Тайны и странности User Account Control в Windows Vista
У нас есть вопрос для пользователей Windows XP: Многие ли из вас используют ограниченные учетные записи в Windows XP? Поднимите руки…
Не удивительно, не многие. Ограниченные записи Windows XP, к сожалению, действительно ограниченные. Множество программных приложений работают не корректно или совсем не работают в ограниченных учетных записях, потому что разработчики этих приложений просто не следуют установленным правилам. Как результат – бОльшая часть пользователей Windows XP – как бы это грозно ни звучало, системные администраторы. Запуск приложений с привилегиями администратора – основная причина многих и многих проблем и претензий, связанных с безопасностью в Windows XP.
Даже если приложение работает корректно в ограниченной учетной записи в Windows XP, возникают другие неудобства. Нет возможности установить программу или драйвер, например. Если вам необходимо совершить действие, требующее администраторских привилегий, то необходимо отключить данного пользователя и зайти в качестве администратора системы.
Windows Vista расширяет границы ограниченных учетных записей пользователей, которые теперь получили название "standard user accounts" – стандартные учетные записи. Давайте посмотрим, как работают такие учетные записи и какие преимущества можно получить от их использования.
Настройка учетных записей Vista
В недавно появившейся второй бета-версии Windows Vista, по-прежнему, учетная запись, создаваемая при установке системы на компьютер – учетная запись администратора. На самом деле, вы даже не встретитесь с приглашением ОС создать еще пару учетных записей, к котором мы уже привыкли при установке Windows XP. Вместо этого будет создан единственная учетная запись, но информация по типу данной учетной записи будет недоступна. Это и есть учетная запись администратора.
При создании учетной записи необходимо как-то указать, что именно эта запись является основным основной записью Администратора – назвать ее типа «admin» или что-то в этом роде. Также именно для этой учетной записи необходимо создать устойчивый для брутфорса пароль. Но если вы – в большей мере домашний пользователь и не имеете подключения к Интернет, то пароль может быть довольно-таки прост – для удобства набора.
Перед запуском процесса регистрации новых учетных записей необходимо убедиться, что установлены работающие драйвера, обновления ОС и приложения, которые позволено запускать каждому пользователю ПК. После выполнения этих операций можно приступать к созданию учетных записей пользователей. Сначала необходимо создать запись для себя как владельца данной системы. Эта запись должна иметь стандартный тип. Данные операции могут быть выполнены через панель управления "User Accounts and Family Safety". Стоит сказать, что сам процесс создания учетных записей практически не отличается от такового в Windows XP, поэтому трудностей не должно возникнуть.
В данном примере я использовал три учетных записи: Case (основной Администратор), Loyd – стандартная учетная запись и Kid – запись для моего гипотетическего ребенка. Обратите внимание, что сам я не последовал своему совету в названии основного аккаунта - это всего лишь пример.
Будем считать, что вы довольны своей стандартной учетной записью.Теперь вам потребовалось установить какое-либо приложение или драйвер. Вы вставляете CD в привод и программа автозапуска диска пытается выполнить файл SETUP.EXE, расположенный на диске. Появляется окошко следующего вида:
Вот почему полезно иметь устойчивый к взлому, но довольно-таки простой для запоминания пароль – придется частенько его вводить. И если в системе имеются еще пользователи со стандартной учетной записью, им для устновки программного приложения потребуется вмешательство администратора.
И еще одно интересное замечание: должны ли члены вашей семьи знать администраторский пароль? Благодаря тому, что учетные записи в Vista более гибкие в настройке, а также тому, что будущие приложения для Vista обещают быть более дружественными к учетным записям, наш ответ – нет, не должны. Конечно же, можно выдать пароль грубому подростку или расстроеной супруге – это,собственно, ваше дело. Но запомните: если будут проблемы, только вы будете их решать.
Родительский контроль
Windows Vista в ближайшем будущем предложит пользователям высокую степень гибкости в управлении доступом к различным типам приложений. В некотором смысле "родительский контроль" – это неправильное название, потому как это применимо только к детям. К примеру, кто-то, кто управляет ПК в небольшой сети компании, может использовать родительский контроль для запрета запуска какого-либо типа приложений или запрета запуска приложений согласно расписанию. Давайте посмотрим, как это может быть применено в жизни.
Панель родительского контроля доступна из панели управления учетными записями. По умолчанию родительский контроль отключен, поэтому первое, что стоит сделать – включить его.
Используем гипотетический аккаунт "Kid" для иллюстрации того, как данная функция может использоваться для подростка, использующего компьютер ежедневно для игр и веб-серфинга.
В данном частном случае мы только ограничили доступ к некоторым веб-сайтам – точнее порнографическим и террористическим сайтам. Если б мы хотели быть действительно строгими, мы могли бы заблокировать все сайты. Помните, это только пример того, что можно сделать: ваш выбор может диктоваться только вашими конкретными задачами.
Следующая вещь, которую необходимо сделать – это создать расписание, по которому разрешен доступ к компьютеру. Большинство родителей хотят, чтобы их дети и спали тоже. Старые трюки типа чтения книг под одеялом с фонарем уже устарели относительно World of Warcraft или Civilization 4. Конечно, если вы установите запрет на доступ к ПК, вам необходимо следить, чтобы под одеялом случано не оказалась Nintendo DS…
Установить запрет на доступ по временным интервалам достаточно просто. В панели управления пользователя есть кнопочка "Time Limits" – Временные интервалы. После нажатия этой кнопки появляется календарь. Все, что нужно сделать, так это нажать левую кнопку мыши на определенном времени в календаре и просто отметить количество времени, в течение которого доступ к компьютеру будет запрещен.
Запрет доступа к компьютеру с 15.00 до 21.00 по выходным выглядит, мягко говоря, странным. Но это только пример, чтобы убедиться в работоспособности данной функции. Как мы и ожидали, при попытке войти в пользователя Kid и после успешной загрузки пользователя, в течение пары минут мы были насильственно выгружены из пользователя.
Запрет запуска игр
Наш гипотетический пользователь Kid до-подросткового возраста и мы хотим запретить доступ к играм для подростков и взрослых. Родительский контроль в Windows Vista позволяет установить права доступа к играм на основе рейтинга ESRB (entertainment software ratings board – доска рейтингов развлекательного ПО).
Все опции доступны только благодаря разработчикам и приводятся в соответствие с ESRB-рейтингом.
В конце концов, вам может потребоваться запретить запуск определенных приложений. Это можно сделать довольно просто – необходимо на панели настроек учетных записей выбрать дополнительную панель, на которой написано "Allow and block specific programs" – разрешить и запретить приложение.
Для уровня второй бета-версии Vista этот тип контроля работает достаточно хорошо, но все-таки не лучшим образом. И как Джейсон Кросс заметил в статье Будут ли наши любимые игры работать в Vista? бОльшая часть существующих игр не отображается в Windows Games Explorer и эти игры не получают рейтинг ESRB. К примеру, мы установили Doom 3 и наш пользователь Kid без проблем играл в нее до тех пор, пока мы не запретили запуска самого Doom 3.exe, хотя мы пытались установить запрет на запуск целого класса игр, соответствующих рейтингу mature и adults-only.
Тем не менее, нам в лице пользователя Kid удалось запустить игру, используя приложение Run (Выполнить), просто указав прямой путь к exe-файлу. Кстати, пользователь Kid не может войти в папку Program Files и запустить игру простым двойным кликом. Поэтому пользователь Kid смог в итоге запустить Doom 3 из коммандной строки. Microsoft нужно еще поработать над этим видом родительского контроля.
Также должен сказать, что большинство описаний для игр пока еще недоступны во второй бета-версии Vista, но по словам представителей Microsoft, и морально устаревшие игры будут корректно отображаться в Games Explorer и также корректно блокироваться органами управления родительским контролем.
Будет ли устаревшие приложения работать в Vista?
Одна из функций безопасности, встроенных в управление учетными записями Vista, - невозможность записи файлов в определенные области жесткого диска и файловой системы, а точнее в такие папки, как Windows или Program Files. Тем не менее, большинство приложений для Windows XP удачно записывает временные файлы в эти папки, другие папки, доступ к которым запрещен, а также в реестр. Windows Vista имеет интересную функцию, называемую "file system and registry virtualization" – виртуализация файловой системы и реестра. В этом случае Vista заставляет приложение думать, что оно записывает данные в одно место на диске, когда как Vista перенаправляет данные в другую – более безопасную область жесткого диска – точнее папку с пользовательскими файлами и настройками.
Заключение
Если вы пользователь Windows XP, то и наверняка вы станете пользователем Vista. А если так, вам потребуется реализовать все преимущества учетных записей. Усовершенствования в системе безопасности и контроля перевешивают все неудобства. Да, пока есть некоторые недочеты типа запуска запрещенных приложений из коммандной строки. В любом случае ваша система станет более стабильной, а пользователи этого ПК более защищенными, несмотря на простоту управления учетными записями.
Надеюсь, что с выходом Vista закончится эпоха «домашних» администраторов. Не зря ведь Microsoft старается запретить администраторский доступ тем пользователям, которым он действительно не нужен. Если Microsoft сама осознала всю опасность использования администраторских учетных записей обычными пользователями, может, и нам стоит подумать обэтом.
Источник:
Перевод: deeper2k
Комментарии
У меня есть один знакомый, который сознательно себя (account) понижает до Power User в Windows XP. Для тех, кто знает что к чему, как устроена система и пр. UAC конечно портит нервы, но вот для таких пользователей - это находка. Большое спасибо Microsoft за эту фичу. Причем, я думаю, это не требование пользователей, а требование работников IT. Как я страдал от ее отсутсвия, кто бы знал.
>>Как я страдал от ее отсутсвия, кто бы знал.
Ну теперь будет страдать от ее присутствия
А как эту хрень отключить-то или сделать менее назойлевее
Зделали бы просто — нажать "открыть от имени админа" с запоминанием этих свойств и всё и без этого напоминания разрешить или нет, вы это нажали или нет
По теме
- Windows Vista официально "мертва"
- Завтра прекращается поддержка Windows Vista
- Остался последний месяц поддержки Windows Vista
- 11 апреля Microsoft прекратит поддержку Windows Vista
- Через год прекращается поддержка Windows Vista
- Microsoft открыла исходный код Open XML SDK
- Баллмер: Longhorn/Vista - моя самая серьезная ошибка
- Сегодня заканчивается бесплатная фаза поддержки Windows Vista и Office 2007
- Microsoft продлила срок поддержки Windows Vista и Windows 7
- Практики обеспечения безопасности Microsoft - лучшие в мире