Zarządzanie kontami i hasłami użytkowników

Jednym z podstawowych składników systemu zabezpieczeń Windows XP są konta użytkowników. Rozsądne skonfigurowanie, a następnie zarządzanie profilami zdecydowanie podniesie poziom bezpieczeństwa komputera. W artykule szczegółowo zostało wyjaśnione jak administrować kontami użytkowników.
Innym przewodnim tematem są hasła. Bezpieczne zarządzanie kontami wymaga stosowania silnych haseł. Dlatego w dalszej części tekstu omówiłem w jaki sposób należy wybierać te ciągi znaków tak, aby stanowiły dobrą ochronę. Ostatnim problemem omówionym w artykule jest zabezpieczenie procesu logowania.

Narzędzia do zarządzania kontami:

• Użytkownicy i grupy lokalne
  Aplikację uruchamiamy otwierając kolejno gałęzie: Panel sterowania\Narzędzia administracyjne\Zarządzanie komputerem oraz Narzędzia systemowe\Użytkownicy i grupy lokalne. Możemy też wpisać w wierszu polecenia lub w oknie Uruchom: komendę lusrmgr.msc.
  
  uzytkownicy_grupylokalne

  

  Przystawka Użytkownicy i grupy lokalne jest użyteczna tylko w edycji Windows XP Professional. W Windows XP Home Edition również występuje, ale nie oferuje żadnej funkcjonalności. Narzędzie pozwala tworzyć i usuwać konta użytkowników. Możemy dzięki niemu dodawać profil do Grupy zabezpieczeń (ale tylko do jednej), zmieniać: nazwę użytkownika, całą nazwę i opis. Okno to pozwala ustawiać hasła i nakładać na nie ograniczenia, włączać, wyłączać oraz odblokowywać konta. Ponadto umożliwia ustawienie profilu i skryptu logowania.
  

• Konta użytkowników
  Aby je otworzyć, wybieramy pozycje Konta użytkowników w Panelu sterowania.
  
  

  

  Narzędzie Konta użytkowników ma ograniczone możliwości, stworzone jest dla mniej doświadczonych lub niewymagających administratorów. Zakres jego działań to tworzenie i usuwanie kont oraz umieszczanie ich w Grupie zabezpieczeń (tylko w jednej), zmiana nazwy użytkownika, opisu i całej nazwy profilu, ustawienie hasła tylko dla kont lokalnych, innych niż to, na którym jesteśmy zalogowani oraz dołączenie konta do usługi Microsoft.NET Passport.
  
• Polecenia Net
  Najszerszy zakres działań na lokalnych kontach użytkowników oferują narzędzia wierszowe: Net User i Net Localgroup. Polecenia te wpisujemy w konsoli. W celu uzyskania szczegółowych informacji należy wpisać net help user lub net help localgroup. Jeśli chcemy zobaczyć składnię polecenia, wpisujemy: net user /? lub net localgroup /?.
  

  

  Działania na jakie pozwala nam to narzędzie to: tworzenie i usuwanie kont, umieszczanie konta w Grupach zabezpieczeń, zmiana całej nazwy i opisu, ustawienie hasła, nałożenie ograniczeń na hasło, ustawienie godzin logowania, włączenie, wyłączenie i odblokowanie konta, ustawienie terminu ważności konta oraz profilu i skryptu logowania.
  
• Konta użytkowników
  Jeśli komputer jest podłączony do domeny aplet Konta użytkowników w Panelu sterowania wygląda jak ten z wcześniejszych wersji Windows i oferuje więcej możliwości. Jeśli komputer nie jest podłączony do domeny, możemy otworzyć Konta użytkowników wpisując w wierszu poleceń control userpasswords2.

  

  Narzędzie to pozwala: tworzyć i usuwać hasła, umieszczać konto w Grupie zabezpieczeń (ale tylko Administratorzy lub Użytkownicy), zmieniać całą nazwę i obrazek, ustawiać hasła i podpowiedzi do nich, włączać i wyłączać konto Gość, dołączać konta do usługi Microsoft.NET Passport.

Zarządzać lokalnymi grupami zabezpieczeń możemy tylko za pomocą narzędzi Użytkownicy i grupy lokalne albo Net Localgrup. Pozwalają one tworzyć Lokalne grupy zabezpieczeń, dodawać Lokalne konta do Grup lub je z nich usuwać, tworzyć i usuwać Grupy zabezpieczeń, zmieniać nazwy Grup oraz dodawać do Lokalnych grup zabezpieczeń domenowe konta użytkowników.

Tworzenie kont użytkowników

Instalując system Windows XP decydujemy z ilu kont będziemy korzystać. Możemy pracować z komputerem przy użyciu tylko jednego domyślnego konta Administrator. Jest to jednak najmniej bezpieczny wariant. Dobrą praktyka jest tworzenie konta dla każdego użytkownika, oczywiście z uwzględnieniem zakresu wszystkich ich potrzeb i możliwości. Nawet w przypadku, gdy tylko jedna osoba korzysta z komputera lepiej do zwykłych, codziennych czynności używać konta z ograniczeniami.Poniżej przedstawiam sposoby tworzenia kont:

• W przystawce Użytkownicy i grupy lokalne wybieramy pozycję Użytkownicy, a następnie w podręcznym menu w zakładce Akcja polecenie Nowy użytkownik. Po wpisaniu wymaganych danych klikamy na przycisk Utwórz.
• Używając polecenia Net User w wierszu poleceń wpisujemy user xxxxxxxx/add (w miejsce xxxxxxxx wpisujemy nazwę użytkownika). Wybierając tą opcję mamy do dyspozycji oczywiście więcej możliwości. We wcześniejszej części artykułu wyjaśniłem w jaki sposób możemy zobaczyć jego listę komend i składnię. Poniżej przykład polecenia:
  

  

• W aplecie Konta użytkowników po prostu wybieramy łącze Utwórz nowe konto. Podczas samego procesu tworzenia konta ustalamy jedynie nazwę oraz czy będzie to konto Administratora czy Użytkownika z ograniczonymi możliwościami. Dalsze ustawienia konfigurujemy po stworzeniu konta.
  

Wyłączanie i usuwanie kont użytkowników

Dbajmy o porządek naszego systemu. Jeśli dany użytkownik nie ma albo nie powinien mieć juz dostępu do komputera to usuwajmy lub wyłączajmy jego konto. Niepotrzebny, zapomniany profil może stać się furtką dla intruza. Wyłączanie różni się tym od usuwania, że po wyłączeniu nie są kasowane informacje i prywatne pliki użytkownika oraz tym, że wyłączone konto możemy przywrócić. Po usunięciu profilu niemożliwe jest jego odzyskanie. Wszystkie informacje o koncie są zapisane w jego numerze identyfikacyjnym - SID. Jeśli skasujemy konto, usuwany jest również SID. Każdy SID jest używany jednorazowo, jeśli stworzymy nowe konto, takie samo jakie uprzednio usunęliśmy, będzie miało już inny SID, a więc dla systemu będzie zupełnie nowe. Jeśli więc nie mamy pewności, czy dany profil nie będzie nam jeszcze kiedyś potrzebny to tylko go wyłączmy. Są dwie metody włączania\wyłączania kont:

• Wpisujemy w wierszu poleceń: net user xxxxxxxx /active:no (gdzie xxxxxxxx to nazwa użytkownika) w celu wyłączenia konta, natomiast net user xxxxxxxx/active:yes, gdy chcemy je włączyć.
• W aplikacji Użytkownicy i grupy lokalne dwukrotnie klikamy na konto, wybieramy kartę Ogólne, zaznaczamy (żeby wyłączyć) lub odznaczamy (włączamy) pole wyboru Konto jest wyłączone.

Mamy do dyspozycji kilka metod usuwania kont :

• Używając polecenia Net User, w wierszu poleceń wpisujemy net user xxxxxxxx/delete (gdzie xxxxxxxx to nazwa użytkownika).
• W przystawce Użytkownicy i grupy lokalne otwieramy węzeł Użytkownicy, klikamy prawym przyciskiem myszy na wybrane konto i z menu podręcznego wybieramy opcję Usuń.
• Za pomocą apletu Konta użytkowników, wybieramy konto, które ma być usunięte, następnie klikamy przycisk Usuń konto. Używając tej metody możemy zachować pliki skasowanego użytkownika. System sam nas zapyta podczas procesu usuwania czy chcemy zachować pliki użytkownika. Możemy wybrać: Zachowaj pliki lub Usuń pliki. Jeśli zdecydujemy się zapisać dane, Windows przenosi pliki i foldery użytkownika z pulpitu i folderu Moje dokumenty do folderu pulpitu, który należy do nas. Reszta profilu użytkownika jest usuwana. W przypadku, gdy jednak zdecydujemy się skasować informacje, Windows usuwa konto, profil i wszystkie prywatne pliki użytkownika oraz jego ustawienia w rejestrze.

Tylko aplet Konta użytkownika podczas kasowania konta usuwa również profil użytkownika i jego ustawienia w rejestrze. Używając innych narzędzi musimy sami pozbyć się tych niepotrzebnych danych. W tym celu klikamy prawym przyciskiem myszy ikonę Mój komputer i wybieramy pozycje Właściwości, otwieramy kartę Zaawansowane, w sekcji Profile użytkownika klikamy przycisk Ustawienia. Zaznaczamy usunięte konto - Konto nieznane a na końcu wybieramy Usuń.

Przypisywanie kont użytkowników do grup zabezpieczeń

Po stworzeniu odpowiednich kont dla wszystkich użytkowników komputera, powinniśmy przypisać każde z nich do jednej lub kilku Grup zabezpieczeń. Dla komputerów wolno stojących i małych sieci wystarczające są wbudowane grupy. Przypisywanie kont do grup możemy w Windows XP wykonywać za pomocą różnych narzędzi:

• Przystawka Użytkownicy i grupy lokalne oferuje nam dwie możliwości:
  a) Zarządzanie członkostwem w grupach jednego użytkownika. W drzewie konsoli otwieramy węzeł Użytkownicy, w okienku szczegółów wybieramy nazwę użytkownika, powinno pojawić się okno dialogowe Właściwości, przechodzimy do karty Członek grupy. Gdy chcemy dodać konto do grupy, klikamy przycisk Dodaj i wpisujemy nazwę grupy, gdy chcemy je usunąć z grupy, wybieramy odpowiednią pozycję i klikamy Usuń.
  

  

  b) Zarządzanie członkostwem użytkowników w jednej grupie. W drzewie konsoli klikamy węzeł Grupy, następnie dwukrotnie klikamy na nazwę wybranej grupy. W oknie dialogowym właściwości grupy klikamy przycisk Dodaj i wpisujemy nazwę konta, jeśli chcemy je przypisać do grupy. W przypadku, gdy chcemy usunąć jakieś konto z grupy, wybieramy je i klikamy przycisk Usuń.

• Polecenie Net Localgroup. Dodajemy konto do do grupy przy użyciu składni netlocalgroup grupa nazwa /add (grupa - nazwa grupy zabezpieczeń, nazwa - jedna lub wiele nazw użytkowników, oddzielonych przecinkami). Żeby usunąć jednego lub kilku członków grupy, używamy tej samej składni, zastępując ciąg znaków /add ciągiem /delete.
  

  

• Aplet Konta użytkowników pozwala dodawać konta do grupy Administratorzy lub Użytkownicy. Można być członkiem tylko jednej z tych dwóch grup. W oknie dialogowym Konta użytkowników klikamy nazwę profilu, a następnie polecenie Zmień typ konta. Obecność w innych grupach zabezpieczeń po pozostaje bez zmian.
  

Przypisywanie hasła do konta

Po stworzeniu konta i przypisaniu go do grupy zabezpieczeń (często obie te czynności wykonywane są automatycznie podczas instalacji) należy przypisać mu hasło (dla większości kont musimy to zrobić już samodzielnie). Hasła powinny być trudne do odgadnięcia. Dlatego najlepiej, jeśli hasło składa się z przynajmniej 8 losowo wybranych znaków. Czynności te wykonujemy w następujących lokalizacjach:

• Użytkownicy i grupy lokalne. Klikamy węzeł Użytkownicy, potem prawym przyciskiem myszy nazwę użytkownika i wybieramy polecenie Ustaw hasło.
• Konta użytkowników. Wybieramy nazwę konta i klikamy łącze Utwórz hasło. Aplet Konta użytkowników pozwala wpisać podpowiedź do hasła. Przy ustalaniu podpowiedzi należy uważać, aby nie mówiła ona za dużo o naszym kodzie. Jednak jeśli poważnie traktujemy bezpieczeństwo powinniśmy zrezygnować z tej wygodnej, lecz nieostrożnej funkcji.
• Polecenie Net User. Stosujemy następującą składnię: net user użytkownik hasło. W miejsce użytkownik wpisujemy nazwę wybranego użytkownika. Zamiast hasło możemy wpisać jedną z trzech wartości:
  1) Ustalone hasło;
  2) * - System poprosi o wpisanie hasła, dobra opcja kiedy my tworzymy konto a użytkownik sam wpisuje sobie kod;
  3) /random - System sam wygeneruje 8-znakowe hasło i je wyświetli.

Jeśli mamy już zainstalowany system i skonfigurowane konta, to lepiej nie zmieniać ani nie usuwać haseł innym użytkownikom. Czyniąc to spowodujemy, że dany profil straci wszystkie swoje certyfikaty osobiste i hasła do witryn sieci Web oraz zasobów sieciowych. Mechanizm ten ma na celu uniemożliwienie administratorowi dostęp do prywatnych zasobów użytkownika poprzez zmianę hasła.

Zabezpieczanie konta Administrator

Jeśli komuś uda się uzyskać dostęp do konta Administratora, stajemy się praktycznie bezbronni. Intruz może robić co chce z naszym komputerem. Dlatego powinniśmy szczególnie dbać o bezpieczeństwo tego profilu. W tym celu należy ustawić dla niego szczególnie silne hasło oraz często je zmieniać. Oprócz tego możemy zmienić jego nazwę. Intruzi spodziewają się nazwy Administrator, zmieniając ją na inną, mają oni jeszcze jedną przeszkodę do pokonania. Aby to zrobić, w wierszu polecenia wpisujemy control userpasswords2. W karcie Użytkownicy wybieramy konto Administrator. W polu Nazwa użytkownika wpisujemy nową nazwę.
Sprytnym rozwiązaniem jest po zmienieniu nazwy konta Administrator, utworzenie nowego o tej nazwie. Następnie dodanie tego konta do grupy Goście oraz utworzenie dla niego hasła. Nazwa Administrator przyciąga intruzów, lecz nawet jeśli uda im się złamać zabezpieczenia to i tak nic im to nie da. Oprócz tego będziemy mogli sprawdzić czy ktoś próbował włamać się do systemu, dzięki dziennikowi zabezpieczeń w Podglądzie zdarzeń (obserwując czy ktoś próbował się zalogować jako Administrator).
Jeśli oprócz domyślnego mamy jeszcze inne konto należące do grupy Administratorzy, możemy wyłączyć te domyślne. Aby to zrobić w przystawce Użytkownicy i grupy lokalne klikamy dwukrotnie na konto administratora i zaznaczamy pole wyboru Konto jest wyłączone i klikamy OK.

Zabezpieczenie konta Gość

Użytkownicy tego konta mają dostęp do zainstalowanych programów, plików w folderze Dokumenty udostępnione i profilu Gość. Konto jest przeznaczone dla sporadycznych użytkowników. Choć nie pozwala na wiele to jednak stanowi kolejne drzwi, przez które napastnicy mogą starać zakraść się do systemu.
Jeśli nie jest nam potrzebne konto dla przygodnych użytkowników to możemy je wyłączyć. Gdyby w przyszłości zaszła potrzeba będziemy mogli je z powrotem uruchomić. Jeśli komputer nie jest włączony do domeny możemy to zrobić w aplecie Konta użytkowników w Panelu sterowania (wybieramy konto Gość i klikamy Wyłącz konto gościa)

Jeśli komputer jest włączony do domeny, aby wyłączyć konto Gość otwieramy przystawkę Użytkownicy i grupy lokalne, klikamy węzeł Użytkownicy, a następnie w oknie szczegółów wybieramy konto Gość. W oknie Właściwości: Gość zaznaczamy pole wyboru Konto jest wyłączone (jeśli chcemy włączyć to odznaczamy).
Kolejnym krokiem podnoszącym poziom bezpieczeństwa jest zmiana nazwy tego profilu. Robi się to tak samo jak w wyżej opisanym przypadku konta Administrator. Możemy także zmienić nazwę konta Gość bez wcześniejszego jego włączania. Aby to zrobić w wierszu poleceń wpisujemy: secpol.msc, aby uruchomić Ustawienia zabezpieczeń lokalnych. Otwieramy gałąź Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń i w oknie szczegółów dwukrotnie klikamy Konta: Zmień nazwę konta gościa. Następnie wpisujemy nową nazwę.

Udaremnijmy użytkownikowi konta gościa zamykanie systemu. W tym celu uruchom przystawkę Ustawienia zabezpieczeń lokalnych, otwórz węzeł Ustawienia zabezpieczeń\Zasady lokalne\Przypisywanie praw użytkownika i kliknij dwukrotnie Zamykanie systemu i usuń z listy konto gościa.

Aby uniemożliwić zamykanie systemu z poziomu okna powitalnego lub dialogowego Logowanie do systemu Windows, w Ustawieniach zabezpieczeń lokalnych otwórz gałąź Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń i w oknie szczegółów wybierz Zamknięcie: zezwalaj na zamykanie systemu bez konieczności zalogowania, kliknij Wyłącz, a następnie OK.

Oczywiście każdy kto ma bezpośredni kontakt z komputerem może po prosu go wyłączyć z prądu. Dlatego uniemożliwienie gościom zamykania systemu ma sens jeśli jednostka centralna znajduje się w bezpiecznym miejscu, do którego niepowołani użytkownicy nie mają dostępu.
Dodatkowo możemy jeszcze udaremnić wyświetlanie dzienników zdarzeń przez użytkownika Gość. Mając tą możliwość, Goście mogę zdobywać informacje o komputerze zaglądając do dzienników. Aby nie pozwolić im na to, uruchamiamy Edytor rejestru i otwieramy klucz HKLM\System\CurrentControlSet\Services\Eventlog. W podkluczach Application, Security oraz System powinna znajdować się wartość DWORD o nazwie RestrictGuestAccess ustawiona na 1.

Efektywne stosowanie haseł

Musimy zdać sobie sprawę jak ważne są silne hasła. Cały rozbudowany mechanizm bezpieczeństwa systemu Windows staje się bezradny w przypadku jeśli napastnik zaloguje się jako użytkownik o nieograniczonych możliwościach. Hasła są elementarnym narzędziem mającym na celu pomagać systemowi weryfikować użytkownika. Z założenia tylko użytkownik danego konta zna hasło dostępu do niego. Dbajmy o to, aby to założenie było zawsze spełnione.

Tworzenie silnych haseł

Powszechnie użytkownicy komputerów jako haseł używają jakichś losowych słów, imion, nazw ulubionych drużyn, specjalnych dat itd. Dla zaawansowanych programów do łamania kodów są to trywialne zadania, których rozwiązanie zajmuje im kilka minut. Typowym błędem jest wybieranie jakiegoś słowa, także obcojęzycznego. Nie decydujmy się również na imiona, ulubione nazwy czy miejsca. Pamiętajmy o tym, żeby nie zostawiać w pobliżu komputera kartki z hasłem. Dobre kod zawiera przynajmniej 8 znaków i jest kombinacją cyfr, symboli, małych i dużych liter. Dodatkowo powinien być okresowo zmieniany i nikomu poza nami nie może być znany. Złamanie takiego hasła to nieporównywalnie trudniejsze zadanie. Należy jednak pamiętać, że możliwe do rozwiązania, ale wymagające dłuższego okresu czasu (często miesięcy). Jeśli będziemy stosować zasady bezpieczeństwa to zanim komuś uda się złamać nasz kod, będzie on już zmieniony.
Jedyną wadą losowych haseł jest to, że w większości przypadków gdzieś je zapisujemy. Sprytni użytkownicy mają swoje sposoby na to, aby kod do komputera był tylko w ich głowach. Na przykład wykorzystując jakąś frazę "Juventus Turyn wygrał z AC Milan 2-1", tworzę hasło: "JTwzAM2-1".
Możemy wykorzystać polecenie Net User do stworzenia silnego hasła. W tym celu w Wierszu poleceń wpisujemy: net user xxxxxx/random (w miejsce xxxxxx nazwa użytkownika). Hasło zostanie wygenerowane i przypisane do konta użytkownika. W Internecie możemy znaleźć wiele programów i usług online losowo generujących hasła. Wystarczy wpisać w wyszukiwarce "generator hasła", aby się o tym przekonać.
Hasła do systemu mogą składać się ze 127 znaków. Wraz ze wzrostem długości zwiększa się poziom trudności złamania kodu. Do wykorzystania mamy dowolne znaki, także spacje. Stosowanie spacji w hasłach pomaga tworzyć długie frazy. Jednak nie należy używać spacji jako pierwszego lub ostatniego znaku, gdyż niektóre aplikacje obcinają te pozycje.

Ustanawianie i wymuszanie zasad haseł.

Należy narzucić wszystkim użytkownikom komputera zasady dotyczące haseł logowania. Większość reguł możemy wymusić wykorzystując konsolę Ustawienia zabezpieczeń lokalnych. Aby ją uruchomić w wierszu poleceń wpisujemy: secpol.msc. Aby przejść do zasad dotyczących haseł wszystkich kont otwieramy węzeł Ustawienia zabezpieczeń\Zasady konta\Zasady haseł.

Mamy do dyspozycji listę następujących zasad (otwieramy je klikając wybraną dwukrotnie):

• Wymuszaj tworzenie historii haseł. Windows tworzy listę dotychczasowych haseł (maksymalnie 24), dzięki której może kontrolować, aby użytkownik nie zmieniał hasła na takie, które juz wcześniej stosował. Jeśli korzystamy z tej funkcji powinniśmy też ustawić minimalny okres ważności hasła. W ten sposób nie pozwolimy na to, aby użytkownik mógł zmieniać sobie wielokrotnie hasło, a następnie znowu podać takie, jakie miał dotychczas.
• Maksymalny okres ważności hasła. Ustawiamy tu okres ważności konta (maksymalnie 999 dni). Aby dla wybranego konta wyłączyć tą funkcję, należy w przystawce Użytkownicy i grupy lokalne otworzyć właściwości konta i zaznaczyć Hasło nigdy nie wygasa.
• Minimalny okres ważności konta. Czyli liczba dni (maksymalnie 999), po upływie których hasło może być zmienione.
• Minimalna długość hasła. Maksymalnie 14 znaków. Zmiana tego ustawienia nie wpływa na dotychczasowe hasła.
• Hasła muszą spełniać wymagania co do złożoności. Włączenie zasady oznacza: hasła muszą mieć przynajmniej 6 znaków, muszą zawierać małe, duże litery, cyfry i symbole, nie mogą zawierać części nazwiska ani nazwy użytkownika. Zmiana nie wpływa na dotychczasowe hasła.
• Zapisz hasła dla wszystkich użytkowników w domenie, korzystając z szyfrowania odwracalnego. Włączenie powoduje zapisywanie haseł otwartym tekstem, a nie w postaci zaszyfrowanej. Stosuje się to bardzo rzadko, jedynie w celu uzyskania kompatybilności ze starszymi aplikacjami.
  

Odzyskiwanie zapomnianego hasła

Jeśli często zmieniamy hasła, które są długie i skomplikowane, to wysoce prawdopodobne jest to, że kiedyś możemy zapomnieć o jednym z nich. Najrozsądniej jest zabezpieczyć się przed takim przypadkiem, tworząc dyskietkę do resetowania hasła. Dzięki niej możemy zalogować się do systemu, nie znając hasła. Możemy ją utworzyć tylko dla naszego lokalnego profilu. Żeby zrobić omawianą dyskietkę należy zalogować się na konto, dla którego chcemy utworzyć "ostatnią deskę ratunku", następnie wejść do konsoli Konta użytkowników w Panelu sterowania, kliknąć nazwę swojego konta i w okienku Zadania pokrewne kliknąć Zapobiegaj zapominaniu hasła, w ten sposób uruchomimy Kreatora przypominania hasła. Moduł poprosi nas o włożenie dyskietki do napędu i wpisanie hasła. Po zakończeniu pracy kreatora najlepiej odłożyć dyskietkę w bezpieczne miejsce.
Jeśli zdarzy nam się zapomnieć kodu, w czasie logowania Windows wyświetla pomocne opcje. Jeśli używamy ekranu powitalnego okno zawiera łącze Użyj dyskietki do resetowania hasła, jeśli ekran powitalny jest wyłączony to kontrolka zawiera przycisk Resetuj. Wybierając którąś z tych opcji, kreator poprosi nas o dyskietkę, a następnie o wpisanie nowego hasła.
Innym, tradycyjnym rozwiązaniem problemu zapomnienia kodu jest zalogowanie się jako administrator i ustawienie innego hasła. Jest to jednak nieefektywne rozwiązanie. Po usunięciu starego kodu użytkownik traci wszystkie swoje osobiste certyfikaty i zapisane hasła do witryn sieci Web oraz zasobów sieciowych. Bez tych certyfikatów nie będzie miał dostępu do plików i wiadomości e-mail zaszyfrowanych przy użyciu swojego indywidualnego klucza.

Jeśli nie stworzyliśmy zawczasu dyskietki do resetowania hasła i nie znamy hasła administratora pozostaje nam zabawić się w hakerów i spróbować paru sztuczek.
Jeśli nasz dysk systemowy ma format FAT32 to po pewnym czasie wyświetlania ekranu logowania baz żadnej aktywności myszy ani klawiatury system uruchamia wygaszacz ekranu Logon.scr z konta System czyli posiada pełnię władzy. Możemy podstawić pod niego inny program, który uruchomi się bez logowania. Cała operacja wygląda następująco:

1. Uruchamiamy system z dyskietki Windows albo MS-DOS.
2. Wpisujemy polecenia:
   cd \windows\system32 //przejście do folderu %SystemRoot%\System32
   ren logon.scr logon.sav //przemianowanie pliku logon.scr
   copy cmd.exe logon.scr //utworzenie kopii cmd.exe pod nazwą logon.scr
3. Wyjmujemy dyskietkę i ponownie uruchamiamy komputer.
4. Czekamy chwilę aż pojawi się zamiast wygaszacza ekranu wiersz poleceń.
5. W oknie wiersz poleceń wpisujemy: nest user administrator ****** (w miejsce ****** nowe hasło).
6. Możemy się zalogować jako administrator używając nowego hasła.

W przypadku, gdy bardziej dbamy o bezpieczeństwo i wszystkie partycje dyskowe mamy sformatowane przy użyciu NTFS ta sztuczka nam się nie uda. Możemy użyć programu do łamania haseł. Ich działanie jest najbardziej efektywne, jeśli możemy się na jakimś innym koncie zalogować jako administrator. Niektóre z tych programów działają po załadowaniu systemu z dyskietki albo z innego systemu operacyjnego (jeśli został uprzednio zainstalowany). Można też skorzystać z innego komputera w sieci. Programy do łamania haseł wykorzystują następujące metody: atak słownikowy; pobranie wartości funkcji mieszającej dla hasła z bazy SAM albo z pamięci; metody siłowej, która polega na sprawdzaniu wszystkich kombinacji znaków. Nawet jeśli nie musimy znaleźć zapomnianego hasła, warto sprawdzić możliwości takich programów i trochę się nimi pobawić. Możemy przetestować siłę naszych haseł (i przekonać się dlaczego tak ważne jest stosowanie długiej skomplikowanej kombinacji znaków). Kilka takich programów:

• John the Ripper (www.openwall.com/john/ )
• Winternal Locksmith (www.winternals.com/Products/LockSmith/)
• Windows XP/2000/NT Key (www.lostpassword.com/windows-xp-2000-nt.htm)
  

Konfigurowanie bezpiecznego procesu logowania

Zabezpieczanie ekranu powitalnego

Ekran powitalny jest narzędziem, które pozwala nam w bardzo łatwy i wygodny sposób zalogować się do systemu. Jeśli dbamy o bezpieczeństwo to niestety musimy zrezygnować z tej wygody. Ekran powitalny ujawnia bowiem zbyt dużo informacji. Każdy może dzięki niemu zobaczyć wszystkie nazwy użytkowników oraz podpowiedzi do ich haseł (jeśli je stosujemy).

Aby wyłączyć wyświetlanie ekranu powitalnego otwieramy aplet Konta użytkowników w Panelu sterowania. Następnie klikamy przycisk Zmień sposób logowania lub wylogowywania użytkowników, odznaczamy pole wyboru Używaj ekranu powitalnego i klikamy Zastosuj opcje.
Po zablokowaniu ekranu powitalnego korzystamy ze starego sposobu logowania - okno dialogowe Logowania do systemu Windows. Nie możemy jednak już korzystać z funkcji Szybkie przełączanie użytkowników, która pozwala zalogować się na innym koncie bez wylogowywania się z tego, na którym aktualnie pracujemy. Dzięki tej funkcji kilku użytkowników może być zalogowanych jednocześnie, a programy uruchomione na kontach, z których aktualnie nie korzystamy pracują w tle. Jeśli zależy nam na tej funkcji tak bardzo, że nie chcemy pozbyć się ekranu powitalnego, to możemy przynajmniej podnieść poziom jego bezpieczeństwa. Mamy do wykorzystania dwa sposoby:

• Na ekranie powitalnym są tylko członkowie grup Administratorzy, Goście, Użytkownicy i Użytkownicy zaawansowani. Możemy zmienić członkostwo w grupach kont, które chcemy ukryć.
• Możemy też zmienić ustawienia w rejestrze. W tym celu uruchamiamy Edytor rejestru, a następnie otwieramy klucz HKLM\Software\Microsoft\Windows NT\Current Version\Winlogon\SecialAccounts\UserList, tworzymy nową wartość DWORD, nazywamy ją tak, jak konto które chcemy ukryć i ustawiamy wartość na 0.

Teraz korzystając z ekranu powitalnego, aby zalogować się na ukryte konto, dwa razy naciskamy klawisze Ctrl+Alt+Delete, dzięki czemu wyświetli się okno dialogowe Logowanie do systemy Windows. Wpisujemy w nim nazwę i hasło. Nie możemy jednak przełączać na konta użytkowników, którzy są ukryci w ekranie powitalnym, gdyż dwukrotne naciśnięcie Ctrl+Alt+Delete działa tylko wtedy, gdy nikt nie jest zalogowany.

Zabezpieczanie klasycznego logowania

Klasyczne logowanie wymaga wciśnięcia kombinacji Ctrl+Alt+Delete, w celu wyświetlenia okna Logowanie do systemu Windows, w którym wprowadzamy nazwę i hasło użytkownika. Aby zabezpieczyć ten sposób logowania otwieramy okno dialogowe Uruchom i wpisujemy control userpasswords2. Aby na pewno przed każdym logowaniem użytkownik musiał stosować sekwencję bezpiecznego przywołania [Ctrl+Alt+Delete], klikamy kartę Zaawansowane i zaznaczamy Żądaj od użytkowników naciśnięcia klawiszy Ctrl+Alt+Delete. Kolejnym krokiem jest wyłączenie opcji autologowania. W tym celu klikamy kartę Użytkownicy i zaznaczamy Aby używać tego komputera, użytkownik musi wprowadzić nazwę użytkownika i hasło.

Kontrolowania automatycznego logowania

Z reguły, aby zwiększyć poziom bezpieczeństwa komputera rezygnujemy z funkcji autologowania. Proces ten polega bowiem na pominięciu procedury wpisywania hasła. Po uruchomieniu systemu od razu przechodzimy do pulpitu. Są jednak przypadki, gdy autologowanie jest pomocne. Jeśli np. jesteśmy jedynymi użytkownikami komputera, a poza tym znajduje się on w miejscu, w którym nikt niepowołany nie ma do niego dostępu, funkcja ta nie jest specjalnie dla nas niebezpieczna, przy czym sprawia, że korzystanie z komputera jest wygodniejsze. Jeśli chcemy, aby jednostka służyła jakiejś grupie użytkowników o takich samych uprawnieniach ta procedura także może okazać się pomocna. Użytkownik nie ma wtedy nawet możliwości wyboru konta, lecz korzysta z tego, do którego automatycznie loguje się do systemu.
Aby włączyć autologowanie w oknie Uruchom wpisujemy control userpasswords2 i w karcie Użytkownicy tym razem odznaczamy pole Aby używać tego komputera, użytkownik musi wprowadzić nazwę użytkownika i hasło. Następnie wybieramy OK, system poprosi wówczas o nazwę i hasło użytkownika konta, które będzie się automatycznie uruchamiać.
Skutkiem tego działania jest kilka zmian w kluczu rejestru HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Tworzona jest wartość o nazwie DefaultUserName i ustawiana jest na podaną nazwę użytkownika. Jeśli konto nie jest kontem lokalnym, tworzona jest wartość łańcuchowa DefaultDomainName i ustawiana jest na nazwę domeny podanego konta użytkownika. Dodawana jest także łańcuchowa wartość AutoAdminLogon i ustawiana jest na 1.
W tym kluczu rejestru możemy dokonać jeszcze paru zmian, które wpływają na proces autologowania. Omawiany proces uruchamia się tylko na początku, jeśli się wylogujemy z domyślnego konta, pojawia się już standardowy ekran logowania. Możemy to zmienić dodając łańcuchową wartość AutoLogon i ustawić ją na 1.
Domyślnie trzymając wciśnięty klawisz Shift podczas uruchamiania systemu, blokujemy autologowanie. Jeśli chcemy zrezygnować z tej opcji, dodajemy wartość łańcuchową IgnoreShiftOverride i ustawiamy ją na1.
Możemy ustalić liczbę działań autologowania, po której funkcja ta zostanie wyłączona. Aby ograniczyć liczbę działań tej procedury dodajemy wartość DWORD o nazwie AutoLogonCount i podajemy wybraną liczbę. Podczas każdego startu systemu liczba będzie zmniejszana o 1. Gdy liczba osiągnie wartość 0, funkcja zostanie wyłączona - system zmieni wartość AutoAdminLogon na 0 i usunie wartość AutoLogonCount.

Wiadomość powitalna

Tuż przed oknem Logowanie do systemu Windows możemy umieścić wiadomość. Może to być przyjazny komunikat powitalny lub ostrzeżenie. Nie jest to żadna część filaru bezpieczeństwa, ale zdarzają się sytuacje, gdy wymagane jest np. ostrzeżenie o tym, że próba zalogowania się nieuprawnionego użytkownika jest nielegalna (sankcjonowane przez prawo). Jeśli kiedyś znaleźlibyśmy się w takiej (trzeba przyznać trochę naciąganej :)) sytuacji, to musielibyśmy poczynić następujące kroki:

• Wpisujemy w oknie Uruchom polecenie: secpol.msc, które otworzy Ustawienia zabezpieczeń lokalnych.
• Otwieramy gałąź: Ustawienia zabezpieczeń\Zasady lokalne \Opcje zapezieczeń.
• Klikamy dwukrotnie pozycję Logowanie interakcyjne: Tytuł komunikatu dla użytkowników próbujących się zalogować, wpisujemy tekst, który pojawi się na pasku tytułu ostrzeżenia i klikamy OK.
• Klikamy dwukrotnie zasadę Logowanie interakcyjne: Tekst komunikatu dla użytkowników próbujących się zalogować, wpisujemy tytuł

oraz treść ostrzeżenia i wybieramy OK.

Możemy też stworzyć ten komunikat modyfikując dwie wartości łańcuchowe w kluczu rejestru HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Wpisujemy wartość LegalNoticeCaption jako treść paska, a wartość LegalNoticeText jako treść samego komunikatu.

Zasady blokady kont

Skutecznym zabezpieczeniem przed użytkownikiem czy programem usiłującym się włamać do systemu przez podawanie kolejno różnych haseł jest ustawienie zasad blokady kont. Możemy je skonfigurować za pomocą konsoli Ustawienia zabezpieczeń lokalnych, którą uruchamiamy po wpisaniu w wierszu polecenia secpol.msc. Otwieramy węzeł Ustawienia zabezpieczeń\Zasady konta\Zasady blokady konta i klikamy dwukrotnie w wybraną zasadę, mamy do dyspozycji:

• Czas trwania blokady konta. Liczba wyznaczająca czas zablokowania użytkownika. Wartość 0 oznacza zablokowanie konta na zawsze (do czasu odblokowania go przez administratora). Maksymalna wartość to 9999 minut, czyli około 69 dni.
• Próg blokady konta. Liczba (od 1 do 999) wyznaczająca limit nieudanych logowań w ustalonym okresie czasu, którego przekroczenie powoduje zablokowanie konta.
• Wyzeruj licznik blokady konta po. Liczba (od 0 do 99999 minut) wyznaczająca okres, w ciągu którego obowiązuje limit nieudanych prób logowania. Jeśli ustalimy 10 minut oznacza to, że po tym okresie liczba prób jest zerowana i odliczanie zaczyna się od początku.

Dodatkowa ochrona dzięki narzędziu Syskey

Syskey chroni bazę danych SAM, w której zawarte są informacje o kontach. Wykorzystuje klucz startowy do szyfrowania bazy. Standardowym kluczem startowym jest wygenerowany klucz przechowywany w komputerze lokalnym. Syskey uniemożliwia ataki polegające na uruchomieniu innego systemu operacyjnego i skopiowaniu SAM albo kradzieży kopii zapasowej, stanowi bardzo dobre zabezpieczenie informacji o hasłach w rejestrze.
Jeśli napastnik ma fizyczny dostęp do komputera, a do tego dobry program do łamania haseł oraz sporo czasu to może poznać nasze hasła. Jeśli przewidujemy, że istnieje możliwość takiego ataku na jednostkę, możemy użyć narzędzia Syskey do dodatkowej ochrony. Musimy je skonfigurować tak, aby klucz startowy nie był przechowywany w komputerze. Od tego momentu pierwszym okienkiem wyświetlającym się po włączeniu komputera, będzie to, w którym należy wpisać hasło klucza startowego. Bez tego hasła lub dyskietki na której nagrane jest hasło nic nie można zrobić w komputerze. Jeśli zgubimy dyskietkę lub zapomnimy hasła jedynym rozwiązaniem jest użycie dysku do automatycznego odzyskiwania systemu (ASR) i odtworzenie rejestru z kopii zapasowej utworzonej przed włączeniem klucza uruchomienia. Jeśli zdecydujemy jednak, że ta dodatkowa warstwa ochronna jest nam potrzebna, to musimy wykonać następujące kroki:

• Wpisujemy w wierszu poleceń syskey.
• Klikamy Aktualizuj.
  

  

• Wybieramy jedną z opcji: Uruchamianie z hasłem lub Przechowaj klucz uruchomienia na dyskietce (standardowe ustawienie to Przechowaj klucz uruchomienia lokalnie) i klikamy przycisk OK.