(+84) 463.28.7979

Tìm hiểu User Account Control Windows 7


Nó cung cấp cho người dùng một khu vực an ninh có thể bảo vệ tài khoản của họ và phần còn lại của hệ thống. Với triển khai ở các công ty, các nguyên tắc cài đặt bằng quản lý IT desktop không thể override, và trên các máy tính dùng chung ở nhà, những tài khoản người dùng khác nhau được bảo vệ không bị những tài khoản khác thay đổi.

Tuy nhiên, Windows đã có một lịch sử lâu dài khi người dùng điều hành với quyền quản trị. Kết quả là phần mềm được phát triển để chạy trong tài khoản quản trị và lấy các lệ thuộc, thường là không cố ý, trên các quyền quản trị. Để kích hoạt thêm nhiều phần mềm để chạy với quyền người dùng chuẩn và giúp các developer viết các ứng dụng có thể chạy với quyền người dùng chuẩn, Windows Vista giới thiệu User Account Control (UAC). UAC là một tập hợp các công nghệ bao gồm file hệ thống và registry ảo hoá, tài khoản Protected Administrator (PA) , prompt UAC, và các mức Windows Integrity hỗ trợ những mục đích này.

Windows 7 tiếp tục đưa những mục tiêu của UAC với những công nghệ nằm bên dưới ít thay đổi. Tuy nhiên, nó cũng giới thiệu hai chế độ mới mà tài khoản PA của UAC có thể hoạt động với và một máy auto- elevation cho các thành phần Windows được tích hợp. Trong bài này, tôi sẽ nói về động lực phía sau các công nghệ của UAC, xem lại mối quan hệ giữa UAC và bảo mật, mô tả hai chế đọ mới này, và giải thích cách thức auto-elevation làm việc. Chú ý là thông tin trong bài này thể hiện hành vi của bảng release Windows 7, có một số khác biệt với bản beta.

Các công nghệ UAC

Thành phần cơ bảnh và cái lợi trực tiếp nhất của công nghệ UAC là đơn giản làm cho Windows thân thiện với người dùng chuẩn hơn. Ví dụ ở đây khác với các yêu cầu tiên quyết của cài đặt time zone trong Windows XP và Windows Vista. Trong Windows XP, thay đổi time zone – thực tế, thậm chí nhìn cả vào time zone với applet control pane – cũng yêu cầu quyền quản trị.

Đó là lý do mà Windows XP không phân biệt được giữa thay đổi thời gian, là hệ điều hành an ninh nhạy cảm, từ thay đổi time zone, chỉ đơn thuần ảnh hưởng cách thời gian hiển thị. Trong Windows Vista (và Windows 7), thay đổi time zone không phải là hoạt động thuộc quyền quản trị và applet control panel tách biệt hoạt động quản trị khởi hoạt động của người dùng chuẩn. Thay đổi này cho phép nhiều doanh nghiệp cấu hình những người dùng di động với tài khoản người dùng chuẩn, bởi vì những người dùng có thể thay đổi time zone để thể hiện vị trí hiện tại của họ. Windows 7 còn đi xa hơn, thực hiện những việc như refresh địa chỉ IP của hệ thống, dùng Windows Update để cài đặt các update và driver tuỳ chỉnh, thay đổi biểu hiện DPI, và nhìn các cài đặt tường lửa hiện hành có thể được truy cập từ người dùng chuẩn.

File hệ thống và registry ảo hoá làm việc phía sau hậu trường để giúp nhiều ứng dụng tình cờ dùng quyền quản trị để điều hành hiệu quả mà không cần chúng. Sử dụng không cần thiết thông thường nhất của các quyền quản trị là lưu trữ các cài đặt ứng dụng hay dữ liệu người dùng trong các khu vực của registry hay file hệ thống được hệ thống sử dụng. Một số ứng dụng kế thừa lưu trữ các cài đặt của chúng trong phân chia system-wide của registry(HKEY_LOCAL_MACHINE\Software) thay vì phân chia mỗi người dùng (HKEY_CURRENT_USER\Software), ví dụ, registry ảo hoá làm chuyển hướng cố gắng để viết đến vị trí hệ thống đến cái ở HKEY_CURRENT_USER (HKCU) khi vẫn duy trì tính tương thích của ứng dụng.

Tài khoản PA được thiết kế để khuyến khích developer viết các ứng dụng của họ để chỉ yêu cầu quyền của người dùng chuẩn khi vẫn cho phép nhiều ứng dụng chia sẻ tình trạng giữa các thành phần quản trị và thành phần người dùng chuẩn tiếp tục làm việc. Mặc định, tài khoản đầu tiên trên hệ thống Windows Vista hay Windows 7, trước đây là tài khoản quản trị đầy đủ trên các phiên bản trước của Windows, là tài khoản PA. Bất kì tài khoản nào là một người dùng PA hướng dẫn được điều hành với quyền người dùng chuẩn trừ khi người dùng dứt khoát nâng cao ứng dụng, công nhận quyền quản trị ứng dụng. Các prompt hướng dẫn được hiện ra bởi cách hoạt động của người dùng như cài đặt ứng dụng và thay đổi cài đặt hệ thống. Những prompt hướng dẫn là công nghệ UAC dễ thấy nhất, biểu hiện như là một switch đến một màn hình cho phép/cancel dialog và snapshot của desktop làm background.

Các tài khoản theo sau cài đặt là những tài khoản người dùng chuẩn mặc định cung cấp khả năng nâng cấp thông qua một prompt “over the shoulder” yêu cầu các credential của một tài khoản quản trị sẽ dùng để chứng nhận quyền quản trị. Tiện nghi này cho phép một thành viên trong gia đình chia sẻ máy tính ở nhà hay một người dùng nhận thức an ninh dùng một tài khoản người dùng chuẩn để chạy các ứng dụng với quyền quản trị, cung cấp họ biết password cho một tài khoản quản trị, mà không cần chuyển đổi bằng tay đến một session người dùng đăng nhập khác.

Khi UAC được kích hoạt, tất cả các tài khoản người dùng – kể cả các tài khoản quản trị – chạy với quyền người dùng chuẩn. Điều đó có nghĩa là các developer ứng dụng phải xem xét sự thật là các phần mềm của họ sẽ không có quyền quản trị mặc định. Điều này nhắc nhở họ phải thiết kế các ứng dụng của mình để làm việc với các quyền người dùng chuẩn. Nếu ứng dụng hay các phần của chức năng của nó yêu cầu quyền quản trị, nó có thể tăng cấp cơ cấu nâng cấp để cho phép người dùng mở khoá chức năng này. Nhìn chung, các nhà phát triển ứng dụng chỉ cần thực hiện các thay đổi nhỏ để ứng dụng của họ vào việc hiệu quả với quyền người dùng chuẩn.

Các prompt hướng dẫn cũng cung cấp cái lợi là chúng “nhắc nhở” người dùng khi phần mềm muốn thực hiện thay đổi đến hệ thống, và nó cho người dùng cơ hội để ngăn chặn điều này. Ví dụ, nếu một gói phần mềm mà người dùng không tin tưởng hay muốn cho phép thay đổi đến hệ thống yêu cầu quyền quản trị, chúng có thể bỏ prompt.

Pages: 1 2 3

Leave a Reply

Your email address will not be published. Required fields are marked *