Menu
CHIP Speedtest

Bezpečně stiskem tlačítka

06.12.2010 15:33 | Redakce Chip 0

Bezpečně stiskem tlačítka

Windows můžete chránit i bez antivirů. Trik spočívá v uživatelském účtu s omezenými právy – a ve freewaru, který z vás v případě potřeby udělá správce systému.
MARKUS MANDAU

Antivirová ochrana skenováním signatur a heuristika, k tomu spamové a phishingové filtry – vynaložené prostředky na zabezpečení Windows jsou čím dál tím vyšší. Nebylo by krásné nemuset se o to všechno starat, a přesto si zachovat bezpečnost?
Systémoví administrátoři to dělají tak, že se orientují na princip "nejméně privilegovaného uživatele". Za tím se skrývá myšlenka přidělit uživateli Windows jenom ta práva, která skutečně potřebuje pro běžnou práci. Potom také všechny programy, které pod tímto účtem běží, mají omezená práva – a platí to tedy i pro potenciální škodlivé programy. Prostě podle hesla: Co nesmí uživatel, to nemůže ani virus.
Experti bezpečnostní firmy BeyondTrust účinnost tohoto konceptu otestovali. Za tím účelem prošetřili všechny bezpečnostní mezery, které byly v uplynulém roce známy pro různé verze Windows, Office a Internet Exploreru – celkem přes 200. A výsledek? V průměru téměř 60 % všech mezer ve Windows zůstalo při použití omezeného uživatelského účtu bez účinku (viz dole). A pokud jde o kritické mezery schopné přivodit systému těžké škody, zvyšuje se tato hodnota dokonce na 90 % pro Windows 7 a na 81 % pro všechny produkty Microsoftu. Současně, jak tvrdí BeyondTrust, tato metoda otupuje všechna nebezpečí pocházející z chyb v kancelářském balíku Office nebo v Internet Exploreru.
Je zajímavé, že mezi verzemi Windows se téměř nevyskytují za zmínku stojící rozdíly, ačkoliv s Řízením uživatelských účtů (UAC) ve Vistě a Windows 7 přibyl důležitý bezpečnostní prvek (viz rámeček na str. 46). Mezerami ve Windows se ovšem zabezpečení UAC obchází. V neposlední řadě také vinou principu přidělování práv, které se od počátků Windows NT prakticky nezměnilo.
Správa práv ve Windows pro každý objekt stanoví uživatele, který k němu smí přistupovat – ať se jedná o soubor, hardwarovou komponentu, nebo položku v systémovém registru. Je tu však problém – Windows při instalaci uživateli automaticky zřídí přístup s oprávněním správce, ačkoliv to v 90 % všech případů vůbec není zapotřebí.
Výsledkem je, že pod XP smí uživatel všechno, a pod Vistou a Windows 7 ještě také velmi mnoho. Když pak uživatel vyvolá svůj browser, ten tedy poběží také s oprávněním správce. A browser zdědí toto právo dokonce i v případě, že sám spouští další program. Malware to má pod XP jednoduché: jakmile přiměje browser ke spuštění škůdcovského EXE souboru, může vládnout podle libosti. Pokud teď virový skener malware neodhalí, je po systému veta. V nejhorším případě se stane obětí útoku sám skener, pak chrání už jen omezený uživatelský účet – pokud existuje.

Zřízení omezeného účtu

Omezený účet si zřiďte aktivací "Start | Ovládací panely". V nich otevřete "Uživatelské účty". Pod XP dále klikněte na "Vytvořit nový účet", zadejte vhodný název a jako typ účtu zvolte "S omezeným přístupem ". Po kliknutí na "Vytvořit účet" vám Windows založí nový účet podle vašich požadavků. V hlavní nabídce uživatelských účtů klikněte na nový přírůstek, v následném okně zvolte "Vytvořit heslo" a heslo zadejte.
Ve Vistě a Windows 7 přejděte na "Spravovat jiný účet" a zvolte "Vytvořit nový účet". Potom v odpovídajícím poli zadejte název nového účtu, zvolte "Standardní uživatel" a klikněte na "Vytvořit účet". V dalším okně klikněte na nový účet, přejděte na "Vytvořit heslo" a zadejte heslo, které bude účet chránit.
Pokud už déle pracujete se svým správcovským přístupem, měli byste zvolit jinou strategii: Nejprve založte, jak bylo popsáno, druhý účet a jako typ účtu tentokrát zvolte "Správce počítače". Teď máte dva účty s oprávněním správce. Přihlaste se pod novým správcovským přístupem a přejděte na "Uživatelské účty". Ve svém starém správcovském účtu aktivujte "Změnit typ účtu" a degradujte jej na "Standardní uživatel" nebo pod XP na "S omezeným přístupem", takže s ním budete moci i nadále pracovat – jenomže bez oprávnění správce.

Změna identity jedním kliknutím

Abyste z omezeného účtu mohli přistupovat k Windows, jak jste zvyklí, musíte se čas od času vydávat za správce. To je nutné například při instalaci nového softwaru a při provádění programů, které přistupují k hardwaru nebo zapisují do systémového registru. Sem spadají vypalovací a tuningové programy nebo nástroje pro údržbu pevných disků.
K těmto účelům umožňují Windows rychlé přepnutí uživatele. Chcete-li takový program spustit z plochy pomocí zástupce, pod XP zvolte v kontextové nabídce možnost "Spustit jako…" a v následném dialogu aktivujte možnost "Následující uživatel". V rozevíracím poli níže vyberte "Administrator" a zadejte platné heslo správce. Pokud jste pro svůj správcovský účet žádné heslo nenastavili, rychlé přepnutí uživatele však fungovat nebude. Ve Vistě a Windows 7 se funkce jmenuje "Spustit jako správce".
Pod XP se dají programy spouštět vždy s oprávněním správce, pokud jejich volání předřadíte systémový nástroj Runas. Za tím účelem vytvořte na ploše po kliknutí pravým tlačítkem myši volbou "Nový" nového "Zástupce". Pod "Zadejte umístění položky" vložte nejprve "runas/savecred/user:admin" ("admin" je název vašeho správcovského účtu), za mezerou jako obvykle v uvozovkách cestu k EXE souboru, který má být spuštěn, a klikněte na "Dokončit". Po dvojitém kliknutí na zástupce se otevře okno příkazového řádku a zeptá se na heslo správce. Po jeho zadání se už software spustí automaticky.
Ve Vistě a Windows 7 označte zástupce a prostřednictvím pravého tlačítka myši vyvolejte jeho "Vlastnosti". Pod "Kompatibilita " zaškrtněte "Spustit program jako správce". Obecně byste si vždy měli předem vyzkoušet, zda určitý software neběží i bez oprávnění správce. Čím méně se k tomuto opatření uchylujete, tím bezpečnější jsou vaše Windows.

Oprávnění správce, jen je-li nutné

Rychlé přepnutí uživatele postačí, když neprovádíte žádné větší změny v systému a především surfujete. Browser běží pod omezeným účtem bez problémů. To se však změní, jakmile nainstalujete nějaký doplněk browseru nebo něco změníte v systému. Pak se totiž rychlé přepnutí pod XP stane bezpečnostním rizikem, neboť musíte zadávat heslo správce, které ovšem může číst eventuální "keylogger". Ve Vistě a Windows 7 už Microsoft funkci implementoval bez vyžádání hesla.
Jinou zbytečnou překážku představují instalace softwaru. Poněvadž je provádíte v roli správce, některé programy vás pak považují za jediného oprávněného vlastníka a zapíší do systémového registru nové položky do větve "HKEY_CURRENT_ USER". Váš omezený účet pak k programu nemá přístup a v nejhorším případě se program nespustí. Totéž platí pro složky a soubory, které program uloží do složky "Dokumenty" – to jsou dokumenty správce.
                                                                                 V případě potřeby lze rychle přiřadit oprávnění správce.
Oba problémy se dají obejít, pokud funkci Windows "Spustit jako" nahradíte softwarem, který simuluje příkaz Sudo (Super user do) ze světa Unixu. Nástroj Sudo (najdete jej na Chip DVD) uděluje aktuálnímu uživateli přechodně oprávnění správce. Prostřednictvím Sudo získáte také pohodlný přístup ke konfiguraci Windows, kterou jinak převážně realizujete přes "Ovládací panely".
Freeware SuRun funguje od XP Home až po Windows 7 Ultimate. Kdo nástroj nasadí pod XP a Vistou, měl by si z našeho DVD nainstalovat verzi 1.2.0.8. Pro Windows 7 se doporučuje verze 1.2.0.9 Beta, poněvadž je lépe přizpůsobena novému systému. Při instalaci vyžaduje SuRun heslo vašeho účtu správce. Po novém přihlášení k vašemu účtu můžete nástroj používat.
Jestliže ke spuštění nějakého softwaru potřebujete zvýšené oprávnění, funguje to podobně jako u rychlého přepnutí uživatele, kliknete-li pravým tlačítkem myši na zástupce na ploše. Pomocí "Start as administrator " teď SuRun vyvolá program. Pokud by software vyžadoval zvýšené oprávnění při každém spuštění, zaškrtněte volbu "Don't ask this question for this program" a "Automatically run this program with elevated rights".

Super User se všemi svobodami

Díky nástroji může i Průzkumník běžet s právy administrátora. K čemu je to dobré? Třeba když potřebujete měnit obsah složky "Program Files", která je standardně chráněna, nebo pokud chcete přistupovat k Ovládacím panelům – bez práv administrátora s Ovládacími panely toho mnoho neuděláte. Přes kontextové menu pravého tlačítka myši jednoduše spustíte obě položky jako správce.
                                                                                        "Účet hosta zavírá 90 % všech kritických mezer."
                                                                                                                               John Mutch, CEO von BeyondTrust
Pod Windows 7 ovšem obě "finty" fungují jen tehdy, upravíte-li jednu hodnotu systémového registru. Za tím účelem ve svém správcovském účtu prostřednictvím vyhledávacího řádku po stisknutí tlačítka "Start" otevřete systémový nástroj "regedit". V takto vyvolaném editoru registru navigujte na klíč "HKEY_ CLASSES_ROOT/AppID/{ CDCBCFCA-3CDC436f-A4E2-0E02075250C2}" a pravým tlačítkem myši v něm otevřete jeho "Oprávnění | Upřesnit". Pod záložkou "Vlastník" uvidíte, že složka patří uživateli "Trusted Installer". Pod "Změnit vlastníka na" zvolte svůj správcovský účet a potvrďte tlačítkem "OK". Okno zavřete, abyste se dostali zpět do "Oprávnění ". Tam pod "Název skupiny nebo jméno uživatele" označte svůj účet a u "Povolit" zaškrtněte "Úplné řízení". Kliknutím na "OK" se vraťte do složky registru. Po kliknutí pravým tlačítkem myši na položku "RunAs" ji přejmenujte na "_RunAs". Nyní může SuRun spouštět Průzkumníka i Ovládací panely s vyšším oprávněním.
Mnohá systémová nastavení ovšem vyžadují opravdové přihlášení správce, například konfigurace uživatelských účtů. Pak musíte SuRun spustit přes příkazový řádek, který nástroj propojí s výše představeným příkazem "runas". Za tím účelem založte na ploše BAT soubor tak, že v Poznámkovém bloku otevřete textový dokument a zadáte
surun • /runas • nusrmgr.cpl
Pak soubor jednoduše uložte ve formátu BAT.
Kdo používá SuRun na notebooku, měl by uvolnit přímý přístup k energetickým nastavením. Otevřete tedy "Ovládací panely " a v nich pod "Systém a zabezpečení " aktivujte "SuRun Settings". Pod "Convenience " zatrhněte "Show SuRun settings for experienced users". Nyní program zobrazí kartu "Advanced". Pod "Convenience settings" zaškrtněte "Allow 'SuRunners' to change Power Options and to select power schemes".
Ještě byste měli zatrhnout "Show Windows update notifications to all users", aby zprávy dostihly i uživatele s omezeným účtem. Pokud jste ve Windows XP aktivovali automatické aktualizace, měli byste také zvolit variantu "No auto/restart for scheduled Automatic Windows Update installations". Jinak XP při omezeném účtu bez jakéhokoliv dotazu počítač vypnou, je-li vyžadován restart. Tím je váš omezený účet nakonfigurován tak, aby odpadla nepříjemná překvapení. Virové skenery a jiné bezpečnostní mechanismy, které tak komplikují soužití s Windows, už nepotřebujete.
AUTOR@CHIP.CZ

ODSTRANĚNÉ MEZERY
Bezpečnostní mezery, které omezený účet pod Windows v programech Microsoftu zaceluje – v balíku Office je to dokonce celých 100 %.
všechny produkty Microsoftu 64
Windows 7 57
Vista 54
XP 62
2000 57
IE 94
Office 100

ZDROJ: BEYONDTRUST


Zabezpečený režim Windows
Malware nyní už nemůže:
• měnit nastavení v systémovém registru;
• instalovat a spouštět programy;
• ukončovat procesy;
• spouštět a ukončovat ovladače a služby;
• přistupovat k externímu hardwaru;
• přihlásit se do domácí sítě;
• měnit nastavení firewallu;
• manipulovat s přihlašovacími údaji;
• instalovat doplňky ActiveX.
ALE VY TO VŠECHNO SMÍTE!


Vágní ochrana: Řízení uživatelských účtů
Bezpečnostní systém ve Vistě a Windows 7 omezuje práva uživatelů. Má to znesnadnit malwarové útoky – přesto mezery zůstávají.

Microsoft se v podobě Řízení uživatelských účtů pokusil otupit ústřední bezpečnostní problém známý z Windows XP: V XP je uživatel automaticky správcem systému a má všechna práva na jeho libovolné změny. To jej však činí neodolným vůči různým napadením, neboť pak i malware páchá své neplechy s plnými oprávněními. Vista a Windows 7 zde proto předřazují ještě jednu závoru, která však nepokrývá všechna nebezpečí.
OCHRANA POMOCÍ ÚROVNĚ INTEGRITY
Řízení uživatelských účtů (User Account Control, krátce UAC) spouští dokonce i pod správcovským účtem všechny aplikace s omezenými právy. Za UAC se skrývá systém úrovně integrity (integrity level). Ten každé službě, každé aplikaci, ba i položkám systémového registru přiřazuje tzv. stupeň integrity. Celkem existuje šest stupňů, čtyři z nich jsou relevantní pro uživatele "všedního dne": "Low", "Medium", "High" a "System". Dodržování úrovní sleduje Security Reference Monitor v jádru Windows. Je-li uživatel přihlášen jako správce, obdrží úroveň "High", aplikace však už jen "Medium". Proto také UAC ve Vistě neustále nervuje uživatele, když musí pro aplikaci uvolnit úroveň "High", neboť teprve pak smí aplikace zapisovat například do složky "C:\Program Files", která je označena a chráněna vyšší úrovní.
ČTYŘI STUPNĚ POD WINDOWS 7
Ve Windows 7 dopřál Microsoft UAC čtyři nastavení (viz výše), která však s úrovněmi integrity nemají nic společného. Namísto toho jen ovlivňují, jak často je uživatel konfrontován s nějakým dotazem. Po instalaci Windows je posuvný regulátor nastaven na stupeň 3. Ve stupni 2 a 3 už nebude uživatel alarmován, chce-li měnit nastavení ve Windows, zato pro něj systém automaticky zvýší úroveň. Na stupni 1 je UAC deaktivováno. Stupeň 4 odpovídá UAC ve Vistě, které se hlásí také při systémových změnách.
ZABEZPEČENÍ SYSTÉMOVÝCH SOUBORŮ
Úroveň integrity "System" dostávají jen služby Windows a jádro systému. Tato úroveň chrání před manipulací dokonce tehdy, je-li kompromitován účet správce. Úroveň "TrustedInstaller" obdrží instalátor obsažený ve Windows. Jen ten má právo měnit systémové soubory, například pro nahrání aktualizací Windows. Dříve než tak učiní, analyzuje signaturu aktualizace, aby zjistil, zda skutečně pochází od Microsoftu a nebyla změněna. Internet Explorer (IE) jako rozhraní k webu chrání Windows ještě také dodatečně: Browser provádí webový kód v chráněném režimu (protected mode) s úrovní integrity "Low". Na této úrovni nemá webový kód žádná práva, aby ovlivnil jiné aplikace, které, jak už víme, běží na úrovni "Medium". A pozor! Kdo deaktivuje UAC, ten tím zároveň vypíná chráněný režim Internet Exploreru.
ZÁVĚR: NENÍ CHRÁNĚNO VŠECHNO
UAC má za úkol chránit Windows, ovšem soubory přihlášených uživatelů nikoli. Malware sice nemůže přepisovat systémové soubory, zato hesla pomocí "keyloggerů" odposlouchávat může, neboť i níže zařazené procesy mají rozsáhlá čtecí práva. Navíc mohou procesy s různými oprávněními zpracovávat společné objekty a k tomu spolu sdílejí oblast v operační paměti. Hlášení od UAC lze natolik zmanipulovat, že je uživatel bez kritického posouzení akceptuje. Chráněný režim IE je málo platný, má-li browser a jeho doplňky vlastní bezpečnostní mezery.


Foto: Zabezpečení systému: V Řízení uživatelských účtů UAC má uživatel pod Windows 7 k dispozici čtyři stupně. Čím vyšší stupeň, tím častěji se UAC hlásí.
Foto: Vyšší práva: Ve Vistě a Windows 7 nastavte pro zástupce v nabídce "Vlastnosti", že napříště chcete program vždy spouštět s oprávněním správce.
Foto: Přizpůsobení Windows: Abyste využili všech možností nástroje SuRun, je třeba zobrazit konfiguraci pro zkušené uživatele.

Předplatné / nákup chipu Digitální edice chipu Aktuální vydání

Komentáře

K tomuto článku dosud nebyly žádné komentáře přidány.