Joanna Ziembicka

 Administratorzy mogą przypisywać kontom grup lub kontom poszczególnych użytkowników specjalne prawa. Prawa te upoważniają użytkowników do wykonywania określonych działań, takich jak interakcyjne logowanie się do systemu lub tworzenie kopii zapasowych plików i katalogów. Prawa użytkowników różnią się od uprawnień, ponieważ prawa użytkowników dotyczą kont użytkowników, podczas gdy uprawnienia są dołączone do obiektów. Aby uzyskać informacje dotyczące uprawnień, zobacz Jaki wpływ na uprawnienia do plików i folderów ma dziedziczenie.  Prawa użytkowników określają ich możliwości na poziomie lokalnym. Chociaż prawa użytkowników można stosować do poszczególnych kont użytkowników, najlepiej administrować nimi przy użyciu grup. Zapewnia to, że użytkownik logujący się jako członek jakiejś grupy automatycznie dziedziczy prawa skojarzone z tą grupą. Przypisywanie praw użytkowników grupom, a nie użytkownikom, upraszcza zadanie administrowania kontami użytkowników. Jeśli wszyscy użytkownicy należący do grupy muszą mieć takie same prawa użytkowników, wystarczy raz przypisać odpowiednie prawa całej grupie, zamiast przypisywać je po kolei wszystkim kontom użytkowników.

 Prawa użytkowników przypisane grupie są stosowane do wszystkich członków grupy, dopóki pozostają jej członkami. Jeśli użytkownik jest członkiem wielu grup, jego prawa użytkownika kumulują się, co oznacza, że użytkownik ma więcej niż jeden zestaw praw. Jedyna sytuacja, w której prawa przypisane jednej grupie mogą kolidować z prawami przypisanymi innej grupie, występuje w przypadku pewnych praw logowania. W zasadzie prawa użytkownika przypisane jednej grupie nie kolidują z prawami przypisanymi innej grupie. Aby odebrać użytkownikowi prawa, administrator musi go po prostu usunąć z grupy. W takim wypadku użytkownik przestaje mieć prawa przypisane grupie, z której został usunięty.  Istnieją dwa typy praw użytkowników: przywileje (np. prawo do tworzenia kopii zapasowych plików i katalogów) i prawa logowania (np. prawo do lokalnego logowania się do systemu).

 Zasobem udostępnionym jest dowolny zasób, z którego mogą korzystać użytkownicy sieciowi, taki jak folder, plik, drukarka lub nazwane potoki. Może to być również zasób na serwerze dostępny dla użytkowników sieciowych. W przypadku udostępniania zasobu zamiast uprawnień NTFS są używane uprawnienia udziału.  Ważne Uprawnienia udziału dotyczą tylko użytkowników uzyskujących dostęp do zasobu za pośrednictwem sieci. Nie dotyczą one użytkowników logujących się lokalnie, np. na serwerze terminali. Aby ograniczyć dostęp do obiektów użytkownikom zalogowanym lokalnie, należy ustawić odpowiednie uprawnienia NTFS na karcie Zabezpieczenia na stronie Właściwości obiektu.  W zależności od typu zasobu udostępnionego istnieją dwie metody ustawiania dotyczących go uprawnień.

 Ustawianie uprawnień do pliku lub folderu za pomocą Kreatora udostępniania plików Kliknij prawym przyciskiem myszy plik lub folder, a następnie kliknij polecenie Udostępnij.  Ukończ pracę z Kreatorem udostępniania plików, aby wybrać użytkowników i grupy, którym dany plik lub folder zostanie udostępniony, i ustawić uprawnienia do tego pliku lub folderu dla poszczególnych użytkowników lub grup.  Aby ustawić uprawnienia do zasobu za pomocą Eksploratora Windows Otwórz Eksploratora Windows.

 Kliknij prawym przyciskiem myszy obiekt, a następnie kliknij polecenie Udostępnij lub Właściwości.  Kliknij kartę Udostępnianie, a następnie kliknij przycisk Udostępnianie zaawansowane, aby ustawić uprawnienia.  Uwagi dodatkowe  Aby otworzyć Eksploratora Windows, kliknij przycisk Start, wskaż polecenie Wszystkie programy, kliknij polecenie Akcesoria, a następnie kliknij polecenie Eksplorator Windows.

 Kreatora udostępniania plików można używać do zarządzania zasobami udostępnionymi na komputerach zarówno lokalnych, jak i zdalnych. Eksplorator Windows i wiersz polecenia umożliwiają zarządzanie zasobami udostępnionymi tylko na komputerze lokalnym.  Jeśli uprawnienia zostały przypisane zarówno do zasobu udostępnionego, jak i na poziomie systemu plików, zawsze jest stosowane uprawnienie bardziej restrykcyjne.  Łatwiej przypisać uprawnienia do grup, a następnie dodać do nich użytkowników, niż przypisywać identyczne uprawnienia wielu indywidualnym użytkownikom.  W przypadku zmiany uprawnień do specjalnych zasobów udostępnionych, takich jak ADMIN$, ustawienia domyślne można przywrócić, zatrzymując i ponownie uruchamiając usługi serwera oraz ponownie uruchamiając komputer. Należy zauważyć, że nie dotyczy to utworzonych przez użytkowników zasobów udostępnionych, których nazwa udziału kończy się znakiem $.

 Katalog domowy to podstawa hierarchii katalogów, w których użytkownik umieszcza wszystkie swoje dane. Pliki mogą być składowane w katalogu domowym lub w którymś z jego podkatalogów.  W systemach uniksowych katalogiem domowym jest standardowo /home/nazwa_użytkownika/, zaś administratora (root) /root/. W systemach tych katalog domowy aktualnie zalogowanego użytkownika oznaczany jest znakiem ~ (tylda).  W rodzinie Windows nie ma ściśle określonego katalogu domowego. Do pewnego stopnia w systemach Microsoft Windows 95/98/Me funkcję taką spełnia katalog o nazwie C:\Moje Dokumenty\ (lub odpowiednio innej, zależnie od wersji językowej) oraz podkatalog systemowy C:\Windows\Dane aplikacji\, dopiero w rodzinie Microsoft Windows NT/2000/XP pojawiła się hierarchia podkatalogów katalogu C:\Documents and Settings\ zawierających dane poszczególnych użytkowników. W Microsoft Windows Vista ścieżkę skrócono do C:\Users\.

 W Windows 2003 rozbudowane zostały możliwości tworzenia tzw. polis bezpieczeństwa. Dzięki nim administrator określa zestaw uprawnień obowiązujących w danej sieci. Dzięki mechanizmowi dystrybucji, polisy (czyli – zasady bezpieczeństwa) są dystrybuowane na każdy z komputerów w sieci. Polisa jest zbiorem zasad określających ogólne uprawnienia komputera pełniącego określoną rolę w domenie czy też prawa użytkownika. Określane są zasady postępowania z hasłami (minimalna długość, po jakim czasie hasło musi zostać zmienione itp.), w jakich warunkach konto jest blokowane, dokładne mechanizmy dystrybucji informacji w Kerberos czy zasady audytu. Polisy mogą obowiązywać na lokalnym komputerze jak i na komputerach wykorzystującą usługę katalogową. Mechanizm ustawiania polis oraz zakres elementów jest bardzo podobny – w zależności od tego, gdzie polisa ma obowiązywać, należy otworzyć odpowiednią konsolę MMC – Ustawienia zabezpieczeń lokalnych, Ustawienia zabezpieczeń domeny lub Ustawienia zabezpieczeń kontrolera domeny.

 Wraz z instalacją Windows 2003 Server, instalowane są wzorcowe „zestawy” polis – które określają standardowe zabezpieczenia w zależności od tego, jaką rolę ma pełnić dany serwer czy stacja robocza. Także administrator może opracowywać nowe wzorce a następnie dystrybuować je w sieci, tak by w firmie obowiązywała wspólna polityka bezpieczeństwa. Główne narzędzia do konfiguracji bezpieczeństwa stanowią tzw. pakiet do zarządzania i konfiguracji bezpieczeństwa (ang. Security Confguration Manager). Mogą one służyć do automatyzacji wielu zadań związanych z bezpieczeństwem.

 Podobnie jak w przypadku sieciowego systemu operacyjnego, najważniejszą częścią zabezpieczeń jest nazwa użytkownika oraz hasło. Istnieją domyślnie utworzeni użytkownicy (jak np. Administrator i Gość), którzy mają hasła powiązane ze swoimi kontami. W momencie, gdy użytkownik próbuje uzyskać uwierzytelnienie lub dostęp do zasobów, wymagane jest podanie hasła do konta użytkownika. Teraz, dzięki Bogu, domena Windows Server 2003 (i nowsza) domyślnie wymaga hasła. Hasło to powinno być chronione na wszelkie sposoby ze względu na ryzyko przechwycenia, odgadnięcia, włamania lub określenia w inny sposób. Istnieje wiele sposobów ochrony haseł w systemie Windows, a ta seria artykułów omówi to, co można zrobić, aby zwiększyć bezpieczeństwo haseł. Po pierwsze, musimy zrozumieć, w jaki sposób hasło jest zakładane i kontrolowane, a następnie, jak może zostać zaatakowane, dzięki czemu możemy podjąć odpowiednie kroki, aby ochronić się przed powszechnymi atakami.

 Hasła domyślne w systemie Windows Gdy próbujesz zalogować się do domeny Active Directory, będziesz musiał wprowadzić trzy kluczowe elementy: nazwę użytkownika, hasło, nazwę domeny. Kiedy informacja ta zostaje odebrana przez kontrolera domeny, jest analizowana pod kątem hasła dla danej nazwy użytkownika, wymienionej w bazie danych usługi Active Directory. Jeśli hasło pasuje, to kontroler domeny uwierzytelni użytkownika, dostarczając mu tokena uwierzytelniania, aby uzyskał dostęp do innych zasobów w sieci/domeny.

 Gdy użytkownik próbuje zmienić hasło do swojego konta, informacja ta jest również przesyłana do kontrolera domeny. Gdy użytkownik wpisuje nowe hasło i zostaje ono przesłane do kontrolera domeny, pojawiają się od razu odpowiednie zasady, mające na celu zapewnienie, że hasło spełnia minimalne wymogi bezpieczeństwa. Kilka uwag dotyczących zasady haseł dla domeny (jak również domyślne dla wszystkich lokalnych kont użytkowników):

 Wymaganych jest przynajmniej 7 znaków dla hasła w systemie Windows (domeny Windows Server 2003 i późniejsze)  Hasła muszą zawierać trzy z czterech następujących rodzajów znaków: duże litery, małe litery, cyfry, znaki specjalne  Nowe hasło musi zostać wygenerowane przed upływem 42 dni, aby konto pozostało aktywne  Nowe hasło nie może być ponownie użyte zanim nie stworzy się 24 unikatowych haseł.

 Domyślne ustawienia polityki haseł w domenie Active Directory nie są straszne, ale można je poprawić. Ustawienia domyślne są konfigurowane i przechowywane w obiekcie GPO Domyślnej Polityki Domeny, który jest powiązany z węzłem domeny. Jeśli chodzi o domeny Windows 2000 i Server 2003, to należy pamiętać, że dla tych domen może być tylko jedna zasada haseł! Oznacza to, że wszyscy użytkownicy (specjaliści IT, programiści, kadra kierownicza, pracownicy HR, itp.) mają takie same ograniczenia zasad haseł. Jeżeli są one słabe dla jednej grupy użytkowników, to są słabe dla wszystkich użytkowników. Zmiany można wprowadzić w lokalnym Menedżerze Zabezpieczeń Kont (SAM) na serwerach i stacjach roboczych (nie na kontrolerach domeny) z obiektów GPO, które są powiązane z jednostkami organizacyjnymi, gdzie znajdują się konta komputerów w AD. Te ustawienia GPO kontrolują tylko konta użytkowników lokalnych, a nie konta użytkowników domeny. LM to stary, niebezpieczny oraz niegodny polecenia protokół uwierzytelniania i powinien być sprawdzony i wyłączony, jeżeli jest to możliwe. W następnym artykule z tej serii omówię nie tylko ochronę przed LM, ale i inne sposoby atakowania haseł w systemie Windows.