Blog

Témata:

16. 9. 2024

Bezpečnost Kryptografie

Sdílení souborů protokolem SMB a kryptografie

Sdílení souborů v sítích Windows

Původní LAN Manager a z něho vzniklý SMB (Small Message Block) se stal prakticky standardem pro sdílení souborů a tiskáren v lokálních sítích. Bohužel zpětná kompatibilita znamená jediné. Přes změny, kterými protokol prošel, je možné stále používat jeho nejhorší možné vlastnosti. Mimo bezpečnostních problémů souvisejících s přístupem k ochraně uživatelských účtů (více v článku věnujícímu se autentizaci), je tu hlavně problém s ochranou celistvosti (integrity) a důvěrnosti (confidentiality). Uvedený problém se podařilo vyřešit až v posledních verzích.

Sdílení souborů a tiskáren

První verze operačních systémů samozřejmě potřebovaly začít komunikovat s okolními systémy. Použití síťových rozhraní tak dovolilo začít v organizacích sdílet data. V prostředí postavených na technologiích společností IBM, Intel a Microsoft se jednalo o protokol Small Message Block [3]. Je tu s námi již od roku 1986. Bohužel, jeho původní verze dávno nevyhovuje současným bezpečnostním požadavkům, přesto se dodnes masivně používá. Je až žalostně nedostatečná, ať se jedná o zastaralé technologie přihlašování, přidělování oprávnění, nebo požadavky na ochranu integrity a důvěrnosti dat. Původní verze protokolu navíc umožňovala transport pouze přes protokol NetBIOS, který zrovna svým zabezpečením rozhodně proslulý není. Pro zjednodušení je zde uvedena tabulka, mapující přehled všech existujících verzí protokolů, používaných komunikačních portů, podporovaných operačních systémů a dalších detailů. Mezi ty důležité patří například již zmiňovaná kryptografická ochrana přenášených dat před čtením nebo modifikací neoprávněnou osobou. Všechna tato nastavení je nutné dodržovat na rozšířených systémech, ať už se jedná o Apple macOS [1] Linux s aplikací Samba [2] nebo již zmiňovaný Microsoft [3] (abecedně řazeno). Přes všechnu snahu je ale nutné vzít do úvahy ještě jednu důležitou záležitost. Autentizační mechanismy použité při sdílení souborů se liší a jednotlivé verze těchto protokolů podporují jiné postupy pro přihlášení. Tomuto tématu se věnuje další článek.

Protocols	Operating systems	Features
SMB 1.0 (1983)	Primary protocol: - MS-DOS 3.1 + Microsoft Network Client (1985) - OS/2 1.2 (1988) - Windows for Workgroups 3.1 (1992) - Windows 3.11 for Workgroups (1993) - Windows NT 3.1 (1993) - Windows NT 3.5 (1994) - Windows NT 3.51 (1995) - Windows 95 (1995) - Windows NT 4.0 (1996) - Windows 98 (1998) - Windows ME (2000) - Windows 2000 (2000) - Windows XP (2001) - Windows Server 2003 (2003) - Linux kernel 2.6 (2003) - Linux Samba 1.x (1992) - Mac OS X 10.0 (Cheetah, 2001) Backup protocol, enabled: - Windows Vista (2006) - Windows Server 2008 (2008) - Windows 7 (2009) - Windows Server 2008 R2 (2009) - Windows 8 (2012) - Windows Server 2012 (2012) - Windows 8.1 (2013) - Windows Server 2012 R2 (2013) - Windows 10 (2015) - Linux Samba 4.11 (2019) - Mac OS X 10.9 (Mavericks, 2013) Backup protocol, disabled: - Windows 10 build 1709 (October 2017) - Windows 10 build 1803 (April 2018) - Windows Server 2016 (2016) - Windows Server 2019 (2018) - Windows 11 (2021) - Windows Server 2021 (2022) - Linux Samba 4.11 (2019)	Basic File and Printer Sharing NetBIOS Dependency Limited Performance Small Buffer Size No Native Encryption Opportunistic Locking Limited file size up to 2GB (32-bit) Support for remote copy Support for transaction mechanisms Support for LAN only
CIFS (1996)	Primary protocol: - Windows NT 4.0 (1996) - Windows 98 (1998) - Windows ME (2000) - Windows 2000 (2000) - Windows XP (2001) - Windows Server 2003 (2003) - Linux kernel 2.6 (2003) - Linux Samba 1.x (1992) - Mac OS X 10.0 (Cheetah, 2001) Backup protocol, enabled: - Windows Vista (2006) - Windows Server 2008 (2008) - Windows 7 (2009) - Windows Server 2008 R2 (2009) - Windows 8 (2012) - Windows Server 2012 (2012) - Windows 8.1 (2013) - Windows Server 2012 R2 (2013) - Windows 10 (2015) - Linux Samba 4.11 (2019) - Mac OS X 10.9 (Mavericks, 2013) Backup protocol, disabled: - Windows 10 build 1709 (October 2017) - Windows 10 build 1803 (April 2018) - Windows Server 2016 (2016) - Windows Server 2019 (2018) - Windows 11 (2021) - Linux Samba 4.11 (2019)	Better support for TCP Files bigger than 2GB (64-bit filesystem) Support for symbolic links Support for hard links Support for WAN
SMB 2.0.1 (2006)	Primary protocol: - Windows Server 2008 (2008) - Windows Vista (2006) - Windows Server 2008 R2 (2009) - Linux kernel 3.7 (2012) - Linux Samba 3.6 (2011) - Mac OS X 10.0 (Mavericks, 2013) Backup protocol, enabled: - Windows 7 (2009) - Windows Server 2008 R2 (2009) - Windows 8 (2012) - Windows Server 2012 (2012) - Windows 8.1 (2013) - Windows Server 2012 R2 (2013) - Windows 10 (2015) - Windows Server 2016 (2016) - Windows Server 2019 (2018) - Windows 11 (2021) - Windows Server 2021 (2022) - Linux Samba 4.11 (2019) - Mac OS X 10.10 (Yosemite, 2014) Backup protocol, disabled:	Reduced Commands Larger Buffer Size Compound Requests Pipelining Durable Handles Improved Opportunistic Locking Connection Multichannel
SMB 2.1 (2009)	Primary protocol: - Windows 7 (2009) - Windows Server 2008 R2 (2009) - Windows 8 (2012) - Windows Server 2012 (2012) - Windows 8.1 (2013) - Windows Server 2012 R2 (2013) - Windows 10 (2015) - Linux kernel 3.12 (2013) - Linux Samba 4.0 (2012) - Mac OS X 10.10 (Mavericks, 2013) Backup protocol, enabled: - Windows Server 2016 (2016) - Windows Server 2019 (2018) - Windows 11 (2021) - Windows Server 2021 (2022) - Linux Samba 4.11 (209) - Mac OS X 10.10 (Yosemite, 2014) Backup protocol, disabled:	Improved Read/Write Performance Request Leasing Large MTU Support
SMB 3.0 (2012)	Primary protocol: - Windows 8 (2012) - Windows Server 2012 (2012) - Windows 8.1 (2013) - Windows Server 2012 R2 (2013) - Windows 10 (2015) - Windows Server 2016 (2016) - Windows Server 2019 (2018) - Windows 11 (2021) - Windows Server 2021 (2022) - Linux kernel 3.12/4.0 (2013/2015) - Linux Samba 4.2 (2015) - Mac OS X 10.10 (Yosemite, 2014) Backup protocol, enabled: Backup protocol, disabled:	End-to-End Encryption SMB Multichannel SMB Transparent Failover SMB Direct (RDMA) VSS for SMB Scale-Out File Shares
SMB 3.0.2 (2013)	Primary protocol: - Windows 8.1 (2013) - Windows Server 2012 R2 (2013) - Windows 10 (2015) - Windows Server 2016 (2016) - Windows Server 2019 (2018) - Windows 11 (2021) - Windows Server 2021 (2022) - Linux kernel 4.13 (2017) - Linux Samba 4.9 (2018) - Mac OS X 10.10 (Sierra, 2016) Backup protocol, enabled: Backup protocol, disabled:	Refined Transparent Failover SMB Encryption Performance
SMB 3.1.1 (2016)	Primary protocol: - Windows 10 (2015) - Windows Server 2016 (2016) - Windows Server 2019 (2018) - Windows 11 (2021) - Windows Server 2021 (2022) - Linux kernel 4.18 (2018) - Linux Samba 4.11 (2019) - Mac OS X 10.10 (High Sierra, 2017) Backup protocol, enabled: Backup protocol, disabled:	Pre-authentication Integrity (SHA512) Enhanced Encryption Improved Performance Cluster Dialect Fencing Secure Negotiation

Komunikace a zabezpečení

Uvedené služby pro sdílení souborů komunikují pomocí konkrétních portů. Ke každé verzi je navíc uvedena podpora pro šifrování (confidentiality) a pro zajištění integrity. Poslední verze SMB protokolu podporuje zajištění ochrany přihlašovacího procesu pomocí SHA-512, uvedený údaj je uveden ve vlastnostech daných protokolů v předchozí tabulce.

Protocols	Communication Ports	Confidentiality	Integrity
SMB 1.0 (1983)	NetBIOS: - 137/udp, 137/tcp (NameService) - 138/udp (Datagram Distribution) - 139/tcp (Session Service] Server Message Block (Since Windows 2000): - 445/tcp	N/A	N/A
CIFS (1996)	NetBIOS: - 137/udp, 137/tcp (NameService) - 138/udp (Datagram Distribution) - 139/tcp (Session Service] Server Message Block (Since Windows 2000): - 445/tcp	N/A	MD5 (optional)
SMB 2.0.1 (2006)	Server Message Block: - 445/tcp	N/A	HMAC-SHA256
SMB 2.1 (2009)	Server Message Block: - 445/tcp	N/A	HMAC-SHA256
SMB 3.0 (2012)	Server Message Block: - 445/tcp	AES-CCM-128	AES-CMAC-128
SMB 3.0.2 (2013)	Server Message Block: - 445/tcp	AES-CCM-128	AES-CMAC-128
SMB 3.1.1 (2016)	Server Message Block: - 445/tcp	AES-CMAC-128	AES-GCM-128

Nastavení výběru a podpory protokolů

Jak už bylo uvedeno, je důležité se zbavit zastaralých protokolů vytvářejících bezpečnostní riziko. Před jejich odstraněním je nutné udělat první krok, tím je zjištění současného stavu a ověření, zda jejich odstranění nezpůsobí další škody. Z uvedeného důvodu je zde uvedena série informací o možnostech pro jednotlivé platformy a protokoly tak, aby bylo možné zjisti stav, zakázat nebo povolit protokol, případně sbírat informace o jeho použit.

Platforma Apple macOS

Pro analýzu logů je možné použít /Applications/Utilities/Console.app a filtrovat řetězce "SMB" "smbd" nebo "protocol". Jako alternativu lze použí příkaz:
log show --predicate 'process == "smbd"' --info

Protocol	Apple macOS - NetBIOS
Detection	cat /etc/nsmb.conf \| grep -i port445
Enabling	/etc/nsmb.conf port445=normal #(enable NetBIOS) port445=netbios_onlyl #(require NetBIOS, for SMB1)
Disabling	/etc/nsmb.conf port445=no_netbios (disable NetBIOS)

Protocol	Apple macOS - SMB
Detection	cat /etc/nsmb.conf \| grep -i proto \| grep -i map
Enabling	/etc/nsmb.conf protocol_vers_map=7 #(111 SMB 3+2+1) # protocol_vers_map=5 # (101 SMB 3+1) # protocol_vers_map=3 # (011 SMB 2+1) # protocol_vers_map=1 # (001 SMB 1)
Disabling	/etc/nsmb.conf protocol_vers_map=6 # (110 SMB 3+2) # protocol_vers_map=4 # (100 SMB 3) # protocol_vers_map=2 # (010 SMB 2)

Protocol	Apple macOS - SMB preference
Detection	cat /etc/nsmb.conf \| grep -i smb \| grep -i neg
Enabling	/etc/nsmb.conf smb_neg=normal #(enable SMB1 and SMB2) smb_neg=smb1_only #(require SMB1)
Disabling	/etc/nsmb.conf smb_neg=smb2_only #(require SMB, disable NetBIOS)

Platforma Linux, systémové prostředí (mount)

Původní implementace připojování disků protokolem SMB, implementovaná pro kernel 2.6, vznikla v roce 2003. To už byly k dispozici první verze CIFS a následovaly i další verze. Z uvedeného důvodu byl dočasně rozdíl v chování, kde některé staré systémy rozlišovaly mezi CIFS, SMB a SMB2, takže bylo nutné použít odpovídající příkazy. V současnosti je to napraveno parametrem version, který je možný použít pro CIFS i SMB. Do jisté míry jsou tyto protokoly z hlediska systému dnes zástupné. Přesto je možné narazit na implementace bez možnosti specifikovat verzi.

mount -t cifs //server/share /mnt/point -o vers=3.1.1,username=user,password=password
mount.cifs //server/share /mnt/point -o vers=3.1.1,username=user,password=password

mount -t smbfs //server/share /mnt/point -o vers=3.1.1,username=user,password=password
mount.smb2 //server/share /mnt/point -o vers=3.1.1,username=user,password=password
mount.smb3 //server/share /mnt/point -o vers=3.1.1,username=user,password=password
smbmount //server/share /mnt/point -o vers=3.1.1,username=user,password=password

Platforma Linux, aplikace Samba

Logy Samba serveru se zpravidla nachází na místech /var/log/smbd.log nebo /var/log/samba/. Z těchto souborů je možné pomocí filtrů získat odpovídající informace, např.:
cat /var/log/smbd.log | grep "protocol\|version"

Protocol	Linux Samba NetBIOS
Detection	cat /etc/smb.conf \| grep -i netbios
Enabling	/etc/smb.conf disable netbios = no
Disabling	/etc/smb.conf disable netbios = yes

Protocol	Linux Samba SMB1
Detection	cat /etc/smb.conf \| grep -i client \| grep -i proto
Enabling	/etc/smb.conf client min protocol = CORE client max protocol = SMB3 # CORE: Earliest version, withouit concept of user names. # COREPLUS: Slight improvements on CORE for efficiency. # LANMAN1: Long filename support. # LANMAN2: Updates to Lanman1 protocol. # NT1: Windows NT 4.0 CIFS Protocol. # SMB2: SMB2 by default selects the SMB2_10 variant. # SMB2_02: Windows Vista SMB2 version. # SMB2_10: Windows 7 SMB2 version. # SMB3: SMB3 by default selects the SMB3_11 variant. # SMB3_00: Windows 8 SMB3 version. # SMB3_02: Windows 8.1 SMB3 version. # SMB3_11: Windows 10 SMB3 version.
Disabling	/etc/smb.conf client min protocol = SMB2_02 client max protocol = SMB3 # CORE: Earliest version, withouit concept of user names. # COREPLUS: Slight improvements on CORE for efficiency. # LANMAN1: Long filename support. # LANMAN2: Updates to Lanman1 protocol. # NT1: Windows NT 4.0 CIFS Protocol. # SMB2: SMB2 by default selects the SMB2_10 variant. # SMB2_02: Windows Vista SMB2 version. # SMB2_10: Windows 7 SMB2 version. # SMB3: SMB3 by default selects the SMB3_11 variant. # SMB3_00: Windows 8 SMB3 version. # SMB3_02: Windows 8.1 SMB3 version. # SMB3_11: Windows 10 SMB3 version.

Platforma Microsoft Windows

Při spuštění monitoru událostí (Event Viewer - eventvwr.msc) je možné najít informace o spojení v menu Applications and Services Logs > Microsoft > Windows > SMBClient nebo SMBServer.
SMB Client logs (spojení klienta) a SMB Server logs (spojení na server) obsahují informace o spojení a použitých verzích SMB.
- Event ID 3000 - verze SMB použitá pro spojení
- Event ID 31013 - nekompatibilní verzi SMB

SMB1

Protocol	Windows SMB1 - Audit by PowerShell
Detection	Get-SmbServerConfiguration \| Select AuditSmb1Access
Enabling	Set-SmbServerConfiguration -AuditSmb1Access $true
Disabling	Set-SmbServerConfiguration -AuditSmb1Access $false

Protocol	Windows SMB1 - client commands in CMD shell
Detection	sc.exe qc lanmanworkstation
Enabling	sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi sc.exe config mrxsmb10 start= disabled
Disabling	sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi sc.exe config mrxsmb10 start= auto

Protocol	Windows SMB1 - Group Policy on Client
Detection	N/A
Enabling	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10 Start REG_DWORD: 1= Enabled HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation DependOnService REG_MULTI_SZ: "Bowser","MRxSmb20″,"NSI"
Disabling	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10 Start REG_DWORD: 4= Disabled HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation DependOnService REG_MULTI_SZ: "Bowser","MRxSmb20″,"NSI"

Protocol	Windows SMB1 - Group Policy on Server
Detection	N/A
Enabling	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters SMB1 REG_DWORD: 1 = Enabled
Disabling	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters SMB1 REG_DWORD: 0 = Disabled

Protocol	Windows SMB1 - PowerShell
Detection	Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
Enabling	Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
Disabling	Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

Protocol	Windows SMB1 server PowerShell commands
Detection	Get-SmbServerConfiguration \| Select EnableSMB1Protocol
Enabling	Set-SmbServerConfiguration -EnableSMB1Protocol $true
Disabling	Set-SmbServerConfiguration -EnableSMB1Protocol $false

Protocol	Windows SMB1 server - PowerShell commands with Registry keys
Detection	Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters \| ForEach-Object {Get-ItemProperty $_.pspath}
Enabling	Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force
Disabling	Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

SMB2

Protocol	Windows SMB2 - client commands in CMD shell
Detection	sc.exe qc lanmanworkstation
Enabling
Disabling	sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi sc.exe config mrxsmb20 start= disabled

Protocol	Windows SMB2 - server PowerShell commands
Detection	Get-SmbServerConfiguration \| Select EnableSMB2Protocol
Enabling	Set-SmbServerConfiguration -EnableSMB2Protocol $true
Disabling	Set-SmbServerConfiguration -EnableSMB2Protocol $false

Protocol	Windows SMB2 - server PowerShell commands with Registry keys
Detection	Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters \| ForEach-Object {Get-ItemProperty $_.pspath}
Enabling	Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force
Disabling	Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force

SMB3

Protocol	Windows SMB3 - client commands in CMD shell
Detection	sc.exe qc lanmanworkstation
Enabling
Disabling	sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi sc.exe config mrxsmb20 start= disabled

Protocol	Windows SMB3 - server PowerShell commands
Detection	Get-SmbServerConfiguration \| Select EnableSMB2Protocol
Enabling	Set-SmbServerConfiguration -EnableSMB2Protocol $true
Disabling	Set-SmbServerConfiguration -EnableSMB2Protocol $false

Protocol	Windows SMB3 - server PowerShell commands with Registry keys
Detection	Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters \| ForEach-Object {Get-ItemProperty $_.pspath}
Enabling	Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force
Disabling	Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force

Reference:

How to disable SMB or NetBIOS in macOS
Zdroj: https://www.apple.com/
Linux Samba smb.conf
Zdroj: https://www.samba.org/
How to detect, enable and disable SMBv1, SMBv2 and SMBv3 in Windows
Zdroj: https://www.microsoft.com/

Autor článku:

Jan Dušátko

Jan Dušátko se počítačům a počítačové bezpečnosti věnuje již skoro čtvrt století. V oblasti kryptografie spolupracoval s předními odborníky např. s Vlastimilem Klímou, či Tomášem Rosou. V tuto chvíli pracuje jako bezpečnostní konzultant, jeho hlavní náplní jsou témata související s kryptografií, bezpečností, e-mailovou komunikací a linuxovými systémy.

1. Úvodní ustanovení

1.1. Tyto všeobecné obchodní podmínky jsou, není-li ve smlouvě písemně dohodnuto jinak, nedílnou součástí všech smluv týkajících školení, pořádaných nebo poskytovaných školitelem, Jan Dušátko, IČ 434 797 66, DIČ 7208253041, se sídlem Pod Harfou 938/58, Praha 9, zapsané u Úřadu městské části Praha 9 (dále jen „školitel“).
1.2. Smluvními stranami ve všeobecných obchodních podmínkách jsou míněni školitel a objednatel, kdy objednatel může být zároveň zprostředkovatelem smluvního vztahu.
1.3. Záležitosti, které nejsou upravené těmito obchodními podmínkami, se řeší podle Občanského zákoníků, tj. zákon č. 89/2012 Sb.

2. Vznik smlouvy přihlášením ke kurzu

2.1. Přihláškou se rozumí jednostranný úkon objednatele adresovaný školiteli prostřednictvím datové schránky s identifikací euxesuf, e-mailu na adresu register@cryptosession.cz nebo register@cryptosession.info, internetových stránek cryptosession.cz, cryptosession.info nebo kontaktním telefonem +420 602 427 840.
2.2. Odesláním přihlášky objednatel souhlasí s těmito všeobecnými podmínkami a prohlašuje, že se s nimi seznámil.
2.3. Přihláška se považuje za přijatou momentem potvrzení (stadnardně do 2 pracovních dní) školitelem nebo zprostředkovatelem. Toto potvrzení je zasláno do datové schránky nebo na kontaktní e-mail.
2.4. Standardní doba pro přihlášení je nejpozději 14 pracovních dní před konáním vzdělávací akce, pokud není uvedeno jinak. V případě fyzické nepodnikající osoby musí být objednávka alespoň 28 pracovních dní před konáním vzdělávací akce.
2.5. Na jednu přihláškou lze přihlásit i více než jednoho účastníka.
2.6. Pokud je více než 10 účastníků od jednoho objednatele, je možné se domluvit na školení v místě sídla zprostředkovatele nebo objednatele.
2.7. Přihlášky jsou přijímány a zpracovávány v pořadí, v jakém došly poskytovateli. Poskytovatel neprodleně informuje objednatele o všech skutečnostech. Těmi se míní naplnění kapacity, příliš nízký počet účastníků, nebo jiný závažný důvod, jako je nemoc lektora nebo zásah vyšší moci. Objednateli bude v tomto případě nabídnut nový termín, případně účast na jiné vzdělávací akci. V případě, že objednatel nebude s přesunutím či účastí na jiné nabídnuté vzdělávací akci souhlasit, poskytovatel mu vrátí účastnický poplatek. Nedostatečný účastníků je oznámen objednateli alespoň 14 dní před začátkem plánovaného termínu.
2.8. Smlouva mezi poskytovatelem a objednatelem vzniká odesláním potvrzení poskytovatelem objednateli.
2.9. Smlouvu lze změnit nebo zrušit pouze za splnění zákonných předpokladů a pouze písemně.

3. Zánik smlouvy zrušením přihlášky

3.1. Přihláška může být objednatelem zrušena pomocí e-mailu, nebo pomocí datové schránky.
3.2. Zákazník má právo stornovat svoji přihlášku na kurz 14 dní před konáním kurzu bez jakýchkoliv poplatků. Pokud se jedná o kratší dobu, dochází k následné změně. V intervalu 7-13 dní je účtován administrativní poplatek 10%, storno účasti v kratším intervalu než 7 dní pak poplatek 25%. V případě storna přihlášky nebo objednávky ze strany zákazníka je nabízena možnost účasti zákazníka v náhradním termínu bez dalšího poplatku. Právo na zrušení přihlášky zaniká realizací objednaného školení.
3.3. Při zrušení přihlášky školitelem náleží objednateli plná náhrada za neuskutečněnou akci.
3.4. Objednatel má právo žádat náhradní termín nebo náhradní školení. V takovém případě bude objednatel informován o všech otevřených kurzech. Náhradní termín si nelze vymáhat ani vynucovat, závisí na aktuální dostupnosti kurzu. Pokud má náhradní školení nižší cenu, objednatel doplatí rozdíl. Pokud má náhradní školení nižší cenu, školitel vrátí rozdíl cen školení objednateli.

4. Cena a platební podmínky

4.1. Odesláním přihlášky objednatel akceptuje smluvní cenu (dále jen účastnický poplatek) uvedenou u daného kurzu.
4.2. V případě více účastníků přihlášených jednou přihláškou je možná sleva.
4.3. Účastnický poplatek musí být uhrazen na bankovní účet společnosti vedený u Komerční banky č. 78-7768770207/0100. Při platbě je nutné uvést variabilní symbol, který je uveden na faktuře, odeslané objednateli školitelem.
4.4. Účastnický poplatek zahrnuje náklady poskytovatele včetně školicích materiálů. Poskytovatel je plátce DPH.
4.5. Účastnický poplatek je objednatel povinen uhradit do 14 pracovních dní od přijetí faktury, pokud nebylo samostatnou smlouvou uvedeno jinak.
4.6. Pokud se přihlášená osoba neúčastní školení a nedošlo k jiné domluvě, je její neúčast považována za storno příhlášku v intervalu kratším než 7 dní, tj. školiteli náleží odměna ve výši 25% z ceny kurzu. Přeplatek je vrácen do 14 dní na platební účet odesílatele, ze kterého byly prostředky odeslány. Platba na jiné číslo účtu není možná.
4.7. Nejdéle do 5 pracovních dní od začátku školení bude školitelem vystavena faktura, která bude dle dohody odeslána e-mailem nebo datovou schránkou.

5. Podmínky školení

5.1. Školitel je povinnen informovat objednatele 14 dní dopředu o místě a času školení, včetně termínu zahájení a ukončení denního programu.
5.2. Pokud objednatel není studentem kurzu, je povinnen zajistit distribuci těchto informací koncovým účastníkům. Za nesplnění těchto podmínek školitel nenese odpovědnost.
5.2. Standardně školení probíhá v čase od 9:00 do 17:00 na předem určeném místě.
5.3. Školitel může být dle aktuálních podmínek k dispozici od 8:00 do 9:00 a následně od 17:00 do 18:00 pro dotazy účastníků.
5.4. Na konci školení je koncovým uživatelům předán certifikát o absolovování.
5.5. Na konci školení koncoví uživatelé vyhodnocují přístup lektora a mají se vyjádřit k ohodnocení jeho prezentace, způsobu přednesení a ohodnotit významn poskytnutých informací.

6. Reklamace

6.1. Pokud je účastník hrubě nespokojen s průběhem kurzu, je školitel o této informaci vyrozuměn.
6.2. Důvody nespokojenosti jsou ten samý den zapsány do protokolu ve dvou kopiích. Jedna je předána objednateli a jednu má školitel.
6.3. Vyjádření k reklamaci bude podáno e-mailem do dvou týdnů. Následně do jednoho týdne bude domluven způsob řešení.
6.4. Nespokojenost zákazníka může být důvodem k rozvázání další spolupráce, nebo finanční kompenzaci až do výše ceny školení po odečtení nákladů.

7. Autorská práva k poskytnutým materiálům

7.1. Školicí materiály poskytnuté školitelem v rámci konání školení splňují znaky autorského díla dle zákona č. 121/2000 Sb.
7.2. Žádný ze školicích materiálů ani jeho část nesmí být bez předchozího písemného souhlasu školitele jakýmkoli způsobem dále zpracovávána, rozmnožována, rozšiřována nebo využívána k dalším prezentacím nebo školením.

8. Zodpovědnost

8.1. Školitel nepřebírá odpovědnost za nedostatky ve službách kterékoliv třetí strany, kterou využívá při školeních.
8.2. Školitel nepřebírá odpovědnost za zranění, škody a ztráty, vzniklé účastníkům vzdělávacích akcí, nebo které byly účastníky způsobeny. Takové náklady, způsobené uvedenými okolnostmi, ponese výhradně účastník vzdělávací akce.

9. Platnost podmínek

9.1 Tyto všeobecné obchodní podmínky jsou platné a účinné od 1. října 2024.