Ovládáme neovladatelné: Řízení uživatelských účtů

Koncept řízení uživatelských účtů se zprvu jevil jako dobrý nápad. Později se ale začalo ukazovat, že uživatel jej raději vypne.
Kapitoly článku

Před příchodem Windows Vista byla jednou z nejkritizovanějších vlastností starších verzí nejrozšířenějšího operačního systému častá nutnost pracovat v uživatelském účtu vybaveném administrátorskými právy. Bez toho zkrátka nefungovala řada běžných programů, nebylo možno bez obtíží odvádět každodenní práci. Negativním postranním efektem byla možnost kompromitace každého takového systému. Jakýkoli malware se na počítači spustil, mohl si dělat doslova, co chtěl... Zdědil přeci po „svém“ uživateli administrátorská oprávnění.

Pak se objevila Windows Vista se svým řízením uživatelských účtů (User Account Control, UAC). Tomu jsme se na Živě.cz věnovali již několikrát. Připomeňme alespoň články Pohled do Windows Vista: Kontrola uživatelského účtu či Bezpečnost Windows Vista v kostce I. Na tomto místě jen ve stručnosti lze říci, že Řízení uživatelských účtů se stará o to, aby procesu byla přidělena potřebná administrátorská práva na základě přímého schválení uživatelem, který jinak pracuje v režimu se sníženými oprávněními. Z toho pak plyne řada omezení například při konfiguraci systému či při přístupu k složkám na jednotkách NTFS, kam uživatelé skupiny Users přístup běžně nemají či nedisponují právy k plnému řízení.

Jak Řízení funguje

Při pokusu uživatele provést nějakou akci vyžadující administrátorská oprávnění zobrazuje UAC dialog vybízející k elevaci práv. V závislosti na nastavení je třeba buď dialog odkliknout, nebo zadat heslo administrátora. Během zobrazení dialogu UAC jsou Windows v tzv. režimu zabezpečené pracovní plochy, kdy jsou pozastaveny běžící programy i většina služeb včetně systémových. Systém tak zajišťuje mimo jiné i lepší bezpečnost, odstaví totiž například i běžící keyloggery.

Klepněte pro větší obrázek
UAC a žádost o odkliknutí elevace práv

Žádnému malwaru nebude nic platné vydávat se za dialogy pro elevaci práv. I když je totiž uživatel potvrdí, nic tím nezískají, stále budou mít pouze práva daného uživatele, tudíž nebudou mít efektivní možnost poškodit systém a kupříkladu se jeho pomocí automaticky replikovat. Systém tímto způsobem samozřejmě může odstavit pouze ten malware, který není přímo pro práci s Řízením uživatelských účtů konstruován. Jedinou možností, které by teoreticky malware mohl využít, by bylo zneužití legitimně provedeného zvýšení práv a nasazení trojského koně, který nasbírá administrátorké přístupové údaje. To je také důvodem, proč zejména ve firmách není zvyšování práv prostřednictvím UAC z bezpečnostních důvodů žádoucí. V druhé kapitole tohoto článku však najdete řešení.

Klepněte pro větší obrázek
Elevace práv zadáním hesla

Ačkoli se koncept práce s omezenými právy a ruční povolování jejich elevace zdál zpočátku jako dobrý nápad a ačkoli i přes dnes známé nedostatky je významným přínosem k zabezpečení počítače, ukázalo se později, že řešení povyšování práv mohlo být vymyšleno mnohem elegantněji. Základní problémy jsou dva, přesněji jeden je důsledkem druhého.

Není ale bez chyby

Žádosti o elevaci práv jsou jednoduše příliš časté. Řada uživatelů nechápe, proč musí stále dokola zadávat potvrzení pro akci, kterou již někdy v minulosti schvalovali. Velké množství žádostí o elevaci práv také přirozeně vede uživatele k otupení zájmu o ně, automatické odklikávání a tedy i ohrožení bezpečnosti počítače. Příručka pro lektory prostředí Windows vydaná přímo Microsoftem dokonce říká: „Rychlé proklikávání zprávami UAC je pro většinu z nás přirozenou činností“.

Něco takového ale nechceme. Na to si zvykat nepotřebujeme. Windows bohužel kromě některých nastavení v systémových politikách nenabízejí podrobnou možnost konfigurace chování UAC. Znovu vás odkážeme na druhou kapitolu článku...

Témata článku: Windows, Bezpečnost, Manager, Dialog

55 komentářů

Nejnovější komentáře

  • tomfi 28. 8. 2007 21:49:48
    Samé hádky, přehnané reakce na to co nový os má, co nemá, jak nějaký...
  • bolda 28. 8. 2007 14:54:29
    Já nevím, co tady řešíte, nainstaloval jsem to, nastavil a stejně...
  • melkor 28. 8. 2007 10:57:38
    Ono je tezke odolat, kdyz MS prezentuje jako prevratnou novinku neco, co...
Určitě si přečtěte

Sbíječky vyměnili za klávesnice. Nový projekt má za cíl přeučit horníky na programátory

Sbíječky vyměnili za klávesnice. Nový projekt má za cíl přeučit horníky na programátory

** Programátorů je málo a horníků bez práce po uzavření dolu Paskov bude moc ** Problém řeší unikátní projekt ** Pilotní kurz dává naději, že by z horníků mohli být použitelní kodéři

28.  11.  2016 | David Polesný | 78

ASUS ZenBook 3 se začal prodávat v Česku. Je ve všem lepší než MacBook, ale bude to stačit?

ASUS ZenBook 3 se začal prodávat v Česku. Je ve všem lepší než MacBook, ale bude to stačit?

** Novinka od Asusu míří přímo proti MacBooku od Applu ** Nabídne daleko více výkonu za stejné peníze

2.  12.  2016 | David Polesný | 120