Zasady grupy

Zasady grupy (ang. Group Policies) to obiekty zawierające zbiór ustawień konfiguracyjnych systemu. Zasady te obejmują ustawienia dla komputera oraz dla użytkownika. Można zaryzykować stwierdzenie, że dzięki zasadom grup można skonfigurować każdy element systemu Windows XP począwszy od instalacji oprogramowania przez konfiguracje środowiska użytkownika po zaawansowane opcje zabezpieczeń. Ustawienia zasad grup są przechowywane w obiektach GPO (ang. Group Policy Object).

Obiekty GPO mogą być lokalne dla komputera lub domenowe, przechowywane w usłudze Active Directory. Jeżeli komputer należy do grupy roboczej dotyczą go wyłącznie ustawienie lokalnych zasad grup, natomiast gdy należy do domeny, na konfigurację komputera wpływają również obiekty GPO stworzone przez administratora domeny.

 Wszystkie zasady grupy zostały podzielone na dwie zasadnicze części Konfiguracja komputera i Konfiguracja użytkownika. Pierwsze ustawienia dotyczą parametrów komputera, które są ładowane podczas startu systemu jeszcze przed logowanie użytkownika. Drugie dotyczą ustawień specyficznych dla użytkownika i są ładowane w momencie logowania do systemu.

Zasady zabezpieczeń lokalnych

Windows XP zawiera szereg przystawek do konsoli MMC, które ułatwiają zarządzanie obiektami GPO. Jedną z nich jest przystawka Zasady grupy, którą wykorzystano do utworzenia predefiniowanej konsoli Zasady zabezpieczeń lokalnych (ang. Local security policy).

Predefiniowana konsola Zasady zabezpieczeń lokalnych zawiera przystawkę Zasady grupy, jednakże w celu uproszczenia jej obsługi zostały wyłączone niektóre rozszerzenia.

Za pomocą konsoli Zasady zabezpieczeń lokalnych użytkownik z uprawnieniami administratora może dowolnie skonfigurować zasady bezpieczeństwa komputera lokalnego. Zostały one podzielone na następujące grupy:

• Zasady konta
  Do których należą ustawienia blokowania konta oraz zasady haseł.

• Zasady lokalne
  Obejmujące zasady inspekcji, opcje zabezpieczeń i przypisywanie praw użytkownika.

• Zasady kluczy publicznych
  Ustawienia szyfrowania plików.

• Zasady ograniczeń oprogramowania

• Zasady zabezpieczeń IP

Konsola Zasady zabezpieczeń lokalnych

Każda z ww. grup zawiera listę ustawień, które można konfigurować, często lista ta jest bardzo obszerna. Poniżej zostały opisane najważniejsze ustawienia oraz ich wpływ na działanie systemu.

Ustawienia z grupy Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady konta\Zasady haseł

Podając powyższą lokalizację grupy oraz wszystkie kolejne lokalizacje złożyliśmy, iż do konfiguracji używana jest przystawka konsoli MMC Zasady grupy. Jeżeli wykorzystujesz predefiniowaną konsolę Zasady zabezpieczeń lokalnych, należy pominąć dwa pierwsze człony.

• Hasło musi spełniać wymagania co do złożoności
  Określa ono, czy hasła do kont użytkowników muszą spełniać wymagania co do złożoności znaków. Wymagania są następujące:

• Nie mogą zawierać fragmentu lub całej nazwy konta użytkownika.

• Muszą mieć długość minimum sześciu znaków.

• Muszą zawierać znaki z trzech kategorii: Wielkie litery od A do Z, małe litery od a do z, 10 cyfr podstawowych od 0 do 9, znaki specjalne (;!,@#$*&).

• Minimalny okres ważności hasła
  Określa czas ustalany w dniach, jaki musi obowiązywać hasło użytkownika, aby mógł je zmienić. Ustawienie to doskonale uzupełnia się z ustawieniem Wymuszaj tworzenie historii haseł i zapobiega zmienianiu hasła kilkakrotnie raz za razem, aby wrócić do poprzedniego.

• Maksymalny okres ważności hasła
  Definiuje, ile dni użytkownik może używać hasła, zanim wygaśnie jego ważność.

• Minimalna długość hasła
  Ustawia minimalną liczbę znaków, jaką musi posiadać hasło.

• Wymuszaj tworzenie historii haseł
  Jeżeli jest włączone, system zapamiętuje określoną liczbę zmian hasła w celu zmuszenia użytkowników do używania różnych haseł.

• Zapisz hasła dla wszystkich użytkowników w domenie, korzystając z szyfrowania odwracalnego
  Niektóre protokoły do poprawnego działania wymagają, aby hasło było przechowywane w postaci zaszyfrowanej odwracalnym algorytmem.

Ustawienia z grupy Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady konta\Zasady konta

·         Próg blokady konta
Określa, po ilu nieudanych próbach logowania konto zostanie zablokowane.

·         Czas trwania blokady
Ustawia czas, po którym zablokowane konto automatycznie zostanie odblokowane.

·         Wyzeruj liczniki blokady konta po
Określa, po jakim czasie pomiędzy jednym nieudanym logowaniem a następnym, licznik blokady zostanie wyzerowany.

Ustawienia z grupy Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń

• Logowanie interakcyjne: nie wyświetlaj nazwy ostatniego użytkownika
  Jeżeli ustawienie jest włączone, nazwa użytkownika, który ostatnio logował się do komputera, nie jest wyświetlana. Ustawienie znajduje zastosowanie w sytuacji, gdy nie jest stosowany ekran powitalny.

• Logowanie interakcyjne: nie wymagaj naciśnięcia klawiszy CTRL+ALT+DEL
  Gdy włączone, nie wymaga od użytkownika naciśnięcia ww. kombinacji klawiszy w celu przejścia do okna logowania. Ustawienie to jest domyślnie wyłączone na komputerach należących do domeny. Gdy komputer pracuje w grupie roboczej, jest włączone.

• Logowanie interakcyjne: tekst komunikatu dla użytkowników próbujących się zalogować
  Ustawienie pozwala na wpisanie treści komunikatu, który będzie się pojawiał po naciśnięciu kombinacji klawiszy CTRL+ALT+DEL.
  
  Aby komunikat się pojawił, musi być wyłączony ekran powitalny oraz wymagane naciśnięcie klawiszy CTRL+ALT+DEL.

• Logowanie interakcyjne: tytuł komunikatu dla użytkowników próbujących się zalogować
  Definiuje tytuł pojawiający się na górnej belce okna komunikatu.

• Logowanie interakcyjne: monituj użytkownika o zmianę hasła przed jego wygaśnięciem
  Ustala, ile dni przed wygaśnięciem hasła, użytkownik będzie informowany o potrzebie jego zmiany. Parametr ten powinien być ustawiony tak, aby ilość dni nie była większa niż wartość parametru Maksymalny okres ważności hasła pomniejszona o Minimalny okres ważności hasła.

• Zamknięcie: zezwalaj na zamykanie systemu bez konieczności załogowania
  Ustala, czy komputer system może być wyłączany przez użytkownika, który nie jest zalogowany. Jeżeli ustawienie jest włączone, na ekranie powitalnym lub w oknie logowania uaktywnia się przycisk Zamknij system.

Ustawienia z grupy Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisywanie praw użytkownika

• Logowanie lokalne
  Zezwala wszystkim użytkownikom i grupom dodanym do ustawień tej zasady na logowanie lokalne do komputera.

• Odmowa logowania lokalnego
  Zabrania logowania lokalnego użytkownikom i grupom dopisanym do tej zasady. Ustawienie odmowy nadpisuje ustawienie przyzwolenia.

• Uzyskiwanie dostępu do tego komputera z sieci
  Zezwala na dostęp do komputera za pomocą sieci. Aby użytkownik mógł korzystać z udostępnionych zasobów, musi mieć nadane to uprawnienie na komputerze, który udostępnia wspomniane zasoby.

• Odmowa dostępu do tego komputera z sieci
  Odmawia dostępu do komputera przez sieć. Odmowa nadpisuje przyzwolenie.

Ustawienia z grupy Konfiguracja użytkownika\Szablony administracyjne\System\Opcje klawiszy CTRL+ALT+DEL

• Usuń Menedżera zadań
  Zabrania użytkownikom uruchamiania programu Menedżer zadań (taskmgr.exe).

• Usuń opcję zablokuj komputer
  Zapobiega blokowaniu systemu przez komputer.

• Usuń opcję Zmień hasło
  Uniemożliwia użytkownikom zmianę swoich haseł do systemu Windows. Blokuje przycisk Zmień hasło.

• Usuń wylosowywanie
  Blokuje możliwość wylogowywania się użytkownika.

 

To tylko niektóre ustawienia zasad bezpieczeństwa. Lista ustawień jest znacznie dłuższa, lecz niepotrzebne jest dokładne omawianie wszystkich parametrów.

Modyfikowanie zasad zabezpieczeń

Każdą zasadę zabezpieczeń można zmodyfikować, należy jednak przy tym pamiętać, że nieprzemyślana modyfikacja może mieć negatywny wpływ na działanie systemu. Dobrą praktyką jest modyfikowanie zasad na komputerze testowym, zanim zostaną one wprowadzone na komputery pracujące w środowisku produkcyjnym. Aby ustrzec się przed nieoczekiwanymi problemami, zaleca się postępowanie w następujący sposób:

1. Zainstaluj na komputerze system Windows XP w identycznej konfiguracji jak w środowisku produkcyjnym.

2. Modyfikuj ustawienia zasad pojedynczo. Pozwoli to na szybki powrót do sytuacji z przed modyfikacji.

3. Po każdej zmianie testuj ustawienia.

4. Dopiero gdy wszystko zostało sprawdzone i przetestowane, powinno nastąpić wprowadzenie nowych zasad na pozostałe komputery.

Aby zmodyfikować ustawienia zasad:

1. Otwórz odpowiednią konsolę np. Zasady zabezpieczeń lokalnych.

2. Prawym przyciskiem myszy kliknij na ustawienie, które chcesz modyfikować i wybierz z menu podręcznego Właściwości.

3. Ustaw parametry zasady. W większości przypadków będą to dwie opcje Włącz lub Wyłącz, jednakże niektóre zasady wymagają dodatkowych parametrów liczbowych lub tekstowych.

4. Kliknij OK, aby zatwierdzić zmiany.

Szablony zabezpieczeń

Ponieważ bardzo duża ilość ustawień konfiguracyjnych obiektów GPO może sprawiać trudności podczas doboru właściwych wartości dla poszczególnych ustawień, system Windows XP został wyposażony w kilka gotowych szablonów zabezpieczeń oraz narzędzia służące do ich implementacji w systemie. Szablony zabezpieczeń to predefiniowane ustawienia, które występują w postaci plików z rozszerzeniem .inf i umieszczone są w następującym folderze %systemroot%\security\templates. Można je wykorzystywać podczas konfigurowania zasad bezpieczeństwa komputera. Aby było to możliwe, należy stworzyć konsolę zawierającą przystawkę Szablony zabezpieczeń. W konsoli tej zostaną wyświetlone w uporządkowany sposób wszystkie szablony oraz ich ustawienia.

Konsola z przystawką Szablony zabezpieczeń

Poziomy zabezpieczeń

Predefiniowane szablony zabezpieczeń różnią się poziomem bezpieczeństwa, jaki zapewniają zawarte w nich ustawienia. Zostały one tak przygotowane, aby odpowiadały najczęstszym wymaganiom. Zawierają cztery poziomy zabezpieczeń: podstawowy (setup), zgodny (compatible), bezpieczny (secure) oraz wysoki (high).

Katalog %systemroot%\security\templates zawiera szablony, które są przeznaczone dla serwerów i stacji roboczych oraz dla kontrolerów domeny. Istotne jest, aby konfigurując Windows XP, używać szablonów przeznaczonych dla stacji roboczych. Rozróżnić można je dzięki ostatnim dwóm znakom w nazwie, są to litery ws.

• Poziom podstawowy
  Jest to standardowy poziom zabezpieczeń, jaki jest stosowany podczas instalacji systemu Windows XP.
  Nazwa szablonu setup security.

• Poziom zgodny
  Wyższy poziom zabezpieczeń zapewniający działanie wszystkich aplikacji biurowych.
  Nazwa szablonu compatws.

• Poziom bezpieczny
  Określa konfigurację wysokiego poziomu zabezpieczeń, lecz jego wykorzystanie nie daje pewności, że wszystkie aplikacje i (lub) ich funkcje będą działać prawidłowo.
  Nazwa szablonu: securews.

• Poziom wysoki
  Zapewnia maksymalny poziom zabezpieczeń systemu Windows XP, który został osiągnięty kosztem poprawnej pracy aplikacji.
  Nazwa szablonu: hisecws.

Modyfikowanie szablonów

Predefiniowane szablony należy traktować jako punkt wyjścia do dalszej konfiguracji. Każdy z predefiniowanych szablonów można zmodyfikować i zapisać jako nowy szablon. Aby to wykonać:

1. Otwórz konsolę zawierającą przystawkę Szablony zabezpieczeń.

2. Wybierz szablon, który chcesz modyfikować następnie rozwiń jego strukturę w drzewie konsoli.

3. Zmodyfikuj wybrane ustawienia.

Podczas modyfikacji ustawień użytkownik ma zwykle trzy możliwości. Jeżeli pole wyboru Definiuj w szablonie następujące ustawienie zasad jest niezaznaczone, dane ustawienie będzie niezdefiniowane, co oznacza, że ustawienie to nie zmienia nic w konfiguracji komputera i pozostawia ją bez zmian. W przeciwnym przypadku należy dodatkowo wybrać jedną z dwóch opcji Włączone lub Wyłączone.

Modyfikowanie zasady zabezpieczeń

Opisana powyżej procedura modyfikacji ustawień nie dotyczy wszystkich zasad. Niektóre zasady wymagają dodatkowej konfiguracji np. wpisania ilości dni lub innych parametrów typu liczbowego lub tekstowego.

1. Kliknij prawym klawiszem myszy na nazwę szablonu i z menu podręcznego wybierz Zapisz jako…

2. Wskaż lokalizację oraz nazwę dla nowego szablonu.

3. Kliknij Zapisz.

Po zapisaniu na liście dostępnych szablonów pojawi się nowa pozycja.

Konfiguracja i analiza zabezpieczeń

Kolejnym narzędziem, które oferuje duże możliwości konfiguracji zabezpieczeń systemu jest przystawka Konfiguracja i analiza zabezpieczeń. Jest to narzędzie służące do porównywania aktualnych ustawień komputera z tymi, które są zawarte w szablonie bez wpływu na bieżącą konfigurację. Narzędzie to jest szczególnie przydatne podczas tworzenia i testowania nowych ustawień i (lub) szablonów. Aby skorzystać z Konfiguracji i analizy zabezpieczeń, należy dodać do konsoli odpowiednią przystawkę (można wykorzystać konsolę stworzoną do konfiguracji i przeglądania szablonów). Analiza polega na porównaniu ustawień komputera lokalnego z alternatywną konfiguracją pobraną z szablonu i przechowywaną w osobnej utworzonej specjalnie do porównania bazie (plik .sdb).

Analiza zabezpieczeń

Aby porównać dwie konfiguracje zabezpieczeń:

1. Dodaj do konsoli przystawkę Konfiguracja i analiza zabezpieczeń.

2. Kliknij prawym przyciskiem myszy na przystawkę i wybierz z menu podręcznego Otwieranie bazy danych…

3. Wskaż lokalizację, w której chcesz utworzyć plik bazy oraz nazwę bazy.

4. Kliknij przycisk Otwórz.

5. W oknie Importuj szablon wybierz szablon, który zostanie zaimportowany do bazy. Jest to szablon, z którym będzie porównywana aktualna konfiguracja komputera.

6. Kliknij Otwórz.

7. Ponownie kliknij prawym przyciskiem myszy na przystawkę Konfiguracja i analiza zabezpieczeń i wybierz z menu podręcznego Analizuj komputer teraz…

8. W oknie Wykonywanie analizy wskaż lokalizację, w której będzie zapisany plik dziennika błędów. Plik ten może być potrzebny w późniejszej analizie.

9. Kliknij OK.

Rozpocznie się porównywanie dwóch konfiguracji, na ekranie będzie widoczne okno przedstawiające aktualnie analizowane elementy oraz stan zaawansowania operacji. Po zakończeniu procesu analizy należy sprawdzić jej wyniki, przeglądając ustawienia w oknie szczegółów.

Analiza zabezpieczeń

Okno szczegółów zawiera trzy kolumny: Zasady - w której znajduje się nazwa analizowanej zasady, Ustawienie bazy danych — gdzie wyświetlane jest ustawienie pobrane z bazy .sdb oraz Ustawienie komputera — zawierające parametry pobrane z komputera lokalnego. Przed nazwą każdej zasady umieszczona jest ikona, która przedstawia wynik analizy. Jeżeli ikona zawiera na czerwonym tle znak x, oznacza to, iż ustawienie komputera jest mniej bezpieczne niż ustawienie proponowane w szablonie. W przypadku gdy ikona zawiera zielony haczyk na białym tle, oznacza to, że ustawienia bazy i komputera są identyczne. Ikona ze znakiem zapytania informuje o tym, że nie została przeprowadzona analiza tej zasady, gdyż w ustawieniach komputera nie została ona w ogóle określona i program nie miał możliwości porównania. Jeżeli ikona nie zawiera żadnych dodatkowych symboli, oznacza to, że zasada nie została zdefiniowana w bazie i nie można było zrobić porównania.

Jeżeli ustawienia proponowane nie są odpowiednie, można je zmodyfikować, klękając na wybraną zasadę prawym klawiszem myszy i wybierając z menu podręcznego Właściwości.

Wprowadzane zmiany są zapisywane w bazie. Aby sprawdzić, jak wypada porównanie zmienionych zasad z zasadami komputera lokalnego, należy ponownie uruchomić analizę

Konfigurowanie zabezpieczeń

Gdy ustawienia odpowiadają wymaganiom bezpieczeństwa, można je zastosować na komputerze lokalnym. Aby to zrobić:

1. Kliknij prawym przyciskiem myszy na przystawkę Konfiguracja i analiza zabezpieczeń.

2. Z menu podręcznego wybierz Konfiguruj komputer teraz…

3. W oknie Konfigurowanie systemu wskaż lokalizację dla pliku dziennika i zatwierdź przyciskiem OK.

Nastąpi przekonfigurowanie ustawień komputera zgodnie z ustawieniami w bazie .sdb.

Jeżeli zdefiniowane ustawienia mają być zastosowane również na innych komputerach, np. gdy w sieci jest wprowadzany standard zabezpieczeń dla wszystkich stacji roboczych, by nie analizować i zmieniać ustawień ręcznie na każdej stacji od początku, można wykorzystać narzędzie Konfiguracja i analiza zabezpieczeń do wyeksportowania nowego szablonu. Aby to zrobić:

1. Zmodyfikuj ustawienia w bazie danych tak, aby odpowiadały Twoim wymaganiom.

2. Kliknij prawym przyciskiem myszy na Konfiguracja i analiza zabezpieczeń.

3. Wybierz z menu podręcznego Eksportuj szablon…

4. Wskaż nazwę i lokalizację dla pliku szablonu, który zostanie utworzony.

5. Kliknij przycisk Zapisz.

Został zapisany nowy plik szablonu, który można wykorzystać na innych komputerach w celu ich przekonfigurowania. Aby to zrobić, należy wykorzystać narzędzie Konfiguracja i analiza zabezpieczeń, a stworzony szablon wykorzystać jako źródło ustawień dla bazy danych lub skorzystać z Zasady zabezpieczeń lokalnych w celu załadowania szablonu. Aby to zrobić:

1. Uruchom konsolę Zasady zabezpieczeń lokalnych.

2. Kliknij prawym przyciskiem myszy na Ustawienia zabezpieczeń.

3. Wybierz z menu podręcznego Importuj zasady…

4. Wskaż plik szablonu, który chcesz importować.

5. Kliknij Otwórz.

Zostaną załadowane do ustawień lokalnego komputera ustawienia pobrane z szablonu.

Zarządzanie zasadami zabezpieczeń z Wiersza polecenia

Zarządzanie zasadami zabezpieczeń można prowadzić także z poziomu Wiersza polecenia. Operacje wykonywane w wierszu polecenia umożliwiają konfigurację zabezpieczeń przy wykorzystaniu skryptów. Polecenie, które jest wykorzystywane do zarządzania zabezpieczeniami to secedit.exe. To polecenie posiada kilka funkcji, które nie są dostępne z poziomu graficznego interfejsu użytkownika. Jedną z takich funkcji jest manualne odświeżanie zasad zabezpieczeń.

Za pomocą polecenia secedit.exe można wykonać pięć operacji:

• Przełączniki /analyze, /configure oraz /export odpowiadają tym samym operacjom, które są dostępne w programie Konfiguracja i analiza zabezpieczeń. Wymagają one wskazania przełącznikiem /db bazy, która będzie wykorzystywana podczas pracy polecenia secedit. Przełącznikiem /cfg można wskazać szablon przeznaczony do importu. Obsługiwany jest również specjalny tryb pracy, który pomija wyświetlanie danych wyjściowych na ekranie oraz zapisywanie ich do pliku dziennika. Możliwe jest jednak przeglądanie wyników działania polecenia narzędziem Konfiguracja i analiza zabezpieczeń.

• Gdy korzystamy z przełącznika /configure, możliwe jest użycie przełącznika /overwrite, który powoduje, że szablon wskazany przełącznikiem /cfg nadpisuje ustawienia, które znajdują się w pliku bazy danych. Jeżeli nie zostanie wykorzystany przełącznik /overwrite, importowany szablon domyślnie dopisuje się do bazy. Przełącznik /areas określa obszary ustawień, które będą podlegały zmianą konfiguracyjnym.

Inspekcja dostępu do zasobów

Jedną z możliwości Windows XP jest śledzenie aktywności użytkowników i systemu operacyjnego poprzez inspekcjonowanie dostępu do zasobów oraz składników systemu. Prowadzenie inspekcji pozwala ocenić ogólny poziom bezpieczeństwa systemu oraz monitorować dostęp do zasobów takich jak drukarki, foldery, pliki. Inspekcja daje możliwość wykrywania (rejestracji) prób nieautoryzowanego dostępu do systemu. Każda sytuacja, która podlega inspekcji nazywana jest zdarzeniem. Wszystkie zdarzenia inspekcji są zapisywane w dzienniku zabezpieczeń, który można w wygodny sposób przeglądać za pomocą narzędzia Podgląd zdarzeń. Każdy wpis w dzienniku zawiera:

• Identyfikację wykonanego działania.

• Nazwę użytkownika wykonującego określone działanie.

• Informację o tym czy działanie zakończyło się sukcesem czy niepowodzeniem.

• Dodatkowe informacje takie jak nazwa komputera z którego użytkownik próbował wykonać działanie.

Aby system mógł rejestrować zdarzenia, musi zostać włączony mechanizm inspekcji oraz skonfigurowane rodzaje zdarzeń, które będą podlegały inspekcji. To czy i co dany komputer rejestruje jest ustawiane w zasadach grupy.

Zdarzenia są rejestrowane lokalnie, co oznacza, że aby został utworzony wpis w dzienniku zabezpieczeń, musi zostać uruchomiona i skonfigurowana inspekcja na komputerze, na którym zachodzi zdarzenie. Jeżeli np. użytkownik loguje się do komputera należącego do domeny na konto domenowe, zachodzi zdarzenie logowania na konto (opisane dalej w tym rozdziale) — aby fakt ten został zarejestrowany, musi być uruchomiona zasada Przeprowadź inspekcję zdarzeń logowania na kontach na kontrolerze domeny, który autoryzował użytkownika, a nie na stacji roboczej, do której logował się użytkownik.

Wybór zdarzeń do inspekcji

By poprawnie skonfigurować inspekcję zdarzeń, należy ustalić, jaki rodzaj zdarzeń będzie podlegał rejestrowaniu. Spośród wielu zdarzeń, jakie zachodzą w każdym systemie zostały zdefiniowane typy zdarzeń, które mogą podlegać inspekcji. Oto ich lista:

Nazwa zasady	Przykład
Przeprowadź inspekcję zdarzeń logowania na kontach	Nazwa i hasło użytkownika są weryfikowane w bazie danych zabezpieczeń. Jeżeli użytkownik loguje się do komputera wykorzystując lokalne konto użytkownika, zdarzenie jest zapisywane na komputerze lokalnym. Jeżeli loguje się do domeny korzystając z konta domenowego, zdarzenie jest zapisywane na kontrolerze domeny.
Przeprowadź inspekcję zarządzania kontami	Administrator przeprowadza operację na kontach. Tworzy, modyfikuje  lub usuwa konto użytkownika.
Przeprowadź inspekcję dostępu do usługi katalogowej	Użytkownik uzyskuje dostęp do obiektów usługi Active Directory. Aby zdarzenie zostało zarejestrowane, należy wskazać, które obiekty mają być inspekcjonowane. Zasada wykorzystywana na kontrolerze domeny.
Przeprowadź inspekcję zdarzeń logowania	Zapisywane jest każde zdarzenie logowania. Logowanie lokalne na komputerze lub przez sieć. Zdarzenie zapisywane jest na komputerze, do którego użytkownik uzyskiwał dostęp.
Przeprowadź inspekcję dostępu do obiektów	Użytkownik uzyskuje dostęp do pliku, folderu lub drukarki. Aby zdarzenie było rejestrowane, administrator musi ustalić, które obiekty będą inspekcjonowane.
Przeprowadź inspekcję zmian zasad	Zdarzenie następuje, gdy zostaje zmieniona opcja zabezpieczeń, czyli jedno z ustawień zasad bezpieczeństwa dotyczące zasad konta, ustawień logowania, praw użytkownika lub zasad inspekcji.
Przeprowadź inspekcję użycia uprawnień	Użytkownik wykorzystał swoje prawa takie jak zmiana czasu systemowego lub przejęcie przez administratora pliku na własność.
Przeprowadź inspekcję śledzenia procesów	Szczegółowe śledzenie procesów wywoływanych przez aplikacje. Użyteczne dla programistów rejestrujących poszczególne etapy działania aplikacji.
Przeprowadź inspekcję zdarzeń systemowych	Zachodzi zdarzenie mające wpływ na pracę systemu. Ustawienie to obejmuje takie zdarzenia jak: uruchomienie lub zamknięcie systemu, przepełnienie dziennika zabezpieczeń.

Planowanie zasad inspekcji

Podczas ustawiania zasad inspekcji należy pamiętać o ich właściwym zaplanowaniu, ponieważ zbyt duża ilość zdarzeń podlegających inspekcji może powodować szybkie przepełnianie dziennika zabezpieczeń oraz niepotrzebne obciążenie komputera. Inspekcję trzeba planować tak, by obejmowała wyłącznie te zdarzenia, które zapewnią informacje przydatne w analizie zabezpieczeń oraz dostępu do zasobów. Przy planowaniu inspekcji weź pod uwagę poniższe wskazówki:

• Należy określić komputery, na których będzie prowadzona inspekcja. Zwykle nie wszystkie komputery wymagają inspekcji, której powinny podlegać tylko komputery, których bezpieczeństwo jest szczególnie ważne lub dysponują zasobami, które powinny podlegać inspekcji np. kolorowa drukarka laserowa, której eksploatacja jest kosztowna.

• Określić typy zdarzeń podlegające inspekcji. Najczęściej tylko wybrane zasady inspekcji są uruchamiane i nie ma potrzeby włączania wszystkich.

• Określić, czy śledzone będą działania zakończone sukcesem czy niepowodzeniem. System Windows XP dzieli zdarzenia na udane i nieudane. W większości sytuacji wystarczy śledzić tylko jeden typ działania. Na przykład, gdy chcemy wiedzieć, czy ktoś próbuje się włamywać do komputera, należy włączyć zasadę Przeprowadź inspekcję zdarzeń logowania na kontach dla niepowodzeń, co spowoduje rejestracje wyłącznie nieudanych prób logowania.

• Ustalić harmonogram pracy z dziennikami zabezpieczeń. Powinien on wyznaczać czas archiwizacji dzienników, systematyczne przeglądanie ich zawartości.

Uruchamianie zasad inspekcji

Po zaplanowaniu zasad inspekcji należy je wdrożyć na wybranych komputerach. Aby to zrobić, należy wykonać następujące czynności:

1. Uruchom konsolę Zasady zabezpieczeń lokalnych.

2. W drzewie konsoli rozwiń gałąź Zasady lokalne następnie kliknij Zasady inspekcji.

3. W oknie szczegółów kliknij dwukrotnie zasadę, którą chcesz skonfigurować.

4. W oknie Właściwości zaznacz odpowiednie pola wyboru Sukces - by rejestrować zdarzenia zakończone sukcesem, Niepowodzenie - w przeciwnym przypadku lub oba, gdy chcesz rejestrować sukcesy i niepowodzenia.

Właściwości zasady inspekcji

5. Kliknij OK, aby zatwierdzić.

Zasady Przeprowadź inspekcję dostępu do usługi katalogowej oraz Przeprowadź inspekcję dostępu do obiektów, aby zaczęły funkcjonować prawidłowo, wymagają wskazania obiektów, które będą podlegały inspekcji. Pierwsza z wymienionych zasad dotyczy usługi Active Directory, a jej obsługa wykracza po za tematykę tej książki, natomiast druga dotyczy inspekcji dostępu do zasobów. W ramach inspekcji dostępu do zasobów system Windows XP rejestruje zdarzenia dotyczące systemu plików oraz drukarek. Jedynym systemem plików, który obsługuje inspekcję jest NTFS, tylko pliki i foldery znajdujące się na partycji NTFS mogą podlegać inspekcji. Aby uruchomić inspekcję pliku lub folderu, należy włączyć zasadę Przeprowadź inspekcję dostępu do obiektów, by rejestrowała sukcesy i (lub) niepowodzenia następnie należy wybrać obiekty, których będzie dotyczyła inspekcja. By to zrobić wykonaj następujące czynności:

1. Prawym przyciskiem myszy kliknij na folder lub plik.

2. Z menu podręcznego wybierz Właściwości.

3. Wybierz kartę Zabezpieczenia.

4. Kliknij przycisk Zaawansowane.

5. W oknie Zaawansowane ustawienia zabezpieczeń dla wybierz kartę Inspekcja.

6. Kliknij przycisk Dodaj…

7. W oknie Wybieranie wybierz użytkownika lub grupę, których działania będą rejestrowane i kliknij OK.

8. W oknie Wpisz inspekcji dla wybierz, jakie działania użytkownika lub grupy będą inspekcjonowane.

Ustawienia wpisu inspekcji

9. Kliknij przycisk OK trzykrotnie.

Definiowanie inspekcji dostępu do drukarek wygląda podobnie, również należy wykonać powyższe kroki, rozpoczynając od wyświetlenia okna Właściwości drukarki. Jedyna różnica polega na tym, iż inne są operacje, jakie można rejestrować.

 

Konfiguracja opcji logowania

Sposób logowania do komputera z systemem Windows XP różni się w zależności od tego, czy komputer ten należy do grupy roboczej czy domeny. W przypadku, gdy komputer należy do domeny, użytkownik, aby się zalogować, musi nacisnąć kombinację klawiszy CTRL+ALT+DEL i wpisać nazwę użytkownika i hasło. Sposób ten jest bardziej bezpieczny, niż sposób stosowany podczas pracy w grupie roboczej lub na komputerach autonomicznych, ponieważ osoba logująca się domyślnie widzi tylko nazwę ostatnio zalogowanego użytkownika.  Gdy komputer należy do grupy roboczej, domyślnie jest włączony Ekran powitalny, który służy do logowania. Ekran powitalny wyświetla wszystkie działające konta użytkowników oraz skojarzone z nimi obrazy. Powoduje to przekazywanie każdej osobie, która uruchomi komputer informacji o utworzonych kontach lokalnych, co obniża poziom bezpieczeństwa komputera. Można zrezygnować z wyświetlania Ekranu powitalnego na rzecz typowego okna logowania. Aby to zrobić, administrator komputera musi:

1. W Panelu sterowania uruchom aplet Konta użytkowników.

2. Kliknij Zmień sposób logowania lub wylogowywania użytkowników.

3. W kolejnym oknie odznacz pole wyboru Użyj ekranu powitalnego.

4. Kliknij Zastosuj opcje.

Po tej zmianie podczas każdego logowania użytkownik będzie musiał naciskać kombinację klawiszy CTRL+ALT+DEL wpisywać nazwę użytkownika i hasło. Zmienia się również okno pojawiające się po naciśnięciu przycisku Wyloguj z menu Start, ma to związek z wyłączeniem mechanizmu szybkiego przełączania użytkowników, który działa wyłącznie, gdy włączony jest ekran powitalny. Gdy użytkownik jest zalogowany, a komputer ma wyłączony ekran powitalny, naciśnięcie klawiszy CTRL+ALT+DEL powoduje wywołanie okna Zabezpieczenia systemu Windows — dokładnie tak jak podczas pracy w domenie. Podczas gdy komputer ma włączony ekran powitalny, naciśnięcie tej kombinacji klawiszy wywołuje program Menedżer zadań Windows.

Szybkie przełączanie użytkowników

Mechanizm ten jest dostępny wyłącznie, gdy komputer pracuje w grupie roboczej lub jest autonomiczny oraz musi mieć włączone wyświetlanie ekranu powitalnego. Szybkie przełączanie użytkowników pozwala użytkownikom na przełączanie między kontami użytkowników na tym samym komputerze bez konieczności zamykania programów i wylogowywania. Na przykład, jeżeli na komputerze pracuje użytkownik z ograniczeniami, ma uruchomione programy, natomiast administrator komputera musi założyć konto użytkownika, nie ma potrzeby wylogowywania aktualnie pracującego użytkownika. Zamiast tego można użyć opcji szybkiego przełączania użytkowników i przełączyć się na konto administratora lub inne konto z uprawnieniami administracyjnymi, wykonać niezbędne czynności i spowrotem przełączyć się na konto pierwotnie zalogowanego użytkownika. Podczas przełączania użytkowników wszystkie uruchomione programy nadal pracują, należy pamiętać, że mimo iż programy chwilowo nie są dostępne, zajmują zasoby komputera. Gdy szybkie przełączanie użytkowników jest włączone, w oknie Wylogowywanie z systemu Windows dostępne są trzy opcje:

         Przełącz użytkownika,

         Wyloguj oraz

         Anuluj.

Aby wyłączyć możliwość szybkiego przełączania użytkowników:

1.      Otwórz aplet Konta użytkowników w Panelu sterowania.

2.      Wybierz Zmień sposób logowania lub wylogowywania użytkowników.

Odznacz pole wyboru Użyj szybkiego przełączania użytkowników

---