Настройка механизмов безопасности WindowsVista - Часть 3Контроль учетных записей пользователей и администраторов
Очень полезная функция,
предназначенная для того, чтобы разделить административные привилегированные
задачи и стандартные пользовательские задачи. Права администратора по-прежнему
необходимы для решения следующих задач: - установка программ;
- повторное разбиение диска на разделы.
Контроль
учетных записей пользователей: функции и преимуществаУчетные записи
пользователей в Windows Vista имеют право на выполнение общих задач, не
нуждаясь в службе поддержки. Данные привилегии оказывают минимальное влияние на
систему и минимизируют риски, хотя администраторы могут ограничить эти
привилегии. С помощью стандартных учетных записей пользователей в Windows Vista
можно выполнить следующие действия: - просмотр системных часов и календаря;
- изменение часового пояса;
- установка протокола WEP для беспроводных сетей;
- изменение параметров настройки экрана;
- изменение параметров управления питанием;
- установка шрифтов;
- добавление устройств, драйверы для которых уже
установлены на компьютере;
- создание и настройка подключения VPN;
- загрузка и установка обновлений с помощью программы
установки, совместимой с функцией контроля учетных записей пользователей.
ОС Windows Vista с
помощью функции контроля учетных записей (UAC) позволяет разделить привилегии и
задачи администратора и обычного пользователя. При этом функция UAC повышает
уровень безопасности, ведь пользователи теперь могут выполнять больше задач без
необходимости пользоваться правами администратора. Это, в свою очередь, поможет
снизить влияние вредоносного ПО и исключить внесение в систему
несанкционированных изменений. В предыдущих версиях ОС
Windows существовала группа «Опытныепользователи», члены которой могли
устанавливать приложения, не имея привилегий администратора. В UAC группа
«Опытные пользователи» не предусмотрена, а соответствующие разрешения удалены.
Однако эту группу все еще можно использовать для обратной совместимости с
другими версиями ОС. В этом случае необходимо применить соответствующий шаблон
безопасности для изменения разрешений по умолчанию на системные папки и реестр,
чтобы получить разрешения, соответствующие разрешениям в Windows XP. Вместе с
тем стоит отметить, что режим одобрения администратором в технологии UAC
позволяет обеспечить защиту от некоторых типов вредоносного ПО. Однако
необходимо помнить, что несмотря на то, что большинство задач администраторы
запускают с привилегиями обычного пользователя, гораздо безопаснее работать с
правами обычного пользователя. Риски работы с
использованием привилегий администратораРабота с привилегиями
администратора может привести к случайному или злонамеренному выполнению
административных задач без ведома пользователя. Приведем следующие
примеры: - пользователь неосознанно загружает и устанавливает
вредоносное ПО с зараженного веб-узла;
- с помощью технологий социальной инженерии
пользователя заставляют открыть вложение в сообщении электронной почты,
содержащее вредоносное ПО, которое, запускаясь, устанавливает себя на
компьютер;
- функция автоматического запуска пытается запустить
вредоносное ПО при установке съемного диска в устройство (CD-ROM, DVD-ROM,
USB-диск, floppy-disk и т.д.);
- пользователь устанавливает не поддерживаемое ПО.
Для снижения рисков
рекомендуется при решении повседневных задач применять учетные записи с правами
и привилегиями обычного пользователя. Повышать свой уровень привилегий следует
для решения только тех задач, которые не могут быть выполнены иным способом.
Кроме того, необходимо убедиться, что функция UAC включена и при попытке
выполнить задачу, требующую привилегий администратора, выводится
соответствующий запрос. Согласно Microsoft,
рекомендуется определить для системных администраторов две учетные записи: - с административными правами;
- с правами обычного пользователя.
При выполнении обычных
задач необходимо использовать учетную запись обычного пользователя, а при
выполнении задач администрирования — учетную запись с правами администратора
системы. Как снизить
риски при использовании UAC Для того чтобы
правильно понимать все возможности UAC, рекомендуется изучить следующие
руководства: - Пошаговое руководство по функции контроля учетных
записей в системе Windows Vista (http://www.microsoft.com/technet/windowsvista/library/0d75f774-8514-4c9e-ac08-4c21f5c6c2d9.mspx);
- Приступая к работе с функцией контроля учетных
записей в системе Windows Vista (http://www.microsoft.com/technet/WindowsVista/library/f72d606c-ad66-403b-be70-3d59e4e5c10f.mspx).
После этого необходимо выполнить следующие
действия:
- Определить количество пользователей, необходимых
для выполнения задач администрирования.
- Определить, как часто необходимо выполнять задачи
администрирования.
- Решить, нужно ли выполнять задачи администрирования
путем согласия в ответ на запрос UAC либо для выполнения этих задач потребуется
вводить определенные учетные данные.
- Решить, нужно ли обычным пользователям иметь
возможность повышения привилегий для выполнения задач администрирования.
- Определить, как будет проходить процесс установки
приложений.
И затем настроить параметры
групповой политики в соответствии с вашими требованиями. Однако, если Вас не интересуют операционные системы семейства Windows, то интересная информация про систему Debian Linux собрана, к примеру, на данном ресурсе.
|