User Account Control

From EIK wiki

NB! Samal teemal on kirjutatud ka artikkel UAC


Mis on kasutajakonto haldus (User Account Control, UAC)

Icon.png UAC ehk kasutajakontode haldus on Windows Vista poolt turule toodud lahendus, mis lubab ajutiselt kasutajale suuremad õigused arvuti kasutamiseks.

Selleks, et kontrollida rakendustele juurdepääsu, on kasutajal vaja juurdepääsu õigusi, mis võimaldavad realiseerida oma vajalike ülesannete täitmist. Paljud ülesanded ei nõua administraatori õigusi. Enne Windows Vista versiooni, loodi kasutajakontod vaikimisi administraatori kontodena, ehk kasutajad logisid oma arvutitesse sisse administraatori konto alt. Ilma UAC-ta, kui kasutaja logib oma arvutisse administraatorina, antakse sellele kasutajale automaatselt täielik juurdepääs kogu süsteemile.

Samas ei vaja paljud kasutajad sellist juurdepääsu taset arvutile. Kasutajad ei tea sageli, et nad on sisse loginud administraatori õigustes, kui nad veebis lehitsevad, E-kirju loevad või töötavad tarkvaraga. Ajal, mil ollakse sisse logitud administraatorina, mis võimaldab kasutajal installida legaalset tarkvara, võib kasutaja tahtmatult või tahtlikult installida samuti pahavara programme. Pahavara programm, mis on administraatori poolt installeeritud, võib tekitada arvutile täieliku turvarikke ja mõjutada kõiki kasutajaid. Kuna UAC nõuab, et administraator kinnitaks installimise pealepanemise, ei saa autoriseerimata rakendusi installida automaatselt või ilma administraatori konkreetse nõusolekuta.

UAC võimaldab probleemideta kasutajal töötada tavakasutajana:

  • IT osakonnad saavad olla kindlamad keskkonna tervikluse säilimise osas, k.a süsteemi failide, auditi logide ja süsteemi-üleste seadete osas.
  • Administraatorid ei pea enam pühendama üksikutele arvutitele palju aega, et neile autoriseeritud rakendusi seada. See võimaldab administraatoritel kulutada rohkem aega üleüldisele süsteemi hooldusele.
  • IT administraatoritel on parem kontroll tarkvara litsentside üle, sest nad saavad kindlustada, et ainult autoriseeritud rakendused on installitud. Selle tulemusena ei pea nad enam muretsema mittelitsentseeritud või pahavara tarkvara olemasolu pärast, mis võib ohustada nende arvutivõrku, põhjustades süsteemi seisuaegasid ja andmete kadu või luues litsentside võlgnevust.

Definitsioonid

Juurdepääsuluba (access token) – kui kasutaja logib arvutisse, siis süsteem loob juurdepääsuloa sellele kasutajale. Juurdepääsuluba sisaldab informatsiooni juurdepääsu taseme kohta, mis on sellele kasutajale omistatud, k.a spetsiaalseid turva identifikaatoreid (security identifiers – SID) ja Windowsi õigusi.

Administraatori kinnitusrežiim (Admin Approval Mode) – kui kasutaja käivitab rakenduse, mis vajab administraatori õigusi (administraatori rakendusprogrammid), siis kasutajat ajendatakse muutma või „ülendatakse“ turva kontekstis tavakasutajast administraatoriks ning selllisel juhul töötab kasutaja administraatori kinnitusrežiimis. Selles režiimis peab administraator hoolitsema rakendusprogrammi kinnitamise eest (heaks kiitma), et see rakendus käivituks turvaliselt arvuti töölaual administraatori õigustes.

Nõusoleku andmine (Consent prompt) – nõusolekut küsitakse, kui kasutaja proovib käivitada rakendust, mis nõuab kasutajalt selleks juurdepääsuluba. Kasutaja annab nõusoleku klikkides Jah (Yes) nupule või keeldudes nõusolekust klikkides Ei (No) nupule.

Volituse andmine (Credential prompt) – volitust küsitakse, kui tavakasutaja proovib käivitada rakendust, mis nõuab kasutajalt administraatori juurdepääsuluba. Kasutaja, kes on ka administraator, varustatakse kasutaja nime ja parooliga selle konto jaoks.


Kuidas UAC töötab?

UAC aitab ära hoida arvuti kahjustamise pahavara programmide poolt ja aitab juurutada arvuti töölaua parimat haldamist.

UAC-ga töötavad rakendused alati mitte-administraatori konto ohutus keskkonnas, v.a kui administraator siseneb (autoriseerib end) administraatori-taseme juurdepääsuloaga süsteemile. UAC võib blokeerida automaatse autoriseerimata rakenduse installimise ja takistada tahtmatuid süsteemi sätete muutmisi.


UAC protsessid ja interaktsioonid

Windows 7 sisselogimise protsess

Järgnev pilt illustreerib, kuidas administraatori sisselogimise protsess erineb tavakasutaja sisselogimise protsessist.

Admin.png

Allikas: http://technet.microsoft.com/en-us/library/dd835561%28WS.10%29.aspx

Tavakasutaja ja administraator kasutavad vaikimisi vahendeid ja rakendusi, mis töötavad tavakasutaja turva keskkonnas. Kui kasutaja logib arvutisse, loob süsteem sellele kasutajale juurdepääsuloa. Juurdepääsuluba sisaldab informatsiooni juurdepääsu taseme kohta, mis on sellele kasutajale omistatud, k.a spetsiaalsed turva identifikaatorid (security identifiers – SID) ja Windowsi õigused.

Kui administraator logib sisse, siis luuakse kasutaja jaoks kaks eraldi juurdepääsuluba: tavakasutaja juurdepääsuluba ja administraatori juurdepääsuluba. Tavakasutaja juurdepääsuluba sisaldab sama kasutajaspetsiifilist informatsiooni, mis administraatori juurdepääsulubagi, aga administratiivsed Windowsi õigused ja SID eemaldatakse. Tavakasutaja juurdepääsuluba kasutatakse rakenduse käivitamisel, mis ei täida administratiivseid ülesandeid (tavakasutaja rakendused). Tavakasutaja juurdepääsuluba kasutatakse sellisel juhul töölaua kuvamiseks (Explorer.exe). Explorer.exe on emaprotsess, millest kõik teised kasutaja poolt algatatud protsessid pärivad oma juurdepääsuloa. Selle tulemusena töötavad kõik rakendused tavakasutaja režiimis, v.a kui kasutaja annab nõusoleku või volituse, et lubada rakendusel käivituda täielikult administraatori juurdepääsuloa režiimis.

Kasutaja, kes on administraatorite grupi liige, võib sisse logida, veebis lehitseda ja lugeda E-kirju, kasutades sel ajal tavakasutaja juurdepääsuluba. Kui administraatoril on vaja täita ülesannet, mis vajab administraatori juurdepääsuluba, siis Windows 7 kuvab automaatselt nõusoleku andmiseks hoiatusakna, mille abil saab kasutaja rakenduse käivitamise heaks kiita või mitte.

Iga rakendus, mis nõuab administraatori juurdepääsuluba, peab küsima administraatorilt nõusolekut. Selles osas on üks erand, mis puudutab vanema ja lapse vahelist protsessi. Lapse protsess pärib juurdepääsuloa vanema protsessist. Siiski, nii vanema kui ka lapse protsessid peavad omama sama terviklikkuse taset.

Windows 7 kaitseb protsesse, tähistades nende terviklikkuse tasemeid. Tervikluse tasemed on usalduse mõõted. „Kõrge“ tervikluse tase on selline, mis teostab ülesannet, mis muudab süsteemi andmeid, nagu nt kõvaketta jaotamise rakendus, samas „madal“ tervikluse rakendus on see, mis teostab ülesannet, mis võiks potentsiaalselt rikkuda operatsioonisüsteemi, nagu nt veebi lehitseja. Madalama tervikluse tasemega rakendused ei saa muuta andmeid kõrgema tervikluse taseme rakendustes.

Kui tavakasutaja proovib käivitada rakendust, mis nõuab administraatori juurdepääsuluba, nõuab UAC, et kasutaja esitaks kehtiva administraatori volitust (parooli).

UAC kasutaja praktika.

Kui UAC on lubatud, siis tavakasutaja režiimis on kasutaja praktika erinev sellest, mis on administraatoritel administraatori kinnitusrežiimis (Admin Approval Mode). Windows 7–ga töötamise korral on soovitatav ja turvalisem teha endale tavakasutaja konto. Kui töötada arvutiga tavakasutajana, siis see aitab kasutajal maksimeerida turvalisust hallatavas keskkonnas. Sisseehitatud UAC ülendamise komponendiga saab tavakasutaja lihtsalt teostada administraatori ülesandeid, sisestades administraatori kontole vastava kehtiva volituse (parooli).

Alternatiiv töötamiseks tavakasutajana on töötada administraatorina administraatori kinnitusrežiimis. Sisseehitatud UAC ülendamise komponendiga saab administraator sooritada lihtsalt administratiivseid ülesandeid andes hoiatusaknas nõusoleku Jah nupule vajutamisega. Sellist sisse ehitatud UAC ülendamise komponenti administraatori konto jaoks administraatori heakskiidu režiimis töötamiseks kutsutakse nõustumise loaks. UAC käitumist ülendamiseks saab konfigureerida, kasutades kohalikku turvapoliitikat (Local Security Policy) lisamoodulit (Secpol.msc) või grupi poliitikat


Nõusoleku ja volituse andmine

Windows 7 UAC kasutamise korral kuvatakse enne programmi või ülesande käivitamist, mis nõuab täielikku administraatori juurdepääsuluba, nõusoleku või volituse andmiseks hoiatusaken. See hoiatusaken kindlustab selle, et ühtki pahavara tarkvara ei saa hiljukesi installida.


Hoiatusaken nõusoleku andmiseks

Hoiatusaken nõusoleku andmiseks kuvatakse, kui kasutaja proovib sooritada tegevust, mis nõuab kasutajalt administraatori juurdepääsuluba. Järgmine on pilt UAC nõusoleku andmise hoiatusaknast.

Hoiatusaken.png


Hoiatusaken volituse andmiseks

Volitust küsitakse, kui tavakasutaja proovib sooritada tegevust, milleks on vaja administraatori juurdepääsuluba.

Järgnev pilt on näide UAC volituse andmise hoiatusaknast.

Hoiatusaken2.png


UAC ülendamise hoiatusaken

UAC ülendamise hoiatusaknad on värvikoodidega rakenduse-spetsiifilised, võimaldades rakenduse potentsiaalse turvariski otsekoheseks identifitseerimiseks. Kui rakendus proovib töötada administraatori täieliku juurdepääsuloaga, analüüsib Windows 7 esmalt käivitusfaili, et määrata selle väljaandja. Rakendused on esmalt jaotatud kolme kategooriasse väljaandaja käivitusfaili põhjal: Windows 7, usaldusväärne väljaandja ja mitte usaldusväärne väljaandja. Järgmine diagramm illustreerib, kuidas Windows 7 määrab, millist värvi ülendamise hoiatusaken kasutajale esitatakse.

Diagramm.png

Määrangu värvkoodid on järgmised:

Värvikoodide tähendused
Ikoon Tüüp Kirjeldus
Icon1.png Windows'i programmi osa Sellise hoiatusakna avanemisel on turvaline jätkata. Vajadusel saab kontrollida programmi nime ja seda, mida ta hakkab tegema.
Icon2.png Programm ei ole Windows’i osa. Küsib kasutajalt nõusolekut. Programm väidab ise olevat turvaline, kuid samas peab kasutaja ise ka selles kindel olema.
Icon3.png Tundmatu programm. Nõuab luba käivitamisel. Sellise ikooni ilmumine ei tähenda tingimata ohtu, kuid kasutaja peab teadma ja olema kindel, mis programmiga on tegemist. Kui kasutaja ei ole kindel, siis tuleks tarkvara nime järgi Internetist vaadata, mis programmiga on tegemist.
Icon4.png Programmi kasutamine on blokeeritud süsteemi administraatori poolt Programm on blokeeritud ebausaldusväärsuse tõttu. Selle programmi käivitamiseks tuleb pöörduda süsteemi administraatori poole.

Määrangu load kasutavad hoiatusakendes samu värvikodeeringuid, mida kasutab ka Windows’i Internet Explorer 8.


Windows 7 erinevad juhised kasutajakonto haldamisel

UAC lubamine või keelamine

Selleks, et UAC välja lülitada, peab kasutaja olema sisse loginud administraatori juurdepääsuloaga e administraatori õigustes. Kuid enne, kui asud UAC'd välja lülitama, mõtle sügavalt järele, kas see on ikka vajalik. UAC keelamine suurendab oluliselt arvuti turvariski ja haavatavust. Ilma UAC-ta võib arvutisse installida pahavara või muuta arvutisüsteemi seadeid kasutaja teadmata.

  1. Ava User Account klikkides Start nupule. Seejärel kliki User Accounts and Family Safety --> User Accounts
  2. Kliki Turn User Account Control on or off ja sisesta adminitraatori konto parool või anna vastav kinnitus.
  3. Vali Use User Account Control (UAC) to help protect your computer ja märgi linnukesega või eemalda see vastavalt sellele, kas soovid, et UAC oleks sisse lõlitatud või mitte.
  4. Vajuta OK nupule, kinnitamaks eelnevat tegevust.


Ära keela kasutajakonto haldust

On soovitatav, et kasutajakonto halduse hoiatusakna ilmumine arvuti ekraanile ei oleks välja lülitatud ega oleks liuguri asendit muudetud. UAC väljalülitamine vähendab arvuti turvalisust ja muudab ta palju haavatavamaks pahavara suhtes.

Ehkki ülendamise hoiatusaken on nähtavaim osa kasutajakonto haldusest, annab kasutajakonto haldus aluskomponendid, mis võimaldab suurendada turvalisust minimaalse katkestusega, eriti tavakasutaja jaoks. UAC kaks eelist on:

Kasutajakonto halduse seadistused

UAC teavitab kasutajat enne administraatori-taseme muudatuste tegemist arvutis. UAC teadete sagedust saab ise seadistada. Järgnevalt on toodud kolm varianti, kuidas seadistusi muuta.

  1. klikkides Start-->Control Panel--> System and Security--> Change User Account Control settings
  2. Või lihtsamalt, pärast Control Paneli avamist kirjuta otsingulahtrisse uac --> Change User Account Control settings
  3. Ava arvuti paremal alläärel olevat Action Center ikooni Deskicon.png, seejärel kliki ilmuvas teateaknas Open Action Center lingile, misjärel kliki Change User Account Control settings

Pärast hoiatusakna ilmumist ja nõusoleku andmist klikkides Jah (Yes) nupule, avaneb järgmine pilt:

Turvaicon.png

Alljärgnevas tabelis on UAC seadistuste kirjeldused ja kuidas nad mõjutavad kasutaja arvuti turvalisust.

UAC seadistused
Seadistus Kirjeldus Mõju arvuti turvalisusele
Teavita alati (Always notify) Hoiatusaken ilmub ekraanile alati enne muudatuste toimumist arvutis või kui Windows'i seaded nõuavad administraatori juurdepääsuluba.

Teate ilmudes läheb ekraan tumedamaks ja igasugune juurdepääs süsteemile keelatakse. See on vajalik selleks, et antud režiimi ajal ei saaks ükski pahavara võtta kasutaja süsteemiga ühendust. Seni, kuni ei ole lubanud või keelanud toimingut, jääb töölaud hämarusse, seega ei saa ka teised programmi töötada (secure desktop)

See on kõige turvalisem seadistus.

Teate saamisel loe tähelepanelikult, mis on hoiatusaknas kirjutatud ja alles siis tegutse.

Teavita ainult siis, kui programm püüab teha muudatusi arvutis (Notify me only when programs try to make changes to my computer) Kautajat teavitatakse, kui programm püüab teha muudatusi arvutis. Hoiatusaken ilmub, kui kasutaja ise või keegi teine soovib teha muudatusi Windows'i seadetes, mis nõuavad administraatori õigusi.

Teavitab, kui Windows'i väline programm püüab muuta Windows'i seadeid.

Üldiselt on nende muudatuste lubamine turvaline, kuid peab teadma, milline programm püüab neid muudatusi teha.
Teavita ainult siis, kui programm püüab teha muudatusi arvutis (ära muuda töölauda hämaraks) (Notify me only when programs try to make changes to my computer (do not dim my desktop)) Kaustajat teavitatakse, kui programm püüab teha muudatusi arvutis.

Teavitab, kui kasutaja ise või keegi teine soovib teha muudatusi Windows'i seadetes, mis nõuavad administraatori õigusi.

Teavitab, kui Windows'i väline programm püüab muuta Windows'i seadeid.

Dialoogiakna ilmumist võivad teised programmid häirida
Ära teavita (Never notify) Kasutajat ei teavitata muudatustest arvutis. Kui kasutaja on sisse loginud administraatorina, siis muudatused toimuvad kasutaja teadmata.

Tavakasutaja staatuses, administraatori-taseme muudatused keelatakse automaatselt.

UAC väljalülitamine nõuab arvuti taaskäivitamist (restart)

UAC väljalülimine on suur turvarisk. Programmide käivitamisel peab olema ettevaatlik, sest neil on samasugused administraatori õigused kui kasutajalgi. S.t nad võivad lugeda ja muuta kaitstud süsteemi alasid, kasutaja isiklikke andmeid ja faile ning kõike muud, mida säilitatakse arvutis. Interneti ühenduse puhul on nad võimelised suhtlema ja üle kandma informatsiooni kasutaja arvutist ja vastupidi.

Kasutajakonto loomine

Tavakasutaja kontolt Windows'isse sisse logides saab teha peaaegu kõiki neid samu toiminguid, mida ka administraatori kontolt. Ainult, kui on soov midagi installida, muuta turvaseadeid jne, siis nõuab arvuti kasutajalt kas administraatori parooli või administraatori juurdepääsuluba. Kui arvutit kasutavad mitu kasutajat, siis on soovitav igaühele luua oma kasutajakonto, eriti kui arvutit kasutavad lapsed või ajutine kasutaja.

  1. Ava User Accounts, klikkides Start --> Control Panel --> User Accounts and Family Safety --> User Accounts.
  2. Kliki Manage another account.
  3. Kliki Create a new account.
  4. Kirjuta uuele kontole (isiku) nimi, kellele tahad kontot luua ning seejärel kliki Create Account.

Sellega on uus konto loodud ja saad asuma sellele kontole õiguste loomise andmisega.


Vanema kontrolli lisamine kontole UAC abil

Uuele loodud kontole on võimalik määrata reeglid, mida ja kui palju see kasutaja arvutis saab tegutseda.

  1. Vali konto, millele hakkad õigusi määrama või muutma. Siin on võimalik seada kontole nii parool kui ka seadistada vanema kontroll. Lisaks muuta kõiki seadistusi ja ka lõpuks see konto arvutist kustutada.
    Seadistused.png
  2. Kliki lingile Set Up Parental Controls. Nüüd avaneb aken, kus saad valida, milliseid piiranguid sa soovid vastavale kontole lisada.
  3. Märgi linnuke väljale On, enforce current settings.
  4. Vali oma soovi kohaselt, kas määrata kasutajale ajalimiit:
    1. vali link Time limits ning seejärel avaneb aken, kus saad valida piiratava kellaaja.
      Ajalimiit.png
      ,
    2. vali link Games, kui soovid kontrollida või piirata kontokasutaja mängimist Internetis. Pilt, mis avaneb on:
      Games.png
    3. Vali link Allow and block specific programs, kui soovid lubada või blokeerida teatud programmide kasutamist.
      Programs.png

Kõik toimingud tuleb lõpetada OK nupule vajutamisega, et kinnitada oma tegevus.

Kasutatud materjale: