reklama

Pohled do Windows Vista: Kontrola uživatelského účtu

Jednou z nejočekávanějších z řady bezpečnostních novinek Windows Vista je Kontrola uživatelského účtu. Funkce, která způsobuje, že každý uživatel - bez ohledu na jeho administrátorská práva - automaticky pracuje v módu běžného uživatele. V případě administrátorských akcí systém vyžaduje potvrzení…

Každý, kdo testoval některou z novějších verzí Windows Vista, se jistě s funkcí Kontrola uživatelského účtu (User Account Control - UAC) střetl. Navenek se při každé akci, pro níž systém vyžaduje administrátorská oprávnění, projevuje tím, že zatmaví obrazovku a vyžaduje potvrzení uživatele.

Klepněte pro větší obrázek

K pokračování potřebuje systém Windows vaše svolení...

UAC je v systému přítomna již od raných verzí, nicméně až od Beta 2 je standardně po instalaci zapnutá. Po představení Windows Vista Beta 2 se tak na Microsoft snesla vlna kritiky za příliš přísné nastavení této ochrany. Systém vyžadoval povolení i pro maličkosti typu změny nastavení hodin nebo přesunutí ikony z plochy do koše. V červencovém sestavení Windows Vista (5472) je již chování UAC upraveno tak, aby systém uživatele svými dotazy neobtěžoval tak často. Pro zmíněné přesunutí ikony z plochy do koše bylo v Beta 2 pod účtem ve skupině Administrators potřeba:

Klepněte pro větší obrázek

1. Potvrdit přesunutí do koše
Klepněte pro větší obrázek
2. Sdělit systému, že mu hodláte poskytnout své administrátorské pověření
Klepněte pro větší obrázek
3. Odsouhlasit smazání pro funkci UAC

Kontrola uživatelského účtu zevnitř

V okamžiku, kdy se uživatel ze skupiny Administrators přihlásí k systému, rozdělí Windows jeho oprávnění na dvě části („tokeny“). Ty obsahují informace o členství účtu ve skupině, jeho autorizaci a o řízení povolení přístupu. Systém podle nich určuje, ke kterým zdrojům a úlohám přístup uživateli povolí. Uživatel standardně pracuje pouze s částí práv „standardního uživatele“, zatímco administrátorská část oprávnění je deaktivována.
 
Standardní uživatelská práva Windows použijí ke spuštění Plochy a Průzkumníka (Explorer.exe). Jelikož všechny aplikace dědí přístupová práva od Plochy, budou rovněž spouštěny pouze s uživatelskými oprávněními. Administrátorská práva se pro uživatele aktivují až ve chvíli, kdy k tomu dá souhlas. Princip přihlašování znázorňuje následující obrázek:
 
Klepněte pro větší obrázek
Přihlášení administrátora a uživatele: Práva administrátora se rozdělí na administrátorskou a uživatelskou část (zdroj: Microsoft)
Souhlas administrátora systém vyžádá dialogovým oknem, jaké je vidět například na prvním screenshotu v tomto článku. Pokud však je k systému přihlášen uživatel bez administrátorských oprávnění, systém bude požadovat potvrzení jeho prověření, tedy zadání hesla k některému správcovskému účtu. V Editoru systémových politik je možné nastavit, aby systém vyžadoval zadání hesla i po administrátorech.
 
Klepněte pro větší obrázek
Windows Vista požadují potvrzení přístupu k administrátorskému účtu (zdroj: Microsoft)
Celý proces v jednom odstavci potom vypadá takto: Aplikace vyžadující administrátorská oprávnění se pokusí spustit. Služba AIS iniciuje vyvolání dialogového okna pro přidělení oprávnění správce. Systém zobrazí dialogové okno. Pokud uživatel udělit oprávnění odmítne, aplikace se nespustí. Pokud oprávnění potvrdí, aplikace se spustí s právy administrátora. Ve chvíli ukončení aplikace se ukončí i dočasné zvýšení oprávnění.
 
Co je Služba AIS? Application Interface Service (Služba aplikačního rozhraní) je systémová služba umožňující spouštění aplikací, které k běhu vyžadují jedno či více zvýšených oprávnění. To vykonává tak, že pro aplikaci vytváří nový proces s plnými administrátorskými právy (Full administrator access token na obrázku výše).

Upozornění se liší barvami

Jak jste si možná všimli z přiložených screenshotů, barvy nadpisů dialogových oken nejsou za všech okolností stejné. Windows Vista volí barvu poté, co provedou heuristickou analýzu aplikace, která žádost vyvolala, a vyhodnotí ji podle daných a uživatelsky needitovatelných kritérií.
 
Pokud je vydavatel aplikace na seznamu blokovaných, nebo je aplikace zakázána nastavením systémových politik, bude dialogové okno vyvedeno červeně s červenou ikonkou štítu. Pokud je vydavatelem aplikace samotný systém, bude okno ozdobeno zelenou či modrou barvou. Takové jsou například žádosti o potvrzení akcí v Ovládacích panelech apod., viz. aktivace Windows na prvním screenshotu.
 
Vyvolá-li dotaz aplikace od ověřeného vydavatele (podepsaná Authenticode) či již z dřívějška nastavená jako důvěryhodná, bude dialogové okno šedé se zlatou ikonou štítu. Poslední variantou je situace, kdy je aplikace nepodepsána, nebo není v místním počítači důvěryhodná. Okno se tehdy zbarví dožluta a ikona štítu bude červená.
 
Klepněte pro větší obrázek
Barvy dialogů závisí na výsledcích analýzy aplikace, která dialog vyvolala (zdroj: Microsoft)
S mnohokrát zmíněnou ikonkou štítu se budeme ve Windows Vista v souvislosti s Kontrolou uživatelského účtu setkávat častěji. Zobrazuje se totiž na všech tlačítkách a ikonách, které ke své aktivaci (spuštění) vyžadují zvýšení práv. Pokud přetáhnete na Plochu aplikaci, která vyžaduje zvýšená práva, systém přes její ikonu automaticky doplní obrázek štítu.
 
Klepněte pro větší obrázek
Tlačítko Pokračovat (Continue) vyvolá dialog vyžadující potvrzení přidělení administrátorských oprávnění
Klepněte pro větší obrázek
Ikona aplikace je "zaštítěna" UAC (zdroj: Microsoft)

Jak kontrolu uživatelského účtu vypnout?

Microsoft nechal plně na správcích systému, zda budou User Account Control používat. K vypnutí je potřeba editovat nastavení systémových politik.
 
Deaktivaci administrátorského schvalování provedeme kliknutím na tlačítko Start – All Programs – Accessories – Run. Zde vepíšeme secpol.msc a potvrdíme. V posledních sestaveních Windows Vista by již mělo být možné spustit secpol.msc přímo z proužku pro vyhledávání v nabídce Start, neměli jsme však zatím možnost to ověřit. Pokud je UAC v tuto chvíli aktivní, je třeba potvrdit žádost o zvýšení oprávnění. V sekci Local Security Settings zvolte Local Policies a poté Security Options. Dvojklikněte na User Account Control: Run all administrators in Admin Approval Mode, zvolte Disabled a potvrďte OK. Na stejném místě se nachází i další volby pro podrobná nastavení chování UAC ve Windows Vista.
 
V souvislosti s UAC nelze nezmínit i další funkce této služby. User account control je totiž úzce provázána s rodičovskou kontrolou Windows Vista, která umožňuje například definovat, ve které hodiny se smí či nesmí někteří uživatelé přihlašovat k počítači.
 
Rovněž souvisí se službou Windows Resource Protection (WRP), která ochraňuje zdroje systému tak, že ani administrátoři nemají oprávnění pro zápis k systémové složce %systemroot%, obyčejně tedy C:\Windows. Ta bude přístupná pouze systémovým službám. Služba WRP rovněž zajišťuje, aby instalátory aplikací nepřepsaly, nezměnily či nesmazaly kritické systémové soubory či klíče v registru. Také způsobí selhání aplikací, které se v registru pokusí přepisovat chráněné klíče či hodnoty. WRP nahrazuje z Windows XP známou službu WFP, tedy Ochranu souborů Windows.
 
Kontrola uživatelského účtu je výrazným zvýšením zabezpečení Windows Vista. Připodobňuje Windows modelu Linuxu, kde uživatel standardně pracuje s nízkými oprávněními, která si ad-hoc zvyšuje pouze v okamžiku, kdy jsou opravdu potřeba. Dá se předpokládat, že zavedení této funkce výrazně pomůže v boji proti šíření všelikého škodlivého softwaru. Ten totiž nebude disponovat právy k volnému šíření po počítači.

Témata článku: Microsoft, Windows, Diva, Vista, Windows Vista, Screenshot, Account, Token, Microsoft Account

96 komentářů

Nejnovější komentáře

  • Flasi 24. 7. 2006 5:38:41
    Jestli to bude od stejne spolecnosti, jejichz textovy procesor se...
  • Petr Souček 23. 7. 2006 21:22:40
    Například proto, že Microsoft má tolik peněz, že je schopen převálcovat i...
  • Petr Souček 23. 7. 2006 17:59:22
    To bych se divil, kdyby se měla ta funkce jmenovat "Kontrola uživatelského...
reklama
Určitě si přečtěte

Vybíráte herní periferii nebo hardware? Pak zapomeňte na nálepku Gaming

Vybíráte herní periferii nebo hardware? Pak zapomeňte na nálepku Gaming

** Herní hardware se od toho běžného často liší jen vzhledem ** Při výběru stále nezapomínejte na základní parametry ** Poradíme jak vybrat herní hardware i periferie

20.  2.  2017 | Stanislav Janů | 35

10 nejhorších produktů v historii Microsoftu

10 nejhorších produktů v historii Microsoftu

20.  2.  2017 | Karel Javůrek | 131

Pojďme programovat elektroniku: Žádný bastlíř se neobejde bez armády švábů

Pojďme programovat elektroniku: Žádný bastlíř se neobejde bez armády švábů

** Každý bastlíř se po čase neobjede bez armády švábů ** Dnes si některé z nich vyzkoušíme ** Třeba zázračný posuvný registr

19.  2.  2017 | Jakub Čížek | 39

Facebook o nás ví vše. Díky dobře skrytému vyhledávači se to dozví i ostatní

Facebook o nás ví vše. Díky dobře skrytému vyhledávači se to dozví i ostatní

** Facebook o nás ví vše, protože mu to sami řekneme ** V jeho nitru se skrývá mocný vyhledávač ** Mohou jej zneužít stalkeři, sociální inženýři a další nezbedníci

16.  2.  2017 | Jakub Čížek | 76

Vyhledávání ve Windows není dokonalé, zkuste to 5× jinak

Vyhledávání ve Windows není dokonalé, zkuste to 5× jinak

** V macOS funguje vyhledávání Spotlight, ve Windows podobně propracovaná funkce chybí ** Alternativy se zaměřují na rychlé hledání souborů i externí zdroje ** Mnohé mohou vyhledávání ve Windows kompletně nahradit

18.  2.  2017 | Stanislav Janů | 58


Aktuální číslo časopisu Computer

Stavba 3D tiskárny

Výbava domácí elektrodílničky

Budoucnost 5G sítí

Velké testy microSD karet a vodních chladičů

Přehled mobilních tarifů

reklama
reklama