Kwalifikacja: INF.02 - Administracja i eksploatacja systemów komputerowych, urządzeń peryferyjnych i lokalnych sieci komputerowych

Na ekranie widać okno konfiguracji zasad zabezpieczeń w systemie Windows, konkretnie w Edytorze zarządzania zasadami grupy. Tu łatwo się pomylić, bo nazwy zasad są dość podobne, a obok konta Administrator istnieje też konto Gość oraz możliwość tworzenia nowych użytkowników. W tym przypadku konfigurujemy jednak gotową, bardzo konkretną politykę: „Konta: Zmienianie nazwy konta administratora”. To oznacza, że operacja dotyczy wyłącznie wbudowanego konta Administrator, a nie żadnego innego konta lokalnego czy domenowego. Błędne skojarzenie z kontem Gość wynika często z tego, że w tym samym miejscu w zasadach są ustawienia typu „Konta: Stan konta gościa” albo „Konta: Zmienianie nazwy konta gościa”. Tu jednak w tytule okna wyraźnie jest słowo „administratora”, więc nie ma mowy o wyłączeniu Gościa czy zmianie jego nazwy. Innym typowym błędem jest założenie, że skoro pojawia się nowa nazwa „Superużytkownik”, to musi powstać nowe konto. W rzeczywistości polityka nie tworzy użytkownika, tylko modyfikuje nazwę już istniejącego konta systemowego. Identyfikator zabezpieczeń (SID) pozostaje ten sam, a więc uprawnienia, członkostwo w grupach i wszystkie przypisania w ACL-ach dalej odnoszą się do tego samego konta, tylko z inną etykietą. To ważne z punktu widzenia administracji i bezpieczeństwa, bo zgodnie z dobrymi praktykami hardeningu Windows zaleca się zmianę nazwy domyślnego konta Administrator, żeby utrudnić ataki typu brute force na znaną z góry nazwę użytkownika. Trzeba też pamiętać, że tworzenie nowego konta o nazwie „Superużytkownik” w innym miejscu (np. w Zarządzaniu komputerem) to zupełnie inna operacja niż zmiana nazwy wbudowanego konta przez GPO. W testach łatwo więc pomylić tworzenie nowego użytkownika ze zmianą nazwy istniejącego, jeśli nie czyta się dokładnie tytułu okna i ścieżki w drzewie zasad po lewej stronie.