Kontrola používateľských účtov je pravdepodobne najviac podceňovanou a možno aj najne nenávidenejšou funkciou, ktorá debutovala vo Vista a stala sa súčasťou všetkých budúcich verzií Windows. Z väčšej časti, prúdu nenávisti, ktorý sa užívatelia dostanú do kontroly používateľských účtov, považujem to za nezaslúžené, pretože táto funkcia je skutočne užitočná. Úplne súhlasím s tým, že niekedy môže byť kontrola používateľských účtov (ďalej len „UAC“) veľmi nepríjemná, ale bola zavedená v systéme Windows na konkrétny účel. Nie, nezasahovať do používateľov, ale uľahčovať plynulý prechod zo štandardného (obmedzeného) účtu na účet správcu.
V tomto článku vám poviem, čo UAC je, ako to funguje, prečo je to potrebné a ako to nakonfigurovať. Nemám v úmysle vás poučiť, prečo by ste mali používať UAC, ale vypnutím tejto funkcie vás budem informovať iba o tom, čo strácate..
Trochu pozadia a informácií o účte
Ako by ste mali vedieť, Windows pracuje s takzvanými účtami. Existujú dva typy: administrátor a štandard (obmedzený).
Účet správcu poskytuje používateľovi úplný prístup ku všetkým funkciám operačného systému, t. používateľ môže robiť, čo chce. Používateľ štandardného účtu má obmedzené práva, a preto mu môžu byť povolené iba určité veci. Toto pravidlo sa spravidla týka iba aktuálneho používateľa. Napríklad: zmena tapety na pracovnej ploche, nastavenie myši, zmena zvukovej schémy atď. Všeobecne platí, že všetko, čo sa týka konkrétneho používateľa a nevzťahuje sa na celý systém, je k dispozícii na štandardnom účte. Pre všetko, čo môže ovplyvniť systém ako celok, potrebujete prístup správcu.
Jednou z úloh priradených k týmto účtom je ochrana pred škodlivým kódom. Všeobecnou myšlienkou je, že používateľ vykonáva normálnu prácu pod obmedzeným účtom a prepne na účet správcu iba vtedy, keď to vyžaduje akcia. Zdá sa, že malware, ktorý je paradoxný, nadobúda rovnakú úroveň práv, s akou sa používateľ prihlásil.
Vo Windows 2000 a Windows XP nie je vykonávanie operácií v mene administrátora dostatočne flexibilné, a preto práca pod obmedzeným účtom nebola príliš pohodlná. Jedným zo spôsobov, ako vykonať administratívnu akciu v týchto verziách systému, je nasledujúci: ukončiť obmedzený účet (alebo rýchlo prepnúť, ak sa použil systém Windows XP) -> zadať účet správcu -> vykonať akciu -> ukončiť účet správcu (alebo rýchlo prepnúť, ak použitý systém Windows XP) -> návrat na obmedzený účet.
Ďalšou možnosťou je použitie kontextovej ponuky a voľby „Spustiť ako iný používateľ“, ktorá otvorí okno, v ktorom musíte zadať príslušný účet správcu a heslo, aby ste mohli súbor spustiť ako správca. Je to pomerne rýchly spôsob, ako prejsť z jedného účtu na druhý, ale nevzťahuje sa na situáciu vyžadujúcu administratívne oprávnenie. Ďalším problémom pri tejto metóde je to, že účet správcu musí mať heslo, inak sa jeho vykonanie nepodarí.
Z tohto dôvodu bola kontrola používateľských kont zavedená v systéme Windows Vista a takmer zdokonalená v systéme Windows 7..
Čo je to UAC?
UAC je funkcia v systéme Windows Vista, 7, 8, 8.1 a 10, ktorej cieľom je zabezpečiť plynulý a bezproblémový prechod z obmedzeného prostredia na správcu, čím sa eliminuje potreba manuálneho spúšťania súborov s právami správcu alebo prepínania medzi účtami. Okrem toho je UAC ďalšou vrstvou ochrany, ktorá nevyžaduje takmer žiadne úsilie používateľa, ale môže zabrániť vážnemu poškodeniu..
Ako funguje UAC
Keď sa používateľ prihlási do svojho účtu, systém Windows vytvorí tzv. Token prístupu používateľa, ktorý obsahuje určité informácie o tomto účte a hlavne rôzne bezpečnostné identifikátory, ktoré operačný systém používa na riadenie prístupových schopností tohto účtu. Inými slovami, tento token je akýmsi osobným dokumentom (napríklad cestovný pas). Platí to pre všetky verzie systému Windows založené na jadre NT: NT, 2000, XP, Vista, 7, 8 a 10.
Keď sa užívateľ prihlási do štandardného účtu (obmedzené), vytvorí sa štandardný token používateľa s obmedzenými právami. Keď sa užívateľ prihlási do účtu správcu, takzvaný token správcu s úplným prístupom. Je to logické.
Avšak v systéme Windows Vista, 7, 8 a 10, ak je povolený UAC a používateľ je prihlásený k účtu správcu, systém Windows vytvorí dva tokeny. Správca zostáva na pozadí, zatiaľ čo štandardný sa používa na spustenie programu Explorer.exe. To znamená, že Explorer.exe začína obmedzenými právami. V tomto prípade sa všetky procesy spustené po tomto stanú čiastkovými procesmi programu Explorer.exe s dedenými obmedzenými oprávneniami hlavného procesu. Ak proces vyžaduje administrátorské práva, vyžaduje token administrátora a systém Windows následne požiada o povolenie používateľa na poskytnutie tohto tokenu procesu vo forme špeciálneho dialógového okna..
Toto dialógové okno obsahuje tzv. Zabezpečenú pracovnú plochu, ku ktorej má prístup iba operačný systém. Vyzerá to ako tmavá snímka skutočnej pracovnej plochy a obsahuje iba okno na potvrdenie práv správcu a prípadne aj jazykovú lištu (ak je aktivovaných viac ako jeden jazyk)..
Ak používateľ nesúhlasí a klikne na „Nie“, Windows odmietne proces v tokene správcu. A ak súhlasí a vyberie „Áno“, operačný systém poskytne procesu potrebné privilégiá, a to token správcu..
Ak proces už beží so zníženými právami, bude reštartovaný so zvýšenými právami (administrátor). Proces nemôže byť priamo degradovaný alebo upgradovaný. Po spustení procesu jedným tokenom nebude môcť získať ďalšie práva, kým sa nezačne znova s novými právami. Príkladom je Správca úloh, ktorý vždy začína obmedzenými právami. Ak kliknete na tlačidlo Zobraziť procesy všetkých používateľov, Správca úloh sa zatvorí a reštartuje, avšak s právami správcu.
Pri použití štandardného účtu UAC požiada o konkrétny účet správcu a zadá heslo:
Ako UAC chráni užívateľa
Samotný UAC neposkytuje veľkú ochranu. Uľahčuje to iba prechod z obmedzeného prostredia do prostredia správcu. Správnejšie vyjadrenie otázky je teda toto: ako obmedzuje obmedzený účet používateľa. V rámci obmedzeného užívateľského profilu nemajú procesy prístup k určitým systémovým zónam:
- oblasť hlavného disku;
- priečinky používateľov iných používateľov v priečinku \ Users \;
- Priečinok Program Files;
- Priečinok Windows a všetky jeho podpriečinky;
- časti iných účtov v systémovom registri
- HKEY_LOCAL_MACHINE v systémovom registri.
Akýkoľvek proces (alebo škodlivý kód) bez práv správcu nemôže preniknúť hlboko do systému bez prístupu k potrebným zložkám a kľúčom registra, a preto nemôže vážne poškodiť systém..
Môže UAC rušiť staršie programy, ktoré nie sú oficiálne kompatibilné so systémom Vista / 7/8/10
Nemalo by. Ak je povolený UAC, je povolená aj virtualizácia. Niektoré staré a / alebo jednoducho neopatrne napísané programy nepoužívajú správne priečinky na ukladanie svojich súborov (nastavenia, denníky atď.). Správne priečinky sú priečinky v adresári AppData, ktoré má každý účet a kde každý program môže vytvoriť priečinok na ukladanie všetkého, čo chce..
Niektoré programy sa snažia uložiť svoje súbory do priečinkov Program Files a / alebo Windows. Ak sa program spustí s právami správcu, nebude to problém. Ak je však program spustený s obmedzenými povoleniami, nebude schopný vykonať zmeny súborov / priečinkov v programových súboroch a / alebo Windows. Operačný systém jej to jednoducho nedovolí..
Aby sa predišlo problémom s týmito programami, systém Windows ponúka virtualizáciu priečinkov a kľúčov registra, ku ktorým programy s obmedzenými právami v zásade nemajú prístup. Keď sa takýto program pokúsi vytvoriť súbor v chránenom priečinku, operačný systém ho presmeruje do špeciálneho priečinka VirtualStore, ktorý sa nachádza v X: \ Users \\ AppData \ Local \ (kde X: je systémový oddiel, zvyčajne C :). tj Očami samotného programu je všetko v poriadku. Neskladá prekážky a je presvedčená, že vytvára súbory / priečinky presne tam, kde chce. VirtualStore zvyčajne obsahuje podpriečinky Program Files a Windows. Tu je snímka obrazovky Program Files v mojom priečinku VirtualStore:
A to, čo je v priečinku SopCast, napríklad:
tj Ak by bol UAC zastavený alebo by sa program vždy spúšťal s oprávneniami správcu, tieto súbory / priečinky by sa vytvorili v C: \ Program Files \ SopCast. V systéme Windows XP by sa tieto súbory a priečinky vytvorili bez problémov, pretože v nich majú všetky programy predvolene práva správcu.
Vývojári by to, samozrejme, nemali považovať za trvalé riešenie. Zodpovednosťou každého autora je vytvoriť softvér, ktorý je plne kompatibilný s aktuálnymi operačnými systémami.
Dialógy UAC
Možno ste si všimli, že existujú iba tri rôzne dialógy UAC. Tu sa pozrieme na tie vo Windows 7, 8.xa 10. Vo Vista sú dialógy trochu odlišné, ale nebudeme sa nad nimi zdržiavať..
Prvý typ okna má v hornej časti tmavo modrý pruh a ikonu v tvare štítu v ľavom hornom rohu, ktorá je rozdelená na 2 modré a 2 žlté časti. Toto okno sa objaví, keď sa vyžaduje potvrdenie pre proces s digitálnym podpisom, ktorý patrí k operačnému systému - tzv Windows binárne súbory. O nich sa budeme baviť nižšie..
Druhý typ okna je tiež s tmavo modrou stuhou, ale ikona štítu je úplne modrá a s otáznikom. Toto okno sa objaví, keď sa vyžaduje potvrdenie pre digitálne podpísaný proces, ale proces / súbor nepatrí do operačného systému..
Tretie okno je zdobené oranžovým pruhom, štít je tiež oranžový, ale s výkričníkom. Toto dialógové okno sa zobrazí, keď sa vyžaduje potvrdenie pre proces bez digitálneho podpisu..
Nastavenia UAC
Nastavenia riadenia účtu (prevádzkové režimy) sa nachádzajú v systéme Windows 7 Ovládací panel -> Systém a zabezpečenie -> Zmena nastavení kontroly účtu. Existujú 4 z nich:
Vždy upozorniť na najvyššiu úroveň. Tento režim zodpovedá spôsobu fungovania UAC v systéme Windows Vista. V tomto režime systém vždy vyžaduje potvrdenie správcovských práv bez ohľadu na postup a to, čo vyžaduje.
Druhá úroveň sa predvolene používa v systéme Windows 7, 8.xa 10. V tomto režime systém Windows nezobrazuje okno UAC, pokiaľ ide o tzv. Binárne súbory systému Windows. tj ak súbor / proces, ktorý vyžaduje administrátorské práva, spĺňa nasledujúce 3 podmienky, operačný systém im ich poskytne automaticky bez potvrdenia od používateľa:
- súbor má manifest (vstavaný alebo ako samostatný súbor), ktorý označuje automatické zvýšenie práv;
- súbor sa nachádza v priečinku Windows (alebo v ktoromkoľvek z jeho podpriečinkov);
- súbor podpísaný platným digitálnym podpisom systému Windows.
Tretí režim je rovnaký ako druhý (predchádzajúci), ale s tým rozdielom, že nepoužíva zabezpečenú pracovnú plochu. To znamená, že obrazovka nestmavne a dialógové okno UAC sa zobrazí ako akékoľvek iné. Spoločnosť Microsoft neodporúča používať túto možnosť, ale prečo - vysvetlím to neskôr.
Neoznámte mi, je štvrtá a posledná úroveň. V skutočnosti to znamená úplne zakázať UAC.
Je vhodné tu uviesť dve poznámky:
- Digitálny podpis Windows je špecifický pre operačný systém. Hovorím to preto, lebo existujú súbory, ktoré spoločnosť Microsoft digitálne podpísala. Jedná sa o dva samostatné podpisy, pričom UAC rozpoznáva iba digitálny podpis Windows, pretože slúži ako dôkaz, že súbor nie je iba od spoločnosti Microsoft, ale je tiež súčasťou operačného systému..
- Nie všetky súbory Windows majú manifest, ktorý automaticky zvyšuje oprávnenie. Existujú súbory, ktoré sú zámerne zbavené tohto. Napríklad regedit.exe a cmd.exe. Je zrejmé, že druhý sa automaticky neaktualizuje, pretože sa často používa na spustenie ďalších procesov, a ako už bolo uvedené, každý nový proces dedí práva procesu, ktorý ho spustil. To znamená, že každý mohol použiť príkazový riadok na bezproblémové spustenie ľubovoľného procesu s oprávneniami správcu. Našťastie Microsoft nie je hlúpy.
Prečo je dôležité používať zabezpečenú pracovnú plochu
Bezpečná pracovná plocha zabraňuje možnému rušeniu a rušeniu inými procesmi. Ako už bolo spomenuté, prístup k nemu má iba operačný systém a prijíma od neho iba základné príkazy, tj stlačením tlačidla „Áno“ alebo „Nie“.
Ak nepoužívate zabezpečenú plochu, môže útočník simulovať okno UAC, aby vás oklamal a spustil váš škodlivý súbor ako správca..
Kedy potrebujete práva správcu? Keď sa zobrazí okno UAC?
Všeobecne existujú tri prípady, keď UAC pristupuje k používateľovi:
- pri zmene nastavení systému (iného ako používateľ), hoci v skutočnosti sa to týka iba maximálnej úrovne UAC;
- pri inštalácii alebo odstránení programu / ovládača;
- keď aplikácia / proces vyžaduje oprávnenia správcu na vykonanie zmien systémových súborov / priečinkov alebo kľúčov registra.
Prečo je dôležité nezakazovať UAC
Kontrola používateľských účtov poskytuje vysokú úroveň ochrany a na oplátku nevyžaduje prakticky nič. To znamená, že účinnosť UAC je veľmi vysoká. Nerozumiem, prečo je to pre ľudí také nepríjemné. Pri každodennej práci vidí priemerný používateľ okno UAC 1-2 krát denne. Možno aj 0. To je toľko?
Priemerný užívateľ zriedka zmení nastavenia systému a keď sa tak stane, UAC sa neobťažuje so svojimi otázkami, ak pracuje s predvolenými nastaveniami..
Priemerný užívateľ neinštaluje ovládače a programy každý deň. Všetky ovládače a väčšina potrebných programov sa nainštalujú raz - po inštalácii systému Windows. To znamená, že ide o hlavné percento žiadostí UAC. Potom UAC zasiahne iba počas aktualizácie, nové verzie programov sa však každý deň neuvádzajú, nehovoriac o ovládačoch. Mnohé navyše neaktualizujú programy ani ovládače vôbec, čo ďalej znižuje problémy UAC..
Len veľmi málo programov potrebuje administrátorské práva, aby mohli vykonávať svoju prácu. Ide najmä o defragmentátory, nástroje na čistenie a optimalizáciu, niektoré diagnostické programy (AIDA64, HWMonitor, SpeedFan, atď.) A systémové nastavenia (napríklad Process Explorer a Autoruns, ale iba ak potrebujete vykonať niečo konkrétne - napríklad zakázať ovládač / služba alebo program začínajúci na Windows). A to všetko sú programy, ktoré sa nemôžu použiť vôbec alebo v zriedkavých prípadoch. Všetky často používané aplikácie pracujú s UAC úplne normálne a nepýtajú sa:
- multimediálne prehrávače (audio a / alebo video);
- video / audio prevodníky;
- Softvér na spracovanie obrazu / videa / zvuku;
- programy na snímanie snímok obrazovky alebo videozáznamov na pracovnej ploche;
- programy na prezeranie obrazov;
- Webové prehliadače
- sťahovače súborov (manažéri sťahovania a klienti P2P sietí);
- FTP klienti
- instant messenger alebo programy pre hlasovú / video komunikáciu;
- programy na napaľovanie diskov;
- archívov;
- textové editory;
- Čítačky PDF
- virtuálne stroje;
- a ďalšie.
Okno UAC neaktivuje ani inštalácia aktualizácií systému Windows.
Existujú ľudia, ktorí sú ochotní venovať 1 - 2 alebo viac minút denne na "optimalizáciu" systému pomocou niektorých krivo napísaných programov, ktoré nerobia nič užitočné, ale nie sú pripravení stráviť pár sekúnd denne odpovedaním na žiadosti UAC..
Rôzne výroky ako „Som skúsený používateľ a viem, ako sa chrániť“ nestačí, pretože nikto nie je poistený a výsledok určitých situácií nie je vždy závislý od používateľa. Okrem toho majú ľudia tendenciu robiť chyby, a to sa stáva každému.
Dovoľte mi uviesť jeden príklad: predpokladajme, že používate program, ktorý má zraniteľné miesta, a jedného dňa budete na stránkach, ktoré tieto zraniteľné miesta používajú. Ak je povolená kontrola používateľov a program pracuje s obmedzenými právami, útočník nebude schopný robiť veľa problémov. V opačnom prípade môže byť poškodenie systému kolosálne..
A to je len jeden z mnohých príkladov..
Spúšťanie aplikácií v systéme Windows ako správca
Predpokladám, že môžu existovať používatelia, ktorí vypínajú UAC len preto, aby mohli spúšťať programy so systémom Windows as oprávneniami správcu. To nie je možné obvyklým spôsobom, pretože UAC nemôže poslať žiadosť používateľovi, kým sa nenačíta pracovná plocha. Existuje však spôsob, ako môžete nechať UAC zapnuté. Tu je to:
- otvorený Plánovač úloh;
- lis Vytvorte úlohu;
- v teréne Krstné meno zadajte niečo, ako chcete, a v dolnej časti okna túto možnosť povoľte Vystupujte s najvyššími právami;
- prejdite na kartu spúšťače a kliknite na tlačidlo OK vytvoriť;
- v rozbaľovacej ponuke v hornej časti vyberte položku Pri prihlásení; Ak chcete vytvoriť úlohu pre konkrétneho používateľa, vyberte možnosť užívateľ, a potom kliknite na tlačidlo OK Zmeniť používateľa; zadajte meno používateľa a potvrďte stlačením OK;
- prejdite na kartu akcie a kliknite na tlačidlo OK vytvoriť;
- lis Prehľad, uveďte príslušnú žiadosť a potvrďte svoj výber;
- prejdite na kartu podmienky a vypnite možnosť Beží iba pri napájaní zo siete;
- na karte parametre zakážte možnosť Zastaviť dlhší beh úlohy;
- potvrďte pomocou OK.
Hotovo. Úloha bola pridaná, takže sa teraz aplikácia automaticky načíta s oprávneniami správcu. Tu je však jeden malý problém: všetky takéto úlohy sa vykonávajú s prioritou nižšou ako je obvyklé - pod normálne. Ak vám to vyhovuje, potom je všetko v poriadku. Ak nie, potom musíte pracovať trochu viac:
- beh Plánovač úloh, ak ste ju už zatvorili;
- vybrať Knižnica plánovača úloh;
- označte svoju úlohu, kliknite vývoz a uložte ho vo formáte .xml;
- otvorte súbor .xml v textovom editore;
- nájsť sekciu 7, ktorý by mal byť na konci súboru a zmeniť sedem (7) medzi úvodnou a záverečnou značkou na päť (5);
- uložte súbor;
- v Plánovači úloh znova zvýraznite svoju úlohu a kliknite na delete a potvrďte vymazanie;
- teraz kliknite Importovať úlohu, špecifikujte práve uložený súbor a kliknite na OK.
To je všetko. Je na vás, aby ste sa rozhodli, či použijete UAC alebo nie, ale je veľmi dôležité vedieť, čo stratíte, keď vypnete túto funkciu, a aby ste si boli vedomí rizík. Ďakujem za pozornosť.!
Prajem pekný deň!