Контрола корисничких налога је вероватно најниже, а можда чак и најомраженија, карактеристика која је дебитовала у Висти и постала део свих будућих верзија Виндовс-а. Највећим делом, ток мржње који корисници преливају на контролу корисничких налога, сматрам га незаслуженим, јер је функција у стварној употреби. Потпуно се слажем да понекад контрола корисничких налога (у даљем тексту једноставно названа УАЦ) може бити врло неугодна, али је у Виндовс уведена са одређеном сврхом. Не, не да би ометали кориснике, већ да бисте олакшали несметан прелазак са стандардног (ограниченог) налога на администраторски налог.
У овом чланку ћу вам рећи шта је УАЦ, како функционише, зашто је потребан и како да га конфигуришете. Немам намеру да вас упућујем зашто треба да користите УАЦ, већ ћу вас обавестити о томе шта губите онемогућавањем ове функције.
Мало позадине и информација о рачуну
Као што би требало да знате, Виндовс сарађује са такозваним рачунима. Постоје две врсте: администратор и стандард (ограничено).
Администраторски налог кориснику омогућава потпуни приступ свим функцијама оперативног система, тј. корисник може радити све што жели. Корисник стандардног налога има смањена права и зато су му дозвољене само одређене ствари. То је, у правилу, све што утиче само на тренутног корисника. На пример: промена позадине на радној површини, подешавања миша, промена звучне шеме, итд. Уопштено, све што се тиче одређеног корисника и не односи се на цео систем, доступно је на стандардном налогу. За све што може утицати на систем у целини, потребан вам је администраторски приступ.
Један од задатака додељен овим рачунима је заштита од злонамерног кода. Општа идеја овде је да корисник обавља нормалан рад под ограниченим налогом и прелази на администраторски налог само када то захтева радња. Као што се чини парадоксално, злонамјерни софтвер добија исти ниво права са којима се корисник пријавио.
У Виндовс 2000 и Виндовс КСП, обављање операција у име администратора није довољно флексибилно, па рад под ограниченим налогом није био баш згодан. Један од начина да се изврше административне радње у овим верзијама система је следећи: напустите ограничен налог (или се брзо пребаците ако је коришћен Виндовс КСП) -> унесите административни налог -> извршите радњу -> напустите администраторски налог (или брзо пребаците ако користи Виндовс КСП) -> повратак на ограничени налог.
Друга опција је употреба контекстног менија и опција „Покрени као други корисник“, која отвара прозор у којем морате навести одговарајући администраторски налог и лозинку да бисте датотеку покренули као администратор. Ово је прилично брз начин преласка са једног рачуна на други, али није применљив у било којој ситуацији која захтева административне привилегије. Други проблем ове методе је да администраторски налог мора да има лозинку, иначе извршење неће успети.
Због тога је контрола корисничких налога уведена у Виндовс Виста, а скоро је усавршена у Виндовс-у 7..
Шта је УАЦ?
УАЦ је функција у оперативном систему Виндовс Виста, 7, 8, 8.1 и 10 која има за циљ да прелазак из ограниченог окружења у администратора буде глатка и без икаквих проблема, елиминишући потребу за ручним покретањем датотека са администраторским привилегијама или пребацивањем између налога. Поред тога, УАЦ је додатни слој заштите који не захтева готово никакав напор корисника, али може спречити озбиљну штету..
Како функционише УАЦ
Када се корисник пријави на свој налог, Виндовс креира такозвани кориснички приступни токен који садржи одређене информације о овом налогу и углавном различите сигурносне идентификаторе које оперативни систем користи за контролу приступних могућности овог налога. Другим речима, овај жетон је својеврсни лични документ (на пример, пасош). Ово се односи на све верзије оперативног система Виндовс засноване на НТ кернелу: НТ, 2000, КСП, Виста, 7, 8 и 10.
Када се корисник пријави на стандардни налог (ограничен), ствара се стандардни кориснички токен са ограниченим правима. Када се корисник пријави на администраторски налог, тзв администраторски токен са потпуним приступом. Логично је.
Међутим, у оперативном систему Виндовс Виста, 7, 8 и 10, ако је омогућен УАЦ и корисник је пријављен на администраторски налог, Виндовс креира два токена. Администратор остаје у позадини, док се стандардни користи за покретање Екплорер.еке. Односно, Екплорер.еке почиње са ограниченим правима. У овом случају, сви процеси покренути након тога постају подпроцеси Екплорер.еке са наслеђеним ограниченим привилегијама главног процеса. Ако процес захтева администраторска права, он захтева администраторски токен, а Виндовс, заузврат, тражи дозволу корисника да му овај токен дода процес у облику посебног дијалошког оквира.
У овом дијалошком оквиру налази се такозвана сигурна радна површина, којој може приступити само оперативни систем. Изгледа као замрачен снимак стварне радне површине и садржи само прозор за потврђивање администраторских права и, по могућности, језичку траку (ако је активирано више језика).
Ако се корисник не слаже и кликне на „Не“, Виндовс ће одбити поступак у администраторском жетону. А ако се он сложи и одабере „Да“, оперативни систем ће обезбедити процес потребним привилегијама, наиме, токен администратора.
Ако се процес већ покреће са смањеним правима, поново ће се покренути са онима који су повишен (администратор). Процес се не може директно „надоградити“ или „надоградити“. Након што је процес започет једним токеном, неће моћи добити друга права док се поново не покрене са новим правима. Пример је Менаџер задатака, који увек почиње са ограниченим правима. Ако кликнете на дугме „Прикажите процесе свих корисника“, управитељ задатака биће затворен и поново покренут, али са правима администратора.
Када користи стандардни налог, УАЦ тражи одређени администраторски налог и уноси лозинку:
Како УАЦ штити корисника
УАЦ сам по себи не пружа велику заштиту. Олакшава само прелазак из ограниченог окружења у окружење администратора. Дакле, тачнија тврдња питања је, дакле, следећа: како ограничени налог обесхрабрује корисника. Под ограниченим корисничким профилом процеси не могу приступити одређеним системским зонама:
- партиција главног диска;
- корисничке мапе других корисника у мапи \ Усерс \;
- Мапа датотека са програмским датотекама;
- Виндовс мапа и све њене подмапе;
- одељке других рачуна у системском регистру
- ХКЕИ_ЛОЦАЛ_МАЦХИНЕ одељак у системском регистру.
Било који процес (или злонамерни код) без администраторског права не може продријети дубоко у систем без приступа потребним мапама и кључевима регистра и, према томе, не може озбиљно наштетити систему.
Може ли УАЦ ометати старије програме који званично нису компатибилни са системом Виста / 7/8/10
Не би требало. Када је омогућен УАЦ, омогућена је и виртуализација. Неки стари и / или једноставно непажљиво написани програми не користе исправне фасцикле за чување датотека (подешавања, евиденције, итд.). Исправне мапе су фасцикле у АппДата директоријуму које има сваки налог и где сваки програм може да створи мапу за смештање свега што жели.
Неки програми покушавају да сачувају своје датотеке у програмским датотекама и / или Виндовс-у. Ако програм започне са правима администратора, то неће бити проблем. Међутим, ако се програм покреће са ограниченим дозволама, он неће моћи да мења датотеке / мапе у програмским датотекама и / или Виндовс. Оперативни систем јој то једноставно не дозвољава..
Да би спречио проблеме са таквим програмима, Виндовс нуди виртуелизацију фасцикли и кључеве регистра којима програми с ограниченим правима у принципу немају приступ. Када такав програм покуша да створи датотеку у заштићеној мапи, оперативни систем је преусмерава у посебну мапу ВиртуалСторе која се налази у Кс: \ Корисници \\ АппДата \ Лоцал \ (где је Кс: системска партиција, обично Ц :). И.е. Кроз очи самог програма све је у реду. Не наилази на препреке и верује да креира датотеке / мапе тачно тамо где жели. ВиртуалСторе обично садржи подмапе програмских датотека и Виндовс. Ево снимке екрана програмских датотека у мапи ВиртуалСторе:
А ево шта је на пример у мапи СопЦаст:
И.е. ако је УАЦ заустављен или се програм увек покренуо са администраторским привилегијама, ове датотеке / мапе би се креирале у Ц: \ Програм Филес \ СопЦаст. У оперативном систему Виндовс КСП ове датотеке и мапе би се креирале без проблема, јер у њему сви програми подразумевано имају администраторска права.
То, наравно, програмери не би требало да сматрају сталним решењем. Одговорност сваког аутора је да креира софтвер који је у потпуности компатибилан са тренутним оперативним системима.
УАЦ дијалози
Можда сте приметили да постоје само три различита УАЦ дијалога. Овдје ћемо погледати оне у Виндовсима 7, 8.к и 10. У Висти су дијалози нешто другачији, али на њима се нећемо задржавати..
Први тип прозора има тамно плаву пругу у горњем делу и икону у облику штитника у горњем левом углу, који је подељен на 2 плава и 2 жута дела. Овај прозор се појављује када је потребна потврда за процес с дигиталним потписом који припада оперативном систему - тзв Виндовс бинариес. О њима ћемо говорити у наставку..
Друга врста прозора је такође са тамноплавом врпцом, али икона оклопа је потпуно плава и са упитником. Овај прозор се појављује када је за дигитално потписан процес потребна потврда, али процес / датотека не припада оперативном систему..
Трећи прозор украшен је наранџастом пругом, штит је такође наранџасти, али са ускличником. Овај дијалог се појављује када је за процес потребан потврда без дигиталног потписа..
Подешавања УАЦ-а
Поставке контроле рачуна (режим рада) налазе се у Контролна табла -> Систем и безбедност -> Промена поставки контроле налога. Има их 4:
Увек обавештавање је највиши ниво. Овај режим је еквивалентан начину на који УАЦ ради у оперативном систему Виндовс Виста. У овом режиму систем увек захтева потврду права администратора, без обзира на поступак и шта захтева.
Други ниво се подразумевано користи у Виндовсима 7, 8.к и 10. У овом режиму Виндовс не приказује УАЦ прозор када је реч о такозваним Виндовс бинарним датотекама. И.е. ако датотека / процес који захтијева администраторска права испуњава сљедећа 3 увјета, оперативни систем ће им их аутоматски дати, без потврде од корисника:
- датотека има манифест (уграђен или као посебна датотека), што указује на аутоматски повишење права;
- датотека се налази у директоријуму Виндовс (или у било којој од његових подмапа);
- датотека потписана важећим Виндовс дигиталним потписом.
Трећи режим је исти као и други (претходни), али с том разликом што не користи сигурну радну површину. Односно, екран не потамни, а УАЦ дијалошки оквир се појављује као и било који други. Мицрософт не препоручује употребу ове опције, али зашто - објаснићу касније.
Не обавештавајте ме четврти и последњи ниво. У ствари, то значи потпуно онеспособљавање УАЦ-а.
Овде је примерено да направите два коментара:
- Виндовс дигитални потпис је специфичан за оперативни систем. Кажем то јер постоје датотеке које је дигитално потписао Мицрософт. То су два одвојена потписа, при чему УАЦ препознаје само Виндовс дигитални потпис, јер делује као доказ да датотека није само од Мицрософта, већ је и део оперативног система.
- Нису све Виндовс датотеке манифест за аутоматски повишење привилегија. Постоје датотеке које су намерно лишене овога. На пример, регедит.еке и цмд.еке. Јасно је да се други не надограђује аутоматски, јер се често користи за покретање других процеса, а као што је већ споменуто, сваки нови процес наслеђује права процеса који га је покренуо. То значи да би свако могао да користи командну линију за неприметно покретање било ког процеса са привилегијама администратора. Срећом, Мицрософт није глуп.
Зашто је важно користити сигурну радну површину
Сигурна радна површина спречава евентуалне сметње и сметње у другим процесима. Као што је горе поменуто, само оперативни систем има приступ њему и са њим прихвата само основне наредбе од корисника, односно притиском на дугме „Да“ или „Не“.
Ако не користите безбедну радну површину, нападач може да симулира УАЦ прозор да би вас завео и покренуо злонамерну датотеку као администратор.
Када су вам потребна администраторска права? Када се прикаже прозор УАЦ?
Обично постоје три случаја у којима УАЦ приступа кориснику:
- када мењате системска (некорисничка) подешавања, мада се у ствари то односи само на максимални ниво УАЦ-а;
- приликом инсталирања или уклањања програма / управљачког програма;
- када апликација / процес захтијевају администраторске привилегије за измјене системских датотека / мапа или регистарских кључева.
Зашто је важно не онеспособити УАЦ
Контрола корисничких налога пружа висок ниво заштите, а заузврат не захтијева готово ништа. Односно, ефикасност УАЦ-а је веома висока. Не разумијем зашто је људима тако досадно У свакодневном раду просечни корисник види УАЦ прозор 1-2 пута дневно. Можда чак 0. Толико?
Просечни корисник ретко мења системска подешавања, а када то учини, УАЦ се не мучи својим питањима да ли ради са подразумеваним подешавањима.
Просечни корисник не инсталира управљачке програме и програме сваки дан. Сви управљачки програми и већина потребних програма инсталирају се једном - након инсталирања система Виндовс. Односно, ово је главни проценат захтева за УАЦ. Након тога, УАЦ интервенише само током надоградње, међутим, нове верзије програма се не објављују сваки дан, да не спомињемо управљачке програме. Штавише, многи уопште не ажурирају програме или управљачке програме, што додатно смањује проблеме са УАЦ-ом..
Врло мало програма треба администраторска права да би обављали свој посао. То су углавном дефрагментери, алати за чишћење и оптимизацију, неки дијагностички програми (АИДА64, ХВМонитор, СпеедФан, итд.) И системска подешавања (на пример, Процесс Екплорер и Ауторунс, али само ако треба да извршите нешто одређено - рецимо, онемогућите управљачки програм / услуга или програма који започиње са системом Виндовс). И све су то програми који се уопште не могу користити или у ретким случајевима. Све често коришћене апликације раде са УАЦ апсолутно нормално и не постављају никаква питања:
- мултимедијални плејери (аудио и / или видео);
- видео / аудио претварачи;
- софтвер за обраду слике / видео / аудио;
- програми за снимање снимака заслона или видео записа на њима;
- програми за гледање слика;
- Веб прегледачи
- преузимачи датотека (менаџери преузимања и клијенти П2П мрежа);
- ФТП клијенти
- мессенгере или програме за говорну / видео комуникацију;
- програми за снимање дискова;
- архиватора;
- уређивачи текста;
- ПДФ читачи
- виртуелне машине;
- и други.
Чак и инсталирање Виндовс ажурирања не активира УАЦ прозор.
Постоје људи који су спремни да донирају 1-2 или више минута дневно како би „оптимизовали“ систем неким криво написаним програмима који не раде ништа корисно, али нису спремни потрошити неколико секунди дневно да одговоре на захтеве УАЦ-а..
Различите изјаве попут „Искусан сам корисник и знам како се заштитити“ нису довољне, јер нико није осигуран и исход одређених ситуација не зависи увек од корисника. Штавише, људи имају тенденцију да праве грешке, то се дешава свима.
Дозволите ми да вам дам један пример: претпоставимо да користите програм који има рањивости, а једног дана ћете бити на веб локацији која користи ове рањивости. Ако је омогућена контрола корисника и програм ради са ограниченим правима, нападач неће моћи да направи пуно проблема. У супротном, оштећења на систему могу бити колосална..
А ово је само један од многих примера..
Покретање апликација са Виндовс-ом као администратор
Претпостављам да могу постојати корисници који искључују УАЦ само како би могли покретати програме са Виндовсом и са администраторским правима. Ово није могуће на уобичајени начин, јер УАЦ не може послати захтев кориснику док се радна површина не учита. Међутим, постоји начин да оставите омогућен УАЦ. Ево:
- отворено Таск Сцхедулер;
- кликни Креирајте задатак;
- у пољу Име унесите нешто како желите, а на дну прозора омогућите опцију Наступите са највишим правима;
- иди на картицу Окидачи и кликните Креирајте;
- у падајућем менију на врху изаберите При пријави; ако желите да направите задатак за одређеног корисника, изаберите опцију Корисник, а затим кликните на Промените корисника; унесите корисничко име и потврдите притиском на Ок;
- иди на картицу Акције и кликните Креирајте;
- кликни Преглед, назначите одговарајућу пријаву и потврдите свој избор;
- иди на картицу Услови и онемогућите опцију Ради само ако се напаја из мреже;
- на картици Параметри онемогућите опцију Стоп задатак трчања дуже;
- потврдити од Ок.
Готово. Задатак је додан, тако да ће се апликација аутоматски учитати са привилегијима администратора. Овде, међутим, постоји један мали снаг: сви такви задаци се изводе са приоритетом нижим од нормалног - испод нормалног. Ако вам ово одговара, онда је све у реду. Ако не, онда морате мало више да радите:
- трчи Таск Сцхедулер, ако сте га већ затворили;
- одаберите Таск Сцхедулер Либрари;
- означите свој задатак, кликните Извези и сачувајте је у .кмл формату;
- отворите .кмл датотеку у уређивачу текста;
- пронађи одељак 7, који треба да буде на крају датотеке и измени седам (7) између отварања и затварања ознаке у пет (5);
- сачувајте датотеку;
- у Таск Сцхедулер-у поново означите свој задатак и кликните Избриши и потврдити брисање;
- сада кликните Увозни задатак, одредите датотеку коју сте управо сачували и кликните Ок.
То је све. На вама је да одлучите да ли ћете користити УАЦ или не, али врло је важно знати шта губите када искључите ову функцију, као и бити свесни ризика. Хвала на пажњи.!
Добар дан!