Windows XP: Konečně bezpečná

Zabezpečte svůj počítač pomocí zdarma dostupných utilit!(CD)
„Zapněte bránu firewall, nainstalujte všechny dostupné aktualizace, používejte

nejnovější verzi antiviru!“ Kolikrát už jste něco podobného slyšeli? A kolikrát

jste si tato slova vzali k srdci? V tomto článku vám předvedeme několik triků,

jak pomocí pouhých čtyř zdarma dostupných utilit snížíte nebezpečí napadení

počítače na minimum!

Ve vašem počítači je k dispozici řada preventivních prostředků a obranných

mechanismů, o nichž by měl každý uživatel minimálně vědět. Přesto stále dochází

k napadení počítačů různými viry nebo červy, i když by tomu tak vůbec nemuselo

být. V tomto článku vám prozradíme tipy pro zajištění bezpečnosti vašeho

počítače, které vám do značné míry usnadní život. Pomocí čtyř zdarma dostupných

utilit minimalizujete možnost napadení počítače a zároveň odstraníte všechny

škodlivé programy, které se snad již ve vašem počítači vyskytují.

V první části vám představíme správce úloh, který můžete nastavit tak, že

většinu nepovolených programů odstraníte z operační paměti pouhým stisknutím

tlačítka myši. Viry a červy, kteří se ve vašem počítači již rozšířili, je nutné

co nejrychleji zlikvidovat, a to nejlépe pomocí antivirového a antispywarového

programu. Nabídneme vám dva nástroje pro Windows, které na rozdíl od mnohých

specializovaných utilit zvládají následující dva úkoly týkající se bezpečnosti

počítače na výbornou. Prvním z nich bude utilita pro kontrolu programů, které

se spouštějí při startu Windows objevíte všechny chtěné i nechtěné položky,

umožňující spuštění toho či onoho programu a budete moci libovolnou z nich

deaktivovat.

Stejně tak důsledné bude i vyřazení nezvaných hostů díky důkladnému nastavení

přístupových práv do systému. Škodlivé programy se snaží napadat důležité

oblasti operačního systému, ale ty se dají chránit příslušným nastavením

přístupových práv. Nabídneme vám utilitu, která toto nastavení umožní provést

velmi pohodlně a jednoduše.

Nejdůležitější ze všeho je na nejvyšší míru omezit možnost napadení systému.

Existují například tak jednoduché možnosti jako vypnutí zobrazování e-mailů ve

formátu HTML nebo přechod na jiný internetový prohlížeč než Internet Explorer.

Nejúčinnějším prostředkem je zablokování přístupu k jednotlivým portům

zvnějšku. I to se dá zařídit velmi jednoduše pomocí utility, kterou vám rovněž

v tomto článku představíme.

Kombinací zabezpečení formou instalování aktualizací, firewallu a antivirového

programu můžeme ve spojení s našimi utilitami získat velmi dobře zabezpečený

systém. Naše tipy jsou určeny pro operační systémy MS Windows 2000 a XP, tipy v

druhé části článku také pro systémy MS Windows 98/ME.



Kontrola běžících procesů pomocí nástroje pcwListkill

1. Základy: procesy a aplikace

Viry, červi a spyware nic nezmohou, pokud leží na pevném disku a nejsou

aktivováni. Každý program, ať užitečný nebo škodlivý, se aktivuje až v

okamžiku, kdy se dostane do operační paměti, čímž se spustí jako proces. Bez

procesů by se na žádném počítači na světě nedalo provozovat nic. Jsou základem

pro správnou funkci operačního systému a spouštění aplikací. Úlohy pak

představují uspořádané řady procesů, které vyžadují již spuštěné jádro systému

jako interpreter a to poskytuje právě operační systém.

Z praktického hlediska jsou všechny ve Windows běžící a pro Windows napsané

aplikace, ať ty užitečné nebo škodlivé, úlohami. Když například úloha aplikace

typu červ přepíše soubor BOOT.INI, čímž poškodí systém tak, že se Windows již

příště nespustí, je to zjevně špatná úloha. Pokud na druhou stranu instalujete

do počítače další verzi Windows, pak úloha představující instalaci Windows

upraví soubor BOOT.INI tak, aby bylo možné při spuštění počítače vybrat, který

z obou operačních systémů se má spustit. Tady se jedná zjevně o prospěšnou

úlohu.

Z pohledu operačního systému se provádí v obou případech to samé úprava souboru

BOOT.INI. Možnosti výrobců antivirových programů jako specialistů jsou velmi

omezené. V první řadě musí reagovat na jednoznačně identifikované a již známé

hrozby, teprve pak vylepšují heuristickou analýzu umožňující odhalit škodlivý

software zde vycházejí většinou ze statistických dat. V praxi není vždy

jednoduché správně rozhodnout například úkol aplikace Wscript, který má

modifikovat registr Windows, by mohl být virem a z preventivních důvodů by se

mělo jeho spuštění zablokovat. Tato úvaha je sice na jednu stranu správná, ale

na druhou stranu přesně nevíme, zda se skutečně jedná o virus.



2. Prospěšné procesy: správce úloh systému Windows

Správce úloh zobrazuje a spravuje všechny běžící úlohy v systémech Windows.

Nejrychleji jej vyvoláte stiskem klávesové zkratky <ctrl><alt><delete>. Na

záložce Procesy vidíte jak prospěšné, tak škodlivé procesy, a to s názvy

souborů. Pokud si libovolnou položku označíte klepnutím pravým tlačítkem myši,

můžete proces ukončit příkazem Ukončit proces z kontextového menu. Pokud se

bude jednat o škodlivý proces, zůstane sice na pevném disku, ale prozatím

alespoň nebude škodit. Pokud se spustil při startu Windows jak tomu často bývá,

bude jeho řádění učiněna přítrž alespoň pro právě spuštěnou instanci Windows.

Pro správnou funkci Windows XP jsou naprosto nepostradatelné následující

procesy: Csrss, Lsass, Services, Smss, Svchost (několik instancí) a Winlogon.

Díky existenci ochranných mechanismů správce úloh neumožní tyto procesy

ukončit. Další možností, jak odhalit škodlivé procesy běžící na vašem počítači,

je záložka Uživatelské jméno, kterou zobrazíte pomocí menu Zobrazit/Vybrat

sloupce.

Většina škodlivých programů se jednoduše spouští v kontextu aktuálního

uživatele, tedy v účtu právě přihlášeného uživatele, s přístupovými právy

platnými pro tento účet. Z toho vyplývá, že položky Local Service, Network

Service a System ve sloupci Uživatelské jméno ukazují na systémové procesy

Windows. Toto třídění však není docela korektní, jelikož řada tvůrců virů

služby, které jsou nutné pro jejich provoz, skrývá pod položku System.

Pokud chcete v případě nouze některý proces násilím ukončit, pak je vhodným

řešením právě Správce úloh. Ale jakmile se pokusíme procesy jednoznačně

identifikovat nebo pokud budeme chtít ukončit několik procesů současně,

dostaneme se snadno na hranice schopností tohoto programu. Ale ani již

zmiňované ochranné mechanizmy nejsou při svém rozhodování, zda je možné proces

ukončit nebo ne, dostatečně průkazné. Pokud například libovolnou aplikaci

přejmenujete na WINLOGON.EXE, nebude ji možné ukončit, protože se stejným

názvem se spouští pro systém nepostradatelná komponenta WINLOGON.EXE.



3. Lepší řešení: White List Killer

Vzhledem k tomu, že nelze v principu rozlišit, zda se v systému Windows jedná o

proces škodlivý nebo prospěšný, snažili jsme se najít řešení, jak si přece jen

nějak pomoci. Nabízíme vám proto německou utilitu PCWLISTKILL.EXE, kterou

naleznete i na našem CD. Je určena pro Windows 2000 a XP a s její pomocí

vytvoříte seznam všech procesů, jimž povolíte spuštění. Všechny ostatní úlohy,

které na této „bílé listině“ nebudou, opět klepnutím myší z operační paměti

odklidíte. Pro první použití doporučujeme čistý systém, na němž jsou

instalovány pouze ty nejnutnější aplikace. Utilitu spustíte pouhým poklepáním

na spouštěcí soubor. V horní polovině okna následně uvidíte všechny úlohy,

které aktuálně na vašem systému běží. Vedle jména souboru a cesty k němu se

také ukazuje kontrolní součet pro daný soubor (CRC32). Kombinace těchto tří

údajů daný proces jednoznačně identifikuje. Kontrolní součet CRC32 se počítá

při každém spuštění pro úlohu vždy znovu. Ve spodní polovině okna se pak

nacházejí úkoly, jimž chcete jejich běh dovolit. V tomto seznamu jsou při

prvním spuštění uvedeny pouze pro systém kritické a nepostradatelné procesy.

Pokud chcete do tohoto seznamu umístit další úkoly, spusťte danou aplikaci,

například Firefox nebo Word, pak klepněte v utilitě na tlačítko Aktualisieren a

poklepejte v horní polovině okna na novou položku. Další možností je použít

tlačítko Prozess erlauben. Pokud zapomenete nějaký proces označit, objeví se

dialogové okno, do něhož budete moci zadat cestu k souboru aplikace.

Obráceně je to stejně jednoduché. Pokud budete chtít nějaký proces zakázat

jednoduše ve spodní části okna na položku v seznamu poklepete, čímž ji ze

seznamu odstraníte.

Jakmile skončíte všechny úpravy v seznamech, klepněte na tlačítko

Aktualisieren, čímž znovu v okně aplikace zobrazíte všechny spuštěné procesy.

Klepnutí na tlačítko Kill ukončí všechny procesy, které nejsou v seznamu

povolených aplikací nebo jejichž kontrolní součet CRC32 nesouhlasí.

Upozornění: Po instalaci aktualizací nebo Service Packů se kontrolní součty

systémových procesů změní, i když k žádnému napadení počítače nedošlo. Jde

totiž o to, že při aktualizaci systému se často nahrazují systémové soubory

novějšími verzemi, čímž se změní i jejich kontrolní součet. V tomto případě

odstraňte všechny starší položky ze seznamu způsobem, který jsme popsali výše,

a přidejte položky nové.

Tlačítko Konfig.weg slouží ke kompletnímu vymazání obsahu bílé listiny. Při

dalším spuštění utility se načtou všechny pro operační systém nepostradatelné

procesy znovu a zobrazí se ve spodní části okna aplikace, stejně jako při

prvním spuštění programu.



Kontrola na startovní čáře

4. Automatické spuštění programů ve Windows

Každý škodlivý program se nejprve zkouší dostat do takové pozice, aby se

automaticky spouštěl při startu Windows a Windows tuto snahu paradoxně

podporují existencí řady možností, jak toho dosáhnout. Doposud se nám podařilo

ve všech verzích Windows napočítat celkem 30 možností, kam je možné takové

položky umístit. Není divu, že škodlivé programy, které jste pomocí Správce

úloh nebo utility PCWLISTKILL odstranili z paměti, se zpravidla při dalším

spuštění Windows objeví znovu. Úklid v operační paměti je tedy pouze prvním

prostředkem v nouzi. Pokud chcete škodlivý program ze svého počítače dostat

úplně, musíte kromě prvního kroku učinit ještě druhý najít v systému místo,

odkud se škodlivý program spouští, a odtud jej odstranit. Bohužel ručním

prohledáváním to jde jen velmi obtížně.

Nejčastěji používaná místa, kam se škodlivé soubory umisťují, jsou tato:

1. Složka Po spuštění v nabídce Start.

2. Klíč registru s názvem:

Hkey_Local_Machine\Softwa­re\Microsoft\Windows\Curren­tVersion\Run.

3. Klíč registru s názvem:

Hkey_Current_User\Software\Mi­crosoft\Windows\CurrentVer­sion\Run.

Kromě toho jsou možná další umístění:

1. Umístění určené pro skripty správců systému

%windir%\System32\GroupPo­licy\Machine\Scripts\Start-up.

2. Položka Userinit v klíči registru

Hkey_Local_Machine\Softwa­re\Microsoft\Windows NT\CurrentVersion\Winlogon, kde

se standardně nahrává grafické rozhraní představované souborem EXPLORER.EXE,

avšak mohou se zde spouštět i další programy.

3. Položka BootExecute v klíči registru

Hkey_Local_Machine\System\Cu­rrentControlSet\Control\Ses­sionManager. Tuto

položku mohou tvůrci virů libovolně rozšiřovat, protože většinou každý z nich

ovládá tzv. Native Code, který se uplatňuje před zavedením 32bitového jádra

systému.

Většina škodlivého softwaru se pro jistotu zapisuje na více míst současně.

Pokud uživatel přehlédne byť jen jedno umístění, najde je v operační paměti při

příštím spuštění znovu.

Upozornění: Směle můžeme prohlásit, že neexistuje ani jeden proces, který by

byl ve zmíněných umístěních nepostradatelný. Přesto je dobré při zkoumání

obsahu výše zmíněných položek uvažovat s rozmyslem. Jsou zde totiž programy,

které spouští antivirové programy či podporují automatické aktualizace různých

programů. Ty by se samozřejmě odstraňovat neměly.



5. Nedostatečné příslušenství Windows

Firma Microsoft nabízí (z hlediska možnosti kontrolovat v předchozím tipu

zmíněná místa, odkud se dají automaticky spouštět různé programy), jen velmi

málo prostředků. Uživatelé pracující ve Windows 2000 nejsou vybaveni vůbec

ničím, ve Windows 98/ME a ve Windows XP je k dispozici alespoň systémová

utilita MSCONFIG.EXE, jež dokáže zjistit, které položky, spouštějící se po

startu Windows, se nacházejí v kterých umístěních. Tuto utilitu spustíte

klepnutím do nabídky Start/Spustit a zadáním příkazu msconfig do políčka

Otevřít. V okně programu Nástroj pro konfiguraci systému se přesuňte na záložku

Po spuštění. Zde uvidíte všechny programy, které se při startu Windows

spouštějí. Zrušte zatržítka u všech položek, u nichž nechcete, aby se při

startu Windows spouštěly. Provedená nastavení potvrďte stiskem tlačítka OK.

Utilita MSCONFIG.EXE sice neukazuje všechna umístění pro automatické spouštění

programů, ale na druhou stranu má jednu výhodu, např. oproti našemu nástroji

PCWAUTOSTART.HTA1.2.HTA, že zde deaktivované položky zůstávají, tudíž je můžete

později v případě potřeby znovu aktivovat.



6. Univerzální nástroj pro kontrolu automatického spouštění programů

Díky utilitě PCWAUTOSTART1.2.HTA, kterou naleznete na našem CD, vám bude stačit

několik klepnutí myší, abyste se dozvěděli, odkud se který program spouští.

Pokud budete chtít, budete moci odpovídající položku i odstranit. Oproti starší

verzi se tento skript vylepšil o klíč BootExecute. Můžeme možná trochu

neskromně potvrdit, že žádná jiná utilita neposkytuje lepší informace o

umístění položek, spouštěných při startu Windows.

Utilitu spustíte poklepáním na soubor a po jejím spuštění skript prohledá 22

klíčů v registru, pět souborů a tři složky, v nichž zkoumá, jaké položky nebo

zástupci aplikací, které se mají automaticky spouštět při startu Windows, se

tam nacházejí. Pokud je hledání úspěšné, ukáže se nejprve umístění dané

položky. Po ukončení prohledávání uvidíte v horní části dialogového okna

všechny klíče registru a také cesty ke složkám a souborům. Jakmile na některou

z vyobrazených položek klepnete, zobrazí skript ve spodní části dialogového

okna aplikace, které se z tohoto místa spouští. Chcete-li jednotlivé aplikace z

tohoto místa odstranit, umístěte zatržítko vedle programu a stiskněte tlačítko

Odstranit. Hned poté se skript znovu automaticky inicializuje a ukáže vám opět

aktuální stav systému.

Všechny aplikace, ať škodlivé či užitečné, zůstávají samozřejmě při těchto

akcích nedotčeny, ve skutečnosti se totiž odstraňuje jen možnost jejich

automatického spouštění.

PCWAUTOSTART1.2.HTA však neumí pouze uklízet, ale dokáže ve Windows 2000 a XP

rovněž zabránit možnému umístění dalších nechtěných programů do daných složek.

Potřebujete pouze práva správce k systému, diskový oddíl se systémem souborů

NTFS a v systému správně nainstalovanou utilitu SUBINACL.EXE (najdete ji i na

našem CD).

Pokud všechny výše uvedené podmínky splňujete, klepněte na tlačítko Oprávnění.

Tím odeberete uživateli a systému oprávnění Zapisovat do všech položek v

registru a pro všechny soubory do složek, jejichž obsah se načítá při startu

Windows. Důsledkem tohoto kroku bude to, že žádná aplikace, kterou sami

spustíte, ani ta, kterou se do systému instaluje v důsledku například

aktualizace systému, se sama nebude moci stát aplikací, jež se bude automaticky

spouštět při startu Windows.

Toto nastavení je hlubokým zásahem do operačního systému, proto byste jej měli

používat s rozmyslem.

Budete-li chtít někdy v budoucnu umožnit zápis do všech míst, kam patří odkazy

na soubory, které se mají při startu Windows spustit, stačí znovu použít naši

utilitu. Po novém klepnutí na tlačítko Oprávnění se pro všechna výše zmíněná

umístění nastaví úplný přístup pro všechny soubory.



Méně práv, více bezpečnosti

7. Správce versus uživatel

Windows NT 4, 2000 a XP, která se instalují na pevný disk se systémem souborů

NTFS, můžeme považovat za bezpečný systém. Ostatně Windows NT byla původně

určena pro nasazení na serverech, popřípadě pracovních stanicích ve firmách a

umožňují nastavit pro každého uživatele různou úroveň přístupových práv.

Jsou-li tato práva správně nastavena, nemají šanci ani škodlivé programy, ani

nepovolaní uživatelé, takže se o svá data nemusíte vůbec bát. Za vyšší

bezpečnost systému ale uživatelé platí vyšší složitostí systému. Aby se

uživatelé zejména Windows XP vyhnuli potenciálním problémům při práci, pokud by

byli přihlášeni jako uživatelé s omezeným oprávněním, pracují raději přihlášení

jako správci systému se všemi přístupovými právy. Tím ale získávají úplný

přístup ke všem prvkům systému i viry, červi a další druhy škodlivých programů,

takže mohou nakládat se systémem prakticky jak chtějí. Také i když používáte

firewall a antivirový program, které zabraňují řadě škodlivých programů v

přístupu do systému, je nejjistější surfovat po internetu nebo pracovat

přihlášený pod účtem s omezenými právy. Toto je tím nejjistějším řešením, jak

se chránit před škodlivými programy. Účty s omezeným oprávněním nemají mimo

jiné právo zapisovat do složek Windows a Program Files a rovněž nemají právo ke

čtení dat jiných účtů. Pokusy škodlivých programů zapisovat do systémových

souborů, pokud jste přihlášeni pod účtem s omezeným oprávněním, pak vycházejí

do prázdna.

Proto každý, kdo používá na počítači pouze několik programů, by měl vždy

používat účet s omezeným oprávněním. Uživatel, který často instaluje

nejrůznější aplikace, se však často dostane do úzkých řada programů totiž

vyžaduje pro instalaci práva správce systému a pak nezbývá, než pracovat pod

účtem správce.

V tomto konfliktu mezi zabezpečením počítače a komfortem při práci však

existuje jeden velmi zajímavý kompromis. Můžete pracovat přihlášení jako

správci systému, přesto lze surfovat na internetu s omezenými právy. Jde to ale

i jinak: můžete pracovat přihlášeni jako uživatel s omezenými právy, přesto

můžete z tohoto účtu instalovat programy s právy správce systému.



8. Užitečná utilita RUNAS.EXE pro Windows

Windows XP nabízí pro případ zmíněný v minulém tipu utilitu RUNAS.EXE. Jedná se

o program běžící na příkazovém řádku, který dokáže spustit aplikace pro Windows

i mimo prostředí kontextu uživatele, tedy aniž byste se museli odhlašovat z

účtu, pod nímž právě pracujete. Podobnou funkci mají i položky vyvolané z

kontextového menu u souborů EXE nebo zástupců k těmto typům souborů jedná se

konkrétně o položku Spustit jako. U zástupců programů existuje ještě jedna

možnost, jak spustit aplikaci pod jiným typem oprávnění. Klepněte pravým

tlačítkem myši na ikonu zástupce, z kontextového menu vyberte položku

Vlastnosti a přesuňte se na záložku Zástupce. Zde klepněte na tlačítko

Upřesnit. V obou případech zadáváte uživatelské jméno a heslo. Windows tyto

údaje standardně neukládají a při každém spuštění programu je musíte zadat

znovu. Prázdná hesla nejsou povolena.

RUNAS.EXE zachází ve Windows XP Professional ještě o krok dále. Nabízí totiž

přepínač, s jehož pomocí můžete přihlašovací údaje uložit (Windows XP Home

tento přepínač ignoruje). Zadejte na příkazový řádek např. tento příkaz:

runas /user: /savecred „<n programu>“

Výraz <n programu> nahraďte úplnou cestou ke spouštěcímu souboru aplikace.

Nyní stačí zadat heslo pouze jednou, Windows při příštím přihlášení použijí

toto zadané a uložené heslo.



9. Ještě lepší utilita PCWRUNAS.EXE

Naše utilita PCWRUNAS.EXE, kterou najdete na našem CD, pracuje podobně jako

aplikace zmíněná v předchozím tipu. Pracuje na příkazovém řádku, ukládá

přihlašovací heslo, čímž umožňuje spouštění programů bez zadávání dalších

údajů. Navíc tato utilita funguje i ve Windows XP Home a ve Windows 2000.

Typický příkaz může vypadat kupříkladu takto:

pcwrunas /u martin /p tajne /cmd explorer.exe

Výše uvedený příkaz spustí program EXPLORER.EXE v kontextu uživatele Martin s

heslem tajne.

Po instalaci programu PCWRUNAS.EXE najdete na svém pevném disku ještě jednu

utilitu PCWRUNASGUI.EXE. Ta vám umožní pohodlně vytvářet zástupce programů, s

jejichž pomocí budete moci spouštět programy v účtu s omezenými právy nebo jako

správce systému. A aby nikdo nepovolaný nemohl zjistit heslo správce systému,

utilita tento parametr, který se musí zadat pro PCWRUNAS.EXE na příkazovém

řádku, jednoduše šifruje. Pro šifrování používá algoritmus Blowfish (další

informace na http://www.schneier.com/blowfish.html) a je tedy velmi obtížné

toto heslo zjistit. Teoreticky by se toto heslo dalo odhalit, protože k

šifrování pomocí PCWRUNAS.EXE žádné heslo nepotřebujete.

Abychom celou akci co nejlépe zabezpečili, použijeme jako heslo kontrolní

součet spustitelného souboru a sériové číslo pevného disku. Tím zajistíme, že

námi vytvořeného zástupce nebude možné použít ani na jiném počítači, ani ke

spuštění jiného programu.

V dialogovém okně PCWRU-NASGUI si vyberte v poli Dateiname: jméno programu,

který chcete spouštět. Poté zadejte přihlašovací údaje, jméno zástupce a

klepněte na tlačítko ébernehmen. Parametry pro PCWRUNAS.EXE se objeví v políčku

oddělené středníkem. Zde je můžete popřípadě upravit.

Po klepnutí na tlačítko Shortcut vytvoří program zástupce a umístí jej na

pracovní plochu. Poklepáním pak spustíte program pod jiným uživatelským jménem

a heslem.

Pro kontrolu přístupových práv instaluje do systému instalační program

PCWRUNAS.EXE panel nástrojů pro Internet Explorer a Průzkumníka Windows (jedná

se o knihovnu PCWPRIVILEGIEN.DLL) tento panel nástrojů zobrazíte pomocí menu

Zobrazit/Panely nástrojů/pcwPrivilegien. Pracujete-li jako správce systému,

uvidíte červený varovný symbol a tlačítko Administrator. Po stisku tlačítka se

otevře okno s informacemi o příslušnosti k uživatelské skupině a informace o

právech uživatele, pod jehož účtem se program spouští.



Porty a služby

10. Riziko jménem otevřené porty

Pokud některá ze služeb Windows nechá některý z portů otevřený, může počítač

přes ně přijímat požadavky klientů, zpracovat je a odpovědět na ně. Pokud

například zadáte v internetovém prohlížeči internetovou adresu

http://www.pcw.cz, pošle prohlížeč přes port 80 na náš server následující

příkaz:

get / http/1.0

Náš počítač naslouchá na portu 80, rozpozná výše uvedený příkaz a jako odpověď

zašle vašemu počítači úvodní internetovou stránku našeho časopisu. Pokud byste

stejný požadavek zaslali počítači svého kolegy, k němuž jste připojeni pomocí

sítě LAN, pak vám určitě neodpoví, jelikož na něm neběží služba webového

serveru a port 80 je uzavřený.

Otevřené porty představují nebezpečí pouze tehdy, pokud je program, který

odpovídá, poškozený. V již zmíněném neškodném případě dojde nejspíše k

zatuhnutí programu. V nejhorším případě povolí počítači, který na port

přistupuje, podstrčit nějaký škodlivý program nebo dokonce získat přístup k

celému systému. Například celá řada webových serverů povoluje nahrávání

obrázků. Pokud je webový server špatně nastavený, může kupř. povolit, aby se

dal na něj poslat nejen soubor obrázku, ale také například spustitelný soubor.

Zároveň se dá cílová složka na webovém serveru nastavit tak, aby se nacházela v

systémové složce. Měli byste se tedy postarat o to, aby na serveru běžely jen

ty nejnutnější služby a připojení, zvláště v případě telefonického připojení.

Firewall (někdy se používají anglické výrazy Personal nebo Desktop Firewall),

jakým je kupříkladu ten, který je součástí Windows XP, dokáže mimo jiné i

blokovat aplikace, které chtějí navázat připojení proti vaší vůli. Účinnost

ochrany firewallem je ale omezena tím, že se jedná o program, který by sám měl

být chráněn. Proto je ve své podstatě daleko bezpečnější uzavřít všechny porty

ještě dříve, než bude muset firewall něco ve vašem počítači řešit.



11.Nepohodlné utility pro správu služeb Windows

Co se týče možnosti vypnutí nepotřebných služeb, pak Windows 2000 a XP nabízejí

následující nástroje: konzolu Služby (nabídka Start/Spustit/services.msc),

Síťová připojení, Editor registru a utility NETSTAT.EXE a SC.EXE (ta je k

dispozici pouze ve Windows XP), pracující na příkazovém řádku. Dále vám pomohou

některé internetové služby, například ta na adrese portscan.winboard.org, která

pokud budete chtít prozkoumá váš počítač a zobrazí výsledky. Při tomto testu se

například dozvíte, které porty jsou na vašem počítači otevřené. Pokud chcete

zjistit, které aplikace používají který port, otevřete program Příkazový řádek

a v něm zadejte příkaz netstat -ab. V poli Místní adresa vidíte vždy číslo

portu nebo název odpovídající služby. Dále můžete vidět název programu se všemi

k němu příslušejícími částmi, tedy soubory EXE a DLL. Dané aplikace můžete

následně ukončit pomocí Správce úloh.

Pokud se v seznamu objeví úloha SVCHOST.EXE, jedná se o službu Windows, která

se dá konfigurovat pomocí konzoly Služby nebo souboru SC.EXE. Název služby

zjistíte tak, že v Editoru registru vyhledáte v klíči

Hkey_Local_Machine\System\Cu­rrentControlSet\Services název souboru knihovny DLL

a potom v levém sloupci zjistíte, ke které službě nalezená DLL knihovna patří.

V konzole Služby pak můžete danou službu ukončit, pozastavit nebo alespoň

nastavit její spuštění na automatické nebo ruční.

Služby jako například Vzdálené volání procedur (RPC) se vůbec ukončit nedají. V

takových případech se můžete spoléhat pouze na to, že se služba objeví ve

vlastnostech telefonického připojení na záložce Sítě. Odstraněním zatržítka

před službou odstraníte vazbu k telefonickému adaptéru sítě. Pokud se vazba ke

službě nedá nakonfigurovat ani tady, pak pomůže už jen utilita SC.EXE. Pomocí

příkazu:

sc config rpcss start=disabled

tuto službu přece jen zastavíte.

Prostředky Windows jsou v podstatě schopné služby operačního systému řídit a

upravovat, ale je to značně namáhavý a nevděčný podnik, zvláště když jsou na

sobě jednotlivé služby navzájem závislé.



12. Superdávkový soubor SVC2KXP.CMD

Dávkový soubor SVC2KXP.CMD, který najdete na našem CD, využívá pouze

prostředky, které jsou součástí Windows. Když se podíváte na jeho obsah,

zjistíte, že obsahuje přes 1 000 řádků kódu, jejichž účelem je uzavření všech

otevřených portů a vypnutí všech nepoužívaných služeb.

SVC2KXP.CMD po spuštění nabízí výběr ze tří úrovní zabezpečení systému, které

vyberete stiskem odpovídajícího čísla na klávesnici. Úroveň 1 ponechává všechny

funkce sítí ve Windows beze změny a zavře všechny ostatní porty. Dále zastaví

služby jako je Kurýrní služba, Distributed Transaction Coordinator (MSDTC) a

Centrum zabezpečení. Nastaví skript tak, že nebude možné nastavovat IP adresu

prostřednictvím služby DHCP, ukončí se tedy i služba DHCP. Služby jako

Automatické aktualizace nebo Plánovač úloh budou běžet dále beze změny.

Úroveň 2 deaktivuje vše kromě podpory sítí ve Windows. Díky tomu jsou uzavřeny

všechny porty. Tato možnost se hodí pro jednotlivé počítače s připojením k

internetu.

Nejradikálnější je úroveň 3. V ní se zastavuje co nejvíce služeb mimo jiné

všechny služby úrovní 1 a 2, dále Brána firewall/Sdílení připojení k internetu,

DCOM, Automatické aktualizace a Plánovač úloh. Toto nastavení je vhodné pro

počítač, na kterém se budou například učit začátečníci surfovat na internetu.

Automatické aktualizace bude muset provádět správce počítačů ručně.

Při každé změně uloží utilita starou konfiguraci služeb ve formě souboru REG do

složky ntsvcfg.

Pokud stisknete klávesu 4 (možnost Restore), obnovíte starou konfiguraci. Dále

vám doporučujeme zálohovat složku ntsvcfg, která se vytvořila při prvním

použití utility. Ta obsahuje výchozí konfiguraci před prvními úpravami služeb.

Po každé změně doporučujeme restartovat počítač, a to i tehdy, pokud vás o to

dávkový soubor vysloveně nežádá.

Kromě již zmíněných čtyř položek menu nabízí utilita ještě další parametry

/relan a /default, které můžete používat pouze prostřednictvím příkazového

řádku (například svc2kxp /default). Varianta /relan bude vhodná, pokud budete

chtít vypnutou podporu sítí ve Windows znovu zapnout a zapomněli jste si

vytvořit záložní soubory. Přepínač /default nastaví konfiguraci do původního

stavu před prvním použitím dávkového souboru. Rychlou nápovědu ke všem možným

volbám získáte pomocí příkazu svc2kxp /?.

SVC2KXP.CMD zálohuje nejen starou konfiguraci, ale po každém spuštění vytváří

přesný obraz o tom, co je třeba vědět o způsobu spuštění každé služby, stejně

jako její aktuální stav. Je dobré při novém spuštění skriptu vědět, zda se

mezitím něco nezměnilo ať ručním nastavením nebo díky automatickým

aktualizacím. V tom případě dávkový soubor neukáže žádný výběr z menu, ale

zobrazí hlášení: Checking for modified services… failed services maybe

modified! [E]valuate. Stiskem klávesy <e> můžete zobrazit změny nebo pomocí

konzoly Služby nastavení služeb upravit.5 0709/OK o



Procesy z technického hlediska

Aby se mohl z nějakého programu na pevném disku stát proces, je nejprve nutné

zdrojový kód souboru nahrát do operační paměti. Ukazatel ve zdrojovém kódu pak

prozradí procesoru, kterou oblast operační paměti má zpracovat. Z paměti se pak

zdrojový kód nahrává do vyrovnávací paměti procesoru a pak předává dekodéru

instrukcí, který říká procesoru, co má vlastně dělat a jakou instrukci

zpracovávat. Dále putuje do řadiče procesoru a provede se v jádru procesoru.



Nečinné procesy systému

Správce úloh systému Windows ukazuje vždy u položky Nečinné procesy systému

(Idle), že spotřebovává prakticky celý výkon procesoru. Ve skutečnosti se jedná

pouze o jediný proces, který sčítá všechny prostředky, které jsou v daném

okamžiku volné. Součet celkového vytížení procesoru tedy dává 100 procent.



Falešné procesy

V seznamu pořízeném pomocí utility PCWLISTKILL.EXE nemají škodlivé programy,

které se tváří jako systémové procesy, žádnou šanci. Naše utilita identifikuje

všechny procesy na základě jejich cesty a jednoznačného kontrolního součtu.



Run, Run, Run…

Prakticky všechny škodlivé programy se ve Windows spoléhají na funkci

automatického spouštění. Aktuálně na špici žebříčku nejčastěji se vyskytujících

virů je W32/Netsky-P. Jedná se o červa hromadně se šířícího pomocí elektronické

pošty, který se kopíruje do složky Windows jako soubor FVPROTECT.EXE a v

registru Windows si zajistí automatické spuštění tak, že se umístí do klíče

HKLM\Software\

Microsoft\Windows\

CurrentVersion\Run\

Norton Antivirus AV. I názvy souborů systémových procesů v klíči Run jsou

přinejmenším podezřelé. Zkuste vyhledat

několik typických názvů souborů v položkách zajišťujících automatické spuštění

programů při startu Windows a prověřte je v některém ze seznamu virů, které

najdete například na stránkách výrobců antivirových programů. Uvidíte, že se

trefíte.



Ovladač jako škodlivý program?

Teoreticky můžeme uvažovat i o tom, že by se škodlivé programy mohly

naprogramovat i jako ovladače. Mělo by to několik výhod ovladače potřebují

neomezený přístup do systému a jako jediné programy dokáží přímo komunikovat s

hardwarem počítače. V praxi však tato myšlenka nemá žádný význam. Za prvé by

bylo třeba uživatele donutit k tomu, aby souhlasil s tím, že se do systému

instaluje nepodepsaný ovladač, ačkoliv právě žádný hardware neinstalujete.

Chyba při běhu programu by pak měla daleko osudovější důsledky. Pokud by došlo

k zatuhnutí programu, vyvolal by špatně fungující ovladač modrou obrazovku a

tím by se stal rychle nápadným.



SUBINACL.EXE: přidělování práv pomocí příkazového řádku

Utilita SUBINACL.EXE pochází z Resource Kitu pro Windows Server 2003 a slouží k

přidělování přístupových práv souborům, složkám či klíčům registru. Náš skript

PCWAUTOSTART1.2.HTA tuto utilitu potřebuje k tomu, aby mohl odepřít nebo

přidělit právo zapisovat do všech umístění, kam se mohou dávat soubory, které

se mají automaticky spouštět při startu Windows. Archiv s programy stačí

stáhnout a instalovat. Po instalaci vyhledejte soubor SUBINACL.EXE a zkopírujte

jej z instalační složky do složky Windows.



Přepnutí uživatele

Ve Windows XP můžete místo našich utilit RUNAS.EXE či PCWRUNAS.EXE využít pro

spuštění programů pod jiným uživatelským účtem také funkci rychlého přepnutí

uživatelů. Nejprve poklepejte v nabídce Start/Ovládací panely na ikonu

Uživatelské účty a zde vytvořte nový účet s omezeným přístupem. Poté klepněte

na nabídku Start/Odhlásit a na položku Přepnout uživatele, přihlaste se do

systému. Všechny již spuštěné programy běží dále na pozadí. Stejným způsobem se

poté vrátíte zpět do účtu správce počítače.



Účet s omezeným oprávněním

Internetový prohlížeč spuštěný přes utilitu PCWRUNAS.EXE zablokuje přes 90

procent všech útoků škodlivých programů. Několik příkladů: červ W32/Mydoom,

šířící se elektronickou poštou, zruší možnost spojení se všemi internetovými

stránkami výrobců antivirových programů úpravou souboru Hosts (podle vzoru

127.0.0.1 avp.com). Trojský kůň typu Backdoor s názvem W32/Rbot-AMR se zase

zapíše do prakticky všech klíčů Run v registru Windows. Červ W32/Zafi-B se

zkopíruje do složky System a zapíše se do klíče Run, zatímco varianta

W32/Mytob-BE ukončí běh každého antivirového programu. Všechny tyto typy útoků

by však předem ztroskotaly na účtu s omezeným oprávněním.



Průzkumník Windows

Pomocí utilit RUNAS.EXE či PCWRUNAS.EXE se bohužel nedá spustit v kontextu

jiného uživatelského účtu jeden z nejčastěji používaných programů Průzkumník

Windows. Grafické rozhraní Průzkumníka (shell) představované souborem

EXPLORER.EXE nastavuje pracovní plochu a hlavní panel, běží tedy neustále na

pozadí operačního systému. Při dalším spuštění Průzkumníka se program nespouští

znovu, ale pouze se vytvoří nová instance tohoto programu se stejnými

přístupovými právy. Prozradíme vám ale jeden trik, s jehož pomocí se vám přece

jen podaří spustit Průzkumníka dvakrát. Spusťte soubor IEXPLORE.

EXE jako jiný uživatel. Do panelu Adresa následně zadejte příkaz C: a potvrďte

zadání stiskem klávesy <enter>. Tím přeměníte program Internet Explorer na

Průzkumníka Windows. Další možností, pokud se přihlásíte jako uživatel s

omezenými právy, je klepnutí v Průzkumníku do menu Nástroje/Možnosti složky na

záložku Zobrazení a umístění zatržítka před položku Spouštět okna složek jako

samostatné procesy. Tato možnost na druhou stranu klade větší nároky na

velikost operační paměti.



Mozilla a ostatní

Podobně jako Průzkumník Windows se chová i Mozilla, Firefox či Thunderbird ty

se také dají spustit pouze jednou. Spuštění programu pod jiným uživatelským

účtem tedy vytvoří pouze novou instanci již běžícího programu se stejnými

právy. Pokud tedy budete chtít spustit některý z těchto programů pomocí utilit

RUNAS.EXE nebo PCWRUNAS.EXE pod jiným uživatelským jménem, je třeba zmíněné

programy kompletně ukončit včetně pomocných programů, umožňujících jejich

rychlé spuštění.



Nedostatek v zabezpečení I

Při spuštění utility RUNAS.EXE od Microsoftu s přepínačem /savecred se v

systému s více uživateli musíte mít na pozoru. Windows ukládají heslo a

umožňují tím každému uživateli nejen přístup k danému programu, ale ke všem

ostatním programům. Přepínač /savecred tedy používejte pouze tehdy, pokud

budete například chtít z účtu správce spustit internetový prohlížeč pod účtem s

omezeným oprávněním.



Nedostatek v zabezpečení II

Jakmile spustíte nějaký program prostřednictvím utilit RUNAS.EXE nebo

PCWRUNAS.EXE v účtu s omezeným oprávněním s oprávněním správce, získá takový

uživatel přístup ke všem funkcím systému. Stačí klepnout do menu Soubor/Otevřít

(pokud je k dispozici). Uživatel v tomto malém okně Průzkumníka získá

přístupová práva k celému obsahu pevného disku. Pomocí kontextového menu pak

můžete spustit například Průzkumníka Windows a tím pádem i libovolný další

program.



Panel nástrojů Privilegien

Pomocí panelu nástrojů Privilegien (PCWPRIVILEGIEN.DLL) můžete zobrazit

příslušnost k uživatelské skupině a přístupová práva k systému. Seznam všech

možných položek a jejich popis naleznete na internetové adrese

www.microsoft.com/resources/do­cumentation/

Windows/XP/all/reskit/

e n-us/Default.asp?url=/

resources/documentation/

Windows/XP/all/resk it/

en-us/prnd_urs_mhnn.

asp.



Co jsou porty?

Aplikace, které nabízejí své služby v počítačové síti, uskutečňují nabídky

pomocí jistých charakteristik, které nazýváme porty. Například webový server

odpovídá na dotazy na portu 80, server elektronické pošty přijímá vaše e-maily

na portu 25. Uzavření portu tedy jinými slovy znamená ukončení programu nebo

odepření přístupu do sítě pro danou aplikaci.



Co jsou služby?

Službou je v určitém smyslu slova každý program, který poskytuje funkce, jež

následně využívají jiné aplikace, a to místně nebo přes síť. Windows chápou

tento pojem poněkud úžeji a rozumí pod ním všechny takové programy, které běží

na pozadí a nepotřebují žádnou interakci od uživatele. Přehled všech služeb na

počítači vám poskytne konzola Služby, která je součástí sady pro správu

počítače. Například trojští koně se rádi instalují jako služby, aby umožnili

přístup k vašemu počítači přes internet.



Co jsou vazby?

Pokud nějaká služba nabízí své funkce prostřednictvím síťového připojení,

hovoříme o vazbě na toto připojení. Počítač je tedy tím více zabezpečen, čím

méně vazeb jednotlivé služby vytvářejí. Například služba pro sdílení souborů a

tiskáren je obecně napojena pouze na síťovou kartu, ale kupříkladu ne na

telefonní adaptér. Sdílení tedy platí pouze pro místní počítačovou síť, ale ne

pro internet.



SVC2KXP.CMD pro systém Windows 2000

Ve Windows 2000 se utilita SC.EXE pracující na příkazovém řádku, která je

potřebná pro správnou funkčnost skriptu, nevyskytuje. Skript SVC2KXP.CMD tuto

skutečnost zjistí a pokud jste připojeni k internetu, potřebný soubor si sám

stáhne.



</enter></e></n></n></dele­te></alt></ctrl>