Функция UAC (User Account Control — контроль учетных записей) — это новый компонент системы безопасности ОС Windows Vista. Функция UAC позволяет пользователям выполнять стандартные задачи как в качестве пользователей, не являющихся администраторами, которые в ОС Windows Vista называются обычными пользователями, так и в качестве администраторов, при этом нет необходимости переключать пользователей, выходить из системы или использовать функцию "Запуск от имени". Учетная запись обычного пользователя является синонимом учетной записи пользователя в ОС Windows XP. Учетные записи пользователей, являющихся членами локальной группы "Администраторы", позволяют выполнять большинство приложений в качестве обычного пользователя. Разделяя функции пользователя и администратора и позволяя при этом эффективно работать, функция UAC является важным улучшением, внесенным в ОС Windows Vista.

 

Когда администратор выполняет вход в компьютер под управлением ОС Windows Vista бета-версии 2, пользователю присваивается два независимых маркера доступа. Маркеры доступа, содержащие данные о членстве пользователя в группах, предоставленных ему правах и об управлении доступом, используются ОС Windows® для управления тем, к каким ресурсам и задачам пользователь может осуществлять доступ. До появления ОС Windows Vista учетная запись администратора получала только один маркер доступа, включавший данные, предоставляющие пользователю доступ ко всем ресурсам ОС Windows. Эта модель управления доступом не включала каких-либо надежных проверок, позволяющих убедиться, что пользователь действительно хочет выполнить задачу, требующую наличия маркера административного доступа. В результате вредоносные программы могли устанавливаться на компьютеры пользователей без их уведомления. (Это иногда называют автоматической установкой.)

Причиняя еще больший ущерб, так как пользователь является администратором, вредоносные программы могли использовать данные управления доступом администратора, чтобы заразить основные файлы операционной системы и, в некоторых случаях, чтобы стать практически неподлежащими удалению.

В ОС Windows Vista основное различие между обычным пользователем и администратором заключается в уровне доступа, которым располагает пользователь в отношении основных, защищенных областей компьютера. Администраторы могут изменять состояние системы, выключать брандмауэр, настраивать политику безопасности, установить службы или драйверы, влияющие на каждого пользователя компьютера, а также устанавливать программное обеспечение для всего компьютера. Обычные пользователи не могут выполнять эти задачи, а могут только устанавливать программное обеспечение, предназначенное для одного пользователя.

Чтобы способствовать предотвращению автоматической установки вредоносных программ и заражения всего компьютера корпорация Майкрософт разработала для ОС Windows Vista функцию UAC. В отличие от предыдущих версий ОС Windows, когда администратор входит в компьютер под управлением ОС Windows Vista, предоставляемый этому пользователю полый маркер доступа администратора делится на два маркера доступа: маркер доступа полного администратора и маркер доступа обычного пользователя. Во время выполнения процедуры входа в систему осуществляющие авторизацию и управление доступом компоненты, которые идентифицируют администратора, удаляются, в результате чего пользователь получает маркер доступа обычного пользователя. Затем маркер доступа обычного пользователя используется для запуска рабочего стола - процесса Explorer.exe. Так как все приложения наследуют свои данные управления доступом от исходного запуска рабочего стола, то они все также выполняются с правами обычного пользователя.

После того как администратор входит в систему, маркер доступа полного администратора не вызывается до тех пор, пока пользователь не попытается выполнить административное задание.

В отличие от этого процесса, при входе в систему обычного пользователя создается только маркер доступа обычного пользователя. Затем этот маркер доступа обычного пользователя используется для запуска рабочего стола. Важно!

Так как уровень взаимодействия с пользователем можно настраивать с помощью оснастки "Диспетчер политики безопасности" (secpol.msc) и групповой политики, существует не единственный уровень взаимодействия функции UAC с пользователем. Выбранные в среде параметры настоек повлияют на запросы и диалоговые окна, которые будут видеть обычные пользователи, администраторы или оба типа пользователей. Кому следует пользоваться этим руководством?

Это руководство предназначено для следующих категорий читателей: •    оценивающих продукт планировщиков и аналитиков, работающих в области информационных технологий; •    лиц, которые раньше других внедряют у себя новые продукты; •    архитекторов систем безопасности, отвечающих за внедрение надежных компьютерных систем. Вариант 1: запрос запуска приложения с повышенными правами один раз.

В ОС Windows Vista функция UAC и ее режим одобрения администратором включены по умолчанию. Когда функция UAC включена, локальные учетные записи администраторов работают как учетные записи обычных пользователей. Это означает, что после входа в систему члены локальной группы "Администраторы" работают с отключенными привилегиями администратора. Это продолжается до тех пор, пока такой пользователь не попытается запустить приложение или задачу, имеющую маркер администратора. Когда член локальной группы "Администраторы" пытается запустить такое приложение или задачу, у него запрашивается согласие на запуск этого приложения с повышенными правами. В варианте 1 подробно описывается процедура однократного запуска приложения или задачи с повышенными правами. Примечание.

Для выполнения приведенной ниже процедуры вы должны войти в систему клиентского компьютера как член локальной группы "Администраторы". Вы не можете войти в систему под учетной записью администратора компьютера (или встроенной учетной записью администратора), потому что режим одобрения администратором не применяется к этой учетной записи. (Встроенная учетная запись администратора в новых установках ОС Windows Vista отключена.) Чтобы запросить однократное выполнение приложения с повышенными правами 1.    Запустите приложение, которому, вероятно, присвоен маркер администратора, например "Очистка диска" Microsoft Windows. На экране появится запрос функции контроля учетных записей. 2.    Проверьте соответствие представленных сведений инициированному запросу. 3.    В диалоговом окне "Контроль учетных записей" нажмите кнопку "Продолжить", чтобы запустить приложение. Вариант 2: обозначение приложения в качестве всегда запускаемого с повышенными правами.

Вариант 2 аналогичен предыдущему варианту в том, что предполагается запуск приложения или процесса с повышенными правами при наличии маркера доступа администратора. Однако в этом варианте предполагается запуск приложения, которое не было помечено разработчиком или определено операционной системой как административное приложение. Некоторые приложения, например внутренние бизнес-приложения или приложения, не являющиеся продуктами корпорации Майкрософт, могут требовать административных прав, но не быть определенными в качестве таковых. В этом случае нужно пометить приложение как требующее запроса согласия пользователя и, в случае его получения, запускаемое как административное. В следующей процедуре пошагово описывается этот процесс. Примечание.

Для выполнения приведенной ниже процедуры вы должны войти в систему клиентского компьютера как член локальной группы "Администраторы". Вы не можете войти в систему под учетной записью администратора компьютера (или встроенной учетной записью администратора), потому что режим одобрения администратором не применяется к этой учетной записи. Важно!

Эта процедура не может использоваться для исключения запроса согласия на запуск административного приложения со стороны функции контроля учетных записей. Чтобы пометить приложение как всегда запускаемое с повышенными правами 1.    Щелкните правой кнопкой мыши приложение, которому, вероятно, не присвоен маркер администратора, например, приложение для редактирования текста. 2.    Нажмите Свойства, и затем выберите вкладку Совместимость. 3.    В разделе Уровень привилегий выберите настройку Запускать эту программу в качестве администратора и затем нажмите ОК. Примечание.

Если настройка Запускать эту программу в качестве администратора недоступна, это означает, что данное приложение заблокировано от того, чтобы всегда запускаться с повышенными правами, данное приложение не требует наличия административных учетных данных для запуска, данное приложение является частью текущей версии ОС Windows Vista или что вы не вошли в систему этого компьютера в качестве администратора. Вариант 3: настройка функции контроля учетных записей.

В варианте 3 описываются три распространенные задачи, которые выполняются локальными администраторами во время настройки и конфигурирования клиентских компьютеров под управлением ОС Windows Vista. В следующих процедурах пошагово разбираются задачи отключения режима одобрения администратором, отключения запроса функцией UAC учетных данных для установки приложений и изменение поведения при запросе повышения прав. Отключение режима одобрения администратором

Для отключения режима одобрения администратором воспользуйтесь следующей процедурой. Примечание.

Для выполнения приведенной ниже процедуры вы должны войти в систему клиентского компьютера в качестве локального администратора. Чтобы отключить режим одобрения администратором 1.    Нажмите Пуск, нажмите Все программы, нажмите Стандартные, нажмите Выполнить..., введите secpol.msc в текстовое поле Открыть и затем нажмите ОК. 2.    Если в данный момент функция UAC активна, то на экране появится диалоговое окно Контроль учетных записей. Если это так, проверьте соответствие приведенных данных инициированному запросу и нажмите Продолжить. 3.    В дереве консоли "Локальные параметры безопасности" нажмите Локальные политики и затем нажмите Параметры безопасности. 4.    Прокрутите список вниз и двойным щелчком кнопки мыши выберите настройку Контроль учетных записей: запускать всех администраторов в режиме одобрения администратором. 5.    В диалоговом окне Свойства параметра "Контроль учетных записей: запускать всех администраторов в режиме одобрения администратором" нажмите Отключено и затем нажмите ОК. 6.    Закройте окно Локальные параметры безопасности. Отключение запроса учетных данных функцией контроля учетных записей для установки приложений

Используйте следующую процедуру для отключения запроса функцией UAC учетных данных для установки приложений. Примечание.

Для выполнения приведенной ниже процедуры вы должны войти в систему клиентского компьютера в качестве локального администратора. Для отключение запроса функцией UAC учетных данных для установки приложений 1.    Нажмите Пуск, нажмите Все программы, нажмите Стандартные, нажмите Выполнить..., введите secpol.msc в текстовое поле Открыть и затем нажмите ОК. 2.    В дереве консоли "Локальные параметры безопасности" нажмите Локальные политики и затем нажмите Параметры безопасности. 3.    Прокрутите список вниз и двойным щелчком кнопки мыши выберите настройку Контроль учетных записей: обнаружение установки приложений и запрос повышения прав. 4.    В диалоговом окне Свойства параметра "Контроль учетных записей: обнаружение установки приложений и запрос повышения прав" нажмите Отключено и затем нажмите ОК. 5.    Закройте окно Локальные параметры безопасности. Изменение поведения запроса повышения прав

Для изменения поведения запроса повышения прав функции UAC воспользуйтесь следующей процедурой. Примечание.

Для выполнения приведенной ниже процедуры вы должны войти в систему клиентского компьютера в качестве локального администратора. Чтобы изменить поведение запроса повышения прав 1.    Нажмите Пуск, нажмите Стандартные, нажмите Выполнить..., введите secpol.msc в текстовое поле Открыть и затем нажмите ОК. 2.    В дереве консоли "Локальные параметры безопасности" нажмите Локальные политики и затем нажмите Параметры безопасности. 3.    Прокрутите список вниз и двойным щелчком кнопки мыши выберите настройку Контроль учетных записей: поведение запроса повышения прав для администраторов или Контроль учетных записей: поведение запроса повышения прав для обычных пользователей. 4.    В выпадающем меню выберите одну из следующих настроек: •    Не запрашивать •    Запрашивать учетные данные (эта настройка требует ввода имени и пароля, прежде чем приложение или задача будет запущена с повышенными правами и является настройкой по умолчанию для обычных пользователей) •    Запрашивать согласие (эта настройка является настройкой по умолчанию только для администраторов) 5.    Нажмите ОК. 6.    Закройте окно Локальные параметры безопасности.

You have no rights to post comments

Яндекс.Метрика