Felhasználói felület

A felhasználói fiókok felügyelete ( angolul User  Account Control , UAC ) a Microsoft Windows operációs rendszerek egyik összetevője, amely először a Windows Vista rendszerben jelent meg . Ez az összetevő a számítógép jogosulatlan használata elleni védelem érdekében adminisztrátori jogokat igénylő műveletek megerősítését kéri. A számítógép rendszergazdája letilthatja a Felhasználói fiókok felügyeletét a Vezérlőpulton .

A létrehozás előfeltételei

Az alkalmazások futásának jogainak korlátozása (például a " szuperfelhasználók " és a "normál felhasználók" megkülönböztetése ) évtizedek óta mindennapos a szerverek és a nagyszámítógépes operációs rendszerekben . A Microsoft otthoni operációs rendszerei (például MS-DOS , Windows 3.x és Windows 9x ) nem különítették el a jogokat: a program bármilyen műveletet végrehajthatott a számítógépen. Emiatt a nyilvános számítógépek gyorsan megfertőződtek rosszindulatú programokkal .

Annak ellenére, hogy a Windows NT rendszerben a jogok szétválása látszott , a felhasználók megszokásból és kényelmükből rendszergazdai jogosultságokkal rendelkező fiókot használtak a munkához , megsértve a "minden programot a lehető legalacsonyabb jogosultságokkal" elvet. Ezenkívül sok Windows 9x -re írt vagy csak szuperfelhasználói jogokkal tesztelt program nem működött csökkentett jogokkal – például konfigurációs fájlokat tároltak a program könyvtárában vagy egy, az összes felhasználó számára közös rendszerleíró ágban .

Kiderül egy ördögi kör : a fejlesztők olyan szoftvereket készítenek, amelyekhez széleskörű felhasználói jogok szükségesek, mivel a felhasználók "adminisztrátorként ülnek"; a felhasználók rendszergazdai jogokkal végzik mindennapi munkájukat, mert a szoftver ezt megköveteli. Ezért annak ellenére, hogy a Windows 9x operációs rendszert hosszú évek óta nem gyártják, a legtöbb Windows 2000 és újabb operációs rendszert futtató számítógépen a beléptető rendszer tétlen, és a rosszindulatú programok rendszergazdai jogokat kapnak. A Microsoft propagandája , amely a programok hozzáférés-vezérléssel kompatibilissé tételét szorgalmazta, működött, de lassan – sok program (különösen a kislemezek által írt segédprogramok ) továbbra is emelt jogosultságokkal végzett műveleteket. Annak érdekében, hogy a fejlesztőket rávegyék a "biztonságosabb" programok megírására, kifejlesztették a Felhasználói fiókok felügyeletét.

Hogyan működik

Ha a program rendszergazdai jogosultságokat igénylő műveletet kér, a program végrehajtása felfüggesztésre kerül, és a rendszer kérést küld a felhasználónak. A prompt ablak egy biztonságos asztalra kerül, hogy a program ne "nyomja meg" az engedély gombot.

Tehát kéréseket adnak ki, amikor megpróbálják módosítani a rendszeridőt, telepíteni egy programot, módosítani a rendszerleíró adatbázist, módosítani a Start menüt .

Van még "könyvtár- és rendszerleíró-virtualizáció": egy program, amely megpróbál valamit írni a könyvtárba %PROGRAMFILES%\Папка\Пример.ini, azt a fájlt a könyvtárba írja %USERPROFILE%\AppData\Local\VirtualStore\Program Files\Папка\Пример.ini. Ez biztosítja a régebbi programok kompatibilitását a hozzáférés-vezérléssel.

Kiváltó műveletek listája

Íme a felhasználói fiókok felügyeletét kiváltó műveletek (részleges) listája [1] :

• Változások a könyvtárakban %SYSTEMROOT%és %PROGRAMFILES% különösen a program, illesztőprogramok és ActiveX - komponensek telepítése /eltávolítása ; módosítsa a start menüt az összes felhasználó számára.
• Windows frissítések telepítése , Windows Update konfigurálása .
• A Windows tűzfal újrakonfigurálása .
• Magának a felhasználói fiókok felügyeletének újrakonfigurálása.
• Fiókok hozzáadása/törlése.
• Szülői korlátozások újrakonfigurálása .
• A feladatütemező beállítása .
• Windows rendszerfájlok visszaállítása biztonsági másolatból.
• Bármilyen művelet más felhasználók könyvtáraiban.
• Az aktuális idő módosítása (az időzóna módosítása nem aktiválja a felhasználói fiókok felügyeletét).
• Hívja a Rendszerleíróadatbázis-szerkesztőt .
• Néhány program telepítése

Háromféleképpen írhat olyan programot, amely kompatibilis a Felhasználói fiókok felügyeletével.

1. Adja meg az alkalmazás hozzáférési szintjét a jegyzék-erőforrásbanasInvoker : , highestAvailablevagy requireAdministrator. Mindhárom letiltja a címtárvirtualizációt, de asInvokerfelhasználói jogosultságokkal rendelkezik, a maradék kettő pedig emelést kér indításkor.
2. A megnövelt jogosultságokat igénylő függvényeket külön .EXE-jogosultságokkal rendelkező -fájlként készítse el, highestAvailablevagy requireAdministratorfuttassa a ShellExecute segítségével lpOperationegyenlő értékkel runas.
3. A magasabb jogosultságokat igénylő funkciókat tegye elérhetővé a COM objektumon keresztül. Ebben az esetben a COM - szervernek egy vagy .EXEa jogosultságokkal rendelkező fájlnak kell lennie .highestAvailablerequireAdministrator

A Microsoft ajánlásai szerint a felhasználói fiókok felügyeletét igénylő felületelemeken egy pajzs ikont kell feltüntetni.

Hátrányok

• Számos, a Windows Vista előtt fejlesztett program vagy teljesen inkompatibilis, vagy különös gondosságot igényel a telepítés és a konfigurálás során. Valójában ez a hátrány inkább a szoftverek elavult verzióira vagy az elavult programokra vonatkozik.
• A prompt ablak nem ad elegendő információt a felhasználónak ahhoz, hogy azonosítsa a programot és azt a műveletet, amelyhez további jogok szükségesek.
• A program újraindításának szükségessége egyes funkcióinak végrehajtásához. Például a Microsoft Visual Studio rendszergazdai újraindítást igényel, amikor megpróbál megnyitni egy dump fájlt és néhány más műveletet.
• A Windows 7 számos mellékelt alkalmazást megbízhatóként kódol , így a más alkalmazásokhoz kiváltó kódok alapértelmezés szerint nem működnek számukra, így potenciális közvetítők lehetnek a harmadik féltől származó programok számára, hogy veszélyes műveleteket hajtsanak végre a Control felhasználói fiókok megkerülésével [2] .
• Ha az UAC engedélyezve van, előfordulhat, hogy sok emelést igénylő program nem fut felhasználói jogokkal, bár sikeresen működnek a felhasználói jogokkal, ha az UAC ki van kapcsolva egy Standard Access (Windows 7 rendszerben) vagy Standard (Windows 10 rendszerben) fiókban. Még ha „Normál” vagy „Normál” fiókban próbálja is futtatni őket, az UAC továbbra is megjelenik (ha engedélyezve van), és ha az „Engedélyezi a következő programnak, hogy módosításokat hajtson végre ezen a számítógépen?” ablak jelenik meg. nyomja meg az "Igen" gombot - a program emelt jogokkal indítható (a jogok megtekinthetők pl. az Anvir Feladatkezelő programban). Ha az "Igen" gombra kattint, nem minden program fut emelt jogosultsággal, néhány program korlátozott jogosultsággal futhat. Ha a "Nem" gombra kattint, a program vagy korlátozott jogokkal indul el, vagy kilép.

Az UAC hátránya ebben az esetben, hogy a felhasználó nem tudhatja, hogy az "Igen" gomb megnyomására - korlátozott vagy emelt (teljes) - milyen jogokkal indul el a program.

Testreszabás

Windows Vista rendszerben a Felhasználói fiókok felügyelete letiltható a Felhasználói fiókok Vezérlőpult kisalkalmazásában , de a programok és adatok titkosságának és integritásának szintje jelentősen csökken.

A Windows 7 rendszerben a felhasználói fiókok felügyelete javult, különösen a vezérlőpulton, egyetlen beállítás helyett, amely be- vagy kikapcsolta, négy működési mód jelent meg:

• "Mindig értesíts".
• "Csak akkor értesítsen, ha a programok módosítani próbálnak a számítógépemen."
• "Csak akkor értesítsen, ha a programok módosítani próbálnak a számítógépemen (ne sötétítse el az asztalt)."
• "Soha ne értesítsen" (az UAC csak a Windows újraindítása után lesz letiltva).

Jegyzetek

1. ↑ Mi váltja ki a felhasználói fiókok felügyeletére vonatkozó kérdéseket? (nem elérhető link) . Letöltve: 2008. szeptember 5. Az eredetiből archiválva : 2007. október 15. (határozatlan) 
2. ↑ Windows 7 UAC engedélyezési listája: kódbefecskendezési probléma (és még sok más) Archiválva : 2012. április 25. a Wayback Machine -nél  

Linkek

• Chris Corio. Felhasználói fiókok felügyelete a Windows Vista alkalmazásokban