reklama

Čtyři cesty, jak z Windows 8 udělat nedobytnou pevnost

Počítač s Windows zajistíte uživatelským heslem, antivirem, firewallem, ale pak tu jsou také práva ke složkám a souborům, EFS šifrování nebo třeba BitLocker.

Přestože k tomu nemám žádné podklady, troufám si tvrdit, že většina domácích uživatelů nepoužívá pokročilejší nastavení bezpečnosti dat na Windows a mnozí nejspíše ani netuší, že tam něco takového vůbec je. Svůj účet chráníme heslem, data antivirem a tím to pro nás končí. Co když ale počítač používá více lidí?

Tentokrát jsme se tedy podívali na některé nástroje ve Windows 8 Pro. Samozřejmě je najdete i ve starších verzích systému, nicméně povětšinou jen ve vyšších edicích. Při upgradu na Windows 8 ale získáte verzi Pro, která nabízí v podstatě absolutní maximum, a tak se konečně můžeme začít bavit třeba o BitLockeru a dalších specialitách.

Takže jak rychle ochránit počítač proti ostatním uživatelům v domácnosti a případně i proti vnějšímu světu?

1. Nastavení práv: administrátor zde nemá co čmuchat!

Každé složce a souboru na Windows můžete upravit uživatelská práva. Ve výchozím stavu může prakticky ke všem datům přistupovat systém, administrátoři a pak pochopitelně majitelé. Když používáte počítač pouze pro sebe, toto vás nemusí nijak trápit, co když ho ale sdílíte s rodinou?

Na Windows 8 platí staré dobré unixové pravidlo, že prostí uživatelé mohou zapisovat pouze do svých vlastních profilů a profily ostatních ani neuvidí. K zápisu do jiných složek budou potřebovat zadat heslo správce, což se týká i instalace nových programů, vytváření neskutečného svinčíku přímo na oddílu C aj. Zde se tedy uplatňuje stejná logika jako u linuxového rootu a příkazu sudo a je to jedině dobře.

Klepněte pro větší obrázek Klepněte pro větší obrázek
Jsem administrátor počítače a chci se podívat do složky Download uživatele Hermelín. Ve výchozím stavu by to nebyl problém, ale tentokrát mě Hermelín zablokoval – smazal práva přístupu pro skupinu Administrators (na prvním obrázku).

Celé to má ale jeden háček – vše uvidí správce. Pokud nechcete, aby měl administrátor rodinného počítače přístup do vašeho profilu, budete muset nad vybranými složkami pozměnit práva. Může to být třeba jen vybraná složka „Tajné“, nebo klidně celý adresář profilu, u kterého odstraníte právo pro přístup administrátorů. Případně jim můžete povolit třeba jen procházení složkou, ale v žádném případě zobrazování obsahu souborů.

2. Šifrování: tyto soubory jsou pro tebe absolutní tabu

Nastavení práv není žádné terno, je to u moderních verzí Windows a souborového systému NTFS samozřejmost, ale kupodivu docela málo každodenních uživatelů ví, že své soubory mohou přímo v NTFS také šifrovat, poněvadž souborový systém už dlouhé roky podporuje kdysi děravou funkci EFS – Encrypting File System.

Výhodou EFS je jeho přímá integrace do NTFS, jako uživatelé tedy nic nepoznáte. Když nad složkou, nebo souborem aktivujete šifrování, budete s nimi moci dále běžně pracovat, jako by se nechumelilo. Když nastavíte šifrování na obrázek, který otevřete v editoru, za běhu se dešifruje, vy jej pak třeba upravíte a při uložení se zase zašifruje. Jelikož jste majitelé, nikde samozřejmě nezadáváte heslo.

Klepněte pro větší obrázek Klepněte pro větší obrázek Klepněte pro větší obrázek
Na prvním snímku vytvořil uživatel Hermelín hanlivý obrázek, který chce schovat před správcem počítače. Zašifruje jej (změní se barva jména souboru na zelenou) a jiný uživatel jej už neotevře, ani nikam nezkopíruje – nemá k němu přístup.

Obsah takového souboru pak neuvidí ostatní uživatelé počítače, ale samozřejmě ani případný zloděj, který vám počítač ukradne, případně se na disk dostane z jiného operačního systému. Pokud vám ale ukradne celý počítač včetně systému, nesmí pochopitelně znát uživatelské heslo, jinak je vše ztraceno.

Jelikož je EFS funkce souborového systému, bude fungovat vždy jen na NTFS. Pokud zašifrovaný soubor překopírujete na USB disk s formátováním FAT32, uloží se na něj už dešifrovaný soubor, který každý otevře. Pokud bude mít externí disk formátování NTFS, šifrování se udrží.

Jak sdílet zašifrovaný soubor pomocí EFS

S tím souvisí ještě jedna otázka. Co se stane, když budete chtít zašifrovaný soubor sdílet s jiným uživatelem? To je trošku složitější. Jelikož nikde nezadáváte žádné heslo, musí vám nejprve tento uživatele předat svůj EFS certifikát, který pak připojíte k souboru v nastavení šifrování. Zašifrovaný soubor tedy uvidí pouze ti, o kterých tento zašifrovaný soubor dopředu ví. Postup krok za krokem pro sdílení šifrovaného souboru najdete v české nápovědě.

 Klepněte pro větší obrázek Klepněte pro větší obrázek Klepněte pro větší obrázek
Aby mohl zašifrovaný soubor otevřít i druhý uživatel (klidně na jiném PC s Windows), musím k souboru připojit jeho certifikát, který funguje jako klíč – heslo

3. Šifrování virtuálního disku: EFS/TrueCrypt + VHD

Další specialitou Windows je schopnost tvorby virtuálních disků ve formátu VHD a VHDX (až do velikosti 64 TB). Virtuální disk vytvoříte v nástroji Správa počítače, v sekci Správa disků a v nabídce Akce (ve Windows 8 klepněte na Win+W a vyhledejte Nástroje pro správu). Tato hrůzná navigace bylo to nejtěžší, zbytek je už snadný. Vyberete, kam se soubor s virtuálním diskem uloží, jakou bude mít velikost, jestli bude fixní, nebo dynamická (postupně rostoucí) a pak v něm vytvoříte diskový oddíl a naformátujete jej a připojíte do počítače pod nějakým tím písmenkem.

Klepněte pro větší obrázek Klepněte pro větší obrázek Klepněte pro větší obrázek
Vytvoření virtuálního disku superdisk.vhd, vytvoření a formátování oddílu a jeho připojení do systému jako skutečná jednotka S

Kouzlo spočívá v tom, že pak můžete nastavit šifrování na celý soubor tohoto virtuálního oddílu a snadno jej pak celý zkopírujete třeba právě na ten USB disk. Nemusíte přitom použít jen proprietární systém EFS, ale klidně i jiné šifrovací nástroje včetně populárního multiplatformního TrueCryptu.

4. Šifrování diskových oddílů: BitLocker

Konečně se dostávám k nejtěžšímu bezpečnostnímu kalibru Windows. Ani BitLocker není žádná čerstvá novinka, díky Windows 8 Pro se však k této funkci dostane více lidí.

BitLocker umí zašifrovat celé oddíly a disky a to včetně externích USB úložišť. K datům na discích se pak dostane pouze ten, kdo zná klíč. Jakmile se autorizujete, můžete s diskem opět zcela běžně pracovat a data se budou šifrovat při zápisu a dešifrovat při čtení. Nesmím tedy zapomenout ještě na jednu drobnost, která se týká i EFS. Pokud šifrujete, kopírování a práce s daty se trošku zpomalí, poněvadž šifrovací režie si prostě o něco řekne. Není to ale žádná katastrofa – systém je na podobné kousky připravený.

Klepněte pro větší obrázek Klepněte pro větší obrázek Klepněte pro větší obrázek Klepněte pro větší obrázek
Nastavení šifrování BitLocker pro nesystémový oddíl a jeho nové grafické označení

Nastavit BitLocker pro nesystémové oddíly není nic složitého – stačí nad oddílem v Průzkumníku otevřít kontextovou nabídku a šifrování aktivovat s drobným dodatečným nastavením.  Druhou možností je opět vyhledání správce BitLockeru třeba v Ovládacích panelech, nebo přes zkratku Win+W. Nicméně BitLocker umí šifrovat i samotný systémový oddíl C a to je už trošku složitější.

Pokud je zašifrovaný systémový oddil, musí o tom vědět i zavaděč a do práce se zapojuje i certifikační čip TPM, který je součástí základní desky. Rozhodně jej ale nenajdete na každém počítači – zaručeně jej budou mít pouze všechny nové počítače s Windows 8 a pak většina byznysových modelů. TPM také může být ve výchozím stavu vypnutý v BIOSu/UEFI. Bez něho vám BitLocker řekne, že máte prostě smůlu a musíte zamířit hlouběji do konfigurace Windows. Konkrétně do Editoru místních zásad skupiny (Win + gpedit.msc). Zde pak ve stromě vyberte postupně Konfigurace počítače – Šablony pro správu – Součásti systému Windows – Šifrování jednotky nástrojem BitLocker – Jednotky operačního systému a v seznamu zásad vyberte Požadovat při spouštění další ověřování. V novém dialogu tuto volbu povolte a v možnostech níže zaškrtněte volbu Povolit nástroj BitLocker bez kompatibilního čipu TPM…

Klepněte pro větší obrázek Klepněte pro větší obrázek
Editor místních zásad a povolení BitLockeru pro systémový oddíl, i když počítač neobsahuje certifikační čip TPM

Ano, je to složité. Ano, zdaleka to není pro každého. Ano, pokud netušíte, co děláte, nedělejte to, poněvadž servis je dneska neskutečně drahý.

Pokud se přesto odvážíte, dopadne to nakonec celé asi tak, že se celý systémový oddíl zašifruje a data pro zavaděč a dešifrování se přesunou na záložní nezašifrovaný oddíl, resp. USB klíčenku/SD, která bude muset být vždy připojená k počítači při startu. Stručně řečeno prostě z USB klíčenky vytvoříte hardwarový klíč.

Jak vidno, Windows v sobě skrývá celou plejádu pokročilých bezpečnostních technologií a my přitom často instalujeme programy, které v podstatě dělají to samé a jsou často zbytečné. Při chytrém nastavení práv ke složkám a při použití EFS, BitLockeru nebo třeba právě toho populárního TrueCryptu uděláte z počítače nedobytnou pevnost a vaše data neuvidí jak rodinný administrátor, tak i ten, kdo si „vypůjčí“ celý disk, případně vám ukradne USB klíčenku s citlivými daty.

Ne, ani maminka nemusí vědět, co si zrovna stahujete z Ulož.to.

Toto softwarové zabezpečení pak můžete doplnit ještě skrze nejrůznější proprietární systémy vašeho počítače. Snad každý BIOS nabízí třeba povinnost zadání hesla při startu počítače, respektive při prvním pokusu o přístup k pevnému disku aj.

Klepněte pro větší obrázek
Heslo pro přístup k disku na úrovni BIOSu

Používáte nějaké pokročilé zabezpečení, nebo používáte počítač s výchozí konfigurací? Podělte se se svým názorem v diskuzi pod článkem.

Témata článku: Technologie, Microsoft, Windows, Windows 8, Pace, Tabu

57 komentářů

Nejnovější komentáře

  • xls 23. 11. 2012 11:29:13
    Ten bitlocker vypadá dobře, ale neumím si moc představit, že to MS...
  • shadow_warior 23. 11. 2012 10:00:34
    bitlocker fakt je kvalita pry neprolomitelne je ale jen v enterprise a...
  • Martin Kundrata 23. 11. 2012 0:56:41
    Pěkný článek :-) Jednou jsem si tak "dokonale" zašifroval fotky, že se k...
reklama
Určitě si přečtěte

Vybíráte herní periferii nebo hardware? Pak zapomeňte na nálepku Gaming

Vybíráte herní periferii nebo hardware? Pak zapomeňte na nálepku Gaming

** Herní hardware se od toho běžného často liší jen vzhledem ** Při výběru stále nezapomínejte na základní parametry ** Poradíme jak vybrat herní hardware i periferie

20.  2.  2017 | Stanislav Janů | 35

10 nejhorších produktů v historii Microsoftu

10 nejhorších produktů v historii Microsoftu

20.  2.  2017 | Karel Javůrek | 132

Pojďme programovat elektroniku: Žádný bastlíř se neobejde bez armády švábů

Pojďme programovat elektroniku: Žádný bastlíř se neobejde bez armády švábů

** Každý bastlíř se po čase neobjede bez armády švábů ** Dnes si některé z nich vyzkoušíme ** Třeba zázračný posuvný registr

19.  2.  2017 | Jakub Čížek | 39

AMD oficiálně představilo procesory Ryzen. Známe i jejich české ceny

AMD oficiálně představilo procesory Ryzen. Známe i jejich české ceny

** AMD uvedlo první tři procesory Ryzen 7 ** Všechny budou pracovat s osmi jádry a šestnácti vlákny ** Na pulty obchodů se dostanou už za týden

22.  2.  2017 | Stanislav Janů | 123

Vyhledávání ve Windows není dokonalé, zkuste to 5× jinak

Vyhledávání ve Windows není dokonalé, zkuste to 5× jinak

** V macOS funguje vyhledávání Spotlight, ve Windows podobně propracovaná funkce chybí ** Alternativy se zaměřují na rychlé hledání souborů i externí zdroje ** Mnohé mohou vyhledávání ve Windows kompletně nahradit

18.  2.  2017 | Stanislav Janů | 58

EU se děsí Windows 10. Prý o nás vědí až příliš. Microsoft chystá změny

EU se děsí Windows 10. Prý o nás vědí až příliš. Microsoft chystá změny

** Evropští úředníci chtějí, aby byly Desítky transparentnější ** Microsoft od jara skutečně chystá změny ** Ochráncům soukromí to ale nestačí

21.  2.  2017 | Jakub Čížek | 217


reklama