Безопасность в Windows. Контроль учетных записей

Лекция 7. Аутентификация. Active Directory.

Функция UAC информирует о том, что действие, которое вы собираетесь предпринять, требует повышения полномочий. Когда вы входите в систему с учетной записью локального администратора в предыдущих версиях Microsoft Windows, например в Windows ХР, у вас автоматически появляется постоянный административный доступ к системе. Сама по себе такая практика не вызывала проблем, при условии что пользователи входили в систему с административными учетными записями только в тех случаях, когда им необходимо было выполнить какое-либо действие, связанное с администрированием. Однако многие пользователи склонны были использовать учетные записи администраторов в качестве своих обычных учетных записей. Это было удобно, поскольку им не приходилось выходить из системы и снова в нее входить каждый раз, когда нужно было выполнить какое-либо действие, связанное с администрированием. К сожалению, такой образ действий весьма нежелателен с точки зрения безопасности: любая программа, запускаемая пользователем, вошедшим в систему с учетной записью администратора, работает с административными правами и полномочиями. В UAC эта проблема решается следующим образом: даже член локальной группы администраторов постоянно работает от имени стандартного пользователя и получает повышенные полномочия лишь ненадолго, выполняя административные задачи.

Чтобы помять принцип работы UAC, необходимо усвоить следующие понятия:

Повышение полномочий (privilege elevation) Все пользователи клиента Windows 7 работают с правами стандартного пользователя. Когда пользователь пытается выполнить действие, требующее административных полномочий, например, создает новую учетную запись, его полномочия должны быть повышены до прав иользователя-администратора. Это действие и называется повышением полномочий. Функция UAC — это контрольный пункт для повышения полномочий. Она позволяет члену локальной группы администраторов получить доступ к административным правам, но гарантирует, что доступ к административным правам не будет предоставлен без ведома пользователя. Повышение полномочий производится только для конкретной задачи. Другая задача, выполняемая параллельно и также требующая повышения полномочий, генерирует собственное уведомление UAC.

Режим одобрения администратора (admin approval mode) Он действует в случаях, когда администратор должен явно одобрить повышение при помощи уведомления UAC. В уведомлении нужно щелкнуть кнопку Да (Yes), что называется запросом согласия (prompting for consent), или ввести имя пользователя и пароль, что называется запросом учетных данных (prompting for credentials).

Безопасный рабочий стол (secure desktop) Гарантирует, что вредоносное ПО не сможет изменить отображение уведомлений UAC, чтобы обмануть вас, заставив предоставить административный доступ. Если вы настраиваете работу UAC на безопасном рабочем столе, при выведенном уведомлении UAC рабочий стол недоступен. Вы должны отреагировать на уведомление UAC, чтобы снова получить возможность взаимодействовать с компьютером. Притушенный экран — это фактически снимок рабочего стола на текущий момент. Именно поэтому, если уведомление UAC появилось при воспроизведении видео, на безопасном рабочем столе видео «застывает». Если вы не отреагируете на уведомление UAC в течение 150 секунд, Windows автоматически отклонит запрос на повышение полномочий, а компьютер вернется к стандартному рабочему столу.

Дата добавления: 2014-01-20; Просмотров: 674; Нарушение авторских прав?; Мы поможем в написании вашей работы!