Читайте также:
|
|
Проверка подлинности и контроль учетных записей
По окончании данного занятия вы сможете:
ü Настраивать локальные политики безопасности, связанные с UAC.
ü Настраивать уведомления о повышении полномочий.
ü Настраивать безопасный рабочий стол.
ü Создавать резервные копии и восстанавливать учетные данные при помощи Диспетчера учетных данных (Credential Manager).
ü Администрировать сертификаты при помощи Диспетчера сертификатов (Certificate Manager).
ü Использовать команду runas для запуска программ с альтернативными учетными данными.
ü Настраивать политики учетных записей и смарт-карт.
ü Решать проблемы с проверкой подлинности.
Контроль учетных записей
С контролем учетных записей (user account control, UAC) вы столкнетесь только в том случае, если ваша учетная запись входит в локальную группу администраторов. По умолчанию у стандартных пользователей функция UAC выключена, и они не получают уведомлений UAC. Функция UAC допускает настройку, которая позволяет сделать ее максимально удобной для организации.
Функция UAC информирует вас о том, что действие, которое вы собираетесь предпринять, требует повышения полномочий. Когда вы входите в систему с учетной записью локального администратора в предыдущих версиях Microsoft Windows, например в Windows ХР, у вас автоматически появляется постоянный административный доступ к системе. Сама по себе такая практика не вызывала проблем, при условии что пользователи входили в систему с административными учетными записями только в тех случаях, когда им необходимо было выполнить какое-либо действие, связанное с администрированием. Однако многие пользователи склонны были использовать учетные записи администраторов в качестве своих обычных учетных записей. Это было удобно, поскольку им не приходилось выходить из системы и снова в нее входить каждый раз, когда нужно было выполнить какое-либо действие, связанное с администрированием. К сожалению, такой образ действий весьма нежелателен с точки зрения безопасности: любая программа, запускаемая пользователем, вошедшим в систему с учетной записью администратора, работает с административными правами и полномочиями. В UAC эта проблема решается следующим образом: даже член локальной группы администраторов постоянно работает от имени стандартного пользователя и получает повышенные полномочия лишь ненадолго, выполняя административные задачи.
Чтобы понять принцип работы UAC, необходимо усвоить следующие понятия:
· Повышение полномочий (privilege elevation) Все пользователи клиента Windows 7 работают с правами стандартного пользователя. Когда пользователь пытается выполнить действие, требующее административных полномочий, например, создает новую учетную запись, его полномочия должны быть повышены до прав пользователя-администратора. Это действие и называется повышением полномочий. Функция UAC — это контрольный пункт для повышения полномочий. Она позволяет члену локальной группы администраторов получить доступ к административным правам, но гарантирует, что доступ к административным правам не будет предоставлен без ведома пользователя. Повышение полномочий производится только для конкретной задачи. Другая задача, выполняемая параллельно и также требующая повышения полномочий, генерирует собственное уведомление UAC.
· Режим одобрения администратора (admin approval mode) Он действует в случаях, когда администратор должен явно одобрить повышение при помощи уведомления UAC. В уведомлении нужно щелкнуть кнопку Да (Yes), что называется запросом согласия (prompting for consent), или ввести имя пользователя и пароль, что называется запросом учетных данных (prompting for credentials).
· Безопасный рабочий стол (secure desktop) Гарантирует, что вредоносное ПО не сможет изменить отображение уведомлений UAC, чтобы обмануть вас, заставив предоставить административный доступ. Если вы настраиваете работу UAC на безопасном рабочем столе, при выведенном уведомлении UAC рабочий стол недоступен. Вы должны отреагировать на уведомление UAC, чтобы снова получить возможность взаимодействовать с компьютером. Притушенный экран — это фактически снимок рабочего стола на текущий момент. Именно поэтому, если уведомление UAC появилось при воспроизведении видео, на безопасном рабочем столе видео «застывает». Если вы не отреагируете на уведомление UAC в течение 150 секунд, Windows автоматически отклонит запрос на повышение полномочий, а компьютер вернется к стандартному рабочему столу.
Дата добавления: 2015-08-17; просмотров: 67 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Макро-2015. Итоги 6-го игрового дня | | | Настройки UАС |