Probíhající vzdělávací akce v ARIONu: Nabídka ZDE

232 000 330

TEAMVIEWER

HELPDESK

Sdílejte:

Nejčastější chyby při správě klientských zařízení a jak se jim vyhnout

Buďte vždy o krok napřed

Publikováno: 24. 04. 2025
Cloud,Computing,Storage,Security,Concept.,Safety,Data,Management,Specialist,Click

Správa klientských zařízení ve firmách bývá často podceňovaná. Mnoho IT administrátorů se zaměřuje především na servery, síťovou infrastrukturu nebo firewally, ale zapomínají na to, že slabým článkem mohou být právě běžná pracovní zařízení, jako jsou notebooky, telefony, tablety a stolní počítače. Stačí jedno špatně zabezpečené zařízení a útočník může získat přístup k firemní síti. Riziko je stále větší, zejména kvůli práci na dálku. 

Pojďme se podívat na nejčastější chyby, které se v praxi objevují, a na způsoby, jak jim předejít

1. Používání zastaralých technologií (SMBv1, Internet Explorer, staré verze OS)

Jedním z největších problémů je používání zastaralých technologií, které jsou známé svými bezpečnostními zranitelnostmi. Typickým příkladem je stále povolený protokol SMBv1, který už dávno není bezpečný. Právě přes tuto zastaralou technologii se v minulosti šířily velké ransomwarové útoky, jako byl WannaCry. Přesto jej některé firmy stále nechávají zapnutý, například kvůli kompatibilitě s některými staršími tiskárnami nebo aplikacemi. 

Další hrozbou je stále přítomný Internet Explorer, který Microsoft sice ukončil, ale některé aplikace na něm stále běží. Staré prohlížeče mají známé zranitelnosti, které už nebudou opraveny, což představuje riziko pro celou síť. Další hrozbu představují mobilní telefony, které se používají i přes ukončenou podporu OS.  

Jak se této chybě vyhnout? 

  • Vypnout SMBv1 a přejít na novější verze (SMBv3). 
  • Zakázat Internet Explorer a používat moderní prohlížeče (Chrome, Edge, Firefox). 
  • Pravidelně aktualizovat operační systémy a aplikace. 
  • Mít přehled o tom, jaké aplikace jsou nainstalované na firemních zařízeních a eliminovat nepotřebné. 
Male,It,Specialist,Walks,Between,Row,Of,Operational,Server,Racks
Tech,Devices,Connected,To,Each,Other,By,Businessman,On,Blurred

2. Nepřehledná správa uživatelských účtů a oprávnění

Další častou chybou je špatné řízení uživatelských oprávnění. Ve firmách se často setkáváme se situací, kdy běžní uživatelé mají zbytečně vysoká oprávnění – například mohou instalovat software, měnit systémová nastavení nebo dokonce spravovat jiné účty. 

Velkým rizikem je také ponechání výchozího lokálního administrátorského účtu aktivního a jeho používání na více zařízeních. Pokud takový účet není přejmenovaný nebo zabezpečený silným heslem, útočník jej může snadno zneužít k získání plného přístupu k systému. 

Navíc se často zapomíná na správu skupiny „Local Admins“, kde by měly být pouze nezbytné účty, a ne například běžní uživatelé. Podobně by ve firmě měla existovat jasná pravidla, kdo má přístup do BIOSu, kdo může nastavovat bootování nebo kdo má oprávnění k instalaci tiskáren. 

Jak se této chybě vyhnout? 

  • Přejmenovat výchozí administrátorský účet a nastavit silné heslo. 
  • Pravidelně kontrolovat, kdo je členem skupiny „Local Admins“. 
  • Omezit práva uživatelů – běžní uživatelé by neměli mít možnost instalovat software. 
  • Zabezpečit přístup do BIOSu heslem a zakázat bootování z USB/CD/DVD. 
  • Používat centrální správu uživatelských účtů přes Active Directory nebo Azure AD. 

3. Nedostatečné zálohování a ochrana proti ransomware útokům

Jednou z nejzávažnějších a zároveň nejčastějších chyb je podcenění zálohování a celkové ochrany proti ransomware útokům. Mnoho organizací stále spoléhá na štěstí a argument typu „zatím se nám nic nestalo“, místo aby měly jasně definovanou a pravidelně testovanou zálohovací strategii. 

Typické chyby: 

  • Zálohy jsou ukládány na stejné zařízení nebo disk jako produkční data. V případě napadení ransomwarem dochází k zašifrování nejen dat, ale i samotných záloh, čímž se znemožní obnova. 
  • Záložní BitLocker klíče jsou uchovávány na stejném zařízení jako šifrovaný disk – jejich ztráta znamená trvalou ztrátu dat. 
  • Chybí ochrana koncových zařízení – bez použití moderních antivirových řešení s EDR (Endpoint Detection and Response) je velmi obtížné včas odhalit a zastavit útok. 
  • Zálohování se často zaměřuje jen na uživatelská data, přitom je potřeba zálohovat i nastavení systému, konfigurace aplikací a další prvky důležité pro rychlé obnovení provozu. 
  • Systémové profily (např. nastavení účtů, uživatelské preference, plochy) bývají opomíjeny – přitom i jejich obnova je pro plynulý návrat k práci důležitá. 
  • Chybí geograficky oddělené nebo offline zálohy – např. zálohy uložené mimo síť (tzv. „air-gapped“), které nejsou dosažitelné při napadení sítě. 
  • Neřeší se bezpečnost samotných záloh a logů – útočníci často mazaně mažou logy, nebo se pokouší dostat k zálohám. Je důležité mít tyto soubory zabezpečené a monitorované. 
Ransomware

Doporučené postupy: 

  • Využívat automatizované nástroje pro zálohování (např. Veeam, Windows Backup, Synology Active Backup). 
  • Ukládat zálohy na oddělené médium – NAS, externí disky, nebo cloudové úložiště s podporou verzování. 
  • Vytvářet offline zálohy a geograficky oddělené zálohy, ideálně s šifrováním. 
  • Zálohovat nejen data, ale i systémová nastavení, konfigurační soubory aplikací a uživatelské profily. 
  • Pravidelně testovat obnovu dat – pouze záloha, kterou lze reálně obnovit, má hodnotu. 
  • Monitorovat bezpečnostní logy (např. Windows Event Logs, Syslog) a využívat SIEM nástroje pro rychlou detekci incidentů. 
  • Zajistit zabezpečení logů a záloh – např. přístupovými právy, šifrováním a auditem přístupů. 
Writing,Displaying,Text,Security,Standards.,Business,Idea,The,Scope,Of

4. Chybějící bezpečnostní standardy pro klientská zařízení

Bezpečnost koncových zařízení je často opomíjena, přitom právě zde útoky často začínají. Bez jasně definovaných bezpečnostních standardů pro klientské stanice (notebooky, počítače, mobilní zařízení) se zvyšuje riziko úspěšného útoku. 

Doporučené bezpečnostní standardy pro klientská zařízení: 

  • Povinné šifrování disků (např. pomocí BitLocker nebo FileVault). 
  • Používání EDR/XDR řešení – umožní detekovat a zastavit podezřelé aktivity v reálném čase. 
  • Automatické aktualizace operačního systému a aplikací. 
  • Povinné používání silného hesla nebo MFA (Multi-Factor Authentication). 
  • Správa zařízení přes MDM nebo Intune – centrální správa zabezpečení, konfigurací a aktualizací. 
  • Omezení oprávnění uživatelů – běžný uživatel by neměl mít administrátorská práva. 
  • Segmentace sítě a VPN přístup – pro přístup k citlivým systémům jen z důvěryhodného zařízení. 

Zavedení těchto základních standardů pomáhá snížit rizika kompromitace a zároveň zvyšuje šanci na rychlé zotavení z incidentu, pokud k němu přece jen dojde. 

Závěr

Správa klientských zařízení je klíčovým prvkem firemní bezpečnosti. Přestože se většina IT týmů soustředí hlavně na ochranu serverů a sítě, i běžná pracovní stanice může být vstupním bodem pro útok. 

Pokud se vyhnete používání zastaralých technologií, zajistíte správné řízení uživatelských účtů a nastavíte kvalitní zálohovací strategii, výrazně snížíte riziko bezpečnostního incidentu. Zabezpečení není jednorázová akce, ale kontinuální proces, který vyžaduje pravidelnou kontrolu a přizpůsobování novým hrozbám. 

Máte ve firmě správně nastavenou bezpečnost klientských zařízení? Pokud ne, možná je čas to napravit. Potřebujete pomoci? Kontaktujte naše odborníky na kybernetickou bezpečnost zde

Starší příspěvky:

Spreadsheet,Man,Working,With,Data,And,Graphs,Microsoft,Excel,Project

VI. Microsoft Excel s integrovaným Copilotem

V tomto článku se zaměříme na využití AI nástroje Microsoft 365 Copilot v aplikaci Excel. Právě zde nabízí Copilot pomocnou ruku

Číst více
Corporate,Businessman,Working,In,The,Office,,He,Is,Checking,Financial

10 skvělých bezplatných aplikací v Microsoft 365, o kterých jste možná ještě neslyšeli

Microsoft 365 nabízí velmi širokou škálu aplikací, které mohou výrazně zlepšit vaši produktivitu a usnadnit vám každodenní práci. Některé z těchto aplikací

Číst více
Composite,Photo,Collage,Of,Hand,Show,Unlock,Macbook,Device,Hacker

Kybernetickou bezpečnost není potřeba řešit? Skutečně?

Stále častěji se setkáváme s názorem, že kybernetickou bezpečnost není třeba řešit, protože „nás se to netýká“ nebo „pro hackery nejsme

Číst více

Nejčastější chyby při správě klientských zařízení a jak se jim vyhnout

Cloud,Computing,Storage,Security,Concept.,Safety,Data,Management,Specialist,Click

Správa klientských zařízení ve firmách bývá často podceňovaná. Mnoho IT administrátorů se zaměřuje především na servery, síťovou infrastrukturu nebo firewally, ale zapomínají na to, že slabým článkem mohou být právě běžná pracovní zařízení, jako jsou notebooky, telefony, tablety a stolní počítače. Stačí jedno špatně zabezpečené zařízení a útočník může získat přístup k firemní síti. Riziko je stále větší, zejména kvůli práci na dálku. 

Pojďme se podívat na nejčastější chyby, které se v praxi objevují, a na způsoby, jak jim předejít

1. Používání zastaralých technologií (SMBv1, Internet Explorer, staré verze OS)

Jedním z největších problémů je používání zastaralých technologií, které jsou známé svými bezpečnostními zranitelnostmi. Typickým příkladem je stále povolený protokol SMBv1, který už dávno není bezpečný. Právě přes tuto zastaralou technologii se v minulosti šířily velké ransomwarové útoky, jako byl WannaCry. Přesto jej některé firmy stále nechávají zapnutý, například kvůli kompatibilitě s některými staršími tiskárnami nebo aplikacemi. 

Další hrozbou je stále přítomný Internet Explorer, který Microsoft sice ukončil, ale některé aplikace na něm stále běží. Staré prohlížeče mají známé zranitelnosti, které už nebudou opraveny, což představuje riziko pro celou síť. Další hrozbu představují mobilní telefony, které se používají i přes ukončenou podporu OS.  

Jak se této chybě vyhnout? 

  • Vypnout SMBv1 a přejít na novější verze (SMBv3). 
  • Zakázat Internet Explorer a používat moderní prohlížeče (Chrome, Edge, Firefox). 
  • Pravidelně aktualizovat operační systémy a aplikace. 
  • Mít přehled o tom, jaké aplikace jsou nainstalované na firemních zařízeních a eliminovat nepotřebné. 
Male,It,Specialist,Walks,Between,Row,Of,Operational,Server,Racks
Tech,Devices,Connected,To,Each,Other,By,Businessman,On,Blurred

2. Nepřehledná správa uživatelských účtů a oprávnění

Další častou chybou je špatné řízení uživatelských oprávnění. Ve firmách se často setkáváme se situací, kdy běžní uživatelé mají zbytečně vysoká oprávnění – například mohou instalovat software, měnit systémová nastavení nebo dokonce spravovat jiné účty. 

Velkým rizikem je také ponechání výchozího lokálního administrátorského účtu aktivního a jeho používání na více zařízeních. Pokud takový účet není přejmenovaný nebo zabezpečený silným heslem, útočník jej může snadno zneužít k získání plného přístupu k systému. 

Navíc se často zapomíná na správu skupiny „Local Admins“, kde by měly být pouze nezbytné účty, a ne například běžní uživatelé. Podobně by ve firmě měla existovat jasná pravidla, kdo má přístup do BIOSu, kdo může nastavovat bootování nebo kdo má oprávnění k instalaci tiskáren. 

Jak se této chybě vyhnout? 

  • Přejmenovat výchozí administrátorský účet a nastavit silné heslo. 
  • Pravidelně kontrolovat, kdo je členem skupiny „Local Admins“. 
  • Omezit práva uživatelů – běžní uživatelé by neměli mít možnost instalovat software. 
  • Zabezpečit přístup do BIOSu heslem a zakázat bootování z USB/CD/DVD. 
  • Používat centrální správu uživatelských účtů přes Active Directory nebo Azure AD. 

3. Nedostatečné zálohování a ochrana proti ransomware útokům

Jednou z nejzávažnějších a zároveň nejčastějších chyb je podcenění zálohování a celkové ochrany proti ransomware útokům. Mnoho organizací stále spoléhá na štěstí a argument typu „zatím se nám nic nestalo“, místo aby měly jasně definovanou a pravidelně testovanou zálohovací strategii. 

Typické chyby: 

  • Zálohy jsou ukládány na stejné zařízení nebo disk jako produkční data. V případě napadení ransomwarem dochází k zašifrování nejen dat, ale i samotných záloh, čímž se znemožní obnova. 
  • Záložní BitLocker klíče jsou uchovávány na stejném zařízení jako šifrovaný disk – jejich ztráta znamená trvalou ztrátu dat. 
  • Chybí ochrana koncových zařízení – bez použití moderních antivirových řešení s EDR (Endpoint Detection and Response) je velmi obtížné včas odhalit a zastavit útok. 
  • Zálohování se často zaměřuje jen na uživatelská data, přitom je potřeba zálohovat i nastavení systému, konfigurace aplikací a další prvky důležité pro rychlé obnovení provozu. 
  • Systémové profily (např. nastavení účtů, uživatelské preference, plochy) bývají opomíjeny – přitom i jejich obnova je pro plynulý návrat k práci důležitá. 
  • Chybí geograficky oddělené nebo offline zálohy – např. zálohy uložené mimo síť (tzv. „air-gapped“), které nejsou dosažitelné při napadení sítě. 
  • Neřeší se bezpečnost samotných záloh a logů – útočníci často mazaně mažou logy, nebo se pokouší dostat k zálohám. Je důležité mít tyto soubory zabezpečené a monitorované. 
Ransomware

Doporučené postupy: 

  • Využívat automatizované nástroje pro zálohování (např. Veeam, Windows Backup, Synology Active Backup). 
  • Ukládat zálohy na oddělené médium – NAS, externí disky, nebo cloudové úložiště s podporou verzování. 
  • Vytvářet offline zálohy a geograficky oddělené zálohy, ideálně s šifrováním. 
  • Zálohovat nejen data, ale i systémová nastavení, konfigurační soubory aplikací a uživatelské profily. 
  • Pravidelně testovat obnovu dat – pouze záloha, kterou lze reálně obnovit, má hodnotu. 
  • Monitorovat bezpečnostní logy (např. Windows Event Logs, Syslog) a využívat SIEM nástroje pro rychlou detekci incidentů. 
  • Zajistit zabezpečení logů a záloh – např. přístupovými právy, šifrováním a auditem přístupů. 
Writing,Displaying,Text,Security,Standards.,Business,Idea,The,Scope,Of

4. Chybějící bezpečnostní standardy pro klientská zařízení

Bezpečnost koncových zařízení je často opomíjena, přitom právě zde útoky často začínají. Bez jasně definovaných bezpečnostních standardů pro klientské stanice (notebooky, počítače, mobilní zařízení) se zvyšuje riziko úspěšného útoku. 

Doporučené bezpečnostní standardy pro klientská zařízení: 

  • Povinné šifrování disků (např. pomocí BitLocker nebo FileVault). 
  • Používání EDR/XDR řešení – umožní detekovat a zastavit podezřelé aktivity v reálném čase. 
  • Automatické aktualizace operačního systému a aplikací. 
  • Povinné používání silného hesla nebo MFA (Multi-Factor Authentication). 
  • Správa zařízení přes MDM nebo Intune – centrální správa zabezpečení, konfigurací a aktualizací. 
  • Omezení oprávnění uživatelů – běžný uživatel by neměl mít administrátorská práva. 
  • Segmentace sítě a VPN přístup – pro přístup k citlivým systémům jen z důvěryhodného zařízení. 

Zavedení těchto základních standardů pomáhá snížit rizika kompromitace a zároveň zvyšuje šanci na rychlé zotavení z incidentu, pokud k němu přece jen dojde. 

Závěr

Správa klientských zařízení je klíčovým prvkem firemní bezpečnosti. Přestože se většina IT týmů soustředí hlavně na ochranu serverů a sítě, i běžná pracovní stanice může být vstupním bodem pro útok. 

Pokud se vyhnete používání zastaralých technologií, zajistíte správné řízení uživatelských účtů a nastavíte kvalitní zálohovací strategii, výrazně snížíte riziko bezpečnostního incidentu. Zabezpečení není jednorázová akce, ale kontinuální proces, který vyžaduje pravidelnou kontrolu a přizpůsobování novým hrozbám. 

Máte ve firmě správně nastavenou bezpečnost klientských zařízení? Pokud ne, možná je čas to napravit. Potřebujete pomoci? Kontaktujte naše odborníky na kybernetickou bezpečnost zde

Sdílet aktualitu:

Nejnovější příspěvky

Nezmeškejte novinky

Neodkládejte řešení technologických problémů.
Spojte se se zkušeným partnerem, který je vyřeší za vás.
REGISTROVAT NEWSLETTER

Copyright 2025 © ARION spol. s r.o.     |     Líbí se vám náš web? Můžeme vytvořit web i Vám