Ovládáme neovladatelné: Řízení uživatelských účtů

Koncept řízení uživatelských účtů se zprvu jevil jako dobrý nápad. Později se ale začalo ukazovat, že uživatel jej raději vypne.
Kapitoly článku

Před příchodem Windows Vista byla jednou z nejkritizovanějších vlastností starších verzí nejrozšířenějšího operačního systému častá nutnost pracovat v uživatelském účtu vybaveném administrátorskými právy. Bez toho zkrátka nefungovala řada běžných programů, nebylo možno bez obtíží odvádět každodenní práci. Negativním postranním efektem byla možnost kompromitace každého takového systému. Jakýkoli malware se na počítači spustil, mohl si dělat doslova, co chtěl... Zdědil přeci po „svém“ uživateli administrátorská oprávnění.

Pak se objevila Windows Vista se svým řízením uživatelských účtů (User Account Control, UAC). Tomu jsme se na Živě.cz věnovali již několikrát. Připomeňme alespoň články Pohled do Windows Vista: Kontrola uživatelského účtu či Bezpečnost Windows Vista v kostce I. Na tomto místě jen ve stručnosti lze říci, že Řízení uživatelských účtů se stará o to, aby procesu byla přidělena potřebná administrátorská práva na základě přímého schválení uživatelem, který jinak pracuje v režimu se sníženými oprávněními. Z toho pak plyne řada omezení například při konfiguraci systému či při přístupu k složkám na jednotkách NTFS, kam uživatelé skupiny Users přístup běžně nemají či nedisponují právy k plnému řízení.

Jak Řízení funguje

Při pokusu uživatele provést nějakou akci vyžadující administrátorská oprávnění zobrazuje UAC dialog vybízející k elevaci práv. V závislosti na nastavení je třeba buď dialog odkliknout, nebo zadat heslo administrátora. Během zobrazení dialogu UAC jsou Windows v tzv. režimu zabezpečené pracovní plochy, kdy jsou pozastaveny běžící programy i většina služeb včetně systémových. Systém tak zajišťuje mimo jiné i lepší bezpečnost, odstaví totiž například i běžící keyloggery.

Klepněte pro větší obrázek
UAC a žádost o odkliknutí elevace práv

Žádnému malwaru nebude nic platné vydávat se za dialogy pro elevaci práv. I když je totiž uživatel potvrdí, nic tím nezískají, stále budou mít pouze práva daného uživatele, tudíž nebudou mít efektivní možnost poškodit systém a kupříkladu se jeho pomocí automaticky replikovat. Systém tímto způsobem samozřejmě může odstavit pouze ten malware, který není přímo pro práci s Řízením uživatelských účtů konstruován. Jedinou možností, které by teoreticky malware mohl využít, by bylo zneužití legitimně provedeného zvýšení práv a nasazení trojského koně, který nasbírá administrátorké přístupové údaje. To je také důvodem, proč zejména ve firmách není zvyšování práv prostřednictvím UAC z bezpečnostních důvodů žádoucí. V druhé kapitole tohoto článku však najdete řešení.

Klepněte pro větší obrázek
Elevace práv zadáním hesla

Ačkoli se koncept práce s omezenými právy a ruční povolování jejich elevace zdál zpočátku jako dobrý nápad a ačkoli i přes dnes známé nedostatky je významným přínosem k zabezpečení počítače, ukázalo se později, že řešení povyšování práv mohlo být vymyšleno mnohem elegantněji. Základní problémy jsou dva, přesněji jeden je důsledkem druhého.

Není ale bez chyby

Žádosti o elevaci práv jsou jednoduše příliš časté. Řada uživatelů nechápe, proč musí stále dokola zadávat potvrzení pro akci, kterou již někdy v minulosti schvalovali. Velké množství žádostí o elevaci práv také přirozeně vede uživatele k otupení zájmu o ně, automatické odklikávání a tedy i ohrožení bezpečnosti počítače. Příručka pro lektory prostředí Windows vydaná přímo Microsoftem dokonce říká: „Rychlé proklikávání zprávami UAC je pro většinu z nás přirozenou činností“.

Něco takového ale nechceme. Na to si zvykat nepotřebujeme. Windows bohužel kromě některých nastavení v systémových politikách nenabízejí podrobnou možnost konfigurace chování UAC. Znovu vás odkážeme na druhou kapitolu článku...

Témata článku: Windows, Bezpečnost, NEO, Proces spuštěný, Manager, Běžící program, Dialog, Spustitelný soubor, Uživatelská složka, Zvolená složka, Špatné nastavení, Špatný klíč, Cesta, Účet, Pravá ruka, Omezená možnost, Řízení, Heslo admin, Token, Komerční činnost, Kompromitace



Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

** Sex manželských párů jen při zvláštních příležitostech. ** Ložnice ovládnou sexuální roboti s umělou inteligencí. ** I to je jeden ze závěrů Mezinárodní robotické konference.

Filip KůželJiří Liebreich
RobotiSexUmělá inteligence
Jak poznat, že máte možná hacknutý telefon? Toto je devět symptomů, které můžete pozorovat

Jak poznat, že máte možná hacknutý telefon? Toto je devět symptomů, které můžete pozorovat

** Jak poznat, že je váš smartphone hacknutý? ** Hledejte známky po nestandardním chování telefonu ** Stačí když telefon vydrží méně nebo topí i v klidovém režimu...

Martin Chroust
Jak...Malware
Recenze cykloradaru Garmin Varia RCT715. Bílé dodávky, všechny si vás natočím

Recenze cykloradaru Garmin Varia RCT715. Bílé dodávky, všechny si vás natočím

** Garmin do svého stále unikátního cykloradaru přidal kameru ** Snímá a ukládá, co se při jízdě děje za sedlem ** Kromě toho je to jedna z nejsilnějších svítilen na kolo

Marek Lutonský
Testy
Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

** Google umí kromě vyhledávání i spoustu dalších věcí ** Vybrali jsme více než 15 užitečných funkcí a schopností ** Stačí zadat do vyhledávače ta správná klíčová slova

Karel Kilián
TipyVyhledávačeGoogle
Datové balíčky pro sociální sítě končí. Operátoři se musí podvolit novým pravidlům EU o síťové neutralitě

Datové balíčky pro sociální sítě končí. Operátoři se musí podvolit novým pravidlům EU o síťové neutralitě

** Od zítřka platí nová pravidla EU o síťové neutralitě ** Operátoři nesmí nabízet datové limity vztažené třeba jen na soc. sítě ** Vodafone už své balíčky nenabízí, Kaktus přestává od zítřka

Martin Chroust
Síťová neutralitaKaktusVodafone