Téma 3: Správa uživatelského přístupu a zabezpečení I
Téma 3: Správa uživatelského přístupu a zabezpečení I
1
Téma 3: Správa uživatelského přístupu a zabezpečení I
Teoretické znalosti V tomto cvičení si vysvětlíme, co to uživatelské a skupinové účty a jak jsou ve Windows 7 spravovány. Vyzkoušíte optimalizaci řízení uživatelských účtů a režimu schválení správce. Dále si vytvoříte účet, naučíte se upravovat oprávnění a spravovat přihlášení. Počítače se systémem Windows 7 lze nakonfigurovat jako členy domácí skupiny, pracovní skupiny nebo domény. Když je pracovní stanice členem domácí nebo pracovní skupiny, konfiguruje se uživatelský přístup i zabezpečení přímo v této pracovní stanici - to bude také naším případem na cvičeních. Druhou možností je členství pracovní stanice v doméně, kde se uživatelský přístup i zabezpečení konfiguruje na dvou úrovních: úrovni místního systému - definuje konkrétní přístup ke stanici. úrovni domény (Active Directory) - obecně definuje přístup ke všem strojům zařazeným do domény. Windows 7 poskytuje uživatelské účty a skupinové účty. Uživatelské účty jsou určeny pro jednotlivce. Skupinové účty označovány jako skupiny mají zjednodušit správu více uživatelů, tzn. nejde se pomocí nich přímo přihlásit. V prostředí Windows 7 můžeme uživatelské účty rozdělit do dvou obecných skupin a to Místní uživatelské účty (spravovány v MMC konzoly, týkající se konkrétního PC) a Účty uživatelů domény (týká se Active Directory Windows Server 2008). Uživatelské účty My se zaměříme pouze na místní uživatelské účty, které se identifikují uživatelským jménem (v Active Directory přidáváme lomítko s doménou). Jeho úplné jméno je definováno jako NÁZEVPC\UŽIVATELSKE_JMÉNO. Uživatelské jméno figuruje na popředí, ale ve skutečnosti je identifikátorem SID (security identifier). Čísla SID jsou jedinečné identifikátory vygenerované při vytvoření uživatele. Jejich výhoda spočívá v tom, že při odstranění uživatele a jeho opětovném vytvoření nemá tento uživatel stejná práva jako původně. Důvodem je přidělené jiné SID i přes stejné jméno. Při instalaci jsou vytvořeny dva výchozí účty:
Administrator - poskytuje úplný přístup k souborům, adresářům, službám a dalším možnostem. Tento účet nelze odstranit ani zakázat. Guest - určený pro jednorázový nebo příležitostný přístup. Má pouze omezená přístupová oprávnění i přesto je bezpečnostní hrozbou, a proto bývá defaultně zakázán.
Kromě standardních účtů existují v systému i tzv. pseudoúčty, které umožňují provádět jisté typy systémových činností (LocalSystem, LocalService, NetworkService). Jednoduše řečeno zajišťují službu přihlášení, spouští systémové procesy, službu vzdálené plochy, apod. Skupinové účty Jak již bylo zmíněno, snaží se zjednodušit správu více uživatelů. Uživateli tedy můžete udělit přístup k různým pracovním prostředkům pouze přiřazením do příslušné skupiny. Opět existuje několik obecných typů jako Místní skupiny (pouze v konkréním PC), Skupiny zabezpečení (Active Directory), Distribuční skupiny (emailové distribuční seznamy). 2
Téma 3: Správa uživatelského přístupu a zabezpečení I Windows 7 obsahuje tyto předdefinované skupiny:
Administrators Backup Operators Cryptographic Operators Event Log Readers Guests Network Configuration Operators Performance Log Users Performance Monitor Users Power Users Remote Desktop Users Replicator Users
Uživatelský přístup se zpravidla konfiguruje pomocí skupin Administrators a Users. Kromě klasických nastavení přístupu uživatelů se v systému Windows 7 objevila i funkce Řízení uživatelských účtů. Nástroj Řízení uživatelských účtů je funkce systému Windows, která pomáhá zabránit neoprávněným změnám v počítači. Nástroj Řízení uživatelských účtů vás požádá o povolení nebo heslo správce, dříve než se provedou akce, které by mohly ovlivnit chod počítače nebo změnit nastavení ovlivňující ostatní uživatele. Díky žádostem o ověření před spuštěním akcí může nástroj Řízení uživatelských účtů zabránit tomu, aby se nainstaloval škodlivý software (malware) a či spyware, případně aby provedl nepovolené změny v počítači.
3
Téma 3: Správa uživatelského přístupu a zabezpečení I
Zadání cvičení 1. Předdefinované uživatelské skupiny 1.1. Práva předdefinovaných skupin - nalezněte jaká práva a služby poskytují výše uvedené předdefinované skupiny systému Windows 7. 2. Řízení uživatelských účtů 2.1. Vytvoření uživatelského účtu - vytvořte si jednoduchý uživatelský účet student pomocí Start -> Ovládací panely -> Uživatelské účty. 2.2. Řízení uživatelských účtů – nastavte řízení účtů na nejvyšší úroveň. 2.3. Režim schválení správce – přihlaste se jako student a pokuste se spravovat počítač (pravé tlačítko Počítač -> Spravovat) 2.4. Vypnutí schválení správce – pomocí Editoru správy zásad vypněte režim schválení správce a znovu zkuste jako uživatel student možnost Spravovat Počítač. (Konfigurace Počítače -> Nastavení systému Windows -> Nastavení zabezpečení -> Místní zásady -> Možnosti zabezpečení). Je potřeba restartovat PC. 3. Správa účtu a přihlašování 3.1. Nastavení hesla – nastavte uživateli Student heslo (Ovládací panely -> Uživatelské účty) 3.2. Změna typu – udělejte z uživatele Student správce 3.3. Nastavení přihlášení – změňte nastavení tak, aby se nezobrazoval seznam dostupných účtů při přihlášení. (secpol.msc) 3.4. Odstranění účtu – odstraňte účet student.
4
Téma 3: Správa uživatelského přístupu a zabezpečení I
Řešení: 1. Předdefinované uživatelské skupiny 1.1. Práva předdefinovaných skupin - nalezněte jaká práva a služby poskytují výše uvedené předdefinované skupiny systému Windows 7.
5
Téma 3: Správa uživatelského přístupu a zabezpečení I 2. Řízení uživatelských účtů 2.1. Vytvoření uživatelského účtu - vytvořte si jednoduchý uživatelský účet student pomocí Start -> Ovládací panely -> Uživatelské účty. 2.1.1.Klikněte na lištu Start a zvolte Ovládací panely.
2.1.2.V pravém sloupci Uživatelské účty a zabezpečení rodiny.
2.1.3.Zvolte Uživatelské účty.
2.1.4.Otevře se okno se správou uživatele, na kterého jste přihlášeni. Pro vytvoření nebo editaci jiného účtu zvolte Spravovat jiný účet.
6
Téma 3: Správa uživatelského přístupu a zabezpečení I
2.1.5.Zobrazí se přehled všech místních účtů v počítači. V pravém dolním rohu klepněte na Vytvořit účet.
2.1.6.Nyní vyplňte název účtu a zvolte oprávnění v počítači. My si v tomto příkladu vytváříme běžného uživatele bez podrobnějšího nastavení. Máme k dispozici pouze dvě výchozí možnosti správce a standardní uživatel.
2.1.7.V okně s uživateli se nyní objeví i námi vytvořený uživatel student.
7
Téma 3: Správa uživatelského přístupu a zabezpečení I
2.2. Řízení uživatelských účtů – nastavte řízení účtů na nejvyšší úroveň. 2.2.1.Opět otevřete Ovládací panely a správu uživatelů jako v předchozím úkolu, ale vyberte Změnit nastavení nástroje Řízení uživatelských účtů viz. obrázek níže.
2.2.2.Řízení uživatelských účtů poskytuje čtyři možnosti. Nastavte na nejvyšší úroveň.
Ve výchozím nastavení řízení účtů vyžaduje režim schválení správce pouze při instalaci nového software. Nastavením na nejvyšší úroveň bude vyžadováno schválení správce i v případě změn nastavení systému Windows. 2.3. Režim schválení správce – přihlaste se jako student a pokuste se spravovat počítač (pravé tlačítko Počítač -> Spravovat) 2.3.1.Klikněte na lištu Start a zvolte Přepnout uživatele. 8
Téma 3: Správa uživatelského přístupu a zabezpečení I
2.3.2.Zvolte účet student.
2.3.3.Nyní v nabídce Start pravým tlačítkem klikněte na Počítač a zvolte možnost Spravovat.
2.3.4.Ztmavne obrazovka a objeví se okno pro schválení správce. Běžný uživatel tedy při nejvyšším režimu Řízení uživatelských účtů potřebuje k Správě schválení administrátora.
9
Téma 3: Správa uživatelského přístupu a zabezpečení I
2.4. Vypnutí schválení správce – pomocí Editoru správy zásad vypněte režim schválení správce a znovu zkuste jako uživatel student možnost Spravovat Počítač. (Konfigurace Počítače -> Nastavení systému Windows -> Nastavení zabezpečení -> Místní zásady -> Možnosti zabezpečení). Je potřeba restartovat PC. 2.4.1.Režim Řízení uživatelských účtů může být také konfigurovatelný pomocí zásad. Otevřete tedy konzoly MMC a přidejte si Editor správy zásad.
V možnostech zabezpečení vyberte Řízení uživatelských účtů: Režim schválení správce integ… 2.4.2.Ve výchozím stavu je tato funkce povolená, a proto ji nyní vypněte volbou Zakázáno.
2.4.3.Restartujte počítač. 2.4.4.Přejděte přes Ovládací panely do Řízení uživatelských účtů a můžete si všimnout, že jejich nastavení bylo přesunuto na nejnižší možnou úroveň – Nikdy mě neupozorňovat.
10
Téma 3: Správa uživatelského přístupu a zabezpečení I
11
Téma 3: Správa uživatelského přístupu a zabezpečení I
3. Správa účtu a přihlašování 3.1. Nastavení hesla – nastavte uživateli Student heslo (Ovládací panely -> Uživatelské účty) 3.1.1.Opět přejděte do Ovládacích panelů uživatelských účtů a vyberte Spravovat jiný účet.
3.1.2.Klikněte na účet student.
3.1.3.Objeví se základní možnosti správy tohoto účtu. Vyberte Vytvořit heslo.
3.1.4.Heslo musíte zopakovat dvakrát a musíte přidat Nápovědu. Ta je v systému Windows 7 povinná a ukazuje se při přihlašování.
12
Téma 3: Správa uživatelského přístupu a zabezpečení I
3.2. Změna typu – udělejte z uživatele Student správce 3.2.1.Změnu typu proveďte ve stejném konfiguračním okně uživatele student. Tentokrát zvolte možnost Změnit typ účtu.
3.2.2.Vyberte Správce.
3.3. Nastavení přihlášení – změňte nastavení tak, aby se nezobrazoval seznam dostupných účtů při přihlášení. (secpol.msc) 3.3.1.Do lišty start zadejte secpol.msc.
13
Téma 3: Správa uživatelského přístupu a zabezpečení I
3.3.2.Otevře se modul stejný jako v konzoly MMC v Editoru zásad, ale pouze se zabezpečením. V místních zásadách vyberte Možnosti zabezpečení.
Interaktivní přihlašování: Nezobrazovat naposledy použité uživatelské účty 3.3.3.Zapněte tuto zásadu.
3.3.4.Restartujte PC.
14
Téma 3: Správa uživatelského přístupu a zabezpečení I
3.3.5.Objeví se přihlašovací okno, kde musíte vyplnit kromě hesla i uživatelské jméno.
3.4. Odstranění účtu – odstraňte účet student. 3.4.1.Pro odstranění opět použijte konfiguraci uživatele student v ovládacích panelech. Použijte volbu Odstranit účet.
3.4.2.Při odstranění se systém ptá, zda chcete odstranit všechny soubory uživatele v dokumentech, na ploše a podobně.
15
Téma 3: Správa uživatelského přístupu a zabezpečení I
3.4.3.V posledním okně definitivně odstraňte účet.
16