Zasady zabezpieczeń to kombinacja ustawień zabezpieczeń, które decydują o bezpieczeństwie komputera. Zasady zabezpieczeń lokalnych mogą być używane do edytowania zasad konta i zasad lokalnych dla komputera lokalnego.
Windows XP zawiera szereg przystawek do konsoli MMC, które ułatwiają zarządzanie obiektami GPO. Jedną z nich jest przystawka Zasady grupy, którą wykorzystano do
utworzenia predefiniowanej konsoli Zasady zabezpieczeń lokalnych (ang. Local security policy).
Predefiniowana konsola Zasady zabezpieczeń lokalnych zawiera przystawkę Zasady
grupy, jednakże w celu uproszczenia jej obsługi zostały wyłączone niektóre rozszerzenia.
Za pomocą konsoli Zasady zabezpieczeń lokalnych użytkownik z uprawnieniami administratora może dowolnie skonfigurować zasady bezpieczeństwa komputera lokalnego. Zostały one podzielone na następujące grupy:
Zasady kont
Do których należą ustawienia blokowania konta oraz zasady haseł.
Zasady lokalne
Obejmujące zasady inspekcji, opcje zabezpieczeń i przypisywanie praw użytkownika.
Zasady kluczy publicznych Ustawienia szyfrowania plików.
Zasady ograniczeń oprogramowania Zasady zabezpieczeń IP
Konsola Zasady zabezpieczeń lokalnych
Starsze systemy rodziny Windows do konfiguracji odpowiedników zasad grup wykorzystywały narzędzie poledit.exe. Program ten można jeszcze odnaleźć w Windows 2000, ale w Windows XP do konfigurowania zasad grupy służą
zupełnie inne narzędzia.
Pierwszym i najważniejszym jest przystawka konsoli MMC - Zasady grupy.
Pozwala ona na ustawienie wszystkich parametrów zasad, zarówno dla środowiska domenowego, jak i lokalnego. Kolejnym narzędziem są Zasady zabezpieczeń lokalnych. Ta przystawka MMC stanowi jedynie wycinek Zasad grupy, obejmujący zabezpieczenia lokalne komputera. Dodatkowo są do
dyspozycji narzędzia wiersza poleceń: gpresult.exe, gpupdate.exe i secedit.exe.
Większość elementów mieszczących się w folderze Narzędzia administracyjne korzysta z programu Konsola zarządzania(ang. Microsoft Management Console). Jest to
narzędzie, które umożliwia zarządzanie parametrami komputera, sieci czy usług. Konsola sama w sobie nie pozwala na zmianę żadnych parametrów, pozwala za to uruchamiać przystawki, które kontrolują wybrane ustawienia systemu.
Aby uruchomić konsolę zarządzania, należy w menu Start/Uruchom wpisać
mmc
Okno główne aplikacji składa się z dwóch sekcji.
Z lewej strony znajduje się sekcja zwana drzewem konsol (zawiera dostępne w danej chwili
przystawki), z prawej strony —sekcja zwana
płaszczyzną szczegółów (pozwala na wyświetlenie opcji wybranej przystawki).
Przystawki można dowolnie konfigurować, tak aby stworzyć
konsolę pozwalającą na kontrolę wybranych parametrów systemu.
Aby dodać przystawkę do głównego ekranu konsoli, należy:
1.Z menu Plik wybrać polecenie Dodaj/Usuń przystawkę.
2.Wybrać element, do którego zostanie dodana przystawka, i kliknąć przycisk Dodaj.
3.W oknie Dodawanie przystawki autonomicznej wybrać przystawkę i kliknąć przycisk Dodaj.
4.Po zakończeniu zamknąć wszystkie okna dialogowe wybrane przystawki powinny być widoczne po rozwinięciu drzewa konsol
Nowo tworzonej konsoli można przypisać uprawnienia do dostępu. W menu Plik należy zaznaczyć pozycję Opcje oraz wybrać jeden z trybów dostępu —autorski, użytkownika z pełnym dostępem, użytkownika z ograniczonym dostępem (do wielu okien lub do jednego). Aby zapisać zmiany wprowadzone do konsoli, należy wybrać w menu Plik opcję Zapisz lub Zapisz jako.
Konsola z drzewem konsol i przystawkami
Zasady kont są definiowane na komputerach, ale wpływają na sposób, w jaki konta użytkowników współdziałają z komputerem lub domeną. Zasady kont dzielą się na trzy grupy:
Zasady haseł: Używane dla kont użytkowników domeny lub użytkowników lokalnych. Określają ustawienia dla haseł, takie jak wymuszanie i okresy istnienia.
Zasady blokady konta: Używane dla kont użytkowników domeny lub
użytkowników lokalnych. Określają, pod jakimi warunkami i jak długo konto będzie zablokowane.
Zasady protokołu Kerberos: Używane dla kont użytkowników domeny.
Określają ustawienia związane z protokołem Kerberos, takie jak okresy istnienia biletów i wymuszanie. Zasady protokołu Kerberos nie istnieją w lokalnych zasadach komputera.
Te zasady są stosowane do komputerów. Zasady dzielą się na trzy rodzaje:
Zasady inspekcji. Określają, czy zdarzenia zabezpieczeń są rejestrowane w dzienniku zabezpieczeń na komputerze. Określają również, czy mają być
rejestrowane zdarzenia pomyślne, niepomyślne czy też jedne i drugie. Dziennik zabezpieczeń jest częścią Podglądu zdarzeń.
Przypisywanie praw użytkowników. Określa, którzy użytkownicy lub grupy mają prawa lub przywileje logowania na danym komputerze.
Opcje zabezpieczeń. Włączają lub wyłączają dla danego komputera ustawienia zabezpieczeń, takie jak cyfrowe podpisywanie danych, nazwy kont „Administrator”
i „Gość”, dostęp do dyskietek i stacji CD ROM, instalacja sterowników i monity logowania.
Ustawienia zasad kluczy publicznych, dostępne w obiekcie Zasady grupy, umożliwiają wykonywanie następujących zadań:
Ustawienie opcji automatycznego przesyłania żądania certyfikatu z komputerów do urzędu certyfikacji przedsiębiorstwa i instalowanie wystawionego certyfikatu. Funkcja ta pozwala zagwarantować, że komputery będą posiadały certyfikaty wymagane do wykonywania w organizacji operacji szyfrowania przy użyciu klucza publicznego, na przykład w związku z zapewnieniem bezpieczeństwa protokołu internetowego (Internet Protocol security, IPSec) lub uwierzytelnianiem klienta.
Aby uzyskać więcej informacji na temat automatycznego żądania certyfikatów przez komputery, zobaczUstawienia funkcji automatycznego żądania certyfikatów.
Tworzenie i rozpowszechnianie listy zaufania certyfikatów. Lista zaufania certyfikatów jest podpisaną listą certyfikatów
głównych urzędów certyfikacji, które administrator uważa za odpowiednie do określonych celów, takich jak uwierzytelnianie klientów lub zabezpieczanie poczty e-mail. Na przykład aby obdarzać zaufaniem certyfikaty urzędu certyfikacji w zakresie zabezpieczania protokołu internetowego, ale nie w zakresie uwierzytelniania klienta, można zrealizować takie powiązanie zaufania właśnie przy użyciu listy zaufania certyfikatów. Aby uzyskać więcej informacji na temat list zaufania certyfikatów, zobaczZasady zaufania przedsiębiorstwa.
Ustanawianie wspólnych zaufanych głównych urzędów certyfikacji. To ustawienie zasad zabezpieczeń pozwala na stosowanie wobec komputerów i użytkowników wspólnych głównych urzędów certyfikacji (oprócz urzędów, którym ufają oni
indywidualnie). Korzystanie z tego ustawienia zasad nie jest konieczne dla urzędów certyfikacji w domenie, ponieważ wszystkie komputery i użytkownicy w domenie już im ufają. Zasada ta jest przydatna przede wszystkim przy ustanawianiu zaufania do głównego urzędu certyfikacji, który nie jest częścią danej organizacji. Aby uzyskać więcej informacji na temat głównych urzędów certyfikacji, zobaczZasady ustanawiania zaufania głównych urzędów certyfikacji.
Dodawanie agentów odzyskiwania danych zaszyfrowanych i zmienianie ustawień zasad odzyskiwania danych tego typu. Aby uzyskać więcej informacji na temat tego ustawienia zasad zabezpieczeń, zobaczOdzyskiwanie danych. Aby zapoznać się z ogólnym omówieniem systemu szyfrowania plików, zobaczOmówienie Systemu szyfrowania plików.
Omówienie zasad ograniczeń oprogramowania
Zasady ograniczeń oprogramowania służą do rozwiązywania problemów z nieznanym lub niezaufanym oprogramowaniem. Coraz częstsze wykorzystywanie sieci, Internetu i poczty e-mail w działalności
gospodarczej powoduje, że użytkownicy są narażeni na różne wyniki działania wielu nowych programów.
Muszą oni ciągle podejmować decyzje o uruchamianiu nieznanych programów. Wirusy i konie trojańskie często celowo oszukują użytkowników, podając „fałszywą tożsamość”, aby skłonić użytkowników do ich uruchomienia. Coraz trudniej jest bezpiecznie wybrać programy, które można uruchomić.
Za pomocą zasad ograniczeń oprogramowania można chronić środowisko komputera przed
niezaufanym oprogramowaniem, identyfikując i określając programy, które można uruchamiać. Można zdefiniować domyślny poziom zabezpieczeń Bez ograniczeń lub Niedozwolone dla obiektu zasad grupy (GPO, Group Policy Object), aby oprogramowanie odpowiednio mogło lub nie mogło być
uruchamiane domyślnie. Dla domyślnego poziomu zabezpieczeń dopuszcza się występowanie wyjątki.
Definiuje się je, tworząc zasady ograniczeń oprogramowania dla określonych programów. Na przykład jeżeli domyślny poziom zabezpieczeń zostanie ustawiony na Niedozwolone, można utworzyć reguły pozwalające na uruchomienie określonego oprogramowania. Dostępne są następujące typy reguł:
-reguły mieszania, -reguły certyfikatów,
-reguły ścieżki (w tym reguły ścieżki rejestru), -reguły strefy internetowej.
Aby uruchomić przystawkę Zarządzanie zasadami zabezpieczeń IP Aby uruchomić przystawkę Zarządzanie zasadami zabezpieczeń IP z konsoli MMC:
Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie MMC, a następnie kliknij przycisk OK.
Kliknij menu Plik, kliknij polecenie Dodaj/Usuń przystawkę, a następnie kliknij przycisk Dodaj.Kliknij pozycję Zarządzanie zasadami zabezpieczeń IP, a następnie kliknij przycisk Dodaj.
Wybierz komputer, dla którego chcesz zarządzać zasadami IPSec:
Kliknij przycisk Zakończ, kliknij przycisk Zamknij, a następnie kliknij przycisk OK.
Aby uzyskać dostęp do przystawki Zarządzanie zasadami zabezpieczeń IP z przystawki Zasady grupy (usługi Active Directory):
Otwórz przystawkę Użytkownicy i komputery usługi Active Directory.
W drzewie konsoli kliknij prawym przyciskiem myszy domenę lub jednostkę organizacyjną, dla której chcesz ustawić Zasady grup.
Gdzie?
Użytkownicy i komputery usługi Active Directory
[nazwa_kontrolera_domeny.nazwa_domeny]/domena/jednostka_organizacyjna/podrzędna_jednostka_organizacyjna...
Kliknij polecenie Właściwości, a następnie kliknij kartę Zasady grupy.
Kliknij przycisk Edytuj, aby otworzyć obiekt zasad grupy, który chcesz edytować. Możesz również kliknąć przycisk Nowy, aby utworzyć nowy obiekt zasad grupy, a następnie kliknąć przycisk Edytuj.
W drzewie konsoli zasad grupy kliknij węzeł Zasady zabezpieczeń IP w usłudze Active Directory.
Gdzie?
nazwa_zasad [nazwa_komputera] Zasady/Konfiguracja komputera/Ustawienia systemu Windows/Ustawienia zabezpieczeń/Zasady zabezpieczeń IP w usłudze Active Directory
Aby uzyskać dostęp do przystawki Zarządzanie zasadami zabezpieczeń IP z przystawki Zasady komputera lokalnego:
Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie MMC, a następnie kliknij przycisk OK.
Kliknij menu Plik, kliknij polecenie Dodaj/Usuń przystawkę, a następnie kliknij przycisk Dodaj.
Kliknij opcję Edytor obiektów zasad grupy, a następnie kliknij przycisk Dodaj.
Kliknij przycisk Zakończ, kliknij przycisk Zamknij, a następnie kliknij przycisk OK.
W drzewie konsoli zasad grupy kliknij węzeł Zasady zabezpieczeń IP w Komputer lokalny.
Gdzie?
Zasady komputera lokalnego/Konfiguracja komputera/Ustawienia systemu Windows/Ustawienia zabezpieczeń/Zasady zabezpieczeń IP w Komputer lokalny
Zasady grupy (ang. Group Policies) to obiekty zawierające zbiór ustawień konfiguracyjnych systemu. Zasady te obejmują ustawienia dla komputera oraz dla użytkownika. Można zaryzykować stwierdzenie, że dzięki zasadom grup można skonfigurować każdy element systemuWindows
XP począwszy od instalacji oprogramowania przez konfiguracje środowiska użytkownika po zaawansowane opcje zabezpieczeń. Ustawienia zasad grup są przechowywane w
obiektach GPO (ang. Group Policy Object).
Obiekty GPO mogą być lokalne dla komputera lub domenowe, przechowywane w
usłudze Active Directory. Jeżeli komputer należy do grupy roboczej dotyczą go wyłącznie ustawienie lokalnych zasad grup, natomiast gdy należy do domeny, na konfigurację komputera wpływają
również obiekty GPO stworzone przez administratora domeny.
Wszystkie zasady grupy zostały podzielone na dwie zasadnicze
części Konfiguracja komputera i Konfiguracja użytkownika. Pierwsze ustawienia dotyczą parametrów komputera, które są ładowane podczas startu systemu jeszcze przed logowanie użytkownika.
Drugie dotyczą ustawień specyficznych dla użytkownika i są ładowane w momencie logowania do systemu.
Ujmując najprościej, Zasady grupy to zespół ustawień konfigurujących system operacyjny.
Ustawienia te dotyczą bardzo szerokiego spektrum parametrów i obejmują między innymi takie
elementy, jak ustawienia aplikacji Windows XP, ustawienia zabezpieczeń, ustawienia Pulpitu, ustawienia środowiska systemu i wiele innych.
Ustawienia przypisywane przez zasady mogą być określane na różnych poziomach. Jeśli system pracuje w domenie Windows 2000, zasady grupy są utrzymywane przez usługi katalogowe (Active Directory). Podczas startu Windows XP pobiera je z serwera i wplata w rejestr. Active Directory gromadzą informacje o zasobach sieci, np. komputerach oraz użytkownikach. Ponieważ struktura usługi jest wielopoziomowa, zasady mogą być stosowane do kilku typów obiektów:
domen, lokacji i jednostek organizacyjnych. Na przykład przypisanie zasad do domeny powoduje, że są one przenoszone na wszystkie komputery i użytkowników do niej należących.
Koncentrujemy się na zabezpieczeniach Windows XP, który niekoniecznie musi pracować w domenie Windows 2000 lub 2003, ale warto zaznaczyć, że są jeszcze założenia lokalne, przechowywane na każdym komputerze, na którym zostały zdefiniowane. Swoim zasięgiem
obejmują wyłącznie parametry własnej stacji i zalogowanego użytkownika. Jeśli komputer jest podłączony do domeny, wówczas ewentualne ustawienia sieciowe biorą górę i nadpisują ustawienia lokalne. Windows XP przechowuje zasady grupy w rejestrze. Część parametrów zapisana jest w katalogu katalog_systemowy\system32\GroupPolicy. Pobierane stamtąd dane są wtłaczane w rejestr podczas startu komputera lub logowania użytkownika. Zasady grupy obejmują użytkowników oraz komputery. Każdemu z nich przypisane są niezależne ustawienia, które odnoszą się do
poszczególnych elementów systemu. Na przykład dla komputera są to parametry monitorowania, a dla użytkownika ustawienia pulpitu. Podział ten wynika ze sposobu utrzymywania informacji o konfiguracji Windows. Rejestr systemu składa się z kilku oddzielnych części, tzw. gałęzi. Ich lokalizacja obejmuje dwa miejsca:
katalog_systemowy\system32\config, oraz lokalny katalog profilu każdego z użytkowników. W profilach zawarte są informacje o indywidualnych preferencjach osób korzystających z Windows, takich jak parametry ekranu, myszy itp.
Dlatego też, co innego przechowywane jest w obiekcie Użytkownik zasad grupy, a co innego w obiekcie Komputer.
Ustawienia nadane komputerowi są stosowane zawsze, niezależnie od tego, który użytkownik w danej chwili pracuje na stacji. Parametry użytkownika mogą być odmienne dla każdej z osób. Zanim przejdziemy do przypisywania ustawień konfiguracji zasad komputerowi lub użytkownikowi, należy powiedzieć, kiedy są implementowane. Najpierw - podczas startu Windows XP, zanim pojawi się okno logowania - wprowadzane są ustawienia maszyny. Po uwierzytelnieniu
implementowane są zasady konfigurujące środowisko użytkownika.
Struktura Zasad grupy przypomina nieco układ katalogów i plików, gdzie do katalogów można porównać zespoły ustawień obejmujące parametry Windows, a do plików, poszczególne opcje konfiguracyjne. Każdy z obiektów zasad, węzeł użytkownika czy komputera, zawiera trzy foldery:
Ustawienia oprogramowania, Ustawienia systemu Windows oraz Szablony administracyjne.
Ustawienia oprogramowania to folder pozwalający na konfigurację dystrybucji oprogramowania w domenach sieci Windows. Przypisanie oprogramowania do folderu. Konfiguracja komputera
powoduje, że aplikacja będzie dostępna na wszystkich maszynach, do których zastosowano Zasady grupy. Inne znaczenie ma przypisanie aplikacji do konfiguracji użytkownika - oprogramowanie zostanie udostępnione tylko osobom, do których odnosi się zasada. W wypadku zabezpieczeń
szczególnie istotne są ustawienia ukryte w folderze Ustawienia systemu Windows. Zasady dotyczące obiektu komputer zawierają dwa elementy: konfiguracje skryptów oraz Ustawienia zabezpieczeń.
Jeśli sięgniemy do ikony Skrypty, będziemy mogli przypisać w niej pliki, które mają być uruchamiane podczas startu i zamykania systemu. Analogicznie w części związanej z
użytkownikiem można określić pliki wykonywane podczas logowania i wylogowywania z systemu.
Dzięki opcjom dostępnym w Ustawieniach zabezpieczeń można konfigurować ustawienia haseł, ustawienia praw, zasady inspekcji i wiele innych elementów. Szerzej konfiguracja tego folderu zostanie opisana w dalszej części artykułu. W węźle obejmującym konfigurację użytkownika umieszczony został dodatkowo folder Konserwacja
programu Internet Explorer. Pozwala on na dostosowanie takich parametrów przeglądarki internetowej, jak opcje połączenia, lista ulubionych witryn czy parametry zabezpieczeń. Najwięcej ustawień zawiera folder Szablony administracyjne - opcje bezpośrednio
związane ze środowiskiem pracy komputera oraz użytkownika. Dla maszyny będą to parametry modyfikujące Składniki systemu
Windows, System, Sieć oraz Drukarki. W części dotyczącej
Użytkownika wymienione są grupy: Składniki systemu Windows, menu Start i pasek zadań, pulpit, Panel sterowania, Foldery
udostępnione, Sieć i System.
Każdą zasadę zabezpieczeń można zmodyfikować, należy jednak przy tym pamiętać, że nieprzemyślana modyfikacja może mieć negatywny wpływ na działanie systemu. Dobrą praktyką jest modyfikowanie zasad na komputerze testowym, zanim zostaną one wprowadzone na komputery pracujące w środowisku produkcyjnym. Aby zmodyfikować ustawienia zasad:
1. Otwórz odpowiednią konsolę np. Zasady zabezpieczeń lokalnych.
2. Prawym przyciskiem myszy kliknij na ustawienie, które chcesz modyfikować i wybierz z menu podręcznego Właściwości.
3. Ustaw parametry zasady. W większości przypadków będą to dwie opcje Włącz lub Wyłącz, jednakże niektóre zasady wymagają dodatkowych
parametrów liczbowych lub tekstowych.
4. Kliknij OK, aby zatwierdzić zmiany.
Ponieważ bardzo duża ilość ustawień konfiguracyjnych obiektów GPO może sprawiać trudności podczas doboru właściwych wartości dla poszczególnych ustawień, system Windows XP został wyposażony w kilka gotowych szablonów zabezpieczeń oraz narzędzia służące do ich implementacji w systemie. Szablony zabezpieczeń to predefiniowane ustawienia, które występują w postaci plików z rozszerzeniem .inf i umieszczone są w następującym folderze
%systemroot%\security\templates. Można je wykorzystywać podczas
konfigurowania zasad bezpieczeństwa komputera. Aby było to możliwe, należy stworzyć konsolę zawierającą przystawkę Szablony zabezpieczeń. W konsoli tej zostaną wyświetlone w uporządkowany sposób wszystkie szablony oraz ich ustawienia.
Konsola z przystawką Szablony zabezpieczeń
Predefiniowane szablony należy traktować jako punkt wyjścia do dalszej konfiguracji.
Każdy z predefiniowanych szablonów można zmodyfikować i zapisać jako nowy szablon.
Aby to wykonać:
1. Otwórz konsolę zawierającą przystawkę Szablony zabezpieczeń.
2. Wybierz szablon, który chcesz modyfikować następnie rozwiń jego strukturę w drzewie konsoli.
3. Zmodyfikuj wybrane ustawienia.
Podczas modyfikacji ustawień użytkownik ma zwykle trzy możliwości. Jeżeli pole wyboru Definiuj w szablonie następujące ustawienie zasad jest niezaznaczone, dane ustawienie będzie niezdefiniowane, co oznacza, że ustawienie to nie zmienia nic w konfiguracji komputera i pozostawia ją bez zmian. W przeciwnym przypadku należy dodatkowo wybrać jedną z dwóch opcji Włączone lub Wyłączone.
Modyfikowanie zasady zabezpieczeń
Opisana powyżej procedura modyfikacji ustawień nie dotyczy wszystkich zasad.
Niektóre zasady wymagają dodatkowej konfiguracji np. wpisania ilości dni lub innych parametrów typu liczbowego lub tekstowego.
4. Kliknij prawym klawiszem myszy na nazwę szablonu i z menu podręcznego wybierz Zapisz jako…
5. Wskaż lokalizację oraz nazwę dla nowego szablonu.
6. Kliknij Zapisz.
Po zapisaniu na liście dostępnych szablonów pojawi się nowa pozycja.
Predefiniowane szablony zabezpieczeń różnią się poziomem bezpieczeństwa, jaki zapewniają zawarte w nich ustawienia. Zostały one tak przygotowane, aby odpowiadały najczęstszym wymaganiom. Zawierają cztery poziomy zabezpieczeń: podstawowy (setup), zgodny (compatible), bezpieczny (secure) oraz wysoki (high).
Katalog %systemroot%\security\templateszawiera szablony, które są przeznaczone dla serwerów i stacji roboczych oraz dla kontrolerów domeny. Istotne jest, aby konfigurując Windows XP, używać szablonów przeznaczonych dla stacji roboczych. Rozróżnić można je dzięki ostatnim dwóm znakom w nazwie, są to litery ws.
-Poziom podstawowy
Jest to standardowy poziom zabezpieczeń, jaki jest stosowany podczas instalacji systemu Windows XP.
Nazwa szablonu setup security.
-Poziom zgodny
Wyższy poziom zabezpieczeń zapewniający działanie wszystkich aplikacji biurowych.
Nazwa szablonu compatws.
-Poziom bezpieczny
Określa konfigurację wysokiego poziomu zabezpieczeń, lecz jego wykorzystanie nie daje pewności, że wszystkie aplikacje i (lub) ich funkcje będą działać
prawidłowo.
Nazwa szablonu: securews.
-Poziom wysoki
Zapewnia maksymalny poziom zabezpieczeń systemu Windows XP, który został osiągnięty kosztem poprawnej pracy aplikacji.
Nazwa szablonu: hisecws.
