Настройка механизмов безопасности WindowsVista  - Часть 3

Контроль учетных записей пользователей и администраторов

Очень полезная функция, предназначенная для того, чтобы разделить административные привилегированные задачи и стандартные пользовательские задачи. Права администратора по-прежнему необходимы для решения следующих задач:

• установка программ;
• повторное разбиение диска на разделы.

Контроль учетных записей пользователей: функции и преимущества

Учетные записи пользователей в Windows Vista имеют право на выполнение общих задач, не нуждаясь в службе поддержки. Данные привилегии оказывают минимальное влияние на систему и минимизируют риски, хотя администраторы могут ограничить эти привилегии. С помощью стандартных учетных записей пользователей в Windows Vista можно выполнить следующие действия:

• просмотр системных часов и календаря;
• изменение часового пояса;
• установка протокола WEP для беспроводных сетей;
• изменение параметров настройки экрана;
• изменение параметров управления питанием;
• установка шрифтов;
• добавление устройств, драйверы для которых уже установлены на компьютере;
• создание и настройка подключения VPN;
• загрузка и установка обновлений с помощью программы установки, совместимой с функцией контроля учетных записей пользователей.

ОС Windows Vista с помощью функции контроля учетных записей (UAC) позволяет разделить привилегии и задачи администратора и обычного пользователя. При этом функция UAC повышает уровень безопасности, ведь пользователи теперь могут выполнять больше задач без необходимости пользоваться правами администратора. Это, в свою очередь, поможет снизить влияние вредоносного ПО и исключить внесение в систему несанкционированных изменений.

В предыдущих версиях ОС Windows существовала группа «Опытныепользователи», члены которой могли устанавливать приложения, не имея привилегий администратора. В UAC группа «Опытные пользователи» не предусмотрена, а соответствующие разрешения удалены. Однако эту группу все еще можно использовать для обратной совместимости с другими версиями ОС. В этом случае необходимо применить соответствующий шаблон безопасности для изменения разрешений по умолчанию на системные папки и реестр, чтобы получить разрешения, соответствующие разрешениям в Windows XP. Вместе с тем стоит отметить, что режим одобрения администратором в технологии UAC позволяет обеспечить защиту от некоторых типов вредоносного ПО. Однако необходимо помнить, что несмотря на то, что большинство задач администраторы запускают с привилегиями обычного пользователя, гораздо безопаснее работать с правами обычного пользователя.

Риски работы с использованием привилегий администратора

Работа с привилегиями администратора может привести к случайному или злонамеренному выполнению административных задач без ведома пользователя.

Приведем следующие примеры:

• пользователь неосознанно загружает и устанавливает вредоносное ПО с зараженного веб-узла;
• с помощью технологий социальной инженерии пользователя заставляют открыть вложение в сообщении электронной почты, содержащее вредоносное ПО, которое, запускаясь, устанавливает себя на компьютер;
• функция автоматического запуска пытается запустить вредоносное ПО при установке съемного диска в устройство (CD-ROM, DVD-ROM, USB-диск, floppy-disk и т.д.);
• пользователь устанавливает не поддерживаемое ПО.

Для снижения рисков рекомендуется при решении повседневных задач применять учетные записи с правами и привилегиями обычного пользователя. Повышать свой уровень привилегий следует для решения только тех задач, которые не могут быть выполнены иным способом. Кроме того, необходимо убедиться, что функция UAC включена и при попытке выполнить задачу, требующую привилегий администратора, выводится соответствующий запрос.

Согласно Microsoft, рекомендуется определить для системных администраторов две учетные записи:

• с административными правами;
• с правами обычного пользователя.

При выполнении обычных задач необходимо использовать учетную запись обычного пользователя, а при выполнении задач администрирования — учетную запись с правами администратора системы.

Как снизить риски при использовании UAC

Для того чтобы правильно понимать все возможности UAC, рекомендуется изучить следующие руководства:

1. Пошаговое руководство по функции контроля учетных записей в системе Windows Vista (http://www.microsoft.com/technet/windowsvista/library/0d75f774-8514-4c9e-ac08-4c21f5c6c2d9.mspx);
2. Приступая к работе с функцией контроля учетных записей в системе Windows Vista (http://www.microsoft.com/technet/WindowsVista/library/f72d606c-ad66-403b-be70-3d59e4e5c10f.mspx).
   

1. Определить количество пользователей, необходимых для выполнения задач администрирования.
2. Определить, как часто необходимо выполнять задачи администрирования.
3. Решить, нужно ли выполнять задачи администрирования путем согласия в ответ на запрос UAC либо для выполнения этих задач потребуется вводить определенные учетные данные.
4. Решить, нужно ли обычным пользователям иметь возможность повышения привилегий для выполнения задач администрирования.
5. Определить, как будет проходить процесс установки приложений.

И затем настроить параметры групповой политики в соответствии с вашими требованиями.