Hlavní navigace

Bezpečnost Windows 8: Microsoft vylepšil nástroje pro rodiče i ochranu citlivých dat

30. 10. 2012
Doba čtení: 14 minut

Sdílet

Windows 8 neposilují bezpečnost pouze integrovaným antivirem. Přinášejí rodičům nové nástroje pro ochranu jejich dětí před potenciálně nebezpečným internetovým obsahem a všem uživatelům pak hned několik novinek pro ochranu dat před různými nebezpečími. Ne vše je ale povedené.

V článku Bezpečnost Windows 8: Microsoft uvádí vlastní antivir i zákaz sledování v prohlížeči jsme rozebírali bezpečnostní novinky v novém operačním systému Microsoftu. Dnes budeme pokračovat pohledem na další bezpečnostní funkce systému. Podíváme, jak si Microsoft ve Windows 8 představuje ochranu dat před jejich ztrátou, před selháním pevného disku nebo před neautorizovaným přístupem. 

Nejdříve si ale představíme nástroje, které Windows 8 dávají do rukou uvědomělým rodičům pro ochranu dětí při práci s počítačem a sledování jejich aktivit. Na novinkách v této oblasti si Microsoft zakládá. Ostatně, která firma by se nechtěla chlubit, že chrání děti. Je to silné marketingové zaklínadlo. (Podobně jako ekologie, o které se Microsoft nezapomněl zmínit v souvislosti s novými obaly pro Windows 8.)

Praxe však ukazuje, že například v rámci českého internetového prostředí je ochrana dětí silně omezena, takže do značné míry zůstává opravdu jen u toho marketingového zaklínání. Ale popořadě. 

Dětské účty, blokování neprověřených souborů

Windows 8 přináší pro rodiče rozšířenou paletu nástrojů k ochraně dětí a dozoru nad jejich činností na počítači. Hlavní novinkou v této oblasti jsou dětské uživatelské účty. Jde o běžné uživatelské účty bez práv administrátora, kde jsou ve výchozím nastavení aktivní funkce Zabezpečení rodiny spolu s filtrem SmartScreen.

Filtr SmartScreen ve Windows 8 rozšířil svou působnost z prohlížeče Internet Explorer na celý systém, kde při otevírání / spouštění souborů kontroluje jejich reputaci v průběžně aktualizované internetové databázi. V rámci dětských účtů filtr SmartScreen blokuje otevření či spuštění všech souborů stažených z Internetu, k nimž ve své databázi nenašel záznamy nasvědčující jejich nezávadnosti.

Filtr SmartScreen ve Windows 8 dětem zabrání ve spouštění / otevírání  potenciálně nebezpečných souborů stažených z Internetu bez schválení rodiče (v roli správce počítače)

Takové soubory mohou děti otevírat / spouštět, jen pokud jim to rodič (správce systému) povolí. Nová ochrana založená na reputačním systému pracuje nezávisle na integrovaném antiviru Windows Defender. I pokud je v počítači nainstalován jiný antivirus, filtr SmartScreen může být stále aktivní a bránit dětem v otevírání / spouštění potenciálně nebezpečných souborů.

Rodičovská kontrola s blokováním nevhodných webů

Zabezpečení rodiny ve Windows 8 je aktualizovanou kolekcí nástrojů Rodičovská kontrola z Windows 7. Staronově se v systému objevuje filtr, který rodičům umožňuje zamezit dětem přístup na nevhodné weby. Objevil se již ve Windows Vista, ovšem z Windows 7 byl odstraněn a přesunut do balíčku Windows Live Essentials. Teď je zpět přímo v systému.

Microsoft do Windows 8 vrátil filtrování přístupu na vybrané webové stránky. Poprvé se funkce objevila ve Windows Vista, ale z následujících Windows 7 byla odstraněna.

Rodiče mohou dětem povolit přístup výhradně na vybrané konkrétní webové adresy anebo nechat systém automaticky blokovat různé typy webových stránek. Kromě webů pro dospělé lze blokovat sociální sítě či různé komunikační služby (např. e-mail nebo chat). Případně je možné povolit přístup jen na weby, které jsou podle Windows 8 určené pro děti. Nezávisle na předchozím nastavení lze zakázat stahování souborů.

Automatické filtrování má ovšem do spolehlivosti daleko. V rámci českého Internetu nefunguje korektně. Sice s poměrně velkou úspěšností (ne však plnou) blokuje tuzemské pornostránky, ale i při blokování sociálních sítí a komunikačních služeb umožní přístup třeba na servery Lidé.cz, Líbímseti.cz, Email.cz a další lokální služby. Čeští rodiče by tedy na automatické filtrování neměli spoléhat.

Automatické filtrování sociálních sítí zabrání přístupu např. na Facebook, ale již ne na známé lokální české služby.

Staré nástroje s novými funkcemi

Ostatní nástroje ze sady Zabezpečení rodiny jsou převzaté z Windows 7, ovšem vždy s nějakou tou úpravou. Například s blokováním her na základě jednotného evropského hodnotícího systému PEGI lze zároveň blokovat obsah přístupný přes Windows Store, tedy aplikace a hry pro nové prostředí, pro které se navzdory sporům o ochrannou značku mezi veřejností vžil název Metro.

Ve Windows 8 již však není možné blokovat hry obsahující konkrétní prvky (násilí, rasismus, vulgarity, sex, drogy a další). Tedy alespoň ne automaticky – funkce pro blokování vybraných nainstalovaných her ručně zůstala zachována. Drobným vylepšením je možnost nastavování časových pásem, kdy dítě smí či nesmí pracovat s počítačem, už po třicetiminutových blocích. Ještě ve Windows 7 lze pracovat jen s hodinovými bloky.


Oproti Windows 7 ve Windows 8 nelze automaticky filtrovat hraní her obsahující konkrétní nevhodný obsah. Stále chybí i funkce omezující dobu, kterou dítě smí trávit u počítačových her.

Nově je též možné nastavit, kolik času smí dítě strávit u počítače ve všední dny a kolik o víkendu. Tato funkce pracuje souběžně s časovými okny. Dítě si tedy může vybrat, kdy svůj přidělený čas vyčerpá. Windows 8 však při povolování doby trávené u počítače neumožňují rozlišovat např. mezi děláním domácího úkolu a hraním hry. Na to si rodiče stále budou muset pořídit specializovaný software.

Sledování aktivity dětí na dálku

Velkou novinkou převzatou z balíčku Windows Live Essentials je dálková správa všech nástrojů rodičovské kontroly a monitorování aktivity dítěte přes webové rozhraní služby Zabezpečení rodiny odkudkoliv, kde je zařízení s přístupem k Internetu. Odsud lze například dálkově povolit přístup na weby, které systém Windows 8 dítěti zablokoval, ale to poslalo rodiči žádost o výjimku.

Webové dálkové rozhraní správy prvků rodičovské kontroly a pro monitoring aktivity dětí ještě nepostihla vlnu redesignů. 

Dálková správa vyžaduje Microsoft Account. K přístupu na webové rozhraní služby Zabezpečení rodiny není nutný vyloženě počítač. Webové rozhraní nevyužívá žádné proprietární technologie, takže funguje třeba i v prohlížeči chytrých televizorů.  K dokonalosti mu ovšem chybí mobilní verze uzpůsobená pro dotykové mobily či tablety. To se ale může brzy změnit, protože webové rozhraní ještě neprošlo redesignem po odklonu od užívání značky a motivů Windows Live.

Nové zálohování založené na verzování

Podle Microsoftu pouze 5 % uživatelů Windows 7 používá integrované funkce pro zálohu souborů z pevného disku. Zbytek uživatelů buď volí pro zálohování svých důležitých dat alternativní řešení, nebo nezálohuje vůbec. Pravděpodobnější je, že převažuje druhá varianta. Například podle průzkumu společnosti 100Mega Distribution, výrobce počítačů HAL3000, v průměru tři ze čtyř českých domácností nechrání systematicky svá data před možnou ztrátou.

Microsoft dospěl k názoru, že koncepce zálohovacích funkcí ve Windows 7 není nejšťastnější. Sice je přenesl i do Windows 8, ale primární zálohovací funkcí systémů je Historie souborů, čili verzování. Obnovit dřívější verzi souboru umožňují i Windows Vista a Windows 7, ovšem k dispozici mají pouze verze, které byly uchovány při provádění zálohy integrovaným zálohovacím nástrojem anebo při vytváření bodu obnovy.

V praxi tedy verzování ve Windows Vista a Windows 7 není příliš efektivní, když vestavěné zálohování téměř nikdo nepoužívá a body obnovení systému se nevytvářejí zase tak často. Ty navíc archivují uživatelské soubory jen vzácně. Historie souborů ve Windows 8 ovšem pracuje nezávisle a umožňuje přizpůsobení své činnosti. K dokonalosti má ale daleko.

Historie souborů je ve výchozím nastavení vypnutá a systém nevybízí k jejímu zapnutí. Uživatel si musí zvolit zařízení, na které se budou v pravidelných intervalech archivovat v tu chvíli aktuální verze souborů. Může jít o cokoliv od interního pevného disku přes flash disk nebo paměťovou kartu po síťové úložiště. Po výběru úložného zařízení lze verzování spustit.

Ve výchozím nastavení se každou hodinu archivují soubory z knihoven a plochy, oblíbené položky z integrovaného prohlížeče Internet Exploreru a kontakty ze systémového adresáře, přičemž pro potřeby archivace dřívějších verzí je k dispozici pět procent z kapacity vybraného cílového úložiště. Jakmile volné místo dojde, verzování je přerušeno a uživatele Windows 8 požádají o řešení (použití jiného média, ruční smazání starších verzí).

Slabou stránkou nové zálohovací funkce jsou nedostatečné možnosti přizpůsobení. Například není možné si přesně nastavit prostor, který smí být na zvoleném médiu pro archivování různých verzí použit. Přidělenou kvótu lze nastavit jen relativně v procentech z celkové kapacity, nikoliv konkrétně v megabajtech, gigabajtech či terabajtech.

Možnosti nastavení nového zálohování formou verzování jsou omezené. Kritickým nedostatkem je, že nelze jednoduše pro zálohu vyčlenit konkrétní a libovolnou kapacitu úložného zařízení, ale maximálně 20 % z ní.

Systém navíc dovolí využít jen dvacet procent kapacity úložného zařízení, takže efektivita využití zařízení s menší kapacitou je velmi malá. Též Windows 8 tímto znesnadňují vyčlenění jednoho zařízení výhradně pro potřeby zálohování. Aby nebylo nutné neustále řešit přerušené verzování kvůli nedostatku místa, je alespoň možné nastavit automatické mazání starších verzí souborů v okamžiku, kdy je vyčerpán vymezený prostor.

Dalším problémem je selekce obsahu, který má být s pomocí funkce Historie souborů zálohován. V nastavení je možné pouze vyřadit některé knihovny či složky ze zálohovacího procesu. Nelze však vyloučit různé typy souborů anebo soubory přesahující definovatelnou kapacitu. To jsou přitom elementární funkce každého kvalitního zálohovacího programu.

Navíc nelze přímo v nastavení Historie souborů zahrnout do procesu zálohování nové složky. To je možné provést jen nepřímo přiřazením složky do některé z existujících knihoven anebo vytvořením knihovny nové sloužící speciálně pro jednodušší výběr složek, jejichž obsah má být zálohován. Kdo si ve Windows 7 nezvykl na knihovny, bude mít minimálně v počátcích s novým zálohováním nemalé problémy.

Kladem nové funkce naopak je, že moderní počítač prakticky nezatěžuje a proto ani není na místě kritika, že chybí omezení využití systémových prostředků anebo blokování zálohování, pokud je počítač zatížen nějakou náročnou úlohou. Intenzivně pracující uživatelé tedy mohou bez obav ze ztráty výkonu zkrátit interval provádění zálohy na deset minut, což je nejkratší možný interval. Nejdelším je pak 12 hodin, případně lze nastavit provádění zálohy jednou denně, když je možnost.

Ochrana dat před poškozením disku

Selhání pevného disku se počítá mezi nejčastější příčiny ztráty dat. Například podle výše zmiňovaného průzkumu výrobce počítačů HAL3000 je 35,7 % případů ztráty dat způsobeno právě selháním hardwaru v čele s pevným diskem. Následuje pak selhání lidského faktoru v podobě uživatelské chyby nebo nedbalosti, které podle průzkumu může za 30,3 % případů ztráty dat.

Microsoft se proto rozhodl doplnit podporu softwarové realizace diskového pole novou funkcí Prostory úložišť. Tu lze použít ke sloučení více interních či externích pevných disků do jednoho velkého virtuálního úložiště, jehož kapacitu je možné kdykoliv navýšit pouhým připojením a přiřazením dalšího disku.

Primárně však nová funkce nabízí uživatelům zrcadlení dat. Možné je použít interní i externí pevné disky (nikoliv však flash disky a další média, která Windows 8 považují za vyměnitelná) a to různé velikosti. Data mohou být zároveň ukládána až na tři různé disky. Velikost úložiště lze virtuálně nastavit na mnohem vyšší hodnotu, než je kapacita takto propojených disků.

Funkce Prostory úložišť je zajímavá funkce, ale potřeby náročnějších uživatelů by lépe uspokojila podporou síťových úložišť (třeba NAS serverů).

Systém si po vyčerpání skutečně dostupné kapacity řekne o připojení dalších disků, což se obejde bez formátování těch již používaných. Kapacita doplněných disků se prostě jen přičte a je ihned k dispozici. Díky tomuto konceptu je možné zrcadlit s disky různé kapacity. Jakmile nejmenšímu z nich dojde prostor, tak Windows 8 požádají o další nebo jiný, aby stále platilo, že jsou data ukládána zároveň vždy na dva nebo tři různé disky.  

Pro náročnější uživatele je pak při dostupnosti tří samostatných disků k dispozici paritní ochrana. Škoda, že Windows 8 neumožňují zapojit do tzv. fondu (skupiny disků) například NAS server nebo síťový disk. K dispozici je dnes řada GLAN modelů, které by měly poskytnout dostatečnou rychlost při propojení právě prostřednictvím gigabitové místní sítě. Ne každý totiž může do počítače instalovat potřebný počet disků (a mít kolem počítače různé externí disky také není vždy zrovna žádoucí).

Hardwarový RAID se o své místo na slunci i u náročnějších domácích uživatelů nemusí obávat, protože nová funkce pro práci s disky neumožňuje chránit systémový disk. Ten umí Windows 8 ochránit jen formou vytvoření bitové kopie, ze které lze kompletní obsah disku včetně systému obnovit v případě jeho selhání na disk nový. Tato funkce je známá již z Windows Vista, byť termín „bitová kopie“ Microsoft zavedl až ve Windows 7.

Šifrování BitLocker dostupnější širší veřejnosti

S novou koncepcí zahrnující redukci počtu edic systému a příznivější cenovou politku se šifrovací technologie BitLocker a BitLocker To Go stávají ve Windows 8 Pro dostupnějšími řadovým uživatelům. Dříve byla technologie BitLocker jen v drahých edicích Ultimate systémů Windows Vista a Windows 7, po kterých zákazníci zase v takové míře nesahali při nákupu systému resp. pořizování počítače s předinstalovaným systémem.

Šifrovací technologie BitLocker brání data na libovolném disku (včetně systémového) před neautorizovaným přístupem.

Přitom jde o velmi praktickou a účinnou ochranu dat. Tentokrát samozřejmě před neautorizovaným přístupem k nim. Technologie BitLocker, která se objevila již ve Windows Vista, umožňuje chránit kompletní systémový disk i ostatní pevné disky. Při šifrování systémového disku je možné chránit naběhnutí systému a zpřístupnění šifrovaných dat heslem či elektronickým klíčem na flash disku.

BitLocker To Go ochrání citlivá data například na flash disku v případě jeho ztráty nebo odcizení.

Při odcizení nebo ztrátě např. přenosného počítače tak zloděj či nepoctivý nálezce nemá přístup k systému. Nepomůže si ani demontáží disku a jeho připojením k jinému počítači, protože obsah disku je stále šifrován. Podobně lze chránit díky novější navazující technologii BitLocker To Go i flash disky a další podobná přenosná paměťová média, k nimž je možné omezit přístup vyžadováním hesla pro dešifrování obsahu.

Nové možnosti autentizace uživatele

Windows 8 přinášejí vedle běžného hesla novou ochranu uživatelských účtů. Uživatelé si obvykle volí extrémně slabá hesla, k jejichž překonání nemusí být narušitel soukromí ani příliš počítačově gramotný. Microsoft tedy zavedl alternativy k běžnému heslu. Jednou z nich je obrázkové heslo dostupné pro zařízení s dotykových displejem. 

Uživatel si vybere obrázek a pak si na něm nastaví sérii gest a ťuknutí, jejichž zopakování v daném pořadí na určených místech je nutné pro úspěšné přihlášení. Samozřejmě je nastavena určitá míra tolerance, ovšem ne taková, aby dobře zvolené dotykové heslo šlo obejít. Tento neotřelý způsob přihlašování má šanci být silnější náhradou hesla, když uživatelé nerespektují pravidla pro tvorbu silného hesla. 

Heslo pro přihlášení k uživatelskému účtu lze ve Windows 8 nahradit sérií gest na dotykovém displeji.

Rovněž je možné využít výhod přihlašování přes Microsoft Account. Na všech počítačích lze používat jedno centrální heslo, které je možné ovšem odkudkoliv změnit anebo v případě zapomenutí bezpečně resetovat. Nové heslo může být zasláno na alternativní ověřenou e-mailovou adresu anebo mobilní telefon jako textová zpráva.

Když je řeč o heslech, tak Windows 8 nově podporují jejich synchronizaci přes Microsoft Account mezi různými počítači. Nicméně je itengrována bezpečnostní pojistka vyžadující označení počítače za důvěryhodný. Potvrdit důvěryhodnost počítače je nutné z jiného již důvěryhodného počítače anebo prostřednictvím e-mailu zaslaného na alternativní adresu k účtu Microsoft Account. 

Windows 8 podporují synchronizaci uložených hesel, ovšem vyžadují ověření počítače, který má mít k heslům přístup. Znalost hesla k Microsoft Account tak útočníkovi nestačí.

Synchronizovaná hesla jsou tak v bezpečí, i když dojde k prozrazení hesla pro Microsoft Account. Nicméně stále chybí podpora master hesla, která by v prohlížeči Internet Explorer ochránila přístup k uloženým heslům. Ovšem ani konkurenční prohlížeče master heslo nepodporují automaticky. K těm, které ano, patří třeba browsery Firefox a Opera.

UAC a Windows Firewall beze změn

Stále chybí alespoň volitelné vyžadování hesla při dočasném povyšování uživatelských práv prostřednictvím funkce User Account Control (UCA). Ta se od dob Windows 7 nezměnila. Není již elementem dráždícím nervy uživatelů jako ve Windows Vista, ovšem detailní možnosti nastavení, co, kdy a jak má být potvrzeno, stále chybí. Přitom v linuxových distribucích je zadávání hesla při kritických operacích letitou samozřejmostí.

Významnější aktualizace se oproti Windows 7 nedočkal ani integrovaný Windows Firewall. Jedním z hlavních problémů zůstává podpora jen dvou předdefinovaných profilů: jeden pro privátní sítě a jeden pro veřejné sítě. Přitom vytvořit si různé profily pro firemní síť a domácí síť by v éře rozvíjejícího se trendu BYOD, kdy zaměstnanci mnohdy i za aktivní podpory firem používají na pracovišti vlastní zařízení, bylo na místě. 

Windows Firewall ve Windows 8 neprodělal žádné výraznější změny od verze z Windows 7. Stále podporuje jen dva profily.

Zklamáním je též skutečnost, že Microsoft sice přes Windows Update bdí nad aktualizací nově předinstalovaného plug-inu Flash Player pro prohlížeč Internet Explorer, ovšem už neřeší zastaralost jiných kritických plug-inů jako je třeba Java, která v posledních měsících měla velké bezpečnostní problémy a zdaleka ne první.

Internet Explorer má sice již z dřívějška známý nástroj pro sledování vlivu plug-inů na výkon prohlížeče, ovšem ani jeho nová verze nedovede uživatele varovat před těmi zastaralými. Nenabízí tak uživatelům stejnou ochranu jako Mozilla Firefox, který ji ještě prohloubí. V chystané verzi 17 totiž umožní automatické blokování zastaralých plug-inů s tím, že si je uživatel bude moci spustit až po varování.

Křisťálová Lupa 24 hlasovani

Toto zmiňujeme především v kontextu toho, že se Microsoft zaměřil z bezpečnostních důvodů na aktualizaci plug-inu Flash Player prostřednictvím vlastní infrastruktury a služby Windows Update integrované do systému, ale otázku neméně problémových plug-inů, které jsou podobně zneužívané útočníky, jaksi vůbec neřeší. Tedy pokud pomineme možnost jejich dálkové deaktivace, což je ale extrémní řešení, ke kterému Microsoft na rozdíl od Applu či Mozilly moc často nesahá. 

Microsoft zřejmě spoléhá na svůj SmartScreen dlouhodobě válcující podobné filtry v konkurenčních prohlížečích v testech výzkumníků NSS Labs. Přesto by upozornění na zastaralé plug-iny bylo z bezpečnostního hlediska nesporně užitečnější funkcí než automatické aktivování funkce Do Not Track, na kterou nemusejí brát provozovatelé webů, reklamních systémů a monitorovacích služeb absolutně žádný zřetel. 

Chystáte se upgradovat na Windows 8?

Autor článku

Autor je nezávislý novinář a publicista věnující se informatice, elektronice a telekomunikacím. V těchto oborech i podniká. Se serverem Lupa.cz spolupracuje již řadu let jako externí redaktor.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).