Jak auditovat a spravovat oprávnění aplikací ve Windows 11

  • Systém Windows 11 obsahuje ovládací prvky oprávnění „v mobilním stylu“ pro sledování přístupu aplikací k citlivým zdrojům.
  • Sekce „Soukromí a zabezpečení“ centralizuje správu oprávnění, jako je kamera, mikrofon, poloha a další.
  • V podnikovém prostředí umožňuje Microsoft Entra auditovat, které aplikace mají oprávnění API a kdo je udělil.
  • Kombinace oprávnění aplikací, systému souborů NTFS a dobře spravovaných oprávnění správce výrazně posiluje zabezpečení.
Joaquin Romero

15 minut

Jak spravovat oprávnění ve Windows 11

Ovládání toho, co mohou aplikace dělat ve vašem počítači, již není volitelné: je klíčové pro zachování vašeho soukromí, zabezpečení a dokonce i výkonu systému Windows 11. Každý program, který nainstalujete, může požádat o přístup k vaší kameře, mikrofonu, souborům, poloze nebo se dokonce pokusit změnit nastavení systému bez vašeho vědomí, takže je moudré to vše pečlivě sledovat.

Navíc s nejnovějšími změnami od Microsoftu se Windows 11 stále více podobá mobilnímu telefonu. správa oprávnění, upozornění v reálném čase a vylepšené bezpečnostní kontrolyPokud víte, kde hledat a co kontrolovat, Můžete auditovat, jaká oprávnění má každá aplikace., podívejte se, co se děje „v zákulisí“, a zastavte jakékoli podivné nebo podezřelé chování v zárodku.

Co jsou oprávnění aplikací ve Windows 11 a proč jsou důležitá?

Ve Windows 11 může každá aplikace požádat o přístup k různým systémovým prostředkům: poloha, kamera, mikrofon, oznámení, soubory, kontakty nebo kritické systémové funkceBez těchto oprávnění by mnoho aplikací nefungovalo správně, ale problém nastává, když aplikace požaduje více, než potřebuje, nebo má nadále přístup, i když ho již nepotřebujete.

Společnost Microsoft přináší na stolní počítače model oprávnění velmi podobný tomu na mobilních zařízeních: nyní může systém Windows… explicitně se vás zeptat, když aplikace chce přistupovat k citlivým zdrojům nebo instalovat další softwareJde o to, abyste měli jasnou představu o tom, co se děje, a mohli říct ne, když vám něco nesedí.

Tento přístup se netýká pouze klasických aplikací, které si instalujete na počítač, ale také cloudových integrací, aplikace, které používají Microsoft Entra ID (dříve Azure AD) A nyní noví agenti umělé inteligence interagují s vašimi daty a službami. To vše je nyní pečlivěji monitorováno, zaznamenáváno a kontrolováno.

Jak odinstalovat staré ovladače
Související článek:
Jak změnit název skupiny ve Windows bez ztráty oprávnění

Jak zobrazit a spravovat oprávnění aplikací v Nastavení systému Windows 11

Nejpřímějším způsobem, jak si většina uživatelů může zkontrolovat oprávnění, je použití aplikace Nastavení. Odtud můžete ovládat, které aplikace mají přístup k vašemu fotoaparátu, mikrofonu, poloze a dalším zdrojům, aniž byste museli do každé aplikace vstupovat zvlášť.

Přístup k panelu ochrany osobních údajů a zabezpečení

Chcete-li zahájit audit oprávnění přímo z rozhraní Windows 11, postupujte podle této obecné cesty:

  1. Klikněte na Ikona nastavení (ozubené kolo) v nabídce Startnebo stiskněte kombinaci kláves Windows + I.
  2. V levém sloupci zadejte sekci „Ochrana osobních údajů a zabezpečení“.
  3. Posuňte se dolů, dokud nenajdete blok s názvem "Oprávnění aplikace".

V této sekci uvidíte několik kategorií oprávnění (Poloha, Fotoaparát, Mikrofon, Oznámení atd.). Každá kategorie vám umožňuje rozhodnout, zda Windows umožňuje aplikacím používat tento zdroja také které konkrétní aplikace to dokážou.

Pochopení toho, proč se v rámci jednotlivých oprávnění nezobrazují všechny aplikace

Něco, co často mate mnoho uživatelů, je to, že v rámci kategorie oprávnění Nezobrazují se všechny nainstalované aplikaceTo nutně neznamená, že je něco špatně.

Windows 11 zobrazuje pouze jednotlivé typy oprávnění aplikace, které si o tento přístup skutečně vyžádaly nebo si ho mohou vyžádatNapříklad je normální, že v seznamu umístění je více aplikací než v seznamu fotoaparátů, nebo že se aplikace nikdy nezobrazí, protože daný zdroj vůbec nepoužívá.

Například v reálném týmu je docela běžné najít něco jako toto:

  • V sekci „Umístění“ je uveden seznam několik aplikací, které využívají geolokaci (prohlížeče, aplikace pro počasí, mapy atd.).
  • V sekci „Fotoaparát“ se zobrazí pouze aplikace, které dokáží zachytit video nebo obrázky (Teams, Zoom, aplikace pro videohovory atd.).

Skutečnost, že se aplikace nezobrazuje v konkrétním oprávnění, obvykle jednoduše naznačuje, že tento typ přístupu nepoužíváPokud si myslíte, že by se určitá aplikace měla zobrazit, ale vy ji nevidíte, nejprve se ujistěte, že jste ji alespoň jednou použili v kontextu, kde má smysl, aby žádala o oprávnění (například zahájení videohovoru, aby si vyžádala kameru).

Povolení nebo zakázání oprávnění podle typu zdroje

V rámci každé kategorie oprávnění aplikací můžete provádět dva typy rozhodnutí: povolit nebo zakázat zdroj globálně a ovládat, které konkrétní aplikace jej používají. Vzorec je téměř ve všech sekcích velmi podobný:

  1. Přejděte do sekce „Soukromí a zabezpečení“ > „Oprávnění aplikací“ a vyberte například "Fotoaparát".
  2. Nahoře uvidíte hlavní vypínač, který umožňuje aplikace přistupují k fotoaparátu na daném zařízeníPokud ji zakážete, žádná aplikace ji nebude moci používat.
  3. Níže je uveden seznam aplikací s vlastním přepínačem pro každou z nich. Můžete povolit nebo zakázat přístup aplikaci pro každou aplikaci.

Stejný vzorec se opakuje i v Co dělat, když Windows 11 nerozpozná mikrofon„Poloha“, „Kontakty“ a zbytek kategorií. Zajímavé je, že vše, co zde změníte, je kdykoli vratnéTakže můžete testovat bez obav: pokud aplikace přestane fungovat, protože jste odebrali oprávnění, jednoduše ho vraťte.

Ovládání oprávnění v sekci „Aplikace“

Dalším běžným způsobem je vstup následující cestou: klikněte pravým tlačítkem myši na tlačítko Start > Nastavení> AplikaceOdtud uvidíte seznam nainstalovaných programů a budete mít přístup ke konkrétním možnostem pro každý z nich.

Je vhodné upřesnit, že ve většině případů Citlivá oprávnění se nespravují v části „Nastavení > Aplikace“ale spíše z části „Soukromí a zabezpečení“, jak jsme viděli. V sekci aplikací najdete obecnější nastavení programu (odinstalace, pokročilé možnosti atd.), ne tolik přístup k fotoaparátu, poloze atd.

Pokud tedy hledáte, kde ovládat polohu, kameru nebo mikrofon pro konkrétní aplikaci, obvykle budete muset jít na „Soukromí a zabezpečení > Oprávnění aplikací“ a nikoli k jednotlivým aplikacím uvedeným v sekci „Aplikace“.

Nové ovládací prvky oprávnění ve Windows 11: model „v mobilním stylu“

Společnost Microsoft oznámila zásadní posílení bezpečnostního modelu Windows 11, které je v souladu se svou iniciativou. Iniciativa Bezpečná budoucnostJedním z klíčových prvků této změny je zavedení ovládání oprávnění je velmi podobné těm na mobilních zařízeních.

Důvod je jednoduchý: bylo zjištěno, že mnoho desktopových aplikací Upravují konfigurace, instalují nežádoucí software nebo mění kritické systémové funkce, aniž by o to uživatele požádali.Aby se toto chování omezilo, systém Windows začne vyžadovat explicitní autorizaci v situacích, kdy se dříve vše dělo „pod radarem“.

Explicitní oprávnění pro citlivé akce

Díky těmto novým ovládacím prvkům, když se aplikace například pokusí instalovat jiný program, přistupovat k určitým typům citlivých souborů nebo měnit důležitá systémová nastaveníSystém Windows zobrazí oznámení s žádostí o váš souhlas. Vy se rozhodnete, zda jej autorizujete, zamítnete nebo nejprve zkontrolujete, co se děje.

Dále to posiluje myšlenku, že Povolení můžete zrušit i poté, co jste ho udělili.Pokud se aplikace chová podivně nebo jí již nedůvěřujete, můžete jí přístup odebrat v nastavení, aniž byste ji museli odinstalovat.

Ochrana integrity za běhu

Další funkcí nového modelu je, že se Windows aktivuje ve výchozím nastavení. ochrana integrity za běhuV praxi to znamená, že bude povoleno spuštění pouze aplikací, služeb a ovladačů, které jsou řádně podepsány a splňují určité bezpečnostní požadavky.

V pokročilých prostředích nebo v odůvodněných případech budou moci administrátoři (a v některých případech i samotní uživatelé) s výjimkou specifických aplikací těchto ochranných opatřeníTo je užitečné, když potřebujete spustit specializované nástroje, starší ovladače nebo interní firemní software, který ještě nesplňuje všechny moderní požadavky na podepisování.

Postupné zavádění a přísnější požadavky na aplikace a umělou inteligenci

Tyto změny budou aktivovány postupně, společnost Microsoft úprava chování na základě zpětné vazby od vývojářů, firem a koncových uživatelůCílem je vyhnout se zbytečným blokádám, ale zároveň výrazně zvýšit celkovou úroveň bezpečnosti.

V rámci této širší strategie se zavádějí další relevantní opatření:

  • Vyztužení Přihlašovací ID Microsoftu proti útokům s vkládáním skriptů.
  • Zakázání všech ovládacích prvků ActiveX v Microsoft 365 a Office 2024 pro Windows.
  • Aktualizace výchozích nastavení zabezpečení Microsoft 365 pro Blokování přístupu k souborům SharePointu, OneDrivu a Office pomocí starších protokolů považováno za nebezpečné.

Společnost Microsoft dále varuje, že aplikace, a zejména Agenti umělé inteligence budou muset splňovat vyšší standardy transparentnostiBudou muset poskytovat lepší informace o tom, jaká data používají, jaká oprávnění potřebují a jak interagují se systémem, aby uživatel měl jasnější přehled a mohl činit informovaná rozhodnutí.

Audit a kontrola oprávnění v organizačních aplikacích pomocí Microsoft Enter

Oprávnění ve Windows 11

Když mluvíme o firemním nebo organizačním prostředí, oprávnění již nejsou omezena pouze na kameru nebo mikrofon počítače. Do hry vstupují i ​​další faktory. Microsoft Entra ID, cloudová platforma pro identitu a přístup, která centralizuje správu aplikací a jejich autorizací ve vztahu k API a firemním datům.

V této souvislosti „audit oprávnění“ znamená kontrolu toho, které aplikace mají přístup ke kterým zdrojům prostřednictvím Oprávnění API (delegovaná nebo aplikační)kdo tato povolení udělil a zda jsou stále vhodná podle firemních politik.

Co je Microsoft Login a jaké typy oprávnění zpracovává?

Microsoft Entra umožňuje vaší organizaci registrovat aplikace (interní nebo třetích stran) a přiřazovat jim různé typy přístupu:

  • Delegovaná oprávněníAplikace jedná jménem uživatele a používá jeho identitu a oprávnění.
  • Oprávnění aplikace (pouze aplikace)Aplikace funguje samostatně, bez interaktivního uživatele, a obvykle má širší přístup k datům a službám.

Tato oprávnění jsou klíčová, protože ovládají věci, jako je čtení e-mailů prostřednictvím Microsoft Graphu, přístup k souborům na OneDrivu nebo v SharePointu, zobrazení uživatelských dat nebo správa dalších cloudových zdrojůProto je nezbytné pravidelně kontrolovat, zda vše, co bylo uděleno, stále dává smysl.

Kontrola protokolů aktivit a auditů oprávnění pro všechny aplikace

Microsoft Entra zaznamenává mnoho událostí souvisejících s udělováním a odebíráním oprávnění do svých protokolů aktivit. Pro globální přehled Co se děje s oprávněními aplikací ve vašem adresáři?Chcete-li to provést, postupujte v centru pro správu takto:

  1. Přihlaste se do Přihlášení do centra pro správu Microsoftu s účtem, který má alespoň jednu z těchto rolí: Čtenář sestav, Bezpečnostní čtenář, Bezpečnostní správce nebo Globální čtenář.
  2. Navigovat do Přihlašovací ID > Firemní aplikace.
  3. V levém panelu v části „Aktivita“ přejděte do sekce "Záznamy z auditu".
  4. Pomocí filtrů si můžete ponechat pouze události relevantní pro daný aktivita oprávnění aplikací (udělování a odebírání oprávnění API).
  5. V nabídce „Spravovat zobrazení“ v horním panelu příkazů můžete vybrat, které sloupce chcete zobrazit (včetně data) lépe analyzovat každý záznam.
Atributy souborů v Linuxu
Související článek:
Jak spravovat atributy souborů v Linuxu z terminálu

Tímto způsobem můžete například zjistit, kdy bylo aplikaci uděleno silné oprávnění, kdo jej autorizoval nebo zda byla nedávno odebrána nějaká důležitá oprávnění.

Audit oprávnění API pro konkrétní aplikaci prostředků

V jiných případech vás bude zajímat podrobnější informace o konkrétní aplikace zdrojů, například Microsoft Graph, abyste viděli, které další aplikace k němu mají oprávnění. To je obzvláště užitečné pro monitorování přístupu k vysoce citlivým datům.

Proces by byl něco takového:

  1. Přístup k centru pro správu Microsoft. Přihlaste se s rolí, která má alespoň oprávnění ke čtení sestav.
  2. Přejít na Přihlašovací ID > Firemní aplikace.
  3. Vyhledejte si aplikaci s informacemi o zdrojích, která vás zajímá. Například pokud chcete najít zdroje za posledních 30 dní Které aplikace získaly od Microsoft Graphu oprávnění Mail.Read?Vyhledejte položku „Microsoft Graph“.
  4. V levém panelu se v části „Aktivita“ vraťte do "Záznamy z auditu".
  5. Filtrujte protokoly podle polí uvedených v dokumentaci auditu a vyberte pouze události související s oprávněními API.
  6. Upravte zobrazení pomocí možnosti „Spravovat zobrazení“ a přidejte sloupce, jako například rande nebo herec a mít možnost vidět podrobnosti o tom, kdo povolení udělil nebo zrušil.

S těmito informacemi můžete ověřit, zda aktuální přístup splňuje interní zásady, zda existují aplikace s většími oprávněními, než potřebují, nebo zda nedošlo k nějakým rizikovým ústupkům, které byste měli prošetřit.

Relevantní auditní události a omezení

Auditní protokoly společnosti Entra odrážejí různé scénáře související s udělováním a odebíráním povolení. Mezi nejdůležitější události, kterých byste si měli být vědomi, patří:

  • Udělení přístupu k aplikaci pouze pro aplikaciAuditní služba „Core Directory“ zaznamenává v kategorii „Application Management“ aktivitu podobnou aktivitě „Přidat přiřazení role aplikace k instančnímu objektu“. Kontextem je uživatel, který uděluje přístup.
  • Zrušení exkluzivního přístupu k aplikaciUdálost, jako například „Odebrat přiřazení role aplikace z instančního objektu“, se vygeneruje také v adresáři Core Directory > Application Management.
  • Udělení delegovaného přístupu: Projevuje se to jako něco podobného jako „Přidat delegovaná oprávnění“, což znamená, že aplikace nyní může jednat jménem uživatele.
  • Souhlas uživatele s aplikací: zobrazí se událost „Souhlas aplikace“, která ukazuje, že uživatel souhlasil s tím, že aplikaci povolí používat určitá oprávnění.

Každý z těchto záznamů má svůj vlastní Omezení a technické detailyAle společně vám umožňují rekonstruovat, kdo udělil přístup, k čemu a kdy. To je základ seriózního auditu oprávnění v podnikovém prostředí.

Správa oprávnění k souborům a složkám ve Windows 11

Oprávnění neovlivňují aplikace jen abstraktně; jsou důležitá i pro uživatele. Oprávnění NTFS pro soubory a složkyTypickou chybou ve Windows 11 je, že soubor nelze otevřít (například dokument Word přijatý přes WhatsApp), protože oprávnění ke složce jsou nesprávná nebo je soubor poškozen.

Zkontrolujte, zda problém souvisí s oprávněními nebo poškozením.

Pokud se při otevírání souboru z místního disku ve Wordu zobrazí chyba, existují dvě hlavní možnosti:

  • Že Oprávnění NTFS pro složku nebo soubor nejsou dostatečná. pro vašeho aktuálního uživatele.
  • Že soubor je poškozené, například během přenosu přes WhatsApp nebo jinými prostředky.

Než začnete vinit aplikaci, je vhodné zkontrolovat oprávnění a pokud je vše v pořádku a soubor se stále neotevře, předpokládejte, že byl pravděpodobně poškozen a budete si ho muset znovu vyžádat nebo kontaktovat podporu služby, která jej přenesla.

Jak udělit plná oprávnění pro složku uživateli „Všem“

V některých případech, zejména v domácím prostředí, by vás mohlo zajímat všichni uživatelé v týmu mají plnou kontrolu nad konkrétní složkou Abyste se vyhnuli problémům s přístupem (například sdílená složka se společnými dokumenty), základní postup by byl následující:

  1. Vyhledejte složku, ve které se nachází problematický soubor, klikněte na ni pravým tlačítkem myši a vyberte «Vlastnosti».
  2. Přejděte na kartu "Bezpečnostní"Zobrazí se seznam uživatelů a skupin, kteří mají definovaná oprávnění.
  3. Klikněte na tlačítko „Upravit…“ pro úpravu oprávnění.
  4. Klikněte na "Přidat…"a poté v části „Pokročilé“.
  5. Do spodní části rámečku napište vše jako název objektu, který chcete vybrat, potvrdit a přijmout.
  6. Zpět v okně oprávnění zaškrtněte políčko pro udělení oprávnění pro „Všechny“. plná kontrola nad složkoua aplikujte změny.

Po provedení této akce by měl být jakýkoli místní uživatel schopen soubor otevřít bez omezení oprávnění. Pokud Word stále nemůže dokument otevřít, je to s největší pravděpodobností proto, že je poškozený a ze strany Windows s tím nelze nic dělatProto byste museli kontaktovat podporu WhatsAppu nebo požádat o opětovné odeslání souboru.

Spouštět aplikace se zvýšenými oprávněními kontrolovaným způsobem

Dalším velmi delikátním typem „povolení“ je spustit aplikaci s oprávněními správceUdělení administrátorských oprávnění programu je ekvivalentní povolení provádět téměř jakékoli změny v systému, takže s ním musí být zacházeno s maximální opatrností.

Ve Windows 11 by standardní účet neměl být schopen spouštět aplikace jako správce bez nutnosti Řízení uživatelských účtů (UAC)což vyžaduje uživatelské jméno a heslo správce. Existuje však pokročilý způsob, jak to nakonfigurovat pomocí Plánovače úloh.

Spuštění aplikace s oprávněními správce pomocí Plánovače úloh

Pro velmi specifický scénář, jako je například povolení standardnímu uživateli spustit určitou hru nebo program s administrátorskými oprávněními bez nutnosti zadávat přihlašovací údaje pokaždé, je možné se uchýlit k Plánovač úloh:

  1. V nabídce Start systému Windows 11 vyhledejte „Plánovač úloh“ a otevřete jej.
  2. V pravém sloupci klikněte na "Vytvořte základní úkol...".
  3. Zadejte úkol popisný název a pokud chcete, popisPokračujte tlačítkem „Další“.
  4. Jako spouštěč zvolte „Když se přihlásíte“Pokud chcete, aby se spustil automaticky po přihlášení, klikněte na tlačítko „Další“.
  5. V části „Akce“ vyberte "Spustit program" a vraťte se na „Další“.
  6. Pomocí tlačítka procházet vyhledejte spustitelný soubor (.exe) hry nebo aplikace, obvykle v instalační složce. Potvrďte a klikněte na tlačítko „Další“.
  7. Projděte si shrnutí a klikněte na "Dokončit".

Pokud úlohu upravíte tak, aby se spouštěla ​​s možností „Spustit s nejvyššími oprávněními“ (konfigurovatelnou v pokročilých vlastnostech úlohy), bude se tato aplikace při každém spuštění úlohy spouštět s oprávněními správce.

Vytvořte zástupce, který spustí úlohu

Pokud nechcete, aby se program spouštěl automaticky po přihlášení, můžete si vytvořit zkratka, která úlohu jednoduše spustí při jejím otevření:

  1. Klikněte pravým tlačítkem na plochu a vyberte „Nový > Zkratka“.
  2. Do pole „Zadejte umístění položky“ zadejte příkaz:
    schtasks /run /tn "NombreDeLaTarea"
    nahrazující „NázevÚkolu“ pro přesný název úkolu které jste vytvořili v Plánovači úloh.
  3. Stiskněte tlačítko „Další“ a poté klikněte na zástupce stejný název jako hra nebo programA asistent končí.

Od tohoto okamžiku se pokaždé, když uživatel dvakrát klikne na zástupce, úloha spustí a spustí aplikaci s oprávněními správce bez opětovného požadování přihlašovacích údajů.

Rizika spojená s tímto způsobem zvyšování počtu povolení

Tuto metodu je třeba používat s maximální opatrností. Pokud je aplikace vždy spuštěna se zvýšenými oprávněními, znamená to, že pokud má tato aplikace zranitelnosti nebo je napadena... Útočník by toho mohl zneužít k získání kontroly nad celým systémem..

Mac Disk Utility
Související článek:
Jak snadno opravit oprávnění v systému Mac

Proto je nezbytné používat jej pouze se softwarem, kterému plně důvěřujete, udržovat jej aktualizovaný a pravidelně kontrolovat, zda je stále nezbytný. Nezapomeňte, že v oblasti zabezpečení... Čím méně programů běží jako správce, tím lépe..

Kombinací správného používání možnosti „Soukromí a zabezpečení“ v Nastavení, pravidelné kontroly oprávnění v aplikaci Microsoft Enterprise, pečlivé správy oprávnění NTFS a velmi umírněného používání zvýšených oprávnění budete mít v systému Windows 11 mnohem vyšší úroveň kontroly nad svými aplikacemi než obvykle a výrazně snížíte nepříjemná překvapení související s neoprávněným přístupem nebo neočekávaným chováním. Sdílejte informace, aby se o tématu dozvědělo více lidí.