Exportar (0) Imprimir
Expandir Tudo

Noções básicas sobre o controle de conta de usuário no Windows Vista e sua configuração

Aplica-se a: Windows Vista

As empresas hoje enfrentam a desanimadora tarefa de exigir a padronização dos desktops. Esse desafio é intensificado pelo fato de que a maioria dos usuários trabalha como administrador local do próprio computador. Como administrador local, um usuário pode instalar e desinstalar aplicativos e ajustar o sistema e as configurações de segurança à vontade. o resultado é que os departamentos de TI freqüentemente não conseguem avaliar a integridade e segurança geral de seus ambientes. Além disso, todos os aplicativos que esses usuários iniciam podem potencialmente usar o acesso em nível de administrador de suas contas para gravar em arquivos do sistema e no registro e modificar dados de todo o sistema. Tarefas comuns, como navegar na Internet e verificar e-mails, podem ser inseguras nesse cenário. Além disso, todos esses elementos aumentam o custo total de propriedade (TCO) da empresa.

Departamentos de TI precisam de uma solução que seja ao mesmo tempo resistente a ataques e que proteja a confidencialidade, integridade e disponibilidade dos dados. Por esse motivo, a equipe de desenvolvimento do Microsoft Windows VistaTM decidiu reprojetar a maneira como a infra-estrutura central e os aplicativos do Windows interagem. O Controle de Conta de Usuário (UAC) foi o resultado desse processo.

Por quê o UAC?

Uma história da Conta de Administrador do Windows

Por padrão, quando o Microsoft Windows® XP é instalado, o Assistente de Instalação do Windows XP cria todas as contas de usuário como administradores locais. Esse tipo de conta permite que os usuários instalem, atualizem e executem softwares, já que uma conta de administrador tem acesso a todo o sistema. Quando um usuário é adicionado ao grupo de administradores local, ele automaticamente recebe todos os privilégios do Windows. Um privilegio é um atributo de autorização que afeta diretivas de todo o computador. Por exemplo, o SeBackupPrivilege permite que um usuário faça backup de arquivos e diretórios. Os privilégios não devem ser confundidos com permissões; as permissões se aplicam a objetos e os privilégios se aplicam somente a contas de usuário. Esses privilégios são mantidos juntos no token de acesso do usuário. O token de acesso também contém informações específicas de cada usuário para fins de autorização; o Windows usa os tokens de acesso para rastrear quais recursos um usuário pode acessar. Todos os recursos do Windows possuem uma ACL (Lista de Controle de Acesso), que é uma lista onde são gravados os usuários e serviços com permissão para acessar o recurso e que nível de permissão eles possuem. O modelo de autorização do Windows usa os dados do token de acesso de um usuário para determinar que tipos de acesso são permitidos/negados a um usuário na ACL de um recurso.

Os usuários administrativos possuem, automaticamente:

  • Permissão para Ler/Gravar/Executar em todos os recursos.

  • Todos os privilégios do Windows

noteObservação
O Windows Vista protege arquivos e pastas de %systemroot% com permissões projetadas para WRP (Proteção de Recursos do Windows), que só pode ser acessada pelo serviço do Sistema. Os administradores podem ler arquivos e pastas do sistema, mas não podem gravar neles. Observe que isso é diferente das versões anteriores do Windows.

Embora possa parecer óbvio que nem todos os usuários devam poder ler, alterar e excluir qualquer recurso do Windows, a muitos departamentos de TI de empresas só resta a opção de permitir que todos os seus usuários sejam administradores.

Algumas razões pelas quais as empresas trabalham com administradores hoje:

  • Instalação do aplicativo (membros do grupo Usuários não podem instalar ou desinstalar aplicativos): Muitas empresas não possuem um método centralizado de implantação de aplicativos para seus usuários, como o Microsoft SMS (Systems Management Server®), GPSI (Instalação de Software em Diretiva de Grupo) ou outra tecnologia similar de implantação de aplicativos. Empresas que usam tecnologias de implantação de software permitem que os usuários sejam administradores por causa de instalações de aplicativos ad hoc para aplicativos especializados para departamentos específicos (um aplicativo de planilhas personalizado para o departamento de Marketing, por exemplo).

  • Aplicativos personalizados da Web (controles ActiveX): Com o crescimento da comunidade de distribuidores de software independentes (ISV), muitas empresas estão preferindo obter aplicativos personalizados projetados para suas necessidades comerciais específicas. Muitos desses aplicativos personalizados incluem um navegados front-end para a Internet, que requer a instalação de um controle ActiveX. Como os controles ActiveX são arquivos executáveis e podem conter malware, o Windows impede que membros do grupo usuários os instalem.

  • TCO percebido mais baixo (redução de chamados ao suporte técnico versus redução da superfície de ataque): Muitas empresas crêem que permitir que os usuários instalem seus próprios aplicativos permitirá limitar o número e o custo de chamados ao Suporte Técnico. Infelizmente, executar as estações de trabalho de sua empresa como administrador também deixa sua rede vulnerável a "malware" - um termo geral para todos os softwares mal-intencionados, como vírus, cavalos de Tróia, spyware e alguns adware. Os malware podem explorar o acesso ao sistema de uma conta de administrador local para danificar arquivos, alterar configurações do sistema e até transmitir dados confidenciais para fora da rede.

O melhor método para ajudar a mitigar o impacto de malware é garantir que todos os usuários rodem como usuários padrão. Uma conta de usuário padrão é uma conta que tem a menos quantidade de direitos e privilégios de usuário necessários para executar tarefas básicas de desktop. Contudo, enquanto uma conta de usuário padrão existe por padrão no Windows XP, muitas tarefas de rotina, inclusive mudanças no fuso horário do Windows e uma instalação de impressora, exigem que o usuário tenha privilégios administrativos. Muitos aplicativos também requerem que os usuários sejam administradores por padrão, já que eles verificam a associação ao grupo de administradores antes de serem executados. Não existe um modelo de segurança de usuário para o Windows 95 e o Windows 98. O resultado é que desenvolvedores de aplicativos projetaram seus aplicativos presumindo que eles seriam instalados e executados por um administrador. Foi criado um modelo de segurança de usuário para o Windows NT, mas todos os usuários era criados como administradores por padrão. Além disso, um usuário padrão de um computador do Windows XP precisa usar Executar como ou fazer logon com uma conta de administrador para poder instalar aplicativos e executar outras tarefas administrativas.

Até o desenvolvimento do Windows Vista, não havia um método incluído no sistema operacional Windows para permitir que um usuário se "elevasse" em fluxo de uma conta de usuário padrão para uma conta de usuário sem efetuar logoff, trocar de usuário ou usar Executar como. O resultado é que a maioria das pessoas continuam navegando na Internet e lendo emails como administradores.

Reduzindo o Custo Total de Propriedade

Como o UAC permite que os usuários trabalhem como usuários padrão com facilidade, os departamentos de TI podem ficar mais confiantes na integridade de seus ambientes, inclusive arquivos do sistema, logs de auditoria e configurações do sistema. Além disso, os administradores não precisam mais gastar muito tempo autorizando tarefas em computadores individuais. Isso economiza tempo da equipe de TI, que pode gastá-lo em manutenção do sistema, reduzindo o TCO da empresa para a plataforma de software comercial. E os administradores de TI têm melhor controle sobre as licenças de software, porque podem garantir que apenas aplicativos autorizados serão instalados. O resultado é que não será mais necessário preocupar-se com softwares sem licença ou mal-intencionados colocando a rede em perigo, causando queda do sistema e perda de dados ou problemas com licenças.

Como o UAC funciona

Para responder aos desafios enfrentados pelos consumidores quando tentam trabalhar como usuários padrão, a Microsoft começou a pesquisa como facilitar esse processo.

A equipe de desenvolvimento do Windows Vista fez uma abordagem dupla:

  1. Trabalhou com desenvolvedores de software da Microsoft e com desenvolvedores de terceiros para eliminar solicitações desnecessárias de acesso a recursos do Windows em nível administrativos.

  2. Mudar fundamentalmente a maneira como os aplicativos executados por usuários padrão interagem com o sistema operacionais, permitindo diretiva de segurança de controle de acesso.

O UAC é um foco significativo do Windows Vista e um componente fundamenta da visão geral de segurança da Microsoft.

Redefinindo os modos de usuário

No Windows Vista, há dois tipos de contas de usuário: contas de usuário padrão e contas de administrador. Os usuários padrão são equivalentes à conta de usuário padrão das versões anteriores do Windows. Os usuários padrão têm privilégios administrativos e direitos de usuário limitados - eles não podem instalar nem desinstalar aplicativos que se instalem em %systemroot%, mudar configurações do sistema nem executar outras tarefas administrativas. Contudo, usuários padrão podem executar essas tarefas se puderem fornecer credenciais de administrador válidas quando necessário. Com o UAC habilitado, membros do grupo Administradores local trabalham com o mesmo token de acesso que usuários padrão. SOmente com aprovação de um membro do grupo de Administradores local um processo pode usar o token de acesso completo do administrador. Esse processo é a base do princípio do Modo de Aprovação de Administrador.

A tabela a seguir detalha algumas das tarefas que um usuário padrão pode executar e quais tarefas requerem elevação para uma conta de administrador.

 

Usuários padrão Administradores

Estabelecer uma conexão de Rede Local

Instalar e desinstalar aplicativos.

Estabelecer e configurar uma conexão sem fio

Instalar um driver para um dispositivo (ex: um driver de câmera digital)

Modificar configurações de exibição

Instalar atualizações do Windows

Os usuários não podem desfragmentar o disco rígido, mas um serviço faz isso para eles

Configurar os Controles dos Pais

Tocar mídias em CD/DVD (configurável com a Diretiva de Grupo)

Instalar um controle ActiveX

Gravar mídias em CD/DVD (configurável com a Diretiva de Grupo)

Abrir o Painel de Controle do Firewall do Windows

Alterar o plano de fundo da área de trabalho do usuário atual

Alterar o tipo de conta de um usuário

Abrir o Painel de Controle de Data e Hora e alterar o fuso horário

Modificar configurações do UAC no snap-in do Editor de Diretivas de Segurança (secpol.msc)

Usar a Área de Trabalho Remota para se conectar a outro computador

Configurar acesso à Área de Trabalho Remota.

Alterar a senha da própria conta de usuário

Adicionar ou remover uma conta de usuário

Configurar opções de energia de bateria

Copiar ou mover arquivos para o diretório Arquivos de Programas ou Windows

Configurar Opções de acessibilidade

Agendar tarefas automáticas

Restaurar arquivos de backup do usuário

Restaurar arquivos de backup do sistema

Definir a sincronização do sistema com um dispositivo móvel (smart phone, laptop ou PDA)

Configurar Atualizações Automáticas

Conectar e configurar um dispositivo Bluetooth

Navegar para o diretório de outro usuário

Migrar do Grupo de Usuários Avançados

Os grupo Usuários Avançados do Windows XP foi projetado para permitir que membros do grupo executem tarefas do sistema, como instalar aplicativos, sem conceder permissões totais de administrador. Os Usuários Avançados também tinham acesso de gravação a áreas do sistema de arquivos e do registro que normalmente apenas administradores podem acessar. Os Usuários Avançados permitem um certo nível de compatibilidade com aplicativos; infelizmente, isso não resolveu um problema fundamental: os aplicativos que exigem privilégios e direitos de usuário desnecessários. O UAC não alavanca o grupo Usuários Avançados, e as permissões concedidas ao grupo Usuários Avançados no Windows XP foram removidas do Windows Vista. O UAC permite que usuários padrão executem todas as tarefas de configuração comuns. O grupo de Usuários Avançados, contudo, ainda está disponível para compatibilidade com versões anteriores do Windows. Para usar o grupo Usuários Avançados no Windows Vista, é necessário aplicar um novo modelo de segurança para alterar as permissões padrão nas pastas do sistema e no registro de modo que o grupo Usuários Avançados tenha permissões equivalentes às do Windows XP.

Modo de aprovação do Administrador

Habilitar o Modo de Aprovação do Administrador para uma conta de administrador faz com que fique mais fácil para um usuário executar tarefas administrativas, distinguindo uma tarefa de usuário padrão de uma tarefa administrativa. Por exemplo, modificar o registro do sistema deve ser sempre uma tarefa administrativa; navegar na Internet deve ser sempre uma tarefa de usuário padrão. O modelo de token de acesso do UAC faz essa distinção ficar ainda mais clara. Uma conta de administrador no Modo de Aprovação do Administrador recebe uma solicitação de consentimento do aplicativo ou componente que está solicitando permissão para usar o token de acesso administrativo do usuário.

Arquitetura do UAC

Embora o processo de logon do Windows Vista aparente ser o mesmo processo do Windows XP, a mecânica interna mudou muito. A ilustração a seguir detalha como o processo de logon de um administrador difere do processo de um usuário padrão.

UAC logon process

Quando um administrador faz logon, o usuário recebe dois tokens de acesso: um token de acesso total de administrador e um token de acesso de usuário padrão "filtrado". Por padrão, quando um membro do grupo de Administradores local efetua logon, os privilégios administrativos do Windows são desabilitados e os direitos de usuário elevados são removidos, resultando no token de acesso de usuário padrão. O token de acesso de usuário padrão é usado então para iniciar o desktop (Explorer.exe). O explorer.exe é o processo pai do qual todos os outros processos iniciados pelo usuário herdam o token de acesso. O resultado é que todos os aplicativos são executados como usuário padrão por padrão, a não ser que um usuário dê consentimento ou credenciais para aprovar o uso do token de acesso administrativo total por um aplicativo. Contrastando com esse processo, quando um usuário padrão efetua logon, é criado apenas o token de acesso de usuário padrão. Esse token de acesso de usuário padrão é usado então para iniciar o desktop.

Um usuário membro do grupo de Administradores pode então efetuar logon, navegar na Web e ler emails usando um token de acesso de usuário padrão. Quando o administrador precisa executar uma tarefa que exija o token de acesso de usuário padrão, o Windows Vista solicitará aprovação do usuário automaticamente. Essa solicitação é chamada de solicitação de elevação, e seu comportamento pode ser configurado no snap-in Editor de Diretiva de Segurança (secpol.msc) e com a Diretiva de Grupo. Para obter informações sobre como ajustar as configurações da Diretiva de Grupo do UAC, consulte a seção "Definindo as configurações do UAC", neste documento.

noteObservação
O termo "elevar" é usado consistentemente neste documento em referência ao processo do Windows Vista solicitar o consentimento ou as credenciais do usuário para usar o token de acesso total de administrador de um usuário.

Cada aplicativo que solicitar o token de acesso do usuário deverá solicitar permissão do administrador. A única exceção é o relacionamento entre processos pai e filho. Processo filho herdarão o token de acesso do usuário de seus pais. No entanto, tanto o processo pai quanto o processo filho devem ter o mesmo nível de integridade.

O Windows Vista protege os processos, marcando-os com níveis de integridade. Níveis de integridade são medidas de confiança. Um aplicativo com integridade "alta" é aquele que executa tarefas que modificam dados do sistema, como um aplicativo de particionamento de disco; um aplicativo de "baixa" integridade é aquele que executa tarefas que poderiam potencialmente comprometer o sistema operacional, como um navegador da web. O Windows Vista evita que aplicativos com níveis de integridade mais baixos modifiquem dados em aplicativos com níveis de integridade mais altos.

Quando um usuário padrão tenta executar um aplicativo que exija um token de acesso de administrador, o UAC exige que o usuário forneça credenciais de administrador válidas. A seção "Experiência de Usuário do UAC" deste documento detalha esse processo.

O diagrama a seguir mostra detalhes da arquitetura do UAC.

UAC architecture

Serviço de Informações de Aplicativos

O AIS (Serviço de Informações de Aplicativos) é um serviço do SISTEMA que facilita a inicialização de aplicativos que necessitem de um ou mais privilégios ou direitos de usuário elevados para serem executados, como Tarefas Administrativas, bem como aplicativos que exijam níveis de integridade maiores. O AIS facilita a inicialização desses aplicativos, criando um novo processo para ele com o token de acesso total de um administrador quando a elevação é necessária e (dependendo da Diretiva de Grupo) o usuário dá permissão para isso. Esse é um novo serviço para o Windows Vista.

Virtualização

Como o ambiente empresarial há muito tempo é um lugar onde administradores de sistema tentam bloquear sistemas, muitos aplicativos LOB (de linha de negócios) são projetados para não exigirem um token de acesso total de administrador. O resultado é que os administradores de TI não precisarão substituir a maioria dos aplicativos pré-Windows Vista ao executarem o Windows Vista com o UAC habilitado.

O Windows Vista inclui tecnologia de virtualização de arquivos e do registro para aplicativos que não são compatíveis com o UAC e que sempre exigiram um token de acesso de administrador para serem executados corretamente. A virtualização garante que mesmo aplicativos incompatíveis com o UAC serão compatíveis com o Windows Vista. Quando um aplicativo administrativo incompatível com o UAC tentar gravar em um diretório protegido, como Arquivos de Programas, o UAC dá ao aplicativo sua própria exibição virtualizada do recurso que ele está tentando alterar, usando uma estratégia de cópia-ao-gravar.l A cópia virtualizada é mantida no perfil do usuário. O resultado é que uma cópia separada do arquivo virtualizado é criada para todos os usuários que executarem o aplicativo incompatível.

A tecnologia de virtualização garante que aplicativos incompatíveis não deixarão de ser executados ou falharão de maneira indeterminada. O UAC também fornece virtualização de arquivos e do registro e logs por padrão para aplicativos anteriores ao Windows Vista que gravem em áreas protegidas.

noteObservação
A virtualização não se aplica a programas que são elevados e executados com um token de acesso total administrativo.

A maioria das tarefas de aplicativos funcionarão adequadamente com os recursos de virtualização. Embora a virtualização permita a execução da grande maioria dos aplicativos anteriores ao Windows Vista, ela é uma correção de curto prazo e não uma solução permanente. Desenvolvedores de aplicativos devem modificar seus aplicativos para que fiquem compatíveis com o programa de Logotipo do Windows Vista o mais cedo possível ao invés de depender da virtualização do registro, das pastas e arquivos.

Há instruções para os ISVs saberem como desenvolver seus aplicativos de modo que fiquem compatíveis com o UAC no documento Requisitos de desenvolvimento para compatibilidade com o Controle de Conta de Usuário do Windows Vista.

noteObservação
A virtualização não será suportada em aplicativos nativos do Windows de 64 bits. É necessário que esses aplicativos sejam compatíveis com o UAC e gravem os dados nos locais corretos.

noteObservação
A virtualização será desabilitada para um aplicativo se um programa incluir um manifesto de aplicativo com um atributo de nível de execução solicitado.

Níveis de Execução Solicitados

No Windows Vista, o manifesto de aplicativo, um arquivo XML que descreve e identifica os conjuntos lado-a-lado compartilhados e privados aos quais um aplicativo deve se vincular durante a execução, inclui agora entradas para fins de compatibilidade do aplicativo com o UAC. Aplicativos administrativos que incluam uma entrada no manifesto do aplicativo solicitação permissão do usuário para acessar seu token de acesso. A maior parte dos aplicativos anteriores ao Windows Vista, no entanto, podem ser executados sem problemas sem que sejam feitas modificações, mesmo que não tenham uma entrada no manifesto de aplicativo, usando correções de compatibilidade de aplicativo. Correções de compatibilidade de aplicativo são entradas em bancos de dados que permitem que aplicativos incompatíveis com o UAC funcionem corretamente com o Windows Vista.

Todos os aplicativos compatíveis com o UAC devem adicionar um nível de execução solicitado ao manifesto do aplicativo. Se o aplicativo exigir acesso administrativo ao sistema, marcar o aplicativo com um nível de execução solicitado "requerer administrador" garante que o sistema identificará esse programa como um aplicativo administrativo e executará as etapas de elevação necessárias. Níveis de execução solicitados permitem que o sistema saiba os privilégios específicos de um aplicativo. Se um aplicativo existente exigir acesso administrativo para funcionar corretamente no Windows Vista, consulte a seção "Configurando aplicativos anteriores ao Windows Vista para fornecer compatibilidade com o UAC", neste documento.

Tecnologia de detecção de instalador

Programas de instalação são aplicativos projetados para implantar softwares, e a maioria deles grava em diretórios do sistema e em chaves de registro. Esses locais protegidos do sistema normalmente podem ser gravados apenas por um usuário administrador, o que significa que usuários padrão não possuem acesso suficiente para instalar programas. O Windows Vista detecta heuristicamente programas de instalação e solicita credenciais de administrador ou aprovação do usuário administrador para trabalhar com privilégios de acesso. O Windows Vista também detecta heuristicamente programas de atualização e desinstalação. Observe que um objetivo do design do UAC é impedir que sejam executadas instalações sem o conhecimento e consentimento do usuário, já que elas gravam em áreas protegidas do sistema de arquivos e do registro.

A Detecção de Instaladores só se aplica a:

1. Executáveis de 32 bits

2. Aplicativos sem requestedExecutionLevel

3. Processos interativos executados como Usuário Padrão com LUA habilitada

Antes da criação de um processo de 32 bits, os seguintes atributos são verificados para determinar se ele é um instalador:

  • O nome de arquivo contém palavras como "install", "setup", "update", etc.

  • Palavras chave no seguintes campos de Recurso da Versão: Fornecedor, Nome da Empresa, Nome do Produto, Descrição de Arquivo, Nome de Arquivo Original, Nome Interno e Nome de Exportação.

  • Palavras chave no manifesto lado a lado incluído no executável.

  • Palavras chave em entradas StringTable específicas vinculadas no executável.

  • Atributos chave nos dados RC vinculados no executável.

  • Seqüências de destino de bytes no executável.

noteObservação
As palavras chave e seqüências de bytes são derivadas de características comuns observadas em várias tecnologias de instaladores.

Leia atentamente este documento, inclusive a seção "Etapa Cinco: Criar e incorporar um manifesto de aplicativo em seu aplicativo".

noteObservação
A configuração Controle de Conta de Usuário: detectar instalações de aplicativos e solicitar elevação deve estar habilitada para que a detecção de instaladores detecte programas de instalação. Essa configuração é habilitada por padrão e pode ser configurada com o snap-in Gerenciador de Diretiva de Segurança (secpol.msc) ou com a Diretiva de Grupo (gpedit.msc).

Informações gerais e uma visão geral do Instalador do Microsoft Windows podem ser encontradas no MSDN (http://go.microsoft.com/fwlink/?LinkId=30197).

Alterações essenciais em funcionalidades

As atualizações a seguir refletem as alterações essenciais acumuladas em funcionalidades do Windows Vista.

O UAC é habilitado por padrão

Por isso, você pode ter alguns problemas de compatibilidade com aplicativos diferentes que ainda não foram atualizados para o componente UAC do Windows Vista. Se um aplicativo exigir um token de acesso de administrador (isso é indicado por um erro "acesso negado" retornando quando você tenta executar o aplicativo), você pode executar o programa como administrador, usando a opção Executar como administrador no menu de contexto (clicar com o botão direito). A maneira de fazer isso está explicada posteriormente neste documento, na seção "Executando programas como administrador".

Todas as contas de usuário subseqüentes são criadas como usuários padrão

Tanto a conta de administrador quanto a de usuário padrão podem aproveitar a segurança aprimorada do UAC. Em novas instalações, por padrão, a primeira conta de usuário criada é uma conta de administrador local no Modo de Aprovação de Administrador (UAC habilitado). Todas as contas subseqüentes são criadas como usuários padrão.

A conta interna Administrador fica desabilitada por padrão em novas instalações

A conta interna Administrador fica desabilitada por padrão no Windows Vista. Se o Windows Vista determinar, durante uma atualização a partir do Windows XP, que o Administrador interno é a única conta de administrador local ativa, o Windows Vista deixará a conta habilitada e em Modo de Aprovação de Administrador. A conta interna Administrador, por padrão, não pode efetuar logon no computador em modo seguro. Consulte as seção a seguir para obter mais informações.

Não associado a um domínio

Quando há pelo menos uma conta de administrador local habilitada, o modo seguro não permitirá logon com a conta de Administrador interna desabilitada. É necessário usar qualquer conta de administrador local para efetuar logon. Se a última conta de administrador local tiver sido rebaixada, desabilitada ou excluída inadvertidamente, o modo seguro permitirá que a conta interna de Administrador local efetue logon para recuperação de desastres.

Associado a um domínio

A conta interna Administrador desabilitada não pode efetuar logon em modo seguro em nenhuma circunstância. Uma conta de usuário que seja membro do grupo Administradores do domínio pode efetuar logon no computador para criar um administrador local se não existir nenhum.

ImportantImportante
Se nunca tiver sido efetuado logon na conta administrativa do domínio antes, será necessário iniciar o computador em Modo Seguro com Rede, já que as credenciais não estarão em cache.

noteObservação
Depois que a máquina tiver sido removida, ela voltará para a situação de não associação ao domínio descrita anteriormente.

Solicitações de elevação são exibidas na área de trabalho segura por padrão

As solicitações de consentimento e credenciais são exibidas por padrão na área de trabalho segura do Windows Vista.

Novas configurações de segurança do UAC e alterações nos nomes das configurações de segurança

A seção "Definindo as configurações do UAC" deste documento detalha as diretivas de segurança do UAC.

Standard User Analyzer

Para testar a compatibilidade de aplicativos com o UAC, administradores de TI e desenvolvedores de aplicativos podem usar o Standard User Analyzer. Essa ferramenta fornece um log das operações elevadas do aplicativo que normalmente falhariam se executadas por um usuário padrão - oferecendo um guia para ajustar essas tarefas e obter compatibilidade com o UAC. Além disso, a configuração auditoria de controle de processos do Windows Vista pode ser usada para determinar quais aplicativos não estão sendo executados como usuário padrão em um ambiente empresarial. Para garantir que a experiência do usuário não seja comprometida pelo UAC, a Microsoft recomenda testar todos os componentes e aplicativos com essas ferramentas. A seção Configurando aplicativos anteriores ao Windows Vista para compatibilidade com o UAC fornece mais informações sobre essas ferramentas, inclusive informações sobre configuração e procedimentos.

Experiência do usuário do UAC

A experiência do usuário difere dos usuários padrão e administradores em Modo de Aprovação de Administrador quando o UAC está habilitado. As seções a seguir detalham essas diferenças e explicam o design da interface de segurança do UAC.

O método recomendado e mais seguro do Windows Vista para fazer com que sua conta primária de usuário seja uma conta de usuário padrão. Trabalhar como usuário padrão também é necessário para maximizar a segurança em um ambiente gerenciado. Com o componente de elevação do UAC interno, usuários padrão podem executar uma tarefa administrativa facilmente, inserindo credenciais válidas para uma conta de administrador local. O componente de elevação do UAC interno padrão para usuários padrão é chamado de prompt de credenciais.

Em vez de trabalhar como usuário padrão, há a alternativa de trabalhar como administrador em Modo de Aprovação de Administrador. Com o componente de elevação do UAC interno, membros do grupo de Administradores local podem executar uma tarefa administrativa facilmente, fornecendo aprovação. O componente de elevação do UAC interno padrão para uma conta de administrador em Modo de Aprovação de Administrador é chamado de prompt de consentimento. O comportamento de solicitação de elevação do UAC pode ser configurado com o snap-in local Editor de Diretiva de Segurança (secpol.msc) ou com a Diretiva de Grupo. A seção "Administrando o UAC com o Editor de Diretivas de Segurança local e a Diretiva de Grupo" deste documento detalha as configurações de segurança do UAC e seus valores.

Os prompts de consentimento e credenciais

Com o UAC habilitado, o Windows Vista solicita consentimento ou credenciais para uma conta de administrador válida antes de iniciar um programa ou tarefa que exija um token de acesso total de administrador. Esse prompt garante que aplicativos mal intencionados não possam se instalar silenciosamente.

O prompt de consentimento

O prompt de consentimento é apresentado quando um usuário tenta executar uma tarefa que exige um token de acesso administrativo do usuário. A seguir, uma captura de tela do prompt de consentimento do Controle de Conta de Usuário.

Consent prompt

O exemplo a seguir mostra como ocorre o consentimento antes da execução de uma operação administrativa.

Para exibir o prompt de consentimento
  1. Efetue logon em um computador do Windows Vista com uma conta de administrador em Modo de Aprovação de Administrador.

  2. Clique no botão Iniciar, clique com o botão direito em Meu computador e selecione Gerenciar no menu.

  3. No prompt de consentimento do Controle de Conta de Usuário, clique em Continuar.

O prompt de credenciais

O prompt de credenciais é apresentado quando um usuário padrão tenta executar uma tarefa que exige um token de acesso administrativo do usuário. O comportamento do prompt de usuário padrão pode ser configurado com o snap-in Gerenciador de Diretiva de Segurança (secpol.msc) e com a Diretiva de Grupo. Administradores também podem ser solicitados a fornecer suas credenciais definindo o valor Controle de Conta de Usuário: comportamento do prompt de elevação para administradores no Modo de Aprovação de Administrador como Solicitar credenciais.

A captura de tela a seguir é um exemplo do prompt de credenciais do Controle de Conta de Usuário.

Credential prompt

O exemplo a seguir ilustra como são solicitadas as credenciais de um usuário padrão quando ele tenta executar uma tarefa administrativa.

Para exibir o prompt de credenciais
  1. Efetue logon em um computador do Windows Vista com uma conta de usuário padrão.

  2. Clique no botão Iniciar, clique com o botão direito em Meu computador e selecione Gerenciar no menu.

  3. No prompt de credenciais do Controle de Conta de Usuário, clique no nome de usuário do administrador adequado, insira a senha dessa conta de usuário e clique em Enviar.

Prompts de elevação que detectam aplicativos

Os prompts de elevação do UAC têm códigos de cores para serem específicos para cada aplicativo, permitindo a identificação imediata do potencial risco de segurança do aplicativo. Quando um aplicativo tenta ser executado com um token de acesso total de administrador, o Windows Vista analisa antes o executável para determinar seu editor. Em primeiro lugar, os aplicativos são separados em três categorias, baseadas no editor do executável: Windows Vista, editor verificado (assinado), e editor não verificado (sem assinatura). O diagrama a seguir ilustra como o Windows Vista determina de que cor será o prompt de elevação apresentado ao usuário. A ilustração a seguir detalha a lógica de correspondência de níveis de confiança dos prompts de elevação.

Application aware elevation prompts

A seguir, detalhes dos códigos de cores do prompt de elevação:

  • Fundo vermelho e ícone de escudo vermelho: O aplicativo é de um editor bloqueado ou está bloqueado pela Diretiva de Grupo.

  • Fundo verde-azulado: O aplicativo é um aplicativo administrativo do Windows Vista, como um painel de controle.

  • Fundo cinza e ícone de escudo dourado: O aplicativo é assinado com Authenticode e confiável no computador local.

  • Fundo amarelo e ícone de escudo vermelho: O aplicativo não tem assinatura ou tem assinatura mas ainda não é confiável no computador local.

Os prompts de elevação com códigos de cores correspondem às caixas de diálogo com códigos de cores do Microsoft Internet Explorer.

Ícone de escudo

Alguns painéis de controle, como o de Propriedades de Data e hora, contêm uma mistura de operações de administrador e de usuário padrão. Os usuário padrão podem exibir o relógio e alterar o fuso horário, mas é necessário um token de acesso total de administrador para alterar a hora local do sistema. A imagem a seguir é uma captura de tela do Painel de Controle de Propriedades de Data e hora.

Shield icon

Quando um usuário precisar modificar a hora, ele deve clicar no botão do ícone de Escudo. O ícone indica ao sistema que o processo deve ser lançado com um token de acesso total de administrador, que requer um prompt de elevação do Controle de Conta de Usuário.

Protegendo o prompt de elevação

O processo de elevação é ainda mais protegido com o direcionamento do prompt para a área de trabalho segura. As solicitações de consentimento e credenciais são exibidas por padrão na área de trabalho segura do Windows Vista. Apenas os processo do Windows podem acessar a área de trabalho segura. Além das recomendações para administradores e usuários padrão, a Microsoft também recomenda que a configuração Controle de Conta de Usuário: alternar para a área de trabalho segura ao pedir elevação seja habilitada para obter um nível de segurança mais alto.

Quando um executável solicita elevação, a área de trabalho interativa (também chamada de área de trabalho do usuário) é alternada para a área de trabalho segura. A área de trabalho segura exibe uma imagem combinada em bitmap da área de trabalho do usuário e um prompt de elevação destacado com uma janela de chamada de aplicativo correspondente. Quando o usuário clica em Continuar ou Cancelar, a área de trabalho alterna novamente para a área de trabalho do usuário.

Vale observar que malwares podem pintar a área de trabalho interativa e apresentar uma imitação da área de trabalho segura, mas quando a configuração está definida como solicitar aprovação, o malware não consegue elevação se o usuário for enganado e clicar em Continuar na imitação. Se a configuração estiver definida como solicitar credenciais, malwares que imitam o prompt de credenciais podem conseguir obter as credenciais do usuário. Observe que isso também não dá privilégios elevados ao malware, e o sistema tem outras proteções que impedem que o malware controle automaticamente a interface de usuário, mesmo com uma senha roubada.

ImportantImportante
Embora malwares possam apresentar uma imitação da área de trabalho segura, esse problema não pode ocorrer a não ser que o usuário tenha instalado o malware no computador anteriormente. Como os processos que requerem o token de acesso de administrador não podem se instalar silenciosamente quando o UAC está habilitado, o usuário deve oferecer consentimento explicitamente, clicando em Continuar ou fornecendo credenciais de administrador. O comportamento específico do prompt de elevação do UAC depende da Política de Grupo.

Essa configuração é habilitada por padrão no Windows Vista e pode ser configurada com o snap-in local Editor de Diretiva de Segurança (secpol.msc) ou centralmente com a Diretiva de Grupo. A seção "Administrando o UAC com o Editor de Diretivas de Segurança local e a Diretiva de Grupo" deste documento detalha as configurações disponíveis.

Mantendo aplicativos anteriores ao Windows Vista

Alguns aplicativos, contudo, não serão reprojetados por diversos motivos. O UAC tem proteções internas para esse tipo de aplicativo anterior ao Windows Vista, inclusive níveis de execução solicitados e virtualização de arquivo, pastas e do registro.

Desenvolvendo aplicativos compatíveis com o UAC para o Windows Vista

Embora o conceito de executar aplicativos com o mínimo necessário de privilégios e direitos de usuário tenha sido bem aceito na comunidade de desenvolvedores de software, ele foi ignorado por fornecedores de aplicativos que, ao invés disso, preferiram se concentrar em simplificar o uso do software ou refinar a interface de usuário.

Muitos desenvolvedores de aplicativos precisarão mudar seus produtos para que funcionem adequadamente com o UAC. Aplicativos que requerem direitos administrativos desnecessariamente devem ser reprojetados para ficam compatíveis com o UAC. Essa reforma permitirá que usuários padrão executem no Windows Vista muitos aplicativos que eles não conseguem executar no Windows hoje.

A Microsoft forneceu orientação e ferramentas para desenvolvedores de aplicativos para facilitar esse processo de reforma. Para obter mais informações, consulte a página de Compatibilidade de Aplicativos no MSDN (http://go.microsoft.com/fwlink/?LinkId=49973) (página em inglês).

Mesmo com essas mudanças, ainda haverá tarefas que exigirão um token de acesso total de administrador. Alguns exemplos são o gerenciamento de contas de usuário, instalação de drivers de dispositivos e execução de software de gerenciamento. Com o Windows Vista, desenvolvedores de aplicativos deverão determinar de qual dos dois níveis de acesso (padrão ou administrativo) seu aplicativo precisa para tarefas específicas. Se um aplicativo não precisar de um token de acesso total de administrador para uma tarefa, ele deve ser desenvolvido de forma a exigir apenas verificações de acesso de usuário padrão. Por exemplo, um aplicativo compatível com o UAC deve gravar arquivos de dados no perfil do usuário, e não na árvore de diretórios Arquivos de Programas.

Programa de Logotipo do Windows Vista

O Programa de Logotipo do Windows Vista será um grande benefício para a criação de aplicativos compatíveis com o UAC. O programa exigirá diretrizes estritas de certificação, garantindo aos consumidores que os produtos certificados se integrarão adequadamente ao Windows Vista.

A certificação do Logotipo do Windows Vista é um diferencial competitivo e de credibilidade para ISVs (Fornecedores de Software Independentes). Os consumidores saberão, ao comprar aplicativos certificados, que eles são totalmente compatíveis com o Windows Vista e que o ISV se dedica à integridade e segurança dos dados do consumidor. A Microsoft está desenvolvendo ferramentas beta no momento para lidar com o fluxo de trabalho de geração e assinatura de manifestos para ISVs. O Certificado de Logotipo será enviado na caixa, exibindo a certificação de maneira visível. Há mais informações sobre o processo de certificação de logotipo do Windows Vista, na home page do Logotipo Microsoft Microsoft Windows.

Implantando aplicativos para usuários padrão

Uma das tarefas mais desafiadores para empresas é controlar a instalação de aplicativos. Ferramentas de implantação, como o Microsoft Systems Management Server (SMS), ajudam departamentos de TI a centralizar a implantação de aplicativos e reduzir o TCO geral da empresa. Com a introdução do modelo de usuário UAC on Windows Vista, o SMS terá ainda mais impacto no TCO e facilidade de gerenciamento.

Maximizando a segurança da implantação de aplicativos

Departamentos de TI podem usar os três níveis de segurança a seguir para ajudar a modelar seu cenário de implantação de aplicativos:

  • Alto: Todos os aplicativos são fornecidos e instalados com o SMS, GPSI ou outra tecnologia similar de implantação de aplicativos.

  • Médio: Os aplicativos são instalados caso a caso pelo departamento de TI.

  • Baixo: Usuários padrão podem instalar aplicativos à vontade.

A seguir, cenários para os três níveis de segurança anteriores.

Alto: Todos os aplicativos são implantados com SMS, GPSI ou outra tecnologia similar de implantação de aplicativos.

Nesse cenário, todos os aplicativos, sistemas operacionais e patches de segurança são instalados com uma tecnologia de implantação de aplicativos. Estas são alguma das vantagens de se usar tecnologias como SMS e GPSI nessa situação:

  • Facilidade de administração: Administrando os aplicativos centralmente, um departamento de TI pode manter facilmente uma lista de aplicativos instalados e impedir que aplicativos indesejados sejam instalados.

  • Menos instalações de malware: Como malwares freqüentemente vêm incluídos em softwares legítimos, remover a capacidade dos usuários instalarem esses softwares ajudará a impedir muitas instalações de malware.

  • TCO geral menos: Menos instalações de malware e limitação de malware a apenas alguns locais.

Alguns dos requisitos para esse nível de segurança:
  • Microsoft SMS 4.0 instalado em um servidor dedicado (se a tecnologia SMS de implantação de aplicativos for usada. Se não, modifique esse requisito com a tecnologia escolhida).

  • Todos os usuários devem ter contas de usuário padrão e fazer logon em seus computadores com a conta de usuário padrão.

  • Administradores de domínio devem ter duas contas - uma conta de usuário padrão e uma conta de administrador de domínio com UAC habilitado.

  • A configuração Controle de Conta de Usuário: executar todos os administradores no Modo de Aprovação de Administrador deve estar habilitada e administrada centralmente com a Diretiva de Grupo.

  • A configuração Controle de Conta de Usuário: alternar para a área de trabalho segura ao pedir elevação deve estar habilitada e administrada centralmente com a Diretiva de Grupo.

  • A configuração Controle de Conta de Usuário: comportamento do prompt de elevação para usuários padrão deve estar definida como Solicitar credenciais e administrada centralmente com a Diretiva de Grupo.

Benefícios: Implementar o UAC dessa maneira traz diversas vantagens. Administrando as configurações de segurança do UAC com a Diretiva de Grupo, o departamento de TI pode garantir que as diretivas do computador local não sejam alteradas para ignorar as diretivas do departamento. Como os usuários efetuam logon em seus computadores como usuários padrão e não sabem o nome de usuário nem a senha de uma conta de administrador local, não pode modificar configurações do sistema, instalar softwares ou malwares e comprometer a máquina, com ou sem intenção. Embora os usuários sejam todos usuários padrão, eles ainda poderão instalar e atualizar aplicativos com o SMS. As vantagens específicas da implantação de software com SMS foram discutidas anteriormente nesta seção.

Médio: Os aplicativos são instalados caso a caso pelo departamento de TI

Embora esse seja o nível de segurança "médio", ele é o mais difícil de gerenciar. Nesse cenário, todos os usuários precisam enviar uma solicitação à assistência técnica todas as vezes que desejarem instalar um aplicativo. A assistência técnica então teria que usar a Área de Trabalho Remota para instalar o aplicativo ou inserir fisicamente as credenciais no computador do usuário. Embora o departamento de TI, em teoria, deve saber quais aplicativos são instalados em cada computador, o processo de rastrear tudo isso pode ser incômodo e difícil de gerenciar. Além disso, se as credenciais de uma conta de administrador local forem divulgadas para um usuário padrão uma única vez, deve-se presumir que a diretiva de segurança está comprometida.

Baixo: Os usuários podem instalar aplicativos à vontade

Neste caso, há três configurações possíveis. As configurações a seguir são apresentadas em níveis decrescentes de segurança, onde a primeira é a mais segura:

  1. Os usuários são usuários padrão mas sabem o nome de usuário e senha de um administrador local.

    1. A configuração Controle de Conta de Usuário: executar todos os administradores no Modo de Aprovação de Administrador está habilitada.

    2. Os usuários efetuam logon com suas contas de usuário padrão e fornecem credenciais de uma conta de administrador local no prompt de credenciais do Controle de Conta de Usuário quando desejarem executar tarefas administrativas.

    3. Impacto: Não há um meio eficiente através do qual o departamento de TI possa rastrear instalações de aplicativos ou acompanhar o índice de integridade de um computador. Além disso, os usuários ainda podem instalar malware sem querer, fornecendo credenciais em um prompt de credenciais do Controle de Conta de Usuário para um executável que eles não conhecem.

  2. Os usuários são administradores locais.

    1. A configuração Controle de Conta de Usuário: executar todos os administradores no Modo de Aprovação de Administrador está habilitada.

    2. Os usuários efetuam logon com suas contas de administrador e dão consentimento no prompt de consentimento do Controle de Conta de Usuário quando desejarem executar tarefas administrativas.

    3. Impacto: Embora o UAC esteja habilitado, como todos os usuários efetuam logon como administradores, qualquer usuário pode instalar software, manipular configurações do sistema e ignorar a diretiva de segurança do computador facilmente. Além disso, não há um meio eficiente através do qual o departamento de TI possa rastrear instalações de aplicativos ou acompanhar o índice de integridade de um computador.

  3. O UAC é desabilitado e os usuários são administradores locais.

    1. A configuração Controle de Conta de Usuário: executar todos os administradores no Modo de Aprovação de Administrador está desabilitada.

    2. Os usuários efetuam logon com suas contas de administrador e executam tarefas administrativas.

    3. Impacto: Quando o UAC está desabilitado, os usuários não são notificados quando aplicativos administrativos tentam usar seu token de acesso administrativo. O resultado é que não há um meio eficiente através do qual o departamento de TI possa rastrear instalações de aplicativos ou acompanhar o índice de integridade de um computador. Além disso, malwares podem se instalar silenciosamente, porque não é solicitada aprovação nem credenciais dos usuários para que um executável administrativo seja executado.

Testando aplicativos para o usuário padrão

Para que mais aplicativos sejam compatíveis com o usuário padrão, os desenvolvedores de aplicativos devem testar seus aplicativos como usuários padrão. Há instruções sobre como testar aplicativos compatíveis com o Windows Vista no documento Requisitos de desenvolvimento para compatibilidade com o Controle de Conta de Usuário do Windows Vista.

Reempacotando aplicativos

O Windows Installer 4.0 foi projetado para ser totalmente compatível com o UAC. Administradores de sistema que exijam personalização e reempacotamento de aplicativos em seus ambientes de TI podem usar o FLEXnet AdminStudio 7 SMS Edition para reempacotar software com o Instalador do Windows para implantação com o SMS. O FLEXnet AdminStudio 7 SMS Edition fornece às empresas a capacidade de preparar, publicar e distribuir pacotes de software usando o SMS 2003 sem nem mesmo tocar no console do servidor SMS, melhorando significativamente a eficiência do gerenciamento de aplicativos.

O FLEXnet AdminStudio 7 SMS Edition oferece um componente reempacotador baseado em assistentes que facilita a conversão de qualquer configuração - até mesmo as configurações difíceis de empacotar InstallScript do Instalador do Windows - em pacotes 100 por cento Windows Installer. Esse reempacotador inclui: O InstallMonitor para reempacotamento sem instantâneos, o SmartScan para extrair o máximo de informações das instalações do InstallScript durante a conversão para Instaladores do Windows, o Setup Intent para ajudar a garantir que os Instaladores do Windows não ignorem arquivos importantes, e o Packaging Process Assistant para mostrar a você o processo correto de empacotamento.

O FLEXnet AdminStudio 7 SMS Edition é um download gratuito no site do SMS (http://go.microsoft.com/fwlink/?LinkId=71355).

Os recursos a seguir oferecem mais informações sobre reempacotamento de softwares:

Cenário de implantação do UAC

Nesta seção, exploraremos um cenários de implantação do UAC para a empresa Litware, Inc, uma organização de médio porte. O cenário a seguir deve ajudar departamentos de TI a prever possíveis problemas que ocorram com a execução de um ambiente Windows Vista com o UAC habilitado.

Litware, Inc (Organização Média)

Depois de instalar o Windows Vista em um computador no escritório sede da Litware, Inc, um usuário efetua logon como um administrador no Modo de Aprovação de Administrador navega para uma pasta compartilhada, onde os aplicativos LOB (linha de negócios) específicos do departamento são mantidos. Esse compartilhamento tem uma pasta para cada aplicativo e o software usa muitas tecnologias diferentes para instalar aplicativos, inclusive o Instalador do Windows, bootstrapper.exe e um instalador do tipo scopy.

A Litware, Inc. tem 2.500 desktops Windows XP e decidiu atualizar para o Windows Vista para poder usar o UAC. O departamento de TI deve encontrar um modo de instalar os vários aplicativos LOB da empresa como padrão, mas eles identificaram os seguintes problemas:

  • Ninguém do departamento de TI tem experiência com instalação de software de Diretiva de Grupo (GPSI) ou Systems Management Server (SMS). O resultado é que a empresa terá que investir em treinamento para uma pessoa da equipe.

  • Converter aplicativos LOB para instalar com o Instalador do Windows pode ficar caro, porque não há ferramentas para ajudar no processo. Por exemplo: "Podemos empacotar todos, mas não conseguimos definir as configurações de instalação com facilidade."

  • O departamento de TI desenvolveu alguns scripts de logon para executar instalações de aplicativos e não deseja abandonar o tempo, recursos e esforços investidos na criação.

Soluções para Administrador no Modo de Aprovação de Administrador

Esse problema não é exclusivo do Windows Vista. As empresas já trabalham há algum tempo com instalação de aplicativos como usuários padrão com diferentes graus de sucesso. As soluções a seguir são apresentadas em níveis crescentes de preferência: soluções boas, melhores e incríveis.

Boa

Permitir que os usuários instalem a partir do compartilhamento existente e usar a detecção heurística de instalador para identificar os aplicativos LOB como instaladores e depois invocar o nível de execução solicitado elevado. Como a elevação silenciosa está desligada, os usuários não verão um prompt de consentimento ou de credenciais, mas estarão trabalhando silenciosamente com o token de administrador de acesso total quando executarem aplicativos desses compartilhamentos.

Para obter mais informações sobre a detecção de instaladores no Windows Vista, consulte "Tecnologia de Detecção de Instaladores" neste documento.

Infelizmente, não há limitações para essa abordagem. Pode haver vários casos em que a detecção de instaladores do Windows Vista identifica um aplicativo como instalador e automaticamente eleva esse aplicativo. Também há alguns problemas de compatibilidade se o aplicativo não tiver sido projetado para ser instalado no ambiente do Windows Vista.

Melhor

Conforme a empresa investe mais na segurança do ambiente corporativo, uma das primeiras coisas que um departamento de TI deve fazer é catalogar todos os aplicativos que são executados nos computadores dos usuários. Nesse cenário, um membro do departamento de TI já consolidou esses aplicativos em um único local - um compartilhamento de rede. Por causa da consolidação desses aplicativos, podemos facilmente superar a limitação mencionada na seção anterior, marcando explicitamente os instaladores com um nível de execução solicitado de administrador. A marcação dos aplicativos com níveis de execução solicitados inclui adicionar entradas para os aplicativos no banco de dados de compatibilidade de aplicativos. Os aplicativos também podem ser marcados para ser executados com um nível de execução solicitada mais baixo se estiverem sendo falsamente identificados como instaladores.

Também é possível criar um script para desviar o compartilhamento e marcar todos os aplicativos com os níveis de bancos de dados compatibilidade RunAsAdmin. Há mais orientações sobre marcação de aplicativos com níveis de execução solicitados na seção "Marcando aplicativos com níveis de execução solicitados para compatibilidade de aplicativos", neste documento.

As marcações de bancos de dados de aplicativos são associadas a um GPO (objeto de Diretiva de Grupo) que então é implementado em toda a empresa com a Diretiva de Grupo. Depois de implementar essa política, todos os usuários da empresa terão os aplicativos consistentemente marcados para serem executados com o nível de execução solicitado especificado explicitamente.

Ótimo

Agora que a equipe de TI sabe quais são os aplicativos que os usuários instalam, o departamento pode começar a controlar a instalação desses aplicativos e impedir que outros sejam instalados. A primeira etapa é desligar a detecção de instaladores e criar marcações de nível de execução solicitada para cada aplicativo que instale um produto na empresa. A afirmação simples aqui é que o departamento de TI agora compreende todos os aplicativos que os usuários instalarão, e como todos agora estão marcados com um nível de execução solicitado, a detecção de instaladores não é mais necessária.

Como a instalação de aplicativos agora é mais controlada, os usuários não precisarão mais instalara partir de CDs ou outras mídias externas - tudo estará disponível na rede. Para impedir que os usuários instalem aplicativos que usem um instalador do Windows a partir de mídias externas removíveis, você pode executar o procedimento a seguir para configurar o valor Impedir origem de mídia removível para qualquer instalação no arquivo Windows Installer Administrative Template:

Para impedir origem de mídia removível para instalações
  1. Clique em Iniciar, clique em Painel de Controle, mais duas vezes em Ferramentas Administrativas e, em seguida, mais duas vezes em Usuários e Computadores do Active Directory.

  2. No painel do Console, expanda Configuração de Usuários, expanda Modelos Administrativos, expanda Componentes do Windows e clique em Instalador do Windows.

  3. No painel de detalhes, clique com o botão direito em Impedir origem de mídia removível para qualquer instalação e selecione Propriedades.

  4. Em Propriedades, selecione Habilitar e clique em OK.

noteObservação
Quando a configuração Impedir origem de mídia removível para qualquer instalação está ativada, aparece uma mensagem dizendo que o recurso não pode ser encontrado quando o usuário tenta instalar um programa a partir de uma mídia removível, como CDs, disquetes e DVDs.

noteObservação
A configuração Impedir origem de mídia removível para qualquer instalação aplica-se mesmo quando a instalação é executada no contexto de segurança do usuário.

ImportantImportante
Como mencionado anteriormente, quando o usuário está trabalhando como administrador, não há garantias de que as configurações implantadas pelo departamento de TI estejam realmente definidas nesse computador. Usuários administrativos podem ignorar essas configurações de diversas maneiras - é só uma questão de tempo, experiência e determinação.

Outra vantagem da consolidação dos aplicativos em um único compartilhamento de rede é a capacidade de assinar todos os binários. Depois de concluir assinatura dos binários, você pode oferecer uma camada extra de segurança à empresa, habilitando a configuração Controle de Conta de Usuário: elevar somente executáveis assinados e validados.

Além disso, diretivas de restrição de software (SRP) podem ser adicionadas para proibir a execução de executáveis não autorizados.

Soluções para usuário padrão

As soluções a seguir são apresentadas na ordem inversa de preferência: soluções boas, melhores e incríveis.

Melhor

O departamento de TI deve presumir que os usuários padrão geralmente não conseguirão instalar nenhum aplicativo, e terão um conjunto mínimo de direitos de usuário adicionados ao seu token de acesso. Os usuários não poderão mais executar como administradores e, ao invés disso, precisarão de um serviço executando como administrador para alterar o estado do sistema para eles. Felizmente, o Windows fornece um serviço de instalação para fazer isso: Windows Installer Server. Também há uma Diretiva de Grupo de Extensão de Instalação de Software, que permite que os aplicativos sejam distribuídos para o computador de um usuário sem necessidade de interação com o usuário durante a instalação.

Consulte a documentação da Diretiva de Grupo de Extensão de Instalação de Software (http://go.microsoft.com/fwlink/?LinkID=71356) para obter mais informações.

Outra opção é implantar os aplicativos com uma tecnologia como SMS. A idéia fundamental é a mesma - um usuário padrão precisa de um serviço backend para fazer as tarefas para as quais o usuário não tem privilégios ou direitos suficientes.

Há orientação disponível sobre como implantar aplicativos com o SMS na TechNet (http://go.microsoft.com/fwlink/?LinkId=71357)

Um dos desafios de usar a extensão GPSI é que os aplicativos devem ser distribuídos em instaladores do Windows. Para converter os binários de instalação de um aplicativo em um Instalador do Windows, você precisa passar por um processo chamado "reempacotamento". Isso inclui determinar as configurações específicas do aplicativo bem como compreender a ordem adequada de execução dos diversos eventos. Há ferramentas para ajudar esse processo, como o DevStudio InstallShield.

O reempacotamento de aplicativos às vezes é uma tarefa cansativa e muitas empresas possuem equipes inteiras dedicadas a isso. Há mais informações sobre reempacotamento de aplicativos na seção "Reempacotando Aplicativos" deste documento.

Ótimo

Esse cenário considera várias considerações de desenvolvimento de software. Tipicamente, há um conjunto principal de aplicativos LOB que todos os funcionários de uma empresa precisam ter no computador. Esse é um excelente conjunto de software para tratar na implantação em toda a empresa com o GPSI Publishing ou Advertisement. Em uma empresa com muitos computadores implantados, seria interessante criar uma biblioteca de imagens com esses aplicativos já instalados.

A ferramenta Preparação do Sistema (Sysprep.exe), distribuída com o Windows, permite produzir uma imagem para implantação em massa. Usando a ferramenta de Preparação do Sistema, crie uma imagem que contém todos os aplicativos principais necessários e então implemente a imagem em todos os computadores do ambiente. Esse tipo de implantação ignora os impactos de recurso de instalações múltiplas e grandes em toda a rede. Finalmente, use as OU (unidades organizacional) de cada divisão para anunciar os pacotes suplementares aos usuários com GPSI.

Configurando as definições do UAC

Agora que você compreende como o UAC funciona e alguns do problemas que podem surgir durante a implantação do Windows Vista em seu ambiente, podemos passar a discutir como configurar o UAC para otimizar a segurança e facilidade de uso.

Esta seção detalha dois métodos principais para configuração do UAC:

Administrar o UAC com o Editor de Diretiva de Segurança e Diretiva de Grupo local

Antes do Windows Vista, usuários padrão que trabalhassem em um computador pessoal ou em uma configuração de rede frequentemente tinham a opção de instalar aplicativos. A principal diferença então era que, embora os administradores pudessem criar configurações de Diretiva de Grupo para limitar instalações de aplicativos, eles não podiam limitar instalações de aplicativos para usuários padrão como configuração padrão. Em um ambiente do UAC, eles podem fazer isso, e os administradores ainda podem usar a Diretiva de Grupo para definir uma lista aprovada de dispositivos e implantação.

Há nove configurações de GPO (objeto de Diretiva de Grupo) que podem ser configurados para o UAC. As seções a seguir apresentam detalhes sobre as diferentes configurações do GPO para UAC, com recomendações.

Controle de Conta de Usuário: Modo de Aprovação de Administrador para a conta de Administrador Interno

Esta configuração determina se o UAC é aplicado para a conta de Administrador interna padrão.

noteObservação
A conta interna Administrador é desabilitada por padrão em instalações e atualizações de computadores associados a um domínio.

Opções de configuração:

  • Habilitado - O Administrador interno será executado como um administrador no Modo de Aprovação de Administrador.

  • Desabilitado - O administrador executa com um token de acesso total de administrador.

Valor padrão:

  • Desabilitado para novas instalações e para atualizações quando a conta interna Administrador NÃO é o único administrador local ativo no computador.

  • Habilitado para atualizações quando o Windows Vista determina que a conta interna Administrador é o único administrador local ativo no computador. Se o Windows Vista determinar isso, a conta interna de Administrador também será mantida habilitada depois da atualização.

Recomendação: Em uma empresa, recomendamos que você defina essa configuração como Desabilitada, uma vez que administradores de domínio ainda terão acesso administrativo ao computador.

Controle de Conta de Usuário: comportamento do prompt de elevação de administradores no Modo de Aprovação de Administrador

Esta configuração define como o UAC solicita elevação aos administradores.

Opções de configuração:

  • Sem prompt - A elevação ocorre automática e silenciosamente. Esta opção permite que um administrador em Modo de AProvação de administrador execute uma operação que exija elevação sem consentimento nem credenciais. Observação: esta configuração só deve ser usada em ambientes mais protegidos, e NÃO é recomendada.

  • Solicitar consentimento - Uma operação que exija um token de acesso total de administrador exibirá um prompt para que o administrador em Modo de Aprovação de Administrador selecione Continuar ou Cancelar. Se o administrador clicar em Continuar, a operação continuará com seu privilégio mais alto disponível.

  • Solicitar credenciais - Uma operação que exija um token de acesso total de administrador exibirá um prompt para que o administrador em Modo de Aprovação de Administrador insira um nome de usuário e senha. Se o usuário inserir credenciais válidas, a operação continuará com o privilégio aplicável.

Valor padrão: Pedir consentimento

Recomendação: Recomendamos que você defina esse valor como Solicitar consentimento, uma vez que existe a possibilidade de que um ataque imite (falsifique) o prompt de elevação. Se o prompt de elevação for falsificado e o administrador fornecer consentimento, clicando em Continuar, o atacante poderá elevar apenas um único processo. Contudo, se o prompt de elevação for falsificado quando a configuração estiver definida como Solicitar credenciais, o atacante poderá obter acesso ao nome de usuário e senha do administrador.

Controle de Conta de Usuário: comportamento do prompt de elevação de usuários padrão

Esta configuração como e se o UAC solicita elevação aos usuários padrão.

Opções de configuração:

  • Sem prompt - Não é apresentado um prompt e o usuário não pode executar tarefas administrativas sem usar Executar como administrador ou efetuar logon com uma conta de administrador.

  • Solicitar credenciais - Uma operação que exija um token de acesso total de administrador exibirá um prompt para que o usuário insira um nome de usuário e senha administrativos. Se o usuário inserir credenciais válidas, a operação continuará com o privilégio aplicável.

Valor padrão: Pedir credenciais

Recomendação: Para uma empresa que esteja usando desktops com usuários padrão no momento, recomendamos configurar esta opção como Sem prompt. Essa configuração pode ajudar a reduzir chamados de suporte para a assistência técnica.

Controle de Conta de Usuário: detectar instalações de aplicativos e aviso de elevação

Esta configuração define se o Windows Vista usa heurística para identificar aplicativos de instalação. Quando um usuário executa um instalador, o Windows identifica o programa como aplicativo de instalação e apresenta um prompt de elevação ao usuário.

Opções de configuração:

  • Habilitado - O usuário recebe uma solicitação de consentimento ou credenciais quando o Windows Vista detecta um instalador.

  • Desabilitado - As instalações de aplicativos não serão executadas e o usuário não será notificado do problema ou será exibida uma mensagem de erro que pode não ser clara ou não ajudar o usuário a determinar por que a instalação falhou.

Valor padrão: Ativada

Recomendação: Para empresas que estiverem trabalhando com desktops com usuários padrão e tiverem tecnologias de instalação delegada como GPSI ou SMS implementadas, recomendamos que você defina esta configuração como Desabilitada. Se sua organização não tiver implementado uma tecnologia de delegação de instalação, recomendamos que essa configuração seja definida como Habilitada para reduzir o número de chamados de suporte à assistência técnica. Você também pode definir esta configuração como Desabilitada e instruir seus usuários a clicar com o botão direito em arquivos de instalação e selecionar Executar como Administrador para elevar o processo.

Controle de Conta de Usuário: elevar somente executáveis assinados e validados

Esta configuração define se o Windows Vista deve verificar se um programa é assinado para que possa ser elevado. A verificação é executada depois de o processo ser interativamente iniciado (isto é, um usuário clicar duas vezes em um arquivo de instalação no desktop. Se o aplicativo não estiver assinado, [ERROR MESSAGE]. Se o aplicativo estiver assinado mas a assinatura for inválida, [ERROR MESSAGE].

Opções de configuração:

  • Habilitado - Somente arquivos executáveis assinados serão executados. Essa diretiva forçará as verificações de assinatura de PKI em todos os aplicativos interativos que solicitarem elevação.

    noteObservação
    Administradores de empresas podem controlar a lista de aplicativos administrativos permitidos, preenchendo certificados no Armazenamento de Editores COnfiáveis do computador local.

  • Desabilitado - Aplicativos assinados e sem assinatura serão executados.

Valor padrão: Desativada

Recomendação: [NEED]

Controle de Conta de Usuário: eleve apenas aplicativos UIAccess que estejam instalados em locais seguros

Esta configuração controla se um aplicativo com privilégios mais baixos pode se comunicar com aplicativos que estejam sendo executados em um nível de privilégios mais alto. uiAccess é um atributo do arquivo de manifesto de um aplicativo, que o desenvolvedor empacota junto com o aplicativo.

Opções de configuração:

  • Habilitado - o Windows impedirá que aplicativos que executar a partir dos diretórios Arquivos de Programas ou Windows acessem processos com privilégios mais altos, a não ser que seus manifestos de aplicativo definam o atributo uiAccess como Verdadeiro. As ACLs dos diretórios Arquivos de Programas e Windows são configurados por padrão para impedir que usuários padrão modifiquem o conteúdo do diretório. Se o manifesto de um aplicativo defini-lo como um aplicativo uiAccess mas o aplicativo não estiver localizado nos diretórios Arquivos de Programas ou Windows, o Windows não executará o aplicativo com o privilégio adicional de acessar processos com privilégios mais altos (por exemplo, embora o desenvolvedor tenha identificado o aplicativo como um que necessita uiAccess, ele foi instalado em um local inseguro que pode ser modificado por usuários padrão.

  • Desabilitado - o Windows não verificará se o programa está instalado nos diretórios Arquivos de Programas ou Windows, e o aplicativo será iniciado com o token de acesso total do usuário depois da aprovação deste.

Valor padrão: Ativada

Recomendação: Recomendamos definir esta configuração como Habilitado. Quando esta configuração está habilitada, o Windows impede que aplicativos com privilégios mais baixos instalados em locais inseguros acessem aplicativos com privilégios mais altos.

Controle de Conta de Usuário: executar todos os administradores no Modo de Aprovação de Administrador

Esta configuração define se o Windows deve criar dois tokens de acesso para administradores (usuário padrão e administrador) e se os usuários padrão podem elevar um aplicativo para o nível de administrador.

Observação   Você deve reiniciar o computador se alterar esse valor.

Opções de configuração:

  • Habilitado - Administradores e usuários padrão serão solicitados quando um aplicativo tentar ser executado como administrador. A configuração Controle de Conta de Usuário: comportamento do prompt de elevação de administradores no Modo de Aprovação de Administrador determina como o prompt é exibido para o usuário.

  • Desabilitado - Os usuários não recebem um prompt quando um aplicativo tenta ser executado como administrador e o aplicativo é executado automaticamente com o token de acesso total de administrador. O resultado é que o UAC é, na prática, desligado, e o serviço AIS é desabilitado para inicialização automática. O Windows Security Center também notificará o usuário de que a segurança geral do sistema operacional foi reduzida e dará ao usuário a opção de habilitar o UAC.

Valor padrão: Ativada

Recomendação: Recomendamos definir esta configuração como Habilitado. Se esta configuração estiver desabilitada, os administradores não saberão quando um aplicativo é executado como administrador (inclusive softwares mal intencionados) e os usuários padrão não conseguirão executar aplicativos como administração.

Controle de Conta de Usuário: alternar para a área de trabalho segura ao pedir elevação

Esta configuração define se o prompt de elevação será exibido na área de trabalho do usuário ou na área de trabalho segura.

Opções de configuração:

  • Habilitado - O prompt de elevação do UAC é exibido na área de trabalho segura, uma área que só pode receber mensagens de processos do Windows. Quando essa configuração está habilitada e um aplicativo solicita elevação para o nível de direitos de administrador, o plano de fundo é esmaecido e o prompt de elevação é exibido ao usuário. O usuário não pode interagir com nenhum outro elemento da área de trabalho até aprovar ou negar a elevação, clicando em Continuar ou Cancelar no caso de um prompt de consentimento ou oferecendo credenciais de administrador válidas ou clicando em Cancelar em caso de um prompt de credenciais.

  • Desabilitado - O prompt de elevação será exibido na área de trabalho interativa do usuário.

Valor padrão: Ativada

Recomendação: Recomendamos definir esta configuração como Habilitado. Se o prompt de elevação não for exibido na área de trabalho segura, um atacante poderá imitar o prompt de elevação para elevar softwares maliciosos. Também recomendamos usar esta configuração em conjunto com a configuração Controle de Conta de Usuário: comportamento do prompt de elevação para administradores no Modo de Aprovação de Administrador configurada como Solicitar consentimento. Esta configuração reduz o risco de um atacante obter as credenciais de um administrador exibido uma imitação do prompt de credenciais.

Controle de Conta de Usuário: virtualizar falhas de gravação de arquivos e Registros para locais por usuário

Esta configuração define a configurações de virtualização para aplicativos de 32 bits. A virtualização não se aplica a aplicativos de 64 bits.

Opções de configuração:

  • Habilitado - Se um aplicativo de 32 bits sem arquivos de manifesto tentar gravar em um local protegido, como o diretório Arquivos de Programas, a virtualização redirecionará essas operações para um local no sistema de arquivos e no registro que todos os usuários possam acessar. Essa configuração permite que usuários padrão executem aplicativos anteriores ao Windows Vista que sempre exigiram que o usuário executando o programa fosse um administrador.

  • Desabilitado - Se um aplicativo de 32 bits sem arquivos de manifesto tentar gravar em um local protegido, como o diretório Arquivos de Programas, a gravação falhará e o aplicativo não será executado.

Valor padrão: Ativada

Recomendação: Mantenha essa configuração habilitada em ambientes onde os softwares que não são totalmente compatíveis com o UAC precisem ser executados. Qualquer aplicativo administrativo de 32 bits sem um arquivo de manifesto de aplicativos ou uma entrada no banco de dados de aplicativos não é compatível com o UAC. Muitas empresas precisam executar softwares anteriores ao Windows Vista e, portanto, devem manter essa configuração definida como Habilitada.

Definindo as configurações de Diretiva de Grupo do UAC

Execute o seguinte procedimento para definir as configurações de Diretiva de Grupo do UAC. Você precisa ter feito logon como membro do grupo Administradores para executar este procedimento. Você também pode executar o procedimento como usuário padrão se puder fornecer credenciais válidas para uma conta de administrador no prompt de credenciais do Controle de Conta de Usuário.

Para definir as configurações de Diretiva de Grupo do UAC:
  1. Clique no botão Iniciar, digite secpol.msc na caixa Iniciar Pesquisa e pressione ENTER.

  2. Se a caixa de diálogo Controle de Conta de Usuário for exibida, confirme se a ação exibida é a desejada e clique em Continuar.

  3. Em Configurações de Segurança, expanda Diretivas Locais e selecione Opções de Segurança.

  4. No painel de detalhes (à direita), clique com o botão direito na configuração relevante do UAC e selecione Propriedades.

  5. Use a caixa da lista suspensa para escolher o valor adequado para a configuração.

noteObservação
Modificar a configuração Controle de Conta de Usuário: executar todos os administradores no Modo de Aprovação de Administrador exige que o computador seja reiniciado para que a configuração seja efetivada. Todas as outras configurações de Diretiva de Grupo do UAC são dinâmicas e não exigem reinicialização.

Auditar elevações de aplicativos e criação de processos

A configuração de rastreamento de processo de auditoria permite o monitoramento em tempo real de elevações de processo. Por exemplo, o departamento de TI pode habilitar o rastreamento de processo de auditoria com a Diretiva de Grupo e rastrear todas as vezes que um administrador em Modo de Aprovação de Administrador ou um usuário padrão elevar um processo para um processo de administrador total.

Para auditar rastreamento de processos
  1. Clique no botão Iniciar, digite secpol.msc na caixa Iniciar Pesquisa e pressione ENTER.

  2. Se a caixa de diálogo Controle de Conta de Usuário for exibida, confirme se a ação exibida é a desejada e clique em Continuar.

  3. No painel do Console, expanda Diretivas Locais e selecione Auditar Diretiva.

  4. No painel de detalhes, clique com o botão direito em Aditar rastreamento de processos e selecione Propriedades.

  5. Em Auditar Propriedades de rastreamento de processos, selecione Sucesso.

A configuração auditar uso de privilégios permite o monitoramento em tempo real de criações de processo elevadas.

Para auditar o uso de privilégios
  1. Clique no botão Iniciar, digite secpol.msc na caixa Iniciar Pesquisa e pressione ENTER.

  2. Se a caixa de diálogo Controle de Conta de Usuário for exibida, confirme se a ação exibida é a desejada e clique em Continuar.

  3. No painel do Console, expanda Diretivas Locais e selecione Auditar Diretiva.

  4. No painel de detalhes, clique com o botão direito em Aditar uso de privilégios e selecione Propriedades.

  5. Em Auditar Propriedades do uso de privilégios, selecione Sucesso e clique em OK.

Serviços do UAC

O serviço a seguir está associado ao UAC.

 

Serviço Descrição

Serviço de Informações de Aplicativos (AIS)

Facilita a execução de aplicativos interativos com um token de acesso total de administrador no Windows Vista.

Se esse serviço for interrompido, os usuários não poderão iniciar aplicativos com privilégios administrativos adicionais necessários para executar as tarefas de usuário desejadas. O resultado é que aplicativos que exijam um token de acesso total de administrador podem não funcionar corretamente a não ser que o serviço de Informação de Aplicativos esteja em execução.

Considerações sobre a segurança do UAC

Cada departamento de TI deve analisar cuidadosamente as considerações sobre segurança do UAC. Embora as configurações de Diretiva de Grupo do UAC permitam que os departamentos de TI escolham como configurar o UAC, há algumas considerações que podem pesar na criação de uma nova diretiva de segurança.

Imitando o prompt de elevação

O Windows Vista inclui uma nova configuração de segurança para impedir a imitação do prompt de elevação. Essa nova configuração (Controle de Conta de Usuário: alternar para a área de trabalho segura ao pedir elevação) alterna a área de trabalho do usuário ativo para a área de trabalho segura quando um processo solicita elevação. A área de trabalho segura é acessível somente para processos centrais do Windows, e malwares não podem se comunicar com ela. Assim, todos os prompts de elevação da área de trabalho segura não podem ser controlados por aplicativos da área de trabalho do usuário. Todas as elevações ocorrem por padrão na área de trabalho segura do Windows Vista.

Definindo uma senha para a conta de Administrador interna

A seguir, detalhes sobre o status da conta interna Administrador do Windows Vista:

  • Desabilitado para novas instalações e para atualizações quando a conta interna Administrador NÃO é o único administrador local ativo no computador. A conta interna Administrador é desabilitada por padrão em instalações e atualizações de computadores associados a um domínio.

  • Habilitado para atualizações quando o Windows Vista determina que a conta interna Administrador é o único administrador local ativo no computador. Se o Windows Vista determinar isso, a conta interna de Administrador também será mantida habilitada depois da atualização. A conta interna Administrador é desabilitada por padrão em instalações e atualizações de computadores associados a um domínio.

Se a conta de administrador interna for desabilitada, a Microsoft recomenda configurar uma senha para a conta para desabilitar ataques offline na conta.

Desabilitando o UAC

Desabilitar a configuração Controle de Conta de Usuário: executar todos os administradores no Modo de Aprovação de Administrador "desliga" o UAC. Os arquivos e pastas não serão mais virtualizados em locais para cada usuário para aplicativos não compatíveis com o UAC e todos os administradores locais efetuarão logon automaticamente com um token de acesso administrativo total. Desabilitar essa configuração essencialmente faz com que o Windows Vista reverta para o modelo de usuário do Windows XP. Embora alguns aplicativos incompatíveis com o UAC possam recomendar desligar o UAC, não é necessário fazer isso, já que o Windows Vista, por padrão, oferece virtualização de pastas e do registro para aplicativos anteriores ao Windows Vista ou que não são compatíveis com o UAC. Desligar o UAC abre seu computador para instalações de malware em todo o sistema. Se essa configuração for alterada, será necessário reiniciar o sistema para que a alteração seja efetivada.

Desabilitando configurações de Diretiva de Grupo do UAC não usadas

Quando desabilitar a virtualização:

A intenção da virtualização é ser uma tecnologia servindo de ponte para que aplicativos incompatíveis com o UAC funcionem corretamente com o Windows Vista. Se o departamento de TI souber que apenas aplicativos compatíveis com o UAC serão executados na empresa, a configuração de Diretiva de Grupo UAC: virtualizar falhas de gravação de arquivos e registros para locais por usuário se torna desnecessária.

Quando desabilitar a detecção de instaladores:

Como instaladores gravam em áreas protegidas, como o diretório de Arquivos de Programas, o modelo do Win32 requer que os instaladores sejam executados em contexto administrativo. A configuração Controle de Conta de Usuário: detectar instalações de aplicativos e solicitar elevação invoca um prompt de elevação quando um instalador é detectado. Em empresas com áreas de trabalho bloqueadas, onde todos o aplicativos disponíveis são implantados como SMS ou outra tecnologia, a elevação para instalações não é necessária, já que será feita automaticamente pelo serviço de instalação, que é executado como SYSTEMA.

Tarefas administrativas em computadores remotos

Um usuário membro do grupo de administradores do domínio ou outro grupo de rede com privilégios similares deve usar essa conta de usuário apenas quando o estiver executando tarefas administrativas. O cenário a seguir destaca isso com mais detalhes:

Carol Philips, que trabalha na assistência técnica na Litware, Inc, possui duas contas de usuário no domínio: uma conta de administrador de domínio e uma conta de usuário padrão no domínio. A conta de administrador de domínio é membro do grupo local de administradores de sua estação de trabalho. Carol foi avisada por seus superiores de que deveria usar sua conta de administradora de domínio quando estivesse executando tarefas que exigissem um token de acesso total administrativo. Assim, Carol efetua logon em sua estação de trabalho como usuária padrão e usa Executar como ou Serviços de Terminal quando precisa executar tarefas administrativas. Um dia, Carol observa que há algum tempo não faz backup do disco rígido do computador. Ela usa Executar como para abrir um Prompt de Comando, insere as credenciais de sua conta de administrador, digita secedit no prompt de comando e pressiona Enter. Ao mesmo tempo, ela também está navegando na Internet como usuária padrão, e acidentalmente baixa um malware da Web. Contudo, o malware não consegue afetar outros computadores da rede, já que Carol estava navegando com uma conta de usuário padrão.

Configurando aplicativos anteriores ao Windows Vista para compatibilidade com o UAC

A etapa final, mas muito importante, da configuração do UAC é garantir que seu software seja projetado para compatibilidade com o UAC ou configurado pelo departamento de TI para funcionar corretamente com o Windows Vista.

Novos aplicativos compatíveis com o Windows Vista Logo devem ser executáveis com uma conta de usuário padrão ou, em caso de aplicativos administrativos, estarem marcados com uma entrada de manifesto de aplicativo. Quando um usuário tentar iniciar um aplicativo com entrada de manifesto de aplicativo, o Windows Vista informa o usuário de que ele está tentando iniciar um aplicativo administrativo e ele precisa dar aprovação. Para obter mais informações sobre o programa Logo da Microsoft, visite a página inicial do Microsoft Windows Logo (http://go.microsoft.com/fwlink/?LinkId=71358).

Departamentos de TI podem descobrir, durante a distribuição do Windows Vista, que seus aplicativos LOB (linha de negócios) não funcionam mais adequadamente. Esse problema provavelmente se deve a incompatibilidade de aplicativos com os aprimoramentos incorporados ao Windows Vista. A Microsoft oferece um Kit de ferramentas de compatibilidade de aplicativos que ajudará departamentos de TI a identificar os problemas de compatibilidade e ajudar na criação de correções de compatibilidade de aplicativos - quantidades pequenas de código que são usadas para consertar problemas de compatibilidade de aplicativos.

Os departamentos de TI podem descobrir que alguns programas precisam poder executar operações administrativas para funcionar corretamente no Windows Vista. Para isso ocorrer, o programa precisa estar marcado para que seja solicitada aprovação dos usuários antes que o aplicativo possa ser executado com um token de acesso administrativo total. O processo de marcar aplicativos dessa maneira chama-se marcar um aplicativo com um nível de execução solicitada. O Application Compatibility Toolkit 5.0 oferece os meios para construir e instalar as entradas no banco de dados de compatibilidade de aplicativos, facilitando o mecanismo de marcação de nível de execução solicitado.

Para obter mais informações sobre compatibilidade de aplicativos e o Application Compatibility Toolkit 5.0, visite a Technet (http://go.microsoft.com/fwlink/?LinkId=23302).

Marcando aplicações com níveis de execução solicitados para compatibilidade com aplicativos

O nível de execução solicitado selecionado para um aplicativo depende de qual tipo de operações em nível de sistema que o aplicativo está executando. A seguir, os três níveis diferentes de execução solicitada disponíveis.

RunAsInvoker: O aplicativo deve executar com os mesmo privilégios e direitos de usuários do Windows como o processo pai. Essa configuração é equivalente a não ter um banco de dados de compatibilidade de aplicativos para o aplicativo. O aplicativo é iniciado com os mesmo privilégios dos processo pai pelo qual está sendo lançado, reduzindo a exposição de segurança do aplicativo. Isso acontece porque o processo pai da maioria dos aplicativos é Explorer.exe, que executa como aplicativo de Usuário Padrão. Aplicativos RunAsInvoker iniciados a partir de um shell cmd.exe executados como administrador total seriam “executados como invoker” com um token de acesso total de administrador.

RunAsHighest:

  • O aplicativo deve ser executado com os privilégios e direitos de usuário do Windows mais altos que o usuário atual possa obter, mas o aplicativo não necessariamente exige que o usuário seja um administrador. Essa marcação é usada para dois tipos de aplicativos.

  • O aplicativo pode se executado por administradores e usuários padrão, e adapta seu comportamento com base nos privilégios e direitos do usuário.

  • O aplicativo exige privilégios e direitos mais altos do que os de um usuário padrão, mas não exige que o usuário seja membro de um grupo de administradores local. Um exemplo seria um usuário que seja membro do grupo Operadores de Backup. Essa classe de usuário não podem executar aplicativos que exijam token de acesso total de administrador, mas pode executar aplicativos de backup. Nesse caso, o aplicativo de backup anterior ao Windows Vista deve ser marcado como RunAsHighest.

RunAsAdmin: O aplicativo deve ser executado somente por administradores, precisa ser iniciado com um token de acesso total de administrador e não funciona corretamente em um contexto de usuário padrão. Essa marcação de nível de execução solicitado está reservada para aplicativos anteriores ao Windows Vista que exijam que o usuário seja membro do grupo de Administradores local. Um diferença entre o Windows Vista e versões anteriores do Windows, como o Windows XP, é que o sistema operacional garante que o aplicativo seja executado com um token de acesso total de administrador se estiver marcado como RunAsAdmin no banco de dados de compatibilidade de aplicativos. Caso o Windows Vista não consiga obter um token de acesso total de administrador, o aplicativo não será iniciado.

Marcação de virtualização

Departamentos de TI podem usar a configuração a seguir para controlar virtualização de arquivos e pastas.

NoVirtualization: O aplicativo deve ser executado sem virtualização de arquivos e pastas. Essa configuração seria definida por dois motivos:

  1. Reduzir a área exposta a ataquesÇ Aplicativos que permitem virtualização estão sujeitos a ataques por outros aplicativos de usuário padrão. Não há um mecanismo no Windows Vista para diferenciar aplicativos que tem permissão para gravar em locais virtuais específicos. Desligando a virtualização para aplicativos que são executados como usuário padrão, o risco de ataques de malware (em execução como usuário padrão) é bastante reduzido.

  2. Reduzir o tempo e custo de depuração de dados virtualizados para a assistência técnica. Se você sabe que o aplicativo está funcionando bem como aplicativo de usuário padrão, desligar a virtualização ajudará o pessoal da assistência técnica a depurar o aplicativo, porque não será necessário procurar no local real e também no virtualizado para examinar dados de configuração do aplicativo.

Marcação do banco de dados de compatibilidade de aplicativos e comportamento de inicialização de aplicativos

A capacidade de um aplicativo ser executado e obter token de acesso total de administrador depende da combinação do nível de execução solicitado do aplicativo no banco de dados de compatibilidade de aplicativos e dos privilégios e direitos de usuário disponíveis para a conta de usuário que iniciou o aplicativo. As tabelas a seguir identificam o possível comportamento de execução, com base nessas combinações possíveis.

Um Administrador no Modo de Aprovação de Administrador

 

Token de acesso do processo pai Diretiva de consentimento Nenhuma ou RunAsInvoker RunAsHighest RunAsAdmin

Usuário padrão

Sem prompt

O aplicativo é iniciado como usuário padrão

O aplicativo é iniciado com um token de acesso total de administrador; sem prompt

O aplicativo é iniciado com um token de acesso total de administrador; sem prompt

Usuário padrão

Pedir consentimento

O aplicativo é iniciado como usuário padrão

O aplicativo é iniciado com um token de acesso total de administrador; prompt de consentimento

O aplicativo é iniciado com um token de acesso total de administrador; prompt de consentimento

Usuário padrão

Pedir credenciais

O aplicativo é iniciado como usuário padrão

O aplicativo é iniciado com um token de acesso total de administrador; prompt de credenciais

O aplicativo é iniciado com um token de acesso total de administrador; prompt de credenciais

Administrador (UAC desabilitado)

NA

O aplicativo é iniciado com um token de acesso total de administrador; sem prompt

O aplicativo é iniciado com um token de acesso total de administrador; sem prompt

O aplicativo é iniciado com um token de acesso total de administrador; sem prompt

Uma conta de usuário padrão

 

Token de acesso do processo pai Diretiva de consentimento RunAsInvoker RunAsHighest RunAsAdmin

Usuário padrão

Sem prompt

O aplicativo é iniciado como usuário padrão

O aplicativo é iniciado como usuário padrão

O aplicativo falha ao iniciar

Usuário padrão

Pedir credenciais

O aplicativo é iniciado como usuário padrão

O aplicativo é iniciado como usuário padrão

Solicitar credenciais de administrador antes de executar o aplicativo

Usuário padrão (UAC desabilitado)

NA

O aplicativo é iniciado como usuário padrão

O aplicativo é iniciado como usuário padrão

O aplicativo falha ao iniciar

Um usuário padrão com privilégios adicionais (por exemplo, operador de backup)

 

Token de acesso do processo pai Diretiva de consentimento RunAsInvoker RunAsHighest RunAsAdmin

Usuário padrão

Sem prompt

O aplicativo é iniciado como usuário padrão

O aplicativo é iniciado como usuário padrão

O aplicativo falha ao iniciar

Usuário padrão

Pedir credenciais

O aplicativo é iniciado como usuário padrão

O aplicativo é iniciado como usuário padrão

Solicitar credenciais de administrador antes de executar o aplicativo

Usuário padrão (UAC desabilitado)

NA

O aplicativo é iniciado como usuário padrão

O aplicativo é iniciado como usuário padrão

O aplicativo falha ao iniciar

Usando o Application Compatibility Toolkit 5.0 para criar correções de aplicativos

O Application Compatibility Toolkit 5.0 é um conjunto de aplicativos gratuitos da Microsoft que os departamentos de TI podem usar para criar correções de compatibilidade de aplicativos. O Application Compatibility Toolkit foi aprimorado para o Windows Vista com a capacidade de criar entradas no banco de dados para correção de compatibilidade de aplicativos, que são usadas para marcar os aplicativos com um nível de execução solicitado.

Os procedimentos desta seção usam as duas ferramentas a seguir, inclusas no download do Application Compatibility Toolkit 5.0:

  • Administrador de Compatibilidade: Uma ferramenta de interface de usuário gráfica que ajuda administradores de empresas a criar correções de compatibilidade de programas para aplicativos anteriores ao Windows Vista.

  • Sdbinst.exe: Uma ferramenta de linha de comando que ajuda administradores a instalar correções de compatibilidade de aplicativos anteriores ao Windows Vista.

  • Standard User Analyzer: Uma ferramenta de interface de usuário gráfica que ajuda administradores de empresas a identificar aplicativos sem problemas de compatibilidade de aplicativos.

Use o fluxo de trabalho a seguir para identificar dependências administrativas em aplicativos e marcar aplicativos com níveis de execução solicitada:

noteObservação
Para obter mais informações sobre as marcações corretas para aplicativos, consulte a seção "Marcando aplicativos com níveis de execução solicitados para compatibilidade de aplicativos", neste documento.

Etapa 1: Instalar Application Verifier.

O Application Verifier é um download gratuito do site da Microsoft (http://go.microsoft.com/fwlink/?LinkId=41326). O Application Verifier é um pré-requisito para a instalação do Microsoft Standard User Analyzer, que é parte do Application Compatibility Toolkit.

Etapa 2: Instalar o Application Compatibility Toolkit 5.0.

O Application Compatibility Toolkit 5.0 é um download gratuito do site da Microsoft (http://go.microsoft.com/fwlink/?LinkId=23302).

Etapa 3: Usar o Standard User Analyzer para identificar aplicativos administrativos anteriores ao Windows Vista que não funcionam corretamente no Windows Vista.

O procedimento a seguir ilustra como identificar aplicativos administrativos anteriores ao Windows Vista que não funcionam corretamente no Windows Vista com o Standard User Analyzer.

Para identificar problemas de compatibilidade de aplicativos em aplicativos anteriores ao Windows Vista
  1. Faça logon em um computador do Windows Vista como usuário padrão.

  2. Clique em Iniciar, clique em Programas, em Microsoft Application Compatibility Toolkit 5.0, clique em Developer and Tester Tools e em Standard User Analyzer.

  3. No Standard User Analyzer, em Target Application, especifique o caminho completo do diretório de um aplicativo a ser testado, ou clique no botão Procurar para localizar o arquivos executável do programa com o Windows Explorer.

  4. Clique em Iniciar e forneça credenciais de administrador no prompt de credenciais do Controle de Conta de Usuário.

  5. Depois que o aplicativo de teste for iniciado, execute tarefas administrativas padrão nele e feche-o quando tiver concluído.

  6. No Standard User Analyzer, examine o resultado em cada guia. Use esses dados para identificar problemas de compatibilidade que o programa possa apresentar.

Você também pode executar testes do Application Verifier como administrador em caso de uma grave de privilégios. Por exemplo, se o aplicativo em execução como não-administrador encontrar uma violação de acesso resultando na finalização do aplicativo, você terá testado apenas os caminhos de código até a violação de acesso. Se você executar o mesmo aplicativo como administrador você pode, em alguns casos, ignorar a violação de acesso e exercer os caminhos de código restantes. Os logs mostrarão essas operação que normalmente teriam falhado como usuário padrão.

Etapa 4: Determinar o nível de execução solicitado de cada aplicativo.

Use os dados coletados na etapa três para determinar o nível de execução solicitado correto para o aplicativo.

noteObservação
Para determinar que nível de execução solicitado é o melhor para o aplicativo, consulte a seção Marcando um aplicativo com um nível de execução solicitado.

ImportantImportante
Especifique apenas um nível de execução solicitado que permita que o aplicativo seja executado corretamente no WIndows Vista e evite solicitar acesso administrativo supérfluo com um nível de execução solicitado mais alto.

Depois de identificar os problemas de compatibilidade de um aplicativo com o Application Verifier, use o procedimento seguir para marcar o aplicativo com um nível de execução solicitado.

Etapa 5: Executar o programa Administrador de Compatibilidade para criar um banco de dados de correção de compatibilidade de aplicativo.

Esse procedimento é gravado com a configuração Controle de Conta de Usuário: comportamento do prompt de elevação para administradores no Modo de Aprovação de Administrador definida como Solicitar consentimento.

Para marcar um aplicativo administrativo com o Compatibility Administrator
  1. Efetue logon em um computador do Windows Vista como administrador em Modo de Aprovação de Administrador.

  2. Clique em Iniciar, Todos os Programas e Acessórios. Em seguida, clique com o botão direito em Prompt de Comando e selecione Executar como administrador e clique em Continuar no prompt de elevação do Controle de Conta de Usuário.

  3. No Prompt de comando, digite "C:\program files\Microsoft Application Compatibility Toolkit\Compatibility Administrator\Compatadmin.exe" e pressione Enter.

  4. No Compatibility Administrator, clique no ícone Fix.

  5. Na página Create new Application Fix, em Program information, insira o nome do programa em Name of the program to be fixed, insira o nome do fornecedor em Name of the vendor for this program, insira o local do arquivo do programa em Program file location, e clique em Next.

  6. Em Compatibility Modes, selecione None e clique em Next.

  7. Em Compatibility Fixes, selecione o nível de execução solicitado desejado e clique em Avançar.

  8. Em Matching Information, selecione as informações correspondentes para o aplicativo e clique em Finish.

  9. Clique em Arquivo e em Salvar.

  10. Digite um nome para o banco de dados de compatibilidade de aplicativos e clique em OK.

  11. Em SavedatabaseName, selecione um nome para o arquivo de banco de dados e clique em Save.

noteObservação
Selecionar SIZE e PE_CHECKSUM na página Matching Information do assistente Create New Application Fix garantirá que a correção do aplicativo não seja indevidamente aplicada a outros aplicativos que possam ter o mesmo nome que o aplicativo de destino.

noteObservação
Escolha um nome descritivo para ajudar a identificar a correção de compatibilidade de aplicativo. O nome fornecido aqui será exibido em Programas e Recursos no Painel de Controle depois que a correção de compatibilidade de aplicativo for instalada com a ferramenta de linha de comando sdbinst.exe.

noteObservação
Cada banco de dados de compatibilidade de aplicativos pode conter uma ou mais correções de compatibilidade de aplicativos para os aplicativos de destino.

Etapa 6: Instalar a correção de compatibilidade de aplicativo em um computador de testes com o comando sdbinst.exe.

Para instalar a correção de compatibilidade de aplicativo
  1. Clique em Iniciar, Todos os Programas e Acessórios. Em seguida, clique com o botão direito em Prompt de Comando e selecione Executar como administrador e clique em Continuar no prompt de consentimento do Controle de Conta de Usuário.

  2. No Prompt de Comando, digite "cd %windir%" e clique em Enter.

  3. No Prompt de Comando, digite "sdbinst.exe databaseName.sdb" e clique Enter.

Removendo uma correção de banco de dados de compatibilidade de aplicativos

Um administrador pode remover entradas de banco de dados de compatibilidade de aplicativos instaladas anteriormente usando Programas e Recursos no Painel de Controle. Desinstalar entradas de banco de dados de compatibilidade de aplicativos é útil se um aplicativo não for mais usado no ambiente mas se a correção ainda estiver presente, ou se a própria correção de compatibilidade precisar ser modificada.

Para remover uma correção de compatibilidade de aplicativo
  1. Efetue logon em um computador do Windows Vista como administrador em Modo de Aprovação de Administrador.

  2. Na Página Inicial do Painel de Controle, em Programas, selecione Desinstalar um programa e clique em Continuar no prompt de consentimento do Controle de Conta de Usuário.

  3. Clique com o botão direito na correção de compatibilidade do aplicativo e selecione Remover.

Implantando correções de compatibilidade de aplicativos com a Diretiva de Grupo

Esta seção descreve como implantar as correções de compatibilidade de aplicativos criadas na seção Executando compatAdmin.exe com a Diretiva de Grupo. O departamento de TI pode executar as seguintes etapas:

  1. Criar um instalador personalizado em script VBScript (Microsoft Visual Basic).

  2. Criar um pacote do Windows Installer para cada banco de dados .sdb.

  3. Assinar o pacote do Windows Installer com Authenticode.

  4. Testar o pacote do Windows Installer.

  5. Implantar o pacote do Windows Installer com a Diretiva de Grupo.

Criar um instalador personalizado em script VBScript (Microsoft Visual Basic)

Antes de criar o o pacote do Windows Installer, o departamento de TI deve criar um VBScript que executará a instalação personalizada. Esse processo só precisa ser feito uma vez, e o mesmo arquivo de script pode ser usado para todos os outros pacotes do Windows Installer.

A seguir, um exemplo de script:

'-------------------------------------------------------------------------------------- '  Filename         : setsdb.vbs '  Description      : Installs SDB entry in appcompat database '  Version          : 1.0 '-------------------------------------------------------------------------------------- ' History: '   07-19-2005:  Created version 1.0

dim Ws myCmdArgs = Session.Property("CustomActionData") setDir = "%ComSpec% /C sdbinst.exe -q " & chr(34) & myCmdArgs & chr(34) set Ws = CreateObject("WScript.Shell") retval = Ws.Run( setDir, 2, true )

Criar um pacote do Windows Installer para cada banco de dados .sdb com o Visual Studio 2005

O exemplo a seguir mostra como criar um pacote do Windows Installer para implantar as correções de compatibilidade de aplicativos usando o Microsoft Visual Studio 2005.

Para criar o pacote do Windows Installer
  1. Clique em Iniciar, Todos os Programas e clique duas vezes em Visual Studio 2005.

  2. No Visual Studio, clique em Arquivo (Arquivo) e clique em New Project (Novo projeto).

  3. Na página New Project, expanda Other Projects (Outros Projetos) e selecione Setup and Deployment Project (Projeto de Instalação e Implantação) no painel da esquerda. Selecione Setup Project (Configurar Projeto) no painel da direita, insira um nome para a implantação de correção de compatibilidade de aplicativo e clique em OK.

  4. Em Solution Explorer (Explorador de Soluções) no painel da direita, clique com o botão direito no nome do projeto de implantação, aponte para Add (Adicionar) e clique em File… (Arquivo).

  5. Em Add Files (Adicionar Arquivos), navegue até o local do arquivo de banco de dados .sdb e clique em Open (Abrir).

  6. Repita as etapas 4 e 5 e adicione o nome do VBScript de ação personalizado criado anteriormente.

  7. Em Solution Explorer (Explorador de Soluções) no painel da direita, clique com o botão direito no nome de seu projeto de implantação, aponte para View (Visualizar) e clique em Custom Actions (Ações Personalizadas).

  8. Na guia Custom Actions, clique com o botão direito na pasta Commit (Confirmar) e clique em Add Custom Action (Adicionar Ação Personalizada).

  9. Em Select Item in Project (Selecionar Item do Projeto), clique duas vezes na pasta Application (Aplicativo), selecione o arquivo VBScript e clique em OK.

  10. Clique com o botão direito na ação Commit chamada setsdb.vbs no painel da esquerda e clique na janela Properties (Propriedades).

  11. Adicione alinha a seguir à propriedade CustomActionData: [ProgramFilesFolder][Manufacturer]\[ProductName]\[FILENAME].sdb.

    noteObservação
    Não há uma barra invertida (\) entre [ProgramFilesFolder] e [Manufacturer]

  12. No menu File (Arquivo), clique em Build (Criar) e, em seguida, clique em BuildSolution (Solução). Depois que a criação for concluída, o pacote do Windows Installer será adicionado à pasta de depuração.

Assinar o pacote do Windows Installer com Authenticode

Depois que o departamento de TI criar o pacote do Windows Installer, a Microsoft recomenda que ele seja assinado com Authenticode antes de ser implantado com a Diretiva de Grupo. Esse documento foi escrito presumindo-se que o departamento de TI já criou uma chave de assinatura para a empresa com a qual seus pacotes de implantação do Windows Installer poderão ser assinados. As ferramentas de assinatura e verificação usadas nos exemplos a seguir estão incluídas no Microsoft .NET Framework SDK (http://go.microsoft.com/fwlink/?LinkId=32131).

A seguir, um exemplo de como assinar o pacote do Windows Installer com a chave de assinatura da empresa:

signcode –v <path>yourkey.pvk –spc <path>yourkey.spc (deployment package).msi

Para incluir um carimbo de data e hora na assinatura, inclua o seguinte parâmetro na linha de comando:

–t http://timestamp.verisign.com/scripts/timstamp.dll 

O departamento de TI pode verificar a assinatura com o seguinte comando:

ckhtrust (pacote de implantação).msi

Se o arquivo for validade e o certificado de assinatura for conectado a um certificado de um editor confiável de seu ambiente, chktrust.exe retornará simplesmente um código de sucesso.

Você pode encontrar informações adicionais sobre a Tecnologia Microsoft Authenticode no MSDN (http://go.microsoft.com/fwlink/?LinkId=71361).

Testar o pacote do Windows Installer

Depois que o departamento de TI tiver criado o pacote do Windows Installer, é possível testá-lo, copiando o arquivo do Windows Installer em um computador de destino e clicando duas vezes nele para abrir o Assistente de Configuração do Microsoft Windows. O procedimento a seguir é um exemplo de como testar um pacote do Windows Installer.

Para testar o pacote do Windows Installer
  1. Localize o arquivo do Windows Installer (.msi) e clique duas vezes no arquivo para iniciar a instalação.

  2. Na página [NameofWindowsInstallerPackage] Selecionar Pasta de Instalação, selecione a pasta de instalação e clique em Avançar.

  3. Na página Confirmar Instalação, clique em Avançar.

  4. Na página Instalação Concluída, clique em Fechar.

  5. Clique em Iniciar e em Painel de Controle. Em seguida, clique duas vezes em Programas e Recursos.

  6. No painel de controle Programas e Recursos, verifique se as entradas do instalador de correção de compatibilidade de aplicativo e da correção de compatibilidade de aplicativo estão presentes.

Implantar o pacote do Windows Installer com a Diretiva de Grupo

Usando a Diretiva de Grupo, o departamento de TI pode garantir que qualquer correção de compatibilidade de aplicativo criada possa ser implantada em todas as máquinas clientes automaticamente. Esta seção contém as etapas básicas que o departamento de TI pode usar para configurar essa implantação. Você pode encontrar informações adicionais sobre implantações com a Diretiva de Grupo na Technet (http://go.microsoft.com/fwlink/?LinkId=71349).

A primeira etapa é colocar o pacote de implementação do Windows Installer em um compartilhamento de arquivos disponível para todos os computadores que devem receber a correção. Pode ser todo o domínio ou restrito a OUs (unidades organizacionais). A Microsoft recomenda que o departamento de TI verifique se o pacote do Windows Installer tem a entrada da ACL (Lista de Controle de Acesso) correta no compartilhamento de arquivos para permitir acesso somente aos computadores apropriados.

Execute o procedimento a seguir depois que o arquivo do Windows Installer estiver no lugar. Faça logon como Administrador do Domínio para executar este procedimento.

Adicionar a Diretiva de Grupo ao Active Directory
  1. Clique em Iniciar, aponte para Todos os programas, para Ferramentas administrativas e, em seguida, clique em Active Directory Users and Computers.

  2. Clique com o botão direito no nome do domínio no painel do console (à esquerda) e clique em Propriedades.

  3. Na página Propriedades, clique na guia Diretiva de grupo.

  4. Na guia Diretiva de Grupo, clique em Novo e adicione um nome para o novo GPO (objeto de diretiva de grupo).

  5. Destaque o novo GPO e clique em Propriedades.

  6. Como as correções de compatibilidade de aplicativo estão sendo aplicadas nos computadores do domínio e não nos usuários, marque a caixa de seleção Desabilitar configurações de usuário. Se aparecer uma caixa de diálogo de confirmação, clique em Sim.

  7. Clique na guia Segurança e adicione todas as ACLs necessárias para permitir acesso aos computadores do domínio. Verifique se Ler e Aplicar Diretiva de Grupo estão selecionados e clique em OK.

  8. Na página Propriedades, clique em Editar.

  9. No Editor de Objeto de Diretiva de Grupo, no painel do Console, expanda Configuração de Computadores, expanda Configurações de Software.

  10. No painel de detalhes, clique com o botão direito em Instalação de software, clique em Novo e clique em Pacote.

  11. Selecione o pacote a ser implantado na caixa de diálogo Abrir, e clique em Abrir.

  12. Em Implantar Software, selecione Atribuído e clique em OK.

  13. Feche o Editor de objeto de diretiva de grupo.

  14. Feche a página Propriedades.

  15. Saia de Grupos e usuários do Active Directory.

noteObservação
A Etapa 12 do procedimento anterior faz com que o pacote seja instalado nos computadores de destino sem necessidade de nenhuma interação dos usuários. O pacote do Windows Installer selecionado será então exibido no Editor de objeto de Diretiva de Grupo.

Testando e verificando a implantação do Windows Installer

Use o procedimento a seguir para testar a implantação do Windows Installer.

Para testar a implantação do Windows Installer
  1. Reinicie um computador associado ao domínio.

  2. Antes que a tela de logon do usuário apareça, a Diretiva de Grupo automaticamente instalará o pacote do Windows Installer no computador.

Use o procedimento a seguir para verificar a implantação do Windows Installer.

Para verificar a implantação do Windows Installer
  1. Efetue logon em um computador em que você executou o procedimento anterior como administrador em Modo de Aprovação de Administrador.

  2. Clique em Iniciar e clique em Painel de Controle.

  3. Na Página Inicial do Painel de Controle, clique em Programas e em Programas Instalados.

  4. Em modificar ou remover um programa, verifique se o pacote do Windows Installer e o banco de dados de compatibilidade de aplicativo está instalado.

Resumo

O UAC oferece uma nova abordagem na melhoria da segurança de computadores, mudando fundamentalmente a maneira como aplicativos interagem com um sistema operacional e seus arquivos. A Microsoft está trabalhando com desenvolvedores para continuar inovando e criando tecnologias para minimizar o impacto de malware. Com o UAC e usando o Windows como usuário padrão, as organizações e usuários finais estarão consideravelmente menos suscetíveis a vulnerabilidades de segurança que comprometem o sistema. Com o lançamento do Windows Vista, a Microsoft desenvolver um mecanismo para execução de aplicativos em modo de usuário padrão e para executar tarefas de configuração do sistema operacional comuns que normalmente exigiriam um token de acesso total de administrador.

Comentários

Envie comentários sobre este ou outros documentos do UAC para a lista de comentários de documentação do Controle de Conta de Usuário. A equipe do UAC fará todo o possível para tratar de suas questões e comentários.

Mais informações sobre o UAC

  • Desenvolvedores interessados em saber como projetar seus aplicativos para que funcionem melhor com o UAC devem ler o documento Requisitos de desenvolvimento do Windows Vista para compatibilidade com o Controle de Conta de Usuário no MSDN (http://go.microsoft.com/fwlink/?LinkId=66021).

  • O documento Introdução ao Controle de Conta de Usuário do Windows Vista na TechNet (http://go.microsoft.com/fwlink/?LinkID=66021) foi produzido para oferecer informações sobre o UAC para executivos de Informação e tomadores de decisão em TI, bem como fornecer informações para laboratórios de testes.

  • O blog da equipe do UAC (http://go.microsoft.com/fwlink/?LinkID=62676) contém informações para ISVs, profissionais de TI, e qualquer pessoa interessada em saber mais sobre o UAC. Comentários e perguntas são bem-vindos.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft