Konta użytkowników.

Konta użytkowników.
Jednym z podstawowych składników systemu zabezpieczeń Windows XP są konta użytkowników.
Rozsądne skonfigurowanie, a następnie zarządzanie profilami zdecydowanie podniesie poziom
bezpieczeństwa komputera. W artykule szczegółowo zostało wyjaśnione jak administrować
kontami użytkowników.
Innym przewodnim tematem są hasła. Bezpieczne zarządzanie kontami wymaga stosowania silnych
haseł. Dlatego w dalszej części tekstu omówiłem w jaki sposób należy wybierać te ciągi znaków
tak, aby stanowiły dobrą ochronę. Ostatnim problemem omówionym w artykule jest zabezpieczenie
procesu logowania.
Narzędzia do zarządzania kontami:
•
Użytkownicy i grupy lokalne
Aplikację uruchamiamy otwierając kolejno gałęzie: Panel sterowania\Narzędzia
administracyjne\Zarządzanie komputerem oraz Narzędzia systemowe\Użytkownicy i
grupy lokalne. Możemy też wpisać w wierszu polecenia lub w oknie Uruchom: komendę
lusrmgr.msc.
uzytkownicy_grupylokalne
Przystawka Użytkownicy i grupy lokalne jest użyteczna tylko w edycji Windows XP
Professional. W Windows XP Home Edition również występuje, ale nie oferuje żadnej
funkcjonalności. Narzędzie pozwala tworzyć i usuwać konta użytkowników. Możemy dzięki
niemu dodawać profil do Grupy zabezpieczeń (ale tylko do jednej), zmieniać: nazwę
użytkownika, całą nazwę i opis. Okno to pozwala ustawiać hasła i nakładać na nie
ograniczenia, włączać, wyłączać oraz odblokowywać konta. Ponadto umożliwia ustawienie
profilu i skryptu logowania.
•
Konta użytkowników
Aby je otworzyć, wybieramy pozycje Konta użytkowników w Panelu sterowania.
Narzędzie Konta użytkowników ma ograniczone możliwości, stworzone jest dla mniej
doświadczonych lub niewymagających administratorów. Zakres jego działań to tworzenie i
usuwanie kont oraz umieszczanie ich w Grupie zabezpieczeń (tylko w jednej), zmiana
nazwy użytkownika, opisu i całej nazwy profilu, ustawienie hasła tylko dla kont lokalnych,
innych niż to, na którym jesteśmy zalogowani oraz dołączenie konta do usługi
Microsoft.NET Passport.
•
Polecenia Net
Najszerszy zakres działań na lokalnych kontach użytkowników oferują narzędzia
wierszowe: Net User i Net Localgroup. Polecenia te wpisujemy w konsoli. W celu
uzyskania szczegółowych informacji należy wpisać net help user lub net help localgroup.
Jeśli chcemy zobaczyć składnię polecenia, wpisujemy: net user /? lub net localgroup /?.
Działania na jakie pozwala nam to narzędzie to: tworzenie i usuwanie kont, umieszczanie
konta w Grupach zabezpieczeń, zmiana całej nazwy i opisu, ustawienie hasła, nałożenie
ograniczeń na hasło, ustawienie godzin logowania, włączenie, wyłączenie i odblokowanie
konta, ustawienie terminu ważności konta oraz profilu i skryptu logowania.
•
Konta użytkowników
Jeśli komputer jest podłączony do domeny aplet Konta użytkowników w Panelu
sterowania wygląda jak ten z wcześniejszych wersji Windows i oferuje więcej możliwości.
Jeśli komputer nie jest podłączony do domeny, możemy otworzyć Konta użytkowników
wpisując w wierszu poleceń control userpasswords2.
Narzędzie to pozwala: tworzyć i usuwać hasła, umieszczać konto w Grupie zabezpieczeń
(ale tylko Administratorzy lub Użytkownicy), zmieniać całą nazwę i obrazek, ustawiać
hasła i podpowiedzi do nich, włączać i wyłączać konto Gość, dołączać konta do usługi
Microsoft.NET Passport.
Zarządzać lokalnymi grupami zabezpieczeń możemy tylko za pomocą narzędzi Użytkownicy i
grupy lokalne albo Net Localgrup. Pozwalają one tworzyć Lokalne grupy zabezpieczeń,
dodawać Lokalne konta do Grup lub je z nich usuwać, tworzyć i usuwać Grupy zabezpieczeń,
zmieniać nazwy Grup oraz dodawać do Lokalnych grup zabezpieczeń domenowe konta
użytkowników.
Tworzenie kont użytkowników
Instalując system Windows XP decydujemy z ilu kont będziemy korzystać. Możemy pracować z
komputerem przy użyciu tylko jednego domyślnego konta Administrator. Jest to jednak najmniej
bezpieczny wariant. Dobrą praktyka jest tworzenie konta dla każdego użytkownika, oczywiście z
uwzględnieniem zakresu wszystkich ich potrzeb i możliwości. Nawet w przypadku, gdy tylko jedna
osoba korzysta z komputera lepiej do zwykłych, codziennych czynności używać konta z
ograniczeniami.Poniżej przedstawiam sposoby tworzenia kont:
•
•
W przystawce Użytkownicy i grupy lokalne wybieramy pozycję Użytkownicy, a następnie
w podręcznym menu w zakładce Akcja polecenie Nowy użytkownik. Po wpisaniu
wymaganych danych klikamy na przycisk Utwórz.
Używając polecenia Net User w wierszu poleceń wpisujemy user xxxxxxxx/add (w miejsce
xxxxxxxx wpisujemy nazwę użytkownika). Wybierając tą opcję mamy do dyspozycji
oczywiście więcej możliwości. We wcześniejszej części artykułu wyjaśniłem w jaki sposób
możemy zobaczyć jego listę komend i składnię. Poniżej przykład polecenia:
•
W aplecie Konta użytkowników po prostu wybieramy łącze Utwórz nowe konto. Podczas
samego procesu tworzenia konta ustalamy jedynie nazwę oraz czy będzie to konto
Administratora czy Użytkownika z ograniczonymi możliwościami. Dalsze ustawienia
konfigurujemy po stworzeniu konta.
Wyłączanie i usuwanie kont użytkowników
Dbajmy o porządek naszego systemu. Jeśli dany użytkownik nie ma albo nie powinien mieć juz
dostępu do komputera to usuwajmy lub wyłączajmy jego konto. Niepotrzebny, zapomniany profil
może stać się furtką dla intruza. Wyłączanie różni się tym od usuwania, że po wyłączeniu nie są
kasowane informacje i prywatne pliki użytkownika oraz tym, że wyłączone konto możemy
przywrócić. Po usunięciu profilu niemożliwe jest jego odzyskanie. Wszystkie informacje o koncie
są zapisane w jego numerze identyfikacyjnym - SID. Jeśli skasujemy konto, usuwany jest również
SID. Każdy SID jest używany jednorazowo, jeśli stworzymy nowe konto, takie samo jakie
uprzednio usunęliśmy, będzie miało już inny SID, a więc dla systemu będzie zupełnie nowe. Jeśli
więc nie mamy pewności, czy dany profil nie będzie nam jeszcze kiedyś potrzebny to tylko go
wyłączmy. Są dwie metody włączania\wyłączania kont:
•
•
Wpisujemy w wierszu poleceń: net user xxxxxxxx /active:no (gdzie xxxxxxxx to nazwa
użytkownika) w celu wyłączenia konta, natomiast net user xxxxxxxx/active:yes, gdy
chcemy je włączyć.
W aplikacji Użytkownicy i grupy lokalne dwukrotnie klikamy na konto, wybieramy kartę
Ogólne, zaznaczamy (żeby wyłączyć) lub odznaczamy (włączamy) pole wyboru Konto jest
wyłączone.
Mamy do dyspozycji kilka metod usuwania kont :
•
•
•
Używając polecenia Net User, w wierszu poleceń wpisujemy net user xxxxxxxx/delete
(gdzie xxxxxxxx to nazwa użytkownika).
W przystawce Użytkownicy i grupy lokalne otwieramy węzeł Użytkownicy, klikamy
prawym przyciskiem myszy na wybrane konto i z menu podręcznego wybieramy opcję
Usuń.
Za pomocą apletu Konta użytkowników, wybieramy konto, które ma być usunięte,
następnie klikamy przycisk Usuń konto. Używając tej metody możemy zachować pliki
skasowanego użytkownika. System sam nas zapyta podczas procesu usuwania czy chcemy
zachować pliki użytkownika. Możemy wybrać: Zachowaj pliki lub Usuń pliki. Jeśli
zdecydujemy się zapisać dane, Windows przenosi pliki i foldery użytkownika z pulpitu i
folderu Moje dokumenty do folderu pulpitu, który należy do nas. Reszta profilu
użytkownika jest usuwana. W przypadku, gdy jednak zdecydujemy się skasować
informacje, Windows usuwa konto, profil i wszystkie prywatne pliki użytkownika oraz jego
ustawienia w rejestrze.
Tylko aplet Konta użytkownika podczas kasowania konta usuwa również profil użytkownika i
jego ustawienia w rejestrze. Używając innych narzędzi musimy sami pozbyć się tych
niepotrzebnych danych. W tym celu klikamy prawym przyciskiem myszy ikonę Mój komputer i
wybieramy pozycje Właściwości, otwieramy kartę Zaawansowane, w sekcji Profile użytkownika
klikamy przycisk Ustawienia. Zaznaczamy usunięte konto - Konto nieznane a na końcu
wybieramy Usuń.
Przypisywanie kont użytkowników do grup zabezpieczeń
Po stworzeniu odpowiednich kont dla wszystkich użytkowników komputera, powinniśmy przypisać
każde z nich do jednej lub kilku Grup zabezpieczeń. Dla komputerów wolno stojących i małych
sieci wystarczające są wbudowane grupy. Przypisywanie kont do grup możemy w Windows XP
wykonywać za pomocą różnych narzędzi:
•
Przystawka Użytkownicy i grupy lokalne oferuje nam dwie możliwości:
a) Zarządzanie członkostwem w grupach jednego użytkownika. W drzewie konsoli
otwieramy węzeł Użytkownicy, w okienku szczegółów wybieramy nazwę użytkownika,
powinno pojawić się okno dialogowe Właściwości, przechodzimy do karty Członek grupy.
Gdy chcemy dodać konto do grupy, klikamy przycisk Dodaj i wpisujemy nazwę grupy, gdy
chcemy je usunąć z grupy, wybieramy odpowiednią pozycję i klikamy Usuń.
b) Zarządzanie członkostwem użytkowników w jednej grupie. W drzewie konsoli klikamy
węzeł Grupy, następnie dwukrotnie klikamy na nazwę wybranej grupy. W oknie
dialogowym właściwości grupy klikamy przycisk Dodaj i wpisujemy nazwę konta, jeśli
chcemy je przypisać do grupy. W przypadku, gdy chcemy usunąć jakieś konto z grupy,
wybieramy je i klikamy przycisk Usuń.
•
Polecenie Net Localgroup. Dodajemy konto do do grupy przy użyciu składni
netlocalgroup grupa nazwa /add (grupa - nazwa grupy zabezpieczeń, nazwa - jedna lub
wiele nazw użytkowników, oddzielonych przecinkami). Żeby usunąć jednego lub kilku
członków grupy, używamy tej samej składni, zastępując ciąg znaków /add ciągiem /delete.
•
Aplet Konta użytkowników pozwala dodawać konta do grupy Administratorzy lub
Użytkownicy. Można być członkiem tylko jednej z tych dwóch grup. W oknie dialogowym
Konta użytkowników klikamy nazwę profilu, a następnie polecenie Zmień typ konta.
Obecność w innych grupach zabezpieczeń po pozostaje bez zmian.
Przypisywanie hasła do konta
Po stworzeniu konta i przypisaniu go do grupy zabezpieczeń (często obie te czynności wykonywane
są automatycznie podczas instalacji) należy przypisać mu hasło (dla większości kont musimy to
zrobić już samodzielnie). Hasła powinny być trudne do odgadnięcia. Dlatego najlepiej, jeśli hasło
składa się z przynajmniej 8 losowo wybranych znaków. Czynności te wykonujemy w następujących
lokalizacjach:
•
•
•
Użytkownicy i grupy lokalne. Klikamy węzeł Użytkownicy, potem prawym przyciskiem
myszy nazwę użytkownika i wybieramy polecenie Ustaw hasło.
Konta użytkowników. Wybieramy nazwę konta i klikamy łącze Utwórz hasło. Aplet
Konta użytkowników pozwala wpisać podpowiedź do hasła. Przy ustalaniu podpowiedzi
należy uważać, aby nie mówiła ona za dużo o naszym kodzie. Jednak jeśli poważnie
traktujemy bezpieczeństwo powinniśmy zrezygnować z tej wygodnej, lecz nieostrożnej
funkcji.
Polecenie Net User. Stosujemy następującą składnię: net user użytkownik hasło. W miejsce
użytkownik wpisujemy nazwę wybranego użytkownika. Zamiast hasło możemy wpisać
jedną z trzech wartości:
1) Ustalone hasło;
2) * - System poprosi o wpisanie hasła, dobra opcja kiedy my tworzymy konto a
użytkownik sam wpisuje sobie kod;
3) /random - System sam wygeneruje 8-znakowe hasło i je wyświetli.
Jeśli mamy już zainstalowany system i skonfigurowane konta, to lepiej nie zmieniać ani nie usuwać
haseł innym użytkownikom. Czyniąc to spowodujemy, że dany profil straci wszystkie swoje
certyfikaty osobiste i hasła do witryn sieci Web oraz zasobów sieciowych. Mechanizm ten ma na
celu uniemożliwienie administratorowi dostęp do prywatnych zasobów użytkownika poprzez
zmianę hasła.
Zabezpieczanie konta Administrator
Jeśli komuś uda się uzyskać dostęp do konta Administratora, stajemy się praktycznie bezbronni.
Intruz może robić co chce z naszym komputerem. Dlatego powinniśmy szczególnie dbać o
bezpieczeństwo tego profilu. W tym celu należy ustawić dla niego szczególnie silne hasło oraz
często je zmieniać. Oprócz tego możemy zmienić jego nazwę. Intruzi spodziewają się nazwy
Administrator, zmieniając ją na inną, mają oni jeszcze jedną przeszkodę do pokonania. Aby to
zrobić, w wierszu polecenia wpisujemy control userpasswords2. W karcie Użytkownicy
wybieramy konto Administrator. W polu Nazwa użytkownika wpisujemy nową nazwę.
Sprytnym rozwiązaniem jest po zmienieniu nazwy konta Administrator, utworzenie nowego o tej
nazwie. Następnie dodanie tego konta do grupy Goście oraz utworzenie dla niego hasła. Nazwa
Administrator przyciąga intruzów, lecz nawet jeśli uda im się złamać zabezpieczenia to i tak nic im
to nie da. Oprócz tego będziemy mogli sprawdzić czy ktoś próbował włamać się do systemu, dzięki
dziennikowi zabezpieczeń w Podglądzie zdarzeń (obserwując czy ktoś próbował się zalogować
jako Administrator).
Jeśli oprócz domyślnego mamy jeszcze inne konto należące do grupy Administratorzy, możemy
wyłączyć te domyślne. Aby to zrobić w przystawce Użytkownicy i grupy lokalne klikamy
dwukrotnie na konto administratora i zaznaczamy pole wyboru Konto jest wyłączone i klikamy
OK.
Zabezpieczenie konta Gość
Użytkownicy tego konta mają dostęp do zainstalowanych programów, plików w folderze
Dokumenty udostępnione i profilu Gość. Konto jest przeznaczone dla sporadycznych
użytkowników. Choć nie pozwala na wiele to jednak stanowi kolejne drzwi, przez które napastnicy
mogą starać zakraść się do systemu.
Jeśli nie jest nam potrzebne konto dla przygodnych użytkowników to możemy je wyłączyć. Gdyby
w przyszłości zaszła potrzeba będziemy mogli je z powrotem uruchomić. Jeśli komputer nie jest
włączony do domeny możemy to zrobić w aplecie Konta użytkowników w Panelu sterowania
(wybieramy konto Gość i klikamy Wyłącz konto gościa)
Jeśli komputer jest włączony do domeny, aby wyłączyć konto Gość otwieramy przystawkę
Użytkownicy i grupy lokalne, klikamy węzeł Użytkownicy, a następnie w oknie szczegółów
wybieramy konto Gość. W oknie Właściwości: Gość zaznaczamy pole wyboru Konto jest
wyłączone (jeśli chcemy włączyć to odznaczamy).
Kolejnym krokiem podnoszącym poziom bezpieczeństwa jest zmiana nazwy tego profilu. Robi się
to tak samo jak w wyżej opisanym przypadku konta Administrator. Możemy także zmienić nazwę
konta Gość bez wcześniejszego jego włączania. Aby to zrobić w wierszu poleceń wpisujemy:
secpol.msc, aby uruchomić Ustawienia zabezpieczeń lokalnych. Otwieramy gałąź Ustawienia
zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń i w oknie szczegółów dwukrotnie klikamy
Konta: Zmień nazwę konta gościa. Następnie wpisujemy nową nazwę.
W przypadku, gdy nie udostępniamy plików lub drukarek w sieci za pomocą Prostego
udostępniania plików, możemy uniemożliwić innym członkom sieci logowania się na naszym
komputerze za pomocą konta Gość. Uruchamiamy Ustawienia zabezpieczeń lokalnych,
otwieramy węzeł Ustawienia zabezpieczeń\Zasady lokalne\Przypisywanie praw użytkownika,
klikamy dwukrotnie w oknie szczegółów na Odmowa dostępu do tego komputera z sieci i
dodajemy do listy konto gościa.
Udaremnijmy użytkownikowi konta gościa zamykanie systemu. W tym celu uruchom przystawkę
Ustawienia zabezpieczeń lokalnych, otwórz węzeł Ustawienia zabezpieczeń\Zasady
lokalne\Przypisywanie praw użytkownika i kliknij dwukrotnie Zamykanie systemu i usuń z listy
konto gościa.
Aby uniemożliwić zamykanie systemu z poziomu okna powitalnego lub dialogowego Logowanie
do systemu Windows, w Ustawieniach zabezpieczeń lokalnych otwórz gałąź Ustawienia
zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń i w oknie szczegółów wybierz Zamknięcie:
zezwalaj na zamykanie systemu bez konieczności zalogowania, kliknij Wyłącz, a następnie OK.
Oczywiście każdy kto ma bezpośredni kontakt z komputerem może po prosu go wyłączyć z prądu.
Dlatego uniemożliwienie gościom zamykania systemu ma sens jeśli jednostka centralna znajduje
się w bezpiecznym miejscu, do którego niepowołani użytkownicy nie mają dostępu.
Dodatkowo możemy jeszcze udaremnić wyświetlanie dzienników zdarzeń przez użytkownika
Gość. Mając tą możliwość, Goście mogę zdobywać informacje o komputerze zaglądając do
dzienników. Aby nie pozwolić im na to, uruchamiamy Edytor rejestru i otwieramy klucz
HKLM\System\CurrentControlSet\Services\Eventlog. W podkluczach Application, Security
oraz System powinna znajdować się wartość DWORD o nazwie RestrictGuestAccess ustawiona
na 1.
Efektywne stosowanie haseł
Musimy zdać sobie sprawę jak ważne są silne hasła. Cały rozbudowany mechanizm bezpieczeństwa
systemu Windows staje się bezradny w przypadku jeśli napastnik zaloguje się jako użytkownik o
nieograniczonych możliwościach. Hasła są elementarnym narzędziem mającym na celu pomagać
systemowi weryfikować użytkownika. Z założenia tylko użytkownik danego konta zna hasło
dostępu do niego. Dbajmy o to, aby to założenie było zawsze spełnione.
Tworzenie silnych haseł
Powszechnie użytkownicy komputerów jako haseł używają jakichś losowych słów, imion, nazw
ulubionych drużyn, specjalnych dat itd. Dla zaawansowanych programów do łamania kodów są to
trywialne zadania, których rozwiązanie zajmuje im kilka minut. Typowym błędem jest wybieranie
jakiegoś słowa, także obcojęzycznego. Nie decydujmy się również na imiona, ulubione nazwy czy
miejsca. Pamiętajmy o tym, żeby nie zostawiać w pobliżu komputera kartki z hasłem. Dobre kod
zawiera przynajmniej 8 znaków i jest kombinacją cyfr, symboli, małych i dużych liter. Dodatkowo
powinien być okresowo zmieniany i nikomu poza nami nie może być znany. Złamanie takiego hasła
to nieporównywalnie trudniejsze zadanie. Należy jednak pamiętać, że możliwe do rozwiązania, ale
wymagające dłuższego okresu czasu (często miesięcy). Jeśli będziemy stosować zasady
bezpieczeństwa to zanim komuś uda się złamać nasz kod, będzie on już zmieniony.
Jedyną wadą losowych haseł jest to, że w większości przypadków gdzieś je zapisujemy. Sprytni
użytkownicy mają swoje sposoby na to, aby kod do komputera był tylko w ich głowach. Na
przykład wykorzystując jakąś frazę "Juventus Turyn wygrał z AC Milan 2-1", tworzę hasło:
"JTwzAM2-1".
Możemy wykorzystać polecenie Net User do stworzenia silnego hasła. W tym celu w Wierszu
poleceń wpisujemy: net user xxxxxx/random (w miejsce xxxxxx nazwa użytkownika). Hasło
zostanie wygenerowane i przypisane do konta użytkownika. W Internecie możemy znaleźć wiele
programów i usług online losowo generujących hasła. Wystarczy wpisać w wyszukiwarce
"generator hasła", aby się o tym przekonać.
Hasła do systemu mogą składać się ze 127 znaków. Wraz ze wzrostem długości zwiększa się
poziom trudności złamania kodu. Do wykorzystania mamy dowolne znaki, także spacje.
Stosowanie spacji w hasłach pomaga tworzyć długie frazy. Jednak nie należy używać spacji jako
pierwszego lub ostatniego znaku, gdyż niektóre aplikacje obcinają te pozycje.
Ustanawianie i wymuszanie zasad haseł.
Należy narzucić wszystkim użytkownikom komputera zasady dotyczące haseł logowania.
Większość reguł możemy wymusić wykorzystując konsolę Ustawienia zabezpieczeń lokalnych.
Aby ją uruchomić w wierszu poleceń wpisujemy: secpol.msc. Aby przejść do zasad dotyczących
haseł wszystkich kont otwieramy węzeł Ustawienia zabezpieczeń\Zasady konta\Zasady haseł.
Mamy do dyspozycji listę następujących zasad (otwieramy je klikając wybraną dwukrotnie):
•
Wymuszaj tworzenie historii haseł. Windows tworzy listę dotychczasowych haseł
(maksymalnie 24), dzięki której może kontrolować, aby użytkownik nie zmieniał hasła na
takie, które juz wcześniej stosował. Jeśli korzystamy z tej funkcji powinniśmy też ustawić
•
•
•
•
•
minimalny okres ważności hasła. W ten sposób nie pozwolimy na to, aby użytkownik mógł
zmieniać sobie wielokrotnie hasło, a następnie znowu podać takie, jakie miał dotychczas.
Maksymalny okres ważności hasła. Ustawiamy tu okres ważności konta (maksymalnie
999 dni). Aby dla wybranego konta wyłączyć tą funkcję, należy w przystawce Użytkownicy
i grupy lokalne otworzyć właściwości konta i zaznaczyć Hasło nigdy nie wygasa.
Minimalny okres ważności konta. Czyli liczba dni (maksymalnie 999), po upływie
których hasło może być zmienione.
Minimalna długość hasła. Maksymalnie 14 znaków. Zmiana tego ustawienia nie wpływa
na dotychczasowe hasła.
Hasła muszą spełniać wymagania co do złożoności. Włączenie zasady oznacza: hasła
muszą mieć przynajmniej 6 znaków, muszą zawierać małe, duże litery, cyfry i symbole, nie
mogą zawierać części nazwiska ani nazwy użytkownika. Zmiana nie wpływa na
dotychczasowe hasła.
Zapisz hasła dla wszystkich użytkowników w domenie, korzystając z szyfrowania
odwracalnego. Włączenie powoduje zapisywanie haseł otwartym tekstem, a nie w postaci
zaszyfrowanej. Stosuje się to bardzo rzadko, jedynie w celu uzyskania kompatybilności ze
starszymi aplikacjami.
Odzyskiwanie zapomnianego hasła
Jeśli często zmieniamy hasła, które są długie i skomplikowane, to wysoce prawdopodobne jest to,
że kiedyś możemy zapomnieć o jednym z nich. Najrozsądniej jest zabezpieczyć się przed takim
przypadkiem, tworząc dyskietkę do resetowania hasła. Dzięki niej możemy zalogować się do
systemu, nie znając hasła. Możemy ją utworzyć tylko dla naszego lokalnego profilu. Żeby zrobić
omawianą dyskietkę należy zalogować się na konto, dla którego chcemy utworzyć "ostatnią deskę
ratunku", następnie wejść do konsoli Konta użytkowników w Panelu sterowania, kliknąć nazwę
swojego konta i w okienku Zadania pokrewne kliknąć Zapobiegaj zapominaniu hasła, w ten
sposób uruchomimy Kreatora przypominania hasła. Moduł poprosi nas o włożenie dyskietki do
napędu i wpisanie hasła. Po zakończeniu pracy kreatora najlepiej odłożyć dyskietkę w bezpieczne
miejsce.
Jeśli zdarzy nam się zapomnieć kodu, w czasie logowania Windows wyświetla pomocne opcje. Jeśli
używamy ekranu powitalnego okno zawiera łącze Użyj dyskietki do resetowania hasła, jeśli ekran
powitalny jest wyłączony to kontrolka zawiera przycisk Resetuj. Wybierając którąś z tych opcji,
kreator poprosi nas o dyskietkę, a następnie o wpisanie nowego hasła.
Innym, tradycyjnym rozwiązaniem problemu zapomnienia kodu jest zalogowanie się jako
administrator i ustawienie innego hasła. Jest to jednak nieefektywne rozwiązanie. Po usunięciu
starego kodu użytkownik traci wszystkie swoje osobiste certyfikaty i zapisane hasła do witryn sieci
Web oraz zasobów sieciowych. Bez tych certyfikatów nie będzie miał dostępu do plików i
wiadomości e-mail zaszyfrowanych przy użyciu swojego indywidualnego klucza.
Jeśli nie stworzyliśmy zawczasu dyskietki do resetowania hasła i nie znamy hasła administratora
pozostaje nam zabawić się w hakerów i spróbować paru sztuczek.
Jeśli nasz dysk systemowy ma format FAT32 to po pewnym czasie wyświetlania ekranu logowania
baz żadnej aktywności myszy ani klawiatury system uruchamia wygaszacz ekranu Logon.scr z
konta System czyli posiada pełnię władzy. Możemy podstawić pod niego inny program, który
uruchomi się bez logowania. Cała operacja wygląda następująco:
1. Uruchamiamy system z dyskietki Windows albo MS-DOS.
2. Wpisujemy polecenia:
3.
4.
5.
6.
cd \windows\system32 //przejście do folderu %SystemRoot%\System32
ren logon.scr logon.sav //przemianowanie pliku logon.scr
copy cmd.exe logon.scr //utworzenie kopii cmd.exe pod nazwą logon.scr
Wyjmujemy dyskietkę i ponownie uruchamiamy komputer.
Czekamy chwilę aż pojawi się zamiast wygaszacza ekranu wiersz poleceń.
W oknie wiersz poleceń wpisujemy: nest user administrator ****** (w miejsce ******
nowe hasło).
Możemy się zalogować jako administrator używając nowego hasła.
W przypadku, gdy bardziej dbamy o bezpieczeństwo i wszystkie partycje dyskowe mamy
sformatowane przy użyciu NTFS ta sztuczka nam się nie uda. Możemy użyć programu do łamania
haseł. Ich działanie jest najbardziej efektywne, jeśli możemy się na jakimś innym koncie zalogować
jako administrator. Niektóre z tych programów działają po załadowaniu systemu z dyskietki albo z
innego systemu operacyjnego (jeśli został uprzednio zainstalowany). Można też skorzystać z innego
komputera w sieci. Programy do łamania haseł wykorzystują następujące metody: atak słownikowy;
pobranie wartości funkcji mieszającej dla hasła z bazy SAM albo z pamięci; metody siłowej, która
polega na sprawdzaniu wszystkich kombinacji znaków. Nawet jeśli nie musimy znaleźć
zapomnianego hasła, warto sprawdzić możliwości takich programów i trochę się nimi pobawić.
Możemy przetestować siłę naszych haseł (i przekonać się dlaczego tak ważne jest stosowanie
długiej skomplikowanej kombinacji znaków). Kilka takich programów:
•
•
•
John the Ripper (www.openwall.com/john/ )
Winternal Locksmith (www.winternals.com/Products/LockSmith/)
Windows XP/2000/NT Key (www.lostpassword.com/windows-xp-2000-nt.htm)
Konfigurowanie bezpiecznego procesu logowania
Zabezpieczanie ekranu powitalnego
Ekran powitalny jest narzędziem, które pozwala nam w bardzo łatwy i wygodny sposób zalogować
się do systemu. Jeśli dbamy o bezpieczeństwo to niestety musimy zrezygnować z tej wygody. Ekran
powitalny ujawnia bowiem zbyt dużo informacji. Każdy może dzięki niemu zobaczyć wszystkie
nazwy użytkowników oraz podpowiedzi do ich haseł (jeśli je stosujemy).
Aby wyłączyć wyświetlanie ekranu powitalnego otwieramy aplet Konta użytkowników w Panelu
sterowania. Następnie klikamy przycisk Zmień sposób logowania lub wylogowywania
użytkowników, odznaczamy pole wyboru Używaj ekranu powitalnego i klikamy Zastosuj opcje.
Po zablokowaniu ekranu powitalnego korzystamy ze starego sposobu logowania - okno dialogowe
Logowania do systemu Windows. Nie możemy jednak już korzystać z funkcji Szybkie
przełączanie użytkowników, która pozwala zalogować się na innym koncie bez wylogowywania
się z tego, na którym aktualnie pracujemy. Dzięki tej funkcji kilku użytkowników może być
zalogowanych jednocześnie, a programy uruchomione na kontach, z których aktualnie nie
korzystamy pracują w tle. Jeśli zależy nam na tej funkcji tak bardzo, że nie chcemy pozbyć się
ekranu powitalnego, to możemy przynajmniej podnieść poziom jego bezpieczeństwa. Mamy do
wykorzystania dwa sposoby:
•
•
Na ekranie powitalnym są tylko członkowie grup Administratorzy, Goście, Użytkownicy i
Użytkownicy zaawansowani. Możemy zmienić członkostwo w grupach kont, które chcemy
ukryć.
Możemy też zmienić ustawienia w rejestrze. W tym celu uruchamiamy Edytor rejestru, a
następnie otwieramy klucz HKLM\Software\Microsoft\Windows NT\Current
Version\Winlogon\SecialAccounts\UserList, tworzymy nową wartość DWORD, nazywamy
ją tak, jak konto które chcemy ukryć i ustawiamy wartość na 0.
Teraz korzystając z ekranu powitalnego, aby zalogować się na ukryte konto, dwa razy naciskamy
klawisze Ctrl+Alt+Delete, dzięki czemu wyświetli się okno dialogowe Logowanie do systemy
Windows. Wpisujemy w nim nazwę i hasło. Nie możemy jednak przełączać na konta
użytkowników, którzy są ukryci w ekranie powitalnym, gdyż dwukrotne naciśnięcie
Ctrl+Alt+Delete działa tylko wtedy, gdy nikt nie jest zalogowany.
Zabezpieczanie klasycznego logowania
Klasyczne logowanie wymaga wciśnięcia kombinacji Ctrl+Alt+Delete, w celu wyświetlenia okna
Logowanie do systemu Windows, w którym wprowadzamy nazwę i hasło użytkownika. Aby
zabezpieczyć ten sposób logowania otwieramy okno dialogowe Uruchom i wpisujemy control
userpasswords2. Aby na pewno przed każdym logowaniem użytkownik musiał stosować sekwencję
bezpiecznego przywołania [Ctrl+Alt+Delete], klikamy kartę Zaawansowane i zaznaczamy Żądaj
od użytkowników naciśnięcia klawiszy Ctrl+Alt+Delete. Kolejnym krokiem jest wyłączenie
opcji autologowania. W tym celu klikamy kartę Użytkownicy i zaznaczamy Aby używać tego
komputera, użytkownik musi wprowadzić nazwę użytkownika i hasło.
Kontrolowania automatycznego logowania
Z reguły, aby zwiększyć poziom bezpieczeństwa komputera rezygnujemy z funkcji autologowania.
Proces ten polega bowiem na pominięciu procedury wpisywania hasła. Po uruchomieniu systemu
od razu przechodzimy do pulpitu. Są jednak przypadki, gdy autologowanie jest pomocne. Jeśli np.
jesteśmy jedynymi użytkownikami komputera, a poza tym znajduje się on w miejscu, w którym nikt
niepowołany nie ma do niego dostępu, funkcja ta nie jest specjalnie dla nas niebezpieczna, przy
czym sprawia, że korzystanie z komputera jest wygodniejsze. Jeśli chcemy, aby jednostka służyła
jakiejś grupie użytkowników o takich samych uprawnieniach ta procedura także może okazać się
pomocna. Użytkownik nie ma wtedy nawet możliwości wyboru konta, lecz korzysta z tego, do
którego automatycznie loguje się do systemu.
Aby włączyć autologowanie w oknie Uruchom wpisujemy control userpasswords2 i w karcie
Użytkownicy tym razem odznaczamy pole Aby używać tego komputera, użytkownik musi
wprowadzić nazwę użytkownika i hasło. Następnie wybieramy OK, system poprosi wówczas o
nazwę i hasło użytkownika konta, które będzie się automatycznie uruchamiać.
Skutkiem tego działania jest kilka zmian w kluczu rejestru HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon. Tworzona jest wartość o nazwie DefaultUserName i ustawiana jest
na podaną nazwę użytkownika. Jeśli konto nie jest kontem lokalnym, tworzona jest wartość
łańcuchowa DefaultDomainName i ustawiana jest na nazwę domeny podanego konta
użytkownika. Dodawana jest także łańcuchowa wartość AutoAdminLogon i ustawiana jest na 1.
W tym kluczu rejestru możemy dokonać jeszcze paru zmian, które wpływają na proces
autologowania. Omawiany proces uruchamia się tylko na początku, jeśli się wylogujemy z
domyślnego konta, pojawia się już standardowy ekran logowania. Możemy to zmienić dodając
łańcuchową wartość AutoLogon i ustawić ją na 1.
Domyślnie trzymając wciśnięty klawisz Shift podczas uruchamiania systemu, blokujemy
autologowanie. Jeśli chcemy zrezygnować z tej opcji, dodajemy wartość łańcuchową
IgnoreShiftOverride i ustawiamy ją na1.
Możemy ustalić liczbę działań autologowania, po której funkcja ta zostanie wyłączona. Aby
ograniczyć liczbę działań tej procedury dodajemy wartość DWORD o nazwie AutoLogonCount i
podajemy wybraną liczbę. Podczas każdego startu systemu liczba będzie zmniejszana o 1. Gdy
liczba osiągnie wartość 0, funkcja zostanie wyłączona - system zmieni wartość AutoAdminLogon
na 0 i usunie wartość AutoLogonCount.
Wiadomość powitalna
Tuż przed oknem Logowanie do systemu Windows możemy umieścić wiadomość. Może to być
przyjazny komunikat powitalny lub ostrzeżenie. Nie jest to żadna część filaru bezpieczeństwa, ale
zdarzają się sytuacje, gdy wymagane jest np. ostrzeżenie o tym, że próba zalogowania się
nieuprawnionego użytkownika jest nielegalna (sankcjonowane przez prawo). Jeśli kiedyś
znaleźlibyśmy się w takiej (trzeba przyznać trochę naciąganej :)) sytuacji, to musielibyśmy
poczynić następujące kroki:
•
•
•
•
Wpisujemy w oknie Uruchom polecenie: secpol.msc, które otworzy Ustawienia
zabezpieczeń lokalnych.
Otwieramy gałąź: Ustawienia zabezpieczeń\Zasady lokalne \Opcje zapezieczeń.
Klikamy dwukrotnie pozycję Logowanie interakcyjne: Tytuł komunikatu dla
użytkowników próbujących się zalogować, wpisujemy tekst, który pojawi się na pasku
tytułu ostrzeżenia i klikamy OK.
Klikamy dwukrotnie zasadę Logowanie interakcyjne: Tekst komunikatu dla
użytkowników próbujących się zalogować, wpisujemy tytuł
oraz treść ostrzeżenia i wybieramy OK.
Możemy też stworzyć ten komunikat modyfikując dwie wartości łańcuchowe w kluczu rejestru
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Wpisujemy wartość
LegalNoticeCaption jako treść paska, a wartość LegalNoticeText jako treść samego komunikatu.
Zasady blokady kont
Skutecznym zabezpieczeniem przed użytkownikiem czy programem usiłującym się włamać do
systemu przez podawanie kolejno różnych haseł jest ustawienie zasad blokady kont. Możemy je
skonfigurować za pomocą konsoli Ustawienia zabezpieczeń lokalnych, którą uruchamiamy po
wpisaniu w wierszu polecenia secpol.msc. Otwieramy węzeł Ustawienia zabezpieczeń\Zasady
konta\Zasady blokady konta i klikamy dwukrotnie w wybraną zasadę, mamy do dyspozycji:
•
•
•
Czas trwania blokady konta. Liczba wyznaczająca czas zablokowania użytkownika.
Wartość 0 oznacza zablokowanie konta na zawsze (do czasu odblokowania go przez
administratora). Maksymalna wartość to 9999 minut, czyli około 69 dni.
Próg blokady konta. Liczba (od 1 do 999) wyznaczająca limit nieudanych logowań w
ustalonym okresie czasu, którego przekroczenie powoduje zablokowanie konta.
Wyzeruj licznik blokady konta po. Liczba (od 0 do 99999 minut) wyznaczająca okres, w
ciągu którego obowiązuje limit nieudanych prób logowania. Jeśli ustalimy 10 minut oznacza
to, że po tym okresie liczba prób jest zerowana i odliczanie zaczyna się od początku.
Dodatkowa ochrona dzięki narzędziu Syskey
Syskey chroni bazę danych SAM, w której zawarte są informacje o kontach. Wykorzystuje klucz
startowy do szyfrowania bazy. Standardowym kluczem startowym jest wygenerowany klucz
przechowywany w komputerze lokalnym. Syskey uniemożliwia ataki polegające na uruchomieniu
innego systemu operacyjnego i skopiowaniu SAM albo kradzieży kopii zapasowej, stanowi bardzo
dobre
zabezpieczenie
informacji
o
hasłach
w
rejestrze.
Jeśli napastnik ma fizyczny dostęp do komputera, a do tego dobry program do łamania haseł oraz
sporo czasu to może poznać nasze hasła. Jeśli przewidujemy, że istnieje możliwość takiego ataku na
jednostkę, możemy użyć narzędzia Syskey do dodatkowej ochrony. Musimy je skonfigurować tak,
aby klucz startowy nie był przechowywany w komputerze. Od tego momentu pierwszym okienkiem
wyświetlającym się po włączeniu komputera, będzie to, w którym należy wpisać hasło klucza
startowego. Bez tego hasła lub dyskietki na której nagrane jest hasło nic nie można zrobić w
komputerze. Jeśli zgubimy dyskietkę lub zapomnimy hasła jedynym rozwiązaniem jest użycie
dysku do automatycznego odzyskiwania systemu (ASR) i odtworzenie rejestru z kopii zapasowej
utworzonej przed włączeniem klucza uruchomienia. Jeśli zdecydujemy jednak, że ta dodatkowa
warstwa ochronna jest nam potrzebna, to musimy wykonać następujące kroki:
•
•
Wpisujemy w wierszu poleceń syskey.
Klikamy Aktualizuj.
•
Wybieramy jedną z opcji: Uruchamianie z hasłem lub Przechowaj klucz uruchomienia
na dyskietce (standardowe ustawienie to Przechowaj klucz uruchomienia lokalnie) i
klikamy przycisk OK.