úterý 21. dubna 2009

Bezpečné sdílení ve Windows XP Home

Udělal jsem si radost novým netbookem - je to Asus Eee 1000HE. Zatím ho mám v rukou zhruba dvě hodiny, takže na článek o stroji si ještě počkejte, ale už jsem narazil na nepřítele číslo jedna - sdílení souborů a tiskáren ve Windows XP Home s nastaveným heslem. Jelikož způsob mé práce s více počítači vyžaduje funkční sdílení dosti soukromých dat v dosti nesoukromé síti, musel jsem tento souboj vyhrát. Všechno je sice na internetu, ale velmi rozprášeně. Tady to tedy máte v kuse.

Zásadní problém je v tom, že domácí verze XP Home obsahuje pouze tzv. zjednodušené sdílení, které umožňuje vzdálené připojení jen a pouze účtu Guest. To znamená, že existují pouze tři stavy přístupových práv:
  1. Nikdo do patřičné složky zvenku nemůže
  2. Kdokoli v síti má práva ke čtení
  3. Kdokoli v síti má práva ke čtení i zápisu
Já mám rozhodně zájem na tom, abych mohl do složky přistupovat pouze já (při úplném řízení), a nikdo jiný v síti tam vůbec nemohl. Toho dosáhneme ve dvou až třech krocích (omluvte sníženou kvalitu obrázku, snímal jsem je v TeamVieweru).

Zaheslování účtů Administrator a Guest
Tohle je nejdůležitější. Oba účty totiž v XP Home existují bez hesla (takže k vám může vzdáleně přistupovat kdokoli), a není možné jej změnit standardní cestou. Naštěstí to jde z komandlajny.
  • Ujistěte se, že jste přihlášeni na účtu s adminskými právy (pokud máte jen jediný, tak je to on)
  • Klikněte na Start a zvolte Spustit
  • Napište následující příkazy (kdy mojeheslo je libovolné heslo, kterým budou účty chráněny) a oba potvrďte enterem:
    • net user guest mojeheslo
    • net user administrator mojeheslo
  • V obou případech by měla být změna hesla potvrzena hlášením "Příkaz byl úspěšně dokončen."
  • Restartujte počítač
Tímto je zajištěno, že se ke sdílené složce nepřipojí nikdo, kdo nezná heslo, popř. zrovna nepoužívá účet stejného jména a hesla, jaké používáte vy (upřímně - pokud má stejné jméno a heslo i jiný počítač než vaše druhé PC, měli byste se nad sebou zamyslet :-)).

Povolení sdílení
V průzkumníku (tedy "Tento počítač", či v jiném souborovém manažeru, který podporuje kontextové menu systému) nalistujte složku, kterou chcete sdílet v síti, klikněte na ní pravým tlačítkem, zvolte Sdílení a zabezpečení, a nechte se vést následujícími obrázky:

Nejprve je třeba sdílení povolit, průvodce je pro naše potřeby zbytečný.

Nyní zapneme sdílení v síti (nejde to, pokud máte nahoře zaškrtnuto "Soukromá složka", takže si to případně zrušte), zvolíme název, a volitelně též udělíme práva pro zápis (pokud druhý checkbox nezaškrtnete, má klient práva pouze ke čtení). Okno potvrďte OK nebo Použít, jakkoli jste zvyklí.

Tímto je jednoduché nastavení dokonáno, začátečníci mohou přestat číst; krok 3 není nutný. Sami uvidíte, že až budete sdílet další složky, kdy lze přeskočit první krok, jedná se o záležitost na pár sekund.

Pro zvídavé mám i vysvětlení celého stávajícího postupu: těmito kroky získá složka nové nastavení práv. Vedle stávajících uživatelů a skupin (jako váš vlastní účet, Administrators, System, atp.) vzniknou i práva pro skupinu Everyone, která dědí práva guesta, a dostanou se tak do ní pouze ti, kteří znají námi dříve nastavené heslo, ale také ti kteří používají v systému stejný login a heslo, jako některý z povolených uživatelů. Pokud se tedy logujete na obou svých počítačích jako "Franta" s heslem "tajné", můžete do složky přistupovat z obou počítačů bez nutnosti zadávat heslo Guesta. To je ostatně důvod, proč jsme nastavovali heslo Administratorovi. Kdyby se kdokoli jiný v síti připojil jako Administrator bez hesla, mohl by beztrestně do vaší složky přistupovat, jelikož by se shodovalo jak jméno ("Administrator"), tak heslo (prázdné) jednoho z povolených uživatelů. Pokud bude v síti další "Franta", který používá heslo "přísnětajné", nebude mu přístup udělen a bude dotázán na heslo.

Karta Zabezpečení a pokročilé nastavení práv (jen pro zkušené uživatele)

Možná byste rádi přístup do složky povolili i uživatelům, kteří tam standardně práva nemají (např. chcete vpustit uživatele s omezenými právy do svých vlastních Dokumentů, nebo co vás napadne), nebo byste chtěli vzdálenému uživateli zobrazit pouze výpis adresářové struktury, ale nepustit ho ke čtení souborů, atp. I toto je možné, ale už ne běžnou cestou. Potřebujeme totiž kartu Zabezpečení, která v XP Home standardně neexistuje. Dá se zprovoznit tímto způsobem [mirror].

Na této kartě si můžete přidávat uživatele a skupiny, jak je to možné v XP Professional:


Ale pozor, mám pro vás varování. Nejedná se tu o nastavení práv čistě pro sdílení (fakt to není v Home implementováno, jinak by byl tento článek zbytečný), ale o lokální zabezpečení složky. Můžete tam tedy vpustit další uživatele, atp. ale ať vás ani nenapadne odepřít přístup Systemu, atp., pokud tomu nerozumíte. Všechny změny platí nejen na síti, ale i lokálně.

Musíte si rovněž uvědomit další věc - můžete sice umožnit přístup dalších uživatelů, ale i kdybyste se roztrhali, nemůžete nastavovat individuální práva pro sdílení na síti. Ať si tam naklikáte co chcete, vzdálený uživatel bude mít vždycky práva Guesta (můžete je tedy nastavovat buď u skupiny Everyone, nebo přímo Guestovi, jinde nemají smysl).

No a teď jen nezapomeňte, že některé změny v právech či heslech se projeví až po odhlášení uživatele, nebo dokonce až po restartu. Až tedy dokončíte konfiguraci, pro sichr rebootujte aspoň ten který konfigurujete, pokud jste se navíc v průběhu pokoušeli připojit z nějakého klienta, tak se tam aspoň odhlašte a znovu přihlašte. Když to neuděláte, budou platit stará nastavení (např. když si "Franta" změní heslo ze správného na jiné, až do nového přihlášení k vám stále může přistupovat). To je asi všechno, a já si teď mohu připadat jako blázen, protože místo zkoumání nového počítače už hodiny dělám na tomhle článku ;-).

4 komentáře:

Anonymní řekl(a)...

Dd, prava ke sdileni existuji i v XPh, jen jsem zatim neprisel na to, jak s nimi pracovat jednoduseji... Lze je nastavovat pri vytvareni sdileni s programem "shrpubw", ktery je soucasti XP i verze Home.

Pokud nekdo vi, jak s pravy sdileni v XPh pracovat "normalne", byl bych vdecny za kazdou radu.

Jiří řekl(a)...

Takhle jsem zprovoznil sdílení, funguje to normálně jak v xp professional - http://czshare.com/1513218/6M4G/x1h.zip

nebo

http://www.edisk.cz/stahni/11748/x1h.zip_2.91MB.html

Anonymní řekl(a)...

Díky za radu, funguje OK

Anonymní řekl(a)...

Díky chlape, po několika dnech nezdarů mně pomohl tvůj clánek:)

Okomentovat