6. diel - Nastavujeme operačný systém - Užívatelia a prihlasovanie

V predchádzajúcej lekcii, Bezpečnosť hesla - Tvorba hlavných hesiel , sme sa dozvedeli, ako správne vytvárať hlavné heslá a ich kategorizáciu podľa použitia a stupňov zabezpečenia.

V dnešnej lekcii kurzu kybernetickej bezpečnosti si vysvetlíme, ako správne využiť možnosti nastavenia operačného systému. V tutoriále sa tentoraz zameriame na tému užívateľské účty a prihlasovanie.

Nastavujeme operačný systém

Už tradične sa hovorí, že operačný systém Windows je menej bezpečný ako napríklad Linux alebo MacOS. A historicky vzaté to bola aj pravda – Microsoft totiž dlho dával prednosť užívateľskej nenáročnosti pred bezpečnosťou (predsa s tým nebudeme tých chudákov užívateľa zaťažovať, že...:) ). Avšak súčasná Windows (budeme tu uvažovať verziu 10+) je možné už zabezpečiť na celkom slušnej úrovni. Samozrejme Windows nie sú (a asi nikdy nebudú) OpenSource ako Linux, ktorý nám takto ponúka možnosť lepšej kontroly nad tým, čo sa v ňom skutočne deje. Pri úrovni zabezpečenia C2, ktorou sa zaoberáme, však výhody OpenSource operačného systému aj tak málokto v praxi využije.

To, že sú Windows (spolu s Androidom) stále najčastejšie prelamovanou platformou, je dnes spôsobené skôr tým, že (na rozdiel napríklad od Linuxu) u nich častejšie sedia neskúsení používatelia, ktorí ich nevedia bezpečne používať. Býva na nich nainštalované množstvo zbytočného softvéru a samozrejme sú kvôli svojej rozšírenosti tiež najčastejšie napadanou platformou.

Najbezpečnejší operačný systém býva v praxi ten, ktorý je najbezpečnejšie nastavený a ktorý je najbezpečnejšie používaný.

Bezpečnosť založená na oddelení pomocou užívateľských účtov

Základná bezpečnostná schéma, ktorá podporuje každý operačný systém, je založená na užívateľoch (respektíve ich skupinách, členených spravidla podľa toho, akú úlohu v systéme plní), ktorí majú rozdielne práva k prístupu ku konkrétnym prostriedkom daného systému. Najčastejšie sa jedná o súbory či zložky, ale môžeme spomenúť aj iné zariadenia, ako je napr. kamera, mikrofón, sieťové rozhrania a podobne (ostatne na Unix-like systémoch sú tieto rozhrania považované za súbory, hoci špeciálneho typu). Pokiaľ daný človek spustí nejaký program, zdieľa s ním svoje práva užívateľa, tj poskytuje mu tak prístup ku všetkému, čo je prístupné aj jemu. Hoci interne systém používa viacero skupín (typov) užívateľov, nás budú zaujímať dva základné:

• Administrátori (vo Windows „ Administrators “, v Unix-like systémoch „ root “). Zjednodušene povedané môžu v systéme robiť všetko. Slúži na správu (a zmeny nastavenia) v systéme. Môžu vykonávať inštaláciu programov do systémových adresárov (vo Windows je to typicky adresár c:\Program files\).
• Bežní užívatelia (skupina „ Users “). V základnom nastavení môžu meniť iba vlastné dáta, systémové programy môžu iba spúšťať a nastavenia iba čítať.

V každom systéme musí byť aspoň jeden administrátor. Pokiaľ budeme inštalovať Windows, bude prvý užívateľ, ktorého nás inštalátor Windows prinúti vytvoriť, automaticky administrátorom. Bohužiaľ už nijako zvlášť netrvá na tom, aby sme si následne vytvorili „obyčajného“ používateľa pre bežnú (ne-administrátorskú) prácu.

Pritom používať užívateľov s administrátorskými právami pre bežnú prácu, ako je vytváranie dokumentov či prácu s e-mailom alebo prehliadačom, je základnou bezpečnostnou chybou, ktorá viac-menej znefunkční celú ochranu, založenú na rozdielnych právach užívateľov!

Preto si aj v prípade, že užívame počítač sami, vytvoríme aspoň dva účty. Jeden administrátorský (nazvime ho napríklad admin alebo root – priamo administrator nám systém nepovolí, pretože to vo Windows je – z historických dôvodov – vstavaný systémový účet) a jeden pre bežnú prácu, odvodený z nášho mena – napríklad djanko. Pokiaľ počítač bude používať ešte niekto ďalší, potom mu opäť vytvoríme účet vlastný !

Pre väčšinu bežných administrátorských operácií, ako je napríklad inštalácia softvéru, nie je ani nutné sa znova prihlasovať ako administrátor. Systém nás v takom prípade jednoducho upozorní a po zadaní administrátorského hesla umožní dokončiť konkrétnu operáciu s právami administrátora.

Pre nastavenie užívateľských účtov kliknete v Prieskumníku Windows na Ovládací panel a vyberiete položku Užívateľské účty.

Prihlásenie do Windows

Z bezpečnostného hľadiska (as ohľadom na potrebu jeho častého zadávania) je ideálne pre ochranu prístupu do Windows použiť kombináciu biometrickej kontroly (odtlačok prsta alebo face ID pomocou Windows Hello) a PINu (alebo obdobne krátkeho hesla). Pokiaľ je počítač používaný v bezpečnom prostredí, potom vystačíme aj s jedným z uvedených spôsobov. V žiadnom prípade však túto ochranu nevypínajte úplne (login bez overenia) !

Ďalšou alternatívou k biometrii, ktorú nám Windows ponúkajú, je overenie pomocou hardvérového zariadenia (spravidla USB kľúče, ale ak máme k dispozícii čítačku čipových kariet – Smart Cards, možno na to využiť aj občiansky preukaz). To je výhodné najmä vo firmách, kde pracuje viac ľudí pohromade a zadávaný PIN sa dá časom ľahko „odkukať“. Na rozdiel od biometrického overenia tu však navyše musíme zabezpečiť, aby používateľ nenechával toto zariadenie pripojené do počítača, keď od neho odchádza (tj. mať ho treba na kľúčenke spoločne s kľúčmi a pod.).

Ak však použijeme heslo, Windows od nás budú požadovať odpovede na bezpečnostné otázky pre prípad, že by sme heslo zabudli. Vyzerá to ako dobrý nápad, a pokiaľ v počítači nemáme nič zvlášť dôležité (povedzme zabezpečenie do úrovne C1), potom to tak môžeme aj nechať a na otázky po pravde odpovedať. Uvedomme si ale, že táto voľba tiež predstavuje relatívne jednoduchú cestu, akú môže útočník naše heslo pri prihlásení do Windows obísť ! Stačí si o nás pár vecí jednoducho vopred zistiť, čo je úplne štandardný postup pri každom útoku. Navyše nemožno bežným spôsobom túto voľbu vo Windows zablokovať a ani si nadefinovať vlastné otázky, čo útočníkovi vec ďalej uľahčuje. Najjednoduchším riešením je jednoducho ako jednu z otázok zvoliť tú, na ktorú odpoveď sami nepoznáme a zapamätať si, že v takom prípade je ako odpoveď potrebné zadať vlastné heslo.

Vo Windows toto upravíme v Nastavenia -> Účty -> Možnosti prihlásenia (najjednoduchším spôsobom, ako sa do neho dostať, je zadať tento text do „vyhľadávania“ Windows – ikonka lupy na hlavnom paneli).

Automatické uzamknutie

Rovnako ako by sme mali mať overenie užívateľa na prihlásenie, nemali by sme zabúdať sa od počítača odhlasovať respektíve ho uzamknúť, ak odchádzame na dlhšiu dobu. Bez toho by vyššie uvedená ochrana bola opäť viac-menej k ničomu. Vo Windows na to slúži klávesová skratka Win + L (Lock = zamknúť).

Avšak pretože človek je tvor chybujúci a pôvodne plánované minútové odbehnutie sa môže ľahko predĺžiť, mali by sme si túto operáciu zautomatizovať. Windows nám k tomu poskytujú nasledujúce možnosti:

• Časovo obmedzená neaktivita. V nastavení Možnosti prihlásenia v časti Vyžadovať prihlásenie nastavme Pri prebudení počítača zo spánku (ide o východiskové nastavenie, pre prípadnú zmenu budeme potrebovať administrátorské práva). Potom prejdime v nastavení do Napájania a režim spánku, kde si nastavíme, po akej dobe neaktivity má počítač do režimu spánku prejsť.
• Vo firme je možné s výhodou využiť druhú možnosť, ktorou je vzdialenie nejakého bluetooth zariadenia (spravidla mobilného telefónu) od počítača. Túto voľbu nájdeme opäť v nastavení Možnosti prihlásenia v časti Dynamický zámok.

Problematiku užívateľských účtov a prihlasovania týmto uzavrieme. K téme operačných systémov a ich ďalších nastavení sa ale ešte vrátime.

V ďalšej lekcii, Nastavujeme operačný systém - Súkromie, antivírusy a ďalšie SW , si povieme, ako nastaviť súkromie, spomenieme aj antivírusový softvér a zameriame sa na nastavenie riadeného prístupu k zložkám a zásady bezpečnej inštalácie programov.