Interakcija UAC sa administratorskim nalogom je potpuno drugačija od interakcije UAC sa standard user nalogom. Veoma je važno da shvatite razliku između interakcije UAC sa standardnim korisničkim nalogom i one koja se odnosi na administratorski nalog, da bi mogli da odgovorite na njih kako bi trebalo.

U ovoj lekciji videćete kakva je interakcija između administratorskog naloga i UAC-a. Videćete kako se konfigurišu korisnički nalozi koristeći User account Control Panel, i kako se rešavaju problemi sa UAC-om.

Administratorski Approval mode

Windows Vista specijalista će možda imati zadatak da opiše i konfiguriše administratorski Approval mod za korisnike i ljude iz IT sektora.

Ranije verzije Windowsa generisale su sigurnosni Token pri logovanju i kačile su ga za Desktop proces. Ovaj token je sadržao korisnikov Security Identifier (SID), SID-ove svih grupa u kojima se korisnik nalazi, i sva specifična prava koja poseduje korisnik. Token je proveravan svaki put kad korisnik želi da pristupi određenom resursu, i Windows je odobravao pristup u slučaju da je provera prošla uspešno.

Zbog toga što su imali previše prava i previše privilegija, korisnici su često startovali sesije kao administratori, čak i onda kada im privilegije administratora nisu bile potrebne. Ovakva praksa kreira određeni nivo rizika u sistemu zbog toga što ovakav pristum može da izloži mrežu malicioznim procesima i korisnicima. Windows Vista nudi soluciju za rešavanje ovog problema u formi Administrator Autorization Mode-a.

Administratori startuju kao Standardni korisnici

Windows Vista generiše dva sigurnosna tokena za administratorski nalog, korisnički token i administratorski token. Administratorski token je standardni token, ali korisnikov token sadrži sve administrativne privilegije i administratorsko članstvo u grupama. Administratori mogu najnormalnije da startuju procese koristeći User token, ali UAC će možda tražiti od administratora da autorizuje korišćenje administrativnog tokena. Administratorki korisnici mogu da izaberu da koriste administratorski token čekiranjem opcije „Run as administrator" na prečici aplikacije (shortcut)

Koristeći ovu karakteristiku, administrativni korisnici startuju aplikacije koristeći User token, što u startu zaobilazi problem izlaganja njihovih kompjutera nepotrebnim rizicima koji se pojavljuju kada startujemo sve procese sa privilegijama administratora. Iz ovih razloga nije preporučljivo onemogućavanje UAC-a, čak i ako vam smeta zapitkivanje UAC-a u toku jedne sesije.

Sprečavanje neprimetnog startovanja malioznog softvera

Ako softver koji želimo da startujemo zahteva privilegije administratora da bi mogao da otpočne sa radom, moramo prvo da autorizujemo korišćenje našeg administrativnog tokena u UAC dialog boksu. Ovaj dialog boks se prikazuje u sigurnom desktopu, koji je isti desktop kao onaj koji koristi Window Security dijalog boks, i vizuelno je prikazan tako što su svi drugi elementi na desktopu osim dijalog boksa zatamnjeni.

Kada je ovaj dialog boks prikazan na sigurnom desktopu, svi drugi korisnički procesi ne mogu da imaju interakciju sa njim. Kada aplikacije postoje na istom desktopu poruke mogu da prođu između prozora aplikacije na istom desktopu. Na primer, aplikacija koju je startovao korisnik može da pošalje poruku ka aplikaciji koja radi kao sistemski proces. Ove poruke mogu da budu obični događaji ili kompleksnije poruke kao što su kodovi. Ovakvi tipovi napada u slučaju da su maliozni, su poznati kao Shatter Attack. Zbog toga što je dijalog boks za određivanje privilegija (elevation privilege dialog box) startovan na sigurnom desktopu, nijedan korisnički proces ne može da utiče na njega i imun je na Shatter Attack.
 
Kontrolisanje kroz grupne polise

UAC postavke se nalaze u Policy editor Snap-inu. Sledeće postavke su omogućene:

User Account Control Panel

Korisnici pristupaju kompjuteru koristeći svoj korisnički nalog, koji može da bude ili lokalni korisnički nalog ili domenski korisnički nalog. Sa User Account Control Panel-om, možemo da upravljamo kako domenski korisnički nalozi pristupaju lokalnom kompjuteru kao i ponašanje lokalnih korisničkih naloga. Administrativni alat koji ćemo koristiti da kontrolišemo ponašanje korisničkih naloga zavisi od dozvola koje naš korisnički nalog poseduje. Kao Windows Vista specijalista, moraćete da napravite ove promene tako da bi bilo poželjno da se upoznate sa njihovim sigurnosnim implikacijama.

Promena Propertisa korisničkih naloga

Kada pristupate User Account Control Panel-u kao standardni korisnik (standard user) možete da promenite dva propertisa na svom nalogu:

• Sliku naloga (Account Picture)
• Lozinku naloga (Account Password)

Kada pristupamo User Account Control Panel-u kao administratorski korisnik, sa dodatkom gore pomenutih propertisa, možemo da promenimo sledeće propertise za sve naloge:

• Ime naloga (Account name)
• Puno ime naloga (Account Full Name)
• Opis naloga (Account Description)
• Tip naloga kroz članstvo u grupama (Accoun type through group membership
• Lozinku naloga (Account Password)

Dati pristup domenskim korisnicima

Kao administratorski korisnik, možemo da damo korisnicima koji imaju naloge u domenu pristup u kompjuter koristeći User Account Control Panel. Kada kliknemo na Add u Control Panelu, od nas će se tražiti da upišemo korisničko ime i domen postojećeg naloga. Nakon ubacivanja ovih informacija, moramo da odlučimo šta će sadržati Local Group Membership (članstvo u grupama na lokalnom kompjuteru). Kada kompletiramo proces, domenski korisnici će imati definisan nivo pristupa na lokalnom kompjuteru.

Potrebno je da znate da učlanjenje kompjutera u Domen aktivnog direktorijuma automatski će dati članovima domenskih grupa Domen Users i Domain Administrators pristup lokalnom kompjuteru. Domanski korisnici će biti članovi Local Users grupe a Domen Administratori će automatski postati članovi Local Administrators grupe kada kompjuter ubacimo u domen.

Napredne postavke

Možemo da pristupimo dodatnim opcijama klikom na advanced karticu u User Account Control Panelu. Evo šta administratorski korisnik može:

• Može da upravlja lozinkama koje se nalaze na tom kompjuteru
• Može da pristupi Local User and Groups MMC Snap-inu
• Ukloniti zahteve za korisnike da kliknu na CTRL+ALT+DELETE prilikom prijavljivanja na kompjuter

Isključivanje UAC-a

U User Accounts Control Panelu, možemo da isključimo UAC ili da ga ponovo upalimo. Microsoft preporučuje da nikako ne isključujemo UAC, zato što ćemo time prouzrokovati smanjenu zaštitu koju Windows Vista nudi i obavlja protiv neautorizovanih promena. Isključivanje UAC-a zahteva restartovanje kompjutera.

U User Accounts Control Panel-u, bićemo upozoreni kroz Security Center da je UAC isključen i Windows Vista preporučuje da ponovo omogućimo UAC. UAC ikonica će se idalje pojavljivati u korisničkom interfejsu, ali korisnik koji nije administrator će videti poruku greške „unable to continue"  kada kliknemo na nju. Korisnici koji nisu administratori neće moći da koriste „Run as Administrator" opciju kada kliknu na prečicu nekog programa ili aplikacije. Klik na ove ikonice će jednostavno startovati aplikacije kao standardni korisnik.

Dodaj komentar Sviđa mi se - (2) Ne sviđa mi se - (0)    

Ime Nick Email Title Sigurnosni kod

CommentText

• Rešavanje problema sa User Account Control-om 1
• Rešavanje problema sa User Account Control-om 2

• Rešavanje problema sa User Account Control-om 3

• Rešavanje problema sa User Account Control-om 4