Vista User Account Control: Slimmer User Privileges


  Share  
|

De meeste (ik eigenlijk ben geneigd om de overgrote meerderheid) zeggen van de security-gerelateerde problemen in recente versies van Windows neer op een enkele oorzaak: De meeste gebruikers waren met de Windows-beheerder niveau van machtigingen. Beheerders kunnen niets doen om een Windows-machine, met inbegrip van het installeren van programma's, het toevoegen van apparaten, bijwerken van stuurprogramma's, het installeren van updates en patches, het wijzigen register-instellingen, hardlopen administratieve tools en het creëren en wijzigen van gebruikersaccounts. Dit is handig, maar het leidt tot een enorm probleem: elke malware die zich insinueert op uw systeem zal ook in staat zijn om te werken bij de administratieve machtigingen, waardoor het programma om een puinhoop maken van de computer en zo ongeveer alles aangesloten.

Windows XP geprobeerd om het probleem op te lossen door het creëren van een tweede-tier rekening niveau noemen de beperkte gebruiker, die slechts zeer elementaire machtigingen had. Helaas waren er drie gapende gaten in deze "oplossing":

  • XP gevraagd of u een of meer gebruikersaccounts aanmaken tijdens de installatie, maar het niet dwingen je tot een te maken. Als u dit onderdeel overgeslagen, XP gestart onder de Administrator-account.

  • Zelfs als u gekozen om gebruikers te creëren, heeft het setup-programma geeft u een optie voor het instellen van de account veiligheidsniveau. Daarom een account die u hebt gemaakt tijdens de installatie werd automatisch toegevoegd aan de groep Administrators.

  • Als u een beperkte gebruikersaccount aangemaakt, heb je waarschijnlijk niet lang bewaren, omdat XP de rekening strompelde zo slecht dat je niet kon gebruiken om iets anders dan de meest elementaire taken computer doen. Je kon zelfs niet installeren omdat de meeste programma's vereisen doorgaans schrijfrechten voor de map% SystemRoot% en het register, en beperkte gebruikers misten die toestemming.

Windows Vista opnieuw probeert op te lossen dit probleem. De nieuwe oplossing heet User Account Control en het gebruik van een principe genaamd de minst bevoorrechte gebruiker. Het idee hierachter is om een account niveau dat niet meer rechten heeft te maken dan zij nodig heeft. Nogmaals, zijn deze rekeningen verhinderd het bewerken van het register en het uitvoeren van andere administratieve taken. Toch kunnen deze gebruikers uitvoeren andere dag-tot-dag taken:

  • Installeer programma's en updates

  • Voeg printerdrivers

  • Verander draadloze beveiliging opties (zoals het toevoegen van een WEP-of WPA-sleutel)

In Windows Vista, de minst bevoorrechte gebruiker concept komt in de vorm van een nieuw type account heet de standaard gebruiker. Dit betekent dat Vista heeft drie fundamentele rekening niveaus:

  • Administrator-account Deze account kan iets doen om de computer.

  • Groep Administrators Leden van deze groep (met uitzondering van de Administrator-account) worden uitgevoerd als standaard gebruikers, maar zijn in staat om hun privileges verhogen indien nodig gewoon door te klikken op een knop in een dialoogvenster (zie de volgende paragraaf).

  • Standard Users Group Dit zijn de minst bevoorrechte gebruikers, hoewel ook zij kunnen hun rechten als dat nodig is verheffen, maar eisen dat ze toegang tot een beheerderswachtwoord te doen.

Verheffende voorrechten

Dit idee van verheffen privileges is de kern van de nieuwe beveiliging van Vista model. In Windows XP kon je gebruik maken van de opdracht Uitvoeren als het uitvoeren van een taak als een andere gebruiker (dat wil zeggen, een met hogere privileges). In Vista, je meestal niet nodig om dit te doen omdat Vista u wordt gevraagd voor de hoogte automatisch.

Als u lid bent van de groep Administrators, loopt u met de privileges van een standaard gebruiker voor extra veiligheid. Wanneer u een taak die beheerdersrechten vereist poging, Vista vraagt om uw toestemming door het weergeven van een User Account Control dialoogvenster. Klik op Control toe te staan de taak om verder te gaan. Als dit dialoogvenster verschijnt onverwacht, is het mogelijk dat een malware programma probeert om een aantal taken die beheerdersrechten vereist uitvoeren, je kunt die taak te dwarsbomen door te klikken op Annuleren instead.When een beheerder lanceert een taak die beheerdersrechten vereist, Windows Vista geeft dit dialoogvenster vak te vragen om toestemming.

Als je draait als een standaard gebruiker en probeert een taak die beheerdersrechten vereist, Vista maakt gebruik van een extra niveau van bescherming. Dat is, in plaats van slechts waarin u wordt gevraagd om toestemming, wordt u gevraagd voor de geloofsbrieven van een beheerder. Als uw systeem beheerder meerdere accounts heeft, is een ieder die in dit dialoogvenster. Typ het wachtwoord voor een beheerdersaccount weergegeven, en klik op Verzenden. Nogmaals, als dit dialoogvenster verschijnt onverwacht, kan het malware, dus je moet op Annuleren klikt de taak om te voorkomen dat gaan through.When een standaard gebruiker start een taak die beheerdersrechten vereist, Windows Vista geeft dit dialoogvenster te vragen voor de administratieve geloofsbrieven.

Merk ook dat in beide gevallen schakelt over naar Windows Vista desktop veilige modus, wat betekent dat je niet kunt doen iets anders met Vista totdat u uw toestemming of referenties of annuleren van de operatie te geven. Vista geeft aan dat het beveiligd bureaublad door verduistering alles op het scherm behalve de User Account Control dialoogvenster.

Opmerking

User Account Control lijkt het verstandig aan de oppervlakte, maar Microsoft heeft niet altijd uitgevoerd in een verstandige manier. Bijvoorbeeld, soms wordt u gevraagd om tijdens de elevatie eenvoudige taken, zoals bestand deleties en hernoemt, of wanneer u het systeem datum of tijd. Dit heeft geleid tot een verzet tegen de User Account Control in sommige kringen, en ik ben sympathiek tot een punt (dus is Microsoft, die heeft beloofd om User Account Control tweak voor verzending van de definitieve Vista-code). Echter, alle mensen die klagen over User Account Control zijn beta testers die, per definitie, zijn de instellingen tweaken, het installeren van stuurprogramma's en programma's, en in het algemeen duwen Vista aan zijn grenzen. Natuurlijk kunt u gaan geraakt met veel UAC dialoogvensters onder deze voorwaarden. Echter, de gemiddelde gebruiker echt niet tweaken hun systeem zo vaak, dus ik denk dat UAC zal veel minder een probleem dan zijn critici suggereren.

Het is ook mogelijk om uw rechten te krijgen voor een individueel programma. U doet dit door met de rechtermuisknop te klikken op het programma bestand of de snelkoppeling en klik vervolgens op Uitvoeren als Administrator.

Opmerking

Je zou kunnen hebben oudere programma's die gewoon niet zal draaien onder Vista's User Account Control veiligheid model, omdat zij beheerdersrechten vereisen. Als u niet wilt geven een standaard gebruiker het wachtwoord van een beheerder, kunt u nog steeds in staat stellen de gebruiker om het programma te draaien. Zoek het uitvoerbare bestand van het programma, klik met de rechtermuisknop en klik vervolgens op Eigenschappen. In het eigenschappenvenster dat wordt weergegeven, geeft u het tabblad Compatibiliteit, activeer de optie Dit programma als Administrator inschakelen in en klik op OK. (U kunt dit ook doen met een snelkoppeling naar het uitvoerbare bestand. Vista kent de verhoogde voorrecht om het uitvoerbare en al zijn snelkoppelingen.) Vista draait dan een diagnostische test op het programma om de administratieve privileges zien vereist. Dit is een beveiligingsfunctie die ervoor zorgt dat het programma krijgt slechts het minimale aantal privileges die zij nodig heeft om goed te functioneren.


File and Registry Virtualization

U vraagt zich misschien af hoe veilig Windows Vista echt is als een standaard gebruiker programma's kunt installeren. Is dat niet zeggen dat ook malware kunnen installeren? NoVista implementeert een nieuw model voor de installatie veiligheid. In Vista, moet u beheerdersrechten om iets te schrijven naar de map% SystemRoot% (meestal C: \ Windows), het% ProgramFiles% map (meestal C: \ Program Files), en de griffie. Vista handgrepen dit voor normale gebruikers op twee manieren:

  • Tijdens een installatie van het programma, Vista vraagt eerst de gebruiker voor de geloofsbrieven. Als ze worden verricht, Vista geeft toestemming om het programma installateur te schrijven naar% SystemRoot%,% ProgramFiles%, en het register.

  • Als de gebruiker niet kan referenties verstrekken, Vista maakt gebruik van een techniek genaamd bestand en de Register-virtualisatie, die virtuele% SystemRoot% en% ProgramFiles% mappen creëert, en een virtuele registersleutel HKEY_LOCAL_MACHINE, die allemaal worden opgeslagen met bestanden van de gebruiker. Dit stelt de installateur om zonder gevaar te brengen werkelijke systeembestanden.

User Account Control Policies

U kunt de User Account Control tot op zekere hoogte met behulp van groepsbeleid. In de Lokale beveiligingsinstellingen snap-in (druk op Windows-logo + R, typ secpol.msc en klik op OK), open de Beveiligingsinstellingen, Lokaal beleid, veiligheid Opties tak. Hier vind je de zes beleidsterreinen die verband houden User Account Control:

  • User Account Control: Admin Approval Mode voor de ingebouwde Administrator-account Met dit beleid bepaalt of de Administrator-account valt onder User Account Control. Als u dit beleid inschakelt, wordt de Administrator-account behandeld als elke andere rekening in de groep Administrators en je moet op Doorgaan in de toestemming dialoogvenster wanneer Windows Vista vereist de goedkeuring voor een actie.

  • User Account Control: Gedrag van de Elevation Prompt voor Beheerders in Admin Approval Mode Met dit beleid wordt de prompt die verschijnt als een beheerder vereist verhoogde rechten. De standaardinstelling is Vragen om toestemming, wanneer de gebruiker klikt ofwel Doorgaan of Annuleren. U kunt ook kiezen voor de geloofsbrieven Vragen om de gebruiker te dwingen om type zijn of haar wachtwoord. Als u Nee kiest Prompt, beheerders kunnen niet verheffen hun privileges.

  • User Account Control: Gedrag van de Elevation Prompt voor Standard-gebruikers dit beleid wordt de prompt die verschijnt als een standaard gebruiker vereist verhoogde rechten. De standaardinstelling is Prompt voor Geloofsbrieven, om de gebruiker te dwingen om type een administrator wachtwoord. U kunt ook kiezen nr. Vragen om te voorkomen dat gebruikers standaard verheffen hun privileges.

  • User Account Control: Delete Toepassing Installeert en Prompt voor Elevation Gebruik dit beleid aan-of uitschakelen automatische voorrecht waterstand tijdens het installeren van programma's.

  • User Account Control: Run Alle Beheerders in Admin Approval Mode Gebruikers Gebruik dit beleid aan-of uitschakelen lopen beheerders (met uitzondering van de Administrator-account) als standaard gebruikers.

  • User Account Control: Alleen Elevate uitvoerbare bestanden die zijn ondertekend en gevalideerd Gebruik dit beleid aan-of uitschakelen of Vista controleert de veiligheid ondertekening van een programma dat vraagt om verhoogde rechten.

  • User Account Control: Switch naar de Secure Desktop Bij het vragen naar Elevation Gebruik dit beleid aan-of uitschakelen of Vista overschakelt naar het beveiligd bureaublad wanneer de elevatie prompts verschijnen.

  • User Account Control: virtualiseren van bestanden en griffie Schrijf mislukkingen te Per-User Locaties Gebruik dit beleid aan-of uitschakelen bestand en griffie virtualisatie voor standaard gebruikers

een artikel afkomstig van Emm Schmitt

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions