Bezpiecze�stwo � polityka w Windows NT Opracowa�: Zbigniew Suski 1 Polityka systemowa w WINDOWS NT G��wne zagadnienia wyk�adu Polityka systemowa odnosi si� do sterowania roboczym �rodowiskiem i dzia�aniami u�ytkownik�w. Narzuca r�wnie� konfiguracj� systemu dla wszystkich komputer�w w domenie. Jest to po prostu zbi�r regu� okre�laj�cy co u�ytkownicy mog� robi�. Przyk�adowo mo�e on okre�la�: _ Restrykcje w zakresie u�ycia poszczeg�lnych opcji Panelu steruj�cego. _ Customizacj_ cz�ci desktopu. _ Konfiguracj� ustawie� sieciowych. _ Kontrolowanie logowania i dost�pu w sieci. Polityk� systemow� mo�na okre�li� dla ca�ej domeny, pojedynczego u�ytkownika, grupy u�ytkownik�w, komputera lub komputer�w. Plik polityki systemowej (system policy file) jest zestawem ustawie� rejestr�w, nadpisuj�cych obszary rejestr�w aktualnego u�ytkownika i lokalnego komputera. Uaktywnienie polityki polega na utworzeniu pliku NTConfig.pol w katalogu \winnt\System32\Repl\Import\Scripts g��wnego kontrolera domeny (PDC). Katalog ten jest zwykle dzielony (udost�pniany) jako \\PDC_servername\Netlogon$. Do definiowania polityki s�u�y Edytor Polityki Systemowej (System Policy Editor) znajduj�cy si� w grupie narz�dzi administracyjnych (Administrative Tools). Inicjowanie polityki systemowej W momencie logowania si� u�ytkownika na dowolnym kontrolerze domeny, system operacyjny �aduje do rejestr�w profil tego u�ytkownika. Nast�pnie nast�puje sprawdzenie czy w dzielonym katalogu sieciowym Netlogon istnieje plik Ntconfig.pol. Je�eli plik ten definiuje polityk� systemow� dla u�ytkownika, to zawarte w nim ustawienia s� w��czane do rejestr�w u�ytkownika. Edytor polityki systemowej umo�liwia zmian� ustawie� rejestr�w komputera lokalnego na dwa sposoby: _ Polityka dla u�ytkownik�w modyfikuje poddrzewo HKEY_CURRENT_USER rejestr�w. Okre�la zawarto�� profilu u�ytkownika. _ Polityka dla komputera modyfikuje poddrzewo HKEY_LOCAL_MACHINE. Je�eli pomi�dzy domenami okre�lona zosta�a relacja zaufania, to polityka jest pobierana z domeny zawieraj�cej konto u�ytkownika. Edytor polityki systemowej wy�wietla dwie ikony. Jedna (Local User) reprezentuje rejestry u�ytkownika domy�lnego (Default User) a druga (Local Computer) reprezentuje rejestry lokalnego komputera. Mo�na poprzez menu Edit utworzy� dodatkowe ikony reprezentuj�ce porcj� rejestr�w dla wybranego u�ytkownika, grupy lub komputera. Wzory polityki systemowej Do definiowania polityki systemowej w konfiguracjach mieszanych zawieraj�cych Windows NT i Windows 95 mo�na wykorzysta� pliki wzor�w. S� one instalowane w katalogu \winnt\inf: Common.adm - okre�la wsp�lne ustawienia dla Windows NT i Windows 95. Winnt.adm - okre�la ustawienia specyficzne dla Windows NT. Windows.adm - okre�la ustawienia specyficzne dla Windows 95. Wzory mo�na tworzy� i edytowa� dowolnym edytorem tekstowym. Mog� one by� �adowane przez edytor polityki poprzez wykorzystanie polecenia Policy Template w menu Options. Sk�adnia j�zyka opisu wzor�w jest opisana w Windows NT Resource Kit. Pliki polityki systemowej utworzone dla Windows NT nie mog� by� wykorzystywane w Windows 95 i vice versa. Dla Windows 95 polityka systemowa jest przechowywana w pliku Config.pol w katalogu dzielonym Netlogon$ na PDC.