USER ACCOUNT CONTROL (UAC) MÁSODIK RÉSZ
Az UAC másik fontos összetevője a fájlrendszer és a Registry bizonyos részeinek virtualizációja.
Ha egy rendszergazdai jogosultságok nélkül futó alkalmazás próbálja meg a rendszer bizonyos
védett könyvtárait (Windows, Program Files stb.), illetve a Registry érzékeny részeit módosítani,
akkor az UAC egyszerűen átveri a próbálkozót. Hibaüzenetek helyett a védett könyvtár helyett a
felhasználói profil egy eldugott részében kap a program egy másolatot az általa módosítandó
területről, itt azt csinálhat az adatokkal amit akar, sőt a legközelebbi futásakor is itt találja az általa
módosított vagy létrehozott információt. A Registry átírásakor az UAC nem ennyire előzékeny; az
egyszer „módosított" adat a módosító program kilépése után elveszik.
Az elv tehát nem rossz, az UAC tényleg biztonságosabbá teszi rendszerünket, sajnos a
megvalósítása eléggé kezdetleges. Az UAC egyes komponensei ki- és bekapcsolhatók a
házirendben, de ezen túl sajnos nem tanítható, azaz nem fogható rá a kivételek kezelésére. Ha a
felhasználóknak joguk lenne megadniuk, hogy melyik alkalmazásukat tekintik egyszer és
mindenkorra biztonságosnak, automatikusan indíthatónak stb., akkor bizonyára nem kapcsolná ki
senki ezt az egyébként igen fontos biztonsági mechanizmust (msconfig.exe -> Tools menü).
2012. augusztus 25., szombat
2012. augusztus 4., szombat
a vista igazi újdonságai - 16.rész
USER ACCOUNT CONTROL (UAC) ELSŐ RÉSZ
Végére hagytuk a bétatesztelők „kedvencét", az állandóan felugráló engedélykérő ablakokkal dobálózó biztonsági funkciót. A User Account Control (UAC) annak felismerése után fogant, hogy egy adminisztrátori jogokkal megáldott felhasználó bejelentkezése után nem csak a felhasználó, hanem a regnálása alatt elszabadult kártevők is bármit módosíthatnak a rendszeren. A biztonság érdekében tehát mostantól még a rendszergazdai jogokkal bejelentkezett felhasználónak is mindig külön engedélyt kell adnia - erre szolgál a felugró engedélyező ablak -, ha a rendszert módosítani képes program indulna el, akár „magától", akár a felhasználó saját akaratából. A rendszergazdai jogosultságok nélkül bejelentkező felhasználó is próbálhat elindítani rendszert módosító, nem „biztonságos" alkalmazásokat, ekkor vagy eleve elutasítja őt az UAC, vagy felszólítja, hogy előbb adja meg az adminisztrátori nevet és jelszót. Azt, hogy mi számít biztonságos alkalmazásnak és mi nem, azt az UAC dönti el. A nem biztonságos - azaz engedélyköteles - alkalmazások a Vezérlőpult egyes elemei, a különféle felügyeleti programok, és azok az alkalmazások, amik nem rendelkeznek digitális aláírással és nincsenek rajta a Microsoft biztonságos applikációk listáján. Sajnos ilyen nagyon sok van, a sok ingyenes, nem Microsoft által írt segédprogram többnyire ilyen. Az UAC újabb jótéteménye az is, hogy még a biztonságosnak ítélt alkalmazások automatikus indulását is meggátolja a rendszer bejelentkezésekor.
Végére hagytuk a bétatesztelők „kedvencét", az állandóan felugráló engedélykérő ablakokkal dobálózó biztonsági funkciót. A User Account Control (UAC) annak felismerése után fogant, hogy egy adminisztrátori jogokkal megáldott felhasználó bejelentkezése után nem csak a felhasználó, hanem a regnálása alatt elszabadult kártevők is bármit módosíthatnak a rendszeren. A biztonság érdekében tehát mostantól még a rendszergazdai jogokkal bejelentkezett felhasználónak is mindig külön engedélyt kell adnia - erre szolgál a felugró engedélyező ablak -, ha a rendszert módosítani képes program indulna el, akár „magától", akár a felhasználó saját akaratából. A rendszergazdai jogosultságok nélkül bejelentkező felhasználó is próbálhat elindítani rendszert módosító, nem „biztonságos" alkalmazásokat, ekkor vagy eleve elutasítja őt az UAC, vagy felszólítja, hogy előbb adja meg az adminisztrátori nevet és jelszót. Azt, hogy mi számít biztonságos alkalmazásnak és mi nem, azt az UAC dönti el. A nem biztonságos - azaz engedélyköteles - alkalmazások a Vezérlőpult egyes elemei, a különféle felügyeleti programok, és azok az alkalmazások, amik nem rendelkeznek digitális aláírással és nincsenek rajta a Microsoft biztonságos applikációk listáján. Sajnos ilyen nagyon sok van, a sok ingyenes, nem Microsoft által írt segédprogram többnyire ilyen. Az UAC újabb jótéteménye az is, hogy még a biztonságosnak ítélt alkalmazások automatikus indulását is meggátolja a rendszer bejelentkezésekor.
Feliratkozás:
Bejegyzések (Atom)