A felhasználói fiókok ellenőrzése valószínűleg a leginkább alábecsült és talán a leggyűlöltebb szolgáltatás is, amely a Vistában debütált, és a Windows minden jövőbeli verziójának részévé vált. Leginkább a gyűlöletáramot, amelyet a felhasználók a felhasználói fiókok ellenőrzésére terjesztenek, szerintem érdemtelennek találom, mivel a funkció valóban hasznos. Teljesen egyetértek azzal, hogy a felhasználói fiókok ellenőrzése (a továbbiakban egyszerűen UAC) nagyon bosszantó lehet, ám a Windows rendszerben egy meghatározott célra vezették be. Nem, hogy ne zavarja a felhasználókat, hanem megkönnyíti a zökkenőmentes átmenetet a szokásos (korlátozott) fiókokról rendszergazdai fiókokra.
Ebben a cikkben elmondom, mi az UAC, hogyan működik, miért van rá szükség, és hogyan kell azt konfigurálni. Nem szándékomban áll arra utasítani, hogy miért érdemes használni az UAC-t, de csak arról fog tájékoztatni, hogy mi veszít e funkció letiltásával..
Egy kis háttér- és számlainformáció
Mint tudnia kellene, a Windows úgynevezett fiókokkal működik. Kétféle: adminisztrátor és standard (korlátozott).
Az adminisztrátori fiók teljes hozzáférést biztosít a felhasználó számára az operációs rendszer összes funkciójához, azaz a felhasználó bármit megtehet, amit akar. A szokásos fiók felhasználójának korlátozott joga van, ezért csak bizonyos dolgok engedélyezettek neki. Ez általában csak az aktuális felhasználót érinti. Például: a háttérkép megváltoztatása az asztalon, az egér beállításai, a hangrendszer megváltoztatása stb. Általában minden, ami egy adott felhasználót érinti és nem vonatkozik a teljes rendszerre, egy standard fiókban elérhető. Mindent, ami a rendszer egészét befolyásolhatja, rendszergazdai hozzáférésre van szüksége.
A fiókokhoz rendelt egyik feladat a kártékony kód elleni védelem. Az általános elképzelés az, hogy a felhasználó szokásos munkát végez korlátozott fiók alatt, és csak akkor vált az adminisztrátor fiókra, amikor a cselekvés megköveteli. Paradox dolog, aminek látszik, a rosszindulatú program ugyanolyan szintű jogokat szerez, mint amelyekkel a felhasználó bejelentkezett.
Windows 2000 és Windows XP esetén a rendszergazda nevében végzett műveletek nem elég rugalmasak, ezért a korlátozott fiók alatt végzett munka nem volt nagyon kényelmes. Az adminisztrációs művelet végrehajtásának egyik módja a rendszer ezen verzióiban a következő: lépjen ki a korlátozott fiókból (vagy váltson gyorsan, ha Windows XP-t használt) -> adja meg az adminisztrátori fiókot -> hajtson végre egy műveletet -> lépjen ki az adminisztrátori fiókból (vagy váltson gyorsan, ha használt Windows XP) -> visszatérés korlátozott fiókhoz.
Másik lehetőség a helyi menü és a „Futtatás másik felhasználóként” opció használata, amely megnyit egy ablakot, amelyben meg kell adnia a megfelelő rendszergazdai fiókot és jelszót a fájl rendszergazdaként történő futtatásához. Ez egy meglehetősen gyors módszer az egyik fiókról a másikra történő váltáshoz, de nem alkalmazható olyan helyzetekben, amelyek adminisztratív jogosultságokat igényelnek. Egy másik probléma ezzel a módszerrel az, hogy az adminisztrátori fióknak jelszóval kell rendelkeznie, különben a végrehajtás nem sikerül.
Ezért vezették be a felhasználói fiókok ellenőrzését a Windows Vistában, és szinte tökéletesítették a Windows 7 rendszerben..
Mi az UAC?
Az UAC egy olyan szolgáltatás a Windows Vista, 7, 8, 8.1 és 10 verziójában, amelynek célja, hogy a korlátozott környezetről az adminisztrátorra való áttérést zavartalan és problémamentessé tegye, kiküszöbölve azt, hogy manuálisan kell fájlokat futtatni rendszergazdai jogokkal, vagy váltani a fiókok között. Ezenkívül az UAC egy kiegészítő védelmi réteg, amely szinte semmilyen felhasználói erőfeszítést nem igényel, de megakadályozza a súlyos károkat..
Hogyan működik az UAC
Amikor a felhasználó bejelentkezik a fiókjába, a Windows létrehoz egy úgynevezett felhasználói hozzáférési jogkivonatot, amely bizonyos információkat tartalmaz erről a fiókról, és főleg különféle biztonsági azonosítókat, amelyeket az operációs rendszer használ a fiók hozzáférési képességeinek ellenőrzésére. Más szavakkal, ez a token egyfajta személyes dokumentum (például például útlevél). Ez vonatkozik a Windows összes verziójára, amely az NT kernelre épül: NT, 2000, XP, Vista, 7, 8 és 10.
Amikor a felhasználó bejelentkezik egy szokásos (korlátozott) fiókba, akkor létrejön egy korlátozott jogokkal rendelkező felhasználói felhasználói token. Amikor a felhasználó bejelentkezik az adminisztrátori fiókba, úgynevezett rendszergazda token teljes hozzáféréssel. Logikus.
Windows Vista, 7, 8 és 10 esetén azonban, ha az UAC engedélyezve van, és a felhasználó be van jelentkezve az adminisztrátori fiókba, a Windows két tokent hoz létre. Az adminisztrátor a háttérben marad, míg a szokásosat az Explorer.exe indításához használják. Vagyis az Explorer.exe korlátozott jogokkal indul. Ebben az esetben az ezt követően indított összes folyamat az Explorer.exe alfolyamataivá válik a fő folyamat örökölt korlátozott jogosultságaival. Ha egy folyamat adminisztrátori jogokat igényel, akkor rendszergazdai jogkivonatot kér, és a Windows viszont felhasználói engedélyt kér, hogy ezt a jogkivonatot speciális párbeszédpanel formájában biztosítsa a folyamathoz..
Ez a párbeszédpanel tartalmazza az úgynevezett biztonságos asztalot, amelyhez csak az operációs rendszer fér hozzá. Úgy néz ki, mint egy valódi asztal sötétített pillanatképe, és csak egy ablakot tartalmaz a rendszergazdai jogok megerősítésére, és esetleg egy nyelvsávot (ha egynél több nyelv van aktiválva).
Ha a felhasználó nem ért egyet és rákattint a "Nem" -re, a Windows megtagadja a folyamatot az adminisztrátori tokenben. És ha elfogadja és kiválasztja az "Igen" lehetőséget, akkor az operációs rendszer biztosítja a folyamathoz a szükséges privilégiumokat, nevezetesen az adminisztrátor tokent.
Ha a folyamat már fut korlátozott jogokkal, akkor újraindul azokkal, akik megemelkedtek (rendszergazda). A folyamatokat nem lehet közvetlenül „leminősíteni” vagy „frissíteni”. Miután a folyamatot egy zsetonnal elindították, addig nem kaphat további jogokat, amíg új jogokkal nem indítja újra. Példa erre a Feladatkezelő, amely mindig korlátozott jogokkal kezdődik. Ha rákattint a "Minden felhasználó megjelenítési folyamatai" gombra, a Feladatkezelő bezáródik és újraindul, de rendszergazdai jogokkal.
Normál fiók használata esetén az UAC egy speciális rendszergazdai fiókot kér, és adja meg a jelszót:
Hogyan védi az UAC a felhasználót?
Az UAC önmagában nem nyújt sok védelmet. Csak megkönnyíti az áttérést a korlátozott környezetből az adminisztrátorok környezetére. Tehát a kérdés helyesebb kijelentése tehát a következő: hogyan akadályozza a korlátozott számla a felhasználót. Korlátozott felhasználói profil alatt a folyamatok nem férhetnek hozzá bizonyos rendszerzónákhoz:
- fő lemezpartíció;
- más felhasználók felhasználói mappái a \ Users \ mappában;
- Program Files mappa;
- Windows mappa és minden almappája;
- a rendszerleíró adatbázis többi fiókjának szakaszai
- HKEY_LOCAL_MACHINE szakasz a rendszerleíró adatbázisban.
A rendszergazdai jogok nélküli bármely folyamat (vagy rosszindulatú kód) nem juthat be mélyen a rendszerbe a szükséges mappákhoz és a rendszerleíró kulcsokhoz való hozzáférés nélkül, és ezért nem okozhat súlyos kárt a rendszerben.
Az UAC zavarhatja azokat a régebbi programokat, amelyek hivatalosan nem kompatibilisek a Vista / 7/8/10-rel
Nem kellene. Ha az UAC engedélyezve van, akkor a virtualizáció is engedélyezve van. Néhány régi és / vagy egyszerűen gondatlanul írt program nem a megfelelő mappákat használja a fájlok tárolására (beállítások, naplók stb.). A helyes mappák az AppData könyvtár mappái, amelyek minden fiókkal rendelkeznek, és ahol minden program létrehozhat egy mappát, hogy mindent tároljon, amit akar.
Egyes programok megpróbálják fájljaikat a Program Files és / vagy Windows fájlokba menteni. Ha a program rendszergazdai jogokkal indul, akkor ez nem jelent problémát. Ha azonban a program korlátozott engedélyekkel fut, akkor nem lesz képes módosítani a Program Files és / vagy Windows fájlokat / mappákat. Az operációs rendszer egyszerűen nem engedi neki..
Az ilyen programokkal kapcsolatos problémák elkerülése érdekében a Windows olyan mappák és regisztrációs kulcsok virtualizálását kínálja, amelyekhez a korlátozott jogokkal rendelkező programok alapvetően nem férnek hozzá. Amikor egy ilyen program megpróbálja létrehozni egy fájlt egy védett mappában, az operációs rendszer egy speciális VirtualStore mappába irányítja, amely a következő helyen található: X: \ Felhasználók \\ AppData \ Helyi \ (ahol X: a rendszerpartíció, általában C :). Ie Maga a program szemében minden rendben van. Nem találkozik akadályokkal, és úgy véli, hogy fájlokat / mappákat hoz létre pontosan ott, ahol akar. A VirtualStore általában a Program Files és a Windows almappáit tartalmazza. Itt található a képernyőfotók a VirtualStore mappában lévő programfájlokról:
És itt van például a SopCast mappában:
Ie Ha az UAC le lett állítva, vagy a program mindig rendszergazdai jogosultságokkal indul, akkor ezek a fájlok / mappák a C: \ Program Files \ SopCast mappában készülnek. Windows XP esetén ezeket a fájlokat és mappákat probléma nélkül hoznák létre, mert abban minden program alapértelmezés szerint rendszergazdai jogokkal rendelkezik.
Ezt a fejlesztőknek természetesen nem szabad állandó megoldásnak tekinteni. Az egyes szerzők felelőssége olyan szoftver létrehozása, amely teljes mértékben kompatibilis a jelenlegi operációs rendszerekkel.
UAC párbeszédek
Lehet, hogy észrevette, hogy csak három különböző UAC párbeszéd van. Itt a Windows 7, 8.x és 10 verzióit vizsgáljuk meg. Vista-ban a párbeszédablakok némileg különböznek egymástól, de nem fogunk velük foglalkozni..
Az első típusú ablak felső részén sötétkék csíkkal, a bal felső sarokban pedig pajzs alakú ikon található, amely 2 kék és 2 sárga részre van osztva. Ez az ablak akkor jelenik meg, amikor az operációs rendszerhez tartozó digitális aláírással történő folyamat megerősítéséhez szükség van - az úgynevezett Windows bináris fájlok. Az alábbiakban beszélünk róluk..
A második típusú ablak szintén sötétkék szalaggal van ellátva, de a pajzs ikon teljesen kék és kérdőjelrel van ellátva. Ez az ablak akkor jelenik meg, ha a digitálisan aláírt folyamathoz megerősítés szükséges, de a folyamat / fájl nem tartozik az operációs rendszerhez..
A harmadik ablakot narancssárga csík díszíti, a pajzs szintén narancssárga, de felkiáltójellel. Ez a párbeszédpanel akkor jelenik meg, ha megerősítésre van szükség egy digitális aláírás nélküli folyamathoz..
UAC beállítások
A fiókkezelési beállítások (üzemmódok) itt találhatók Vezérlőpult -> Rendszer és biztonság -> Fiókkezelési beállítások módosítása. Ezek közül 4 van:
Mindig értesítse a legmagasabb szintet. Ez a mód megegyezik azzal, ahogyan az UAC működik a Windows Vista rendszerben. Ebben a módban a rendszer mindig megköveteli a rendszergazdai jogok megerősítését, függetlenül a folyamatotól és az igényeitől.
A második szintet alapértelmezés szerint használja a Windows 7, 8.x és 10. A Windows nem jeleníti meg az UAC ablakot az úgynevezett Windows bináris fájlok esetén. Ie ha egy fájl / folyamat, amelyhez rendszergazdai jogokat igényel, megfelel a következő 3 feltételnek, az operációs rendszer automatikusan megadja nekik, a felhasználó megerősítése nélkül:
- a fájlnak van egy manifeszt (beépített vagy különálló fájlként), amely jelzi a jogok automatikus megemelését;
- a fájl a Windows mappában (vagy annak almappáiban) található;
- fájl érvényes Windows digitális aláírással aláírva.
A harmadik mód ugyanaz, mint a második (előző), azzal a különbséggel, hogy nem használ biztonságos asztali számítógépet. Vagyis a képernyő nem elsötétül, és az UAC párbeszédpanel megjelenik, mint bármely más. A Microsoft nem javasolja ennek a lehetőségnek a használatát, de miért - magyarázom később.
Ne értesítsen nekem a negyedik és az utolsó szint. Valójában ez azt jelenti, hogy teljesen letiltják az UAC-t.
Helyénvaló két észrevételt tenni itt:
- A Windows digitális aláírása az operációs rendszerre jellemző. Ezt mondom, mert vannak fájlok, amelyeket a Microsoft digitális aláírással írt alá. Ez két különálló aláírás, az UAC csak a Windows digitális aláírását ismeri fel, mivel bizonyítékként szolgál arra, hogy a fájl nem csak a Microsoft-tól származik, hanem az operációs rendszer részét is képezi.
- Nem minden Windows-fájl rendelkezik manifesztummal a jogosultságok automatikus megemelésére. Vannak olyan fájlok, amelyek szándékosan nem rendelkeznek ezzel. Például a regedit.exe és a cmd.exe. Nyilvánvaló, hogy a másodikt nem frissítjük automatikusan, mivel gyakran más folyamatok indítására használják, és ahogy már említettük, minden új folyamat örököli annak a folyamatnak a jogait, amely azt elindította. Ez azt jelenti, hogy mindenki felhasználhatja a parancssort a folyamatok zökkenőmentes indításához rendszergazdai jogosultságokkal. Szerencsére a Microsoft nem hülye.
Miért fontos a biztonságos asztal használata?
A biztonságos asztali munka megakadályozza az esetleges interferenciákat és más folyamatok okozta zavarásokat. Mint fentebb említettük, csak az operációs rendszer fér hozzá, és ezzel csak az alapvető parancsokat fogadja el a felhasználótól, azaz az "Igen" vagy a "Nem" gomb megnyomásával.
Ha nem biztonságos asztali számítógépet használ, a támadó szimulálhat egy UAC ablakot, hogy megtévesszen, és a rosszindulatú fájlt rendszergazdaként futtassa..
Mikor van szüksége rendszergazdai jogokra? Amikor megjelenik az UAC ablak?
Általában három esetben az UAC hozzáfér a felhasználóhoz:
- a rendszer (nem felhasználói) beállítások megváltoztatásakor, bár valójában ez csak az UAC maximális szintjére vonatkozik;
- program / illesztőprogram telepítésekor vagy eltávolításakor;
- amikor egy alkalmazás / folyamat rendszergazdai jogokat igényel a rendszerfájlok / mappák vagy a rendszerleíró kulcsok módosításához.
Miért fontos, hogy ne tiltsa le az UAC-t
A felhasználói fiókok ellenőrzése magas szintű védelmet nyújt, és cserébe gyakorlatilag semmit sem igényel. Vagyis az UAC hatékonysága nagyon magas. Nem értem, miért olyan idegesítő az emberek számára. A mindennapi munkában az átlagos felhasználó napi 1-2 alkalommal látja az UAC ablakot. Talán még 0. Ez annyira?
Az átlagos felhasználó ritkán változtatja meg a rendszerbeállításokat, és amikor ezt megteszi, az UAC nem zavarja a kérdéseit, ha az alapértelmezett beállításokkal dolgozik..
Az átlagos felhasználó nem telepít minden nap illesztőprogramokat és programokat. Az összes illesztőprogram és a legtöbb szükséges program egyszer telepítve van - a Windows telepítése után. Vagyis ez az UAC-kérelmek fő százaléka. Ezt követően az UAC csak a frissítés közben beavatkozik, azonban a programok új verzióit nem adják ki minden nap, az illesztőprogramokról nem is beszélve. Sőt, sokan egyáltalán nem frissítik a programokat vagy az illesztőprogramokat, ami tovább csökkenti az UAC problémákat..
Nagyon kevés programnak van szüksége rendszergazdai jogokra a munkájuk elvégzéséhez. Ezek elsősorban a töredezettségmentesítők, tisztító és optimalizáló eszközök, egyes diagnosztikai programok (AIDA64, HWMonitor, SpeedFan stb.) És rendszerbeállítások (például a Process Explorer és az Autoruns, de csak akkor, ha valami konkrét feladatot kell elvégezni - mondjuk, le kell tiltani az illesztőprogramot) / szolgáltatás vagy egy Windows rendszerrel kezdődő program). És ezek mind olyan programok, amelyeket vagy egyáltalán nem lehet használni, vagy ritkán. Az összes gyakran használt alkalmazás teljesen normál módon működik az UAC-val, és nem tesz fel kérdéseket:
- multimédia lejátszók (audio és / vagy videó);
- video / audio konverterek;
- képfeldolgozó / video / audio szoftver;
- programok asztali képernyőképek vagy videofelvételek rögzítésére;
- képek megtekintésére szolgáló programok;
- Webböngészők
- letöltött fájlok (a P2P hálózatok letöltési kezelői és kliensei);
- FTP ügyfelek
- azonnali üzenetküldők vagy programok hang- / videokommunikációhoz;
- programok lemezek írására;
- archiváló;
- szövegszerkesztők;
- PDF olvasók
- virtuális gépek;
- és mások.
Még a Windows frissítéseinek telepítése sem aktiválja az UAC ablakot.
Vannak olyan emberek, akik hajlandók naponta 1-2 vagy több percet adományozni a rendszer "optimalizálására" olyan görbe módon írt programokkal, amelyek nem tesznek semmi hasznosat, de nem hajlandóak napi néhány másodpercet eltölteni az UAC kérések megválaszolására..
Különböző állítások, mint például „tapasztalt felhasználó vagyok, és tudom, hogyan kell megvédeni magam”, nem elégségesek, mert senki sem biztosított, és bizonyos helyzetek kimenetele nem mindig függ a felhasználótól. Sőt, az emberek hajlamosak hibákat tenni, mindenkinek megtörténik.
Hadd mondjak egy példát: Tegyük fel, hogy olyan programot használ, amelynek sebezhetősége van, és egy nap olyan webhelyen lesz, ahol ezeket a biztonsági réseket használja. Ha a felhasználói vezérlés engedélyezve van, és a program korlátozott jogokkal működik, a támadó nem fog sok problémát megtenni. Ellenkező esetben a rendszer károsodása óriási lehet..
És ez csak egy a sok példa közül..
Alkalmazások futtatása Windows rendszergazdaként
Feltételezem, hogy vannak olyan felhasználók, akik kikapcsolják az UAC-ot, csak azért, hogy a Windows és a rendszergazdai jogokkal programokat futtassanak. Ez a szokásos módon nem lehetséges, mivel az UAC nem küldhet kérést a felhasználónak, amíg az asztal betöltődik. Van azonban módja annak, hogy hagyja az UAC engedélyezve. Itt van:
- nyílt Feladat ütemező;
- sajtó Hozzon létre feladatot;
- a mezőn Keresztnév írjon be valamit, ahogy tetszik, és az ablak alján engedélyezze az opciót Végezzen el a legmagasabb jogokkal;
- lépjen a lapra kiváltó és kattintson a gombra teremt;
- válassza ki a tetején lévő legördülő menüből Bejelentkezéskor; Ha egy adott felhasználó számára feladatot szeretne létrehozni, válassza a lehetőséget használó, majd kattintson az OK gombra Felhasználó megváltoztatása; írja be a felhasználónevet, és nyomja meg a gombot rendben;
- lépjen a lapra akciók és kattintson a gombra teremt;
- sajtó áttekintés, jelölje meg a megfelelő alkalmazást és erősítse meg választását;
- lépjen a lapra feltételek és tiltsa le az opciót Csak feszültség alatt táplálja;
- a lapon paraméterek tiltsa le a Hosszabb futás leállítása lehetőséget;
- erősítse meg rendben.
Kész. A feladat hozzáadva lett, tehát az alkalmazás automatikusan betöltődik rendszergazdai jogosultságokkal. Itt van azonban egy kis gubanc: minden ilyen feladatot a normálnál alacsonyabb - a normál alatti - prioritással hajtanak végre. Ha ez megfelel neked, akkor minden rendben van. Ha nem, akkor még egy kicsit tovább kell dolgoznia:
- futás Feladat ütemező, ha már bezártad;
- választ Feladat ütemező könyvtár;
- jelölje meg a feladatot, kattintson a gombra export és mentse el .xml formátumban;
- nyissa meg a .xml fájlt egy szövegszerkesztőben;
- keresési szakasz 7, amelynek a fájl végén kell lennie, és a hét (7) a nyitó és záró címkék között ötre (5) kell változtatni;
- mentse a fájlt;
- a Feladat ütemezőben jelölje ki újra a feladatot, kattintson a gombra Törlés és erősítse meg a törlést;
- kattintson most Importálás feladat, adja meg az éppen mentett fájlt, majd kattintson a gombra rendben.
Ez minden. Ön dönti el, hogy használja-e az UAC-t, de nagyon fontos tudni, hogy mit veszít e funkció kikapcsolásakor, valamint tisztában kell lennie a kockázatokkal. Köszönöm a figyelmet.!
Remek napot!