Zarządzanie kontami i hasłami użytkowników

Zarządzanie kontami i hasłami użytkowników
Jednym z podstawowych składników systemu zabezpieczeń Windows XP są konta użytkowników. Rozsądne skonfigurowanie, a
następnie zarządzanie profilami zdecydowanie podniesie poziom bezpieczeństwa komputera. W artykul e szczegółowo zostało
wyjaśnione jak administrować kontami użytkowników.
Innym przewodnim tematem są hasła. Bezpieczne zarządzanie kontami wymaga stosowania silnych haseł. Dlatego w dalszej
części tekstu omówiłem w jaki sposób należy wybierać te ciągi znak ów tak, aby stanowiły dobrą ochronę. Ostatnim problemem
omówionym w artykule jest zabezpieczenie procesu logowania.
Narzędzia do zarządzania kontami:

Użytkownicy i grupy lokalne
Aplikację uruchamiamy otwierając kolejno gałęzie: Panel sterowania\Narzędzia administracyjne\Zarządzanie
komputerem oraz Narzędzia systemowe \Użytkownicy i grupy lokalne . Możemy też wpisać w wierszu polecenia
lub w oknie Uruchom: komendę lusrmgr.msc.
uzytkownicy_grupylokalne
Przystawka Użytkownicy i grupy lokalne jest użyteczna tylko w edycji Windows XP Professional. W Windows XP
Home Edition również występuje, ale nie oferuje żadnej funkcjonalności. Narzędzie pozwala tworzyć i usuwać konta
użytkowników. Możemy dzięki niemu dodawać profil do Grupy zabezpieczeń (ale tylko do jednej), zmieniać: nazwę
użytkownika, całą nazwę i opis. Okno to pozwala ustawiać hasła i nakładać na nie ograniczenia, włączać, wyłączać
oraz odblokowywać konta. Ponadto umożliwia ustawienie profilu i skryptu logowania.

Konta użytkowników
Aby je otworzyć, wybieram y pozycje Konta użytkowników w Panelu sterowania .
Narzędzie Konta użytkowników ma ograniczone możliwości, stworzone jest dla mniej doświadczonych lub
niewymagających administratorów. Zakres jego działań to tworzenie i usuwanie kont oraz umieszczanie ich w Grupie
………………………………………………………………………………………………………………………………………………………………
SO Zarządzanie kontami i hasłami użytkowników
ZSM Świdnica Źródło: Internet
1/14
zabezpieczeń (tylko w jednej), zmiana nazwy użytkownika, opisu i całej nazwy profilu, ustawienie hasła tylko dla
kont lokalnych, innych niż to, na którym jesteśmy zalogowani oraz dołączenie konta do usługi Microsoft.NET Passport.

Polecenia Net
Najszerszy zakres działań na lokalnych kontach użytkowników oferują narzędzia wierszowe: Net User i Net
Localgroup. Polecenia te wpisujemy w konsoli. W celu uzyskania szczegółowych informacji należy wpisać net help
user lub net help localgroup . Jeśli chcemy zobaczyć składnię p olecenia, wpisujemy: net user /? lub net
localgroup /?.
Działania na jakie pozwala nam to narzędzie to: tworzenie i usuwanie kont, umieszczanie konta w Grupach
zabezpieczeń, zmiana całej nazwy i opisu, ustawienie hasła, nałożenie ograniczeń na hasło, ustawienie godzin
logowania, włączenie, wyłączeni e i odblokowanie konta, ustawienie terminu ważności konta oraz profilu i skryptu
logowania.

Konta użytkowników
Jeśli komputer jest podłączony do domeny aplet Konta użytkowników w Panelu sterowania wygląda jak ten z
wcześniejszych wersji Windows i oferuje w ięcej możliwości. Jeśli komputer nie jest podłączony do domeny, możemy
otworzyć Konta użytkowników wpisując w wierszu poleceń control userpasswords2 .
Narzędzie to pozwala: tworzyć i usuwać hasła, umieszczać konto w Grupie zabezpieczeń (ale tylko
Administratorzy lub Użytkownicy), zmieniać całą nazwę i obrazek, ustawiać hasła i podpowiedzi do nich, włączać i
wyłączać konto Gość, dołączać konta do usługi Microsoft.NET Passport.
Zarządzać lokalnymi grupami zabezpieczeń możemy tylko za pomocą narzędzi Użytkownicy i grupy loka lne albo Net
Localgrup. Pozwalają one tworzyć Lokalne grupy zabezpieczeń , dodawać Lokalne konta do Grup lub je z nich usuwać,
tworzyć i usuwać Grupy zabezpieczeń, zmieniać nazwy Grup oraz dodawać do Lokalnych grup zabezpieczeń domenowe
konta użytkowników.
Tworzenie kont użytkowników
………………………………………………………………………………………………………………………………………………………………
SO Zarządzanie kontami i hasłami użytkowników
ZSM Świdnica Źródło: Internet
2/14
Instalując system Windows XP decydujemy z ilu kont będziemy korzystać. Możemy pracować z komputerem przy użyciu tylko
jednego domyślnego konta Administrator. Jest to jednak najmniej bezpieczny wariant. Dobrą praktyka jest twor zenie konta dla
każdego użytkownika, oczywiście z uwzględnieniem zakresu wszystkich ich potrzeb i możliwości. Nawet w przypadku, gdy tylko
jedna osoba korzysta z komputera lepiej do zwykłych, codziennych czynności używać konta z ograniczeniami.Poniżej
przedstawiam sposoby tworzenia kont:



W przystawce Użytkownicy i grupy lokalne wybieramy pozycję Użytkownicy, a następnie w podręcznym menu w
zakładce Akcja polecenie Nowy użytkownik. Po wpisaniu wymaganych danych klikamy na przycisk Utwórz.
Używając polecenia Net User w wierszu poleceń wpisujemy user xxxxxxxx/add (w miejsce xxxxxxxx wpisujemy
nazwę użytkownika). Wybierając tą opcję mamy do dyspozycji oczywiście więcej możliwości. We wcześniejszej części
artykułu wyjaśniłem w jaki sposób możemy zobaczyć jego li stę komend i składnię. Poniżej przykład polecenia:
W aplecie Konta użytkowników po prostu wybieramy łącze Utwórz nowe konto . Podczas samego procesu
tworzenia konta ustalamy jedynie nazwę oraz czy będzie to konto Administratora czy Użytkownika z
ograniczonymi możliwościami . Dalsze ustawienia konfigurujemy po stworzeniu konta.
Wyłączanie i usuwanie kont użytkowników
Dbajmy o porządek naszego systemu. Jeśli dany użytkownik nie ma albo nie powinien mieć juz dostępu do komputera to
usuwajmy lub wyłączajmy jego konto. Niepotrzebny, zapomniany p rofil może stać się furtką dla intruza. Wyłączanie różni się
tym od usuwania, że po wyłączeniu nie są kasowane informacje i prywatne pliki użytkownika oraz tym, że wyłączone konto
możemy przywrócić. Po usunięciu profilu niemożliwe jest jego odzyskanie. Wsz ystkie informacje o koncie są zapisane w jego
numerze identyfikacyjnym - SID. Jeśli skasujemy konto, usuwany jest również SID. Każdy SID jest używany jednorazowo, jeśli
stworzymy nowe konto, takie samo jakie uprzednio usunęliśmy, będzie miało już inny SID, a więc dla systemu będzie zupełnie
nowe. Jeśli więc nie mamy pewności, czy dany profil nie będzie nam jeszcze kiedyś potrzebny to tylko go wyłączmy. Są dwie
metody włączania\wyłączania kont:


Wpisujemy w wierszu poleceń: net user xxxxxxxx /active:no (gdzie xxxxxxxx to nazwa użytkownika) w celu
wyłączenia konta, natomiast net user xxxxxxxx/active:yes , gdy chcemy je włączyć.
W aplikacji Użytkownicy i grupy lokalne dwukrotnie klikamy na konto, wybieramy kartę Ogólne, zaznaczamy (żeby
wyłączyć) lub odznaczamy ( włączamy) pole wyboru Konto jest wyłączone .
Mamy do dyspozycji kilka metod usuwania kont :



Używając polecenia Net User, w wierszu poleceń wpisujemy net user xxxxxxxx/delete (gdzie xxxxxxxx to nazwa
użytkownika).
W przystawce Użytkownicy i grupy lokalne otwieramy węzeł Użytkownicy, klikamy prawym przyciskiem myszy na
wybrane konto i z menu podręcznego wybieramy opcję Usuń.
Za pomocą apletu Konta użytkowników , wybieramy konto, które ma być usunięte, następnie klikamy przycisk Usuń
konto. Używając tej metody możemy zachować pliki skasowanego użytkownika. System sam nas zapyta podczas
procesu usuwania czy chcemy zachować pliki użytkownika. Możemy wybrać: Zachowaj pliki lub Usuń pliki. Jeśli
zdecydujemy się zapisać dane, Windows przenosi pliki i foldery użytkown ika z pulpitu i folderu Moje dokumenty do
folderu pulpitu, który należy do nas. Reszta profilu użytkownika jest usuwana. W przypadku, gdy jednak zdecydujemy
się skasować informacje, Windows usuwa konto, profil i wszystkie prywatne pliki użytkownika oraz je go ustawienia w
rejestrze.
Tylko aplet Konta użytkownika podczas kasowania konta usuwa również profil użytkownika i jego ustawienia w rejestrze.
Używając innych narzędzi musimy sami pozbyć się tych niepotrzebnych danych. W tym celu klikamy prawym przycisk iem myszy
ikonę Mój komputer i wybieramy pozycje Właściwości, otwieramy kartę Zaawansowane, w sekcji Profile użytkownika
klikamy przycisk Ustawienia. Zaznaczamy usunięte konto - Konto nieznane a na końcu wybieramy Usuń.
Przypisywanie kont użytkowników do g rup zabezpieczeń
………………………………………………………………………………………………………………………………………………………………
SO Zarządzanie kontami i hasłami użytkowników
ZSM Świdnica Źródło: Internet
3/14
Po stworzeniu odpowiednich kont dla wszystkich użytkowników komputera, powinniśmy przypisać każde z nich do jednej lub
kilku Grup zabezpieczeń. Dla komputerów wolno stojących i małych sieci wystarczające są wbudowane grupy. Przypisywanie
kont do grup możemy w Windows XP wykonywać za pomocą różnych narzędzi:

Przystawka Użytkownicy i grupy lokalne oferuje nam dwie możliwości:
a) Zarządzanie członkostwem w grupach jednego użytkownika. W drzewie konsoli otwieramy węzeł Użytkownicy, w
okienku szczegółów wybieramy nazwę użytkownika, powinno pojawić się okno dialogowe Właściwości, przechodzimy
do karty Członek grupy. Gdy chcemy dodać konto do grupy, klikamy przycisk Dodaj i wpisujemy nazwę grupy, gdy
chcemy je usunąć z grupy, wybieramy odpowiednią pozycję i klikamy Usuń.
b) Zarządzanie członkostwem użytkowników w jednej grupie. W drzewie konsoli klikamy węzeł Grupy, następnie
dwukrotnie klikamy na nazwę wybranej grupy. W oknie dialogowym właściwości grupy klikamy przycisk Dodaj i
wpisujemy nazwę konta, jeśli chcemy je przypisać do grupy . W przypadku, gdy chcemy usunąć jakieś konto z grupy,
wybieramy je i klikamy przycisk Usuń.
………………………………………………………………………………………………………………………………………………………………
SO Zarządzanie kontami i hasłami użytkowników
ZSM Świdnica Źródło: Internet
4/14

Polecenie Net Localgroup. Dodajemy konto do do grupy przy użyciu składni netlocalgroup grupa nazwa /add
(grupa - nazwa grupy zabezpieczeń, nazwa - jedna lub wiele nazw użytkowników, oddzielonych przec inkami). Żeby
usunąć jednego lub kilku członków grupy, używamy tej samej składni, zastępując ciąg znaków /add ciągiem /delete.

Aplet Konta użytkowników pozwala dodawać konta do grupy Administratorzy lub Użytkownicy. Można być
członkiem tylko jednej z tych dwóch grup. W oknie dialogowym Konta użytkowników klikamy nazwę profilu, a
następnie polecenie Zmień typ konta. Obecność w innych grupach zabezpieczeń po pozostaje bez zmian.
Przypisywanie hasła do konta
Po stworzeniu konta i przypisaniu go do grupy zabezpieczeń (często obie te czynności wyko nywane są automatycznie podczas
instalacji) należy przypisać mu hasło (dla większości kont musimy to zrobić już samodzielnie). Hasła powinny być trudne do
odgadnięcia. Dlatego najlepiej, jeśli hasło składa się z przynajmniej 8 losowo wybranych znaków. Czyn ności te wykonujemy w
następujących lokalizacjach:



Użytkownicy i grupy lokalne . Klikamy węzeł Użytkownicy, potem prawym przyciskiem myszy nazwę użytkownika
i wybieramy polecenie Ustaw hasło.
Konta użytkowników . Wybieramy nazwę konta i klikamy łącze Utwórz hasło. Aplet Konta użytkowników
pozwala wpisać podpowiedź do hasła. Przy ustalaniu podpowiedzi należy uważać, aby nie mówiła ona za dużo o
naszym kodzie. Jednak jeśli poważnie traktujemy bezpieczeństwo powinniśmy zrezygnować z tej wygodnej, lecz
nieostrożnej funkcji.
Polecenie Net User. Stosujemy następującą składnię: net user użytkownik hasło . W miejsce użytkownik
wpisujemy nazwę wybranego użytkownika. Zamiast hasło możemy wpisać jedną z trzech wartości:
1) Ustalone hasło;
2) * - System poprosi o wpisani e hasła, dobra opcja kiedy my tworzymy konto a użytkownik sam wpisuje sobie kod;
3) /random - System sam wygeneruje 8 -znakowe hasło i je wyświetli.
Jeśli mamy już zainstalowany system i skonfigurowane konta, to lepiej nie zmieniać ani nie usuwać haseł inn ym użytkownikom.
Czyniąc to spowodujemy, że dany profil straci wszystkie swoje certyfikaty osobiste i hasła do witryn sieci Web oraz zasobów
sieciowych. Mechanizm ten ma na celu uniemożliwienie administratorowi dostęp do prywatnych zasobów użytkownika popr zez
zmianę hasła.
Zabezpieczanie konta Administrator
Jeśli komuś uda się uzyskać dostęp do konta Administratora, stajemy się praktycznie bezbronni. Intruz może robić co chce z
naszym komputerem. Dlatego powinniśmy szczególnie dbać o bezpieczeństwo tego pro filu. W tym celu należy ustawić dla niego
szczególnie silne hasło oraz często je zmieniać. Oprócz tego możemy zmienić jego nazwę. Intruzi spodziewają się nazwy
Administrator, zmieniając ją na inną, mają oni jeszcze jedną przeszkodę do pokonania. Aby to zro bić, w wierszu polecenia
wpisujemy control userpasswords2 . W karcie Użytkownicy wybieramy konto Administrator. W polu Nazwa
użytkownika wpisujemy nową nazwę.
Sprytnym rozwiązaniem jest po zmienieniu nazwy konta Administrator, utworzenie nowego o tej nazwie . Następnie dodanie
tego konta do grupy Goście oraz utworzenie dla niego hasła. Nazwa Administrator przyciąga intruzów, lecz nawet jeśli uda im
się złamać zabezpieczenia to i tak nic im to nie da. Oprócz tego będziemy mogli sprawdzić czy ktoś próbował włam ać się do
systemu, dzięki dziennikowi zabezpieczeń w Podglądzie zdarzeń (obserwując czy ktoś próbował się zalogować jako
Administrator).
Jeśli oprócz domyślnego mamy jeszcze inne konto należące do grupy Administratorzy, możemy wyłączyć te domyślne. Aby to
zrobić w przystawce Użytkownicy i grupy lokalne klikamy dwukrotnie na konto administratora i zaznaczamy pole wyboru
Konto jest wyłączone i klikamy OK.
………………………………………………………………………………………………………………………………………………………………
SO Zarządzanie kontami i hasłami użytkowników
ZSM Świdnica Źródło: Internet
5/14
Zabezpieczenie konta Gość
Użytkownicy tego konta mają dostęp do zainstalowanych programów, plików w folderze Dokumenty udostępnio ne i profilu
Gość. Konto jest przeznaczone dla sporadycznych użytkowników. Choć nie pozwala na wiele to jednak stanowi kolejne drzwi,
przez które napastnicy mogą starać zakraść się do systemu.
Jeśli nie jest nam potrzebne konto dla przygodnych użytkowników to możemy je wyłączyć. Gdyby w przyszłości zaszła potrzeba
będziemy mogli je z powrotem uruchomić. Jeśli komputer nie jest włączony do domeny możemy to zrobić w aplecie Konta
użytkowników w Panelu sterowania (wybieramy konto Gość i klikamy Wyłącz konto gościa)
Jeśli komputer jest włączony do dome ny, aby wyłączyć konto Gość otwieramy przystawkę Użytkownicy i grupy lokalne ,
klikamy węzeł Użytkownicy, a następnie w oknie szczegółów wybieramy konto Gość. W oknie Właściwości: Gość
zaznaczamy pole wyboru Konto jest wyłączone (jeśli chcemy włączyć to odz naczamy).
Kolejnym krokiem podnoszącym poziom bezpieczeństwa jest zmiana nazwy tego profilu. Robi się to tak samo jak w wyżej
opisanym przypadku konta Administrator. Możemy także zmienić nazwę konta Gość bez wcześniejszego jego włączania. Aby to
zrobić w wierszu poleceń wpisujemy: secpol.msc, aby uruchomić Ustawienia zabezpieczeń lokalnych . Otwieramy gałąź
Ustawienia zabezpieczeń \Zasady lokalne\Opcje zabezpieczeń i w oknie szczegółów dwukrotnie klikamy Konta: Zmień
nazwę konta gościa . Następnie wpisujemy no wą nazwę.
………………………………………………………………………………………………………………………………………………………………
SO Zarządzanie kontami i hasłami użytkowników
ZSM Świdnica Źródło: Internet
6/14
W przypadku, gdy nie u dostępniamy plików lub drukarek w sieci za pomocą Prostego udostępniania plików , możemy
uniemożliwić innym członkom sieci logowania się na naszym komputerze za pomocą konta Gość. Uruchamiamy Ustawienia
zabezpieczeń lokalnych , otwieramy węzeł Ustawienia zabezpieczeń\Zasady lokalne\Przypisywanie praw
użytkownika, klikamy dwukrotnie w oknie szczegółów na Odmowa dostępu do tego komputera z sieci i dodajemy do
listy konto gościa.
Udaremnijmy użytkownikowi konta gościa zamykanie systemu. W tym celu uruchom przystawkę Ustawienia zabezpieczeń
lokalnych, otwórz węzeł Ustawienia zabezpieczeń \Zasady lokalne\Przypisywanie praw użytkownika i kliknij
dwukrotnie Zamykanie systemu i usuń z listy konto gościa.
………………………………………………………………………………………………………………………………………………………………
SO Zarządzanie kontami i hasłami użytkowników
ZSM Świdnica Źródło: Internet
7/14
Aby uniemożliwić zamykanie systemu z poziomu okna powitalnego lub dialogowego Logowanie do systemu Windows , w
Ustawieniach zabezpieczeń lokalnych otwórz gałąź Ustawienia zabezpieczeń \Zasady lokalne\Opcje zabezpieczeń i
w oknie szczegółów wybierz Zamknięcie: zezwalaj na zamykanie systemu bez konieczności zalogowania , kliknij
Wyłącz, a następnie OK.
Oczywiście każdy kto ma bezpośredni kontakt z komputerem moż e po prosu go wyłączyć z prądu. Dlatego uniemożliwienie
gościom zamykania systemu ma sens jeśli jednostka centralna znajduje się w bezpiecznym miejscu, do którego niepowołani
użytkownicy nie mają dostępu.
Dodatkowo możemy jeszcze udaremnić wyświetlanie dzi enników zdarzeń przez użytkownika Gość. Mając tą możliwość, Goście
mogę zdobywać informacje o komputerze zaglądając do dzienników. Aby nie pozwolić im na to, uruchamiamy Edytor rejestru
i otwieramy klucz HKLM\System\CurrentControlSet\Services\Eventlog. W podkluczach Application, Security oraz
System powinna znajdować się wartość DWORD o nazwie RestrictGuestAccess ustawiona na 1.
Efektywne stosowanie haseł
Musimy zdać sobie sprawę jak ważne są silne hasła. Cały rozbudowany mechanizm bezpieczeństwa systemu Wi ndows staje się
bezradny w przypadku jeśli napastnik zaloguje się jako użytkownik o nieograniczonych możliwościach. Hasła są elementarnym
narzędziem mającym na celu pomagać systemowi weryfikować użytkownika. Z założenia tylko użytkownik danego konta zna
hasło dostępu do niego. Dbajmy o to, aby to założenie było zawsze spełnione.
Tworzenie silnych haseł
………………………………………………………………………………………………………………………………………………………………
SO Zarządzanie kontami i hasłami użytkowników
ZSM Świdnica Źródło: Internet
8/14
Powszechnie użytkownicy komputerów jako haseł używają jakichś losowych słów, imion, nazw ulubionych drużyn, specjalnych
dat itd. Dla zaawansowanych programów do łamania kodów są to trywialne zadania, których rozwiązanie zajmuje im kilka
minut. Typowym błędem jest wybieranie jakiegoś słowa, także obcojęzyczne go. Nie decydujmy się również na imiona, ulubione
nazwy czy miejsca. Pamiętajmy o tym, żeby nie zostawiać w pobliżu komputera kartki z hasłem. Dobre kod zawiera
przynajmniej 8 znaków i jest kombinacją cyfr, symboli, małych i dużych liter. Dodatkowo powinie n być okresowo zmieniany i
nikomu poza nami nie może być znany. Złamanie takiego hasła to nieporównywalnie trudniejsze zadanie. Należy jednak
pamiętać, że możliwe do rozwiązania, ale wymagające dłuższego okresu czasu (często miesięcy). Jeśli będziemy stoso wać
zasady bezpieczeństwa to zanim komuś uda się złamać nasz kod, będzie on już zmieniony.
Jedyną wadą losowych haseł jest to, że w większości przypadków gdzieś je zapisujemy. Sprytni użytkownicy mają swoje
sposoby na to, aby kod do komputera był tylko w ich głowach. Na przykład wykorzystując jakąś frazę " Juventus Turyn wygrał z
AC Milan 2-1", tworzę hasło: "JTwzAM2-1".
Możemy wykorzystać polecenie Net User do stworzenia silnego hasła. W tym celu w Wierszu poleceń wpisujemy: net user
xxxxxx/random (w miejsce xxxxxx nazwa użytkownika). Hasło zostanie wygenerowane i przypisane do konta użytkownika. W
Internecie możemy znaleźć wiele programów i usług online losowo generujących hasła. Wystarczy wpisać w wyszukiwarce
"generator hasła", aby się o tym przekonać.
Hasła do systemu mogą składać się ze 127 znaków. Wraz ze wzrostem długości zwiększa się poziom trudności złamania kodu.
Do wykorzystania mamy dowolne znaki, także spacje. Stosowanie spacji w hasłach pomaga tworzyć długie frazy. Jednak nie
należy używać spacji jako pierwszego lub ostatniego znaku, gdyż niektóre aplikacje obcinają te pozycje.
Ustanawianie i wymuszanie zasad haseł.
Należy narzucić wszystkim użytkownikom komputera zasady dotyczące haseł logowania. Większość reguł możemy wymusić
wykorzystując konsolę Ustawienia zabezpieczeń lokalnych . Aby ją uruchomić w wierszu poleceń wpisujemy: secpol.msc.
Aby przejść do zasad dotyczących haseł wszystkich kont otwieramy węzeł Ustawienia zabezpieczeń \Zasady
konta\Zasady haseł.
Mamy do dyspozycji listę następujących zasad (otwieramy je klikają c wybraną dwukrotnie):






Wymuszaj tworzenie historii haseł . Windows tworzy listę dotychczasowych haseł (maksymalnie 24), dzięki której
może kontrolować, aby użytkownik nie zmieniał hasła na takie, które juz wcześniej stosował. Jeśli korzystamy z tej
funkcji powinniśmy też ustawić minimalny okres ważności hasła. W ten sposób nie pozwolimy na to, aby użytkownik
mógł zmieniać sobie wielokrotnie hasło, a następnie znowu podać takie, jakie miał dotychczas.
Maksymalny okres ważności hasła. Ustawiamy tu okres ważnoś ci konta (maksymalnie 999 dni). Aby dla
wybranego konta wyłączyć tą funkcję, należy w przystawce Użytkownicy i grupy lokalne otworzyć właściwości
konta i zaznaczyć Hasło nigdy nie wygasa .
Minimalny okres ważności konta. Czyli liczba dni (maksymalnie 999), po upływie których hasło może być
zmienione.
Minimalna długość hasła. Maksymalnie 14 znaków. Zmiana tego ustawienia nie wpływa na dotychczasowe hasła.
Hasła muszą spełniać wymagania co do złożoności. Włączenie zasady oznacza: hasła muszą mieć przynajmniej
6 znaków, muszą zawierać małe, duże litery, cyfry i symbole, nie mogą zawierać części nazwiska ani nazwy
użytkownika. Zmiana nie wpływa na dotychczasowe hasła.
Zapisz hasła dla wszystkich użytkowników w domenie, korzystając z szyfrowania odwracalnego.
Włączenie powoduje zapisywanie haseł otwartym tekstem, a nie w postaci zaszyfrowanej. Stosuje się to bardzo
rzadko, jedynie w celu uzyskania kompatybilności ze starszymi aplikacjami.
Odzyskiwanie zapomnianego hasła
………………………………………………………………………………………………………………………………………………………………
SO Zarządzanie kontami i hasłami użytkowników
ZSM Świdnica Źródło: Internet
9/14
Jeśli często zmieniamy hasła, które są długi e i skomplikowane, to wysoce prawdopodobne jest to, że kiedyś możemy zapomnieć
o jednym z nich. Najrozsądniej jest zabezpieczyć się przed takim przypadkiem, tworząc dyskietkę do resetowania hasła .
Dzięki niej możemy zalogować się do systemu, nie znając has ła. Możemy ją utworzyć tylko dla naszego lokalnego profilu. Żeby
zrobić omawianą dyskietkę należy zalogować się na konto, dla którego chcemy utworzyć "ostatnią deskę ratunku", następnie
wejść do konsoli Konta użytkowników w Panelu sterowania , kliknąć nazwę swojego konta i w okienku Zadania
pokrewne kliknąć Zapobiegaj zapominaniu hasła , w ten sposób uruchomimy Kreatora przypominania hasła . Moduł
poprosi nas o włożenie dyskietki do napędu i wpisanie hasła. Po zakończeniu pracy kreatora najlepiej odłożyć dyski etkę w
bezpieczne miejsce.
Jeśli zdarzy nam się zapomnieć kodu, w czasie logowania Windows wyświetla pomocne opcje. Jeśli używamy ekranu
powitalnego okno zawiera łącze Użyj dyskietki do resetowania hasła , jeśli ekran powitalny jest wyłączony to kontrolka
zawiera przycisk Resetuj. Wybierając którąś z tych opcji, kreator poprosi nas o dyskietkę, a następnie o wpisanie nowego
hasła.
Innym, tradycyjnym rozwiązaniem problemu zapomnienia kodu jest zalogowanie się jako administrator i ustawienie innego
hasła. Jest to jednak nieefektywne rozwiązanie. Po usunięciu starego kodu użytkownik traci wszystkie swoje osobiste certyfikaty
i zapisane hasła do witryn sieci Web oraz zasobów sieciowych. Bez tych certyfikatów nie będzie miał dostępu do plików i
wiadomości e-mail zaszyfrowanych przy użyciu swojego indywidualnego klucza.
Jeśli nie stworzyliśmy zawczasu dyskietki do resetowania hasła i nie znamy hasła administratora pozostaje nam zabawić się w
hakerów i spróbować paru sztuczek.
Jeśli nasz dysk systemowy ma format FA T32 to po pewnym czasie wyświetlania ekranu logowania baz żadnej aktywności myszy
ani klawiatury system uruchamia wygaszacz ekranu Logon.scr z konta System czyli posiada pełnię władzy. Możemy podstawić
pod niego inny program, który uruchomi się bez logowan ia. Cała operacja wygląda następująco:
1.
2.
3.
4.
5.
6.
Uruchamiamy system z dyskietki Windows albo MS -DOS.
Wpisujemy polecenia:
cd \windows\system32 //przejście do folderu %SystemRoot%\System32
ren logon.scr logon.sav //przemianowanie pliku logon.scr
copy cmd.exe logon.s cr //utworzenie kopii cmd.exe pod nazwą logon.scr
Wyjmujemy dyskietkę i ponownie uruchamiamy komputer.
Czekamy chwilę aż pojawi się zamiast wygaszacza ekranu wiersz poleceń.
W oknie wiersz poleceń wpisujemy: nest user administrator ****** (w miejsce ****** nowe hasło).
Możemy się zalogować jako administrator używając nowego hasła.
W przypadku, gdy bardziej dbamy o bezpieczeństwo i wszystkie partycje dyskowe mamy sformatowane przy użyciu NTFS ta
sztuczka nam się nie uda. Możemy użyć programu do łamania haseł . Ich działanie jest najbardziej efektywne, jeśli możemy się
na jakimś innym koncie zalogować jako administrator. Niektóre z tych programów działają po załadowaniu systemu z dyskietki
albo z innego systemu operacyjnego (jeśli został uprzednio zainstalowany ). Można też skorzystać z innego komputera w sieci.
Programy do łamania haseł wykorzystują następujące metody: atak słownikowy; pobranie wartości funkcji mieszającej dla hasła
z bazy SAM albo z pamięci; metody siłowej, która polega na sprawdzaniu wszystkic h kombinacji znaków. Nawet jeśli nie
musimy znaleźć zapomnianego hasła, warto sprawdzić możliwości takich programów i trochę się nimi pobawić. Możemy
przetestować siłę naszych haseł (i przekonać się dlaczego tak ważne jest stosowanie długiej skomplikowanej kombinacji
znaków). Kilka takich programów:



John the Ripper (www.openwall.com/john/ )
Winternal Locksmith (www.winternals.com/Products/LockSmith/)
Windows XP/2000/NT Key ( www.lostpassword.com/windows -xp-2000-nt.htm)
Konfigurowanie bezpiecznego procesu logowania
Zabezpieczanie ekranu powitalnego
Ekran powitalny jest narzędziem, które pozwala nam w bardzo łatwy i wygodny sposób zalogować się do systemu. Jeśli dbamy
o bezpieczeństwo to niestety musimy zrezygnować z tej wygody. Ekran powitalny ujawnia bowiem zbyt dużo informacji. Każdy
może dzięki niemu zobaczyć wszystkie nazwy użytkownik ów oraz podpowiedzi do ich haseł (jeśli je stosujemy).
………………………………………………………………………………………………………………………………………………………………
SO Zarządzanie kontami i hasłami użytkowników
ZSM Świdnica Źródło: Internet
10/14
Aby wyłączyć wyświetlanie ekranu powitalnego otwieramy aplet Konta użytkowników w Panelu sterowania . Następnie
klikamy przycisk Zmień sposób logowania lub wylogowywania użytkowników , odznaczamy pole wyboru Używaj
ekranu powitalnego i klikamy Zastosuj opcje.
Po zablokowaniu ekranu powitalnego korzystamy ze starego sposobu logowania - okno dialogowe Logowania do systemu
Windows. Nie możemy jednak już korzystać z funkcji Szybkie przełączanie użytkowników , która pozwala zalogować się
na innym koncie bez wylogowywania się z tego, na którym aktualnie pracujemy. Dzięki tej funkcji kilku użytkowników może być
zalogowanych jednocześnie, a programy uruchomione na kontach, z których aktualnie nie korzystamy pracują w tle. Jeśli zależ y
nam na tej funkcji tak bardzo, że nie chcemy pozbyć się ekranu powitalnego, to możemy przynajmniej podnieść poziom jego
bezpieczeństwa. Mamy do wykorzystania dwa sposoby:


Na ekranie powitalnym są tylko członkowie grup Administratorzy, Goście, Użytkownicy i Użytkownicy zaawansowani.
Możemy zmienić członkostwo w grupach kont, które chcemy ukryć.
Możemy też zmienić ustawienia w rejestrze. W tym celu uruchamiamy Edytor rejestru, a następnie otwieramy klucz
HKLM\Software\Microsoft\Windows NT\Current Version\Winlogon\SecialAccounts\UserList, tworzymy
nową wartość DWORD, nazywamy ją tak, jak konto które chcemy ukryć i ustawiamy wartość na 0.
Teraz korzystając z ekranu powitalnego, aby zalogować się na ukryte konto, dwa razy naciskamy klawisze Ctrl+Alt+Delete,
dzięki czemu wyświetli się okno dialogowe Logowanie do systemy Windows . Wpisujemy w nim nazwę i hasło. Nie możemy
jednak przełączać na konta użytkowników, którzy są ukryci w ekranie powitalnym, gdyż dwukrotne naciśnięcie
Ctrl+Alt+Delete działa tylko wtedy, gdy nikt nie jest zalogowany.
Zabezpieczanie klasycznego logowania
Klasyczne logowanie wymaga wciśnięcia kombinacji Ctrl+Alt+Delete, w celu wyświetlenia okna Logowanie do systemu
Windows, w którym wprowadzamy nazwę i hasło użytkownika. Aby zabezpieczyć ten sposób logowania otwieramy okno
dialogowe Uruchom i wpisujemy control userpasswords2 . Aby na pewno przed każdym logowaniem użytkownik musiał
stosować sekwencję bezpiecznego przywołania [Ctrl+Alt+Delete], klikamy kartę Zaawansowane i zaznaczamy Żądaj od
użytkowników naciśnięcia klawiszy Ctrl+Alt+Delete . Kolejnym krokiem jest wyłączenie opcji autologowania. W tym celu
klikamy kartę Użytkownicy i zaznaczamy Aby używać tego komputera, użytkownik musi wprowadzić nazwę
użytkownika i hasło .
Kontrolowania automaty cznego logowania
Z reguły, aby zwiększyć poziom bezpieczeństwa komputera rezygnujemy z funkcji autologowania. Proces ten polega bowiem na
pominięciu procedury wpisywania hasła. Po uruchomieniu systemu od razu przechodzimy do pulpitu. Są jednak przypadki, g dy
autologowanie jest pomocne. Jeśli np. jesteśmy jedynymi użytkownikami komputera, a poza tym znajduje się on w miejscu, w
którym nikt niepowołany nie ma do niego dostępu, funkcja ta nie jest specjalnie dla nas niebezpieczna, przy czym sprawia, że
korzystanie z komputera jest wygodniejsze. Jeśli chcemy, aby jednostka służyła jakiejś grupie użytkowników o takich samych
uprawnieniach ta procedura także może okazać się pomocna. Użytkownik nie ma wtedy nawet możliwości wyboru konta, lecz
korzysta z tego, do kt órego automatycznie loguje się do systemu.
Aby włączyć autologowanie w oknie Uruchom wpisujemy control userpasswords2 i w karcie Użytkownicy tym razem
odznaczamy pole Aby używać tego komputera, użytkownik musi wprowadzić nazwę użytkownika i hasło . Następnie
wybieramy OK, system poprosi wówczas o nazwę i hasło użytkownika konta, które będzie się automatycznie uruchamiać.
Skutkiem tego działania jest kilka zmian w kluczu rejestru HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon. Tworzona jest wartość o nazwie DefaultUserName i ustawiana jest na podaną nazwę
użytkownika. Jeśli konto nie jest kontem lokalnym, tworzona jest wartość łańcuchowa DefaultDomainName i ustawiana jest
………………………………………………………………………………………………………………………………………………………………
SO Zarządzanie kontami i hasłami użytkowników
ZSM Świdnica Źródło: Internet
11/14
na nazwę domeny podanego konta użytkownika. Dodawana jest także łańcuchowa w artość AutoAdminLogon i ustawiana jest
na 1.
W tym kluczu rejestru możemy dokonać jeszcze paru zmian, które wpływają na proces autologowania. Omawiany proces
uruchamia się tylko na początku, jeśli się wylogujemy z domyślnego konta, pojawia się już standard owy ekran logowania.
Możemy to zmienić dodając łańcuchową wartość AutoLogon i ustawić ją na 1.
Domyślnie trzymając wciśnięty klawisz Shift podczas uruchamiania systemu, blokujemy autologowanie. Jeśli chcemy
zrezygnować z tej opcji, dodajemy wartość łańcuch ową IgnoreShiftOverride i ustawiamy ją na1.
Możemy ustalić liczbę działań autologowania, po której funkcja ta zostanie wyłączona. Aby ograniczyć liczbę działań tej
procedury dodajemy wartość DWORD o nazwie AutoLogonCount i podajemy wybraną liczbę. Podczas każdego startu
systemu liczba będzie zmniejszana o 1. Gdy liczba osiągnie wartość 0, funkcja zostanie wyłączona - system zmieni wartość
AutoAdminLogon na 0 i usunie wartość AutoLogonCount.
Wiadomość powitalna
Tuż przed oknem Logowanie do systemu Windows możemy umieścić wiadomość. Może to być przyjazny komunikat
powitalny lub ostrzeżenie. Nie jest to żadna część filaru bezpieczeństwa, ale zdarzają się sytuacje, gdy wymagane jest np.
ostrzeżenie o tym, że próba zalogowania się nieuprawnionego użytkownika jest nielegalna (sankcjonowane przez prawo). Jeśli
kiedyś znaleźlibyśmy się w takiej (trzeba przyznać trochę naciąganej :)) sytuacji, to musielibyśmy poczynić następujące kroki:




Wpisujemy w oknie Uruchom polecenie: secpol.msc, które otworzy Ustawienia zabezpie czeń lokalnych.
Otwieramy gałąź: Ustawienia zabezpieczeń \Zasady lokalne \Opcje zapezieczeń.
Klikamy dwukrotnie pozycję Logowanie interakcyjne: Tytuł komunikatu dla użytkowników próbujących się
zalogować, wpisujemy tekst, który pojawi się na pasku tytułu os trzeżenia i klikamy OK.
Klikamy dwukrotnie zasadę Logowanie interakcyjne: Tekst komunikatu dla użytkowników próbujących się
zalogować, wpisujemy tytuł
oraz treść ostrzeżenia i wybieramy OK.
………………………………………………………………………………………………………………………………………………………………
SO Zarządzanie kontami i hasłami użytkowników
ZSM Świdnica Źródło: Internet
12/14
Możemy też stworzyć ten komunikat modyfikując dwie wartości łańcuchowe w kluczu rejestru
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Wpisujemy wartość LegalNoticeCaption jako
treść paska, a wartość LegalNoticeText jako treść samego komunikatu.
Zasady blokady kont
Skutecznym zabezpieczeniem przed użytkownikiem czy programem usiłującym się włamać do systemu przez podawanie kolejno
różnych haseł jest ustawienie zasad blokady kont. Możemy je skonfigurować za pomocą konsoli Ustawienia zabezpieczeń
lokalnych, którą uruchamiamy po wpisaniu w wierszu polecenia secpol.msc. Otwieramy węzeł Ustawienia
zabezpieczeń\Zasady konta\Zasady blokady konta i klikamy dwukrotnie w wybraną zasadę, mamy do dyspozycji:



Czas trwania blokady konta. Liczba wyznaczająca czas zablokowania użytkownika. Wartość 0 oznacza
zablokowanie konta na zawsze (do czasu odblokowania go pr zez administratora). Maksymalna wartość to 9999 minut,
czyli około 69 dni.
Próg blokady konta. Liczba (od 1 do 999) wyznaczająca limit nieudanych logowań w ustalonym okresie czasu,
którego przekroczenie powoduje zablokowanie konta.
Wyzeruj licznik blokady konta po. Liczba (od 0 do 99999 minut) wyznaczająca okres, w ciągu którego obowiązuje
limit nieudanych prób logowania. Jeśli ustalimy 10 minut oznacza to, że po tym okresie liczba prób jest zerowana i
odliczanie zaczyna się od początku.
Dodatkowa ochrona dzięki narzędziu Syskey
Syskey chroni bazę danych SAM, w której zawarte są informacje o kontach. Wykorzystuje klucz startowy do szyfrowania bazy.
Standardowym kluczem startowym jest wygenerowany klucz przechowywany w komputerze lokalnym. Syskey uniemożliwia
ataki polegające na uruchomieniu innego systemu operacyjnego i skopiowaniu SAM albo kradzieży kopii zapasowej, stanowi
bardzo dobre zabezpieczenie informacji o hasłach w rejestrze.
………………………………………………………………………………………………………………………………………………………………
SO Zarządzanie kontami i hasłami użytkowników
ZSM Świdnica Źródło: Internet
13/14
Jeśli napastnik ma fizyczny dostęp do komputera, a do tego dobry program do łamania haseł oraz sporo czasu to może poznać
nasze hasła. Jeśli przewidujemy, że istnieje możliwość takiego ataku na jednostkę, możemy użyć narzędzia Syskey do
dodatkowej ochrony. Musimy je skonfigurować tak, aby klucz startowy nie był przechowywany w komputerze. Od tego
momentu pierwszym okienkiem wyświetlającym się po włączeniu komputera, będzie to, w którym należy wpisać hasło klucza
startowego. Bez tego hasła lub dyskietki na której nagrane jest hasło nic nie można zrobić w komputerze. Jeśli zgubimy
dyskietkę lub zapomnimy hasła jed ynym rozwiązaniem jest użycie dysku do automatycznego odzyskiwania systemu (ASR) i
odtworzenie rejestru z kopii zapasowej utworzonej przed włączeniem klucza uruchomienia. Jeśli zdecydujemy jednak, że ta
dodatkowa warstwa ochronna jest nam potrzebna, to mus imy wykonać następujące kroki:


Wpisujemy w wierszu poleceń syskey.
Klikamy Aktualizuj.

Wybieramy jedną z opcji: Uruchamianie z hasłem lub Przechowaj klucz uruchomienia na dyskietce
(standardowe ustawienie to Przechowaj klucz uruchomienia lokalnie ) i klikamy przycisk OK.
………………………………………………………………………………………………………………………………………………………………
SO Zarządzanie kontami i hasłami użytkowników
ZSM Świdnica Źródło: Internet
14/14