Windows pod kontrolom
Kada isti računar koristi više ljudi, javlja se čitav niz problema vezanih za bezbednost i privatnost. Vreme je da preuzmete kontrolu nad vašim PC‑jem – neka Windows sluša vas, a ne vi njega!
Mnogima od nas dva ili više računara u kući i dalje predstavljaju luksuz, pa istu mašinu dele svi članovi porodice, što može da bude frustrirajuće. Ne samo što neko drugi možda koristi računar u trenutku kada je vama potreban, već i zbog privatnosti podataka. Kada je reč o deci, postoje alati koji efikasno rešavaju taj problem – ograničavaju im vreme upotrebe, zabranjuju otvaranje određenih Web stranica, ne dozvoljavaju pristup određenim delovima sistema…
Međutim, kod odraslih ukućana ne prolazi ista taktika. Ne možete svom bračnom partneru ili roditeljima da zabranite upotrebu računara samo zato što na njemu imate fajlove koje ne biste voleli da oni vide. Jedno od rešenja jeste da takve fajlove čuvate isključivo na eksternom disku ili USB flash‑u, ali to nije elegantan način rešavanja problema. Bolje je da prilagodite Windows tako da svaki ukućanin ima svoju privatnost, a da pritom ostvaruje punu kontrolu nad računarom dok ga koristi.
Manje je više
Da bismo stigli do tog cilja, započećemo s jednim, možda pomalo čudnim, procesom koji na deluje potpuno suprotno od onog što želimo da postignemo. Dakle, da bismo ostvarili bolju kontrolu nad računarom, smanjićemo prava svakom korisniku, pa i samom sebi. Prelazak sa administratora na standardnog korisnika jedan je od najefikasnijih načina za postizanje bolje kontrole nad računarom.
Zašto bismo to radili? Za početak, tako smanjujemo otvorenost računara za potencijalne napade. Kad naredni put kliknete na neki potencijalno opasan program, on će vas „smarati“ raznim pitanjima i zahtevaće da podignete prava pristupa na administratorski nivo. Time vam se daje šansa da proverite želite li zaista da obavite neku akciju, pa se i procenat slučajnih grešaka drastično smanjuje. Ukoliko imate poverenja u osobe sa kojima delite računar, možete da im date šifru za administratorski nalog, a ako nemate, oni će morati da vas pitaju svaki put kada pokušaju nešto što nije definisano i odobreno za standardne korisničke naloge.
Prvi korak ka smanjivanja prava jeste kreiranje novog administratorskog naloga. Kliknite na Start / Settings / Accounts / Family & other users. U delu Other people odaberite opciju Add someone else to this PC. U donjem delu prozora koji se otvori kliknite na I don’t have this person’s sign‑in information, pa u sledećem prozoru na Add a user without a Microsoft account. Nazovite nalog, recimo, Admin, unesite šifru i potvrdite podatke.
Nakon što kreirate nalog, dodelite mu administratorska prava. Opet otiđite u deo Other People i odaberite nalog koji ste upravo kreirali. Kliknite na Change account type i konvertujte ga u administartorski nalog. Sada ste spremni da se izlogujete iz svog naloga i da ga promenite. Da biste to uradili, potrebno je da se ulogujete na novi administratorski nalog. Ponovo idite na Family & other users gde ćete videti i svoj nalog. Selektujte ga, kliknite na Change account type i promenite mu prava na Standard user. Ako postoji više naloga, ponovite ovu proceduru za sve njih, a ako ih nema, po opisanom principu kreirajte naloge za svakog ukućanina.
Time smo osigurali da za svaku promenu unutar sistema morate da se prebacite u administratorski nalog i da unesete šifru da biste nastavili. Za dodatnu sigurnost, ukucajte UAC u polju za pretragu i kliknite na Change User Account Control Settings i podignite klizač na najviši nivo.
Primetićete da se sada Settings deo u Windows‑u prikazuje drugačije – u njemu je manje opcija nego ranije. To je zato što su sva sistemska podešavanja nedostupna jer računar ne koristite više kao administrator nego kao običan korisnik.
Budite dobar domaćin
Ako dopuštate i prijateljima da koriste vaš računar, nije loše da za njih napravite poseban (Guest) nalog. To će im obezbediti nesmetanu upotrebu računara za neke osnovne potrebe (surfovanje Internetom, na primer), bez bojazni da će moći da pristupe vašim poverljivim fajlovima i eventualno nešto obrišu ili poremete.
Microsoft je u Windows‑u 10 ukinuo Guest nalog, ali do njega se može doći zaobilaznim putem, upotrebom komandne linije. Da bi se napravio Guest nalog koji ćemo nazvati Gost i da bi se taj nalog povezao sa grupom Guest naloga, pokrenite komandni prompt u Windows‑u u administrativnom modu (desni klik na Start, odaberite Command Prompt (Admin)). U komandnoj liniji otkucajte:
net user Gost /add
/active:yes
net user Gost *
Dva puta pritisnite Enter kada budete upitani za šifru, kako bi ona ostala prazna. Zatim kucajte:
net localgroup users Gost /delete
net localgroup guests Gost /add
Prva komanda uklanja Gost nalog iz istoimene grupe korisnika (jer se on tu automatski smešta), a druga ga dodaje grupi Guest naloga. Svojim prijateljima, kada požele da koriste vaš računar, pokrenite Gost nalog i oni će raditi u kontrolisanom okruženju. Naravno, i ovde će biti moguća instalacija programa, ali će zahtevati Admin šifru…
Group Policy podešavanja
Korisnici verzije Microsoft Windows 10 Professional mogu da podese razne parametre operativnog sistema kroz Local Group Policy Editor. Otkucajte istoimeni upit u polje za pretragu vašeg Start menija i pokrenite program. Upozoravamo da budete pažljivi kod upotrebe ovog programa i preporučujemo da za svaki slučaj napravite image diska pošto postoji šansa da slučajno zaključate sistem.
Najveći broj Group Policy setovanja suštinski su podešavanja u Registry bazi i ukoliko imate Windows 10 Home Edition, možete da dobijete iste rezultate podešavanjem parametara direktno u njoj. Na stranici www.microsoft.com/en‑us/download/details.aspx?id=25250 preuzmite Excel fajl (kliknite na Download) u kome su izlistana podešavanja.
U Local Group Policy Editor‑u, podrazumevano se prikazuju Local Computer Policy podešavanja, što znači da se ona odnose na kompletan računar. Za fokusiraniji prikaz potrebno je da pokrenete Management Console program (pritisnite Win+R, ukucajte mmc i kliknite na Enter), s tim što ovo važi samo za Windows 10 Professional. U MMC‑u odaberite File / Add / Remove Snap‑in. U levom panelu selektujte Group Policy Object Editor i kliknite na Add, zatim na Browse i selektujte Users tab. Odaberite korisnika ili grupu i kliknite na OK / Finish, pa ponovo OK. Opcijom File / Save sačuvajte negde kopiju, za svaki slučaj.
Sada možete da počnete s podešavanjem parametara ili ograničavanjem prava korisnika. Prilično opširni Administrative Template odeljak je dobro mesto za početak. Odaberite sekciju, kliknite na podešavanja u desnom panelu i pročitajte šta ona rade. Dvostruki klik napraviće promenu koja se najčešće odnosi na uključivanje ili isključivanje odabrane polise, mada ćete za neke od njih videti da su početna setovanja postavljena na Not configured.
Da biste blokirali pristup pojedinim programima, otvorite sekciju Windows Settings / Security Settings / Software Restriction Policies i odaberite Action / New Software Restriction Policy. Odaberite Additional Rules, pa zatim Action / New Path Rule. Kliknite na Browse da selektujete folder programa koji želite da blokirate i Security Level podešavanje postavite na Disallowed. Kliknite na OK, snimite podešavanje (File / Save) i restartujte računar. Za proveru ovij izmena, logujte se kao korisnik i kliknite na program koji ste blokirali. Ukoliko računar prijavi da je program blokiran i da ne možete da ga pokrenete, uradili ste sve kako treba.
Fajlovi i folderi
Windows NTFS fajl sistem dodeljuje prava pristupa fajlovima, folderima, ali i drugim objektima, uključujući čak i pojedinačnim upisima u Registry. Time je obezbeđen sistem za kontrolu koji omogućava podešavanje kojim se korisnicima (ili grupama) dodeljuju prava pristupa do određenih fajlova i foldera, kao i koje nivoe pristupa imaju.
To je najlakše ilustrovati kroz pokušaj pristupa personalnim folderima drugih korisnika. Ako pokušate da otvorite njihove foldere, npr. Documents ili Downloads, dobićete poruku Acces Denied. Isto će se desiti i ako ste ulogovani kao administrator, uz malu izmenu – nakon poruke dobićete mogućnost da nastavite, pojaviće se dugme Continue. Baš i nije neki preterani stepen sigurnosti, zar ne?
To neće biti problem ako ste jedini administrator na sistemu i ako poštujete tuđu privatnost. S druge strane, ako ste paranoičan korisnik, sada znate da je potrebno da dodatno zaštitite svoju privatnost – možda kriptovanjem sadržaja foldera, recimo besplatnim programom Veracrypt (veracrypt.codeplex.com), naslednikom popularnog TrueCrypt‑a. On kreira neku vrstu virtuelnog, kriptovanog drajva u kome mogu da se čuvaju privatni fajlovi.
Da biste videli prava pristupa za fajlove ili foldere, kliknite desnim tasterom na folder, odaberite Properties u listi i zatim kliknite na Security tab. Tu ćete videti koje sve grupe ili korisnici mogu da pristupe fajlu ili folderu, kao i kakva prava imaju (punu kontrolu, samo čitanje, modifikovanje…). Primetićete i da su neka od prava pristupa u stvari kombinacije druga dva prava pristupa. Na primer, Modify se sastoji iz prava pristupa za čitanje, pisanje i brisanje fajlova. Drugim rečima, ako overite Modify privilegije, automatski će se uključiti i Read i Write. Naravno, privilegija Full Control podrazumeva da su sve ostale privilegije i prava dozvoljene za odabrani fajl ili folder.
Promena prava pristupa je opasna operacija i ne preporučuje se da ih menjate na sistemskim fajlovima. Da biste izbegli probleme, zaobiđite foldere u root‑u C. Preporučujemo da privilegije menjate samo nad sopstvenim folderima. Kada napravite novi fajl, vi ste automatski njegov vlasnik što vam obezbeđuju Full Control privilegije, a njih ima i administrator. Ostalim korisnicima možete da dozvolite ili zabranite pristup, editovanje ili bilo koju drugu akciju nad odabranim fajlom.
Upotrebom ovih privilegija moguće je i blokiranje pristupa određenim programima (pod uslovom da nisu sistemski). Da biste to uradili, pozicionirajte se na izvršni fajl programa, izaberite Properties desnim klikom miša, a zatim tablulator Security. Kliknite na Edit i dodajte korisnika kome želite da zabranite pristup. Nakon toga, kliknite na Edit, čekirajte opciju Read & Execute u Deny koloni i potvrdite izmene. Kada korisnik kome ste zabranili pristup pokuša da pokrene program, dobiće obaveštenje da nema prava to da uradi, a neće moći ni da sam izmeni ta podešavanja, osim ako nema administratorska prava.
To, naravno, nije sve što možete da uradite kako biste preuzeli potpunu kontrolu nad Windows‑om 10, ali je dobar korak u tom smeru. Tema je široka i obuhvata mnogo tačaka na koje je potrebno obratiti pažnju i za njihovu obradu nije dovoljan jedan članak, već čitava knjiga. Ipak, i ovo što smo naveli obezbediće vam veći stepen kontrole, bolje prilagođavanje operativnog sistema, kao i veću privatnost u situacijama kada jedan računar deli više korisnika.
Problemi s pravima pristupa
Nekada se, iz ko zna kog razloga, poremete prava pristupa nad određenim fajlovima ili čitavim folderima. To se manifestuje nemogućnošću da se takav fajl ili folder obriše, kopira, premesti ili da im se promeni ime. U tom slučaju, možda može da pomogne Microsoft‑ov alat koji se nalazi na adresi support.microsoft.com/en‑us/help/17590. Taj alat pokušaće da automatski pronađe i popravi probleme koji su nastali zbog poremećenih prava pristupa.
Drugi koristan alat koji radi sličnu stvar je www.tweaking.com/content/page/windows_repair_all_in_one.html. On rešava mnoge probleme, uključujući greške u Registry bazi, prava pristupa, problemi sa zakrpama, firewall‑om… Zgodan je zato što može da resetuje podešavanja na podrazumevane vrednosti, a postoji u besplatnoj i portabilnoj varijanti.
I konačno, NTFS Permissions Tool (dbcstudio.net/software/npt/main.html). On nudi alternativan način editovanja prava pristupa fajlovima kroz neku vrstu File Explorer pogleda, s apostrofiranjem na prava pristupa i vlasništvo nad fajlovima. Naravno, i on dozvoljava podešavanje prava pristupa, pri čemu se ona mogu definisati za pojedinačne fajlove odnosno, a tu je i mogućnost batch procesiranja.
Branislav Bubanja
(Objavljeno u časopisu PC#237)