Hlavní navigace

10+1 krok k bezpečným Windows

24. 8. 2008

Sdílet

 Autor: Redakce

Na rozdíl od ostatních systémů se také dá říct, že jen velmi malou část uživatelů tvoří odborníci. Přinášíme vám přehled nejdůležitějších kroků, které je třeba udělat, aby vaše instalace operačního systému Windows byla co nejbezpečnější.

Bezpečná instalace, první aktualizace, uživatelé

1. Bezpečná instalace

Prvním krokem k bezpečnému systému je již samotná instalace. Už před ní si totiž musíte rozmyslet, jak moc bezpečný počítač potřebujete. Pokud máte svá data rádi, určitě použijte již při instalaci záložní zdroj napájení, tedy UPS. V tomto směru mají výhodu uživatelé notebooků, kde je napájení z baterie zajištěno vždy.

Počítač také v této fázi odpojte od počítačové sítě, určitě byste nebyli rádi, kdyby se hned po zprovoznění síťového rozhraní stal cílem útoků všemožných červů. U připojení přes kabel je to snadné, u Wi-Fi dejte pozor, abyste neměli v okolí spuštěnu žádnou nechráněnou síť (ke které by se počítač mohl připojit automaticky).

V průběhu instalace se vás program zeptá, zda chcete formátovat disk. Pokud nepotřebujete uchovat data na disku (ty ale máte určitě zálohována), určitě tuto možnost využijte. Nejen že zrušíte případnou havěť, která se na disku usídlila, ale také uvedete diskový systém do výchozího, zaručeně bezchybného stavu. Vždy zvolte diskový systém NTFS.

2. První aktualizace je nutnost

Pamatujte na to, že instalační médium obsahuje verzi systému, která byla aktuální v době jeho výroby. Může tedy obsahovat velké množství odhalených bezpečnostních děr, které rády a ochotně využijí viry a červi.

To se týká především Windows XP před Service Pack 2 - určitě nechcete mít v počítači třeba „oblíbený" vir Blaster. Pokud tedy Service Pack 2 nemáte přímo na instalačním médiu, rozhodně jej instalujte dříve, než připojíte počítač k internetu - stáhněte si jej na jiném počítači, nebo použijte balíček z DVD přílohy některého časopisu, například Extra PC. Vista je na tom z bezpečností zatím lépe, můžete ji tedy používat hned po instalaci.

Pokud možno instalujte podobným způsobem i všechny důležité bezpečnostní aktualizace. To je ale velmi zdlouhavé a bezpečnostní riziko je při dodržení dalších kroků malé. Proto můžete tento krok odložit do doby, až připojíte počítač k síti.

Při instalaci se snažte dosáhnout pouze základní funkčnosti - není tedy nutné v této fázi použít nejnovější ovladače. Spolehněte se na ovladače zabudované v systému, případně použijte CD dodané k počítači. Pokud ale máte ovladače stažené na jiném počítači a prověřené na přítomnost virů, můžete je zkusit nainstalovat nyní.

3. Vytvořte uživatele

V tomto okamžiku byste měli mít k dispozici zcela funkční instalaci Windows, ve které je zatím vytvořen pouze uživatel s administrátorskými právy. V první řadě se tedy přesvědčte, zda jste u administrátora nenechali prázdné heslo - přímé připojení k počítači sice může zastavit firewall, pokud ale budete chtít sdílet data, budete tuto možnost muset povolit. Případnému útočníkovi, který se přihlásí pod jménem Administrator a zadá prázdné heslo, je pak přístup ke všem vašim souborům otevřen.

Dále můžete vytvořit další uživatele, kteří budou na tomto počítači pracovat, nebo se k němu po síti připojovat. Pokud to není nutné, nastavte jim co nejmenší oprávnění, nebudou tak moci v systému vykonávat nebezpečné činnosti, zejména úpravy nastavení a systémových souborů.

Při vytváření uživatelských účtů myslete také na bezpečnost hesel. Hesla můžete uživatelům přímo vytvořit, lze dokonce zakázat, aby je později mohli změnit. To se hodí zejména v případě, kdy někteří z uživatelů mají k bezpečnosti příliš laxní přístup a pravděpodobně si brzy změní heslo na něco, co si snadno zapamatují (třeba svoje křestní jméno).

Silné heslo musí mít dostatečnou délku a musí být odolné proti slovníkovým útokům. Ideální jsou tedy téměř náhodné kombinace všech možných znaků (F56gd&@W). Ty si ale málokdo zapamatuje, a tak se dá využít třeba pár triků s nahrazováním písmen a zkracováním frází. Z věty „Ty můj milý počítači" můžete vytvořit třeba TmjMLp4t4 (souhlásky jsou vynechány, velikost písmen se střídá podle slova a české znaky píšeme bez Shiftu).

Antiviry, firewall, spyware

4. Antivir, nebo celý balík

Instalujte alespoň základní antivirový program - klidně můžete využít i zkušebních verzí, v první fázi musí antivir pouze prověřit, že programy, které budete instalovat, neobsahují nic nežádoucího. Některé z nich možná budete stahovat z internetu, kde není opatrnosti nikdy nazbyt. Pokud použijete komplexní bezpečnostní balíček, můžete další kroky vynechat, protože firewall nebo antispyware jsou jejich součástí.

5. Firewall - a síť máte pod kontrolou

Systémy Windows XP SP2 i Vista mají v sobě integrován jednoduchý firewall, který zabrání obvyklým útoků z internetu. O něco méně účinný je ten, který je obsažen ve Windows XP, v tomto okamžiku (kdy zatím nepoužíváte další programy) ale ochrání počítač dokonale. Zkontrolujte, zda je aktivní - pokud ano, můžete počítač připojit k internetu. Nyní instalujte z internetu aktualizace systému i antiviru či bezpečnostního balíčku.

Pokud chcete bezpečnější firewall, máte na výběr dvě možnosti - síťové řešení a program v počítači. Oba přístupy přitom můžete kombinovat, u cestujících notebooků je to dokonce nutné. Program v počítači nahradí zabudovaný firewall Windows a poskytne lepší kontrolu a možnosti nastavení. Síťový firewall je obvykle součástí routeru a dokáže ochránit celou domácí či firemní síť před hrozbami z internetu - nechrání ale počítače uvnitř sítě mezi sebou.

6. Spyware je nepřítel

Chraňte se i před spywarem - blízkým přítelem virů. Ač jej dnes dokážou detekovat i antiviry, určitě se hodí také specializovaný nástroj na jeho odhalování. Na rozdíl od antivirů dokáže antispyware odhalit i podezřelé záznamy v registru, nežádoucí cookie a ActiveX komponenty.

Také antispyware je potřeba po instalaci aktualizovat - popisy nové havěti se objevují každý den. Opět můžete využít i řešení Microsoftu jménem Windows Defender, nebo některý z pokročilejších nástrojů.

Instalace programů, služby, přístupy

7. Je čas pro instalaci

Nyní je ta pravá chvíle pro instalaci všech potřebných ovladačů a poté i programů. O to, abyste instalovali z nenakažených souborů, se postará antivir, nežádoucí komunikaci odstřihne firewall a případné špióny zastaví antispyware.

Pokud instalujete z CD nebo DVD, opět platí pravidlo aktualizací - to, že získáte nové funkce či opravy problémů je pěkné, to že při aktualizaci ucpete případné bezpečnostní díry, je podstatné. Nové verze ovladačů by také měly být samozřejmostí, ty, které jsou obsaženy v systému, nebo je dostanete na CD k počítači, jsou zcela jistě zastaralé.

8. Vypnutí služeb

Pokud chcete bezpečnost ještě více posílit, můžete zkusit vypnout potenciálně nebezpečné a přitom většinou nepoužívané služby. V Ovládacích panelech | Nástroje pro správu | Služby můžete bez obav vypnout tyto procesy:

  • Hostitel zařízení UPnP a Služba rozpoznávání pomocí protokolu SSDP
  • NetMeeting
  • Vzdálené sdílení plochy
  • Podpora rozhraní NetBIOS nad protokolem TCP/IP
  • Síťová schránka
  • Služby DDE v síti a Správce DSDM služby DDE v síti
  • Služba rozpoznávání pomocí protokolu SSDP
  • Směrování a vzdálený přístup
  • Telnet
  • Terminálová služba
  • Vzdálený registr
  • Windows Media Connect (WMC)

Pro některé uživatele jsou nepotřebné také mnohé další služby - seznamy nepotřebných procesů najdete v mnoha návodech na internetu. Pozor na přílišné experimentování, v nejhorším případě ale můžete služby jednoduše znovu zapnout.

9. Nastavení přístupů

Nastavením uživatelů a jejich rolí práce s nimi nekončí. Pamatujte, že správce (administrátor) může vždy převzít vlastnictví složky či soubory a práva upravit - totéž mohou udělat programy, které správce spustí. Proto je více než vhodné při normálním provozu nepracovat s oprávněním administrátor. I když už totiž nějaký nebezpečný program spustíte, nebude mít plná práva pro přístup a nedokáže nadělat tolik škody.

Pro větší bezpečnost byste také nyní měli důležitým složkám nastavit přístupová práva. Například archivované dokumenty mohou mít zakázané mazání a úpravy. Je potřeba připomenout, že nastavení příznaku „jen pro čtení" ničemu nezabrání, tento příznak může jakýkoliv program odstranit a v systému je přítomen spíše z historických důvodů.

Bezpečné používání, záloha dat

10. Bezpečné používání

Když použijete postupy z předchozích kroků, získáte počítač, na který by neměla žádným známým způsobem proniknout bezpečnostní hrozba. Stále ale platí, že pro bezpečný počítač je nutné bezpečné chování uživatele. Pokud si i přes varování bezpečnostních programů nainstalujete komponenty ActiveX do prohlížeče, je odpovědnost pouze na vás - chcete-li být v bezpečí, rychle se odnaučte automaticky klepnout OK v každém varovném okně, které se objeví.

Potenciálním rizikem jsou jakékoliv programy pracující s internetovým obsahem - prohlížeče, e-mailové klienty, stahovače... Právě přes ně se od počítače dostane nejvíce havěti. Nestahujete tedy z internetu programy a doplňky, které skutečně nepotřebuje a o jejichž věrohodnosti nejste přesvědčeni. Rada „neotvírat z mailu přílohy bez přemýšlení" je už dostatečně známa.

V poslední době jsou stále rozšířenější i útoky, které žádné složité programování a prolamování nepotřebují. Patří mezi ně především různé formy phishingu - podvodného získávání údajů. Na svoje hesla a PINy si tedy dávejte pozor a rozhodně je nikomu a nikdy nesdělujte. Pokud najdete v poště e-mail, který požaduje zadání přihlašovacích údajů vašeho internetového bankovnictví do připraveného formuláře („abychom vám mohli zprovoznit nové služby"), vězte, že jde o podvod...

+1: Zálohování

Počítač odolný proti vší havěti ještě není dostatečně bezpečný. Může dojít k hardwarové chybě, může dojít k chybě systému či programu a vaše data mohou být zničena. Ve skutečnosti stojí nejčastěji za ztrátou dat samotní uživatelé, ať už jde o smazání nebo přepsání. Proto byste vždy měli veškerá důležitá data zálohovat.

ICTS24

Pro zálohování můžete vybrat mnoho způsobů, ty nejobvyklejší v domácím použití jsou:

  • další (externí) pevný disk - asi nejlepší volba pro domácí použití;
  • CD a DVD média - levná média, snadná možnost vícenásobné zálohy;
  • flash disk - pohodlné pro menší objemy a velkou mobilitu;
  • zálohy na vzdálený počítač - dražší a složitější, ale odolné proti katastrofám větších rozměrů;
  • páskové jednotky - profesionální řešení pro velkou spolehlivost a velké objemy dat;
  • diskety - zastaralé, nespolehlivé, nedoporučené.