UAC: улучшенная безопасность
🕛 13.12.2006, 13:26
Новая функция User Account Control (UAC) позволяет пользователям, чья учётная запись обладает административными привилегиями (или если пользователь зашёл как администратор), выполнять различные действия, недоступные обычным пользователям. Если у вас нет соответствующих прав, то система выдаст сообщение об их отсутствии. То есть для запуска программы придётся использовать другую учётную запись. Для этого вовсе необязательно выходить из системы и входить в неё повторно. Всегда можно использовать команду "runas", которая позволяет запустить программу под другой учётной записью. В Windows работает принцип наименьшего уровня привилегий. То есть обычным пользователям, которые выполняют под Windows повседневную работу, следует заходить с правами рядового пользователя, чтобы запущенный вирус или "троян" смог принести намного меньше вреда, чем под правами администратора. Но Microsoft не всегда следовала этому принципу. Первый пользователь, который устанавливает Windows XP под своей учётной записью, получает права администратора.
Любой запрос программы User Account Control выполняется на защищённом рабочем столе. Все остальные программы затеняются, поэтому окно сразу же привлекает к себе внимание.
Ещё один пример запроса UAC.
Если вы пожелаете ввести пароль или задать права и привилегии пользователей и групп, Windows Vista переключится на защищённый рабочий стол. Он не позволяет программам-логгерам захватить пароль или другую важную информацию. И удалённое управление этим окном из других приложений тоже невозможно.
Программа User Account Control приятно улучшает безопасность. Но многие опытные пользователи и так знают, что они делают, поэтому им диалоги программы могут показаться чересчур надоедливыми. Впрочем, есть возможность отменить запросы программы как через локальную политику безопасности, так и с помощью утилиты msconfig.
Любая программа с административными привилегиями может запустить дочерние процессы с такими же привилегиями. И хотя для Windows это не ново, предупреждение можно считать хорошим шагом вперёд.
Если Центр обеспечения безопасности Windows (Security Center) отключён, его можно включить без перезагрузки машины, через "Панель управления".
Шифрование жёсткого диска
Утилита Bitlocker Drive Encryption тоже вносит свою лепту в систему безопасности: она позволяет шифровать жёсткий диск. При этом используется TCPA/Palladium, а за обмен ключами отвечает так называемый чип Фрица. Но в нашей системе мы не смогли активировать шифрование.
Шифрование жёстких дисков Bitlocker включить не так-то и легко.
Нужна специальная конфигурация жёсткого диска.
Групповая политика
В настройку "Групповой политики" (Group Policy) можно войти, набрав в командной строке gpedit.msc. Настройки User Account Control доступны по следующему пути: Computer Configuration Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options.
В "Групповой политике" есть необходимые опции для настройки User Account Control.
Возможности настройки для пользовательского режима.
В данном разделе находятся разные опции, позволяющие указать, что UAC должен запрещать, а где запрашивать разрешение. Например, можно указать, что обычные пользователи должны всегда заходить в систему с помощью пароля, а пользователи с административными правами будут открывать любую программу без дополнительных преград.
Полное отключение защиты User Access Protection
Утилита системной настройки msconfig в своих закладках предлагает две команды, которые позволяют полностью включить или выключить функцию User Access Protection (UAP). Это относится ко всей компьютерной системе и ко всем учётным записям.
С помощью двух команд можно полностью включить или выключить UAP.
Выполнение команды подтверждается дополнительным сообщением.
Конечно, включить или выключить UAP может только пользователь с административными правами. При этом требуется перезагрузка системы.