Принцип роботи “Контролю облікових записів користувачів” в Windows 7, Windows, Операційні системи, статті

Більшість проблем, пов’язаних з безпекою в останніх версіях Windows були викликані однією головною причиною: більшість користувачів запускали Windows, володіючи правами адміністратора. Адміністратори можуть робити все що завгодно з комп’ютером, що працює під управлінням Windows: інсталювати програми, додавати пристрої, оновлювати драйвера, інсталювати оновлення, змінювати параметри реєстру, запускати службові програми, а також створювати і модифікувати облікові записи користувачів. Незважаючи на те, що це дуже зручно, наявність цих прав призводить до виникнення величезної проблеми: будь-яка шпигунська програма, що впровадили в систему, теж зможе працювати, маючи права адміністратора, і, таким чином, може завдати величезної шкоди, як самому комп’ютера, так і всьому, що до нього підключено.


У Windows XP цю проблему намагалися вирішити шляхом створення другого рівня облікових записів, званих обмеженими користувачами, Які володіли тільки самими необхідними дозволами, але мали ряд недоліків. У Windows Vista знову спробували усунути цю проблему. Це рішення називається “Контроль облікових записів користувачів”, В основі якого був закладений принцип найменш привілейованого користувача. Ідея полягає в тому, щоб створити рівень облікового запису, який би мав прав не більше, ніж йому потрібно. Під такими обліковими записами неможливо вносити зміни в реєстр і виконувати інші адміністративні завдання. Контроль облікових записів використовується для повідомлення користувача перед внесенням змін, що вимагають прав адміністратора. З появою UAC модель управління доступом змінилася таким чином, щоб можна було допомогти пом’якшити наслідки вносяться шкідливими програмами. Коли користувач намагається запустити певні компоненти системи чи служби, з’являється діалог контролю обліковими записами, який дає користувачеві право вибору: чи продовжувати дію для одержання адміністративних привілеїв чи ні. Якщо користувач не володіє правами адміністратора, то він повинен в відповідному діалозі надати дані облікового запису адміністратора для запуску необхідної йому програми. Для застосування установок UAC вимагає тільки схвалення адміністратора, в зв’язку з цим несанкціоновані додатки не зможуть встановлюватися без явного згоди адміністратора. У цій статті докладно розписаний принципі роботи “Контролю облікових записів користувачів” в операційній системі Windows 7


Офіційні визначення термінів у цьому розділі статті запозичені з матеріалу Безпека, опублікованого на Microsoft Technet.


У порівнянні з Windows Vista і Windows Server 2008 в операційних системах Windows 7 і Windows Server 2008 R2 з’явилися наступні поліпшення в функціоналі контролю облікових записів користувачів:



Більшості користувачів не потрібен настільки високий рівень доступу до комп’ютера і операційної системи. Найчастіше користувачі не підозрюють, що вони увійшли в систему як адміністратори, коли вони перевіряють електронну пошту, займаються веб-серфінгом або запускають програмне забезпечення. Шкідлива програма, встановлена ​​адміністратором, може пошкодити систему і впливати на всіх користувачів. У зв’язку з тим, що UAC вимагає схвалення адміністратором застосування установки, несанкціоновані програми не зможуть бути встановленими автоматично без явного згоди адміністратором системи.


У зв’язку з тим, що UAC дозволяє користувачам запускати додатки як звичайні користувачі:



Специфікації UAC


Маркер доступу. Маркери доступу містять інформацію безпеки сеансу входу, визначальну користувача, групи користувачів і привілеї. Операційна система використовує маркер доступу для контролю доступу до захищається об’єктів і контролює можливість виконання користувачем різних пов’язаних з системою операцій на локальному комп’ютері. Маркери доступу UAC – це особливий вид маркерів доступу, що визначають мінімальні привілеї, необхідні для роботи – привілеї інтерактивного доступу за умовчанням для користувача Windows в системі з включеною функцією UAC. Другий маркер, маркер повного доступу адміністратора, має максимальні привілеї, дозволені для облікового запису адміністратора. Коли користувач входить в систему, то для цього користувача створюється маркер доступу. Маркер доступу містить інформацію про рівень доступу, який видається користувачеві, в тому числі ідентифікатори безпеки (SID).


Режим схвалення адміністратором. Режим схвалення адміністратором – це конфігурація управління обліковими записами користувачів, в якій для адміністратора створюється користувацький маркер комбінованого доступу. Коли адміністратор входить в комп’ютер з ОС Windows, йому призначаються два окремих маркера доступу. Якщо режим схвалення адміністратором не використовується, адміністратор отримує тільки один маркер доступу, що надає йому доступ до всіх ресурсів Windows.


Запит згоди. Запит згоди відображається в тому випадку, коли користувач намагається виконати завдання, яке вимагає права адміністратора. Користувач дає згоду або відмовляється, натискаючи на кнопку “Так” або “Ні”.


Запит облікових даних. Запит облікових даних відображається для звичайних користувачів в тому випадку, коли вони намагаються виконати завдання, для якої необхідний доступ адміністратора. Користувач повинен вказати ім’я та пароль облікового запису, що входить до групи локальних адміністраторів.


У статті використовувалася інформація з матеріалу UAC Processes and Interactions, що містить опис технології UAC



Принцип роботи UAC


Контроль облікових записів користувачів (UAC) допомагає запобігати зараженню комп’ютера від шкідливих програм, допомагаючи організаціям більш ефективно розгортати настільні додатки.


З використанням UAC, програми та завдання завжди запускаються в безпечній області від неадміністраторской облікового запису, якщо адміністратор дає права для адміністративного доступу в системі.


Панель управління UAC дозволяє вибрати один з чотирьох варіантів:



  1. Повідомляти при кожному зміни, що вносяться в систему: така поведінка є у Vista – діалог UAC з’являється щоразу, коли користувач намагається внести будь-яка зміна в систему (настройка Windows, установка додатків і т.д.)

  2. Повідомляти тільки тоді, коли програми намагаються внести зміни в систему: в цьому випадку повідомлення не з’явиться при внесенні змін в Windows, наприклад, через панель управління і оснащення.

  3. Повідомляти тільки тоді, коли програми намагаються внести зміни в систему, без використання безпечного робочого столу: те ж саме, що й пункт 2, за винятком того, що діалог UAC з’являється у вигляді традиційного діалогу, а не в режимі безпечного робочого столу. Незважаючи на те, що це може виявитися зручним у випадку використання певних графічних драйверів, що ускладнюють перемикання між робочими столами, цей режим є бар’єром на шляху додатків, що імітують поведінку UAC.

  4. Ніколи не повідомляти: дана настройка повністю відключає UAC.


Процеси та взаємодії UAC


Процес входу в систему в Windows 7


На наступному малюнку показано як відрізняється процес входу в систему адміністратора від стандартного користувача.



Для забезпечення безпеки, за замовчуванням, доступ до системних ресурсів і додатків, звичайним користувачам і адміністраторам надається в режимі звичайного користувача. Коли користувач входить в систему, то для нього створюється маркер доступу. Маркер доступу містить інформацію про рівень доступу, який задається користувачу, в тому числі і ідентифікатори безпеки (SID).


Коли адміністратор входить в систему, створюється два окремих користувальницьких маркера: маркер доступу стандартного користувача і маркер повного доступу адміністратора. У стандартному користувальницькому доступі міститься та сама інформація користувача, що і в маркері повного доступу адміністратора, але без адміністративних привілеїв і SID. Маркер доступу стандартного користувача використовується для запуску додатків, які не виконують адміністративні завдання. Доступ стандартного користувача використовується тільки для відображення робочого столу (explorer.exe). Explorer.exe є батьківським процесом, під якого користувач може запускати інші процеси, успадковані своїм маркером доступу. В результаті всі програми запускаються від імені звичайного користувача, крім тих випадків, коли програми вимагає використання адміністративного доступу.


Користувач, який є членом групи “Адміністратори” може увійти в систему для перегляду веб-сторінок і читання повідомлень електронної пошти при використанні стандартного маркера користувальницького доступу. Коли адміністратору необхідно виконати задачу, яка вимагає від нього маркер адміністративного користувача, Windows 7 автоматично покаже повідомлення для використання адміністративних прав. Це повідомлення називається запитом облікових даних, а його поведінка може бути налаштований за допомогою оснастки локальної політики безпеки (Secpol.msc) або групових політик.


Кожна програма, яка вимагає маркер доступу адміністратора має запускатися зі згодою адміністратора. Винятком є ​​взаємозв’язок між батьківським і дочірнім процесами. Дочірні процеси успадковують маркер доступу користувачів з батьківського процесу. Обидва процеси батька та дитини повинні мати однаковий рівень інтеграції.


Windows 7 захищає процеси за допомогою маркування рівнів інтеграції. Рівні інтеграції вимірюються довірою. Програми з “високою” інтеграцією – це програми, що виконують завдання, які можуть змінювати системні дані. А додатки з “низькою” інтеграцією – це виконувані завдання, які потенційно можуть завдати шкоди операційній системі. Програми з більш низьким рівнем інтеграції не можуть змінювати дані в додатках з високим рівнем інтеграції.


Коли звичайний користувач намагається запустити додаток, який вимагає маркер доступу адміністратора, UAC вимагає користувача надати дані адміністратора.



Користувальницькі можливості UAC


При включеному UAC, призначені для користувача можливості відрізняються від можливостей адміністратора в режимі схвалення адміністратором. Існує ще більш безпечний метод входу в систему Windows 7 – створення основний обліковий запис з правами звичайного користувача. Робота в якості звичайного користувача дозволяє максимально підвищити ступінь безпеки. Завдяки вбудованому в UAC компоненту повноважень звичайні користувачі можуть легко виконувати адміністративні задачі шляхом введення даних локальної облікового запису адміністратора.


Альтернативний варіант запуску додатків звичайним користувачем є запуск додатків з підвищеними правами адміністратора. За допомогою вбудованого в UAC компонента облікових даних, члени локальної групи Адміністратори можуть легко виконувати адміністративні завдання шляхом надання стверджують даних. За замовчуванням, вбудований компонент облікових даних для облікового запису адміністратора в режимі схвалення називається запитом згод. Запит облікових даних UAC може бути налаштований за допомогою оснастки локальної політики безпеки (Secpol.msc) або групових політик.


Запити згоди та облікових даних


З включеним UAC, Windows 7 запитує згоду або облікові дані записи локального адміністратора, перед запуском програми або завдання, яке вимагає маркер повного доступу адміністратора. Цей запит не гарантує того, що шпигунські програми можуть бути встановлені в тихому режимі.



Запит згоди


Запит згоди відображається в тому випадку, коли користувач намагається виконати завдання, яке вимагає маркер доступу адміністратора. Нижче наведено скріншот із запитом згоди UAC




Запит облікових даних


Запит облікових даних відображається в тому випадку, коли звичайний користувач намагається запустити задачу, яка вимагає маркер доступу адміністратора. Цей запит для звичайного користувача може бути налаштований за допомогою оснастки локальної політики безпеки (Secpol.msc) або групових політик. Запит облікових даних також може бути налаштований для адміністраторів за допомогою зміни політики Контроль облікових записів: поведінка запиту на підвищення прав для адміністраторів в режимі схвалення адміністратором зі значенням Запит облікових даних.


На наступному скріншоті відображений приклад запиту повноваження UAC.




Запити на підвищення прав UAC


Запити на підвищення прав UAC мають кольорове маркування для конкретних додатків, дозволяючи негайно ідентифікувати потенційний ризик безпеки. Коли програма намагається запуститися з маркером повного доступу адміністратора, Windows 7 спочатку аналізує виконуваний файл для визначення видавця. Перш за все, програми діляться на 3 категорії видавців виконуваного файлу: Windows 7, перевірений видавець (підписаний), не перевірений видавець (не підписаний). На наступному зображенні відображається те, як Windows 7 визначає який колір запиту підвищення відображати користувачеві.



Колірна маркіровка запитів на підвищення прав наступна:



Запити на підвищення прав використовують ту ж колірну маркіровку, що і діалогові вікна в Windows Internet Explorer 8.


Значок щита


Деякі елементи “Панелі управління”, Такі як “Дата і час” містять комбінацію операцій адміністратора і звичайних користувачів. Звичайні користувачі можуть бачити час і зміна часового поясу маркер повного доступу адміністратора потрібно для зміни дати і часу системи. Нижче наведено скріншот діалогу “Дата і час” панелі управління.



Значок щита на кнопці “Змінити дату і час” вказує на те, що цей процес вимагає маркер повного доступу адміністратора і відобразить запит на підвищення прав UAC.


Забезпечення запиту на підвищення прав


Процес підвищення прав забезпечує прямі запити для захисту робочого столу. Запити згоди та облікових даних відображаються за умовчанням в Windows 7 для забезпечення безпеки системи. Тільки системні процеси можуть отримати повний доступ до безпечної робочому середовищі. Для досягнення більш високого рівня безпеки рекомендується включити групову політику Контроль облікових записів: перемикання до безпечного робочого столу при виконанні запиту на підвищення прав.


Коли виконувані файли просять підвищення прав, інтерактивний робочий стіл, званий також робочим столом, перемикається на безпечний робочий стіл. Безпечний робочий стіл затемнює користувача і відображає запит на підвищення прав, в якому користувач повинен прийняти рішення для продовження виконання завдання. Коли користувач натискає на кнопку “Так” або “Ні”, Робочий стіл знову переключається на користувальницький.


Шкідливе програмне забезпечення може імітувати безпечний робочий стіл, але при включеній політиці Контроль облікових записів: поведінка запиту на підвищення прав для адміністраторів у режимі схвалення адміністратором зі значенням “Запит згоди” шкідлива програма не зможе отримати підвищені права, якщо навіть користувач натисне на кнопку “Так”. Якщо параметр політики має значення “Запит облікових даних”, То шкідливе програмне забезпечення зможе збирати облікові дані користувачів.



Висновок


У даній статті я розповів про оновлений компоненті операційної системи Microsoft Windows – “Контроль облікових записів користувачів”, в основі якого був закладений принцип найменш привілейованого користувача. У порівнянні з Windows Vista і Windows Server 2008 в операційних системах Windows 7 і Windows Server 2008 R2 з’явилися кілька поліпшень в функціоналі, що детально було описано вище. Детально розказано про маркерах доступу і процесі входу в систему.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*