Ať už sedíte doma u svého počítače, nebo v kanceláři s firemním notebookem — je velmi pravděpodobné, že děláte jednu zásadní bezpečnostní chybu. A není to slabé heslo ani chybějící antivirus. Je to způsob, jakým jsou nastavené uživatelské účty na vašem počítači.
Ten jeden účet, který dělá všechno — a proč je to problém
Naprostá většina domácích i firemních počítačů funguje takto: jeden uživatel, jeden účet, a ten účet má administrátorská práva. Je to pohodlné. Je to jednoduché. A je to otevřená brána pro útočníky.
Proč? Protože operační systém vám věří. Když jste přihlášeni jako administrátor, věří vám i každý program, který spustíte — včetně škodlivého kódu, který si nevědomky stáhnete z internetu. Malware nepotřebuje vaše heslo. Nepotřebuje vaše povolení. Prostě se nainstaluje, protože systém předpokládá, že všechno, co běží pod vaším účtem, jste schválili vy.
A vy o tom vůbec nevíte. Windows sice nabízí UAC, ale standardní uživatelský účet bez admin práv je spolehlivější záchrana — systém vyžaduje zadání hesla a ten moment vás přinutí se zamyslet.
Jak by to správně mělo vypadat
Bez ohledu na to, zda jde o domácí nebo firemní počítač, platí stejné pravidlo:
- Běžný uživatelský účet — pro každodenní práci, bez administrátorských práv. Tady trávíte 99 % času.
- Administrátorský účet — pouze pro instalace, nastavení systému a správu. Přihlásíte se, uděláte co potřebujete, odhlásíte se.
- Název admin účtu — nikdy „admin" ani „administrator". To jsou první jména, která útočníci zkouší. Pojmenujte ho neutrálně — například „servis_xy" nebo libovolný nesouvisející název.
- Více admin účtů — rozumná záloha. Pokud se jeden poškodí nebo zablokuje, máte záchrannou cestu. Každý záložní účet musí mít jiné heslo. Nikdy nesdílejte jedno admin heslo mezi více lidmi.
Toto doporučení není jen pro firmy. Platí úplně stejně pro domácí počítač.
Firemní prostředí: kde to komplikuje hlavně člověk
Ve firmách narážíme na věčný spor: produktivita vs. bezpečnost. Uživatelé chtějí mít kontrolu nad svým počítačem, nechtějí být „omezováni" a každé bezpečnostní opatření vnímají jako zdržování.
A tak vznikají kompromisy, které bezpečnost rozkládají zevnitř. K tomu se přidávají problémy jako:
- Hesla na monitoru — stará klasika, která stále žije. Obzvlášť u starší generace uživatelů je to bohužel běžný pohled. Heslo má smysl pouze tehdy, pokud ho nezná nikdo jiný.
- Propojené sítě bez segmentace — pokud je celá firemní síť jeden velký plochý prostor, útočník, který se dostane dovnitř přes jeden počítač, má přístup ke všemu. Řešením je síťová segmentace — rozdělení sítě na menší části (např. pomocí VLAN), kde infiltrace jednoho segmentu neohrožuje zbytek firmy.
Speciální kategorie: IT specialisté
A teď přichází možná nejkontroverznější část — protože hovoříme o těch, kteří by měli jít příkladem.
IT specialisté jsou paradoxně jednou z nejrizikovějších skupin. Vysoké sebevědomí, obrovský tlak na rychlost řešení problémů a nulová tolerance ke zdržování — to je kombinace, která vede k tomu, že přepínání mezi účty se stává „nepřijatelným luxusem."
Přitom správně nastavené prostředí pro IT správce vypadá takto:
- Běžný uživatelský účet — bez jakýchkoliv admin práv, pro každodenní práci
- Lokální administrátorský účet — pouze pro správu konkrétních PC
- Účet pro správu serverů — oddělený, s příslušnými právy
- Účet pro správu doménových kontrolerů (DC) — nejvyšší úroveň, nejpřísnější pravidla
Když toto navrhnete průměrnému ajťákovi, je velmi pravděpodobné, že se otočí a odejde. Přitom jde o základní princip kybernetické bezpečnosti — princip nejmenších potřebných oprávnění (Least Privilege). Každá vrstva chrání tu další. Pokud dojde ke kompromitaci jednoho účtu, útočník nezíská automaticky přístup ke všemu.
Princip Least Privilege znamená, že každý uživatel — včetně IT administrátora — má právě tolik oprávnění, kolik potřebuje pro svou aktuální činnost. Nic víc.
Shrnutí — co si z toho odnést
| Situace | Doporučení |
|---|---|
| Domácí počítač | Oddělte uživatelský a admin účet |
| Firemní PC | Standardní účet pro práci, admin jen pro nutné operace |
| Název admin účtu | Nikdy „admin" nebo „administrator" |
| Záloha přístupu | Více admin účtů pro případ nouze |
| Síť ve firmě | Zvažte segmentaci — omezte šíření případného útoku |
| IT administrátor | Dodržujte vrstvenou strukturu účtů — i když to zdržuje |
Závěr
Bezpečnost není jen o antivirech a firewallech. Začíná u toho nejzákladnějšího — u toho, pod jakým účtem každý den pracujete. A tato změna nestojí nic. Jen trochu disciplíny.
IT má firmě sloužit, ne ji komplikovat. Ale bezpečnost, která chybí, může firmu zastavit úplně.
P.S. Tento článek se věnuje pouze uživatelským účtům a základním principům. Kompletní ochrana firmy zahrnuje i zálohování, firewall, aktualizace, správu přístupů a další oblasti — některá z těchto témat najdete v dalších článcích na tomto blogu.