Windows 7/Vista - vinkkejä


Käytä päivittäisessä käytössä normaalia käyttäjätiliä


Taustaa käyttäjätileistä

Perintönä huono malli

Koska Windowsissa, toisin kuin muissa käyttöjärjestelmissä, on totuttu käyttämään järjestelmävalvojan tiliä päivittäisessä käytössä, on useat ennen Windows Vistaa tehdyt ohjelmat tehty siten, että ohjelma olettaa sillä olevan täydet oikeudet järjestelmään. Perintöä on täten myös Windows -käyttäjien asenteet, eli tapa käyttää järjestelmänvalvojan tiliä päivittäisessä käytössä, asia jota esim. Linux -puolella pidettäisiin järjettömänä toimintana.

Miksi sitten Windows -käyttäjistä löytyy paljon niitä, jotka käyttävät Windowsia järjestelmänvalvojan tilillä? Yksi syy voisi olla Windowsin yleisyys. Windows on ehdottomasti käytetyin käyttöjärjestelmä maailmassa, joten Windowsia käyttää suuri joukko käyttäjiä, joiden tietotaito on 0-10 väliltä. Valitettavasti Windowsissa asennuksen yhteydessä luotu ensimmäinen käyttäjätili saa oletuksena järjestelmänvalvojan oikeudet, oli käyttäjällä siihen vaadittavaa osaamista tai ei. Koska käyttäjät eivät välttämättä edes tiedä eri käyttäjätilien eroa, monet käyttävät päivittäisessä käytössä tätä ensimmäiseksi luotua, vain järjestelmänvalvojille tarkoitettua käyttäjätiliä. Asiassa on vain yksi haittapuoli: Tämä antaa osaamattomille käyttäjille, mutta ennen kaikkea kaikille ohjelmille, myös haittaohjelmille, täydet oikeudet järjestelmään. Valitettavasti käyttäjätilien kanssa toimitaan näin myös Windows 7:ssä, eikä missään kehoteta luomaan vielä toista, normaalia käyttäjätiliä, vaikka Microsoft ohjeissaan kyllä suosittelee normaalin käyttäjätilin käyttöä.

Toki, jo aikaisemmissa Windowseissa (ennen Vistaa) on kyllä ollut mahdollista käyttää normaalia käyttäjätiliä, ja se toisi oman lisänsä tietoturvaan. Valitettavasti joitain ohjelmistoja on tehty siten, etteivät ne välttämättä toimineet aikaisemmissa Windowseissa normaalilla käyttäjätilillä. Lisäksi moni myös kokee ylläpitotoimet turhan vaikeaksi, jos joudutaan kirjautumaan erikseen niitä varten järjestelmänvalvojan tunnuksin, ja hankalaa se aikaisemmin olikin.

Onneksi Windows XP:n aika alkaa olemaan ohi, sillä sen ikä näkyy juuri tietoturva-asioissa. Windows XP:n jälkeen ilmestyneessä Windows Vistassa, ja uusimmassa Windows 7:ssä, normaalin käyttäjätilin käyttö on paljon helpompaa kuin Windows XP:ssä. Itse asiassa, näissä uusissa Windows -versioissa tarvitsee vain erittäin harvoin kirjautua sisään järjestelmänvalvojana. Voit silti tehdä muutoksia järjestelmään, asentaa tai poistaa ohjelmia ja tiedostoja normaalilla käyttäjätilillä. Tämän mahdollistaa käyttäjätilien valvonta (UAC).

UAC mahdollistaa normaalin käyttäjätilin käytön

Jotta käyttäjä voisi siirtyä käyttämään normaalia käyttäjätiliä, on tiedostettava muutama tärkeä asia:

Ratkaisun tarjoaa käyttäjätilien valvonta (UAC), jonka avulla on mahdollista:

UAC:n tarkoitus on siis mahdollistaa Windowsin käyttäminen normaalilta käyttäjätililtä, järjestelmänvalvojan vastakohdaksi. Ilman järjestelmänvalvojan oikeuksia käyttäjä ei voi vahingossa (tai tarkoituksella) muokata järjestelmän asetuksia, haittaohjelma ei voi muuttaa järjestelmän turva-asetuksia, ja käyttäjät eivät voi tutkia toistensa tietoja/tiedostoja jaetulla tietokoneella. Näin ollen, normaali käyttäjätili vähentää PC-tuen töitä, lieventää haittaohjelmien vaikutusta, auttaa tietokoneen pitämisessä puhtaana ja sujuvana käyttää, sekä suojelee arkaluontoisia tietoja jaetulla tietokoneella.


Windows 7/Vistassa järjestelmävalvojalla kahdet valtuudet

Windows 7/Vistan järjestelmävalvojan tili siis poikkeaa Windows XP:n järjestelmävalvojan tilistä, eikä tilanne haittaohjelmienkaan suhteen ole yhtä huono kuin Windows XP:n järjestelmävalvojan tilin kanssa. Kun käyttäjä Windows 7/Vistassa kirjautuu järjestelmävalvojan tilille, asetetaan kaksi valtuutusta: järjestelmänvalvojan valtuudet ja rajoitetut valtuudet. Käyttäjän sovellukset, mukaan lukien Windows Shell, käynnistetään rajoitetulla valtuuksilla. Kun sovellus pyytää korkeampia oikeuksia, tai on valittu Suorita järjestelmänvalvojana, käyttäjätilien valvonta (UAC) pyytää vahvistusta. Vasta hyväksymällä vahvistus, prosessi suoritetaan järjestelmänvalvojan valtuuksin.

Normaali käyttäjätili turvallisin

Kun käyttäjä Windowsissa kirjautuu sisään normaalikäyttäjänä, istunnolle annetaan ainoastaan vain kaikkein tarpeellisimmat perusoikeudet. Näin ollen istunnon aikana ei voida tehdä muutoksia jotka voisivat uhata koko järjestelmää. Toisaalta, kun Windows 7/Vistassa tarvitaan järjestelmävalvojan oikeuksia, UAC pyytää niitä, ja riittää että antaa järjestelmävalvojan salasanan (kunhan järjestelmävalvojan tili on suojattu salasanalla). Erona järjestelmävalvojan tiliin on siis se, ettei normaalilla käyttäjätilillä ole edes olemassa korkeampia oikeuksia, joten esim. haittaohjelman on hankalampi tarttua, koska usein haittaohjelma haluaisi kirjoittaa tietoja rekisteriin alueille tai levylle kansioihin, joihin normaalilla käyttäjätilillä ei ole oikeuksia.

Tämä ei kuitenkaan tarkoita sitä, etteikö Windows voisi saada haittaohjelmia normaalia käyttäjätiliä käytettäessä, sillä jotkin haittaohjelmat voivat saada itsensä ajetuksi, aina kun saastuneelle tilille kirjaudutaan. Silti normaali käyttäjätili antaa todella hyvän pohjan tehdä koneesta turvallinen.

Normaali käyttäjätili tulisi olla se, jota pääasiallisesti käytetään. Normaaleja käyttäjätilejä voi olla useita tarvittaessa, ja ne voivat olla salasanalla suojattuja jos niin halutaan. Sen sijaan järjestelmänvalvojan tilejä ei tarvitse olla kuin yksi, ja se tulee olla salasanalla suojattu. Järjestelmänvalvojan tiliä ei ole tarkoitettu päivittäiseen käyttöön, vain järjestelmän ylläpitotoimia varten, päivittäisessä käytössä tulisi käyttää normaalia käyttäjätiliä.

Käytä päivittäisessä käytössä normaalia käyttäjätiliä

Käyttäjätilien valvonta (UAC) siis mahdollistaa normaalin käyttäjätilin käytön, joka taas antaa lisäsuojaa haittaohjelmia vastaan, niin nykyisiä kuin tuleviakin. Esimerkiksi tämä Mebroot -rootkit jää asentumatta, jos käytössä on normaali käyttäjätili ja käyttäjätilien valvonta. Voidaan olettaa että tulossa on teknisesti hankalia haittaohjelmia jotka koneelle päästessään voivat piiloutua niin ettei niitä pysty enää havaitsemaan tai poistamaan (kts. Blue Pill). Tällaisen asentaminen vaatii kuitenkin ring 0 -tason oikeudet, joita ei ole ellei käyttäjä käytä konetta järjestelmänvalvojan oikeuksin.

Haittaohjelmien lisäksi normaali käyttäjätili antaa suojaa myös perheenjäsenten, ystävien tms. tahattomia ja tahallisia toimia vastaan. Esimerkiksi perheen lapset eivät voi enää sekoittaa konetta, ainakaan samassa määrin (esim. lapset voivat edelleen sekoittaa vaikka palomuuriohjelmiston asetukset ellei niitä ole salasanalla suojattu).

Mitä siis tarvitaan? Tarvitaan yksinkertaisesti:

Luo uusi järjestelmävalvojan tili ja muuta entinen normaaliksi tiliksi

On helpointa muuttaa nykyisin käyttämäsi tili normaaliksi käyttäjätiliksi, ja luoda uusi järjestelmävalvojan tili ylläpitotoimia varten. Näin mm. jos asennetut ohjelmat ja asetukset ovat kuten aikaisemminkin.

  1. Ensiksi luomme uuden järjestelmävalvojan tilin.

    Käynnistä -> [kirjoita hakukenttään] Luo vakiokäyttäjätili ja käynnistä klikkaamalla hiirellä tai painamalla Enter
    (Tai perinteisesti: Käynnistä -> Ohjauspaneeli -> Käyttäjätilit -> Lisää tai poista käyttäjätilejä -> Luo uusi tili)
    (Vistassa: Käynnistä -> [kirjoita hakukenttään] Käyttäjätilit -> valitse Luo uusi tili -linkki)
  2. Anna nimi uudelle tilille nimi ja valitse tilin tyypiksi Järjestelmänvalvoja.
    Valitse lopuksi Luo tili -painike.
  3. Uusi tili näkyy nyt käyttäjätilien listassa. Valitse äsken luomasi järjestelmävalvojan tili klikkaamalla sitä.
  4. Valitse Luo salasana -linkki.
  5. Kirjoita kahteen ensimmäiseen kenttään salasana jota haluat uudella järjestelmävalvojan tilillä käyttää.
    Kolmanteen kenttään voit kirjoittaa itsellesi sopivan salasanavihjeen, josta muistat salasanan tarvittaessa.
    Älä kuitenkaan kirjoita liian paljastavaa salasanavihjettä!
    Valitse lopuksi Luo salasana -painike.


    Näin uusi järjestelmävalvojan tili on luotu ja sille on asetettu salasana.
  6. Valitse Toisen tilin hallinta -linkki.
  7. Valitse aikaisempi järjestelmävalvojan tili, jonka nyt muutamme normaaliksi tiliksi.
  8. Muuta tilityyppiä -linkki.
  9. Tavallinen käyttäjä -valinta on valittuna, ja valitse sitten Muuta tilin tyyppiä -painike.


    Näet nyt että entinen järjestelmävalvojan tili on normaali käyttäjä tili (tavallinen käyttäjä).
  10. kirjaudu ulos nykyiseltä tililtä ja palaa sitten takaisin, jotta muutokset astuvat voimaan kokonaan.
    Käytä tätä normaalia tiliä (entistä järjestelmävalvojan tiliä) jatkossa päivittäisessä käytössäsi.


    Kun jatkossa tarvitset järjestelmävalvojan oikeuksia, esim. ohjelmaa asennettaessa, UAC osaa pyytää korotettuja oikeksia. Riittää kun annat järjestelmävalvojan tilin salasanan, ja voit jatkaa järjestelmävalvojan oikeuksin.

Lisää tietoa:
Miksi on parempi käyttää normaalia käyttäjätiliä järjestelmänvalvojan tilin sijasta?
Mikä on järjestelmänvalvojan tili?
Mikä on normaali käyttäjätili?
Inside Windows 7 User Account Control
Security Watch: The Long-Term Impact of User Account Control

[Sisällysluettelo]
22.10.2009
(Yama)Neko