Käyttäjätilien valvonta

Käyttäjätilien valvonta ( englanniksi User  Account Control , UAC ) on Microsoft Windows -käyttöjärjestelmien osa , joka ilmestyi ensimmäisen kerran Windows Vistassa . Tämä komponentti pyytää vahvistusta toimille, jotka edellyttävät järjestelmänvalvojan oikeuksia suojautuakseen tietokoneen luvattomalta käytöltä. Tietokoneen järjestelmänvalvoja voi poistaa käyttäjätilien hallinnan käytöstä Ohjauspaneelista .

Luomisen edellytykset

Sovellusten käyttöoikeuksien rajoittaminen (kuten " superkäyttäjien " ja "normaalien käyttäjien" erottaminen) on ollut yleistä palvelimien ja keskustietokoneiden käyttöjärjestelmissä vuosikymmeniä . Microsoftin kotikäyttöjärjestelmissä (kuten MS-DOS , Windows 3.x ja Windows 9x ) ei ollut erillisiä oikeuksia: ohjelma saattoi suorittaa mitä tahansa toimintoa tietokoneella. Tästä syystä julkiset tietokoneet saivat nopeasti haittaohjelmien tartunnan .

Huolimatta oikeuksien erottelusta Windows NT :ssä , käyttäjät tottumuksesta ja mukavuussyistä käyttivät työhön järjestelmänvalvojan oikeuksilla varustettua tiliä , mikä rikkoi periaatetta "suorita mitä tahansa ohjelmaa pienimmällä mahdollisella tavalla". Lisäksi monet Windows 9x :lle kirjoitetut tai vain pääkäyttäjän oikeuksilla testatut ohjelmat eivät toimineet rajoitetuilla oikeuksilla - ne esimerkiksi tallensivat konfiguraatiotiedostoja ohjelman hakemistoon tai kaikille käyttäjille yhteiseen rekisterihaaraan .

Siitä muodostuu noidankehä : kehittäjät tekevät ohjelmistoja, jotka vaativat laajoja käyttöoikeuksia, koska käyttäjät "istuvat järjestelmänvalvojina"; käyttäjät tekevät päivittäisen työnsä järjestelmänvalvojan oikeuksin, koska ohjelmisto vaatii sitä. Tästä syystä huolimatta siitä, että Windows 9x -käyttöjärjestelmiä ei ole tuotettu moneen vuoteen, useimmissa tietokoneissa, joissa on Windows 2000 tai uudempi, kulunvalvontajärjestelmä on käyttämättömänä ja haittaohjelmat saavat järjestelmänvalvojan oikeudet. Microsoftin propaganda , joka vaati ohjelmien yhteensopivuutta kulunvalvonnan kanssa, toimi, mutta hitaasti - monet ohjelmat (etenkin sinkkujen kirjoittamat pienet apuohjelmat ) jatkoivat toimintojaan korotetuilla oikeuksilla. Käyttäjätilien valvonta kehitettiin, jotta kehittäjät kirjoittaisivat "turvallisempia" ohjelmia.

Kuinka se toimii

Jos ohjelma pyytää toimintoa, joka edellyttää järjestelmänvalvojan oikeuksia, ohjelman suoritus keskeytetään ja järjestelmä lähettää käyttäjälle pyynnön. Kehotusikkuna sijoitetaan suojatulle työpöydälle , jotta ohjelma ei "paina" lupapainiketta.

Joten pyyntöjä lähetetään, kun yritetään muuttaa järjestelmän aikaa, asentaa ohjelma, muokata rekisteriä tai muuttaa Käynnistä-valikkoa .

On myös "hakemisto- ja rekisterivirtualisointi": ohjelma, joka yrittää kirjoittaa jotain hakemistoon %PROGRAMFILES%\Папка\Пример.ini, kirjoittaa tiedoston hakemistoon %USERPROFILE%\AppData\Local\VirtualStore\Program Files\Папка\Пример.ini. Tämä varmistaa vanhempien ohjelmien yhteensopivuuden kulunvalvonnan kanssa.

Luettelo käynnistävistä toimista

Tässä on (osittainen) luettelo toiminnoista, jotka käynnistävät käyttäjätilien hallinnan [1] :

• Muutokset hakemistoissa %SYSTEMROOT%ja %PROGRAMFILES% erityisesti ohjelman, ohjainten ja ActiveX - komponenttien asennus /poisto ; muuttaa aloitusvalikkoa kaikille käyttäjille.
• Windows-päivitysten asentaminen , Windows Updaten määrittäminen .
• Windowsin palomuurin määritys uudelleen .
• Itse käyttäjätilien hallinnan määritys uudelleen.
• Tilien lisääminen/poistaminen.
• Vanhempainrajoitusten määrittäminen uudelleen .
• Tehtävien ajoittimen määrittäminen .
• Windowsin järjestelmätiedostojen palauttaminen varmuuskopiosta.
• Kaikki toiminnot muiden käyttäjien hakemistoissa.
• Nykyisen ajan muuttaminen ( aikavyöhykkeen muuttaminen ei käynnistä käyttäjätilien valvontaa).
• Soita rekisterieditorille .
• Joidenkin ohjelmien asentaminen

Käyttäjätilien hallinnan kanssa yhteensopivan ohjelman kirjoittamiseen on kolme tapaa.

1. Määritä sovelluksen käyttöoikeustaso luetteloresurssissaasInvoker : highestAvailabletai requireAdministrator. Kaikki kolme poistavat hakemiston virtualisoinnin käytöstä, mutta asInvokerniillä on käyttäjäoikeudet, ja loput kaksi pyytävät korotusta käynnistyksen yhteydessä.
2. Tee korotettuja oikeuksia vaativista funktioista erillinen .EXE-tiedosto oikeuksilla highestAvailabletai requireAdministratorsuorita se ShellExecutella , jossa on lpOperationyhtä suuri kuin runas.
3. Tuo funktiot, jotka vaativat lisäoikeuksia, saataville COM - objektin kautta. Tässä tapauksessa COM - palvelimen on oltava .EXEtiedosto, jolla on oikeudet highestAvailabletai requireAdministrator.

Microsoftin suositusten mukaan käyttöliittymäelementeissä, jotka edellyttävät käyttäjätilien valvontaa, tulee olla kilpikuvake.

Haitat

• Monet ennen Windows Vistaa kehitetyt ohjelmat ovat joko täysin yhteensopimattomia tai vaativat erityistä huolellisuutta asennuksen ja määrityksen aikana. Itse asiassa tämä haitta viittaa enemmän vanhentuneisiin ohjelmistoversioihin tai vanhentuneisiin ohjelmiin.
• Kehoteikkuna ei anna käyttäjälle riittävästi tietoa ohjelman ja toiminnon tunnistamiseksi, johon tarvitaan lisäoikeuksia.
• Tarve käynnistää ohjelma uudelleen joidenkin sen toimintojen suorittamiseksi. Esimerkiksi Microsoft Visual Studio vaatii järjestelmänvalvojan uudelleenkäynnistyksen yrittäessään avata vedostiedostoa ja joitain muita toimintoja.
• Windows 7 koodaa monet paketoidut sovellukset luotettaviksi, joten muita sovelluksia laukaiseva koodi ei toimi niille oletusasetuksena, mikä tekee niistä mahdollisia välittäjiä kolmannen osapuolen ohjelmille suorittamaan vaarallisia toimia ohittamalla Control-käyttäjätilit [2] .
• Kun UAC on käytössä, monet korotusta vaativat ohjelmat eivät välttämättä toimi käyttäjäoikeuksilla, vaikka ne toimivat onnistuneesti käyttäjäoikeuksilla, kun UAC on poistettu käytöstä Standard Access (Windows 7) tai Standard (Windows 10) -tilillä. Vaikka yrittäisit suorittaa niitä "Normaali"- tai "Normaali"-tilillä, UAC tulee silti näkyviin (jos käytössä), ja jos ikkuna "Sallitaanko seuraavan ohjelman tehdä muutoksia tähän tietokoneeseen?" paina "Kyllä" -painiketta - ohjelma voidaan käynnistää korotetuilla oikeuksilla (oikeuksia voi tarkastella esimerkiksi Anvir Task Manager -ohjelmassa). Kun napsautat "Kyllä"-painiketta, kaikki ohjelmat eivät toimi korotetuilla oikeuksilla, jotkin voivat toimia rajoitetuin oikeuksin. Jos napsautat "Ei"-painiketta, ohjelma joko käynnistetään rajoitetuilla oikeuksilla tai poistuu.

UAC:n haittana tässä tapauksessa on, että käyttäjä ei voi tietää, millä oikeuksilla ohjelma käynnistetään, jos "Kyllä"-painiketta painetaan - rajoitetulla tai korotetulla (täydellä).

Räätälöinti

Windows Vistassa käyttäjätilien valvonta voidaan poistaa käytöstä User Accounts Control Panel -sovelmassa , mutta ohjelmien ja tietojen luottamuksellisuus ja eheys heikkenevät merkittävästi.

Windows 7: ssä käyttäjätilien valvontaa on parannettu, erityisesti ohjauspaneelissa, yhden asetuksen sijaan, joka joko laittoi sen päälle tai pois päältä, ilmestyi neljä toimintatilaa:

• "Ilmoita aina".
• "Ilmoita minulle vain, kun ohjelmat yrittävät tehdä muutoksia tietokoneelleni."
• "Ilmoita minulle vain, kun ohjelmat yrittävät tehdä muutoksia tietokoneelleni (älä tummenna työpöytää)."
• "Älä koskaan ilmoita" (UAC poistetaan käytöstä vain Windowsin uudelleenkäynnistyksen jälkeen).

Muistiinpanot

1. ↑ Mikä laukaisee käyttäjätilien valvontakehotteet? (linkki ei saatavilla) . Haettu 5. syyskuuta 2008. Arkistoitu alkuperäisestä 15. lokakuuta 2007. (määrätön) 
2. ↑ Windows 7 UAC:n sallittujen luettelo: koodin lisäysongelma (ja enemmän) Arkistoitu 25. huhtikuuta 2012 Wayback Machinessa  

Linkit

• Chris Corio. Työskentely käyttäjätilien hallinnan kanssa Windows Vista -sovelluksissa