Pamatujete si ještě na příchod Windows Vista a uvedení funkce UAC? Třípísmenné označení se do češtiny přejalo jako Řízení uživatelských účtů a s mírnými úpravami přešlo i do nových Windows 7 (kde je méně "otravné" a snáze konfigurovatelné) a těšit se na ně můžeme i ve Windows 8. Možnosti uživatelských práv a jejich principy jsou však mnohem rozsáhlejší a pro správné pochopení je dobré vidět hluboko pod povrch aplikační vrstvy Windows.
Právo vs. oprávnění
Pod souhrnným označením oprávnění si většina uživatelů představí sadu pravidel pro přístup k datům, sdíleným prostředkům nebo speciálním funkcím systému. Windows však rozlišují oprávnění a práva, nelze tedy vše paušalizovat. Oprávnění (v anglickém podání permission) je možnost přistoupit k některému objektu vybraným způsobem – typickým příkladem může být zápis souboru NTFS.
Naproti tomu právo (right) dovoluje provést některou systémovou akci – přidat nového uživatele, změnit nastavení plochy, určit systémové datum apod. V českých Windows nemusí být rozdíl při různých výstrahách nebo upozorněních natolik markantní, pokud byste však používali anglickou verzi, zjistíte, že právě termíny permission a right nejsou používány jen tak náhodně, je mezi nimi rozlišováno.
Jednotlivým oprávněním se základní podobě věnuje také nápověda Windows
Oprávnění tedy mají na svědomí všechny hlášky, kdy například nemůžete zapsat něco do souboru, změnit pořadí úloh na konkrétní tiskárně a jim podobné. Oprávnění určuje takzvaný vlastník prostředku, ať už jde o soubor nebo třebas zmíněnou tiskárnu. Zde je důležité neplést si konkrétní vlastnictví objektu s účtem administrátora. Nastavení oprávnění u konkrétního prostředku pro větší počet uživatelů může být problematické, proto zde nachází uplatnění skupiny uživatelů – vlastník prostředku pak konkrétní oprávnění přidělí nejen určitým uživatelům postupně, ale také skupině, kterou lze na logické úrovni vytvořit.
Z praxe je nejlepším příkladem oprávnění k přístupu k souboru – typicky ve firmě na sdíleném disku je citlivý soubor (= konkrétní prostředek) dostupný pouze managementu (oprávnění pro plný přístup), zatímco například členové obchodního oddělení informace v souboru nezobrazí. Takováto oprávnění má možnost nastavit a změnit jak správce, tak vlastník souboru, kterým může být jeho autor z managementu.
Uživatelské účty podle typu sítě
Již v představení oprávnění jsme několikrát zmínili uživatele a jejich účty. Z hlediska bezpečnosti samozřejmě z jednotlivých vlastností účtu nejsou tolik důležité název nebo použitý obrázek, ale typ: uživatel může být buď správce, nebo standardní uživatel. Administrátorský účet dovoluje provádět změny, které ovlivní také ostatní uživatele. Jedná se tak například o možnosti konfigurace systémových nastavení, instalaci softwaru, případně také přistupovat ke všem datům. Administrátorský účet patří mezi určitá privilegia, proto jej přidělujte jednotlivým uživatelům s rozumem. Je dobré si uvědomit, že představená práva a oprávnění se správců netýkají, takže jakmile vlastník prostředku nastavuje oprávnění, nemůže administrátorovi omezit plný přístup.
Klasické nastavení účtů v Ovládacích panelech dovoluje změnit pouze základní parametry, pro detaily musíte zabrouit hlouběji do systému
Specialitou je účet Guest – pokud chcete přidělit účet uživateli, který nemá mít vlastní přímo v počítači nebo doméně, můžete ho využít. Jedná se o velice omezený účet, který kterémukoliv uživateli dovoluje používat počítač, ale neposkytuje přístup k žádným osobním datům. Stejně tak uživatelé přistupující pod účtem Guest nemohou instalovat software, hardware ani měnit systémová nastavení nebo heslo.
Informace o právech a oprávněních jsou tedy napevno spojeny s uživatelskými účty, které se vyznačují nejen typem a doplňujícími vlastnostmi, ale hlavně způsobem uložení: právě odtud pocházejí takzvané doménové a naopak místní účty. Pokud ve Windows používáte komunikaci v rámci pracovních skupin, musí mít každý uživatel ve všech počítačích, k nimž přistupuje, vytvořen separátní uživatelský účet. Tento princip využijte doma, kde potřebujete spravovat pouze několik málo uživatelů a není pro vás problém s konfigurací pro každého z nich. Jedná se o takzvané místní uživatelské účty, kdy je při správě větších sítích problém se správou a nastavením všech oprávnění.
Ve větších počítačových sítích se namísto místních uživatelských účtů volí přihlašování pomocí domény, v níž existuje jeden centrální server (takzvaný řadič domény), přes který probíhá hlavní autentizační proces. Výhoda tohoto řešení spočívá v ucelené centralizované správě, oprávnění uživatelé se tak mohou přihlásit k jednotlivým počítačům i bez toho, aby v nich měli vytvořené místní uživatelské účty.
Nejdůležitější rozdíl je tedy v tom, že v síti s místními uživatelskými účty se konkrétní uživatel může přihlásit pouze k těm strojům, kde má v lokální databázi odpovídající profil vytvořen. V případě domén jsou vyšší pořizovací náklady, nicméně ve větších sítích se investice do budoucna vrátí díky snazší a efektivnější správě. Namísto označení doménové účty nebo doménové skupiny se také často můžete setkat s označením globální účty a globální skupiny.
Oprávnění složek a souborů
Speciální detailní pozornost vyžadují přístupová oprávnění k souborům a složkám, jelikož právě ta nejvíce matou uživatele (a někdy bohužel i správce) větších či menších sítí. Nejvyšším oprávněním v rámci NTFS je takzvané úplné řízení, které uživatelům dovoluje měnit oprávnění, spouštět soubory, listovat složkami, upravovat soubory apod. Důležité také je, že oprávnění úplného řízení umožní uživateli převzít vlastnictví složky, čehož můžete s výhodou využít například při připojení disku z jiného počítače. Další oprávnění kromě úplného řízení mají u souborů a složek intuitivní pojmenování, jedná se o oprávnění měnit, číst a spouštět, zapisovat, nebo pouze číst.
U složek patří oproti soborům mezi speciální oprávnění také varianta výpisu obsahu složky, kterou si řada uživatelů často plete s jinými oprávněními. Oprávnění výpisu složky vám umožní získat přehled jejího obsahu, nezávisle na tom ale pak pro spuštění souborů, změnu a další akce musíte mít odpovídající samostatná oprávnění. Naopak oprávnění výpisu složky není zapotřebí v případě, že znáte přesnou cestu nebo název souboru a potřebujete s ním provést další, již legitimní akce. Celou situaci si můžete nejlépe představit na příkladu zobrazení souboru na webu, se kterým se nejvíce uživatelů setkalo. Pokud vás stránka nebo ruční vepsání adresy nasměruje na zobrazení /public/obrazek.jpg, lze daný obrázek bez problémů prohlédnout, jakmile byste ale zažádali o vypsání složky public, budete odmítnuti vinou nedostatečného oprávnění.
Právě popsaná přístupová oprávnění NTFS by mohla v určitých případech kolidovat, a tak se řídí některými důležitými pravidly. Oprávnění jsou kumulativní – výsledné oprávnění je kombinací oprávnění dané skupiny, kam uživatel patří, a přímo oprávnění, která jsou spojena s jeho účtem. Stejně důležité je také pravidlo, že oprávnění k souboru mají vyšší váhu než oprávnění k dané složce. Toto pravidlo jde dokonce do extrému: pokud má uživatel ke složce úplné řízení, ale konkrétnímu souboru v ní pouze čtení, nebude moct soubor zapisovat!
Podrobné nastavení bezpečnostních pravidel
Zkroťte uživatele nastavením místních zásad
Administrátoři kromě nastavení práv a oprávnění pro jednotlivé uživatele musí často také řešit otázku přidělení dalších omezení a vyššího zabezpečení systému. Přidáme tedy několik tipů, které jdou více do hloubky.
V běžných nastaveních uživatelských účtů nemáte prakticky žádnou možnost nastavit pravidla pro hesla jednotlivých uživatelů. Tato možnost se nachází až v pokročilých nástrojích pro správu, základním bezpečnostním omezením je určení doby platnosti jednoho konkrétního hesla. Pro nastavení intervalu Místní zásady zabezpečení, nejrychleji vložením příkazu gpedit.msc (pamatujte na to, že není podporován ve všech verzích Windows). V sekci Konfigurace počítače | Nastavení systému Windows | Nastavení zabezpečení | Zásady hesla | Zásady účtů pak položkou Maximální stáří hesla nastavte požadovaný počet dnů.
Ve zmiňovaných nástrojích pro správu máte možnost nastavit také některé další parametry, které se vztahují k bezpečnosti všech uživatelských hesel. Jejich nastavení je stejně jednoduché, jmenovitě se přitom jedná o následující požadavky:
- Heslo musí splňovat požadavky na složitost – vynucuje použití silných hesel, nebudou tedy povolena ta velice jednoduchá.
- Minimální délka hesla – pomocí této možnosti můžete nastavit délku nejkratšího dovoleného hesla, vyhnete se tak problémům s nebezpečím příliš krátkých.
- Ukládat hesla pomocí reverzibilního šifrování – bezpečnější skladování hesel, které útočníkovi komplikuje snahu získat jejich původní otevřenou podobu.
- Vynutit použití historie hesel – nedovolí uživateli nastavit heslo, které již bylo použito.
Jak přísná je bezpečnostní politika ve vaší firemní síti, kterými způsoby přístupová práva a oprávnění využíváte v domácnosti? Nastavujete speciální pravidla a požadavky pro hesla? Podělte se o své zkušenosti s ostatními čtenáři v diskuzi pod článkem.