Bezpečnost na internetu: pracujeme s neprivilegovaným účtem (I).
V posledních letech čteme v periodikách různé kvality nejrůznější články o „bezpečnosti“. O firewallech, antivirech, o balících „umím všechno, automaticky, a jsem chytřejší než vy“, antispyware a dalších a dalších. Jak se však říká, všechno je jinak.
Úvod
Od kvality periodika, ať už tištěného nebo internetového, se odvíjí i kvalita informací. A nutno říci, že většina informací, zejména těch podávaných „poučeným laikům“ a „power userům“, je nevalná. Není nejmenší snahy využít bezpečnostních prvků operačního systému, snaha porozumět tomu, proč a jak dochazí k virové nákaze počítače. Místo toho se nabízí nejčastěji nějaké obludně rozlezlé balíky software, které mají zkombinovat aplikační firewall, antivir, flashovou animaci a menu k ovládání nějaké připitomělé doomovky, a to s vírou, že ta chytrá mašinka všechno obstará za uživatele a ten nebude muset ani myslet. Bylo by to i úsměvné, kdyby většinou nešlo o více či méně placenou reklamu nějaké nenažrané antivirové korporace.
Tudíž, řekněme si hned na začátek: žádná chytrá mašinka, která za vás obstará ochranu vašeho počítače sama a bez vašeho (alespoň základního) povědomí o bezpečnosti, neexistuje a nikdy existovat nebude. Nejde to. Prodávat „bezpečnost“ v nějakém automatizovaném softwarovém balíku je nesmysl a podvod, asi tak jako proslulý pokus prodat americkým turistům Karlštejn.
Tak – a teď si možná říkáte – vždyť já „těm počítačům“ v podstatě nerozumím, já potřebuji program, který by všechny ty složité věci obstarával za mne! Potřebuji antivirus a potřebuji aplikační firewall a rezidentní antispyware a bůhví co ještě.
To je další věc, kterou je nyní třeba ujasnit – nikomu tyhle aplikace nechci brát. Klidně si je používejte! Ba dokonce antivirový program a firewall vám vřele doporučuji. ALE prosím nemyslete si, že tím zajišťujete bezpečnost. Antivir je jako žíněnka, která je umístěná pod pětimetrovou velmi úzkou zdí, na které stojíte. Pokud tam sami skočíte, zmírní váš pád, ale nikdo vás přeci v první řadě nenutí z té zdi skákat. Dobře nastavený firewall je pak nízké zábradlíčko, které je na zdi upevněné a zabraňuje vám omylem spadnout, pokud se ho držíte.
Bezpečné používání počítače je, když úspěšně projdete od jednoho konce zdi k druhému. A nyní otázka k této (doufám, že ne nepochopitelné) alegorii: je důležité, jaké boty na sobě máte, když stojíte na vrcholu oné zdi? Samozřejmě. A „botami“ je v téhle situaci typ uživatelského účtu Windows, který používáte. Účet Administrator – správce počítače - je v takovéhle situaci jako dámské boty s podpatkem, zatímco účet typu „uživatel“ – ve Windows XP trochu nesprávně označený za „účet s omezeným oprávněním“, protože není ničím, kvůli čemu byste se měli omezovat – jsou pak boty, s kterými z vrcholu oné zdi snad ani spadnout nejde.
Dva druhy ohrožení
Co se týče virové/malwarové nákazy počítače, existují dvě hrozby, které se svoji podstatou diametrálně liší a liší se i způsob, jak se proti nim bránit. Často jsou v poloodborných kruzích tato dvě nebezpečí vzájemně zaměňována nebo prohlašována za jedno, ale není tomu tak. Vysvětlíme si rozdíl mezi pojmem virus a (síťový) červ.
Červ je program, který se šíří po síti a napadá nakažené počítače tak, že vyhledá po síti scanem potenciálně zneužitelné „serverové“ programy, které naslouchají na určitém TCP portu a pokusí se zneužít chybu ve funkci volání vzdálených procedur a přes ni spustit kód pod právy toho daného programu (démonu). Pokud tomuto vysvětlení nerozumíte, nevadí. Zjednodušeně řečeno: je to vir, který se šíří tak, že „ho“ nevidíte, nemusíte na nic klikat, je jedno jaký používáte prohlížeč, je jedno, jaký antivir máte, je jedno, pod jakým účtem jste přihlášeni. K tomu, abyste se mu vyhnuli, potřebujete buď systém, ve kterém jsou všechny tyto známé chyby opraveny (takže pravidelně aktualizovat přes Windows Update, toto je to správné trvalé řešení), a/nebo mít otevřený port zablokován na firewallu, takže se k němu paket poslaný jiným zavirovaným počítačem nedostane (toto je pouze dočasné řešení).
Běžný virus/malware je pak program, který se šíří tak, že čeká, až ho spustíte vy. Může to být i část červa, protože červi jsou někdy velice komplikovaní, nebo to může být např. trojský kůň – program, který se maskuje za užitečný, ale ve skutečnosti jde o program škodlivý. Důležité je, že „ho“ vždy vidíte, klikáte na něj vy, spouštíte jej vy - je důležité, pod jakým účtem pracujete. Proč? To se dozvíte dále.
Uživatelé a práva. Co je Administrator a co NT Authority\SYSTEM ?
V operačních systémech Windows, které jsou založeny na systémech Windows NT (mezi moderními verzemi jde o Windows 2000, Windows XP, Windows 2003 a také Windows Vista) je každá jednotlivá část systému obdařena nejrůznějšími právy, která říkají operačnímu systému, zda mají toho daného ověřeného uživatele pustit k dané akci, souboru, složce nebo třeba k tisku stránky z tiskárny. (Pro disky a soubory to platí tehdy, je-li na disku systém souborů typu NTFS, pro ostatní systémy automaticky).
Nejprve co je NT Authority\System. Je to účet, který používají samotná Windows k tomu, aby mohly kdekoliv na disku zapisovat soubory a měnit jakákoliv nastavení. Většina systémových služeb pod ním funguje a to je také důvod, proč jsou červi tak nebezpeční. Toto se většinou ovlivnit nedá, a tak je dobré o této hrozbě alespoň vědět, a vědět, proč je nebezpečí takové, jaké je. Mnohem důležitější je pro nás účet Administrators.
Uživatel Administrator byl navržen jako správce systému, který je vždy ve Windows přitomen a nejde smazat. Existuje však celá skupina Administrators, která může obsahovat i jiné uživatele, a ti pak mají stejná práva jako on. Pokud jste si vytvořili uživatelské účty ve Windows XP v ovládacím panelu „uživatelské účty“, s největší pravděpodobností je váš uživatel také ve skupině Administrators. Zkrátíme-li to, uživatel Administrator může všechno. Může kamkoliv zapsat do jakéhokoliv souboru na disku. Může se dívat ostatním uživatelům do dokumentů, může jim měnit hesla, může je smazat. Může instalovat a mazat programy. Na první pohled to vypadá jako dobrý nápad – proč se omezovat, počítač jste si přeci koupili sami a je váš, tak co se nějak omezovat, nakonec vždyť vy přeci víte, co děláte. Ale zamysleme se společně trochu.
Nejprve je potřeba si uvědomit, že práva má i každý spuštěný program. A bere je od uživatele, který je spustil. (Říká se to tomu dědičnost). Dejme tomu, že si pustíte „Správu počítače“ z Nástrojů pro správu systému. Můžete tak formátovat disky, zastavovat systémové služby, vytvářet uživatele a měnit jejich hesla, odstraňovat instalovaný hardware a další a další úkony. A to proto, že program „Správa počítače“ od vás zdědil administrátorská práva. Kdyby je neměl, nemůže formátovat disky. Ani zastavovat služby (atd..). Například kdybyste spustili tento program pod účtem skupiny Users, program by se spustil, ale nic z toho by vám nešlo – program by vypisoval chybová hlášení, že nemáte dostatečná oprávnění pro tuto operaci. A teď se dostáváme k tomu, v čem je problém. Dejme tomu, že si pod účtem Administrator spustíte Internet Explorer. Nebo Firefox nebo například ICQ. Nebo z tohoto programu otevřete a spustíte nějaký virus/malware. Co se nyní stane? Tyto programy mají často složité skriptovací enginy, nebo systém doplňků, případně můžou zobrazit obsah z jiného programu, jako audiovideo přehrávač. Případně můžou obsahovat chybu, že můžou spustit jakýkoliv kód. A nyní to přijde. Váš Firefox nebo malware, co jste z něj spustili, najednou může mazat nebo vytvářet soubory kdekoliv na disku. Může zastavovat systémové služby (například firewall). Může vytvářet nebo mazat uživatele. Může odisntalovávat nebo instalovat software. Má na to práva, má práva skupiny Administrators. Může poškodit systém tak, že po restartu už ho znovu nespustíte.
Otázka tedy zní: potřebuje to váš Firefox? Potřebuje to váš Internet Explorer? Skutečně potřebuje práva na toto vše? Potřebuje to Word? Nebo ICQ? Asi sami tušíte, kam tím mířím: toto vše tyto programy nepotřebují a pokud nepřekonfigurováváte celý systém několikrát denně, nepotřebuje to ani váš běžný uživatelský účet, pod kterým pracujete.
Ale, říkáte, pracovat pod uživatelským účtem je omezující a otravné, musím se pořád přehlašovat a některé programy mi pod ním nefungují!
Kdyby to nebylo řešitelné, tuto sérii článků bych nepsal. V následujících dílech si ukážeme, jak si práci s neprivilegovaným, uživatelským účtem zpříjemnit. Ukážeme si, že Windows jsou systém víceuživatelský a že je i možné bez problémů pracovat pod více uživatelskými účty najednou, aniž byste museli opustit svoji vlastní pracovní plochu, případně dočasně použít jinou uživatelskou plochu a po dokončení práce se do původní vrátit (a tím nemyslím „přepínání uživatelů“ ve Windows XP – toto je dostupné jak pro Windows 2000, tak i Windows XP a dokonce i pro stará Windows NT 3.51/4.0).
Související: http://pc.poradna.net/article/view/714-bezpecnost-n a-internetu-pracujeme-s-neprivilegovanym-uctem-ii
Jednička s hvězdičkou.
Super vec (clanek). Jen tak dal!
Dakujem za clanok, nezostava ine, len s nim suhlasit a konecne sa prehlasit z admin do user uctu . V minulosti som to skusil a niektore programy nesli bez admin prav (podobne, ak ste to napisal v zavere) a koniec koncov pomaly 2 roky mam net a v PC som (temer) ziaden bordel nemal, tak som od myslienky user uctu upustil. Preto sa tesim na dalsie clanky, ktore (snad) vyriesia potencialne problemy a odhodlam sa znova ist do tych user uctov. este raz dakujem
Pokud mi některej program nejede pod USER účtem, nic mi nebrání kliknout pravým tlačítkem, dát "spustit jako" a tam dát Administrator a zadat heslo.
Ale brání:
- nemusím znát heslo Administratora nebo jiného neomezeného účtu
- pokud mám jako běžný uživatel připojená nějaká síťová sdílení, tak je z aplikace spuštěné s administrátorskými právy neuvidím a zatím nevím jak si je připojit i pro Admina
Pokud neznáš heslo nějakého účtu, tak ti ho asi admin nechce sdělit - s tím se moc dělat nedá a nesouvisí to s článkem.
ad 2 - http://pc.poradna.net/article/view/836-bezpecnost-n a-internetu-pracujeme-s-neprivilegovanym-uctem-iii
každý uživatel musí mít připojené disky separátně, takže pod runas-ovaným účtem je potřeba zadat příkaz net use X: \\server\sdileni NEBO připojit jej s parametrem persistent a u příkazu runas zvolit načtení profilu. (Více net help use nebo runas /?)
BTW, "admin" program co vyžaduje síťové písmeno namísto UNC cesty je dost podivná věc a radši bych ho vyměnil, lze li to.
Perfektní článek, už se těším na další díl. Kdy ho můžeme očekávat?
To bych taky rád věděl ale budu se snažit aby byl co nejdříve...
Super. Už aby to bylo.
Vynikající text, pouze mi to trochu připomíná coitus interruptus...
Ještě horší je, když dáma vyžaduje kondom, ten není k dispozici
a lady špitne: když, tak jenom na krajíček...
Už je to týden, chtělo by to další díl.
Vladimíre, jsi skvělý! Dokážeš psát i o složitých věcech tak, že je mohou pochopit i méně zdatní čtenáři! Děkuju Ti a těším se na další díly o neprovilegovaných účtech. Doufám, že budeš psát častěji a třeba i na další témata Posílám Ti
Díky, jen jsem to psal trochu ve spěchu a stylistika utrpěla Rád bych řekl že brzo bude druhý díl ale budete muset chvíli vydržet
Výborný článek, pochopil jsem spoustu věcí, myslím, že to je perfektní řešení, teď jen vědět, jak spustit více účtů současně...ale to snad další díly.
Dík