Windows pod vaší ochranou

1. 11. 2002

Sdílet

Nic si nenamlouvejte Windows jsou velmi snadno napadnutelná, samozřejmě pokudse sami nepostaráte o opak. Přečtěte si, jakými všemi prostředky je můžete ochránit. Nejrůznější záp...
Nic si nenamlouvejte Windows jsou velmi snadno napadnutelná, samozřejmě pokud
se sami nepostaráte o opak. Přečtěte si, jakými všemi prostředky je můžete
ochránit.

Nejrůznější záplaty pro Windows, MS Office a Internet Explorer se objevují
takřka každý měsíc, a přesto je většinou pozdě. Zkrátka, kdo chce mít svůj
operační systém zabezpečený, ten na firmu Microsoft nesmí spoléhat. V tomto
článku vám ukážeme triky, jež vám ve Windows 95, 98 a ME ušetří řadu
nepříjemných překvapení. Následovníci systému Windows NT tj. Windows 2000 a XP,
ale přinášejí bezesporu lepší úroveň bezpečnosti systému, ovšem na úkor
uživatelského komfortu. Proto se dozvíte, jaké možnosti vám nabízejí šikovně
nastavená uživatelská práva.

Kupříkladu programy MS Outlook či Internet Explorer poskytují ideální podmínky
pro působení nejrůznějších e-mailových červů. Jejich standardní nastavení jsou
velmi laxní a nedostatečně vysvětlená. Dokázali byste přesně vysvětlit, co
jednotlivé volby v těchto programech způsobují? Rámečky s nadpisem Internet
Explorer: Nastavení zabezpečení vám vše potřebné prozradí.

Absolutní bezpečnost neexistuje ovšem ani přesto není třeba panikařit.
Prozíravým nastavením řady parametrů můžete dosáhnout takového stupně
zabezpečení, které pro jednotlivý počítač či malou síť bohatě postačí. A ještě
jedno upozornění: V případech, kdy se názvy položek menu či příkazů v
jednotlivých verzích Windows či Office významně liší, jsme uvedli jejich popis
poněkud podrobněji.

1. Viditelné přípony souborů i v přílohách e-mailů

Problém: To, že program Průzkumník standardně nezobrazuje některé přípony
souborů, je známá věc, která je řadě uživatelů jen pro zlost. Stejně tomu ale
je i u příloh e-mailů, jež přijímáte prostřednictvím programů MS Outlook či
Outlook Express. Tak se může na první pohled soubor CLICKME.TXT.VBS jevit jako
textový, a tím i neškodný.

Řešení: Zobrazení přípon souborů v MS Outlooku a Outlook Expressu nastavíte
pomocí programu Průzkumník Windows. Klepněte v něm do menu Nástroje/Možnosti
složky a zde pak na kartu Zobrazení. Tady zrušte zatržítko u položky Skrýt
příponu souborů známých typů. Když odhlédneme od LNK a PIF souborů, vidíme
všechna jména souborů i s příponou a to jak v programu Průzkumník, tak v
poštovních programech MS Outlook a Outlook Express.



2. Zobrazení souborů skriptů namísto jejich spuštění

Problém: Obsah souborů skriptů je při poklepání na ně v programu Průzkumník
nebo v poštovních programech MS Outlook či Outlook Express standardně okamžitě
vykonán.

Řešení: Toto standardně nastavené chování se dá velmi snadno předefinovat tak,
aby při poklepání na soubory skriptů nedocházelo k jejich spuštění, nýbrž
například k jejich otevření v programu Poznámkový blok. A to platí i pro
skripty v přílohách e-mailových programů. Změnu nastavení provedete tak, že si
v programu Průzkumník klepnete na menu Nástroje/Možnosti složky a zde vyberete
kartu Typy souborů. Nyní si najdete typ skriptu, například VBS (Visual Basic
Script). Ve Windows 98 jeho chování změníte stiskem tlačítka Upravit. Windows
ME, 2000 a XP nabízejí na stejném místě k tomuto účelu tlačítko Upřesnit. Poté
uvidíte v následujícím okně všechny možné akce definované pro tento typ
souboru. Jako standard je povětšinou definován příkaz Otevřít, jenž je zobrazen
tučným písmem. Změnu provedete tak, že klepnete na položku Úpravy a následně
stisknete tlačítko Nastavit výchozí. Stejné nastavení můžete provést i pro
další typy souborů skriptů jako jsou JS či HTA.

Po takto provedených nastaveních už skript nespustíte poklepáním, ale příkazem
Otevřít z kontextového menu vyvolaného klepnutím pravým tlačítkem myši na
soubor skriptu.



3. Klíče v registru Windows: Upravovat zakázáno

Problém: Řada aplikací provádí úpravy konfigurace počítače bez vašeho vědomí.
Někdy dokonce stačí pouhá návštěva nějaké internetové stránky či neuvážené
klepnutí na tlačítko OK v nějakém dialogovém okně, a v tu ránu je změněno
nastavení domovské stránky v programu Internet Explorer nebo překonfigurována
úroveň zabezpečení.

Řešení: V operačních systémech Windows 2000 a XP Professional můžete s trochou
úsilí takovým machinacím zabránit. Potřebné kroky vám ukážeme na dvou
příkladech. Předpokladem pro to, abyste si nezpůsobili další problémy, je ovšem
důkladná znalost registru Windows.

Windows ukládají některá svá důležitá nastavení do klíče
Hkey_Current_User\Software\Microsoft\Internet Explorer\Main. Definice domovské
stránky je uložena v hodnotě Start Page. K zamezení manipulace s konfigurací
programu Internet Explorer je nutné postupovat takto: Nejprve spusťte program
Editor registru ten je představován souborem REGEDT32.EXE ve Windows 2000 a
souborem REGEDIT.EXE ve Windows XP. Najděte v něm výše zmíněný klíč a označte
jej. Ve Windows 2000 klepněte v menu na příkaz Zabezpečení/Oprávnění, ve
Windows XP na Úpravy/Oprávnění a stiskněte tlačítko Upřesnit. Zde vyberte ze
seznamu aktuálně přihlášeného uživatele a stiskněte tlačítko Upravit. V
následujícím dialogovém okně potom zatrhněte položku Odepřít v řádku Nastavit
hodnotu. Od této chvíle se žádná z hodnot v tomto klíči nebude moci změnit.
Položky, které definují připojení k internetu, jsou umístěny v klíči
Hkey_Current_User\Software\Microsoft\Windows\CurrentVersion\Internet Settings.
Hodnota typu DWORD s názvem EnableAutodial stanovuje, zda se má při požadavku
na připojení k internetu spojení navazovat automaticky. Některé programy, které
dokáží během brouzdání na internetu přerušit připojení a navázat nové, ovšem na
číslo do zahraničí s několikanásobně dražším tarifem, využívají právě funkci
automatického navazování připojení. I zde můžete změnit oprávnění takovým
způsobem, jak bylo popsáno v předešlém případě. Veškeré manipulace v klíči jsou
následně vyloučeny.



4. Rozpoznání spuštění nežádoucích aplikací

Problém: Máte podezření, že nějaký program na vašem počítači nainstaloval
rovněž Spyware (špionážní software) nebo Adware (reklama), nevíte ale, jak si
tuto skutečnost ověřit.

Řešení: Některé aplikace si počínají tak rafinovaně, že je můžete odhalit
opravdu jen s největším úsilím. Jistou úroveň ochrany poskytují některé zdarma
dostupné utility. Takovým příkladem může být i program Ad-Aware, jenž naleznete
ve verzi 5.83 a který je určen pro Windows 95/98/ME, NT4, 2000 a XP. Také si
jej můžete stáhnout na adrese http://www.lavasoftusa.com (AAW.EXE, 871 KB). Po
odstranění Spyware či Adware se ale většinou budete muset smířit s tím, že
aplikace, se kterou se tyto programy do počítače dostaly, s největší
pravděpodobností nebude fungovat.

Ovšem i bez pomocných utilit se můžete dozvědět řadu zajímavých informací.
Většina programů patřících do kategorie spywaru a adwaru se umisťuje v registru
do klíčů Hkey_Current_User\Software\Microsoft\Windows\CurrentVersion\Run anebo
Hkey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run. Některé z
nich rovněž používají složku Po spuštění, aby se spouštěly současně s Windows.
Méně často se pak už využívají příkazy Run= či Load= v souboru WIN.INI
nacházejícím se ve složce Windows, anebo možnost umístění odkazu v souboru
AUTOEXEC.BAT, jenž se nalézá na disku C:.

Všechna výše zmíněná místa můžete prověřit buď jednotlivě prostřednictvím
programů Editor registru a Poznámkový blok, anebo také můžete použít program
Nástroj pro konfiguraci systému (Msconfig). Tento je k dispozici ve
standardních instalacích Windows 98, ME a XP. Zde na kartě Po spuštění pečlivě
zkontrolujte každý soubor a také jeho umístění. Pokud naleznete takovou cestu k
souboru, o níž tušíte, že vám není nijak povědomá, jedná se s nejvyšší
pravděpodobností a spyware nebo adware. Takové podezřelé cesty mohou být
kupříkladu C:\Program Files\TimeSink\Adgateway\Tsadbot.EXE nebo také C:\Program
Files\Common Files\CMEII\Cmesys.EXE. Utilita Msconfig vám dovoluje také
spouštění podezřelých položek dočasně deaktivovat a popřípadě znovu aktivovat.



5. Automatické spouštění programů pod stálou kotrolou

Problém: Trojské koně, programy pro vytáčení telefonních čísel s drahým tarifem
nazývané také podle Českého Telecomu jako podvody ActiveX, spyware a další námi
nevyžádané programy umisťují většinou odkazy na sebe do klíče Run v registru
Windows anebo do složky Po spuštění. Neustálá manuální kontrola těchto položek
je však velmi otravná.

Řešení: Ustavičnou kontrolu všech spouštěných programů vám zaručí námi
vytvořená utilita představovaná souborem CHKRUN.HTA, kterou najdete jako soubor
CHKRUN.ZIP (176 KB). V tomto archivu naleznete samotný soubor CHKRUN.HTA,
soubor ikony IDG.ICO a konečně prvek Active X s názvem PCWENREG.DLL. Rozbalte
celý archiv do libovolné složky a soubor PCWENREG.DLL zkopírujte do složky
System vaší verze Windows (např. do C:\Windows\System). Dále je nutné provést
registraci tohoto prvku do systému. To učiníte příkazem

regsvr32 C:\Windows\system\pcwenreg.dll

Parametr C:\Windows\System zde představuje cestu ke systémové složce Windows tu
je třeba nastavit v závislosti na vaší verzi Windows. Samotný HTA soubor
spustíte poklepáním na něj, ale velmi doporučujeme si jej umístit i do složky
Po spuštění pak vám bude hlídat váš systém neustále. V tomto případě je nutná
ještě drobná úprava. Po umístění zástupce skriptu do složky Po spuštění zde na
něj klepněte pravým tlačítkem myši a z kontextového menu zvolte příkaz
Vlastnosti. Na kartě Zástupce zadejte do políčka Cíl: cestu k souboru skriptu s
parametrem /c. Výsledný příkaz pak bude vypadat asi takto:

C:\Program Files\chkrun\CHKRUN.HTA /c

Při dalším spuštění počítače se vytvoří záložní soubor, jenž bude obsahovat
všechny odkazy na programy, které se automaticky spouštějí. Jeho název je
SYSBKUP.TXT a vytvoří se ve složce Windows.

Následně při každém startu Windows skript CHKRUN.HTA prověří, zda se v textovém
souboru uložené informace neliší od údajů v registru. Pokud program najde ve
sledovaných místech registru nějakou novou položku, zobrazí při startu Windows
varovné hlášení a vypíše nalezené změny.

Spustíte-li program standardním způsobem, máte v něm například možnost po
stisku tlačítka Zálohovat vytvořit nový záložní soubor. Tato operace má smysl
třeba v případě po instalaci nového softwaru, který provedl ve sledovaných
klíčích změny vámi povolené. Další možností je načtení záložního souboru a
porovnání jeho obsahu s aktuálním stavem systému.

Soubor CHKRUN.HTA standardně kontroluje kromě klíčů Run také klíč
Hkey_Current_User\Software\Microsoft\Windows\CurrentVersion\InternetSettings a
u Windows 95/98/ME navíc Hkey_Current_User\Software\RemoteAccess\Addresses. Zde
totiž leží data pro Telefonické připojení sítě, která mohou být potenciálně
změněna programy pro vytáčení telefonních čísel s drahým tarifem.

Pro zvídavější čtenáře: V případě souboru CHKRUN.HTA se vlastně jedná o HTML
aplikaci s kódem ve VB Scriptu. Zdrojový kód si proto můžete otevřít v
libovolném textovém editoru a upravit podle svých požadavků. Další informace
naleznete v komentářích uvnitř zdrojového kódů skriptu.



6. Uživatelská práva ve Windows 2000 a XP jako postředek pro zvýšení
bezpečnosti systému

Problém: Windows 2000 a XP Professional nabízejí obecně lepší úroveň
zabezpečení než Windows 95/98/ME. Jak ji však využít v konkrétních případech na
ochranu proti trojským koním, virům nebo programům pro vytáčení telefonních
číslem s vysokým tarifem?

Řešení: Jednoznačným kladem týkajícím se bezpečnosti u systémů založených na
technologii NT, jako jsou Windows 2000 nebo XP, je možnost přidělit nebo
odepřít jednotlivým uživatelům práva v systému souborů. Zcela zásadním
pravidlem pro bezpečnost je to, že vy sami byste nikdy neměli na počítači
pracovat přihlášení jako administrátor, nýbrž jako uživatel s nějakým způsobem
nastavenými právy. Neboť to, co vy jako běžný uživatel nesmíte, tak to také
nesmí žádný software, který používáte. Podmínkou pro fungování přístupových
práv jsou Windows nainstalovaná na souborovém systému NTFS. Z toho, co bylo
napsáno výše, vyplývá, abyste si pro běžnou práci vytvořili nového uživatele a
přidělili mu heslo. Tento uživatel bude nejspíše členem skupiny Uživatelé a ti
mají práva omezena. Tak kupříkladu nemají právo zápisu do souborů ležících mimo
složku Dokumenty. Případný virus tak může napáchat škody pouze v určitém
rozsahu. Proti programům pro vytáčení telefonních čísel s vysokým tarifem tento
prostředek pomáhá jen málo, protože každý uživatel má přiděleno právo vytvářet
nová telefonická připojení a instalovat modem či kartu ISDN. A právě zde jsou
vrátka do systému otevřená.

V dialogovém okně Zásady skupiny, jež otevřete poklepáním na soubor GPEDIT.MSC,
existuje pod ikonou Konfigurace uživatele podle názvu velmi slibně znějící
položka Šablony pro zprávu/Síť/Síťová a telefonická připojení. Změna parametrů
na tomto místě má však pouze charakter kosmetický. Když zde znemožníte
konfiguraci telefonického nebo RAS (Remote Acces Control) připojení, projeví se
to pouze na možnostech nastavení v Ovládacích panelech při poklepání na ikonu
Síťová a telefonická připojení. Programy pro vytáčení telefonních čísel s
vysokým tarifem tato nastavení dokáží obejít.



7. Windows 2000 a XP: Ochrana před viry pomocí programu Poledit

Problém: Většina virů přichází do počítače ve formě spustitelných souborů.
Proto by to chtělo, abyste mohli uživatelům počítače dovolit spouštění pouze
jen některých programů. Ve Windows 2000 a XP k tomuto účelu chcete použít
dialogové okno Zásady skupiny (GPEDIT.MSC). Bohužel zde nenajdete žádnou
variantu, jak omezit práva skupin anebo uživatelů.

Řešení: Ač by se podle názvu Zásady skupiny mohlo zdát, že je v tomto
dialogovém okně možné jednotlivým skupinám či uživatelům přiřadit rozdílná
práva, bohužel to pro operační systémy Windows 2000 a XP Professional není
pravda. Aby se jednotlivá nastavení dala přes toto dialogové okno měnit nejen
globálně, ale i individuálně, musel by být počítač připojen do počítačové sítě
v doméně s aktivovanou službou Active Directory. V opačném případě se u
jednotlivého počítače všechna omezení vztahují vždy na každého uživatele včetně
administrátora. Při nastavování těchto zásad je tedy zapotřebí dávat velký
pozor na to, abychom si sami omylem neuzavřeli cestu.

Pro Windows 2000 a XP Professional nikoliv Home však existuje jedna
alternativa, kterou je použití programu Poledit, známého již z Windows 95/98/ME
a NT4. Tento program ve verzi 4.0 určený pro Windows 95/98/ME, NT4, 2000 a XP
najdete , případně je ke stáhnutí na adrese
http://www.microsoft.com/Office/Ork/Download/Setuppol.exe (SETUPPOL.EXE, 269
KB). Tato verze je sice určena pro konfiguraci MS Office 97, dá se ale rovněž
použít pro přidělování práv jednotlivým uživatelům ve Windows. K tomu účelu ale
musíte Poledit rozšířit o vlastní šablony zabezpečení (jedná se o soubory ADM).
Podrobnosti naleznete na internetové stránce
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/policy/policy/s
ystem_policies.asp. Námi vytvořená šablona RESTRICTRUN.ADM o velikosti 4,40 KB,
kterou naleznete , již obsahuje vše potřebné pro to, aby se dal omezit přístup
jednotlivého uživatele na určité programy. Postupujte podle následujících kroků:

1. Nainstalujte si program Poledit a spusťte jej. Klepněte do menu Options a
vyberte položku Policy Template. Stiskem tlačítka Add pak vložte šablonu
RESTRICTRUN.ADM.

2. Klepněte na menu File/Open Registry a nato poklepejte na ikonu Local
Computer. Poklepáním na položku Poledit dojde k jejímu rozbalení a vy můžete
zatrhnout položku Aktivace POL souborů pro nastavení prostředí pro více
uživatelů. Ve spodní části okna do políčka Cesta zadejte cestu k POL souboru,
který si ale budete teprve vytvářet (viz bod č.5) například
C:\Policies\SEC.POL. Příkazem File/Save provedené změny uložíte do registru.

3. Klepněte do menu File/New Policy a pomocí menu Edit/Add User vložte nového
uživatele. Jméno uživatele musí přesně odpovídat přihlašovacímu jménu do
Windows.

4. Poklepejte na ikonu právě vytvořeného uživatele a ve stromové struktuře
poklepejte na položku SystemControl a po jejím rozbalení zatrhněte parametr
RestrictApps. Nyní v dolní části dialogového okna stiskněte tlačítko Show a v
následujícím okně s názvem Show Contents můžete prostřednictvím tlačítka Add
vložit názvy aplikací, které bude moci tento uživatel spouštět. V dialogovém
okně Add Item k položce Type the name of the item to be added napište číslici a
do políčka Type the value of the item to be added zadejte přesný název
aplikace, například winword.exe, iexplore.exe či msimn.exe.

5. Zavřete všechna dialogová okna a soubor POL uložte pomocí příkazu File/Save
pod jménem, které jste zadali v kroku č.2.

Až se příště zmíněný uživatel přihlásí do systému, nahrají Windows obsah POL
souboru do registru. Jiné aplikace než ty, jež jste mu povolili, se mu spustit
nepodaří. Takže bude zabráněno i případnému spuštění potenciálně nebezpečných
aplikací v přílohách e-mailů. Pro spuštění e-mailových příloh je potom nutné
přihlásit se jako uživatel bez výše nastavených omezení.



7. Šifrování dat na diskovém oddílu NTFS: Zálohování certifikátu pro případ
nouze

Problém: Souborový systém typu NTFS ve Windows 2000 a XP Professional nabízí
pro zvýšení bezpečnosti funkci šifrování souborů na pevném disku. Tato funkce
se nastavuje v kontextovém menu souborů a složek, když klepnete na kartu Obecné
a zde stisknete tlačítko Upřesnit. Tak můžete ochránit svoje data před
neoprávněnými zásahy jiných osob, a to i v případě, kdy vám někdo ukradne celý
počítač nebo jen pevný disk. Ovšem pozor v případě, kdy musíte z nějakých
důvodů Windows instalovat znovu, ztrácíte tím totiž klíč k dešifrování souborů
na pevném disku. Pak se k datům nedostanete ani když se přihlásíte jako
administrátor bez toho správného certifikátu to prostě nejde.

Řešení: Pokud si budete chtít šifrování dat na diskovém oddílu typu NTFS
povolit, musíte si zároveň zajistit ke svým datům přístup i pro případ nouze.
Patřičný certifikát pro dešifrování vašich dat vytvářejí Windows automaticky,
jakmile zašifrujete první soubor. Tento certifikát si pak můžete právě pro
nouzové případy uložit na disketu a tu si uložit na nějakém bezpečném místě.
Otevřete si Ovládací panely a poklepejte na ikonu Možnosti sítě Internet.
Přesuňte se na kartu Obsah a tam stiskněte tlačítko Certifikáty. Zde uvidíte
přehled všech instalovaných certifikátů vašeho uživatelského konta. Pro
šifrování souborů jsou zajímavé pouze ty certifikáty uvedené na kartě Osobní.
Když na každý postupně klepnete, uvidíte v dolní části okna jeho popis. U
našich certifikátů je popis "Probíhá šifrování systému souborů". Pro export
certifikátu stiskněte tlačítko Exportovat, čímž se vám otevře okno průvodce, v
němž stiskněte tlačítko Další. V následujícím dialogovém okně zvolte položku
Ano, exportovat soukromý klíč a opět klepněte na tlačítko Další. Nyní vidíte
nastavení pro formát souboru pro export. Zde můžete ponechat výchozí nastavení.
V dalším kroku je ještě třeba zadat heslo pro ochranu privátního klíče. Toto
heslo použijete při pozdějším importu klíče. Zde se vlastně jedná o další
stupeň ochrany, aby si váš klíč nemohl přečíst každý, kdo se dostane na médium,
kde bude uložený. Zapamatujte si toto heslo dobře v opačném případě vám bude
vyexportovaný certifikát na nic.

V posledním kroku zadejte libovolnou platnou cestu a název souboru např.
A:\key, příponu PFX připojí Windows automaticky. Konečně stiskněte tlačítko
Další a následně Dokončit.

Při pozdějším importu stačí na soubor s certifikátem poklepat myší a
automaticky se spustí průvodce importem certifikátu. Po dvojnásobném stisku
tlačítka Další budete vyzváni k zadání hesla. Zde se nejedná o heslo pro
přihlášení do Windows, nýbrž o to, které jste zadávali při exportu certifikátu.
Kromě toho zatrhněte položku Označit soukromý klíč jako exportovatelný a opět
stiskněte tlačítko Další. Nyní se objeví možnosti volby úložiště certifikátů,
kde můžete nechat přednastavenou položku pro jeho automatický výběr. Nyní stačí
import uzavřít postupně stiskem tlačítek Další, Dokončit a OK.



9. Telefonické připojení do sítě: Ochrana před vytvářením nových připojení

Problém: Programy pro vytáčení telefonních čísel s drahým tarifem přidávají
zpravidla ke konfiguraci telefonického připojení sítě tajně nová připojení,
která poté nastavují jako standardní. Vy byste chtěli takovým manipulacím
zabránit.

Řešení: Pro verze Windows 95/98/ME nám dosud není známa žádná možnost, jak
takovým úpravám v Telefonickém připojení sítě zabránit. Všechna nastavení jsou
nastavena v registru Windows, kam mají všechny programy, a tedy i zmíněné
aplikace pro vytáčení čísel s drahými tarify, právo zápisu. Tady vám pomohou
pouze speciální utility. Ve Windows 2000 a XP však existuje poměrně jednoduchý,
ale ve většině případů účinný způsob pro zabezpečení. Nastavení Telefonického
připojení sítě je uloženo pro každého uživatele v souboru RASPHONE.PBK, který
se nachází ve složce Documents and Settings\\Data aplikací
\Microsoft\Network\Connections\PBK. Abyste zabránili možnosti úpravy daného
souboru, můžete soubor RASPHONE.PBK buď opatřit atributem Jen pro čtení, nebo
pro tento soubor omezit právo na zápis pouze na administrátora. K tomu účelu
klepněte na soubor RASPHONE.PBK pravým tlačítkem myši, z kontextového menu
vyberte příkaz Vlastnosti a na kartě Zabezpečení označte odpovídajícího
uživatele nebo skupinu uživatelů. Oprávnění Zapisovat potom nastavte na hodnotu
Odepřít a vše potvrďte stiskem tlačítka OK. Pro pozdější úpravu telefonických
připojení se ale musíte přihlašovat jako administrátor, anebo ochranu proti
zápisu odstranit.



10. Telefonické připojení sítě: Vytáčení přes router

Problém: Stoprocentní ochrana Windows proti všem nebezpečím z internetu je v
současnosti prakticky nemožná. Ovšem ten, kdo poslechne rad uvedených v tomto
článku, k tomu si dále pořídí dobrý antivirový program, firewall, program pro
zabránění vytáčení čísel s drahým tarifem a bude si instalovat updaty
odstraňující bezpečnostní trhliny v operačním systému, je skutečně proti útokům
z internetu velmi slušně vybaven. Ale i tehdy se mohou na scéně objevit šikovně
naprogramované aplikace pro vytáčení čísel s drahým tarifem, které vám mohou
zvednout poplatky za telefon do značné výše. Řešení: Dalším stavebním kamenem
pro účinné zabezpečení vašeho systému může být externí router. Při jeho použití
se pak připojení k internetu nenavazuje přímo přes počítač, nýbrž přes síťovou
kartu a právě router. V tomto případě nemají programy pro vytáčení čísel s
drahým tarifem naprosto žádnou šanci. Navíc většina routerů jako další stupeň
ochrany obsahuje firewall. Router existuje jako čistě hardwarová komponenta,
jejíž cena se pohybuje od asi 6 000 Kč. Cenově výhodnější, flexibilnější a
víceméně i jistější je pořízení routeru jako speciálního softwaru například na
bázi Linuxu. Ten dokáže navázat připojení nejen přes DSL či ISDN, nýbrž v
některých případech i přes modem.

Kvůli velmi jednoduché konfiguraci ve Windows stojí zcela jistě za zmínku
zdarma dostupná utilita FLI4L. naleznete verzi 2.0.4a (FLI4L.ZIP, 7,33 MB),
případně si ji můžete stáhnout na internetové adrese
http://www.fli4l.de/e_index.htm. Co se hardwarových nároků týče, je tento
program vskutku velmi skromný. K provozu mu stačí i dnes již zastaralý počítač
(od 486 výše) a 16 MB RAM, s disketovou mechanikou a síťovou popřípadě ISDN
kartou. Ostatně program FLI4L nepotřebuje ani počítač s pevným diskem, dá se
kompletně spustit a provozovat z diskety.

Další zdarma dostupné routery, schopné běžet z diskety, jsou k nalezení na
internetových adresách Leaf (http://leaf.sourceforge.net), LRP
(http://www.linuxrouter.org) a konečně Coyote Linux
(http://www.coyotelinux.com).




Zabezpečení: Nástroje a alternativy

Antivirový program: Na internetové adrese
http://www.f-prot.com/download/getfpdosfree.html (F-PROT.ZIP, 1,46 MB)
naleznete antivirový program F-Prot 3.12a ve verzi pro operační systém MS-DOS.
Tato aplikace je pro soukromé použití zdarma a dá se použít i ve všech verzích
Windows. Na zmíněné adrese rovněž naleznete i aktuální updaty.

Internetový prohlížeč: Alternativní prohlížeče mají daleko méně problémů se
zabezpečením, na rozdíl od programu Internet Explorer, neboť v jejich případě
neexistuje žádné těsné spojení s operačním systémem. Například K-Meleon,
založený na enginu Mozilly, je obzvláště rychlý prohlížeč, přitom je co do
velikosti poměrně malý. Verzi 0.6 naleznete , případně si ji můžete stáhnout z
adresy http://kmeleon.sourceforge.net. Český překlad programu naleznete v
souboru TRANSLATION.CZ.ZIP (2,46 KB). Program je distribuován pod licencí GNU
Public License (KMELEON06.EXE, 3,89 MB).

Firewall: Firewally chrání váš počítač, aby se do něj nemohl dostat přes síťové
připojení nikdo neoprávněný. Tyto programy se dají nakonfigurovat tak, že si
sami můžete určit, který z uživatelů počítačové sítě bude mít dovolen přístup
do vašeho počítače. Z celé řady dostupných aplikací vám doporučujeme program
Zone Alarm, který je pro soukromé použití zdarma. Verzi 3.1.291 určenou pro
Windows 95/98/ME, NT4,2000 a XP naleznete , případně na internetové adrese
http://www.zonelabs.com (ZASETUP3101.EXE, 3,40 MB).

Program pro práci s elektronickou poštou: Jako alternativu k programům firmy
Microsoft, jež jsou plné nejrůznějších zvláště týkajících se nedostatků
bezpečnosti, vám můžeme rozhodně doporučit freewarový program Pegasus Mail.
Tato aplikace je určena pro Windows 95/98/ME, NT4, 2000 a XP, a verzi 4.02
naleznete buď , nebo na internetu na adrese http://www.pmail.com (W32-402.EXE,
3,76 MB).

Prostřednictvím další utility Quick Delete si můžete své e-maily prohlížet jako
textové soubory přímo na serveru, a případně je ihned odstranit. Podezřelé
e-maily se tak vůbec do vašeho počítače nedostanou. Utilitu ve verzi 3.1 pro
Windows 95/98/ME, NT4, 2000 a XP najdete , nebo na interntu na
http://www.yeti-soft.de/eng/index.html (QUICKDEL.EXE, 889 KB).




Internet Explorer: Nastavení zabezpečení (I)

Program Internet Explorer nabízí v menu Nástroje pod položkou Možnosti
Internetu na kartě Zabezpečení celou řadu nastavení, jež se částečně vztahují i
na aplikace MS Outlook a Outlook Express. Dokonce ani zkušení uživatelé často
neznají jejich význam a použití. V následujících řádcích vám proto nabízíme
výběr možností nastavení zaměřených zvláště na zabezpečení systému. Co se týče
názvů položek, řídíme se verzí Internet Explorer 6 v jednotlivých verzích totiž
existují v tomto ohledu některé odchylky.


Zóny

Program Internet Explorer rozděluje všechny WWW stránky do čtyř částí
nazývaných zóny. Pravidla zabezpečení, jež nastavíte pro zónu Internet, platí
pro všechny internetové stránky, jež nejsou explicitně přiřazeny žádné jiné
zóně. Výjimkou z tohoto pravidla je zóna Místní intranet, kterou se myslí vaše
počítačová síť.

Nejlépe si to osvětlíme na konkrétním případě: Představme si, že v zóně
Internet nastavíme položku Stažení/Stažení souboru na hodnotu Zakázat. Toto
nastavení pak platí pro všechny internetové stránky. Když ale v zóně
Důvěryhodné servery pod tlačítkem Servery nastavíte internetovou adresu
http://www.pcworld.cz, je stahování souborů z ní povoleno, protože jste ji do
této zóny explicitně přiřadili. Kromě toho, že máte možnost stahování souborů
obecně povolit, existuje také způsob, jak z určitých internetových adres
stahování výslovně zakázat. V tomto případě postupujete tak, že v zóně Internet
stahování souborů povolíte, avšak v zóně Servery s omezeným přístupem stahování
souborů zakážete. Je třeba upozornit také na to, že všechny vámi provedené
změny nastavení se projeví až poté, co ukončíte všechny instance programu
Internet Explorer včetně aplikací MS Outlook, případně Outlook Express, a
následně je spustíte znovu. Co se týče souborů cookies, možnosti nastavení
naleznete v menu Nástroje/Možnosti Internetu na kartě Osobní údaje.
Deaktivování souborů cookies je však kvůli jejich rozsáhlému používání, jelikož
na ně narazíte prakticky na většině internetových stránek, značně nepraktické.


Nastavení úrovně

Ovládací prvky ActiveX a moduly plug-in: Firma Microsoft rozlišuje mezi prvky a
moduly bezpečnými a nebezpečnými. Jako bezpečné jsou pak chápány ty, které jsou
opatřeny digitálním podpisem, například od firmy Macromedia. Kupříkladu
jestliže se objeví nová verze programu Flash Player, nabízí tato firma jeho
update právě přes internet. Poznáte to tak, že se vám na monitoru objeví prvek
ActiveX ve formě dialogového okna, v němž máte možnost instalaci updatu
programu povolit nebo zamítnout. Kromě toho také máte zde možnost určit, zda
chcete obsahu od této firmy důvěřovat i v budoucnu. Když tuto možnost povolíte,
budou se příště případné další updaty instalovat již automaticky.

Samozřejmě máte možnost prvky ActiveX a moduly plug-in deaktivovat a poté je v
zóně Důvěryhodné servery postupně povolit tím, že do ní zadáte internetové
servery, kterým důvěřujete. V zóně Servery s omezeným přístupem by však měly
být prvky ActiveX a moduly plug-in v každém případě deaktivovány.




Internet Explorer: Nastavení zabezpečení (II)

Stažení: Zakázání položky Stažení souboru není moc dobrým nápadem. Stejně jste
před každým stahováním souboru nuceni tento download odsouhlasit. V každém
případě můžete v zóně Servery s omezeným přístupem nadefinovat internetové
adresy, a z nich potom stahování souborů zakázat. U položky Stažení písma tedy
doporučujeme zvolit parametr Dotázat se.


Skriptování

Aktivní skriptování: Zde se jedná o povolení či zákaz velmi riskantní
dovednosti programu Internet Explorer. Povolení aktivního skriptování totiž
umožní na vašem počítači spouštění Java skriptů, VB skriptů a prvků ActiveX
nacházejících se na vzdálených počítačích. Ten, kdo sází na jistotu, by měl mít
ve všech zónách vyjma Místní intranet a Důvěryhodné servery tuto možnost
zakázanou. Pakliže zvolíte možnost Dotázat se, budete mít co dělat někdy až s
nesnesitelným množstvím dialogových oken.

Povolit operace vkládání prostřednictvím skriptů: I zde se doporučuje nastavení
na položku Zakázat, čímž zabráníte tomu, aby se data ze schránky vašeho
počítače načítala pomocí skriptu.

Skriptování apletů v jazyce Java: Tato možnost vykazovala dlouhou dobu
bezpečnostní trhlinu, jež byla opravena až novou verzí součásti Java Virtual
Machine. Přesto vám doporučujeme tento parametr povolit pouze v zónách Místní
intranet a Důvěryhodné servery.


Různé

Trvalost uživatelských dat: Jestliže se na internetových stránkách někam
přihlašujete, určuje tento parametr, že pokud budete souhlasit, zapamatuje si
vaše přihlašovací jméno a heslo, abyste je příště nemuseli zadávat. Naše
doporučení je volba položky Zakázat, snad kromě zóny Místní intranet, kde může
být povolena.

Instalace součástí pracovní plochy: Přes kontextové menu programu Internet
Explorer si můžete kupříkladu nastavit obrázek na internetové stránce jako
pozadí své pracovní plochy. Zde doporučujeme tuto možnost nastavit na hodnotu
Dotázat se.

Nezobrazovat výzvu k výběru certifikátu...: Při otevírání WWW stránek se v
některých případech data přenášejí pomocí šifrovaného SSL (Secure Socket Layer)
připojení, jež je zabezpečeno certifikátem. To může být třeba tehdy, když
platíte svojí kreditní kartou přes internet. Tuto volbu byste měli mít ve všech
zónách deaktivovanou. Jen tehdy budete pak vždy dotázáni, když vám bude
internetová stránka nabízet certifikát, který je pro přenos dat k danému
serveru nezbytný.




Internet Explorer: Nastavení zabezpečení (III)

Povolit parametr META REFRESH: Když máte být po uplynutí určité doby přesunuti
z jedné internetové stránky na jinou, například proto, že se další informace
vyskytují na jiném serveru, obsahuje stránka v HTML kódu příkaz Meta Refresh.
Vzhledem k tomu, že většina takových stránek stejně obsahuje odkaz na stránky s
dalšími informacemi, k nimž se dostanete klepnutím právě na takový odkaz, není
automatické přesměrování vztažené na časový limit pro vás nijak přínosné. Z
tohoto důvodu můžete tuto volbu všude zakázat. Tím rovněž třeba zabráníte tomu,
abyste byli automaticky přesměrováváni na stránky erotického či reklamního
charakteru.

Navigace dílčími rámci mezi různými doménami: Když je internetová stránka
rozdělena na rámce, dají se v nich zobrazovat také internetové stránky z jiných
WWW serverů. Ty by mohly napodobovat seriózní WWW stránky, a tím se dostat k
člověkem bezelstně zadaným osobním údajům. Pro tento problém existuje opravný
balíček, který naleznete pro verzi programu Internet Explorer 6.0 , případně si
tento a balíčky pro dřívější verze programu můžete stáhnout na internetové
adrese http://www.microsoft.com/windows/ie/downloads/critical/q321232
/default.asp (Q321232.EXE, 3,88 MB). Jeho instalace zabraňuje předávání
formulářových dat v prohlížeči. V tomto případě doporučujeme nastavit hodnotu
Dotázat se.

Odesílat nezašifrovaná formulářová data: Při vyhledávání na internetu pomocí
vyhledávačů se hledaný výraz zadává do políčka definovaného jako formulář. Po
zadání výrazu, který se má vyhledat, se tento posílá přes internet v
nezakódované podobě. Proto doporučujeme v zóně Servery s omezeným přístupem
nastavit tento parametr na Zakázat, v zóně Internet na hodnotu Dotázat se. Své
oblíbené vyhledávače a internetovou adresu poskytovatele e-mailové schránky si
můžete pak zadat do zóny Důvěryhodné servery a nastavit zde toto nastavení na
hodnotu Povolit, čímž se vyhnete zbytečným dialogovým oknům.


Další možnosti nastavení zabezpečení

V menu Nástroje/Možnosti Internetu naleznete na kartě Upřesnit položky
Zabezpečení a Procházení, v nichž můžete najít další varianty týkající se
tématu bezpečnosti.

Povolit Integrované ověření systémem Windows: Zde se jedná o hodně diskutovaný
způsob automatického přihlašování, při němž se přenáší mezi lokálním počítačem
a WWW serverem zašifrované informace o uživateli. Jedná se kupříkladu o
uživatelské jméno. Je-li uživatel na WWW serveru registrován, je spojení
uskutečněno, v opačném případě se zobrazí výzva pro zadání jména a hesla.
Většinou jsou tyto způsoby přihlašování omezeny na intranet. Povolte tedy toto
nastavení pouze při zřejmém požadavku.

Neukládat šifrované stránky na disk: Když jste navštívili zabezpečenou
internetovou stránku používající protokoly typu SSL či TSL, zůstávají všechny
informace stále na pevném disku počítače, a to ve složce Temporary Internet
Files, případně jako soubory cookies. Aktivujte proto tuto volbu, pokud chcete,
aby tato data byla vždy bezodkladně z počítače smazána.