IT rekvalifikace s garancí práce. Seniorní programátoři vydělávají až 160 000 Kč/měsíc a rekvalifikace je prvním krokem. Zjisti, jak na to!
Hledáme nové posily do ITnetwork týmu. Podívej se na volné pozice a přidej se do nejagilnější firmy na trhu - Více informací.

Lekce 6 - Nastavujeme operační systém - Uživatelé a přihlašování

Předchozí
Další

V předchozí lekci, Bezpečnost hesla - Tvorba hlavních hesel, jsme se dozvěděli, jak správně vytvářet hlavní hesla a jejich kategorizaci podle použití a stupňů zabezpečení.

V dnešní lekci kurzu kybernetické bezpečnosti si vysvětlíme, jak správně využít možností nastavení operačního systému. V tutoriálu se tentokrát zaměříme na téma uživatelské účty a přihlašování.

Nastavujeme operační systém

Už tradičně se říká, že operační systém Windows je méně bezpečný než třeba Linux nebo macOS. A historicky vzato to byla i pravda – Microsoft totiž dlouho dával přednost uživatelské nenáročnosti před bezpečností (přeci s tím nebudeme ty chudáky uživatele zatěžovat, že... :) ). Nicméně současná Windows (budeme zde uvažovat verzi 10+) lze už zabezpečit na celkem slušné úrovni. Samozřejmě Windows nejsou (a asi nikdy nebudou) OpenSource jako Linux, který nám takto nabízí možnost lepší kontroly nad tím, co se v něm skutečně děje. U úrovně zabezpečení C2, kterou se zabýváme, však výhody OpenSource operačního systému stejně jen málokdo v praxi využije.

To, že jsou Windows (spolu s Androidem) stále nejčastěji prolamovanou platformou, je dnes způsobeno spíše tím, že (na rozdíl třeba od Linuxu) u nich častěji sedí nezkušení uživatelé, kteří je neumí bezpečně používat. Bývá na nich nainstalováno spousty zbytečného software a samozřejmě jsou kvůli své rozšířenosti také nejčastěji napadanou platformou.

Nejbezpečnější operační systém bývá v praxi ten, který je nejbezpečněji nastaven a který je nejbezpečněji používán.

Bezpečnost založená na oddělení pomocí uživatelských účtů

Základní bezpečnostní schéma, které podporuje každý operační systém, je založeno na uživatelích (respektive jejich skupinách, členěných zpravidla podle toho, jakou roli v systému plní), kteří mají rozdílná práva k přístupu ke konkrétním prostředkům daného systému. Nejčastěji se jedná o soubory či složky, ale můžeme zmínit i jiná zařízení, jako je např. kamera, mikrofon, síťová rozhraní a podobně (ostatně na Unix-like systémech jsou tato rozhraní považována za soubory, byť speciálního typu). Pokud daný člověk spustí nějaký program, sdílí s ním svá práva uživatele, tj. poskytuje mu tak přístup ke všemu, co je přístupné i jemu. Přestože interně systém používá více skupin (typů) uživatelů, nás budou zajímat dva základní:

  • Administrátoři (ve Windows „Administrators“, v Unix-like systémech „root“). Zjednodušeně řečeno mohou v systému dělat vše. Slouží ke správě (a změnám nastavení) v systému. Mohou provádět instalaci programů do systémových adresářů (ve Windows je to typicky adresář c:\Program files\).
  • Běžní uživatelé (skupina „Users“). V základním nastavení mohou měnit pouze vlastní data, systémové programy mohou pouze spouštět a nastavení pouze číst.

V každém systému musí být alespoň jeden administrátor. Pokud budeme instalovat Windows, bude první uživatel, kterého nás instalátor Windows přinutí vytvořit, automaticky administrátorem. Bohužel už nijak zvlášť netrvá na tom, abychom si následně vytvořili „obyčejného“ uživatele pro běžnou (ne-administrátorskou) práci.

Přitom používat uživatele s administrátorskými právy pro běžnou práci, jako je vytváření dokumentů či práci s e-mailem nebo prohlížečem, je základní bezpečnostní chybou, která víceméně znefunkční celou ochranu, založenou na rozdílných právech uživatelů!

Proto si i v případě, že užíváme počítač sami, vytvoříme alespoň dva účty. Jeden administrátorský (nazvěme ho třeba admin nebo root – přímo administrator nám systém nepovolí, protože to ve Windows je – z historických důvodů – vestavěný systémový účet) a jeden pro běžnou práci, odvozený z našeho jména – například djanko. Pokud počítač bude používat ještě někdo další, pak mu opět vytvoříme účet vlastní!

Pro většinu běžných administrátorských operací, jako je například instalace software, není ani nutné se znovu přihlašovat jako administrátor. Systém nás v takovém případě prostě upozorní a po zadání administrátorského hesla umožní dokončit konkrétní operaci s právy administrátora.

Pro nastavení uživatelských účtů kliknete v Průzkumníku Windows na Ovládací panely a vyberete položku Uživatelské účty.

Přihlášení do Windows

Z bezpečnostního hlediska (a s ohledem na potřebu jeho častého zadávání) je ideální pro ochranu přístupu do Windows použít kombinaci biometrické kontroly (otisk prstu nebo face ID pomocí Windows Hello) a PINu (nebo obdobně krátkého hesla). Pokud je počítač používán v bezpečném prostředí, pak vystačíme i s jedním z uvedených způsobů. V žádném případě však tuto ochranu nevypínejte úplně (login bez ověření)!

Další alternativou k biometrii, kterou nám Windows nabízejí, je ověření pomocí hardwareového zařízení (zpravidla USB klíče, ale pokud máme k dispozici čtečku čipových karet – Smart Cards, lze k tomu využít i třeba občanský průkaz). To je výhodné zejména ve firmách, kde pracuje více lidí pohromadě a zadávaný PIN lze časem snadno „odkoukat“. Na rozdíl od biometrického ověření zde však navíc musíme zajistit, aby uživatel nenechával toto zařízení připojené do počítače, když od něho odchází (tj. mít ho třeba na klíčence společně s klíči apod.).

Pokud však použijeme heslo, Windows po nás budou požadovat odpovědi na bezpečnostní otázky pro případ, že bychom heslo zapomněli. Vypadá to jako dobrý nápad, a pokud v počítači nemáme nic zvlášť důležitého (řekněme zabezpečení do úrovně C1), pak to tak můžeme i nechat a na otázky po pravdě odpovědět. Uvědomme si ale, že tato volba také představuje relativně snadnou cestu, jakou může útočník naše heslo při přihlášení do Windows obejít! Stačí si o nás pár věcí prostě předem zjistit, což je zcela standardní postup při každém útoku. Navíc nelze běžným způsobem tuto volbu ve Windows zablokovat a ani si nadefinovat otázky vlastní, což útočníkovi věc dále usnadňuje. Nejjednodušším řešením je prostě jako jednu z otázek zvolit tu, na kterou odpověď sami neznáme a zapamatovat si, že v takovém případě je jako odpověď potřeba zadat vlastní heslo.

Ve Windows toto upravíme v Nastavení -> Účty -> Možnosti přihlášení (nejjednodušším způsobem, jak se do něho dostat, je zadat tento text do „vyhledávání“ Windows – ikonka lupy na hlavním panelu).

Automatické uzamčení

Stejně jako bychom měli mít ověření uživatele pro přihlášení, neměli bychom zapomínat se od počítače odhlašovat respektive ho uzamknout, pokud odcházíme na delší dobu. Bez toho by výše uvedená ochrana byla opět víceméně k ničemu. Ve Windows k tomu slouží klávesová zkratka Win + L (Lock = zamknout).

Nicméně protože člověk je tvor chybující a původně plánované minutové odběhnutí se může snadno prodloužit, měli bychom si tuto operaci zautomatizovat. Windows nám k tomu poskytují následující možnosti:

  • Časově omezená neaktivita. V nastavení Možnosti přihlášení v části Vyžadovat přihlášení nastavme Při probuzení počítače ze spánku (jde o výchozí nastavení, pro případnou změnu budeme potřebovat administrátorská práva). Pak přejděme v nastavení do Napájení a režim spánku, kde si nastavíme, po jaké době neaktivity má počítač do režimu spánku přejít.
  • Ve firmě lze s výhodou využít druhé možnosti, kterou je vzdálení nějakého bluetooth zařízení (zpravidla mobilního telefonu) od počítače. Tuto volbu nalezneme opět v nastavení Možnosti přihlášení v části Dynamický zámek.

Problematiku uživatelských účtů a přihlašování tímto uzavřeme. K tématu operačních systémů a jejich dalších nastavení se ale ještě vrátíme.

V další lekci, Nastavujeme operační systém - Soukromí a antivirový SW, si řekneme, jak nastavit soukromí, zmíníme také antivirový software a zaměříme se na nastavení řízeného přístupu ke složkám a zásady bezpečné instalace programů.


 

Předchozí článek
Bezpečnost hesla - Tvorba hlavních hesel
Všechny články v sekci
Kybernetická bezpečnost
Přeskočit článek
(nedoporučujeme)
Nastavujeme operační systém - Soukromí a antivirový SW
Článek pro vás napsal David Janko
Avatar
Uživatelské hodnocení:
67 hlasů
Autor se věnuje poradenství převážně v oblasti kybernetické bezpečnosti.
Aktivity