Bezpieczeństwo W Windows Server 2003. Kompendium

IDZ DO
PRZYKADOWY ROZDZIA
SPIS TRECI
KATALOG KSIEK
KATALOG ONLINE
ZAMW DRUKOWANY KATALOG
Bezpieczestwo w Windows
Server 2003. Kompendium
Autor: Roberta Bragg
Tumaczenie: Pawe Gonera, Piotr Pilch
ISBN: 83-246-0232-1
Tytu oryginau: Windows Server
2003 Security: A Technical Reference
Format: B5, stron: 1170
TWJ KOSZYK
DODAJ DO KOSZYKA
CENNIK I INFORMACJE
ZAMW INFORMACJE
O NOWOCIACH
ZAMW CENNIK
CZYTELNIA
FRAGMENTY KSIEK ONLINE
We wspczesnym wiecie, w ktrym informacja jest najcenniejszym towarem,

bezpieczestwo danych to jedno z najwaniejszych zagadnie spdzajcych sen
z powiek administratorom serwerw i systemw. Mechanizmy zabezpiecze oferowane
przez system operacyjny powinny zosta odpowiednio skonfigurowane i wykorzystane
we waciwy sposb. Sama wiedza na ich temat to zdecydowanie za mao.
Naley pozna nie tylko zagadnienia zwizane z ich stosowaniem, ale rwnie zasady
oglnej polityki bezpieczestwa, doboru identyfikatorw i hase sieciowych oraz
korzystania z zabezpiecze takich, jak klucze publiczne.
Ksika Bezpieczestwo w Windows Server 2003. Kompendium to praktyczny
przewodnik po tych kwestiach. Autorka ksiki, ceniona specjalistka w zakresie
bezpieczestwa systemw operacyjnych z rodziny Windows, przedstawia w niej
informacje niezbdne, aby skutecznie zabezpieczy sie i serwery. Porusza wszystkie
zagadnienia zwizane z projektowaniem, wdraaniem, diagnozowaniem lub
konfigurowaniem zabezpiecze systemu Windows Server 2003 lub sieci,
w ktrych znajduj si komputery z tym systemem.
W ksice poruszono midzy innymi:
Wydawnictwo Helion
ul. Chopina 6
44-100 Gliwice
tel. (32)230-98-63
e-mail: helion@helion.pl
Zasady bezpieczestwa informacji

Uwierzytelnianie za pomoc protokow LM i Kerberos
Kontrola dostpu na poziomie uprawnie
Zabezpieczanie aplikacji i danych
Wykorzystanie usugi Active Directory
Tworzenie, wdraanie i diagnozowanie zasad grupy
Stosowanie mechanizmw klucza publicznego (PKI)
Zabezpieczanie zdalnego dostpu do serwera
Archiwizacja i odtwarzanie danych
Wykrywanie wama i reagowanie na ataki
Zmie swoj sie w twierdz nie do zdobycia
Podzikowania ...........................................................................................17
O autorze ....................................................................................................19
Przedmowa ................................................................................................21
CZ II
Podstawy zabezpiecze
27
Rozdzia 1. Zasady dotyczce bezpieczestwa informacji ............................................29

Zasada numer jeden: nie ma czego takiego jak bezpieczny komputer .......30
Klasyczne zasady dotyczce zabezpiecze: poufno, integralno i inspekcja
......................................................................................................................32
Poufno ......................................................................................................... 32
Integralno .................................................................................................... 34
Inspekcja ........................................................................................................ 35
Wnioski: zasady powstae na bazie zasad klasycznych .................................36
Rozbudowana ochrona ................................................................................... 36
Psychologiczna akceptacja ............................................................................. 39
Zasada najmniejszych przywilejw ............................................................... 40
Wdraanie zasad zabezpiecze ..................................................................... 41
Podzia obowizkw ....................................................................................... 42
Cakowita mediacja ........................................................................................ 42
Aktualizowanie na bieco ............................................................................. 43
Uycie otwartych rozwiza .......................................................................... 43
Zmniejszenie pola ataku ................................................................................ 44
Bezpieczestwo w Windows Server 2003. Kompendium
Domylne zabezpieczenia awaryjne .............................................................. 44

Jednoczesne ufanie i kontrolowanie .............................................................. 45
Szkolenie i uwiadamianie kadego .............................................................. 45
Ekonomia i rnorodno mechanizmw ..................................................... 45
CZ II
Zabezpieczanie serwera
47
Rozdzia 2. Uwierzytelnianie: dowd tosamoci ........................................................49

Proces logowania ...........................................................................................51
Typy logowania .............................................................................................. 53
Proces logowania interaktywnego ................................................................. 54
Uwierzytelnianie w domenie i sieci .............................................................. 55
Procesy uwierzytelniania w sieci ...................................................................56
Protok LM ................................................................................................... 57
Protok Kerberos .......................................................................................... 68
Konfigurowanie protokou Kerberos za pomoc jego zasad ........................ 83
Certyfikaty, karty inteligentne, etony i dane biometryczne ....................... 84
Usuga czasu systemu Windows ....................................................................86
Konta komputerw i kontrolowanie uwierzytelniania ..................................89
Tworzenie kont komputerw i ich hasa ....................................................... 89
Przetwarzanie kont komputerw ................................................................... 90
Dostp anonimowy ........................................................................................92
Zarzdzanie uwierzytelnianiem za pomoc zasad grupy ..............................93
Zasady konta ................................................................................................... 93
Zasady hase ................................................................................................... 98
Zasady blokady konta ..................................................................................... 98
Ograniczenia konta uytkownika ................................................................. 100
Zasady kont lokalnych i dysk resetowania hasa ......................................... 102
Uwierzytelnianie w lesie i midzy lasami ...................................................104
Relacja zaufania obszaru .............................................................................. 105
Najlepsze praktyki dotyczce zabezpieczania uwierzytelniania .................106
Podsumowanie .............................................................................................107
Rozdzia 3. Autoryzacja ograniczanie dostpu do systemu
i kontrolowanie dziaa uytkownika ......................................................109
Architektura zabezpiecze systemu Windows i proces autoryzacji ...........111
Prawa, przywileje i uprawnienia .................................................................115
Prawa wbudowane ....................................................................................... 115
Prawa logowania ........................................................................................... 116
Dodawanie i usuwanie predefiniowanych praw uytkownika ................... 127
Zalecenia dotyczce ograniczania praw ...................................................... 129
Najlepsze praktyki dotyczce przypisywania praw uytkownika ............... 133
Spis treci
Kontrola dostpu za pomoc uprawnie do obiektw ................................134

Podstawowe informacje na temat uprawnie ............................................. 135
czenie uprawnie ..................................................................................... 138
Najlepsze praktyki dotyczce przypisywania uprawnie do obiektw ...... 140
Uprawnienia drukarki i prawo wasnoci do niej ....................................... 140
Porwnanie systemw kontroli dostpu opartych na reguach i rolach .....144
Zastosowanie w sieci z serwerami z systemem Windows Server 2003
kontroli dostpu opartej na rolach .......................................................... 145
Domylne role systemu operacyjnego .........................................................147
Domylne konta uytkownikw ................................................................... 148
Systemowe konta uytkownikw ................................................................. 149
Grupy ............................................................................................................ 150
Zakres grupy ................................................................................................. 153
Zarzdzanie uytkownikami i grupami ....................................................... 154
Tworzenie niestandardowych rl ................................................................159
Tworzenie dla rl niestandardowych grup ..................................................160
Najlepsze praktyki dotyczce lokalnych uytkownikw i grup .................. 161
Proces kontroli dostpu ...............................................................................162
Zarzdzanie informacjami zastrzeonymi ................................................... 164
Autoryzacja za pomoc opcji zabezpiecze i wpisw rejestru ....................164
Role komputerowe .......................................................................................168
Dostp anonimowy ......................................................................................169
Podmioty zabezpiecze, autoryzacja i dostp anonimowy ......................... 169
Anonimowy dostp do zasobw ................................................................... 170
Oglnie znane identyfikatory SID .............................................................. 172
Ochrona bazy danych hase kont przy uyciu narzdzia Syskey ................181
Podsumowanie .............................................................................................184
Rozdzia 4. Ograniczanie dostpu do oprogramowania

i kontrolowanie dostpu aplikacji do zasobw .......................................185
Narzdzie Meneder autoryzacji .................................................................187
Podstawowe informacje na temat narzdzia Meneder autoryzacji .......... 191
Inspekcja narzdzia Meneder autoryzacji ................................................. 211
Zarzdzanie narzdziem Meneder autoryzacji ......................................... 212
Zasady ogranicze oprogramowania ...........................................................213
Moliwoci zasad ogranicze oprogramowania .......................................... 214
Podstawowe informacje dotyczce zasad ogranicze oprogramowania .... 215
Tworzenie i stosowanie zasad ogranicze oprogramowania ...................... 217
Rozwizywanie problemw zwizanych z zasadami ogranicze
oprogramowania ....................................................................................... 236
Najlepsze praktyki dotyczce zasad ogranicze oprogramowania ............. 238
Zabezpieczanie aplikacji COM, COM+ i DCOM
za pomoc usugi Usugi skadowe ..........................................................240
Podsumowanie .............................................................................................254
Rozdzia 5. Kontrolowanie dostpu do danych ..........................................................257

Kontrolowanie dostpu do plikw i folderw
za pomoc uprawnie NTFS ...................................................................258
Uprawnienia do plikw i folderw .............................................................. 259
Domylne uprawnienia ................................................................................ 263
Interpretowanie uprawnie ......................................................................... 266
Struktura systemu plikw NTFS dysku ...................................................... 266
Dziedziczenie uprawnie ............................................................................ 267
Porwnanie atrybutw i wydajnoci systemu plikw NTFS z jego
zabezpieczeniami ..................................................................................... 280
Kontrolowanie dostpu do udziaw ...........................................................281
Uprawnienia udziaw ................................................................................. 283
Tryb udostpniania plikw i drukarek ........................................................ 283
Domylne udziay ........................................................................................ 284
Proste udostpnianie plikw nowy model stworzony dla systemu
Windows XP ............................................................................................. 285
Tworzenie udziaw ..................................................................................... 288
Zdalne zarzdzanie udziaami ..................................................................... 291
Najlepsze praktyki dotyczce udostpniania plikw i drukarek ................ 291
Kontrolowanie dostpu do folderw sieci Web za pomoc protokou
WebDAV ..................................................................................................293
Uaktywnianie protokou WebDAV ............................................................. 297
Tworzenie folderu przeznaczonego do udostpnienia i przypisanie mu
uprawnie NTFS ...................................................................................... 297
Tworzenie katalogu wirtualnego ................................................................. 297
Konfigurowanie zabezpiecze dla katalogu wirtualnego ........................... 299
Konfigurowanie klienta ................................................................................ 300
Kontrolowanie dostpu do kluczy rejestru .................................................301
Domylne uprawnienia do rejestru ............................................................. 301
Stosowanie uprawnie do rejestru .............................................................. 303
Praktyczne zagadnienia zwizane z wdraaniem zabezpiecze .................305
Kwestie dotyczce uprawnie starszych aplikacji ...................................... 305
Alternatywne strumienie danych ................................................................ 308
Definiowanie uprawnie za pomoc szablonw zabezpiecze .................. 311
Przywracanie i odporno na bdy ............................................................. 312
Klastry ........................................................................................................... 312
System DFS ................................................................................................. 313
Skuteczne zarzdzanie opcjami zabezpiecze i prawami uytkownikw .. 314
Kontrolowanie dostpu do dziennikw zdarze ......................................... 316
Podsumowanie .............................................................................................318
Spis treci
Rozdzia 6. System EFS podstawy ..........................................................................319

Czym jest System szyfrowania plikw EFS? ..............................................320
Rnice midzy wersjami systemu Windows
dotyczce funkcji szyfrowania ..................................................................321
Podstawowe operacje ...................................................................................322
Szyfrowanie i odszyfrowywanie ................................................................... 324
Archiwizowanie certyfikatw i kluczy ......................................................... 328
Importowanie certyfikatu i kluczy ............................................................... 333
Usuwanie klucza prywatnego ...................................................................... 334
Przywracanie plikw .................................................................................... 335
Uzyskiwanie kluczy szyfrujcych ................................................................ 336
Dodawanie agenta przywracania ................................................................. 337
Wpyw standardowych operacji na zaszyfrowane pliki ...............................338
Architektura systemu EFS ..........................................................................340
Operacje wykonywane przez system plikw .............................................. 341
Algorytmy szyfrowania, odszyfrowywania i przywracania ......................... 343
Typy i sia szyfrowania ................................................................................. 346
Zapobieganie utracie danych planowanie przywracania ........................347
Plan przywracania dla komputerw autonomicznych
i domen pozbawionych urzdw certyfikacji .......................................... 348
Zasada przywracania i wyczanie systemu EFS ........................................ 350
Narzdzia suce do przywracania ............................................................. 354
Specjalne kwestie i operacje ........................................................................356
Zmiana algorytmu szyfrowania .................................................................... 356
Umieszczenie w menu programu Eksplorator Windows
polece Szyfruj i Odszyfruj ..................................................................... 357
Archiwizowanie zaszyfrowanych plikw ..................................................... 357
Przetwarzanie plikw trybu offline ............................................................. 358
Udostpnianie zaszyfrowanych plikw ....................................................... 358
Ochrona przed skutkami resetowania hasa ................................................ 362
Wyrnianie kolorami nazw zaszyfrowanych plikw i folderw
w oknie programu Eksplorator Windows ................................................. 363
Stosowanie zewntrznych certyfikatw systemu EFS .................................... 364
System EFS i funkcja Przywracanie systemu ............................................. 364
Wykrywanie i przegldanie certyfikatw .................................................... 364
Magazyn zdalny ...........................................................................................365
Udziay SMB ................................................................................................ 366
Protok WebDAV ....................................................................................... 368
Pewne strategie dla przedsibiorstwa .........................................................368
Narzdzia .....................................................................................................370
Program cipher ............................................................................................. 370
Program esfinfo ............................................................................................ 372
Rozwizywanie problemw .........................................................................372
Podsumowanie .............................................................................................373
10
CZ III
Zabezpieczanie usug domeny
375
Rozdzia 7. Rola usugi Active Directory w bezpieczestwie domeny ........................377

Usuga Active Directory a bezpieczestwo .................................................378
Organizacja, struktura i funkcje usugi Active Directory ...........................379
Struktura hierarchiczna ............................................................................... 380
Replikacja ..................................................................................................... 384
Zasady grupy ................................................................................................ 386
Delegowanie uprawnie administracyjnych ............................................... 391
Zaleno od usugi DNS ............................................................................ 392
Instalacja usugi Active Directory:
zmiany w czasie wykonywania dcpromo .................................................393
Zarzdzanie uytkownikami i komputerami za pomoc usugi Active
Directory ..................................................................................................397
Wpyw domylnego obiektu GPO ............................................................... 398
Tworzenie i konfigurowanie uytkownikw, grup
i komputerw w domenach usugi Active Directory ................................ 400
Delegowanie administracji uycie Kreatora delegowania kontroli ....... 413
Poznajemy listy ACL usugi Active Directory ............................................ 418
Narzdzia zasad grupy .................................................................................425
Edytor zasad grupy ...................................................................................... 426
Konsola Group Policy Management ............................................................ 439
Rnice w zarzdzaniu obiektami GPO w Windows 2000 .........................463
Najlepsze praktyki dotyczce zasad grupy ..................................................463
Podsumowanie .............................................................................................464
Rozdzia 8. Zaufanie ...................................................................................................465
Nowe funkcje zaufania w Windows Server 2003 ........................................466
Typy zaufania ...............................................................................................467
Midzydomenowe relacje zaufania Kerberos ............................................. 468
Skrt zaufania ............................................................................................... 469
Zaufania Windows NT 4.0 ........................................................................... 470
Z .................................................................................................................... 471
Relacje zaufania z obszarem Kerberos innym ni Windows ...................... 473
Zaufanie lasu ................................................................................................ 474
Relacje zaufania ...........................................................................................474
Zalety zaufania lasu ...................................................................................... 475
Poziom funkcjonalnoci lasu i domeny ....................................................... 480
Zakres grupy ................................................................................................. 489
Typy grup ..................................................................................................... 489
Grupy przedsibiorstwa ............................................................................... 490
Funkcja wykazu globalnego ......................................................................... 491
Procedury tworzenia zewntrznych relacji zaufania ...................................495
Tworzenie zewntrznej relacji zaufania ...................................................... 497
Tworzenie zewntrznego zaufania z domen Windows NT 4.0 ................ 502
Spis treci
11
Zaufanie lasu ................................................................................................507

Przychodzce i wychodzce zaufania lasu .................................................. 508
Uwierzytelnianie i autoryzacja midzy lasami ............................................ 510
Tworzenie zaufania lasu ............................................................................... 511
Zabezpieczanie lasw w relacji zaufania midzy lasami
przed atakiem podnoszcym uprawnienia .............................................. 516
Zasady grupy w scenariuszach z lasem i wieloma lasami ...........................517
Zastosowanie konsoli GPMC w lasach wielodomenowych
oraz w wielu lasach .................................................................................. 518
Zastosowanie tabel migracji ......................................................................... 519
Przebijanie granic zabezpiecze
zasadniczy problem przy projektowaniu lasu .....................................523
Filtrowanie identyfikatorw SID przechwytywanie faszywych
identyfikatorw SID ................................................................................ 525
Uwierzytelnianie selektywne firewall zaufania ...................................... 527
Najlepsze praktyki zaufania .........................................................................527
Podsumowanie .............................................................................................528
Rozdzia 9. Usuwanie problemw z zasadami grupy .................................................529

Okrelanie, czy zostay zastosowane zasady grupy .....................................533
Zastosowanie konsoli GPMC ....................................................................... 533
Zastosowanie wynikowego zbioru zasad ..................................................... 537
Zastosowanie GPResult ............................................................................... 539
Sprawdzanie, czy projekt zasad grupy
zosta prawidowo zaimplementowany ....................................................541
Rozwizywanie problemw z sieci ............................................................552
Rozwizywanie problemw z uwierzytelnianiem ....................................... 553
Rozwizywanie podstawowych problemw z sieci ...................................... 553
Rozwizywanie problemw z usug DNS ................................................. 554
Zastosowanie DCDIAG oraz NetDiag
do znalezienia problemw z usug DNS ............................................... 560
Zastosowanie programu Portqry ................................................................. 563
Rczne wyszukiwanie problemw w rekordach DNS ................................... 563
Wykorzystanie polecenia nslookup do testowania serwera DNS ............... 563
Analizowanie zdarze z dziennika systemowego ......................................... 564
Rozwizywanie problemw z replikacj usugi Active Directory
oraz FRS ....................................................................................................565
Problemy z relacjami zaufania ...................................................................... 565
Problemy z replikacj usugi Active Directory ............................................ 566
Zastosowanie programu DNSLint do testowania replikacji ....................... 567
Wykorzystanie replmon.exe do kontroli replikacji ...................................... 569
Zastosowanie repadmin.exe
do kontrolowania czy midzy partnerami replikacji ............................. 571
Uycie aplikacji GPOTool.exe, Podgld zdarze oraz konsoli GPMC
do kontroli brakujcych lub uszkodzonych plikw .................................. 577
Rozszerzone rejestrowanie ........................................................................... 577
12
Rozwizywanie problemw z projektem obiektw zasad grupy ..................586

Monitorowanie stanu obiektw GPO ...........................................................588
Podsumowanie ..............................................................................................591
Rozdzia 10. Zabezpieczanie usugi Active Directory .....................................................593

Fizyczne zabezpieczenie kontrolerw domeny .................................................595
Fizyczne bezpieczestwo wszystkich kontrolerw domeny ....................... 595
Fizyczne bezpieczestwo biur oddziaw i maych biur ............................. 602
Fizyczne bezpieczestwo ekstranetw i sieci brzegowych ......................... 607
Tworzenie konfiguracji zabezpiecze ..........................................................608
Podstawowa konfiguracja zabezpiecze kontrolera domeny ...................... 609
Konfiguracja szablonw zabezpiecze i zasad domeny ............................... 610
Zasady lokalne ............................................................................................... 617
Ustawienia dziennika zdarze ...................................................................... 624
Usugi systemowe ......................................................................................... 626
Rejestr i system plikw ................................................................................. 627
Dodatkowa konfiguracja zabezpiecze ........................................................630
Zapewnienie bezpiecznych praktyk administracyjnych ..............................630
Problemy z personelem ................................................................................ 631
Zabezpieczanie roli administratora .............................................................. 631
Zabezpieczenie aplikacji oraz dostpu uytkownikw
do kontrolerw domeny ............................................................................ 636
Wdraanie bezpiecznych kontrolerw domeny ...........................................637
Przygotowanie ............................................................................................... 638
Automatyzacja instalacji kontrolera domeny ............................................... 643
Bezpieczna replikacja ................................................................................... 644
Podsumowanie ..............................................................................................645
Rozdzia 11. Zabezpieczanie rl infrastruktury ..............................................................647
Szablony zabezpiecze .................................................................................648
Jak korzysta z szablonw zabezpiecze
do zabezpieczenia komputerw wedug roli ............................................651
Tworzenie i modyfikowanie szablonw ....................................................... 654
Tworzenie podstawowych szablonw
do zabezpieczania wszystkich serwerw .................................................. 657
Przegld przykadowych szablonw i ich dostosowanie
do konkretnego rodowiska ...................................................................... 659
Zastosowanie szablonw przyrostowych i innych technik
do zapewnienia bezpieczestwa komputerom infrastruktury ................. 671
Rozszerzanie koncepcji na inne role ............................................................ 684
Zastosowanie szablonw zabezpiecze ........................................................685
Zastosowanie projektu Active Directory
do zabezpieczenia rl komputerw .......................................................... 685
Zastosowanie narzdzia Konfiguracja i analiza zabezpiecze ..................... 687
Podsumowanie ..............................................................................................693
Spis treci
CZ IV
Infrastruktura klucza publicznego
13
695
Rozdzia 12. Infrastruktura PKI podstawy ................................................................697

Wprowadzenie do infrastruktury PKI ..........................................................698
Procesy kryptograficzne klucza publicznego ............................................... 698
Skadniki infrastruktury PKI ........................................................................ 702
Architektura infrastruktury PKI w Windows Server 2003 ..........................711
Magazyn certyfikatw ................................................................................... 712
Szablony certyfikatw ................................................................................... 714
Zasady praktyk oraz pliki zasad praktyk ....................................................... 720
Urzdy certyfikacji ........................................................................................ 723
Hierarchia urzdw certyfikacji ................................................................... 724
Lista odwoa certyfikatw (CRL) ................................................................ 728
Rnicowe listy CRL .................................................................................... 730
Role urzdu certyfikacji ................................................................................ 731
Dziaanie usug certyfikatw ........................................................................735
Cykl ycia certyfikatu .................................................................................... 735
Podsumowanie ..............................................................................................758
Rozdzia 13. Wdraanie bezpiecznej infrastruktury PKI .................................................761
Instalowanie gwnego urzdu certyfikacji w trybie offline ........................762
Przygotowanie serwera ................................................................................. 763
Tworzenie pliku capolicy.inf ........................................................................ 765
Instrukcja instalacji gwnego urzdu certyfikacji w trybie offline ............ 766
K 770
Instalowanie i konfiguracja podrzdnego urzdu certyfikacji .....................784
Instalowanie podrzdnego urzdu certyfikacji ............................................ 785
Wczenie obsugi ASP dla serwera IIS ....................................................... 785
Zastosowanie wasnych szablonw
do konfigurowania archiwizacji kluczy dla EFS ..............................................803
Podsumowanie ..............................................................................................809
CZ V
Zabezpieczanie sieci wirtualnej
811
Rozdzia 14. Zabezpieczanie zdalnego dostpu ............................................................813

Zabezpieczanie tradycyjnych usug zdalnego dostpu ................................814
Bezpieczna instalacja usugi RRAS i przygotowanie usugi IAS systemu
Windows Server 2003 ............................................................................... 815
Instalowanie i konfigurowanie usugi RRAS ............................................... 817
Instalowanie i konfigurowanie serwera IAS ................................................ 830
Konfigurowanie klientw na potrzeby korzystania
ze zdalnego dostpu .................................................................................. 836
14
Okrelanie waciwoci konta uytkownika

pod ktem zdalnego dostpu .................................................................... 836
Proces nawizywania poczenia zdalnego dostpu ....................................... 848
Konfigurowanie uwierzytelniania i inspekcji
dla serwerw RRAS i IAS ......................................................................... 849
Zastosowanie technologii VPN ..................................................................... 856
Protok L2TP/IPSec oraz technologie NAT i NAT-T ................................ 859
Porty firewalla uywane przez protokoy poczenia VPN ......................... 860
Kwarantannowa kontrola dostpu do sieci .................................................. 861
Zabezpieczanie dostpu bezprzewodowego za pomoc usugi IAS ............868
Wbudowane funkcje zabezpiecze protokou 802.11 ................................. 868
Standard WPA ............................................................................................... 870
Zastosowanie technologii VPN ..................................................................... 871
Zastosowanie standardu 802.1x .................................................................... 872
Zabezpieczanie klientw bezprzewodowych ............................................... 882
Zabezpieczanie dostpu do wewntrznych zasobw udzielanego
za porednictwem serwera WWW ...........................................................885
Podstawy dotyczce zabezpiecze serwera WWW ..................................... 885
Kwestie zwizane ze zdalnym dostpem ..................................................... 891
Podsumowanie ..............................................................................................894
Rozdzia 15. Ochrona przesyanych danych ...................................................................895

Zastosowanie podpisywania pakietw SMB .................................................896
Zastosowanie zabezpieczania sesji protokou NTLM ..................................897
Zastosowanie zasad protokou IPSec ...........................................................897
Stosowanie protokou IPSec w systemie Windows Server 2003 ................ 899
Tworzenie zasad protokou IPSec ................................................................ 905
Operacje realizowane za pomoc specjalnych zasad protokou IPSec ....... 924
Monitorowanie i diagnozowanie protokou IPSec ....................................... 927
Zastosowanie protokou SSL ........................................................................933
Zasady dziaania protokou SSL ................................................................... 933
Zastosowanie protokou SSL w przypadku serwera IIS .............................. 936
Podpisywanie przez serwer LDAP ...............................................................942
Podsumowanie ..............................................................................................945
CZ VI
Konserwacja i przywracanie
947
Rozdzia 16. Strategie konserwacyjne i praktyki administracyjne .................................949

Strategie konserwacyjne dotyczce zarzdzania zmianami .........................950
Konserwacja zasady zabezpiecze ............................................................... 951
Aktualizowanie zabezpiecze ....................................................................... 954
Strategie konserwacyjne dotyczce zarzdzania poprawkami .....................958
Zarzdzanie poprawkami .............................................................................. 958
Stosowanie poprawek ................................................................................... 962
Spis treci
15
Praktyki dotyczce zarzdzania ....................................................................987

Zastosowanie praktyk dotyczcych bezpiecznego zarzdzania ................... 987
Ochrona procesu administracyjnego ............................................................ 990
Ochrona kont administracyjnych .................................................................. 990
Zabezpieczanie narzdzi sucych do zdalnej administracji ..................... 991
Podsumowanie ............................................................................................1012
Rozdzia 17. Archiwizacja i odtwarzanie danych podstawy ...................................1013

Zasady, standardy i procedury dotyczce archiwizacji ..............................1015
Podstawowe informacje na temat archiwizowania
bazy danych usugi Active Directory ..................................................... 1016
Rola archiwizacji w planie utrzymania cigoci procesw
biznesowych organizacji ......................................................................... 1018
Zastosowanie narzdzia Kopia zapasowa ...................................................1018
Archiwizowanie plikw i folderw ............................................................. 1019
Archiwizowanie danych o stanie systemu .................................................. 1025
Domylne ustawienia programu Kopia zapasowa
i jego opcje konfiguracyjne ..................................................................... 1027
Uruchamianie programu Kopia zapasowa z poziomu wiersza polece .... 1030
Odtwarzanie plikw i folderw .................................................................. 1031
Odtwarzanie z kopii zapasowej danych o stanie systemu ......................... 1035
Automatyczne przywracanie systemu ........................................................1035
Usuga Kopiowanie woluminw w tle ........................................................1038
Tworzenie kopii woluminw w tle ............................................................. 1040
Odtwarzanie danych z kopii woluminw w tle .......................................... 1044
Zarzdzanie kopiami woluminw w tle z poziomu wiersza polece ........ 1045
Rne narzdzia archiwizacyjne .................................................................1046
Archiwizowanie danych istotnych dla uytkownika .................................... 1047
Reanimowanie uytkownikw z magazynu usunitych obiektw .............1052
Odtwarzanie bazy danych usugi Active Directory ...................................1053
Normalne odtwarzanie ................................................................................ 1055
Odtwarzanie autorytatywne ........................................................................ 1055
Proces archiwizacji danych serwera IIS ....................................................1062
Archiwizowanie danych urzdu certyfikacji ..............................................1064
Podsumowanie ............................................................................................1066
CZ VII Monitorowanie i inspekcja
1067
Rozdzia 18. Inspekcja .................................................................................................1069

Tworzenie zasad inspekcji Windows Server 2003 dla lasu ........................1072
Podstawy zasad inspekcji ............................................................................ 1073
Inspekcja autonomicznego komputera Windows Server 2003 ..................1092
16
Inspekcja aplikacji i usug serwera .............................................................1093

Inspekcja usug sieciowych ........................................................................ 1093
Inspekcja protokou IPSec .......................................................................... 1097
Inspekcja urzdu certyfikacji ...................................................................... 1097
Inspekcja dostpu VPN .............................................................................. 1098
Inspekcja menedera autoryzacji ............................................................... 1101
Rejestrowanie debugowania logowania do sieci ........................................ 1102
Inspekcja mechanizmw zabezpiecze: zgodno z zasadami,
okrelanie sabych punktw oraz testowanie przez penetracj ..............1103
Inspekcja konfiguracji zabezpiecze z uyciem konsoli Konfiguracja
i analiza zabezpiecze ............................................................................. 1105
Inspekcja konfiguracji zabezpiecze dla specyficznych komputerw ...... 1107
Wyszukiwanie znanych usterek zabezpiecze .......................................... 1109
Testowanie przez penetracj ...................................................................... 1114
Inspekcja zabezpiecze fizycznych ............................................................1115
Inspekcja zasad, standardw oraz procedur ...............................................1116
Kontrola wiadomoci bezpieczestwa ......................................................1117
Inspekcja osb obcych:
wpyw osb postronnych na bezpieczestwo danych organizacji .........1118
Podsumowanie ............................................................................................1118
Rozdzia 19. Monitorowanie i ocena ...........................................................................1119

Definicja podstaw dziaania ........................................................................1120
Podstawy usug monitorowania ..................................................................1122
Monitorowanie serwera DNS i pocze sieciowych ................................... 1122
Monitorowanie serwera DHCP ................................................................. 1127
Monitorowanie infrastruktury PKI ............................................................. 1128
Monitorowanie routingu i zdalnego dostpu ............................................. 1130
Monitorowanie udziaw ............................................................................ 1132
Monitorowanie wszystkich aktywnych usug ............................................. 1133
Monitorowanie usugi Active Directory oraz zasad grupy ........................1134
Zastosowanie dcdiag do uzyskania oglnego raportu
o stanie kontrolera domeny .................................................................... 1136
Monitorowanie replikacji usugi Active Directory .................................... 1140
Monitorowanie replikacji plikw ................................................................ 1147
Monitorowanie dziaania zasad grupy ........................................................ 1153
Zastosowanie monitorowania wydajnoci .................................................. 1156
Monitorowanie dziennika zdarze .............................................................1162
Zastosowanie programu EventCombMT ................................................... 1162
Zastosowanie programu Lockoutstatus ...................................................... 1164
Wprowadzenie do odpowiedzi na wamanie ..............................................1165
Podsumowanie ............................................................................................1167
Bibliografia ..............................................................................................1169
Skorowidz ................................................................................................1171
ROZDZIA 4.
elem wielu obecnie przeprowadzanych atakw zakoczonych powodzeniem

jest warstwa aplikacji. Jest to wynikiem wykorzystywania luk wystpujcych
w oprogramowaniu innym ni system operacyjny. Cho tego typu ataki powoduj
spore problemy, wiele innych, rwnie powanych jest wywoywanych przez przypadkowe dziaania uytkownikw, takie jak klikanie zacznikw do wiadomoci
pocztowych, pobieranie aplikacji z internetu i niewaciwe korzystanie z nich.
Wymienione operacje mog doprowadzi do przypadkowego usunicia danych,
utraty ich integralnoci i dostpu do zaszyfrowanych danych. Cho trzeba zwiksza poziom zabezpiecze w celu ochrony aplikacji przed szkodliwymi atakami,
konieczne jest tworzenie oprogramowania pozbawionego luk i szkolenie uytkownikw pod ktem podejmowania lepszych decyzji. Trzeba si te zastanowi
nad tym, czy mona lepiej projektowa aplikacje i zarzdza nimi.
By moe rozwizaniem jest uniemoliwianie stosowania okrelonych aplikacji.
Moe powinno si tak konfigurowa systemy, aby dozwolone byo uruchamianie
wycznie zaakceptowanego oprogramowania. To moe by pomocne. W kocu,
186
Cz II Zabezpieczanie serwera
gdy szkodliwy program nie moe zosta uaktywniony, nie bdzie w stanie spowodowa szkd. By moe lepsze rezultaty od tworzenia kodu rdowego aplikacji zgodnie z reguami bezpieczestwa przyniesie zastosowanie w oprogramowaniu rodkw pozwalajcych zarzdza na poziomie aplikacji prawami
uytkownika i dostpem do zasobw. Mona to osign przy uyciu skadnikw
systemu Windows Server 2003 takich jak:
t Listy kontroli dostpu ACL plikw, rejestru, drukarek i obiektw
usugi Active Directory. Definiujc dla pliku programu wykonywalnego

odpowiedni list ACL, uniemoliwi si jego uruchomienie przez
nieupowanione osoby. Z kolei konfigurujc listy ACL plikw, obiektw
usugi Active Directory i rejestru, mona zapobiec wykonywaniu przez
nieupowanione osoby okrelonych zada za pomoc aplikacji, a take
uniemoliwi im kopiowanie plikw w inne miejsca dysku twardego.
Listy ACL plikw i rejestru wstpnie omwiono w rozdziale 3.
Wicej informacji na ich temat mona znale w rozdziale 5.
t Narzdzie Meneder autoryzacji. Bdce nowoci w systemie Windows
Server 2003 narzdzie umoliwia projektantom uwzgldnianie

w tworzonych aplikacjach modelu zabezpiecze opartego na rolach.
Zarzdzanie przez administratorw eksploatacj takiej aplikacji polega
na dodawaniu uytkownikw do grup systemu Windows, a take grup
aplikacji, podstawowych grup aplikacji i grup kwerend LDAP. Narzdzie
Meneder autoryzacji pozwala rwnie decydowa o tym, kto bdzie mg
uaktywnia okrelone skadniki aplikacji funkcjonujcej w systemie.
t Zasady ogranicze oprogramowania. Tego typu zasady, bdce
nowoci w systemach Windows XP Professional i Windows Server 2003,

umoliwiaj blokowanie uruchamiania wybranych aplikacji lub mog
by uyte do tego, aby na komputerze mogo by uaktywniane wycznie
zidentyfikowane oprogramowanie.
t Konsola Usugi skadowe uprawnienia i role dla aplikacji COM+.
Aplikacje mog by zarzdzane za pomoc narzdzia Usugi skadowe.

Aby aplikacje COM+ byy w peni efektywne, trzeba je projektowa
z uwzgldnieniem zdefiniowanych rl. W przeciwnym razie administrator
bdzie jedynie mg modyfikowa uprawnienia zwizane z uruchamianiem
i poziomy uwierzytelniania. Nowoci w systemie Windows Server 2003
jest moliwo okrelenia poziomu zabezpiecze ograniczajcych aplikacj
COM+ bezporednio w oknie jej waciwoci.
t Przystawka Zasady grupy. Wiele aplikacji moe by zarzdzanych
za pomoc przystawki Zasady grupy. Odpowiednie ustawienia nadzorujce

systemowe aplety s zlokalizowane w wle Szablony administracyjne
znajdujcym si w oknie przystawki Zasady grupy.
187
Dla produktw takich jak Microsoft Office s dostpne specjalne szablony

administracyjne. Korzystanie z szablonw zawartych w oknie przystawki
Zasady grupy omwiono w rozdziale 7.
t System EFS (Encrypting File System). Pliki aplikacji mog by
szyfrowane za pomoc systemu EFS. Podstawowe informacje na jego

temat zamieszczono w rozdziale 6.
Do trzech podstawowych narzdzi zarzdzajcych oprogramowaniem w systemie

Windows Server 2003 zaliczaj si: program Meneder autoryzacji, zasady ogranicze oprogramowania i konsola Usugi skadowe. W niniejszym rozdziale opisano
je i wyjaniono, w jaki sposb ich uywa.
Narzdzie Meneder autoryzacji umoliwia projektowanie aplikacji RBAC (Role-Based Access Control) kontrolujcych dostp w oparciu o role, a take pozwala
na administrowanie nimi. Tworzc aplikacje RBAC i definiujc uywane przez
nie role uytkownikw, projektanci korzystaj z interfejsu API (Application Programming Interface) narzdzia Meneder autoryzacji. Aby mc zarzdza aplikacjami, co polega na przypisywaniu grupom uytkownikw definicji rl, administratorzy posuguj si przystawk Meneder autoryzacji konsoli MMC (Microsoft
Management Console).
Zanim bdzie mona administrowa aplikacjami RBAC, trzeba zrozumie, w jaki
sposb s projektowane i jak dziaaj. Kluczem do opanowania narzdzia Meneder autoryzacji jest uwiadomienie sobie, e w jego przypadku odpowiedzialno
za podzia dostpu do zasobw przechodzi z administratora na aplikacj.
Aplikacja zgodna z narzdziem Meneder autoryzacji jest tak zaprojektowana,
aby reagowa na rol uytkownika, ktry z niej korzysta. Rola, bdca czci
aplikacji, ma na celu przekazanie praw i uprawnie zezwalajcych posiadaczowi
roli wykona powierzone mu zadania i nic ponadto. Przykadowo, rola moe
umoliwia uaktywnianie wybranych skadnikw aplikacji, a take pozwala na
odczyt okrelonych danych i jednoczenie zapisywanie, usuwanie lub przetwarzanie innych danych. Pocztkowo mona odnie wraenie, e rola umoliwia projektantowi sprawowanie nadzoru nad zasobami komputera. Jednak w przypadku
waciwie zarzdzanego rodowiska projektowania programici bazuj na specyfikacjach opracowanych przez wacicieli danych i musz ich przestrzega.
Przykadowo, aplikacja stworzona w celu drukowania listy pac moe dysponowa rol pracownika i kierownika, ktrzy s za to odpowiedzialni. Pracownicy
dziau obsugujcego listy pac musz przygotowa specyfikacje okrelajce, na
188
wykonanie jakich operacji w programie poszczeglne role zezwalaj, a take jakie

pliki i drukarki zostan udostpnione rolom uytkownikw. Kierownictwo dziau
zatwierdza nastpnie specyfikacje i powiadamia informatykw, ktrym pracownikom i jakie powinni przydzieli role. Administrator systemu zarzdza aplikacj,
przypisujc jej role odpowiednim uytkownikom.
Dla porwnania, zwyka aplikacja kiepsko sobie radzi z nadawaniem i odbieraniem dostpu do zasobw. Taka aplikacja postrzega magazyn danych jako szary
krajobraz zoony z obiektw, ktre mog by przetwarzane lub nie, co przede
wszystkim zaley od kontekstu zabezpiecze uytkownika. Gdy zwyka aplikacja
musi komunikowa si z wewntrznymi procesami komputera, przecza kontekst i dziaa zgodnie z tym, jak j zaprogramowano, ignorujc kontekst zabezpiecze uytkownika. A zatem zarzdzanie tak aplikacj jest uomne. Upowanianie do uruchomienia aplikacji jest niezalene od praw dostpu do zasobw. Aby
zarzdza zwykymi aplikacjami, administrator systemu musi jedynie zdecydowa, kto bdzie mg je uaktywnia. Oddzielnie zarzdza si zasobami, do ktrych program bdzie mg uzyska dostp. Administrator chroni zasoby, okrelajc, jakie prawa powinny by uytkownikowi nadane lub odebrane i do ktrych
obiektw powinno mu si udzieli dostpu. Autoryzacja powizana z aplikacj
i zasobami jest rozczona. Co wicej, cho administrator moe przypisa uytkownikowi uprawnienie pozwalajce mu uruchamia okrelony program, moe
nie by w stanie przydzieli mu prawa do uaktywniania wybranego skadnika
aplikacji i jednoczenie zablokowa dostp do jej pozostaych komponentw.
Istniej wyjtki. Zarwno programy bazodanowe, jak i aplikacje COM+ mog
dysponowa rolami, ktre zdefiniowano w ich strukturze. Administratorzy bazy
danych przypisuj uytkownikom role bazodanowe.
W dobrze zdefiniowanym i do statycznym rodowisku administrator systemu
moe radzi sobie z zarzdzaniem zwyk aplikacj i zadaniami zwizanymi z nadawaniem praw i uprawnie. W dobrze zarzdzanym rodowisku waciciele danych
okrelaj, kto i jak moe je przetwarza, natomiast administrator jest w stanie do
tych wymaga dostosowa model uwierzytelniania stosowany przez system operacyjny. W do statycznym rodowisku zmiany zachodz powoli, dlatego dysponuje si czasem pozwalajcym na podjcie decyzji dotyczcych nowych aplikacji
i rozwaenie ich wpywu na starsze programy. Jednak wiele organizacji nie posiada dobrze zdefiniowanego lub w miar statycznego rodowiska. Zmiany zachodz w nich szybko, natomiast posiadacze danych i administratorzy czasami nie
wsppracuj ze sob odpowiednio. Ponadto czsto akceptuje si aplikacje, ktre
wymagaj zwikszenia przywilejw, nie dlatego, e s im niezbdne do funkcjonowania, ale ze wzgldu na to, e s kiepskiej jakoci.
Recept na udane zastosowanie narzdzia Meneder autoryzacji jest uwiadomienie sobie, e nie rozwie ono problemw powstaych w przeszoci. Nie
moe zarzdza nieobliczalnymi aplikacjami lub w magiczny sposb sprawi, e
189
administrator zostanie zwolniony z obowizku nadawania praw i uprawnie. Narzdzie Meneder autoryzacji jest w stanie zaoferowa infrastruktur, z myl
o ktrej mog by projektowane aplikacje. Infrastruktura pozwoli zmieni model
zarzdzania, ktrym posugiwa si dotd administrator. W przypadku aplikacji
zgodnych z narzdziem Meneder autoryzacji administrator nie musi udziela dostpu do obiektw poszczeglnym uytkownikom lub grupom. Wystarczy, e dostosuje si do specyfikacji wacicieli aplikacji, w ktrej okrel, kto i jak moe
w nich peni rol.
Jeli takie rozwizanie jest zadowalajce, trzeba bdzie rozpocz wspprac
z wacicielami danych i projektantami aplikacji, aby uzyska programy, ktre
bd mogy by zarzdzane za pomoc narzdzia Meneder autoryzacji. Omawianie tworzenia aplikacji RBAC wykracza poza zakres ksiki, natomiast zarzdzanie nimi przy uyciu narzdzia Meneder autoryzacji bdzie tu omwione. Moe
si okaza, e zostanie si poproszonym o administrowanie tego typu aplikacj
lub bdzie si miao duy wpyw na to, czy tworzone aplikacje bd zgodne z narzdziem Meneder autoryzacji, a tym samym czy zapewni kontrol dostpu
opart na rolach.
UWAGA: Dostpno narzdzia Meneder autoryzacji
w przypadku innych wersji systemu Windows
Interfejs API narzdzia Meneder autoryzacji dla systemu Windows 2000 umoliwiajcy tworzenie aplikacji RBAC mona pobra pod adresem http://www.
microsoft.com/downloads/details.aspx?FamilyID=7edde11f-bcea-4773-a292-84525f23baf7&display-lang=en. Aplikacje zgodne z tym narzdziem mog
by zarzdzane wycznie za pomoc przystawki Meneder autoryzacji oferowanej przez system Windows Server 2003 lub Windows XP Professional (z zainstalowanym pakietem Windows Server 2003 Administration Tools Pack).
Aby moliwe byo utworzenie w bazie danych usugi Active Directory magazynw narzdzia Meneder autoryzacji, dla domeny musi by ustawiony poziom funkcjonalnoci systemu Windows Server 2003.
KONTROLA DOSTPU W SYSTEMIE WINDOWS OPARTA NA ROLACH

Bez wymogu uycia narzdzia Meneder autoryzacji kontrola dostpu oparta na rolach
jest dostpna w systemach Windows wykorzystujcych technologi NT. Zastosowanie
tego typu kontroli w poprzednich wersjach systemu Windows wymagao od administratorw zdefiniowania rl. W tym celu musieli wykona nastpujce operacje:
t Utworzenie grup systemu Windows.
t Przypisanie grupom odpowiednich praw uytkownika.
t Zdefiniowanie list kontroli dostpu ACL dla zasobw takich jak pliki, foldery,
klucze rejestru i obiekty usugi Active Directory.
190
t Dodanie kont do utworzonych grup lub ich usunicie, gdy poszczeglne osoby
zaczynaj prac w firmie lub z niej odchodz bd zmieniaj stanowiska.
t Uwzgldnienie w aplikacjach niestandardowych rl w ramach wsppracy
z programistami. Dotyczy to aplikacji .NET, aplikacji COM+ i programw opartych

na starszych modelach programistycznych.
Nie ma nic zego w tego typu modelu postpowania. Jednak powodzenie jego wdroenia w duej mierze zaleao od zarzdzania uprawnieniami duej liczby obiektw.
Gdy jest to dobrze robione, uytkownicy mog wykonywa powierzone im obowizki.
Ale gdy tak nie jest, niewaciwe osoby czsto uzyskuj dostp, ktrym nie powinny
dysponowa, natomiast uytkownicy faktycznie wymagajcy praw i uprawnie mog
nie by w stanie pracowa. Frustracja staje si czci dnia kadego administratora i uytkownika. Ostatecznie w zabezpieczeniach mog zosta utworzone luki tylko dlatego,
aby uytkownicy mogli wykona swoje zadania. Skalowanie tego typu modelu jest szczeglnie utrudnione, gdy ma miejsce wysoki poziom zmian kadrowych i szybko pojawiaj
si nowe stanowiska. Cho model jest bardzo elastyczny i w zakresie uprawnie do obiektw umoliwia szczegow kontrol, nie pozwala na precyzyjne zarzdzanie sposobem
wykorzystania oprogramowania.
Problem nie polega na koniecznoci znalezienia metody kontrolowania aplikacji RBAC,
ale bardziej na tym, w jaki sposb powinny by realizowane nastpujce zadania:
t Definiowanie rl. Kto, co, na jakich komputerach i za pomoc jakich aplikacji
moe robi? Czym si zajmuj poszczeglne osoby?
t Translacja penionej funkcji na zestaw uprawnie do obiektw. Ktre programy
wymagaj dostpu do ktrych plikw, drukarek lub kluczy rejestru w przypadku

poszczeglnych rl?
t Zdefiniowanie odpowiedzialnoci za odwzorowywanie funkcji, praw, uprawnie.
Kto powinien si tym wszystkim zaj?
t Okrelenie odpowiedzialnoci za wdraanie, zarzdzanie i audyt rl, a take ich
przypisywanie. Kto tak naprawd powinien konfigurowa komputer, sprawdza,

czy wszystko dziaa zgodnie z oczekiwaniami, i przeprowadza inspekcj rl
i ich przydzielania? Czy waciwym osobom przypisano odpowiednie role?
Czy role prawidowo zdefiniowano?
Narzdzie Meneder autoryzacji zwalnia administratora systemu z koniecznoci definiowania szczegw zwizanych z rolami. Projektanci tworz aplikacje posiadajce role
zdefiniowane na podstawie specyfikacji dostarczonych przez osoby wiedzce, w jaki
sposb nowe programy powinny funkcjonowa. W ramach definicji rl aplikacji projektanci przypisuj uprawnienia do obiektw i prawa umoliwiajce jej uruchamianie.
Po zdefiniowaniu rola moe zosta przydzielona grupie. Aby uytkownikom lub czonkom grup systemu Windows umoliwi wykonanie powierzonych zada, administratorzy musz jedynie doda ich do grup, ktrym przypisano role. Administratorzy i waciciele danych mog bra udzia w projektowaniu aplikacji i jej rl. Waciciele danych
okrelaj, jakie role zostan przydzielone osobom pracujcym w organizacji.
191
Dla porwnania, listy ACL prbuj zarzdza ograniczeniami dotyczcymi aplikacji,

ustawiajc uprawnienia takie jak wykonaj lub zablokuj moliwo wykonania.
W przypadku zasad ogranicze oprogramowania wykorzystuje si specjalne wyznaczniki, ktre zezwalaj na uruchomienie aplikacji lub to uniemoliwiaj. Aplikacje zgodne
z narzdziem Meneder autoryzacji definiuj role, ktre nastpnie s tak ograniczane,
e pozwalaj na wykonanie w programie niektrych operacji. W przypadku autoryzacji
nie tylko okrela si, kto moe uruchomi aplikacj, ale rwnie jaka rola zostanie mu
w niej przydzielona. Oznacza to, e uytkownicy nie tylko s ograniczeni do korzystania
z wybranych aplikacji, ale te mog uaktywnia jedynie niektre ich skadniki. Dla rl
mona take okreli podzbir zasobw uywanych przez aplikacj, z ktrych bd
mogy korzysta, i przypisa im uprawnienia ograniczajce zakres, w jakim mog przetwarza zasoby. Meneder autoryzacji jest narzdziem administracyjnym umoliwiajcym
konfigurowanie partycji aplikacji, rl i zasobw, a take przydzielanie uytkownikom
rl. Zastosowanie dobrze zdefiniowanych rl do kontrolowania dostpu do systemu okrela si mianem zabezpieczania opartego na rolach.
Zamieszczone poniej informacje mog by pomocne w zrozumieniu podstaw dotyczcych narzdzia Meneder autoryzacji i krokw, ktre musz by wykonane,
aby mona byo z niego skorzysta.
Podstawowe informacje
na temat narzdzia Meneder autoryzacji
Narzdzie Meneder autoryzacji oferuje jeden interfejs, za pomoc ktrego administratorzy mog zarzdza wieloma aplikacjami. Tego typu aplikacje musz
by tak tworzone, aby zawieray skadniki niezbdne do bardziej precyzyjnej
kontroli dostpu.
Projektanci aplikacji tworz komponenty definiujce role. Program instalacyjny
aplikacji uaktywnia zasad autoryzacji, ktra jest zestawem regu definiujcych
role aplikacji. Zasada autoryzacji jest przechowywana w magazynie autoryzacji
i udostpniana administratorowi za porednictwem przystawki Meneder autoryzacji. Jeli program instalacyjny nie uwzgldni zasady autoryzacji, jej skadniki
mog zosta utworzone bezporednio w oknie przystawki Meneder autoryzacji.
UWAGA: Rola administratora
Administrator jest przede wszystkim odpowiedzialny za przypisywanie rl grupom aplikacji oraz grupom i uytkownikom systemu Windows. Dodatkowo
musi dodawa do tych grup uytkownikw, przez co wie ich z odpowiednimi
rolami. Administratorzy powinni te wiedzie, na czym polega cay proces, aby
nie byy dla nich zaskoczeniem prawa i uprawnienia przypisywane w zarzdzanych przez nich systemach uytkownikowi posiadajcemu rol.
192
Aby uatwi zrozumienie zasad funkcjonowania aplikacji zgodnych z narzdziem

Meneder autoryzacji, w dalszej czci rozdziau zdefiniowano skadniki i zamieszczono instrukcje wyjaniajce, w jaki sposb mona je utworzy w oknie przystawki Meneder autoryzacji. Aby moliwe byo wykonanie wielu operacji, konieczna bdzie zmiana trybu pracy magazynu autoryzacji z trybu administratora
na tryb dewelopera. Administratorzy nie mog definiowa aplikacji, magazynw
autoryzacji lub operacji, a take modyfikowa nazw aplikacji lub numerw ich
wersji. W celu uaktywnienia trybu dewelopera do konsoli MMC naley doda
przystawk Meneder autoryzacji, a nastpnie wykona nastpujce kroki:
1. Prawym przyciskiem myszy klikn wze Meneder autoryzacji i z menu
wybra pozycj Opcje.
2. Klikn opcj Tryb dewelopera (rysunek 4.1).
Rysunek 4.1. To, jakie operacje bd mogy by wykonane za pomoc narzdzia

Meneder autoryzacji, zaley od ustawionego trybu
3. Klikn przycisk OK.
Kompletna aplikacja zgodna z narzdziem Meneder autoryzacji wymaga zdefiniowania nastpujcych komponentw:
t Magazyn autoryzacji. Suy do przechowywania zasad zabezpiecze.
t Grupy. Jednostki, ktrym mona przypisa role.
t Aplikacja. Definiuje relacj midzy aplikacjami, ktre maj by zarzdzane
za pomoc narzdzia Meneder autoryzacji, i magazynem autoryzacji.
t Zakres. Folder lub inny zasb uywany przez aplikacj.

t Role. Zbir powizanych zada, ktre musz by wykonane.
t Zadania. Zbir operacji.
193
t Skrypty autoryzacji. Skrypty autoryzujce uytkownika, ktry zamierza
wykona zadanie.
t Operacje. Zestaw uprawnie na poziomie systemu operacyjnego.
Magazyn autoryzacji
Aplikacja zgodna z narzdziem Meneder autoryzacji w czasie uruchamiania swoj
zasad zabezpiecze pobiera z magazynu autoryzacji, z ktrym jest powizana.
Zasada zabezpiecze skada si z regu okrelajcych, na co wybrana rola pozwala. Nie istnieje domylny magazyn autoryzacji. Jest on tworzony w okrelonym celu. Magazyny autoryzacji mog znajdowa si w bazie danych usugi Active
Directory lub w pliku XML systemu plikw NTFS (lokalnym lub zdalnym). Plik
taki jest zabezpieczany przy uyciu listy ACL. W tabeli 4.1 wymieniono rnice
wystpujce midzy dwoma typami magazynw.
Tabela 4.1. Definicja magazynu autoryzacji
Usuga Active Directory
Plik XML
Obsuga delegowania
Obsuga na poziomie magazynu

autoryzacji, aplikacji i zakresu.
Brak obsugi. Plik XML jest zabezpieczany

przez wpisy ACE listy ACL.
Definiowanie autoryzacji
Adres URL z prefiksem MMSLDAP://

lub nazwa wyrniajca LDAP, taka jak
CN=magazyn,CN=dane,DN=firma
(lub DN=com).
Adres URL z prefiksem MSXML:// lub cieka,

taka jak C:\magazyny\ten_magazyn.xml
lub \\serwer\udzia_a\ten_magazyn.xml.
Zgodno z systemem
Windows
Tylko poziom funkcjonalny domeny

systemu Windows Server 2003.
Partycja NTFS (cznie ze znajdujcymi si

na serwerach z systemem Windows 2000).
Obsuga inspekcji
fazy wykonywania

autoryzacji i aplikacji.
Obsuga na poziomie magazynu autoryzacji

i aplikacji.
Obsuga inspekcji
modyfikacji magazynu
autoryzacji

autoryzacji, aplikacji i zakresu.
Obsuga wycznie na poziomie magazynu

autoryzacji.
Magazyn autoryzacji mona zdefiniowa programowo lub rcznie w oknie przystawki Meneder autoryzacji. Gdy w oknie przystawki s tworzone takie elementy
jak grupy, role, operacje zada, ich dane trafiaj do magazynu autoryzacji. W celu
zdefiniowania magazynu naley wykona nastpujce kroki:
1. Uruchomi przystawk Meneder autoryzacji.
2. Prawym przyciskiem myszy klikn wze Meneder autoryzacji i z menu
wybra pozycj Nowy magazyn autoryzacji.
3. Zdecydowa, czy magazyn autoryzacji znajdzie si w pliku XML,
czy w bazie danych usugi Active Directory, a nastpnie okreli nazw

i lokalizacj magazynu.
4. Wprowadzi opis (rysunek 4.2).
194
Rysunek 4.2. Tworzenie magazynu autoryzacji polega na zdefiniowaniu jego nazwy i lokalizacji
5. W celu dodania magazynu klikn przycisk OK. Na rysunku 4.3 pokazano
magazyn zdefiniowany w oknie przystawki Meneder autoryzacji.
Rysunek 4.3. Po utworzeniu magazyn autoryzacji jest widoczny w oknie przystawki

Meneder autoryzacji
UWAGA: Delegowanie
Delegowanie w przypadku usugi Active Directory jest metod nadawania
uprawnie administracyjnych uytkownikom, ktrzy nie s czonkami grupy
Administratorzy. Operacja polega na przypisywaniu grupie uytkownikw
uprawnie do obiektw usugi Active Directory. Poniewa magazyn autoryzacji
znajdujcy si w bazie usugi Active Directory te jest obiektem, mona delegowa uprawnienia do niego i umieszczonych w nim obiektw. Magazyny autoryzacji przechowywane w pliku XML nie s obiektami usugi Active Directory,
dlatego nie pozwalaj na delegowanie.
195
Grupy
Grupy su do przypisywania rl uytkownikom. Role s przydzielane grupom,
natomiast administratorzy dodaj do nich konta uytkownikw. W oknie przystawki Meneder autoryzacji mog by tworzone specjalne grupy. Mona te uy
grup systemu Windows. Jeli zastosuje si grupy narzdzia Meneder autoryzacji,
mona je tak zdefiniowa, aby byy wykorzystywane tylko przez aplikacj, a nawet
jej zakres. Terminologia zwizana z grupami jest nastpujca:
t Grupa aplikacji. Grupa uytkownikw aplikacji zgodnej z narzdziem
Meneder autoryzacji. Tego typu grupy mog by tworzone na wszystkich

trzech poziomach (magazynu autoryzacji, aplikacji i zakresu) dostpnych
w oknie przystawki Meneder autoryzacji. Grupa zdefiniowana na wyszym
poziomie moe by stosowana na niszym. Jednak grupa utworzona
na niszym poziomie nie moe by uyta na wyszym. Grupy aplikacji
dziel si na podstawowe i grupy kwerend LDAP.
t Podstawowa grupa aplikacji. Grupa posiada list czonkw i list
skadajc si z tych, ktrzy nie s czonkami. Ta druga lista suy

do blokowania dostpu do okrelonego podzbioru uprawnie grupy,
ktra zezwala na szerszy dostp. W zwizku z tym tego typu grupa moe
oferowa dostp do aplikacji i blokowa go w przypadku niektrych jej
skadnikw. Druga lista ma pierwszestwo przed pierwsz. Podstawowymi
grupami aplikacji mog by grupy i uytkownicy systemu Windows
lub grupy kwerend LDAP.
t Grupa kwerendy LDAP (Lightweight Directory Access Protocol).
Tego typu grupa jest dynamicznie generowana przez kwerend LDAP.

W skad takiej kwerendy moe wchodzi dowolny atrybut uytkownika.
Przykadowo, grupa kwerendy moe uwzgldnia wszystkich
uytkownikw mieszkajcych na obszarze miasta Krakw. Z czasem grupa
moe ulega modyfikacjom. Inne grupy mog by bardziej zmienne.
Przykadem mogaby by grupa, ktrej czonkami s wszyscy, ktrzy
maj urodziny w biecym miesicu.
t Grupy i uytkownicy systemu Windows. S to standardowe konta
uytkownikw i grup (domylne lub utworzone przez uytkownikw).

Decydujc si na przypisanie roli grupie, mona skorzysta z grup
i uytkownikw systemu Windows lub grupy aplikacji.
Aby doda grup, naley wykona nastpujce kroki:

1. Prawym przyciskiem myszy klikn wze Grupy znajdujcy si
w kontenerze magazynu autoryzacji, aplikacji lub zakresu, a nastpnie

z menu wybra pozycj Nowa grupa aplikacji.
2. Poda nazw i opis grupy aplikacji.
196
3. Okreli typ grup identyfikowany przez opcj Kwerenda LDAP
lub Podstawowa (rysunek 4.4).
Rysunek 4.4. Typ grupy jest okrelany w trakcie jej tworzenia

4. Klikn przycisk OK i sprawdzi zdefiniowan grup (rysunek 4.5).
Rysunek 4.5. Grupy s zlokalizowane w kontenerze Grupy
Aplikacja
W trakcie projektowania aplikacji zgodnej z narzdziem Meneder autoryzacji
jest okrelane, na co bd pozwalay jej role. Przypisujc do grup role i uytkownikw, definiuje si, kto i jakie bdzie mg realizowa zadania. Obiekt aplikacji
tworzony w oknie przystawki Meneder autoryzacji jest umieszczany w powizanym z ni magazynie autoryzacji. Obiekt aplikacji zawiera obiekty definiujce
zastosowan w niej kontrol dostpu opart na rolach. Cho aplikacja moe znajdowa si tylko w jednym magazynie autoryzacji, on sam moe zawiera wiele
197
aplikacji. W tabeli 4.2 wymieniono typowe operacje obsugiwane przez aplikacj

zgodn z narzdziem Meneder autoryzacji i porwnano je z tymi, na ktrych
wykonanie pozwalaj zwyke programy.
Tabela 4.2. Porwnanie operacji wykonywanych przez aplikacje
Aplikacja zarzdzajca autoryzacj
Zwyka aplikacja
1. Faza projektowania aplikacji: definiowanie rl,

wdraanie operacji i czenie ich w zadania.
Cho pozwala na definiowanie rl, w praktyce zwykle

nie korzysta si z tego. Definicje rl mog zezwala
administratorom na uruchamianie niektrych aplikacji
lub wykonywanie operacji, natomiast im i jednoczenie
uytkownikom na uaktywnianie innych programw.
2. Podczas instalacji aplikacji jest definiowany magazyn

autoryzacji, operacje, zadania i role. Dodatkowo s
tworzone pliki lub bazy suce do przechowywania
danych.
Proces instalacji definiuje pliki lub bazy przechowujce

dane aplikacji, a take umieszcza dane konfiguracyjne
w rejestrze lub w pliku.
3. W czasie pracy aplikacja korzysta z narzdzia Meneder

autoryzacji, aby poczy si z magazynem autoryzacji
i wczyta zasad zabezpiecze.
Po uruchomieniu aplikacja moe sprawdzi dane

konfiguracyjne znajdujce si w plikach lub gaziach
rejestru. W czasie pracy autoryzacja przeprowadzana
w celu udzielenia lub zablokowania dostpu
do obiektw polega na sprawdzeniu praw uytkownika
i uprawnie przypisanych przez administratora.
4. Gdy z aplikacj poczy si klient, zostanie utworzony

kontekst aplikacji.
Gdy uytkownik uruchamia aplikacj, korzysta ona

z jego kontekstu zabezpiecze.
5. Zanim klient bdzie mg uy aplikacji, w oparciu

o role wykona ona odpowiednie czynnoci.
To, jaki interfejs zostanie udostpniony uytkownikowi
w czasie pracy, zaley od jego roli.
Zanim klient bdzie mg uy aplikacji, wykona ona

odpowiednie czynnoci gwnie na podstawie praw
i uprawnie udzielonych uytkownikowi do obiektw.
Jeli prawa i uprawnienia uytkownika nie bd zgodne
z wymaganymi do uruchomienia aplikacji, interfejs
moe wywietli komunikaty o bdach.
6. Gdy klient prbuje wykona operacj, jest wykonywana

kontrola dostpu majca na celu stwierdzenie,
czy rola uytkownika dysponuje prawem
zezwalajcym mu na to.
Gdy aplikacja prbuje wykona operacj, jest

przeprowadzana kontrola dostpu majca na celu
stwierdzenie, czy uytkownik dysponuje wymaganym
prawem lub uprawnieniem.
Gdy zarzdza si aplikacj zgodn z narzdziem Meneder autoryzacji lub bierze

si udzia w jej projektowaniu, rolami mona administrowa w inny bardzo naturalny sposb. W celu utworzenia w oknie przystawki Meneder autoryzacji obiektu
aplikacji naley wykona nastpujce kroki:
1. Prawym przyciskiem myszy klikn wze magazynu autoryzacji i z menu
wybra pozycj Nowa aplikacja.
2. Wprowadzi nazw, opis i numer wersji aplikacji (rysunek 4.6).

3. Klikn przycisk OK i sprawdzi zdefiniowan aplikacj widoczn
w oknie przystawki Meneder autoryzacji (rysunek 4.7).
198
Rysunek 4.6. Aplikacje s kontenerami tworzonymi w celu przechowywania zasad zabezpiecze

majcych posta rl, grup, operacji i zada
Rysunek 4.7. Aplikacje s tworzone w magazynie autoryzacji
Zakres
Zakresy s tworzone dla kadej aplikacji w celu ograniczenia dostpu do zasobw. Zakres identyfikuje takie zasoby, jak foldery systemu plikw, kontenery usugi
Active Directory, rnego typu pliki (np. wszystkie pliki *.doc), adresy URL i gazie rejestru. Zamiast z aplikacj, tworzone grupy narzdzia Meneder autoryzacji,
przypisania i definicje rl bd definicje zada kojarzy si z zakresem aplikacji.
Jednak operacje nie mog by definiowane na poziomie zakresu.
Grupy tworzone w obrbie zakresu dysponuj dostpem do zasobw okrelonych
dla zakresu. Z kolei grupy zdefiniowane na poziomie aplikacji mog uzyska dostp do zasobw caej aplikacji, cznie z jej zakresem. Uycie zakresw jest dobr
metod ograniczania dostpu wybranym uytkownikom i zwikszania go innym.
199
Zakresem moe by folder systemu plikw NTFS, kontener usugi Active Directory, zbir plikw identyfikowanych przez mask, tak jak na przykad *.doc, adres
URL itd. Wymienione obiekty znajduj si w kontenerze aplikacji zlokalizowanym
w oknie przystawki Meneder autoryzacji.
W celu utworzenia zakresu naley wykona nastpujce kroki:
1. Prawym przyciskiem myszy klikn wze aplikacji i z menu wybra
pozycj Nowy zakres.
2. Wprowadzi nazw i opis zakresu (rysunek 4.8). Warto zauway,
e nazwa ma posta cieki folderu. Nazwy musz reprezentowa

rzeczywiste lokalizacje.
Rysunek 4.8. Nazwy zakresw musz reprezentowa rzeczywiste lokalizacje

Definiujc zakresy, trzeba zadba o to, aby identyfikoway zasoby w sposb zrozumiay dla aplikacji. Trzeba tu wspomnie o dwch istotnych rzeczach. Po pierwsze, zasb powinien by identyfikowany przez lokalizacj, okrelan na przykad
przy uyciu cieki pliku, gazi rejestru lub kompletnego adresu URL. Zasb moe te by identyfikowany przez istniejce jednostki organizacyjne usugi Active
Directory. Po drugie, sama aplikacja musi by w stanie obsugiwa zasb. W roli
identyfikatorw zakresu aplikacje internetowe mog uywa adresw URL, natomiast programy oparte na systemie plikw mog korzysta ze cieek plikw.
Aby skutecznie ograniczy dostp do zasobw, korzystajc z ich lokalizacji, naley
wykona nastpujce kroki:
200
1. Utworzy zakresy dla zasobw wymagajcych bardziej szczegowej
ochrony.
2. W zakresach zdefiniowa grupy aplikacji. Na rysunku 4.9 pokazano zakres
C:\Pliki_IT utworzony w obrbie aplikacji ZasobyPracownikw. Warto

zwrci uwag na to, w jaki sposb kontenery grup s definiowane
na poziomie magazynu autoryzacji, aplikacji i zakresu, a take jak s
tworzone definicje i przypisania rl zarwno na poziomie zakresu,
jak i aplikacji. Na rysunku wida, e wszystkie grupy umieszczone
w kontenerze Grupy zakresu C:\Pliki_IT mog uzyska dostp tylko
do plikw powizanych z tym poziomem. Z kolei grupom utworzonym
na poziomie aplikacji moe by udzielony dostp do wszystkich
jej zasobw. Grupy zdefiniowane w kontenerze magazynu autoryzacji
uzyskaj dostp do zasobw wszystkich aplikacji znajdujcych si
w magazynie.
Rysunek 4.9. Lokalizacja grupy decyduje o tym, z jakich zasobw bd mogli korzysta
jej czonkowie
3. Do odpowiednich grup przypisa uytkownikw, ktrzy powinni
dysponowa dostpem do okrelonych zasobw.
4. Utworzy grupy na poziomie aplikacji.

5. Do grup poziomu aplikacji doda uytkownikw, ktrzy powinni
dysponowa dostpem do wszystkich zasobw aplikacji.
6. Zdefiniowa grupy na poziomie magazynu autoryzacji. Doczy do nich
uytkownikw, ktrzy musz uzyska dostp do wszystkich aplikacji

zlokalizowanych w magazynie.
201
UWAGA: Dlaczego warto korzysta

z grup narzdzia Meneder autoryzacji
Grupy narzdzia Meneder autoryzacji naley stosowa z dwch powodw. Po
pierwsze, dziki takim grupom mona lepiej kontrolowa dostp do obiektw.
Po drugie, gdy s uywane tego typu grupy, atwiejsze bdzie wykorzystanie
aplikacji zarwno w rodowisku grupy roboczej, jak i domeny. Jest to istotne
dlatego, e komputery wchodzce w skad grupy roboczej posiadaj grupy
systemu Windows rnice si od tych oferowanych przez usug Active Directory obsugujc domeny. Aplikacja, ktr stworzono by z myl o grupach usugi
Active Directory, nie mogaby by zastosowana w rodowisku grupy roboczej.
Warto jednak zauway, e aplikacja zaprojektowana dla rodowiska usugi
Active Directory moe nie by w ogle przydatna w przypadku grupy roboczej.
Biorc pod uwag wymagania aplikacji, powinno si podj decyzj dotyczc
typw grup, ktre zostan zastosowane.
Role, zadania, skrypty autoryzacji i operacje

W aplikacji zgodnej z narzdziem Meneder autoryzacji role s definiowane przez
zadania, operacje i skrypty autoryzacji. Zadania skadaj si z zada niszego poziomu, operacji i skryptw autoryzacji. Operacje s elementami niszego poziomu
zwizanymi z funkcjonalnoci systemu operacyjnego. Przykadowo, zadanie wykonywane przez dzia wsparcia moe polega na resetowaniu hasa dla uytkownikw, ktrych konta znajduj si w okrelonej jednostce organizacyjnej. Zadaniu takiemu zdefiniowanemu w aplikacji mona nada nazw ResetowanieHasa.
Operacja, ktra te jest tworzona w aplikacji, uwzgldnia odwoanie do wartoci
identyfikujcej rzeczywisty kod programu umoliwiajcy operatorowi zresetowanie hase uytkownikw nalecych do okrelonej jednostki organizacyjnej. Operacja jest przypisywana do zadania, ktre przydziela si roli penionej przez
pracownikw dziau wsparcia. Po zdefiniowaniu roli wie si j z grup utworzon w celu reprezentowania uytkownikw, ktrym zostanie przydzielona rola
pracownikw dziau wsparcia.
W trakcie tworzenia aplikacji operacje s kodowane. Gdy projektuje si aplikacj zgodn z narzdziem Meneder autoryzacji, s definiowane elementy kadej
roli. Podczas instalowania aplikacji zadania i operacje definiujce rol s umieszczane w oknie narzdzia Meneder autoryzacji wraz z grupami i innymi skadnikami programu.
W oknie przystawki Meneder autoryzacji mona rcznie dodawa role, skrypty
autoryzacji, zadania i operacje. Wystarczy wiedzie, e elementy te musz by
powizane z kodem aplikacji, natomiast wartoci okrelone w operacjach musz
tworzy cza midzy narzdziem Meneder autoryzacji i kodem.
202
Role
Zanim za pomoc rl bdzie mona kontrolowa autoryzacj, trzeba je zdefiniowa. W tym celu do rl naley doda utworzone zadania i operacje. Role mona
definiowa dla wielu aplikacji i zarzdza nimi z jednego miejsca. Role mog te
dotyczy tylko wybranych aplikacji, a nawet by ograniczone do ich niektrych
zasobw.
Pierwszy krok polega na zidentyfikowaniu wymaganych rl. Aby utworzy role,
naley je potraktowa jak abstrakcj odpowiadajc rzeczywicie wykonywanym
operacjom i zadaniom. Pracownik dziau wsparcia i administrator systemu s
rolami, ktre mona zdefiniowa, gdy aplikacj stworzono w celu nadzorowania
operacji systemowych. Osoba zajmujca si listami pac, ksigowy i gwny ksigowy s rolami, ktre mona utworzy na potrzeby programu ksigujcego. Na
etapie projektowania aplikacji jest okrelana specyfikacja, ktra uwzgldnia rzeczywiste zadania realizowane przez kadego typu pracownika. Wszystkie zadania
s dzielone na mniejsze jednostki lub operacje.
Dobrze zdefiniowana rola odwzorowuje kategori stanowiska lub zakres odpowiedzialnoci. Cho z atwoci w nazwach stanowisk mona doszuka si oglnej definicji rl, w celu stwierdzenia, co faktycznie robi osoba penica okrelone
stanowisko, konieczne bdzie przeprowadzenie dokadniejszej analizy. Trzeba
pamita, e wielu pracownikw jest zaangaowanych w specjalne procesy biznesowe, natomiast nazwy stanowisk nie zawsze odpowiadaj okrelonym rolom
aplikacji. Proces tworzenia roli w obrbie aplikacji skada si z nastpujcych operacji:
t Wybranie nazwy.
t Okrelenie definicji.
t Utworzenie zada niszego poziomu, rl i operacji wchodzcych w skad
nowej roli. Reguy autoryzacji mog by definiowane za pomoc skryptw,

takich jak skrypty VBScript. Zadania staj si czci definicji roli i mog
by dodawane do kontenera Definicje rl, a take w nim przegldane.
Cho zatwierdzanie listy czonkw okrelonej roli aplikacji nie jest zadaniem
administratora, samo przypisywanie kont uytkownikw do roli ju tak. Jak zwykle, krytyczne znaczenie ma zrozumienie, jakie w ramach takiej operacji przydziela si prawa i dostp. Trzeba wiedzie, kiedy dostp udzielany uytkownikowi i wykonywane przez niego operacje s normalne i zatwierdzone, a kiedy
realizowane dziaania naruszaj reguy, tak jak w przypadku ataku, ktrego celem
jest system.
203
UWAGA: Istnieje wicej metod tworzenia roli

Oczywicie najpierw mona zdefiniowa wszystkie operacje, a nastpnie utworzy poszczeglne zadania i przypisa do nich operacje. Zgodnie z t zasad po
utworzeniu rl naley do nich doda zadania.
W celu zdefiniowania roli za pomoc przystawki Meneder autoryzacji w pierwszej kolejnoci trzeba utworzy zadania i operacje, a nastpnie odpowiednio je
przypisa. Pierwszym krokiem procedury tworzenia roli jest okrelenie jej definicji. W tym celu naley wykona nastpujce kroki:
1. Zlokalizowa kontener aplikacji, a nastpnie rozwin zawarto wza
Definicje.
2. Prawym przyciskiem myszy klikn wze Definicje rl i z menu wybra
pozycj Nowa definicja roli.
3. Dla roli wprowadzi nazw i opis (rysunek 4.10).
Rysunek 4.10. Role s definiowane przez powizane z nimi zadania i tworzone skrypty autoryzacji
4. Jeli dla roli utworzono role niszego poziomu, zadania lub skrypty
autoryzacji, za pomoc przycisku Dodaj doda je do definicji roli.
204
Zadania
Role skadaj si z zada. Zadania s zbiorem operacji, skryptw autoryzacji
i ewentualnie innych zada. Zadania musz by dobrze zdefiniowane i powizane
z rolami. Dobrze zdefiniowane zadania reprezentuj rozpoznawalne elementy pracy. Oto przykady takich zada:
t zmiana hasa,
t uaktywnienie konta,
t utworzenie konta uytkownika,
t przedstawienie kosztw,
t zatwierdzenie kosztw,
t podpisanie czeku.
Oto przykady zada, ktre nie s dobrze zdefiniowane:

t zarzdzanie pracownikami,
t kierowanie dziaem ksigowym,
t udzielanie uytkownikom pomocy w zakresie obsugi komputerw.
Aby stwierdzi, jakie zadania powinny zosta zdefiniowane dla wybranej roli,
trzeba bdzie zidentyfikowa elementy pozwalajce okreli, jakie s obowizki
osoby penicej rol. Przykadowo, administrator sieci moe modyfikowa listy
ACL routera. Pracownik dziau wsparcia moe zmienia hasa lub resetowa zablokowane konta. Podobnie jak role, zadania s definiowane w oknie przystawki
Meneder autoryzacji. Polega to na podaniu nazwy i opisu. Zadanie skada si
z zada niszego poziomu lub operacji, a take skryptw autoryzacji.
W celu utworzenia zadania naley wykona nastpujce kroki:
1. Prawym przyciskiem myszy klikn kontener Definicje zada i z menu
wybra pozycj Nowa definicja zadania.
2. Wprowadzi nazw i opis zadania (rysunek 4.11).

3. Jeli dla zadania utworzono zadania niszego poziomu, operacje
lub skrypty autoryzacji, doda je za pomoc przycisku Dodaj.
205
Rysunek 4.11. Zadania skadaj si z operacji i skryptw autoryzacji
Operacje
Operacje s zbiorem uprawnie powizanych z procedurami zabezpiecze na
poziomie systemu lub interfejsu API. Przykadowe uprawnienia to odczyt lub zapis atrybutw. Operacje peni rol elementw tworzcych zadania. Operacje s
definiowane na poziomie aplikacji. W przypadku poziomu magazynu autoryzacji
lub zakresu nie jest to moliwe. Definicja operacji uwzgldnia nazw, opis i warto. Warto identyfikuje operacj w obrbie aplikacji. Ma ona istotne znaczenie,
poniewa wie ze sob wszystkie dziaania majce miejsce midzy narzdziem
Meneder autoryzacji i aplikacj. Ze wzgldu na to, e operacje wchodz w skad
zada, role identyfikuj zadania, ktre mog by wykonane, natomiast grupom
s przydzielane role, po dodaniu do grupy uytkownik bdzie mg realizowa
wszystkie operacje tworzce zadania przypisane rolom.
OSTRZEENIE: Unikanie bdw dotyczcych wartoci operacji
Warto musi by liczb cakowit z przedziau od 0 do 2147483647. Jeli trzeba
rcznie poda warto, naley sprawdzi, czy poprawnie j wprowadzono.
Nieprawidowa warto spowoduje wystpienie bdu w aplikacji.
Jeli na przykad kilka operacji definiujcych niskopoziomowe czynnoci niezbdne do sformatowania dysku twardego tworzy zadanie formatowanie dysku,
ktre z kolei jest przypisane roli Zarzdca serwera powizanej z grup aplikacji
Zarzdca_serwera, po dodaniu do niej uytkownika umoliwi mu si sformatowanie dysku.
206
W celu zdefiniowania operacji naley wykona nastpujce kroki:

1. Prawym przyciskiem myszy klikn kontener Definicje operacji i z menu
wybra pozycj Nowa definicja operacji.
2. Wprowadzi nazw, opis i numer operacji (rysunek 4.12). Numer operacji
musi znajdowa si w kodzie aplikacji.
Rysunek 4.12. Operacje s identyfikowane przez numer

Tworzenie skryptw autoryzacji

Skrypty autoryzacji s tworzone w celu zastosowania regu autoryzacji. Regua
taka sprawdza warunki, aby stwierdzi, czy uytkownik dysponuje prawem lub
uprawnieniem niezbdnym do zrealizowania okrelonego zadania. Przykadowo,
uytkownicy mog nalee do grupy, ktrej przypisano rol. Rola jest definiowana
przez zadania, ktre umoliwiaj posiadaczowi roli sfinalizowanie okrelonej czynnoci, takiej jak odczyt pliku. Regua autoryzacji moe posuy do uwzgldnienia
praw systemu operacyjnego i uprawnie do obiektw przypisanych uytkownikowi. Jeli uprawnienia nie zezwalaj uytkownikowi na odczytanie pliku, nie bdzie
mg tego zrobi, nawet gdy czonkowie jego grupy aplikacji zgodnej z narzdziem Meneder autoryzacji standardowo maj tak moliwo. Skrypty mog
by tworzone przy uyciu jzyka VBScript lub JScript. Zwykle s pisane przez
programistw.
Definiowanie zada
Aby zdefiniowa zadanie, co polega na przypisaniu operacji, naley wykona nastpujce kroki:
1. Dwukrotnie klikn zadanie, ktre ma by zdefiniowane.
2. Uaktywni zakadk Definicja, klikn przycisk Dodaj i uaktywni
zakadk Operacje.
207
3. Zaznaczy operacje, ktre s niezbdne do zdefiniowania zadania
(rysunek 4.13).
Rysunek 4.13. Do zadania s dodawane operacje

Definiowanie rl
Aby zdefiniowa rol, co polega na przypisaniu jej listy zada, naley wykona
nastpujce kroki:
1. Dwukrotnie klikn rol, ktra ma by zdefiniowana.
2. Uaktywni zakadk Definicja, klikn przycisk Dodaj i uaktywni
zakadk Zadania.
3. Zaznaczy zadania definiujce role (rysunek 4.14).

4. Jeli istniej skrypty autoryzacji, ktre powinny zosta doczone, klikn
przycisk Skrypt autoryzacji. Wprowadzi kod rdowy skryptu lub ciek

identyfikujc jego pooenie, a nastpnie klikn przycisk OK.
Przypisywanie rl do grup
W celu przydzielenia grupom rl naley wykona nastpujce kroki:
1. Prawym przyciskiem myszy klikn kontener Przypisania rl i z menu
wybra pozycj Przypisz role.
208
Rysunek 4.14. Do rl s dodawane zadania

2. W oknie dialogowym Dodawanie roli zaznaczy role (rysunek 4.15),
a nastpnie klikn przycisk OK.
Rysunek 4.15. Umieszczanie zdefiniowanych rl w kontenerze Przypisania rl

3. Role zostan umieszczone w kontenerze Przypisania rl. Prawym
przyciskiem myszy klikn rol, ktra ma by przypisana grupie, i z menu

wybra pozycj Przypisz grupy aplikacji lub Przypisz uytkownikw
i grupy systemu Windows.
4. Po wybraniu pozycji Przypisz grupy aplikacji zaznaczy grup aplikacji
(rysunek 4.16).
209
Rysunek 4.16. Przypisywanie odpowiednich grup do poszczeglnych rl

5. Gdy kliknito pozycj Przypisz uytkownikw i grupy systemu Windows,
za pomoc narzdzia sucego do wybierania obiektw zaznaczy grup

lub uytkownikw, ktrym zostanie przypisana rola.
dotyczce narzdzia Meneder autoryzacji podsumowanie
W obrbie narzdzia Meneder autoryzacji i okrelonych aplikacji kadej roli jest
przypisywane prawo do wykonywania zada i operacji. Rola jest przydzielana
grupie bdcej interfejsem, za pomoc ktrego administrator bdzie upowania
uytkownikw lub grupy systemu Windows do uywania aplikacji i przetwarzania
zasobw. Zamiast zarzdza zasobami aplikacji nadzoruje si dziaania i obieg zada. Przykadowo, zamiast korzysta z narzdzia Kreator delegowania kontroli
bd bezporednio przypisywa kontu uytkownika lub grupy uprawnienie pozwalajce na resetowanie hase kont znajdujcych si w jednostce organizacyjnej,
wystarczy konto uytkownika doda do grupy narzdzia Meneder autoryzacji,
ktrej przydzielono rol pracownik dziau wsparcia.
Jeli zdefiniuje si dostp do obiektw i prawa pozwalajce na uaktywnianie
skadnikw aplikacji, rola administracyjna bdzie prosta. Zamiast wykonywa tysice niezalenych czynnoci polegajcych na tworzeniu grup systemu Windows
i przypisywaniu im praw, a take uprawnie do obiektw usugi Active Directory,
plikw, gazi rejestru i innych zasobw, wystarczy jedynie konta uytkownikw
lub grup systemowych doda do grup, z ktrymi powizano role.
210
UWAGA: Administratorzy musz o tym wiedzie

Administratorzy nie s odpowiedzialni za tworzenie aplikacji zgodnych z narzdziem Meneder autoryzacji, definiowanie rl, pisanie skryptw wykonujcych zadania lub autoryzacj operacji. S to zadania nalece do projektantw,
ktre mog by zrealizowane za pomoc kodu lub przy uyciu przystawki
Meneder autoryzacji dziaajcej w trybie dewelopera. Gwn powinnoci
administratora jest przypisywanie rl grupom aplikacji lub grupom i uytkownikom systemu Windows, a take dodawanie do tych grup uytkownikw,
dziki czemu bd mogli peni odpowiedni rol. Jednak administratorzy powinni te wiedzie, na czym polega cay proces, aby byy dla nich zrozumiae
prawa i uprawnienia nadawane uytkownikowi w systemie, gdy stanie si posiadaczem roli.
W magazynie autoryzacji znajduj si informacje niezbdne do stworzenia dla

aplikacji zasady zabezpiecze i reprezentowania jej w oknie przystawki Meneder
autoryzacji. Gdy magazyn autoryzacji jest zlokalizowany w systemie plikw NTFS,
ma posta pliku XML. Na rysunku 4.17 pokazano zawarto pliku XML, ktry
utworzono przez dodanie obiektw zdefiniowanych w niniejszym punkcie.
Rysunek 4.17. Plik XML magazynu autoryzacji zawiera zasad zabezpiecze aplikacji
211
Inspekcja narzdzia Meneder autoryzacji

Moliwe jest skonfigurowanie inspekcji zdarze narzdzia Meneder autoryzacji,
ktre bd rejestrowane w dzienniku zdarze Zabezpieczenia. Mona wyrni
dwa typy inspekcji narzdzia Meneder autoryzacji:
t Inspekcja fazy wykonywania. Inspekcja ma miejsce, gdy zastosuje si
zasad zabezpiecze zdefiniowan w magazynie autoryzacji. Inspekcja

moe informowa zarwno o udanych, jak i nieudanych operacjach.
Zakresem inspekcji jest te objte sprawdzanie kontekstu uytkownika
i dostpu. Tego typu inspekcja moe by zastosowana na poziomie
magazynu autoryzacji i aplikacji, natomiast na poziomie zakresu nie.
t Inspekcja zmian magazynu autoryzacji. Wpisy inspekcji s generowane
po zmodyfikowaniu magazynu autoryzacji, niezalenie od jego lokalizacji.

W przypadku magazynu autoryzacji znajdujcego si w bazie danych
usugi Active Directory inspekcja moe by zdefiniowana na poziomie
magazynu, aplikacji i zakresu. Gdy magazyn autoryzacji jest zlokalizowany
w pliku XML, inspekcj mona skonfigurowa tylko na poziomie
magazynu.
W celu uaktywnienia inspekcji naley uy opcji umieszczonych w zakadce Inspekcja (rysunek 4.18). Jeli okrelonego typu inspekcja nie jest dostpna, powizana z ni opcja nie pojawi si. Jeli nie s widoczne opcje udanych (Sukces)
i nieudanych (Niepowodzenie) operacji, oznacza to, e inspekcj zdefiniowano
na wyszym poziomie. Aby to zmieni, trzeba bdzie najpierw stwierdzi, gdzie
inspekcja jest zarzdzana (lokalnie lub za pomoc zasad grupy na poziomie domeny lub jednostki organizacyjnej) i wprowadzi modyfikacje. Dziedziczone bd
wszystkie moliwe inspekcje obiektw. Przykadowo, dziedziczona jest inspekcja
dostpu do obiektu zdefiniowana dla pliku systemu plikw, bdcego zasobem
magazynu autoryzacji. W celu skonfigurowania inspekcji musz zosta spenione
nastpujce wymagania:
t trzeba dysponowa przywilejem Generowanie zdarze inspekcji
zabezpiecze;
t trzeba posiada przywilej Zarzdzanie inspekcj i dziennikiem zabezpiecze;

t inspekcja dostpu do obiektw musi zosta uaktywniona za pomoc
przystawki Edytor obiektw zasad grupy lub Zasady zabezpiecze

lokalnych.
212
Rysunek 4.18. Inspekcja jest definiowana w oknie waciwoci magazynu autoryzacji i aplikacji
Zarzdzanie narzdziem Meneder autoryzacji

Zarzdzanie aplikacjami zgodnymi z narzdziem Meneder autoryzacji jest prostym zadaniem, gdy administratorzy zrozumiej, na czym to polega i w jaki sposb funkcjonuj takie aplikacje. Podstawowym zadaniem jest przypisywanie
uytkownikw do grup powizanych z rolami. Administrator moe by zmuszony
do przypisywania rl grupom i wykonywania innych zada, gdy kod aplikacji nie
bdzie si tym zajmowa. Jednak tak jak w przypadku wikszoci zada administracyjnych proste czynnoci mog kry w sobie zoone operacje. Spostrzegawczy administrator zauway konsekwencje z tym zwizane, przeprowadzi inspekcj
czynnoci i zapobiegnie powielaniu lub usuwaniu wynikw. Korzystajc z posiadanych moliwoci, osignie to przez przekazanie dostpu do zasobw i praw
aplikacji, ktra powinna nimi zarzdza.
Rozwane moe by ograniczenie liczby administratorw, ktrzy mog korzysta
z narzdzia Meneder autoryzacji. W tym celu naley zdefiniowa grupy i uytkownikw dysponujcych dostpem do narzdzia na poziomie administratora.
Przy uyciu zakadki Zabezpieczenia okna waciwoci magazynu autoryzacji mona dodawa lub usuwa grupy i uytkownikw (rysunek 4.19).
213
Rysunek 4.19. Okrelanie administratorw, ktrzy mog zarzdza aplikacjami zgodnymi

z narzdziem Meneder autoryzacji
Mona sobie wyobrazi, e mogoby si uniemoliwi nowemu wirusowi uaktywnienie w zarzdzanych systemach nawet przed przygotowaniem sygnatury przez
producenta oprogramowania antywirusowego i jej publicznym udostpnieniem.
A moe byoby moliwe zapobiegnicie uruchomieniu w systemie przez dowoln osob oglnie znanego, lecz zabronionego oprogramowania, takiego jak gry
lub narzdzia administracyjne. By moe daoby si cakowicie wyeliminowa
moliwo zaadowania jeszcze nieznanego szkodliwego programu. Czy podjoby si decyzj o zakupie produktu pozwalajcego na to wszystko?
Wcale nie trzeba tego robi. Jeli dysponuje si systemem Windows Server 2003
lub Windows XP Professional, ju mona skorzysta z takiego produktu. Zasady
ogranicze oprogramowania s skadnikiem doczonym po raz pierwszy do systemu Windows XP Professional i umoliwiajcym zarzdzanie komputerem. Korzystajc z systemu Windows Server 2003, mona utworzy zasady grupy, ktre
bd kontroloway pojedynczy serwer lub stacj robocz bd tysice komputerw z systemem Windows XP Professional i Windows Server 2003. Poniej wyjaniono, na czym to polega.
214
Moliwoci zasad ogranicze oprogramowania

Jeli nie zrozumie si w peni, na co zasady ogranicze oprogramowania pozwalaj, a na co nie, mona je niepoprawnie skonfigurowa lub oczekiwa od nich
poziomu zabezpiecze, ktrego nie s w stanie zapewni. W obu przypadkach
zasady mog nie zadziaa w oczekiwany sposb lub, co gorsza, spowodowa, e
bdnie bdzie si traktowao zabezpieczenia. Mona by przekonanym, e dysponuje si komputerami chronionymi przed szkodliwymi programami lub takimi,
ktre pozwalaj jedynie na uruchomienie autoryzowanych aplikacji, gdy w rzeczywistoci tak nie jest. Waciwie zdefiniowane zasady ogranicze oprogramowania mog zapewni zwikszony poziom zabezpiecze, gdy ma si wiadomo
ich moliwoci i gdy si je uwzgldni. Powinno si zapozna z poniej wymienionymi ograniczeniami zasad.
W przypadku trybu awaryjnego zasady ogranicze oprogramowania

nie maj adnego wpywu
Gdy system komputera zaaduje si w trybie awaryjnym, zasady ogranicze oprogramowania nie bd miay adnego znaczenia.
OSTRZEENIE: Tryb awaryjny
Gdy uaktywni si tryb awaryjny, zasady ogranicze oprogramowania nie bd
odgryway adnej roli. Jeli uytkownik jest w stanie uruchomi system w trybie awaryjnym, moe pomin zasady ogranicze oprogramowania.
Zasady ogranicze oprogramowania

dotycz kadego uytkownika komputera
Zasady ogranicze oprogramowania definiowane w oknie przystawki Zasady
zabezpiecze lokalnych bd obowizyway tylko dla lokalnego komputera. Ze
wzgldu na to, e zasady dotycz caego systemu, maj wpyw na kadego uytkownika, pod warunkiem e nie zostay tak skonfigurowane, aby nie uwzgldniay
czonkw grupy Administratorzy. Jeli uyje si zasad ogranicze oprogramowania dostpnych w oknie przystawki Edytor obiektw zasad grupy, mona je skonfigurowa dla komputera lub uytkownikw, korzystajc z wza Ustawienia
zabezpiecze. Aby okreli, kogo zasady bd dotyczyy, wystarczy powiza je
z jednostkami organizacyjnymi, w ktrych znajduj si wybrane konta uytkownikw lub komputerw, bd dla obiektu GPO (Group Policy Object) aplikacji zastosowa filtrowanie polegajce na usuniciu dla danych grup uytkownikw
uprawnienia powodujcego uwzgldnienie zasady grupy.
215
Na niektre aplikacje
zasady ogranicze oprogramowania nie oddziauj
Zasady ogranicze oprogramowania nie maj wpywu na nastpujce oprogramowanie:
t sterowniki lub inne programy trybu jdra;
t programy uruchamiane przy uyciu konta SYSTEM;
t makra dokumentw stworzonych za pomoc pakietw Microsoft
Office 2000 lub XP (makrami zarzdza si za pomoc odpowiednich

ustawie zabezpiecze);
t programy tworzone dla rodowiska wykonawczego CLR (Common
Language Runtime), korzystajce z narzdzia Code Access Security Policy.
Istniej metody omijania regu

Zasady ogranicze oprogramowania uwzgldniaj reguy, ktre uniemoliwiaj
uycie okrelonej aplikacji lub zezwalaj na to. Jednak skuteczno kadej reguy
jest ograniczona. Nie oznacza to, e nie mona definiowa regu, ktre efektywnie
nie pozwalaj na zastosowanie oprogramowania. Wskazuje to jedynie, e trzeba
zapozna si z ograniczeniami kadej reguy i odpowiednio je stosowa. Oto
przykadowe ograniczenia regu:
t gdy kod aplikacji ulegnie modyfikacji, regua mieszania nie bdzie ju
obowizywaa;
t gdy zmianie ulegnie cieka aplikacji, cieka zdefiniowana w regule
nie bdzie ju wana;
t reguy stref internetowych dotycz wycznie aplikacji instalowanych
za pomoc instalatora systemu Windows;
t reguy certyfikatw bazuj na tym, e certyfikaty uzyskano od zaufanych
wystawcw.
W podrozdziale Tworzenie i stosowanie zasad ogranicze oprogramowania zamieszczono wicej informacji na temat regu.
dotyczce zasad ogranicze oprogramowania
Ograniczanie dostpu do oprogramowania nie wydaje si by trudnym zadaniem. Sprowadza si jedynie do tego, aby nie instalowa okrelonych aplikacji
i nie zezwala innym na co takiego. Problem polega na tym, e mona nie mie
216
moliwoci dokadnego kontrolowania tego, jakie oprogramowanie powinno by

instalowane, kto moe wykonywa tak operacj, a take kto bdzie mg uruchamia programy ju znajdujce si na komputerze. Pomocne bd niektre domylnie przypisane prawa systemu Windows. Aby zainstalowa aplikacj uwzgldniajc usug, uytkownik bdzie musia dysponowa prawami administratora. Jednak
wiele aplikacji nie korzysta z usug, dlatego do przeprowadzenia ich instalacji
nie s wymagane prawa administratora. Jeli uytkownik moe skopiowa plik na
dysk, tak prosta operacja moe by wszystkim, co jest niezbdne do zainstalowania aplikacji. Poniewa wiele aplikacji, takich jak narzdzia, ktrych skrty znajduj si w menu Narzdzia administracyjne, musi by obecnych w systemie,
powinno si uniemoliwi zwykym uytkownikom korzystanie z nich. Dostp do
takich programw jest kontrolowany za pomoc nadanych i narzuconych praw
uytkownika i uprawnie. Przykadowo, zwykli uytkownicy nie s w stanie tworzy lub edytowa obiektw GPO. Domylnie inne aplikacje systemowe i powizane z nimi wpisy rejestru s chronione przed okrelonego typu uytkownikami.
Zasady grupy, listy ACL obiektw i dokadne nadzorowanie praw uytkownikw
mona wykorzysta do kontrolowania dostpu do obiektw. Jednak w przypadku kiepskiej jakoci aplikacji moe by konieczne nadanie uytkownikom praw
administratora komputerw, z ktrych korzystaj.
Jeli uytkownikowi ograniczy si dostp do takich zasobw jak pliki i wpisy rejestru, mona zmniejszy ilo szkd, ktre mog by spowodowane na skutek uruchomienia nieautoryzowanych aplikacji. Jeli uytkownikw zapozna si z odpowiednimi zasadami postpowania i dokadnie bdzie si wymuszao przestrzeganie
zasad zabezpiecze, mona te zapobiec instalowaniu aplikacji. Jednak adne
z tych rozwiza nie jest w stanie cakowicie wyeliminowa moliwoci instalacji lub uycia szkodliwego oprogramowania.
UWAGA: Definiowanie zasad ogranicze oprogramowania
Pod adresem http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/
rstrplcy.mspx jest dostpny znakomity dokument Using Software Restriction
Policies to Protect Against Unauthorized Software, ktry powicono definiowaniu zasad ogranicze oprogramowania. W dokumencie uwzgldniono zastosowanie zasad w przypadku usug terminalowych i biznesowych komputerw PC, a take omwiono uycie innych zasad dla rnych uytkownikw.
Korzystajc z zasad ogranicze oprogramowania, poszerza si i ulepsza domylne

ustawienia, a take definiuje mechanizm pozwalajcy kontrolowa to, czego domylne zasady i inne operacje nie s w stanie nadzorowa. Za pomoc zasad
ogranicze oprogramowania mona zrealizowa nastpujce zadania:
t uniemoliwienie uruchomienia dowolnej aplikacji i niezalene
autoryzowanie kadego skadnika wymaganego oprogramowania;
t zezwolenie na uruchomienie wszystkich aplikacji, a nastpnie blokowanie
moliwoci uaktywniania wybranych programw.
217
Wymienione powyej podstawowe poziomy zabezpiecze pocztkowo okrelaj,

czy oprogramowanie bdzie mona uruchomi, czy nie. Po wybraniu poziomu
zabezpiecze zasady ogranicze oprogramowania bd mogy identyfikowa
aplikacje za pomoc wartoci mieszania, cieki, adresu URL lub certyfikatu do
podpisywania kodu. Na podstawie identyfikacji oprogramowania zasady bd te
zezwala na jego uruchomienie lub je uniemoliwia. Aby mona byo zdefiniowa zasad pozwalajc na uaktywnienie aplikacji lub blokujc tak moliwo, nie musi si ona znajdowa wczeniej w komputerze.
OSTRZEENIE: Automatycznie generowane reguy cieek
Tego typu reguy peni rol ochrony przed zablokowaniem wszystkim uytkownikom moliwoci korzystania z systemu. Reguy te s zawsze widoczne w kontenerze Reguy dodatkowe. Oto one:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\SystemRoot%
NT\CurrentVersion\SystemRoot%\*.exe
NT\CurrentVersion\SystemRoot%\System32\*.exe
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\ProgramFilesDir%
Oglna zasada mwi, e nie powinno si modyfikowa tych regu, jeli nie
dysponuje si bardzo du wiedz na temat rejestru i dostpu wymaganego
przez sam system.
Tworzenie i stosowanie
zasad ogranicze oprogramowania
Aby zdefiniowa zasady ogranicze oprogramowania, trzeba najpierw utworzy
podstawowe zasady, a nastpnie reguy. W tym celu naley wykona nastpujce kroki:
1. Utworzy zasad ogranicze oprogramowania.
2. Ustali poziom zabezpiecze.
3. Okreli zakres obowizywania zasady.
4. Zdefiniowa typy plikw identyfikujce pliki wykonywalne.
218
Tworzenie zasady ogranicze oprogramowania

Zasada ogranicze oprogramowania jest tworzona w kontenerze Zasady ogranicze oprogramowania znajdujcym si w oknie narzdzia Ustawienia zabezpiecze lokalnych lub przystawki Edytor obiektw zasad grupy (w przypadku usugi
Active Directory). Lokalne zasady dotycz tylko komputera, na ktrym je zastosowano, natomiast zasady grupy usugi Active Directory mog by powizane
z domenami i jednostkami organizacyjnymi, dziki czemu s w stanie w jednakowy sposb oddziaywa na wiele systemw i uytkownikw. Decyzja dotyczca
miejsca przypisania zasady wymaga przemylenia i bdzie uzaleniona od zaprojektowanej struktury usugi Active Directory. Wicej informacji na ten temat
zamieszczono w rozdziale 7. Niezalenie od tego, gdzie zasada zostanie zdefiniowana, powinno si j sprawdzi na jednym komputerze testowym posiadajcym
konfiguracj, z ktrej korzysta si podczas normalnej eksploatacji. Jeli zasada zostanie zastosowana na wielu komputerach domeny, trzeba j dokadnie sprawdzi w testowej domenie lub jednostce organizacyjnej. Trzeba pamita o duych
moliwociach zasad ogranicze oprogramowania. Moliwe jest zdefiniowanie
zasady, ktra uniemoliwi uywanie oprogramowania znajdujcego si na komputerze. Mona sobie wyobrazi, co by si stao po wdroeniu takiej zasady dla
tysicy komputerw organizacji. Jak zwykle, kwestie zwizane z wdraaniem s
najbardziej zoone. Definiowanie zasady dla jednego komputera jest prostym
zadaniem. W celu zdefiniowania lokalnej zasady ogranicze oprogramowania naley wykona nastpujce kroki:
1. Z menu Start wybra pozycj Uruchom i w polu Otwrz wprowadzi
acuch secpol.msc. Alternatywnie z menu Start wybra pozycj
Wszystkie programy/Narzdzia administracyjne/Zasady zabezpiecze

lokalnych.
2. Zaznaczy kontener Zasady ogranicze oprogramowania.
3. Jeli nie istnieje adna zasada (rysunek 4.20), prawym przyciskiem myszy
klikn kontener Zasady ogranicze oprogramowania i z menu wybra

pozycj Nowe zasady ogranicze oprogramowania.
4. Zostan utworzone domylne kontenery i obiekty pokazane na rysunku 4.21.
Ustalanie poziomu zabezpiecze

Poziom zabezpiecze okrela, czy wszystkie aplikacje bd mogy by uruchamiane bez ogranicze (niektre z nich bd identyfikowane jako te, ktrych nie
mona zaadowa), czy aden program nie bdzie mg by uaktywniony (cz
aplikacji bdzie identyfikowana jako te, ktre mona uruchomi). Czy nie jest to
proste? Niezalenie od podjtej decyzji trzeba bdzie troch si natrudzi. Ponadto troch niezrozumiay moe by uywany interfejs.
219
Rysunek 4.20. Domylnie nie istnieje adna zasada ogranicze oprogramowania
Rysunek 4.21. Operacja definiowania zasad powoduje wygenerowanie kontenerw
Aby umoliwi uruchamianie wszystkich programw, a nastpnie zablokowa tak

moliwo dla niektrych z nich, trzeba zastosowa poziom zabezpiecze Bez
ogranicze (nie ma on wcale innej nazwy, takiej jak na przykad uruchamianie
umoliwione, OK lub moliwe uaktywnienie oprogramowania, gdy inaczej
nie wskazano). Domylnie wanie ten poziom jest aktywny. Mona stwierdzi, e
by moe taka nazwa ma sens. W kocu s to zasady ogranicze oprogramowania.
220
Dopki dla oprogramowania nie zdefiniowano ogranicze, jest bez ogranicze.

Jednak alternatywny poziom zabezpiecze nosi nazw Niedozwolone, a nie
ograniczone. Gdy wszystkie aplikacje s ograniczone, jest aktywny poziom Niedozwolone.
Tego typu problem z nazewnictwem wystpuje te w przypadku regu. Kada regua posiada wasny poziom zabezpiecze Niedozwolone lub Bez ogranicze.
Wicej na ten temat bdzie przy okazji omawiania poszczeglnych typw regu.
Jeli tylko zrozumie si znaczenie oficjalnie stosowanych nazw, uniknie si sytuacji, w ktrej tysice uytkownikw nie bdzie mogo skorzysta ze swoich
komputerw. Trzeba pamita, e Bez ogranicze oznacza, e mona uruchomi
wszystko, co nie zostao ograniczone. Z kolei Niedozwolone oznacza, e nic nie
mona uruchomi, jeli nie zostanie to umoliwione. W praktyce poziom zabezpiecze Niedozwolone powinno si ustawia tylko wtedy, gdy znane s wszystkie
aplikacje, ktre musz by uruchomione. W przeciwnym razie naley zastosowa
poziom zabezpiecze Bez ogranicze, ktry domylnie jest aktywny. Paradoksalnie, ustawienie poziomu zabezpiecze Niedozwolone, a nastpnie usunicie ogranicze tylko dla tych programw, ktre mog by uruchamiane, pozwala uzyska
bezpieczniejsze rodowisko. Jednak jest to trudniejsze do osignicia, ni mogoby si pocztkowo wydawa.
W celu ustawienia poziomu zabezpiecze dla zasady naley wykona nastpujce kroki:
1. Rozwin wze Zasady ogranicze oprogramowania.
2. Dwukrotnie klikn kontener Poziomy zabezpiecze.
3. W prawym panelu pojawi si dostpne poziomy. Ikona poziomu, ktry
w danej chwili jest domylny, bdzie opatrzona symbolem zaznaczenia.

Jeli zamierza si dokona zmian, dwukrotnie naley klikn dany poziom
zabezpiecze (Bez ogranicze lub Niedozwolone).
4. Aby poziomowi zabezpiecze przypisa rol domylnego, naley klikn
przycisk Ustaw jako domylny (rysunek 4.22).
Okrelanie zakresu obowizywania zasady

Lokalne zasady ogranicze oprogramowania dotycz komputera, natomiast zasady ogranicze oprogramowania dostpne w oknie przystawki Edytor obiektw
zasad grupy obowizuj dla komputera lub uytkownika. Aby administratorzy nie
byli objci zakresem oddziaywania zasad, naley zastosowa regu wymuszania
Wszyscy uytkownicy oprcz administratorw lokalnych. Mona rwnie uaktywni regu Wszyscy uytkownicy, co spowoduje, e zasada bdzie dotyczya
221
Rysunek 4.22. Moliwa jest zmiana domylnego poziomu zabezpiecze
wszystkich uytkownikw, cznie z czonkami grupy Administratorzy. Jeli uytkownicy musz by na swoich komputerach czonkami lokalnej grupy Administratorzy, nie wolno stosowa reguy wymuszania Wszyscy uytkownicy oprcz
administratorw lokalnych.
Inny typ reguy wymuszania decyduje o tym, czy bd ograniczone biblioteki
oprogramowania, ktre s plikami z kodem nie uruchamianymi, lecz wykorzystywanymi przez pliki wykonywalne. W wikszoci przypadkw s to pliki bibliotek DLL. Naley zastosowa regu wymuszania Wszystkie pliki oprogramowania
oprcz bibliotek (takich jak DLL) lub Wszystkie pliki oprogramowania. Uycie
pierwszej reguy pozwala uproci tworzenie zasady i zapobiega spadkowi wydajnoci. Regua Wszystkie pliki oprogramowania oprcz bibliotek (takich jak DLL)
zakada, e gdy umoliwi si uruchomienie aplikacji, maj by dostpne jej biblioteki. Z kolei gdy zamierza si uniemoliwi uaktywnienie aplikacji, regua
zakada, e jej biblioteki nie maj by dostpne. Regua nie zarzdza bibliotekami.
Mona te wymaga bardziej cisej kontroli. Jednak w tym przypadku trzeba
pamita, e sprawdzanie biblioteki DLL moe przyczyni si do spadku wydajnoci. Kada aplikacja uruchamiana przez uytkownika spowoduje sprawdzenie
powizanej z ni zasady. Gdy uruchomi si 10 programw, bdzie miao miejsce
222
10 takich operacji. Jeli kada aplikacja uyje 15 bibliotek DLL i uaktywni si

regu wymuszajc ich sprawdzanie, w sumie zostanie wykonanych 150 sprawdze. Biblioteki zawieraj kod, do ktrego dostp moe by udzielony innym,
niezarzdzanym aplikacjom. Jeli uycie bibliotek moe spowodowa przypadkowe lub celowe szkody, to aby je kontrolowa, naley uaktywni regu wymuszania Wszystkie pliki oprogramowania.
OSTRZEENIE: Zastosowanie reguy Wszystkie pliki
oprogramowania wie si z dodatkowym nakadem
pracy polegajcej na identyfikowaniu bibliotek DLL
i zapisywaniu regu
Trzeba wiedzie, e gdy ustawi si poziom zabezpiecze Niedozwolone i zastosuje regu wymuszania Wszystkie pliki oprogramowania, to w celu umoliwienia uruchomienia okrelonej aplikacji konieczne bdzie zidentyfikowanie
wszystkich jej bibliotek i przypisanie im poziomu Bez ogranicze. Moe to
by uciliwe zadanie.
W celu skonfigurowania reguy wymuszania naley wykona nastpujce kroki:

1. Zaznaczy i rozwin wze Zasady ogranicze oprogramowania.
2. W prawym panelu dwukrotnie klikn obiekt Wymuszanie, co spowoduje
wywietlenie okna waciwoci (rysunek 4.23).
Rysunek 4.23. Definiowanie dla zasady regu wymuszania
223
3. Okreli regu wymuszania zasad ogranicze oprogramowania
dla skadnikw aplikacji.
4. Okreli regu wymuszania zasad ogranicze oprogramowania
dla uytkownikw.
5. Klikn przycisk OK, aby zamkn okno Waciwoci: Wymuszanie.
Definiowanie typw plikw identyfikujcych pliki wykonywalne

Co definiuje plik wykonywalny? Jakiego typu pliki bd ograniczone, gdy ustawi
si poziom zabezpiecze Niedozwolone? Aby uzyska odpowiedzi na te pytania,
naley wywietli okno waciwoci obiektu Wyznaczone typy plikw powizanego z zasad (rysunek 4.24).
Rysunek 4.24. W oknie Wyznaczone typy plikw znajduj si typy plikw wykonywalnych
obsugiwanych przez zasad ogranicze oprogramowania
W oknie mona przeglda, dodawa lub usuwa typy plikw wykonywalnych

programw objtych zakresem zasady. Dziki temu oknu mona uaktualnia zasady, gdy nowa aplikacja bdzie korzystaa z nowego typu plikw wykonywalnych.
Dostp do tego okna konfiguracyjnego powinien by chroniony. Wynika to std,
e uytkownik ze zymi intencjami, ktry bdzie w stanie usun z okna rozszerzenie pliku, moe omin zasady ogranicze oprogramowania.
224
Aby sprawdzi lub zmodyfikowa wyznaczone typy plikw wykonywalnych, naley wykona nastpujce kroki:
1. Zaznaczy wze Zasady ogranicze oprogramowania.
2. W prawym panelu dwukrotnie klikn obiekt Wyznaczone typy plikw
znajdujcy si w wle Zasady ogranicze oprogramowania.
3. Przewin zawarto okna pokazanego na rysunku 4.24, aby zorientowa
si, jakie typy plikw s identyfikowane jako skadniki oprogramowania.
4. W celu usunicia typu pliku zaznaczy go, a nastpnie klikn przycisk
Usu. Klikn przycisk Tak, aby zamkn wywietlone okno komunikatu.
5. W celu dodania typu pliku w polu Rozszerzenie pliku poda jego
rozszerzenie i klikn przycisk Dodaj.
6. Klikn przycisk OK, aby zamkn okno.
Okrelanie ustawie obiektu Zaufani wydawcy

Zaufanymi wydawcami s organizacje, ktrym si ufa w zakresie udostpniania
bezpiecznego kodu. Obiekt Zaufani wydawcy dotyczy jedynie kontrolek ActiveX
i innych danych opatrzonych podpisem. Zaufane aplikacje s identyfikowane
w systemie za pomoc ich certyfikatw. Aplikacje takie swj kod podpisuj przy
uyciu klucza prywatnego. Okrelajc zaaprobowanych i zaufanych wydawcw,
mona kontrolowa to, czy na komputerze mona uruchamia oprogramowanie
z podpisem i bez niego. W celu dodania zaufanych wydawcw ich certyfikat naley zaimportowa do kontenera Zaufani wydawcy znajdujcego si w magazynie
certyfikatw komputera.
Opcje obiektu Zaufani wydawcy widoczne na rysunku 4.25 umoliwiaj zdecydowanie, kto moe wybiera wydawcw certyfikatw i co powinno zosta sprawdzone przed uznaniem certyfikatu za wany.
W celu ustalenia, kto bdzie upowaniony do wybierania zaufanych wydawcw,
naley klikn opcj Uytkownicy kocowi, Administratorzy komputera lokalnego lub Administratorzy przedsibiorstwa. Domylnie w przypadku caych domen
lub grup komputerw tylko administratorzy domeny i przedsibiorstwa mog
okrela zaufanych wydawcw. Jeli zasada nie jest kontrolowana na wyszym
poziomie, w lokalnym systemie akceptowaniem oferowanych certyfikatw jako
zaufanych mog si zajmowa lokalni uytkownicy i administratorzy. Jeli moliwoci zatwierdzania certyfikatw bd dysponowali wycznie administratorzy,
uytkownicy nie bd mogli klikn przycisku OK, gdy podczas pobierania lub
instalowania oprogramowania zostanie im zaoferowany certyfikat. Gdy zastosuje
si takie ograniczenie, uniemoliwi si na przykad uytkownikom podejmowanie
decyzji dotyczcych ufania kontrolkom ActiveX, ktre mog prbowa pobra
225
Rysunek 4.25. Opcje obiektu Zaufani wydawcy pozwalaj okreli,

kto moe akceptowa wydawcw, ktrych obdarzy si zaufaniem
z internetu lub otrzyma w zaczniku wiadomoci pocztowej. W kocu nikt nie

musi przej testu etycznego, aby zakupi lub uzyska certyfikat podpisujcy kod.
Certyfikat umoliwia jedynie uwierzytelnienie w okrelony sposb podpisujcego. Tworzc reguy certyfikatw, mona w szerszym zakresie wykorzysta certyfikaty do kontrolowania oprogramowania.
W celu okrelenia wanoci certyfikatu mona wymaga zastosowania informacji
na temat wydawcy (opcja Wydawca), sygnatury czasowej (opcja Sygnatura czasowa) lub obu. Zaznaczenie opcji Wydawca spowoduje, e konieczne bdzie sprawdzenie, czy certyfikat nie zosta anulowany. Z kolei kliknicie opcji Sygnatura
czasowa sprawi, e zostanie sprawdzone, czy certyfikat nie straci wanoci.
Definiowanie regu zasad ogranicze oprogramowania

Reguy zasad ogranicze oprogramowania dotycz okrelonych aplikacji (wykorzystujc reguy mieszania, certyfikatw, cieek i adresw URL), ich lokalizacji
(reguy cieek i adresw URL), a take wpisw rejestru. Z kadym typem reguy
s zwizane zalety i wady. Przykadowo, jedna regua cieek moe zezwala na
uruchamianie duej grupy aplikacji lub uniemoliwia to. Jeli jednak uytkownik bdzie mg skopiowa plik w inne miejsce, moe by w stanie wykona kod.
226
PRZYKAD OGRANICZANIA OPROGRAMOWANIA

W firmie, z ktr wsppracowaam, pracownik sam zarzdza wasnym komputerem.
Pobiera z internetu fajne narzdzia i sterowniki, przynosi oprogramowanie z domu
i spdza wiele godzin przy grze Pasjans lub FreeCell. Pracownik przekona nawet osoby
dysponujce odpowiednimi moliwociami do tego, e jego konto musi by czonkiem
lokalnej grupy administratorw systemu Windows XP Professional. Pniej firma zastosowaa zasady ogranicze oprogramowania. Pierwsz rzecz, ktr pracownik zauway, byo to, e nie mg gra w gr Pasjans. Po dwukrotnym klikniciu skrtu programu sol.exe znajdujcego si na pulpicie pojawia si komunikat ostrzeenia widoczny
na rysunku 4.26. W zwizku z tym pracownik skopiowa plik programu do innego folderu, aby mie moliwo zagrania. Rwnie to zakoczyo si niepowodzeniem. Pracownik by mocno poirytowany. Stwierdzi, e wiele innych dotychczasowych rozrywek
stao si nieaktualnych. Nie mona ju byo pobiera dowolnej aplikacji, a take okazao
si, e pracownik nie dysponowa penymi przywilejami administratora komputera. Utraci kontrol nad nim i nie mg znale sposobu na ominicie restrykcji. W kocu sfrustrowany pracownik dowiedzia si, e przyczyn kopotw jest nowy administrator,
ktry przekona zarzd do zastosowania zasad ogranicze oprogramowania. Pracownik
prbowa dokona sabotau skierowanego przeciwko zasadom i nowemu administratorowi. W tym celu zacz usuwa pliki wykonywalne aplikacji, ktrych uruchamianie
przypuszczalnie byo mu umoliwione, lub przenosi programy w miejsce identyfikowane przez cieki objte zakresem zasad ograniczajcych. Gdy pracownikowi nie udao
si uruchomi programw, informowa o tym i docza wszystkie komunikaty o bdzie,
ktre udao mu si wygenerowa.
Rysunek 4.26. Gdy uytkownik sprbuje uruchomi ograniczone oprogramowanie,

pojawi si komunikat ostrzeenia
Nowy administrator omal nie straci pracy, natomiast zasady ogranicze oprogramowania byy obwiniane za problemy. Na szczcie administrator mg uaktywni inspekcj komputera pracownika i stwierdzi, jakie dziaania podejmowa. Poniewa dysponowa takim dowodem, to pracownik musia odej z firmy.
Od tego czasu wszystkie zasady ogranicze oprogramowania byy wspierane przez odpowiednie listy ACL plikw, ktre uniemoliwiay wykonanie szkodliwych operacji, wspomagay ograniczanie (odmowa wykonywania) i rejestroway prby uzyskania przez
uytkownika dostpu i przeprowadzenia ewentualnych atakw.
227
Kada regua mieszania moe by uyta tylko dla jednego pliku wykonywalnego,
uniemoliwiajc uytkownikowi jego uruchomienie niezalenie od tego, jaka bdzie rdowa lokalizacja pliku, jego cieka lub nazwa. Jeli jednak oprogramowanie zmieni si (wirus ulegnie mutacji lub pojawi si nowa wersja gry), konieczne
bdzie utworzenie kolejnej reguy. Najlepiej nie polega tylko na jednym typie
reguy, a zwaszcza nie definiowa regu i nie pozostawa w przekonaniu, e nigdy
nie bdzie trzeba ich ponownie konfigurowa. Ponadto warto nawet zastosowa
listy ACL plikw, aby dodatkowo kontrolowa dostp uytkownika do obiektw
wykonywalnych.
Tworzone mog by nastpujce cztery typy regu:
t reguy mieszania,
t reguy certyfikatw,
t reguy cieki uwzgldniajce reguy cieek plikw i rejestru,
t reguy strefy internetowej.
Aby sfinalizowa definiowanie zasad ogranicze oprogramowania, trzeba utworzy reguy. Najpierw naley stwierdzi, ktre programy musz by uruchamiane,
a ktre nie. W dalszej kolejnoci naley okreli typ uytych regu, a nastpnie
je utworzy. Zadanie polegajce na zidentyfikowaniu aplikacji, ktre powinny
i nie powinny by uaktywniane, nie jest proste. Konieczne bdzie sprawdzenie
zasady zabezpiecze i zada realizowanych przez uytkownikw komputerw,
a nastpnie skonsultowanie si z zarzdem. Sugestie zamieszczone w tabeli 4.3
mog by pomocne w podjciu decyzji dotyczcej typu regu, ktre zostan uyte.
Tabela 4.3. Najlepsze praktyki dotyczce okrelania typw regu
Regua
Przeznaczenie
Regua mieszania
Zezwala na uruchomienie pliku programu posiadajcego

okrelon warto mieszania lub uniemoliwia to.
Regua strefy
Umoliwia instalowanie oprogramowania pochodzcego

z zaufanych witryn WWW strefy internetowej.
Regua cieki
Zezwala na uruchomienie pliku programu, ktry zawsze jest

instalowany w tym samym miejscu lub uniemoliwia to.
Regua certyfikatu
Identyfikuje zestaw skryptw, ktre mog by wykonywane.
Regua cieki rejestru
Zezwala na uruchomienie pliku programu, ktrego cieka

jest przechowywana w rejestrze lub uniemoliwia to.
Regua cieki zgodnej z formatem UNC

(np. \\SERWER\udzia)
Zezwala na uruchomienie zestawu skryptw zlokalizowanych

na serwerze lub uniemoliwia to.
Dwie reguy cieki *.vbs z ustawionym poziomem

zabezpiecze Niedozwolone i \\LOGIN-XRV\udzia\*.vbs
z okrelonym poziomem Bez ogranicze
Dwie reguy cieki uniemoliwiaj uruchomienie wszystkich

plikw skryptw .vbs z wyjtkiem skryptw logowania.
Regua cieki flcss.exe z ustawionym poziomem

Niedozwolone
Uniemoliwia uaktywnienie nowego wirusa, ktrego plik

zawsze nosi nazw flcss.exe.
228
Gdy wiele regu dotyczy tego samego pliku programu, kolejno ich stosowania
bdzie zalee od ustalonej zasady pierwszestwa. Kolejno regu (wedug pierwszestwa) jest nastpujca:
t regua mieszania,
t regua certyfikatu,
t regua cieki,
t regua strefy internetowej.
Jeli na przykad w przypadku zasady, dla ktrej ustawiono poziom zabezpiecze

Bez ogranicze, regua cieki uniemoliwia uruchomienie oprogramowania, natomiast regua mieszania pozwala na to, pierwszestwo bdzie mie druga regua,
dziki czemu aplikacj bdzie mona uaktywni. Gdy zastosuje si wiele regu
cieek, jako pierwsza zostanie uyta najbardziej restrykcyjna. Jeli na przykad regu cieki zdefiniowano dla folderu C:\moje_oprogramowanie, uniemoliwi ona
uruchomienie aplikacji (dla reguy jest ustawiony poziom zabezpiecze Niedozwolone). Jeli jednak dla folderu C:\moje_oprogramowanie\zatwierdzone
zdefiniowano kolejn regu cieki i ustawiono poziom zabezpiecze Bez
ogranicze, bdzie mona uruchomi programy zlokalizowane w tym folderze.
UWAGA: Reguy dotyczce wirusw
Zasady ogranicze oprogramowania nie maj zastpowa programw antywirusowych. Trzeba pamita o tym, e reguy mieszania nie zadziaaj, gdy pliki
zostan zmodyfikowane (wirusy czsto si mutuj). Ponadto czsto zmieniaj
si nazwy wirusw. Programy antywirusowe rozpoznaj wzorce lub sygnatury
wirusw i s bardziej skuteczne w zapobieganiu infekcji. Warto jednak utworzy zasad ogranicze oprogramowania, ktra zwikszy poziom ochrony,
gdy zidentyfikuje si nowy wirus, dla ktrego producent programu antywirusowego nie opracowa jeszcze sygnatury.
Przed zastosowaniem reguy w systemach produkcyjnych powinno si j sprawdzi w rodowisku testowym. Po skonfigurowaniu reguy, lecz jeszcze przed
rozpoczciem testowania jej naley ponownie uruchomi system, aby mie pewno, e regua zacza obowizywa.
Reguy mieszania
Dziaanie regu mieszania polega na generowaniu wartoci mieszania dla pliku
wykonywalnego. Funkcja mieszania jest w stanie pobra dowoln ilo informacji i zredukowa j do unikatowej wartoci mieszania o standardowym rozmiarze.
W idealnej sytuacji adne dwa pliki programw przetworzone przez ten sam algorytm mieszania nie spowoduj wygenerowania identycznej wartoci mieszania.
229
Za pomoc reguy mieszania mona ogranicza programy dysponujce podpisem i pozbawione go. W przypadku podpisanego programu warto mieszania
moe by generowana za pomoc algorytmu MD5 lub SHA-1. Tworzona regua
mieszania uyje dowolnej moliwej wartoci mieszania. Jeli plik nie jest podpisany, zostanie uyty algorytm mieszania MD5. Regua mieszania zawiera warto mieszania, dugo pliku i identyfikator okrelajcy zastosowany algorytm
mieszania.
UWAGA: Zawsze naley wybiera algorytmy mieszania
odporne na kolizj
Cho kolizja (wygenerowanie dla rnych danych identycznej wartoci mieszania) jest zawsze moliwa, jej wystpienie jest mao prawdopodobne. Wybierajc algorytmy mieszania, projektanci powinni rozway te, ktre w danej chwili s uwaane ze mniej podatne na kolizje. To samo powinni uwzgldni
administratorzy wybierajcy aplikacje. W celu uzyskania dodatkowych informacji
naley zapozna si z dokumentem dostpnym pod adresem http://www.rsasecurity.com/rsalabs/node.asp?id=2738, w ktrym zamieszczono wyniki bada
przeprowadzonych w 2004 r., dotyczcych kolizji zwizanych ze stosowaniem
algorytmu MD5.
Gdy uytkownik prbuje uruchomi program, dla ktrego zdefiniowano regu

mieszania, jest generowana nowa warto mieszania i porwnywana z wartoci
znajdujc si w regule. Jeli wartoci oka si zgodne i dla reguy mieszania
ustawiono poziom zabezpiecze Niedozwolone, program nie zostanie uaktywniony, niezalenie od tego, skd dokonano prby jego uruchomienia. Jeli na przykad regu mieszania utworzono dla programu sol.exe, bdzie dla niego obowizywaa, niezalenie od lokalizacji pliku wykonywalnego lub miejsca, z ktrego
sprbuje si go uaktywni. Nadal tak bdzie, nawet gdy zmieni si nazw pliku
programu. Uytkownicy nie mog obej reguy, kopiujc plik do innego folderu.
Jeli jednak plik wykonywalny zostanie zmodyfikowany, warto mieszania wygenerowana przy prbie jego uruchomienia nie bdzie zgodna z wartoci mieszania adnej z regu, co spowoduje uaktywnienie programu. W celu zdefiniowania
reguy mieszania naley wykona nastpujce kroki:
1. Wywietli zawarto wza Zasady ogranicze oprogramowania.
2. Prawym przyciskiem myszy klikn kontener Reguy dodatkowe i z menu
wybra pozycj Nowa regua mieszania.
3. W oknie dialogowym Nowa regua mieszania klikn przycisk Przegldaj.

4. Odszuka i wybra plik wykonywalny, dla ktrego zostanie zdefiniowana
regua mieszania.
230
5. Klikn przycisk Otwrz, aby zatwierdzi wybr pliku i powrci do okna
dialogowego.
6. Dla pliku zostanie wygenerowana warto mieszania i umieszczona w polu
tekstowym Mieszanie pliku. Pole Informacje o pliku zostanie automatycznie

wypenione (rysunek 4.27).
Rysunek 4.27. Po odszukaniu pliku warto mieszania zostanie skopiowana

z cyfrowego podpisu pliku lub wygenerowana
7. W polu Poziom zabezpiecze wybra warto Niedozwolone lub Bez
ogranicze. Jeli aktualnym poziomem jest Bez ogranicze, w celu

uniemoliwienia uruchomienia okrelonego programu naley ustawi
warto Niedozwolone. Gdy jest aktywny poziom zabezpiecze
Niedozwolone, po wybraniu wartoci Bez ogranicze moliwe bdzie
uruchomienie programu. Trzeba pamita o tym, e poziom Niedozwolone
uniemoliwia uaktywnienie programu, natomiast poziom Bez ogranicze
zezwala na to.
8. Wprowadzi opis reguy.

9. Klikn przycisk OK, aby zakoczy tworzenie reguy i powrci do okna
zasad ogranicze oprogramowania.
231
UWAGA: Jeli plik wykonywalny ulegnie zmianie,

zwizana z nim regua mieszania przestanie obowizywa
Trzeba pamita, e gdy plik wykonywalny zostanie zmodyfikowany, zwizana
z nim regua mieszania przestanie obowizywa. Nie jest istotne, jak znaczca
jest zmiana. Dostpne s proste i darmowe narzdzia, ktre umoliwiaj wprowadzenie niewielkich modyfikacji. Program reshack.exe jest przykadem takiego
narzdzia. Czsto jest stosowany do modyfikowania zasobw (takich jak ikona)
pliku wykonywalnego systemu Windows. Zdeterminowany uytkownik moe
z atwoci znale takie narzdzie i opanowa jego obsug. Powoduje to konieczno uwiadomienia w zakresie zasad bezpieczestwa. Nie powinno si
wyjania uytkownikom, w jaki sposb wprowadza tego typu zmiany, lecz
poinformowa administratorw, e co takiego jest moliwe, by mogli opracowa alternatywne techniczne rozwizania przeciwdziaajce temu. W takim
przypadku lepszym wariantem bdzie najpierw uniemoliwienie uaktywnienia
wszystkich aplikacji, a nastpnie zezwalanie na uruchomienie tylko zaakceptowanych plikw wykonywalnych.
Reguy certyfikatw
Reguy certyfikatw mog zezwala na uruchomienie oprogramowania lub blokowa tak moliwo na podstawie cyfrowego podpisu powizanego z plikiem.
Regua certyfikatu identyfikuje certyfikat wydawcy podpisujcy kod aplikacji.
Regua sprawdza plik, korzystajc z wartoci mieszania znajdujcej si w podpisie pliku. Pooenie pliku nie ma znaczenia. Jeli aplikacj podpisano przy uyciu
jednego z certyfikatw okrelonych w reguach certyfikatw, dla pliku wykonywalnego zostanie zastosowany poziom zabezpiecze ustawiony dla reguy.
Regu certyfikatu mona wykorzysta, gdy zasady zabezpiecze firmy wymagaj, aby wszystkie skrypty ActiveX byy podpisane za pomoc okrelonego cyfrowego podpisu.
Reguy certyfikatw obowizuj tylko typy plikw zdefiniowane w elemencie Wyznaczone typy plikw. Aby zdefiniowa tego typu regu, trzeba dysponowa kopi certyfikatu powizanego z podpisanymi plikami. Reguy certyfikatw mona
te uaktywnia za pomoc przystawki Zasady grupy. Przykadowo, aby zastosowa regu certyfikatu zezwalajc na wykonanie tylko tych skryptw jzyka Visual
Basic, ktre zostay podpisane przy uyciu certyfikatu organizacji, naley wykona
nastpujce operacje:
t umoliwienie za pomoc przystawki Zasady grupy stosowania regu
certyfikatw;
t podpisanie skryptw jzyka Visual Basic;

t umieszczenie kopii certyfikatu w dostpnej lokalizacji;
232
t zdefiniowanie reguy cieki uniemoliwiajcej wykonanie wszystkich
skryptw tego typu (*.vbs);
t utworzenie reguy certyfikatu identyfikujcej certyfikat i ustawienie
dla niej poziomu zabezpiecze Bez ogranicze.
Aby umoliwi stosowanie regu certyfikatw, naley wykona nastpujce kroki:

1. Uruchomi edytor zasad grupy obowizujcych dla lokalnego komputera
(przystawka Edytor obiektw zasad grupy w przypadku domeny usugi

Active Directory lub narzdzie Zasady zabezpiecze lokalnych,
gdy korzysta si z autonomicznego komputera).
2. Zlokalizowa wze Ustawienia zabezpiecze/Zasady lokalne/
Opcje zabezpiecze.
3. Dwukrotnie klikn zasad Ustawienia systemowe: uyj regu certyfikatw
plikw wykonywalnych systemu Windows dla Zasad ogranicze

oprogramowania.
4. Zaznaczy opcj Wczone (rysunek 4.28).
Rysunek 4.28. W celu umoliwienia uycia regu certyfikatw trzeba uaktywni

odpowiedni opcj zabezpiecze
5. Klikn przycisk OK, aby zamkn okno i uaktywni now opcj
zabezpiecze.
W celu utworzenia reguy certyfikatu naley wykona nastpujce kroki:

wybra pozycj Nowa regua certyfikatu.
3. Za pomoc przycisku Przegldaj zlokalizowa certyfikat.
233
4. Ustali poziom zabezpiecze.

5. Klikn przycisk OK, aby zakoczy definiowanie reguy.
Reguy strefy internetowej

Reguy strefy internetowej dotycz aplikacji instalowanych za pomoc instalatora
systemu Windows. Tego typu reguy okrelaj, czy mona zainstalowa aplikacj
pochodzc z witryny WWW nalecej do strefy internetowej. Mona wybiera
takie strefy jak Komputer lokalny, Internet, Lokalny intranet, Witryny z ograniczeniami i Zaufane witryny.
Aby zdefiniowa regu strefy internetowej, naley wykona nastpujce kroki:
wybra pozycj Nowa regua strefy internetowej.
3. Wybra stref, ktra bdzie kontrolowana.

4. Ustali dla reguy poziom zabezpiecze (rysunek 4.29).
Rysunek 4.29. Reguy strefy internetowej okrelaj, czy mona zainstalowa aplikacj
pochodzc z witryny WWW nalecej do kontrolowanej strefy
5. Klikn przycisk OK, aby zakoczy definiowanie reguy.
234
Reguy cieek plikw i rejestru

Reguy cieek s powizane z zasadami ograniczajcymi aplikacje, ktrych pliki
wykonywalne znajduj si w miejscu identyfikowanym przez okrelon ciek.
Mona wyrni reguy cieek plikw i rejestru. Definiujc systemow ciek
plikw, mona zastosowa znaki wieloznaczne, takie jak * i ?, a take zmienne
rodowiskowe, takie jak %ProgramFiles% lub %SystemRoot%. Jeli lokalizacja
pliku systemowego moe by inna na poszczeglnych komputerach, a znana jest
cieka rejestru identyfikujca jego pooenie, mona utworzy regu cieki
rejestru. cieki rejestru musz by zawarte w znakach %, natomiast identyfikowane przez nie wpisy musz by typu REG_SZ lub REG_EXPAND_SZ. Nie mona
w ciece rejestru umieszcza skrtw, takich jak HKLM lub HKCU.
Jeli dysponuje si programami, ktre musz by uruchamiane podczas adowania
systemu, i realizuje si to za pomoc klucza rejestru Run, dla cieki rejestru
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run naley utworzy regu cieki i ustawi dla niej poziom zabezpiecze Bez ogranicze.
Jeli programy nie maj by uruchamianie podczas adowania systemu, powinno
si zdefiniowa identyczn regu cieki jak powysza i ustawi dla niej poziom
zabezpiecze Niedozwolone.
W celu utworzenia reguy cieki naley wykona nastpujce kroki:
wybra pozycj Nowa regua cieki.
3. Wprowadzi ciek (rysunek 4.30).

4. Klikn przycisk OK, aby zamkn okno i zakoczy definiowanie zasady.
HAKOWANIE POZIOMW ZABEZPIECZE

ZASAD OGRANICZAJCYCH OPROGRAMOWANIE
Administratorzy czsto s w delikatny sposb przekonywani do tego, aby ufa kontrolkom sucym do zarzdzania, znajdujcym si w graficznym interfejsie uytkownika, a take publicznie dostpnej dokumentacji dotyczcej narzdzi wiersza polece
i modyfikowania rejestru. Czsto zapominaj o sporej iloci kodu umieszczonego pod
udostpnianym interfejsem, ktry w rwnym stopniu mg zosta napisany przez osoby
majce dobre, jak i osoby majce ze intencje. Sowo hakowanie zawarte w powyszym nagwku nie powinno by kojarzone z nielegalnymi dziaaniami lub lekcewaeniem potrzeby waciwego testowania i planowania. Sowo ma peni rol ostrzeenia.
Nie sugeruje si w ten sposb Czytelnikowi, aby sprbowa nielegalnie zdoby kod
rdowy systemu Windows lub zastosowa dla niego inynieri odwrotn.
235
Podobnie jak w przypadku kadego dobrego haka, tu omwiony nie jest przeznaczony dla kadego administratora systemu Windows ani nadajcy si do zastosowania
w dowolnej sytuacji. Ponadto wymaga dokadnego sprawdzenia w zarzdzanym rodowisku w celu stwierdzenia, czy bdzie si nadawa. Trzeba uprzedzi, e poniszy hak
moe uszkodzi aplikacje. Zalecane jest szczegowe zapoznanie si z artykuami dostpnymi pod adresami http://msdn.microsoft.com/library/default.asp?url=/library/en-us/
dncode/html/secure11152004.asp i http://msdn.microsoft.com/library/default.asp?url=/
library/en-us/dncode/html/secure01182005.asp. W artykuach omwiono inne metody
ograniczania praw uytkownikw bez stosowania niezalenej tosamoci uytkownika.
Zawarto w nich te ostrzeenie, e wymienione technologie mog ulec zmianie w przyszych wersjach systemu Windows.
Hak polega na zmodyfikowaniu rejestru w taki sposb, e dostpne staj si trzy
nowe poziomy zabezpiecze zasad ogranicze oprogramowania. Oto one:
t Uytkownik podstawowy. Uytkownik nie dysponuje prawami administratora
lub uytkownika zaawansowanego.
t Z ograniczeniami. Ga rejestru HKEY_CURRENT_USER jest tylko do odczytu.
Zmienna rodowiskowa %USERPROFILE% jest niedostpna. Nie dziaaj niektre

operacje kryptograficzne, takie jak negocjowanie zwizane z protokoem SSL.
t Niezaufane. Jeszcze wiksze ograniczenia ni w przypadku poziomu
Z ograniczeniami. Jednak nie s udokumentowane.
Kady z wymienionych poziomw umoliwia uruchomienie programu, dla ktrego ustalono poziom zabezpiecze Bez ogranicze, z tym e zmniejszajc przywileje uytkownika, ogranicza zakres operacji, ktre moe wykona. Jest to wane, poniewa uytkownicy mog wymaga okrelonych praw do uruchomienia wybranych aplikacji, ale
te bd w stanie uaktywni wiele innych programw, nie posiadajc tych uprawnie.
Uruchamianie dowolnej aplikacji z jak najmniejszymi przywilejami zawsze bdzie uwaane za polecan praktyk dotyczc zabezpiecze. Przykadowo, nie jest dobrym pomysem uruchomienie programu Internet Explorer z uprawnieniami administratora
w celu przegldania stron internetowych. Aby ograniczy to, kto moe korzysta z przegldarki Internet Explorer, naley zastosowa zasad ogranicze oprogramowania i ustawi poziom zabezpiecze Uytkownik podstawowy.
W celu udostpnienia w wle Zasady ogranicze oprogramowania nowego poziomu
zabezpiecze Uytkownik podstawowy naley zmodyfikowa rejestr. Po uruchomieniu
programu Edytor rejestru naley odszuka klucz HKEY_LOCAL_MACHINE\SOFTWARE\
Policies\Microsoft\Windows\Safer\CodeIdentifiers, a nastpnie utworzy wpis typu DWORD
o nazwie Levels i wartoci 0x00031000.
236
Rysunek 4.30. Reguy cieki plikw i rejestru identyfikuj lokalizacje, z ktrych aplikacje
mog by uruchamiane lub nie
Rozwizywanie problemw zwizanych

z zasadami ogranicze oprogramowania
Wiele problemw dotyczcych zasad ogranicze oprogramowania jest wynikiem
tego, e administratorzy lub uytkownicy nie rozumiej, w jaki sposb zasady s
tworzone. Moe wystpi kilka nastpujcych problemw:
t Uytkownicy narzekaj, e na ich komputerach pojawia si komunikat
System Windows nie moe otworzy tego programu, poniewa jest on

chroniony przez zasady ogranicze oprogramowania. Moe by on zgodny
z oczekiwaniami, gdy uytkownicy nie powinni mie moliwoci
uruchomienia aplikacji. Zanim zmodyfikuje si zasad ogranicze
oprogramowania, naley zastanowi si, dlaczego j zdefiniowano.
Jeli uytkownik powinien by w stanie uaktywni aplikacj, naley
poszuka konfliktw, ktre mog wystpowa midzy zasadami (naley
sprawdzi kolejno ich stosowania) i stwierdzi, czy zasad zdefiniowano
dla waciwej jednostki organizacyjnej, domeny usugi Active Directory
lub komputera (dotyczy lokalnych zasad zabezpiecze).
237
t Uytkownik zgasza, e nie moe uruchomi aplikacji, mimo e susznie
dysponuje odpowiednim prawem. W przypadku domeny istnieje kilka

zasad ograniczajcych oprogramowanie, ktre mog obowizywa
dla uytkownika. Sprawdzajc identyfikator GUID powizany z regu,
ktra jest przyczyn problemu, mona zidentyfikowa zasad sprawiajc
kopoty. Kadej regule zasad ograniczajcych oprogramowanie jest
przypisywany unikatowy identyfikator GUID. Identyfikator ten bdzie
zawarty w zdarzeniu dziennika dotyczcym uytkownika. Uruchamiajc
program gpresult wchodzcy w skad pakietu Resource Kit systemu
Windows lub narzdzie Wynikowy zestaw zasad (RSoP, Resultant Set
of Policy), mona zidentyfikowa zasad grupy zawierajc identyfikator
GUID, a tym samym regu. Inspekcja zasady ogranicze oprogramowania
pozwala wykry pomyk, ktr mona nastpnie usun.
t Administratorzy narzekaj na to, e przy prbie uruchomienia narzdzia

z poziomu wiersza polece pojawia si komunikat System nie moe
wykona okrelonego programu. Przyczyn tego problemu moe
by zasada ogranicze oprogramowania, poniewa taki komunikat jest

generowany, gdy zasada uniemoliwia uruchomienie programu z poziomu
wiersza polece. W tym przypadku naley sprawdzi, czy administrator
dysponuje prawami do uruchamiania aplikacji i poszuka ewentualnych
konfliktw. Jeli administrator powinien mie moliwo uaktywnienia
programu, natomiast uytkownicy nie, po otwarciu okna waciwoci
obiektu Wymuszanie naley klikn opcj Wszyscy uytkownicy oprcz
administratorw lokalnych.
t Zasada ogranicze oprogramowania znajdujca si w oknie narzdzia
Ustawienia zabezpiecze lokalnych nie zostaa uwzgldniona. Zasady

ogranicze oprogramowania zdefiniowane w przypadku usugi Active
Directory bd miay pierwszestwo przed lokalnymi zasadami.
Naley sprawdzi, czy w bazie danych usugi Active Directory istnieje
zasada ogranicze oprogramowania.
t Lokalna zasada zabezpiecze jest stosowana, nawet pomimo tego,
e istnieje zasada zdefiniowana na poziomie domeny. W tym przypadku

naley upewni si, czy zostay uwzgldnione modyfikacje zasady usugi
Active Directory. Dodatkowo naley sprawdzi, czy lokalny komputer
pobiera zasad z kontrolera domeny.
t Modyfikacja zasad ogranicze oprogramowania spowodowaa, e nikt
nie moe si zalogowa na komputerze. Powodem takiego stanu rzeczy

moe by to, e zdefiniowano regu, ktra uniemoliwia uruchomienie
programw, od ktrych zaley udane zaadowanie systemu, w tym okienka
logowania. Aby przywrci moliwo poprawnego uruchomienia
systemu, naley skorzysta z trybu awaryjnego, zalogowa si jako
lokalny administrator i poprawi zasad. Po wczeniu trybu awaryjnego
zasady ogranicze oprogramowania s nieaktywne.
238
t Regua stworzona w celu ograniczenia okrelonej aplikacji nie jest uywana.
By moe powodem jest to, e typu pliku programu nie uwzgldniono

w obiekcie Wyznaczone typy plikw znajdujcym si w wle Zasady
ogranicze oprogramowania. Typ pliku naley doda do listy.
Czsto w identyfikacji przyczyny problemw z zasadami ogranicze oprogramowania pomocny bdzie zdrowy rozsdek, przegldanie ustawie i odwoywanie
si do typowych problemw, o ktrych wczeniej wspomniano. Jednak gdy
wszystko to nie umoliwi wykrycia przyczyny problemu, mona uaktywni rozszerzone rejestrowanie, ktre pozwala na zapisywanie kadej operacji zwizanej
z zasadami ogranicze oprogramowania. W celu wczenia rejestrowania naley
wykona nastpujce kroki:
1. Utworzy klucz rejestru HKLM\SOFTWARE\Policies\Microsoft\
Windows\Safer\Codeidentifiers.
2. Zdefiniowa wpis LogFileName o wartoci cigu.

3. Wprowadzi warto, ktr jest cieka pliku dziennika.
Aby wyczy rejestrowanie, wpis naley usun z rejestru.
Najlepsze praktyki dotyczce zasad

ogranicze oprogramowania
Tworzc zasady ogranicze oprogramowania, dy si do uzyskania jak najlepszych
rezultatw. Zasady mog by narzdziem o duych moliwociach, umoliwiajcym kontrolowanie tego, jakie programy bdzie mona uruchamia na komputerze. Jednak zasady mog rwnie ograniczy produktywno i uniemoliwia
wykonanie powierzonych zada. Microsoft zaleca korzystanie z nastpujcych
praktyk dotyczcych zasad ogranicze oprogramowania:
t W przypadku uycia zasad ogranicze oprogramowania w domenie nie
wolno ich definiowa w obiekcie GPO domeny. Zawsze dla takich zasad
naley tworzy oddzielny obiekt GPO. Ze wzgldu na to, e domylnie nie
s definiowane adne zasady ogranicze oprogramowania, w celu wycofania
nieprawidowej zasady mona j usun lub wyczy, a nastpnie zezwoli
na ponowne zastosowanie obiektu GPO domeny.
t Nie naley tworzy cza z zasad ogranicze oprogramowania innej
domeny, poniewa spowoduje to spadek wydajnoci.
239
t Naley stosowa filtrowanie interfejsu WMI. Mona zdefiniowa filtr,
ktry ograniczy zakres oddziaywania obiektu GPO na przykad

do komputerw, na ktrych zainstalowano okrelon wersj dodatku
Service Pack. Filtry interfejsu WMI s definiowane w oknie waciwoci
obiektu GPO.
t Naley stosowa filtrowanie zabezpiecze. Mona okreli, dla jakich grup
uytkownikw bdzie obowizywaa zasada. Polega to na umieszczeniu

grup na zakadce Zabezpieczenia znajdujcej si w oknie waciwoci
obiektu GPO i sprawdzeniu (gdy dla grup nie maj obowizywa zasady
oprogramowania), czy nie dysponuj uprawnieniem powodujcym
zastosowanie zasad grupy. Jeli zadba si o to, aby grupy nie posiaday
uprawnienia umoliwiajcego odczytywanie zasady, mona zwikszy
wydajno. Gdy grupy nie bd miay takiego uprawnienia, obiekt GPO
zasady nie zostanie pobrany na komputer uytkownikw nalecych
do tej grupy.
t Jeli pojawi si problemy z zasadami ogranicze oprogramowania,
system naley zaadowa w trybie awaryjnym. Gdy tryb ten jest aktywny,
tego typu zasady nie obowizuj. Dziki temu mona zalogowa si jako
administrator, a nastpnie zmodyfikowa zasad, uaktualni j za pomoc
narzdzia gpupdate i ponownie uruchomi komputer.
t Jeli zamierza si zmieni domylny poziom zabezpiecze na poziom
Niedozwolone, w oknie obiektu Wymuszanie naley pozostawi aktywn

opcj Wszyscy uytkownicy oprcz administratorw lokalnych,
przynajmniej dopki mona diagnozowa system. Ustawienie poziomu
zabezpiecze Niedozwolone spowoduje, e kadorazowo w celu
umoliwienia uruchomienia aplikacji trzeba bdzie definiowa zasad.
t W poczeniu z zasadami ogranicze oprogramowania naley stosowa
listy kontroli dostpu powizane z plikami i rejestrem. Uytkownicy bd

prbowali obej zasady, przenoszc pliki, nadpisujc je lub umieszczajc
ich kopie w innych miejscach. Mona uniemoliwi im wykonywanie
takich dziaa.
t Przed wdroeniem zasad naley je sprawdzi w rodowisku testowym.
Jeli zasady bd uyte w domenie, naley je sprawdzi w domenie

testowej.
t Nie naley zgadywa, jakie bd efekty okrelenia ogranicze dla plikw.
Uniemoliwienie uruchomienia wybranych plikw moe doprowadzi

do braku moliwoci zaadowania systemu lub jego niestabilnoci.
t W przypadku domeny naley filtrowa zakres stosowania zasad ogranicze
oprogramowania, odbierajc uytkownikom uprawnienia do odczytu

i uywania zasad powizane z obiektem GPO domeny.
240
t Naley zarzdza obiektem Wyznaczone typy plikw, ktry okrela,
jakie typy plikw poza .exe i .dll bd uwaane za pliki programw.

Jeli zastosuje si reguy z ustawionym poziomem zabezpiecze
Niedozwolone (uniemoliwia uruchomienie wszystkich aplikacji)
i okrelony typ pliku nie zostanie zdefiniowany w obiekcie Wyznaczone
typy plikw, plik wykonywalny tego typu bdzie mona uaktywni.
Uzalenione s od tego reguy cieki.
t W przypadku autonomicznych serwerw w obiekcie Zaufani wydawcy
zamiast domylnej opcji Uytkownicy kocowi naley uaktywni opcj

Administratorzy komputera lokalnego. Gdy serwery znajduj si
w domenie, naley zaznaczy opcj Administratorzy komputera lokalnego
lub Administratorzy przedsibiorstwa.
t Naley zadba o to, aby uytkownicy musieli si co jaki czas wylogowywa
z systemu i ponownie w nim logowa. Gdy wdroy si now zasad

ogranicze oprogramowania lub zmodyfikuje istniejc, uytkownik
musi si wylogowa i jeszcze raz zalogowa, aby zmiany zaczy dla niego
obowizywa.
t Jeli uytkownicy s czonkami lokalnej grupy administratorw
komputerw, z ktrych korzystaj, obiekt Wymuszanie naley

tak skonfigurowa, aby zasady dotyczyy administratorw.
t Dla folderu zacznikw wiadomoci pocztowych (s w nim tymczasowo
umieszczane zaczniki i mog by z niego uruchomione) naley utworzy

regu cieki. Jeli dla reguy ustawi si poziom Niedozwolone, nie bdzie
mona przypadkowo uaktywni zacznika, dziki czemu by moe uniknie
si kolejnego zacznika zawierajcego wirus. Jeli zacznikiem jest
program niebudzcy podejrze i wymagany przez odbiorc wiadomoci,
musi go zapisa w innym folderu, z ktrego umoliwiono uruchamianie
aplikacji.
Aplikacje COM (Component Object Model), COM+ i DCOM (Distributed Component Object Model) s zarzdzane przy uyciu konsoli Usugi skadowe pokazanej na rysunku 4.31. Zabezpieczeniami tych aplikacji mona zarzdza w takim
zakresie, na jaki pozwalaj odpowiednie interfejsy przez nie oferowane. Przykadowo, aplikacja COM+ moe definiowa role dysponujce w jej obrbie specyficznymi przywilejami i uprawnieniami. Jeli role utworzono w aplikacji, mona
nimi zarzdza za pomoc konsoli.
241
Rysunek 4.31. Konsola Usugi skadowe suy do zarzdzania zabezpieczeniami

aplikacji COM i COM+
Zabezpieczanie aplikacji COM, COM+ i DCOM skada si z nastpujcych

czynnoci:
t definiowanie praw uytkownika, inspekcji i uprawnie zasobw, ktre
na przykad okrela si dla folderw i plikw systemu plikw NTFS;
t definiowanie waciwoci systemowych uywanych przez wszystkie
aplikacje, ktrymi nie bdzie si zarzdzao indywidualnie;
t okrelenie waciwoci dla kadej aplikacji, ktra bdzie zarzdzana
indywidualnie;
t przypisanie uytkownikw i grup do rl aplikacji COM+, ktre mog
nimi dysponowa;
t zadbanie o to, aby tylko administratorzy mogli modyfikowa ustawienia
aplikacji i dodawa uytkownikw do rl;
t ograniczenie liczby administratorw, ktrzy mog modyfikowa
zabezpieczenia aplikacji COM+.
OSTRZEENIE: Nie wolno modyfikowa waciwoci

istniejcej aplikacji COM+
Nie jest zalecane modyfikowanie ustawie istniejcej aplikacji, poniewa moe
zawiera kod wymagajcy wartoci domylnych. Dokonanie zmian moe spowodowa, e aplikacja przestanie dziaa, bdzie niestabilna lub mniej bezpieczna. Jeli nie zrozumie si dokadnie zasad funkcjonowania aplikacji i nie wie,
dlaczego zmiana ustawie moe zwikszy poziom zabezpiecze, nie powinno
si ich modyfikowa. Domylne ustawienia najlepiej modyfikowa na etapie
projektowania aplikacji.
242
Konfigurowanie zabezpiecze aplikacji COM i COM+

Mona skonfigurowa waciwoci powizane z kilkoma nastpujcymi kategoriami:
t poziom uwierzytelnienia wywoa,
t autoryzacja,
t poziom zabezpiecze,
t personifikacja,
t identyfikacja,
t uprawnienia zezwalajce na uruchamianie,
t uprawnienia zezwalajce na dostp.
Poziom uwierzytelnienia wywoa

Tosamo jest waciwoci, tak jak identyfikator uytkownika lub nazwa komputera. Uwierzytelnianie jest procesem, w ramach ktrego tosamo potwierdza,
e jest tym, za kogo si podaje. Moliwo wywoywania komponentw COM+
mona ograniczy do uytkownikw przypisanych do okrelonej roli. W tym przypadku uwierzytelnianie bdzie miao na celu stwierdzenie, czy uytkownik jest
faktycznie tym, za kogo si podaje. Gdy tak bdzie, w dalszej kolejnoci zostanie
sprawdzone czonkostwo uytkownika w grupach.
UWAGA: rdo informacji
Mona uzyska wicej informacji na temat zarzdzania aplikacjami COM+, korzystajc z pakietu SDK (Software Development Kit). Mona go pobra z witryny
MSDN (http:// msdn.microsoft.com).
Poziom uwierzytelniania mona okreli w konsoli Usugi skadowe lub przy uyciu kodu zawierajcego funkcje administracyjne pakietu SDK. Uwierzytelnienia
mog wymaga aplikacje serwera i klienta COM+. Mona zdefiniowa rny
poziom uwierzytelniania, poczwszy od jego braku, a skoczywszy na szyfrowaniu kadego pakietu i wszystkich parametrw wywoania metody. Ponisza lista
zaczyna si od poziomu, w przypadku ktrego nie zachodzi uwierzytelnianie,
a koczy na najwyszym poziomie uwierzytelniania. Sposb uwierzytelniania jest
negocjowany przez klienta i serwer. Zostan uyte bezpieczniejsze ustawienia,
ktrymi dysponuje jedna z dwch stron. Kontrolowanie uwierzytelniania po stronie serwera moe polega na ustawieniu dla procesu najwyszego danego poziomu. Jeli dla aplikacji nie okrelono poziomu uwierzytelniania, zostan uyte
ustawienia komputera (domylnym poziomem jest poziom czenia). Mona wyrni nastpujce poziomy uwierzytelniania:
243
t Brak. Proces uwierzytelniania nie jest realizowany.

t czenie. Dane uwierzytelniajce s sprawdzane tylko w trakcie
nawizywania poczenia.
t Wywoanie. Dane uwierzytelniajce s sprawdzane na pocztku kadego
wywoania.
t Pakiet. Dane uwierzytelniajce s sprawdzane i ma miejsce weryfikacja
majca na celu stwierdzenie, czy odebrano wszystkie dane dane

w ramach wywoania.
t Integralno pakietw. Dane uwierzytelniajce s sprawdzane i ma miejsce
weryfikacja majca na celu stwierdzenie, czy dane dane nie zostay

zmodyfikowane podczas transferu.
t Prywatno pakietw. Dane uwierzytelniajce s sprawdzane i ma miejsce
weryfikacja majca na celu stwierdzenie, czy zaszyfrowano wszystkie

informacje znajdujce si w pakiecie, cznie z tosamoci i sygnatur
nadawcy.
W celu ustalenia dla komputera poziomu uwierzytelniania naley wykona nastpujce kroki:
1. Uruchomi narzdzie administracyjne Usugi skadowe.
2. Prawym przyciskiem myszy klikn kontener Komputery i z menu wybra
pozycj Waciwoci.
3. Uaktywni zakadk Waciwoci domylne pokazan na rysunku 4.32.

4. Sprawdzi, czy na zakadce jest zaznaczona opcja Wcz model obiektw
rozproszonych COM na tym komputerze.
5. W polu Domylny poziom uwierzytelniania ustawi warto.

Autoryzacja
Jeli aplikacja COM+ jest zabezpieczana przy uyciu rl, naley uaktywni przeprowadzanie autoryzacji. Zanim uytkownicy bd mogli wykona w aplikacji
jakkolwiek operacj, w trakcie uzyskiwania do niej dostpu zostanie sprawdzone
ich czonkostwo w rolach. W celu uaktywnienia przeprowadzania autoryzacji
naley wykona nastpujce kroki:
1. Uruchomi konsol Usugi skadowe.
2. Prawym przyciskiem myszy klikn aplikacj COM+ i z menu wybra
pozycj Waciwoci.
244
Rysunek 4.32. Zakadka Waciwoci domylne pozwala na zastosowanie aplikacji

posiadajcych role
3. Uaktywni zakadk Zabezpieczenia.
4. W sekcji Autoryzacja zaznaczy opcj Wymuszaj testy dostpu dla tej
aplikacji (rysunek 4.33).
Poziom zabezpiecze
Poziom zabezpiecze okrela, na jakim poziomie aplikacje COM+ dysponujce
rolami bd sprawdzay dostp. Kontrola dostpu moe by realizowana na poziomie komponentu lub procesu. Role umoliwiaj zdefiniowanie sprawdzania dostpu na poziomie komponentu. Role mona przypisa komponentom, interfejsom
i metodom aplikacji COM+. Sprawdzanie dostpu na poziomie procesu obowizuje jedynie w obrbie aplikacji.
W celu ustawienia poziomu zabezpiecze naley wykona nastpujce kroki:
2. Prawym przyciskiem myszy klikn aplikacj i z menu wybra pozycj
Waciwoci.
245
Rysunek 4.33. Za pomoc zakadki Zabezpieczenia mona okreli poziom uwierzytelniania,

poziom zabezpiecze i poziom personifikacji
4. W sekcji Poziom zabezpiecze (rysunek 4.33) zaznaczy opcj Wykonaj
testy dostpu tylko na poziomie procesu lub opcj Wykonaj testy dostpu
na poziomie procesu i skadnika.

6. Ponownie uruchomi aplikacj, aby dokonane zmiany zostay uwzgldnione.
Personifikacja i delegowanie
Gdy serwer realizuje wywoanie w imieniu klienta, korzystajc z jego danych
uwierzytelniajcych zamiast ze swoich, ma miejsce personifikacja. Zalenie od tego, co umoliwiono uytkownikowi, dostp do zasobw moe zosta rozszerzony lub zmniejszony. Przykadowo, moe by wymagane, aby aplikacja serwera
uzyskaa dostp do danych znajdujcych si w bazie, a ponadto eby byy to dowolne dane, do ktrych dostpem dysponuje klient.
246
Mona wyrni nastpujce poziomy personifikacji:

t Anonim. Z punktu widzenia serwera klient jest anonimowy. Serwer moe
personifikowa klienta, ale w etonie personifikacji nie ma adnych

informacji dotyczcych klienta.
t Identyfikacja. Domylny poziom, w przypadku ktrego serwer moe uy
tosamoci klienta i go personifikowa. Uywany na potrzeby ustalania

poziomw kontroli dostpu.
t Personifikacja. Domylny poziom w przypadku aplikacji serwerowych
COM+. Serwer moe personifikowa klienta, ale ma ograniczone

moliwoci. Serwer jest w stanie uzyska dostp do identycznych zasobw
komputera, co klient. Jeli serwer znajduje si na tym samym komputerze,
co klient, bdzie mg uzyskiwa dostp do zasobw sieciowych w imieniu
klienta. W przeciwnym razie serwer moe jedynie korzysta z zasobw
zlokalizowanych na komputerze, na ktrym si znajduje.
t Delegowanie. Serwer moe personifikowa klienta, niezalenie od tego,
czy znajduje si na tym samym komputerze, co klient, czy nie.

Dane uwierzytelniajce klienta mog zosta przekazane dowolnej
liczbie komputerw.
Aby ustawi poziom personifikacji, naley wykona nastpujce kroki:

2. Prawym przyciskiem myszy klikn aplikacj i z menu wybra pozycj
Waciwoci.

4. W polu Poziom personifikacji widocznym na rysunku 4.33 ustawi poziom
personifikacji.

6. Ponownie uruchomi aplikacj, aby dokonane zmiany zostay uwzgldnione.
Delegowanie jest specjaln odmian personifikacji stosowan w sieci. Korzysta

si z niej, gdy serwer i klient nie znajduj si na tym samym komputerze, a ponadto serwer uywa danych uwierzytelniajcych klienta w celu uzyskania dostpu do zasobw innego komputera. Delegowanie jest kontrolowane przez usug
Active Directory. Aby dowiedzie si, jak definiowa delegowanie, naley zapozna si z rozdziaem 8. Musz zosta spenione nastpujce dwa wymagania:
247
t tosamo uywana przez uruchomiony serwer (konto stosowane
przez serwer do uaktywnienia swojej usugi) musi by zaufana

w kwestii delegowania;
t aplikacja klienta musi zosta uaktywniona przy uyciu tosamoci,
dla ktrej nie zaznaczono opcji Konto jest poufne i nie moe by
delegowane.
Identyfikacja
Aplikacje COM i COM+ mog dziaa jako usugi. Gdy tak jest, korzystaj
z kontekstu zabezpiecze konta lub tosamoci System lokalny. Jeli aplikacje
nie s usugami, mog personifikowa tosamo lub korzysta z uprawnie konta
uytkownika, za pomoc ktrego zostay uruchomione.
Tosamo aplikacji jest okrelana podczas jej instalacji i dotyczy wycznie aplikacji serwerowych. Tosamo jest kontem uytkownika wykorzystywanym przez
aplikacj do uruchomienia i wykonywania wywoa dotyczcych innych aplikacji
i zasobw. W przypadku bibliotek tosamo nie jest stosowana. Biblioteki COM+
uywaj tosamoci hosta. Zastosowanie konkretnego konta (konta System lokalny
lub przydzielonego konta uytkownika) jest bezpieczniejsze od zezwolenia na
uycie interaktywnej tosamoci. Interaktywno oznacza, e aplikacje COM+ s
uruchamiane z uprawnieniami zalogowanego uytkownika. Jeli na przykad jest
zalogowany lokalny administrator, aplikacje COM+ mogyby zosta uaktywnione
z jego przywilejami, a take posuy do wykonania wywoa i uzyskania dostpu do zasobw, nawet w imieniu klientw. Jeli nikt nie jest zalogowany, aplikacje
nie mog zosta uruchomione. Mona wyrni nastpujce rodzaje tosamoci:
t Interaktywna. Aktualnie zalogowany uytkownik.
t Usuga lokalna. Konto z minimalnymi uprawnieniami pozwalajcymi
na uruchamianie lokalnie dostpnej usugi.
t Okrelone wane konto uytkownika.
OSTRZEENIE: Przechowywanie hasa tosamoci

uywanej przez aplikacj COM+
Aplikacja COM+ przechowuje hasa w tajnej bazie podsystemu LSA, co oznacza,
e administrator moe je pobra. Naley uy konta, ktre utworzono tylko
na potrzeby aplikacji COM+, i uniemoliwi lokalne logowanie za jego pomoc.
Uprawnienia zezwalajce na uruchamianie

Uprawnienia uruchamiania identyfikuj list uytkownikw, ktrym moe by
nadane lub odebrane uprawnienie zezwalajce na uaktywnienie aplikacji COM.
Gdy tego typu uprawnienia zdefiniuje si dla komputera, bd obowizyway
248
wszystkie aplikacje, ktre nie posiadaj wasnych list uprawnie uruchamiania.

Domylnie na licie znajduj si grupa Interaktywna (uwzgldnia wszystkich
lokalnie zalogowanych uytkownikw) i konto SYSTEM, a take grupa Administratorzy.
Aby zdefiniowa uprawnienia uruchamiania, naley wykona nastpujce kroki:
2. Prawym przyciskiem myszy klikn komputer, dla ktrego zostan
okrelone uprawnienia obowizujce w caym systemie, i z menu wybra

pozycj Waciwoci.
3. Uaktywni zakadk Domylne zabezpieczenia modelu COM.

4. Klikn przycisk Edytuj domylne znajdujcy si w sekcji Uprawnienia
uruchamiania (rysunek 4.34).
Rysunek 4.34. Zakadka Domylne zabezpieczenia modelu COM umoliwia

zdefiniowanie uprawnie uruchamiania
5. Doda grupy uytkownikw i przypisa im uprawnienia uruchamiania,
zaznaczajc opcj Zezwalaj lub Odmw.
249
Uprawnienia uruchamiania mona zdefiniowa dla poszczeglnych aplikacji. Po

sprawdzeniu kilku aplikacji dojdzie si do wniosku, e najprociej bdzie zastosowa domylne ustawienia. Jednak s wyjtki. Jeli wywietli si waciwoci
aplikacji Automatic Updates (Aktualizacje automatyczne) (rysunek 4.35), okae si,
e zmodyfikowano domyln konfiguracj uprawnie uruchamiania. Uprawnienia przypisano jedynie kontu SYSTEM i grupie Administratorzy. Domylnie
uprawnienia s nadawane grupie Interaktywna i kontu SYSTEM, a take grupie
Administratorzy.
Rysunek 4.35. Dla aplikacji Automatic Updates okrelono niestandardow konfiguracj

uprawnie uruchamiania
Zdefiniowanie uprawnie uruchamiania jest dobrym sposobem ograniczenia moliwoci korzystania z aplikacji. Uprawnienia mona okreli dla dowolnej aplikacji widocznej w oknie konsoli Usugi skadowe i umoliwi jej uruchamianie
tylko niektrym uytkownikom. Przykadowo, w przypadku programu Media
Player domylnie uprawnienia uruchamiania nadano kontom Administrator, SYSTEM i Interaktywna. Jeli zamierza si ograniczy moliwoci uruchamiania
(uprawnienia uruchamiania), uywania (uprawnienia dostpu) i konfigurowania
(uprawnienia konfiguracji) aplikacji, odpowiednie zmiany mona wprowadzi
w oknie konsoli.
250
OSTRZEENIE: Modyfikowanie ustawie

Zanim si zacznie modyfikowa ustawienia, trzeba wiedzie, jaki bdzie efekt takiej operacji. Jeli nie jest wiadome, na czym polega dziaanie aplikacji, nie naley
zmienia jej ustawie. Gdy tak wiedz si dysponuje, mona si zastanowi,
w jakim zakresie mona ograniczy moliwo korzystania z aplikacji. Jeli nie ma
potrzeby tak dokadnego zarzdzania programem Media Player, moe bdzie
tak w przypadku aplikacji NetMeeting? Czy powinno by moliwe uruchamianie sesji tego programu na serwerze? Czy aplikacj bdzie mona uaktywni na stacji roboczej? Czy bdzie moga to zrobi kada osoba? W ramach
rozbudowanej strategii stosowania zasad zabezpiecze z atwoci mona
ogranicza aplikacje za pomoc konsoli Usugi skadowe. Trzeba tylko zadba
o to, aby nie stao si to czci strategii, ktra sprawi, e systemy bd bezuyteczne.
Ograniczanie przywilejw
przez utworzenie aplikacji bdcej bibliotek
Mona wyrni dwa typy aplikacji COM+ aplikacje i biblioteki. Biblioteki
s obsugiwane przez inny proces. Oznacza to, e mog korzysta z zabezpiecze
hosta, a nie zabezpiecze wasnej tosamoci (konta uytkownika). Biblioteki
dysponuj tylko takimi przywilejami, jakie przypisano ich hostowi. Cho domylnie biblioteki mog bra udzia w uwierzytelnianiu, mona je tak skonfigurowa,
aby proces ten nie by realizowany (nie jest to zalecane). Gdy aplikacj COM+
wiadomie zaprojektuje si jako bibliotek, mona ograniczy jej moliwoci. Biblioteka bdzie moga uy tylko tych zasobw, do ktrych dostpem dysponuje
jej klient, czyli proces hosta. Klientami bd wywoania wykonywane poza obrbem aplikacji lub dostp do zasobw, takich jak pliki, zaleny od deskryptora
zabezpiecze. Jeli tworzy si aplikacj, ktra bdzie realizowaa istotne operacje,
i zaley nam, aby mogy z niej korzysta tylko te osoby, ktre dysponuj uprawnieniami do wykonywania takich operacji, naley zaprojektowa bibliotek.
Przypisywanie uytkownikw do rl
Role identyfikuj kategorie uytkownikw i s definiowane przez projektanta
aplikacji. Podobnie jak aplikacje zgodne z narzdziem Meneder autoryzacji aplikacje COM+ mog zawiera role okrelajce, jaki uytkownik jakie operacje moe wykonywa po uruchomieniu programu. Role wymuszaj przestrzeganie zasady kontroli dostpu zdefiniowanej dla aplikacji i s w niej umieszczane przez
projektantw. Administratorzy przypisuj do rl aplikacji uytkownikw i grupy
systemu Windows. Przykadowe role aplikacji COM+ mona przejrze w oknie
konsoli Usugi skadowe. W tym celu po uruchomieniu konsoli naley rozwin
wze Mj komputer/Aplikacje COM+/System Application/Role. W dalszej kolejnoci naley rozwija zawarto kadej roli i znajdujcego si w niej kontenera
Uytkownicy. Wyniki operacji pokazano na rysunku 4.36.
251
Rysunek 4.36. Poniej wza System Application s widoczne zdefiniowane role,

ktrym w wielu przypadkach przypisano grupy systemu Windows
Kada rola zawiera opis objaniajcy, co bdzie mg zrobi uytkownik, ktremu

si j przypisze. W tabeli 4.4 wymieniono role znajdujce si w wle System
Application wraz z ich opisem i przypisanymi grupami uytkownikw.
Tabela 4.4. Role znajdujce si w wle System Application
Domylni
uytkownicy
Rola
Opis
Administrator
Umoliwia skonfigurowanie aplikacji COM+ znajdujcej si

w systemie.
Lokalni administratorzy
Dowolna aplikacja
Identyfikuje tosamoci, za pomoc ktrych mona uruchomi

dowoln aplikacj znajdujc si na lokalnym komputerze.
Wszyscy
Zaufany uytkownik QC
Rola dysponuje zaufaniem w zakresie przesyania w imieniu

innych uytkownikw komunikatw dotyczcych
kolejkowanych komponentw.
Rola nie jest przypisana

adnemu uytkownikowi.
Czytnik
Rola pozwala sprawdza konfiguracj elementw i przeglda

informacje dotyczce wydajnoci uruchomionych aplikacji.
Wszyscy
Aplikacja serwera
Identyfikuje tosamoci, za pomoc ktrych s uruchamiane

aplikacje COM+ znajdujce si na lokalnym komputerze.
Wszyscy
252
Aplikacja korzystajca z zabezpiecze opartych na rolach sprawdza czonkostwo

uytkownika kadorazowo, gdy zamierza on uy dowolnego jej skadnika. Jeli
uytkownik nie posiada roli, ktra upowania do uzyskania dostpu do zasobu lub
wykonania wywoania, operacja nie powiedzie si. Z uwag naley przypisywa
uytkownikw do rl, ktre odpowiadaj rzeczywistym stanowiskom. Dokumentacja aplikacji powinna wyranie identyfikowa znaczenie kadej roli, a take
prawa i uprawnienia, jakimi dysponuje w obrbie aplikacji. Administratorzy musz wiedzie, jakie obowizki subowe uytkownikw odpowiadaj zdefiniowanej
roli. Gdy ten warunek nie zostanie speniony, moe doj do tego, e uytkownik
nie bdzie w stanie wykona zleconych mu zada lub jaka nieupowaniona osoba
uzyska dostp, ktrego posiada nie powinna.
CZY ZAMIESZANIE Z ROLAMI APLIKACJI
MOE SPOWODOWA ODMOW USUGI?
Donna Advertius pracujca w niewielkiej firmie konsultingowej Advanced Services
Corporation, zlokalizowanej w rodkowo-zachodniej czci Stanw Zjednoczonych,
otrzymaa polecenie zmodyfikowania systemu PBX. System zosta wanie uaktualniony
do systemu Windows Server 2003 i korzysta z serwera Microsoft SQL Server, na ktrym
znajduje si baza danych uytkownikw, waciwoci komunikatw, regu i ogranicze.
Godn uwagi zalet systemu PBX jest moliwo rejestrowania odebranych pocze
i przesyania ich do serwera Exchange Server, dziki czemu posiadacze skrzynek pocztowych mog na swoich komputerach PC odsuchiwa wiadomoci gosowe. Firma
stwierdzia, e ta funkcja bdzie szczeglnie przydatna dla podrujcych konsultantw, poniewa sprawdzajc skrzynk wiadomoci pocztowych, jednoczenie mogliby
odsucha otrzymane wiadomoci gosowe. Ponadto funkcja zaoferowaaby wszystkim
uytkownikom bardziej elastyczny dostp do wiadomoci. Kolejn zalet byoby to,
e bez wprowadzania numeru telefonu mona by byo od razu oddzwania.
Cho dokumentacja bya skromna, Donna zapoznaa si z systemami PBX i bardzo dobrze obsugiwaa system Windows Server 2003, a take serwery Exchange i SQL Server.
Wygldao na to, e musi jedynie skonfigurowa narzdzie SQL Mail i dokona kilku
innych drobnych modyfikacji. Cho konfiguracja narzdzia SQL Mail nie jest zoona,
wymaga wykonania kilku krokw, z ktrych jeden polega na utworzeniu konta dla
usugi i zdefiniowaniu profilu dla konta. Korzystajc z tego konta, narzdzie SQL Mail
bdzie wysyao wiadomoci do dowolnego konta uytkownika. Po wprowadzeniu kilku
niewielkich modyfikacji narzdzie SQL Mail zadziaao.
W dokumentacji systemu PBX zalecano, aby uywane przez niego konto usugi byo
tym samym, ktre jest wykorzystywane przez narzdzie SQL Mail. Czy Czytelnik ju wie,
o czym mowa? System PBX miaby rejestrowa wiadomo i za pomoc narzdzia
SQL Mail umieszcza j w skrzynce pocztowej uytkownika. Donna z atwoci zmienia
konto i usuga systemu PBX od razu zacza wykonywa tak operacj. Donna z zadowoleniem spojrzaa na zegarek, poniewa stwierdzia, e szybko przetestuje system
i okoo pnocy bdzie ju w domu.
253
W ramach testu systemu postanowia wykrci wasny numer, uywajc telefonu znajdujcego si w serwerowni, a nastpnie odsucha wiadomo na swoim komputerze.
Nie bya w stanie nawiza poczenia. Nie byo sygnau wybierania. Zupenie nic.
Donna sprawdzia co najmniej tuzin numerw telefonw. Cay czas nie byo sygnau.
Sprawdzia wszystkie numery, jakimi dysponowaa. Czy wystpi jaki nowy problem
z systemem Windows Server 2003? Czy w dokumentacji nie wymieniono jakich krokw? Czy Donna zrobia co niepoprawnie?
W pewnym momencie pomylaa, czy przypadkiem role aplikacji COM+ nie s przyczyn problemw? Uruchomia konsol Usugi skadowe zupenie pewna, e znajdzie
w niej aplikacj systemu PBX. Dostpna bya rola Administrator, ktr przydzielono tylko kontu SYSTEM. Po sprawdzeniu uprawnie uruchamiania stwierdzia, e je rwnie
przypisano wycznie kontu SYSTEM. Ze wzgldu na to, e w pocztkowej konfiguracji usuga systemu PBX korzystaa z konta System lokalny, dziaa on bez zarzutw.
Gdy Donna zmienia konto, system PBX utraci uprawnienia do wasnych komponentw. Oznaczao to niedostpno usug telefonicznych. Aby mona byo z nich ponownie korzysta, trzeba byo jedynie zmodyfikowa przypisanie roli Administrator
i nada uprawnienia uruchamiania nowemu kontu usugi.
Nawet gdy nie zamierza si konfigurowa zabezpiecze aplikacji COM+ lub nie
dysponuje takimi, ktre maj wbudowane role pozwalajce na zarzdzanie, powinno si administrowa rolami znajdujcymi si w wle System Application.
Role te okrelaj, kto moe instalowa aplikacje COM+, a take kto moe zarzdza nimi i ich rodowiskiem. Domylnie czonkiem rl jest lokalna grupa
Administratorzy. Cho tylko czonkowie grupy Administratorzy mog zarzdza
zabezpieczeniami aplikacji COM+, mona jeszcze bardziej to ograniczy. W tym
celu naley wykona nastpujce kroki:
1. Uruchomi konsol Usugi skadowe (z menu Start naley wybra pozycj
Wszystkie programy/Narzdzia administracyjne/Usugi skadowe).
2. Rozwin wze System Application, a nastpnie Role.

3. Rozwin wze roli.
4. Prawym przyciskiem myszy klikn kontener Uytkownicy znajdujcy
si poniej roli, a nastpnie z menu Nowy wybra pozycj Uytkownik.
5. W oknie Wybieranie: Uytkownicy, Komputery lub Grupy wprowadzi
nazw uytkownika lub klikn przycisk Zaawansowane, a nastpnie

przycisk Znajd teraz, aby z listy uytkownikw i grup lokalnego
komputera wybra uytkownika bd grup.
6. Ponownie uruchomi komputer, aby dokonane zmiany zostay
uwzgldnione.
254
Definiowanie zasad ogranicze oprogramowania dla aplikacji COM+

Zasada ogranicze oprogramowania moe by zdefiniowana bezporednio w oknie
waciwoci aplikacji COM+ znajdujcej si na serwerze z systemem Windows
Server 2003. Domylnie dla wszystkich aplikacji serwerowych jest ustawiany
identyczny systemowy poziom zabezpiecze zasady ogranicze oprogramowania.
Wynika to std, e wszystkie s obsugiwane przez ten sam program dllhost.exe.
Jeli zamierza si zmodyfikowa zasad ogranicze oprogramowania dla okrelonych aplikacji COM+, mona to zrobi bezporednio w oknie ich waciwoci.
Zasady ogranicze oprogramowania zdefiniowane w tym oknie maj pierwszestwo przed zasadami obowizujcymi w caym systemie.
W celu zdefiniowania dla aplikacji COM+ zasad ogranicze oprogramowania naley wykona nastpujce kroki:
1. Z menu Narzdzia administracyjne wybra pozycj Usugi skadowe.
2. Prawym przyciskiem myszy klikn aplikacj COM+, ktr zamierza
si zarzdza i wybra Waciwoci.

4. W sekcji Zasady ogranicze oprogramowania zaznaczy opcj Zastosuj
zasady ogranicze oprogramowania, aby umoliwi ustawienie poziomu

zabezpiecze (rysunek 4.37). Jeli opcja jest wyczona, bd obowizyway
systemowe zasady ogranicze oprogramowania.
5. Jako poziom zabezpiecze ustawi warto Niedozwolone (aplikacja bdzie
moga adowa zaufane i pozbawione zaufania skadniki, lecz nie bdzie

moga skorzysta z penych przywilejw uytkownika) lub Bez ogranicze
(aplikacja dysponuje nieograniczonym dostpem do przywilejw
uytkownika; w obrbie aplikacji bdzie mona uywa tylko tych
skadnikw, dla ktrych ustawiono poziom Bez ogranicze).
Cho dostpnych jest wiele metod, ktre mona zastosowa do ograniczenia

moliwoci uruchamiania aplikacji, to aby operacja bya precyzyjnie wykonana,
niezbdne jest zastosowanie w aplikacji zabezpiecze majcych posta rl. Aby
role byy skuteczne i atwe w zarzdzaniu, powinny odwzorowywa rzeczywiste
stanowiska zajmowane przez uytkownikw.
255
Rysunek 4.37. Zasady ogranicze oprogramowania mog by zdefiniowane dla aplikacji COM+
w jej oknie waciwoci
Jeli nawet zdefiniuje si zaawansowane zabezpieczenia aplikacji, warto pamita

o tym, e pierwsz lini obrony mog by listy ACL plikw, folderw i kluczy
rejestru. Listy kontroli dostpu ACL cakowicie uniemoliwiaj uruchomienie
przez kogo aplikacji. Jeli do tego si dy, to mimo e dysponuje si bardziej
zaawansowanymi narzdziami konfigurujcymi zabezpieczenia, warto dodatkowo
zdefiniowa listy ACL plikw. W kolejnym rozdziale omwiono listy ACL plikw,
folderw i kluczy rejestru.

Bezpieczeństwo W Windows Server 2003. Kompendium

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Bezpieczeństwo W Windows Server 2003. Kompendium

Uploaded by

Copyright:

Available Formats

IDZ DO

We wspczesnym wiecie, w ktrym informacja jest najcenniejszym towarem,

Zasady bezpieczestwa informacji

Rozdzia 1. Zasady dotyczce bezpieczestwa informacji ............................................29

Bezpieczestwo w Windows Server 2003. Kompendium

Domylne zabezpieczenia awaryjne .............................................................. 44

Rozdzia 2. Uwierzytelnianie: dowd tosamoci ........................................................49

Kontrola dostpu za pomoc uprawnie do obiektw ................................134

Rozdzia 4. Ograniczanie dostpu do oprogramowania

Bezpieczestwo w Windows Server 2003. Kompendium

Rozdzia 5. Kontrolowanie dostpu do danych ..........................................................257

Rozdzia 6. System EFS podstawy ..........................................................................319

Bezpieczestwo w Windows Server 2003. Kompendium

Zabezpieczanie usug domeny

Rozdzia 7. Rola usugi Active Directory w bezpieczestwie domeny ........................377

Zaufanie lasu ................................................................................................507

Rozdzia 9. Usuwanie problemw z zasadami grupy .................................................529

Bezpieczestwo w Windows Server 2003. Kompendium

Rozwizywanie problemw z projektem obiektw zasad grupy ..................586

Rozdzia 10. Zabezpieczanie usugi Active Directory .....................................................593

Infrastruktura klucza publicznego

Rozdzia 12. Infrastruktura PKI podstawy ................................................................697

Zabezpieczanie sieci wirtualnej

Rozdzia 14. Zabezpieczanie zdalnego dostpu ............................................................813

Bezpieczestwo w Windows Server 2003. Kompendium

Okrelanie waciwoci konta uytkownika

Rozdzia 15. Ochrona przesyanych danych ...................................................................895

Rozdzia 16. Strategie konserwacyjne i praktyki administracyjne .................................949

Praktyki dotyczce zarzdzania ....................................................................987

Rozdzia 17. Archiwizacja i odtwarzanie danych podstawy ...................................1013

CZ VII Monitorowanie i inspekcja

Rozdzia 18. Inspekcja .................................................................................................1069

Bezpieczestwo w Windows Server 2003. Kompendium

Inspekcja aplikacji i usug serwera .............................................................1093

Rozdzia 19. Monitorowanie i ocena ...........................................................................1119

elem wielu obecnie przeprowadzanych atakw zakoczonych powodzeniem

usugi Active Directory. Definiujc dla pliku programu wykonywalnego

t Narzdzie Meneder autoryzacji. Bdce nowoci w systemie Windows

Server 2003 narzdzie umoliwia projektantom uwzgldnianie

t Zasady ogranicze oprogramowania. Tego typu zasady, bdce

nowoci w systemach Windows XP Professional i Windows Server 2003,

t Konsola Usugi skadowe uprawnienia i role dla aplikacji COM+.

Aplikacje mog by zarzdzane za pomoc narzdzia Usugi skadowe.

t Przystawka Zasady grupy. Wiele aplikacji moe by zarzdzanych

za pomoc przystawki Zasady grupy. Odpowiednie ustawienia nadzorujce

Rozdzia 4. Ograniczanie dostpu do oprogramowania

Dla produktw takich jak Microsoft Office s dostpne specjalne szablony

szyfrowane za pomoc systemu EFS. Podstawowe informacje na jego

Do trzech podstawowych narzdzi zarzdzajcych oprogramowaniem w systemie

wykonanie jakich operacji w programie poszczeglne role zezwalaj, a take jakie

Rozdzia 4. Ograniczanie dostpu do oprogramowania

KONTROLA DOSTPU W SYSTEMIE WINDOWS OPARTA NA ROLACH

klucze rejestru i obiekty usugi Active Directory.

zaczynaj prac w firmie lub z niej odchodz bd zmieniaj stanowiska.

t Uwzgldnienie w aplikacjach niestandardowych rl w ramach wsppracy

z programistami. Dotyczy to aplikacji .NET, aplikacji COM+ i programw opartych

moe robi? Czym si zajmuj poszczeglne osoby?

t Translacja penionej funkcji na zestaw uprawnie do obiektw. Ktre programy

wymagaj dostpu do ktrych plikw, drukarek lub kluczy rejestru w przypadku

t Zdefiniowanie odpowiedzialnoci za odwzorowywanie funkcji, praw, uprawnie.

Kto powinien si tym wszystkim zaj?

t Okrelenie odpowiedzialnoci za wdraanie, zarzdzanie i audyt rl, a take ich

przypisywanie. Kto tak naprawd powinien konfigurowa komputer, sprawdza,