Bezpečnost na internetu: pracujeme s neprivilegovaným účtem (II).
V seriálu pokračujeme základy - tedy jak si omezený účet vytvořit, jak převést disk do NTFS a jak kopírovat uživatelské profily, abychom nemuseli vytvářet v různých účtech tatáž nastavení znovu.
Tvorba účtu "s omezeným oprávněním"
V minulém díle jsme si řekli, proč je důležité nepoužívat pro běžnou práci účet typu Administrator. Dnes si ukážeme, jak účet "s omezeným oprávněním" vlastně vytvořit.
V operačních systémech Windows jsou plné nástroje na správu účtů obsaženy pouze ve verzích Professional, ve verzích typu Home je možné účty spravovat pouze ve zjednodušeném ovládacím panelu "Uživatelé". Ukážeme si tedy nejprve tuto "zjednodušenou" (ve skutečnosti složitější) variantu.
V ovládacích panelech si otevřeme ovládací panel User Accounts (Uživatelské účty).
Zvolíme "Create a new account" (Vytvořit nový účet)
V další obrazovce pro něj vybereme jméno, to si myslím, že se obejde bez screenshotu.
Zde je důležitý krok - vybíráme druh účtu. Chceme samozřejmě "Limited" (účet s omezeným oprávněním).
Ve Windows Vista vypadá tato obrazovka takto - zde již není účet nesmyslně označován jako "omezený" - a tak je to správně.
Správa účtů, kterou jsme si ukázali, je velmi omezená. Používáte-li však Windows XP Professional, Windows 2000, Vista Bussiness/Enterprise, máte přístup ke standardní správě účtů, z níž je také dobře pochopitelný princip, na kterém je postavená. Práva jsou, jak jsme si minule řekli, určena tím, v jaké uživatelské skupině se nacházíte, což jde ze "zjednodušeného" ovládacího panelu poznat jen tak, že "víme", že všechny účty jsou ve skupině Administrators a ty "omezené" jsou naopak ve skupině Users. "Zjednodušený" ovládací panel nám tají, že existuje skupina Power Users, která má právo instalovat software ale nemá například právo přistupovat kamkoliv na (NTFS) systémovém disku, tedy stojí někde mezi uživatelem a administrátorem. Do správy účtů se dostanete například pravým kliknutím na ikonu Tento počítač a volbou Manage (Spravovat) kdekoliv v průzkumníku; další cestou je ikonka v Nástrojích pro správu (Administrative Tools) v ovládacích panelech.
"Správa uživatelů" je jen částí konzoly "Správa počítače"; je rozdělena na dvě složky, Uživatelé a Skupiny. (Dvojklik na uživatele zobrazí jeho vlastnosti, kde je možné jej i např. zařadit do skupiny, a obráceně dvojklik na skupinu zobrazí vlastnosti skupiny, kde je především vidět, jaké uživatele skupina obsahuje.
Záložka Advanced (Upřesnit) vlastností uživatele nám ukazuje, jakých skupin je uživatel členem. Pokud je členem pouze skupiny Users, má práva běžného uživatele; pokud by tam měl zároveň i skupinu Administrators, již má práva skupiny Administrators.
Pouze pro zajímavost a pro pokročilé uživatele: i když není počítač členem domény, můžete si nastavením příslušných vlastností nastavit pro uživatele cestovní profil, přihlašovací skript a nastavit proměnnou %HOMEDRIVE%, která se vám zároveň připojí jako síťový disk po přihlášení uživatele.
Chráníme systémový disk. Proč a jak
Aby byl uživatelský neprivilegovaný účet opravdu neschopen mazat nebo měnit systémové soubory, což z bezpečnostních důvodů samozřejmě chceme, musí být systémový disk, tedy diskový oddíl, na kterém je adresář WINDOWS, ve formátu NTFS. Pokud jej v NTFS nemáme, ukážeme si, jak jej převést.
K převádění mezi formáty se ve Windows NT používá příkaz CONVERT. Syntaxe je jednoduchá:
CONVERT [jednotka] /FS:NTFS
Příkaz CONVERT je bezpečný, přesto se jako při jakékoliv manipulaci se souborovým systémem doporučuje obsah oddílu zálohovat. Při běhu příkazu CONVERT by nemělo dojít k výpadku proudu. CONVERT neumí převést systémový disk, pokud jsou plně spuštěny Windows; pokud se pokusíme převést systémový disk, řekne nám, že se příkaz vykoná při příštím spuštění Windows. (A to se také stane; příkaz se spustí po inicializaci systému, ale před spuštěním rozhraní k přihlášení). Naopak nesystémový disk je příkaz CONVERT bez problémů schopný převést "zatepla".
Toto je malý příklad použití příkazu CONVERT; nejprve jsem zkusil převést systémový disk, ten však již byl v NTFS, tak jsem použil CONVERT na převedení disku D:
Profily nejsou náš nepřítel
Pokud jste se zkusili přihlásit do nově vytvořeného účtu, asi jste si všimli, že nastavení plochy, dokumentů, oblíbených v IE a vůbec nastavení aplikací se nepřeneslo a vše má výchozí, tovární nastavení. Je to proto, že každý uživatel má jiné nastavení, což je ostatně logické. Všechna tato nastavení jsou v tzv. uživatelském profilu, který odpovídá složce uživatele v "Documents and Settings" (potažmo Users ve Windows Vista). Pouhé překopírování souborů v průzkumníku do nového profilu ale nepomůže; součástí profilu je totiž ještě uživatelská část registru a informace o tom, kdo může tento profil používat. Pouhým překopírováním bychom se dostali do situace, že by profil pod naším novým uživatelem nešel načíst. Naštěstí je ve Windows přímo nástroj, který je k přenášení profilů určený.
Ve Windows 2000/XP jej najdeme v ovládacím panelu Systém, záložka Advanced(Rozšířené), User profiles (Uživatelské profily). Po kliknutí na Settings se nám zobrazí seznam uživatelských účtů, které máme práva měnit. Pod uživatelským účtem se nám zobrazí jen ten náš vlastní, pod administrátorským všechny účty na daném počítači. Zároveň platí, že kopírovat jeden profil do druhého jde pouze tehdy, když ani na jednom z nich není nikdo přihlášený. Z toho všeho vyplývá, že abychom nastavení našeho starého uživatelského profilu mohli překopírovat do našeho nového uživatelského, musíme si založit ještě jeden účet, tentokrát s právy skupiny Administrators.
Jakmile pod tímto novým účtem budeme zalogováni, můžeme vybrat profil, který chceme kopírovat (např. náš starý administrátorský) a vybereme si cestu, kam profil chceme nakopírovat (tedy cestu k našemu novému uživatelskému účtu). Důležité je v druhém tlačítku prokliknout, který účet bude mít práva jej používat - kdybychom to neudělali, profil by se zkopíroval i s informací, že jej může používat pouze náš starý administrátorský účet.
Jakmile toto bude hotovo, když se odhlásíme a přihlásíme se do našeho nového uživatelského účtu, nepoznáme že nejsme v našem starém administrátorském - ikony na ploše, tapeta, nastavení prohlížeče, vše bude při původním nastavení. Jen nebudeme mít práva administrátora.
Ve Windows Vista je nástroj na kopírování účtů trochu jinde - najdeme jej v ovládacím panelu systém, "Advanced system settings" (Rozšířená systémová nastavení) a dále Advanced (Rozšířené), a dále již je to stejné jako ve Windows XP.
V dalším díle se budeme věnovat tomu, jak pracovat s více účty současně, pokud potřebujeme mít spuštěnou aplikaci, která vyžaduje administrátorská práva.
Související: http://pc.poradna.net/article/view/600-bezpecnost-n a-internetu-pracujeme-s-neprivilegovanym-uctem-i
Vladimire
-děkuji.
-obrázkový návod je třeba.
-opravdu,povedlo se.
-konečně něco jednoduchýho,co pochopí každý.
-----
Těším se na třetí díl.
----------------
EDIT// možná bych doplnil,cože to chce convert za volume label(jméno disku)?-je to častý zákys v konvertování - jedná se o jméno disku (většinou místní disk)-já to dělám tak,že ho přejmenuju(v průzkumníku) na "aaa" a to tam prdnu-zbytek je v režii systému.
Dotaz, musím se připravit na hbitého synovce a hlavně to nastavit u ségry.
Win XP Home SP2
Udělal jsem další účet (user), ale naskočilo tam spousta programů z instalací,
kde jsem klíďo píďo odklikával "pro všechny"(když byl jen jeden).
Můžu to teď nějak dodatečně pozměnit, aby tam měl maximálně Alíka a Malování
a nepídil se po dalších programech?
Můžeš. Stačí přesunou ikony z "All users" do tvého profilu. Rovněž doporučuju i do "Default User", tak se ikony nakopírují i nově vytvořeným profilům a uživatelé si je mohou uzpůsobit k obrazu svému (např. smazat).
BTW, Vladimíre, doufám, že zahrneš v dalším díle i práci s Default profilem (protože to je jeden z nejmocnějších nástrojů Windows a přitom jej málokdo zná a používá)
O Default profilu jsem uvažoval pro tento díl, ale nakonec jsem si řekl že by to spíš uživatelům hlavu popletlo, přeci jen to chce vědět třeba aspoň to, kdy se profil vytváří apod. Takže pro příští díl o něm neuvažuju, ten bude o něčem jiném.
IMHO Default profil je spíš nástroj pro administrátory co tvoří mnoho (>10) účtů.
vyplácí se mi to už pro pc s více než 2 účty, které mají být podobně nastavené - respektive se ty pc ve výrobě liší jen startovním prostředím podle uživatele - to už dělá nějaký login skript.
u dočasného vzorového uživatele (bez hesla) nastavím klasické startmenu + úpravy, vzhled lišty start, vzhled (classic), zruším zbytečné ikony, zatrhnu vlastnosti složky, spořič (vyp.), efekty zobrazení (vyp.), zpoždění menu, zobrazování písmene disku jako první, vzhled ie, domovskou stránku, předvolím (anglickou) klávesnici ... víc mě teď nenapadá*
podle někdejší touchwoodovy rady: přihlásím se jako admoš, podle obrázku nahoře [user profiles / copy to] zkopíruju profil vzorového uživatele do "default user", proto ani nevyplňuju oprávnění pod tím, a vzorového uživatele potom smažu, už ho nepotřebuju. čili nastavení se dotkne všech budoucích vytvořených účtů kromě administrátora - proto píšu od 2 výše.
původní příspěvek jsem nenašel, aspoň toto: http://pc.poradna.net/question/view/161358-dedicnos t-ve-windows-profilech
*) nemá někdo nějaký geniální .reg soubor?
-----
poznámka: při vytváření nového uživatele přes ovládací panely / users (3.obrázek) se mi nabízí jen typ administrator (volba limited user je vždy zašedlá). to bych řekl že není v xp dobře vyřešeno.
typ účtu se dá změnit dodatečně přes tento počítač / spravovat (správa účtů z konzoly správa počítače) - nebo ve správě účtů jde vytvořit omezeného (ok, základního) uživatele rovnou - ale volbu co je na obrázku jsem nikdy neviděl.
Zhruba 80% vytvoříš v RegToy - spustíš si v něm nahrávací mód (výstup *.reg) a jmeš se nastavovat,po nastavení potřebného reg soubor uložíš,poté vrátíš změny zpět.
to je divné, já to tam viděl, ostatně jinak bych to asi nenafotil. Je to ale poprvé co jsem ten ovládací panel použil, tak bohužel netuším podle čeho to funguje /nefunguje...
Má zkušenost je taková, že záleží na tom kolik a jakých účtů už bylo vytvořeno.
První účet musí být vždy neomezený, přičemž účet Administrator se do toho nepočítá. Další už mohou být běžné. V Nástrojích pro správu je to pochopitelně jinak, včetně spousty typů účtů.
Taky jsem si všiml, že účet Administrator sice existuje vždy, ale je v Nástrojích pro správu zakázaný (nebo jak je ten checkbox pojmenovaný) - neobjevuje se v nabídce pro přihlášení, podobně je to myslím s účtem hosta.. Možná, kdyby se to odpálilo, tak by šel běžný uživatel vytvořit napoprvé. Tento zákaz, pokud neexistuje jiný účet s neomezeným oprávněním, navíc pod Vistama způsobuje kuriozitu: pokud používáte UAC (Řízení uživatelských účtů), tak po poklepání na nějakou "administrátorskou" činnost vás systém vyzve k zadání hesla správce, ale jaksi ho není kam zadat - prostě tam není žádné políčko pro jeho zadání. Pokud se účet Administrator (nebo jakýkoliv účet ze skupiny Administrators) povolí, vše funguje jak má.
Takto jsem to vypozoroval, ale vůbec netuším, jestli se to týká všech verzí, nebo jen Home, nebo je to jen mnou pozorovaná náhoda. Windows téměř nepoužívám, jen jsem teď tatínkovi dával dohromady nový počál a právě zmíněné Visty jsem tam instaloval.
Opat som sa nesklamal, Vladimir
▪ napisane pekne, jednoduchym stylom
▪ vzdy uvadzas aj anglicke aj ceske nazvy
▪ popisal si oba OS (XP aj Vista)
nuz, hladal som, co by som vytkol, neobjavilo som. dakujem a uz sa tesim na (este zaujimavejsi) dalsi diel.
Vladimir na Hrad!
Neblázni, buď rád že je Vladimír dosud normální jedinec, schopný komunikace s ostatními normálními jedinci.
Na tom pražském mostě (pardon hradu), parlamentu a podobných institucích je taková zvláštní nemoc. Buď se ukážeš jako nehodný (zůstaneš slušný) a pak jsi odejit nebo jsi nakažen stejnou nemocí jako ostatní a stáváš se pro normální lidi bezcenným jedincem.
a pak jsi odejit
Co to je za slovni vyraz? Nesetkavam se s tim zas tak casto ale parkrat jsem to videl (hlavne v claneckach na Novinky.cz.. Ja kdybych psal tu vetu tak bych tam vlozil jeste slovicko "nucen" (napr) .. Je to tak gramaticky spravne nebo nebo si to naspsal spatne?
Toto se hodně používá v souvislosti s udělením banu.Neřekne se:"Kde je?Má banán,ale byl odejít."Nevím jak je to s gramatikou,ale je to hodně používaný termín.
Pardon, ale na konci prvního článku chybí pokračovací odkaz na článek 2.
Díky za upozornění, napraveno.
Dobry den,abych to presne pochopil tak se radeji zeptam,myslel jsem ze mohu vytvorit novy ucet s admin.opravnenim a z neho svuj puvodni snizit na omezeny,musim tedy pouzit vyse uvedeny postup s prevodem prav?
ne, každému co jeho jest.
admin ať leze kam má (pokud není zakryptováno tak všude, případně umí převzít práva), uživatel pouze do adresáře jehož je vlastníkem, nebo jinam kam mu to práva na ntfs dovolí.
pokud chci z rozumně bezpečných důvodů při surfování po síti (s možností nákazy) nemít admošská práva, nechám si účet administrator čistě jen pro správu počítače, ve verzi home si nějaký účet správce "admin" zřídím.
pod přihlášeným admošem svému obvyklému pracovnímu účtu změním oprávnění na user, převod práv se nekoná. a je to, a zabezpečení svých windows jsem rázem zvedl o 1000%.
To je to první,co v této verzi u konce instalace děláš.Administrator se nenastavuje to je bianco šek.
Vyborne,mam xp a hotovo,jsem zvedav na dalsi dil, zrejme o prevzeti prav,skoda ze neni nejaka utilitka neco jako červeny cuplik na plose,klik-admin cervena,klik-blb zelena,pak by toto usporadani pouzival snad kazdy. Dobry serial Vladimire.
Opět výborný článek, jen tak dál.
Ještě pár dílů a můžu znovu začít s nastavováním PC a dělat zálohy přes Norton Ghost, ale radši na to nebudu spěchat, začínám chápat, že se tady dozvím ještě spoustu věcí.
Díky za takovéto návody, ale stejně bych potřeboval poradit. Každou chvíli tady čtu že by člověk měl používat účet s omezenými právy, tak jsem si řekl že to taky udělám, než budu mít problémy . Ve win Xp proff jsem vytvořil jsem nový účet s omezenými právy, pak jsem se přepnul do administrátorského a udělal kopii mého původního účtu snad přesně podle toho návodu. Když jsem pustil nový účet, tak tam bylo všechno jako v tom původním, ale ikony všechny naskákané na levé straně na mřížce a nefungoval panel snadného spuštění. Všechno jsem přerovnal, panel spustil a odhlásil se. jakmile jsem se znova přihlásil, tak bylo vše zase jako na začátku. Tak jsem na tom novém účtu zkusil změnit práva na správce, a v tu chvíli všechno vypadalo jako na původním účtu, včetně rozmístění ikon. Po odebrání práv správce, zase všechny ikony vlevo. Poraďte kde dělám chybu, abych se nakonec zase nevrátil k admin účtu a všechny ostatní nezrušil. Díky Mirek
Takhle se Windows chovají, když je zapnutá skupinová politika "Neukládat uživatelská nastavení v průzkumníku". Což bych řekl ale že tady problém nebude, protože počítač s největší pravděpodobností není zařazený do domény. Takže je to menší záhada...
Zkusil bych se v documents and settings podívat na práva, která má uživatel přiřazené na svoji složku (záložka zabezpečení), jestli tam není například jen pro čtení nebo něco takového...
pěkná chujovina toto, už sem to skoušel asi 4x a nikdy se nepovedlo, jak dojde na kopírování je to celí v řiti
Je to fakt super článek, vůbec jsem netušil, že se dá s profilama dělat tolik věcí.
Jen na jednu podstatnou drobnost bych se zeptal:
Mám XP SP2 udělal jsem vše podle návodu, ale když chci zkopírovat starý admin účet do nového omezeného viz. návod, hází mi to chybové hlášení: " Nepodařilo se nastavit zabezpečení cílového profilu. Chyba - přístup byl odepřen."
Nevíte jak to řešit? Možná je to chyba v postupu, ale zkoušel jsem to čtyřikrát a stále stejné hlášení :(
Z jakého účtu to kopírujete? Ten účet musí mít práva na obě složky profilu, první pro čtení (původní admin) a nový pro zápis (uživatel).
proč mi nefunguje u novýho ůčtu třeba qip? nebo NHC 2.0???
QIP pod neadmin účtem normálně funguje - co to přesně dělá a jsi si jistý že víš jak fungují profily qipu?
NHC fungovat nebude - utility které např. softwarově podtaktovávají procesor musí mít administrátorská práva nebo běžet jako služba. Takže buď najít alternativu co běží jako služba nebo přečíst díl III a diskuzi pod ním a spouštět NHC s jiným oprávněním z user účtu.
on se spustí, ale nepřipojí, píše chybu něco s uživatelem, neni prostě nastaven tak jak ho mam v adminu a ani se nepřipojí
takto to vypadá:
http://img291.imageshack.us/my.php?image=beznzvuqt6 .gif
ahoj, kdy prosim vytvoris 3.díl?
Lucia