Přestože k tomu nemám žádné podklady, troufám si tvrdit, že většina domácích uživatelů nepoužívá pokročilejší nastavení bezpečnosti dat na Windows a mnozí nejspíše ani netuší, že tam něco takového vůbec je. Svůj účet chráníme heslem, data antivirem a tím to pro nás končí. Co když ale počítač používá více lidí?
Tentokrát jsme se tedy podívali na některé nástroje ve Windows 8 Pro. Samozřejmě je najdete i ve starších verzích systému, nicméně povětšinou jen ve vyšších edicích. Při upgradu na Windows 8 ale získáte verzi Pro, která nabízí v podstatě absolutní maximum, a tak se konečně můžeme začít bavit třeba o BitLockeru a dalších specialitách.
Takže jak rychle ochránit počítač proti ostatním uživatelům v domácnosti a případně i proti vnějšímu světu?
1. Nastavení práv: administrátor zde nemá co čmuchat!
Každé složce a souboru na Windows můžete upravit uživatelská práva. Ve výchozím stavu může prakticky ke všem datům přistupovat systém, administrátoři a pak pochopitelně majitelé. Když používáte počítač pouze pro sebe, toto vás nemusí nijak trápit, co když ho ale sdílíte s rodinou?
Na Windows 8 platí staré dobré unixové pravidlo, že prostí uživatelé mohou zapisovat pouze do svých vlastních profilů a profily ostatních ani neuvidí. K zápisu do jiných složek budou potřebovat zadat heslo správce, což se týká i instalace nových programů, vytváření neskutečného svinčíku přímo na oddílu C aj. Zde se tedy uplatňuje stejná logika jako u linuxového rootu a příkazu sudo a je to jedině dobře.
Jsem administrátor počítače a chci se podívat do složky Download uživatele Hermelín. Ve výchozím stavu by to nebyl problém, ale tentokrát mě Hermelín zablokoval – smazal práva přístupu pro skupinu Administrators (na prvním obrázku).
Celé to má ale jeden háček – vše uvidí správce. Pokud nechcete, aby měl administrátor rodinného počítače přístup do vašeho profilu, budete muset nad vybranými složkami pozměnit práva. Může to být třeba jen vybraná složka „Tajné“, nebo klidně celý adresář profilu, u kterého odstraníte právo pro přístup administrátorů. Případně jim můžete povolit třeba jen procházení složkou, ale v žádném případě zobrazování obsahu souborů.
2. Šifrování: tyto soubory jsou pro tebe absolutní tabu
Nastavení práv není žádné terno, je to u moderních verzí Windows a souborového systému NTFS samozřejmost, ale kupodivu docela málo každodenních uživatelů ví, že své soubory mohou přímo v NTFS také šifrovat, poněvadž souborový systém už dlouhé roky podporuje kdysi děravou funkci EFS – Encrypting File System.
Výhodou EFS je jeho přímá integrace do NTFS, jako uživatelé tedy nic nepoznáte. Když nad složkou, nebo souborem aktivujete šifrování, budete s nimi moci dále běžně pracovat, jako by se nechumelilo. Když nastavíte šifrování na obrázek, který otevřete v editoru, za běhu se dešifruje, vy jej pak třeba upravíte a při uložení se zase zašifruje. Jelikož jste majitelé, nikde samozřejmě nezadáváte heslo.
Na prvním snímku vytvořil uživatel Hermelín hanlivý obrázek, který chce schovat před správcem počítače. Zašifruje jej (změní se barva jména souboru na zelenou) a jiný uživatel jej už neotevře, ani nikam nezkopíruje – nemá k němu přístup.
Obsah takového souboru pak neuvidí ostatní uživatelé počítače, ale samozřejmě ani případný zloděj, který vám počítač ukradne, případně se na disk dostane z jiného operačního systému. Pokud vám ale ukradne celý počítač včetně systému, nesmí pochopitelně znát uživatelské heslo, jinak je vše ztraceno.
Jelikož je EFS funkce souborového systému, bude fungovat vždy jen na NTFS. Pokud zašifrovaný soubor překopírujete na USB disk s formátováním FAT32, uloží se na něj už dešifrovaný soubor, který každý otevře. Pokud bude mít externí disk formátování NTFS, šifrování se udrží.
Jak sdílet zašifrovaný soubor pomocí EFS
S tím souvisí ještě jedna otázka. Co se stane, když budete chtít zašifrovaný soubor sdílet s jiným uživatelem? To je trošku složitější. Jelikož nikde nezadáváte žádné heslo, musí vám nejprve tento uživatele předat svůj EFS certifikát, který pak připojíte k souboru v nastavení šifrování. Zašifrovaný soubor tedy uvidí pouze ti, o kterých tento zašifrovaný soubor dopředu ví. Postup krok za krokem pro sdílení šifrovaného souboru najdete v české nápovědě.
Aby mohl zašifrovaný soubor otevřít i druhý uživatel (klidně na jiném PC s Windows), musím k souboru připojit jeho certifikát, který funguje jako klíč – heslo
3. Šifrování virtuálního disku: EFS/TrueCrypt + VHD
Další specialitou Windows je schopnost tvorby virtuálních disků ve formátu VHD a VHDX (až do velikosti 64 TB). Virtuální disk vytvoříte v nástroji Správa počítače, v sekci Správa disků a v nabídce Akce (ve Windows 8 klepněte na Win+W a vyhledejte Nástroje pro správu). Tato hrůzná navigace bylo to nejtěžší, zbytek je už snadný. Vyberete, kam se soubor s virtuálním diskem uloží, jakou bude mít velikost, jestli bude fixní, nebo dynamická (postupně rostoucí) a pak v něm vytvoříte diskový oddíl a naformátujete jej a připojíte do počítače pod nějakým tím písmenkem.
Vytvoření virtuálního disku superdisk.vhd, vytvoření a formátování oddílu a jeho připojení do systému jako skutečná jednotka S
Kouzlo spočívá v tom, že pak můžete nastavit šifrování na celý soubor tohoto virtuálního oddílu a snadno jej pak celý zkopírujete třeba právě na ten USB disk. Nemusíte přitom použít jen proprietární systém EFS, ale klidně i jiné šifrovací nástroje včetně populárního multiplatformního TrueCryptu.
4. Šifrování diskových oddílů: BitLocker
Konečně se dostávám k nejtěžšímu bezpečnostnímu kalibru Windows. Ani BitLocker není žádná čerstvá novinka, díky Windows 8 Pro se však k této funkci dostane více lidí.
BitLocker umí zašifrovat celé oddíly a disky a to včetně externích USB úložišť. K datům na discích se pak dostane pouze ten, kdo zná klíč. Jakmile se autorizujete, můžete s diskem opět zcela běžně pracovat a data se budou šifrovat při zápisu a dešifrovat při čtení. Nesmím tedy zapomenout ještě na jednu drobnost, která se týká i EFS. Pokud šifrujete, kopírování a práce s daty se trošku zpomalí, poněvadž šifrovací režie si prostě o něco řekne. Není to ale žádná katastrofa – systém je na podobné kousky připravený.
Nastavení šifrování BitLocker pro nesystémový oddíl a jeho nové grafické označení
Nastavit BitLocker pro nesystémové oddíly není nic složitého – stačí nad oddílem v Průzkumníku otevřít kontextovou nabídku a šifrování aktivovat s drobným dodatečným nastavením. Druhou možností je opět vyhledání správce BitLockeru třeba v Ovládacích panelech, nebo přes zkratku Win+W. Nicméně BitLocker umí šifrovat i samotný systémový oddíl C a to je už trošku složitější.
Pokud je zašifrovaný systémový oddil, musí o tom vědět i zavaděč a do práce se zapojuje i certifikační čip TPM, který je součástí základní desky. Rozhodně jej ale nenajdete na každém počítači – zaručeně jej budou mít pouze všechny nové počítače s Windows 8 a pak většina byznysových modelů. TPM také může být ve výchozím stavu vypnutý v BIOSu/UEFI. Bez něho vám BitLocker řekne, že máte prostě smůlu a musíte zamířit hlouběji do konfigurace Windows. Konkrétně do Editoru místních zásad skupiny (Win + gpedit.msc). Zde pak ve stromě vyberte postupně Konfigurace počítače – Šablony pro správu – Součásti systému Windows – Šifrování jednotky nástrojem BitLocker – Jednotky operačního systému a v seznamu zásad vyberte Požadovat při spouštění další ověřování. V novém dialogu tuto volbu povolte a v možnostech níže zaškrtněte volbu Povolit nástroj BitLocker bez kompatibilního čipu TPM…
Editor místních zásad a povolení BitLockeru pro systémový oddíl, i když počítač neobsahuje certifikační čip TPM
Ano, je to složité. Ano, zdaleka to není pro každého. Ano, pokud netušíte, co děláte, nedělejte to, poněvadž servis je dneska neskutečně drahý.
Pokud se přesto odvážíte, dopadne to nakonec celé asi tak, že se celý systémový oddíl zašifruje a data pro zavaděč a dešifrování se přesunou na záložní nezašifrovaný oddíl, resp. USB klíčenku/SD, která bude muset být vždy připojená k počítači při startu. Stručně řečeno prostě z USB klíčenky vytvoříte hardwarový klíč.
Jak vidno, Windows v sobě skrývá celou plejádu pokročilých bezpečnostních technologií a my přitom často instalujeme programy, které v podstatě dělají to samé a jsou často zbytečné. Při chytrém nastavení práv ke složkám a při použití EFS, BitLockeru nebo třeba právě toho populárního TrueCryptu uděláte z počítače nedobytnou pevnost a vaše data neuvidí jak rodinný administrátor, tak i ten, kdo si „vypůjčí“ celý disk, případně vám ukradne USB klíčenku s citlivými daty.
Ne, ani maminka nemusí vědět, co si zrovna stahujete z Ulož.to.
Toto softwarové zabezpečení pak můžete doplnit ještě skrze nejrůznější proprietární systémy vašeho počítače. Snad každý BIOS nabízí třeba povinnost zadání hesla při startu počítače, respektive při prvním pokusu o přístup k pevnému disku aj.
Heslo pro přístup k disku na úrovni BIOSu
Používáte nějaké pokročilé zabezpečení, nebo používáte počítač s výchozí konfigurací? Podělte se se svým názorem v diskuzi pod článkem.