10.února 2007

PC a internet Windows Vista: User Account Control

V tomto článku se pokusím zjednodušeně popsat, jak funguje ve Windows Vista User Account Control (UAC) . Windows Vista podporuje standardně dva typy uživatelů: Users a Administrators. Uživatelé skupiny Users mají omezená oprávnění a nemohou vykonávat určité činnosti, jako je třeba instalovat nové programy. Uživatelé skupiny Administrators běželi doposud s plným oprávněním k systému a mohli dělat cokoliv. Ve Windows Vista se ale tato vlastnost změnila tak, že i uživatelé skupiny Administrators běží pouze s omezeným oprávněním a teprve ve chvíli, kdy aplikace, kterou se snaží spustit, požaduje vyšší oprávnění, přiřadí tomuto uživateli požadovaná oprávnění.

Na pozadí Windows to potom funguje asi tak, že každý uživatel, když se přihlásí, dostane svůj token, ve kterém je vyplněné, co smí a nesmí na počítači dělat. U běžného uživatele je vyplněno, že smí dělat pouze některé věci a ostatní ne. Administrátor měl dříve vyplněno, že smí dělat všechno. Ve Windows Vista má ovšem vyplněnu jen tu část tokenu, jako běžný uživatel a ve chvíli, kdy potřebuje vyšší oprávnění, je mu do tokenu doplněno.

V praxi se potom User Account Control (UAC) projeví například, když se pokusíte pod účtem s administrátorskými právy spustit například Microsoft Windows Disk Cleanup. Vyskočí na vás varování, že se pokoušíte přistupovat k administrátorské části vašeho tokenu a zda má být tento přístup povolen.

Jelikož u některých programů by mohlo být toto neustálé dotazování obtěžující, je možno jednotlivým aplikacím nastavit, že se budou vždy automaticky spouštět s administrátorským tokenem. (Mě to ovšem nějak nefunguje, nebo mi něco uniklo.) Nastavit to potom lze ve vlastnostech programu (Properties) v záložce Compatibility pod Privilege Level je třeba zvolit Run this program as an administrator. V případě, že tam tato volba není, je to dáno tím, že aplikace nevyžaduje administrátorský token ke svému běhu.

User Account Control lze samozřejmě i vypnout (i když tuto možnost bych raději nedoporučoval.) Chcete-li změnit toto nastavení, je třeba v příkazové řádce spustit secpol.msc a zvolit Local Policies a Security Option.

Zapnout a vypnout Admin Aproval Mode lze potom v klíči:

User Account Control: Run all users, including administrators, as standard user

Zapnout a vypnout Admin Aproval Mode pro instalaci nových programů lze potom v klíči:

User Account Control: Elevate on Application installs

Změnit způsob dotazování lze potom v klíčích:

Account Control: Behavior of the elevation prompt for administrators
Account Control: Behavior of the elevation prompt for standard users

Tady si lze vybrat ze tří možností: No prompt, Prompt for credentials (toto nastavení potom bude požadovat uživatelské jméno a heslo pro pokračování) a Prompt for consent (toto je pro Administrátory defaultní nastavení.)

Volby Secpol.msc

User Account Control ve Windows Vista je významným krokem k zabezpečení počítačů, kde většina uživatelů je zároveň administrátory svých počítačů. V takovém případě mají pod kontrolou, kdy nějaká aplikace opravdu chce využít administrátorských práv a zabránit tam například nechtěnému instalování virů a spywaru z internetu. Bohužel ale ani tato funkcionalita nemůže zabránit bezhlavým klikačům, kteří nečtou, na co klikají, v destrukci svého operačního systémů.


Další možnost, jak vypnout/zapnout UAC je pomocí registry. Zapnout UAC lze takto:

C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 1 /f

Vypout UAC

C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f

Komentáře čtenářů

