Windows sám o sebe poskytuje vysokú mieru zabezpečenia, keď je aktuálny. Aj počítačoví experti si uvedomujú, že najzraniteľnejším prvkom sú práve oni sami. My vám ukážeme tipy, ako si nastaviť vyššiu mieru ochrany.
Administrátor nadovšetko
Tip, ktorý z vás spravil používateľa s bežným oprávnením je síce fajn a jeho odporúčanie siaha až do skorých verzií Windows na architektúre NT. Je to dobrý tip, no my vieme, že pracovať s takto nastaveným počítačom nemusí byť pre drvivú väčšinu z nás to pravé. Máte výrazné obmedzenia, čo sa dá v systéme použiť a ešte obmedzenejšie právomoci, čo si dodatočne aktivovať alebo potvrdiť. A netýka sa to len vás, ale aj programov. Tie totiž nebudú mať vyššie oprávnenia ako používateľ.
Typ účtu môžete kedykoľvek zmeniť. Jeden Správca ale bude musieť v systéme zostať
Preto naše odporúčanie znie: Spravte si jeden prihlasovací účet, ktorý bude mať oprávnenia nazvané ako „Štandardný používateľ“. Vhodný napríklad pre rodinný účet alebo váš pokusný, keď budete skúšať nové programy. Ešte vhodnejší pre používateľov, ktorí vytrvalo nepoužívajú žiadny antivírus. Našťastie majú v systéme integrovaný Windows Defender.
„Tip navyše – nepoužívajte proxy servery, ktoré nepodporujú pripojenie cez HTTPS.“
Nový účet pridáte z Nastavenia – Kontá – Rodina a ostatní používatelia. Najjednoduchšie bude vytvoriť ho ako lokálny účet. Preto je potrebné kliknúť na položku Nemám prihlasovacie údaje tejto osoby počas sprievodcu tvorby nového účtu. V ďalšom kroku treba kliknúť na možnosť Pridať používateľa bez konta Microsoft. Potom už sa dá vytvoriť štandardný typ účtu bez administrátorských oprávnení. Tento krok je za posledné veľké aktualizácie Windows 10 ešte zložitejší, nakoľko systém pomerne presvedčivo trvá na tom, aby ste sa prihlásili niektorou z on-line možností. My lokálne konto odporúčame ako testovacie a doplnkové.
Pridanie nového konta do Windows
Editor systémových politík
Editor systémových politík. Silný nástroj, pozor na to, čo nastavujete.
V systéme je nástroj, ktorý sa volá Local Group Policy Editor. Tu si viete nastaviť vlastnosti systému z pozície k používateľovi a zariadenia, no spoľahlivo si ho tu viete aj znefunkčniť. Je preto logické, že nastavenia zverejnené tu, nie sú dostupné cez Ovládací panel alebo časť Nastavenia. Je to zároveň ten pravý nástroj, aby ste vyladili svoj systém do najmenších detailov. Spustíte ho cez príkazový riadok Spustenie (Win + R) a zadaním názvu gpedit.msc.
Prihlasovanie
Začať môžete obmedzeniami prihlasovania. V časti Computer Configuration – Administrative Templates – System – Logon nájdete spresnenie toho, ako sa dá do systému prihlásiť a čo bude vidno na zamknutej obrazovke. Tu sa dá zablokovať prihlasovanie PIN kódom alebo obrázkovým heslom. Aj slovenská jazyková verzia má tieto nastavenia v pôvodnom anglickom znení. Ľahko sa v nich vyznáte aj so základmi angličtiny. Zaujímavá voľba je Do not display network selection UI. Keď nastavíte jej hodnotu na Enabled, nebude sa dať zmeniť sieťové pripojenie, až pokým sa neprihlásite do systému.
Zdieľanie
Lokálna ochrana počítača, a teda aj údajov na disku je síce fajn, občas odporúčame skontrolovať aj to, čo vlastne zdieľate. Systém je totiž do internetu prihlásený ešte skôr ako naštartuje. Inak, toto sa dá takisto zmeniť v editore politík a povoliť pripojenie do siete až keď sa prihlásite. Tento krok priveľmi neodporúčame, inak sa predĺži overovanie vášho prihlásenia. To býva z „nakešovaných“ dát, ktoré sa vytvárajú počas prihlasovaní do systému.
Bežne zdieľate adresáre a zároveň dávate o svojom počítači vedieť ostatným počítačom a zariadeniam v sieti. Štandardne sa každé nové pripojenie do siete označí ako pripojenie k verejnej sieti. To aj v prípade, že sa pripojíte k domácemu routeru alebo vo firme. Je to zmena oproti minulým verziám systému, kde ste dostávali na výber a mali možnosť vybrať sami, o aký typ siete ide.
V minulosti vám Windows 7 dával na výber, ako chcete definovať novú sieť. Teraz ju Windows 10 definuje automaticky ako verejnú
Táto zmena ale spôsobí, že vo verejnej sieti je štandardne nastavené vypnutie zdieľania. Je to ochrana pre vás. Zároveň ale nenájdete sieťové disky a počítače.
Zmena profilu siete vo Windows 10
Ako vypnúť prístup k PC?
Nastaveniu profilov sme sa venovali v minulosti. Teraz sa pozrieme na to, ako sa dá zistiť, čo zdieľate. Nástroj Správa počítača zobrazuje všetky povolené zdieľania adresárov a prístupov pre systém v časti Shared Folders. Spravidla tu sú tri predvolené zdieľania, ktoré systém potrebuje, aby mohol pristupovať k vašim údajom. Napríklad, aby mohol Prieskumník zobraziť obsah adresára a poskytnúť vám pohľad, čo v ňom máte. To len ako jedna z možností. Nemá zmysel sa týmito predvolenými položkami zaoberať. Nemôžete ich upraviť a sú dôležité pre správnu funkčnosť systému. Napríklad aj na to, aby sa dala využiť diaľková správa vášho počítača. Tá je totiž integrovaná priamo v systéme, no dá sa vypnúť.
Zoznam všetkých adresárov
Vytvorením používateľského zdieľania v systéme na ľubovoľný adresár zároveň vytvoríte ďalšiu položku v tomto zozname zdieľaní. Kliknutím na danú položku sa zobrazí kontextové menu a jedna z položiek je Stop Sharing. Takto sa dá vypnúť zdieľanie pre takto nastavené adresáre. Nemusíte sa rozpamätávať a hľadať v systéme, čo ste komu zdieľali.
Tip 1: Presne takto to funguje nielen pre ostatné počítače (používateľov) v sieti, ale aj pre lokálne účty. Na to, aby sa používateľ s oprávnením Štandardný používateľ dostal do niektorého z vašich adresárov, je potrebné mu adresár zdieľať.
Tip 2: Potrebujete dostupnosť vašich súborov aj z iného účtu? Zdieľajte celý disk C. Tu sa dá použiť iba rozšírené zdieľanie. To na rozdiel, ak ste niekedy použili jednoduché zdieľanie nazvané ako Domáca skupina. Okno s vlastnosťami disku C obsahuje niekoľko kariet. Dôležitá je tá s názvom Zdieľanie a tlačidlo Rozšírené zdieľanie. Povolíte túto akciu a vyberiete používateľov, ktorí budú môcť do jeho adresárovej štruktúry pristupovať. Ideálne je zvoliť skupinu Everyone tlačidlom Pridať. Potom už len zostáva vybrať, či budú údaje pre ostatných len na prezeranie alebo budú môcť robiť aj zmeny. Pozor, ak budú iba na čítanie, používatelia vám na disk nebudú môcť pridať nové súbory.
Zdieľanie celého disku C. Trochu riziko, ale aj to je možné a dokonca časté
Súbor Hosts
O tomto súbore ste možno ešte nepočuli. Je dôležitým prostredníkom na priradenie názvov hostiteľov (napríklad webových adries) k IP adresám. Súbor nájdete v adresári C:\Windows\System32\drivers\etc.
Na jeho úpravy je potrebný prístup administrátora. To nebude problém, ak váš účet disponuje takýmito oprávneniami. Základný súbor má veľkosť do 1 kB. Jeho základná konfigurácia vyzerá takto:
# 127.0.0.1 localhost
# ::1 localhost
Ide o komentáre, vy však môžete do neho pridať ďalšie riadky a tým oznámiť sieťovým protokolom adresy, ktoré majú viesť na vybrané IP. Pointa tohto súboru je, že sa dá využiť aj zneužiť. Aj preto jeho integritu chránia antivírusové programy. Využiť súbor vo svoj prospech môžete vtedy, keď chcete na počítači zablokovať nejakú WWW adresu. Napríklad prístup na vybrané stránky s nevhodným obsahom. Vtedy do nového riadka zadáte 127.0.0.1 www.facebook.com a váš počítač sa nebude môcť na túto stránku pripojiť. Prehliadač vráti chybové hlásenie. Samozrejme na to, aby ste kompletne eliminovali pripojenie na FB, budete musieť zadať viac adries. Napríklad fbcdn.net, m.facebook.com, static.ak.fbcdn.net atď. No a takisto môžete do záznamu uviesť verzie pre IPv6, vtedy by nový riadok pre tento záznam vyzeral takto: ::1 www.facebook.com.
Súbor sa dá zneužiť na presmerovanie k škodlivým webom. Stačí zadať inú IP k danej adrese. Takisto sa ale dodnes používa na obídenie nelegálnej aktivácie hier a programov. Programy, ktoré majú nastavený on-line registračný proces by sa tak nemohli spojiť so serverom. Záznamy vkladáte ručne alebo použijete modifikovaný hosts súbor, ktorý býva k nelegálnej kópii programu pripojený. Súbor nesie informácie o mnohých aktivačných serveroch, spravidla je záznam na niekoľko riadkov, aby sa pokryli všetky alternatívy.
Naopak, do tohto súboru môžete nahliadnuť aj preventívne a zistiť, či tam nie je nejaký záznam navyše. Pre bežného používateľa je dôležité, aby zostal súbor prázdny, resp. tak ako ho Microsoft pripravil. Firemní používatelia môžu mať špecifické nastavenia. Spravidla sa ale nerobia cez súbor hosts, ale vo firewalle, ktorý máte nastavený od firemného administrátora.
Zmena sa nemusí prejaviť ihneď. V prípade, že ste takto zablokovali nejakú stránku a prehliadač ju stále otvára, treba vymazať vyrovnávaciu pamäť DNS. Spustite príkazový riadok a napíšte ipconfig /flushdns. Po tejto zmene by už mali byť vami definované stránky blokované.
Vymazanie cache pamäte záznamov DNS
