Hlavní navigace

Omezte přístup k počítači s Windows za pomoci samostatného účtu správce

3. 5. 2021

Sdílet

 Autor: Depositphotos
Místní uživatelský účet dokáže zase o něco více zvýšit zabezpečení vašeho počítače.

Svůj počítač s operačním systémem Windows 10 můžete před útočníky chránit mnoha způsoby, které se mohou vzájemně doplňovat. Jedním takových doplňků pro zvýšení zabezpečení vašeho počítače může být i vámi vytvořený místní uživatelský účet s oprávněním správce.

Celá řada uživatelů operačního systému Windows 10 dělá zcela zásadní chybu v tom, že používá účet správce jako svůj uživatelský účet pro každodenní práci, což ve výsledku činí váš počítač zranitelnějším – a to zejména tehdy, pokud je tento váš uživatelský účet napaden útočníky.

V této souvislosti nezaškodí srovnání s počítači s operačním systémem Linux, v němž ve výchozím nastavení uživatelé nemají oprávnění správce. Jakmile přijde okamžik, kdy oprávnění správce potřebují, mohou si svá oprávnění zvýšit, a tak po nějakou omezenou dobu pracovat jako správci systému. Toto řešení je velmi šikovné už jen v tom, že pomáhá v ochraně počítače před útočníky a udržuje váš počítač v bezpečí.

Nástroj Řízení uživatelských účtů

Technicky vzato je podobné řešení integrováno i ve Windows 10, kde je rovněž možné dočasně zvýšit svá oprávnění uživatele, aby bylo možné například nainstalovat program či provést jiné operace vyžadující tato zvýšená oprávnění. Rozdíl oproti operačnímu systému Linux spočívá v tom, že v operačním systému Linux musíte pro získání vyšších oprávnění zadat heslo, zatímco ve Windows 10 většinou stačí klepnout v dialogovém okně nástroje Správa uživatelských účtů (UAC) na tlačítko Ano.

Ukázka dialogového okna nástroje Řízení uživatelských účtů ve Windows 10

Nástroj Řízení uživatelských účtů však toho dokáže více, než by se mohlo podle jeho názvu zdát. V našem případě jej využijeme ke zvýšení zabezpečení počítače tak, že odebereme oprávnění správce z našeho účtu používaného pro běžnou práci počítače a vytvoříme samostatný místní uživatelský účet správce. Díky tomu budete moci provádět i nadále takřka všechny operace vyžadující zvýšená oprávnění, ovšem nyní nově budete muset pokaždé zadat samostatné heslo účtu správce – nebude tedy stačit klepnutí na tlačítko Ano jako předtím.

A proč to vlastně všechno děláme? Odpověď je nasnadě. Pokud se do vašeho počítače dostane škodlivý software, popřípadě pokud je váš počítač napaden vzdáleně, mají útočníci možnosti, jak nástroj Řízení uživatelských účtů obejít a použít zvýšená oprávnění vašeho účtu.

Jako správce pak útočník si pak může s vaším počítačem dělat prakticky vše, co chce – může do vašeho počítače instalovat další malware, spustit příkazový řádek se zvýšenými oprávněními, odstranit uživatelské účty a provádět další operace vyžadující oprávnění správce s cílem zcizit vaše data či poškodit počítač.

Pokud omezíte oprávnění jen na jeden samostatný účet, pak výše uvedené hrozby sice zcela neodstraníte, ale alespoň je minimalizujete. Heslo správce jde velmi snadno zjistit pomocí keyloggeru, vyskakovací okno nástroje Řízení uživatelských účtů vás zase může oklamat, abyste udělali něco, co jste nezamýšleli. Z toho všeho vyplývá, že odstranění oprávnění správce z běžně používaného uživatelského účtu určitě zajistí vyšší zabezpečení systému, než kdybyste nechali na běžném účtu ponechali oprávnění správce.

Operační systém Windows 10 sice obsahuje již integrovaný účet správce, který by sice bylo možné aktivovat, nicméně my této možnosti nevyužijeme. Většina odborníků totiž důrazně před používáním integrovaného účtu správce varuje, protože má tento uživatelský účet má skutečně maximální oprávnění, která ostatní typy účtů nemají. Proto necháme vestavěný účet na pokoji.

Vytvoření samostatného uživatelského účtu pro správce

V první řadě je třeba vytvořit nový místní účet, který budeme nazývat Admin. Název Administrator použít nelze, protože ten je již rezervován pro již výše zmiňovaný skrytý účet správce počítače integrovaný v operačním systému. Nebudeme ani používat účet Microsoft svázaný s e-mailovou adresou Outlooku nebo Hotmailu, protože používání tohoto účtu zvyšuje riziko napadení počítače. Navíc skutečně neexistuje žádný pořádný důvod, proč účet správce připojovat ke cloudu stejně jako běžný účet.

V tomto dialogovém okně vyberte možnost „Nemám přihlašovací údaje této osoby“

V tomto dialogovém okně vyberte možnost „Nemám přihlašovací údaje této osoby“

Spusťte tedy v operačním systému Windows 10 pomocí klávesové zkratky klávesa Windows + I aplikaci Nastavení. V okně Nastavení pak klepněte na položku Účty a v následujícím okně pak v levém panelu klepněte v levém panelu na položku Rodina a jiní uživatelé a v sekci Jiní uživatelé pak klepněte na položku Přidat do tohoto počítače někoho dalšího. Za okamžik se zobrazí další dialogové okno se žádostí o zadání e-mailové adresy nového uživatele. My samozřejmě žádnou e-mailovou adresu zadávat nechceme, a proto nyní klepněte na odkaz Nemám přihlašovací údaje této osoby, který se nachází pod políčkem pro zadání e-mailové adresy.

Za okamžik se zobrazí další okno nabízející vytvoření účtu Microsoft. My samozřejmě žádný nový účet Microsoft vytvořit nechceme – naopak potřebujeme vytvořit místní účet – proto nyní klepněte na odkaz Přidat uživatele bez účtu Microsoft.

A nyní můžeme vytvořit nový místní účet pro přihlášení do operačního systému Windows 10. V okně Vytvořit uživatele pro tento počítač zadejte do políčka Kdo bude tento počítač používat? uživatelské jméno uživatele, kterému později přiřadíme oprávnění správce počítače.

V tomto případě použijeme název Admin, vy jej můžete samozřejmě použít také, popřípadě sem zadejte klidně jiný. Následně do dalších dvou políček zadejte heslo pro přihlášení tohoto uživatele. Následně ještě budete muset odpovědět na několik bezpečnostních otázek, které zajistí přístup k tomuto účtu v případě, pokud zapomenete heslo. Nakonec klepněte na tlačítko Další.

Místní účet Admin s oprávněním správce počítače.

Místní účet Admin s oprávněním správce počítače.

Jak změnit typ účtu

Nyní máte v počítači nový účet s názvem Admin, který uvidíte v části Jiní uživatelé v hlavním okně nastavení uživatelských účtů. V tomto okamžiku se však jedná pouze o účet standardního uživatele. My však potřebujeme, aby měl oprávnění správce počítače. Proto na tento účet klepněte levým tlačítkem myši a po zvýraznění účtu vyberte položku Změnit typ účtu.

Za okamžik se zobrazí stejnojmenné okno, v němž klepněte rozevírací seznam s názvem Typ účtu, vyberte položku Správce a nastavení potvrďte stiskem tlačítka OK.

Nyní máte u svého nového uživatelského účtu s názvem Admin nastavena oprávnění správce počítače, je třeba se ujistit, že tento místní účet funguje tak, jak má. Proto na počítači přepněte uživatelské účty a přihlaste se jako uživatel Admin. Následně zkuste provést nějakou operaci, která vyžaduje účet správce – zkuste třeba nainstalovat nějaký program, třeba nějaký internetový prohlížeč jako je Chrome, Firefox nebo Opera.

Pokud se vám podařilo program nainstalovat pod účtem správce pouze klepnutím na tlačítko Ano v dialogovém okně nástroje Řízení uživatelských účtů, pak uživatelský účet Admin funguje správně a nyní tedy můžete svému uživatelskému účtu používanému pro běžnou práci odebrat stávající oprávnění správce.

Nejprve se odhlaste se z účtu Admin, který od této chvíle budete používat pouze v případě, kdy budete potřebovat provést nějakou operaci vyžadující zvýšená oprávnění. Přihlaste se ke svému účtu, který používáte pro běžnou práci a stiskněte klávesovou zkratku Windows + R. Zobrazí se dialogové okno Spustit, do něhož zadejte příkaz netplwiz a zadání potvrďte stiskem tlačítka OK.

Za okamžik se zobrazí okno Uživatelské účty. Nyní na záložce Uživatelé vyberte v sekci Uživatelé tohoto počítače svůj účet a stiskněte tlačítko Vlastnosti.

Výběrem tohoto přepínače odeberete uživatelskému účtu v operačním systému Windows 10 oprávnění správce.

Výběrem tohoto přepínače odeberete uživatelskému účtu v operačním systému Windows 10 oprávnění správce.

Zobrazí se okno s vlastnostmi uživatelského účtu, kde na záložce Členství ve skupinách vyberte přepínač Standardní uživatel. Nakonec stiskněte tlačítko OK, čímž toto okno zavřete. Následně ještě jednou stiskněte tlačítko OK i v okně Uživatelské účty. Okno se zavře a vy máte nastavení uživatelského účtu hotové.

Operační systém vás nyní vyzve, abyste se odhlásili a znovu přihlásili, aby bylo možné provést příslušné změny. Po přihlášení bude mít váš běžný účet oprávnění standardního uživatele.

ICTS24

Pokud budete potřebovat provést nějakou operaci vyžadující zvýšená oprávnění, pak postačí, když do okna nástroje Řízení uživatelských účtů zadáte jméno a heslo správce. Nebude to však takto fungovat vždy. Některé pokročilé operace, jako je například konfigurace disků v programu Správa disků, budou vyžadovat, abyste se přímo přihlásili jako správci počítače. Budou to sice případy ojedinělé, nicméně k nim určitě někdy dojde – s tím se ale nedá nic dělat, je to prostě vlastnost operačního systému jako takového.

Nakonec nezapomeňte uložit na bezpečné místo heslo k nově vytvořenému účtu správce (v našem případě k uživatelskému účtu Admin), abyste jej nezapomněli. V této souvislosti se nabízí možnost použít správce hesel, který zajistí, že toto heslo skutečně nikde neztratíte.