Návod: Nastavenie UAC

Diskuze výhradně o operačním systému Windows 7

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod t85m 21. 2. 2010 17:50

Veľa sa diskutovalo o tom, či kontrola používateľských kont UAC (User Account Control) je „správnou“ metódou zabezpečenia operačného systému. Okamžite po uvedení systému Windows Vista, kde mala UAC premiéru, sa objavili na webových blogoch návody ako UAC vypnúť. Kvôli kritike príliš reštrikčného (podľa niektorých kritikov až obťažujúceho) východzieho nastavenia UAC, pristúpili tvorcovia Windows 7 k niekoľkým zmenám. Predvolené nastavenie je: Len ak sa programy pokúsia vykonať zmeny v počítači. Na obrázku na str. 28 vidíme aj dodatok k tejto úrovni nastavenia UAC, ktorý hovorí: Neupozorňovať, keď vykonám zmeny v nastavenia Windows. Funkcionalita je zabezpečená prostredníctvom automatického odpovedania na výzvy. V praxi to znamená, že keď sa správca počítača pokúsi spustiť aplikáciu msconfig.exe, nebude vyzvaný k potvrdeniu spustenia. Ako je možné, že systém rozpozná, ktorý program je nastavenie Windows a ktorý nie?

Je to súčinnosťou viacerých faktorov. Prvým je digitálny podpis od vydavateľa Windows Publisher.
Druhým faktorom je umiestnenie v bezpečnom priečinku. Takýmito priečinkami sú C:\Program Files, %SystemRoot%\Sysytem32, %SystemRoot%\ehome a pod. Ďalším faktorom je to, či daný program má vo svojom manifeste zakódovanú možnosť AutoElevate. Ak si zoberieme na pomoc nástroj SigCheck.exe od spoločnosti Microsoft, môžeme sa na manifest pozrieť použitím prepínača –m. Na nasledujúcom obrázku vidíme výstup z nasledovného príkazu:
sigcheck.exe -m C:\Windows\System32\msconfig.exe

Obrázek

Znamená to, že aplikácia msconfig.exe nebude vyžadovať od správcu počítača žiadne ďalšie
potvrdzovanie. Niektoré aplikácie, ako napr. konzola pre správu mmc.exe (Microsoft
Management Console) musí spĺňať nielen digitálny podpis a bezpečné umiestnenie, ale
jeho súčasti (snap-in’s) musia byť na zozname povolených súčastí (prakticky sú to všetky
súčasti zahrnuté vo Windows 7). Tak ako cez mmc.exe nespustíme bez upozornenia cudziu
súčasť, nebude mať vlastnosť AutoElevate povolenú ani príkazový riadok. Ak teda chceme
spustiť dávky alebo skripty z príkazového riadku, cmd.exe musíme najprv spustiť s právami
správcu. Obdobná reštrikcia sa týka aj frekventovane používaného rundll32.exe pre zásuvné
moduly ovládacieho panela a podobne.

V tejto časti sme definovali typy používateľov. Najvyšším používateľom v systéme je používateľ
s menom Administrator. Pre tohto používateľa je UAC vypnutý. Používateľom s druhými
najvyššími oprávneniami je používateľ v skupine lokálnych správcov (Administrators). Pre
týchto je UAC zapnutý a ako správcovia vystupujú len v kontexte správy Windows nastavení.
Na najnižšom stupni sa nachádzajú používatelia s bežnými používateľskými oprávneniami.
K týmto oprávneniam patria:

• inštalovanie fontov;
• prezeranie systémového času a kalendára;
• zmena časového pásma;
• zmena parametrov zobrazenia;
• zmena nastavení napájania;
• pridávanie tlačiarní a iných zariadení, ak sú ovládače predinštalované;
• preberanie a inštalovanie aktualizácií;
• vytváranie a konfigurovanie virtuálnych privátnych sietí;
• konfigurovanie WEP (Wired Equivalent Privacy) zabezpečenia pre bezdrôtové
pripojenia.

S uvedenýmí oprávneniami štandardný používateľ bude schopný vykonávať všetky bežné
úkony na počítači.
Pre staršie programy má UAC pripravené „falošné“ zapisovanie do súborového systému
a databázy registrov, tzv. virtualizáciu zápisov. Slúži starším aplikáciami, aby boli schopné
bežať v prostredí Windows 7. Nové aplikácie by virtualizáciu využívať nemali. Od vývojárov
sa teda očakáva, aby písali aplikácie schopné bežať pod štandardným používateľom.
Administrátorský mód výzvy (Admin Approval Mode) určuje predvolenú politiku UAC pre
všetkých členov skupiny lokálnych správcov.

Výnimku tvoria vyššie spomínané nastavenia Windows 7. Pre optimalizáciu a doladenie
nastavení administrátorského módu výzvy a všeobecných nastavení UAC je k dispozícii
niekoľko politík zásad zabezpečenia. Nájdeme ich v lokálnej alebo doménovej skupinovej
politike. Po spustení utility gpedit.msc rozbalíme Konfiguráciu počítača\Nastavenia systému
Windows\ Security Settings\Local Policies\Security Settings.

Obrázek

Nastavenia sú nasledovné:
• User Account Control: Admin Approval Mode For The Built-In Administrator Account
– určuje, či používateľ Administrator alebo proces bežiaci pod týmto používateľom
je predmetom pre administrátorský mód. Predvolené je zakázanie tejto politiky.
V praxi to znamená, že všetky aplikácie spustené používateľom Administrator budú
bežať s maximálnymi privilégiami na danom počítači. Pokiaľ by sme túto politiku
povolili, prepol by sa aj vstavaný správca do administrátorského módu výzvy. Musel
by potvrdzovať úkony vyžadujúce plný administrátorský prístup. Procesy bežiace
v kontexte správcu by mali prístup ako štandardný používateľ, keďže automatické
odsúhlasenie výziev nie je možné.

• User Account Control: Allow UIAccess applications to prompt for elevation without
using the secure desktop
– určuje, či aplikácie typu UIA (User Interface Accessibility)
ako napr. Vzdialená pomoc môžu vypínať potvrdenia výziev. V štandardnom stave je politika vypnutá. Znamená to, že potvrdenie výzvy nebude možné realizovať prostredníctvom UIA aplikácie. Pokiaľ je politika povolená, UIA aplikácie automaticky vypnú nutnosť potvrdzovať administrátorské úkony.

• User Account Control: Behavior Of The Elevation Prompt For Administrators In
Admin Approval Mode
– určuje, či sú členovia skupiny správcov predmetom pre
administrátorský mód výzvy a takisto aj to, ako bude mód výzvy realizovaný.

Obrázek

Na výber máme z týchto možností:
»» Elevate without prompting – žiadna výzva (prakticky vypnutie UAC pre správcov);
»» Prompt for credentials on the secure desktop – všetky pokusy o spustenie úkonu
vyžadujúceho administrátorské práva budú sprevádzané výzvou pre zadanie
mena a hesla správcu, ktorý má na daný úkon oprávnenie. Zrealizované to
bude na tzv. bezpečnej ploche, ktorá zabráni v prístupe k ostatným položkám
v používateľskom rozhraní okrem danej výzvy.
»» Prompt for consent on the secure desktop – všetky pokusy o spustenie úkonu
vyžadujúceho administrátorské práva budú sprevádzané výzvou pre potvrdenie
daného úkonu. Celé to bude zrealizované na tzv. bezpečnej ploche, ktorá zabráni
v prístupe k ostatným položkám v používateľskom rozhraní okrem danej výzvy.
»» Prompt for credentials – všetky pokusy o spustenie aktivity vyžadujúcej
administrátorské práva budú sprevádzané výzvou pre zadanie mena a hesla
správcu, ktorý má na daný úkon oprávnenie. Ak používateľ zadá správne údaje,
úkon sa zrealizuje. Bezpečná plocha sa nezobrazí.
»» Prompt for consent – všetky pokusy o spustenie úkonu vyžadujúceho
administrátorské práva budú sprevádzané výzvou pre potvrdenie danej činnosti.
Pokiaľ používateľ klikne na tlačidlo povoliť, úkon sa zrealizuje. Bezpečná plocha sa
nezobrazí.
»» Prompt for consent for non-Windows binaries – výzvy sa zobrazujú len pre
aplikácie, ktoré nie sú súčasťou systému Windows 7 (predvolené nastavenie).

• User Account Control: Behavior Of The Elevation Prompt For Standard Users – určuje,
ako bude UAC zasahovať do rozhrania bežného používateľa. Na výber sú tieto
možnosti:
»» Prompt for credentials – pri pokuse o administrátorsky úkon zobrazí výzvu pre
zadanie mena a hesla správcu, ktorý má na daný úkon oprávnenie. Ak používateľ
zadá správne údaje, úkon sa zrealizuje. Bezpečná plocha sa nezobrazí.
»» Automatically deny elevation requests – pri pokuse o administrátorský úkon
zobrazí správa o zákaze. Vhodné nastavenie do podnikového prostredia, kde nie
sú používatelia správcami, kvôli zredukovaniu volaní na Help Desk.
»» Prompt for credentials on the secure desktop – pri pokuse o administrátorský
úkon zobrazí výzvu pre zadanie mena a hesla správcu, ktorý má na daný úkon
oprávnenie (predvolené nastavenie). Bude to zrealizované na tzv. bezpečnej
ploche
Ide o podobnú situáciu ako v starších systémoch, kde pre administrátorské úkony
bolo nutné použiť Spustenie ako... so správcovským účtom.

• User Account Control: Switch To The Secure Desktop When Prompting For
Elevation – určuje, či Windows 7 znefunkční ostatné programy a procesy zasahujúce
do prostredia pracovnej plochy. Minimalizuje riziko spúšťania škodlivého kódu.
Štandardne je táto politika zapnutá.

• User Account Control: Run All Administrators In Admin Approval Mode – určuje, či sú
správcovia počítača predmetom pre administrátorský mód výzvy. Keď sa nastavenie
zmení, je nutný reštart počítača. Toto nastavenie (prakticky) vypína UAC pre
správcovské účty. Štandardne je toto nastavenie povolené.

// pre moderatorov: zaradit do FAQ
***
t85m
Junior

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků