Controllo Di Cliente Dell'Utente Del Vista: Privilegi Più astuti Dell'Utente


  Share  
|

La maggior parte (realmente sono tentato per dire la vasta maggioranza) dei problemi sicurezza-relativi nelle versioni recenti di Windows hanno bollito giù ad una singola causa della radice: La maggior parte dei utenti stavano facendo funzionare Windows con i permessi del coordinatore-livello. I coordinatori possono fare qualche cosa ad una macchina di Windows, compreso i programmi d'installazione, aggiungendo i dispositivi, aggiornando i driver, installando gli aggiornamenti e le zone, le regolazioni cambianti di registrazione, attrezzi amministrativi funzionanti e generando ed i clienti di modificazione dell'utente. Ciò è conveniente, ma conduce ad un problema enorme: Tutto il malware che si insinua sul vostro sistema inoltre sarà capace di funzionamento con i permessi amministrativi, così permettendo il programma al havoc del wreak sul calcolatore ed appena circa qualche cosa collegato ad esso.

Windows.xp ha provato a risolvere il problema generando un livello di cliente della secondo-fila denominato l'utente limitato, che ha avuto soltanto permessi molto di base. Purtroppo, ci erano tre fori gaping in questa "soluzione":

  • XP li ha spinti a generare uno o più clienti dell'utente durante la messa a punto, ma non li ha forzati generare uno. Se saltaste questa parte, XP ha cominciato sotto il cliente del coordinatore.

  • Anche se sceglieste per generare gli utenti, il programma di messa a punto vi non ha dato un'opzione per la regolazione della sicurezza di cliente livellata. Di conseguenza, tutto il cliente che avete generato durante la messa a punto è stato aggiunto automaticamente al gruppo dei coordinatori.

  • Se generaste un cliente limitato dell'utente, probabilmente non lo avete mantenuto per lungo perché XP hobbled così male il cliente che non potreste usarli per fare qualche cosa ma le mansioni più fondamentali del calcolatore. Non potreste neppure installare la maggior parte dei programmi perché richiedono generalmente scrivono il permesso per il dispositivo di piegatura di %SystemRoot% e la registrazione e gli utenti limitati difettati di quello permesso.

Windows Vista prova ancora una volta a risolvere questo problema. La nuova soluzione gli è denominata controllo e dell'User Account usi un principio denominato l'utente meno-privilegiato. L'idea dietro questa è generare un livello di cliente che non ha permessi che esso richiede. Di nuovo, tali clienti sono evitati la pubblicazione della registrazione e l'effettuazione delle altre mansioni amministrative. Tuttavia, questi utenti possono effettuare altre mansioni giornaliere:

  • Installi i programmi e gli aggiornamenti

  • Aggiunga i driver dello stampatore

  • Cambi le opzioni senza fili di sicurezza (come aggiunta della chiave di WPA o di WEP)

In Windows Vista, il concetto meno-privilegiato dell'utente arriva sotto forma d'un nuovo tipo di cliente denominato l'utente standard. Ciò significa che Vista ha tre livelli di base di cliente:

  • Il cliente del coordinatore questo cliente può fare qualche cosa al calcolatore.

  • I membri del gruppo dei coordinatori di questo gruppo (tranne il cliente del coordinatore) fatto funzionare come utenti standard ma possono elevare i loro privilegi una volta richiesti appena scattando un tasto in una finestra di dialogo (veda la sezione seguente).

  • Gli utenti standard raggruppano questi sono gli utenti meno-privilegiati, anche se, anche, possono elevare i loro privilegi una volta avuti bisogno di; tuttavia, richiedono l'accesso ad una parola d'accesso del coordinatore fare così.

Elevamento Dei Privilegi

Questa idea di elevamento dei privilegi è al cuore di nuovo modello di sicurezza del Vista. In Windows.xp, potreste usare il funzionamento come ordine fare funzionare un'operazione come utente differente (cioè uno con gli più alti privilegi). In Vista, non dovete solitamente fare questo perché Vista li richiama automaticamente per l'altezza.

Se siete un membro dei coordinatori gruppo, funzionate con i privilegi di un utente standard per sicurezza supplementare. Quando tentate un'operazione che richiede i privilegi amministrativi, richiami del Vista per il vostro consenso visualizzando una finestra di dialogo di controllo di cliente dell'utente. Scatti il controllo per consentire l'operazione continuare. Se questa finestra di dialogo compare inatteso, è possibile che un programma del malware sta provando ad effettuare una certa operazione che richiede i privilegi amministrativi; potete contrastare che l'operazione scattando l'annullamento instead.When che un coordinatore lancia un'operazione che richiede i privilegi amministrativi, Windows Vista visualizza questa finestra di dialogo per chiedere consenso.

Se state funzionando come utente standard e tentate un'operazione che richiede i privilegi amministrativi, Vista usa un livello supplementare di protezione. Cioè invece di appena richiamo voi per consenso, li richiama per le credenziali di un coordinatore. Se il vostro sistema ha clienti multipli del coordinatore, ogni è indicato in questa finestra di dialogo. Scriva la parola d'accesso a macchina per tutto il cliente del coordinatore indicato ed allora scattisi presentano. Di nuovo, se questa finestra di dialogo rivela inatteso, potrebbe essere malware, in modo da dovreste scattare l'annullamento per impedire l'operazione through.When andante lanci standard dell'utente un'operazione che richiede i privilegi amministrativi, esposizioni di Windows Vista questa finestra di dialogo chiedere le credenziali amministrative.

Nota, anche, che in entrambi gli interruttori di Windows Vista di casi per assicurare modo desktop, che i mezzi voi non possono fare niente altro con Vista fino a che non diate il vostro consenso o credenziali o annulliate il funzionamento. Vista indica il tavolo sicuro scurendo tutto sullo schermo tranne la finestra di dialogo di controllo di cliente dell'utente.

Nota

Il controllo di cliente dell'utente sembra ragionevole sulla superficie, ma Microsoft non la ha effettuata sempre in un senso ragionevole. Per esempio, a volte siete richiamati per l'altezza durante le mansioni semplici quali le omissioni della lima e cambiate titolo, o quando cambiate la data del sistema o cronometrate. Ciò ha condotto ad un gioco circolare contro controllo di cliente dell'utente in alcuni cerchi e sono simpatico ad un punto (in modo da è Microsoft, che ha promesso di tweak il controllo di cliente dell'utente prima della spedizione del codice finale del Vista). Tuttavia, tutta la gente che sta protestando circa controllo di cliente dell'utente è beta tester che, tramite la definizione, tweaking le regolazioni, installanti i driver ed i programmi e generalmente spingere Vista nei relativi limiti. Naturalmente state andando ottenere colpire con i lotti delle finestre di dialogo di UAC in quelle circostanze. Tuttavia, l'utente medio realmente non tweak il loro sistema tutto che spesso, in modo da io pensi che UAC sia molto di meno di un problema che i relativi critici suggeriscono.

È inoltre possibile elevare i vostri privilegi per tutto il programma specifico. Fate questo di destra-scattando la lima o la scorciatoia di programma ed allora scattandosi fatto funzionare come coordinatore.

Nota

Potreste avere più vecchi programmi che non funzioneranno semplicemente sotto il modello di sicurezza di controllo di cliente dell'utente del Vista perché richiedono i privilegi amministrativi. Se non desiderate dare standard l'utente parola d'accesso del coordinatore, potete tranquillo permettere all'utente di fare funzionare il programma. Trovi la lima eseguibile del programma, di destra-scatto esso ed allora scatti le proprietà. Nella proprietà rivesta che compare, visualizzi la linguetta di compatibilità, attivi il funzionamento questo programma come casella di controllo del coordinatore ed allora scattisi BENE. (potete anche fare questo con tutta la scorciatoia all'eseguibile. Vista assegna il privilegio elevato a scorciatoie eseguibili e tutte le relative.) Vista allora fa funzionare una prova diagnostica sul programma per vedere i privilegi che amministrativi richiede. Ciò è una caratteristica di sicurezza che si accerta che il programma ottenga soltanto il numero minimo di privilegi che richiede funzionare correttamente.


Lima e virtualization di registrazione

Potreste domandarsi come Windows sicuro Vista realmente è se un utente standard può installare i programmi. Non quella media che il malware può installare pure? NoVista effettua un nuovo modello per sicurezza dell'installazione. In Vista, avete bisogno dei privilegi amministrativi di scrivere qualche cosa al dispositivo di piegatura di %SystemRoot% (solitamente C:\Windows), al dispositivo di piegatura di %ProgramFiles% (solitamente lime di C:\Program) ed alla registrazione. Vista maneggia questo per gli utenti standard in due sensi:

  • Durante l'installazione di programma, Vista in primo luogo richiama l'utente per le credenziali. Se sono fornite, Vista dà il permesso all'installatore di programma scrivere a %SystemRoot%, a %ProgramFiles% ed alla registrazione.

  • Se l'utente non può fornire le credenziali, Vista usa una tecnica denominata lima e virtualization di registrazione, che genera i dispositivi di piegatura virtuali di %ProgramFiles% e di %SystemRoot% e una chiave virtuale di registrazione di HKEY_LOCAL_MACHINE, che sono immagazzinate con le lime dell'utente. Ciò permette all'installatore di continuare senza compromettere le lime di sistema reali.

Politiche Di Controllo Di Cliente Dell'Utente

Potete adattare il controllo per il cliente di cliente dell'utente fino a un certo punto usando le politiche del gruppo. Nelle regolazioni locali di sicurezza snap-in (pressa Windows Logo+R, scrive secpol.msc e l'APPROVAZIONE a macchina di scatto), apra le regolazioni di sicurezza, le politiche locali, ramo di opzioni di sicurezza. Qui troverete le sei politiche relative a controllo di cliente dell'utente:

  • Controllo Di Cliente Dell'Utente: Modo di approvazione di Admin per Costru- nel cliente che del coordinatore questa politica controlla se le cadute di cliente del coordinatore sotto controllo di cliente dell'utente. Se permettete questa politica, il cliente del coordinatore è trattato come qualunque altro cliente nei coordinatori gruppo e dovete scattarsi continuate nella finestra di dialogo di consenso quando Windows Vista richiede l'approvazione per un'azione.

  • Controllo Di Cliente Dell'Utente: Il comportamento del richiamo di altezza per i coordinatori nel modo di approvazione di Admin questa politica controlla il richiamo che compare quando un coordinatore richiede i privilegi elevati. La regolazione di difetto è rapida per consenso, dove l'utente si scatta continua o annulla. Potete anche scegliere il richiamo affinchè le credenziali forziate l'utente scrivere la sua parola d'accesso a macchina. Se non scegliete richiamo, i coordinatori non possono elevare i loro privilegi.

  • Controllo Di Cliente Dell'Utente: Il comportamento del richiamo di altezza per gli utenti standard questa politica controlla il richiamo che compare quando un utente standard richiede i privilegi elevati. La regolazione di difetto è rapida per le credenziali, forzare l'utente scrivere una parola d'accesso a macchina del coordinatore. Non potete anche non scegliere richiamo per impedire agli utenti standard di elevare i loro privilegi.

  • Controllo Di Cliente Dell'Utente: L'applicazione di cancellazione installa e richiamo per uso di altezza questa politica permettere o inabilitare l'altezza automatica di privilegio mentre installa i programmi.

  • Controllo Di Cliente Dell'Utente: Faccia funzionare tutti i coordinatori negli utenti di modo di approvazione di Admin usano questa politica per permettere o inabilitare i coordinatori correnti (a parte il cliente del coordinatore) come utenti standard.

  • Controllo Di Cliente Dell'Utente: Elevi soltanto Executables che è firmato ed uso convalidato questa politica permettere o inabilitare se Vista controlla la firma di sicurezza di qualunque programma che chiede i privilegi elevati.

  • Controllo Di Cliente Dell'Utente: Commuti al tavolo sicuro quando richiamano per l'uso di altezza questa politica permettere o inabilitare se Vista commuta al tavolo sicuro quando i richiami di altezza compaiono.

  • Controllo Di Cliente Dell'Utente: La lima e la registrazione di Virtualize scrivono a guasti ad uso di posizioni dell'Per-Utente questa politica permettere o inabilitare la lima ed il virtualization di registrazione per gli utenti standard

ciò è un articolo aggiunto da Emm Schmitt


Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions