Bezpečnost » MyEgo.cz - Radek Hulán webzine

MyEgo.cz

home foto blogy mywindows.cz kontakt

NTFS umí nativně symlinky jako Linux

Dosud jsem za jednu z předností Linuxových filesystémů považoval jejich strukturu a symlinky, tedy třeba příkaz ln -s cíl adresář. Věděl jsem, že Windows obsahují symlinky pro celé diskové oblasti, které je možno zařadit do stávající adresářové struktury, ale velice jsem postrádal symlinky pro adresáře a jednotlivé soubory.

Až Libor mě v komentářích upozornil na to, že existují dva produkty, které tuto funkci nabízí i pro Windows. Navíc se nejedná o žádnou magii, NTFS umí symlinky zcela nativně, jen pro tuto operaci Microsoft nenabízí ve standardní instalaci žádný nástroj (opravdu nechápu proč v běžné instalaci skrývá takto vynikající funkce; v nabídce je jen program linkd.exe v Resource Kitu).

K čemu jsou symlinky? Řekněme tomu, že právě pracujete na webu v adresáři D:\web\www\moc_hezký_web, pomocí symlinků si jej můžete dočasně umístit do C:\work. Stejně tak můžete adresář C:\Program Files přemapovat na nově zakoupený disk do D:\bin. Použití je rozmanité, a funguje naprosto všude a ve všech programech, protože je to vlastnost NTFS souborového systému.

K tvorbě symlinků Vám poslouží buď utilita Junction od Sysinternals (používá se z příkazové řádky; doporučuji nakopírovat do Windows\System32) nebo Junction Link Magic od Mikaella Nordela.

Následně již můžete definovat Vaše první junctions:

JunctionJunction od Sysinternals

Změna lokace adresáře „Moje dokumenty“

Včera jsem psal o Lepších adresářích a discích ve Windows, a pár lidí se ptalo, jak změnit lokaci standardních adresářů Moje dokumenty, Moje video, Moje obrázky a dalších. Tato změna se dělá v registrech, ale ještě snazší to je přes free nástroj TweakUI od Microsoftu.

Zde si prostě zvolíte adresář pro změnu a upravíte jej kliknutím myši:

TweakUI - Moje dokumenty

VMware Workstation nebo VirtualPC 2004?

VMware

Uvažuji o tom, že bych si koupil buď VMware Workstation 5.0 nebo Microsoft VirtualPC 2004, na provozování druhé (testovací) instance Windows XP, a především Fedora Core 4, při běhu Windows XP SP2 jako hostitelského systému.

Testuji krátce oba systémy a VMware mi přijde podstatně výkonnější a rychlejší, existuje u něj kvalitnější podpora pro Linux, výborné jsou snapshoty, a cena $189 není příliš odlišná od $129 za Microsoft VirtualPC.

Pokud máte s oběma systémy zkušenosti, uvítal bych je v komentářích. S dual-core procesorem není opravdu nutné provozovat dual-boot či mít zvláštní Linuxový stroj…

Mimochodem, na mém hardware je potřeba pro správnou funkci VMware do konfigurace *.vmx přidat parametr paevm=true.

Aladdin eToken 64K PRO - startovací klíč pro počítač

Alladin eToken

Když jsem před 3 měsíci psal o šifrování celého bootovacího disku pomocí PGP Desktop 9.0 Professional, setkalo se to s velkou odezvou. PGP Desktop 9.0 PRO navíc neslouží jen pro šifrování celého disku, umí rovněž šifrovat emailovou korespondenci, podepisovat emaily, a šifrovat a podepisovat soubory. Všechny tyto operace vyžadují samozřejmě privátní klíč, který si vygenerujete, a který je tajný. Na server PGP poté nahrajete Váš veřejný klíč.

Nicméně, vlastní online šifrování bootovacího disku se pochopitelně nerealizuje přes privátní klíč, ale jen přes zadání hesla. A heslo, byť složité, lze teoreticky odhalit přes password-crackers. Tato skutečnost mě mírně trápila, pokud bezpečnost, musí být absolutní.

Řešením se ukázalo zakoupení produktu Aladdin eToken 64K Pro, což je produkt, který obsahuje absolutně bezpečně až 2048-bitový privátní RSA klíč a tento privátní klíč z produktu není možné nijak získat. PGP Desktop 9.0 PRO, který si můžete koupit online, umožňuje poté spolupracovat s Aladdin eToken 64K Pro, a to dokonce i formou pre-boot autentizace, tedy pro získání klíče na online dešifrování disku při bootování počítače.

V praxi to vypadá tak, že pokud tento eToken nezasunete do USB portu, tedy nevsunete klíček do zapalování, na Váš počítač se nikdo nemá šanci dostat. Pokud by někdo chtěl uhádnout Vaše heslo, eToken se po 15 pokusech zablokuje (toto se dá nastavit při inicializaci eTokenu). Potom se samozřejmě k Vašim datům nedostanete ani Vy, a to skutečně nikdy, pokud nemáte inicializováno Administrátora klíče. Stejně se k Vašim datům nedostanete, pokud eToken ztratíte.

Antivirus a antispyware je věc pro amatéry

SpySweeper

Je tomu už více než 5 let, co na počítači s Windows nepoužívám antivirus ani antispyware (a poslední rok ani firewall pod Windows, protože tu mi skvěle supluje Asus 500g router s linuxovou iptables). Všechny tyto programy drasticky zpomalují počítač, a já nevidím jediný důvod je používat, neboť na to, aby člověk neměl s virovou a spyware nákazou pod upravenými Windows jediný problém, stačí mírné technické znalosti a dodržování pár základních pravidel. Jen IT hlupáci mají problém s viry.

Pokud nemáte linuxový router, jediné co skutečně potřebujete, je kvalitní firewall. Antivirus i antispyware nikoliv. Proč tomu tak je? Žádný virus, který Vám přijde poštou se nespustí sám od sebe, vždy vyžaduje nevzdělaného uživatele, který na cosi klikne, spustí to, smaže to. V reálu to vypadá tak, že pokud mi přijde poštou soubor Nadržená kůzlata.AVI.exe, smažu to, nevzdělaný a nadržený uživatel to spustí a pak se nestačí divit. Osobně ale nejsem technický nevzdělanec, a ona berlička antiviru je pro mě naprosto zbytečná. Pro poštu používám mimochodem MS Outlook 2003, nic lepšího totiž neexistuje, vzhledem k integraci Outlooku s kalendářem, plánovačem času, kontakty, poznámkami a úkoly, a jejich synchronizace na telefon, nemá tento program konkurenci.

Stejné je to s antispyware. Nejsem člověk co leze na porno-stránky s Microsoft Internet Explorerem, mám raději reálný sex a Operu :-) Tudíž možnost, že se mi do počítače dostane spyware z internetu je nulová. Rovněž nepoužívám warez software a warez hry, kupuji si je, a na originálních CD/DVD viry opravdu nejsou.

Když jsem si dnes jen tak proskenoval svůj domácí počítač pomocí SpySweeper, NOD32 a AdAware, výsledek byl, že můj počítač je zcela čistý.

Pokud někdo nadává Microsoftu za děravé Windows, je sám ve skutečnosti hlupákem. Microsoft dělá skvělý operační systém, a proto okupuje téměř 100% trhu desktopů a velké procento serverů.

Skutečností ale je, že řada uživatelů počítačům a software naprosto nerozumí, a než aby si zaplatila špičkového odborníka, raději si zanadává na Microsoft. Jak primitivní… Jako by se lidé styděli za to, že počítačům a software nerozumí. Proč proboha? Na opravu auta také zavezete auto to autorizovaného servisu, ne? A software jej mnohem složitější než automobil…

NOD32NOD32 - bez virů
AdAwareAdAware - bez spyware

Genuine Advantage - budete si software kupovat?

Pokud si chcete od včerejška stáhnout jakýkoliv program z webu Microsoftu, musíte prokázat, že vaše Windows jsou legální. Ověření se děje pomocí jednoduché ActiveX komponenty, která odešle registrační číslo vašich Windows (a vaši IP adresu) do Redmondu, tam se porovná s databází skutečně vydaných a platných registračních čísel, a pokud je vše v pořádku, můžete si program či aktualizace na Windows stáhnout. Pokud vše v pořádku není, máte smůlu, vaše IP adresa bude zalogována a předána FBI, CIA a BSA, a k vašemu bydlišti budou ihned poslány vrtulníky s bezpečnostním výsadkem.

Celá tato aktivita směřuje k jednomu - donutit 30-40% lidí, co mají Windows kradené, aby si je zlegalizovali. Poněkud podivné je, že tato legalizace vás přijde v případě Windows XP Home na $99, tedy méně než oficiálná krabicová verze.

Jako legální uživatel Windows můžete potom nicméně klidně spát, a rovněž využívat dalších programů od Microsoftu zdarma, jako jsou třeba vícejazyčné slovníky pro Office 2003.

Genuine Windows Advantage v praxi

V praxi to vypadá takto, pokud chcete stáhnout například Microsoft Antispyware, jste vyzváni k validaci vašich Windows:

Windows Validation

Velice povedený monitoring počítače od Asusu

Asus je jedna z nejlepších a největších firem, co vyrábí základní desky a grafické karty pro koncové uživatele, a právě díky své velikosti a financím si Asus může dovolit investovat i do projektů, které ostatní (menší) výrobci ignorují.

Nový Asus PC Probe II umožňuje monitorování zhruba 10 parametrů základní desky, včetně napětí, otáček větráků, implementace Q-fan (dynamicky řízené větráky podle teploty CPU), vlastních teplot a dalšího, a na rozdíl od staršího PC Probe I to vypadá i graficky velice dobře.

Jedná se skutečně o velice povedený a stabilní software, měl by fungovat pro veškeré top desky Asusu, ať už s Intel nebo AMD procesorem. U každé měřené hodnoty si je možné nastavit i její maximum pro upozornění, ať už grafické nebo zvukové, při překročení tohoto maxima. Pro přetaktované a vyladěné počítače se jedná v podstatě o nezbytnost.

V reálu to vypadá třeba takto (LCD displeje vpravo nahoře):

Ideální Start menu

Start menu

Jímá mě nehraný děs a hrůza když vidím Start menu běžného uživatele počítače v němž je zhruba 100 neorganizovaných položek a nedá se v nich vyznat, a k tomu je zhruba stovka ikon na ploše. Podobná zmatená struktura je extrémně neefektivní na používání, požadovaný program je téměř nemožné najít, osobně tuto strukturu vždy předělávám do sekcí Audio a video, Kancelář, Internet, Grafika, Tuning počítače a Nástroje (pro programování), je tak snadné nalézt to, co potřebuji. Navíc, vytvoření této struktury zabere maximálně počáteční jednu minutu.

Spojené s horkými klávesami pro spouštění většiny věcí, a nVidia virtuální deskop pro celkové zlepšení Windows GUI, je to nejlepší prostředí, které znám (s výjimkou Gnome 2.10, ten je lepší).

PGP Desktop umí šifrovat celý bootovací disk

PGP Desktop Professional

PGP Desktop Professional 9.0 je novinkou od PGP Corp., tato nová verze byla vydána před 3 týdny. Koupil jsem si ji, za €69 ročního předplatného získáte totiž nejlepší řešení pro osobní bezpečnost, co vůbec existuje.

PGP Desktop Professional 9.0 již dávno není jen nástrojem pro šifrování emailů pomocí standardu OpenPGP (což umí třeba i open-source produkt GnuPG), ale umožňuje i šifrování disku jako celku (včetně disku bootovacího; pomocí AES-256), šifrování jednoho souboru a vytvoření virtuálního disku, a také třeba šifrování samorozbalovacích ZIP archívů.

Bez zajímavosti také není, že k dispozici jsou i kompletní zdrojové kódy, každý se tak může přesvědčit, že v produktu není ukryt „backdoor“ (právě jsem je stáhnul a jdu je zkoumat, nicméně, je to 100MB zdrojáků).

Celé to funguje tak, že při zapnutí počítače Vám místo loga Windows najede (nahoře vyfocená) obrazovka s výzvou pro zadání hesla. Po jeho správném zadání je disk on-the-fly dekryptován dle potřeby, a začínají bootovat Windows. Při ukládání na disk je zase prováděno on-the-fly šifrování, takže je to naprosto transparentní pro veškeré aplikace pod Windows (požadovány jsou Windows XP SP1 či SP2).

Jak smazat „System Volume Information“?

System Volume Information je adresář, do kterého si Windows XP ukládají informace o Bodech obnovení nástrojem pro Obnovení systému, a taky jej používá Klient služby sledování distribuovaných připojení a Indexing service. Pokud tuto službu máte (velice rozumně) vypnutou, tak Vám po ní stále zůstane výše zmíněný adresář, který nejde smazat, ani do něj nejde nahlédnout.

Osobně mi tento adresář vadí a vždy jej mažu, protože v takovém Total Commanderu opticky překáží, a veškeré tři dříve uvedené služby mám na domácím počítači vypnuté.

Aby tento adresář mohl být smazán, je potřeba si k němu nastavit přístupová práva, a to třeba pomocí utility cacls, kde Radek Hulán je v tomto případě jméno uživatele, kterému nastavujete práva, a přepínač /T zajištuje zpracování i podadresářů a souborů v nich:

$ cacls "C:\System Volume Information" /T /E /G "Radek Hulán":F

A nyní již nic nebrání tomu, abyste celý adresář smazali nadobro z disku.


Upozornění: celou operaci děláte na vlastní riziko; článek není určen pro běžné uživatele.

Banan.cz