Hlavní navigace

Windows XP: Konečně bezpečná

1. 1. 2006

Sdílet

Zabezpečte svůj počítač pomocí zdarma dostupných utilit!(CD)"Zapněte bránu firewall, nainstalujte všechny dostupné aktualizace, používejte nejnovější verzi antiviru!" Kolikrát už j...
Zabezpečte svůj počítač pomocí zdarma dostupných utilit!(CD)
"Zapněte bránu firewall, nainstalujte všechny dostupné aktualizace, používejte
nejnovější verzi antiviru!" Kolikrát už jste něco podobného slyšeli? A kolikrát
jste si tato slova vzali k srdci? V tomto článku vám předvedeme několik triků,
jak pomocí pouhých čtyř zdarma dostupných utilit snížíte nebezpečí napadení
počítače na minimum!
Ve vašem počítači je k dispozici řada preventivních prostředků a obranných
mechanismů, o nichž by měl každý uživatel minimálně vědět. Přesto stále dochází
k napadení počítačů různými viry nebo červy, i když by tomu tak vůbec nemuselo
být. V tomto článku vám prozradíme tipy pro zajištění bezpečnosti vašeho
počítače, které vám do značné míry usnadní život. Pomocí čtyř zdarma dostupných
utilit minimalizujete možnost napadení počítače a zároveň odstraníte všechny
škodlivé programy, které se snad již ve vašem počítači vyskytují.
V první části vám představíme správce úloh, který můžete nastavit tak, že
většinu nepovolených programů odstraníte z operační paměti pouhým stisknutím
tlačítka myši. Viry a červy, kteří se ve vašem počítači již rozšířili, je nutné
co nejrychleji zlikvidovat, a to nejlépe pomocí antivirového a antispywarového
programu. Nabídneme vám dva nástroje pro Windows, které na rozdíl od mnohých
specializovaných utilit zvládají následující dva úkoly týkající se bezpečnosti
počítače na výbornou. Prvním z nich bude utilita pro kontrolu programů, které
se spouštějí při startu Windows objevíte všechny chtěné i nechtěné položky,
umožňující spuštění toho či onoho programu a budete moci libovolnou z nich
deaktivovat.
Stejně tak důsledné bude i vyřazení nezvaných hostů díky důkladnému nastavení
přístupových práv do systému. Škodlivé programy se snaží napadat důležité
oblasti operačního systému, ale ty se dají chránit příslušným nastavením
přístupových práv. Nabídneme vám utilitu, která toto nastavení umožní provést
velmi pohodlně a jednoduše.
Nejdůležitější ze všeho je na nejvyšší míru omezit možnost napadení systému.
Existují například tak jednoduché možnosti jako vypnutí zobrazování e-mailů ve
formátu HTML nebo přechod na jiný internetový prohlížeč než Internet Explorer.
Nejúčinnějším prostředkem je zablokování přístupu k jednotlivým portům
zvnějšku. I to se dá zařídit velmi jednoduše pomocí utility, kterou vám rovněž
v tomto článku představíme.
Kombinací zabezpečení formou instalování aktualizací, firewallu a antivirového
programu můžeme ve spojení s našimi utilitami získat velmi dobře zabezpečený
systém. Naše tipy jsou určeny pro operační systémy MS Windows 2000 a XP, tipy v
druhé části článku také pro systémy MS Windows 98/ME.

Kontrola běžících procesů pomocí nástroje pcwListkill
1. Základy: procesy a aplikace
Viry, červi a spyware nic nezmohou, pokud leží na pevném disku a nejsou
aktivováni. Každý program, ať užitečný nebo škodlivý, se aktivuje až v
okamžiku, kdy se dostane do operační paměti, čímž se spustí jako proces. Bez
procesů by se na žádném počítači na světě nedalo provozovat nic. Jsou základem
pro správnou funkci operačního systému a spouštění aplikací. Úlohy pak
představují uspořádané řady procesů, které vyžadují již spuštěné jádro systému
jako interpreter a to poskytuje právě operační systém.
Z praktického hlediska jsou všechny ve Windows běžící a pro Windows napsané
aplikace, ať ty užitečné nebo škodlivé, úlohami. Když například úloha aplikace
typu červ přepíše soubor BOOT.INI, čímž poškodí systém tak, že se Windows již
příště nespustí, je to zjevně špatná úloha. Pokud na druhou stranu instalujete
do počítače další verzi Windows, pak úloha představující instalaci Windows
upraví soubor BOOT.INI tak, aby bylo možné při spuštění počítače vybrat, který
z obou operačních systémů se má spustit. Tady se jedná zjevně o prospěšnou
úlohu.
Z pohledu operačního systému se provádí v obou případech to samé úprava souboru
BOOT.INI. Možnosti výrobců antivirových programů jako specialistů jsou velmi
omezené. V první řadě musí reagovat na jednoznačně identifikované a již známé
hrozby, teprve pak vylepšují heuristickou analýzu umožňující odhalit škodlivý
software zde vycházejí většinou ze statistických dat. V praxi není vždy
jednoduché správně rozhodnout například úkol aplikace Wscript, který má
modifikovat registr Windows, by mohl být virem a z preventivních důvodů by se
mělo jeho spuštění zablokovat. Tato úvaha je sice na jednu stranu správná, ale
na druhou stranu přesně nevíme, zda se skutečně jedná o virus.

2. Prospěšné procesy: správce úloh systému Windows
Správce úloh zobrazuje a spravuje všechny běžící úlohy v systémech Windows.
Nejrychleji jej vyvoláte stiskem klávesové zkratky . Na
záložce Procesy vidíte jak prospěšné, tak škodlivé procesy, a to s názvy
souborů. Pokud si libovolnou položku označíte klepnutím pravým tlačítkem myši,
můžete proces ukončit příkazem Ukončit proces z kontextového menu. Pokud se
bude jednat o škodlivý proces, zůstane sice na pevném disku, ale prozatím
alespoň nebude škodit. Pokud se spustil při startu Windows jak tomu často bývá,
bude jeho řádění učiněna přítrž alespoň pro právě spuštěnou instanci Windows.
Pro správnou funkci Windows XP jsou naprosto nepostradatelné následující
procesy: Csrss, Lsass, Services, Smss, Svchost (několik instancí) a Winlogon.
Díky existenci ochranných mechanismů správce úloh neumožní tyto procesy
ukončit. Další možností, jak odhalit škodlivé procesy běžící na vašem počítači,
je záložka Uživatelské jméno, kterou zobrazíte pomocí menu Zobrazit/Vybrat
sloupce.
Většina škodlivých programů se jednoduše spouští v kontextu aktuálního
uživatele, tedy v účtu právě přihlášeného uživatele, s přístupovými právy
platnými pro tento účet. Z toho vyplývá, že položky Local Service, Network
Service a System ve sloupci Uživatelské jméno ukazují na systémové procesy
Windows. Toto třídění však není docela korektní, jelikož řada tvůrců virů
služby, které jsou nutné pro jejich provoz, skrývá pod položku System.
Pokud chcete v případě nouze některý proces násilím ukončit, pak je vhodným
řešením právě Správce úloh. Ale jakmile se pokusíme procesy jednoznačně
identifikovat nebo pokud budeme chtít ukončit několik procesů současně,
dostaneme se snadno na hranice schopností tohoto programu. Ale ani již
zmiňované ochranné mechanizmy nejsou při svém rozhodování, zda je možné proces
ukončit nebo ne, dostatečně průkazné. Pokud například libovolnou aplikaci
přejmenujete na WINLOGON.EXE, nebude ji možné ukončit, protože se stejným
názvem se spouští pro systém nepostradatelná komponenta WINLOGON.EXE.

3. Lepší řešení: White List Killer
Vzhledem k tomu, že nelze v principu rozlišit, zda se v systému Windows jedná o
proces škodlivý nebo prospěšný, snažili jsme se najít řešení, jak si přece jen
nějak pomoci. Nabízíme vám proto německou utilitu PCWLISTKILL.EXE, kterou
naleznete i na našem CD. Je určena pro Windows 2000 a XP a s její pomocí
vytvoříte seznam všech procesů, jimž povolíte spuštění. Všechny ostatní úlohy,
které na této "bílé listině" nebudou, opět klepnutím myší z operační paměti
odklidíte. Pro první použití doporučujeme čistý systém, na němž jsou
instalovány pouze ty nejnutnější aplikace. Utilitu spustíte pouhým poklepáním
na spouštěcí soubor. V horní polovině okna následně uvidíte všechny úlohy,
které aktuálně na vašem systému běží. Vedle jména souboru a cesty k němu se
také ukazuje kontrolní součet pro daný soubor (CRC32). Kombinace těchto tří
údajů daný proces jednoznačně identifikuje. Kontrolní součet CRC32 se počítá
při každém spuštění pro úlohu vždy znovu. Ve spodní polovině okna se pak
nacházejí úkoly, jimž chcete jejich běh dovolit. V tomto seznamu jsou při
prvním spuštění uvedeny pouze pro systém kritické a nepostradatelné procesy.
Pokud chcete do tohoto seznamu umístit další úkoly, spusťte danou aplikaci,
například Firefox nebo Word, pak klepněte v utilitě na tlačítko Aktualisieren a
poklepejte v horní polovině okna na novou položku. Další možností je použít
tlačítko Prozess erlauben. Pokud zapomenete nějaký proces označit, objeví se
dialogové okno, do něhož budete moci zadat cestu k souboru aplikace.
Obráceně je to stejně jednoduché. Pokud budete chtít nějaký proces zakázat
jednoduše ve spodní části okna na položku v seznamu poklepete, čímž ji ze
seznamu odstraníte.
Jakmile skončíte všechny úpravy v seznamech, klepněte na tlačítko
Aktualisieren, čímž znovu v okně aplikace zobrazíte všechny spuštěné procesy.
Klepnutí na tlačítko Kill ukončí všechny procesy, které nejsou v seznamu
povolených aplikací nebo jejichž kontrolní součet CRC32 nesouhlasí.
Upozornění: Po instalaci aktualizací nebo Service Packů se kontrolní součty
systémových procesů změní, i když k žádnému napadení počítače nedošlo. Jde
totiž o to, že při aktualizaci systému se často nahrazují systémové soubory
novějšími verzemi, čímž se změní i jejich kontrolní součet. V tomto případě
odstraňte všechny starší položky ze seznamu způsobem, který jsme popsali výše,
a přidejte položky nové.
Tlačítko Konfig.weg slouží ke kompletnímu vymazání obsahu bílé listiny. Při
dalším spuštění utility se načtou všechny pro operační systém nepostradatelné
procesy znovu a zobrazí se ve spodní části okna aplikace, stejně jako při
prvním spuštění programu.

Kontrola na startovní čáře
4. Automatické spuštění programů ve Windows
Každý škodlivý program se nejprve zkouší dostat do takové pozice, aby se
automaticky spouštěl při startu Windows a Windows tuto snahu paradoxně
podporují existencí řady možností, jak toho dosáhnout. Doposud se nám podařilo
ve všech verzích Windows napočítat celkem 30 možností, kam je možné takové
položky umístit. Není divu, že škodlivé programy, které jste pomocí Správce
úloh nebo utility PCWLISTKILL odstranili z paměti, se zpravidla při dalším
spuštění Windows objeví znovu. Úklid v operační paměti je tedy pouze prvním
prostředkem v nouzi. Pokud chcete škodlivý program ze svého počítače dostat
úplně, musíte kromě prvního kroku učinit ještě druhý najít v systému místo,
odkud se škodlivý program spouští, a odtud jej odstranit. Bohužel ručním
prohledáváním to jde jen velmi obtížně.
Nejčastěji používaná místa, kam se škodlivé soubory umisťují, jsou tato:
1. Složka Po spuštění v nabídce Start.
2. Klíč registru s názvem:
Hkey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run.
3. Klíč registru s názvem:
Hkey_Current_User\Software\Microsoft\Windows\CurrentVersion\Run.
Kromě toho jsou možná další umístění:
1. Umístění určené pro skripty správců systému
%windir%\System32\GroupPolicy\Machine\Scripts\Start-up.
2. Položka Userinit v klíči registru
Hkey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, kde
se standardně nahrává grafické rozhraní představované souborem EXPLORER.EXE,
avšak mohou se zde spouštět i další programy.
3. Položka BootExecute v klíči registru
Hkey_Local_Machine\System\CurrentControlSet\Control\SessionManager. Tuto
položku mohou tvůrci virů libovolně rozšiřovat, protože většinou každý z nich
ovládá tzv. Native Code, který se uplatňuje před zavedením 32bitového jádra
systému.
Většina škodlivého softwaru se pro jistotu zapisuje na více míst současně.
Pokud uživatel přehlédne byť jen jedno umístění, najde je v operační paměti při
příštím spuštění znovu.
Upozornění: Směle můžeme prohlásit, že neexistuje ani jeden proces, který by
byl ve zmíněných umístěních nepostradatelný. Přesto je dobré při zkoumání
obsahu výše zmíněných položek uvažovat s rozmyslem. Jsou zde totiž programy,
které spouští antivirové programy či podporují automatické aktualizace různých
programů. Ty by se samozřejmě odstraňovat neměly.

5. Nedostatečné příslušenství Windows
Firma Microsoft nabízí (z hlediska možnosti kontrolovat v předchozím tipu
zmíněná místa, odkud se dají automaticky spouštět různé programy), jen velmi
málo prostředků. Uživatelé pracující ve Windows 2000 nejsou vybaveni vůbec
ničím, ve Windows 98/ME a ve Windows XP je k dispozici alespoň systémová
utilita MSCONFIG.EXE, jež dokáže zjistit, které položky, spouštějící se po
startu Windows, se nacházejí v kterých umístěních. Tuto utilitu spustíte
klepnutím do nabídky Start/Spustit a zadáním příkazu msconfig do políčka
Otevřít. V okně programu Nástroj pro konfiguraci systému se přesuňte na záložku
Po spuštění. Zde uvidíte všechny programy, které se při startu Windows
spouštějí. Zrušte zatržítka u všech položek, u nichž nechcete, aby se při
startu Windows spouštěly. Provedená nastavení potvrďte stiskem tlačítka OK.
Utilita MSCONFIG.EXE sice neukazuje všechna umístění pro automatické spouštění
programů, ale na druhou stranu má jednu výhodu, např. oproti našemu nástroji
PCWAUTOSTART.HTA1.2.HTA, že zde deaktivované položky zůstávají, tudíž je můžete
později v případě potřeby znovu aktivovat.

6. Univerzální nástroj pro kontrolu automatického spouštění programů
Díky utilitě PCWAUTOSTART1.2.HTA, kterou naleznete na našem CD, vám bude stačit
několik klepnutí myší, abyste se dozvěděli, odkud se který program spouští.
Pokud budete chtít, budete moci odpovídající položku i odstranit. Oproti starší
verzi se tento skript vylepšil o klíč BootExecute. Můžeme možná trochu
neskromně potvrdit, že žádná jiná utilita neposkytuje lepší informace o
umístění položek, spouštěných při startu Windows.
Utilitu spustíte poklepáním na soubor a po jejím spuštění skript prohledá 22
klíčů v registru, pět souborů a tři složky, v nichž zkoumá, jaké položky nebo
zástupci aplikací, které se mají automaticky spouštět při startu Windows, se
tam nacházejí. Pokud je hledání úspěšné, ukáže se nejprve umístění dané
položky. Po ukončení prohledávání uvidíte v horní části dialogového okna
všechny klíče registru a také cesty ke složkám a souborům. Jakmile na některou
z vyobrazených položek klepnete, zobrazí skript ve spodní části dialogového
okna aplikace, které se z tohoto místa spouští. Chcete-li jednotlivé aplikace z
tohoto místa odstranit, umístěte zatržítko vedle programu a stiskněte tlačítko
Odstranit. Hned poté se skript znovu automaticky inicializuje a ukáže vám opět
aktuální stav systému.
Všechny aplikace, ať škodlivé či užitečné, zůstávají samozřejmě při těchto
akcích nedotčeny, ve skutečnosti se totiž odstraňuje jen možnost jejich
automatického spouštění.
PCWAUTOSTART1.2.HTA však neumí pouze uklízet, ale dokáže ve Windows 2000 a XP
rovněž zabránit možnému umístění dalších nechtěných programů do daných složek.
Potřebujete pouze práva správce k systému, diskový oddíl se systémem souborů
NTFS a v systému správně nainstalovanou utilitu SUBINACL.EXE (najdete ji i na
našem CD).
Pokud všechny výše uvedené podmínky splňujete, klepněte na tlačítko Oprávnění.
Tím odeberete uživateli a systému oprávnění Zapisovat do všech položek v
registru a pro všechny soubory do složek, jejichž obsah se načítá při startu
Windows. Důsledkem tohoto kroku bude to, že žádná aplikace, kterou sami
spustíte, ani ta, kterou se do systému instaluje v důsledku například
aktualizace systému, se sama nebude moci stát aplikací, jež se bude automaticky
spouštět při startu Windows.
Toto nastavení je hlubokým zásahem do operačního systému, proto byste jej měli
používat s rozmyslem.
Budete-li chtít někdy v budoucnu umožnit zápis do všech míst, kam patří odkazy
na soubory, které se mají při startu Windows spustit, stačí znovu použít naši
utilitu. Po novém klepnutí na tlačítko Oprávnění se pro všechna výše zmíněná
umístění nastaví úplný přístup pro všechny soubory.

Méně práv, více bezpečnosti
7. Správce versus uživatel
Windows NT 4, 2000 a XP, která se instalují na pevný disk se systémem souborů
NTFS, můžeme považovat za bezpečný systém. Ostatně Windows NT byla původně
určena pro nasazení na serverech, popřípadě pracovních stanicích ve firmách a
umožňují nastavit pro každého uživatele různou úroveň přístupových práv.
Jsou-li tato práva správně nastavena, nemají šanci ani škodlivé programy, ani
nepovolaní uživatelé, takže se o svá data nemusíte vůbec bát. Za vyšší
bezpečnost systému ale uživatelé platí vyšší složitostí systému. Aby se
uživatelé zejména Windows XP vyhnuli potenciálním problémům při práci, pokud by
byli přihlášeni jako uživatelé s omezeným oprávněním, pracují raději přihlášení
jako správci systému se všemi přístupovými právy. Tím ale získávají úplný
přístup ke všem prvkům systému i viry, červi a další druhy škodlivých programů,
takže mohou nakládat se systémem prakticky jak chtějí. Také i když používáte
firewall a antivirový program, které zabraňují řadě škodlivých programů v
přístupu do systému, je nejjistější surfovat po internetu nebo pracovat
přihlášený pod účtem s omezenými právy. Toto je tím nejjistějším řešením, jak
se chránit před škodlivými programy. Účty s omezeným oprávněním nemají mimo
jiné právo zapisovat do složek Windows a Program Files a rovněž nemají právo ke
čtení dat jiných účtů. Pokusy škodlivých programů zapisovat do systémových
souborů, pokud jste přihlášeni pod účtem s omezeným oprávněním, pak vycházejí
do prázdna.
Proto každý, kdo používá na počítači pouze několik programů, by měl vždy
používat účet s omezeným oprávněním. Uživatel, který často instaluje
nejrůznější aplikace, se však často dostane do úzkých řada programů totiž
vyžaduje pro instalaci práva správce systému a pak nezbývá, než pracovat pod
účtem správce.
V tomto konfliktu mezi zabezpečením počítače a komfortem při práci však
existuje jeden velmi zajímavý kompromis. Můžete pracovat přihlášení jako
správci systému, přesto lze surfovat na internetu s omezenými právy. Jde to ale
i jinak: můžete pracovat přihlášeni jako uživatel s omezenými právy, přesto
můžete z tohoto účtu instalovat programy s právy správce systému.

8. Užitečná utilita RUNAS.EXE pro Windows
Windows XP nabízí pro případ zmíněný v minulém tipu utilitu RUNAS.EXE. Jedná se
o program běžící na příkazovém řádku, který dokáže spustit aplikace pro Windows
i mimo prostředí kontextu uživatele, tedy aniž byste se museli odhlašovat z
účtu, pod nímž právě pracujete. Podobnou funkci mají i položky vyvolané z
kontextového menu u souborů EXE nebo zástupců k těmto typům souborů jedná se
konkrétně o položku Spustit jako. U zástupců programů existuje ještě jedna
možnost, jak spustit aplikaci pod jiným typem oprávnění. Klepněte pravým
tlačítkem myši na ikonu zástupce, z kontextového menu vyberte položku
Vlastnosti a přesuňte se na záložku Zástupce. Zde klepněte na tlačítko
Upřesnit. V obou případech zadáváte uživatelské jméno a heslo. Windows tyto
údaje standardně neukládají a při každém spuštění programu je musíte zadat
znovu. Prázdná hesla nejsou povolena.
RUNAS.EXE zachází ve Windows XP Professional ještě o krok dále. Nabízí totiž
přepínač, s jehož pomocí můžete přihlašovací údaje uložit (Windows XP Home
tento přepínač ignoruje). Zadejte na příkazový řádek např. tento příkaz:
runas /user: /savecred ""
Výraz nahraďte úplnou cestou ke spouštěcímu souboru aplikace.
Nyní stačí zadat heslo pouze jednou, Windows při příštím přihlášení použijí
toto zadané a uložené heslo.

9. Ještě lepší utilita PCWRUNAS.EXE
Naše utilita PCWRUNAS.EXE, kterou najdete na našem CD, pracuje podobně jako
aplikace zmíněná v předchozím tipu. Pracuje na příkazovém řádku, ukládá
přihlašovací heslo, čímž umožňuje spouštění programů bez zadávání dalších
údajů. Navíc tato utilita funguje i ve Windows XP Home a ve Windows 2000.
Typický příkaz může vypadat kupříkladu takto:
pcwrunas /u martin /p tajne /cmd explorer.exe
Výše uvedený příkaz spustí program EXPLORER.EXE v kontextu uživatele Martin s
heslem tajne.
Po instalaci programu PCWRUNAS.EXE najdete na svém pevném disku ještě jednu
utilitu PCWRUNASGUI.EXE. Ta vám umožní pohodlně vytvářet zástupce programů, s
jejichž pomocí budete moci spouštět programy v účtu s omezenými právy nebo jako
správce systému. A aby nikdo nepovolaný nemohl zjistit heslo správce systému,
utilita tento parametr, který se musí zadat pro PCWRUNAS.EXE na příkazovém
řádku, jednoduše šifruje. Pro šifrování používá algoritmus Blowfish (další
informace na http://www.schneier.com/blowfish.html) a je tedy velmi obtížné
toto heslo zjistit. Teoreticky by se toto heslo dalo odhalit, protože k
šifrování pomocí PCWRUNAS.EXE žádné heslo nepotřebujete.
Abychom celou akci co nejlépe zabezpečili, použijeme jako heslo kontrolní
součet spustitelného souboru a sériové číslo pevného disku. Tím zajistíme, že
námi vytvořeného zástupce nebude možné použít ani na jiném počítači, ani ke
spuštění jiného programu.
V dialogovém okně PCWRU-NASGUI si vyberte v poli Dateiname: jméno programu,
který chcete spouštět. Poté zadejte přihlašovací údaje, jméno zástupce a
klepněte na tlačítko ébernehmen. Parametry pro PCWRUNAS.EXE se objeví v políčku
oddělené středníkem. Zde je můžete popřípadě upravit.
Po klepnutí na tlačítko Shortcut vytvoří program zástupce a umístí jej na
pracovní plochu. Poklepáním pak spustíte program pod jiným uživatelským jménem
a heslem.
Pro kontrolu přístupových práv instaluje do systému instalační program
PCWRUNAS.EXE panel nástrojů pro Internet Explorer a Průzkumníka Windows (jedná
se o knihovnu PCWPRIVILEGIEN.DLL) tento panel nástrojů zobrazíte pomocí menu
Zobrazit/Panely nástrojů/pcwPrivilegien. Pracujete-li jako správce systému,
uvidíte červený varovný symbol a tlačítko Administrator. Po stisku tlačítka se
otevře okno s informacemi o příslušnosti k uživatelské skupině a informace o
právech uživatele, pod jehož účtem se program spouští.

Porty a služby
10. Riziko jménem otevřené porty
Pokud některá ze služeb Windows nechá některý z portů otevřený, může počítač
přes ně přijímat požadavky klientů, zpracovat je a odpovědět na ně. Pokud
například zadáte v internetovém prohlížeči internetovou adresu
http://www.pcw.cz, pošle prohlížeč přes port 80 na náš server následující
příkaz:
get / http/1.0
Náš počítač naslouchá na portu 80, rozpozná výše uvedený příkaz a jako odpověď
zašle vašemu počítači úvodní internetovou stránku našeho časopisu. Pokud byste
stejný požadavek zaslali počítači svého kolegy, k němuž jste připojeni pomocí
sítě LAN, pak vám určitě neodpoví, jelikož na něm neběží služba webového
serveru a port 80 je uzavřený.
Otevřené porty představují nebezpečí pouze tehdy, pokud je program, který
odpovídá, poškozený. V již zmíněném neškodném případě dojde nejspíše k
zatuhnutí programu. V nejhorším případě povolí počítači, který na port
přistupuje, podstrčit nějaký škodlivý program nebo dokonce získat přístup k
celému systému. Například celá řada webových serverů povoluje nahrávání
obrázků. Pokud je webový server špatně nastavený, může kupř. povolit, aby se
dal na něj poslat nejen soubor obrázku, ale také například spustitelný soubor.
Zároveň se dá cílová složka na webovém serveru nastavit tak, aby se nacházela v
systémové složce. Měli byste se tedy postarat o to, aby na serveru běžely jen
ty nejnutnější služby a připojení, zvláště v případě telefonického připojení.
Firewall (někdy se používají anglické výrazy Personal nebo Desktop Firewall),
jakým je kupříkladu ten, který je součástí Windows XP, dokáže mimo jiné i
blokovat aplikace, které chtějí navázat připojení proti vaší vůli. Účinnost
ochrany firewallem je ale omezena tím, že se jedná o program, který by sám měl
být chráněn. Proto je ve své podstatě daleko bezpečnější uzavřít všechny porty
ještě dříve, než bude muset firewall něco ve vašem počítači řešit.

11.Nepohodlné utility pro správu služeb Windows
Co se týče možnosti vypnutí nepotřebných služeb, pak Windows 2000 a XP nabízejí
následující nástroje: konzolu Služby (nabídka Start/Spustit/services.msc),
Síťová připojení, Editor registru a utility NETSTAT.EXE a SC.EXE (ta je k
dispozici pouze ve Windows XP), pracující na příkazovém řádku. Dále vám pomohou
některé internetové služby, například ta na adrese portscan.winboard.org, která
pokud budete chtít prozkoumá váš počítač a zobrazí výsledky. Při tomto testu se
například dozvíte, které porty jsou na vašem počítači otevřené. Pokud chcete
zjistit, které aplikace používají který port, otevřete program Příkazový řádek
a v něm zadejte příkaz netstat -ab. V poli Místní adresa vidíte vždy číslo
portu nebo název odpovídající služby. Dále můžete vidět název programu se všemi
k němu příslušejícími částmi, tedy soubory EXE a DLL. Dané aplikace můžete
následně ukončit pomocí Správce úloh.
Pokud se v seznamu objeví úloha SVCHOST.EXE, jedná se o službu Windows, která
se dá konfigurovat pomocí konzoly Služby nebo souboru SC.EXE. Název služby
zjistíte tak, že v Editoru registru vyhledáte v klíči
Hkey_Local_Machine\System\CurrentControlSet\Services název souboru knihovny DLL
a potom v levém sloupci zjistíte, ke které službě nalezená DLL knihovna patří.
V konzole Služby pak můžete danou službu ukončit, pozastavit nebo alespoň
nastavit její spuštění na automatické nebo ruční.
Služby jako například Vzdálené volání procedur (RPC) se vůbec ukončit nedají. V
takových případech se můžete spoléhat pouze na to, že se služba objeví ve
vlastnostech telefonického připojení na záložce Sítě. Odstraněním zatržítka
před službou odstraníte vazbu k telefonickému adaptéru sítě. Pokud se vazba ke
službě nedá nakonfigurovat ani tady, pak pomůže už jen utilita SC.EXE. Pomocí
příkazu:
sc config rpcss start=disabled
tuto službu přece jen zastavíte.
Prostředky Windows jsou v podstatě schopné služby operačního systému řídit a
upravovat, ale je to značně namáhavý a nevděčný podnik, zvláště když jsou na
sobě jednotlivé služby navzájem závislé.

12. Superdávkový soubor SVC2KXP.CMD
Dávkový soubor SVC2KXP.CMD, který najdete na našem CD, využívá pouze
prostředky, které jsou součástí Windows. Když se podíváte na jeho obsah,
zjistíte, že obsahuje přes 1 000 řádků kódu, jejichž účelem je uzavření všech
otevřených portů a vypnutí všech nepoužívaných služeb.
SVC2KXP.CMD po spuštění nabízí výběr ze tří úrovní zabezpečení systému, které
vyberete stiskem odpovídajícího čísla na klávesnici. Úroveň 1 ponechává všechny
funkce sítí ve Windows beze změny a zavře všechny ostatní porty. Dále zastaví
služby jako je Kurýrní služba, Distributed Transaction Coordinator (MSDTC) a
Centrum zabezpečení. Nastaví skript tak, že nebude možné nastavovat IP adresu
prostřednictvím služby DHCP, ukončí se tedy i služba DHCP. Služby jako
Automatické aktualizace nebo Plánovač úloh budou běžet dále beze změny.
Úroveň 2 deaktivuje vše kromě podpory sítí ve Windows. Díky tomu jsou uzavřeny
všechny porty. Tato možnost se hodí pro jednotlivé počítače s připojením k
internetu.
Nejradikálnější je úroveň 3. V ní se zastavuje co nejvíce služeb mimo jiné
všechny služby úrovní 1 a 2, dále Brána firewall/Sdílení připojení k internetu,
DCOM, Automatické aktualizace a Plánovač úloh. Toto nastavení je vhodné pro
počítač, na kterém se budou například učit začátečníci surfovat na internetu.
Automatické aktualizace bude muset provádět správce počítačů ručně.
Při každé změně uloží utilita starou konfiguraci služeb ve formě souboru REG do
složky ntsvcfg.
Pokud stisknete klávesu 4 (možnost Restore), obnovíte starou konfiguraci. Dále
vám doporučujeme zálohovat složku ntsvcfg, která se vytvořila při prvním
použití utility. Ta obsahuje výchozí konfiguraci před prvními úpravami služeb.
Po každé změně doporučujeme restartovat počítač, a to i tehdy, pokud vás o to
dávkový soubor vysloveně nežádá.
Kromě již zmíněných čtyř položek menu nabízí utilita ještě další parametry
/relan a /default, které můžete používat pouze prostřednictvím příkazového
řádku (například svc2kxp /default). Varianta /relan bude vhodná, pokud budete
chtít vypnutou podporu sítí ve Windows znovu zapnout a zapomněli jste si
vytvořit záložní soubory. Přepínač /default nastaví konfiguraci do původního
stavu před prvním použitím dávkového souboru. Rychlou nápovědu ke všem možným
volbám získáte pomocí příkazu svc2kxp /?.
SVC2KXP.CMD zálohuje nejen starou konfiguraci, ale po každém spuštění vytváří
přesný obraz o tom, co je třeba vědět o způsobu spuštění každé služby, stejně
jako její aktuální stav. Je dobré při novém spuštění skriptu vědět, zda se
mezitím něco nezměnilo ať ručním nastavením nebo díky automatickým
aktualizacím. V tom případě dávkový soubor neukáže žádný výběr z menu, ale
zobrazí hlášení: Checking for modified services... failed services maybe
modified! [E]valuate. Stiskem klávesy můžete zobrazit změny nebo pomocí
konzoly Služby nastavení služeb upravit.5 0709/OK o

Procesy z technického hlediska
Aby se mohl z nějakého programu na pevném disku stát proces, je nejprve nutné
zdrojový kód souboru nahrát do operační paměti. Ukazatel ve zdrojovém kódu pak
prozradí procesoru, kterou oblast operační paměti má zpracovat. Z paměti se pak
zdrojový kód nahrává do vyrovnávací paměti procesoru a pak předává dekodéru
instrukcí, který říká procesoru, co má vlastně dělat a jakou instrukci
zpracovávat. Dále putuje do řadiče procesoru a provede se v jádru procesoru.

Nečinné procesy systému
Správce úloh systému Windows ukazuje vždy u položky Nečinné procesy systému
(Idle), že spotřebovává prakticky celý výkon procesoru. Ve skutečnosti se jedná
pouze o jediný proces, který sčítá všechny prostředky, které jsou v daném
okamžiku volné. Součet celkového vytížení procesoru tedy dává 100 procent.

Falešné procesy
V seznamu pořízeném pomocí utility PCWLISTKILL.EXE nemají škodlivé programy,
které se tváří jako systémové procesy, žádnou šanci. Naše utilita identifikuje
všechny procesy na základě jejich cesty a jednoznačného kontrolního součtu.

Run, Run, Run...
Prakticky všechny škodlivé programy se ve Windows spoléhají na funkci
automatického spouštění. Aktuálně na špici žebříčku nejčastěji se vyskytujících
virů je W32/Netsky-P. Jedná se o červa hromadně se šířícího pomocí elektronické
pošty, který se kopíruje do složky Windows jako soubor FVPROTECT.EXE a v
registru Windows si zajistí automatické spuštění tak, že se umístí do klíče
HKLM\Software\
Microsoft\Windows\
CurrentVersion\Run\
Norton Antivirus AV. I názvy souborů systémových procesů v klíči Run jsou
přinejmenším podezřelé. Zkuste vyhledat
několik typických názvů souborů v položkách zajišťujících automatické spuštění
programů při startu Windows a prověřte je v některém ze seznamu virů, které
najdete například na stránkách výrobců antivirových programů. Uvidíte, že se
trefíte.

Ovladač jako škodlivý program?
Teoreticky můžeme uvažovat i o tom, že by se škodlivé programy mohly
naprogramovat i jako ovladače. Mělo by to několik výhod ovladače potřebují
neomezený přístup do systému a jako jediné programy dokáží přímo komunikovat s
hardwarem počítače. V praxi však tato myšlenka nemá žádný význam. Za prvé by
bylo třeba uživatele donutit k tomu, aby souhlasil s tím, že se do systému
instaluje nepodepsaný ovladač, ačkoliv právě žádný hardware neinstalujete.
Chyba při běhu programu by pak měla daleko osudovější důsledky. Pokud by došlo
k zatuhnutí programu, vyvolal by špatně fungující ovladač modrou obrazovku a
tím by se stal rychle nápadným.

SUBINACL.EXE: přidělování práv pomocí příkazového řádku
Utilita SUBINACL.EXE pochází z Resource Kitu pro Windows Server 2003 a slouží k
přidělování přístupových práv souborům, složkám či klíčům registru. Náš skript
PCWAUTOSTART1.2.HTA tuto utilitu potřebuje k tomu, aby mohl odepřít nebo
přidělit právo zapisovat do všech umístění, kam se mohou dávat soubory, které
se mají automaticky spouštět při startu Windows. Archiv s programy stačí
stáhnout a instalovat. Po instalaci vyhledejte soubor SUBINACL.EXE a zkopírujte
jej z instalační složky do složky Windows.

Přepnutí uživatele
Ve Windows XP můžete místo našich utilit RUNAS.EXE či PCWRUNAS.EXE využít pro
spuštění programů pod jiným uživatelským účtem také funkci rychlého přepnutí
uživatelů. Nejprve poklepejte v nabídce Start/Ovládací panely na ikonu
Uživatelské účty a zde vytvořte nový účet s omezeným přístupem. Poté klepněte
na nabídku Start/Odhlásit a na položku Přepnout uživatele, přihlaste se do
systému. Všechny již spuštěné programy běží dále na pozadí. Stejným způsobem se
poté vrátíte zpět do účtu správce počítače.

Účet s omezeným oprávněním
Internetový prohlížeč spuštěný přes utilitu PCWRUNAS.EXE zablokuje přes 90
procent všech útoků škodlivých programů. Několik příkladů: červ W32/Mydoom,
šířící se elektronickou poštou, zruší možnost spojení se všemi internetovými
stránkami výrobců antivirových programů úpravou souboru Hosts (podle vzoru
127.0.0.1 avp.com). Trojský kůň typu Backdoor s názvem W32/Rbot-AMR se zase
zapíše do prakticky všech klíčů Run v registru Windows. Červ W32/Zafi-B se
zkopíruje do složky System a zapíše se do klíče Run, zatímco varianta
W32/Mytob-BE ukončí běh každého antivirového programu. Všechny tyto typy útoků
by však předem ztroskotaly na účtu s omezeným oprávněním.

Průzkumník Windows
Pomocí utilit RUNAS.EXE či PCWRUNAS.EXE se bohužel nedá spustit v kontextu
jiného uživatelského účtu jeden z nejčastěji používaných programů Průzkumník
Windows. Grafické rozhraní Průzkumníka (shell) představované souborem
EXPLORER.EXE nastavuje pracovní plochu a hlavní panel, běží tedy neustále na
pozadí operačního systému. Při dalším spuštění Průzkumníka se program nespouští
znovu, ale pouze se vytvoří nová instance tohoto programu se stejnými
přístupovými právy. Prozradíme vám ale jeden trik, s jehož pomocí se vám přece
jen podaří spustit Průzkumníka dvakrát. Spusťte soubor IEXPLORE.
EXE jako jiný uživatel. Do panelu Adresa následně zadejte příkaz C: a potvrďte
zadání stiskem klávesy . Tím přeměníte program Internet Explorer na
Průzkumníka Windows. Další možností, pokud se přihlásíte jako uživatel s
omezenými právy, je klepnutí v Průzkumníku do menu Nástroje/Možnosti složky na
záložku Zobrazení a umístění zatržítka před položku Spouštět okna složek jako
samostatné procesy. Tato možnost na druhou stranu klade větší nároky na
velikost operační paměti.

Mozilla a ostatní
Podobně jako Průzkumník Windows se chová i Mozilla, Firefox či Thunderbird ty
se také dají spustit pouze jednou. Spuštění programu pod jiným uživatelským
účtem tedy vytvoří pouze novou instanci již běžícího programu se stejnými
právy. Pokud tedy budete chtít spustit některý z těchto programů pomocí utilit
RUNAS.EXE nebo PCWRUNAS.EXE pod jiným uživatelským jménem, je třeba zmíněné
programy kompletně ukončit včetně pomocných programů, umožňujících jejich
rychlé spuštění.

Nedostatek v zabezpečení I
Při spuštění utility RUNAS.EXE od Microsoftu s přepínačem /savecred se v
systému s více uživateli musíte mít na pozoru. Windows ukládají heslo a
umožňují tím každému uživateli nejen přístup k danému programu, ale ke všem
ostatním programům. Přepínač /savecred tedy používejte pouze tehdy, pokud
budete například chtít z účtu správce spustit internetový prohlížeč pod účtem s
omezeným oprávněním.

Nedostatek v zabezpečení II
Jakmile spustíte nějaký program prostřednictvím utilit RUNAS.EXE nebo
PCWRUNAS.EXE v účtu s omezeným oprávněním s oprávněním správce, získá takový
uživatel přístup ke všem funkcím systému. Stačí klepnout do menu Soubor/Otevřít
(pokud je k dispozici). Uživatel v tomto malém okně Průzkumníka získá
přístupová práva k celému obsahu pevného disku. Pomocí kontextového menu pak
můžete spustit například Průzkumníka Windows a tím pádem i libovolný další
program.

Panel nástrojů Privilegien
Pomocí panelu nástrojů Privilegien (PCWPRIVILEGIEN.DLL) můžete zobrazit
příslušnost k uživatelské skupině a přístupová práva k systému. Seznam všech
možných položek a jejich popis naleznete na internetové adrese
www.microsoft.com/resources/documentation/
Windows/XP/all/reskit/
e n-us/Default.asp?url=/
resources/documentation/
Windows/XP/all/resk it/
en-us/prnd_urs_mhnn.
asp.

Co jsou porty?
Aplikace, které nabízejí své služby v počítačové síti, uskutečňují nabídky
pomocí jistých charakteristik, které nazýváme porty. Například webový server
odpovídá na dotazy na portu 80, server elektronické pošty přijímá vaše e-maily
na portu 25. Uzavření portu tedy jinými slovy znamená ukončení programu nebo
odepření přístupu do sítě pro danou aplikaci.

Co jsou služby?
Službou je v určitém smyslu slova každý program, který poskytuje funkce, jež
následně využívají jiné aplikace, a to místně nebo přes síť. Windows chápou
tento pojem poněkud úžeji a rozumí pod ním všechny takové programy, které běží
na pozadí a nepotřebují žádnou interakci od uživatele. Přehled všech služeb na
počítači vám poskytne konzola Služby, která je součástí sady pro správu
počítače. Například trojští koně se rádi instalují jako služby, aby umožnili
přístup k vašemu počítači přes internet.

Co jsou vazby?
Pokud nějaká služba nabízí své funkce prostřednictvím síťového připojení,
hovoříme o vazbě na toto připojení. Počítač je tedy tím více zabezpečen, čím
méně vazeb jednotlivé služby vytvářejí. Například služba pro sdílení souborů a
tiskáren je obecně napojena pouze na síťovou kartu, ale kupříkladu ne na
telefonní adaptér. Sdílení tedy platí pouze pro místní počítačovou síť, ale ne
pro internet.

SVC2KXP.CMD pro systém Windows 2000
Ve Windows 2000 se utilita SC.EXE pracující na příkazovém řádku, která je
potřebná pro správnou funkčnost skriptu, nevyskytuje. Skript SVC2KXP.CMD tuto
skutečnost zjistí a pokud jste připojeni k internetu, potřebný soubor si sám
stáhne.