Bezpečnost na internetu: pracujeme s neprivilegovaným účtem (II).
V seriálu pokračujeme základy - tedy jak si omezený účet vytvořit, jak převést disk do NTFS a jak kopírovat uživatelské profily, abychom nemuseli vytvářet v různých účtech tatáž nastavení znovu.
Tvorba účtu "s omezeným oprávněním"
V minulém díle jsme si řekli, proč je důležité nepoužívat pro běžnou práci účet typu Administrator. Dnes si ukážeme, jak účet "s omezeným oprávněním" vlastně vytvořit.
V operačních systémech Windows jsou plné nástroje na správu účtů obsaženy pouze ve verzích Professional, ve verzích typu Home je možné účty spravovat pouze ve zjednodušeném ovládacím panelu "Uživatelé". Ukážeme si tedy nejprve tuto "zjednodušenou" (ve skutečnosti složitější) variantu.
V ovládacích panelech si otevřeme ovládací panel User Accounts (Uživatelské účty).
Zvolíme "Create a new account" (Vytvořit nový účet)
V další obrazovce pro něj vybereme jméno, to si myslím, že se obejde bez screenshotu.
Zde je důležitý krok - vybíráme druh účtu. Chceme samozřejmě "Limited" (účet s omezeným oprávněním).
Ve Windows Vista vypadá tato obrazovka takto - zde již není účet nesmyslně označován jako "omezený" - a tak je to správně.
Správa účtů, kterou jsme si ukázali, je velmi omezená. Používáte-li však Windows XP Professional, Windows 2000, Vista Bussiness/Enterprise, máte přístup ke standardní správě účtů, z níž je také dobře pochopitelný princip, na kterém je postavená. Práva jsou, jak jsme si minule řekli, určena tím, v jaké uživatelské skupině se nacházíte, což jde ze "zjednodušeného" ovládacího panelu poznat jen tak, že "víme", že všechny účty jsou ve skupině Administrators a ty "omezené" jsou naopak ve skupině Users. "Zjednodušený" ovládací panel nám tají, že existuje skupina Power Users, která má právo instalovat software ale nemá například právo přistupovat kamkoliv na (NTFS) systémovém disku, tedy stojí někde mezi uživatelem a administrátorem. Do správy účtů se dostanete například pravým kliknutím na ikonu Tento počítač a volbou Manage (Spravovat) kdekoliv v průzkumníku; další cestou je ikonka v Nástrojích pro správu (Administrative Tools) v ovládacích panelech.
"Správa uživatelů" je jen částí konzoly "Správa počítače"; je rozdělena na dvě složky, Uživatelé a Skupiny. (Dvojklik na uživatele zobrazí jeho vlastnosti, kde je možné jej i např. zařadit do skupiny, a obráceně dvojklik na skupinu zobrazí vlastnosti skupiny, kde je především vidět, jaké uživatele skupina obsahuje.
Záložka Advanced (Upřesnit) vlastností uživatele nám ukazuje, jakých skupin je uživatel členem. Pokud je členem pouze skupiny Users, má práva běžného uživatele; pokud by tam měl zároveň i skupinu Administrators, již má práva skupiny Administrators.
Pouze pro zajímavost a pro pokročilé uživatele: i když není počítač členem domény, můžete si nastavením příslušných vlastností nastavit pro uživatele cestovní profil, přihlašovací skript a nastavit proměnnou %HOMEDRIVE%, která se vám zároveň připojí jako síťový disk po přihlášení uživatele.
Chráníme systémový disk. Proč a jak
Aby byl uživatelský neprivilegovaný účet opravdu neschopen mazat nebo měnit systémové soubory, což z bezpečnostních důvodů samozřejmě chceme, musí být systémový disk, tedy diskový oddíl, na kterém je adresář WINDOWS, ve formátu NTFS. Pokud jej v NTFS nemáme, ukážeme si, jak jej převést.
K převádění mezi formáty se ve Windows NT používá příkaz CONVERT. Syntaxe je jednoduchá: CONVERT [jednotka] /FS:NTFS
Příkaz CONVERT je bezpečný, přesto se jako při jakékoliv manipulaci se souborovým systémem doporučuje obsah oddílu zálohovat. Při běhu příkazu CONVERT by nemělo dojít k výpadku proudu. CONVERT neumí převést systémový disk, pokud jsou plně spuštěny Windows; pokud se pokusíme převést systémový disk, řekne nám, že se příkaz vykoná při příštím spuštění Windows. (A to se také stane; příkaz se spustí po inicializaci systému, ale před spuštěním rozhraní k přihlášení). Naopak nesystémový disk je příkaz CONVERT bez problémů schopný převést "zatepla".
Toto je malý příklad použití příkazu CONVERT; nejprve jsem zkusil převést systémový disk, ten však již byl v NTFS, tak jsem použil CONVERT na převedení disku D:
Profily nejsou náš nepřítel
Pokud jste se zkusili přihlásit do nově vytvořeného účtu, asi jste si všimli, že nastavení plochy, dokumentů, oblíbených v IE a vůbec nastavení aplikací se nepřeneslo a vše má výchozí, tovární nastavení. Je to proto, že každý uživatel má jiné nastavení, což je ostatně logické. Všechna tato nastavení jsou v tzv. uživatelském profilu, který odpovídá složce uživatele v "Documents and Settings" (potažmo Users ve Windows Vista). Pouhé překopírování souborů v průzkumníku do nového profilu ale nepomůže; součástí profilu je totiž ještě uživatelská část registru a informace o tom, kdo může tento profil používat. Pouhým překopírováním bychom se dostali do situace, že by profil pod naším novým uživatelem nešel načíst. Naštěstí je ve Windows přímo nástroj, který je k přenášení profilů určený.
Ve Windows 2000/XP jej najdeme v ovládacím panelu Systém, záložka Advanced(Rozšířené), User profiles (Uživatelské profily). Po kliknutí na Settings se nám zobrazí seznam uživatelských účtů, které máme práva měnit. Pod uživatelským účtem se nám zobrazí jen ten náš vlastní, pod administrátorským všechny účty na daném počítači. Zároveň platí, že kopírovat jeden profil do druhého jde pouze tehdy, když ani na jednom z nich není nikdo přihlášený. Z toho všeho vyplývá, že abychom nastavení našeho starého uživatelského profilu mohli překopírovat do našeho nového uživatelského, musíme si založit ještě jeden účet, tentokrát s právy skupiny Administrators.
Jakmile pod tímto novým účtem budeme zalogováni, můžeme vybrat profil, který chceme kopírovat (např. náš starý administrátorský) a vybereme si cestu, kam profil chceme nakopírovat (tedy cestu k našemu novému uživatelskému účtu). Důležité je v druhém tlačítku prokliknout, který účet bude mít práva jej používat - kdybychom to neudělali, profil by se zkopíroval i s informací, že jej může používat pouze náš starý administrátorský účet.
Jakmile toto bude hotovo, když se odhlásíme a přihlásíme se do našeho nového uživatelského účtu, nepoznáme že nejsme v našem starém administrátorském - ikony na ploše, tapeta, nastavení prohlížeče, vše bude při původním nastavení. Jen nebudeme mít práva administrátora.
Ve Windows Vista je nástroj na kopírování účtů trochu jinde - najdeme jej v ovládacím panelu systém, "Advanced system settings" (Rozšířená systémová nastavení) a dále Advanced (Rozšířené), a dále již je to stejné jako ve Windows XP.
V dalším díle se budeme věnovat tomu, jak pracovat s více účty současně, pokud potřebujeme mít spuštěnou aplikaci, která vyžaduje administrátorská práva.
Související: http://pc.poradna.net/article/view/600-bezpecnost-n a-internetu-pracujeme-s-neprivilegovanym-uctem-i