Witam. Chodzi o to ze mam Windowska XP i sa 3 konta, moje i dwa inne. Ja jestem administratorem komputera a tamte konta to konta z ograniczeniami. Jednak mimo to ktos ostatnio mi wszedl na moje konto i spradzil archiwum gg mimo ze mam hasla. Tzn wiem ze moj sasiad ma taki program co usuwa haslo i moze wejsc na moje konto. I podejrzewam ze siorka go poprosila. Ktos wie jak moge zrobic zeby nie bylo mozliwosci przedostania sie na moje konto mimo jakis tam programow? PROSZE O RADE
Windows XP i 3 konta
Started by fukoladka, 23 Jan 2010 15:25
5 replies to this topic
#1
Posted 23 January 2010 - 15:25
#2
Posted 23 January 2010 - 15:52
musisz wprowadzić ograniczenia dla tych kont
1. zaloguj sie jako administrator
2. Uruchom konsole zarządzanie komputerem (Kliknij przycisk Start, a następnie kliknij polecenie Panel sterowania. Kliknij ikonę Wydajność i konserwacja, kliknij ikonę Narzędzia administracyjne, a następnie kliknij dwukrotnie ikonę Zarządzanie komputerem. )
3.w drzewie konsoli wybierz rozwin folder uzytkownicy i grupy lokalne
4. kliknij urzytkownicy
6.PPM kliknij na wybrane konto i wybierz własciwości
7. zmien ustawienia i zapisz
zajrzyj jeszcze tutaj
http://www.elektroda...pic1280592.html
1. zaloguj sie jako administrator
2. Uruchom konsole zarządzanie komputerem (Kliknij przycisk Start, a następnie kliknij polecenie Panel sterowania. Kliknij ikonę Wydajność i konserwacja, kliknij ikonę Narzędzia administracyjne, a następnie kliknij dwukrotnie ikonę Zarządzanie komputerem. )
3.w drzewie konsoli wybierz rozwin folder uzytkownicy i grupy lokalne
4. kliknij urzytkownicy
6.PPM kliknij na wybrane konto i wybierz własciwości
7. zmien ustawienia i zapisz
zajrzyj jeszcze tutaj
http://www.elektroda...pic1280592.html
#3
Posted 23 January 2010 - 16:00
No ale to sa konta z ograniczeniami...
[ Dodano: 2010-01-23, 16:04 ]
Ok. ale w panelu sterowania nie widze takiej ikony wydajnosc i konserwacja??
[ Dodano: 2010-01-23, 16:11 ]
OK, DOSZLAM do tego. kliknelam na to konto i mi wyswietliwlo ogólne bylo tylko zaznaczone ze haslo nugdy nie wygasa. co mam teraz zrobic? co zaznaczyc, zeby instalujac tAmten program nie weszla na moje konto?
[ Dodano: 2010-01-23, 16:04 ]
Ok. ale w panelu sterowania nie widze takiej ikony wydajnosc i konserwacja??
[ Dodano: 2010-01-23, 16:11 ]
OK, DOSZLAM do tego. kliknelam na to konto i mi wyswietliwlo ogólne bylo tylko zaznaczone ze haslo nugdy nie wygasa. co mam teraz zrobic? co zaznaczyc, zeby instalujac tAmten program nie weszla na moje konto?
#4
Posted 23 January 2010 - 17:25
Ten poradnik znalazłem gdzieś w necie przeprowadzi cie on przez dodawanie uprawnień
Do zarządzania użytkownikami w Windows 2000/XP/2003 można też użyć narzędzia "Zarządzanie komputerem" dostępnego w "Panel Sterowania" >> "Narzędzia administracyjne", który daje największe możliwości.
Użytkownicy i ich prawa
Prawa użytkowników do wykonywania poszczególnych czynności w systemie są uwarunkowane m.in. przez ich przynależność do poszczególnych grup, szczególnie to tyczy przypisania do standardowych grup istniejących w systemie. Standardowe grupy w systemach Windows 2000/XP/2003 posiadają czasem różne prawa do wykonywania pewnych czynności w tym tych związanych z siecią SMB czyli Otoczeniem sieciowym. Poniżej są wymienione te czynności i użytkownicy których grup posiadają do nich standardowo prawo.
*
Udostępnianie plików i drukarek - Administratorzy i Użytkownicy Zaawansowani
*
Dołączanie do domeny NT - Administratorzy
Niektóre z tych uprawnień można zmienić poprzez, polecam zapoznanie się z opcjami dostępnymi przez gpedit.msc i secpol.msc. Ciekawymi opcjami jest ograniczenie możliwości logowania się użytkowników tylko do określonych godzin oraz do logowania się z określonych hostów w sieci. Oczywiście szczególnie ta druga opcja jest tutaj przydatna przy udostępnianiu udziałów dla danego użytkownika. Do tego celu służy nam komenda wiersza poleceń net user z odpowiednimi parametrami. Poniżej pokazano wynik działania polecenia net user dla konkretnego użytkownika co wyświetliło nam ustawienia danego konta.
Dostęp do konta
Standardowo każdy użytkownik nowododany do systemu może się zalogować lokalnie na swoje konto jak i przez sieć SMB. Jest to wygodne ale czasem nie pożądane jest takie zachowanie. Dobrym rozwiązaniem jest dla kont, "sieciowych" przydzielić tylko dostęp z sieci, a dla kont "lokalnych" tylko dostęp lokalny. Żeby to uczynić przejdź do "Panelu sterowania" >> "Narzędzia administracyjne" >> "Ustawienia zabezpieczeń lokalnych" i wybieramy w nowo otwartym oknie "Zasady lokalne" i "Przypisywanie praw użytkownikom". Tera wybierz jedną z dwu zasad zależnie od rodzaju konta jaki ma być:
*
Odmowa dostępu dla tego komputera z sieci - Na tej liście nie może być użytkowników uprawnionych do dostępu z sieci czyli m.in. w większości wypadków nie powinno być tu konta "Gość" jeśli zezwalamy na dostęp gościny. Oczywiście jak jakiś użytkownik lub grupa ma nie mieć dostępu z sieci należy go tutaj dodać.
*
Odmowa logowania lokalnego - Na tej liście nie może być użytkowników uprawnionych do dostępu lokalnego. Oczywiście jak jakiś użytkownik lub grupa ma nie mieć dostępu do lokalnego logowania należy go tutaj dodać.
Określenie godzin logowania dla danego użytkownika
Komenda net user [użytkownik] /times: , gdzie za parametrem /times powinien być podany przedział czasu kiedy użytkownik może się zalogować. Wpierw podajemy dzień tygodnia, skrótowo lub pełną nazwą po angielsku, po przecinku przedział czasu w pełnych godzinach stosując format amerykański. Jeśli chcemy podać więcej przedziałów czasowych należy użyć średnika. I nie należy używać spacji, wszystko piszemy jednym ciągiem począwszy od parametru /times. Dla przykładu:
net user dominik /times:Mo,16-20;Fr,9-12
Oczywiście wprowadzone ograniczenia czasowe można cofnąć
net user dominik /times:ALL
Czyli parametr /times:ALL oznacza że użytkownik może się zawsze zalogować (standardowe zachowanie), ale brak wartości parametru oznacza że użytkownik nigdy nie może się zalogować.
Określenie listy komputerów z jakich dany użytkownik może się logować
Komenda net user [użytkownik] /WORKSTATIONS: , gdzie za parametrem /WORKSTATIONS podajemy listę maksymalnie 8 komputerów w sieci (oddzielając przecinkami, bez spacji) z jakich może dany użytkownik się zalogować. Dla przykładu:
net user dominik /WORKSTATIONS:archiwum,192.168.1.20
Oczywiście wprowadzone ograniczenia do logowania się z określonych komputerów można cofnąć
net user dominik /WORKSTATIONS:*
Czyli parametr /WORKSTATIONS:* oznacza że użytkownik może się zalogować z każdego komputera, to samo można osiągnąć pisząc po prostu /WORKSTATIONS: .
Ograniczenia tyczące haseł użytkowników
Dla użytkowników można wprowadzić różne ograniczenia związane z hasłami. Część ograniczeń definiuje się indywidualnie dla każdego użytkownika, można to już zrobić przy zakładaniu konta lub na już istniejącym koncie. Opcje te są dostępne poprzez "Panel sterowania" -> "Narzędzia administracyjne" -> "Zarządzanie komputerem" -> "Użytkownicy i grupy lokalne" -> "Użytkownicy" (lub po prostu compmgmt.msc).
Jak widać powyżej w oknie dialogowym danego użytkownika, możesz ustawić:
*
Użytkownik musi zmienić hasło przy następnym logowaniu - opcja szczególnie przydatna dla nowo założonych kont lub gdy z jakiś powodów chcemy wymusić zmianę hasła (np. zaostrzenie polityki haseł). Opcja ta wyklucza dwie następne.
*
Użytkownik nie może zmienić hasła - opcja przydatna dla kont które nie posiadają hasła (np. często konto Gość). Opcja ta wyklucza pierwszą. Odpowiednia komenda : net user użytkownik /PASSWDORDCHG: .
*
Hasło nigdy nie wygasa - opcja przydatna dla kont które nie posiadają hasła (np. często konto Gość) oraz do zrobienia wyjątku dla danego konta od reguły "globalnej" ustawiającej ważność hasła. Opcja ta wyklucza pierwszą.
*
Dodatkowo możesz ustawić tylko z linki komend czy dla danego konta jest w ogóle wymagane hasło, domyślna wartość to hasło jest wymagane. Odpowiednia komenda : net user użytkownik /PASSWDORDREQ:
Dodatkowo możemy ustawić zasady haseł dla wszystkich kont na danym komputerze. Opcje te są dostępne poprzez "Panel sterowania" -> "Narzędzia administracyjne" -> "Zarządzanie komputerem" -> "Zasady zabezpieczeń lokalnych" -> "Zasady konta" -> "Zasady haseł" (lub po prostu secpol.msc).
Na powyższym obrazku pokazane są domyślne ustawienia "Zasady haseł", kolejne opcje zwiększające bezpieczeństwo kont są zawarte w "Zasady blokady konta". Oczywiście domyślne wartości są bardzo liberalne czyli często lepiej je zmieć. "Zasady konta" można również zmienić z wiersza poleceń używając komendy: net accounts z przełącznikami:
*
FORCELOGOFF:{minuty | NO}] - czas po jakim użytkownik zostanie wylogowany
*
MINPWLEN:długość - minimalna długość hasła (liczba znaków)
*
MAXPWAGE:{dni | UNLIMITED} - maksymalny okres ważności hasła (liczba sekund)
*
MINPWAGE:dni - minimalny okres ważności hasła (liczba dni)
*
UNIQUEPW:liczba - wymusza tworzenie historii haseł (liczna haseł w historii)
*
DOMAIN - zmiany tyczą domeny
Składnia wygląda np. tak: net accounts /MAXPWAGE:90 , czyli ustawia maksymalny okres ważności hasła na 90 dni (czas podany w dniach). Zauważ że powyższe zasady są globalne, nie ma możliwości zdefiniowania ich dla poszczególnych użytkowników.
Puste hasła
Standardowo w Windows XP konta nie posiadające haseł (czyli posiadające tzw. "puste hasła") są zablokowane na dostęp z sieci (wyjątek konto "Gość") ale lokalnie mogą się zalogować bez problemu. Czyli jeśli udostępniłeś jakiś udział dla konta zdefiniowanego na twoim systemie i nie nadąłeś temu kontu hasła to standardowo system nie wpuści takiego użytkownika poprzez sieć, ewentualnie przerzuci go na konto Gość. Oczywiście nie dotyczy to samego konta Gość. Jest to irytujące w np. sieciach domowych gdzie takie restrykcje nie są często potrzebne, a stają się wręcz niewygodne.
Żeby to zmienić przejdź do "Panel sterowania" -> "Narzędzia administracyjne" -> "Zarządzanie komputerem" -> "Zasady zabezpieczeń lokalnych" -> "Zasady lokalne -> "Opcje zabezpieczeń" (lub po prostu secpol.msc). Teraz pośród zasad zasad odnajdź "Konta: ogranicz używanie pustych haseł przez konta lokalne tylko do logowania do konsoli" i wybierz "Właściwości", Teraz możesz standardowo ustawioną opcje "Włączone" zmienić na "Wyłączone" czyli zezwolenie na puste hasła przy dostępie z sieci.
Uwaga: Blokowanie pustych haseł w Windows XP w standardowym ustawieniu ma na celu poprawę domyślnej polityki bezpieczeństwa systemu. Ustawiając opcje "Konta: ogranicz używanie pustych haseł przez konta lokalne tylko do logowania do konsoli" na "Wyłączone" zezwalasz na puste hasła w dostępie z sieci, a przez to zmniejszasz bezpieczeństwo systemu. Dlatego jeśli używasz tej opcji bądź tego świadom ewentualnych zagrożeń.
Uprawnienia i listy kontroli dostępu (ACL)
Systemy Windows z rodziny NT posiadają w przeciwieństwie do Windows 9x "prawdziwą" obsługę użytkowników i grup. Zarówno uprawnienia na poziomie udostępniania jak i na poziomie systemu plików NTFS bazują na listach kontroli dostępu (tzw.. ACL). Pozwalają one na bardzo szczegółowe zdefiniowanie uprawnień do poszczególnych obiektów (np. plików, katalogów, udostępnień). Ta szczegółowość wynika z dwu rzeczy:
*
Z dużej ilości rodzajów i ich szczegółowości uprawnień jakie można przypisać szczególnie na poziomie systemu plików NTFS.
*
Dlatego że uprawnienia można nadawać (Zezwalaj) ale i odbierać (Odmów).
Przydatność szczególnie tej drugiej zalety jest zrozumiała po zrozumieniu jak działają uprawnienia. Zaznaczenie pola "Zezwalaj" nadaje użytkownikowi (grupie) dane uprawnienia. Uprawnienia każdego użytkownika do danego obiektu są sumą uprawnień wynikających z praw jaki ma dany użytkownik oraz z praw jakie mają grupy do których on przynależy. Zaznaczenie "odmawiaj" ma zastosowanie wtedy gdyż temu użytkownikowi chcemy zabrać prawo do danego obiektu mimo posiadania przez niego praw wynikających z jego przynależności do danej grupy użytkowników. Czyli ujmując to inaczej jest to nadanie wyjątku ("Odmawiaj") od reguły ("Zezwól"). Mam nadzieje że jest to w jakimś sensie zrozumiałe, jeśli tak to jedziemy dalej ...-).
Z kolei uprawnienia do udziału (udostępnienia) sieciowego są wypadkową (różnicą) wynikającą z uprawnień nadanych na poziomie udziału oraz na poziomie systemu plików NTFS. Czyli zawsze zostaną zastosowane bardziej rygorystyczne uprawnienia. Oczywiście jeśli używasz partycji FAT to jedyną metodą nadawania uprawnień są uprawnienia na poziomie udziału. Te akurat cechy nie są niczym szczególnym (znaczy w Samba/Unix jest podobna zasada) ale warto o tym wiedzieć.
Kolejną cechą ACL jest to że uprawnienia do danego obiektu mogą być przypisywane dla wielu użytkowników i grup i każdy z nich może mieć inne prawa zupełnie nie powiązane z innymi użytkownikami lub grupami, które mają "cokolwiek wspólnego" z tym obiektem.
Uprawnienia udostępniania
Udostępniając zasób możesz każdemu użytkownikowi lub grupie przydzielić uprawnienia:
*
Pełna kontrola - Jak sama nazwa wskazuje użytkownik z takimi prawami posiada pełną swobodę działania, może tworzyć nowe pliki, odczytywać, modyfikować, zapisywać i usuwać już istniejące oraz zmieniać uprawnienia i przejmować na własność.. Nadawaj te uprawnienie ze szczególną ostrożnością.
*
Zmiana - Użytkownik posiada te same uprawnienia co Pełna kontrola poza prawem do zmiany uprawnień i przejmowania na własność, czyli może tworzyć nowe pliki, odczytywać, modyfikować, zapisywać i usuwać już istniejące.
*
Odczyt -Użytkownik posiada prawo do odczytywania plików (w tym ich uruchamiania), nie może tworzyć nowych plików i usuwać ani modyfikować już istniejących.
Uprawnienia systemu plików NTFS
Uprawnienia systemu plików NTFS pozwalają w bardzo precyzyjny sposób określić prawa do plików i katalogów w systemie Windows. Ze względu na swą precyzje a co za tym ilość możliwych uprawnień zostały one pogrupowane w celu szybkiej dostępu. I właśnie te grupy uprawnień ujrzysz po wyborze w menu kontekstowego pliku lub katalogu "Właściwości" i następnie zakładki "Zabezpieczenia" (jak na obrazku powyżej. Oczywiście jeśli potrzebujesz precyzyjnie określić co komu wolno lub nie, wybierz tutaj "Zaawansowane".
Zakładka "Zabezpieczenia" w Windows XP Professional
W systemie Windows XP Professional jeśli nie widzisz zakładki "Zabezpieczenia" we właściwościach plików i katalogów prawdopodobnie masz włączone proste udostępnianie plików. Aby wyłączyć proste udostępnianie plików przejdź do "Panel Sterowania" >> Opcje Folderów" i wybierz zakładkę "Widok". W "Ustawienia zaawansowane" ma nie może być zaznaczona opcja "Użyj prostego udostępniania". Od tej porty pojawi się zakładka we właściwościach plików i katalogów na partycji NTFS.
Zakładka "Zabezpieczenia" w Windows XP Home
W systemie Windows XP Home standardowo zakładka "Zabezpieczenia" we właściwościach plików i katalogów jest zablokowana. Możesz z tej zakładki skorzystać dopiero jeśli uruchomisz Windows XP Home w trybie awaryjnym gdzie będzie ona normalnie dostępna.
Możesz w prosty sposób uzyskać dostęp do owej zakładki "Zabezpieczenia" również w normalnym trybie pracy systemu. W tym celu należy pobrać plik scesp4i.exe ze serwera ftp://ftp.microsoft.com/bussys/winnt/winnt-public/tools/scm/, który defakto jest przeznaczony dla Windows NT 4.0. Po rozpakowaniu scesp4i.exe należy odnaleźć plik setup.inf, na który klikamy prawym przyciskiem myszy aby otworzyć menu kontekstowe i wybieramy z niego opcje "Zainstaluj". Podczas instalacji nie pozwalamy na podmianę biblioteki esent.dll. Opis dodatku który został wykorzystany znajdziesz w artykule SP4 Security Configuration Manager Available for Download - http://support.micro...195227&sd=tech.
Zamiast używać pliku scesp4i.exe możesz równie dobrze skorzystać z darmowego programu FaJo XP File Security Extension (XP FSE), który również odblokowuje zakładkę "Zabezpieczenia" w normalnym trybie pracy systemu. FaJo XP File Security Extension (XP FSE) możesz pobrać z jego strony domowej http://www.fajo.de/.
Niezależnie której metody użyjesz, od tej porty pojawi się zakładka we właściwościach plików i katalogów na partycji NTFS, również w normalnym trybie pracy systemu.
cacls/xcacls
Do zmiany uprawnień czyli list kontroli dostępu ACL plików z linii poleceń czyli w konsoli służy polecenie cacls. Oczywiście przeczytaj pomoc do tego polecenia, którą pokazano poniżej.
Jednak wygodniejszym narzędziem linii poleceń od cacls.exe jest zawarty w Resource Kit program xcacls.exe. Możesz pobrać xcacls z tej strony: http://www.microsoft...g/xcacls-o.asp.
Dokładny opis użycia xcacls znajdziesz w artykule bazy wiedzy Microsoft pod numerem 318754 - pt. "Używanie narzędzia Xcacls.exe do modyfikowania uprawnień systemu NTFS".
Do zarządzania użytkownikami w Windows 2000/XP/2003 można też użyć narzędzia "Zarządzanie komputerem" dostępnego w "Panel Sterowania" >> "Narzędzia administracyjne", który daje największe możliwości.
Użytkownicy i ich prawa
Prawa użytkowników do wykonywania poszczególnych czynności w systemie są uwarunkowane m.in. przez ich przynależność do poszczególnych grup, szczególnie to tyczy przypisania do standardowych grup istniejących w systemie. Standardowe grupy w systemach Windows 2000/XP/2003 posiadają czasem różne prawa do wykonywania pewnych czynności w tym tych związanych z siecią SMB czyli Otoczeniem sieciowym. Poniżej są wymienione te czynności i użytkownicy których grup posiadają do nich standardowo prawo.
*
Udostępnianie plików i drukarek - Administratorzy i Użytkownicy Zaawansowani
*
Dołączanie do domeny NT - Administratorzy
Niektóre z tych uprawnień można zmienić poprzez, polecam zapoznanie się z opcjami dostępnymi przez gpedit.msc i secpol.msc. Ciekawymi opcjami jest ograniczenie możliwości logowania się użytkowników tylko do określonych godzin oraz do logowania się z określonych hostów w sieci. Oczywiście szczególnie ta druga opcja jest tutaj przydatna przy udostępnianiu udziałów dla danego użytkownika. Do tego celu służy nam komenda wiersza poleceń net user z odpowiednimi parametrami. Poniżej pokazano wynik działania polecenia net user dla konkretnego użytkownika co wyświetliło nam ustawienia danego konta.
Dostęp do konta
Standardowo każdy użytkownik nowododany do systemu może się zalogować lokalnie na swoje konto jak i przez sieć SMB. Jest to wygodne ale czasem nie pożądane jest takie zachowanie. Dobrym rozwiązaniem jest dla kont, "sieciowych" przydzielić tylko dostęp z sieci, a dla kont "lokalnych" tylko dostęp lokalny. Żeby to uczynić przejdź do "Panelu sterowania" >> "Narzędzia administracyjne" >> "Ustawienia zabezpieczeń lokalnych" i wybieramy w nowo otwartym oknie "Zasady lokalne" i "Przypisywanie praw użytkownikom". Tera wybierz jedną z dwu zasad zależnie od rodzaju konta jaki ma być:
*
Odmowa dostępu dla tego komputera z sieci - Na tej liście nie może być użytkowników uprawnionych do dostępu z sieci czyli m.in. w większości wypadków nie powinno być tu konta "Gość" jeśli zezwalamy na dostęp gościny. Oczywiście jak jakiś użytkownik lub grupa ma nie mieć dostępu z sieci należy go tutaj dodać.
*
Odmowa logowania lokalnego - Na tej liście nie może być użytkowników uprawnionych do dostępu lokalnego. Oczywiście jak jakiś użytkownik lub grupa ma nie mieć dostępu do lokalnego logowania należy go tutaj dodać.
Określenie godzin logowania dla danego użytkownika
Komenda net user [użytkownik] /times:
net user dominik /times:Mo,16-20;Fr,9-12
Oczywiście wprowadzone ograniczenia czasowe można cofnąć
net user dominik /times:ALL
Czyli parametr /times:ALL oznacza że użytkownik może się zawsze zalogować (standardowe zachowanie), ale brak wartości parametru oznacza że użytkownik nigdy nie może się zalogować.
Określenie listy komputerów z jakich dany użytkownik może się logować
Komenda net user [użytkownik] /WORKSTATIONS:
net user dominik /WORKSTATIONS:archiwum,192.168.1.20
Oczywiście wprowadzone ograniczenia do logowania się z określonych komputerów można cofnąć
net user dominik /WORKSTATIONS:*
Czyli parametr /WORKSTATIONS:* oznacza że użytkownik może się zalogować z każdego komputera, to samo można osiągnąć pisząc po prostu /WORKSTATIONS: .
Ograniczenia tyczące haseł użytkowników
Dla użytkowników można wprowadzić różne ograniczenia związane z hasłami. Część ograniczeń definiuje się indywidualnie dla każdego użytkownika, można to już zrobić przy zakładaniu konta lub na już istniejącym koncie. Opcje te są dostępne poprzez "Panel sterowania" -> "Narzędzia administracyjne" -> "Zarządzanie komputerem" -> "Użytkownicy i grupy lokalne" -> "Użytkownicy" (lub po prostu compmgmt.msc).
Jak widać powyżej w oknie dialogowym danego użytkownika, możesz ustawić:
*
Użytkownik musi zmienić hasło przy następnym logowaniu - opcja szczególnie przydatna dla nowo założonych kont lub gdy z jakiś powodów chcemy wymusić zmianę hasła (np. zaostrzenie polityki haseł). Opcja ta wyklucza dwie następne.
*
Użytkownik nie może zmienić hasła - opcja przydatna dla kont które nie posiadają hasła (np. często konto Gość). Opcja ta wyklucza pierwszą. Odpowiednia komenda : net user użytkownik /PASSWDORDCHG:
*
Hasło nigdy nie wygasa - opcja przydatna dla kont które nie posiadają hasła (np. często konto Gość) oraz do zrobienia wyjątku dla danego konta od reguły "globalnej" ustawiającej ważność hasła. Opcja ta wyklucza pierwszą.
*
Dodatkowo możesz ustawić tylko z linki komend czy dla danego konta jest w ogóle wymagane hasło, domyślna wartość to hasło jest wymagane. Odpowiednia komenda : net user użytkownik /PASSWDORDREQ:
Dodatkowo możemy ustawić zasady haseł dla wszystkich kont na danym komputerze. Opcje te są dostępne poprzez "Panel sterowania" -> "Narzędzia administracyjne" -> "Zarządzanie komputerem" -> "Zasady zabezpieczeń lokalnych" -> "Zasady konta" -> "Zasady haseł" (lub po prostu secpol.msc).
Na powyższym obrazku pokazane są domyślne ustawienia "Zasady haseł", kolejne opcje zwiększające bezpieczeństwo kont są zawarte w "Zasady blokady konta". Oczywiście domyślne wartości są bardzo liberalne czyli często lepiej je zmieć. "Zasady konta" można również zmienić z wiersza poleceń używając komendy: net accounts z przełącznikami:
*
FORCELOGOFF:{minuty | NO}] - czas po jakim użytkownik zostanie wylogowany
*
MINPWLEN:długość - minimalna długość hasła (liczba znaków)
*
MAXPWAGE:{dni | UNLIMITED} - maksymalny okres ważności hasła (liczba sekund)
*
MINPWAGE:dni - minimalny okres ważności hasła (liczba dni)
*
UNIQUEPW:liczba - wymusza tworzenie historii haseł (liczna haseł w historii)
*
DOMAIN - zmiany tyczą domeny
Składnia wygląda np. tak: net accounts /MAXPWAGE:90 , czyli ustawia maksymalny okres ważności hasła na 90 dni (czas podany w dniach). Zauważ że powyższe zasady są globalne, nie ma możliwości zdefiniowania ich dla poszczególnych użytkowników.
Puste hasła
Standardowo w Windows XP konta nie posiadające haseł (czyli posiadające tzw. "puste hasła") są zablokowane na dostęp z sieci (wyjątek konto "Gość") ale lokalnie mogą się zalogować bez problemu. Czyli jeśli udostępniłeś jakiś udział dla konta zdefiniowanego na twoim systemie i nie nadąłeś temu kontu hasła to standardowo system nie wpuści takiego użytkownika poprzez sieć, ewentualnie przerzuci go na konto Gość. Oczywiście nie dotyczy to samego konta Gość. Jest to irytujące w np. sieciach domowych gdzie takie restrykcje nie są często potrzebne, a stają się wręcz niewygodne.
Żeby to zmienić przejdź do "Panel sterowania" -> "Narzędzia administracyjne" -> "Zarządzanie komputerem" -> "Zasady zabezpieczeń lokalnych" -> "Zasady lokalne -> "Opcje zabezpieczeń" (lub po prostu secpol.msc). Teraz pośród zasad zasad odnajdź "Konta: ogranicz używanie pustych haseł przez konta lokalne tylko do logowania do konsoli" i wybierz "Właściwości", Teraz możesz standardowo ustawioną opcje "Włączone" zmienić na "Wyłączone" czyli zezwolenie na puste hasła przy dostępie z sieci.
Uwaga: Blokowanie pustych haseł w Windows XP w standardowym ustawieniu ma na celu poprawę domyślnej polityki bezpieczeństwa systemu. Ustawiając opcje "Konta: ogranicz używanie pustych haseł przez konta lokalne tylko do logowania do konsoli" na "Wyłączone" zezwalasz na puste hasła w dostępie z sieci, a przez to zmniejszasz bezpieczeństwo systemu. Dlatego jeśli używasz tej opcji bądź tego świadom ewentualnych zagrożeń.
Uprawnienia i listy kontroli dostępu (ACL)
Systemy Windows z rodziny NT posiadają w przeciwieństwie do Windows 9x "prawdziwą" obsługę użytkowników i grup. Zarówno uprawnienia na poziomie udostępniania jak i na poziomie systemu plików NTFS bazują na listach kontroli dostępu (tzw.. ACL). Pozwalają one na bardzo szczegółowe zdefiniowanie uprawnień do poszczególnych obiektów (np. plików, katalogów, udostępnień). Ta szczegółowość wynika z dwu rzeczy:
*
Z dużej ilości rodzajów i ich szczegółowości uprawnień jakie można przypisać szczególnie na poziomie systemu plików NTFS.
*
Dlatego że uprawnienia można nadawać (Zezwalaj) ale i odbierać (Odmów).
Przydatność szczególnie tej drugiej zalety jest zrozumiała po zrozumieniu jak działają uprawnienia. Zaznaczenie pola "Zezwalaj" nadaje użytkownikowi (grupie) dane uprawnienia. Uprawnienia każdego użytkownika do danego obiektu są sumą uprawnień wynikających z praw jaki ma dany użytkownik oraz z praw jakie mają grupy do których on przynależy. Zaznaczenie "odmawiaj" ma zastosowanie wtedy gdyż temu użytkownikowi chcemy zabrać prawo do danego obiektu mimo posiadania przez niego praw wynikających z jego przynależności do danej grupy użytkowników. Czyli ujmując to inaczej jest to nadanie wyjątku ("Odmawiaj") od reguły ("Zezwól"). Mam nadzieje że jest to w jakimś sensie zrozumiałe, jeśli tak to jedziemy dalej ...-).
Z kolei uprawnienia do udziału (udostępnienia) sieciowego są wypadkową (różnicą) wynikającą z uprawnień nadanych na poziomie udziału oraz na poziomie systemu plików NTFS. Czyli zawsze zostaną zastosowane bardziej rygorystyczne uprawnienia. Oczywiście jeśli używasz partycji FAT to jedyną metodą nadawania uprawnień są uprawnienia na poziomie udziału. Te akurat cechy nie są niczym szczególnym (znaczy w Samba/Unix jest podobna zasada) ale warto o tym wiedzieć.
Kolejną cechą ACL jest to że uprawnienia do danego obiektu mogą być przypisywane dla wielu użytkowników i grup i każdy z nich może mieć inne prawa zupełnie nie powiązane z innymi użytkownikami lub grupami, które mają "cokolwiek wspólnego" z tym obiektem.
Uprawnienia udostępniania
Udostępniając zasób możesz każdemu użytkownikowi lub grupie przydzielić uprawnienia:
*
Pełna kontrola - Jak sama nazwa wskazuje użytkownik z takimi prawami posiada pełną swobodę działania, może tworzyć nowe pliki, odczytywać, modyfikować, zapisywać i usuwać już istniejące oraz zmieniać uprawnienia i przejmować na własność.. Nadawaj te uprawnienie ze szczególną ostrożnością.
*
Zmiana - Użytkownik posiada te same uprawnienia co Pełna kontrola poza prawem do zmiany uprawnień i przejmowania na własność, czyli może tworzyć nowe pliki, odczytywać, modyfikować, zapisywać i usuwać już istniejące.
*
Odczyt -Użytkownik posiada prawo do odczytywania plików (w tym ich uruchamiania), nie może tworzyć nowych plików i usuwać ani modyfikować już istniejących.
Uprawnienia systemu plików NTFS
Uprawnienia systemu plików NTFS pozwalają w bardzo precyzyjny sposób określić prawa do plików i katalogów w systemie Windows. Ze względu na swą precyzje a co za tym ilość możliwych uprawnień zostały one pogrupowane w celu szybkiej dostępu. I właśnie te grupy uprawnień ujrzysz po wyborze w menu kontekstowego pliku lub katalogu "Właściwości" i następnie zakładki "Zabezpieczenia" (jak na obrazku powyżej. Oczywiście jeśli potrzebujesz precyzyjnie określić co komu wolno lub nie, wybierz tutaj "Zaawansowane".
Zakładka "Zabezpieczenia" w Windows XP Professional
W systemie Windows XP Professional jeśli nie widzisz zakładki "Zabezpieczenia" we właściwościach plików i katalogów prawdopodobnie masz włączone proste udostępnianie plików. Aby wyłączyć proste udostępnianie plików przejdź do "Panel Sterowania" >> Opcje Folderów" i wybierz zakładkę "Widok". W "Ustawienia zaawansowane" ma nie może być zaznaczona opcja "Użyj prostego udostępniania". Od tej porty pojawi się zakładka we właściwościach plików i katalogów na partycji NTFS.
Zakładka "Zabezpieczenia" w Windows XP Home
W systemie Windows XP Home standardowo zakładka "Zabezpieczenia" we właściwościach plików i katalogów jest zablokowana. Możesz z tej zakładki skorzystać dopiero jeśli uruchomisz Windows XP Home w trybie awaryjnym gdzie będzie ona normalnie dostępna.
Możesz w prosty sposób uzyskać dostęp do owej zakładki "Zabezpieczenia" również w normalnym trybie pracy systemu. W tym celu należy pobrać plik scesp4i.exe ze serwera ftp://ftp.microsoft.com/bussys/winnt/winnt-public/tools/scm/, który defakto jest przeznaczony dla Windows NT 4.0. Po rozpakowaniu scesp4i.exe należy odnaleźć plik setup.inf, na który klikamy prawym przyciskiem myszy aby otworzyć menu kontekstowe i wybieramy z niego opcje "Zainstaluj". Podczas instalacji nie pozwalamy na podmianę biblioteki esent.dll. Opis dodatku który został wykorzystany znajdziesz w artykule SP4 Security Configuration Manager Available for Download - http://support.micro...195227&sd=tech.
Zamiast używać pliku scesp4i.exe możesz równie dobrze skorzystać z darmowego programu FaJo XP File Security Extension (XP FSE), który również odblokowuje zakładkę "Zabezpieczenia" w normalnym trybie pracy systemu. FaJo XP File Security Extension (XP FSE) możesz pobrać z jego strony domowej http://www.fajo.de/.
Niezależnie której metody użyjesz, od tej porty pojawi się zakładka we właściwościach plików i katalogów na partycji NTFS, również w normalnym trybie pracy systemu.
cacls/xcacls
Do zmiany uprawnień czyli list kontroli dostępu ACL plików z linii poleceń czyli w konsoli służy polecenie cacls. Oczywiście przeczytaj pomoc do tego polecenia, którą pokazano poniżej.
Jednak wygodniejszym narzędziem linii poleceń od cacls.exe jest zawarty w Resource Kit program xcacls.exe. Możesz pobrać xcacls z tej strony: http://www.microsoft...g/xcacls-o.asp.
Dokładny opis użycia xcacls znajdziesz w artykule bazy wiedzy Microsoft pod numerem 318754 - pt. "Używanie narzędzia Xcacls.exe do modyfikowania uprawnień systemu NTFS".
#5
Posted 23 January 2010 - 17:28
Ja bym na Twoim miejscu oprócz dokładniejszego zabezpieczenia zainstalował program do obserwacji systemu i sieci co jest wykonywane podczas Twojej nieobecności.
#6
Posted 17 February 2010 - 23:41
ale po tym fakcie zalogowałaś się na swoje hasło??
pytam ponieważ w Windows podglądniecie hasła nie jest takie proste jest ono zaszyfrowane i trzeba by trochę czasu na jego złamanie.
są oczywiście takie płytki do łamania haseł ale one po prostu wywalają hasło, a to byś raczej zauważyła, że dotychczasowe hasło przestało już działać
może siostra zwyczajnie zauważyła, podejrzała, gdzieś jakie masz hasło i tyle
zmień hasło, siostrę dodaj do grupy urzytkownicy, za pomocą ACL zabroń całkowitego jej dostępu do folderu z GG itp. ewentualnie możesz zaszyfrować foldery np. przy pomocy narzędzi Windows'owych ale tu jak nie zabezpieczysz certyfikatu to przy ponownej instalacji Windowsa sama się nie dostaniesz do tych folderów więc trzeb uwarzać
Pozdrawiam
pytam ponieważ w Windows podglądniecie hasła nie jest takie proste jest ono zaszyfrowane i trzeba by trochę czasu na jego złamanie.
są oczywiście takie płytki do łamania haseł ale one po prostu wywalają hasło, a to byś raczej zauważyła, że dotychczasowe hasło przestało już działać
może siostra zwyczajnie zauważyła, podejrzała, gdzieś jakie masz hasło i tyle
zmień hasło, siostrę dodaj do grupy urzytkownicy, za pomocą ACL zabroń całkowitego jej dostępu do folderu z GG itp. ewentualnie możesz zaszyfrować foldery np. przy pomocy narzędzi Windows'owych ale tu jak nie zabezpieczysz certyfikatu to przy ponownej instalacji Windowsa sama się nie dostaniesz do tych folderów więc trzeb uwarzać
Pozdrawiam
0 user(s) are reading this topic
0 members, 0 guests, 0 anonymous users