Byle nie po równo...

Kontrolowanie uprawnień użytkowników w systemach Windows 9x
Jedną z największych zalet Windows NT/2000 jest mechanizm kontroli dostępu dla osób korzystających z systemu. Nie wszyscy posiadacze "domowych" edycji Okien wiedzą, że uprawnienia użytkowników można zmieniać za pomocą programu Poledit.
 
Systemy operacyjne przeznaczone dla profesjonalnych użytkowników, takie jak Windows NT/2000 czy Unix, zawdzięczają swoje bezpieczeństwo głównie mechanizmowi zarządzania kontami użytkowników. Aby rozpocząć pracę w wymienionych systemach, musimy się zalogować, podając nazwę użytkownika (tzw. login name) i odpowiednie hasło. Na tej podstawie są nam udostępniane zasoby danego komputera i sieci, zgodne z ustaleniami administratora maszyny.
Chodzi tu nie tylko o prawa dostępu do plików i katalogów. Prawidłowo skonfigurowany mechanizm uprawnień użytkowników pozwala także ustalić, czy dana osoba może instalować aplikacje, łączyć się z Internetem lub zakończyć działanie systemu. Ponadto Windows 2000 bądź Linux pozwalają na to, by konkretna osoba rozpoczynała pracę w środowisku dostosowanym do jej indywidualnych potrzeb i upodobań.
Standardowo Windows 95 i 98 obsługują znacznie mniej mechanizmów związanych z przydzielaniem uprawnień niż np. Windows 2000. Dwa pierwsze systemy pozwalają w zasadzie jedynie na indywidualne skonfigurowanie pulpitu i paska zadań. Dopiero gdy użyjemy umieszczanego na płytach instalacyjnych Windows 9x programu Poledit, będziemy mogli wygodnie zarządzać uprawnieniami użytkowników.

W Rejestrze systemowym edycji 9x Okien ukryte są ustawienia służące do ograniczania uprawnień użytkowników Mechanizmy te w większości nie są udokumentowane i nie da się do nich dotrzeć, używając standardowych narzędzi Windows. Aby skorzystać z tych właściwości, potrzebujemy specjalnego edytora - na przykład Poledita.

Nazwa ta jest skrótem od Policy Editor, co w Windows zostało przetłumaczone jako Edytor założeń systemowych. Posługując się tym programem, możemy na przykład zablokować newralgiczne funkcje systemu, takie jak dostęp do sieci lokalnej czy opcję wyszukiwania plików. Po zapisaniu takich zmian w Rejestrze obowiązują one wszystkich użytkowników korzystających z Windows.
Inną funkcją Poledita jest zapis zmodyfikowanych kluczy Rejestru do pliku POL. Podczas startu Windows aplikacja odczytuje zachowane wcześniej dane i ładuje je do systemowej bazy danych. W tym momencie dochodzimy do sedna naszych rozważań. Poledit umożliwia bowiem utworzenie osobnych zestawów parametrów Rejestru dla różnych użytkowników. Jeśli skorzystamy z tej możliwości, po zalogowaniu się przez daną osobę w systemie ładowany będzie stosowny plik z ustawieniami. W ten sposób możemy przydzielać użytkownikom różne uprawnienia.
     
Instalacja narzędzia
Poledit nie jest standardowo kopiowany na dysk twardy podczas instalacji Windows. Aplikację tę znajdziemy jednak na instalacyjnym krążku CD. W przypadku Windows 95 odpowiednie pliki znajdują się w katalogu AdminApptoolsPoledit. Jeśli używamy edycji 98 systemu, powinniśmy szukać Poledita w folderze ToolsReskitNetadminPoledit.
Program instalujemy, korzystając z polecenia Dodaj/usuń programy w Panelu sterowania. Na karcie Instalator systemu Windows klikamy teraz przycisk Z dysku. Po naciśnięciu Przeglądaj wyszukujemy odpowiedni folder i klikamy kolejno dwa przyciski OK. Teraz wystarczy zaznaczyć na liście komponentów pozycję Edytor założeń systemowych i nacisnąć Instaluj. Po skopiowaniu przez setup odpowiednich plików na twardy dysk w menu Start | Pogramy | Akcesoria | Narzędzia systemowe pojawi się polecenie uruchamiające Poledita.
     
Co umie Poledit?
Poledit nadaje się zarówno do prostej edycji systemowej bazy danych, jak i do definiowania uprawnień dla poszczególnych użytkowników systemu. Modyfikacja Rejestru przydaje się na przykład wtedy, gdy chcemy go zablokować przed ingerencją niepożądanych osób. Typowa sytuacja, gdy taki stan jest pożądany, to konfiguracja komputera używanego w szkolnej pracowni. Warto zaznaczyć, że Poledit pozwala zablokować jedynie użycie programu Regedit. Jeśli więc chcemy pozbyć się ryzyka "włamania" do systemowej bazy danych za pomocą innych narzędzi, trzeba wykonać kilka dodatkowych czynności.

Aby zablokować Rejestr przed edycją, należy uruchomić Poledita poleceniem Start | Programy | Akcesoria | Narzędzia systemowe | Edytor założeń systemowych i użyć polecenia Plik | Otwórz Rejestr z menu programu. Aplikacja wyświetli wtedy ikony Użytkownik lokalny i Komputer lokalny. Odpowiadają one ustawieniom zawartym w dwóch częściach Rejestru, umieszczonych w plikach USER.DAT oraz SYSTEM.DAT.
Z punktu widzenia naszej operacji blokowania Rejestru najważniejsze są opcje ukryte w drzewie opcji wyświetlanym po dwukrotnym kliknięciu ikony Użytkownik lokalny. Mowa mianowicie o ustawieniu Wyłącz narzędzia do edycji Rejestru. Znajduje się ono w gałęzi opcji System | Ograniczenia. Jak już wspomnieliśmy, zablokowany w opisany sposób Rejestr da się nadal zmodyfikować np. za pomocą Poledita. W dalszej części artykułu dowiemy się, jak uniemożliwić określonym użytkownikom skorzystanie z tej metody.
Inne parametry dostępne za pośrednictwem ikony Komputer lokalny pozwalają na wyłączenie niektórych newralgicznych mechanizmów systemowych. Przykładem mogą być opcje zawarte w gałęzi opcji Powłoka | Ograniczenia oraz nie omawiane dotychczas parametry w gałęzi System | Ograniczenia. Należą do nich m.in. ustawienia powodujące blokowanie poleceń zamknięcia systemu, wyszukiwania plików czy ukrywające ikonę Otoczenia sieciowego.

Dokonywanie zmian bezpośrednio w Rejestrze systemowym ma jedną poważną wadę: modyfikacje takie dotyczą wszystkich osób korzystających z danego komputera. Na szczęście Poledit pozwala na pracę w innym trybie. Określone przez administratora ustawienia są uaktywniane w zależności od tego, który użytkownik zaloguje się w systemie.
Pierwszym krokiem jest założenie konta administratora, które posłuży nam do późniejszego zarządzania komputerem. Odpowiedni profil tworzymy, posługując się kreatorem, uruchamianym za pomocą ikony Użytkownicy w Panelu sterowania. Nazwijmy konto np. admin i wybierzmy dowolne hasło. W kolejnym kroku kreator zaproponuje zapisanie na dysku odpowiednich folderów z ustawieniami użytkownika - dla Poledita wybrane tu opcje są nieistotne.

Po zakończeniu konfiguracji profilu nie restartujemy komputera, jak sugeruje nam to kreator, lecz uruchamiamy Edytor założeń systemowych. Ładujemy w znany nam już sposób Rejestr systemowy i dwukrotnie klikamy ikonę Komputer lokalny. W otwartym oknie właściwości przechodzimy do gałęzi opcji Sieć | Aktualizacja i zaznaczamy pozycję Zdalna aktualizacja. Spowoduje to wyświetlenie u dołu okna pola z dodatkowymi parametrami, dotyczącymi uaktualniania systemu. Z listy Tryb aktualizacji wybieramy pozycję Ręczny (używa podanej ścieżki). Wystarczy teraz w polu Ścieżka do ręcznej aktualizacji wpisać C:WindowsProfilesConfig.pol (w razie potrzeby zmieniamy ścieżkę do katalogu systemowego). Zatwierdzamy zmiany przyciskiem OK. Podczas zamykania Poledita potwierdzamy zapis modyfikacji Rejestru.
Uruchamiamy teraz ponownie komputer i logujemy się jako użytkownik o nazwie admin. Po raz kolejny używamy programu Poledit. Teraz używamy jednak polecenia Plik | Nowy plik. W oknie aplikacji pojawią się ikony Użytkownik domyślny i Komputer domyślny. Posługując się rozkazem Edycja | Dodaj użytkownika, tworzymy kolejne profile. Nie zapomnijmy przy tym o założeniu konta admin.
Rozpoczynamy teraz nadawanie użytkownikom uprawnień. Na pierwszy ogień pójdzie Użytkownik domyślny. Najlepiej zablokować wszystkie potencjalnie niebezpieczne funkcje, z których może korzystać osoba próbująca ominąć logowanie Windows. Aby zmienić ustawienia danego profilu, wystarczy - tak jak podczas edycji Rejestru - kliknąć dwukrotnie stosowną ikonę i zaznaczyć bądź wyłączyć poszczególne opcje. Szary kwadracik obok opcji oznacza przy tym, że dane ustawienie zostanie przejęte z aktualnej systemowej bazy danych.
Wielu parametrom odpowiadają podopcje, wyświetlane poniżej drzewa ustawień. Nie zapomnijmy o ich zaznaczeniu. Ważną kwestią jest zablokowanie możliwości edycji Rejestru systemowego za pomocą omawianej wcześniej opcji. Aby wykluczyć ryzyko jakiegokolwiek uszkodzenia systemu, warto pamiętać o ustawieniach z grupy Powłoka | Ograniczenia. Znajdziemy tam m.in. parametry Usuń polecenie 'Uruchom' czy Ukryj dyski w folderze 'Mój komputer'.
W podobny sposób jak w przypadku konta Użytkownik domyślny postępujemy w odniesieniu do pozostałych profili. Zaznaczane opcje zależą tu jednak od tego, jakich uprawnień chcemy udzielić poszczególnym osobom korzystającym z systemu. Na przykład ustawienie System | Ograniczenia | Uruchom tylko dozwolone aplikacje Windows pozwala na określenie listy programów, które będzie mógł uruchamiać dany użytkownik. Jest to jedna z najpewniejszych metod ochrony zasobów systemu. Jeśli chcemy umożliwić osobom korzystającym z maszyny zmianę haseł, nie włączajmy ustawienia Wyłącz Panel sterowania Haseł, dostępnego po zaznaczeniu opcji Panel sterowania | Hasła | Ogranicz Panel sterowania - Hasła.
Profil o nazwie "admin" powinien z kolei mieć włączone wszelkie możliwe uprawnienia. Dzięki temu będziemy mogli w przyszłości modyfikować ustawienia systemu czy instalować dodatkowe aplikacje.
Po zakończeniu edycji właściwości kont użytkowników zapisujemy wynik naszej pracy do pliku Config.pol w podkatalogu Profiles folderu systemowego. Następnie używamy narzędzia Użytkownicy z Panelu sterowania w celu założenia kont o nazwach określonych podczas pracy z programem Poledit.
Ostatnim krokiem jest ponowne uruchomienie Windows. Jeśli podczas logowania naciśniemy Anuluj, przekonamy się, że mamy dostęp do wszystkich funkcji systemu. Aby to zmienić, wystarczy uruchomić Edytor założeń systemowych, załadować Rejestr i wyłączyć wszelkie możliwe uprawnienia w oknie Właściwości: Użytkownik lokalny. Przy kolejnej próbie ominięcia logowania do Windows uzyskamy dostęp do praktycznie bezużytecznego środowiska pracy. W opisany sposób zablokujemy jeszcze jedną możliwość obejścia naszych zabezpieczeń, jaką jest użycie trybu awaryjnego systemu.

Poledit jest bardzo przydatnym narzędziem, ma jednak kilka wad. Wystarczy np. zamienić utworzony przez nas plik Config.pol na inny, aby zniweczyć efekty naszej pracy i uzyskać pełen dostęp do maszyny. Możemy wprawdzie umieścić plik konfiguracyjny w dowolnym, np. ukrytym katalogu czy nadać mu rozszerzenie inne niż POL, zmniejszając w ten sposób prawdopodobieństwo "włamania". Najlepszym rozwiązaniem jest jednak używanie Edytora założeń systemowych w sieci lokalnej. Program ten doskonale współpracuje zarówno z domenami Windows NT/2000, jak i z siecią Novell Netware.

Najpierw należy ustalić miejsce, z którego Poledit będzie pobierał dane dotyczące profili użytkowników. W tym celu ładujemy Rejestr do edytora i klikamy dwukrotnie ikonę Lokalny komputer. W przypadku sieci Windows NT/2000 zaznaczamy opcję Sieć | Klient Microsoft dla Microsoft Networks. W polu ustawień u dołu okna właściwości wpisujemy nazwę domeny NT. Następnie przechodzimy do opcji Zdalna aktualizacja w gałęzi Sieć | Aktualizacja i z listy Tryb aktualizacji wybieramy pozycję Automatyczny (używa domyślnej ścieżki). Teraz wystarczy umieścić zbiór z konfiguracją Poledita na dysku sieciowym, najlepiej w katalogu Netlogon. Jeśli używamy sieci Novell Netware, korzystamy z ustawienia Sieć | Klient Microsoft dla Netware Networks | Preferowany serwer. W polu Nazwa serwera wpisujemy identyfikator naszego serwera. Plik Config.pol (lub odpowiadający mu zbiór) kopiujemy do katalogu SysPublic.
Również w opisywanym przypadku powinniśmy ograniczyć uprawnienia osoby, która pominie proces logowania do systemu. Korzystając z właściwości ikony Komputer lokalny zaznaczamy opcję Sieć | Logowanie | Wymaga potwierdzenia sieciowego dla dostępu do Windows. W tym samym oknie trzeba zaznaczyć opcję Sieć | Włącz Profile użytkownika. Tylko wtedy logowanie na serwerze sieci wewnętrznej będzie wpływać na lokalne ustawienia naszego komputera.
     
Ostrożnie, Poledit!
Używając Edytora założeń systemowych, musimy zdawać sobie sprawę z faktu, że zmienia on w istotny sposób ustawienia zawarte w Rejestrze Windows. Jeśli wyłączymy możliwość edycji systemowej bazy danych, dodatkowo będziemy mieli kłopoty z cofnięciem wprowadzonych modyfikacji. Należy zatem ostrożnie posługiwać się Edytorem założeń systemowych. Przed wypróbowaniem przykładów opisywanych w niniejszym artykule zalecane jest wykonanie kopii zapasowej Windows, a przynajmniej Rejestru!

 LINKI

 Strona Microsoftu
Artykuł można przeczytać w całości klikając tu.

Wyprosił prawa do przedruku: RAVEL

 Artykuł pochodzi z magazynu komputerowego CHIP.

 Autor: Grzegorz Dąbrowski