Otoczenie sieciowe - Sieć SMB utworzono: 27/07/2003 :: modyfikacja: 13/02/2005 autor: Marcin Moczkowski :: glappo (at) banita (dot) pl Użytkownicy i uprawnienia - Windows 95/88/Me Żeby rozwiać wszelkie wątpliwości: systemy Windows 95/98/Me nie posiadają obsługi użytkowników i grup, w rozumieniu uprawnień. Posiadają tylko obsługę użytkowników w sensie profili dla każdego z nich ale nic ponad to. System Windows 95/98/Me obsługuje tylko system plików typu FAT i właśnie dlatego nie można zdefiniować uprawnień na poziomie systemu plików gdyż FAT, czegoś takiego nie obsługuje. Dodanie nowego użytkownika Zanim się zaczniesz zastanawiać jaki użytkownik ma jakie prawa warto wiedzieć jak dodać nowego użytkownika w systemie Windows 95/98/Me. W tym celu przejdź do "Panel sterowania" -> "Użytkownicy", gdzie ujrzysz teraz użytkownika o nazwie z jaka jesteś zalogowany do systemu. Jest tak jeśli w "Panel sterowania" -> "Hasła" w zakładce "Profile użytkownika" zaznaczono "Użytkownicy mogą dostosowywać preferencje...". Wybierając opcje "Nowy użytkownik" będziesz mógł dodać kolejnego użytkownika do systemu. Również możesz tutaj ustawić hasło dla danego użytkownika, trzymane w pliku PWL katalogu Windows. Opcja "Zmień ustawienia pozwala wybrać spersonalizowane elementy dla kont użytkowników, opisane jest to w dziale Profile mobilne (wędrujące) w systemach Windows. Użytkownicy i ich prawa Każdy użytkownik w Windows 95/98/Me może dokładnie to samo czyli wszystko zmieniać, ustawiać kasować, itp. Jedyna metoda ograniczania uprawnień poszczególnych użytkowników to zabawa rejestrem systemowym lub to samo poprzez program Poledit, dostępnego na płycie instalacyjnej systemu Windows 98 w katalogu tools/reskit/netadmin/poledit. Wygląd programu Poledit przedstawiono poniżej na obrazku. Poledit po prostu ustawia odpowiednie klucze w rejestrze. Możesz ustawienia uprawnień zapisań do pliku Config.POL i zapisać je w udziale netlogon na Podstawowym Kontrolerze Domeny NT (PDC), co pozwoli scentralizować zarządzanie uprawnieniami oraz uniemożliwi zmodyfikowanie tego pliku przez zwykłego użytkownika. a taka możliwość istnieje jeśli plik Config.POL (czy jak go wtedy nazwiesz) pozostanie na lokalnym komputerze z Windows 95/98/Me, gdzie każdy ten plik może zmodyfikować. Cała zabawa uprawnieniami, polega Windows najpierw załaduje rejestr lokalny (user.dat), później nałoży na to wpisy z Config.POL dla "Default User" (Użytkownik Domyślny), a później wpisy dla specyficznego użytkownika. Poniższe opcje dotyczą blokowania dla użytkowników komputera pewnych funkcji związanych z siecią. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Network HideSharePwds -- ukrywanie haseł udostępniania poprzez zastąpienie ich na ekranie gwiazdkami. DisablePwdCaching -- wyłączenie buforowania haseł. AlphanumPwds -- wymaganie korzystania z hasła alfanumerycznego. MinPwdLen -- minimalna długość hasła. NoFileSharing -- brak możliwości udostępniania plików innym użytkownikom. NoPrintSharing -- brak możliwości udostępniania drukarek innym użytkownikom HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Network NoNetSetup -- wyłączenie dostępu do właściwości sieci. NoNetSetupIDPage -- wyłączenie dostępu do zakładki właściwości sieci Identyfikacja. NoNetSetupSecurityPage -- wyłączenie dostępu do zakładki właściwości sieci Kontrola dostępu. NoFileSharingControl -- brak kontroli nad współużytkowaniem plików. NoPrintSharingControl -- brak kontroli nad współużytkowaniem drukarek. NoEntireNetwork -- brak folderu Cała sieć. NoWorkgroupContents -- brak składników grup roboczych w Otoczeniu sieciowym. Możesz też zapoznać się z artykułem z CHIP Online: Kontrolowanie uprawnień Użytkowników w systemach WIndows 9x - http://www.chip.pl/archiwum/article_10986.html. Uprawnienia udostępniania Udostępniając zasób możesz dla tego zasobu ustawić uprawnienia (obie te możliwości można dodatkowo zahasłować): Pełny - czyli możliwość odczytu i zapisu. Odczyt - czyli można tylko odczytać zawartość ale nie usuwać nic. Jako że wystarczy znać hasło, żeby zdobyć jakieś przywileje w udostępnieniach powstało wiele programów łamiących te hasła m.in. polski Łamacz. Działanie takich programów polega na podstawianiu kombinacji znaków i dopasowywaniu ich do hasła. Zależnie od skomplikowania hasła taki proces może trwać od paru sekund do wręcz do wielu dni. Ale w pewnym  wypadku może trwać to zawsze bardzo krótko. Swego czasu została odkryta bardzo ciekawa dziura w zabezpieczeniach w Windows 95/98/Me związana z hasłami udostępnień określana angielskim mianem "Share Level Password" i opisana w bazie wiedzy Microsoft pod numerem Q273991. Problem polegał na tym że ta luka w zabezpieczeniach umożliwiała odgadywanie hasła w dosłownie parę sekund. Mianowicie używając tej luki można odgadywać hasło nie jako całe słowo ale jako pojedyncze znaki czyli wpierw odgadujemy tylko pierwszy znak (to trwa chwile), potem drugi znak w haśle (druga chwila ;-) i tak po kolei całe hasło. Dzięki takiemu "rozbiciu" hasła złamanie jego trwa góra koło jednej minuty niezależnie od jego skomplikowania. Oczywiście ukazała się w miarę od razu odpowiednia łata (patch) na tą lukę w zabezpieczeniach Windows 95/98/Me. Ale że ten system świeżo po instalacji jest podatny na ten błąd i wiele osób nie "łata" systemu to nie trudno znaleźć system w sieci podatny na złamanie hasła w taki sposób. Programy łamiące hasło w ten sposób to m.in.: PQwak, xIntruder, Share Password Checker.