Windows Vista

Realize o sonho não-administrador com o controle de conta do usuário

Alex Heaton

Visão geral:

• Por que você não fazer a execução como?
• Resolvendo problemas de tentativa de execução como um usuário padrão
• Como funciona o controle de conta do usuário?

Poucos usuários com privilégios de administrador é o objetivo da maioria das organizações de TI. Mas, apesar de os administradores de TI geralmente concordarem que restringir os usuários a uma conta de usuário padrão seja o caminho certo, aproximadamente 80 por cento implantam seus desktops com contas de administrador, tornando essas máquinas

mais suscetíveis a malware e difíceis de gerenciar. Mas não é tão fácil evitar a conta de administrador. Os obstáculos em potencial que você enfrentará são inúmeros.

Primeiramente, há a compatibilidade de aplicativos. Como muitos aplicativos foram escritos e testados usando contas de administrador, é possível que não consigam ser executados em contas padrão. (Esse é o caso mais freqüente, pois os aplicativos tentam gravar em áreas restritas, como o diretório Arquivos de programas ou chaves de registro HKLM.)

Segundo, as versões mais antigas do Windows ® eram exageradamente restritivas quanto às definições que os usuários podiam configurar. Os usuários padrão não podiam alterar o fuso horário, as definições de energia, conectarem-se a redes seguras sem fio ou instalar controles ActiveX® sem chamar o helpdesk, o que tem custos associados.

Felizmente, o Windows Vista™ cuida dessas questões. E mesmo que os usuários não possuam contas admin, o Controle de conta do usuário (UAC) e outras tecnologias de gerenciamento no Windows Vista tornam mais fácil suportar e gerenciar esses desktops, promover maior produtividade para usuários padrão e fazer tudo isso sem a perda de segurança resultante da modificação de listas de controle de acesso (ACLs) – o método mais comum de fornecer maior acesso personalizado aos usuários. Vamos analisar melhor como o Windows Vista cuida de algumas questões de controle de acesso.

Virtualização aumenta a compatibilidade

Muitos aplicativos não executados como usuário padrão no Windows XP podem ser executados sem modificação no Windows Vista devido aos recursos de File and Registry Virtualization. No Windows XP, muitos aplicativos não funcionam quando tentam gravar em áreas protegidas do sistema de arquivos e registro, aos quais o usuário padrão não tem acesso. O Windows Vista aprimora a compatibilidade redirecionando gravações (e as leituras subseqüentes de arquivos e registro) para um local especial dentro do perfil do usuário. Por exemplo, se um aplicativo tentar gravar em C:\arquivos de programas\contoso\settings.ini e o usuário não tiver permissão de acesso para gravar nesse diretório, a gravação será redirecionada para C:\Usuários\nomedo usuário\Dados de Aplicativos\Local\VirtualStore\Arquivos de Programas \contoso\settings.ini. Se um aplicativo tentar gravar em HKLM\Software\Contoso\ a ação será automaticamente redirecionada para HKCU\Software\Classes\VirtualStore\MACHINE\Software\Contoso. Figura 1 exemplo de processo de redirecionamento. Além disso, o programa Certified for Windows Vista Software Logo exigirá que um aplicativo seja executado como usuário padrão sem a virtualização; caso contrário, o logotipo não será concedido ao aplicativo.

Figura 1** Processo de Virtualização de arquivos e do registro **

Usuários padrão podem obter mais vantagens

No Windows Vista, as contas de usuário padrão têm mais privilégios, de forma que os usuários podem desempenhar tarefas comuns sem o suporte do helpdesk e sem ter o conjunto completo de permissões concedido pela conta de administrador. Os novos privilégios incluem a habilidade de visualizar o relógio e calendário do sistema, de alterar o fuso horário, de modificar as configurações de segurança da rede sem fio, de alterar as configurações do gerenciamento de energia e de baixar e instalar atualizações importantes do Windows Update.

Além disso, a desfragmentação de disco é um processo automaticamente programado pelo Windows Vista. Ações que exijam privilégios de administrador são indicadas com um ícone de escudo, de forma que os usuários possam ver quais alterações de configuração podem ou não executar.

Instalação do controle ActiveX

Os controles ActiveX pode ser especialmente difíceis de gerenciar de maneira central, pois podem ser atualizados com freqüência e precisam ser reempacotados antes de serem distribuídos por meio de um programa de distribuição de software, como o Systems Management Server (SMS) ou Diretiva de grupo. O Windows Vista inclui um componente opcional chamado ActiveX Installer Service, que permite que os administradores de TI usem a Diretiva de grupo para especificar os sites a partir dos quais os usuários padrão têm permissão de instalar controles ActiveX. Para usar o ActiveX Installer Service, faça o seguinte:

1. Habilite o serviço de instalação ActiveX nos computadores clientes. Você pode habilitar o serviço por meio do applet Windows Features Control Panel ou quando configurar a imagem do desktop.
2. Na Diretiva de grupo de diretório ativo, em Computer Configuration | Administrative Templates | Windows Components, selecione ActiveX Installer Service. Selecione Enable. Agora, após a diretiva ser replicada aos usuários, eles conseguirão instalar controles a partir dos locais especificados.

Uma vez que os controles ActiveX e outro código executável possam executar tarefas mal-intencionadas, use esse recurso com parcimônia; use-o apenas para fornecedores em quem você confia e apenas em sites de intranet e sob controle restrito.

O ActiveX Control Installer Service também está integrado à Eventing Infrastructure do Windows Vista, portanto você pode ser notificado automaticamente se houver controles ActiveX que os usuários precisam instalar. Quando um usuário padrão tenta instalar um controle não aprovado, o serviço cria um evento no log do aplicativo. No Windows Vista, as tarefas podem ser configuradas para enviar um e-mail automaticamente ou executar outro programa tão logo um evento seja acionado. Então, você saberá quando um usuário precisa de um controle e você poderá adicionar o site à Diretiva de grupo sem que o usuário sofra um tempo de espera significativo. Com o Windows Vista, você também pode assinar eventos a partir de várias máquinas na empresa e gerar uma lista de todos os controles que seus usuários estão tentando instalar.

Instalação do driver de dispositivo de hardware

Preocupações de que os usuários não conseguirão instalar drivers de dispositivos necessários em viagem é outro motivo pelo qual as permissões de administrador permanecem populares, especialmente em relação a usuários de laptop. A nova infraestrutura de Driver Store do Windows Vista facilita isso permitindo controle flexível sobre dispositivos que os usuários padrão podem instalar. Primeiramente, você pode preencher o Driver Store com drivers confiáveis, de forma que os usuários possam instalar dispositivos permitidos à medida que precisarem. Em segundo lugar, você pode usar a Diretiva de grupo para conceder aos usuários padrão permissões para instalar classes de dispositivos, como impressoras, ou mesmo IDs de dispositivos de hardware específicos, como drives flash permitidos.

Como o Driver Store do Windows Vista Driver é um cache confiável de drivers prontos para usar e de terceiros no disco rígido de cada máquina cliente, os usuário podem instalá-los sem os privilégios de administrador. Para armazenar drivers no Driver Store, você pode injetá-los em imagens offline ou atualizar dinamicamente os drivers para clientes online na rede. Para imagens offline, use o Gerenciador de Pacotes para armazenar drivers diretamente no Driver Store.

Para imagens online, use os utilitários de linha de comando, como pnputil.exe ou DevCon em conjunto com os aplicativos de distribuição de software para adicionar, atualizar ou excluir drivers do Driver Store. Para dinamizar e adicionar flexibilidade ao processo de armazenagem de drivers, o Windows Vista permite que os departamentos de TI e terceiros possam indicar a integridade do pacote de driver.

Por padrão, apenas usuários com direitos de administrador podem adicionar novos drivers ao Driver Store. Mas existe uma necessidade importante para os usuários, principalmente usuários móveis, de instalar dispositivos como impressoras enquanto estão fora do escritório. Com as novas definições de Diretivas de grupo, o Windows Vista permite que você ofereça aos usuários a flexibilidade necessária para instalar dispositivos permitidos, mesmo se os drivers não estiverem armazenados no Driver Store. Para delegar privilégios de armazenagem de driver de dispositivo, abra a interface da Diretiva de grupo e navegue em Computer Configuration | Administrative Templates | System | Driver Installation | Allow non-administrators to install drivers for these devices. Você precisará conhecer a interface com o usuário das classes de dispositivo que deseja que os usuários armazenem e instalem. Você pode localizar as classes de dispositivo (em inglês) online em MSDN® ou se o dispositivo estiver instalado em sua máquina, vá para Device Manager | janela Properties. Clique na guia Detalhes e selecione a opção de caixa de lista suspensa Device Class GUID. Você também precisa garantir que os certificados usados para indicar os drivers já estejam em Trusted Publishers na máquina cliente, os quais podem ser gerenciados via Diretiva de grupo.

Esses avanços no Windows Vista oferecem, aos usuários padrão, a flexibilidade necessária na instalação do dispositivo, de forma que você possa mover os usuários para um ambiente de desktop gerenciado.

Níveis de travamento de desktop

Mesmo com esses aprimoramentos no Windows Vista OS, nem toda a organização conseguirá implantar o Windows Vista nos desktops com permissões de usuário padrão. Algumas organizações podem ter aplicativos que ainda necessitem de privilégios de administrador ou podem ter usuários, como desenvolvedores, que precisam instalar o próprio software. Tudo bem. O Windows Vista permite vários níveis de controle de desktop, configuráveis por meio da seleção de conta do usuário de da Diretiva de grupo, sendo que todos oferecem mais poder de gerenciamento e segurança do que uma conta de administrador completa do Windows XP. A maioria das definições de sistema relevantes para definições de UAC podem ser encontradas no Security Policy Editor (secpol.msc), mostrado na Figura 2.

Figura 2** Editor de Diretiva de segurança **(Clique na imagem para aumentar a exibição)

O primeiro nível de controle é chamado de Admin Approval Mode. Esse modo reduz o risco de ataques de alguns tipos de malware iniciando programas com privilégios de usuário padrão e alertando o usuário se um programa estiver tentando ser executado com privilégios de administrador. Nesse modo, você pode executar auditorias por meio do registro de evento quando o usuário executa um programa que necessite de direitos de administrador. Mas lembre-se de que, enquanto um aplicativo pode ser executado com privilégios de usuário padrão, esse modo não oferece a mesma segurança do que uma conta genuína de usuário padrão. O usuário ainda possui privilégios de administrador e pode alterar as definições de diretiva, instalar software não aprovado e permitir que o malware, como rootkit, seja instalado.

O próximo nível é criado sobre o primeiro, mas usa a Diretiva de grupo para restringir a elevação a programas indicados com um certificado armazenado em Trusted Publishers. Isso pode ajudar a evitar que malware não indicado obtenha privilégios de administrador e evitar que os usuários instalem software não autorizado. Entretanto, ao ser executado em contas de administrador, usuários astutos e inescrupulosos ou malware sofisticado podem desabilitar a diretiva, pelo menos temporariamente, para executar ações não autorizadas. Portanto, esses primeiros dois níveis devem ser usados como medidas temporárias, na resolução de quaisquer problemas que impeçam o uso de contas genuínas de usuário padrão.

O próximo nível de segurança provém da remoção de usuários de contas de administrador, tornando-os usuários padrão. Um recurso do UAC é chamado de Over the Shoulder Credentials Dialog, que os usuários padrão podem visualizar por padrão se iniciarem um programa que exija credenciais de administrador. Os usuários padrão são impedidos de executar essa ação, mas se souberem o nome e a senha de usuário de um administrador, eles poderão inseri-los e prosseguir com a ação. Um cenário típico no qual esse recurso pode ser usado envolve o usuário que viaja com um laptop. Se, por exemplo, o usuário estiver viajando e precisar instalar urgentemente um programa, ele poderá chamar o helpdesk que fornecerá a senha de uma conta local de administrador, em que o usuário poderá inserir e permitir que o programa seja executado (veja a Figura 3). Se você fornecer a senha do administrador ao usuário, recomendo que tenha processos e ferramentas para redefinir a senha do administrador quando o usuário reconectar-se à rede e que você registre os programas executados com as credenciais de administrador. Esteja ciente de que se o PC for infectado por malware, o administrador poderá ser induzido a conceder privilégios demonstrativos ao malware que não pretendia conceder.

Figura 3** Exigência de uma senha de administrador **(Clique na imagem para aumentar a exibição)

Você também tem a opção de desativar a caixa de diálogo de credenciais usando a Diretiva de grupo. Defina o Controle de conta do usuário: O comportamento do prompt de elevação da definição de usuários padrão como Automocatically indefere as requisições de elevação (consulte Figura 4). É por isso que recomendamos que a maioria das empresas que implantam desktops de usuário padrão configurem a UAC. A maioria das organizações devem fazer isso para impedir que o usuário peça ao helpdesk uma senha que o departamento de TI não quer que ele possua.

Figura 4** Aplicativo bloqueado por Diretiva de grupo **(Clique na imagem para aumentar a exibição)

Para o nível mais alto de travamento do desktop, você pode usar a UAC e contas de usuário padrão combinados com as Windows Software Restriction Policies (SRP). Com as SRP, as empresas podem se prevenir e evitar que qualquer software não especificamente permitido seja executado. As SRP são projetadas para bloquear a execução de software a menos que ele atenda a critérios específicos com base no certificado Authenticode®, hash, caminho ou zona da Internet. As SRP são gerenciadas por meio da Diretiva de grupo, e você pode criar uma diretiva muito poderosa para impedir a instalação e execução de programas não aprovados com pouco trabalho. Uma diretiva típica pode desaprovar todos os executáveis, exceto os encontrados nestes caminhos: %WINDIR% e %PROGRAMFILES% e aplicar diretivas a todos os usuários, exceto aos administradores.

Com essa diretiva em vigor, a equipe de TI pode ainda instalar qualquer programa no diretório Program Files sem ter de adicionar .exe a uma lista branca (uma lista de itens aceitos). E, como o usuário padrão não tem acesso a esses diretórios, ele não pode colocá-lo em um lugar onde será executado.

Você pode ter notado que não há menção ao grupo Usuário avançado. Isso porque o grupo Usuário avançado foi removido do Windows Vista. Algumas organizações usaram o grupo Usuários avançados na tentativa de limitar os privilégios do administrador. Tornar alguém um usuário avançado pode evitar que ele faça configurações de sistema não aprovadas, mas ele (ou malware sendo executado com credenciais de usuário avançado) pode obter direitos e permissões adicionais e até credenciais administrativas integrais. Por esse motivo, o Windows Vista possui administrador e usuário avançado como os dois tipos de contas principais.

Infraestrutura de gerenciamento de desktop

Usar File and Registry Virtualization, a nova infraestrutura de Driver Store e outros recursos mencionados facilitará a implantação do Windows Vista nos desktops com contas de usuário padrão. Mesmo com essas técnicas, entretanto, você não conseguirá suportar integralmente um ambiente de usuário padrão, a menos que possua uma estrutura de gerenciamento – ferramentas, processos e pessoas – para suportar usuários que não possam fazer isso sozinhos. Algumas das questões que você precisa levar em consideração são:

Instalação de software Se os usuários não conseguirem instalar o software, você precisar oferecer uma outra maneira. Algo que não requer gerenciamento de software, é usar a Diretiva de grupo. Com a Diretiva de grupo, você pode adicionar um programa à lista Adicionar ou remover programas. Se o usuário instalar um programa usando esse método, ele iniciará as permissões privilegiadas necessárias para que o usuário conclua a instalação. Para uma obter solução mais elaborada, você pode usar SMS ou um produto semelhante. Algumas soluções permitem que você crie portais Web de auto-atendimento, nos quais os usuários padrão podem selecionar o software que desejam instalar.

Atualização de software Você precisará ter uma forma de instalação de atualizações em seu PC, diferente daquela de enviar um e-mail dizendo “Instale esta atualização”. Para gerenciar e implantar a maioria das atualizações Microsoft, você pode usar o Windows Server Update Services, um download gratuito do Windows Server. Para implantar um grande número de atualizações, considere um produto de gerenciamento de desktop como o SMS.

Suporte à equipe e processos Quando um usuário aciona o helpdesk com algo que esteja causando um problema de desempenho ou algo novo deseja instalar, em muitos casos você não conseguirá reportar o processo por telefone, pois é possível que ele não tenha as permissões. Seu departamento de TI precisará usar melhor as ferramentas de assistência e administração remotas para diagnosticar problemas e alterar configurações. Até o Windows Remote Assistance trabalhará de maneira diferente, porque ao efetuarem logon, os usuários padrão não poderão aprovar os prompts de ações que necessitem de privilégio de administrador. Assim sendo, a equipe de helpdesk poderia usar o Remote Desktop para efetuar alterações administrativas remotamente.

Será importante ter processos definidos e eficientes para lidar com as exceções da diretiva. Digamos que alguém no departamento de marketing precisa instalar uma versão de teste de uma nova ferramenta de design gráfico que esteja sendo avaliada para o departamento. Quem dá a aprovação para instalação do software – o gerente, o diretor ou CIO? Como o software será instalado e quanto tempo será necessário esperar? Sugerimos que você crie um fluxo de trabalho que esteja integrado ao sistema de controle de problemas do helpdesk. Um fluxo de trabalho básico seria:

1. O usuário envia a requisição para instalar um programa e o link para o programa de instalação (ou o local no disco rígido ou no CD) e confirma que o software não foi obtido ilegalmente e não está sendo usado para fins mal-intencionados.
2. A requisição é enviada ao gerente para aprovação.
3. A requisição é encaminhada ao departamento de TI que pode assegurar que não há problemas de compatibilidade conhecidos, executar uma verificação de vírus e certificar-se de que a empresa não adquiriu uma licença para aquele programa ou outro similar de outro fornecedor.
4. A requisição é encaminhada ao técnico de suporte para que a instalação seja iniciada remotamente e o usuário seja notificado de que o software já está pronto para utilização.

Para criar uma interface de fluxo de trabalho, você pode usar páginas da Web de script dinâmico ou obter um helpdesk comercial ou pacote de controle de problemas. Você também precisará de uma equipe diferente para um ambiente gerenciado e não gerenciado. Felizmente, você precisará de menos técnicos para fazer diagnósticos fisicamente ou restaurar PCs instáveis ou infectados. Entretanto, convém alocar inicialmente uma equipe adicional para distribuição e implantação de software.

Ao longo dessa jornada, você deve obter menores custos de suporte devido às máquinas ficarem estáveis por mais tempo, mas inicialmente haverá um aumento nas chamadas de helpdesk de usuários solicitando ajuda com a configuração. As chamadas de helpdesk cessarão após a configuração das imagens de desktop e diretivas de grupo com as configurações de que os usuários precisam e esperam.

Cultura

A questão final não é técnica, mas psicológica. Alguns usuários podem ter uma reação adversa à idéia de não terem privilégios de administrador. Mas acredito que a maioria dos usuários não notará a diferença. E, se você implantar o Windows Vista ao mesmo tempo em que impõe as contas de usuário padrão, os benefícios de produtividade da pesquisa de desktop integrada, a nova interface do usuário Aero™ (glass) e os aprimoramentos para usuários móveis superarão quaisquer inconvenientes provenientes de não ser um administrador. Entretanto, se processos ineficientes fizerem as pessoas esperarem por semanas para obter permissão para instalar um software, então você pode contar com funcionários infelizes.

Fundamentalmente, é responsabilidade do departamento de TI garantir a segurança dos ativos de PC, evitar o uso de software sem licença e reforçar o cumprimento dos regulamentos governamentais e diretivas internas. A maioria das empresas considerará que o único meio de fazer isso é adotar uma nova diretiva de restrição ao número de usuários com privilégios de administrador. Felizmente, você descobrirá que é mais fácil fazer isso com o Windows Vista.

Recursos adicionais

Para ajuda na redução de privilégios de administrador:

• Aaron Margosis’s Non-Admin blog—Running with Least Privilege on the Desktop (em inglês)
• User Account Control Team Blog (em inglês)
• User Account Control Overview (em inglês)
• Understanding and Configuring User Account Control (em inglês)
• Virtual Lab: User Account Control (em inglês)

Alex Heaton é gerente de produto sênior na equipe de segurança do Windows Vista. Anteriormente, ele era gerente-chefe dos sites de segurança da Microsoft, o que inclui microsoft.com/protect. Ele também contribui com o blog de equipe de controle de conta do usuário em blogs.msdn.com/uac.

© 2008 Microsoft Corporation e CMP Media, LLC. Todos os direitos reservados. A reprodução parcial ou completa sem autorização é proibida..