Bezpieczeństwo – polityka w Windows NT
Polityka systemowa w WINDOWS NT
Główne zagadnienia wykładu
Polityka systemowa odnosi się do sterowania roboczym środowiskiem i działaniami użytkowników. Narzuca również konfigurację systemu dla wszystkich komputerów w domenie. Jest to po prostu zbiór reguł określający co użytkownicy mogą robić. Przykładowo może on określać:
n
Restrykcje w zakresie użycia poszczególnych opcji Panelu sterującego.
n Customizacj_
części desktopu.
n Konfigurację ustawień sieciowych.
n
Kontrolowanie logowania i dostępu w sieci.
Politykę systemową można określić dla całej domeny, pojedynczego użytkownika, grupy użytkowników, komputera lub komputerów. Plik polityki systemowej ( system policy file) jest zestawem ustawień rejestrów, nadpisujących obszary rejestrów aktualnego użytkownika i lokalnego komputera. Uaktywnienie polityki polega na utworzeniu pliku NTConfig.pol w katalogu
\winnt\System32\Repl\Import\Scripts głównego kontrolera domeny (PDC). Katalog ten jest zwykle dzielony (udostępniany) jako \\PDC_ servername\Netlogon$.
Do definiowania polityki służy Edytor Polityki Systemowej (System Policy Editor) znajdujący się w grupie narzędzi administracyjnych ( Administrative Tools).
Inicjowanie polityki systemowej
W momencie logowania się użytkownika na dowolnym kontrolerze domeny, system operacyjny ładuje do rejestrów profil tego użytkownika. Następnie następuje sprawdzenie czy w dzielonym katalogu sieciowym Netlogon istnieje plik Ntconfig.pol. Jeżeli plik ten definiuje politykę systemową dla użytkownika, to zawarte w nim ustawienia są włączane do rejestrów użytkownika.
Edytor polityki systemowej umożliwia zmianę ustawień rejestrów komputera lokalnego na dwa sposoby: n
Polityka dla użytkowników modyfikuje poddrzewo HKEY_CURRENT_USER rejestrów. Określa zawartość profilu użytkownika.
n
Polityka dla komputera modyfikuje poddrzewo HKEY_LOCAL_MACHINE.
Jeżeli pomiędzy domenami określona została relacja zaufania, to polityka jest pobierana z domeny zawierającej konto użytkownika.
Edytor polityki systemowej wyświetla dwie ikony. Jedna (Local User) reprezentuje rejestry użytkownika domyślnego ( Default User) a druga (Local Computer) reprezentuje rejestry lokalnego komputera. Można poprzez menu Edit utworzyć dodatkowe ikony reprezentujące porcję rejestrów dla wybranego użytkownika, grupy lub komputera.
Wzory polityki systemowej
Do definiowania polityki systemowej w konfiguracjach mieszanych zawierających Windows NT i Windows 95 można wykorzystać pliki wzorów. Są one instalowane w katalogu \winnt\inf:
Common.adm - określa wspólne ustawienia dla Windows NT i Windows 95.
Winnt.adm - określa ustawienia specyficzne dla Windows NT.
Windows.adm - określa ustawienia specyficzne dla Windows 95.
Wzory można tworzyć i edytować dowolnym edytorem tekstowym. Mogą one być ładowane przez edytor polityki poprzez wykorzystanie polecenia Policy Template w menu Options.
Składnia języka opisu wzorów jest opisana w Windows NT Resource Kit.
Pliki polityki systemowej utworzone dla Windows NT nie mogą być wykorzystywane w Windows 95 i vice versa. Dla Windows 95 polityka systemowa jest przechowywana w pliku Config.pol w katalogu dzielonym Netlogon$ na PDC.
Opracował: Zbigniew Suski
1