Tworzenie kont użytkowników i grup

[ ] + = : * \ / " | , ? < >

Mogą jednak zawierać wszelkie pozostałe znaki. Każde konto, w celu zgodności ze starszymi systemami niż Windows 2000, otrzymuje nazwę skróconą. Domyślnie jest to pierwsze 20 znaków nazwy logowania. Uwierzytelnianie konta następuje poprzez podanie hasła. Maksymalna długość hasła to 127 znaków w usłudze Active Directory lub 14 znaków w systemie Windows NT. W haśle rozróżniane są wielkie i małe litery. Samo posiadanie hasła nie zabezpiecza w pełni przed nieuprawnionym dostępem do systemu. Hasła muszą być odpowiednio silne. Powinny składać sie z wielkich i małych liter, co najmniej jednej cyfry oraz jednego znaku specjalnego. Nie powinno się ustawiać np. imienia bliskiej osoby, lub daty urodzenia jako hasła, bo te są z reguły najłatwiejsze do odgadnięcia. Np. zamiast hasła "tajne hasło" można utworzyć "1ajNE #a$1o", co znacząco utrudnia odgadnięcie go przez niepowołane osoby.

Aby zdefiniować zasady tworzenia haseł, klikamy menu Start, a następnie Narzędzia administracyjne i Zasady zabezpieczeń lokalnych.

• Zasady konta,
• Zasady lokalne,
• Zasady kluczy publicznych,
• Zasady ograniczeń oprogramowania,
• Zasady zabezpieczeń IP w Komputer lokalny,

z czego za hasła odpowiada grupa Zasady konta. Gdy rozwiniemy tą właśnie gałąź drzewa, zobaczymy dwie podgrupy: Zasady haseł oraz Zasady blokady konta. W pierwszej podgrupie możemy zdefiniować następujące zasady:

• Hasło musi spełniać wymagania co do złożoności - włączenie tej opcji wymusi na użytkowniku stosowanie bezpieczniejszych haseł spełniających następujące reguły: hasła muszą mieć długość co najmniej 6 znaków, hasło nie może zawierać nazwy logowania użytkownika oraz fragmentów jego pełnej nazwy np. imienia lub nazwiska, hasło musi zawierać znaki z trzech z pośród czterech grup znakowych: małe litery, wielkie litery, cyfry oraz znaki specjalne.
• Maksymalny okres ważności hasła - ten parametr określa ile dni dane hasło będzie ważne, oraz wymusza okresowe zmiany hasła. Tu administrator może podać dowolną liczbę z zakresu od 0 do 999 dni. Wartość zero oznacza, że hasło nigdy nie wygaśnie. System Windows 2003 Serwer przypomina użytkownikowi o konieczności zmiany hasła. W przypadku, gdy termin ważności jest krótszy niż 30 dni użytkownik widzi monit w trakcie logowania o konieczności zmiany hasła w określonym terminie.
• Minimalna długość hasła - parametr ten definiuje liczbę znaków, z których złożone jest hasło. W przypadku ustawienia wartości zero będzie można tworzyć konta nieposiadające hasła. Minimalna rozsądna wartość tego parametru to przynajmniej 8 znaków. W systemach o wysokim poziomie bezpieczeństwa powinniśmy stosować hasła dłuższe niż 14 znaków.
• Minimalny okres ważności hasła - zasada ta definiuje termin, po którym użytkownik może ponownie zmienić swoje hasło. Wpisując wartość zero pozwolimy użytkownikom na natychmiastowe zmiany haseł. Ta zasada ma na celu powstrzymanie użytkownika przed kilkukrotną zmianą hasła, aby na koniec mógł powrócić do starego hasła. Z jednej strony uniemożliwia szybki powrót do starego hasła a z drugiej pozwala użytkownikom zmienić hasło, jeżeli ma on rzeczywisty powód. Rozsądną wartością jest tu od 3 do 7 dni.
• Wymuszaj tworzenie historii haseł - zasada określa jak często możliwe jest ponowne użycie wcześniej wykorzystywanego hasła. Zniechęca lub nawet praktycznie uniemożliwia stosowanie kilku standardowych haseł. Maksymalna liczba przechowywanych haseł to 24. Wpisując wartość zero wyłączymy wymuszanie tworzenia historii haseł. Aby uniemożliwić użytkownikowi szybkie zmiany haseł a następnie powrót do swojego starego hasła powinniśmy ustawić też Minimalny okres ważności hasła na kilka dni.
• Zapisz hasła korzystając z szyfrowania odwracalnego - hasła  w systemie przechowywane są w bazie danych w postaci zaszyfrowanej. Szyfrowanie to jest w normalnych warunkach jednostronne. Oznacza to, że raz zaszyfrowane hasło jest niemożliwe do odszyfrowania. System Windows 2003 Serwer w momencie wpisania hasła przez użytkownika szyfruje je a następnie porównuje z hasłami w swojej bazie. Czasami jednak zachodzi potrzeba znajomości odszyfrowanego hasła, np. gdy korzystamy z aplikacji, które muszą odczytywać hasła. Można wtedy włączyć tą opcje dla użytkowników, dla których ustawienie to jest niezbędne. Korzystanie z szyfrowania odwracalnego powoduje, że hasła równie dobrze mogłyby być trzymane w postaci jawnego tekstu, co zwiększa ryzyko utraty zabezpieczeń.

Kolejną podgrupą są Zasady blokady konta. Wyróżniamy tu trzy opcje:

• Czas trwania blokady konta - jest to czas zablokowania konta w skutek wielokrotnie wpisanego błędnego hasła logowania. Wartość tą może być z przedziału od 0 do 99 999 minut. W przypadku podania wartości zero konto będzie trwale zablokowane. Bezterminowa blokada jest najlepszym zabezpieczeniem, ponieważ uniemożliwia włamywaczowi wielokrotne próby podawania różnych haseł z nadzieją, że w końcu trafi. Dodatkowo zmusza użytkowników, którzy mają zablokowane konto do skontaktowania sie z administratorem systemu, dzięki czemu ten ma możliwość sprawdzenia, co było przyczyną blokady konta i w przypadku wykrycia próby wtargnięcia do systemu, daje możliwość podjęcia odpowiednich działań. Blokadę konta można wyłączyć, klikając menu Start, a następnie Narzędzia administracyjne i Zarządzanie komputerem. Teraz z drzewa po lewej stronie wybieramy Użytkownicy i grupy lokalne, a następnie Użytkownicy. Po prawej stronie klikamy dwukrotnie wybranego użytkownika, a następnie w zakładce Ogólne możemy usunąć znacznik z pola wyboru Konto jest zablokowane.

• Próg blokady konta - zasada ta określa, po ilu próbach błędnie wpisanego hasła konto użytkownika zostanie zablokowane. Wartość tę należy tak dobrać, aby chroniła przed próbami złamania dostępu jednak żeby nie stanowiła utrudnienia dla użytkownika. Najczęściej to on właśnie zapomina hasło wówczas logowanie może wymagać kilka prób, nim użytkownik 'trafi' we właściwe hasło. W przypadku logowania do systemów zdalnych mogą one zarejestrować kilka prób podania hasła zanim użytkownik zobaczy moment logowania, gdzie będzie miał możliwość wpisania hasła. Wynika to z faktu, że system Windows 2003 Serwer może próbować automatycznie zalogować się do zdalnego systemu. Domyślną wartością dla progu blokady konta jest zero, co oznacza ze konta nie są wcale blokowane. Możemy ustawić tu wartość od 0 do 999, pamiętając, że wysokie progi blokady konta zwiększają ryzyko wtargnięcia intruza do systemu.
• Wyzeruj licznik blokady konta po - określa czas, przez jaki przechowywana jest informacja o próbie błędnego logowania. Po upływie tego czasu licznik nieudanych logowań jest zerowany. Możemy tu ustawić wartości z przedziału od 1 do 99 999 minut. Jeżeli ta zasada jest wyłączona, licznik błędnych prób logowań jest zerowany dopiero w momencie poprawnego zalogowania do systemu. Jednak błędne zalogowanie do komputera w przypadku, kiedy jest ustawiony wygaszacz ekranu chroniony hasłem nie zwiększa licznika blokady konta, podobnie jak w przypadku zablokowania komputera klawiszami Ctrl+Alt+Del.

W celu dodania lokalnego konta użytkownika wybieramy menu Start, a następnie Narzędzia administracyjne i Zarządzanie komputerem. Teraz prawym klawiszem myszy klikamy wpis Zarządzanie komputerem i z menu wybieramy Podłącz do innego komputera. W nowym oknie zaznaczamy Komputer lokalny: (komputer, na którym uruchomiona jest ta konsola) i OK. Rozwijamy teraz gałąź Narzędzia systemowe i klikamy węzeł Użytkownicy i grupy lokalne. Ponownie prawym klawiszem myszy klikamy Użytkownicy i z menu wybieramy Nowy użytkownik. Wyświetlone zostanie nowe okno dialogowe.

Mamy tu następujące pola:

• Nazwa użytkownika - jest to nazwa logowania dla nowego konta. Powinna spełniać wcześniej opisane warunki,
• Pełna nazwa - pełna nazwa użytkownika np. jego imię i nazwisko,
• Opis - krótki opis użytkownika, można tu podać nazwę działu, cel tworzenia konta lub nazwę funkcji, jaką będzie pełnił w systemie dany użytkownik,
• Hasło - musi spełniać warunki określone w lokalnych zasadach zabezpieczeń,
• Potwierdź hasło - ponieważ przy wpisywaniu w poprzednim polu hasła użytkownik widzi tylko gwiazdki należy powtórzyć powyższe hasło, aby upewnić się, że zostało poprawnie wpisane. Nieznajomość hasła uniemożliwi użytkownikowi zalogowanie się do systemu,
• Użytkownik musi zmienić hasło przy następnym logowaniu - wybranie tej opcji wymaga zmiany hasła przy pierwszym logowaniu,
• Użytkownik nie może zmienić hasła - blokuje możliwość samodzielnej zmiany hasła przez użytkownika,
• Hasło nigdy nie wygasa - włączenie tej opcji sprawia, że hasło nie ma terminu ważności. Jest to czynność niezalecana. Opcja ta ma priorytet nad opcją ustanowioną w zasadach grupy dla haseł,
• Konto jest wyłączone - zaznaczenie tej opcji uniemożliwia logowanie do systemu.

    Gdy już wszystko mamy ustawione, klikamy przycisk Utwórz. Aby zarządzać uprawnieniami wielu użytkowników równocześnie, tworzy się grupy kont. Grupy możemy tworzyć według dowolnych kryteriów np. grupa dla użytkowników korzystających ze specjalnych aplikacji lub grupy dla poszczególnych działów organizacji. Aby utworzyć grupę globalną, wybieramy menu Start, a następnie Narzędzia administracyjne i Zarządzanie komputerem. Teraz prawym klawiszem myszy klikamy na wpis Zarządzanie komputerem i z menu wybieramy Podłącz do innego komputera. W nowym oknie zaznaczamy Komputer lokalny: (komputer, na którym uruchomiona jest ta konsola) i OK. Rozwijamy gałąź Narzędzia systemowe i klikamy na węzeł Użytkownicy i grupy lokalne. Teraz prawym klawiszem myszy klikamy na Grupy i wybieramy Nowa Grupa. Wyświetlone zostanie okno dialogowe, w którym możemy określić:

• Nazwa grupy
• Opis
• Członkowie - aby dodać członków do nowej grupy, klikamy przycisk Dodaj i w polu Wprowadź nazwy obiektów do wybrania możemy wpisać użytkowników, którzy będą należeli do grupy. Aby upewnić się, że wpisaliśmy poprawnie użytkowników klikamy na przycisk Sprawdź nazwy. Po wybraniu użytkowników klikamy na przycisk OK, a następnie w poprzednim oknie na Utwórz. Teraz mamy stworzoną grupę, którą możemy zarządzać.

    Ustawienie odpowiednio restrykcyjnych praw dla użytkowników i grup jest jednym z najważniejszych zadań administratora. Każdy nowy użytkownik systemu to potencjalne zagrożenie. Nie należy ufać, że użytkownik będzie wpisywał tylko poprawne dane lub że nie będzie uruchamiał jakiejś aplikacji. Odpowiednio zaostrzone zasady tworzenia haseł zwiększają bezpieczeństwo systemu.

Dla serwisu Jama Mastaha: Marcin Mierzejewski.