Commande De Compte D'Utilisateur De Vista : Des Privilèges Plus futés D'Utilisateur


  Share  
|

Les la plupart (je suis tenté réellement pour dire la grande majorité) des problèmes sécurité-connexes dans des versions récentes de Windows ont bouilli vers le bas à une cause simple de racine : La plupart des utilisateurs couraient Windows avec des permissions d'administrateur-niveau. Les administrateurs peuvent faire n'importe quoi à une machine de Windows, y compris des programmes d'installation, ajoutant des dispositifs, mettant à jour des conducteurs, installant des mises à jour et des pièces rapportées, arrangements changeants d'enregistrement, outils administratifs fonctionnants, et créant et de modification des comptes d'utilisateur. C'est commode, mais il mène à un problème énorme : N'importe quel malware qui s'insinue sur votre système sera également capable du fonctionnement avec des permissions administratives, de ce fait permettant au programme de limiter les dégats sur l'ordinateur et juste au sujet de n'importe quoi relié à lui.

Windows.xp a essayé de résoudre le problème en créant un niveau de compte de deuxième-rangée appelé l'utilisateur limité, qui a eu seulement des permissions très de base. Malheureusement, il y avait trois trous béants dans cette "solution" :

  • XP vous a incité à créer un ou plusieurs comptes d'utilisateur pendant l'installation, mais il ne vous a pas forcé à créer un. Si vous sautiez la présente partie, XP a commencé sous le compte d'administrateur.

  • Même si vous choisissiez de créer des utilisateurs, le programme d'installation ne vous a pas donné une option pour placer la sécurité de compte de niveau. Par conséquent, n'importe quel compte que vous avez créé pendant l'installation a été automatiquement ajouté au groupe d'administrateurs.

  • Si vous créiez un compte limité d'utilisateur, vous ne l'avez pas gardé probablement pour long parce que XP a boitillé le compte tellement mal que vous ne pourriez pas l'employer pour faire n'importe quoi mais l'ordinateur le plus fondamental charge. Vous ne pourriez pas même installer la plupart des programmes parce qu'ils exigent généralement écrivent la permission pour la chemise de %SystemRoot% et l'enregistrement, et les utilisateurs limités manqués cela permission.

Windows Vista essaye de nouveau de résoudre ce problème. La nouvelle solution s'appelle commande et lui d'User Account des utilisations un principe appelé l'utilisateur moindre-privilégié. L'idée derrière ceci est de créer un niveau de compte qui n'a plus de permissions qu'il exige. Encore, de tels comptes sont empêchés d'éditer l'enregistrement et exécutant l'autre administratif charge. Cependant, ces utilisateurs peuvent exécuter l'autre de jour en jour charge :

  • Installez les programmes et les mises à jour

  • Ajoutez les conducteurs d'imprimeur

  • Changez les options sans fil de sécurité (telles qu'ajouter une clef de WEP ou de WPA)

Dans Windows Vista, le concept moindre-privilégié d'utilisateur arrive sous forme de nouveau type de compte appelé l'utilisateur standard. Ceci signifie que Vista a trois niveaux de base de compte :

  • Le compte d'administrateur ce compte peut faire n'importe quoi à l'ordinateur.

  • Les membres de groupe d'administrateurs de ce groupe (excepté le compte d'administrateur) couru en tant qu'utilisateurs standard mais peuvent élever leurs privilèges une fois requis juste en cliquant un bouton dans une zone de dialogue (voyez la prochaine section).

  • Les utilisateurs standard groupent ces derniers sont les utilisateurs moindre-privilégiés, bien qu'ils, aussi, peuvent élever leurs privilèges une fois nécessaires ; cependant, ils exigent de l'accès à un mot de passe d'administrateur de faire ainsi.

Élévation Des Privilèges

Cette idée d'élever des privilèges est au coeur du nouveau modèle de la sécurité de Vista. Dans Windows.xp, vous pourriez employer la course comme commande de courir un charger en tant qu'utilisateur différent (c'est-à-dire, un avec des privilèges plus élevés). Dans Vista, vous habituellement n'avez pas besoin de faire ceci parce que Vista vous incite pour l'altitude automatiquement.

Si vous êtes un membre des administrateurs groupe, vous courez avec les privilèges d'un utilisateur standard pour la sécurité supplémentaire. Quand vous essayez un charger qui exige des privilèges administratifs, des messages de sollicitation de Vista pour votre consentement en montrant une commande de Clic de zone de dialogue de commande de compte d'utilisateur pour permettre au charger de procéder. Si cette zone de dialogue apparaît inopinément, il est possible qu'un programme de malware essaye d'exécuter une partie chargent qui exige des privilèges administratifs ; vous pouvez contrecarrer qui chargent en cliquant l'annulation instead.When des lancements d'un administrateur un charger qui exige les privilèges administratifs, Windows Vista montrent cette zone de dialogue pour demander le consentement.

Si vous courez en tant qu'utilisateur standard et essayez un charger qui exige des privilèges administratifs, Vista emploie un niveau supplémentaire de la protection. C'est-à-dire, au lieu de vous inciter juste pour le consentement, il vous incite pour les qualifications d'un administrateur. Si votre système a des comptes multiples d'administrateur, chacun est montré dans cette zone de dialogue. Dactylographiez le mot de passe pour n'importe quel compte d'administrateur montré, et puis cliquez soumettent. Encore, si cette zone de dialogue apparaît inopinément, ce pourrait être malware, ainsi vous devriez cliquer l'annulation pour empêcher le charger de through.When allant les lancements standard d'un utilisateur un charger qui exige des privilèges administratifs, affichages de Windows Vista cette zone de dialogue pour demander les qualifications administratives.

Note, aussi, qui dans des les deux commutateurs de Windows Vista de cas pour fixer le mode de bureau, que les moyens vous ne peuvent pas faire toute autre chose avec Vista jusqu'à ce que vous donniez votre consentement ou qualifications ou décommandiez l'opération. Vista indique le dessus de bureau bloqué en obscurcissant tout sur l'écran excepté la zone de dialogue de commande de compte d'utilisateur.

Note

La commande de compte d'utilisateur semble sensible sur la surface, mais Microsoft ne l'a pas toujours mise en application d'une manière sensible. Par exemple, parfois vous êtes incité pour l'altitude pendant le simple charge comme des suppressions de dossier et retitre, ou quand vous changez la date de système ou la chronométrez. Ceci a mené à un jeu de denture contre la commande de compte d'utilisateur en quelques cercles, et je suis bien disposé à un point (ainsi est Microsoft, qui a promis de tordre la commande de compte d'utilisateur avant d'embarquer le code final de Vista). Cependant, toutes les personnes qui se plaignent au sujet de la commande de compte d'utilisateur sont de bêtas essayeurs qui, par définition, tordent des arrangements, installant des conducteurs et des programmes, et généralement poussée de Vista à ses limites. Naturellement vous allez obtenir de frapper avec un bon nombre de zones de dialogue d'UAC dans ces conditions. Cependant, l'utilisateur moyen vraiment ne tord pas leur système tout qui souvent, ainsi moi pensent qu'uac sera beaucoup moins de problème que ses critiques suggèrent.

Il est également possible d'élever vos privilèges pour n'importe quel programme individuel. Vous faites ceci par right-cliquer le dossier de programme ou le raccourci et puis cliquer couru comme administrateur.

Note

Vous pourriez avoir des programmes plus anciens qui simplement ne fonctionneront pas sous le modèle de sécurité de commande de compte de l'utilisateur de Vista parce qu'ils exigent des privilèges administratifs. Si vous ne voulez pas donner standard l'utilisateur le mot de passe d'un administrateur, vous pouvez immobile permettre à l'utilisateur d'exécuter le programme. Trouvez le dossier exécutable du programme, right-clic il, et puis cliquez les propriétés. Dans la propriété couvrez qui apparaît, montrez l'étiquette de compatibilité, activez la course ce programme comme boîte de contrôle d'administrateur, et puis cliquez BIEN. (vous pouvez également faire ceci avec n'importe quel raccourci à l'exécutable. Vista assigne le privilège élevé aux raccourcis exécutables et tous ses.) Vista exécute alors un test de diagnostic sur le programme pour voir les privilèges administratifs qu'il exige. C'est un dispositif de sécurité qui s'assure que le programme obtient seulement le nombre minimum de privilèges des lesquels il exige de fonctionner correctement.


Dossier et virtualisation d'enregistrement

Vous pourriez vous demander à quel point Windows bloqué Vista est vraiment si un utilisateur standard peut installer des programmes. Pas ce moyen que le malware peut installer aussi bien ? NoVista met en application un nouveau modèle pour la sécurité d'installation. Dans Vista, vous avez besoin de privilèges administratifs d'écrire n'importe quoi à la chemise de %SystemRoot% (habituellement C:\Windows), à la chemise de %ProgramFiles% (habituellement dossiers de C:\Program), et à l'enregistrement. Vista manipule ceci pour les utilisateurs standard de deux manières :

  • Pendant une installation de programme, Vista incite d'abord l'utilisateur pour des qualifications. Si elles sont fournies, Vista donne la permission à l'installateur de programme d'écrire à %SystemRoot%, à %ProgramFiles%, et à l'enregistrement.

  • Si l'utilisateur ne peut pas fournir des qualifications, Vista emploie une technique appelée le dossier et la virtualisation d'enregistrement, qui crée les chemises virtuelles de %SystemRoot% et de %ProgramFiles%, et une clef virtuelle d'enregistrement de HKEY_LOCAL_MACHINE, qui est stockée avec les dossiers de l'utilisateur. Ceci permet à l'installateur de procéder sans compromettre les dossiers de système réels.

Politiques De Commande De Compte D'Utilisateur

Vous pouvez adapter la commande aux besoins du client de compte d'utilisateur dans une certaine mesure en employant des politiques de groupe. Dans les arrangements locaux de sécurité snap-in (la pression Windows Logo+R, dactylographient secpol.msc, et cliquent BIEN), ouvrez les arrangements de sécurité, politiques locales, branche d'options de sécurité. Voici que vous trouverez six politiques liées à la commande de compte d'utilisateur :

  • Commande De Compte D'Utilisateur : Mode d'approbation d'Admin pour Construire-Dans le compte d'administrateur que cette politique commande si les chutes de compte d'administrateur sous la commande de compte d'utilisateur. Si vous permettez cette politique, le compte d'administrateur est traité comme n'importe quel autre compte dans les administrateurs groupe et vous devez cliquer continuez dans la zone de dialogue de consentement quand Windows Vista exige l'approbation pour une action.

  • Commande De Compte D'Utilisateur : Le comportement du message de sollicitation d'altitude pour des administrateurs en mode d'approbation d'Admin cette politique commande le message de sollicitation qui apparaît quand un administrateur a besoin des privilèges élevés. L'arrangement de défaut est prompt pour le consentement, où l'utilisateur clique continuent ou décommandent. Vous pouvez également choisir le message de sollicitation pour que les qualifications forcent l'utilisateur à dactylographier son mot de passe. Si vous ne choisissez aucun message de sollicitation, les administrateurs ne peuvent pas élever leurs privilèges.

  • Commande De Compte D'Utilisateur : Le comportement du message de sollicitation d'altitude pour les utilisateurs standard cette politique commande le message de sollicitation qui apparaît quand un utilisateur standard a besoin des privilèges élevés. L'arrangement de défaut est prompt pour des qualifications, pour forcer l'utilisateur à dactylographier un mot de passe d'administrateur. Vous ne pouvez également choisir aucun message de sollicitation pour empêcher les utilisateurs standard d'élever leurs privilèges.

  • Commande De Compte D'Utilisateur : L'application d'effacement installe et message de sollicitation pour l'usage d'altitude cette politique de permettre ou neutraliser l'altitude automatique de privilège tout en installant des programmes.

  • Commande De Compte D'Utilisateur : Courez tous les administrateurs dans des utilisateurs de mode d'approbation d'Admin emploient cette politique pour permettre ou neutraliser les administrateurs courants (à l'exclusion du compte d'administrateur) en tant qu'utilisateurs standard.

  • Commande De Compte D'Utilisateur : Élevez seulement Executables qui sont signés et utilisation validée cette politique de permettre ou neutraliser si Vista vérifie la signature de sécurité de n'importe quel programme qui demande des privilèges élevés.

  • Commande De Compte D'Utilisateur : Commutez au dessus de bureau bloqué en incitant pour l'usage d'altitude cette politique de permettre ou neutraliser si Vista commute au dessus de bureau bloqué quand les messages de sollicitation d'altitude apparaissent.

  • Commande De Compte D'Utilisateur : Le dossier et l'enregistrement de Virtualize écrivent à des échecs à l'utilisation d'endroits d'Par-Utilisateur cette politique de permettre ou neutraliser le dossier et la virtualisation d'enregistrement pour les utilisateurs standard

c'est un article supplémentaire par Emm Schmitt


Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions