Nastavenie OS

Používateľské účty

Vo Windows sú dva typy používateľských účtov:

Lokálne účty
  • sú definované na lokálnom počítači. Fyzicky sú uložené v databáze SAM (Security Accounts Manager)
  • prístup týchto účtov je obmedzený len na lokálne prostriedky
Doménové účty
  • sú vytvorené v databáze Active Directory
  • prostredníctvom jedného prihlásenia (Single Sign On) môžu pristupovať k prostriedkom nachádzajúcim sa kdekoľvek v doméne.

Pri inštalácii operačného systému sa vytvoria dve predvolené používateľské kontá. Okrem nich existuje aj niekoľko skupinových vstavaných účtov, funkčne podobných tým, ktoré sa vytvárajú v doménach. K základným používateľským účtom patria:

Administrator
správca je preddefinovaným účtom, ktorý poskytuje prístup k súborom, priečinkom, službám a všetkým ostatným funkciám. Účet môže byť premenovaný, nie však vymazaný. Zakázať tento účet môžeme len na lokálnom počítači, nie v doméne. V Active Directory doméne má účet správcu úplné doménové oprávnenia a prístup.
Guest
hosťovský účet určený pre tých, ktorý potrebujú k počítaču iba jednorazový alebo občasný prístup. Hoci má len minimálne privilégiá, je dobré si rozmyslieť, či účet povolíme

Skupiny používateľov

Účelom skupiny používateľov je prideľovanie prístupových práv viacerým používateľom súčasne, čím sa zjednodušuje ich správa. Ak je používateľ členom skupiny, ktorá má oprávnenie na nejaký prostriedok, daný používateľ toto oprávnenie dedí. Správca prideľuje oprávnenia jednoduchým vložením používateľa do konkrétnej skupiny:

Administrators
skupina s najvyššími privilégiami na lokálnom počítači s úplným prístupom k systémovým zdrojom. Členovia majú právo vytvárať iné používateľské a skupinové účty, modifikovať členstvo vo všetkých skupinách, inštalovať tlačiarne, predinštalovať ovládače, spravovať zdieľané zdroje, atď
Backup Operators

členovia majú právo zálohovať a obnovovať súbory a priečinky na pracovnej stanici. Okrem toho sa môžu prihlasovať na lokálne stanice a vypínať systémy. Vďaka svojim oprávneniam môžu obchádzať niektoré bežne definované prístupové práva na zväzkoch NTFS.

Nemôžu však explicitne meniť prístup k súborom a nemôžu vykonávať ďalšie administrátorské úkony.

Cryptographic Operators
členovia majú právo spravovať konfigurácie šifrovania, IP bezpečnosti (IPSec), digitálne identifikátory a certifikáty.
Guests
skupina s limitovanými privilégiami. Členovia majú právo pristupovať k systému a k jeho prostriedkom vzdialene, ale nemôžu vykonávať väčšinu ostatných úkonov.
Network Configuration Operators
členovia majú právo nastavovať sieťové rozhrania systému; môžu konfigurovať nastavenia TCP/IP a vykonávať všeobecné sieťové konfiguračné úkony na pracovnej stanici.
Performance Log Users
členovia majú právo prezerať a spravovať ukazovatele výkonu a riadiť zaznamenávanie dát pochádzajúcich z monitorovania výkonu počítača.
Performance Monitor Users
členovia majú právo len prezerať ukazovatele výkonu a záznamy monitorovania.
Power Users
skupina je v systéme Windows 7 iba kvôli spätnej kompatibilite. V predchádzajúcich verziách systémov Windows mala táto skupina na starosti “nižšie správcovské oprávnenia”, ako napr. inštaláciu programov alebo zdieľanie adresárov.
Remote Desktop Users
členovia majú právo prihlasovať sa na stanicu vzdialene prostredníctvom terminálových služieb. Keď je používateľ prihlásený v terminálovej relácii, oprávnenia na pracovnú stanicu sú determinované jeho členstvom v ostatných skupinách alebo jeho individuálnymi právami.
Replicator
skupina je určená pre podporu replikácií súborov v doméne.
Users
skupina bežných používateľov. Majú viac obmedzení ako práv. K ich najpoužívanejším oprávneniam patrí: lokálne prihlasovanie sa na stanicu, vytváranie a ukladanie lokálneho používateľského profilu, uzamykanie a uspávanie pracovnej stanice a vypínanie systému.

Heslá

S používateľskými účtami úzko súvisia heslá. Na prácu s heslami možno odporučiť niekoľko zásad:

používať správcu hesiel
  • uľahčuje použitie rôznych hesiel na rôzne účely
používať dlhé heslá
  • predlžuje zistenie hesla slovníkovým útokom alebo útokom hrubou silou
  • používať znaky z rôznych skupín – maleé, veľké písmená, číslice i špeciálne znaky
používať oddelené skupiny znakov
  • špeciálne znaky nedávať v rade za sebou
nemeniť heslo príliš často
  • vedie to k písaniu hesiel na papieriky
používať heslo na jeden účel
  • každá služba má mať iné heslo
nedôverovať službám na ukladanie hesiel
  • ich bezpečnosť je často otázna
použiť dvoj-faktorové overovanie
  • softvérové alebo hardvérové
  • SMS je nanič