11.12.2006 19:55

Windowsin käyttäjätasot kuntoon

Linux, Unix ja Mac OS X -käyttöjärjestelmissä jokainen käyttäjä pääsee käsittelemään vain omia tiedostojaan, sekä vaikuttamaan vain itseensä vaikuttaviin asetuksiin. Windows on suunniteltu alun perin yhden käyttäjän käyttöjärjestelmäksi, jossa käyttäjät pääsevät vaikuttamaan kaikkiin tietokoneen toimintaan liittyviin asioihin. Tämä tarkoittaa sitä, että koneelle pääsevä haittaohjelma voi rellestää mielensä mukaan. Myös Windowsissa käyttöoikeuksia voi kuitenkin rajoittaa.

Windowsin ja Unix-pohjaisten käyttöjärjestelmien eroa voi havainnollistaa vertaamalla niitä toimistorakennuksiin. Unix- ja Linux-järjestelmissä jokaisella työntekijällä on oma lukittava toimistonsa. Jos haittaohjelma livahtaa toimiston ikkunasta sisään, se ei pääse rellestämään muualla kuin yhden henkilön toimistossa. Päästäkseen pidemmälle sen tulee murtautua ikkunan lisäksi toimiston lukosta läpi. Vain pomolla, järjestelmän pääkäyttäjällä, on yleisavain, jonka avulla pääsee läpi kaikista lukoista.

Windows sitä vastoin on avotoimisto, jossa murtautuja pääsee liikkumaan melkein täysin vapaasti. Tätä helpottaa se, että jokainen tietokoneen käyttäjä on yleensä ylentänyt itsensä toimiston pomoksi, järjestelmänvalvojaksi, jolla on yleisavain aivan kaikkialle.

Edellinen vertaus on rankka yksinkertaistus, mutta se havainnollistaa, miksi Windows-järjestelmät ovat haavoittuvaisia haittaohjelmien hyökkäyksille. Windowsista voi kuitenkin tehdä turvallisemman käyttämällä konetta normaalin käyttäjän, ei yleisavaimella varustetun järjestelmänvalvojan oikeuksilla.

Käyttäjäoikeudet kuntoon

Windowsia pyöritetään oletusarvoisesti järjestelmänvalvojan oikeuksilla, jotka mahdollistavat koneen asetusten rajoittamattoman ronkkimisen. Arkiseen käyttöön kannattaa kuitenkin luoda peruskäyttäjän oikeuksilla varustettu käyttäjätili.

Käyttäjien oikeuksia pääsee säätämään napsauttamalla Start, valitsemalla Control Panel ja sieltä User Accounts. (Jos käytät suomenkielistä Windowsia, löydät ohjeita Microsoftin sivuilta)

Myös seuraavassa ikkunassa napsautetaan User Accounts -painiketta. Sitä seuraavassa ikkunassa päästään tarkastelemaan käyttäjätilien tietoja. Oheisessa kuvassa esitellään normaali, turvaton tapa käyttää konetta. Tunnuksella "Einari Esimerkki" on täydet oikeudet muokata koneen asetuksia.

Tilanne korjataan luomalla uusi pääkäyttäjä sekä alentamalla Einari sen jälkeen tavalliseksi käyttäjäksi. Pääkäyttäjän tili luodaan napsauttamalla Create a new account -linkkiä. Pääkäyttäjän nimeksi kannattaa valita jotain muuta kuin esimerkiksi Admin, Administrator tai Pääkäyttäjä.

Seuraavaksi tunnukselle annetaan pääkäyttäjän oikeudet ja napsautetaan Create Account.

Uusi pääkäyttäjätili on nyt luotu, mutta ilman salasanaa. Salasana luodaan napsauttamalla oheisessa ruudussa Change an account ja seuraavassa ruudussa Einari-pää -käyttäjää.

Oheisessa ruudussa valitaan Create a password.

Salasana ei saa olla sama, joka on jo muilla käyttäjillä käytössä. Siinä olisi hyvä olla ainakin yksi numero ja mielellään myös erikoismerkkejä, kuten !, % tai &. Tämä tekee salasanasta vaikean arvata. Salasanavihjeeksi valitaan muille ihmisille epäselväksi jäävä vinkki, joka auttaa muistamaan salasanan, mikäli omamuisti pettää. Napsauta lopuksi Create password -painiketta. Tämän jälkeen voit napsauttaa Home-painiketta ruudun ylälaidassa.

Seuraavaksi alennetaan Einari Esimerkki tavalliseksi käyttäjäksi. napsauttamalla Change an account-painiketta ja napsauttamalla avautuvasta listasta Einari Esimerkki -käyttäjän nimeä. Napsauta jälleen Change an account -linkkiä käyttäjälistassa, valitse tällä kertaa Einari Esimerkki ja klikkaa sitten Change my account type -painiketta.

Seuraavassa ikkunassa napsautetaan valintapainiketta Limited-tekstin vieressä ja lopuksi Change Account Type -painiketta. Muutokset tulevat toimeen kun kirjaudut käyttäjätililtä ulos ja takaisin sisään.

Muista, että yhdelle käyttäjälle tulee jättää pääkäyttäjän oikeudet!

Milloin käyttää pääkäyttäjää, milloin tavallista?

Täysillä pääkäyttäjän oikeuksilla varustettua tunnusta tulisi käyttää vain tarvittaessa - käytännössä silloin, kun jokin asiallinen toimenpide ei tavallisen käyttäjän oikeuksilla onnistu. Yleensä ohjelmisto ilmoittaa tästä esimerkiksi seuraavan kaltaisella varoituksella.

Tällaisen ohjelman ajaminen ei vaadi kirjautumista pääkäyttäjänä, sillä Windowsin voi käskeä ajamaan tietty ohjelma käyttäen järjestelmänvalvojan oikeuksia. Tähän vaaditaan kuitenkin oikea salasana. Ohjelman voi ajaa pääkäyttäjän tunnuksilla napsauttamalla sitä hiiren oikealla napilla ja valitsemalla ponnahdusvalikosta Run as… -vaihtoehto ja seuraamalla ohjeita.

Kun jokin ohjelma vaatii pääkäyttäjän oikeuksia, kannatta pysähtyä aina hetkeksi miettimään, ennen kuin asentaa ohjelman. Onko kyseessä monimutkainen sovellus, joka vaatii laajat käyttöoikeudet? Selittääkö ohjelma selvästi, mihin se kyseiset oikeudet tarvitsee? Ennen kaikkea, onko ohjelma vaatinut aiemmin pääkäyttäjän oikeuksia toimiakseen? Mikäli tuttu ja turvallinen ohjelma alkaa yllättäen vaatia laajempia käyttäjäoikeuksia, on olemassa mahdollisuus, että sen kuoriin on hiipinyt haittaohjelma.

Kenelle käyttäjätasojen käyttö soveltuu?

Koska Windowsin käyttäjähallinta on pitkälti päälle liimattu, eikä aina erityisen hyvin toimiva ominaisuus, käyttäjätasojen muokkaaminen ei välttämättä sovi kaikkiin käyttötarkoituksiin. Rajoitetun tason käyttäjätunnukset soveltuvat niille, jotka käyttävä konetta perustasolla - esimerkiksi lukevat sähköpostia ja surffailevat netissä. Mikäli koneella on useita käyttäjiä, jotka asentavat paljon ohjelmia, tällöin ainakin heille kannattaa suosiolla jättää pääkäyttäjän oikeudet.

Perustason oikeudet soveltuvat siis tietokoneen peruskäyttäjille, sekä aloittelijoille. Niillä suojataan käyttäjää ja tietokonetta sekä vahingoilta, että ajattelemattomuudesta tai tietämättömyydestä johtuvilta tietoturvariskeiltä.

Microsoftin ohje käyttäjätilien muokkaamiseen: www.microsoft.com/finland/athome/security/online/logoff_admin_account.mspx

Janos Honkonen