UAC
Sissejuhatus
User Account Control(UAC) kujul on tegemist olulise turvauuendusega, mis on kasutuses Microsoft Windows Vista, Windows Server 2008, Windows 7 ja Windows Server 2008 R2 operatsioonisüsteemides. UAC lubab viia läbi administratiivseid toiminguid mitteadmnistratiivse kasutajasessiooni alt, ilma kasutajasessiooni vahetamata. UAC võb ka küsida administraatori heakskiitu kui mõni rakendus üritab läbi viia süsteemseid muudatusi, ka administratiivse konto all.
Ajalugu
Vanemates Windows NT operatsioonisüsteemides omavad lokaalsete administraatoritte gruppi lisatud isikud kõiki süsteemseid privileege. Nende privileegide hulka kuuluvad näiteks õigused tarkvara paigaldada, uuendada ja eemaldada. Lisaks on nii administraatoril ja tema konto all jooksvatel rakendustel ligipääs kogu süsteemile ning õigused viia läbi süsteemseid muudatusi.
Kuna ajalooliselt on rakenduste arendajad loonud Windowsi rakendusi mis nõuavad arvutikasutajatelt sageli liigseid kasutajaõigusi, kasutavad paljud kodu- ja ärikasutajaid oma arvuteid administraatoriõigustes. Selle näol on aga tegemist tõsise turvaprobleemiga, kuna potensiaalsele pahavarale antakse sisuliselt ligipääs kogu süsteemi.
UAC rakendamine
Kuidas UAC toimib
Admin Approval Mode(AAM) on UAC seadistus, mille kohaselt jagatakse administratiivse konto all sisse loginud kasutaja autentimistõend kaheks. Süsteemi sisse logimise jooksul eemaldatakse täielikust autentimistõendist need osad, mida kasutatakse administratiivsete toimingute tarbeks. Selle protsessi tulemusena tekkinud filtreeritud ehk standardkasutaja autentimistõendit kasutatakse seejärel vaikimisi kõigi protsesside käivitamiseks. Kui kasutaja või mõni rakendus soovib viia läbi administratiivseid toiminguid, siis olenevalt grupipoliitikale küsitakse kasutaja nõusolekut täieliku autentimistõendi kasutamiseks selle konkreetse tegevuse tarbeks.
Tavakasutajatele luuakse sisse logimise käigus vaid üks autentimistõend, kuid UAC on võimeline kasutajaõigusi kõrgendama. Kui tavakasutaja üritab läbi viia administratiivseid toiminguid, siis vastavalt sätestustele võib UAC küsida kasutajal end administraatorina autentida.
UAC operatsioonisüsteemides
Erinevused Windows Visa ja Windows Server 2008 UAC sätestustes:
- AAM(Admin Approval Mode) on kõigil versioonide sisseehitatud administraatorikontodes vaikimisi välja lülitatud
- Sisseehitatud administraatorikonto on operatsioonisüsteemi klient-versioonis vaikimisi välja lülitatud, süsteemi esimesena loodud konto tõstetakse kohalike administraatorite(local administrators) gruppi ning sellele kontole lülitatakse sisse AAM.
- Sisseehitatud administraatorikonto on Windows Server 2008 puhul vaikimisi sisse lülitatud, AAM on selles kontos välja lülitatud.
Klientide poolse kriitika tõttu on UAC nii Windows 7 kui Windows Server 2008 R2 toodetes kasutajasõbralikumaks muudetud. Sisuline erinevus vanemate operatsioonisüsteemidega võrreldes on see, et paljude tüüpiliste Windowsi siseste toimingute tarbeks ei küsi UAC enam administraatori kinnitust, kasutajaõigused kõrgendatakse automaatselt. Kasutajat teavitatakse eelkõige siis, kui kolmanda osapoole tarkvara üritab läbi viia süsteemseid muudatusi. Seda loetakse aga tõsiseks tagasiminekuks turvalisuse vallas, kuna pahavaral on võrdlemisi kerge UAC turvameetmeid ignoreerida.
UAC seadistamine Windows Server 2008 keskkonnas
Seadistamine kohalikus masinas
UAC seadistamiseks kindlatel masinatel on vajalik:
1. Käivita Local Security Policy MMC vajutades ’’’Start’’’, ’’’Administrative Tools’’’, ’’’Local Security Policy’’’
2. Laienda navigatsiooniribalt ’’’Local Policies’’’, vajuta ’’’Security Options’’’ peal ja liigu pealehe alumisse osasse. Seal asuvad kõik vajalikud UAC sätestused.
UAC seadistamine grupipoliitika objektides
1.
Ülevaade UAC seadistusvalikutest
Admin Approval Mode for the Built-in Administrator account
See valik on vaikimisi välja lülitatud(’’’Disabled’’’). Kui see sisse lülitada (’’’Enabled’’’) siis vaikeadministraatoriga sisse logituna küsitakse iga administratiivse toimingu järel kasutaja nõusolekut.
Allow UIAccess applications to prompt for elevation without using the secure desktop
Vaikimisi,(’’’Disabled’’) kui te abistate kedagi kasutades ise kaugtöölaua(remote desktop) võimalusi, siis teie poolt põhjustatud UAC kinnitusaknad suunatakse turvalisele töölauale, mitte kaugtöölauale. Sisse lülitatuna (’’’Enabled’’’) suunatakse UAC kinnitusaknad kaugtöölauale ja seda kasutav kasutaja on võimeline neid nägema ja reageerima.
Behavior of the elevation prompt for administrators in Admin Approval Mode
Määrab, millist kinnitusakent näidatakse administraatoritele UAC poolt. Valida saab kolme sätestuse vahel:
- ’’’Prompt for consent’’’ – vaikeväärtus, UAC dialoogiaken küsib kasutajalt ainult nõusolekut(’’’Perimit’’’, ’’’Deny’’’)
- ’’’Prompt for credentials’’’ – UAC dialoogiaken palub kasutajal administratiivse kasutajanime/parool sisestada.
- ’’’Elevate without prompting’’’ – UAC dialoogiakent ei näidata kasutajale, kasutajaõigused kõrgendatakse automaatselt
Behavior of the elevation prompt for standard users
Määrab, millist kinnitusakent näidatakse tavgakasutajatele UAC poolt. Valida saab kahe sätestuse vahel:
- ’’’Prompt for credentials’’’ - UAC dialoogiaken palub kasutajal administratiivse kasutajanime/parool sisestada.
- ’’’Automatically deny elevation requests’’’ – UAC dialoogiakent ei näidata kasutajale, ligipääs kõrgendatud õigustele keelatakse automaatselt
Detect application installations and prompt for elevation
Sisse lülitatuna(’’’Enabled’’’) nõutakse kasutajaõiguste kõrgendamist programmide paigldamiseks. Keskkonnas, kus rakenduste paigaldamist kontrollitakse läbi grupipoliitika, tasub see sätestus välja lülitada(’’’Disabled’’’)
Only elevate executables that are signed and validated
See sätestus kontrollib kas käivitataval failil on allakirjutatud PKI sertifikaat. Kui sertifikaat puudub, siis faili ei lubata käivitada. Vaikimisi on see sätestus välja lülitatud(’’’Disabled’’’).
Only Elevate UIAccess applications that are installed in secure locations
Sisse lülitatuna(’’’Enabled’’’) kontrollitakse kas kõrgendatud õigusi paluv rakendus on paigaldatud failisüsteemis usaldatud asukohta. Nendeks asukohtadeks on .../Program Files ja .../Windows/System32/. Rakendusi, mis ei asu antud asukohtades, ei käivitata.
Run all administrators in Admin Approval Mode
Vaikimisi sisse lülitatud(’’’Enabled’’’), selle seadistuse välja lülitamine tähendab sisuliselt kogu UAC välja lülitamist kuna administraatori õigustes kasutajatelt ei küsita enam kinnitust õiguste kõrgendamiseks.
Switch to the secure desktop when prompting for elevation
Sisse lülitatuna suunakakse kõik kasutajaõiguste kõrgendamise kinnitusaknad turvalise töölaua keskkonda. Kasutaja näeb seda halli ekraanina, kus on kliendimasina puhul ka aero välja lülitatud. Sätestuse välja lülitamise (’’’Disabled’’’) korral suunatakse dialoogiaknad kasutaja töölauale.
Virtualizes file and registry write failures to per-user locations
Paljud vanemad rakendused vajavad normaalseks töötamiseks ligipääsu failisüsteemile ja registrile. Sättestuse sisselülitamise korral (’’’Enabled’’’, vaikeväärtus) kasutatakse selliste rakenduste puhul ühilduvuse saavutamiseks virtualiseerimist. Antud seadistus ei pruugi garanteerida ühilduvuse saavutamist.
Kasutatud kirjandus
http://technet.microsoft.com/en-us/library/cc772207%28WS.10%29.aspx
http://technet.microsoft.com/en-us/library/cc709691%28WS.10%29.aspx
http://www.computerperformance.co.uk/Longhorn/server_2008_uac_user_account_control.htm
http://arstechnica.com/microsoft/news/2009/02/the-curious-tale-of-windows-7s-uac.ars
http://technet.microsoft.com/en-us/library/cc766301%28WS.10%29.aspx
http://technet.microsoft.com/en-us/library/dd851895.aspx
http://www.trainsignaltraining.com/disable-uac-user-account-control-on-vista-and-server-2008/2008-12-18/
http://technet.microsoft.com/en-us/library/dd834746.aspx
Autor
Markus Kont
a21