Doba čtyřmístných PIN kódů je tu tam. Dnešní propojený svět počítačů patří dlouhým, komplexním a často obměňovaným heslům. Každý specialista na počítačovou bezpečnost by rovněž dodal, že je navíc velmi rozumné používat pro každou ze služeb jiné heslo. Ve výčtu požadavků bychom samozřejmě mohli pokračovat. Pro některé účely musí být autentizace doplněna dalším mechanismem, kterým může být například ověření za pomoci čipové karty. Zkrátka sami jistě uznáte, že s rostoucí snahou o maximální zabezpečení následky pocítí především běžný každodenní uživatel přihlašující se do daného systému. V množství hesel a přístupových údajů se tak lehce ztratí. Zapomínat je přeci lidské…

Zamyslíme-li se nad původem technologií a principů používaných v dnešních počítačích, celkem snadno dojdeme k závěru, že celá řada z nich vznikla a byla užívána pro vojenské účely. Později pak pozvolna přešla do dalších odvětví a běžného života. Nejinak je tomu v případě počítačových hesel. Pohledem na historii jejich vývoje zjistíte, že i ona byla používána vojenskými složkami. Příslušníci stejné jednotky se pomocí nich dokázali snadno identifikovat. První z nich vyzval heslem druhého, aby se identifikoval odpovídajícím protějškem k tomuto tajnému heslu. Pokud obě informace seděly, oba si mohli být jisti svou příslušností. To vše fungovalo s předpokladem, že heslo nebylo vyzrazeno či dokonce zapomenuto jedním ze zúčastněných. V obou případech mohla podobná chyba být osudnou. V našem kontextu naštěstí nemusí být zapomenutí hesla tak dramatické. A když přeci jen lidská paměť zklame, jsou tu šikovné nástroje, které pomohou.

Představíme vám několik šikovných nástrojů, které dokáží vyléčit onen nepříjemný pocit při zapomenutí uživatelského jména nebo hesla. Všechny z následujících utilit zobrazují přístupové údaje, které jste do počítače v minulosti alespoň jednou zadali. Nezjistíte ale například přihlašovací údaje do Windows Live Messengeru, který jste na počítači doposud nikdy nespustili.

Předtím, než se pustíme do ukázky, si neodpustím drobnou etickou poznámku. V případě, že jste zapomněli své heslo, tyto nástroje skvěle poslouží. Na druhou stranu jsou v rukou nepřející osoby poměrně nebezpečnou zbraní. Zamyslete se tedy předtím, než začnete zjišťovat heslo do kamarádovy poštovní schránky, zda náhodou neděláte něco, co by si nepřál.

Heslo k poštovní schránce

Mezi časté scénáře patří zapomenutí hesla do poštovní schránky. V zásadě nezáleží na tom, zda pracujete s e-maily přes webové rozhraní či využíváte služeb některého z poštovních klientů. Pokud jste například jednou přihlásili do své poštovní schránky na Seznamu, váš internetový prohlížeč si je schopen přístupové údaje zapamatovat. Stejně tak pracuje i lokálně nainstalovaný poštovní klient. Problém ovšem nastává, když po několika měsících chcete heslo zjistit. Poštovní klient jej obvykle skryje a zobrazí místo něj znaky hvězdičky. Správce hesel v prohlížeči nemusí také být v tomto směru sdílný. Výsledek je sice takový, že se do schránky přihlásíte, ovšem z jiného počítače tak bez znalosti hesla neučiníte. Takto uložené heslo vám naštěstí pomůže zjistit nástroj Mail PassView. Souhrnně zobrazí uložená uživatelská jména a hesla všech poštovních účtů používaných v počítači, na kterém jej spustíte.

Ideálním pomocníkem dokáže být i v situaci, kdy se chystáte na reinstalaci operačního systému a chcete si předem vyexportovat všechna hesla.

1. Stáhněte si nástroj Mail PassView. Z archivu ZIP rozbalte spustitelný soubor mailpv.exe a spusťte jej v počítači, ze kterého si přejete uložená hesla zobrazit a exportovat.
2. Na úvodní obrazovce vás ihned po spuštění přivítá přehledný seznam poštovných účtů, uživatelských jmen a nezašifrovaných hesel.
   
3. Pro označení všech položek vyberte v nabídce Edit volbu Select All.
4. Export hesel do souboru zahájíte klepnutím na volbu Save selected items umístěnou v menu File. Výstupní formát můžete ponechat nastaven na Text Files (.txt).
   

Mezi podporovanými poštovními klienty najdete například následující:

• Outlook Express
• Microsoft Outlook 2002/2003/2007 (účty POP3, IMAP, HTTP a SMTP)
• Windows Live Mail
• Mozilla Thunderbird (pokud uložená hesla nejsou chráněna master heslem)
• Hotmail/MSN mail – pokud je heslo uloženo v Live Messengeru
• Gmail – pokud je heslo uloženo v aplikaci Gmail Notifier, Google Desktop nebo Google Talk.

V případě, že používáte poštovního klienta umístěného v počítači, neukládejte heslo. Pokud by vám to nevyhovovalo kvůli nutnosti zadat heslo při každém spuštění klienta, uložte jej. V takovém případě ale vřele doporučuji zajistit fyzickou bezpečnost počítače, zamykat počítač klávesovou zkratkou WIN+L a je-li to možné aktivovat technologii šifrování pevného disku Bitlocker.

Hesla uložená ve webovém prohlížeči

Webový prohlížeč zpravidla obsahuje komponentu, které bychom obecně mohli říkat Správce hesel. Snaží se uživateli usnadnit práci tím, že si zapamatuje hesla zadaná do přihlašovacího formuláře webových stránek, kterým to povolíte. Při opětovné návštěvě webu pak údaje hbitě automaticky vyplní. I tato hesla je možné zobrazit v nešifrované podobě pomocí nástroje IE PassView nebo PasswordFox.

Zapomenete-li například své heslo do Facebooku, ale mate jej uložené v Internet Exploreru, IE PassView je spásným nástrojem.

Získání vašich hesel nepovolanou osobou předejdete používáním vhodného password manageru, který podporuje zašifrování všech uchovávaných přihlašovacích údajů. Mezi osvědčené patří například LastPass.

Přihlašovací údaje do IM komunikátorů

Společnost Nirsoft ve svém portfoliu nabízí i nástroj MessenPass. Pokud si nemůžete vzpomenout na heslo zadané do IM klienta, pomůže vám s jeho odhalením. Grafické rozhraní a možnosti exportu jsou totožné s předchozími nástroji. Ihned po spuštění tedy získáváte kompletní přehled uložených hesel.

Pokud byste rádi zabránili dalšímu uživateli vašeho počítače ve zjištění vašeho hesla, neukládejte trvale vaše heslo do IM klienta.

Přehled podporovaných aplikací:

• Windows Live Messenger
• Yahoo Messenger (verze 5.x a 6.x)
• Google Talk
• ICQ Lite 4.x/5.x/2003
• Trillian
• Miranda
• GAIM/Pidgin
• Digsby

Zjištění produktového čísla nainstalovaných Windows a Office

Pokud jste nedopatřením ztratili produktový klíč vašich Windows nebo Office, nabízí se použití nástroje ProduKey. Neocenitelný je také, pokud již klíč na licenčním štítku počítače není čitelný nebo je poškozený. Dokáže totiž vypsat všechny klíče, se kterými byly nainstalovány Windows, Office a některé další aplikace od Microsoftu.

Další software

Z produkce Nira Sofera pochází mnoho dalších neméně zajímavých aplikací. Doporučuji navštívit jeho web.

Tento článek byl napsán pro časopis Computer.

Zní to neuvěřitelně, ale nápověda ve formátu Microsoft Compiled HTML Help s příponou CHM letos oslaví třinácté narozeniny od svého uvedení. Během let Microsoft tento formát rozvíjel, ale v roce 2002 se ukázalo, že skrývá určitá potenciální bezpečnostní rizika. Proto bylo rozhodnuto, že otevírání těchto souborů bude automaticky blokováno. Pokud uživatel bude i přesto chtít zobrazit obsah souboru obsahujícího nápovědu, musí nejdříve provést jeho odblokování.

Blokovací bezpečnostní mechanizmus byl do Windows XP doplněn jednou z aktualizací. V případě Windows Vista a Windows 7 jde o nedílnou součást operačního systému.

Microsoft definuje několik zón, ze kterých může CHM soubor pocházet. Na základě původu souboru je následně rozhodnuto o zablokování přístupu k jeho obsahu.

Například pokud byl soubor zkopírován na pevný disk instalátorem Windows, spadá do zóny My Computer. Ta má tu výhodu, že do ní spadající soubory nejsou blokovány. Pracovat s nimi můžete tedy naprosto bez omezení. Stejné chování je charakteristické i pro flashdisky a další výměnná zařízení nedisponující souborovým systémem NTFS. Naproti tomu obsah souboru na flashdisku se systémem NTFS bude blokován.

Naproti tomu soubory nápovědy stažené z lokální sítě nebo internetu automaticky získávají atribut dokumentující jejich zónu původu Local Intranet, Trusted Sites, Internet či Restricted Sites. Zobrazování jejich obsahu je zakázáno, a pokud si do nich přejete nahlédnout, musíte ručně pro každý ze souborů tuto činnost povolit. V případě, že vám pod rukama během dne projde celá řada různých CHM souborů, oceníte možnost změnit výchozí chování operačního systému a blokování souborů zcela vypnete.

Technické pozadí

Z výše popsaného principu je patrné, že si Windows pamatují informaci o původu každého staženého souboru. Kde je ale uchovávána? V hlavičce každého ze souborů, v registrech nebo snad v nějakém speciálním souboru?

Odpověď skrývá souborový systém NTFS respektive technologie Alternative Data Streams. Každý soubor může (ale nemusí) mít přidružen jeden či více datových streamů. Představte si jej jako objekt, do kterého je možné zapisovat a číst informace, podobně jako do obyčejného souboru.

Jakmile si do počítače stáhnete CHM soubor z internetu, systém založí jeho datový proud a zapíše do něj informaci o zóně jeho původu. Dejme tomu, že soubor umístěný na pracovní ploše se jmenuje php_manual_en.chm. Jak zjistíme, zda má vůbec datový stream vytvořen? Stačí do příkazové řádky v režimu správce zadat příkaz dir /r. Datový stream poznáte podle jména složeného z názvu souboru následovaného dvojtečkou a názvem proudu.

Nyní víme, že stream souboru existuje a zobrazíme si jeho obsah pomocí poznámkového bloku tímto příkazem. Řetězec zone.identifier plní roli názvu datového proudu.

notepad C:\Users\Jirka\Desktop\php_manual_en.chm:zone.identifier

 Otevře se okno poznámkového bloku s obsahem podobným tomu na obrázku.

V sekci ZoneTransfer je obsažen atribut ZoneId s hodnotou 3. Hodnota specifikuje bezpečnostní zónu, do níž soubor php_manual_en.chm spadá. Pohledem do tabulky níže zjistíte, že byl stažen do počítače z internetu. Přístup k jeho obsahu tedy bude zablokován, protože Windows podporují ve výchozím nastavení pouze otevírání CHM souborů pocházejících z vašeho počítače – zóny 0.

Odblokování jednoho souboru

Soubor nápovědy umístěný přímo na pevném disku vašeho počítače je možné otevřít bez větších komplikací. Pokud ale pochází z internetu či jiného síťového zdroje, systém to zjistí díky atributu Zone ID z datového streamu souboru a znemožní zobrazení obsahu souboru. Pro každý jednotlivý stažený soubor můžete pomocí tohoto postupu provést ruční odblokování – tedy sdělit systému, aby soubor přijal za důvěryhodný a přestal jej blokovat.

1. Klepněte na požadovaný soubor pravým tlačítkem myši a z kontextové nabídky vyberte Vlastnosti.
2. V pravé dolní části otevřeného dialogového okna si všimněte tlačítka Odblokovat.
   
3. Jeho stisknutím a následným potvrzením tlačítka OK dojde k trvalému odblokování přístupu k obsahu souboru.

Poznámka: Všimli jste si, že u souborů nápovědy otevíraných ze sdílené síťové složky chybí tlačítko Odblokovat? Takové musíte zkopírovat přímo do vašeho počítače nebo zvolit postup uvedený o několik řádků níže.

Vypnutí blokování všech souborů

Pracujete-li často s různými soubory nápovědy, výše popsaný postup aplikovaný na každý jeden soubor by vám mohl značně komplikovat život. Proto máte možnost změnit výchozí chování Windows a sdělit systému, aby povolil přímý přístup k CHM souborům spadajících například do zóny Internet a všech nižších.

1. Do vyhledávacího pole v nabídce Start napište regedit, čímž spustíte Editor registru.
2. Stromovou hierarchií projděte do větve HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\. Zde vytvořte pomocí pravého tlačítka nový klíč s názvem ItssRestrictions.
3. Klepněte pravým tlačítkem na nově vytvořený klíč ItssRestrictions, z kontextové nabídky zvolte Nový. Z podnabídky vyberte Hodnota DWORD (32 bitová) a nazvěte ji MaxAllowedZone.
4. Poklepáním na nově vytvořenou hodnotu MaxAllowedZone a zadáním čísla 3 specifikujte, že si přejete nastavit všechny zóny se Zone ID v rozsahu 0-3 jako důvěryhodné.
   
5. Tím zajistíte, že přístup k obsahu souborů nápovědy stažených z internetu nebude blokován. Stejně tak soubory ze sdílených síťových složek budou zobrazitelné přímo.
   

Tip: Celý postup můžete elegantně provést zadáním tohoto příkazu do Příkazového řádku v režimu správce:

reg add HKLM\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions /v MaxAllowedZone /t REG_DWORD /d 3 /f

Tento článek byl napsán pro časopis Computer.

Pohledem do licenčních podmínek zjistíte, že Microsoft počítá s použitím v domácnostech a SOHO (Small Office/Home Office):
Smíte nainstalovat a používat libovolný počet kopií softwaru ve vašich zařízeních ve vaší domácnosti pro užívání osobami, které tam pobývají, nebo pro užívání ve vaší domácí malé firmě.

Stahujte: zde

Cena úložných zařízení v posledních letech zaznamenala velmi příznivý vývoj. Nehledě na bezplatná webová úložiště jsou flashdisky velmi oblíbeným prostředkem pro přenos dat. Tento fakt přijala za svý i řada společností a odměňuje svou klientelu flashdisky nejrůznějších velikostí, tvarů a úložných kapacit. Díky tomu uživatelé vnímají flash disk jako obyčejné spotřební zboží. V případě jeho ztráty uživatel bez zaváhání sáhne po jiném a samotná materiální stránka věci ho v zásadě netrápí.

Všimněte si ale proměny výrazu na jeho tváři ve chvíli, kdy zjistí, že ztracený disk obsahoval důvěrné firemní materiály a data o klientech. Pár minut poté zcela bezradný zjistí, že se nemůže připojit do své poštovní schránky a není schopen sestavit VPN spojení do firmy, protože heslo měl uložené v textovém souboru na flashdisku?

Nevím, jak se tato situace jeví vám z pohledu čtenáře, ale mě z pohledu správce vyvolává hodně nepříjemný pocit okolo žaludku. Myslíte si, že přeháním. Dobrá, pak si představte IT společnost, která vám spravuje kompletní serverovou a síťovou infrastrukturu. Jak byste se cítili při zjištění, že její technici přenáší uživatelská jména a hesla pro přístup do vašich serverů, routerů a switchů v nešifrované podobě na flashdiscích? Uznejte sami, že ani jedna ze situací není pro dotčenou firmu ničím příjemným.

Doufám, že se vám z obou modelových situací otevírá flashdisk v kapse a alespoň na chvíli si pohráváte s myšlenkou, zda by přeci jen nestálo za to změnit postoj a začít šifrovat data na všech přenosných discích.

Microsoft již ve Windows Vista představil technologii zvanou BitLocker. Původně byly možnosti šifrování omezené pouze na systémové oddíly, později přibyla podpora pro oddíly datové. Už v Beta verzi systému Windows 7 se ale objevila novinka označovaná jako BitLocker To Go. Najdete ji samozřejmě i v prodejní verzi Windows 7 a přináší nativní podporu šifrování přenosných USB disků a flashdisků. To vše velmi intuitivně, jednoduše a díky integraci se Zásadami skupiny (Group Policy) je příjemným rysem této technologie správa napříč celou vaší organizací. Můžete například vynutit dostatečně silná hesla či nastavit ukládání obnovovacího klíče do Active Directory.

Flashdisk chráněný BitLocker To Go je možné vytvořit na systémech Windows 7 ve verzi Ultimate a Enterprise. Takto chráněné úložiště je ale čitelné i na starších systémech Windows XP a Vista. Každý zašifrovaný disk totiž obsahuje nástroj pro čtení svého obsahu zvaný Čtečka BitLocker To Go.

 Zápis na zašifrované disky bohužel není systémy Windows XP a Vista podporován. Ostatní edice Windows 7 podporují nativní čtení i zápis přes průzkumníka, tedy bez nutnosti používání Čtečky BitLocker To Go.

Mezi podporovanými souborovými formáty disků najdete všechny nejpoužívanější jako NTFS, FAT32 či exFAT. Zbystřete v případě, že je váš flashdisk  naformátován systémem NTFS a vy se snažíte jeho obsah přečíst ve Windows XP pomocí Čtečky BitLocker To Go. Tato situace bohužel není podporována. Otevření obsahu disku ve Windows XP se nezdaří a systém nabídne pouze nové naformátování disku.

Zašifrování disku

Data uložená na disku budou po jeho zašifrování zachována, přesto ale doporučuji provést jejich zálohu.

1. Připojte k počítači přenositelný disk nebo flashdisk, jehož obsah si přejete zašifrovat technologií Bitlocker To Go.
2. V dialogu Počítač klepněte pravým tlačítkem myši na jednotku tohoto disku a zvolte Zapnout nástroj Bitlocker.
   
3. První krok otevřeného průvodce slouží k zadání metody sloužící k odemčení obsahu disku. Zvolte Odemknout jednotku pomocí hesla a zadejte do obou textových polí nové heslo.
   
4. Dále specifikujte, kam se má uložit soubor nesoucí obnovovací klíč. Doporučuji vygenerovaný klíč rovněž vytisknout. Elektronickou i tištěnou verzi klíče uložte na bezpečné místo.
   
5. Stiskem tlačítka Zahájit šifrování nastartujte proces zašifrování disku.
   
6. Vyčkejte na dokončení přípravy disku.
    
7. Jakmile bude vše připravené, disk bezpečně odpojte. Nyní jej odpojte od počítače a znovu připojte. Budete vyzváni k zadání hesla pro odemknutí disku.
   

Vypnutí BitLocker To Go

Zašifrovaný disk je samozřejmě možné vrátit do původního stavu, kdy je plně přístupný a jeho obsah není chráněn. Otevřete ovládací panel Nástroj BitLocker Drive Encryption a u odpovídající jednotky klepněte na volbu Vypnout nástroj BitLocker. Případně můžete zašifrovaný flashdisk naformátovat, čímž sice odstraníte ochranu technologií BitLocker to Go, ale přijdete o veškerý datový obsah jednotky.

Poznámka: BitLocker To Go chrání obsah libovolných přenosných disků. Pokud ovšem zašifrujete například flashdisk sloužící pro instalaci Windows 7, nebude možné z něj nabootovat a tím pádem ani uskutečnit instalaci systému. Disk je totiž v okamžiku pokusu o bootování uzamčen a zašifrován.

Tento článek byl napsán pro časopis Computer.

Microsoft při vývoji Windows 7 myslel i na bezpečnost a na požadavky svých zákazníků a s novou verzí operačního systému přináší technologii AppLocker. Vychází z nástroje Software Restriction Policy používaného v předchozích dvou generacích Windows. Poslání Software Restriction Policy jakožto i jeho pokračovatele je poskytnout možnost omezení spouštění aplikací na základě definovaných pravidel. Výhodou je, že obě tyto technologie můžete používat na jednom počítači, ale stejně tak na stovkách počítačů v podnikovém prostředí pomocí Zásad skupiny.

Technologie AppLocker je dostupná v edicích Ultimate a Enterprise systému Windows 7 a všech edicích Windows Serveru 2008 R2. Implementace do systému je provedena pomocí Zásad skupiny, což přináší dokonalou flexibilitu. Omezení lze provádět na jednotlivé spustitelné soubory, aplikace konkrétního výrobce, ale velmi zajímavé obzvláště pro podnikové prostředí je řízení spouštění dle verze aplikace. Není tedy problém povolit pouze spouštění Adobe Readeru verze 9 a vyšší.  Nabízí se rovněž zakázání všech spustitelných souborů, které dodává určitý výrobce. Možnosti jsou opravdu zajímavé, stačí pouze najít vhodné uplatnění a nastavit pravidla.

Ukažme si příklad, jak je možné vybranému uživateli počítače zakázat spouštění všech aplikací umístěných ve složce C:\Program Files\Microsoft Games\ a všech jejích podložkách. Jak název odpovídá, složka obsahuje všechny hry dodávané s Windows 7. Ač se postup může zdát na první pohled dlouhý, nenechte se odradit a vyzkoušejte si, jak AppLocker funguje. Nastavení je opravdu snadné.

Vytvoření pravidla

1. Zadáním řetězce “gpedit.msc”do vyhledávacího pole nabídky Start spusťte Editor místních zásad skupiny.
2. V sekci Konfigurace počítače přejděte do větve Nastavení systému Windows | Nastavení zabezpečení | Zásady řízení aplikací | AppLocker | Pravidla pro spustitelné soubory.
   
3. V pravém podokně klepněte pravým tlačítkem myši a z kontextové nabídky zvolte Vytvořit nové pravidlo.
4. Úvodní krok průvodce vytvořením pravidla přejděte pomocí tlačítka Další.
5. Ve druhém kroku zvolte akci pravidla Odepřít. Klepněte postupně na tlačítka Vybrat | Upřesnit | Najít a v dolní části okna poklepejte na uživatele, na kterého se bude vytvářené pravidlo vztahovat. Po dokončení této operace potvrďte zadání tlačítkem OK. Pomocí tlačítka Další přejděte do další části průvodce.
   
6. Jako typ primární podmínky zvolte Cesta a pokračujte dále.
7. Za pomoci tlačítka Procházet specifikujte složku, která přímo nebo prostřednictvím svých podsložek obsahuje spustitelné soubory, na které bude vázáno nové pravidlo. Nyní se přesuňte k dalšímu kroku průvodce.
   
8. Přejete-li si definovat výjimku, proveďte její vytvoření. V opačném případě pokračujte dále.
9. Na závěr zkontrolujte zadané informace a pro lepší orientaci do pole Popis napište stručný komentář identifikující pravidlo.
   
10. Tlačítkem Vytvořit dejte pokyn k vytvoření pravidla.
11. Nyní se zobrazí důležitý dialog, který nabízí vytvoření výchozích pravidel. Zvolte možnost Ano.
12. Aplikování pravidel technologie Applocker má na starosti systémová služba Identita aplikace. Napsáním „cmd“ do vyhledávacího pole nabídky Start a stiskem klávesové zkratky CTRL+SHIFT+ENTER otevřete Příkazový řádek v režimu správce.
13. Zadejte příkaz „net start AppIDSvc“, čímž nastartujete službu Identita aplikace a vytvořené pravidlo začne fungovat.
14. Spuštěním libovolné hry z nabídky Start zkontrolujte, zda pravidlo opravdu funguje správně. Tedy že hry nelze spustit a zobrazí se toto upozornění.
    
15.  V případě, že se dostanete do jakýchkoliv potíží, restartujte počítač, pravidla nebudou aplikována. Pokud vše funguje správně, a přejete si pravidla aplikovat trvale, změňte typ startování služby Identita aplikace na automatické. Učiňte tak například z Příkazového řádku v režimu správce pomocí příkazu „sc config AppIDSvc start= auto“. Pozor mezi znakem „=“ a hodnotou „auto“ musí být mezera!
    

Návrat do původního stavu

Smazáním pravidla a zadáním příkazu „sc config AppIDSvc start= demand“ do Příkazového řádku v režimu správce vrátíte nastavení systému do původního stavu, kdy je možné spouštět všechny aplikace bez omezení. Pozor mezi znakem „=“ a hodnotou „auto“ musí být mezera!

Tip

Je-li vaším úmyslem omezit používání počítače vašim dětem, vyzkoušejte, zda vaše požadavky nesplňuje nástroj Rodičovská kontrola. Na rozdíl od AppLockeru je přítomen ve všech edicích Windows 7.

Tento článek byl napsán pro časopis Computer.

Pořízení důvěryhodného certifikátu přestává být doménou velkých organizací. Microsoft totiž nedávno přidal certifikační autoritu StartCom mezi Důvěryhodné kořenové certifikační autority ve Windows. Jinými slovy operační systémy Windows nyní důvěřují všem platným certifikátům, vydaným touto autoritou. Pro zabezpečení vašeho webového serveru tedy nemusíte nutně pořizovat placený certifikát, ale vystačíte si s bezplatným od StartComu.

Známé upozornění na obrázku výše se konečně stává minulostí.

Bezplatně poskytované certifikáty mají některá omezení, ale většinu menších organizací jistě uspokojí. K dispozici jsou SSL či S/MIME (podepisování e-mailů) certifikáty s životností 1 rok. Výhodou je rychlost získání certifikátu díky tomu, že vše probíhá elektronickou cestou přes webového průvodce StartSSL a váš e-mail. Celý proces je otázkou přibližně 30 minut.

Přejděme k ukázce celého postupu. Cílem naší snahy bude Outlook Web Access vypublikovaný do internetu za pomoci důvěryhodného certifikátu.

Založení uživatelského účtu u StartComu

Pro práci s certifikáty a přihlášení do administračního rozhraní StartComu je potřeba mít platný uživatelský účet. Přihlašovacími údaji v tomto případě nejsou uživatelské jméno a heslo, ale osobní certifikát. Po prvním přihlášení je třeba uživatelský účet aktivovat. Příjemné je, že není vyžadována žádná osobní schůzka kvůli ověření totožnosti. Vše nezbytné totiž proběhne během pár minut a výhradně e-mailem.

Předtím, než se pustíte do následujících kroků, byste měli vědět, že webový průvodce StartSSL není plně funkční na moderních prohlížečích a systémech. V případě mé konfigurace Windows 7 RTM CZ + Internet Explorer 8 nebylo možné některé kroky průvodce dokončit. Proto doporučuji pro přihlášení do webového rozhraní a získání certifikátu použít starší operační systém a browser. Uspěl jsem s virtuálním strojem běžícím na Windows XP SP3 CZ a Internet Explorerem 6. Najdete-li další funkční konfiguraci, napište mi.

Další funkční konfigurace
Windows XP Home SP3, Firefox 3.5.7

1. Navštivte webovou stránku průvodce získáním certifikátu na StartSSL. Zde klepněte na Express Lane.
   
2. Vyplňte všechny osobní údaje a pokračujte stiskem Continue. Všechny položky jsou povinné. V případě jejich neúplnosti si StartCom vyhrazuje právo na zrušení platnosti certifikátu. Budete přihlášeni do administračního rozhraní.
   
3. Zároveň vám je zaslán e-mail s ověřovacím kódem. Kód zkopírujte, vložte do formulářového pole a stiskněte Continue.
   
4. Následuje další ověření, tentokrát pracovníkem StartComu. Vyčkejte několik minut na doručení e-mailu s odkazem a dalším ověřovacím kódem. Jakmile jej obdržíte, klepněte na odkaz a zadejte ověřovací kód. Poté se vám do prohlížeče uloží váš osobní certifikát, jímž se budete přihlašovat do administračního rozhraní. Doporučuji jej ihned vyexportovat na bezpečné místo včetně soukromého klíče pomocí Internet Exploreru (Nástroje – Možnosti Internetu – Obsah – Certifikáty). Zajistíte si tím bezproblémový přístup do webového rozhraní do budoucna.
5. Nyní jste svým ověřeným účtem přihlášeni.

Vytvoření žádosti o certifikát

K tomu, abyste se mohli ucházet o certifikát, musíte nejprve vytvořit na serveru žádost. Tu posléze elektronicky poskytnete StartComu, který následně vydá finální certifikát.  Žádost o certifikát můžete vytvořit různými způsoby. Například i pomocí Powershellu. My si ukážeme vygenerování žádosti na Small Business Serveru 2003 R2.

Poznámka: Měníme certifikát Výchozího webového serveru, což má dopad na veškeré webové služby běžící přes SSL. Proto v produkčním prostředí veškeré úpravy naplánujte a zamyslete se, zda nepostačí přiřadit certifikát pouze nějakému konkrétnímu webovému serveru.

1. Otevřete konzolu Správa internetové informační služby (IIS).
2. Rozbalte větev Webové servery, klepněte pravým tlačítkem myši na Výchozí webový server a zvolte Vlastnosti.
3. Přejděte na záložku Zabezpečení adresáře a klepněte na tlačítko Certifikát serveru.
4. V průvodci pomocí tlačítka Další pokračujte k výběru akce.
5. Vyberte Odebrat certifikát a dokončete průvodce odebráním. Tím odstavíte doposud používaný certifikát. Nebude však nenávratně odstraněn a můžete se k jeho používání kdykoliv vrátit.
6. Opětovným kliknutím na Certifikát serveru vyvoláte znovu průvodce. Tentokrát v nabídce funkcí zvolte možnost Vytvořit nový certifikát a pokračujte dvojím klepnutím na Další.
7. Zadejte jméno certifikátu. Zde pozor, délka certifikátu musí být 2048 bitů (či více, což ale nedoporučuji s ohledem na mobilní zařízení)! StartCom totiž nezpracovává žádosti o 1024 bitů dlouhé certifikáty.
   
8. V dalším kroku zadejte organizaci a organizační jednotku dle vašich potřeb. Pokračujte dále.
9. Položka Běžný název musí odpovídat DNS jménu pod jakým budete server publikovat do internetu, tedy např. mail.jiribrejcha.net.
   
10. Vyplňte informace v dalších krocích průvodce. Výslednou žádost o certifikát uložte do textového souboru zadost.txt. Obsah tohoto souboru budete potřebovat v následující kapitole pro vygenerování certifikátu.

Získání certifikátu od StartComu

 Nyní máte aktivní konto a připravenou žádost o vydání certifikátu. Nastal čas pro přidání a ověření domény, pro kterou chcete získat důvěryhodný certifikát.

1. Otevřete Validation Wizard a zadejte název domény (např. jiribrejcha.net). Pokud nevidíte záložku Validation Wizard, přepněte se pomocí Control panel nebo Classic view v pravé horní části okna.
2. Na jednu z e-mailových adres si nechte zaslat aktivační kód. Jakmile jej obdržíte, opište do formulářového pole a stiskněte Continue.
3. Po dokončení ověření domény přejděte do Certificates Wizardu.
4. Zde zvolte Skip, vyberte doménu, a do formulářového pole vložte obsah souboru zadost.txt vytvořeného v 10. kroku kapitoly Vytvoření žádosti o certifikát.
5. V dalším kroku se zobrazí vygenerovaný certifikát. Obsah formulářového pole si uložte do souboru certifikat.cer a zkopírujte jej na server, ze kterého jste generovali žádost.
   

Vložení vydaného certifikátu do serveru

1. Na vašem serveru absolvujte znovu kroky 1. až 4. z kapitoly Vytvoření žádosti o certifikát.
2. Z akcí tentokrát zvolte Dokončení zpracování žádosti čekající na vyřízení a nainstalovat certifikát.
3. Zadejte cestu k souboru certifikat.cer vytvořenému v 5. kroku kapitoly Získáváme certifikát od StartComu.
4. Tím je celá serverová konfigurace u konce. Server v tuto chvíli disponuje soukromým i veřejným klíčem důvěryhodného certifikátu. Certifikát je nyní vhodné vyexportovat včetně soukromého klíče na bezpečné místo.

V tuto chvíli je Outlook Web Access opět dostupný z internetu. Všimněte si, že upozornění na nedůvěryhodnost certifikátu zmizelo a jste rovnou vyzváni k zadání přístupových údajů do vaší schránky.

Klientské operační systémy

Windows 7 a novější systémy již v základu obsahují aktuální seznam důvěryhodných certifikačních autorit včetně StartComu. Naproti tomu do Windows XP a Vista, které nemají přístup k internetu, je nutné doinstalovat aktuální sadu autorit. Instalační balíček najdete ve článku KB931125. Výjimkou jsou Windows XP a Vista mající online přístup k Microsoft Update. Ty jsou schopny automaticky StartCom přidat do důvěryhodných autorit.

Mobilní zařízení

Používáte-li spolu s Exchange Serverem mobilní zařízení (telefony, PDA) synchronizovaná pomocí ActiveSync, pravděpodobně zjistíte, že po změně certifikátu na straně serveru, přestane fungovat synchronizace a zařízení budou hlásit chybu zachycenou na obrázku.

Problém spočívá v tom, že operační systém Windows Mobile 6 nedůvěřuje autoritě StartCom. Ta je totiž Microsoftem uznána za důvěryhodnou relativně krátce a na platformě Windows Mobile 6 se zatím tato změna nestihla projevit. Je tedy na nás, abychom ji do mobilního zařízení přidali.

1. Stáhněte si tento certifikát certifikační autority StartCom. Nejedná se o ten, který jste si v předchozích krocích nechali vygenerovat.
2. Nahrajte jej do libovolné složky mobilního zařízení a z prostředí Windows Mobile na něj klepněte.
3. Automaticky se spustí obslužná aplikace. Akceptujte přidání StartComu do důvěryhodných autorit a pokračujte pomocí voleb Další a Instalovat.
      
4. Potvrzení o úspěšném přidání certifikátu zavřete pomocí OK a v umístění Start – Nastavení – Systém – Certifikáty si ověřte, že byl StartCom přidán mezi kořenové certifikační autority.
    
5. Po dokončení těchto úprav není nutné mobilní zařízení restartovat ani provádět kompletní resynchronizaci vůči serveru. ActiveSync tedy ihned při příští synchronizaci začne komunikovat s Exchange Serverem.

Nezapomeňte!

• Použijte kompatibilní OS a webový prohlížeč
• Certifikát musí mít délku 2048 bitů
• Běžný název při generování žádosti na serveru musí odpovídat internetovému DNS jménu publukovaného webového serveru (např. mail.jiribrejcha.net)
• Do mobilních zařízení nainstalujte cetifikát autority StartCom
• Do systémů starších než Windows 7, které nemají přístup k internetu doinstalujte balíček s aktuální sadou důvěryhodných autorit (KB931125)

FAQ

Otázka: Stačí ověření provést pouze jednou?
Odpověď: Bohužel nestačí. Ověření je nutné provést znovu každý rok.

Otázka: Je bezpodmínečně nutné instalovat do OS aktuální sadu certifikačních autorit KB931125?
Odpověď: V případě, že má klientský operační systém dostupnou službu Microsoft Update, dokáže provést přidání certifikátu automaticky. Stane se tak při prvním použití certifikátu (návštěvě webu, který používá StartCom certifikát).

Otázka: Je možné použít bezplatný certifikát pro podepisování aplikací?
Odpověď: Ne. Pro tyto účely poslouží ceretifikát StartSSL Verified za 39,90 USD. Aktuálně je tato služba v beta verzi.

Otázka: Mohu si nechat vydat certifikát přímo pro doménu 2. řádu (např. sitarina.cz)?
Odpověď: Pozor! Pokud zažádáte o certifikát pro doménu 2. řádu, nebude možné žádat o certifikát pro její subdoménu, tedy doménu 3. řadu (např. mail.sitarina.cz). Řešením je odvolání původního certifikátu a následné zažádání o certifikát přímo pro doménu 3. řádu.

Děkuji Radku Doleželovi za odpovědi na otázky.

Odkazy

• Přehled služeb StartComu
• Informace o službě od zakladatele StartComu

Microsoft uvedl finální verzi svého antivirového, antispyware a antimalware řešení. Produkt nese název Microsoft Security Essentials. Můžete si jej zdarma stáhnout z Download centra Microsoftu a vyzkoušet jeho kvality. Pokud snad dosud nemáte v počítači žádný antivirový produkt, je nejvyšší čas to napravit.

Produkt zatím oficiálně není dostupný pro český trh. Stáhnout si jej ale můžete přímo od Microsoftu pomocí jednoho z níže uvedených přímých odkazů.

Přímé odkazy ke stažení

Download for XP (32-bit)
Download for Windows 7 & Vista (32-bit)
Download for Windows 7 & Vista (64-bit)

Oficiální web produktu

Microsoft Security Essentials

Řešení se ukrývá v Group Policies, respektive v registrech Windows. Pro povolení spouštění .EXE souborů bez zobrazení upozornění přidejte následující hodnotu.

Do větve  HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Associations přidejte řetezcovou hodnotu LowRiskFileTypes a jako její obsah nastavte „.exe;“.

Vše bez uvozovek. Středníkem lze oddělit více typů souborů

Nedávno jsem na svůj notebook instaloval Cisco VPN clienta, což je software od Cisca umožňující bezpečné připojení do firemní privátní sítě skrz internet. Obvykle funguje velmi spolehlivě a  svižně. V tomto případě jsem ale narazil na velmi podivné chování.

Při instalaci na čerstvě naintalovaný notebook s Windows XP SP2 jsem ale nebyl schopen VPN klienta vůbec nainstalovat. Přitom na předchozí instalaci stejného OS na tom samém stroji fungoval bez ztráty kytičky. Pár hodin mi zabralo, než jsem zjistil, že problém je v kompatibilitě s Comodo firewallem. Jakmile jsem Comodo odinstaloval, vše fungovalo jako na drátkách. Zkoušel jsem ještě nainstalovat Comodo až po úspěšné instalaci VPN klienta. Pak se sice VPN klient spustil, ale nezdařilo se mu navázat připojení. Nestačilo ani vypnutí firewallu, musel být odinstalovaný. Během pokusu o spuštění instalace VPN klienta, ani při vytváření VPN spojení, se Comodo nedotázalo na povolení/zakázání aktuálně prováděné akce či přístupu k síti.

Cisco zalicencovalo ZoneAlarm firewall engine a použilo ho jako součást VPN klienta. Je tedy dost možné, že se nesnese na jednom stroji s dalším firewallem v podobě Comoda. Zaznamenali jste podobný problém ještě s jiným firewallem instalovaným na stanici?

Situaci jsem vyřešil přechodem na ZoneAlarm, se kterým zmizeli veškeré problémy. S integrovaným firewallem v systému Windows XP nemá Cisco VPN rovněž žádné problémy. Ten ale přeci jen neposkytuje plnohodnotnou bezpečnost podle mých představ. Už samotná ignorace veškeré odchozí komunikace není na dnešní poměry příliš vhodná. Výběr firewallu je ale téma na samostatný článek.

Shrnuto podtrženo aktuální verze Cisco VPN Clienta nefunguje korektně na jednom stroji zároveň s Comodo firewallem. Prozatím doporučuji změnit firewall a počkat, zda jeden z budoucích releasů toho či druhého sotwaru problém nevyřeší.

Jak už název Sender Policy Framework napovídá, jedná se o technologii, která na základě adresy odesílatele e-mailu ověřuje, zda je poštovní server, ze kterého zpráva přisla, autorizován odesílat e-maily pro danou doménu.

Jinak řečeno. Za pomoci SPF jsem schopen definovat, kterým poštovním serverům dám možnost odesílat poštu za mou organizaci. Všechny ostatní zakáži.

Tak například - z ryze administrátorského hlediska. Mám ve firmě dva poštovní servery. Chci, aby oba mohli nadále odesílat a přijímat poštu pro firemní domény, ale chci zabránit, aby někdo cizí odesílal podvržené zprávy, tvářící se, že pocházejí z naší firmy. Nastavím tedy SPF. Oba naše poštovní servery jsou vedeny v MX záznamu na našem DNS serveru. Vyhovuje nám tedy následující podoba záznamu: „v=spf1 mx -all“. Problém vyřešen.

Co mi SPF přinese?

V prvé řadě bude moci každý cílový poštovní server, kam posíláte e-mail, ověřit, že zpráva pochází z vašeho poštovního serveru a nejedná se o podvržený e-mail, tvářící se, že přichází z vaší organizace. Funguje to i naopak. Pokud váš mail server podporuje SPF technologii, každý příchozí e-mail do vaší firmy, bude prověřen, zda pochází z autorizovaného zdroje.

Jaké jsou nevýhody této technologie?

Asi nejpodstatnější nevýhodou se zdá být zvýšený počet DNS dotazů, což vede k vyššímu vytížení DNS serverů. Pokud se ve vašem záznamu použijete příkaz include, pak se cílový server dotazuje vaší domény a k tomu ještě includované domény. Jestli vám include nic neříká, pro tuto chvíli na něj klidně zapoměňte. Dočtete se o něm dále.

Pro koho je SPF vhodné?

SPF by mělo zajímat každého správce poštovního serveru a každou organizaci, která si alespoň trošku základá na důvěryhodnosti své elektronické poštovní komunikace.

Pro koho SPF není vhodné?

Obecně se uvádí, že se Sender Policy Framework mohou mít problém mobilní uživatelé, kteří za den vystřídají několik různých připojení, poskytovatelů a hlavně poštovních serverů. Ale v dnešní době jsou pěkná řešení i na tuto problematiku. Možností je opravdu hodně, zmiňme například možnost VPN připojení do firemní sítě, Outlook Anywhere (RPC over HTTPS) či Outlook Web Access.

Je potřeba záznam nějak průběžně měnit nebo ho stačí nastavit jednorázově?

Odpověď je v zásadě jednoduchá. Záznam jednou vytvoříte a nemusíte se o něj nikterak starat. Rozumné je ale vše zkomunetovat a především mít na paměti, že nějaký takovýto záznam pro vaší doménu používáte. Úpravu SPF je třeba provést zpravidla v případě změny vašeho ISP, hostingu a změny vašeho poštovního řešení.

Co pro oživení SPF musím udělat?

Na vašem DNS serveru je potřeba přidat SPF záznam ve formátu TXT. Tím je vše hotové. Některé firmy  používají DNS servery svých wehosterů či providerů. Změnu DNS záznamů je pak potřeba provést přes webové rozhraní či písemným požadavkem.

Chcete-li kontrolovat příchozí poštu pomocí SPF, zapněte tuto funkci na vašem poštovním serveru. Zprávy přijaté od neautorizovaných serverů, pak budou zahazovány a bezpečnou cestou tak snížíte množství příchozího spamu a podvržených e-mailů.

Jak to funguje?

1. Jirka z firmy1 odesílá e-mail kolegovi Petrovi z firmy2.

2. Poštovní server firmy1 zprávu zpracovává a odesílá pomocí SMTP na server firmy2, kde pracuje Petr.

3. Firma2 používá na svém poštovním serveru antispamové řešení, které mimo jiné umí vyhodnocovat SPF. Zpráva od Jirky je přijata a podléhá spamové kontrole a ověření pomocí SPF. Server se dotazuje DNS serveru, který drží SPF záznam pro firmu1.

4. Ten pak odpovídá a vrací výsledek dotazu.

5. Server firmy2 zjistí ze SPF záznamu, zda je server firmy1 oprávněn odesílat poštu za doménu firma1.cz. Pakliže ano, je zpráva doručena Petrovi. V opačném případě je e-mail označen jako spam.

Správná syntaxe záznamu a příklady

Nyní už víme, že SPF je TXT záznamem v DNS a jak přibližně vypadá komunikace mezi servery. Pojďme přejít k samotné podobě záznamu.

Nejjednodušší záznam vypadá takto: „v=spf1 -all“

Co to znamená? Vaše doména nepoužívá e-mail. Máte na ní například jen webové stránky a poštu odesíláte z jiné domény k tomu určené. Jakýkoliv e-mail pocházející z domény s tímto záznamem bude po vyhodnocení SPF zahozen, případně označen jako spam. „-all“ na konci znamená, že žádný autorizovaný server neexistuje.

O poznání zajímavější je: „v=spf1 mx -all“

Výraz se vyhodnocuje zleva doprava. MX znamená, že všechny servery, které jsou uvedeny ve vašich MX záznamech budou považovány za důvěryhodné a SPF je vyhodnotí jako autorizované. Všechny ostatní budou díky „-all“ označeny jako neautorizované.

„v=spf1 mx mx:mail.firma1.cz -all“

Má stejný výsledek jako předchozí výraz s tím rozdílem, že mezi oprávněné servery získáné z MX záznamů přidáváme mail.firma1.cz.

„v=spf1 include:mujisp.cz -all“

Dejme tomu, že jsme malá firma a chceme ušetřit za investice do vlastního serveru. Náš ISP bude firma mujisp.cz. Domluva zní tak, že poštu budeme posílat přes jeho server. Náš SPF záznam tedy může vypadat právě takto. Include zajistí, že se přečte SPF záznam z domény providera mujisp.cz a jeho obsah bude považován za náš. Provider musí mít SPF nastaven.

„v=spf1 ip4:192.168.0.1/16 -all“

Poslední ukázka demonstruje přidání poštovních serverů z IP rozsahu 192.168.0.1 - 192.168.255.255 mezi důvěryhodné. Všechny ostatní vyhodnotí jako zakázáné.

Závěr

SPF není všelék na spam, ale rozhodně stojí za to, ho zavést. Vytvoření zabere jen několik desítek minut a pak již vše pracuje za vás. K dispozici jsou také velmi povedené nástroje pro vytvoření a případně i ověření správnosti vašeho SPF záznamu.

Zdroje

Nástroje pro vytvoření: http://old.openspf.org/wizard.html
Nástroje na otestování: http://www.openspf.org/Tools
Microsoft SPF Record Wizard: http://www.microsoft.com/…/wizard/
Syntaxe: http://www.openspf.org/SPF_Record_Syntax
Časté chyby: http://www.openspf.org/FAQ/Common_mistakes

Video – Jak nastavit SPF?

Jak na to? Přes webové rozhraní tuto funkci nenastavíme. Musíme se k routeru připojit pomocí telnetu. Váš telnet klient se připojí k routeru a uvidíte příkazový řádek, kde vše pomocí několika málo příkazů nastavíme.

1. Spusťte vašeho telnet klienta. Příklady telnet klientů: Putty, Microsoft Telnet Client (integrovaný ve Windows XP)

Poznámka pro uživatele Windows Vista: Váš operační systém neobsahuje po výchozí instalaci Microsoft Telnet klienta a je potřeba si ho doinstalovat nebo použít jiný nástroj.

2. Připojte se k zařízení. Pro zjednodušení budu od této chvíle v návodu používat Microsoft Telnet klienta. Není potřeba ho nijak nastavovat, a tak ho stačí jen spustit a zadávat příkazy.

Do Start -> Spustit vepište příkaz ve tvaru „telnet 192.168.101.1″, kde 192.168.101.1 je IP adresou vašeho routeru.

Pokud se vám nedaří spojit přes telnet, ověřte si přes webové rozhraní routeru, že máte přístup pomocí tohoto protokolu povolený: http://192.168.101.1 -> System Setup -> Services -> Enable telnet access

Poznámka: Doporučuji vše konfigurovat z lokální sítě – tedy nikoliv z WAN. Používat telnet skrz WAN prostředí není bezpečné.

3. Přihlašte se jako administrátor. Výchozí uživatelské jméno je admin. Po zadání jména a hesla stiskněte vždy klávesu Enter.

4. Zjistěte si aktuální stav protokolu spanning tree pomocí příkazu „brctl show“. Stav protokolu je buď yes – zapnuto nebo no – vypnuto.

5a. Dočasné vypnutí STP lze provést příkazem “ brctl stp br0 off“. Zapnutí pak obdobně pomocí „brctl stp br0 on“.

5b. Trvalé zakázání STP zařídíte následujícími dvěma příkazy a restartem zařízení.

„nvram set lan_stp=0″
„nvram commit“
„reboot“

„Click here“ odkazuje kamsi na http://krister.pite.org/czeh/, což rozhodně nebudí pocit důvěry. Že by Česká spořitelna změnila webové stránky?:)

Záhlaví zprávy:

Microsoft Mail Internet Headers Version 2.0
Received: from smtp2f.orange.fr ([80.12.242.151]) by jiribrejcha.net with Microsoft SMTPSVC(6.0.3790.3959);
  Sat, 1 Mar 2008 13:29:29 +0100
Received: from me-wanadoo.net (localhost [127.0.0.1])
 by mwinf2f06.orange.fr (SMTP Server) with ESMTP id 28F577000246
 for <mail@jiribrejcha.net>; Sat,  1 Mar 2008 13:29:29 +0100 (CET)
Received: from User (AOrleans-257-1-26-176.w90-19.abo.wanadoo.fr [90.19.7.176])
 by mwinf2f06.orange.fr (SMTP Server) with SMTP id B1633700005F;
 Sat,  1 Mar 2008 13:29:25 +0100 (CET)
X-ME-UUID: 20080301122925726.B1633700005F@mwinf2f06.orange.fr
From: „Cesk? Sporitelna“ <notesmegs1@note.com>
Subject: SERVIS 24 Internetbanking !
Date: Sat, 1 Mar 2008 13:29:04 +0100
MIME-Version: 1.0
Content-Type: text/html;
 charset=“Windows-1251″
Content-Transfer-Encoding: 7bit
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-Id: <20080301122925.B1633700005F@mwinf2f06.orange.fr>
To: undisclosed-recipients: ;
Return-Path: notesmegs1@note.com
X-OriginalArrivalTime: 01 Mar 2008 12:29:29.0288 (UTC) FILETIME=[E5088C80:01C87B97]

Aktualizováno 6.3.2008

Tak za posledních pár dní se z tohoto konkrétního phishingového e-mailu stal spíše spam. Asi se mu zalíbilo v teple mé poštovní schránky a denně dorazí cca 2 kopie. Pravděpodobně si tak brzy vyslouží filtrovací pravidlo, které ho zpracuje a vesele zahodí. Tento e-mail byl celkem prohlédnutelný, ale doporučuji si dát pozor na další takové a  to, kam klikáte a komu posíláte číslo svého účtu a další osobní informace. Banky zpravidla nekomunikují pomocí e-mailu přímo s klienty. Když potřebují sdělit něco důležitého, kontaktují vás telefonicky, případně zašlou dopis.

Mail PassView
Velice užitečný nástroj pro obnovení hesla uloženého v účtu v Outlooku 2000-2007, Outlook Expressu, Windows Mailu, Incredimailu, Eudoře, Thunderbirdu a v dalších.

MessenPass
Umí zjisit heslo do ICQ, Live Messengeru, Mirandy, Trillianu atd.

Remote Desktop PassView
Název mluví za vše. Dokáže vyzobat heslo uložené v .RDP souboru, což je konfigurační soubor pro Remote Desktop Connection.

WirelessKeyView
Zobrazuje heslo uložené službou Wireless Zero Configuration ve Windows XP.

IE PassView
Další nástroj z dílny Nirsoftu. Podobně jako ostatní umí zobrazit uložená hesla. Tentokrát z Internet Exploreru.

Vřele doporučuji navštívit http://www.nirsoft.net, kde najdete nepřeberné množství takovýchto nástrojů. Jeden mocnější než druhý, až mi z toho leze mráz po zádech. Používejte je prosím s rozmyslem.

Na závěr si neodpustím krátkou security vsuvku. Dávejte si dobrý pozor koho právě pouštíte ke svému PC. Tyto nástroje jsou velmi silné a zjistit heslo je otázkou pár vteřin pro každého trošku znalého člověka. Pokud vám na vašich osobních či pracovních datech záleží a chcete si zachovat soukromí, rozhodně si promyslete, jak je ochráníte proti nepovolaným zrakům. Prvním “bezpečnostním“ krokem je uzamknout si stanici, pokud od ní odcházíte. Provedete to prostým stiskem WINKEY+L a po příchodu se k ní přihlásíte zpět. Máte tak jistotu, že během vaší nepřítomnosti nebude s počítačem pracovat někdo jiný.

Pokud máte vše v pořádku a přesto na vás vyskakují upozornění, pravděpodobně budete hledat návod, jak se jich zbavit – viz o pár řádku níže. Druhým potenciálním kandidátem na vypnutí této služby je případ, kdy z nějakého důvodu vědomě nepoužívate například antivir nebo firewall a nechcete na to být neustále upozorňováni.

Vypnutí Centra zabezpečení

1. Klikněte na Start -> Spustit a do políčka pro text napište “Services.msc“
2. V seznamu služeb najděte „Centrum zabezpečení“ („Security center“)
3. Klikněte na „Centrum zabezpečení“ pravým tlačítkem myši a zvolte „Vlastnosti“
4. V položce Typ spouštění (Startup type) zvolte „Disabled“
5. Potvrďte vše pomocí OK a zavřete okno se službami. Po restartu PC se již služba nespustí a zmizí upozornění.

Komponenta není funkčně důležitá, slouží jen pro informování uživatele o potenciálním nebezpečí. Pokud si tedy spolu s ní nevypnete omylem některé další služby, nemůže se nic stát.