В этой статье я расскажу, что такое контроль учетных записей пользователей (User Account Control UAC) и что с ним делать.
Если вы еще не видели новую операционную систему Microsoft Vista, все же существует большая вероятность того, что вы что-нибудь слышали о контроле учетных записей пользователей (User Account Control - UAC). UAC считается одной из самых важных возможностей, которые предоставляет операционная система Vista, для того чтобы помочь создать более безопасное окружение для обычных пользователей и корпораций. UAC спроектирован для того, чтобы решить проблему, которая заключается в том, что обычным пользователям иногда необходимо быть администраторами на своем локальном компьютере для того, чтобы запускать приложения, выполнять рутинные задания операционной системы и т.п. Если у вас есть пользователи, которые являются также администраторами на своих компьютерах для выполнения рутинной работы, но вам не нравится такая конфигурация, то UAC может пригодиться для вас. Ниже я объясню, что такое UAC и для чего он нужен.
История UAC
UAC – это не изначальное название технологии Microsoft, которая была призвана защитить компьютере. Изначально, технология называлась LUA, что расшифровывается как Least Privilege User Access (наименьшие привилегии для пользовательского доступа). LUA описывается как:
“Принцип наименьшей привилегии (The Principle of Least Privilege) требует, чтобы каждый субъект в системе гарантировано имел самый ограниченный набор привилегий (или наименьшее разрешение), необходимых для выполнения авторизованных задач. В приложениях, которые работают по такому принципу могут возникать ошибки или отказ в доступу.”
Это цитата взята напрямую из компьютерной системы департамента обороны (Department of Defense Trusted computer system Evaluation Criteria DOD-5200.28-STD), или по-другому ее называют оранжевой книгой. Как вы может увидеть, содержание LUA очень понятно с точки зрения безопасности.
Проблема заключается в том, что LUA не возможен внутри Vista, в результате курса, который был заложен Microsoft изначально. Поэтому они изменили название технологии на User Account Protection (защита учетной записи пользователя или UAP). UAP не изменил технологии, поменялось только название. В операционной системе Vista по-прежнему присутствую части, которые ссылаются на LUA, даже не смотря на то, что концепция была признана нереализуемой в операционной системе.
Microsoft давно известна привычкой изменять аббревиатуру технологий в окончательных версиях операционных систем, и технология LUA/UAP была не исключением. Скоро, после того как LUA была переименована в, она была переименована User Account Control (контроль учетных записей пользователя или UAC). UAC – это текущее название технологии, и вроде бы пока оно не планируется измениться.
Цели UAC
UAC анонсируется Microsoft, как технология в операционной системе Vista, без которой вы не сможете жить. В некоторых кругах она называется конечной версией технологии LUA. Однако, UAC предоставляет некоторые четкие решения, который каждый должен исследовать, устояв перед искушением, что он пришла от Microsoft. Самые важные цели, которые преследует UAC включают:
Запрос на увеличение полномочий (elevation prompt) для администраторов в режиме Admin Approval Mode
Когда администратор работает на компьютере под управлением операционной системы Vista, идеально предоставить ему функции стандартного пользователя до тех пор, пока не появится задача, требующая повышенных привилегий (elevated privileges). В операционной системе Vista это было решено великолепным способом с помощью контроля этой ситуации. Когда администратор сталкивается с задачей, которая требует более высоких привилегий, то появляется диалоговое окно (смотри рисунок 1), которое спрашивает, желаете ли вы поднять ваш статус до администраторского. Это идеальное решение по сравнению с решением RunAs (запустить от имени), которое использовалось администраторами с Windows 2000 Professional. В этом случае пользователю не нужно беспокоиться о настройке ярлыков или файлов со сценариями (batch files), которые позволили бы им поднять свои привилегии, что было необходимо для решения RunAs (запустить от имени). Дополнительно, пользователь полагается на операционную систему в вопросе определения требований к повышенным привилегиям, что позволит съэкономить время и усилия.
Рисунок 1: Диалоговое окно для администраторов, работающих на Windows Vista
Повышение привилегий (Elevation prompt) для обычных пользователей
Большой проблемой для многих компаний долгое время было то, что необходимо было добавлять обычных пользователей в группу локальных администраторов (local administrators group) для выполнения рутинных задач операционной системы и правильной работы приложений. Как и в случае с администратором, который был описан выше, очень хотелось бы, чтобы эти обычные пользователи работали, не имея привилегий администратора до тех пор, пока они действительно необходимы. Vista обязывает обычных пользователей работать без увеличенных привилегий до тех пор, пока не возникнет такая задача, которая требует этих увеличенных привилегий. Тогда появляется диалоговое окно (смотрите Рисунок 2), в котором необходимо ввести пароль учетной записи локального администратора (local administrator account). После ввода пароля приложение начнет работать.
Рисунок 2: Диалоговое окно для стандартных пользователей, работающих на Windows Vista
Определение установок приложений и запросов на увеличение привилегий
В обычном режиме работы операционной системы и приложений, Vista и UAC помогает контролировать установку приложений. Это известная проблема, что пользователи часто устанавливают вредоносные и зараженные приложения без согласия администратора. Vista запрещает такое поведение, принуждая пользователей работать с правами обычных пользователей, в результате чего, они не могут установить большинство приложений. Когда пользователь пытается установить приложение, которое требует прав администратора, то появляется диалоговое окно, представленное на рисунке 3, которое просит ввести имя и пароль учетной записи, у которой есть права на выполнение этой задачи.
Рисунок 3: Диалоговое окно для обычных пользователей, пытающихся установить приложения в Windows Vista
Файл виртуализации и записи в реестре для каждого пользователя
Не все приложения превосходно встраиваются в слаженное царство приложений и технологий UAC. Виртуализация внутри Vista позволяет гарантировать, что приложения, которые не совместимы с UAC по-прежнему будут работать. Это можно лучше увидеть в ситуации, когда приложение, несовместимое с UAC пытается записать в защищенную директорию на компьютере, например в директорию System. В этом случае приложение будет вынуждено использовать свой собственный виртуализированный раздел (virtualized view) для ресурса, к которому оно пытается получить доступ. Эта виртуализация хранится в профиле пользователя (user profile), защищенная от операционной системы и других пользователей, которые могут работать на компьютере. Если приложение может работать при полных административных правах, то виртуализация (virtualization) не требуется.
Реализация UAC
Когда вы устанавливаете Windows Vista, UAC уже подключен. Microsoft хочет, чтобы все использовали UAC, т.к. это должно сильно повысить уровень безопасности на каждом компьютере. Однако, она также является проблемой, т.к. постоянные запросы на повышение привилегий могут сильно надоедать, и не все еще так безоблачно. Только время сможет ответь на вопрос, будет ли технология наподобие UAC в новой операционной системе OS наподобие Vista работать в промышленной среде (production environment).
Если вы хотите опробовать UAC, что вполне вероятно, то опробуйте ее на нескольких компьютерах с самыми продвинутыми пользователями в вашей компании. Обычный пользователь может быстро устать от того, что все работает неправильно, а это в свою очередь отразится на вас.
Параметры GPO для UAC
Как практически все настройки в среде Windows environment, UAC можно настроить централизованно с помощью политики группы (Group Policy). Настройки политики группы (Group Policy) позволяют задать все функции, которые вы хотите контролировать с помощью UAC. Следующие настройки политики группы (Group Policy) доступны в разделе Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options для управления UAC:
- User Account Control: Admin Approval Mode for Built-in Administrator account
- User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode
- User Account Control: Behavior of the elevation prompt for standard users
- User Account Control: Detect application installations and prompt for elevation
- User Account Control: Only elevate executables that are signed and validated
- User Account Control: Run all administrators in Admin Approval Mode
- User Account Control: Switch to the secure desktop when prompting for elevation
- User Account Control: Virtualize file and registry write failures to per-user locations
Резюме
Vista считается одной из самых безопасных операционных систем, которые когда-либо выпускала Microsoft. Они потратили годы на работу над внутренними функциями и возможностями, делая тем самым всю среду более безопасной. UAC – это всего лишь одна из нескольких возможностей в Vista, но она является одной из самых важных возможностей. Благодаря возможности как для администраторов, так и для обычных пользователей, работать не используя административные права для большинства задач – это большой шаг в правильном направлении. Постоянные запросы на увеличение привилегий (prompts for elevating) могут надоедать, но со временем Microsoft обещает снизить количество запросов, и надеется, что каждый сможет ими воспользоваться. Благодаря UAC, включенному по умолчанию, возможностям настройки с помощью политики групп (Group Policy), UAC становится быстрым и простым решением для увеличения безопасности ваших компьютеров, работающих под управлением Vista. Я предполагаю, что вы попробуете ее в своей организации.
