Понимание контроля учетных записей пользователей в Vista
Если вы еще не смотрели на Microsoft Vista, есть большая вероятность, что вы когда-нибудь слышали что-то о контроле учетных записей (UAC). UAC помечен как одна из наиболее важных функций, которые Vista предоставляет для обеспечения более безопасной среды как для домашних пользователей, так и для корпораций. UAC предназначен для решения проблемы, когда обычные пользователи должны быть «администраторами» на своем локальном компьютере для запуска приложений, выполнения рутинных задач операционной системы и т. д. Если у вас есть пользователи, которые работают как «администраторы» на своем собственном компьютере исключительно для выполнять рутинные задачи, но вам не нравится такая конфигурация, UAC может быть для вас. Здесь я объясню, что такое UAC, а что нет.
История ОАК
UAC — это не то, как Microsoft первоначально называла эту технологию, помогающую защищать компьютеры. Изначально технология называлась LUA, что означает Least Privilege User Access. LUA определяется как:
Это цитируется непосредственно из Критериев оценки доверенной компьютерной системы Министерства обороны (DOD-5200.28-STD) или из оранжевой книги. Как видите, цель LUA очень ясна и желательна с точки зрения безопасности.
Проблема в том, что LUA был невозможен в Vista из-за дорожной карты, изначально разработанной Microsoft. Поэтому они изменили название технологии на Защита учетных записей пользователей (UAP). UAP не изменил технологию, изменилось только название. В Vista все еще были части, которые ссылались на LUA, хотя было известно, что эта концепция не реализована в операционной системе.
Microsoft печально известна тем, что меняет аббревиатуры для технологий на этапах бета-тестирования операционной системы, и LUA/UAP не стали исключением. Вскоре после того, как LUA был заменен на UAP, он снова был заменен на Контроль учетных записей (UAC). Теперь UAC — это название технологии, и, похоже, нет смысла его менять.
Цели ОАК
UAC продвигается Microsoft как одна из технологий Vista, без которой вы не можете жить. В некоторых кругах его продвигают как окончательное решение проблемы с LUA. Тем не менее, UAC предоставляет некоторые отличные решения, которые должен изучить каждый, несмотря на мнение, которое выдвигается со стороны Microsoft. Наиболее важные цели, которые будет решать ОАК, включают:
Запрос на повышение прав для администраторов в режиме одобрения администратором
Когда администратор работает на компьютере с Vista, идеально, чтобы он функционировал как обычный пользователь, пока не потребуется выполнить задачу, требующую повышенных привилегий. Vista легко решает эту проблему, контролируя эту ситуацию. Когда администратор запускает задачу, требующую повышенных привилегий, отображается диалоговое окно, рис. 1, в котором пользователю предлагается утвердить повышение до статуса администратора. Это идеальное решение, и оно гораздо лучше решения RunAs, которое используется некоторыми администраторами, начиная с Windows 2000 Professional. Пользователю в этой ситуации не нужно беспокоиться о настройке ярлыков или пакетных файлов для повышения своих привилегий, которые требуются для бесшовных решений RunAs. Кроме того, пользователь будет полагаться на операционную систему, чтобы определить, требуются ли повышенные привилегии на лету, что сэкономит время и силы.
Рисунок 1: Диалоговое окно для администраторов, работающих в Windows Vista
Запрос на повышение прав для обычных пользователей
Долгосрочная проблема для большинства компаний заключается в том, что стандартные пользователи были добавлены в группу локальных администраторов для правильной работы рутинных задач операционной системы и приложений. Как и в приведенном выше примере с администратором, желательно, чтобы эти стандартные пользователи работали без каких-либо административных привилегий, за исключением случаев крайней необходимости. Vista заставит обычных пользователей работать без повышенных привилегий, пока задача не потребует повышения прав. В это время диалоговое окно предложит им, рис. 2, ввести пароль учетной записи локального администратора. После ввода пароля запустится приложение или функция операционной системы.
Рисунок 2: Диалоговое окно для обычных пользователей, работающих в Windows Vista
Обнаружение установок приложений и запрос на повышение прав
Подобно запуску приложений и функций операционной системы, Vista и UAC также помогают контролировать установку приложений. Известно, что пользователи будут устанавливать вредоносные и «жучковатые» приложения без одобрения административного персонала. Vista запрещает такое поведение, заставляя пользователей работать в качестве обычного пользователя, что не позволяет устанавливать большинство приложений. Когда пользователь попытается установить приложение, требующее прав администратора, диалоговое окно, рис. 3, предложит ему ввести учетные данные для повышения прав для выполнения задачи.
Рисунок 3: Диалоговое окно для обычных пользователей, пытающихся установить приложения в Windows Vista
Виртуализация ошибок записи файлов и реестра в местоположения для каждого пользователя
Не все приложения идеально вписываются в область приложений и технологий, совместимых с UAC. Что будет делать виртуализация в Vista, так это гарантировать, что приложения, которые не совместимы с UAC, по-прежнему смогут работать. Лучше всего это видно, когда приложение, не совместимое с UAC, пытается выполнить запись в защищенный каталог на компьютере, например в системный каталог, при этом приложение будет вынуждено использовать собственное виртуализированное представление ресурса, к которому оно пытается получить доступ. Эта виртуализация хранится в профиле пользователя, защищая его от операционной системы и других пользователей, которые могут использовать компьютер. Если приложение может работать с токенами полного административного доступа, что делает их совместимыми с UAC, виртуализация не требуется.
Внедрение контроля учетных записей
Когда вы устанавливаете Windows Vista, UAC уже включен. Microsoft действительно хочет, чтобы все использовали UAC, поскольку это должно значительно повысить уровень безопасности на каждом компьютере. Однако до сих пор это было проблемой, так как подсказки немного раздражают, и еще не все идеально. С такой технологией, как UAC, в новой ОС, такой как Vista, только время покажет, будут ли эти концепции работать в производственной среде.
Если вы планируете использовать UAC, а вы должны это сделать, подумайте о том, чтобы оценить его на некоторых компьютерах с наиболее продвинутыми пользователями в вашей компании. Обычный пользователь быстро раздражается и разочаровывается, когда что-то работает неправильно или когда ему постоянно предлагают запускать приложения каждый день.
Настройки GPO UAC
Как и почти любой параметр в среде Windows, UAC можно настроить централизованно с помощью групповой политики. Параметры групповой политики имитируют все функции, которыми вы хотели бы управлять с помощью UAC. Следующие параметры групповой политики доступны в разделе Конфигурация компьютера|Параметры Windows|Параметры безопасности|Локальные политики|Параметры безопасности для управления UAC:
- Контроль учетных записей пользователей: режим одобрения администратором для встроенной учетной записи администратора
- Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором
- Контроль учетных записей пользователей: поведение запроса на повышение прав для обычных пользователей
- Контроль учетных записей пользователей: обнаружение установок приложений и запрос на повышение прав
- Контроль учетных записей пользователей: повышать права только подписанных и проверенных исполняемых файлов.
- Контроль учетных записей пользователей: запустите всех администраторов в режиме одобрения администратором
- Контроль учетных записей пользователей: переход на безопасный рабочий стол при запросе на повышение прав
- Контроль учетных записей пользователей: виртуализация ошибок записи файлов и реестра в местоположения для каждого пользователя.
Резюме
Vista рекламируется как одна из самых безопасных операционных систем, когда-либо выпущенных Microsoft. Они потратили годы на работу над внутренними возможностями и функциями, чтобы убедиться, что вся среда более безопасна. UAC — это лишь одна из многих функций Vista, но одна из самых важных. Возможность использовать как администраторов, так и обычных пользователей в качестве неадминистраторов для большинства действий — это большой шаг в правильном направлении. Подсказки для повышения уровня задач могут раздражать, но со временем Microsoft обещает уменьшить подсказки и надеется, что все смогут к ним привыкнуть. Когда UAC включен по умолчанию и настраивается с помощью групповой политики, это делает его быстрым и простым решением для повышения безопасности на большинстве, если не на всех, ваших рабочих столах сразу после развертывания Vista. Я предлагаю вам попробовать и проявить терпение, поскольку это повысит безопасность вашей организации.