User Account Control
NB! Samal teemal on kirjutatud ka artikkel UAC
Mis on kasutajakonto haldus (User Account Control, UAC)
UAC ehk kasutajakontode haldus on Windows Vista poolt turule toodud lahendus, mis lubab ajutiselt kasutajale suuremad õigused arvuti kasutamiseks.
Selleks, et kontrollida rakendustele juurdepääsu, on kasutajal vaja juurdepääsu õigusi, mis võimaldavad realiseerida oma vajalike ülesannete täitmist. Paljud ülesanded ei nõua administraatori õigusi. Enne Windows Vista versiooni, loodi kasutajakontod vaikimisi administraatori kontodena, ehk kasutajad logisid oma arvutitesse sisse administraatori konto alt. Ilma UAC-ta, kui kasutaja logib oma arvutisse administraatorina, antakse sellele kasutajale automaatselt täielik juurdepääs kogu süsteemile.
Samas ei vaja paljud kasutajad sellist juurdepääsu taset arvutile. Kasutajad ei tea sageli, et nad on sisse loginud administraatori õigustes, kui nad veebis lehitsevad, E-kirju loevad või töötavad tarkvaraga. Ajal, mil ollakse sisse logitud administraatorina, mis võimaldab kasutajal installida legaalset tarkvara, võib kasutaja tahtmatult või tahtlikult installida samuti pahavara programme. Pahavara programm, mis on administraatori poolt installeeritud, võib tekitada arvutile täieliku turvarikke ja mõjutada kõiki kasutajaid. Kuna UAC nõuab, et administraator kinnitaks installimise pealepanemise, ei saa autoriseerimata rakendusi installida automaatselt või ilma administraatori konkreetse nõusolekuta.
UAC võimaldab probleemideta kasutajal töötada tavakasutajana:
- IT osakonnad saavad olla kindlamad keskkonna tervikluse säilimise osas, k.a süsteemi failide, auditi logide ja süsteemi-üleste seadete osas.
- Administraatorid ei pea enam pühendama üksikutele arvutitele palju aega, et neile autoriseeritud rakendusi seada. See võimaldab administraatoritel kulutada rohkem aega üleüldisele süsteemi hooldusele.
- IT administraatoritel on parem kontroll tarkvara litsentside üle, sest nad saavad kindlustada, et ainult autoriseeritud rakendused on installitud. Selle tulemusena ei pea nad enam muretsema mittelitsentseeritud või pahavara tarkvara olemasolu pärast, mis võib ohustada nende arvutivõrku, põhjustades süsteemi seisuaegasid ja andmete kadu või luues litsentside võlgnevust.
Definitsioonid
Juurdepääsuluba (access token) – kui kasutaja logib arvutisse, siis süsteem loob juurdepääsuloa sellele kasutajale. Juurdepääsuluba sisaldab informatsiooni juurdepääsu taseme kohta, mis on sellele kasutajale omistatud, k.a spetsiaalseid turva identifikaatoreid (security identifiers – SID) ja Windowsi õigusi.
Administraatori kinnitusrežiim (Admin Approval Mode) – kui kasutaja käivitab rakenduse, mis vajab administraatori õigusi (administraatori rakendusprogrammid), siis kasutajat ajendatakse muutma või „ülendatakse“ turva kontekstis tavakasutajast administraatoriks ning selllisel juhul töötab kasutaja administraatori kinnitusrežiimis. Selles režiimis peab administraator hoolitsema rakendusprogrammi kinnitamise eest (heaks kiitma), et see rakendus käivituks turvaliselt arvuti töölaual administraatori õigustes.
Nõusoleku andmine (Consent prompt) – nõusolekut küsitakse, kui kasutaja proovib käivitada rakendust, mis nõuab kasutajalt selleks juurdepääsuluba. Kasutaja annab nõusoleku klikkides Jah (Yes) nupule või keeldudes nõusolekust klikkides Ei (No) nupule.
Volituse andmine (Credential prompt) – volitust küsitakse, kui tavakasutaja proovib käivitada rakendust, mis nõuab kasutajalt administraatori juurdepääsuluba. Kasutaja, kes on ka administraator, varustatakse kasutaja nime ja parooliga selle konto jaoks.
Kuidas UAC töötab?
UAC aitab ära hoida arvuti kahjustamise pahavara programmide poolt ja aitab juurutada arvuti töölaua parimat haldamist.
UAC-ga töötavad rakendused alati mitte-administraatori konto ohutus keskkonnas, v.a kui administraator siseneb (autoriseerib end) administraatori-taseme juurdepääsuloaga süsteemile. UAC võib blokeerida automaatse autoriseerimata rakenduse installimise ja takistada tahtmatuid süsteemi sätete muutmisi.
UAC protsessid ja interaktsioonid
Windows 7 sisselogimise protsess
Järgnev pilt illustreerib, kuidas administraatori sisselogimise protsess erineb tavakasutaja sisselogimise protsessist.
Allikas: http://technet.microsoft.com/en-us/library/dd835561%28WS.10%29.aspx
Tavakasutaja ja administraator kasutavad vaikimisi vahendeid ja rakendusi, mis töötavad tavakasutaja turva keskkonnas. Kui kasutaja logib arvutisse, loob süsteem sellele kasutajale juurdepääsuloa. Juurdepääsuluba sisaldab informatsiooni juurdepääsu taseme kohta, mis on sellele kasutajale omistatud, k.a spetsiaalsed turva identifikaatorid (security identifiers – SID) ja Windowsi õigused.
Kui administraator logib sisse, siis luuakse kasutaja jaoks kaks eraldi juurdepääsuluba: tavakasutaja juurdepääsuluba ja administraatori juurdepääsuluba. Tavakasutaja juurdepääsuluba sisaldab sama kasutajaspetsiifilist informatsiooni, mis administraatori juurdepääsulubagi, aga administratiivsed Windowsi õigused ja SID eemaldatakse. Tavakasutaja juurdepääsuluba kasutatakse rakenduse käivitamisel, mis ei täida administratiivseid ülesandeid (tavakasutaja rakendused). Tavakasutaja juurdepääsuluba kasutatakse sellisel juhul töölaua kuvamiseks (Explorer.exe). Explorer.exe on emaprotsess, millest kõik teised kasutaja poolt algatatud protsessid pärivad oma juurdepääsuloa. Selle tulemusena töötavad kõik rakendused tavakasutaja režiimis, v.a kui kasutaja annab nõusoleku või volituse, et lubada rakendusel käivituda täielikult administraatori juurdepääsuloa režiimis.
Kasutaja, kes on administraatorite grupi liige, võib sisse logida, veebis lehitseda ja lugeda E-kirju, kasutades sel ajal tavakasutaja juurdepääsuluba. Kui administraatoril on vaja täita ülesannet, mis vajab administraatori juurdepääsuluba, siis Windows 7 kuvab automaatselt nõusoleku andmiseks hoiatusakna, mille abil saab kasutaja rakenduse käivitamise heaks kiita või mitte.
Iga rakendus, mis nõuab administraatori juurdepääsuluba, peab küsima administraatorilt nõusolekut. Selles osas on üks erand, mis puudutab vanema ja lapse vahelist protsessi. Lapse protsess pärib juurdepääsuloa vanema protsessist. Siiski, nii vanema kui ka lapse protsessid peavad omama sama terviklikkuse taset.
Windows 7 kaitseb protsesse, tähistades nende terviklikkuse tasemeid. Tervikluse tasemed on usalduse mõõted. „Kõrge“ tervikluse tase on selline, mis teostab ülesannet, mis muudab süsteemi andmeid, nagu nt kõvaketta jaotamise rakendus, samas „madal“ tervikluse rakendus on see, mis teostab ülesannet, mis võiks potentsiaalselt rikkuda operatsioonisüsteemi, nagu nt veebi lehitseja. Madalama tervikluse tasemega rakendused ei saa muuta andmeid kõrgema tervikluse taseme rakendustes.
Kui tavakasutaja proovib käivitada rakendust, mis nõuab administraatori juurdepääsuluba, nõuab UAC, et kasutaja esitaks kehtiva administraatori volitust (parooli).
UAC kasutaja praktika.
Kui UAC on lubatud, siis tavakasutaja režiimis on kasutaja praktika erinev sellest, mis on administraatoritel administraatori kinnitusrežiimis (Admin Approval Mode). Windows 7–ga töötamise korral on soovitatav ja turvalisem teha endale tavakasutaja konto. Kui töötada arvutiga tavakasutajana, siis see aitab kasutajal maksimeerida turvalisust hallatavas keskkonnas. Sisseehitatud UAC ülendamise komponendiga saab tavakasutaja lihtsalt teostada administraatori ülesandeid, sisestades administraatori kontole vastava kehtiva volituse (parooli).
Alternatiiv töötamiseks tavakasutajana on töötada administraatorina administraatori kinnitusrežiimis. Sisseehitatud UAC ülendamise komponendiga saab administraator sooritada lihtsalt administratiivseid ülesandeid andes hoiatusaknas nõusoleku Jah nupule vajutamisega. Sellist sisse ehitatud UAC ülendamise komponenti administraatori konto jaoks administraatori heakskiidu režiimis töötamiseks kutsutakse nõustumise loaks. UAC käitumist ülendamiseks saab konfigureerida, kasutades kohalikku turvapoliitikat (Local Security Policy) lisamoodulit (Secpol.msc) või grupi poliitikat
Nõusoleku ja volituse andmine
Windows 7 UAC kasutamise korral kuvatakse enne programmi või ülesande käivitamist, mis nõuab täielikku administraatori juurdepääsuluba, nõusoleku või volituse andmiseks hoiatusaken. See hoiatusaken kindlustab selle, et ühtki pahavara tarkvara ei saa hiljukesi installida.
Hoiatusaken nõusoleku andmiseks
Hoiatusaken nõusoleku andmiseks kuvatakse, kui kasutaja proovib sooritada tegevust, mis nõuab kasutajalt administraatori juurdepääsuluba. Järgmine on pilt UAC nõusoleku andmise hoiatusaknast.
Hoiatusaken volituse andmiseks
Volitust küsitakse, kui tavakasutaja proovib sooritada tegevust, milleks on vaja administraatori juurdepääsuluba.
Järgnev pilt on näide UAC volituse andmise hoiatusaknast.
UAC ülendamise hoiatusaken
UAC ülendamise hoiatusaknad on värvikoodidega rakenduse-spetsiifilised, võimaldades rakenduse potentsiaalse turvariski otsekoheseks identifitseerimiseks. Kui rakendus proovib töötada administraatori täieliku juurdepääsuloaga, analüüsib Windows 7 esmalt käivitusfaili, et määrata selle väljaandja. Rakendused on esmalt jaotatud kolme kategooriasse väljaandaja käivitusfaili põhjal: Windows 7, usaldusväärne väljaandja ja mitte usaldusväärne väljaandja. Järgmine diagramm illustreerib, kuidas Windows 7 määrab, millist värvi ülendamise hoiatusaken kasutajale esitatakse.
Määrangu värvkoodid on järgmised:
Määrangu load kasutavad hoiatusakendes samu värvikodeeringuid, mida kasutab ka Windows’i Internet Explorer 8.
Windows 7 erinevad juhised kasutajakonto haldamisel
UAC lubamine või keelamine
Selleks, et UAC välja lülitada, peab kasutaja olema sisse loginud administraatori juurdepääsuloaga e administraatori õigustes. Kuid enne, kui asud UAC'd välja lülitama, mõtle sügavalt järele, kas see on ikka vajalik. UAC keelamine suurendab oluliselt arvuti turvariski ja haavatavust. Ilma UAC-ta võib arvutisse installida pahavara või muuta arvutisüsteemi seadeid kasutaja teadmata.
- Ava User Account klikkides Start nupule. Seejärel kliki User Accounts and Family Safety --> User Accounts
- Kliki Turn User Account Control on or off ja sisesta adminitraatori konto parool või anna vastav kinnitus.
- Vali Use User Account Control (UAC) to help protect your computer ja märgi linnukesega või eemalda see vastavalt sellele, kas soovid, et UAC oleks sisse lõlitatud või mitte.
- Vajuta OK nupule, kinnitamaks eelnevat tegevust.
Ära keela kasutajakonto haldust
On soovitatav, et kasutajakonto halduse hoiatusakna ilmumine arvuti ekraanile ei oleks välja lülitatud ega oleks liuguri asendit muudetud. UAC väljalülitamine vähendab arvuti turvalisust ja muudab ta palju haavatavamaks pahavara suhtes.
Ehkki ülendamise hoiatusaken on nähtavaim osa kasutajakonto haldusest, annab kasutajakonto haldus aluskomponendid, mis võimaldab suurendada turvalisust minimaalse katkestusega, eriti tavakasutaja jaoks. UAC kaks eelist on:
- kaitserežiim Internet Exploreri kasutamisel;
- failide ja registrite virtualiseerimine.
Kasutajakonto halduse seadistused
UAC teavitab kasutajat enne administraatori-taseme muudatuste tegemist arvutis. UAC teadete sagedust saab ise seadistada. Järgnevalt on toodud kolm varianti, kuidas seadistusi muuta.
- klikkides Start-->Control Panel--> System and Security--> Change User Account Control settings
- Või lihtsamalt, pärast Control Paneli avamist kirjuta otsingulahtrisse uac --> Change User Account Control settings
- Ava arvuti paremal alläärel olevat Action Center ikooni , seejärel kliki ilmuvas teateaknas Open Action Center lingile, misjärel kliki Change User Account Control settings
Pärast hoiatusakna ilmumist ja nõusoleku andmist klikkides Jah (Yes) nupule, avaneb järgmine pilt:
Alljärgnevas tabelis on UAC seadistuste kirjeldused ja kuidas nad mõjutavad kasutaja arvuti turvalisust.
Seadistus | Kirjeldus | Mõju arvuti turvalisusele |
---|---|---|
Teavita alati (Always notify) | Hoiatusaken ilmub ekraanile alati enne muudatuste toimumist arvutis või kui Windows'i seaded nõuavad administraatori juurdepääsuluba.
Teate ilmudes läheb ekraan tumedamaks ja igasugune juurdepääs süsteemile keelatakse. See on vajalik selleks, et antud režiimi ajal ei saaks ükski pahavara võtta kasutaja süsteemiga ühendust. Seni, kuni ei ole lubanud või keelanud toimingut, jääb töölaud hämarusse, seega ei saa ka teised programmi töötada (secure desktop) |
See on kõige turvalisem seadistus.
Teate saamisel loe tähelepanelikult, mis on hoiatusaknas kirjutatud ja alles siis tegutse. |
Teavita ainult siis, kui programm püüab teha muudatusi arvutis (Notify me only when programs try to make changes to my computer) | Kautajat teavitatakse, kui programm püüab teha muudatusi arvutis. Hoiatusaken ilmub, kui kasutaja ise või keegi teine soovib teha muudatusi Windows'i seadetes, mis nõuavad administraatori õigusi.
Teavitab, kui Windows'i väline programm püüab muuta Windows'i seadeid. |
Üldiselt on nende muudatuste lubamine turvaline, kuid peab teadma, milline programm püüab neid muudatusi teha. |
Teavita ainult siis, kui programm püüab teha muudatusi arvutis (ära muuda töölauda hämaraks) (Notify me only when programs try to make changes to my computer (do not dim my desktop)) | Kaustajat teavitatakse, kui programm püüab teha muudatusi arvutis.
Teavitab, kui kasutaja ise või keegi teine soovib teha muudatusi Windows'i seadetes, mis nõuavad administraatori õigusi. Teavitab, kui Windows'i väline programm püüab muuta Windows'i seadeid. |
Dialoogiakna ilmumist võivad teised programmid häirida |
Ära teavita (Never notify) | Kasutajat ei teavitata muudatustest arvutis. Kui kasutaja on sisse loginud administraatorina, siis muudatused toimuvad kasutaja teadmata.
Tavakasutaja staatuses, administraatori-taseme muudatused keelatakse automaatselt. UAC väljalülitamine nõuab arvuti taaskäivitamist (restart) |
UAC väljalülimine on suur turvarisk. Programmide käivitamisel peab olema ettevaatlik, sest neil on samasugused administraatori õigused kui kasutajalgi. S.t nad võivad lugeda ja muuta kaitstud süsteemi alasid, kasutaja isiklikke andmeid ja faile ning kõike muud, mida säilitatakse arvutis. Interneti ühenduse puhul on nad võimelised suhtlema ja üle kandma informatsiooni kasutaja arvutist ja vastupidi. |
Kasutajakonto loomine
Tavakasutaja kontolt Windows'isse sisse logides saab teha peaaegu kõiki neid samu toiminguid, mida ka administraatori kontolt. Ainult, kui on soov midagi installida, muuta turvaseadeid jne, siis nõuab arvuti kasutajalt kas administraatori parooli või administraatori juurdepääsuluba. Kui arvutit kasutavad mitu kasutajat, siis on soovitav igaühele luua oma kasutajakonto, eriti kui arvutit kasutavad lapsed või ajutine kasutaja.
- Ava User Accounts, klikkides Start --> Control Panel --> User Accounts and Family Safety --> User Accounts.
- Kliki Manage another account.
- Kliki Create a new account.
- Kirjuta uuele kontole (isiku) nimi, kellele tahad kontot luua ning seejärel kliki Create Account.
Sellega on uus konto loodud ja saad asuma sellele kontole õiguste loomise andmisega.
Vanema kontrolli lisamine kontole UAC abil
Uuele loodud kontole on võimalik määrata reeglid, mida ja kui palju see kasutaja arvutis saab tegutseda.
- Vali konto, millele hakkad õigusi määrama või muutma. Siin on võimalik seada kontole nii parool kui ka seadistada vanema kontroll. Lisaks muuta kõiki seadistusi ja ka lõpuks see konto arvutist kustutada.
- Kliki lingile Set Up Parental Controls. Nüüd avaneb aken, kus saad valida, milliseid piiranguid sa soovid vastavale kontole lisada.
- Märgi linnuke väljale On, enforce current settings.
- Vali oma soovi kohaselt, kas määrata kasutajale ajalimiit:
- vali link Time limits ning seejärel avaneb aken, kus saad valida piiratava kellaaja. ,
- vali link Games, kui soovid kontrollida või piirata kontokasutaja mängimist Internetis. Pilt, mis avaneb on:
- Vali link Allow and block specific programs, kui soovid lubada või blokeerida teatud programmide kasutamist.
Kõik toimingud tuleb lõpetada OK nupule vajutamisega, et kinnitada oma tegevus.
Kasutatud materjale:
- Microsoft Corporation (2009). User Account Control. Retreived 03.2010 from Microsoft Technet http://technet.microsoft.com/en-us/library/cc731416(WS.10).aspx
- Microsoft Corporation. How do I: User Account Control? Retrieve 03.2010 from Microsoft Tehnet http://technet.microsoft.com/en-us/windows/dd572175.aspx
- Windows. What is User Account Control?. retrieve 03.2010 from WindowsHelp & How-to http://windows.microsoft.com/en-us/windows-vista/What-is-User-Account-Control
- Windows. Turn User Account Control on or off. Retrieve 03.2010 from Windows help & How-to http://windows.microsoft.com/en-US/windows-vista/Turn-User-Account-Control-on-or-off
- Veebidisain. User Account Control. Retrieved 03.2010 from Veebidisain http://pyramdesign.angelfire.com/win7/turvalisus.html#C3