Uruchamianie systemu operacyjnego - powtórzenie

Po włączeniu komputera rozpoczyna się dość skomplikowany proces uruchamiania systemu operacyjnego. Błąd na tym etapie uniemożliwia zalogowanie się do systemu. Na szczęście, istnieje klika sposobów na uruchomienie tak uszkodzonego systemu.

Pliki niezbędne do uruchomienia systemu

Częstym powodem błędów występujących podczas uruchamiania systemu Windows XP jest usunięcie lub zmodyfikowanie jednego z niezbędnych plików systemowych. Poniżej zamieściliśmy pełną listę plików wymaganych do uruchomienia systemu operacyjnego wraz z ich lokalizacją.

• Ntldr.exe — główna partycja dysku systemowego (dysku oznaczonego jako aktywny). Plik może być nadpisany wersją oryginalną.

• Boot.ini — główna partycja dysku systemowego. Plik nie może być nadpisany plikiem pochodzącym z innego komputera.

• Bootsect.dos — główna partycja dysku systemowego. Plik obecny tylko w przypadku konfiguracji wielosystemowej. Plik nie może być nadpisany plikiem pochodzącym z innego komputera.

• Ntdetect.com — główna partycja dysku systemowego. Plik może być nadpisany wersją oryginalną.

• Ntoskrnl.exe — folder Windows\System32 (o ile system Windows został zainstalowany w folderze o nazwie Windows). Plik może być nadpisany wersją oryginalną, odpowiednią dla danego typu komputera.

• Ntbootd.sys — główna partycja dysku systemowego. Plik obecny tylko w przypadku zainstalowania systemu Windows na niektórych typach dysków SCSI. Plik może być nadpisany wersją oryginalną, odpowiednią dla danego typu komputera.

• Hal.dll — folder Windows\System32. Plik może być nadpisany wersją oryginalną, odpowiednią dla danego typu komputera.

• System — folder Windows\System32\Config. Plik nie może być nadpisany plikiem pochodzącym z innego komputera.

Dodatkowo, do uruchomienia systemu niezbędne będą sterowniki niskiego poziomu przechowywanych w folderze Windows\System32\Drivers.

Plik Boot.ini

Plik Boot.ini jest plikiem tekstowym tworzonym automatycznie podczas instalacji systemu. Zawiera on informację o lokalizacji wszystkich dostępnych dla loadera systemu Windows XP systemach operacyjnych.

Aby wyświetlić zawartość pliku Boot.ini:

1. Kliknij prawym przyciskiem myszy na ikonie Mój komputer.

2. Z menu kontekstowego wybierz Właściwości.

3. Przejdź do zakładki Zaawansowane.

4. Naciśnij znajdujący się w sekcji Uruchamianie i odzyskiwanie przycisk Ustawienia.

5. Naciśnij przycisk Edytuj.

W pliku Boot.ini znajdują się dwie sekcje:

• sekcja [boot loader] zawiera informacje o domyślnym systemie operacyjnym i czasie, przez jaki wyświetlana jest lista systemów operacyjnych;

• sekcja [operating systems] zawiera informacje o lokalizacji poszczególnych systemów operacyjnych.

Ścieżki ARC

Ścieżka ARC (ang. Advanced RISC Computing) jednoznacznie wskazuje lokalizację systemu operacyjnego. Każda ścieżka ARC zawiera następujące elementy:

• SCSI (x) — numer kontrolera (liczony od 0) SCSI z zablokowanym BIOS-em, do którego podłączony jest dysk systemowy;

• Multi (x) — numer kontrolera (liczony od 0) IDE, do którego podłączony jest dysk systemowy;

• Disk (y) — numer dysku systemowego SCSI (liczony od 0);

• Rdisk (y) — numer dysku systemowego IDE (liczony od 0);

• Partitions (z) — numer partycji systemowej (liczony od 1).

Nieprzemyślana modyfikacja ścieżki ARC spowoduje niemożliwość zlokalizowania plików systemowych i błąd uruchamiania systemu.

Dostęp do konta powtórzenie i uzupełnienie do ćwiczenia uwierzytelnianie

Standardowo każdy użytkownik nowododany do systemu może się zalogować lokalnie na swoje konto jak i przez sieć SMB. Jest to wygodne ale czasem nie pożądane jest takie zachowanie. Dobrym rozwiązaniem jest dla kont, "sieciowych" przydzielić tylko dostęp z sieci, a dla kont "lokalnych" tylko dostęp lokalny. Żeby to uczynić przejdź do "Panelu sterowania" >> "Narzędzia administracyjne" >> "Ustawienia zabezpieczeń lokalnych" i wybieramy w nowo otwartym oknie "Zasady lokalne" i "Przypisywanie praw użytkownikom". Tera wybierz jedną z dwu zasad zależnie od rodzaju konta jaki ma być:

Odmowa dostępu dla tego komputera z sieci - Na tej liście nie może być użytkowników uprawnionych do dostępu z sieci czyli m.in. w większości wypadków nie powinno być tu konta "Gość" jeśli zezwalamy na dostęp gościny. Oczywiście jak jakiś użytkownik lub grupa ma nie mieć dostępu z sieci należy go tutaj dodać.

Odmowa logowania lokalnego - Na tej liście nie może być użytkowników uprawnionych do dostępu lokalnego. Oczywiście jak jakiś użytkownik lub grupa ma nie mieć dostępu do lokalnego logowania należy go tutaj dodać.

Określenie godzin logowania dla danego użytkownika

Komenda net user [użytkownik] /times:<czas | ALL> , gdzie za parametrem /times powinien być podany przedział czasu kiedy użytkownik może się zalogować. Wpierw podajemy dzień tygodnia, skrótowo lub pełną nazwą po angielsku, po przecinku przedział czasu w pełnych godzinach stosując format amerykański. Jeśli chcemy podać więcej przedziałów czasowych należy użyć średnika. I nie należy używać spacji, wszystko piszemy jednym ciągiem począwszy od parametru /times. Dla przykładu:

net user dominik /times:Mo,16-20;Fr,9-12

Oczywiście wprowadzone ograniczenia czasowe można cofnąć

net user dominik /times:ALL

Czyli parametr /times:ALL oznacza że użytkownik może się zawsze zalogować (standardowe zachowanie), ale brak wartości parametru oznacza że użytkownik nigdy nie może się zalogować.

Określenie listy komputerów z jakich dany użytkownik może się logować

Komenda net user [użytkownik] /WORKSTATIONS:<komuter[,...] | * > , gdzie za parametrem /WORKSTATIONS podajemy listę maksymalnie 8 komputerów w sieci (oddzielając przecinkami, bez spacji) z jakich może dany użytkownik się zalogować. Dla przykładu:

net user dominik /WORKSTATIONS:archiwum,192.168.1.20

Oczywiście wprowadzone ograniczenia do logowania się z określonych komputerów można cofnąć

net user dominik /WORKSTATIONS:*

Czyli parametr /WORKSTATIONS:* oznacza że użytkownik może się zalogować z każdego komputera, to samo można osiągnąć pisząc po prostu /WORKSTATIONS: .

Konfiguracja i analiza zabezpieczeń

Kolejnym narzędziem, które oferuje duże możliwości konfiguracji zabezpieczeń systemu jest przystawka Konfiguracja i analiza zabezpieczeń. Jest to narzędzie służące do porównywania aktualnych ustawień komputera z tymi, które są zawarte w szablonie bez wpływu na bieżącą konfigurację. Narzędzie to jest szczególnie przydatne podczas tworzenia i testowania nowych ustawień i (lub) szablonów. Aby skorzystać z Konfiguracji i analizy zabezpieczeń, należy dodać do konsoli odpowiednią przystawkę (można wykorzystać konsolę stworzoną do konfiguracji i przeglądania szablonów). Analiza polega na porównaniu ustawień komputera lokalnego z alternatywną konfiguracją pobraną z szablonu i przechowywaną w osobnej utworzonej specjalnie do porównania bazie (plik .sdb).

Analiza zabezpieczeń

Aby porównać dwie konfiguracje zabezpieczeń:

1. Dodaj do konsoli przystawkę Konfiguracja i analiza zabezpieczeń.

2. Kliknij prawym przyciskiem myszy na przystawkę i wybierz z menu podręcznego Otwieranie bazy danych…

3. Wskaż lokalizację, w której chcesz utworzyć plik bazy oraz nazwę bazy.

4. Kliknij przycisk Otwórz.

5. W oknie Importuj szablon wybierz szablon, który zostanie zaimportowany do bazy. Jest to szablon, z którym będzie porównywana aktualna konfiguracja komputera.

6. Kliknij Otwórz.

7. Ponownie kliknij prawym przyciskiem myszy na przystawkę Konfiguracja i analiza zabezpieczeń i wybierz z menu podręcznego Analizuj komputer teraz…

8. W oknie Wykonywanie analizy wskaż lokalizację, w której będzie zapisany plik dziennika błędów. Plik ten może być potrzebny w późniejszej analizie.

9. Kliknij OK.

Rozpocznie się porównywanie dwóch konfiguracji, na ekranie będzie widoczne okno przedstawiające aktualnie analizowane elementy oraz stan zaawansowania operacji. Po zakończeniu procesu analizy należy sprawdzić jej wyniki, przeglądając ustawienia w oknie szczegółów.

Rysunek 12.1. Analiza zabezpieczeń

Okno szczegółów zawiera trzy kolumny: Zasady - w której znajduje się nazwa analizowanej zasady, Ustawienie bazy danych — gdzie wyświetlane jest ustawienie pobrane z bazy .sdb oraz Ustawienie komputera — zawierające parametry pobrane z komputera lokalnego. Przed nazwą każdej zasady umieszczona jest ikona, która przedstawia wynik analizy. Jeżeli ikona zawiera na czerwonym tle znak x, oznacza to, iż ustawienie komputera jest mniej bezpieczne niż ustawienie proponowane w szablonie. W przypadku gdy ikona zawiera zielony haczyk na białym tle, oznacza to, że ustawienia bazy i komputera są identyczne. Ikona ze znakiem zapytania informuje o tym, że nie została przeprowadzona analiza tej zasady, gdyż w ustawieniach komputera nie została ona w ogóle określona i program nie miał możliwości porównania. Jeżeli ikona nie zawiera żadnych dodatkowych symboli, oznacza to, że zasada nie została zdefiniowana w bazie i nie można było zrobić porównania.

Jeżeli ustawienia proponowane nie są odpowiednie, można je zmodyfikować, klękając na wybraną zasadę prawym klawiszem myszy i wybierając z menu podręcznego Właściwości.

Wprowadzane zmiany są zapisywane w bazie. Aby sprawdzić, jak wypada porównanie zmienionych zasad z zasadami komputera lokalnego, należy ponownie uruchomić analizę

Konfigurowanie zabezpieczeń

Gdy ustawienia odpowiadają wymaganiom bezpieczeństwa, można je zastosować na komputerze lokalnym. Aby to zrobić:

1. Kliknij prawym przyciskiem myszy na przystawkę Konfiguracja i analiza zabezpieczeń.

2. Z menu podręcznego wybierz Konfiguruj komputer teraz…

3. W oknie Konfigurowanie systemu wskaż lokalizację dla pliku dziennika i zatwierdź przyciskiem OK.

Nastąpi przekonfigurowanie ustawień komputera zgodnie z ustawieniami w bazie .sdb.

Jeżeli zdefiniowane ustawienia mają być zastosowane również na innych komputerach, np. gdy w sieci jest wprowadzany standard zabezpieczeń dla wszystkich stacji roboczych, by nie analizować i zmieniać ustawień ręcznie na każdej stacji od początku, można wykorzystać narzędzie Konfiguracja i analiza zabezpieczeń do wyeksportowania nowego szablonu. Aby to zrobić:

1. Zmodyfikuj ustawienia w bazie danych tak, aby odpowiadały Twoim wymaganiom.

2. Kliknij prawym przyciskiem myszy na Konfiguracja i analiza zabezpieczeń.

3. Wybierz z menu podręcznego Eksportuj szablon…

4. Wskaż nazwę i lokalizację dla pliku szablonu, który zostanie utworzony.

5. Kliknij przycisk Zapisz.

Został zapisany nowy plik szablonu, który można wykorzystać na innych komputerach w celu ich przekonfigurowania. Aby to zrobić, należy wykorzystać narzędzie Konfiguracja i analiza zabezpieczeń, a stworzony szablon wykorzystać jako źródło ustawień dla bazy danych lub skorzystać z Zasady zabezpieczeń lokalnych w celu załadowania szablonu. Aby to zrobić:

1. Uruchom konsolę Zasady zabezpieczeń lokalnych.

2. Kliknij prawym przyciskiem myszy na Ustawienia zabezpieczeń.

3. Wybierz z menu podręcznego Importuj zasady…

4. Wskaż plik szablonu, który chcesz importować.

5. Kliknij Otwórz.

Zostaną załadowane do ustawień lokalnego komputera ustawienia pobrane z szablonu.

Zarządzanie zasadami zabezpieczeń z Wiersza polecenia

Zarządzanie zasadami zabezpieczeń można prowadzić także z poziomu Wiersza polecenia. Operacje wykonywane w wierszu polecenia umożliwiają konfigurację zabezpieczeń przy wykorzystaniu skryptów. Polecenie, które jest wykorzystywane do zarządzania zabezpieczeniami to secedit.exe. To polecenie posiada kilka funkcji, które nie są dostępne z poziomu graficznego interfejsu użytkownika. Jedną z takich funkcji jest manualne odświeżanie zasad zabezpieczeń.

Za pomocą polecenia secedit.exe można wykonać pięć operacji:

• Przełączniki /analyze, /configure oraz /export odpowiadają tym samym operacjom, które są dostępne w programie Konfiguracja i analiza zabezpieczeń. Wymagają one wskazania przełącznikiem /db bazy, która będzie wykorzystywana podczas pracy polecenia secedit. Przełącznikiem /cfg można wskazać szablon przeznaczony do importu. Obsługiwany jest również specjalny tryb pracy, który pomija wyświetlanie danych wyjściowych na ekranie oraz zapisywanie ich do pliku dziennika. Możliwe jest jednak przeglądanie wyników działania polecenia narzędziem Konfiguracja i analiza zabezpieczeń.

• Gdy korzystamy z przełącznika /configure, możliwe jest użycie przełącznika /overwrite, który powoduje, że szablon wskazany przełącznikiem /cfg nadpisuje ustawienia, które znajdują się w pliku bazy danych. Jeżeli nie zostanie wykorzystany przełącznik /overwrite, importowany szablon domyślnie dopisuje się do bazy. Przełącznik /areas określa obszary ustawień, które będą podlegały zmianą konfiguracyjnym.

Inspekcja dostępu do zasobów

Jedną z możliwości Windows XP jest śledzenie aktywności użytkowników i systemu operacyjnego poprzez inspekcjonowanie dostępu do zasobów oraz składników systemu. Prowadzenie inspekcji pozwala ocenić ogólny poziom bezpieczeństwa systemu oraz monitorować dostęp do zasobów takich jak drukarki, foldery, pliki. Inspekcja daje możliwość wykrywania (rejestracji) prób nieautoryzowanego dostępu do systemu. Każda sytuacja, która podlega inspekcji nazywana jest zdarzeniem. Wszystkie zdarzenia inspekcji są zapisywane w dzienniku zabezpieczeń, który można w wygodny sposób przeglądać za pomocą narzędzia Podgląd zdarzeń. Każdy wpis w dzienniku zawiera:

• Identyfikację wykonanego działania.

• Nazwę użytkownika wykonującego określone działanie.

• Informację o tym czy działanie zakończyło się sukcesem czy niepowodzeniem.

• Dodatkowe informacje takie jak nazwa komputera z którego użytkownik próbował wykonać działanie.

Aby system mógł rejestrować zdarzenia, musi zostać włączony mechanizm inspekcji oraz skonfigurowane rodzaje zdarzeń, które będą podlegały inspekcji. To czy i co dany komputer rejestruje jest ustawiane w zasadach grupy.

Zdarzenia są rejestrowane lokalnie, co oznacza, że aby został utworzony wpis w dzienniku zabezpieczeń, musi zostać uruchomiona i skonfigurowana inspekcja na komputerze, na którym zachodzi zdarzenie. Jeżeli np. użytkownik loguje się do komputera należącego do domeny na konto domenowe, zachodzi zdarzenie logowania na konto (opisane dalej w tym rozdziale) — aby fakt ten został zarejestrowany, musi być uruchomiona zasada Przeprowadź inspekcję zdarzeń logowania na kontach na kontrolerze domeny, który autoryzował użytkownika, a nie na stacji roboczej, do której logował się użytkownik.

Wybór zdarzeń do inspekcji

By poprawnie skonfigurować inspekcję zdarzeń, należy ustalić, jaki rodzaj zdarzeń będzie podlegał rejestrowaniu. Spośród wielu zdarzeń, jakie zachodzą w każdym systemie zostały zdefiniowane typy zdarzeń, które mogą podlegać inspekcji. Oto ich lista:

Nazwa zasady	Przykład
Przeprowadź inspekcję zdarzeń logowania na kontach	Nazwa i hasło użytkownika są weryfikowane w bazie danych zabezpieczeń. Jeżeli użytkownik loguje się do komputera wykorzystując lokalne konto użytkownika, zdarzenie jest zapisywane na komputerze lokalnym. Jeżeli loguje się do domeny korzystając z konta domenowego, zdarzenie jest zapisywane na kontrolerze domeny.
Przeprowadź inspekcję zarządzania kontami	Administrator przeprowadza operację na kontach. Tworzy, modyfikuje lub usuwa konto użytkownika.
Przeprowadź inspekcję dostępu do usługi katalogowej	Użytkownik uzyskuje dostęp do obiektów usługi Active Directory. Aby zdarzenie zostało zarejestrowane, należy wskazać, które obiekty mają być inspekcjonowane. Zasada wykorzystywana na kontrolerze domeny.
Przeprowadź inspekcję zdarzeń logowania	Zapisywane jest każde zdarzenie logowania. Logowanie lokalne na komputerze lub przez sieć. Zdarzenie zapisywane jest na komputerze, do którego użytkownik uzyskiwał dostęp.
Przeprowadź inspekcję dostępu do obiektów	Użytkownik uzyskuje dostęp do pliku, folderu lub drukarki. Aby zdarzenie było rejestrowane, administrator musi ustalić, które obiekty będą inspekcjonowane.
Przeprowadź inspekcję zmian zasad	Zdarzenie następuje, gdy zostaje zmieniona opcja zabezpieczeń, czyli jedno z ustawień zasad bezpieczeństwa dotyczące zasad konta, ustawień logowania, praw użytkownika lub zasad inspekcji.
Przeprowadź inspekcję użycia uprawnień	Użytkownik wykorzystał swoje prawa takie jak zmiana czasu systemowego lub przejęcie przez administratora pliku na własność.
Przeprowadź inspekcję śledzenia procesów	Szczegółowe śledzenie procesów wywoływanych przez aplikacje. Użyteczne dla programistów rejestrujących poszczególne etapy działania aplikacji.
Przeprowadź inspekcję zdarzeń systemowych	Zachodzi zdarzenie mające wpływ na pracę systemu. Ustawienie to obejmuje takie zdarzenia jak: uruchomienie lub zamknięcie systemu, przepełnienie dziennika zabezpieczeń.

Planowanie zasad inspekcji

Podczas ustawiania zasad inspekcji należy pamiętać o ich właściwym zaplanowaniu, ponieważ zbyt duża ilość zdarzeń podlegających inspekcji może powodować szybkie przepełnianie dziennika zabezpieczeń oraz niepotrzebne obciążenie komputera. Inspekcję trzeba planować tak, by obejmowała wyłącznie te zdarzenia, które zapewnią informacje przydatne w analizie zabezpieczeń oraz dostępu do zasobów. Przy planowaniu inspekcji weź pod uwagę poniższe wskazówki:

• Należy określić komputery, na których będzie prowadzona inspekcja. Zwykle nie wszystkie komputery wymagają inspekcji, której powinny podlegać tylko komputery, których bezpieczeństwo jest szczególnie ważne lub dysponują zasobami, które powinny podlegać inspekcji np. kolorowa drukarka laserowa, której eksploatacja jest kosztowna.

• Określić typy zdarzeń podlegające inspekcji. Najczęściej tylko wybrane zasady inspekcji są uruchamiane i nie ma potrzeby włączania wszystkich.

• Określić, czy śledzone będą działania zakończone sukcesem czy niepowodzeniem. System Windows XP dzieli zdarzenia na udane i nieudane. W większości sytuacji wystarczy śledzić tylko jeden typ działania. Na przykład, gdy chcemy wiedzieć, czy ktoś próbuje się włamywać do komputera, należy włączyć zasadę Przeprowadź inspekcję zdarzeń logowania na kontach dla niepowodzeń, co spowoduje rejestracje wyłącznie nieudanych prób logowania.

• Ustalić harmonogram pracy z dziennikami zabezpieczeń. Powinien on wyznaczać czas archiwizacji dzienników, systematyczne przeglądanie ich zawartości.

Uruchamianie zasad inspekcji

Po zaplanowaniu zasad inspekcji należy je wdrożyć na wybranych komputerach. Aby to zrobić, należy wykonać następujące czynności:

1. Uruchom konsolę Zasady zabezpieczeń lokalnych.

2. W drzewie konsoli rozwiń gałąź Zasady lokalne następnie kliknij Zasady inspekcji.

3. W oknie szczegółów kliknij dwukrotnie zasadę, którą chcesz skonfigurować.

4. W oknie Właściwości zaznacz odpowiednie pola wyboru Sukces - by rejestrować zdarzenia zakończone sukcesem, Niepowodzenie - w przeciwnym przypadku lub oba, gdy chcesz rejestrować sukcesy i niepowodzenia.

Rysunek 12.5. Właściwości zasady inspekcji

5. Kliknij OK, aby zatwierdzić.

Zasady Przeprowadź inspekcję dostępu do usługi katalogowej oraz Przeprowadź inspekcję dostępu do obiektów, aby zaczęły funkcjonować prawidłowo, wymagają wskazania obiektów, które będą podlegały inspekcji. Pierwsza z wymienionych zasad dotyczy usługi Active Directory, a jej obsługa wykracza po za tematykę tej książki, natomiast druga dotyczy inspekcji dostępu do zasobów. W ramach inspekcji dostępu do zasobów system Windows XP rejestruje zdarzenia dotyczące systemu plików oraz drukarek. Jedynym systemem plików, który obsługuje inspekcję jest NTFS, tylko pliki i foldery znajdujące się na partycji NTFS mogą podlegać inspekcji. Aby uruchomić inspekcję pliku lub folderu, należy włączyć zasadę Przeprowadź inspekcję dostępu do obiektów, by rejestrowała sukcesy i (lub) niepowodzenia następnie należy wybrać obiekty, których będzie dotyczyła inspekcja. By to zrobić wykonaj następujące czynności:

1. Prawym przyciskiem myszy kliknij na folder lub plik.

2. Z menu podręcznego wybierz Właściwości.

3. Wybierz kartę Zabezpieczenia.

4. Kliknij przycisk Zaawansowane.

5. W oknie Zaawansowane ustawienia zabezpieczeń dla wybierz kartę Inspekcja.

6. Kliknij przycisk Dodaj…

7. W oknie Wybieranie wybierz użytkownika lub grupę, których działania będą rejestrowane i kliknij OK.

8. W oknie Wpisz inspekcji dla wybierz, jakie działania użytkownika lub grupy będą inspekcjonowane.

Rysunek 12.6. Ustawienia wpisu inspekcji

9. Kliknij przycisk OK trzykrotnie.

Definiowanie inspekcji dostępu do drukarek wygląda podobnie, również należy wykonać powyższe kroki, rozpoczynając od wyświetlenia okna Właściwości drukarki. Jedyna różnica polega na tym, iż inne są operacje, jakie można rejestrować.

---