Ucelených přehledů plně zahrnujících určité téma, není nikdy dost. Proto se budeme zabývat bezpečností Windows Vista.
Základní bezpečnostní novinky
Windows Vista jsou považována za nejbezpečnější Windows v historii. Aby taky ne, když právě této oblasti věnoval Microsoft opravdu velkou pozornost. Bezpečnost se totiž stává jednou z nejdůležitějších oblastí zájmů, jinak by nemohly být přes Internet prováděny nejrůznější transakce a obchody, aniž by hrozila nějaká rizika. Ta bezpochyby hrozí i teď, nicméně dobrým zabezpečením se jim dá dobře předcházet.
Microsoft představil několik významných novinek v zabezpečení a provedl několik důležitých změn v architektuře. Na ty nejdůležitější se v tomto a také ve středečním článku zaměříme.
Zabezpečení počítačů v domácnosti a v podnikovém prostředí se v mnohém liší. My se proto budeme zabývat zejména těmi prvky zabezpečení a nastavení, které využijí hlavně běžní domácí uživatelé k zabezpečení svých počítačů, popřípadě domácí sítě. Administrátoři velkých sítí totiž většinou čerpají informace úplně jinde, než na serveru, který je zaměřen právě na běžné počítačové uživatele.
Řízení uživatelských účtů
Dnes je mnoho uživatelů Windows XP zvyklých pracovat jak doma, tak v zaměstnání pod účtem, který má administrátorská práva. V takovém případě je občas velmi těžké vyhnout se bezpečnostním rizikům nebo poškození systému. Na druhou stranu, práce pod standardním účtem může způsobit, že mnoho aplikací nebude fungovat. Stejně tak nebude možné přidat tiskárnu nebo provést jiné běžné činnosti. Využívání běžného účtu se tak stalo výzvou a ti, kteří se ji postavili, musí oplývat značnou dávkou trpělivosti.
S příchodem Windows Vista však na scénu přichází Řízení uživatelských účtů (User Account Control - UAC) a s ním i příležitost pro změnu. Microsoft udělal velký pokrok v rozlišení úkonů, které ve Windows XP vyžadovaly administrátorská práva, a přehodnotil je jako dostupné pro standardní uživatele. Ten tak má nyní možnost přidat tiskárnu, stahovat aktualizace či navázat VPN spojení. Na druhou stranu nemůže dělat úkony, které by mohly znamenat bezpečnostní riziko, například instalovat nebo využívat některé aplikace, přidávat uživatele apod.
Ve Vistách, i když se přihlásíte jako administrátor, pracujete jako standardní uživatel. Pokud potřebujete vykonat něco, co administrátorská práva vyžaduje, vyskočí okno, které vyžaduje identifikaci, tedy jakési další přihlášení zpřístupňující požadovaná práva jen pro tento úkon. Tím pádem nyní odpadají možnosti napadení systému škodlivými programy (malware, spyware), protože instalace či náhodná a nechtěná změna konfigurace sítě bez vědomí uživatele nejsou bez patřičných práv možné.
Ještě než tuto funkci okamžitě odsoudíte, opravdu byste si ji měli alespoň vyzkoušet. Až ve stádiu, kdy vás bude opravdu nepřijatelně obtěžovat, ji vypněte. Určitě bych to nedoporučoval nezkušeným uživatelům, kterým může UAC pomoci vyhnout se velkým problémům. Nicméně pokud chcete UAC za každou cenu vypnout, měli byste být přinejmenším natolik znalí, abyste našli, kde se to provádí.
Virtuální složky a registry
Ačkoliv určitě budou existovat určité výjimky, většina aplikací by měla fungovat stejně jak pod administrátorským, tak pod běžným účtem. Některé běžné aplikace ovšem, aniž by tak musely činit, ukládají konfigurační data nebo provádějí změny ve větvích registru HKEY_LOCAL_MACHINE nebo v adresářích Program Files a Windows. Visty však omezují přístup do těchto oblastí a bez administrátorských oprávnění v nich nelze nic měnit. A to samozřejmě přináší jeden zásadní problém: Mnoho aplikací by tak mohlo přestat pod tímto systémem pracovat.
Někteří uživatelé by tak mohli na delší dobu přechod na Visty oddálit, protože by neměli příležitost využívat tyto aplikace. Microsoft si toho byl dobře vědom a zabudoval prvek, který se snaží tento problém řešit. Jednoduše se dá říct, že vytváří jakési virtuální adresáře, popř. větve registrů, které se tváří jako ty skutečné. Vše si vysvětlíme na příkladu.
Pokud chce aplikace zapsat soubory do některého z chráněných adresářů, Windows je přesměrují do uživatelského profilu a to následovně: \Users\uživatelské_jméno\AppData\Local\VirtualStore. V tomto adresáři se vytvoří další podadresáře, které se jmenují stejně jako ty chráněné, tedy například Windows či Program Files, a do těch se bude ukládat.
Když vyšle aplikace požadavek pro čtení souboru z některé chráněné oblasti, Visty předpokládají, že stejná aplikace se dříve pokoušela do této oblasti zapisovat a byla přesměrována. Proto nejdříve projde adresáře VirtualStore, a pokud v nich není soubor nalezen, jsou následně prohledávány původní adresáře. Poznamenejme ještě, že pokud má aplikace z nějakého důvodu práva pro zápis do chráněných lokací, není virtualizace použita.
Podobné je to i v případě registrů. Visty však vytváří virtuální protějšek jen pro klíč HKEY_LOCAL_MACHINE\SOFTWARE. Zde však pochopitelně není náhradní lokace adresářem, ale je vytvořen nový klíč, HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE.
Funkce virtualizace by mohla některé vývojáře zaujmout natolik, že by ji začali běžně používat. Microsoft ovšem nikdy neplánoval případné rozšíření přizpůsobitelnosti nebo seznamu chráněných adresářů. Jedná se pouze o dočasné řešení pro aplikace, které by pod Vistami nefungovaly, tedy do vydání nových verzí. Je to však účinný bezpečnostní prvek, který nedovolí změny v důležitých adresářích, což by v některých případech mohlo znamenat poškození systému.
Rodičovská kontrola
Počítač je v poslední době nejen pracovní nástrojem nebo prostředkem k relaxaci, ale pro děti je také vzdělávacím nástrojem. Mohou nejen vypracovávat úkoly do školy, ale také komunikovat se svými vrstevníky ze vzdálenějších oblastí. Někdy je však pro rodiče téměř nadlidský úkol udržet si povědomí o on-line aktivitách i běžných činnostech dítěte. Nyní už není potřeba nástroje jiných výrobců, protože Windows Vista zahrnují i prostředek nazvaný Rodičovská kontrola. Ten umožňuje jednak nastavení přístupu na Internet a využívání počítače, ale také monitorování aktivit dítěte. To se tak stalo mnohem jednodušší a rodičům stačí jen pár minut kontroly reportů denně, kterou lze snadno zařadit mezi jiné činnosti u PC. Co vše lze nastavit?
Webový filtr – tady můžete buď omezit přístup na určité weby, nebo vytvořit seznam povolených webu. Také lze omezit možnosti stahování souborů, což je důležitý krok v zabezpečení před malwarem a viry. Děti totiž většinou neberou toto riziko v potaz a stahují, co se namane.
Časové limity – můžete omezit čas, který smí být dítě u počítače, přičemž lze určit dny v týdnu i hodiny. Pokud se dítě pokusí přihlásit do systému mimo povolenou dobu, přihlášení selže. Podobně dojde k automatickému odhlášení po uplynutí této doby.
Hry – v této sekci lze omezit spouštění her a to buď podle hodnocení (které se zatím prosazuje spíše v zahraničí) nebo podle názvu.
Povolit a blokovat určité programy – můžete dítěti odepřít přístup k určitým programům nainstalovaným v počítači.
Co se týká samotného protokolování aktivit, zde můžete například zjistit, které weby dítě navštívilo, jak dlouho bylo na internetu, kolik odeslalo e-mailů, s kým komunikovalo nebo které aplikace spouštělo. Všechna nastavení omezení se provádějí přímo v panelu Rodičovská kontrola, ke kterému se dostanete přes Ovládací panely - Uživatelské účty a zabezpečení rodiny - Rodičovská kontrola.
Rodičovskou kontrolu lze aplikovat pouze na účet typu standardní uživatel. Tady už záleží pouze na vás, zda chcete mít pro každé dítě samostatný účet nebo jeden účet pro všechny. První možnost je vhodná zejména pokud je mezi dětmi větší věkový rozdíl a mladší z nich by nemělo mít stejná práva jako starší. Po vytvoření účtů již stačí na jeden z nich kliknout, čímž přejdete na okno se všemi možnostmi nastavení popisovanými výše.