Bezpečnost na internetu: pracujeme s neprivilegovaným účtem (IV.)
V tomto díle si ukážeme, jak aktualizovat systém pomocí automatických aktualizací pohodlně i tehdy, když jsme přihlášeni pod neprivilegovaným účtem. Ukážeme si i základní věci, jako jaké mají automatické aktualizace možnosti a jak je konfigurovat. A konečně si i řekneme, jak používat málo dokumentovanou záležitost - automatické aktualizace přes server proxy.
Proč aktualizovat?
Základní otázka. Aktualizace operačního systému jsou jedním ze základních skutečných kroků k bezpečnosti. Řada virů se může šířit jen proto, že využívá stávající chybu v operačním systému (Windows) nebo v jeho součásti (Internet Explorer, Windows Media Player).
Proč zrovna automatické aktualizace?
Proč automatické aktualizace, a nikoliv stránka Windows Update? Je to spíš otázka osobních preferencí, ale automatické aktualiace mají několik výhod, a to zejména při práci v neadministrátorském účtu:
1) po patřičné konfiguraci je možné je plně ovládat z neadministrátorského účtu. Použití Windows Update, např. přes RunAS, su nebo sudo v neadministrátorském účtu je komplikované, protože prvek ActiveX vyžaduje, aby shell běžel pod administrátorským účtem.
2) Automatické aktualizace nabízejí, ale nevyžadují aktualizaci Windows Genuine Advantage Notification. Stránka Windows Update ji instaluje povinně.
3) Umožní vám na nové aktualizace automaticky upozornit, a také si v pohodlném rozhraní vybrat, které aktualizace instalovat a na které již neupozorňovat. Webové rozhraní Windows Update je v tomto poněkud nešikovné.
Konfigurujeme automatické aktualizace
Konfigurace automatických aktualizací probíhá přes ovládací panel Automatic Updates (Automatické aktualizace) a musí být provedena pod účtem s právy Administrator. Z neprivilegovaného účtu můžeme konfiguraci vyvolat přes RunAs takto:
runas /user:pocitac\uzivatel "control wuaucpl.cpl"
Ovládací panel funguje tak, že pokud je služba zastavena, po kliknutí na tlačítko Apply /OK v případě, že byla zvolena jiná volba než Vypnout automatické aktualizace (Turn Off Automatick Updates), službu okamžitě spustí a zahájí detekci na serveru Windows Update.
Ovládací panel
Jaké máme možnosti?
Nejméně volby, nejvíce pohodlí a největší šanci si nainstalovat update, které vlastně nechceme nabízí volba
[x]Automaticky (doporučeno).
V naplánovaný čas se všechny aktualizace, označené jako kritické a důležité, stáhnou a po stažení nainstalují. Počítač pouze zobrazí, že se má restartovat. Volba
[x]Stahovat aktualizace automaticky, ale čas instalace zvolím ručně
je asi zlatou střední cestou, kterou bych vám doporučil, v případě že se nemůžete rozhodnout. Automatické aktualizace stáhnou vše co najdou, ale před tím, než by cokoliv instalovaly, vám dají na výběr, co chcete instalovat a co nikoliv. Poslední volba je pro pokročilé uživatele -
[x]Oznamovat, ale aktualizace nestahovat ani neinstalovat
kterou bych vám doporučil v případě, že jasně víte, co která aktualizace dělá a/ nebo máte pomalé připojení k internetu a nechcete stahovat velké objemy dat. Notifikační dialog u téhle volby zobrazují automatické aktualizace vždy dvakrát - jednou v okamžiku, když aktualizaci detekují, podruhé v případě, že je aktualizace stažena (na váš popud) a měla by se instalovat.
Takto vypadá nabídka ke stažení aktualizací při této volbě.
Konfigurace pro neprivilegovaný účet
Výchozí chování automatických aktualizací je k neprivilegovanému účtu velmi strohé. Uživateli se nezobrazují žádné notifikace a je pouze notifikován k restartu, kde si nemůže ani vybrat, že restart proběhne později. V případě že je stáhování nastaveno na Oznamovat, nebo Stahovat, nezobrazuje se mu nikdy dialog výše. (To v praxi znamená, že dokud se nepřihlásí administrátor, nebude třetí volba dělat v praxi vůbec nic).
Naštěstí pro nás, Automatické aktualizace jsou dělané i jako nástroj pro velké firmy a je možné je řídit centrálně systémovými politikami. A jednou z nich je elevace ne-administrátorského uživatele tak, aby měl nad automatickými aktualizacemi plnou kontrolu. Vtip leží v tom, že aktualizace běží pod systémovým účtem jako služba, a tak mají svoje vlastní práva LOCAL SYSTEM na zápis do adresáře Windows (kam se stahují aktualizace) i práva instalovat cokoliv do systému. Malá ikonka v system trayi je tudíž pouze uživatelská utilitka, jak službě říci, co má dělat, skutečné "techtle mechtle" se odehrávají na pozadí pod právy LOCAL SYSTEM.
Žlutá ikona štítu, která slouží k přístupu na dialog stahování /instalace aktualizací, nám bude k dispozici i v neprivilegovaném účtu.
Nyní je potřeba říci, že Windows řady Home nemají nástroj, jak nastavit systémové politiky, to ale vůbec nevadí, protože to co chceme udělat lze nastavit i v registru Windows.
Windows 2000/XP Pro
Budeme nyní editovat systémové politiky. Spustíme nástroj Group Policy Configuration Editor příkazem gpedit.msc.
Přejdeme na Computer Configuration -> Administrative Templates -> Windows Components -> Windows Update -> Allow non-administrators to receive update notifications a nastavme to na Enabled. Zavřeme GP editor.
Restart počítače není potřeba. Automatické aktualizace se teď k našemu neprivilegovanému účtu budou chovat tak, jako bychom byli ve skupině Administrators, tj. notifikace se budou nejen ukazovat, ale stahování a instalace aktualuzací můžeme plně řídit.
Windows Home
V případě že máme Windows Home, musíme do registrů. Restart počítače opět nebude potřeba. V Editoru registrů přejděme na větev:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows
a vytvoříme nový klíč s názvem "WindowsUpdate". V klíči vytvoříme hodnotu REG_DWORD "ElevateNonAdmins" s hodnotou 1. Výsledek by měl vypadat takto:
Stahování aktualizací přes proxy server
Používáte-li pro připojení k Internetu proxy server, nemile by vás mohlo překvapit, že po nastavení nedělají automatické aktualizace vůbec nic. Problém je totiž v tom, kde uchovávají automatické aktualizace informace o tom, jaký používají proxy server - nesdílejí totiž nastavení s Internet Explorerem.
K tomu, abychom si prohlédli nastavení proxy pro automatické aktualizace a případě jej změnili je nutné použít řádkový obslužný soubor proxycfg.exe, který je součástí systému.
Pokud zadáme parametr /?, zobrazí se nám kompletní nápověda:
Z:\>proxycfg /?
Microsoft (R) WinHTTP Default Proxy Configuration Tool
Copyright (c) Microsoft Corporation. All rights reserved.
usage:
proxycfg -? : to view help information
proxycfg : to view current WinHTTP proxy settings
proxycfg [-d] [-p <server-name> [<bypass-list>]]
-d : set direct access
-p : set proxy server(s), and optional bypass list
proxycfg -u : import proxy settings from current user's
Microsoft Internet Explorer manual settings (in HKCU)
Pokud tedy chceme použít proxy server, máme dvě jednoduché možnosti: zadat proxycfg -p server:port, nebo proxycfg -u, což naimportuje aktuální nastavení uživatele u prohlížeče Internet Explorer.
Na závěr: Windows Update versus Microsoft Update
Microsoft nabízí dvě verze tohoto nástroje. Zatímco verze, která je nejspíše součástí vašeho systému se jmenuje Windows Update, na adrese http://update.microsoft.com/ si můžete klienta updatovat na verzi, která vyhledává navíc i aktualizace pro MS Office a jiné programy od MS, co můžete na svém počítači mít, jako je například MS Visual Studio, MS Virtual Server nebo třeba MS SQL 2005.
Související:
http://pc.poradna.net/a/view/308473-bezpecnost-na- internetu-pracujeme-s-neprivilegovanym-uctem-i
http://pc.poradna.net/a/view/308587-bezpecnost-na- internetu-pracujeme-s-neprivilegovanym-uctem-ii
http://pc.poradna.net/a/view/308709-bezpecnost-na- internetu-pracujeme-s-neprivilegovanym-uctem-iii