Nadzor uporabniških računov je verjetno najbolj podcenjena in morda celo najbolj sovražna funkcija, ki je debitirala v Visti in postala del vseh prihodnjih različic sistema Windows. V glavnem se tok sovraštva, ki ga uporabniki prelivajo na nadzor uporabniških računov, zdi nezadovoljen, saj je funkcija v resnični uporabi. Popolnoma se strinjam, da je včasih nadzor nad uporabniškim računom (v nadaljevanju preprosto UAC) lahko zelo moteč, vendar je bil v sistemu Windows uveden za določen namen. Ne, ne da bi motili uporabnike, ampak da bi olajšali nemoten prehod s standardnega (omejenega) računa na skrbniški račun.
V tem članku vam bom povedal, kaj je UAC, kako deluje, zakaj je potreben in kako ga konfigurirati. Nimam vam namena dajati navodil, zakaj morate uporabljati UAC, ampak vas obvestim le o tem, kaj izgubljate, če onemogočite to funkcijo.
Nekaj ozadja in podatkov o računu
Kot bi morali vedeti, Windows deluje s tako imenovanimi računi. So dve vrsti: skrbniški in standardni (omejeno).
Skrbniški račun daje uporabniku popoln dostop do vseh funkcij operacijskega sistema, tj. lahko uporabnik počne kar hoče. Uporabnik standardnega računa ima zmanjšane pravice, zato so mu dovoljene le nekatere stvari. To je praviloma vse, kar vpliva samo na trenutnega uporabnika. Na primer: sprememba ozadja na namizju, nastavitve miške, sprememba zvočne sheme itd. Na splošno je vse, kar zadeva določenega uporabnika in ne velja za celoten sistem, na voljo v standardnem računu. Za vse, kar lahko vpliva na sistem kot celoto, potrebujete skrbniški dostop.
Ena od nalog, dodeljenih tem računom, je zaščita pred zlonamerno kodo. Splošna ideja tukaj je, da uporabnik normalno delo izvaja pod omejenim računom in preklopi na skrbniški račun samo, kadar to zahteva ukrepanje. Kot je videti paradoksalno, zlonamerna programska oprema pridobi enako raven pravic, s katero se je uporabnik prijavil.
V operacijskem sistemu Windows 2000 in Windows XP izvajanje operacij v imenu skrbnika ni dovolj prilagodljivo, zato delo pod omejenim računom ni bilo zelo priročno. Eden od načinov izvajanja upravnega dejanja v teh različicah sistema je naslednji: zapustite omejen račun (ali hitro preklopite, če je bil uporabljen Windows XP) -> vnesite skrbniški račun -> izvedite dejanje -> zapustite skrbniški račun (ali hitro preklopite, če uporablja Windows XP) -> vrnitev na omejen račun.
Druga možnost je uporaba kontekstnega menija in možnost »Zaženi kot drug uporabnik«, ki odpre okno, v katerem morate določiti ustrezen skrbniški račun in geslo, da lahko datoteko zaženete kot skrbnik. To je dokaj hiter način za prehod z enega računa na drugega, vendar ne velja za nobeno situacijo, ki zahteva upravne privilegije. Druga težava pri tej metodi je, da mora skrbniški račun imeti geslo, sicer izvedba ne bo uspela.
Zato je bil nadzor nad uporabniškimi računi uveden v sistemu Windows Vista in skoraj izpopolnjen v sistemu Windows 7..
Kaj je UAC?
UAC je funkcija sistema Windows Vista, 7, 8, 8.1 in 10, katere cilj je, da je prehod iz omejenega okolja na skrbnika nemoten in brez težav, kar odpravlja potrebo po ročnem zagonu datotek s skrbniškimi pravicami ali preklapljanju med računi. Poleg tega je UAC dodatna plast zaščite, ki ne zahteva skoraj nobenega truda uporabnika, vendar lahko prepreči resno škodo..
Kako deluje UAC
Ko se uporabnik prijavi v svoj račun, Windows ustvari tako imenovani uporabniški dostopni žeton, ki vsebuje določene podatke o tem računu in v glavnem različne varnostne identifikatorje, ki jih operacijski sistem uporablja za nadzor dostopnih zmogljivosti tega računa. Z drugimi besedami, ta žeton je neke vrste osebni dokument (na primer potni list). To velja za vse različice sistema Windows, ki temeljijo na jedru NT: NT, 2000, XP, Vista, 7, 8 in 10.
Ko se uporabnik prijavi v standardni račun (omejeno), se ustvari standardni uporabniški žeton z omejenimi pravicami. Ko se uporabnik prijavi v skrbniški račun, se imenuje t.i. skrbniški žeton s popolnim dostopom. Je logično.
Vendar pa v sistemih Windows Vista, 7, 8 in 10, če je omogočen UAC in je uporabnik prijavljen v skrbniški račun, Windows ustvari dva žetona. Administrator ostane v ozadju, standardni pa se uporablja za zagon Explorer.exe. To pomeni, da Explorer.exe začne z omejenimi pravicami. V tem primeru vsi procesi, ki se začnejo po tem, postanejo podprocesi Explorer.exe z podedovanimi omejenimi privilegiji glavnega procesa. Če postopek zahteva skrbniške pravice, zahteva skrbniški žeton, Windows pa prosi za dovoljenje uporabnika, da ta žeton predloži procesu v obliki posebnega pogovornega okna.
To pogovorno okno vsebuje tako imenovano varno namizje, do katerega ima dostop le operacijski sistem. Videti je kot zatemnjen posnetek pravega namizja in vsebuje samo okno za potrditev skrbniških pravic in po možnosti jezikovno vrstico (če je aktivirano več jezikov).
Če se uporabnik ne strinja in klikne »Ne«, bo Windows v skrbniškem žetonu zavrnil postopek. In če se strinja in izbere "Da", bo operacijski sistem procesu zagotovil potrebne privilegije, in sicer skrbniški žeton.
Če postopek že teče z zmanjšanimi pravicami, se bo znova zagnal z dvignjenimi (skrbnik). Procesa ni mogoče neposredno nadgraditi ali nadgraditi. Ko se postopek začne z enim žetonom, ne bo mogel pridobiti drugih pravic, dokler se znova ne začne z novimi pravicami. Primer je upravitelj opravil, ki se vedno začne z omejenimi pravicami. Če kliknete gumb »Prikaži procese vseh uporabnikov«, bo upravitelj opravil zaprt in znova zagnan, vendar s pravicami skrbnika.
Ko uporablja standardni račun, UAC zahteva določen skrbniški račun in vnese geslo:
Kako UAC ščiti uporabnika
UAC sam ne zagotavlja veliko zaščite. Olajša le prehod iz omejenega okolja v okolje skrbnika. Torej, pravilnejša izjava vprašanja je torej ta: kako omejen račun odvrača uporabnika. Pod omejenim uporabniškim profilom procesi ne morejo dostopati do določenih sistemskih con:
- glavna particija diska;
- uporabniške mape drugih uporabnikov v mapi \ Uporabniki \;
- Mapa programskih datotek;
- Mapa Windows in vse njene podmape;
- odseki drugih računov v sistemskem registru
- HKEY_LOCAL_MACHINE v sistemskem registru.
Vsak postopek (ali zlonamerna koda) brez skrbniških pravic ne more prodreti globoko v sistem brez dostopa do potrebnih map in registrskih ključev, zato ne more resno škodovati sistemu.
Ali lahko UAC moti starejše programe, ki uradno niso združljivi s sistemom Vista / 7/8/10
Ne bi smela. Ko je omogočen UAC, je omogočena tudi virtualizacija. Nekateri stari in / ali preprosto neprevidno napisani programi ne uporabljajo pravilnih map za shranjevanje svojih datotek (nastavitve, dnevniki itd.). Pravilne mape so mape v imeniku AppData, ki jih ima vsak račun in kjer lahko vsak program ustvari mapo za shranjevanje vsega, kar želi.
Nekateri programi poskušajo shraniti svoje datoteke v programske datoteke in / ali Windows. Če se program začne s skrbniškimi pravicami, to ne bo težava. Če pa se program izvaja z omejenimi dovoljenji, ne bo mogel spreminjati datotek / map v programskih datotekah in / ali Windows. Operacijski sistem ji tega ne dovoli..
Da bi preprečil težave s takšnimi programi, Windows ponuja virtualizacijo map in registrskih ključev, do katerih programi z omejenimi pravicami načeloma nimajo dostopa. Ko tak program poskuša ustvariti datoteko v zaščiteni mapi, jo operacijski sistem preusmeri v posebno mapo VirtualStore, ki se nahaja v X: \ Uporabniki \\ AppData \ Local \ (kjer je X: sistemska particija, ponavadi C :). I.e. Skozi oči samega programa je vse v redu. Ne naleti na ovire in verjame, da ustvarja datoteke / mape točno tam, kjer želi. VirtualStore običajno vsebuje podmape programskih datotek in sistema Windows. Tu je posnetek zaslona programskih datotek v moji mapi VirtualStore:
In tukaj je na primer nekaj v mapi SopCast:
I.e. če bi bil UAC ustavljen ali se je program vedno začel s skrbniškimi pravicami, bi te datoteke / mape ustvarile v C: \ Program Files \ SopCast. V operacijskem sistemu Windows XP bi te datoteke in mape nastale brez težav, ker imajo v njej vsi programi privzeto pravice skrbnika.
Razvijalci tega seveda ne bi smeli obravnavati kot trajno rešitev. Odgovornost vsakega avtorja je ustvariti programsko opremo, ki je popolnoma združljiva s trenutnimi operacijskimi sistemi.
UAC Dialogs
Morda ste opazili, da obstajajo samo trije različni pogovorni okni UAC. Tu smo si ogledali tiste v operacijskih sistemih Windows 7, 8.x in 10. V Visti so pogovorni okni nekoliko drugačni, vendar se na njih ne bomo nadaljevali..
Prva vrsta okna ima temno modro črto v zgornjem delu in ikono v obliki ščita v zgornjem levem kotu, ki je razdeljeno na 2 modra in 2 rumena odseka. To okno se prikaže, ko je za postopek z digitalnim podpisom, ki pripada operacijskemu sistemu - t.i., potrebno potrditev Binaries Windows. O njih bomo govorili spodaj..
Druga vrsta oken je tudi s temno modrim trakom, vendar je ikona ščita popolnoma modra in z vprašanjem. To okno se pojavi, ko je za digitalno podpisan postopek potrebna potrditev, vendar postopek / datoteka ne pripada operacijskemu sistemu..
Tretje okno je okrašeno z oranžno črto, ščit je tudi oranžen, vendar z klicajem. To pogovorno okno se prikaže, ko je za postopek brez digitalnega podpisa potrebna potrditev..
Nastavitve UAC-a
Nastavitve nadzora računa (načini delovanja) se nahajajo v Nadzorna plošča -> Sistem in varnost -> Spremeni nastavitve nadzora računa. Obstajajo 4:
Vedno obveščanje je najvišja raven. Ta način je enakovreden načinu delovanja UAC v sistemu Windows Vista. V tem načinu sistem vedno zahteva potrditev skrbniških pravic, ne glede na postopek in kaj zahteva.
Druga raven je privzeto uporabljena v sistemih Windows 7, 8.x in 10. V tem načinu Windows ne prikaže okna UAC, ko gre za tako imenovane binarne datoteke Windows. I.e. če datoteka / postopek, ki zahteva skrbniške pravice, izpolnjuje naslednje 3 pogoje, jih bo operacijski sistem samodejno dal, brez potrditve uporabnika:
- datoteka ima manifest (vgrajen ali kot ločena datoteka), ki označuje samodejno dvig pravic;
- datoteka se nahaja v mapi Windows (ali v kateri koli od njegovih podmap);
- datoteka podpisana z veljavnim digitalnim podpisom sistema Windows.
Tretji način je enak drugemu (prejšnji), vendar s to razliko, da ne uporablja varnega namizja. To pomeni, da zaslon ne potemni, in pogovorno okno UAC se prikaže kot katerokoli drugo. Microsoft ne priporoča uporabe te možnosti, ampak zakaj - pojasnil bom pozneje.
Ne obveščajte me četrta in zadnja stopnja. V resnici to pomeni popolno onemogočanje UAC-a.
Tu je primerno dati dva komentarja:
- Digitalni podpis Windows je specifičen za operacijski sistem. To pravim, ker obstajajo datoteke, ki jih je digitalno podpisal Microsoft. Gre za dva ločena podpisa, pri čemer UAC prepozna samo digitalni podpis Windows, saj deluje kot dokaz, da datoteka ni samo od Microsofta, ampak je tudi del operacijskega sistema.
- Vse datoteke Windows nimajo manifesta za samodejno povečanje privilegijev. Obstajajo datoteke, ki tega namerno nimajo. Na primer, regedit.exe in cmd.exe. Jasno je, da se drugi ne nadgradi samodejno, saj se pogosto uporablja za zagon drugih procesov, in kot že rečeno, vsak nov postopek podeduje pravice postopka, ki ga je sprožil. To pomeni, da bi vsi lahko z ukazno vrstico neopazno zagnali kateri koli postopek s skrbniškimi pravicami. Microsoft na srečo ni neumen.
Zakaj je pomembno uporabljati varno namizje
Varno namizje preprečuje morebitne motnje in motnje drugih procesov. Kot že omenjeno, do njega ima dostop le operacijski sistem in z njim sprejema le osnovne ukaze od uporabnika, torej s pritiskom na gumb "Da" ali "Ne".
Če ne uporabljate varnega namizja, lahko napadalec simulira okno UAC, da vas zavede in zažene zlonamerno datoteko kot skrbnik.
Kdaj potrebujete skrbniške pravice? Ko se prikaže okno UAC?
Na splošno so trije primeri, ko UAC dostopa do uporabnika:
- kadar spreminjate sistemske (ne-uporabniške) nastavitve, čeprav dejansko to velja le za najvišjo raven UAC-a;
- pri nameščanju ali odstranitvi programa / gonilnika;
- kadar aplikacija / postopek zahteva skrbniške pravice za spremembe sistemskih datotek / map ali registrskih ključev.
Zakaj je pomembno, da ne onemogočite UAC
Nadzor uporabniških računov zagotavlja visoko raven zaščite, v zameno pa ne zahteva skoraj nič. Se pravi, učinkovitost UAC je zelo visoka. Ne razumem, zakaj je ljudem tako nadležno. Pri vsakodnevnem delu povprečen uporabnik vidi okno UAC 1-2 krat na dan. Mogoče celo 0. To je toliko?
Povprečni uporabnik redko spremeni sistemske nastavitve, in ko to stori, se UAC ne trudi s svojimi vprašanji, če dela s privzetimi nastavitvami.
Povprečen uporabnik ne namesti gonilnikov in programov vsak dan. Vsi gonilniki in večina potrebnih programov se namestijo enkrat - po namestitvi sistema Windows. Se pravi, to je glavni odstotek zahtev za UAC. Po tem UAC posega le med nadgradnjo, vendar nove različice programov ne izidejo vsak dan, da ne govorimo o gonilnikih. Poleg tega mnogi sploh ne posodabljajo programov ali gonilnikov, kar še zmanjšuje težave z UAC..
Zelo malo programov za svoje delo potrebuje skrbniške pravice. To so predvsem defragmenters, orodja za čiščenje in optimizacijo, nekateri diagnostični programi (AIDA64, HWMonitor, SpeedFan itd.) In sistemske nastavitve (na primer Process Explorer in Autoruns, vendar le, če morate izvesti nekaj specifičnega - recimo, onemogočiti gonilnik / storitev ali programa, ki se začne z operacijskim sistemom Windows). In vse to so programi, ki jih bodisi sploh ne moremo uporabljati, bodisi v redkih primerih. Vse pogosto uporabljene aplikacije delujejo z UAC popolnoma normalno in ne postavljajo nobenih vprašanj:
- multimedijski predvajalniki (avdio in / ali video);
- video / avdio pretvorniki;
- Programska oprema za obdelavo slik / video / avdio;
- programi za zajem posnetkov zaslona ali video posnetke na njih;
- programi za ogled slik;
- Spletni brskalniki
- prenosniki datotek (upravitelji prenosov in odjemalci omrežij P2P);
- Odjemalci FTP
- Messengerji ali programi za glasovno / video komunikacijo;
- programi za zapisovanje diskov;
- arhivarji;
- urejevalniki besedil;
- Bralniki PDF
- navidezni stroji;
- in drugi.
Tudi namestitev posodobitev sistema Windows ne aktivira okna UAC.
Obstajajo ljudje, ki so pripravljeni podariti 1-2 ali več minut na dan za "optimizacijo" sistema z nekaj krivo napisanimi programi, ki ne naredijo nič koristnega, vendar niso pripravljeni porabiti nekaj sekund na dan za odgovor na zahteve UAC-a..
Različne izjave, kot je "Izkušen uporabnik in vem, kako se zaščititi", niso dovolj, saj nihče ni zavarovan in izid določenih situacij ni vedno odvisen od uporabnika. Še več, ljudje ponavadi delajo napake, zgodi se vsem.
Naj navedem en primer: predpostavimo, da uporabljate program, ki ima ranljivosti, in nekega dne boste na spletnem mestu, ki uporablja te ranljivosti. Če je omogočen nadzor uporabnikov in program deluje z omejenimi pravicami, napadalec ne bo mogel narediti veliko težav. V nasprotnem primeru so poškodbe sistema lahko kolosalne..
In to je le eden izmed mnogih primerov..
Zaganjanje programov z Windows kot skrbnik
Predvidevam, da lahko obstajajo uporabniki, ki izklopijo UAC samo zato, da lahko zaženejo programe v sistemu Windows in s skrbniškimi pravicami. To ni mogoče na običajen način, ker UAC uporabniku ne more poslati zahteve, dokler se ne naloži namizje. Vendar pa obstaja način, kako lahko pustite UAC omogočen. Tukaj je:
- odprto Načrtovalnik opravil;
- kliknite Ustvari nalogo;
- na polju Ime vnesite nekaj, kot želite, in na dnu okna omogočite možnost Nastopite z najvišjimi pravicami;
- pojdi na zavihek Sprožilci in kliknite Ustvari;
- v spustnem meniju na vrhu izberite Ob prijavi; če želite ustvariti nalogo za določenega uporabnika, izberite možnost Uporabnik, in nato kliknite Spremeni uporabnika; vnesite uporabniško ime in potrdite s pritiskom V redu;
- pojdi na zavihek Dejanja in kliknite Ustvari;
- kliknite Pregled, navedite ustrezno prijavo in potrdite svojo izbiro;
- pojdi na zavihek Pogoji in onemogočite možnost Zaženite samo, če jih napaja električno omrežje;
- na zavihku Parametri onemogočite možnost Stop naloga, ki se izvaja daljše;
- potrdite s V redu.
Končano. Naloga je dodana, zato se bo aplikacija samodejno naložila s skrbniškimi pravicami. Tu pa obstaja en majhen krč: vsa taka opravila se izvajajo s prednostjo, manjšo od običajne - pod normalno. Če vam to ustreza, potem je vse v redu. Če ne, potem morate še malo delati:
- teči Načrtovalnik opravil, če ste ga že zaprli;
- izberi Knjižnica urnikov opravil;
- označite svojo nalogo, kliknite Izvoz in ga shranite v .xml formatu;
- odprite datoteko .xml v urejevalniku besedil;
- najti odsek 7, ki naj bo na koncu datoteke in sedem (7) med začetnimi in zapiralnimi oznakami spremeni v pet (5);
- shranite datoteko;
- v orodju za načrtovanje opravil znova označite svojo nalogo in kliknite Izbriši in potrdite izbris;
- zdaj kliknite Uvozna naloga, določite datoteko, ki ste jo pravkar shranili, in kliknite V redu.
To je vse. Odločite se, ali boste uporabljali UAC ali ne, zelo pomembno pa je, da veste, kaj izgubite, ko izklopite to funkcijo, in se zavedate tveganj. Hvala za vašo pozornost.!
Imejte lep dan!