Skip to content

Bezpečnost ve Windows 7

by huncut on 10.11.2009

Před nedávnem jsem od základu upgradoval svůj domácí a zároveň pracovní počítač a tak jsem toho využil i k přechodu na nejnovější operační systém od Microsoftu. A rád bych se s vámi podělil o pár zkušeností v oblasti bezpečnosti, která je pro každý operační systém z mého pohledu jednou z nejdůležitějších.

Uživatelský účet a UAC

Po instalaci jsem s překvapením zjistil, že Windows 7 vás nechává standardně pracovat pod administrátorským účtem. Sice Microsoft chápu, že se chce vyhnout vlně kritiky od běžných uživatelů, kteří nemají o bezpečnosti ani základní povědomí a omezení pravomocí v systému pro ně znamená jen mnoho otravných hlášek, ale zásadně s tímto postupem nesouhlasím. Je to stejné jako kdybych chtěl aby můj byt byl v bezpečí před zloději a bylo pro mě otravně nesnesitelné při každém odchodu ho zamykat.

Také podle prvních testů se ukázalo, že v defaultní konfiguraci není Windows 7 zrovna příliš odolný proti malware neboť povolil instalaci škodlivého softwaru v sedmi z deseti testovaných případů. Prvním krokem tedy je vytvoření dalšího uživatelského účtu bez práv administrátora a pod ním teprve pracovat.

Naštěstí díky User Account Control (UAC) není práce pod běžným uživatelem (narozdíl od Windows XP) nepříjemná. V případě že na něco nemáte práva, vyskočí vám okénko, ve kterém takovou akci povolíte pouze tím, že se na chvíli přihlásíte administrátorským účtem (se zadáním hesla). Jednoduché, elegantní a především to funguje (na linuxu stejným způsobem již mnoho let). Oproti Windows Vista byly situace přenosu práv na administrátora vyřešena trochu citlivěji a současný stav je tak myslím ideální.

Firewall

Další nastavení čeká ve vestavěném Firewallu. Je to naprosto plnohodnotný firewall, který není nutné nahrazovat žádnými produkty třetích stran (jak se mnoho lidí automaticky domnívá). Je dokonce mocnější než třeba takové iptables pod linuxem.

V defaultním nastavení máte vytvořeno několik pravidel pro příchozí připojení, ostatní příchozí jsou zakázána. Odchozí jsou povolena všechna. To se mi příliš nelíbilo, neboť nad tím, co odchází za data z mého počítače chci mít plnou kontrolu. Raději vyznávám strategii "co není povoleno je zakázáno", naopak je to nedostatečné. Pravidel které můžete nastavit je dostatek, pro jednotlivé programy, ip adresy, porty, protokoly nebo spuštěné služby. Chce to sice nad tím chvilku strávit, zamyslet se nad tím, čemu dovolím se na internet připojit a v jakém rozsahu (čím méně, tím lépe), výsledek ale znamená výrazné zvýšení bezpečnosti.

Trochu jednodušší by to bylo, kdyby vám při odchozím připojení vyskočilo okno, pomocí kterého byste mohli dané spojení posvětit a vytvořit pravidlo do budoucna. Tak jako to mají některé firewally třetích stran. Ale není to zase taková překážka, alespoň si pravidla pěkně ujasníte :) Pokud si nebudete jisti, zda jste na něco nezapomněli, firewall nechte logovat neúspěšná odchozí připojení a tak pak analyzujte. Člověk se dozví spoustu zajímavých věcí.

Antivirus, Antispyware

Osobně tyto programy nepoužívám. Po instalaci Windows vypínám Windows Defender a antivirus používám maximálně jednou za čas jako jednorázový sken (nikdy nic nenajde). Tyto aplikace v drtivé většině způsobují nestabilitu, snižují znatelně výkon (který raději využiju třeba na to, abych si zašifroval data Truecryptem) a jejich účinku příliš nevěřím. Má to smysl, pokud používá váš počítač ještě několik dalších, nepoučených uživatelů, sem tam něco odfiltrují, ale daleko důležitější je poslední část bezpečnostních opatření.

Rozum

Všechny nástroje jsou pořád jen a jen sada pravidel kterými říkáte, jak se má počítač/systém chovat při standardních situacích, abyste je nemuseli verifikovat jednu za druhou. Operační systém může maximálně zajistit, aby vytváření a dodržování pravidel bylo co nejkvalitnější (nikdy to nebude na 100%), ale zdaleka největší míra odpovědnosti zůstává na vás. Pokud povolíte instalaci a přístup na internet nějakému pokoutnému cracku z neznámého zdroje, nemůžete se divit, že se vaše data najedou objeví v nepravých rukou a váš počítač najednou neslouží jen vám :)

From → PC a internet

  • http://djsnail.bloguje.cz/ Přemek „DJ.Snail“ V.

    Ono to s tím výchozím uživatelským účtem není tak jednoduché a nedá se říci, že by výchozí účet byl účtem administrátorským tak jako tomu bylo v XP. Výchozí účet má oprávnění administrátora systému, ale v běžném režimu s těmito právy nepracuje – kvůli politice UAC. I na jednouživateslkém počítači, kde je člověk jak adminem, tak uživatelem, tedy stačí mít právě i tento jeden uživateslký účet. Ve výchozím nastavení tedy pracuje uživatel s oprávněními skupiny Users a teprve je-li k něčemu potřeba oprávnění správce, tak vyskočí dialog UAC s žádostí o potvrzení. Jediný rozdíl oproti standardnímu účtu je v tom, že v tomto výchozím se dialog neptá na heslo, ale stačí mu pouhé odsouhlasení (to se dá změnit pomocí skupinových politik).

    Restrikce UAC jsou v systému Windows 7 nastaveny opatrněji a systém tedy vyžaduje méně potvrzování a na některé věci elevuje uživateli práva tak říkajíc sám (ano – oproti Vistě to je o něco méně bezpečné). Lze to ale změnit nastavením UAC do režimu stejného jako byl ve Vistě, což však bylo pro mnoho uživatelů až příliš otravné (byť třeba mě osobně to nevadilo).

    Osobně považuji UAC (spolu s virtualizací lifesystému pro starší aplikace žádající zápis tam, kde by neměli co dělat) za nejlepší věc ve Windows za poslední roky, jelikož používání omezeného profilu v XP bylo proti Vistám/Sedmičkám značně obtížnější – člověk musel(!) mít dva profily, instalace přes RunAs se spouštěla v kontextu jiného uživatele, takže třeba zastupci se často umístili do Start Menu Admina, ale nikoliv do All Userprofile, takže člověk pak musel přesouvat, nastavovat práva, atd. Toto vše s UAC odpadá. Lze sice mít též dva profily, ale stačí právě i ten jeden, protože běžně se nepracuje s právy Admina, ale s běžným účtem a práva se zvyšují jen s povolením uživatele a systém si o ně navíc řekne sám, takže člověk na to nemusí při každé příležitosti zvlášť myslet. Proto už od dob uvedení Visty „brojím“ proti vypínání UAC, jelikož tím se člověk posouvá zpět na úroveň XP a zbavuje se všech výhod a usnadnění, jež UAC přineslo.

  • http://www.geeknet.cz geek

    Nemůžu souhlasit s tím, že pouhé kliknutí na tlačítko „ok“, které tě při používání administrátorského účtu dělí od administrátorských pravomocí je zárukou bezpečnosti. Bylo už mnohokrát napsáno a otestováno, že toto obejít třeba jen pouhým naskriptováním, je velice jednoduché. Pracovat pod administrátorem a spoléhat na to, že mě místo zadávání hesla ochrání tlačítko „ok“ je pocit falešné bezpečnosti. Právě ono zadání hesla je v tomto případě pomyslný klíč ke dveřím od mého bytu, pouze je zabouchnout bez otočení klíčem nestačí. Je to ještě menší bezpečí než kdybych pracoval na Linuxu a měl prázdné heslo k rootu a ani to si nedovedu z bezpečnostního hlediska představit :)

    Nějaké staré hrozby programované pro Windows XP to jistě odfiltruje a určitě je lepší používat Administrátora s UAC než bez něho. Ale sílu UAC vidím především v tom, že se konečně na Windows dá pracovat pod běžným uživatelem, což posouvá bezpečnost na jiný level.

  • http://djsnail.bloguje.cz/ Přemek „DJ.Snail“ V.

    Jistě, ona nenutnost zadávat pokaždé heslo je jistý kompromis, ale jendak si to člověk může nastavit (alespoň ve Vistě to tak bylo – u nového systému jsem to zatím tolik nestudoval) a za druhé – je zde ona možnost si nastavit chování UAC stejně jako ve Vistě, kde třeba právě ono naskriptované řešení nefunguje. Bohužel řešení z Visty se tisícům uživatelů nelíbilo (ačkoliv bylo nastaveno nejbezpečněji), takže MS šel na kompromis.

    Nejdůležitějším článkem však podle mě zůstává především uživatel a jeho rozum. Když vím co dělám, tak nepotřebuji ještě superiorní zabezpečení, které mě bude zdržovat. Naopak běžný uživatel, který moc nepřemýšlí by toto vysoké zabezpečení potřeboval hodně (a ve Vistě ho dostal), ovšem zde to naráží na fakt, že běžný uživatel nechce bezpečí – on chce, aby to fungovalo i za cenu, že se to může totálně podělat… :/.

  • http://www.geeknet.cz geek

    Nastavit se dá kde co, ale pak mě nenapadá jediný důvod k tomu, proč nepoužít rovnou účet běžného uživatele, který je pro tento případ v systému přímo navržen a práce pod ním funguje skvěle a bezpečněji.

    Je mi jasné, že implementace UAC u Vist se spoustě uživatelům nelíbila a proto jsem psal, že MS při jeho defaultním nastavení chápu. I když s ním nesouhlasím. A proto by měl každý uvědomělý uživatel automaticky hned zakládat nový běžný účet a pod ním pracovat. Zvlášt´ když už to pod win7 konečně funguje tak jak má :)

    Bezpečnost není to správné místo pro dělání kompromisů.