W systemach Windows XP oraz Windows Vista istnieją bowiem różne tryby pracy - jako administrator oraz standardowy użytkownik i gość. Różnica między pracą jako administrator a standardowy użytkownik systemu Windows jest ogromna. Można ją zobrazować na przykładzie, odpowiednio: zarządcy i lokatorów kamienicy.

Zarządca (administrator) dysponuje kluczami do wszystkich pomieszczeń w budynku. Jeśli przestępcy przykładowo dobiorą się do jego pokoju i ukradną jego pęk kluczy, to mogą np. zamknąć drzwi wejściowe i bez obawy, że ktoś im przeszkodzi, buszować po wszystkich pomieszczeniach tego budynku, mogą wyłączyć prąd, odciąć wodę, wejść do każdego mieszkania, do każdej piwnicy oraz na strych. Mogą ukraść wszystko czego zapragną, a następnie zdemolować całą kamienicę. Jeśli natomiast przestępcy zdobędą klucz lokatora (użytkownika), będą mogli bez przeszkód włamać się jedynie do mieszkania tej osoby.

Podobnie jest z kontami użytkowników w systemie Windows XP oraz Vista. Konto administratora umożliwia dostęp do wszystkich zasobów, preferencji, konfiguracji tego systemu oraz instalacji oprogramowania i sprzętu. Oznacza to, że administrator ma w Windows największe uprawnienia. Jeśli pracując na tym koncie staniemy się ofiarą skutecznego ataku i przestępca przejmie uprawnienia administratora, może w takiej sytuacji zrobić z naszym systemem i komputerem praktycznie co tylko zechce. Co ciekawe, na koncie administratora pracuje prawdopodobnie większość użytkowników zarówno XP, jak i Vista, gdyż są to domyślne konta zakładane podczas instalacji tych systemów.

W przypadku standardowego konta użytkownika oraz konta Gość ich przejęcie przez intruzów nie grozi katastrofą. Konto standardowe ma bowiem, podobnie jak konto Gość, bardzo ograniczone uprawnienia i można na nim przede wszystkim uruchamiać już zainstalowane programy oraz wykonywać inne czynności, jak np. przeglądanie Internetu, korzystanie z poczty e-mail, korzystanie z programów biurowych, komunikatorów, odtwarzaczy multimedialnych itd. Konto z ograniczeniami pozwala także na zmianę ustawień systemu, ale tylko tych, dotyczących danego konta, a nie globalnych. Pozwala ponadto na tworzenie i zapis plików, ale nie w kluczowych dla systemu Windows katalogach, jak Windows czy Program Files.

●      Szkodliwe programy, jak wirusy czy aplikacje szpiegowskie, które zwykle w celu instalacji oraz poprawnego działania potrzebują odwołać się do jakichś kluczowych, globalnych funkcji systemu, dostępnych tylko z poziomu konta administratora, po prostu nie zadziałają na koncie standardowym.

●      Poza tym, przestępca, któremu uda się włamać na nasz komputer uruchomiony na koncie standardowym lub Gościa, nie będzie miał dostępu do dokumentów zgromadzonych na kontach innych użytkowników - w przeciwieństwie do poziomu konta administratora, z którego miałby dostęp do dokumentów zgromadzonych na wszystkich założonych w systemie kontach.

●      Zaletą kont standardowych jest także to, że każdy z użytkowników tych kont, może posiadać osobiste pliki, które będą niedostępne dla innych (oprócz osoby zalogowanej na koncie administratora).

Oczywiście nie wszystkie złośliwe programy potrzebują aż tak dużych uprawnień, by zadziałać. Dlatego też tak istotna jest dodatkowa ochrona systemu Windows w postaci haseł do kont oraz programów zabezpieczających, typu firewall, antywirus czy antyspyware.

Jeśli zatem korzystamy z komputera w celu łączenia się z Internetem, w tym m.in. korzystania z bankowości internetowej, by zapewnić sobie maksymalne bezpieczeństwo zalecamy - zarówno w przypadku systemu Windows XP jak i Windows Vista - założenie kont standardowych dla każdego z użytkowników komputera.

WINDOWS XP

Zakładanie konta standardowego

Sprawdzamy jakie konta i z jakimi uprawnieniami, mamy w swoim systemie. W tym celu wchodzimy do "Konta użytkowników", klikając

Start > Panel sterowania > Konta użytkowników 

W celu założenia nowego konta klikamy "Utwórz nowe konto", następnie nadajemy mu nazwę. W następnym okienku wybieramy typ konta "Ograniczone" i klikamy przycisk "Utwórz konto", po czy pojawi nam się okienko z wszystkimi kontami użytkowników w systemie.

Teraz klikamy ikonkę nowo utworzonego konta w systemie i po otwarciu kolejnego okna klikamy opcję "Utwórz hasło". W następnym oknie wpisujemy hasło dwukrotnie, przy czym możemy do niego jeszcze przypisać wyraz lub frazę, która ma stanowić wskazówkę przypominającą hasło, gdybyśmy go zapomnieli.

Nadszedł czas na przetestowanie nowego konta. Najpierw powinniśmy wylogować się z systemu:

Start > Wyloguj > Wyloguj

a następnie zalogować na nowo założone konto. Operacja zalogowania się na nowe konto może potrwać trochę czasu, gdyż system, przy pierwszym logowaniu, konfiguruje ustawienia różnych programów dla nowego użytkownika. 

Jeśli wcześniej nie pracowaliśmy na koncie z ograniczeniami szybko zauważymy pewne różnice, np. nie mamy już dostępu do naszych dokumentów zgromadzonych w folderze "Moje dokumenty" na koncie administratora, nie możemy zmienić daty, nie możemy uruchomić niektórych aplikacji, nie mamy dostępu do niektórych katalogów ani ustawień systemu. Te wszystkie ograniczenia mają nam właśnie zapewnić bezpieczną pracę na tym koncie, a potencjalnym napastnikom, wirusom, trojanom czy robakom utrudnić działanie.

Warto korzystać z konta standardowego (z ograniczeniami), szczególnie w przypadku gdy chcemy surfować po internecie.

Co ważne, w każdej chwili - w razie potrzeby - możemy wejść na konto administratora i wcale nie musimy w tym celu zamykać otwartych na koncie standardowym programów, wylogować się z niego, ani wyłączać systemu. Windows XP posiada bowiem funkcję szybkiego przełączania się pomiędzy kontami - bez przerywania pracy obecnie otwartego konta - na inne konta, w tym także konto administratora, jeśli akurat tego potrzebujemy, np. by zainstalować jakiś nowy program na komputerze.

Przełączenia pomiędzy kontami dokonujemy klikając

Start > Wyloguj > Przełącz użytkownika

Podczas korzystania z kilku kont warto pamiętać o folderze "Dokumenty udostępnione" przeznaczonym do składowania plików, które chcemy mieć dostępne właśnie z poziomu różnych kont.

Poza tym, pracując na koncie standardowym można ominąć ograniczenia w uruchamianiu niektórych pojedynczych aplikacji - w tym celu klikamy ikonkę wybranego programu lewym klawiszem myszki i wybieramy polecenie "Uruchom jako". Zaznaczamy opcję "Następujący użytkownik", wybieramy konto administratora z listy wyboru i wprowadzamy hasło do tego konta. Jednakże - z powodów bezpieczeństwa - opcja ta nie działa w przypadku wszystkich programów, np. nie można w ten sposób uruchomić Eksploratora Windows.

Bezpieczeństwo konta "administrator"

Ze względu na posiadane uprawnienia jest niezwykle ważne, aby konto administratora było odpowiednio zabezpieczone, ponieważ jeśli intruzowi uda się uzyskać dostęp do tego konta znajdziemy się w poważnym niebezpieczeństwie.

1. utrzymujmy w systemie tylko jedno konto administratora - im więcej kont tego typu, tym mniejsze bezpieczeństwo naszego systemu (chyba, że pozostałe są fałszywe).
2. konto administratora powinniśmy zabezpieczyć silnym hasłem, czyli składającym się z co najmniej 8 różnego rodzaju znaków (cyfr, liter małych, wielkich, znaków specjalnych), które co kilka tygodni powinniśmy zmieniać
3. warto zmienić domyślną nazwę tego konta z Administrator na inną.

Zmiany z punktu 3 możemy dokonać klikając:

Start > Uruchom

i wpisując w wierszu polecenia komendę:

control userpasswords2

W otwartym okienku, na karcie Użytkownicy, wybieramy konto Administrator, klikamy "Właściwości" i zmieniamy jego nazwę.

Niektórzy eksperci od bezpieczeństwa sugerują także zakładanie fałszywego konta Administratora, którego zadaniem jest zmylenie potencjalnego intruza. W tym celu uruchamiamy okno ustawień (jak do punktu nr 3), klikamy przycisk "Dodaj" i w polu nazwa wpisujemy "Administrator" lub "Admin", tworzymy dla niego hasło i dodajemy do grupy "Goście".

Konto Gość - lepiej zabezpieczyć lub wyłączyć

Teoretycznie jest to konto typu standard i ma ograniczone uprawnienia w systemie. Warto jednak pamiętać, że osoby korzystające z tego konta mogą uruchamiać zainstalowane na komputerze programy, mogą tworzyć i zapisywać pliki, surfować po Internecie, pobierać z Internetu i wysyłać doń pliki z naszego komputera. Mają poza tym dostęp i możliwość zapisu plików zgromadzonych w folderze "Dokumenty udostępnione" oraz przypisanych do dokumentów profilu Gość.

W praktyce konto to może zostać wykorzystane przez sprytnego intruza do przejęcia kontroli nad komputerem, np. poprzez umieszczanie złośliwego programu w folderze udostępnionym dla wszystkich, czyli także dla administratora, i próbie skłonienia administratora do uruchomienia tej aplikacji na koncie z pełnymi uprawnieniami. 

Jeśli z konta korzystają osoby zaufane warto zmienić jego nazwę oraz przypisać mu hasło (procedura jest taka sama, jak w powyższym przypadku zmiany nazwy konta Administrator - instrukcja powyżej).

Jeśli natomiast konto Gość nie jest wykorzystywane, to można je po prostu wyłączyć (w każdej chwili można je potem z powrotem włączyć). W tym celu otwieramy ponownie okno Konta użytkowników:

Start > Panel sterowania > Konta użytkowników

Następnie klikamy konto Gość (lub nową nazwę, którą mu nadaliśmy) i klikamy opcję "Wyłącz konto gościa"

WINDOWS VISTA

Konta w systemie Windows Vista zostały zaprojektowane według nowej koncepcji, zaczerpniętej z systemu Linux. Chodzi o uruchamiany domyślnie w systemie mechanizm Kontroli Konta Użytkownika (KKU). Jego działanie polega na tym, że wszelkie aplikacje próbujące uzyskać uprawnienia do wykonania jakiegoś zadania, które może mieć wpływ na globalne ustawienia systemu i jego bezpieczeństwo są blokowane, do czasu aż użytkownik systemu wyrazi zgodę na ich uruchomienie. Informacja o próbie skorzystania z uprawnień przez daną aplikację pojawia się w postaci komunikatu, w którym użytkownik ma możliwość akceptacji lub odmowy uruchomienia danego programu.

KKU wpływa w ten sposób na większe bezpieczeństwo pracy z systemem Windows Vista, zarówno na koncie administratora, jak i standardowym. Dzięki temu bowiem zmniejsza się prawdopodobieństwo popełnienia błędów ze strony użytkownika, ale przede wszystkim ograniczone zostają możliwości wykonywania złośliwych programów.

Jednak z powodu wyskakujących dosyć często komunikatów, niektórzy użytkownicy uważają ten mechanizm za uciążliwy. Oczywiście można go wyłączyć (instrukcja poniżej) warto jednak pamiętać, by przy wyłączonym KKU nie surfować po internecie na koncie administratora tylko standardowym.

Wspomniane wcześniej komunikaty, wysyłane przez Kontrolę Konta Użytkownika, mogą wyświetlić jeden z poniższych symboli tarczy. Ich oznaczenia są następujące:

System Windows wymaga twojej zgody, aby kontynuować - oznacza to, że aby wykonanie danej operacja w systemie Windows mogła być kontynuowane, użytkownik musi wyrazić na to zgodę.

Program potrzebuje twojej zgody, aby kontynuować - w tym przypadku użytkownik proszony jest o wyrażenie zgody na uruchomienie programu, który nie jest elementem Windows Vista.

Niezidentyfikowany program chce uzyskać dostęp do tego komputera - w tym przypadku system ostrzega przed aplikacją, która próbuje uzyskać dostęp do komputera, jednak system Windows nie potrafi jej zidentyfikować, ponieważ nie posiada ona podpisu cyfrowego.

Ten program został zablokowany - ten komunikat oznacza, że dana aplikacja została zablokowana lub jej podpis pochodzi od zablokowanego wydawcy. Uruchomić można ją tylko z konta administratora.

Jeśli koniecznie chcemy wyłączyć mechanizm Kontroli Konta Użytkownika musimy wejść do Konta użytkownika:

Start > Panel sterowania > Kontrola użytkowników i bezpieczeństwo rodzinne > Konta użytkownika

Następnie klikamy opcję "Włącz lub wyłącz funkcje Kontrola konta użytkownika", oznaczamy funkcję "Użyj funkcji Kontrola konta użytkownika, aby pomóc w ochronie komputera" i ponownie uruchamiamy komputer.

Przypomnijmy jeszcze raz, że wyłączenie KKU jest równoznaczne z obniżeniem bezpieczeństwa systemu Windows Vista.

Zakładanie konta standardowego

Zaraz po zainstalowaniu systemu Windows Vista, podobnie jak w Windows XP, automatycznie tworzone są konta administratora oraz konto Gość. Mając na uwadze bezpieczeństwo systemu oraz swoich danych należy:

1. przypisać do konta administratora silne hasło, czyli złożone z co najmniej 8 znaków (liter małych i wielkich, cyfr oraz znaków specjalnych),
2. od razu założyć konto standardowe, czyli z ograniczonymi uprawnieniami.

Standardowe konto powinno być wykorzystywane przede wszystkim do surfowania po Internecie oraz w sytuacji, gdy wyłączyliśmy mechanizm Kontroli Konta Użytkownika. Własne konta tego typu powinni mieć (i korzystać z nich) wszyscy użytkownicy danego komputera z systemem Windows Vista lub XP.

W celu założenia konta standardowego:

1. wchodzimy do Panelu sterowania (Start > Panel sterowania),
2. wybieramy opcję "Dodaj lub usuń konta użytkowników",
3. klikamy "Utwórz nowe konto",
4. nadajemy nazwę użytkownika oraz zaznaczamy typ konta "Użytkownik standardowy" i klikamy przycisk "Utwórz konto",
5. następnie klikamy na ikonkę nowo założonego konta, następnie klikamy "Utwórz hasło",
6. w okienku dialogowym wprowadzamy dwa razy to samo hasło i możemy dodatkowo podać wskazówkę ułatwiającą przypomnienie hasła.

Na koniec wyliczmy jeszcze zalety korzystania z konta standardowego w Windows XP i Vista lub Kontroli Konta Użytkownika w Windows Vista:

●      zabezpieczenie przed przypadkowym popełnieniem krytycznego błędu przez użytkownika

●      trudniejszy dostęp do kluczowych funkcji i ustawień systemu operacyjnego dla osób niepowołanych

●      bezpieczniejsze korzystanie z internetu

●      zapobieganie nieautoryzowanych zmian w systemie przez atakującego intruza

●      zablokowanie niekorzystnych modyfikacji systemu Windows przez złośliwe oprogramowanie

●      w przypadku udanego włamania ograniczenie szkód, np. utraty danych tylko do konta danego użytkownika

●      możliwość trzymania prywatnych danych w miejscu niedostępnym dla innych użytkowników komputera