Aby uniknąć problemów,
Część II Implementacja systemu ochrony Microsoft Windows NT
240
ograniczono Jane stacje robocze, na których może się rejestrować
z uprawnieniami administratora. Rozwiązanie, zwłaszcza z początku,
było dla nowej pracownicy uciążliwe, ale John przestał się obawiać, że
jakiś podenerwowany pracownik spłata kłopotliwego figla, korzystając
ze złych nawyków jego podwładnej.
Innym przykładem, ilustrującym przydatność rozwiązania, jest instytu-
cja, w której wymaga się zapewnienia pełnej poufności danych. Wyzna-
czenie użytkownikom komputerów, na których są zobowiązani pracować
w sieci jest częścią standardowej procedury ochronnej takich organizacji.
Dodatkową korzyścią wynikającą z przyporządkowania użytkownikom
konkretnych komputerów jest wzrost odporności sieci na kradzież lub
złamanie hasła. Jeśli ktoś zdobędzie nawet informacje o koncie, potrzebne
do rejestracji w
sieci, musi jeszcze mieć możliwość skorzystania
z komputera, z którym związane jest to konto.
Aby wprowadzić ograniczenia prawa rejestracji do wybranych stacji ro-
boczych, należy:
1. Zarejestrować się w systemie z uprawnieniami administratora.
2. Uruchomić User Manager for Domains z grupy narzędzia administra-
cyjne.
3. Wybrać pozycję odpowiadającą właściwej nazwie konta i dwukrotnie
na niej kliknąć.
4. Wcisnąć przycisk Logon To, znajdujący się w dolnej części okna User
Properties
.
5. Otworzy się okno dialogowe Logon Workstation przedstawione na
rysunku 8.22.
Rysunek 8.22
Pamiętajmy! Ustawiając
dostęp do stacji roboczych,
należy wpisać odpowiednią
nazwę komputera stosowaną
w systemie Windows NT.
Wykorzystanie systemu ochrony Windows NT do zabezpieczania zasobów domen
241
6. Wybrać opcję User may log on to These Workstations. Wpisać nazwy
systemowe wybranych komputerów. Dostępnych jest osiem pozycji.
7. Wcisnąć przycisk OK, aby zakończyć pracę. Wprowadzone ustalenia
obowiązują od najbliższej sesji użytkownika.
Konfiguracja czasowych ograniczeń rejestracji
Możliwość wyznaczenia godzin, w jakich użytkownik nie może rejestro-
wać się w systemie, bywa przydatna w różnych okolicznościach.
Oczywistym pomysłem jest ograniczenie możliwości wejścia do systemu
wyłącznie do godzin pracy biura, na przykład od 7.00 do 16.00, od po-
niedziałku do piątku. Jeśli ktoś potrzebuje pracować po godzinach, musi
skontaktować się z administratorem i uzasadnić konieczność dostępu do
sieci. Takie rozwiązanie, chociaż niezwykle skutecznie podnosi bezpie-
czeństwo, jest trudne do zastosowania w wielu instytucjach. Dzisiejsze,
zwariowane czasy, wymagają od systemu dużej elastyczności, użytkow-
nicy zaczynają czasem pracę i o piątej nad ranem, kończą nierzadko po
dwudziestej, zdarza się, że po wieczornym spotkaniu w interesach, ktoś
pragnie przejrzeć swoją pocztę elektroniczną. Administrator sieci, znając
swoje środowisko, musi sam rozstrzygnąć, na ile omówiony sposób po-
stępowania będzie przydatny w jego organizacji.
Sytuacja opisana w następnym przykładzie dotyczy większości przecięt-
nych instalacji. Przypuśćmy, że łączna objętość zbiorów na wszystkich
dyskach sieciowych wynosi 18 GB. Celem zapewnienia integralności
danych, każdej nocy wykonywana jest automatyczna archiwizacja
wszystkich danych na napędach DLT (Digital Linear Tape). Czas wyko-
nywania kopii zapasowej wynosi około czterech godzin. Aby mieć pew-
ność, że archiwizacja nie pominie żadnego otwartego pliku, administra-
tor ustawił godzinę rozpoczęcia automatycznej archiwizacji na godzinę
0.30, przewidując jej zakończenie około 4.30. Czy może spać spokojnie?
W poniedziałek Filip zapomniał wyrejestrować się z systemu i zostawił
otwartą bazę danych poczty. We wtorek, sekretarka szefa zostawiła
otwartą aplikację z terminarzem wszystkich spotkań szefa. Łatwo sobie
wyobrazić, że w dużej firmie taka passa może trwać nieustannie. Kiedy
zdarzy się nieszczęście i trzeba będzie odtworzyć dane z taśm, archiwa
nie będą zawierały zbiorów, które były otwarte podczas zapisu. Miejmy
nadzieję, że utracone pliki nie będą zawierały terminarza szefa na naj-
bliższe sześć miesięcy.
Regulamin pracy wymaga co prawda, aby przed wyjściem z pracy wyre-
jestrować się z sieci, ale wszyscy wiemy, jak jest w życiu. Ktoś śpieszy się
na spotkanie, ktoś jest roztargniony, ktoś wyszedł na chwilę, ale sprawa
Część II Implementacja systemu ochrony Microsoft Windows NT
242
zatrzymała go do wieczora. W małym biurze można obejść wszystkie
pomieszczenia i sprawdzić, czy komputery są wyłączone. Lepszym roz-
wiązaniem jest jednak skonfigurowanie kont użytkowników, w sposób,
który uniemożliwia rejestrację w sieci w wyznaczonych na archiwizację
godzinach. W tym celu należy:
1. Zarejestrować się w systemie z uprawnieniami administratora.
2. Uruchomić program User Manager for Domains.
3. Wybrać pozycję z odpowiednią nazwą użytkownika i dwukrotnie na
niej kliknąć, celem otwarcia okna dialogowego User Properties. Two-
rząc nowe konto, wybrać opcję User\New User.
4. Wcisnąć przycisk Hours (godziny) znajdujący się w dole oknie.
5. Otworzy się okno dialogowe Logon Hours przedstawiony na rysunku
8.23.
Rysunek 8.23
Pamiętajmy, że niebieskie
pola oznaczają godziny,
w których wolno rejestrować
się w systemie, a pola nie-
wypełnione oznaczają okre-
sy, kiedy rejestracja jest
zabroniona.
6. Zaznaczyć pola oznaczające godziny, w których chcemy wprowadzić
ograniczenia. Wcisnąć przycisk Disallow, aby wprowadzić zakaz reje-
stracji w wyznaczonym czasie.
7. Zakończyć ustawianie ograniczeń, wciskając przycisk OK. Od tej
chwili ustalenia są obowiązujące.
Uwaga
Okno dialogowe umożliwia zaznaczanie jednogodzinnych przedziałów
czasowych. Aby przywrócić prawo rejestracji w określonych godzinach, należy
zaznaczyć odpowiednie pozycje i wcisnąć przycisk Allow.
Wykorzystanie systemu ochrony Windows NT do zabezpieczania zasobów domen
243
Warto pamiętać o jeszcze jednym: w oknie Account Policies programu
User Manager for Domains można określić, co się stanie z sesją rozpoczę-
tą o właściwej porze, ale niezakończoną przed upływem dozwolonego
czasu. Jeśli zaznaczymy pole wyboru opisane Forcibly Disconect Remote
Users from Server When Logon Hours Expire
(wymuszenie rozłączenia
użytkownika korzystającego z odległego serwera, na którym upłynął czas
dozwolonej rejestracji), to w odpowiedniej chwili użytkownik zostanie
ostrzeżony, że kończy się czas dozwolonej pracy, po czym sesja zostanie
przerwana. Jeśli omawiana opcja nie zostanie wybrana, to system nie
zezwoli na otwarcie nowych połączeń w zakazanym okresie. Sesje trwa-
jące, nie będą przerwane, ale co dziesięć minut użytkownicy otrzymają
komunikat, że pracują w okresie, kiedy rejestracja w sieci nie jest dozwo-
lona.
Ze względu na bezpieczeństwo, dla zapewnienia integralności archiwum,
należy zastosować opcję wymuszonego rozłączenia, bez żadnych wyjąt-
ków. Administrator odpowiada za strategię ochrony sieci i musi być
pewny, że jest realizowana.
Data upływu ważności konta
Możliwość ustawienia automatycznego wyłączenia ważności konta
w określonym dniu, należy do przydanych narzędzi administratora
W organizacjach wymagających ostrego reżimu bezpieczeństwa stosuje
się zasadę, że każde konto użytkownika wymaga ponownego uaktual-
nienia co 90 dni.. W większości sieci, takie radykalne ograniczenie jest
zbędne. Wyznaczanie daty wyłączenia konta stosuje się sporadycznie,
zazwyczaj wobec pracowników zatrudnionych na czas określony.
Rozważmy przykład: Jane jest studentką, która odbywała praktykę
w przedsiębiorstwie. Została przydzielona do wydziału księgowości.
Kierowniczka poleciła założyć jej konto, umożliwiające dostęp do odpo-
wiednich zasobów sieci. Po zakończeniu praktyki Jane opuściła przedsię-
biorstwo. Kierowniczka wydziału zapomniała wypełnić formularz, zleca-
jący zamknięcie konta Jane. Kilka miesięcy później przypomniała sobie
o sprawie, ale pamiętając, że administrator był obecny na pożegnalnej
kawie, uznała że sam zdecydował usunąć konto Jane. Błąd! Jane po po-
wrocie na uczelnię wstąpiła do sekty i opowiedziała swojemu Guru
o wakacyjnej pracy oraz swoim dostępie do sieci dużego przedsiębior-
stwa. Ten sprawdził ważność jej konta i z radością odnotował możliwość
korzystania ze zbiorów wydziału księgowości.
Gdyby konto miało ustaloną datę wygaśnięcia, opisane zagrożenie nie
mogłoby się wydarzyć. Ewentualne przedłużenie ważności konta jest
zawsze możliwe. Oto jak ustawia się datę wygaśnięcia konta:
Część II Implementacja systemu ochrony Microsoft Windows NT
244
1. Zarejestrować się w systemie z uprawnieniami administratora.
2. Uruchomić User Manager for Domains.
3. Wybrać pozycję z odpowiednią nazwą użytkownika i dwukrotnie na
niej kliknąć, celem otwarcia okna User Properties. Tworząc nowe konto
wybrać opcję User\New User.
4. Wcisnąć przycisk Account znajdujący się w dole okna.
5. Otworzy się okno dialogowe Account Information przedstawiony na
rysunku 8.24.
Rysunek 8.24
Jeśli mamy wątpliwości, czy
tymczasowy pracownik nie
przedłuży okresu zatrudnie-
nia, możemy do daty wyga-
śnięcia konta dodać kilka
dni. Tak skonfigurowane
konto nie stwarza zagroże-
nia, gdyż po prostu wygasa
po odejściu pracownika
z przedsiębiorstwa.
6. Wpisać właściwą datę wygaśnięcia konta.
7. Wcisnąć przycisk OK. Gdy nadejdzie ustalony dzień, konto wygaśnie
i będzie niedostępne. Aby ponownie umożliwić korzystanie z konta,
należy zmienić datę wygaśnięcia i ewentualnie sprawdzić w oknie
dialogowym opisującym właściwości, że jest rzeczywiście aktywne.
W innych rozdziałach...
W minionym rozdziale omówiliśmy zastosowanie licznych narzędzi,
umożliwiających sprawne zarządzanie domeną i skuteczną realizacje
założonej strategii bezpieczeństwa. Podane wiadomości uzupełniły wie-
dzę, zdobytą przy lekturze poprzednich części książki, poświęconych
pojęciu domeny (rozdział 4), zarządzaniem relacjami zaufania (rozdział
5) oraz systemowi plików NTFS (rozdział 7). Aby zrealizować jeden
z celów podręcznika, to jest nabycie umiejętności implementacji strategii
zapewniających dowolny, założony poziom bezpieczeństwa, w dalszej
części książki zamieszczone są rozdziały kontynuujące ten nurt rozwa-
żań:
Wykorzystanie systemu ochrony Windows NT do zabezpieczania zasobów domen
245
Rozdział 10 - Projektowanie domeny głównej - zajmuje się tworzeniem
planu, który zostanie wykorzystany w następnych rozdziałach, do
budowy przykładowej instalacji.
Rozdział 11 - Konfiguracja domeny głównej.
Rozdział 12 - Konfiguracja relacji upoważnienia.