XP 005

Windows XP PL

ZARZĄDZANIE KOMPUTEREM cd.

Zasady haseł / Maksymalny okres ważności hasta Zasady haseł / Minimalna długość hasła

Zasady haseł / Minimalny okres ważności hasła Zasady haseł / Wymuszaj tworzenie historii haseł

Zasady haseł / Zapisz hasło dla wszystkich korzystając z szyfrowania odwracalnego

Zasady blokady konta / Czas trwania blokady konta Zasady blokady konta / Próg blokady konta

Zasady blokady konta / Wyzeruj licznik blokady konta po

Określa czas (w dniach), po którym użytkownik zostanie zmuszony do zmiany hasła na nowe. Im bezpieczniejszy ma być system, tym częściej powinny być zmieniane hasta. Określa minimalną długość haseł w znakach. Zaleca się stosowanie haseł o długości co najmniej 6 znaków, jednak względnie wysoki stopień bezpieczeństwa dają hasła dłuższe niż 10 znaków.

Określa minimalny czas (w dniach), jaki musi upłynąć między dwiema operacjam i zmiany hasła.

Włącza opcję zapamiętywania kilku ostatnich haseł nadanych przez użytkownika w celu uniemożliwienia mu korzystania ze stałego, ograniczonego zestawu haseł. Ustawienie wartości parametru na 0 wyłącza pamięć haseł.

Włącza opcję zapisywania hasła za pomocą algorytmu umożliwiającego jego odszyfrowanie i uzyskanie czytelnej formy. Opcja ta powinna być wyłączona (w takim przypadku hasła kodowane są algorytmem umożliwiającym weryfikację haseł, uniemożliwiającym jednak ich odkodowanie).

Określa czas (w minutach), przez jaki zablokowane jest konto w przypadku jego automatycznego zablokowania przy próbie zalogowania się z nieprawidłowym hasłem. Określa liczbę prób niepomyślnego logowania się użytkownika, po których konto jest tymczasowo blokowane. Blokada taka pozwala zmniejszyć prawdopodobieństwo włamania lub zainfekowania komputera wirusem. Zalecana wartość to trzy próby. Wprowadzenie wartości zero dezaktywuje blokadę.

Określa czas (w minutach), po którym licznik liczby niepomyślnych prób zalogowania się jest zerowany. Ustawienie wartości zero blokuje możliwość automatycznego zerowania licznika.

Zarządzanie partycjami i dyskami

Okno Zarządzanie komputerem umożliwia administrowanie nośnikami danych podłączonymi do komputera, w tym:

•    partycjonowanie dysków twardych,

•    formatowanie nośników i partycji,

•    tworzenie macierzy dyskowych,

•    zmianę liter przypisanych partycjom,

•    przyłączanie woluminów we wskazanych punktach systemu plików.

Aby wyświetlić panel zarządzania partycjami i dyskami, otwórz okno Uruchomianie, wpisz nazwę compmgmt.msc, kliknij przycisk OK i w oknie Zarządzanie komputerem podświetl pozycję drzewa zatytułowaną Zarządzanie dyskami.

Aby zmienić literę przypisaną woluminowi, kliknij prawym przyciskiem myszy reprezentację graficzną urządzenia lub partycji wyświetlaną w dolnej połowie panelu i z menu kontekstowego wybierz pozycję Zmień literę dysku i ścieżki.

Blokowanie usług sieciowych

Niepotrzebne usługi sieciowe stanowiące furtkę, którą wprawny włamywacz (lub prosty wirus) może sforsować, należy całkowicie zablokować na niektórych interfejsach sieciowych, chroniąc w ten sposób system nawet przez tę krótką chwilę zaraz po uruchomieniu systemu operacyjnego, gdy zapora sieciowa jeszcze nie działa.

Aby otworzyć okno Właściwości połączenia sieciowego:

•    otwórz okno Panelu sterowania:

•    kliknij ikonę Połączenia sieciowe i internetowe;

•    kliknij odnośnik Połączenia sieciowe;

•    kliknij ikonę połączenia, od którego chcesz odłączyć niektóre usługi sieciowe, prawym przyciskiem myszy i z menu kontekstowego, które się pojawi na ekranie, wybierz pozycję Właściwości.

Największy sens ma odłączenie niepotrzebnych usług od interfejsu sieciowego używanego do łączenia się z Internetem lub siecią lokalną, z której zasobów nie korzystasz.

Aby zablokować usługi, usuń odpowiadające im znaczniki z wierszy listy To połączenie wykorzystuje następujące składniki:

•    Klient sieci Microsoft Networks - obsługuje połączenia sieci lokalnej Windows i umożliwia korzystanie z zasobów innych komputerów oraz domen Windows NT. Jego wyłączenie spowoduje brak możliwości przeglądania Otoczenia sieciowego

w sieci, z którą łączy interfejs, korzystania z zasobów danej sieci lokalnej i logowania się do domeny w tej sieci, jest to element całkowicie zbędny w przypadku interfejsu internetowego;

•    Udostępnianie plików i drukarek w sieciach Microsoft Networks - obsługuje połączenia sieci lokalnej Windows i umożliwia współdzielenie zasobów komputera w takiej sieci. Jego wyłączenie spowoduje zniknięcie Twojego komputera

z Otoczenia sieciowego w sieci, z którą łączy interfejs, oraz zablokowanie możliwości udostępniania plików i drukarek w tej sieci. Jest to element całkowicie zbędny w przypadku interfejsu internetowego;

•    Harmonogram pakietów QoS - umożliwia kontrolowanie natężenia i priorytetów ruchu sieciowego, jeżeli w Twojej sieci lokalnej nie funkcjonuje serwer nadzorujący mechanizm QoS, możesz spokojnie wyłączyć tę funkcję.

Jedynym wymaganym elementem jest protokół sieciowy, którym najczęściej będzie protokół internetowy (TCP/IP). Pozostawienie samego protokołu sieciowego umożliwia korzystanie z połączenia internetowego, zmniejszając jednocześnie niebezpieczeństwo zarażenia komputera wirusem lub zaatakowania go przez włamywacza.

Zapora sieciowa

Zadaniem zapory sieciowej (nazywanej czasem również zaporą ogniową lub - z języka angielskiego - firewallem) jest kontrolowanie dostępu z sieci do chronionego komputera. Dopuszczane są połączenia, na które zgodę wydal administrator komputera, wszystkie pozostałe zaś są odrzucane z odpowiednim komunikatem, a informacja o próbie złamania zabezpieczenia zapisywana jest w pliku raportu.

Zadanie    Sposób wykonania

Uaktywnienie    •    otwórz okno Panelu sterowania,

zapory    • kliknij ikonę Połączenia sieciowe i internetowe,

sieciowej    • kliknij odnośnik Zapora systemu Windows,

•    na zakładce Ogólne umieść znacznik w polu Włącz (zalecane).

Wybór reguł    •    otwórz okno Panelu sterowania,

dopuszczających    • kliknij ikonę Połączenia sieciowe i    internet owe,

połączenia    •    kliknij odnośnik Zapora systemu    Windows,

•    przejdź do zakładki Wyjątki,

•    zaznacz nazwy tych programów i usług sieciowych, których masz zamiar używać na swoim komputerze w formie serwera; pozostałe usługi i programy powinny być zablokowane

(prostokątne pola po ich lewej stronie powinny być puste).

Komputer podłączony do Internetu nie powinien mieć zaznaczonej żadnej z domyślnie uaktywnionych reguł dopuszczających nowe połączenia: Architektura UPnP, Pomoc zdalna, Pulpit zdalny oraz Udostępnianie plików i drukarek. Włącz te reguły jedynie w przypadku, gdy usługi te są Ci potrzebne, a Twoja sieć lokalna jest chroniona dodatkową zaporą sieciową.

Dodawanie    • otwórz okno Panelu sterowania,

wlosnych    • kliknij ikonę Połączenia sieciowe i internetowe,

reguł    • kliknij odnośnik Zapora systemu Windows,

dopuszczających • przejdź do zakładki Wyjątki, połączenia    • kliknij przycisk Dodaj program,

•    wybierz z listy aplikację, która ma mieć prawo odbierania połączeń z zewnątrz,

•    jeżeli aplikacji tej nie ma na liście, kliknij przycisk Przeglądaj, odszukaj plik wykonywalny (,exe) programu, wskaż go i kliknij przycisk Otwórz,

•    jeżeli chcesz ograniczyć dostępność programu (usługi) do wybranych adresów IP (na przykład tylko komputerów znajdujących się w sieci lokalnej), kliknij przycisk Zmień zakres i podaj listę

lub zakres adresów IP, od których przyjmowane będą nowe połączenia,

•    kliknij przycisk OK, aby dodać program do listy usług i programów mogących odbierać nowe połączenia. Jeżeli któraś z aplikacji zrealizuje próbę nasłuchiwania w celu odbierania nowych połączeń, system Windows XP powiadomi Cię o tym i sam zaproponuje zablokowanie programu lub utworzenie odpowiedniej reguły w konfiguracji zapory sieciowej.

Kontrolowanie • otwórz okno Panelu sterowania,

ruchu ICMP    • kliknij ikonę Połączenia sieciowe i internetowe,

•    kliknij odnośnik Zapora systemu Windows,

•    przejdź do zakładki Zaawansowane,

•    w sekcji Protokół ICMP kliknij przycisk Ustawienia,

•    umieść na liście znaczniki w wierszach odpowiadających tym zdarzeniom ICMP, które system operacyjny ma obsługiwać (niezaznaczone zdarzenia będą ignorowane).

Opis zdarzeń znajdziesz w tabeli poniżej.

Typy zdarzeń ICMP
Nazwa zdarzenia	Opis
Zezwalaj na przychodzące żądania echa	Umożliwia innym użytkownikom sieci sprawdzenie dostępności Twojego komputera za pomocą polecenia ping. W większości przypadków tego typu ruchu nie powinno się blokować, gdyż nie zwiększa to bezpieczeństwa komputera.
Zezwalaj na przychodzące żądania sygnatury czasowej	Umożliwia innym komputerom w sieci pobranie informacji o bieżącym czasie, aktualizowanej przez protokół TCP/IP na Twoim komputerze. Tego typu ruch powinien być blokowany.
Zezwalaj na przychodzące żądania maski	Umożliwia innym komputerom w sieci pobranie informacji na temat prawidłowej maski sieciowej IP. Ponieważ takie informacje powinny być pobierane z serwera DHCP, tego typu ruch powinien być blokowany.
Zezwalaj na przychodzące żądania routera Zezwalaj na nieosiągalność miejsca przeznaczenia danych wyjściowych	Umożliwia innym komputerom w sieci pobranie informacji na temat adresu bramki internetowej lub routera. Ponieważ takie informacje powinny być pobierane z serwera DHCP, tego typu ruch powinien być blokowany. Zezwala na powiadamianie komputerów usiłujących nawiązać połączenie, że dane nie dotarły do adresata (albo nie były przeznaczone dla żadnego odbiorcy, albo miały zostać przekierowane do komputera, który ich nie odebrał lub je odrzucił). W celu zmniejszenia ruchu sieciowego i ograniczenia możliwości odcięcia komputera od sieci tego typu ruch powinien być blokowany.
Zezwalaj na wygaszanie źródła wychodzącego Zezwalaj na problem z parametrem wychodzącym	Zezwala na powiadamianie komputerów realizujących transmisję, że dane nie mogą być przetwarzane z wymaganą szybkością. Tego typu rozszerzenie ICHP nie jest używane w sieciach lokalnych, zatem tego typu ruch powinien być blokowany. Zezwala na powiadamianie komputerów realizujących transmisję, że odebrany pakiet danych miał niepoprawną postać. Ponieważ brak potwierdzenia odbioru i tak wymusi ponowną transmisję, tego typu ruch powinien być blokowany.
Zezwalaj na przekroczenie imitu czasu danych wyjściowych Zezwalaj na przekierowanie	Zezwala na odsyłanie komputerowi nadającemu dane informacji o przekroczeniu limitu czasu oczekiwania na dane. Zezwala innym komputerom znajdującym się w sieci przekierowywać połączenia realizowane przez Twój komputer do innych bram internetowych i routerów niż domyślne, ustawione w czasie konfigurowania połączenia sieciowego. Ponieważ tą metodą można realizować podsłuch danych, tego typu ruch powinien być bezwzględnie blokowany.
Zezwalaj na duże pakiety wychodzące	Zezwala na informowanie innych komputerów w sieci IPv6, że nadsyłane przez nie pakiety danych są zbyt duże.

Aktualizacje automatyczne

Mechanizm automatycznych aktualizacji systemu operacyjnego pozwala utrzymywać bezpieczeństwo systemu Windows XP na wysokim poziomie minimalnym nakładem pracy.

Aby otworzyć okno dialogowe umożliwiające konfigurację systemu automatycznej aktualizacji systemu, naciśnij kombinację klawiszy IB+Pause/Breck i przejdź do zakładki Aktualizacje automatyczne.

Pole

Automatycznie operacyjnego.

(zalecane)

Pobierz dla mnie aktualizacje, ale pozwól mi wybrać, kiedy majq być zainstalowane Powiadom mnie. ale nie pobieraj ani nie instaluj aktualizacji automatycznie Wylqcz aktualizacje automatyczne

Mechanizm automatycznych aktualizacji pobiera i instaluje wyłącznie aktualizacje krytyczne, usuwające błędy w działaniu systemu operacyjnego oraz luki w jego zabezpieczeniach. Pozostałe aktualizacje o mniejszym priorytecie dostępne są wyłącznie w ręcznym trybie instalacji, za pośrednictwem witryny Windows Update

Opis

Włącza opcję automatycznego pobierania i instalowania krytycznych aktualizacji systemu

Aktualizacje będą instalowane o wskazanej porze lub podczas zamykania systemu operacyjnego. Włącza opcję automatycznego pobierania krytycznych aktualizacji systemu operacyjnego.

Gdy aktualizacje będą gotowe do zainstalowania, system powiadomi Cię o tym za pomocą dymku wyświetlanego w prawym dolnym rogu ekranu. Instalacja aktualizacji będzie możliwa natychmiast lub w czasie zamykania systemu operacyjnego.

Włącza opcję powiadamiania o dostępności nowych krytycznych aktualizacji. Aktualizacje będą pobierane i instalowane dopiero na wyraźne życzenie użytkownika.

Wyłącza mechanizm automatycznych aktualizacji. Opcja wysoce niepolecana.

5