Jednou z nejočekávanějších z řady bezpečnostních novinek Windows Vista je Kontrola uživatelského účtu. Funkce, která způsobuje, že každý uživatel - bez ohledu na jeho administrátorská práva - automaticky pracuje v módu běžného uživatele. V případě administrátorských akcí systém vyžaduje potvrzení…
Každý, kdo testoval některou z novějších verzí Windows Vista, se jistě s funkcí Kontrola uživatelského účtu (User Account Control - UAC) střetl. Navenek se při každé akci, pro níž systém vyžaduje administrátorská oprávnění, projevuje tím, že zatmaví obrazovku a vyžaduje potvrzení uživatele.
K pokračování potřebuje systém Windows vaše svolení...
UAC je v systému přítomna již od raných verzí, nicméně až od Beta 2 je standardně po instalaci zapnutá. Po představení Windows Vista Beta 2 se tak na Microsoft snesla vlna kritiky za příliš přísné nastavení této ochrany. Systém vyžadoval povolení i pro maličkosti typu změny nastavení hodin nebo přesunutí ikony z plochy do koše. V červencovém sestavení Windows Vista (5472) je již chování UAC upraveno tak, aby systém uživatele svými dotazy neobtěžoval tak často. Pro zmíněné přesunutí ikony z plochy do koše bylo v Beta 2 pod účtem ve skupině Administrators potřeba:
1. Potvrdit přesunutí do koše
2. Sdělit systému, že mu hodláte poskytnout své administrátorské pověření
3. Odsouhlasit smazání pro funkci UAC
Kontrola uživatelského účtu zevnitř
V okamžiku, kdy se uživatel ze skupiny Administrators přihlásí k systému, rozdělí Windows jeho oprávnění na dvě části („tokeny“). Ty obsahují informace o členství účtu ve skupině, jeho autorizaci a o řízení povolení přístupu. Systém podle nich určuje, ke kterým zdrojům a úlohám přístup uživateli povolí. Uživatel standardně pracuje pouze s částí práv „standardního uživatele“, zatímco administrátorská část oprávnění je deaktivována.
Standardní uživatelská práva Windows použijí ke spuštění Plochy a Průzkumníka (Explorer.exe). Jelikož všechny aplikace dědí přístupová práva od Plochy, budou rovněž spouštěny pouze s uživatelskými oprávněními. Administrátorská práva se pro uživatele aktivují až ve chvíli, kdy k tomu dá souhlas. Princip přihlašování znázorňuje následující obrázek:
Přihlášení administrátora a uživatele: Práva administrátora se rozdělí na administrátorskou a uživatelskou část (zdroj: Microsoft)
Souhlas administrátora systém vyžádá dialogovým oknem, jaké je vidět například na prvním screenshotu v tomto článku. Pokud však je k systému přihlášen uživatel bez administrátorských oprávnění, systém bude požadovat potvrzení jeho prověření, tedy zadání hesla k některému správcovskému účtu. V Editoru systémových politik je možné nastavit, aby systém vyžadoval zadání hesla i po administrátorech.
Windows Vista požadují potvrzení přístupu k administrátorskému účtu (zdroj: Microsoft)
Celý proces v jednom odstavci potom vypadá takto: Aplikace vyžadující administrátorská oprávnění se pokusí spustit. Služba AIS iniciuje vyvolání dialogového okna pro přidělení oprávnění správce. Systém zobrazí dialogové okno. Pokud uživatel udělit oprávnění odmítne, aplikace se nespustí. Pokud oprávnění potvrdí, aplikace se spustí s právy administrátora. Ve chvíli ukončení aplikace se ukončí i dočasné zvýšení oprávnění.
Co je Služba AIS? Application Interface Service (Služba aplikačního rozhraní) je systémová služba umožňující spouštění aplikací, které k běhu vyžadují jedno či více zvýšených oprávnění. To vykonává tak, že pro aplikaci vytváří nový proces s plnými administrátorskými právy (Full administrator access token na obrázku výše).
Upozornění se liší barvami
Jak jste si možná všimli z přiložených screenshotů, barvy nadpisů dialogových oken nejsou za všech okolností stejné. Windows Vista volí barvu poté, co provedou heuristickou analýzu aplikace, která žádost vyvolala, a vyhodnotí ji podle daných a uživatelsky needitovatelných kritérií.
Pokud je vydavatel aplikace na seznamu blokovaných, nebo je aplikace zakázána nastavením systémových politik, bude dialogové okno vyvedeno červeně s červenou ikonkou štítu. Pokud je vydavatelem aplikace samotný systém, bude okno ozdobeno zelenou či modrou barvou. Takové jsou například žádosti o potvrzení akcí v Ovládacích panelech apod., viz. aktivace Windows na prvním screenshotu.
Vyvolá-li dotaz aplikace od ověřeného vydavatele (podepsaná Authenticode) či již z dřívějška nastavená jako důvěryhodná, bude dialogové okno šedé se zlatou ikonou štítu. Poslední variantou je situace, kdy je aplikace nepodepsána, nebo není v místním počítači důvěryhodná. Okno se tehdy zbarví dožluta a ikona štítu bude červená.
Barvy dialogů závisí na výsledcích analýzy aplikace, která dialog vyvolala (zdroj: Microsoft)
S mnohokrát zmíněnou ikonkou štítu se budeme ve Windows Vista v souvislosti s Kontrolou uživatelského účtu setkávat častěji. Zobrazuje se totiž na všech tlačítkách a ikonách, které ke své aktivaci (spuštění) vyžadují zvýšení práv. Pokud přetáhnete na Plochu aplikaci, která vyžaduje zvýšená práva, systém přes její ikonu automaticky doplní obrázek štítu.
Tlačítko Pokračovat (Continue) vyvolá dialog vyžadující potvrzení přidělení administrátorských oprávnění
Ikona aplikace je "zaštítěna" UAC (zdroj: Microsoft)
Jak kontrolu uživatelského účtu vypnout?
Microsoft nechal plně na správcích systému, zda budou User Account Control používat. K vypnutí je potřeba editovat nastavení systémových politik.
Deaktivaci administrátorského schvalování provedeme kliknutím na tlačítko Start – All Programs – Accessories – Run. Zde vepíšeme secpol.msc a potvrdíme. V posledních sestaveních Windows Vista by již mělo být možné spustit secpol.msc přímo z proužku pro vyhledávání v nabídce Start, neměli jsme však zatím možnost to ověřit. Pokud je UAC v tuto chvíli aktivní, je třeba potvrdit žádost o zvýšení oprávnění. V sekci Local Security Settings zvolte Local Policies a poté Security Options. Dvojklikněte na User Account Control: Run all administrators in Admin Approval Mode, zvolte Disabled a potvrďte OK. Na stejném místě se nachází i další volby pro podrobná nastavení chování UAC ve Windows Vista.
V souvislosti s UAC nelze nezmínit i další funkce této služby. User account control je totiž úzce provázána s rodičovskou kontrolou Windows Vista, která umožňuje například definovat, ve které hodiny se smí či nesmí někteří uživatelé přihlašovat k počítači.
Rovněž souvisí se službou Windows Resource Protection (WRP), která ochraňuje zdroje systému tak, že ani administrátoři nemají oprávnění pro zápis k systémové složce %systemroot%, obyčejně tedy C:\Windows. Ta bude přístupná pouze systémovým službám. Služba WRP rovněž zajišťuje, aby instalátory aplikací nepřepsaly, nezměnily či nesmazaly kritické systémové soubory či klíče v registru. Také způsobí selhání aplikací, které se v registru pokusí přepisovat chráněné klíče či hodnoty. WRP nahrazuje z Windows XP známou službu WFP, tedy Ochranu souborů Windows.
Kontrola uživatelského účtu je výrazným zvýšením zabezpečení Windows Vista. Připodobňuje Windows modelu Linuxu, kde uživatel standardně pracuje s nízkými oprávněními, která si ad-hoc zvyšuje pouze v okamžiku, kdy jsou opravdu potřeba. Dá se předpokládat, že zavedení této funkce výrazně pomůže v boji proti šíření všelikého škodlivého softwaru. Ten totiž nebude disponovat právy k volnému šíření po počítači.
