Контроль учетных записей пользователей

  • Статья

Дата публикации: февраль 2006

На этой странице

Введение Контроль учетных записей пользователей: функции и преимущества Практическое значение для разработчиков приложений Дополнительные компоненты безопасности Windows Vista Заключение

Введение

В сегодняшнем мире перед компаниями и отдельными людьми стоит сложная задача управления своими компьютерами в условиях постоянно растущих угроз безопасности. Администраторы в области ИТ и пользователи должны одновременно обеспечивать безопасность компьютеров и поддерживать требуемый уровень производительности. Компании должны найти решение, которое является устойчивым против атак и способно защитить конфиденциальность данных, их целостность и доступность.

Для тех пользователей, которые установили на свои компьютеры более раннюю по сравнению с Microsoft Windows Vista версию Microsoft Windows, большинство учетных записей пользователей являются членами группы локальных администраторов, так как привилегии администратора нужны, чтобы устанавливать, обновлять и запускать многие приложения без возникновения конфликтов, а также выполнять типовые задачи системного уровня. Даже такое простое действие, как щелчок мышью часов панели задач для отображения календаря требует привилегий администратора.

Предоставление конечным пользователям административных привилегий делает отдельные компьютеры и целые сети уязвимыми для вредоносных программ и увеличивает общую стоимость владения, потому что пользователи могут произвести несанкционированные изменения системы. Вредоносные программы могут использовать привилегии системного уровня, предоставленные локальному администратору, для повреждения файлов, изменения системной конфигурации и передачи конфиденциальных данных за пределы сети. К сожалению, развертывание компьютеров в заблокированном состоянии, с требованиями для пользователей работать в стандартном непривилегированном режиме, строго ограничивает производительность пользователей. Без прав локального администратора многие приложения не будут работать должным образом, поскольку они спроектированы так, чтобы в нормальном режиме работы записывать данные в системные папки.

Windows Vista В 2006 г. корпорация Майкрософт выпускает новую версию операционной системы Windows под названием Windows Vista. Windows Vista будет самой безопасной версией Windows, которая когда-либо была разработана корпорацией Майкрософт.

В Windows Vista главный акцент сделан на безопасность — фундаментальную часть концепции корпорации Майкрософт. Windows Vista обеспечивает простой и безопасный механизм для того, чтобы работать с учетными записями конечных пользователей, используя стандартные пользовательские привилегии и устраняя потребность в привилегиях администратора при выполнении общих задач, таких как установка драйвера принтера или соединение с безопасной беспроводной сетью. Этот фундаментальный сдвиг обеспечивает безопасность на уровне ОС, препятствуя повреждению файлов всей компании и параметров настроек вредоносными программами и пакетами, работающим с корневым каталогом.

Контроль учетных записей пользователей: повышение безопасности настольных компьютеров Основная цель функции контроля учетных записей пользователей состоит в том, чтобы уменьшить подверженность и доступность операционной системы атакам, требуя, чтобы все пользователи работали в стандартном непривилегированном режиме, и ограничивая использование уровня администратора для доступа к авторизованным процессам. Это ограничение минимизирует возможность пользователей вносить изменения, которые могут дестабилизировать компьютеры или случайно открыть сеть для вирусов через необнаруженные вредоносные программы, установленные на компьютере.

Используя контроль учетных записей пользователей, администраторы смогут запускать большинство приложений, компонентов и процессов с ограниченными привилегиями, но при этом иметь возможность предоставлять расширенные права для выполнения определенных административных задач и функций приложений.

И наоборот, когда пользователи запускают системную задачу, для которой требуются привилегии администратора, например программу установки приложения, Windows Vista уведомит об этом пользователя и будет требовать разрешения администратора. Этот тип запроса предупреждает случайные модификации пользователями своих настольных компьютеров. Это также поможет устранить опасность того, что вредоносная программа будет использовать привилегии администратора без уведомления об этом пользователя.

Переопределение пользовательских режимов Начиная с выпуска системы Windows 2000, способность вызывать приложения в качестве администратора и работать с ними в качестве стандартного пользователя была встроена в архитектуру Windows; при этом администраторами использовались такие функции как «Запуск от имени». Функция «Запуск от имени» предоставляет средство командной строки, которое администраторы могут использовать, чтобы запускать инструменты и программы с разрешениями, отличными от тех, которые предоставлены текущему зарегистрированному пользователю.

Это новое определение пользовательской модели теперь является постоянным свойством Windows. В результате разработчики приложений должны будут изменить способ работы своих приложений так, чтобы обычные пользователи могли выполнять свои основные задачи без использования административных привилегий. Чтобы облегчить это процесс, корпорация Майкрософт предоставит подробное руководство для разработчиков приложений. Дополнительные сведения см. на веб-странице Методы и руководства по работе с приложениями в среде с самыми низкими привилегиями на веб-узле MSDN.

Функция контроля учетных записей пользователей разработана с целью разделить истинные административные привилегированные задачи и стандартные задачи пользователей. Ниже приведен список некоторых служебных программ, для запуска которых по-прежнему требуются права администратора.

  • Установка программ

  • Повторное разбиение диска на разделы

  • Программное обеспечение управления предприятием

В системе Windows Vista разработчики приложений должны решить, какой из двух уровней привилегий нужен их приложению для выполнения определенных процедур. Если приложение не нуждается в административных привилегиях для задачи, оно должно быть написано так, чтобы требовать только стандартного набора разрешений непривилегированного пользователя. Например, стандартное пользовательское приложение должно записывать файлы данных только в несистемные папки, например в папку профиля пользователя, а не в папку Program Files.

К началу страницы

Контроль учетных записей пользователей: функции и преимущества

Стандартные привилегии пользователя В Windows Vista стандартным учетным записям пользователей даны дополнительные привилегии, чтобы пользователи могли выполнять общие задачи, не нуждаясь в поддержке службы помощи. Эти привилегии определены так, что оказывают минимальное влияние на систему и минимизируют риски, хотя администраторы при необходимости смогут ограничить эти привилегии. Теперь, используя стандартные учетные записи пользователей, в Windows Vista можно выполнять следующие действия.

  • Просмотр системных часов и календаря

  • Изменение часового пояса

  • Установка протокола Wired Equivalent Privacy (WEP) для подключения к безопасным беспроводным сетям

  • Изменение параметров настройки экрана

  • Изменение параметров управления питанием

  • Установка шрифтов

  • Добавление принтеров и других устройств, драйверы для которых уже установлены на компьютере или предоставлены администратором

  • Создание и настройка подключения к VPN

  • Загрузка и установка обновлений с помощью программы установки, совместимой с функцией контроля учетных записей пользователей

Кроме того, в Windows Vista дефрагментация диска теперь является автоматически запланированным процессом, и пользователям не нужно инициировать это действие.

Изменения пользовательского интерфейса, ориентированные на удобство работы стандартных пользователей В предыдущих версиях Windows пользователю, не обладавшему правами администратора, трудно было сразу определить, какие действия ему позволено выполнять, а какие нет. В Windows Vista эта неопределенность отсутствует, поскольку на всех командах операционной системы, которые требуют привилегий администратора, присутствует значок щита.

Рис. 1.  Значок щита уведомляет пользователей, что они не смогут изменить дату и время.

Виртуализация файловой системы и реестра В Windows Vista многие уже существующие приложения, которые не были спроектированы с учетом поддержки учетных записей пользователей со стандартными правами, могут выполняться без модификации, используя встроенное свойство виртуализации файлов и реестра. Виртуализация файлов и реестра предоставляет приложению его собственное «виртуальное» представление ресурса, которое оно пытается изменить, используя стратегии копирования при записи. Например, когда приложение пытается выполнить запись в файл в каталоге программных файлов, Windows Vista предоставляет приложению его собственную копию этого файла в профиле пользователя, обеспечивая правильную работу приложения.

Виртуализация также обеспечивает регистрацию по умолчанию для приложений, которые пытаются записывать данные в защищенные области.

Раннее тестирование уже существующих приложений, выполняющихся в стандартном непривилегированном режиме, с применением виртуализации файлов и реестра в среде Windows Vista показало перспективные результаты совместимости приложений. Хотя виртуализация позволяет запускать большинство уже существующих приложений, это временная мера, а не долгосрочное решение. Несоответствие требованиям функции контроля учетных записей пользователей может не только затронуть безопасность приложения, но и снизить его быстродействие, потребовать дополнительного обучения конечных пользователей и вызвать конфликты приложений.

Учетные данные по принципу «над плечом» (Over-the-Shoulder, OTS) Всякий раз, когда стандартные пользователи будут пытаться выполнить административную задачу, например установить программу, система будет запрашивать пароль администратора. Если пользователи знают локальный пароль администратора, они смогут его ввести или попросить помощи у администратора. Этот процесс называется регистрацией по принципу «над плечом» (Over-the-Shoulder, OTS). Администратор может отключить эту функцию, и тогда пользователь будет информирован о том, что он не имеет разрешения на выполнение этой операции.

Режим одобрения администратором: нужные привилегии в нужное время Чтобы защитить администраторов при выполнении неадминистративных операций, группа разработчиков Windows Vista включила в систему режим одобрения администратора. Этот режим \позволяет администраторам выполнять обычные ежедневные задачи, например проверять электронную почту или просматривать веб-страницы, используя стандартную учетную запись пользователя. Если для какой-либо операции будут необходимы привилегии администратора, то система уведомит об этом администратора и попросит предоставить свое согласие или учетные данные, в зависимости от настроек системной политики. Группа разработчиков Windows Vista называет такой подход «нужные привилегии в нужное время». Больше не требуется переключаться между стандартным пользователем и локальным администратором, и манипулировать двумя профилями пользователей.

Не требуется группа опытных пользователей Учетная запись, входящая в группу «Опытные пользователи», в предыдущих версиях Windows была предназначена для того, чтобы предоставить пользователям определенные привилегии администратора для выполнения базовых системных задач, в то время как выполняются прикладные программы. К сожалению, это решение позволило сократить сбои приложений, но не решило проблему: зачастую для работы приложений требуются ненужные привилегии.

Функция контроля учетных записей не использует режим опытных пользователей, потому что стандартные пользователи могут теперь выполнять большинство общих конфигурационных задач. Благодаря виртуализации файлов и реестра в Windows Vista устаревшие приложения, которым требуются административные привилегии в среде Windows XP, смогут работать без сбоев. Для новых приложений, которые уже соответствуют требованиям системы, требования контроля учетных записей пользователей определят правильный протокол для расположений файлов, изменений реестра и других общих задач.

Защита от атак типа Shatter, основанных на приложениях Работа в стандартном непривилегированном режиме улучшает защиту против непреднамеренного повреждения системы, вызванного атаками типа Shatter и вредоносными программами, такими как замаскированные вредоносные объекты, шпионское ПО и вирусы, которые трудно обнаружить. Атаки типа Shatter воздействуют на пользовательский интерфейс, используя систему обмена сообщениями Windows (способ обмена данными между приложениями и операционной системой Windows), чтобы привести в действие вредоносный код или изменить процессы управления. Первичная причина этой проблемы состоит в том, что любое приложение может послать сообщение любому другому приложению на этом же компьютере. Целевое приложение, получившее сообщение, не имеет возможности различить источник процесса или определить, уполномочено ли приложение посылать сообщение.

Этот класс нарушения является не единичной атакой, а скорее типом атаки. Каждый случай в отдельности не является критичным. Однако тот факт, что этот вектор атаки присутствует во многих приложениях, делает проблему намного более серьезной. Уязвимость состоит в самом способе, который используют разработчики, создающие приложения для Windows. Корпорация Майкрософт всегда рекомендовала, чтобы разработчики ПО воздерживались от использования системы передачи сообщений для высоко привилегированных приложений. К сожалению, многочисленные программные продукты все еще не используют эту основную меру защиты.

Приложения, удовлетворяющие требованиям контроля учетных записей пользователей, используют изолированные привилегии и снижают доступность операционной системы для атак, уменьшая общий набор привилегий и препятствуя запуску несанкционированных приложений без согласия пользователя. Строгие ограничения модели контроля учетных записей также затрудняют проникновение червей и вирусов в системы Windows, препятствуя отключению существующих мер безопасности стандартными пользователями, работающими в режиме администратора.

Средство User Account Control Predictor/Application Verifier Чтобы помочь разработчикам тестировать их программы на совместимость приложений, стабильность и безопасность в рамках модели контроля учетных записей пользователей, администраторы в области ИТ и разработчики приложений могут использовать следующие средства.

  • Программа проверки приложений. Представляет собой коллекцию тестов, используемых в процессе разработки приложений и тестирования. Программа проверки приложений отслеживает, как приложение использует операционную систему во время своей работы. После этого программа формирует руководство для устранения неполадок, которые она обнаружила, на уровне исходного кода.

  • User Account Control Predictor. Этот модуль является дополнением к программе проверки приложений, который предсказывает, будет ли приложение вести себя правильно, когда оно будет запущено стандартным пользователем.

    Account Control Predictor является встроенной функцией Windows Vista, которую можно установить и в предыдущих операционных системах Windows, чтобы независимые разработчики могли начать тестирование приложений на соответствие требованиям контроля учетных записей еще до выпуска системы Windows Vista.

Оба средства формируют журнал требований привилегированного доступа для приложений, которые обычно приводят к сбою приложения в стандартном непривилегированном режиме, что дает примерный план для внесения исправлений и достижения соответствия требованиям контроля учетных записей. Кроме того, можно использовать параметр Аудит отслеживания процессов (идентификатор события 592), чтобы определить, какие приложения выполняются в среде организации с повышенными привилегиями. Чтобы приложения, не соответствующие требованиям контроля учетных записей, не оказывали негативного влияния на работу пользователя Windows, корпорация Майкрософт рекомендует использовать эти средства для проверки всех компонентов и приложений.

Уменьшение общей стоимости владения и повышение безопасности Функция контроля учетных записей помогает администраторам в области ИТ осуществлять настраиваемое управление задачами конечного пользователя, такими как установка и настройка приложений. Контроль учетных записей пользователей также помогает управлять доступом к важным файлам и данным, защищая папку «Мои документы», чтобы другие пользователи не смогли изменить, прочитать или удалить файлы, созданные другими пользователями на том же компьютере.

Помогая защитить файлы и компьютер от случайных изменений со стороны пользователя, которые нелегко исправить, контроль учетных записей сокращает стоимость управления настольными компьютерами и общую стоимость владения. Кроме того, повышение согласованности среды, позволяет администраторам экономить время на восстановление компьютеров, которые были изменены пользователями. Администраторы также приобретают больший контроль над лицензированием программного обеспечения, позволяя устанавливать только санкционированные приложения. В результате снижается риск установки нелицензионного или вредоносного программного обеспечения, которое подвергает опасности сеть, вызывая простой компьютеров, потерю данных или инциденты с лицензиями.

К началу страницы

Практическое значение для разработчиков приложений

Создание приложений для стандартного непривилегированного режима Использование учетных записей стандартного пользователя будет главным нововведением для многих разработчиков приложений, которые должны будут изменить способ создания своих приложений и способ обращений к определенным общедоступным системным файлам и разделам реестра. Например, изменения в различных функциональных областях Windows, таких как ядро, создание процессов, безопасность, файловая система, реестр, оболочка, интерфейс пользователя, приложения панели управления и средства совместимости приложений, повлекут за собой изменения в приложениях, которые с ними взаимодействуют.

При разработке приложения, соответствующее логотипу Windows Vista, то оно должно работать без требования привилегий, которые могут поставить под угрозу работу компьютера. Преимущества этого нового подхода с точки зрения стабильности приложений и безопасности клиента будут намного превосходить начальные инвестиции при знакомстве с технологией. Чтобы достичь этой цели, вся индустрия программного обеспечения в тесном сотрудничестве должна разработать следующее поколение значительно более безопасных приложений.

Программа маркировки ПК эмблемой Windows Vista Программа соответствия требованиям Windows Vista формулирует строгие рекомендации по сертификации, гарантируя клиентам, что сертифицированные продукты будут должным образом взаимодействовать с системой Windows Vista. Сертификат соответствия Windows Vista будет являться дополнительным конкурентным преимуществом и показателем надежности для независимых разработчиков, которые получили этот сертификат. Дополнительные сведения см. на странице Программа маркировки ПК эмблемой Windows Vista.

Соответствие требованиями контроля учетных записей пользователей как конкурентное преимущество Никто из разработчиков приложений не хочет, чтобы злонамеренный пользователь прославился тем, что взломал их продукт. Однако разработка приложений, которые не совместимы со стандартным пользовательским режимом и создают уязвимость в результате несоблюдения рекомендаций безопасности, разработанных корпорацией Майкрософт, делает клиентов независимого разработчика ПО уязвимыми для атак вредоносных программ. Клиентам, которые работают на своих компьютерах со стандартными пользовательскими разрешениями, требуется программное обеспечение, совместимое с функцией контроля учетных записей пользователей. Они должны будут определить это требование в соответствующих запросах.

Инфраструктура, совместимая с функцией контроля учетных записей, позволит независимым разработчикам ПО реализовать передовые методы обеспечения безопасности и избежать нарушений безопасности и отрицательных отзывов. Создавая приложение, совместимое с функцией контроля учетных записей и придерживаясь основных правил программы соответствия требованиям Windows, независимый разработчик имеет возможность завоевать дополнительное доверие на рынке.

К началу страницы

Дополнительные компоненты безопасности Windows Vista

Создание управляемых приложений Управляемые приложения спроектированы с целью обеспечения безопасности, разработаны согласно определенному протоколу безопасности и выполняют только разрешенные функции, что делает их код менее уязвимым для вредоносных программ. В Windows Vista каждое управляемое приложение может указать определенный уровень разрешений, необходимый для его работы. Функция Trust Manager операционной системы Windows Vista использует эти сведения, чтобы определить, можно ли разрешить установку данного приложения на компьютере.

Если разработчик создает приложение, чьи требования разрешений полностью удовлетворяют безрисковому набору разрешений функции Trust Manager, оно может работать, не выдавая никаких предупреждений о нарушении безопасности. Задачи, которые работают в пределах этого набора разрешений, не способны преднамеренно или случайно нанести вред компьютеру. Однако если приложение получает более опасный рейтинг риска, основанный на запрошенных разрешениях, администратор увидит диалоговое окно, описывающее потенциальные опасности, и система запросит подтверждение того, что установка приложения безопасна. Для независимых разработчиков ПО, создающих новые или завоевывающие рынок продукты, низкий уровень риска их программ является очень важным для поддержания доверия клиентов.

Установщик Microsoft Windows Есть несколько вариантов установки программного обеспечения в Windows Vista: например, администратор выполняет установку приложения для всех пользователей на компьютере или в сети. Использование установщика Microsoft Windows (MSI) — рекомендованный способ установки приложения от имени пользователя с помощью групповых политик. Пользователям не предоставляются административные привилегии, что является важным для предприятий, которым нужно устанавливать приложения для тысяч пользователей. Для больших предприятий SMS предоставляет усовершенствованный процесс установки и позволяет администраторам отслеживать успешные установки.

Манифест приложения Манифест приложения позволяет системе Windows Vista опознать приложение и разрешает администраторам задать нужные полномочия для безопасности приложений — важный шаг в процессе установки приложения, который помогает улучшить работу пользователя. Манифест информирует систему Windows Vista, когда приложение соответствует требованиям контроля учетных записей пользователей и когда нужно запросить пользователей о разрешении администратора повысить привилегии. Чтобы обеспечивать целостность и функциональность, такие манифесты могут и должны быть подписаны.

Уровни выполнения Если требуется уровень, отличный от уровня стандартного пользователя, манифест должен содержать уровень выполнения. Уровни выполнения позволяют системе установить, требуются ли привилегии администратора для правильной работы указанных задач. Некоторые примеры повышенных привилегий для прикладных задач включают в себя следующее.

  • Самый высокий. Приложению требуется самый высокий из доступных уровень привилегий. Приложение может изменить поведение, основанное на уровне полученных повышенных привилегий. Такое приложение запускается, используя полные полномочия процесса.

  • Администратор. Приложение запрашивает уровень привилегий администратора. Полномочия содержат идентификатор безопасности группы администратора (SID). Такое приложение, возможно, не будет инициализировано, если не будут получены необходимые привилегии.

К началу страницы

Заключение

Создание управляемых приложений Функция контроля учетных записей предлагает новый подход к повышению безопасности компьютера, существенно изменяя способ, которым приложения взаимодействуют с операционной системой и ее файлами. Поскольку хакеры и другие злонамеренные пользователи постоянно повышают уровень угроз безопасности, разработчики должны обязательно сотрудничать с корпорацией Майкрософт для создания технологии, которая снижает вероятность воздействия вредоносных программ. При работе в стандартном непривилегированном режиме организации и пользователи будут менее подвержены вторжению вредоносных программ системного уровня. Функция контроля учетных записей пользователей также поможет организациям уменьшить общую стоимость владения, препятствуя установке пользователями несанкционированного программного обеспечения или изменения конфигурации системы и обеспечивая лучшую управляемость компьютеров. В Windows Vista корпорация Майкрософт разработала простой и более безопасный механизм для того, чтобы в стандартном непривилегированном режиме выполнять общие задачи настройки операционной системы, которые в настоящее время требуют повышенных привилегий.

Чтобы обеспечивать безопасность и производительность приложений в будущем, разработчики ПО должны уделять больше внимание совместимости своих приложений с требованиями контроля учетных записей пользователей. В системе Windows Vista корпорация Майкрософт добилась существенных успехов в развитии технологии безопасности, и это большой шаг вперед в непрерывном процессе продвижения технологии, которая принесет пользу обществу и поможет клиентам корпорации реализовать свой потенциал.

Дополнительные сведения см. на домашней странице Windows Vista на веб-узле Microsoft.com.

К началу страницы