Controle Do Cliente Do Usuário De Vista: Privilégios Mais espertos Do Usuário


  Share  
|

A maioria (eu tempted realmente dizer a maioria vasta) dos problemas segurança-relacionados em versões recentes de Windows ferveram para baixo a uma única causa da raiz: A maioria de usuários funcionavam Windows com permissões do administrador-nível. Os administradores podem fazer qualquer coisa a uma máquina de Windows, including programas instalando, adicionando dispositivos, atualizando excitadores, instalando updates e remendos, ajustes em mudança do registro, ferramentas administrativas funcionando, e criando e clientes modificando do usuário. Isto é conveniente, mas conduz a um problema enorme: Todo o malware que se insinuar em seu sistema será também capaz de operar-se com permissões administrativas, assim permitindo o programa ao havoc do wreak no computador e apenas sobre qualquer coisa conectado a ele.

Windows.xp tentou resolver o problema criando um nível do cliente do segundo-second-tier chamado o usuário limitado, que teve somente permissões muito básicas. Infelizmente, havia três furos gaping nesta "solução":

  • XP alertou-o criar um ou mais usuário explica durante a instalação, mas não o forçou a criar um. Se você saltasse esta parte, XP começou sob o cliente do administrador.

  • Mesmo se você elegeu para criar usuários, o programa de instalação não lhe deu uma opção para ajustar a segurança do cliente em nível. Conseqüentemente, todo o cliente que você criasse durante a instalação foi adicionado automaticamente ao grupo dos administradores.

  • Se você criasse um cliente limitado do usuário, você provavelmente não o manteve para longo porque XP hobbled o cliente assim mal que você não poderia o usar fazer qualquer coisa mas as tarefas as mais básicas do computador. Você não poderia mesmo instalar a maioria de programas porque requerem geralmente escrevem a permissão para o dobrador de %SystemRoot% e o registro, e os usuários limitados faltados isso permissão.

Windows Vista tenta uma vez outra vez resolver este problema. A solução nova é-lhe chamada controle e Usuário Explicar usos um princípio chamado o usuário menos-privilegiado. A idéia atrás desta é criar um nível do cliente que não tenha não mais permissão do que ele requer. Outra vez, tais clientes são impedidos de editar o registro e de executar outras tarefas administrativas. Entretanto, estes usuários podem executar outras tarefas cotidianas:

  • Instale programas e updates

  • Adicione excitadores da impressora

  • Mude opções wireless da segurança (tais como a adição de uma chave de WEP ou de WPA)

Em Windows Vista, o conceito menos-privilegiado do usuário chega no formulário de um tipo novo do cliente chamado o usuário padrão. Isto significa que Vista tem três níveis básicos do cliente:

  • O cliente do administrador este cliente pode fazer qualquer coisa ao computador.

  • Os membros do grupo dos administradores deste grupo (exceto o cliente do administrador) funcionado como usuários padrão mas podem elevate seus privilégios quando requeridos apenas estalando uma tecla em uma caixa de diálogo (veja a seção seguinte).

  • Os usuários padrão agrupam estes são os usuários menos-privilegiados, embora eles, demasiado, podem elevate seus privilégios quando necessitados; entretanto, requerem o acesso a uma senha do administrador fazer assim.

Elevating Privilégios

Esta idéia de elevating privilégios está no coração do modelo novo da segurança de Vista. Em Windows.xp, você poderia usar o funcionamento como o comando funcionar uma tarefa como um usuário diferente (isto é, um com privilégios mais elevados). Em Vista, você geralmente não necessita fazer este porque Vista o alerta para a elevação automaticamente.

Se você for um membro dos administradores grupo, você funciona com os privilégios de um usuário padrão para a segurança extra. Quando você tentar uma tarefa que requeira privilégios administrativos, alertas de Vista para seu consentimento indicando uma caixa de diálogo do controle do cliente do usuário. Estale o controle para permitir a tarefa proseguir. Se esta caixa de diálogo aparecer inesperada, é possível que um programa do malware está tentando executar alguma tarefa que requer privilégios administrativos; você pode thwart que a tarefa estalando o cancelamento instead.When que um administrador lança uma tarefa que requeira privilégios administrativos, Windows Vista indica esta caixa de diálogo para pedir consentimento.

Se você estiver funcionando como um usuário padrão e tentar uma tarefa que requeira privilégios administrativos, Vista usa um nível extra da proteção. Isto é, em vez apenas de alertá-lo para o consentimento, alerta-o para os credentials de um administrador. Se seu sistema tiver clientes múltiplos do administrador, cada está mostrado nesta caixa de diálogo. Datilografe a senha para todo o cliente do administrador mostrado, e estale-a então submetem-se. Outra vez, se esta caixa de diálogo mostrasse acima inesperada, pôde ser malware, assim que você deve estalar o cancelamento para impedir a tarefa de through.When indo lançamentos padrão de um usuário uma tarefa que requeira privilégios administrativos, exposições de Windows Vista esta caixa de diálogo pedir credentials administrativos.

Nota, demasiado, que em ambos os interruptores de Windows Vista dos casos para fixar a modalidade desktop, que os meios você não podem fazer qualquer outra coisa com Vista até que você der seus consentimento ou credentials ou cancelar a operação. Vista indica o desktop seguro escurecendo tudo na tela exceto a caixa de diálogo do controle do cliente do usuário.

Nota

O controle do cliente do usuário parece sensible na superfície, mas Microsoft não a executou sempre em uma maneira sensible. Para o exemplo, às vezes você está alertado para a elevação durante tarefas simples tais como apagamentos da lima e rebatiza, ou quando você mudar a data do sistema ou a cronometrar. Isto conduziu a uma folga de encontro ao controle do cliente do usuário em alguns círculos, e eu sou sympathetic a um ponto (assim que é Microsoft, que prometeu tweak o controle do cliente do usuário antes de enviar o código final de Vista). Entretanto, todos os povos que se estão queixando sobre o controle do cliente do usuário são os verificadores beta que, pela definição, tweaking os ajustes, instalando excitadores e programas, e geralmente empurrar Vista para seus limites. Naturalmente você está indo começar bater com lotes de caixas de diálogo de UAC sob aquelas circunstâncias. Entretanto, o usuário médio realmente não tweak seu sistema todo que frequentemente, assim que eu pensamos que UAC será muito menos de um problema do que seus críticos sugerem.

É também possível elevate seus privilégios para todo o programa individual. Você faz este direito-estalando a lima ou o atalho do programa e então estalando funcionado como o administrador.

Nota

Você pôde ter uns programas mais velhos que simplesmente não funcionassem sob o modelo da segurança do controle do cliente do usuário de Vista porque requerem privilégios administrativos. Se você não quiser dar padrão o usuário senha de um administrador, você pode imóvel permitir o usuário de funcionar o programa. Encontre a lima executável do programa, direito-clique ele, e estale então propriedades. Na propriedade sheet que aparece, indique a aba da compatibilidade, ative o funcionamento este programa como uma caixa de verificação do administrador, e estale-o então ESTÁ BEM. (você pode também fazer este com todo o atalho ao executável. Vista atribui o privilégio elevated a atalhos executáveis e todos seus.) Vista funciona então um teste de diagnóstico no programa para ver os privilégios que administrativos requer. Esta é uma característica da segurança que se assegure de que o programa comece somente o número mínimo dos privilégios que requer funcionar corretamente.


Lima e virtualization do registro

Você pôde querer saber como Windows seguro Vista é realmente se um usuário padrão pudesse instalar programas. Não esse meio que o malware pode instalar também? NoVista executa um modelo novo para a segurança da instalação. Em Vista, você necessita privilégios administrativos escrever qualquer coisa ao dobrador de %SystemRoot% (geralmente C:\Windows), ao dobrador de %ProgramFiles% (geralmente limas de C:\Program), e ao registro. Vista segura este para usuários padrão em duas maneiras:

  • Durante uma instalação do programa, Vista alerta primeiramente o usuário para credentials. Se forem fornecidos, Vista dá a permissão ao instalador do programa escrever a %SystemRoot%, a %ProgramFiles%, e ao registro.

  • Se o usuário não puder fornecer credentials, Vista usa uma técnica chamada lima e virtualization do registro, que cría dobradores virtuais de %SystemRoot% e de %ProgramFiles%, e uma chave virtual do registro de HKEY_LOCAL_MACHINE, que sejam armazenadas com as limas do usuário. Isto permite o instalador de proseguir sem jeopardizing limas de sistema reais.

Políticas Do Controle Do Cliente Do Usuário

Você pode customize o controle do cliente do usuário a alguma extensão usando políticas do grupo. Nos ajustes locais da segurança snap-in (a imprensa Windows Logo+R, datilografa secpol.msc, e APROVAÇÃO do clique), abra os ajustes da segurança, políticas locais, filial das opções da segurança. Aqui você encontrará seis políticas relacionadas ao controle do cliente do usuário:

  • Controle Do Cliente Do Usuário: Modalidade da aprovaçã0 do Admin para Constr- no cliente que do administrador esta política controla se as quedas do cliente do administrador sob o controle do cliente do usuário. Se você permitir esta política, o cliente do administrador está tratado como todo o outro cliente nos administradores grupo e você deve estalar continua na caixa de diálogo do consentimento quando Windows Vista requer a aprovaçã0 para uma ação.

  • Controle Do Cliente Do Usuário: O comportamento do alerta da elevação para administradores na modalidade da aprovaçã0 do Admin esta política controla o alerta que aparece quando um administrador requer privilégios elevated. O ajuste do defeito é alerta para o consentimento, onde o usuário estala continua ou cancela. Você pode também escolher o alerta para que os credentials forcem o usuário a datilografar sua ou sua senha. Se você não escolher nenhum alerta, os administradores não podem elevate seus privilégios.

  • Controle Do Cliente Do Usuário: O comportamento do alerta da elevação para usuários padrão esta política controla o alerta que aparece quando um usuário padrão requer privilégios elevated. O ajuste do defeito é alerta para credentials, forçar o usuário a datilografar uma senha do administrador. Você não pode também não escolher nenhum alerta impedir que os usuários padrão elevating seus privilégios.

  • Controle Do Cliente Do Usuário: A aplicação da supressão instala e alerta para o uso da elevação esta política permitir ou incapacitar a elevação automática do privilégio ao instalar programas.

  • Controle Do Cliente Do Usuário: Funcione todos os administradores em usuários da modalidade da aprovaçã0 do Admin usam esta política permitir ou incapacitar administradores running (excluding o cliente do administrador) como usuários padrão.

  • Controle Do Cliente Do Usuário: Elevate somente Executables que é assinado e uso validado esta política permitir ou incapacitar se Vista verifica a assinatura da segurança de qualquer programa que pedir privilégios elevated.

  • Controle Do Cliente Do Usuário: Comute ao desktop seguro ao alertar para o uso da elevação esta política permitir ou incapacitar se Vista comuta ao desktop seguro quando os alertas da elevação aparecem.

  • Controle Do Cliente Do Usuário: A lima e o registro de Virtualize escrevem a falhas ao uso das posições do Por-Usuário esta política permitir ou incapacitar a lima e o virtualization do registro para usuários padrão

este é um artigo adicionado por Emm Schmitt


Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions