Hvis du ønsker å lese de andre artiklene i denne serien kan du gå til:
Group Policy Extensions i Windows Vista og Windows Server 2008, del 1
Å være at sikkerheten var Microsofts største bekymring når du utvikler Windows Server 2008 og Windows Vista, bør det ikke komme som noen overraskelse at noen av de nye gruppepolicyinnstillinger er spesielt knyttet til hvordan disse ulike nye sikkerhetsfunksjonene er implementert. Jeg vil begynne denne artikkelen ved å snakke om gruppepolicyinnstillinger som er relatert til en ny sikkerhetsfunksjon kalt User Account Protection (også referert til i noen Microsoft-dokumenter som User Account Control eller UAC).
I tilfelle du ikke er kjent med User Account Protection det er en sikkerhetsfunksjon som skal beskytte Windows mot brukere med høye tillatelser. I en Windows XP-miljø, var det som regel nødvendig for brukerne å ha lokale administrative tillatelser i orden for dem å være i stand til å gjøre jobben sin. Ved utforming Vista, tok Microsoft en lang, hard titt på hva evner brukere virkelig trengte, og rullet de evner i standard brukerkontoer slik at brukerne skulle slippe å få innvilget lokale administrative rettigheter. For eksempel, noen av de oppgavene som Windows Vista tillater en mobil bruker å utføre uten å ha administrative rettigheter omfatter installere en skriverdriver, inn en WEP-nøkkel, konfigurere en VPN-tilkobling, og installere programoppdateringer Account Protection bruker:. Er ikke bare om å gi brukerne flere tillatelser. Funksjonen er også designet for å beskytte administratorer fra seg selv. Selv om noen er logget inn som administrator, behandler Windows som brukeren som en standardbruker. Dersom brukeren forsøker å utføre en handling som krever administrative rettigheter, spørres brukeren om hvorvidt det er OK å midlertidig heve sine privilegier for å utføre oppgaven
. Administratorer har også muligheten til å være pålogget som standard-brukere. Hvis en standardbruker trenger for å utføre en handling som krever administrative rettigheter, trenger de ikke å bruke Kjør-som-kommandoen. I stedet vil Vista automatisk be dem om å legge inn et sett med legitimasjon som kan brukes for denne oppgaven.
Nå som jeg har gitt deg litt bakgrunnsinformasjon om hva User Account Protection er, og hvordan det fungerer, la oss ta en titt på gruppe policyinnstillinger som er relatert til User Account Protection. Som de fleste av de andre gruppepolicyinnstillinger som jeg har diskutert i denne serien, gruppepolicyinnstillinger som jeg er i ferd med å vise at du er bare kompatibel med Windows Server 2008 og Windows Vista. Derfor, før Windows Server 2008 er lansert og du har en Windows Server 2008 basert domenekontroller på nettverket, vil disse gruppepolicyinnstillinger må settes på den lokale datamaskinen nivået i hierarkiet group policy.
Group Policy innstillinger relaterte å Beskyttelse av brukerkonto kan bli funnet i Group Policy Object konsollen på Computer Configuration | Windows Innstillinger | Sikkerhetsinnstillinger | Lokale policyer | Sikkerhetsalternativer. Du kan se antallet tilgjengelige policyinnstillinger vist i figur A.
Figur A: Dette er de gruppepolicyinnstillinger knyttet til Vista User Account Protection funksjonen
Som du kan se i figuren, denne beholderen inneholder mange innstillinger som ikke er relatert til User Account Protection. Innstillinger for brukerkonto Protection er plassert nederst på skjermen
første innstillingen som er relatert til User Account Control er Brukerkontokontroll. Modus for administratorgodkjenning for den innebygde administratorkontoen setting. Dette alternativet, som er aktivert som standard, gjør at bygget i administratorkonto for å bli behandlet som en standardbruker. Enhver handling som krever administrative rettigheter vil få Windows til å spørre brukeren om tillatelse før handlingen utføres. Hvis dette alternativet er deaktivert, da Vista vil oppføre seg mer som Windows XP. Den innebygde administratorkontoen vil bli behandlet som en sann administrator og brukeren vil aldri bli bedt om å gi Windows tillatelse til å utføre en handling
neste tilgjengelige alternativet er Brukerkontokontroll. Opptreden av Elevation Prompt for administratorer i Admin Godkjenning Mode alternativet. Som du allerede vet, er Vista utformet slik at det ikke vil utføre en administrativ handling uten en administrator samtykke. Dette alternativet lar deg kontrollere hva slags samtykke administrator må gi for at den forespurte handlingen skal være ferdig.
Standardalternativet er en enkel rask om samtykke. Dette betyr at en administrator vil bli spurt om de ønsker å tillate eller nekte forsøkt handling. Som et alternativ, kan en administrator bli spurt om legitimasjon. Dette vil tvinge en administrator å oppgi sitt passord før du utfører eventuelle administrative handlinger. Dette alternativet har en tendens til å være smertefullt å bruke, men er verdt å vurdere i høye sikkerhetsmiljøer.
Det siste alternativet er å heve tillatelsene uten å spørre administratoren å godkjenne handlingen. Jeg anbefaler ikke å bruke dette alternativet.
Akkurat som Windows Vista grenser hva en administrator kan gjøre uten tillatelse, også begrenser det mulighetene til en standardbruker. Du kan kontrollere hva som skjer når en standard brukeren forsøker å utføre en handling som krever utvidede rettigheter ved hjelp av User Account Control:. Opptreden av Elevation Spør for vanlige brukere innstilling
Når en standard bruker forsøker å utføre en handling som krever en heving av privilegier, kan en av to ting skje. Brukeren kan enten bli bedt om å oppgi administratorrettigheter, eller anmodningen kan automatisk avslått uten at brukeren blir bedt om det. Som standard blir standardbrukere bedt om administrative rettigheter hvis de opererer i et hjemmemiljø, men høyde forespørsler blir automatisk nektet for brukere som opererer i et bedriftsmiljø.
Selv om Windows Vista er utformet for å kreve en heving av privilegier for bestemte typer handlinger, kan noen typer av handlinger være konfigurert slik at de kan utføres uten at en heving av privilegier. Ett eksempel på dette er programvareinstallasjon. Brukerkontokontroll: Finn programinstallasjoner og Spør for Elevation innstillingen lar programmer som skal installeres uten å kreve en heving av privilegier
ikke krever en heving av privilegier for installering av programvare kan virke mot sin hensikt i starten, men det er en legitim bruk. for denne innstillingen. Bedriftsmiljøer, er programmer vanligvis utplassert gjennom en gruppe policy setting, eller gjennom en SMS Server, eller en tilsvarende mekanisme. I slike situasjoner vil det være upraktisk å kreve en administrator for å godkjenne handlingen på alle stasjonære, hver gang et program er installert. Derfor kan du deaktivere meldingen for en heving av privilegier i slike miljøer. Husk at dette ikke betyr at vanlige brukere vil være i stand til å installere programmer. Det betyr bare at de som har de riktige tillatelsene ikke vil bli hindret av en heving av privilegier rask.
Konklusjon
I denne artikkelen har jeg forklart at Brukerkontokontroll er en av de center av Windows Vista sikkerhet. User Account Control gjør Windows Vista mye mer motstandsdyktig mot malware infeksjoner enn tidligere versjoner av Windows var. Å være at User Account Control er en så viktig sikkerhetsfunksjon, er det avgjørende at administratorer vite hvordan du konfigurerer den til å oppfylle organisasjonens sikkerhetsbehov. Bilde: I del 4 av denne serien, jeg vil diskusjonen
Hvis du ønsker å lese de andre artiklene i denne serien kan du gå til å fortsette med å snakke om flere Brukerkontokontroll relaterte innstillinger.
gruppepolicy Extensions i Windows Vista og Windows Server 2008, del 1
Datamaskin læring 