Implementacja systemu 
ochrony poziomu C2 
w Windows NT 

h

Kryteria normy C2 



Wyjaśnienie poszczególnych kryteriów 
normy C2.

 

h

Dostosowanie Windows NT do 
wymagań normy C2 



Kolejne kroki dostosowania ochrony 
systemu Windows NT do kryteriów 

 

J

ak nauczyliśmy się w poprzednim rozdziale, 

przyjęte przez Departament Obrony USA 
kryteria oceny systemów komputerowych, 
dostarczają ujednoliconych środków 
sprawdzania poziomu ochrony potencjalnie 
wszystkich instalacji informatycznych. Przy 
zapewnieniu odpowiednich warunków, 
Windows NT spełnia, nakreślone 
w „pomarańczowej książce”, wymagania 
normy C2. Bieżący rozdział jest poświęcony 
przeglądowi kryteriów normy C2 oraz 
dostosowaniu Windows NT do ich wymagań. 



określonych normą C2. Wykorzystanie 
menedżera konfiguracji C2.

 

 

Część V Implementacja kryteriów ochrony Departamentu Obrony USA  

 w 

środowisku Windows NT 

454 

Definicja normy C2 

Narodowe Centrum Bezpieczeństwa Komputerowego Departamentu 
Obrony USA opublikowało w dniu 29 kwietnia 1996 r. końcowy raport 
z oceny Windows NT Workstation oraz Windows NT Server łącznie z US 
Service Pack 3 w zakresie normy C2 (CSC-FER-95/003). Ponieważ 
opracowanie liczy ponad 200 stron, możemy tutaj jedynie go omówić. 
(Więcej informacji można znaleźć pod adresem: 

http://www. radium.ncs.mil/tpep/epl/entries/CSC-EPL-95-003.html)

 

Platformy, na jakich oceniano Windows NT 

Windows NT był oceniany na trzech różnych komputerach: Copmpaq 
Proliant 2,000, Compaq Proliant 4,000 (http://www.compaq.com) oraz 
DECpc AXP/150 (http://www.digital.com). Rozmiary pamięci mieściły się 
w przedziale od 16 MB do 512 MB. 

Komputery Compaq Proliant były wyposażone w 

procesory Intel 

Pentium (90 i 

100 

MHz). Proliant 2,000 posiadał dwa procesory, 

a Proliant 4,000 cztery. Oba miały następującą konfigurację: 

płyta:  Tri-Flex EISA System Board 

karta graficzna: SVGA 1024×768×4 Video Adapter 

kontroler 

32 bit FAST SCSI-2 

Twardy dysk:  1,5 GB SCSI-2 

Twardy dysk  2,5 GB SCSI-2   

Dysk elastyczny 

3.5 1.44M 

Napęd taśmowy 

2/8 GB DAT 

klawiatura 

101 

mysz 3 

klawiszowa 

drukarka HPLaserJet 

IV 

Komputer DECpc był skonfigurowany następująco: 

CPU:  150 MHz DEC CPU 

karta graficzna: Compaq Qvision SVGA  

kontroler Adaptec 

1742 SCSI 

„

Twardy dysk: 

353 M SCSI 

Implementacja systemu ochrony poziomu C2 w Windows NT  

455 

 

„

Dysk elastyczny 

3.5 1.44M 

„

klawiatura 

101 

„

mysz 3 

klawiszowa 

„

drukarka HPLaserJet 

IV 

Chociaż powyższe platformy Windows NT są powszechnie stosowane 
w charakterze serwerów sieciowych, to były oceniane jako systemy 
wolnostojące. Poza tym DECpc ROM Console Firmware musi być 
w wersji 3.5 lub późniejszej. 

Precyzyjna kontrola dostępu  

Precyzyjna kontrola dostępu opiera się nie tylko na identyfikacji 
użytkownika, lecz również na wiedzy o nim. Windows NT, dzięki 
systemowi plików NTFS, umożliwia na przykład właścicielowi obiektu 
szczegółową regulację dostępu dla grup, a 

nawet pojedynczego 

użytkownika. Windows NT zapewnia lepsze sterowanie dostępem niż 
inne systemy operacyjne. 

Przypomnijmy sobie wymagania normy C2: „Precyzyjna kontrola 
dostępu w 

systemach godnych zaufania wymaga możliwości 

definiowania i sterowania dostępem między nazwanym użytkownikiem 
i nazwanym obiektem ( pliki i programy)”. Mówiąc prościej, system 
operacyjny musi zapewniać sterowanie dostępem do wszystkich 
obiektów, bazując na nazwach użytkowników, członkostwie grup lub 
obu metodach. Ponadto, przyznawanie dostępu innym użytkownikom, 
powinno wymagać specjalnych, udzielonych explicite upoważnień. 

Windows NT steruje dostępem obiektów, wykorzystując listy kontroli 
dostępu (ACL - Access; por. rozdział 3). Dzięki listom ACL upoważniony 
użytkownik może sterować wykorzystaniem obiektów, zgodnie 
z wymaganiami normy C2. Każda lista składa się z nagłówka i pozycji 
kontroli dostępu (ACE - Access Control Entries). Nagłówek zawiera 
informacje o rozmiarze i liczbie elementów listy. Kolejne pozycje opisują 
natomiast informacje o dostępie. W systemie Windows NT stosowane są 
dwa rodzaje list: precyzyjne (Discretionary Access Control Lists) oraz 
systemowe (System access Control Lists). 

Precyzyjne listy kontroli dostępu (DACL) sterują dostępem do obiektów. 
Na takich listach mogą znajdować się dwa rodzaje pozycji: 
AccessAllowed (dostęp dozwolony) i AccessDenied (dostęp zabroniony). 
Pozycja AccessAllowed służy do przyznawania dostępu użytkownikom 
lub grupom, natomiast AccessDenied do jego wyraźnego zakazania. Sys-
temowe listy kontroli dostępu (SACL) kierują nadzorem nad dostępem 

 

Część V Implementacja kryteriów ochrony Departamentu Obrony USA  

 w 

środowisku Windows NT 

456 

do obiektów. SACL ma jedną pozycję dostępu - SystemAudit. Syste-
mAudit służy do sterowania systemem śledzenia dostępu. 

Jedyna droga przyznania uprawnienia dostępu do dowolnego obiektu, 
polega na zmianie jego DACL. Precyzyjną listę kontroli dostępu do 
obiektu mogą modyfikować tylko użytkownicy, posiadający uprawnienie 
dostępu na poziomie WriteDAC. Takie rozwiązanie daje gwarancję,  że 
tylko indywidualnie uprawnione osoby, zazwyczaj administratorzy, 
mogą udostępniać obiekt innym użytkownikom. Omówione elementy 
Windows NT sprawiają,  że spełnia wszystkie wymagania w zakresie 
precyzyjnej kontroli dostępu. 

Powtórne wykorzystanie obiektu 

Wymagania normy C2 dotyczą  ścisłego zabezpieczenia systemu przed 
możliwością ponownego wykorzystania obiektów. Aby spełnić  żądania 
w tym zakresie, system musi usunąć wszelkie przyznane do obiektu 
pełnomocnictwa, zanim zwolni go do ewentualnego wykorzystania przez 
inne procesy. Poza tym, żąda się, aby żadna informacja, nawet w postaci 
zakodowanej, pozostawiona przez sesję poprzedniego użytkownika, nie 
była dostępna dla następnego. 

Windows NT jest bardzo dobrze zabezpieczony przed ponownym 
użyciem obiektów dzięki trzem rozwiązaniom: 

1. Nagłówek i 

treść każdego procesu jest inicjowana z 

nowymi, 

odpowiednimi wartościami. 

2. Pamięć wydzielona dla obiektu jest zerowana. 

3. Obiekt może być czytany jedynie przez proces, który go ostatnio 

zapisywał. 

Metody zabezpieczania obiektów przed ponownym użyciem zależą od 
ich rodzaju. Kiedy menedżer obiektów inicjuje pola nagłówkowe, aby 
uruchomić dowolny podsystem wykonywalny (executive), wszystkie 
dane zawarte wcześniej w przydzielonej pamięci są nadpisywane. Zanim 
obiekty chronionego serwera zostaną odwzorowane do przestrzeni 
adresowej procesu, menedżer pamięci zeruje cały obszar pamięci 
przydzielony dla obiektu. 

Identyfikacja i weryfikacja tożsamości 

Spełnienie kryteriów normy C2 wymaga od systemu operacyjnego, aby 
przed podjęciem jakiejkolwiek akcji lub otrzymaniem dostępu do dowol-
nych informacji, użytkownik musiał przejść procedurę identyfikacji 
i weryfikacji tożsamości. Najczęściej stosowanym w tym zakresie rozwią-
zaniem jest sprawdzanie nazwy użytkownika i stosowanego przez niego 

Implementacja systemu ochrony poziomu C2 w Windows NT  

457 

 

hasła.  Żąda się również, aby informacje niezbędne do weryfikacji użyt-
kowników były chronione przed niepowołanym dostępem, a działania 
użytkowników muszą być zdolne do identyfikacji i rejestracji. 

Windows NT wymaga od każdego użytkownika przedstawienia się 
unikatową nazwą, która jest w systemie reprezentowana wewnętrznie 
przez identyfikator bezpieczeństwa (SID). Identyfikator SID jest 
całkowicie unikatowy i nie może być powtórnie przydzielony - nawet 
jeśli nazwa użytkownika została usunięta z 

systemu. Weryfikacja 

tożsamości realizowana jest przez ośrodek zabezpieczeń lokalnych (LSA) 
drogą sprawdzenia zgodności hasła. Wszystkie hasła są składowane 
w specjalnej bazie danych menedżera chronionych kont (SAM). 

Nadzór 

Jak już było wielokrotnie mówione, instalacja klasyfikowana pod 
względem bezpieczeństwa na poziomie C2 musi być zdolna do 
rejestrowania wszelkiej działalności systemu oraz dostępu 
użytkowników do jego obiektów. Dzienniki tworzone przez układ 
rejestracji muszą być zabezpieczone przed nieupoważnionym dostępem 
i zniszczeniem.  Poniższa lista wylicza zdarzenia, które mogą być 
rejestrowane: 
„

Wykorzystanie mechanizmów identyfikacji i weryfikacji tożsamości 

„

Wprowadzanie obiektów do przestrzeni adresowej użytkownika (na 
przykład otwarcie pliku). 

„

Usuwanie obiektów. 

„

Działania administratorów i personelu ochrony. 

„

Wszystkie inne zdarzenia mające wpływ na bezpieczeństwo systemu. 

Każdy zapis układu nadzoru musi zawierać następujące pozycje: nazwę 
użytkownika, datę, czas, rodzaj oraz wynik zdarzenia (sukces lub 
niepowodzenie). Jeśli zdarzenie opisuje rejestrację w systemie, powinno 
być odnotowane jego pochodzenie. Ponadto, administrator powinien 
mieć możliwość selekcji rejestrowanych zdarzeń. 

System nadzoru Windows NT tworzą: ośrodek zabezpieczeń lokalnych 
(LSA), kontroler wskaźników bezpieczeństwa (SRM), rejestrator zdarzeń 
(Event Logger) oraz przeglądarka zdarzeń. Wszystkie zarejestrowane 
informacje są zabezpieczone przez precyzyjną listę kontroli dostępu 
(DACL) i są dostępne jedynie dla administratorów. Tablica 19.1 ilustruje 
zdarzenia, które może rejestrować Windows NT. 

 

Część V Implementacja kryteriów ochrony Departamentu Obrony USA  

 w 

środowisku Windows NT 

458 

Tabela 19.1 Lista zdarzeń możliwych do monitorowania przez Windows NT 

Rodzaj zdarzenia 

Restart systemu 
Wyłączenie systemu 
Załadowanie pakietu weryfikacyjnego 
Proces rejestracji w systemie 
0Wyczyszczenie dziennika rejestrowanych zdarzeń 
Zaniechanie nadzoru grupy zdarzeń 
Pomyślnie zakończona rejestracja w systemie 
Błędne wprowadzenie nazwy użytkownika lub hasła 
Niepomyślna rejestracja spowodowana przekroczeniem ograniczeń czasowych 
Niepomyślna rejestracja spowodowana wyłączonym kontem 
Niepomyślna rejestracja spowodowana wygaśnięciem ważności hasła 
Niepomyślna rejestracja spowodowana przez wykorzystanie niedozwolonej stacji 
roboczej 
Niepomyślna rejestracja spowodowana przekroczeniem ograniczeń typu rejestracji 
Niepomyślna rejestracja 
Wyrejestrowanie się użytkownika 
Otwarcie obiektu 
Zamknięcie uchwytu 
Wyznaczenie specjalnego przywileju 
Wykorzystanie uprzywilejowanej usługi 
Dostęp do uprzywilejowanego obiektu 
Utworzenie procesu 
Zakończenie procesu 
Zdublowanie uchwytu 
Wykorzystanie pośrednich wskaźników 
Wyznaczanie przywileju 
Zmiana reguł monitoringu 
Zmiany w strukturze domen 
Zmiana atrybutów konta użytkownika 
Utworzenie konta użytkownika 
Usunięcie konta użytkownika 
Usunięcie elementu grupy ogólnej 
Dodanie elementu do grupy ogólnej 
Zmiany grupy lokalnej 
Utworzenie grupy lokalnej 
Usunięcie elementu grupy lokalnej 
Dodanie elementu grupy lokalnej 

Implementacja systemu ochrony poziomu C2 w Windows NT  

459 

 

Rodzaj zdarzenia 

Skasowanie grupy lokalnej 

Architektura systemu 

Architektura systemów spełniających wymogi klasy C2 musi zapewniać 
bezpieczną domenę dla własnych procesów i gwarantować,  że dane 
i procesy  znajdujące się w chronionej domenie są wolne od wpływów 
zewnętrznych. Ponadto system musi być zdolny do kontroli dostępu 
i nadzorowania wszystkich swoich zasobów. 

Windows NT zabezpiecza wszystkie swoje obiekty. Próba dostępu do 
zasobów systemu wymaga przejścia procedury kontroli uprawnień 
i może być śledzona przez układ nadzoru. 

Integralność systemu 

Aby spełnić kolejne kryteria, system musi być wyposażony w środki 
programowe lub sprzętowe, umożliwiające okresową kontrolę i weryfi-
kację poprawności oraz bezpieczeństwa działania. 

Rozwiązania do testowania integralności zależą przede wszystkim od 
wykorzystywanej platformy sprzętowej. Przy tym zastrzeżeniu, 
Windows NT spełnia wymagania, gdyż Microsoft jest zdolny dostarczyć 
odpowiedniego oprogramowania do testowania standardowych 
rozwiązań sprzętowych. 

Testowanie zabezpieczeń 

Jak można sobie wyobrazić, system przygotowywany do oceny na 
poziomie normy C2, wymaga rozległych testów tak w 

czasie 

projektowania, jak i podczas weryfikacji. Badania muszą gwarantować 
integralność systemu i 

umożliwić eliminacje ewentualnych luk 

w układzie zabezpieczeń. 

Microsoft testował funkcjonalność chronionych serwerów działających 
w trybie użytkownika, egzekutywę działającą w trybie jądra oraz WIN32 
API. Oddzielne próby były realizowane w 

obszarze najbardziej 

związanym z 

bezpieczeństwem, obejmując dostęp do obiektów, 

zabezpieczenia przed powtórnym użyciem obiektów i wykorzystanie 
przywilejów. Zespół weryfikujący uznał metodologię badań za 
prawidłową. 

 

Część V Implementacja kryteriów ochrony Departamentu Obrony USA  

 w 

środowisku Windows NT 

460 

Przewodnik użytkownika w zakresie środków zabezpieczających 

Aby system operacyjny mógł być klasyfikowany, dostawca musi poświę-
cić przynajmniej jeden rozdział dokumentacji na szczegółowe omówienie 
mechanizmów zabezpieczających system. Przewodnik powinien opisy-
wać wykorzystanie narzędzi i ich współpracę, zapewniającą integralność 
systemu. 

Windows NT dostarczany jest wraz z podręcznikiem użytkownika, 
poświęconym mechanizmom zabezpieczającym (Security Features Users 
Guide). Opracowanie omawia procedury rejestracji w systemie, zmiany 
hasła, zamykania i 

otwieranie komputera oraz wykorzystanie 

programów do wygaszania ekranu. Ponadto omówione są precyzyjna 
kontrola dostępu do plików i katalogów w związku z prawem własności 
zbiorów w Windows NT. 

Instrukcja obsługi mechanizmów zabezpieczających 

Dopełnieniem dokumentacji musi być instrukcja obsługi narzędzi 
ochronnych, która jest przeznaczona dla administratorów. Opracowanie 
powinno umożliwić zdobycie niezbędnej wiedzy na temat dostępnych 
środków bezpieczeństwa, sposobie konfiguracji bezpiecznej instalacji 
oraz metod monitorowania systemu. 

Wraz z Windows NT nabywca otrzymuje odpowiedni poradnik (Trusted 
Facility Manual), omawiający przywileje i 

grupy, które mogą być 

kontrolowane, wyjaśniający jak sprawdzać i 

obsługiwać dzienniki 

ochrony oraz opisujący narzędzia administracyjne zawarte w systemie. 

Aby przystąpić do procesu weryfikacji, dostawca musi przedstawić 
dokumentację opisującą przebieg i 

wyniki wewnętrznej oceny 

zgłaszanego do testu systemu. 

Dokumentacja dostarczona przez Microsoft została uznana za 
wystarczającą. 

Dokumentacja projektowa 

Ostatnią częścią dokumentacji, którą należy dostarczyć zespołowi 
prowadzącemu ocenę, jest opracowanie wyjaśniające, jak przyjęte 
założenia projektowe przekładają się na architekturę systemu. Jeśli 
system jest ze swej natury modularny, to dokumentacja musi tłumaczyć, 
jak zabezpieczać interfejsy łączące elementy układu. 

Dokumentacja projektowa dostarczona przez Microsoft spełniała kryteria 
normy C2. 

Implementacja systemu ochrony poziomu C2 w Windows NT  

461 

 

Inne uwagi 

Oprócz tych cech, którym Windows NT zawdzięcza klasyfikację na 
poziomie C2, kilka elementów systemu kwalifikuje go do oceny wyższej. 
Następujące rozwiązania wyczerpują wymagania normy B2: 

Bezpieczne rozwiązania administracyjne 

Kilka spośród wielu wymagań, stawianych systemom aspirującym do 
klasy B2, dotyczy rozwiązań umożliwiających oddzielenie funkcji 
operacyjnych od zadań administracyjnych. Windows NT pozwala 
administratorom przyznawać różne uprawnienia dla indywidualnych 
użytkowników. Cechy systemu pozwalają sterować możliwościami 
użytkowników, zgodnie z regułami obowiązującymi w każdej instytucji. 
Powyższe czynniki, plus układ zarządzania grupami, spowodowały 
wysoką ocenę rozwiązań administracyjnych Windows NT. 

Chroniona ścieżka 

Inna grupa wymagań normy C2 dotyczy bezpiecznej komunikacji 
między systemem i jego użytkownikami, podczas procesu identyfikacji 
i weryfikacji  tożsamości. Ponadto bezpieczny kanał  łączności powinien 
być inicjowany przez użytkownika, a nigdy przez system.  

Rozwiązania zawarte w 

Windows NT, wraz z 

inicjacją rejestracji 

wymagającą wciśnięcia kombinacji klawiszowej CTRL+ALT+DEL, 
zapewniają bezpieczną  ścieżkę komunikacyjną. System daje gwarancję, 
że informacje niezbędne do identyfikacji i 

weryfikacji tożsamości 

użytkownika są przesyłane wyłącznie do niego. W zakresie wymagań 
dotyczących bezpiecznego kanału  łączności, Windows NT spełnia 
kryteria B2. 

Jak widać Microsoft dołożył wiele wysiłku, by uczynić ze swego 
produktu bezpieczny system operacyjny. 

Jak skonfigurować Windows NT by spełniał kryteria 
normy C2 

Aby dostosować swój system do wymagań normy C2, najlepiej posłużyć 
się specjalnym programem o nazwie menedżer konfiguracji C2, który jest 
elementem pakietu narzędziowego Windows NT Resource Kit. Końcową 
część książki poświęcimy wszystkiemu, co trzeba wiedzieć o tym 
programie. 

 

Część V Implementacja kryteriów ochrony Departamentu Obrony USA  

 w 

środowisku Windows NT 

462 

Menedżer konfiguracji C2 

Specjalny program z pakietu narzędziowego ułatwia zabezpieczenie 
systemu, zgodnie z 

kryteriami normy C2. Wizytówkę menedżera 

konfiguracji C2 ilustruje rysunek 19.1. 

Rysunek 19.1 

Menedżer konfiguracji C2 

 

Systemy plików 

Od instalacji klasy C2 żąda się precyzyjnej kontroli dostępu. Chociaż 
Windows NT współpracuje z kilkoma systemami plików, to tylko NTFS 
umożliwia precyzyjną kontrolę dostępu. Jeśli nasz system zawiera 
partycje sformatowane w innym systemie plików, to wciskając przycisk 
C2, spowodujemy ich konwersję przy następnym uruchomieniu 
komputera. 

Systemy operacyjne 

Windows NT musi być jedynym systemem operacyjnym, działającym na 
komputerze. Chociaż program nie odinstalowuje innych systemów, może 
spowodować, aby po uruchomieniu komputera były niedostępne. 
Zdolność wyboru systemu operacyjnego możliwa jest dzięki zwłoce 
przed uruchomieniem Windows NT. Jeśli dwukrotnie klikniemy na 
pozycji  Operating Systems, otworzy się okno przedstawione na rysunku 
19.2. 

Implementacja systemu ochrony poziomu C2 w Windows NT  

463 

 

Rysunek 19.2 

Okno dialogowe C2 Con-
figuration - Operating Sys-
tems 

 

Kliknąć na przycisku C2, a następnie  OK. Okienko informacyjne powia-
domi nas, że uruchamiając komputer nie będziemy mogli wybrać innego 
systemu operacyjnego. Kliknięcie OK zaktualizuje plik BOOT.INI. 

Podsystem OS/2 

Podsystem OS/2{xe "podsystem OS/2"}{xe "OS/2:podsystem"} umożli-
wia Windows NT uruchamianie aplikacji OS/2 w trybie znakowym. 
Wymagania normy C2 nie zezwalają na działanie podsystemu, gdyż 
OS/2 nie spełnia odpowiednich warunków (por. rysunek 19.3). 

Rysunek 19.3 

Odinstalowanie podsystemu 
OS/2. 

 

Podsystem POSIX 

Portable Operating System Interface, bazujący na podsystemie UNIX 
(POSIX), umożliwia Windows NT uruchamianie 32 bitowych aplikacji 
POSIX. Takie programy działają na konsoli Windows w trybie znako-
wym. Ponieważ ochrona podsystemu oparta jest na rozwiązaniach POSIX 
UNIX, nie można go instalować w systemach Windows NT, które mają 
spełniać kryteria C2. Dwukrotnie kliknięcie na pozycji  POSIX subsystem 
otworzy okno zilustrowane na rysunku 19.4. 

 

Część V Implementacja kryteriów ochrony Departamentu Obrony USA  

 w 

środowisku Windows NT 

464 

Rysunek 19.4 

Odinstalowanie podsystemu 
POSIX. 

 

Wciśnięcie przycisku OK wyświetli  żądanie potwierdzenia. Ponowne 
wciśnięcie 

OK

 spowoduje odinstalowanie podsystemu. Jeśli 

w przyszłości zajdzie potrzeba reinstalacji POSIX, wystarczy skopiować 
plik PSXSS.EXE z płyty instalacyjnej CD do katalogu %SystemRoot 
%directory. 

Dziennik ochrony 

Wymagania dotyczące sterowania dostępem za pomocą kont określają 
konieczność tworzenia, obsługi i zabezpieczenia przed nieupoważnio-
nym dostępem lub destrukcją zapisów w dziennikach, związanych 
z dostępem do chronionych przez system obiektów. Przy domyślnych 
ustawieniach, Windows NT przechowuje zapisy w dzienniku przez sie-
dem dni, po czym nadpisuje je aktualnie rejestrowanymi zdarzeniami.  

Kliknąć dwukrotnie na pozycji Security Log, celem otwarcia okna przed-
stawionego na rysunku 19.5.  

Rysunek 19.5 

Ustawianie parametrów 
dziennika systemu ochrony 
zgodnie z normą C2. 

 

Aby ustawić system nadzoru zgodnie z normą C2, należy wybrać opcję 
Do Not Overwrite Events (Clear Log Manually)

  (Nie nadpisywać zdarzeń, 

czyścić dziennik ręcznie), następnie wcisnąć przycisk OK. 

Zatrzymanie systemu w razie niemożności rejestracji zdarzeń 

Przy normalnych ustawieniach Windows NT, zwłaszcza jeśli przeglądar-
ka zdarzeń jest skonfigurowana w sposób uniemożliwiający nadpisywa-

Implementacja systemu ochrony poziomu C2 w Windows NT  

465 

 

nie zarejestrowanych zdarzeń, może się zdarzyć,  że objętość zapisów 
w dziennikach przekroczy dopuszczalne przez administratora rozmiary. 
Aby zapobiec sytuacji, że jakiekolwiek działania, niezgodne z regułami 
ochrony, umkną układowi nadzoru, należy ustawić automatyczne wyłą-
czanie systemu po zapełnieniu dziennika.  

Kliknąć dwukrotnie na pozycji Halt on Audit Failure (por. rysunek 19.6). 

Rysunek 19.6 

Okno umożliwiające skonfi-
gurowanie zatrzymania 
systemu po zapełnieniu 
dziennika ochrony. 

 

Zaznaczyć pole wyboru Halt system when security log is full, następnie wci-
snąć przycisk OK. Tak skonfigurowany system nadzoru spełnia wyma-
gania normy C2. 

Wyświetlanie komunikatu poprzedzającego rejestrację 

Trudno oczekiwać,  że komunikat ostrzegawczy odstraszy wszystkich 
intruzów. Aby jednak skutecznie dochodzić roszczeń wobec osób próbu-
jących bez uprawnienia skorzystać z usług systemu informatycznego lub 
naruszyć jego integralność, konieczne jest powiadomienie użytkowni-
ków, że rejestracja bez odpowiednich pełnomocnictw stanowi naruszenie 
prawa. 

Celem skonfigurowania odpowiedniego komunikatu, należy kliknąć 
dwukrotnie na pozycji Display logon message, co otworzy okno przedsta-
wione na rysunku 19.7. 

 

Część V Implementacja kryteriów ochrony Departamentu Obrony USA  

 w 

środowisku Windows NT 

466 

Rysunek 19.7 

Konfigurowanie komunikatu 
ostrzegawczego, wyświetla-
nego podczas rejestracji 
w systemie. 

 

Wpisać treść komunikatu w oknie edycyjnym Massage Text, następnie 
wcisnąć przycisk OK. Wyświetlanie ostrzeżenia nie jest warunkiem ko-
niecznym certyfikatu C2. 

Wyświetlanie nazwy konta ostatniego użytkownika 

Jak zapewne czytelnicy tej książki doskonale wiedzą, Windows NT wy-
świetla nazwę konta użytkownika, który ostatnio korzystał z komputera. 
W instalacjach, od których wymaga się wysokiego bezpieczeństwa, dar-
mowe udostępnienie połowy informacji, koniecznej do rejestracji świad-
czy o nadmiarze życzliwości. Chociaż nie jest to wymagane przez normę 
C2, wyłączenie opcji jest dobrym pomysłem (por. rysunek 19.8). 

Rysunek 19.8 

Wyłączenie opcji wyświetla-
nia nazwy ostatniego użyt-
kownika. 

 

Dwukrotnie kliknąć na pozycji Last Username Display; zaznaczyć okienko 
wyboru Hide the last username to log in, a następnie wcisnąć przycisk OK. 

Przycisk wyłączający system 

Kiedy użytkownik wprowadza nazwę konta i hasło, dostępny jest przy-
cisk umożliwiający wyłączenie systemu. Przynajmniej na niektórych 

Implementacja systemu ochrony poziomu C2 w Windows NT  

467 

 

komputerach, decyzja o wyłączeniu systemu powinna należeć do admi-
nistratorów. Aby ukryć przycisk należy kliknąć dwukrotnie na pozycji 
Shutdown Button

, co otworzy okno zilustrowane na rysunku 19.9. 

Rysunek 19.9 

Usuwanie z okna rejestracyj-
nego przycisku umożliwiają-
cego wyłączenie systemu. 

 

Zaznaczyć okienko wyboru Don’t show the shutdown button in the logon 
dialog

 i wcisnąć przycisk OK. 

Długość hasła 

Domyślna konfiguracja Windows NT zezwala na posługiwanie się pu-
stym hasłem. Bezpieczeństwo wymaga, aby tożsamość użytkownika była 
weryfikowana przez układ bezpieczeństwa. Celem dostosowania syste-
mu do wymagań normy C2, należy dwukrotnie kliknąć na pozycji 
Password

 Length (por. rysunek 19.10). 

Rysunek 19.10 

Ustawianie minimalnej 
długości hasła. 

 

Wcisnąć przycisk C2, a następnie OK. 

Uwaga  

Zmiana minimalnej długości hasła nie wpływa na operatywność haseł, które są 
aktualnie używane w systemie. 

 

Część V Implementacja kryteriów ochrony Departamentu Obrony USA  

 w 

środowisku Windows NT 

468 

Konto gościa 

Pierwszą czynnością, wrażliwych na bezpieczeństwo swoich systemów 
administratorów, jest wyłączenie konta gościa. Jeśli chcemy, aby nasz 
system spełniał wymagania normy C2, musimy postąpić tak samo.  

Kliknąć dwukrotnie na pozycji Guest Account, co otworzy okno przedsta-
wione na rysunku 19.11. 

Rysunek 19.11 

Wyłączanie konta gościa. 

 

Zaznaczyć okienko wyboru Disable Guest user account, po czym wcisnąć 
przycisk OK. 

Sieć 

Jak już mówiliśmy, Windows NT został sklasyfikowany na poziomie C2, 
jako system wolnostojący. Chcąc dostosować swój system do normy, na-
leży odinstalować od swojego komputera wszystkie elementy oprogra-
mowania i sprzętu sieciowego. 

Kliknąć dwukrotnie na pozycji Networking (por. rysunek 19.12), co wy-
świetli odpowiednie okno dialogowe. Wcisnąć przycisk OK, przełączają-
cy do ustawień sieciowych, gdzie można odinstalować protokoły, adapte-
ry itp. 

Rysunek 19.12 

Kliknąć dwukrotnie na 
pozycji Networking, aby 
odinstalować oprogramowa-
nie i osprzęt sieciowy. 

 

Implementacja systemu ochrony poziomu C2 w Windows NT  

469 

 

Litery odwzorowujące napędy oraz drukarki. 

Nadzorowanie zasobów systemu jest centralnym zadaniem układu bez-
pieczeństwa. Oznacza nie tylko kontrolę dostępu, ale również działań 
instalacyjnych. 

Kliknąć dwukrotnie na pozycji Drive Letters & Printers, aby otworzyć 
okienko dialogowe przedstawione na rysunku 19.13. 

Rysunek 19.13 

Napędy i drukarki. 

 

Zaznaczyć opcję  Only Administrators may assign Printers and Drive  letters 
i wcisnąć przycisk OK. 

Napędy nośników przenośnych 

Chociaż omawiane rozwiązanie nie wynika z ograniczeń normy C2, po-
zwala zapewnić wyższy stopień bezpieczeństwa. Menedżer zabezpieczeń 
C2 umożliwia przyporządkowanie napędów nośników przenośnych (tj. 
dysków elastycznych i CD-ROM) do rejestrowanego konta, co chroni je, 
a co ważniejsze zawarte na nich dane, przed dostępem z poziomu aplika-
cji uruchomionych przez innych użytkowników. 

Dwukrotnie kliknąć na pozycji Removable Media Drives, co otworzy okno 
zilustrowane na rysunku 19.14. 

Rysunek 19.14 

Napędy nośników przeno-
śnych. 

 

 

Część V Implementacja kryteriów ochrony Departamentu Obrony USA  

 w 

środowisku Windows NT 

470 

Ochrona rejestró 

Jak wiemy, rejestry Windows NT zawierają potencjalnie wszystkie infor-
macje o konfiguracji systemu. Zniszczenie zapisów rejestrów może ozna-
czać utratę wszystkiego, łącznie z pracą, żoną, dziećmi, psem itd.  

Kliknąć dwukrotnie na pozycji Registry Security, celem otwarcia okna 
przedstawionego na rysunku 19.15. 

Rysunek 19.15 

Ustawianie zabezpieczeń 
rejestrów. 

 

Wybranie przycisku OK powoduje konfigurację list kontroli dostępu do 
rejestrów. Po ustawieniu uprawnień, odpowiednie okno potwierdzające 
zasygnalizuje zakończenie operacji. 

Poniższa lista zawiera spis pozycji rejestrów, do których zostaną zmody-
fikowane uprawnienia dostępu: 

HKEY_LOCAL_MACHINE\SOFTWARE 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\* 
HKEY_LOCAL_MACHINE\SOFTWARE\Description 
HKEY_LOCAL_MACHINE\SOFTWARE\Description\* 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\* 
HKEY_LOCAL_MACHINE\SOFTWARE\Program Groups 
HKEY_LOCAL_MACHINE\SOFTWARE\Secure 
HKEY_LOCAL_MACHINE\SOFTWARE\Windows 3.1 Migration Status 

Menedżer konfiguracji C2 ustawia zabezpieczenia każdej z wymie-
nionych pozycji, przyznając odpowiednie uprawnienia indywidualne 
i grupowe. Plik C2REGACL.INF zawiera opis, umożliwiający podgląd 
ustawień. Chociaż nic nie stoi na przeszkodzie, aby spróbować zmienić 
układ uprawnień, nie zalecamy dokonywać żadnych modyfikacji. Każda 
zmiana może spowodować zaburzenie pracy systemu lub otworzyć furt-
kę dla hakerów. 

Implementacja systemu ochrony poziomu C2 w Windows NT  

471 

 

Ochrona systemu plików 

Ochrona systemu plików jest bodaj najważniejszą pozycją listy menedże-
ra konfiguracji C2. Ochrony plików wymagają również systemy nie za-
wierające poufnych informacji. To właśnie konieczność zapewnienia bez-
pieczeństwa dla zbiorów jest powodem budowy układu ochrony całego 
systemu.  

Dwukrotnie kliknąć na pozycji File System Security, aby otworzyć okno 
zilustrowane na rysunku 19.16. 

Rysunek 19.16 

Ustawianie zabezpieczeń 
systemu plików. 

 

Wciśnięcie przycisku OK rozpocznie wyznaczanie uprawnień dostępu 
zgodnie z wymaganiami normy C2. Menedżer konfiguracji zasygnalizuje 
zakończenie pracy odpowiednim oknem potwierdzającym. Wcisnąć 
przycisk OK, by kontynuować pracę. 

Listę wszystkich uprawnień, ustawionych przez menedżer konfiguracji 
C2 zawiera plik C2NTFACL.INF. Oto lista zbiorów, które są objęte dzia-
łaniem procedury: 

%SystemDrive%\ 
%SystemDrive%\*.* 
%SystemDrive%\IO.SYS 
%SystemDrive%\MSDOS.SYS 
%SystemDrive%\BOOT.INI 
%SystemDrive%\NTDETECT.COM 
%SystemDrive%\NTLDR 
%SystemDrive%\AUTOEXEC.BAT 
%SystemDrive%\CONFIG.SYS 
%SystemDrive%\TEMP\! 
%SystemDrive%\USERS\! 
%SystemDrive%\USERS\DEFAULT\! 
%SystemDrive%\WIN32APP\! 
%SystemRoot%\! 
%SystemRoot%\*.* 
%SystemRoot%\*.INI 
%SystemRoot%\!LOCALMON.DLL 
%SystemRoot%\PRINTMAN.HLP 

 

Część V Implementacja kryteriów ochrony Departamentu Obrony USA  

 w 

środowisku Windows NT 

472 

%SystemRoot%\REPAIR\! 
%SystemRoot%\SYSTEM\*.* 
%SystemRoot%\SYSTEM32\*.* 
%SystemRoot%\SYSTEM32\AUTOEXEC.NT 
%SystemRoot%\SYSTEM32\CMOS.RAM 
%SystemRoot%\SYSTEM32\CONFIG.NT 
%SystemRoot%\SYSTEM32\MIDIMAP.CFG 
%SystemRoot%\SYSTEM32\PASSPORT.MID 
%SystemRoot%\SYSTEM32\ CONFIG 
%SystemRoot%\SYSTEM32\ CONFIG\*.* 
%SystemRoot%\SYSTEM32\ CONFIG\DEFAULT.LOG 
%SystemRoot%\SYSTEM32\ CONFIG\SAM 
%SystemRoot%\SYSTEM32\ CONFIG\SAM.LOG 
%SystemRoot%\SYSTEM32\ CONFIG\SECURITY 
%SystemRoot%\SYSTEM32\ CONFIG\SECURITY.LOG 
%SystemRoot%\SYSTEM32\ CONFIG\SYSTEM 
%SystemRoot%\SYSTEM32\ CONFIG\SYSTEM.ALT 
%SystemRoot%\SYSTEM32\ CONFIG\SYSTEM.LOG 
%SystemRoot%\SYSTEM32\CONFIG\USER.DEF 
%SystemRoot%\SYSTEM32\DHCP\! 
%SystemRoot%\SYSTEM32\DRIVERS\! 
%SystemRoot%\SYSTEM32\OS2\OSO0001.009 
%SystemRoot%\SYSTEM32\OS2\DLL\DOSCALLS.DLL 
%SystemRoot%\SYSTEM32\OS2\DLL\NETAPI.DLL 
%SystemRoot%\SYSTEM32\RAS 
%SystemRoot%\SYSTEM32\RAS\*.* 
%SystemRoot%\SYSTEM32\REPL\! 
%SystemRoot%\SYSTEM32\ REPL\EXPORT 
%SystemRoot%\SYSTEM32\ REPL\EXPORT\*.* 
%SystemRoot%\SYSTEM32\ REPL\EXPORT\SCRIPTS 
%SystemRoot%\SYSTEM32\ REPL\EXPORT\SCRIPTS\*.* 
%SystemRoot%\SYSTEM32\ REPL\IMPORT 
%SystemRoot%\SYSTEM32\ REPL\IMPORT\*.* 
%SystemRoot%\SYSTEM32\ REPL\IMPORT\SCRIPTS 
%SystemRoot%\SYSTEM32\ REPL\IMPORT\SCRIPTS\*.* 
%SystemRoot%\SYSTEM32\ SPOOL\! 
%SystemRoot%\SYSTEM32\ SPOOL\DRIVERS\W32X86\1 
%SystemRoot%\SYSTEM32\ SPOOL\DRIVERS\W32X86\WINPRINT.DLL 
%SystemRoot%\SYSTEM32\ WINS\! 

Implementacja systemu ochrony poziomu C2 w Windows NT  

473 

 

Wykrzyknik (!) wskazuje menedżerowi konfiguracji C2, aby objął usta-
wieniem katalog, łącznie z wszystkimi plikami i kartotekami znajdują-
cymi się poniżej. Podobnie jak w przypadku rejestrów, nie należy zmie-
niać ustawień dokonanych przez menedżer konfiguracji C2. 

Pozostałe elementy konfiguracji 

Niestety, nie wszystkie potrzebne zmiany można wykonać automatycz-
nie, posługując się menedżerem konfiguracji C2. Dwukrotne kliknięcie na 
pozycji Other Security Items spowoduje wyświetlenie okno informujące 
o konieczności skonfigurowania jeszcze czterech elementów. Ustawianie 
hasła potrzebnego do włączania zależy od systemu i wymaga przejrzenia 
instrukcji obsługi komputera. User Manager for Domains musi być za-
mieniony na standardowy menedżer użytkowników. Konta użytkowni-
ków muszą być skonfigurowane zgodnie z podręcznikiem administratora 
Windows NT C2 Security System Guide. 

Podsumowanie 

Niniejszy rozdział zawiera wiadomości o szczegółowych wymaganiach 
normy C2, zgodnych z 

„pomarańczową książką” i 

konfrontuje je 

z odpowiednimi rozwiązaniami Windows NT. Analiza kryteriów normy 
C2 oraz środków, którymi są realizowane przez Windows NT, pozwala 
administratorowi zrozumieć lepiej mechanizmy ochrony. Dodatkowo 
omówiliśmy zastosowanie menedżera konfiguracji C2 do odpowiedniego 
ustawienia parametrów systemu. Nawet, jeśli administrowany przez nas 
system nie wymaga ochrony klasy C2, narzędzie pozwoli domknąć 
wszelkie luki w jego ochronie.