Co to jest UAC?

UAC to skrót z j. angielskiego User Account Control, czyli kontrola konta użytkownika. Jest to mechanizm zapobiegający nieautoryzowanym zmianom wprowadzanym w naszym systemie bez naszej wiedzy. Uruchamiając system i logując się na użytkownika z prawami administratora narażamy się na potencjalne ryzyko wynikające z faktu, że każdy program uruchamiany przez nas lub w tle będzie dziedziczył prawa administratora. To powoduje, że niechciane oprogramowanie jak wirusy, konie trojańskie czy oprogramowanie szpiegowskie również będzie miało prawa administratora. Bez naszej wiedzy każdy program mógł „za naszymi plecami” robić dokładnie wszystko. Wychodząc naprzeciw takiemu zjawisku oraz chcąc uchronić nieświadomych użytkowników od potencjalnych strat Microsoft wprowadził w Windows Vista usprawnienie, które początkowo nie miało możliwości modyfikacji. Prawdę mówiąc, skutek był odwrotny do zamierzonego. Większość użytkowników nie potrafiła sobie poradzić z zaostrzoną polityką bezpieczeństwa i jako społeczność wywarła duży nacisk na producenta systemu. Usprawnieniem, które weszło w życie wraz z Service Packiem 2 do Windowsa Visty była możliwość wyłączenia kontroli konta. Rozszerzenie poprawiło nieco pracę na komputerach wyposażonych w ten system, jednak zdecydowana większość po prostu wyłączała mechanizm. W Windows 7 możliwość kontroli konta użytkownika została jeszcze bardziej usprawniona i właśnie w oparciu o ostatnią wersję jest tworzony niniejszy poradnik.

Nieoficjalne narzędzia a UAC

Zaraz po wydaniu Service Pack 2 do Windowsa Visty udostępnione zostały publicznie narzędzia, które w prosty sposób modyfikowały ustawienia UAC. Jednym z programów ułatwiających życie jest TweakUAC – prosta, darmowa aplikacja potrafiąca zmodyfikować ustawienia UAC w jedno z 3 położeń.

  • Turn UAC off now – Całkowicie wyłącza kontrolę konta (ponowne uruchomienie komputera jest wymagane)
  • Switch UAC to quiet mode – Pozostawia włączony mechanizm, jednak nie monituje gdy wymagane jest podniesienie uprawnień
  • Leave UAC on – Funkcjonalność UAC jest w pełni aktywna.

 

UAC_01

Rys. 1 – TweakUAC – okno główne programu.

Aplikacja nie wymaga instalacji i można pobrać ze strony www.tweak-uac.com

Obecnie można znaleźć w Internecie całą masę programów typu user-friendly, które dostosują w łatwy i przyjemny sposób ustawienia komputera do naszych potrzeb. Mając na względzie różnorakie pochodzenie tych programów należy mieć na względzie, że ustawienia mogą bardziej zaszkodzić niż pomóc. Nieautoryzowane programy, jako darmowe, mogą często zawierać fragmenty złośliwego kodu i wpływać destrukcyjnie na działanie komputera lub wysyłać informacje do swojego autora.

Panel kontrolny

Możliwości uruchomienia panelu kontrolnego narzędzia UAC jest kilka. Jestem zwolennikiem używania komend w systemie, a nie koniecznie szukania opcji w okienkach dlatego będę przytaczał w pierwszej kolejności komendy wywołujące akcję, a później inne metody uzyskania tego samego efektu. Aby uruchomić konsolę UAC należy wykonać jedną z poniższych czynności:

  • Uruchom UserAccountControlSettings.exe
  • Wpisz w polu ‘Wyszukaj programy i pliki’ frazę „Kontrola” i wybierz spośród wyników zagadnienie o tytule „Zmień ustawienia funkcji Kontrola konta użytkownika”
  • Otwórz START/Panel Sterowania/Konta użytkowników/Konta użytkowników/Zmień ustawienia funkcji Kontrola konta użytkownika

 

Otworzy się okno zawierające suwak, który można ustawić w jeden z czterech możliwych poziomów powiadomień systemu. Każdemu położeniu suwaka odpowiada inny poziom bezpieczeństwa systemu: od najbardziej (najwyższe położenie) do najmniej (najniższe położenie) restrykcyjnego. Standardowo suwak jest ustawiony na drugiej pozycji od góry.

UAC_02

Rys. 2 – Konfigurowanie UAC – ustawienie domyślne.

Zgodnie z opisem zawartym na stronie producenta ustawiania suwaka mają wpływ na zachowanie się systemu zgodny z tabelą na następnej stronie. Potwierdzenie zmian wiąże się jednak z posiadaniem uprawnień administratora, a co za tym idzie zwykły użytkownik nie jest w stanie naruszyć bezpieczeństwa komputera. Co do zasadności ustawień myślę, że jest to sprawa dyskusyjna i nie należy pochopnie podejmować decyzji. Najniższy możliwy poziom bezpieczeństwa to tak naprawdę krok do tyłu. Cofamy się bowiem do schematu zastosowanego w Windows XP, który opierał się o poziomy uprawnień użytkowników oraz listy kontroli dostępu ACL.

Źródło: Microsoft

Ustawienie Opis Wpływ na bezpieczeństwo
Powiadamiaj zawsze Użytkownik będzie powiadamiany przed wprowadzeniem przez programy zmian na komputerze lub w systemie Windows wymagających uprawnień administratora.

Gdy zostanie wyświetlone powiadomienie, pulpit zostanie przyciemniony, a użytkownik będzie musiał zaakceptować lub odrzucić żądanie w oknie dialogowym funkcji Kontrola konta użytkownika, zanim będzie można zrobić na komputerze cokolwiek innego. Przyciemnienie pulpitu jest nazywane bezpiecznym pulpitem, ponieważ inne programy nie mogą działać, gdy pulpit jest przyciemniony.

Jest to najbezpieczniejsze ustawienie.

Po wyświetleniu powiadomienia użytkownik powinien starannie przeczytać zawartość każdego z okien dialogowych, nim

Powiadamiaj mnie tylko wtedy, gdy programy próbują wprowadzać zmiany na komputerze Użytkownik będzie powiadamiany przed wprowadzeniem przez programy zmian na komputerze wymagających uprawnień administratora.

Powiadomienia nie będą wyświetlane, jeśli użytkownik sam wprowadzi zmiany w ustawieniach systemu Windows wymagające uprawnień administratora.

Użytkownik będzie powiadamiany, gdy program spoza systemu Windows będzie próbował wprowadzid zmiany w ustawieniach systemu Windows.

Zazwyczaj zezwolenie na wprowadzanie zmian w ustawieniach systemu Windows bez powiadamiania jest bezpieczne. Jednak niektóre programy dołączone do systemu Windows przyjmują polecenia lub dane, co może zostad wykorzystane w złośliwym oprogramowaniu, i te programy mogą byd używane do instalowania plików lub zmieniania ustawieo na komputerze. Zawsze należy zachowywad ostrożnośd, jeśli chodzi o zezwalanie na uruchamianie programów na komputerze.
Powiadamiaj mnie tylko wtedy, gdy programy próbują wprowadzać zmiany na komputerze (nie przyciemniaj pulpitu) Użytkownik będzie powiadamiany przed wprowadzeniem przez programy zmian na komputerze wymagających uprawnień administratora.

Powiadomienia nie będą wyświetlane, jeśli użytkownik sam wprowadzi zmiany w ustawieniach systemu Windows wymagające uprawnień administratora.

Użytkownik będzie powiadamiany, gdy program spoza systemu Windows będzie próbował wprowadzić zmiany w ustawieniach systemu Windows.

To ustawienie jest identyczne jak „Powiadamiaj mnie tylko wtedy, gdy programy próbują wprowadzać zmiany na komputerze”, ale powiadomienia nie są wyświetlane na bezpiecznym pulpicie.

Ponieważ przy tym ustawieniu okno dialogowe funkcji Kontrola konta użytkownika nie znajduje się na bezpiecznym pulpicie, inne programy mogą wpływać na wygląd tego okna. Jest to małe zagrożenie dla bezpieczeństwa, jeśli złośliwy program już działa w komputerze.

Nie powiadamiaj nigdy Użytkownik nie będzie powiadamiany przed wprowadzeniem jakichkolwiek zmian na komputerze. Jeśli użytkownik jest zalogowany jako administrator, programy mogą bez jego wiedzy wprowadzad zmiany na komputerze.

Jeśli użytkownik jest zalogowany jako użytkownik standardowy, wszelkie zmiany wymagające uprawnień administratora zostaną automatycznie odrzucone.

W przypadku wybrania tego ustawienia będzie konieczne ponowne uruchomienie komputera w celu ukońoczenia procesu wyłączania funkcji Kontrola konta użytkownika. Po wyłączeniu funkcji Kontrola konta użytkownika użytkownicy logujący się jako administrator zawsze będą mieć uprawnienia administratora.

Jest to najmniej bezpieczne ustawienie. Po ustawieniu opcji Nie powiadamiaj nigdy w oknie funkcji Kontrola konta użytkownika komputer zostaje otwarty na zagrożenia bezpieczeostwa.

Po ustawieniu opcji Nie powiadamiaj nigdy w oknie funkcji Kontrola konta użytkownika należy zachować ostrożność przy uruchamianiu programów, ponieważ będą one miały taki sam dostęp do komputera jak użytkownik. Obejmuje to odczytywanie chronionych obszarów systemu, danych osobowych użytkownika, zapisanych plików i wszystkich innych elementów przechowywanych na komputerze oraz wprowadzanie w nich zmian. Te programy będą mogły również przesyłać informacje ze wszystkich miejsc i do wszystkich miejsc, z którymi nawiązuje połączenie komputer, w tym Internetu.

 

Kontrola dostępu do konta a środowisko Active Directory

Dla bardziej wymagających użytkowników oraz administratorów sieci komputerowych 4-pozycyjny suwak to za mało. Nie daje to precyzyjnej kontroli nad zachowaniami systemu oraz utrudnia pracę przy administrowaniu większą ilością jednostek. Dlatego warto zapoznad się również z obiektami grup lokalnych GPO (ang. Group Policy Object), które zwiększają zakres działania. W tym celu należy uruchomid edytor zasad zabezpieczeo lokalnych korzystając z polecenia gpedit.msc, a następnie rozwinąd gałąź Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń (ang. Computer configuration\Windows settings\Security settings\Local Policies\Security options). Zasady dotyczące ustawieo UAC zaczynają się wstępem “Kontrola konta użytkownika: “ (ang. „User Account Control: ”). Do tego samego etapu możemy również dojśd poprzez otwarcie konsoli dotyczącej bezpieczeostwa systemu secpol.msc. W tym przypadku wystarczy jedynie rozwinąd gałąź Zasady lokalne\Opcje zabezpieczeń. Nazewnictwo zasad jest identyczne.

Do dyspozycji pozostaje 10 zasad, których opis znajduje się w poniższej tabeli

Nazwa ustawienia
Znaczenie Domyślne ustawienie
Podnieś uprawnienia tylko tych aplikacji z poziomem UIAccess, które są zainstalowane w bezpiecznych lokalizacjach To ustawienie zabezpieczeo kontroluje, czy aplikacje żądające wykonywania z poziomem integralności UIAccess muszą znajdowad się w bezpiecznej lokalizacji w systemie plików. Bezpieczne lokalizacje ograniczają się do następujących katalogów:
– …\Program Files\ wraz z podkatalogami,
– …\Windows\system32,
– …\Program Files (x86)\ wraz z podkatalogami dla 64-bitowych wersji systemu Windows.
włączone
Podnieś uprawnienia tylko tych plików wykonywalnych, które są podpisane i mają sprawdzoną poprawność To ustawienie zabezpieczeo wymusza sprawdzanie podpisów infrastruktury kluczy publicznych (PKI) dla każdej aplikacji interakcyjnej, która żąda podniesienia uprawnień. Administratorzy przedsiębiorstwa mogą kontrolowad listę dozwolonych aplikacji administratora przez dodanie certyfikatów znajdujących się w magazynie zaufanych wydawców na komputerach lokalnych. wyłączone
Przełącz na bezpieczny pulpit przy monitowaniu o podniesienie uprawnień To ustawienie zabezpieczeń kontroluje, czy monit związany z żądaniem podniesienia uprawnieo pojawi się na pulpicie użytkowników interakcyjnych, czy na pulpicie bezpiecznym. włączone
Użyj trybu zatwierdzania przez administratora dla wbudowanego konta administratora To ustawienie zasad steruje sposobem działania trybu zatwierdzania przez administratora dla wbudowanego konta administratora. wyłączone
Włącz tryb zatwierdzania przez administratora To ustawienie zabezpieczeo kontroluje zachowanie wszystkich zasad funkcji Kontrola konta użytkownika dla komputera. włączone
Wirtualizuj błędy zapisu plików i rejestru w lokalizacjach poszczególnych użytkowników To ustawienie zabezpieczeo kontroluje przekierowywanie błędów zapisu starszych aplikacji do zdefiniowanych lokalizacji zarówno w rejestrze, jak i w systemie plików. Ta funkcja ogranicza aplikacje, które wcześniej były uruchamiane z uprawnieniami administratora i zapisywały dane aplikacji w czasie wykonywania do katalogów %ProgramFiles%, %Windir%, %Windir%\system32 lub HKLM\Software\. włączone
Wykryj instalacje aplikacji i monituj o podniesienie uprawnień To ustawienie zabezpieczeń steruje zachowaniem wykrywania instalacji aplikacji dla komputera. włączone
Zachowanie monitu o podniesienie uprawnień dla administratorów w trybie zatwierdzania przez administratora To ustawienie zabezpieczeo określa zachowanie monitu o podniesienie uprawnień dla administratorów Monituj o zgodę na pliki binarne niepochodzące z systemu Windows
Zachowanie monitu o podniesienie uprawnień dla użytkowników standardowych To ustawienie zabezpieczeń określa zachowanie monitu o podniesienie uprawnień dla użytkowników standardowych Monituj o poświadczenie
Zezwalaj aplikacjom z funkcją UIAccess na monitowanie o podniesienie uprawnień bez używania bezpiecznego pulpitu. To ustawienie zabezpieczeń kontroluje, czy programy z funkcją dostępności interfejsu użytkownika (UIAccess lub UIA, User Interface Accessibility) mogą automatycznie wyłączad bezpieczny pulpit na potrzeby monitowania o podniesienie uprawnieo przez użytkownika standardowego. wyłączony

Możliwe opcje przy Zachowaniu monitu o podniesienie uprawnień dla administratorów w trybie zatwierdzania przez administratora:

    • Podnieś uprawnienia bez monitowania: dzięki tej opcji użytkownicy kont z uprawnieniami mogą wykonywać operacje wymagające podniesienia uprawnień bez zgody ani poświadczeń. Uwaga: tej opcji należy używad tylko w środowiskach z największymi ograniczeniami.
    • Monituj o poświadczenia na bezpiecznym pulpicie: operacja wymagająca podniesienia uprawnieo użytkownika spowoduje utworzenie na bezpiecznym pulpicie monitu o wprowadzenie nazwy użytkownika z uprawnieniami i hasła. Jeśli użytkownik poda prawidłowe poświadczenia, operacja będzie kontynuowana z największymi dostępnymi uprawnieniami użytkownika.
    • Monituj o zgodę na bezpiecznym pulpicie: operacja wymagająca podniesienia uprawnieo spowoduje utworzenie monitu dla użytkownika bezpiecznego pulpitu o wybranie opcji zezwolenia lub odmowy. Jeśli użytkownik wybierze opcję zezwolenia, operacja będzie kontynuowana z najwyższymi dostępnymi uprawnieniami.
    • Monituj o poświadczenia: operacja wymagająca podniesienia uprawnieo spowoduje utworzenie monitu dla użytkownika o wprowadzenie nazwy użytkownika administracyjnego i hasła. Jeśli ten użytkownik wprowadzi prawidłowe poświadczenia, operacja będzie kontynuowana z odpowiednimi uprawnieniami.
    • Monituj o zgodę: operacja wymagająca podniesienia uprawnieo spowoduje utworzenie monitu dla użytkownika o wybranie opcji zezwolenia lub odmowy. Jeśli użytkownik wybierze opcję zezwolenia, operacja będzie kontynuowana z najwyższymi dostępnymi uprawnieniami.
    • Monituj o zgodę na pliki binarne niepochodzące z systemu Windows (wartość domyślna): operacja związana z aplikacją firmy innej niż Microsoft wymagająca podniesienia uprawnień spowoduje utworzenie monitu dla użytkownika bezpiecznego pulpitu o wybranie opcji zezwolenia lub odmowy. Jeśli użytkownik wybierze opcję zezwolenia, operacja będzie kontynuowana z najwyższymi dostępnymi uprawnieniami.

 

UAC_03

Rys. 3 – Zachowaniu monitu o podniesienie uprawnieo dla administratorów w trybie zatwierdzania przez administratora

Możliwe opcje przy zachowaniu monitu o podniesienie uprawnień dla użytkowników standardowych:

  • Monituj o poświadczenia: operacja wymagająca podniesienia uprawnień spowoduje utworzenie monitu dla użytkownika o wprowadzenie nazwy i hasła użytkownika administracyjnego. Jeśli użytkownik wprowadzi prawidłowe poświadczenia, operacja będzie kontynuowana z odpowiednimi uprawnieniami.
  • Automatycznie odrzucaj żądania podniesienia: operacja wymagająca podniesienia uprawnieo powoduje wyświetlenie konfigurowanego komunikatu o odmowie dostępu. W przypadku przedsiębiorstw, w których są używane pulpity standardowych użytkowników, można wybrać to ustawienie, aby ograniczyć liczbę zgłoszeń pomocy technicznej.
  • Monituj o poświadczenia na bezpiecznym pulpicie (wartość domyślna): operacja wymagająca podniesienia uprawnień spowoduje utworzenie monitu dla użytkownika o wprowadzenie innej nazwy i hasła innego użytkownika. Jeśli użytkownik wprowadzi prawidłowe poświadczenia, operacja będzie kontynuowana z odpowiednimi uprawnieniami.

 

UAC_04

Rys. 4 – Ustawienia zabezpieczeń lokalnych

Temat opracował: Radosław Podgórski