Vista контроля учетной записи пользователя: умнее Привилегии пользователей


  Share  
|

Большинство (Стою искушению сказать подавляющее большинство) из проблем в области безопасности в последних версиях Windows вареную до одной причиной: Большинство пользователей Windows был запущен с администратором уровня разрешения. Администраторы могут ничего с Windows машины, включая установку программ, добавив устройств, обновление драйверов, установка обновлений и исправлений, изменение параметров реестра, запуск административных инструментов, а для создания и изменения учетных записей пользователей. Это удобно, но это ведет к громадной проблемой: любой вредоносной программы, что insinuates себя на вашей системе будет также функционировать в административных разрешений, что позволяет программе, чтобы сеять хаос на компьютере и почти все подключены к ней.

Windows XP пытались решить проблему путем создания второго уровня учетной уровне называется ограниченной пользователя, который лишь основные права. К сожалению, существует три gaping дыры в этом "решение":

  • XP побудило вас создать одну или несколько учетных записей пользователей во время установки, но она не заставит Вас создать. Если пропустить эту часть, XP началась под учетной записи администратора.

  • Даже если вы решили создавать пользователей, установка программы не дают Вам возможность настройки счета уровень безопасности. Поэтому любые счета вы создали во время установки был автоматически добавлен в группу администраторов.

  • Если Вы создали ограниченной учетной записи пользователя, вы, наверное, не держать его долго, поскольку XP мешает счета столь, что вы не могли использовать ничего, кроме самых основных компьютерных задач. Можно даже не устанавливать большинство программ, потому что они обычно требуют писать разрешение на% SystemRoot% папку и Секретариата, и пользователи не имеют ограниченное разрешение.

Windows Vista вновь пытается решить эту проблему. Новое решение называется аккаунт пользователя контролю и она использует принцип называется наименее привилегированного пользователя. Смысл этого заключается в том, чтобы создать учетную запись уровне, не более, чем разрешения она требует. Кроме того, такие счета не позволяют редактирования реестра и выполнение других административных задач. Однако, эти пользователи могут выполнять другие повседневные задачи:

  • Установка программы и обновления

  • Добавить драйверов принтера

  • Изменить параметры беспроводной безопасности (например, добавить WEP или WPA ключ)

В Windows Vista, наименее привилегированного пользователя концепция приходит в виде новой учетной записи типа называется обычный пользователь. Это означает, что Vista имеет три основные счета уровнях:

  • Учетная запись администратора Этот счет может ничего к компьютеру.

  • Администраторы группы членов этой группы (за исключением Администратора счета), запустить в качестве стандарта, но пользователи имеют возможность повысить свои привилегии в случае необходимости просто нажав кнопку в диалоговом окне (см. следующий раздел).

  • Стандартная группа пользователей Эти наименее привилегированных пользователей, хотя они также могут повысить свои привилегии в случае необходимости; Однако, им необходим доступ пароль администратора сделать это.

Подъемные привилегиях

Эта идея повышения привилегий лежит в Vista в новой модели безопасности. В Windows XP, вы можете использовать команду Выполнить как выполнить задачу, как другого пользователя (то есть, один с высшим привилегий). В Vista, вы, как правило, не нужно делать это, поскольку Vista появится на высоте автоматически.

Если Вы являетесь членом группы администраторов, вы проводите с привилегиями стандартного пользователя для дополнительной безопасности. При попытке задача, которая требует административных привилегий, Vista запросит ваше согласие, показывая пользовательского аккаунта контролю диалоговое окно. Нажмите контролю разрешить задачу приступить. Если это диалоговое окно неожиданно, то, возможно, что вредоносная программа программа пытается выполнять некоторые задачи, которая требует административных привилегий; Вы можете сорвать эту задачу, нажав кнопку Отмена instead.When администратор запускает задача, которая требует административных привилегий, Windows Vista показывает этого диалогового окна просить согласия.

Если вы запускаете как обычный пользователь и попытаться задача, которая требует административных привилегий, Vista использует дополнительный уровень защиты. То есть, вместо просто побуждает вас за согласие, он появится на полномочия администратора. Если ваша система имеет несколько счетов администратора, каждый из которых приводится в данном диалоговом окне. Введите пароль для любой учетной записи администратора показал, а затем нажмите Отправить. Опять же, если это диалоговое окно появляется неожиданно, это может быть вредоносной программы, поэтому следует нажать на кнопку Отмена для предотвращения задачи, не through.When обычный пользователь запускает задачу, которая требует административных привилегий, Windows Vista показывает этом диалоговом окне обратиться за административные полномочия.

Заметим, также, что в обоих случаях Windows Vista переключается в режим безопасности на рабочем столе, а это значит, вы не можете сделать ничего другого с Vista пока вы даете свое согласие или полномочия, или отменить операцию. Vista указывает защищенный рабочий стол в мрачные все на экране, за исключением аккаунт пользователя контролю диалоговое окно.

Примечание

Аккаунт пользователя контролю представляется разумным на поверхности, но Microsoft не всегда выполнять его в любое удобное время. Например, иногда вы ввести высота ходе простых задач, таких как файл исключений и изменяет название, или когда вы изменить систему дату или время. Это привело к реакцию на аккаунт пользователя контролю в некоторых кругах, и я с пониманием к точке (так же как Microsoft, которая обещает изменить учетную запись пользователя контролю судоходства до окончательного кода Vista). Однако все люди, которые жаловались аккаунт пользователя контролю являются бета тестеров, которые, по определению, настройке параметров, установка драйверов и программ, и в целом толкаю Vista до предела. Конечно Вы собираетесь получать ударили много ОАК диалоговых окон в этих условиях. Однако средний пользователь действительно не настроить свою систему все, что часто, поэтому я думаю, ОАК будет гораздо менее серьезную проблему, чем ее критиков предположить.

Можно также поднять ваши привилегии для любого индивидуальную программу. Вы сделать это, нажмите правой кнопкой мыши на файл программы или клавиши, а затем нажмите Выполнить как Администратор.

Примечание

Вы, возможно, пожилых программ, которые просто не будут отображаться под Vista в аккаунт пользователя контролю модель безопасности, поскольку они требуют административных привилегий. Если вы не хотите, чтобы обычный пользователь с правами администратора пароль, вы можете позволить пользователю запустить программу. Найти программы в исполняемый файл, нажмите правую кнопку мыши, а затем нажмите кнопку Свойства. В собственности лист окне показывать Совместимость вкладку активировать Запуск этой программы в качестве администратора флажок, а затем нажмите кнопку OK. (Вы также можете сделать это с любой ярлык на исполняемый. Vista возлагает повышенные привилегии на исполняемые и все ее клавиш.) Vista затем проходит диагностический тест по программе, чтобы административные привилегии он требует. Эта функция безопасности, что гарантирует, что программа запускается только минимальное число привилегий, которые ему необходимы для надлежащего функционирования.


Файл реестра и виртуализации

Вы можете быть удивлены, насколько безопасной Windows Vista действительно, если обычный пользователь может устанавливать программы. Не, что означает, что вредоносная программа может установить, а? NoVista реализует новую модель установки безопасности. В Vista, вам потребуются административные привилегии, чтобы написать что-либо в% SystemRoot% каталог (обычно C: \ Windows), в% ProgramFiles% папке (обычно C: \ Program Files), и Секретариата. Vista обрабатывает это для стандартных пользователей двумя способами:

  • Во время установки программы, первое Vista вынуждает пользователя за полномочия. Если они предоставили Vista дает разрешение на программу установки, чтобы написать в% SystemRoot%,% ProgramFiles%, и Секретариата.

  • Если пользователь не может предоставить полномочия Vista использует метод называется файл реестра и виртуализации, которая создает виртуальный% SystemRoot% и% ProgramFiles% папки и виртуальная HKEY_LOCAL_MACHINE реестра ключ, все они хранятся вместе с пользователем файлов. Это дает возможность установки без ущерба фактические системные файлы.

Учетная запись пользователя политики

Вы можете настроить учетную запись пользователя контролю в определенной степени с помощью группы политики. В местных Настройки безопасности несложно - в (пресс-релиз Windows Logo + R, тип secpol.msc и нажмите OK), откройте Настройки безопасности, местные политики, безопасности обозревателя власти. Здесь вы найдете шесть политики в области пользовательского аккаунта Control:

  • Аккаунт пользователя Control: Утверждение Режим администратора для встроенной учетной записи Администратор В Эта политика контролирует ли Учетная запись администратора входит в учетную запись пользователя контролю. При включении этой политики Администратора счета рассматривается как любой другой счет в группу администраторов и необходимо нажать Продолжить в диалоговом окне согласия, когда Windows Vista требует одобрения действий.

  • Аккаунт пользователя Control: поведение на повышение запрос на администраторов в режиме администратора утверждение Эта политика контролирует оперативное, которое появляется, когда администратору необходимо повышенными привилегиями. Значение по умолчанию - запрос на согласие, когда пользователь нажимает либо продолжать или Отмена. Можно также выбрать для Быстрое полномочий, чтобы заставить пользователей вводить его или ее пароль. Если вы не быстрое, администраторы не могут поднять свои привилегии.

  • Аккаунт пользователя Control: поведение на повышение запрос на стандартные пользователи Эта политика контролирует, который выводится, когда пользователь требует стандарт повышенными привилегиями. Значение по умолчанию - строка для полномочий, чтобы заставить пользователей вводить пароль администратора. Можно также выбрать не строка для предотвращения стандартных пользователям повысить свои привилегии.

  • Аккаунт пользователя Control: Исключить применение установки и запрос на повышение Используйте эту политику включить или отключить автоматическое повышение привилегий при установке программ.

  • Аккаунт пользователя Control: Выполнить все администраторы в режиме администратора утверждение Пользователи Используйте эту политику включить или отключить текущих администраторов (за исключением Администратора счета), как стандартных пользователей.

  • Аккаунт пользователя Control: Только Елевате Executables Это ли Подпись и апробированные Используйте эту политику включить или отключить ли Vista проверки безопасности подписью, что любая программа требует повышенными привилегиями.

  • Аккаунт пользователя Control: Переход на Надежное Desktop Когда Промптинг на повышение Используйте эту политику включить или отключить ли Vista переключается на защищенный рабочий стол, когда высота экранах.

  • Аккаунт пользователя Control: Virtualize файлов и реестра Написать Неудачи на За пользователя филиалы Используйте эту политику включить или отключить файл реестра и виртуализации для стандартных пользователей

это статья добавлена Емм Шмитт

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions