Windows pod vaší ochranou

Nic si nenamlouvejte Windows jsou velmi snadno napadnutelná, samozřejmě pokud
se sami nepostaráte o opak. Přečtěte si, jakými všemi prostředky je můžete

ochránit.



Nejrůznější záplaty pro Windows, MS Office a Internet Explorer se objevují

takřka každý měsíc, a přesto je většinou pozdě. Zkrátka, kdo chce mít svůj

operační systém zabezpečený, ten na firmu Microsoft nesmí spoléhat. V tomto

článku vám ukážeme triky, jež vám ve Windows 95, 98 a ME ušetří řadu

nepříjemných překvapení. Následovníci systému Windows NT tj. Windows 2000 a XP,

ale přinášejí bezesporu lepší úroveň bezpečnosti systému, ovšem na úkor

uživatelského komfortu. Proto se dozvíte, jaké možnosti vám nabízejí šikovně

nastavená uživatelská práva.



Kupříkladu programy MS Outlook či Internet Explorer poskytují ideální podmínky

pro působení nejrůznějších e-mailových červů. Jejich standardní nastavení jsou

velmi laxní a nedostatečně vysvětlená. Dokázali byste přesně vysvětlit, co

jednotlivé volby v těchto programech způsobují? Rámečky s nadpisem Internet

Explorer: Nastavení zabezpečení vám vše potřebné prozradí.



Absolutní bezpečnost neexistuje ovšem ani přesto není třeba panikařit.

Prozíravým nastavením řady parametrů můžete dosáhnout takového stupně

zabezpečení, které pro jednotlivý počítač či malou síť bohatě postačí. A ještě

jedno upozornění: V případech, kdy se názvy položek menu či příkazů v

jednotlivých verzích Windows či Office významně liší, jsme uvedli jejich popis

poněkud podrobněji.



1. Viditelné přípony souborů i v přílohách e-mailů



Problém: To, že program Průzkumník standardně nezobrazuje některé přípony

souborů, je známá věc, která je řadě uživatelů jen pro zlost. Stejně tomu ale

je i u příloh e-mailů, jež přijímáte prostřednictvím programů MS Outlook či

Outlook Express. Tak se může na první pohled soubor CLICKME.TXT.VBS jevit jako

textový, a tím i neškodný.



Řešení: Zobrazení přípon souborů v MS Outlooku a Outlook Expressu nastavíte

pomocí programu Průzkumník Windows. Klepněte v něm do menu Nástroje/Možnosti

složky a zde pak na kartu Zobrazení. Tady zrušte zatržítko u položky Skrýt

příponu souborů známých typů. Když odhlédneme od LNK a PIF souborů, vidíme

všechna jména souborů i s příponou a to jak v programu Průzkumník, tak v

poštovních programech MS Outlook a Outlook Express.







2. Zobrazení souborů skriptů namísto jejich spuštění



Problém: Obsah souborů skriptů je při poklepání na ně v programu Průzkumník

nebo v poštovních programech MS Outlook či Outlook Express standardně okamžitě

vykonán.



Řešení: Toto standardně nastavené chování se dá velmi snadno předefinovat tak,

aby při poklepání na soubory skriptů nedocházelo k jejich spuštění, nýbrž

například k jejich otevření v programu Poznámkový blok. A to platí i pro

skripty v přílohách e-mailových programů. Změnu nastavení provedete tak, že si

v programu Průzkumník klepnete na menu Nástroje/Možnosti složky a zde vyberete

kartu Typy souborů. Nyní si najdete typ skriptu, například VBS (Visual Basic

Script). Ve Windows 98 jeho chování změníte stiskem tlačítka Upravit. Windows

ME, 2000 a XP nabízejí na stejném místě k tomuto účelu tlačítko Upřesnit. Poté

uvidíte v následujícím okně všechny možné akce definované pro tento typ

souboru. Jako standard je povětšinou definován příkaz Otevřít, jenž je zobrazen

tučným písmem. Změnu provedete tak, že klepnete na položku Úpravy a následně

stisknete tlačítko Nastavit výchozí. Stejné nastavení můžete provést i pro

další typy souborů skriptů jako jsou JS či HTA.



Po takto provedených nastaveních už skript nespustíte poklepáním, ale příkazem

Otevřít z kontextového menu vyvolaného klepnutím pravým tlačítkem myši na

soubor skriptu.







3. Klíče v registru Windows: Upravovat zakázáno



Problém: Řada aplikací provádí úpravy konfigurace počítače bez vašeho vědomí.

Někdy dokonce stačí pouhá návštěva nějaké internetové stránky či neuvážené

klepnutí na tlačítko OK v nějakém dialogovém okně, a v tu ránu je změněno

nastavení domovské stránky v programu Internet Explorer nebo překonfigurována

úroveň zabezpečení.



Řešení: V operačních systémech Windows 2000 a XP Professional můžete s trochou

úsilí takovým machinacím zabránit. Potřebné kroky vám ukážeme na dvou

příkladech. Předpokladem pro to, abyste si nezpůsobili další problémy, je ovšem

důkladná znalost registru Windows.



Windows ukládají některá svá důležitá nastavení do klíče

Hkey_Current_User\Software\Mi­crosoft\Internet Explorer\Main. Definice domovské

stránky je uložena v hodnotě Start Page. K zamezení manipulace s konfigurací

programu Internet Explorer je nutné postupovat takto: Nejprve spusťte program

Editor registru ten je představován souborem REGEDT32.EXE ve Windows 2000 a

souborem REGEDIT.EXE ve Windows XP. Najděte v něm výše zmíněný klíč a označte

jej. Ve Windows 2000 klepněte v menu na příkaz Zabezpečení/Oprávnění, ve

Windows XP na Úpravy/Oprávnění a stiskněte tlačítko Upřesnit. Zde vyberte ze

seznamu aktuálně přihlášeného uživatele a stiskněte tlačítko Upravit. V

následujícím dialogovém okně potom zatrhněte položku Odepřít v řádku Nastavit

hodnotu. Od této chvíle se žádná z hodnot v tomto klíči nebude moci změnit.

Položky, které definují připojení k internetu, jsou umístěny v klíči

Hkey_Current_User\Software\Mi­crosoft\Windows\CurrentVer­sion\Internet Settings.

Hodnota typu DWORD s názvem EnableAutodial stanovuje, zda se má při požadavku

na připojení k internetu spojení navazovat automaticky. Některé programy, které

dokáží během brouzdání na internetu přerušit připojení a navázat nové, ovšem na

číslo do zahraničí s několikanásobně dražším tarifem, využívají právě funkci

automatického navazování připojení. I zde můžete změnit oprávnění takovým

způsobem, jak bylo popsáno v předešlém případě. Veškeré manipulace v klíči jsou

následně vyloučeny.







4. Rozpoznání spuštění nežádoucích aplikací



Problém: Máte podezření, že nějaký program na vašem počítači nainstaloval

rovněž Spyware (špionážní software) nebo Adware (reklama), nevíte ale, jak si

tuto skutečnost ověřit.



Řešení: Některé aplikace si počínají tak rafinovaně, že je můžete odhalit

opravdu jen s největším úsilím. Jistou úroveň ochrany poskytují některé zdarma

dostupné utility. Takovým příkladem může být i program Ad-Aware, jenž naleznete

ve verzi 5.83 a který je určen pro Windows 95/98/ME, NT4, 2000 a XP. Také si

jej můžete stáhnout na adrese http://www.lavasoftusa.com (AAW.EXE, 871 KB). Po

odstranění Spyware či Adware se ale většinou budete muset smířit s tím, že

aplikace, se kterou se tyto programy do počítače dostaly, s největší

pravděpodobností nebude fungovat.



Ovšem i bez pomocných utilit se můžete dozvědět řadu zajímavých informací.

Většina programů patřících do kategorie spywaru a adwaru se umisťuje v registru

do klíčů Hkey_Current_User\Software\Mi­crosoft\Windows\CurrentVer­sion\Run anebo

Hkey_Local_Machine\Softwa­re\Microsoft\Windows\Curren­tVersion\Run. Některé z

nich rovněž používají složku Po spuštění, aby se spouštěly současně s Windows.

Méně často se pak už využívají příkazy Run= či Load= v souboru WIN.INI

nacházejícím se ve složce Windows, anebo možnost umístění odkazu v souboru

AUTOEXEC.BAT, jenž se nalézá na disku C:.



Všechna výše zmíněná místa můžete prověřit buď jednotlivě prostřednictvím

programů Editor registru a Poznámkový blok, anebo také můžete použít program

Nástroj pro konfiguraci systému (Msconfig). Tento je k dispozici ve

standardních instalacích Windows 98, ME a XP. Zde na kartě Po spuštění pečlivě

zkontrolujte každý soubor a také jeho umístění. Pokud naleznete takovou cestu k

souboru, o níž tušíte, že vám není nijak povědomá, jedná se s nejvyšší

pravděpodobností a spyware nebo adware. Takové podezřelé cesty mohou být

kupříkladu C:\Program Files\TimeSink\Adgateway\Tsadbot.EXE nebo také C:\Program

Files\Common Files\CMEII\Cmesys.EXE. Utilita Msconfig vám dovoluje také

spouštění podezřelých položek dočasně deaktivovat a popřípadě znovu aktivovat.







5. Automatické spouštění programů pod stálou kotrolou



Problém: Trojské koně, programy pro vytáčení telefonních čísel s drahým tarifem

nazývané také podle Českého Telecomu jako podvody ActiveX, spyware a další námi

nevyžádané programy umisťují většinou odkazy na sebe do klíče Run v registru

Windows anebo do složky Po spuštění. Neustálá manuální kontrola těchto položek

je však velmi otravná.



Řešení: Ustavičnou kontrolu všech spouštěných programů vám zaručí námi

vytvořená utilita představovaná souborem CHKRUN.HTA, kterou najdete jako soubor

CHKRUN.ZIP (176 KB). V tomto archivu naleznete samotný soubor CHKRUN.HTA,

soubor ikony IDG.ICO a konečně prvek Active X s názvem PCWENREG.DLL. Rozbalte

celý archiv do libovolné složky a soubor PCWENREG.DLL zkopírujte do složky

System vaší verze Windows (např. do C:\Windows\System). Dále je nutné provést

registraci tohoto prvku do systému. To učiníte příkazem



regsvr32 C:\Windows\system\pcwenreg.dll



Parametr C:\Windows\System zde představuje cestu ke systémové složce Windows tu

je třeba nastavit v závislosti na vaší verzi Windows. Samotný HTA soubor

spustíte poklepáním na něj, ale velmi doporučujeme si jej umístit i do složky

Po spuštění pak vám bude hlídat váš systém neustále. V tomto případě je nutná

ještě drobná úprava. Po umístění zástupce skriptu do složky Po spuštění zde na

něj klepněte pravým tlačítkem myši a z kontextového menu zvolte příkaz

Vlastnosti. Na kartě Zástupce zadejte do políčka Cíl: cestu k souboru skriptu s

parametrem /c. Výsledný příkaz pak bude vypadat asi takto:



C:\Program Files\chkrun\CHKRUN.HTA /c



Při dalším spuštění počítače se vytvoří záložní soubor, jenž bude obsahovat

všechny odkazy na programy, které se automaticky spouštějí. Jeho název je

SYSBKUP.TXT a vytvoří se ve složce Windows.



Následně při každém startu Windows skript CHKRUN.HTA prověří, zda se v textovém

souboru uložené informace neliší od údajů v registru. Pokud program najde ve

sledovaných místech registru nějakou novou položku, zobrazí při startu Windows

varovné hlášení a vypíše nalezené změny.



Spustíte-li program standardním způsobem, máte v něm například možnost po

stisku tlačítka Zálohovat vytvořit nový záložní soubor. Tato operace má smysl

třeba v případě po instalaci nového softwaru, který provedl ve sledovaných

klíčích změny vámi povolené. Další možností je načtení záložního souboru a

porovnání jeho obsahu s aktuálním stavem systému.



Soubor CHKRUN.HTA standardně kontroluje kromě klíčů Run také klíč

Hkey_Current_User\Software\Mi­crosoft\Windows\CurrentVer­sion\InternetSettings a

u Windows 95/98/ME navíc Hkey_Current_User\Software\Re­moteAccess\Addresses. Zde

totiž leží data pro Telefonické připojení sítě, která mohou být potenciálně

změněna programy pro vytáčení telefonních čísel s drahým tarifem.



Pro zvídavější čtenáře: V případě souboru CHKRUN.HTA se vlastně jedná o HTML

aplikaci s kódem ve VB Scriptu. Zdrojový kód si proto můžete otevřít v

libovolném textovém editoru a upravit podle svých požadavků. Další informace

naleznete v komentářích uvnitř zdrojového kódů skriptu.







6. Uživatelská práva ve Windows 2000 a XP jako postředek pro zvýšení

bezpečnosti systému



Problém: Windows 2000 a XP Professional nabízejí obecně lepší úroveň

zabezpečení než Windows 95/98/ME. Jak ji však využít v konkrétních případech na

ochranu proti trojským koním, virům nebo programům pro vytáčení telefonních

číslem s vysokým tarifem?



Řešení: Jednoznačným kladem týkajícím se bezpečnosti u systémů založených na

technologii NT, jako jsou Windows 2000 nebo XP, je možnost přidělit nebo

odepřít jednotlivým uživatelům práva v systému souborů. Zcela zásadním

pravidlem pro bezpečnost je to, že vy sami byste nikdy neměli na počítači

pracovat přihlášení jako administrátor, nýbrž jako uživatel s nějakým způsobem

nastavenými právy. Neboť to, co vy jako běžný uživatel nesmíte, tak to také

nesmí žádný software, který používáte. Podmínkou pro fungování přístupových

práv jsou Windows nainstalovaná na souborovém systému NTFS. Z toho, co bylo

napsáno výše, vyplývá, abyste si pro běžnou práci vytvořili nového uživatele a

přidělili mu heslo. Tento uživatel bude nejspíše členem skupiny Uživatelé a ti

mají práva omezena. Tak kupříkladu nemají právo zápisu do souborů ležících mimo

složku Dokumenty. Případný virus tak může napáchat škody pouze v určitém

rozsahu. Proti programům pro vytáčení telefonních čísel s vysokým tarifem tento

prostředek pomáhá jen málo, protože každý uživatel má přiděleno právo vytvářet

nová telefonická připojení a instalovat modem či kartu ISDN. A právě zde jsou

vrátka do systému otevřená.



V dialogovém okně Zásady skupiny, jež otevřete poklepáním na soubor GPEDIT.MSC,

existuje pod ikonou Konfigurace uživatele podle názvu velmi slibně znějící

položka Šablony pro zprávu/Síť/Síťová a telefonická připojení. Změna parametrů

na tomto místě má však pouze charakter kosmetický. Když zde znemožníte

konfiguraci telefonického nebo RAS (Remote Acces Control) připojení, projeví se

to pouze na možnostech nastavení v Ovládacích panelech při poklepání na ikonu

Síťová a telefonická připojení. Programy pro vytáčení telefonních čísel s

vysokým tarifem tato nastavení dokáží obejít.







7. Windows 2000 a XP: Ochrana před viry pomocí programu Poledit



Problém: Většina virů přichází do počítače ve formě spustitelných souborů.

Proto by to chtělo, abyste mohli uživatelům počítače dovolit spouštění pouze

jen některých programů. Ve Windows 2000 a XP k tomuto účelu chcete použít

dialogové okno Zásady skupiny (GPEDIT.MSC). Bohužel zde nenajdete žádnou

variantu, jak omezit práva skupin anebo uživatelů.



Řešení: Ač by se podle názvu Zásady skupiny mohlo zdát, že je v tomto

dialogovém okně možné jednotlivým skupinám či uživatelům přiřadit rozdílná

práva, bohužel to pro operační systémy Windows 2000 a XP Professional není

pravda. Aby se jednotlivá nastavení dala přes toto dialogové okno měnit nejen

globálně, ale i individuálně, musel by být počítač připojen do počítačové sítě

v doméně s aktivovanou službou Active Directory. V opačném případě se u

jednotlivého počítače všechna omezení vztahují vždy na každého uživatele včetně

administrátora. Při nastavování těchto zásad je tedy zapotřebí dávat velký

pozor na to, abychom si sami omylem neuzavřeli cestu.



Pro Windows 2000 a XP Professional nikoliv Home však existuje jedna

alternativa, kterou je použití programu Poledit, známého již z Windows 95/98/ME

a NT4. Tento program ve verzi 4.0 určený pro Windows 95/98/ME, NT4, 2000 a XP

najdete , případně je ke stáhnutí na adrese

http://www.microsoft.com/Of­fice/Ork/Download/Setuppol­.exe (SETUPPOL.EXE, 269

KB). Tato verze je sice určena pro konfiguraci MS Office 97, dá se ale rovněž

použít pro přidělování práv jednotlivým uživatelům ve Windows. K tomu účelu ale

musíte Poledit rozšířit o vlastní šablony zabezpečení (jedná se o soubory ADM).

Podrobnosti naleznete na internetové stránce

http://msdn.microsoft.com/li­brary/default.asp?url=/li­brary/en-us/policy/policy/s

ystem_policies.asp. Námi vytvořená šablona RESTRICTRUN.ADM o velikosti 4,40 KB,

kterou naleznete , již obsahuje vše potřebné pro to, aby se dal omezit přístup

jednotlivého uživatele na určité programy. Postupujte podle následujících kroků:



1. Nainstalujte si program Poledit a spusťte jej. Klepněte do menu Options a

vyberte položku Policy Template. Stiskem tlačítka Add pak vložte šablonu

RESTRICTRUN.ADM.



2. Klepněte na menu File/Open Registry a nato poklepejte na ikonu Local

Computer. Poklepáním na položku Poledit dojde k jejímu rozbalení a vy můžete

zatrhnout položku Aktivace POL souborů pro nastavení prostředí pro více

uživatelů. Ve spodní části okna do políčka Cesta zadejte cestu k POL souboru,

který si ale budete teprve vytvářet (viz bod č.5) například

C:\Policies\SEC.POL. Příkazem File/Save provedené změny uložíte do registru.



3. Klepněte do menu File/New Policy a pomocí menu Edit/Add User vložte nového

uživatele. Jméno uživatele musí přesně odpovídat přihlašovacímu jménu do

Windows.



4. Poklepejte na ikonu právě vytvořeného uživatele a ve stromové struktuře

poklepejte na položku SystemControl a po jejím rozbalení zatrhněte parametr

RestrictApps. Nyní v dolní části dialogového okna stiskněte tlačítko Show a v

následujícím okně s názvem Show Contents můžete prostřednictvím tlačítka Add

vložit názvy aplikací, které bude moci tento uživatel spouštět. V dialogovém

okně Add Item k položce Type the name of the item to be added napište číslici a

do políčka Type the value of the item to be added zadejte přesný název

aplikace, například winword.exe, iexplore.exe či msimn.exe.



5. Zavřete všechna dialogová okna a soubor POL uložte pomocí příkazu File/Save

pod jménem, které jste zadali v kroku č.2.



Až se příště zmíněný uživatel přihlásí do systému, nahrají Windows obsah POL

souboru do registru. Jiné aplikace než ty, jež jste mu povolili, se mu spustit

nepodaří. Takže bude zabráněno i případnému spuštění potenciálně nebezpečných

aplikací v přílohách e-mailů. Pro spuštění e-mailových příloh je potom nutné

přihlásit se jako uživatel bez výše nastavených omezení.







7. Šifrování dat na diskovém oddílu NTFS: Zálohování certifikátu pro případ

nouze



Problém: Souborový systém typu NTFS ve Windows 2000 a XP Professional nabízí

pro zvýšení bezpečnosti funkci šifrování souborů na pevném disku. Tato funkce

se nastavuje v kontextovém menu souborů a složek, když klepnete na kartu Obecné

a zde stisknete tlačítko Upřesnit. Tak můžete ochránit svoje data před

neoprávněnými zásahy jiných osob, a to i v případě, kdy vám někdo ukradne celý

počítač nebo jen pevný disk. Ovšem pozor v případě, kdy musíte z nějakých

důvodů Windows instalovat znovu, ztrácíte tím totiž klíč k dešifrování souborů

na pevném disku. Pak se k datům nedostanete ani když se přihlásíte jako

administrátor bez toho správného certifikátu to prostě nejde.



Řešení: Pokud si budete chtít šifrování dat na diskovém oddílu typu NTFS

povolit, musíte si zároveň zajistit ke svým datům přístup i pro případ nouze.

Patřičný certifikát pro dešifrování vašich dat vytvářejí Windows automaticky,

jakmile zašifrujete první soubor. Tento certifikát si pak můžete právě pro

nouzové případy uložit na disketu a tu si uložit na nějakém bezpečném místě.

Otevřete si Ovládací panely a poklepejte na ikonu Možnosti sítě Internet.

Přesuňte se na kartu Obsah a tam stiskněte tlačítko Certifikáty. Zde uvidíte

přehled všech instalovaných certifikátů vašeho uživatelského konta. Pro

šifrování souborů jsou zajímavé pouze ty certifikáty uvedené na kartě Osobní.

Když na každý postupně klepnete, uvidíte v dolní části okna jeho popis. U

našich certifikátů je popis „Probíhá šifrování systému souborů“. Pro export

certifikátu stiskněte tlačítko Exportovat, čímž se vám otevře okno průvodce, v

němž stiskněte tlačítko Další. V následujícím dialogovém okně zvolte položku

Ano, exportovat soukromý klíč a opět klepněte na tlačítko Další. Nyní vidíte

nastavení pro formát souboru pro export. Zde můžete ponechat výchozí nastavení.

V dalším kroku je ještě třeba zadat heslo pro ochranu privátního klíče. Toto

heslo použijete při pozdějším importu klíče. Zde se vlastně jedná o další

stupeň ochrany, aby si váš klíč nemohl přečíst každý, kdo se dostane na médium,

kde bude uložený. Zapamatujte si toto heslo dobře v opačném případě vám bude

vyexportovaný certifikát na nic.



V posledním kroku zadejte libovolnou platnou cestu a název souboru např.

A:\key, příponu PFX připojí Windows automaticky. Konečně stiskněte tlačítko

Další a následně Dokončit.



Při pozdějším importu stačí na soubor s certifikátem poklepat myší a

automaticky se spustí průvodce importem certifikátu. Po dvojnásobném stisku

tlačítka Další budete vyzváni k zadání hesla. Zde se nejedná o heslo pro

přihlášení do Windows, nýbrž o to, které jste zadávali při exportu certifikátu.

Kromě toho zatrhněte položku Označit soukromý klíč jako exportovatelný a opět

stiskněte tlačítko Další. Nyní se objeví možnosti volby úložiště certifikátů,

kde můžete nechat přednastavenou položku pro jeho automatický výběr. Nyní stačí

import uzavřít postupně stiskem tlačítek Další, Dokončit a OK.







9. Telefonické připojení do sítě: Ochrana před vytvářením nových připojení



Problém: Programy pro vytáčení telefonních čísel s drahým tarifem přidávají

zpravidla ke konfiguraci telefonického připojení sítě tajně nová připojení,

která poté nastavují jako standardní. Vy byste chtěli takovým manipulacím

zabránit.



Řešení: Pro verze Windows 95/98/ME nám dosud není známa žádná možnost, jak

takovým úpravám v Telefonickém připojení sítě zabránit. Všechna nastavení jsou

nastavena v registru Windows, kam mají všechny programy, a tedy i zmíněné

aplikace pro vytáčení čísel s drahými tarify, právo zápisu. Tady vám pomohou

pouze speciální utility. Ve Windows 2000 a XP však existuje poměrně jednoduchý,

ale ve většině případů účinný způsob pro zabezpečení. Nastavení Telefonického

připojení sítě je uloženo pro každého uživatele v souboru RASPHONE.PBK, který

se nachází ve složce Documents and Settings\\Data aplikací

\Microsoft\Network\Connections\PBK. Abyste zabránili možnosti úpravy daného

souboru, můžete soubor RASPHONE.PBK buď opatřit atributem Jen pro čtení, nebo

pro tento soubor omezit právo na zápis pouze na administrátora. K tomu účelu

klepněte na soubor RASPHONE.PBK pravým tlačítkem myši, z kontextového menu

vyberte příkaz Vlastnosti a na kartě Zabezpečení označte odpovídajícího

uživatele nebo skupinu uživatelů. Oprávnění Zapisovat potom nastavte na hodnotu

Odepřít a vše potvrďte stiskem tlačítka OK. Pro pozdější úpravu telefonických

připojení se ale musíte přihlašovat jako administrátor, anebo ochranu proti

zápisu odstranit.







10. Telefonické připojení sítě: Vytáčení přes router



Problém: Stoprocentní ochrana Windows proti všem nebezpečím z internetu je v

současnosti prakticky nemožná. Ovšem ten, kdo poslechne rad uvedených v tomto

článku, k tomu si dále pořídí dobrý antivirový program, firewall, program pro

zabránění vytáčení čísel s drahým tarifem a bude si instalovat updaty

odstraňující bezpečnostní trhliny v operačním systému, je skutečně proti útokům

z internetu velmi slušně vybaven. Ale i tehdy se mohou na scéně objevit šikovně

naprogramované aplikace pro vytáčení čísel s drahým tarifem, které vám mohou

zvednout poplatky za telefon do značné výše. Řešení: Dalším stavebním kamenem

pro účinné zabezpečení vašeho systému může být externí router. Při jeho použití

se pak připojení k internetu nenavazuje přímo přes počítač, nýbrž přes síťovou

kartu a právě router. V tomto případě nemají programy pro vytáčení čísel s

drahým tarifem naprosto žádnou šanci. Navíc většina routerů jako další stupeň

ochrany obsahuje firewall. Router existuje jako čistě hardwarová komponenta,

jejíž cena se pohybuje od asi 6 000 Kč. Cenově výhodnější, flexibilnější a

víceméně i jistější je pořízení routeru jako speciálního softwaru například na

bázi Linuxu. Ten dokáže navázat připojení nejen přes DSL či ISDN, nýbrž v

některých případech i přes modem.



Kvůli velmi jednoduché konfiguraci ve Windows stojí zcela jistě za zmínku

zdarma dostupná utilita FLI4L. naleznete verzi 2.0.4a (FLI4L.ZIP, 7,33 MB),

případně si ji můžete stáhnout na internetové adrese

http://www.fli4l.de/e_index.htm. Co se hardwarových nároků týče, je tento

program vskutku velmi skromný. K provozu mu stačí i dnes již zastaralý počítač

(od 486 výše) a 16 MB RAM, s disketovou mechanikou a síťovou popřípadě ISDN

kartou. Ostatně program FLI4L nepotřebuje ani počítač s pevným diskem, dá se

kompletně spustit a provozovat z diskety.



Další zdarma dostupné routery, schopné běžet z diskety, jsou k nalezení na

internetových adresách Leaf (http://leaf.sourceforge.net), LRP

(http://www.linuxrouter.org) a konečně Coyote Linux

(http://www.coyotelinux.com).









Zabezpečení: Nástroje a alternativy



Antivirový program: Na internetové adrese

http://www.f-prot.com/download/getfpdosfree.html (F-PROT.ZIP, 1,46 MB)

naleznete antivirový program F-Prot 3.12a ve verzi pro operační systém MS-DOS.

Tato aplikace je pro soukromé použití zdarma a dá se použít i ve všech verzích

Windows. Na zmíněné adrese rovněž naleznete i aktuální updaty.



Internetový prohlížeč: Alternativní prohlížeče mají daleko méně problémů se

zabezpečením, na rozdíl od programu Internet Explorer, neboť v jejich případě

neexistuje žádné těsné spojení s operačním systémem. Například K-Meleon,

založený na enginu Mozilly, je obzvláště rychlý prohlížeč, přitom je co do

velikosti poměrně malý. Verzi 0.6 naleznete , případně si ji můžete stáhnout z

adresy http://kmeleon.sourceforge.net. Český překlad programu naleznete v

souboru TRANSLATION.CZ.ZIP (2,46 KB). Program je distribuován pod licencí GNU

Public License (KMELEON06.EXE, 3,89 MB).



Firewall: Firewally chrání váš počítač, aby se do něj nemohl dostat přes síťové

připojení nikdo neoprávněný. Tyto programy se dají nakonfigurovat tak, že si

sami můžete určit, který z uživatelů počítačové sítě bude mít dovolen přístup

do vašeho počítače. Z celé řady dostupných aplikací vám doporučujeme program

Zone Alarm, který je pro soukromé použití zdarma. Verzi 3.1.291 určenou pro

Windows 95/98/ME, NT4,2000 a XP naleznete , případně na internetové adrese

http://www.zonelabs.com (ZASETUP3101.EXE, 3,40 MB).



Program pro práci s elektronickou poštou: Jako alternativu k programům firmy

Microsoft, jež jsou plné nejrůznějších zvláště týkajících se nedostatků

bezpečnosti, vám můžeme rozhodně doporučit freewarový program Pegasus Mail.

Tato aplikace je určena pro Windows 95/98/ME, NT4, 2000 a XP, a verzi 4.02

naleznete buď , nebo na internetu na adrese http://www.pmail.com (W32–402.EXE,

3,76 MB).



Prostřednictvím další utility Quick Delete si můžete své e-maily prohlížet jako

textové soubory přímo na serveru, a případně je ihned odstranit. Podezřelé

e-maily se tak vůbec do vašeho počítače nedostanou. Utilitu ve verzi 3.1 pro

Windows 95/98/ME, NT4, 2000 a XP najdete , nebo na interntu na

http://www.yeti-soft.de/eng/index.html (QUICKDEL.EXE, 889 KB).









Internet Explorer: Nastavení zabezpečení (I)



Program Internet Explorer nabízí v menu Nástroje pod položkou Možnosti

Internetu na kartě Zabezpečení celou řadu nastavení, jež se částečně vztahují i

na aplikace MS Outlook a Outlook Express. Dokonce ani zkušení uživatelé často

neznají jejich význam a použití. V následujících řádcích vám proto nabízíme

výběr možností nastavení zaměřených zvláště na zabezpečení systému. Co se týče

názvů položek, řídíme se verzí Internet Explorer 6 v jednotlivých verzích totiž

existují v tomto ohledu některé odchylky.





Zóny



Program Internet Explorer rozděluje všechny WWW stránky do čtyř částí

nazývaných zóny. Pravidla zabezpečení, jež nastavíte pro zónu Internet, platí

pro všechny internetové stránky, jež nejsou explicitně přiřazeny žádné jiné

zóně. Výjimkou z tohoto pravidla je zóna Místní intranet, kterou se myslí vaše

počítačová síť.



Nejlépe si to osvětlíme na konkrétním případě: Představme si, že v zóně

Internet nastavíme položku Stažení/Stažení souboru na hodnotu Zakázat. Toto

nastavení pak platí pro všechny internetové stránky. Když ale v zóně

Důvěryhodné servery pod tlačítkem Servery nastavíte internetovou adresu

http://www.pcworld.cz, je stahování souborů z ní povoleno, protože jste ji do

této zóny explicitně přiřadili. Kromě toho, že máte možnost stahování souborů

obecně povolit, existuje také způsob, jak z určitých internetových adres

stahování výslovně zakázat. V tomto případě postupujete tak, že v zóně Internet

stahování souborů povolíte, avšak v zóně Servery s omezeným přístupem stahování

souborů zakážete. Je třeba upozornit také na to, že všechny vámi provedené

změny nastavení se projeví až poté, co ukončíte všechny instance programu

Internet Explorer včetně aplikací MS Outlook, případně Outlook Express, a

následně je spustíte znovu. Co se týče souborů cookies, možnosti nastavení

naleznete v menu Nástroje/Možnosti Internetu na kartě Osobní údaje.

Deaktivování souborů cookies je však kvůli jejich rozsáhlému používání, jelikož

na ně narazíte prakticky na většině internetových stránek, značně nepraktické.





Nastavení úrovně



Ovládací prvky ActiveX a moduly plug-in: Firma Microsoft rozlišuje mezi prvky a

moduly bezpečnými a nebezpečnými. Jako bezpečné jsou pak chápány ty, které jsou

opatřeny digitálním podpisem, například od firmy Macromedia. Kupříkladu

jestliže se objeví nová verze programu Flash Player, nabízí tato firma jeho

update právě přes internet. Poznáte to tak, že se vám na monitoru objeví prvek

ActiveX ve formě dialogového okna, v němž máte možnost instalaci updatu

programu povolit nebo zamítnout. Kromě toho také máte zde možnost určit, zda

chcete obsahu od této firmy důvěřovat i v budoucnu. Když tuto možnost povolíte,

budou se příště případné další updaty instalovat již automaticky.



Samozřejmě máte možnost prvky ActiveX a moduly plug-in deaktivovat a poté je v

zóně Důvěryhodné servery postupně povolit tím, že do ní zadáte internetové

servery, kterým důvěřujete. V zóně Servery s omezeným přístupem by však měly

být prvky ActiveX a moduly plug-in v každém případě deaktivovány.









Internet Explorer: Nastavení zabezpečení (II)



Stažení: Zakázání položky Stažení souboru není moc dobrým nápadem. Stejně jste

před každým stahováním souboru nuceni tento download odsouhlasit. V každém

případě můžete v zóně Servery s omezeným přístupem nadefinovat internetové

adresy, a z nich potom stahování souborů zakázat. U položky Stažení písma tedy

doporučujeme zvolit parametr Dotázat se.





Skriptování



Aktivní skriptování: Zde se jedná o povolení či zákaz velmi riskantní

dovednosti programu Internet Explorer. Povolení aktivního skriptování totiž

umožní na vašem počítači spouštění Java skriptů, VB skriptů a prvků ActiveX

nacházejících se na vzdálených počítačích. Ten, kdo sází na jistotu, by měl mít

ve všech zónách vyjma Místní intranet a Důvěryhodné servery tuto možnost

zakázanou. Pakliže zvolíte možnost Dotázat se, budete mít co dělat někdy až s

nesnesitelným množstvím dialogových oken.



Povolit operace vkládání prostřednictvím skriptů: I zde se doporučuje nastavení

na položku Zakázat, čímž zabráníte tomu, aby se data ze schránky vašeho

počítače načítala pomocí skriptu.



Skriptování apletů v jazyce Java: Tato možnost vykazovala dlouhou dobu

bezpečnostní trhlinu, jež byla opravena až novou verzí součásti Java Virtual

Machine. Přesto vám doporučujeme tento parametr povolit pouze v zónách Místní

intranet a Důvěryhodné servery.





Různé



Trvalost uživatelských dat: Jestliže se na internetových stránkách někam

přihlašujete, určuje tento parametr, že pokud budete souhlasit, zapamatuje si

vaše přihlašovací jméno a heslo, abyste je příště nemuseli zadávat. Naše

doporučení je volba položky Zakázat, snad kromě zóny Místní intranet, kde může

být povolena.



Instalace součástí pracovní plochy: Přes kontextové menu programu Internet

Explorer si můžete kupříkladu nastavit obrázek na internetové stránce jako

pozadí své pracovní plochy. Zde doporučujeme tuto možnost nastavit na hodnotu

Dotázat se.



Nezobrazovat výzvu k výběru certifikátu…: Při otevírání WWW stránek se v

některých případech data přenášejí pomocí šifrovaného SSL (Secure Socket Layer)

připojení, jež je zabezpečeno certifikátem. To může být třeba tehdy, když

platíte svojí kreditní kartou přes internet. Tuto volbu byste měli mít ve všech

zónách deaktivovanou. Jen tehdy budete pak vždy dotázáni, když vám bude

internetová stránka nabízet certifikát, který je pro přenos dat k danému

serveru nezbytný.









Internet Explorer: Nastavení zabezpečení (III)



Povolit parametr META REFRESH: Když máte být po uplynutí určité doby přesunuti

z jedné internetové stránky na jinou, například proto, že se další informace

vyskytují na jiném serveru, obsahuje stránka v HTML kódu příkaz Meta Refresh.

Vzhledem k tomu, že většina takových stránek stejně obsahuje odkaz na stránky s

dalšími informacemi, k nimž se dostanete klepnutím právě na takový odkaz, není

automatické přesměrování vztažené na časový limit pro vás nijak přínosné. Z

tohoto důvodu můžete tuto volbu všude zakázat. Tím rovněž třeba zabráníte tomu,

abyste byli automaticky přesměrováváni na stránky erotického či reklamního

charakteru.



Navigace dílčími rámci mezi různými doménami: Když je internetová stránka

rozdělena na rámce, dají se v nich zobrazovat také internetové stránky z jiných

WWW serverů. Ty by mohly napodobovat seriózní WWW stránky, a tím se dostat k

člověkem bezelstně zadaným osobním údajům. Pro tento problém existuje opravný

balíček, který naleznete pro verzi programu Internet Explorer 6.0 , případně si

tento a balíčky pro dřívější verze programu můžete stáhnout na internetové

adrese http://www.microsoft.com/win­dows/ie/downloads/critical/q321232

/default.asp (Q321232.EXE, 3,88 MB). Jeho instalace zabraňuje předávání

formulářových dat v prohlížeči. V tomto případě doporučujeme nastavit hodnotu

Dotázat se.



Odesílat nezašifrovaná formulářová data: Při vyhledávání na internetu pomocí

vyhledávačů se hledaný výraz zadává do políčka definovaného jako formulář. Po

zadání výrazu, který se má vyhledat, se tento posílá přes internet v

nezakódované podobě. Proto doporučujeme v zóně Servery s omezeným přístupem

nastavit tento parametr na Zakázat, v zóně Internet na hodnotu Dotázat se. Své

oblíbené vyhledávače a internetovou adresu poskytovatele e-mailové schránky si

můžete pak zadat do zóny Důvěryhodné servery a nastavit zde toto nastavení na

hodnotu Povolit, čímž se vyhnete zbytečným dialogovým oknům.





Další možnosti nastavení zabezpečení



V menu Nástroje/Možnosti Internetu naleznete na kartě Upřesnit položky

Zabezpečení a Procházení, v nichž můžete najít další varianty týkající se

tématu bezpečnosti.



Povolit Integrované ověření systémem Windows: Zde se jedná o hodně diskutovaný

způsob automatického přihlašování, při němž se přenáší mezi lokálním počítačem

a WWW serverem zašifrované informace o uživateli. Jedná se kupříkladu o

uživatelské jméno. Je-li uživatel na WWW serveru registrován, je spojení

uskutečněno, v opačném případě se zobrazí výzva pro zadání jména a hesla.

Většinou jsou tyto způsoby přihlašování omezeny na intranet. Povolte tedy toto

nastavení pouze při zřejmém požadavku.



Neukládat šifrované stránky na disk: Když jste navštívili zabezpečenou

internetovou stránku používající protokoly typu SSL či TSL, zůstávají všechny

informace stále na pevném disku počítače, a to ve složce Temporary Internet

Files, případně jako soubory cookies. Aktivujte proto tuto volbu, pokud chcete,

aby tato data byla vždy bezodkladně z počítače smazána.