V sobotu 2. listopadu proběhla mohutná oslava naší plnoletosti !!
Multimediaexpo.cz je již 18 let na českém internetu !!

User Account Control

Z Multimediaexpo.cz

Verze z 5. 10. 2008, 10:57; Sysop (diskuse | příspěvky)
(rozdíl) ← Starší verze | zobrazit aktuální verzi (rozdíl) | Novější verze → (rozdíl)

User Account Control (UAC) je bezpečnostní technologie poprvé představena v operačním systému Microsoft Windows Vista. Zvyšuje bezpečnost Microsoft Windows omezením oprávnění aplikacím na úroveň uživatele dokud administrátor nepotvrdí zvýšení práv aplikace. Pouze aplikace kterým uživatel věří dostanou vyšší oprávnění a malwaru je zabráněno obdržení oprávnění k poškození systému. Jinými slovy uživatelský účet může mít administrátorská oprávnění, ale aplikace pouštěné uživatelem nikoli. Pouze aplikace u kterých bylo předem nastavena vyšší oprávnění nebo ty které uživatel dočasně povolí na dotaz systému.

Aby se zamezilo komunikaci aplikace s nižšími právy s aplikaci s vyššími právy je použita jiná technologie, UIPI je spolu s UAC použito k izolaci procesů od sebe. Jedna z předních aplikací využívající tohoto systému je Internet Explorer 7.0 v „Protected Mode“.

Přehled

Před vydáním Windows XP byly všechny předešlé verze Windows zaměřeny na spotřebního uživatele (například Windows 95, Windows 98 a Windows Me), jednouživatelské operační systémy kde uživatel měl superuživatelské oprávnění. na druhé straně Windows XP je multi-uživatelský operační systém založený na Windows NT. Díky tomu bylo možné aby každý uživatel mohl mít odlišnou úroveň oprávnění a přístupů.

Nicméně ve Windows XP první uživatel založen při instalaci systému měl defaultně administrátorská oprávnění. Jako takový, většina uživatelů mohla používat tento účet pro každodenní užití. To zapříčinilo že veškerý software, vč. malware, běželo s administrátorskými oprávněními, čímž dostaly plný přístup do operačního systému.

Mnoho aplikací pro Windows nebylo či nejsou naprogramovány, aby fungovaly bez administrátorských oprávnění. Běh těchto aplikací jako běžný uživatel nebo jako superuživatel může vést k chybám, nebo podivnému chování aplikací. Jako takové bylo běžné dát uživatelům plně administrátorský účet pro běžnou práci.

Na rozdíl od toho Operační systémy založeny na Unixu (Linux) byly vždy navrhovány pro Multi-uživatelský přístup, s několika bezpečnostními úrovněmi. Aplikace vytvářené pro tyto platformy s tím počítaly a podrobily se tomu.

Při využití User Account Control v systémech Windows Vista a Windows Server 2008 vyžadují akce, které můžou ovlivnit bezpečnost a stabilitu operačního systému, před provedením zapsat administrátorské jméno a heslo. Pokud je uživatel administrátor, nemusí znovu zadávat jméno a heslo. Místo toho se zobrazí dialogové okno s možnostmi kterou akci povolit nebo ne.

Při přihlašování se do Windows jako běžný uživatel, vytvoří se přihlašovací relace a token obsahující pouze nejzákladnější oprávnění. V tomto případě, nové přihlášení je neschopné udělat změnu, která by mohla ovlivnit celý systém. Po přihlášení jako uživatel administrátorské skupiny jsou přiřazeny 2 samostatné tokeny. První token obsahuje všechna oprávnění připadající administrátorovi, a druhý token je omezený na to co dostane standardní uživatel. Uživatelské aplikace, včetně (Windows Shell), jsou spuštěny s omezeným tokenem. Výsledkem jsou omezená oprávnění dokonce pod administrátorským účtem. Když si aplikace vyžádá vyšší oprávnění nebo je klepnuto na „Spustit jako administrátor“, vyskočí UAC okno s potvrzením, a pokud je potvrzeno, začne proces s administrátorskými právy.

Externí odkazy