Byle nie po r≤wno...

Kontrolowanie uprawnie± u┐ytkownik≤w w systemach Windows 9x
Jedn▒ z najwiΩkszych zalet Windows NT/2000 jest mechanizm kontroli dostΩpu dla os≤b korzystaj▒cych z systemu. Nie wszyscy posiadacze "domowych" edycji Okien wiedz▒, ┐e uprawnienia u┐ytkownik≤w mo┐na zmieniaµ za pomoc▒ programu Poledit.
 
Systemy operacyjne przeznaczone dla profesjonalnych u┐ytkownik≤w, takie jak Windows NT/2000 czy Unix, zawdziΩczaj▒ swoje bezpiecze±stwo g│≤wnie mechanizmowi zarz▒dzania kontami u┐ytkownik≤w. Aby rozpocz▒µ pracΩ w wymienionych systemach, musimy siΩ zalogowaµ, podaj▒c nazwΩ u┐ytkownika (tzw. login name) i odpowiednie has│o. Na tej podstawie s▒ nam udostΩpniane zasoby danego komputera i sieci, zgodne z ustaleniami administratora maszyny.
Chodzi tu nie tylko o prawa dostΩpu do plik≤w i katalog≤w. Prawid│owo skonfigurowany mechanizm uprawnie± u┐ytkownik≤w pozwala tak┐e ustaliµ, czy dana osoba mo┐e instalowaµ aplikacje, │▒czyµ siΩ z Internetem lub zako±czyµ dzia│anie systemu. Ponadto Windows 2000 b▒d╝ Linux pozwalaj▒ na to, by konkretna osoba rozpoczyna│a pracΩ w ╢rodowisku dostosowanym do jej indywidualnych potrzeb i upodoba±.
Standardowo Windows 95 i 98 obs│uguj▒ znacznie mniej mechanizm≤w zwi▒zanych z przydzielaniem uprawnie± ni┐ np. Windows 2000. Dwa pierwsze systemy pozwalaj▒ w zasadzie jedynie na indywidualne skonfigurowanie pulpitu i paska zada±. Dopiero gdy u┐yjemy umieszczanego na p│ytach instalacyjnych Windows 9x programu Poledit, bΩdziemy mogli wygodnie zarz▒dzaµ uprawnieniami u┐ytkownik≤w.

W Rejestrze systemowym edycji 9x Okien ukryte s▒ ustawienia s│u┐▒ce do ograniczania uprawnie± u┐ytkownik≤w Mechanizmy te w wiΩkszo╢ci nie s▒ udokumentowane i nie da siΩ do nich dotrzeµ, u┐ywaj▒c standardowych narzΩdzi Windows. Aby skorzystaµ z tych w│a╢ciwo╢ci, potrzebujemy specjalnego edytora - na przyk│ad Poledita.

Nazwa ta jest skr≤tem od Policy Editor, co w Windows zosta│o przet│umaczone jako Edytor za│o┐e± systemowych. Pos│uguj▒c siΩ tym programem, mo┐emy na przyk│ad zablokowaµ newralgiczne funkcje systemu, takie jak dostΩp do sieci lokalnej czy opcjΩ wyszukiwania plik≤w. Po zapisaniu takich zmian w Rejestrze obowi▒zuj▒ one wszystkich u┐ytkownik≤w korzystaj▒cych z Windows.
Inn▒ funkcj▒ Poledita jest zapis zmodyfikowanych kluczy Rejestru do pliku POL. Podczas startu Windows aplikacja odczytuje zachowane wcze╢niej dane i │aduje je do systemowej bazy danych. W tym momencie dochodzimy do sedna naszych rozwa┐a±. Poledit umo┐liwia bowiem utworzenie osobnych zestaw≤w parametr≤w Rejestru dla r≤┐nych u┐ytkownik≤w. Je╢li skorzystamy z tej mo┐liwo╢ci, po zalogowaniu siΩ przez dan▒ osobΩ w systemie │adowany bΩdzie stosowny plik z ustawieniami. W ten spos≤b mo┐emy przydzielaµ u┐ytkownikom r≤┐ne uprawnienia.
     
Instalacja narzΩdzia
Poledit nie jest standardowo kopiowany na dysk twardy podczas instalacji Windows. AplikacjΩ tΩ znajdziemy jednak na instalacyjnym kr▒┐ku CD. W przypadku Windows 95 odpowiednie pliki znajduj▒ siΩ w katalogu AdminApptoolsPoledit. Je╢li u┐ywamy edycji 98 systemu, powinni╢my szukaµ Poledita w folderze ToolsReskitNetadminPoledit.
Program instalujemy, korzystaj▒c z polecenia Dodaj/usu± programy w Panelu sterowania. Na karcie Instalator systemu Windows klikamy teraz przycisk Z dysku. Po naci╢niΩciu Przegl▒daj wyszukujemy odpowiedni folder i klikamy kolejno dwa przyciski OK. Teraz wystarczy zaznaczyµ na li╢cie komponent≤w pozycjΩ Edytor za│o┐e± systemowych i nacisn▒µ Instaluj. Po skopiowaniu przez setup odpowiednich plik≤w na twardy dysk w menu Start | Pogramy | Akcesoria | NarzΩdzia systemowe pojawi siΩ polecenie uruchamiaj▒ce Poledita.
     
Co umie Poledit?
Poledit nadaje siΩ zar≤wno do prostej edycji systemowej bazy danych, jak i do definiowania uprawnie± dla poszczeg≤lnych u┐ytkownik≤w systemu. Modyfikacja Rejestru przydaje siΩ na przyk│ad wtedy, gdy chcemy go zablokowaµ przed ingerencj▒ niepo┐▒danych os≤b. Typowa sytuacja, gdy taki stan jest po┐▒dany, to konfiguracja komputera u┐ywanego w szkolnej pracowni. Warto zaznaczyµ, ┐e Poledit pozwala zablokowaµ jedynie u┐ycie programu Regedit. Je╢li wiΩc chcemy pozbyµ siΩ ryzyka "w│amania" do systemowej bazy danych za pomoc▒ innych narzΩdzi, trzeba wykonaµ kilka dodatkowych czynno╢ci.

Aby zablokowaµ Rejestr przed edycj▒, nale┐y uruchomiµ Poledita poleceniem Start | Programy | Akcesoria | NarzΩdzia systemowe | Edytor za│o┐e± systemowych i u┐yµ polecenia Plik | Otw≤rz Rejestr z menu programu. Aplikacja wy╢wietli wtedy ikony U┐ytkownik lokalny i Komputer lokalny. Odpowiadaj▒ one ustawieniom zawartym w dw≤ch czΩ╢ciach Rejestru, umieszczonych w plikach USER.DAT oraz SYSTEM.DAT.
Z punktu widzenia naszej operacji blokowania Rejestru najwa┐niejsze s▒ opcje ukryte w drzewie opcji wy╢wietlanym po dwukrotnym klikniΩciu ikony U┐ytkownik lokalny. Mowa mianowicie o ustawieniu Wy│▒cz narzΩdzia do edycji Rejestru. Znajduje siΩ ono w ga│Ωzi opcji System | Ograniczenia. Jak ju┐ wspomnieli╢my, zablokowany w opisany spos≤b Rejestr da siΩ nadal zmodyfikowaµ np. za pomoc▒ Poledita. W dalszej czΩ╢ci artyku│u dowiemy siΩ, jak uniemo┐liwiµ okre╢lonym u┐ytkownikom skorzystanie z tej metody.
Inne parametry dostΩpne za po╢rednictwem ikony Komputer lokalny pozwalaj▒ na wy│▒czenie niekt≤rych newralgicznych mechanizm≤w systemowych. Przyk│adem mog▒ byµ opcje zawarte w ga│Ωzi opcji Pow│oka | Ograniczenia oraz nie omawiane dotychczas parametry w ga│Ωzi System | Ograniczenia. Nale┐▒ do nich m.in. ustawienia powoduj▒ce blokowanie polece± zamkniΩcia systemu, wyszukiwania plik≤w czy ukrywaj▒ce ikonΩ Otoczenia sieciowego.

Dokonywanie zmian bezpo╢rednio w Rejestrze systemowym ma jedn▒ powa┐n▒ wadΩ: modyfikacje takie dotycz▒ wszystkich os≤b korzystaj▒cych z danego komputera. Na szczΩ╢cie Poledit pozwala na pracΩ w innym trybie. Okre╢lone przez administratora ustawienia s▒ uaktywniane w zale┐no╢ci od tego, kt≤ry u┐ytkownik zaloguje siΩ w systemie.
Pierwszym krokiem jest za│o┐enie konta administratora, kt≤re pos│u┐y nam do p≤╝niejszego zarz▒dzania komputerem. Odpowiedni profil tworzymy, pos│uguj▒c siΩ kreatorem, uruchamianym za pomoc▒ ikony U┐ytkownicy w Panelu sterowania. Nazwijmy konto np. admin i wybierzmy dowolne has│o. W kolejnym kroku kreator zaproponuje zapisanie na dysku odpowiednich folder≤w z ustawieniami u┐ytkownika - dla Poledita wybrane tu opcje s▒ nieistotne.

Po zako±czeniu konfiguracji profilu nie restartujemy komputera, jak sugeruje nam to kreator, lecz uruchamiamy Edytor za│o┐e± systemowych. úadujemy w znany nam ju┐ spos≤b Rejestr systemowy i dwukrotnie klikamy ikonΩ Komputer lokalny. W otwartym oknie w│a╢ciwo╢ci przechodzimy do ga│Ωzi opcji Sieµ | Aktualizacja i zaznaczamy pozycjΩ Zdalna aktualizacja. Spowoduje to wy╢wietlenie u do│u okna pola z dodatkowymi parametrami, dotycz▒cymi uaktualniania systemu. Z listy Tryb aktualizacji wybieramy pozycjΩ RΩczny (u┐ywa podanej ╢cie┐ki). Wystarczy teraz w polu ªcie┐ka do rΩcznej aktualizacji wpisaµ C:WindowsProfilesConfig.pol (w razie potrzeby zmieniamy ╢cie┐kΩ do katalogu systemowego). Zatwierdzamy zmiany przyciskiem OK. Podczas zamykania Poledita potwierdzamy zapis modyfikacji Rejestru.
Uruchamiamy teraz ponownie komputer i logujemy siΩ jako u┐ytkownik o nazwie admin. Po raz kolejny u┐ywamy programu Poledit. Teraz u┐ywamy jednak polecenia Plik | Nowy plik. W oknie aplikacji pojawi▒ siΩ ikony U┐ytkownik domy╢lny i Komputer domy╢lny. Pos│uguj▒c siΩ rozkazem Edycja | Dodaj u┐ytkownika, tworzymy kolejne profile. Nie zapomnijmy przy tym o za│o┐eniu konta admin.
Rozpoczynamy teraz nadawanie u┐ytkownikom uprawnie±. Na pierwszy ogie± p≤jdzie U┐ytkownik domy╢lny. Najlepiej zablokowaµ wszystkie potencjalnie niebezpieczne funkcje, z kt≤rych mo┐e korzystaµ osoba pr≤buj▒ca omin▒µ logowanie Windows. Aby zmieniµ ustawienia danego profilu, wystarczy - tak jak podczas edycji Rejestru - klikn▒µ dwukrotnie stosown▒ ikonΩ i zaznaczyµ b▒d╝ wy│▒czyµ poszczeg≤lne opcje. Szary kwadracik obok opcji oznacza przy tym, ┐e dane ustawienie zostanie przejΩte z aktualnej systemowej bazy danych.
Wielu parametrom odpowiadaj▒ podopcje, wy╢wietlane poni┐ej drzewa ustawie±. Nie zapomnijmy o ich zaznaczeniu. Wa┐n▒ kwesti▒ jest zablokowanie mo┐liwo╢ci edycji Rejestru systemowego za pomoc▒ omawianej wcze╢niej opcji. Aby wykluczyµ ryzyko jakiegokolwiek uszkodzenia systemu, warto pamiΩtaµ o ustawieniach z grupy Pow│oka | Ograniczenia. Znajdziemy tam m.in. parametry Usu± polecenie 'Uruchom' czy Ukryj dyski w folderze 'M≤j komputer'.
W podobny spos≤b jak w przypadku konta U┐ytkownik domy╢lny postΩpujemy w odniesieniu do pozosta│ych profili. Zaznaczane opcje zale┐▒ tu jednak od tego, jakich uprawnie± chcemy udzieliµ poszczeg≤lnym osobom korzystaj▒cym z systemu. Na przyk│ad ustawienie System | Ograniczenia | Uruchom tylko dozwolone aplikacje Windows pozwala na okre╢lenie listy program≤w, kt≤re bΩdzie m≤g│ uruchamiaµ dany u┐ytkownik. Jest to jedna z najpewniejszych metod ochrony zasob≤w systemu. Je╢li chcemy umo┐liwiµ osobom korzystaj▒cym z maszyny zmianΩ hase│, nie w│▒czajmy ustawienia Wy│▒cz Panel sterowania Hase│, dostΩpnego po zaznaczeniu opcji Panel sterowania | Has│a | Ogranicz Panel sterowania - Has│a.
Profil o nazwie "admin" powinien z kolei mieµ w│▒czone wszelkie mo┐liwe uprawnienia. DziΩki temu bΩdziemy mogli w przysz│o╢ci modyfikowaµ ustawienia systemu czy instalowaµ dodatkowe aplikacje.
Po zako±czeniu edycji w│a╢ciwo╢ci kont u┐ytkownik≤w zapisujemy wynik naszej pracy do pliku Config.pol w podkatalogu Profiles folderu systemowego. NastΩpnie u┐ywamy narzΩdzia U┐ytkownicy z Panelu sterowania w celu za│o┐enia kont o nazwach okre╢lonych podczas pracy z programem Poledit.
Ostatnim krokiem jest ponowne uruchomienie Windows. Je╢li podczas logowania naci╢niemy Anuluj, przekonamy siΩ, ┐e mamy dostΩp do wszystkich funkcji systemu. Aby to zmieniµ, wystarczy uruchomiµ Edytor za│o┐e± systemowych, za│adowaµ Rejestr i wy│▒czyµ wszelkie mo┐liwe uprawnienia w oknie W│a╢ciwo╢ci: U┐ytkownik lokalny. Przy kolejnej pr≤bie ominiΩcia logowania do Windows uzyskamy dostΩp do praktycznie bezu┐ytecznego ╢rodowiska pracy. W opisany spos≤b zablokujemy jeszcze jedn▒ mo┐liwo╢µ obej╢cia naszych zabezpiecze±, jak▒ jest u┐ycie trybu awaryjnego systemu.

Poledit jest bardzo przydatnym narzΩdziem, ma jednak kilka wad. Wystarczy np. zamieniµ utworzony przez nas plik Config.pol na inny, aby zniweczyµ efekty naszej pracy i uzyskaµ pe│en dostΩp do maszyny. Mo┐emy wprawdzie umie╢ciµ plik konfiguracyjny w dowolnym, np. ukrytym katalogu czy nadaµ mu rozszerzenie inne ni┐ POL, zmniejszaj▒c w ten spos≤b prawdopodobie±stwo "w│amania". Najlepszym rozwi▒zaniem jest jednak u┐ywanie Edytora za│o┐e± systemowych w sieci lokalnej. Program ten doskonale wsp≤│pracuje zar≤wno z domenami Windows NT/2000, jak i z sieci▒ Novell Netware.

Najpierw nale┐y ustaliµ miejsce, z kt≤rego Poledit bΩdzie pobiera│ dane dotycz▒ce profili u┐ytkownik≤w. W tym celu │adujemy Rejestr do edytora i klikamy dwukrotnie ikonΩ Lokalny komputer. W przypadku sieci Windows NT/2000 zaznaczamy opcjΩ Sieµ | Klient Microsoft dla Microsoft Networks. W polu ustawie± u do│u okna w│a╢ciwo╢ci wpisujemy nazwΩ domeny NT. NastΩpnie przechodzimy do opcji Zdalna aktualizacja w ga│Ωzi Sieµ | Aktualizacja i z listy Tryb aktualizacji wybieramy pozycjΩ Automatyczny (u┐ywa domy╢lnej ╢cie┐ki). Teraz wystarczy umie╢ciµ zbi≤r z konfiguracj▒ Poledita na dysku sieciowym, najlepiej w katalogu Netlogon. Je╢li u┐ywamy sieci Novell Netware, korzystamy z ustawienia Sieµ | Klient Microsoft dla Netware Networks | Preferowany serwer. W polu Nazwa serwera wpisujemy identyfikator naszego serwera. Plik Config.pol (lub odpowiadaj▒cy mu zbi≤r) kopiujemy do katalogu SysPublic.
R≤wnie┐ w opisywanym przypadku powinni╢my ograniczyµ uprawnienia osoby, kt≤ra pominie proces logowania do systemu. Korzystaj▒c z w│a╢ciwo╢ci ikony Komputer lokalny zaznaczamy opcjΩ Sieµ | Logowanie | Wymaga potwierdzenia sieciowego dla dostΩpu do Windows. W tym samym oknie trzeba zaznaczyµ opcjΩ Sieµ | W│▒cz Profile u┐ytkownika. Tylko wtedy logowanie na serwerze sieci wewnΩtrznej bΩdzie wp│ywaµ na lokalne ustawienia naszego komputera.
     
Ostro┐nie, Poledit!
U┐ywaj▒c Edytora za│o┐e± systemowych, musimy zdawaµ sobie sprawΩ z faktu, ┐e zmienia on w istotny spos≤b ustawienia zawarte w Rejestrze Windows. Je╢li wy│▒czymy mo┐liwo╢µ edycji systemowej bazy danych, dodatkowo bΩdziemy mieli k│opoty z cofniΩciem wprowadzonych modyfikacji. Nale┐y zatem ostro┐nie pos│ugiwaµ siΩ Edytorem za│o┐e± systemowych. Przed wypr≤bowaniem przyk│ad≤w opisywanych w niniejszym artykule zalecane jest wykonanie kopii zapasowej Windows, a przynajmniej Rejestru!

 LINKI

 Strona Microsoftu
Artyku│ mo┐na przeczytaµ w ca│o╢ci klikaj▒c tu.

Wyprosi│ prawa do przedruku: RAVEL

 Artyku│ pochodzi z magazynu komputerowego CHIP.

 Autor: Grzegorz D▒browski