xp z zasadami, Wszystko o Windows XP
[ Pobierz całość w formacie PDF ]
XP z zasadami
Jacek Ścisławski
PC World Komputer
Każdy wie, jak ważną rolę w zabezpieczeniach komputera odgrywają hasła. Wiadomo
również, że - zgodnie ze starym przysłowiem - sprawdzać to znaczy wiedzieć.
Administratorzy Windows XP Professional mogą tak skonfigurować system, żeby wymuszał
hasła o wysokim poziomie bezpieczeństwa oraz kontrolował dostęp do plików, drukarek czy
komputera. Czynności te są możliwe dzięki usłudze Zasady grupy i stanowią jedynie mały
fragment jej przebogatych możliwości.
Zabezpieczanie systemu pracującego pod kontrolą Windows XP nie opiera się wyłącznie na
przypisaniu skomplikowanego hasła do konta Administratora albo uruchomieniu wbudowanej
zapory połączenia internetowego. W zasięgu ręki znajduje się silne narzędzie do
kompleksowego konfigurowania ustawień oraz zabezpieczeń systemu. Uruchamiając
przystawkę Zasady grupy, przekonujemy się, ile parametrów można ustawić, by zwiększyć
funkcjonalność systemu. Z pozoru skomplikowana struktura usługi, po bliższym poznaniu
okazuje się całkiem znośna w obsłudze i zarządzaniu.
Na czym polegajÄ… Zasady grupy?
Ujmując najprościej, Zasady grupy to zespół ustawień konfigurujących system operacyjny.
Ustawienia te dotyczą bardzo szerokiego spektrum parametrów i obejmują między innymi
takie elementy, jak ustawienia aplikacji Windows XP, ustawienia zabezpieczeń, ustawienia
Pulpitu, ustawienia środowiska systemu i wiele innych.
Konfiguracja komputera i użytkownika z użyciem zasad lokalnych
Po zainstalowaniu Windows XP otrzymujemy produkt gotowy do pracy. Instalator przenosi
na system operacyjny ustawienia zwiÄ…zane z obiektami w menu Start, parametrami
logowania, czy chociażby ustawieniami Eksploratora Windows. Jeśli nie odpowiada nam
domyślna konfiguracja, możemy zmodyfikować ustawienia wielu obiektów wchodząc w ich
właściwości. Dotyczy to na przykład paska zadań oraz menu Start. Jednak opcje dostępne we
właściwościach tych elementów, to jedynie część parametrów, jakie możemy narzucić
systemowi. Inne, bardziej zawansowane, są wprowadzane właśnie przez Zasady grupy.
Główna funkcja Zasad grup to ujednolicenie i zabezpieczenie środowiska pracy
użytkowników. Dodatkowo dzięki nim można dystrybuować oprogramowanie w sieci oraz
wypływać na to, do jakich komponentów Windows użytkownicy będą mieli dostęp. W
zależności od miejsca pracy Windows zadania założeń grup mogą się nieco różnić oraz mieć
inny rozmiar.
Najlepiej ich wykorzystanie sprawdza siÄ™ w sieciach pracujÄ…cych pod kontrolÄ… Windows 2000
Server z zaimplementowaną usługą Active Directory. W takich środowiskach administrator
definiuje dla wszystkich stacji jedną zasadę (grupę parametrów), która podczas startu zostanie
automatycznie zastosowana do każdego komputera. Podobnie dzieje się z założeniami
środowiska pracy użytkowników - jeśli to konieczne, można centralnie wyłączyć np. dostęp
do konfiguracji ekranu.
W sieciach bezdomenowych, opartych na grupach roboczych, wdrożenie zasad grup jest nieco
utrudnione, ale w pełni możliwe. Kłopot polega na tym, że w sieciach peer-to-peer nie ma
wyspecjalizowanego serwera, który by nadzorował dystrybucję ustawień. Rozwiązaniem tego
problemu jest zastosowanie pewnej cechy zasad grup, czyli możliwości zapisu zmienianych
parametrów w szablonie. Wystarczy wówczas przygotować jeden plik konfiguracyjny, a
następnie przyłożyć go do wszystkich komputerów małej sieci.
Duża część ustawień odnosi się do lokalnego środowiska systemu operacyjnego, dlatego
znajomość konfiguracji zasad sprawdza się doskonale podczas pracy na indywidualnych
stacjach roboczych. Tu zadanie założeń grup koncentruje się głównie na określaniu
zabezpieczeń systemu. Tym niemniej można je również zastosować do określania parametrów
pracy na tych stacjach, które są wykorzystywane przez wielu użytkowników.
Rodzaje zasad
Ustawienia przypisywane przez zasady mogą być określane na różnych poziomach. Jeśli
system pracuje w domenie Windows 2000, zasady grupy są utrzymywane przez usługi
katalogowe (Active Directory). Podczas startu Windows XP pobiera je z serwera i wplata w
rejestr. Active Directory gromadzÄ… informacje o zasobach sieci, np. komputerach oraz
użytkownikach. Ponieważ struktura usługi jest wielopoziomowa, zasady mogą być stosowane
do kilku typów obiektów: domen, lokacji i jednostek organizacyjnych. Na przykład
przypisanie zasad do domeny powoduje, że są one przenoszone na wszystkie komputery i
użytkowników do niej należących.
Koncentrujemy się na zabezpieczeniach Windows XP, który niekoniecznie musi pracować w
domenie Windows 2000 lub 2003, ale warto zaznaczyć, że są jeszcze założenia lokalne,
przechowywane na każdym komputerze, na którym zostały zdefiniowane. Swoim zasięgiem
obejmują wyłącznie parametry własnej stacji i zalogowanego użytkownika. Jeśli komputer
jest podłączony do domeny, wówczas ewentualne ustawienia sieciowe biorą górę i nadpisują
ustawienia lokalne. Windows XP przechowuje zasady grupy w rejestrze. Część parametrów
zapisana jest w katalogu katalog_systemowy\system32\GroupPolicy. Pobierane stamtÄ…d dane
są wtłaczane w rejestr podczas startu komputera lub logowania użytkownika.
Zasady grupy obejmują użytkowników oraz komputery. Każdemu z nich przypisane są
niezależne ustawienia, które odnoszą się do poszczególnych elementów systemu. Na przykład
dla komputera są to parametry monitorowania, a dla użytkownika ustawienia pulpitu. Podział
ten wynika ze sposobu utrzymywania informacji o konfiguracji Windows. Rejestr systemu
składa się z kilku oddzielnych części, tzw. gałęzi. Ich lokalizacja obejmuje dwa miejsca:
katalog_systemowy\system32\config, oraz lokalny katalog profilu każdego z użytkowników.
W profilach zawarte są informacje o indywidualnych preferencjach osób korzystających z
Windows, takich jak parametry ekranu, myszy itp. Dlatego też, co innego przechowywane
jest w obiekcie Użytkownik zasad grupy, a co innego w obiekcie Komputer. Ustawienia
nadane komputerowi są stosowane zawsze, niezależnie od tego, który użytkownik w danej
chwili pracuje na stacji. Parametry użytkownika mogą być odmienne dla każdej z osób.
Zanim przejdziemy do przypisywania ustawień konfiguracji zasad komputerowi lub
użytkownikowi, należy powiedzieć, kiedy są implementowane. Najpierw - podczas startu
Windows XP, zanim pojawi siÄ™ okno logowania - wprowadzane sÄ… ustawienia maszyny. Po
uwierzytelnieniu implementowane są zasady konfigurujące środowisko użytkownika.
Co konfigurujÄ… zasady?
Struktura Zasad grupy przypomina nieco układ katalogów i plików, gdzie do katalogów
można porównać zespoły ustawień obejmujące parametry Windows, a do plików,
poszczególne opcje konfiguracyjne. Każdy z obiektów zasad, węzeł użytkownika czy
komputera, zawiera trzy foldery: Ustawienia oprogramowania, Ustawienia systemu Windows
oraz Szablony administracyjne.
Okno przypisywania plików skryptów
Ustawienia oprogramowania to folder pozwalajÄ…cy na konfiguracjÄ™ dystrybucji
oprogramowania w domenach sieci Windows. Przypisanie oprogramowania do folderu
Konfiguracja komputera powoduje, że aplikacja będzie dostępna na wszystkich maszynach,
do których zastosowano Zasady grupy. Inne znaczenie ma przypisanie aplikacji do
konfiguracji użytkownika - oprogramowanie zostanie udostępnione tylko osobom, do których
odnosi się zasada. Więcej informacji o dystrybucji oprogramowania można znaleźć w
pomocy systemów Windows 2000 Server oraz Windows 2003 Server.
W wypadku zabezpieczeń szczególnie istotne są ustawienia ukryte w folderze Ustawienia
systemu Windows. Zasady dotyczÄ…ce obiektu komputer zawierajÄ… dwa elementy:
konfiguracje skryptów oraz Ustawienia zabezpieczeń. Jeśli sięgniemy do ikony Skrypty,
będziemy mogli przypisać w niej pliki, które mają być uruchamiane podczas startu i
zamykania systemu. Analogicznie w części związanej z użytkownikiem można określić pliki
wykonywane podczas logowania i wylogowywania z systemu.
Dzięki opcjom dostępnym w Ustawieniach zabezpieczeń można konfigurować ustawienia
haseł, ustawienia praw, zasady inspekcji i wiele innych elementów. Szerzej konfiguracja tego
folderu zostanie opisana w dalszej części artykułu. W węźle obejmującym konfigurację
użytkownika umieszczony został dodatkowo folder Konserwacja programu Internet Explorer.
Pozwala on na dostosowanie takich parametrów przeglądarki internetowej, jak opcje
połączenia, lista ulubionych witryn czy parametry zabezpieczeń.
Najwięcej ustawień zawiera folder Szablony administracyjne - opcje bezpośrednio związane
ze środowiskiem pracy komputera oraz użytkownika. Dla maszyny będą to parametry
modyfikujące Składniki systemu Windows, System, Sieć oraz Drukarki. W części dotyczącej
Użytkownika wymienione są grupy: Składniki systemu Windows, menu Start i pasek zadań,
pulpit, Panel sterowania, Foldery udostępnione, Sieć i System.
Narzędzia do konfiguracji zasad
Starsze systemy rodziny Windows do konfiguracji odpowiedników zasad grup
wykorzystywały narzędzie poledit.exe. Program ten można jeszcze odnaleźć w Windows
2000, ale w Windows XP do konfigurowania zasad grupy służą zupełnie inne narzędzia.
Pierwszym i najważniejszym jest przystawka konsoli MMC - Zasady grupy. Pozwala ona na
ustawienie wszystkich parametrów zasad, zarówno dla środowiska domenowego, jak i
lokalnego. Kolejnym narzędziem są Zasady zabezpieczeń lokalnych. Ta przystawka MMC
stanowi jedynie wycinek Zasad grupy, obejmujÄ…cy zabezpieczenia lokalne komputera.
Dodatkowo są do dyspozycji narzędzia wiersza poleceń: gpresult.exe, gpupdate.exe i
secedit.exe.
Przykład wykonania polecenia gpresult.exe
[ Pobierz całość w formacie PDF ]