Работа с контролем учетных записей пользователей (UAC) в Windows VistaИсточник: winline Перевод: Дмитрий Романенко
Рекламный анонс Microsoft уделил значительное внимание новой особенности в системе безопасности, имеющейся в Windows Vista. С точки зрения перспектив для пользователя, одна из таких особенностей, а именно User Access Control (контроль учетных записей пользователей - UAC), вероятно, самое примечательное улучшение. UAC - это механизм, с помощью которого пользователи (и даже администраторы) могут выполнять простые задачи Windows, пользуясь неадминистративными правами, или решать их, являясь обычными пользователями. До выполнения административных заданий, пользователи должны активно подтвердить действия, которые могут стать потенциально опасными для компьютера. Внутренняя работа UAC говорит многое о том, каким образом данная особенность защищает ваш ПК. Сначала поговорим о том, что послужило толчком для разработки UAC. Проблема: Windows XP и автоматические установкиВ до-Vist’овых версиях Windows, помимо входа в систему, пользователю давался пароль доступа. Пользователь, не обладавший административными правами, получал возможность доступа в область ресурсов, которые не требовали наличия прав администрирования. Пользователям, являвшимся членами административной группы, давалась возможность пользоватся всеми имеющимися на локальном компьютере ресурсами. С точки зрения простоты использования, данный уровень авторизации был прекрасным. Но все же, с точки зрения безопасности он был не так уж и хорош, даже для ИТ-профессионалов. Представьте себе потенциал для попутной инсталляции шпионского программного обеспечения. Попутная инсталляция происходит тогда, когда вы посещаете, случайно или намеренно, сайт, содержащий вредоносный код, о котором у вас не никакого представления. Последние два года шпионские сканеры значительно повышали свои возможности, но пока еще на рынке не появлялось универсального решения, которое бы защитило от всех известных угроз. Даже если бы такой продукт и существовал, все равно возникали бы проблемы угроз неизвестной природы. Новое шпионское программное обеспечение дает знать о себе каждый день, и для разработчиков требуется значительное время для выявления этих новых неприятностей и обновления своей продукции. Если вы зашли вWindows XP в качестве пользователя, наделенного административными привилегиями, в тот момент, когда возникает эффект «попутности», шпионское программное обеспечения устанавливается на вашу машину, при этом вы ничего не замечаете. Данное шпионское программное обеспечение может принимать любую форму, начиная с простого, казалось бы, безобидного инструмента перехвата вводимой с клавиатуры информации, который запоминает все, что вы печатаете, и отправляет результаты в заранее заданный адрес. На определенном этапе вы могли бы прикрыть «черный ход», который позволяет взломщику проторить свою дорожку к вашей системе и сделать свое черное дело. Хуже того, чем глубже внедрено шпионское программное обеспечение в вашу систему, тем сложнее его оттуда выкурить. Это может повлечь за собой полную переустановку системы, на что понадобятся часы работы. Примечание: когда вы устанавливаете Windows XP, мастер настройки наделяет административными правами все локальные учетные записи. Ну, вы, разумеется, можете сказать, что все это вам давно известно; однако в организации, где вы работаете, вы вынуждены позволять пользователям заходить в качестве локального администратора по разным причинам. К примеру, многие пользователи (имеющие возможность управления) считают важным то, что у них имеется возможность установки нового приложения на своем компьютере. По несчастью, они зачастую правы. Занятие бизнесом в Сети часто предполагает необходимость установки новых эллементов ActiveX контроля или иного типа приложений. Конечно, это - не самый лучших выход, но лучше позволить людям заниматься своими прямыми обязанностями, чем платить им за просиживание штанов и поплевывание в потолок, оставив все на откуп ИТ. Решение проблемы: Windows Vista и UACВведение Windows Vista'ой UAC предназначено для укрощения чудовища и возврату от хаоса к порядку. В Vista, когда пользователь с административными правами активизируется в системе, он получает не один, а сразу два типа доступа: административный доступ и пароль доступа обычного пользователя. Пароль обычного доступа используется для запуска ПК. Конечный результат заключается в том, что администратор запускает систему с более ограниченными правами, чем теми, которые бы он мог получить при входе в Windows XP. Пока существует потребность, второй доступ - уже с административными правами - не используется. Случается ситуация, когда, например, пользователь с правами администрирования запускает программку панели управления и пытается изменить настройки. Тогда UAC от Windows Vista блокирует окно, показывая, что для продолжения необходимо разрешение. Когда вы выбираете разрешение использования административных действий, применяя административный доступ, вы даете разрешение, которое позволяет приложениям работать с более широкими привилегиями. Картинка A показывает вам стандартное диалоговое окно UAC. Если вы хотите разрешить действие, нажмите кнопку Continue (продолжить). UAC спрашивает, собираетесь ли вы продолжать выполнение действия. Если вы видели рекламные ролики «Mac против PC» на вебсайте Apple, то поняли, что это диалоговое окошко является предметом споров между PC и Mac, при этом система безопасности в PC отстает от аналогичной в Mac. На самом же деле, ситуация не настолько плоха. Действительно, хотя время от времени это выводит из себя, но ситуация складывается более благоприятно, поскольку новая система подает визуальную команду о том, что что-то происходит, давая, таким образом, пользователю возможность отменить действие. Раздражение - это один из результатов, от которого я помогу вам избавиться, дав описание в этой статье. Я покажу, как отключить UAC, и как сделать так, чтобы специальные приложения всегда работали в усиленном режиме. Полное отключение UACСделаю небольшое вступление к этому разделу: не рекомендую вам совершать это действие, даже на своем собственном компьютере. Насколько сильно я ненавижу разрешение этого действия, даже когда читаю проповеди об опасности "случайного нажатия кнопок" на блокировках, результатом чего становится запуск шпионского программного обеспечения, которое преследует студентов и пользователей, настолько сам иногда забываю свои собственные рекомендации. Прошлым летом, когда я торопился выполнить одно из заданий, у меня вышло, как сперва показалось, системное диалоговое окно, и я нажал кнопку OK. Как только я отпустил кнопку мыши, я осознал, что "кнопка OK", которую я только что нажал, являлась блокиратором веб-сайта. Спустя всего лишь несколько часов моя система была заражена шпионским ПО. Какой урок отсюда следует извлечь: даже те из нас, кто поступает так во имя жизни, сами падают жертвами шпионского ПО. При наличии UAC, возникает, по крайней мере, еще один барьер между нами и ними. Но если вы считаете, что UAC сильно изнуряет, вы можете отключить его и продолжать работать дальше. Существует несколько способов отключения UAC. Я покажу вам, как сделать это, воспользовавшись Control Panel (панелью управления), Registry Editor (редактором регистра), и Group Policy (групповыми политиками). Все решения, которые даются в данной статье, требуют того, чтобы вы вошли в систему в качестве пользователя, обладающего административными правами. Однако для большинства решений вы не можете воспользоваться учетной записью локального администратора. Данная учетная запись не допускает применения административного подтверждения. Воспользуйтесь другой учетной записью, а именно запись участника локальной административной группы. 1. Отключение UAC с помощью MSConfig В новых машинах для изменения режима работы UAC, вы можете воспользоваться MSConfig:
Вкладка инструментов в окне System Configuration (конфигурации системы). 2. Отключение UAC через Панель Управления Если вы работаете на нескольких машинах, самый простой способ деактивировать UAC - отключить это свойство через Control Panel (панель управления). Для достижения данной цели сделайте следующие шаги:
3. Отключение UAC через Редактор РеестраТретий способ отключить UAC подразумевает использование редактора реестра. Изменяя специальные ключи на каждом компьютере Vista, вы можете отключить UAC. Вот шаги для этого действия:
Ключ EnableLUA в Registry Editor (редакторе реестра). 4. Управление/отключение UAC через Групповые политикиЕсли в вашем распоряжении много компьютеров, и вы хотите изменить режим работы UAC на всех машинах, самым лучшим способом станет использование Group Policy (групповой политики). Метод Group Policy (групповой политики) также является наиболее гранулированным и дает вам возможность установить самые разные параметры, касающиеся UAC. Я покажу вам, как сделать это, воспользовавшись административным инструментом локальной групповой политики.
Редактор объектов групповых политик. Существует ряд опций, связанных с контролем доступа пользователя: Контроль учетных записей пользователя: режим работы расширенной подсказки для встроенной учетной записи администратора - данная установка влияет на режим работы UAC при использовании встроенной учетной записи администратора.
Контроль учетных записей пользователя: подсказка для администраторов в режиме Admin Approval Mode (режим подтверждения администратором) - данная настройка влияет на то, что происходит, когда администратор (помимо встроенной учетной записи администратора) запускает привилегированное приложение.
Контроль учетных записей пользователя: режим работы улучшения подсказки для обычных пользователей - данная установка определяет то, что происходит, когда обычный пользователь пытается запустить привилегированное приложение.
Контроль учетных записей пользователя: определение инсталляции приложений и подсказка по установке - что ответит система UAC на запрос об установке новых программ?
Контроль учетных записей пользователя: запуск только тех выполняемых модулей, которые разрешены и подтверждены - требуют ли выполняемые приложения подтвержденной сертифицированной цепочки PKI (инфраструктуры открытых ключей)?
Контроль учетных записей пользователя: только запуск приложений UIAccess, которые установлены в безопасном месте - приложения, которые требуют выполнения с интегрированным уровнем UIAccess, должны находиться в безопасной зоне системы.
Контроль учетных записей пользователя: запускать всех администраторов в режиме Admin Approval Mode (режим подтверждения администратором) - запуск всех пользователей, включая администраторов, в качестве обычных пользователей. Это эффективно включает либо выключает UAC. Если вы меняете данную установку, вам придется перезапустить систему.
Контроль учетных записей пользователя: включить режим безопасной работы ПК, когда приходит подсказка о загрузке - Когда UAC включен, при этом выходит подсказка о загрузке, смените Windows Vista на безопасный режим в противоположность стандартному пользовательскому режиму.
Контроль учетных записей пользователя: виртуализирует сбои записи в файлы и в реестр для каждого пользователя - данная настройка включает перенаправление ошибки записи устаревших приложений в определенные места в реестре и файловой системе, ослабляя влияние этих приложений, которые издавна запускались с правами администраторов и приложений для доступа к %ProgramFiles%, %Windir%; %Windir%\system32 или HKLM\Software\. Вкратце, этот ключ помогает поддерживать фоновую совместимость с устаревшими приложениями, которые не желают запускаться в качестве стандартного пользователя.
Выборочное отключение User Access Control (контроля доступа пользователя) Не все приложения помечены таким образом, чтобы запускать предостережение UAC при своей загрузке. Тем не менее, многие приложения требуют запуска с включенными административными правами, чтобы достичь должного уровня работы. Для того, чтобы уладить такой положение, вы можете пометить приложение так, чтобы оно загружалось с административными правами всякий раз, когда оно выполняется. Для того, чтобы было именно так:
Закладка совместимости приложений. Для ряда приложений опция "Run this program as an administrator" (запуск программы в качестве администратора) может быть недоступна. Для этого существует ряд причин:
Утомительно, но оно того стоитUAC может и несет в себе элемент занудства, когда дело касается вопроса безопасности системы, но он незаменим, когда встает вопрос о необходимости обеспечения безопасности системы, особенно для пользователей домашних компьютеров. Пользователи Mac и Linux долгое время имели дело со схожими базовыми схемами безопасности, однако для пользователей Windows ситуация складывается по-новому. Как только пользователи Windows привыкнут к новизне, они по достоинству оценят дополнительную безопасность. |