Standard konektivity a bezpečnosti školy v 21. století
5. Standard bezpečnosti pro školy
5.2. Oblast 2: Řízení uživatelských oprávnění
Není vhodné, aby zaměstnanci školy a žáci měli plná, tzv. administrátorská práva na počítači. Uživatel s administrátorskými právy může měnit nastavení operačního systému, instalovat nelegální software nebo spouštět nebezpečné soubory. Uživatel s neomezenými právy může kompromitovat počítač a ohrozit ostatní počítače v síti.
Výjimku pak může tvořit výuka v oblastech, pro něž je používání účtů s vysokými oprávněními nezbytné (např. výuka administrace OS), přičemž tato výjimka musí být podmíněna segmentací a/nebo restrikcemi vůči zbytku sítě.
Optimální cestou je centrální řízení účtů s využitím adresářových služeb, které umožňují správci sítě z jednoho místa spravovat uživatelské účty, definovat politiku hesel a nastavit práva pro přihlášení na jednotlivé počítače.
Pokud není možné využít centrální řízení účtů, je možné vytvářet jednotlivé účty na konkrétních počítačích, což je ale časově náročnější a zvyšuje se riziko kompromitace jednotlivých počítačů z důvodu sdílení uživatelských účtů nebo opomenutí nastavení bezpečnostních politik na některém z počítačů.
- Nenastavujte běžným uživatelům administrátorská práva.
- Využívejte centrální správu uživatelských účtů s využitím adresářových služeb.
- Definujte centrální politiku hesel.
- Omezte práva uživatelů pro přihlášení na jednotlivé počítače.
- Zakažte výchozí administrátorský účet v operačním systému.
- Nepřidávejte lokální účty na jednotlivé počítače, pokud to není nutné.