Control De la Cuenta Del Usuario De Vista: Privilegios Más elegantes Del Usuario

La mayoría (me tientan realmente para decir a la mayoría extensa) de los problemas seguridad-relacionados en versiones recientes de Windows hirvieron abajo a una sola causa de la raíz: La mayoría de los usuarios funcionaban Windows con permisos del administrador-nivel. Los administradores pueden hacer cualquier cosa a una máquina de Windows, incluyendo programas de instalación, agregando los dispositivos, poniendo al día conductores, instalando las actualizaciones y los remiendos, ajustes del registro que cambian, herramientas administrativas de funcionamiento, y creando y de modificación cuentas del usuario. Esto es conveniente, pero conduce a un problema enorme: Cualquier malware que se insinúe sobre su sistema también será capaz del funcionamiento con permisos administrativos, así permitiendo el programa al estrago del wreak en la computadora y apenas sobre cualquier cosa conectada con él.

Windows.xp intentó solucionar el problema creando un nivel de la cuenta de la segundo-grada llamado el usuario limitado, que tenía solamente permisos muy básicos. Desafortunadamente, había tres agujeros gaping en esta "solución":

XP le incitó crear unas o más cuentas del usuario durante la disposición, pero no le forzó crear uno. Si usted saltó esta parte, XP comenzó bajo cuenta del administrador.
Incluso si usted eligió para crear a usuarios, el programa de disposición no le dio una opción para fijar la seguridad de la cuenta llana. Por lo tanto, cualquier cuenta que usted creara durante la disposición fue agregada automáticamente al grupo de los administradores.
Si usted creó una cuenta limitada del usuario, usted no la guardó probablemente para largo porque XP dificultó la cuenta tan gravemente que usted no podría utilizarla para hacer todo menos las tareas más básicas de la computadora. Usted no podría incluso instalar la mayoría de los programas porque requieren generalmente el permiso de escritura para la carpeta del %SystemRoot% y el registro, y los usuarios limitados carecidos eso permiso.

Windows Vista intenta de nuevo solucionar este problema. La nueva solución se llama control y le de User Account las aplicaciones un principio llamado el usuario menos-privilegiado. La idea detrás de esto es crear un nivel de la cuenta que no tenga no más de permiso que él requiere. Una vez más tales cuentas se previenen de corregir el registro y de realizar otras tareas administrativas. Sin embargo, estos usuarios pueden realizar otras tareas cotidianas:

Instale los programas y las actualizaciones
Agregue los conductores de la impresora
Cambie las opciones sin hilos de la seguridad (tales como adición de una llave de WEP o de WPA)

En Windows Vista, el concepto menos-privilegiado del usuario llega en la forma de un nuevo tipo de la cuenta llamado el usuario estándar. Esto significa que Vista tiene tres niveles básicos de la cuenta:

La cuenta del administrador esta cuenta puede hacer cualquier cosa a la computadora.
Los miembros del grupo de los administradores de este grupo (excepto la cuenta del administrador) funcionado como usuarios estándares pero pueden elevar sus privilegios cuando son requeridos apenas chascando un botón en una caja de diálogo (véase la sección siguiente).
Los usuarios estándares agrupan éstos son los usuarios menos-privilegiados, aunque ellos, pueden elevar también sus privilegios cuando están necesitados; sin embargo, requieren el acceso a una contraseña del administrador hacer tan.

Elevación De Privilegios

Esta idea de elevar privilegios está en el corazón del nuevo modelo de la seguridad de Vista. En Windows.xp, usted podría utilizar el funcionamiento como comando de funcionar una tarea como diverso usuario (es decir, uno con privilegios más altos). En Vista, usted no necesita generalmente hacer esto porque Vista le incita para la elevación automáticamente.

Si usted es un miembro de los administradores grupo, usted funciona con los privilegios de un usuario estándar para la seguridad adicional. Cuando usted procura una tarea que requiera privilegios administrativos, los avisos de Vista para su consentimiento exhibiendo una caja de diálogo del control de la cuenta del usuario. Chasque el control para permitir la tarea de proceder. Si aparece esta caja de diálogo inesperado, es posible que un programa del malware está intentando realizar una cierta tarea que requiera privilegios administrativos; usted puede frustrar que la tarea chascando la cancelación instead.When que un administrador lanza una tarea que requiera privilegios administrativos, Windows Vista exhibe esta caja de diálogo para pedir consentimiento.

Si usted está funcionando como usuario estándar y procura una tarea que requiera privilegios administrativos, Vista utiliza un nivel adicional de la protección. Es decir, en vez apenas de incitarle para el consentimiento, le incita para las credenciales de un administrador. Si su sistema tiene cuentas múltiples del administrador, cada se demuestra en esta caja de diálogo. Mecanografíe la contraseña para cualquier cuenta del administrador demostrada, y después chasque someten. Una vez más si esta caja de diálogo demuestra para arriba inesperado, puede ser que sea malware, así que usted debe chascar la cancelación para prevenir la tarea de through.When que va los lanzamientos estándares de un usuario una tarea que requiera privilegios administrativos, exhibiciones de Windows Vista esta caja de diálogo de pedir credenciales administrativas.

Nota, también, que en ambos interruptores de Windows Vista de los casos para asegurar el modo de escritorio, que los medios usted no pueden hacer cualquier cosa con Vista hasta que usted da su consentimiento o credenciales o cancela la operación. Vista indica el tablero del escritorio seguro obscureciendo todo en la pantalla excepto la caja de diálogo del control de la cuenta del usuario.

Nota

El control de la cuenta del usuario se parece sensible en la superficie, pero Microsoft no la ha puesto siempre en ejecucio'n de una manera sensible. Por ejemplo, le incitan para la elevación durante tareas simples tales como canceladuras del archivo y retitula a veces, o cuando usted cambia la fecha del sistema o mide el tiempo. Esto ha conducido a un contragolpe contra control de la cuenta del usuario en algunos círculos, y a I'm comprensivo a un punto (así que es Microsoft, que ha prometido pellizcar control de la cuenta del usuario antes de enviar el código final de Vista). Sin embargo, toda la gente que se está quejando por control de la cuenta del usuario es los probadores beta que, por la definición, están pellizcando los ajustes, instalando conductores y programas, y generalmente empujar Vista a sus límites. Por supuesto usted va a conseguir golpear con las porciones de cajas de diálogo de UAC bajo esas condiciones. Sin embargo, el usuario medio realmente no pellizca su sistema todo que a menudo, así que yo pensemos que UAC será mucho menos de un problema que sus críticos sugieren.

Es también posible elevar sus privilegios para cualquier programa individual. Usted hace esto derecho-chascando el archivo o el atajo del programa y después chascando funcionado como administrador.

Nota

Usted puede ser que tenga más viejos programas que no funcionarán simplemente bajo modelo de la seguridad del control de la cuenta del usuario de Vista porque requieren privilegios administrativos. Si usted no desea dar estándar a usuario la contraseña de un administrador, usted puede inmóvil permitir al usuario funcionar el programa. Encuentre el fichero ejecutable del programa, derecho-tecleo él, y después chasque las características. En la característica cubra que aparece, exhiba la lengüeta de la compatibilidad, active el funcionamiento este programa como caja de cheque del administrador, y después chasque MUY BIEN. (usted puede también hacer esto con cualquier atajo al ejecutable. Vista asigna el privilegio elevado atajos ejecutables y a los todos sus.) Vista entonces funciona una prueba de diagnóstico en el programa para ver los privilegios administrativos que requiere. Ésta es una característica de la seguridad que se asegura de que el programa consiga solamente el número mínimo de los privilegios que requiere funcionar correctamente.

Archivo y virtualización del registro

Usted puede ser que se pregunte cómo Windows seguro Vista realmente es si un usuario estándar puede instalar programas. ¿No ese medio que el malware puede instalar también? NoVista pone un nuevo modelo en ejecucio'n para la seguridad de la instalación. En Vista, usted necesita privilegios administrativos de escribir cualquier cosa a la carpeta del %SystemRoot% (generalmente C:\Windows), a la carpeta del %ProgramFiles% (generalmente archivos de C:\Program), y al registro. Vista dirige esto para los usuarios estándares de dos maneras:

Durante una instalación del programa, Vista primero incita a usuario para las credenciales. Si se proporcionan, Vista da el permiso al instalador del programa de escribir hasta el %SystemRoot%, el %ProgramFiles%, y el registro.
Si el usuario no puede proporcionar las credenciales, Vista utiliza una técnica llamada archivo y la virtualización del registro, que crea carpetas virtuales del %SystemRoot% y del %ProgramFiles%, y una llave virtual del registro de HKEY_LOCAL_MACHINE, que se almacenan con los archivos del usuario. Esto permite al instalador proceder sin el compromiso de ficheros del sistema reales.

Políticas Del Control De la Cuenta Del Usuario

Usted puede modificar control de la cuenta para requisitos particulares del usuario hasta cierto punto usando políticas del grupo. En los ajustes locales de la seguridad snap-in (la prensa Windows Logo+R, mecanografía secpol.msc, y la AUTORIZACIÓN del tecleo), abra los ajustes de la seguridad, políticas locales, rama de las opciones de la seguridad. Aquí usted encontrará seis políticas relacionadas con el control de la cuenta del usuario:

Control De la Cuenta Del Usuario: Modo de la aprobación del Admin para Construir-En cuenta del administrador que esta política controla si las caídas de la cuenta del administrador bajo control de la cuenta del usuario. Si usted permite esta política, la cuenta del administrador se trata como cualquier otra cuenta en los administradores grupo y usted debe chascar continúa en la caja de diálogo del consentimiento cuando Windows Vista requiere la aprobación para una acción.
Control De la Cuenta Del Usuario: El comportamiento del aviso de la elevación para los administradores en modo de la aprobación del Admin esta política controla el aviso que aparece cuando un administrador requiere privilegios elevados. El ajuste del defecto es pronto para el consentimiento, donde el usuario chasca continúa o cancela. Usted puede también elegir el aviso para que las credenciales fuercen a usuario mecanografiar su o su contraseña. Si usted no elige ningún aviso, los administradores no pueden elevar sus privilegios.
Control De la Cuenta Del Usuario: El comportamiento del aviso de la elevación para los usuarios estándares esta política controla el aviso que aparece cuando un usuario estándar requiere privilegios elevados. El ajuste del defecto es pronto para las credenciales, forzar al usuario mecanografiar una contraseña del administrador. Usted no puede también elegir ningún aviso para evitar que los usuarios estándares eleven sus privilegios.
Control De la Cuenta Del Usuario: El uso de la cancelación instala y aviso para el uso de la elevación esta política de permitir o de inhabilitar la elevación automática del privilegio mientras que instala programas.
Control De la Cuenta Del Usuario: Funcione a todos los administradores en usuarios del modo de la aprobación del Admin utilizan esta política para permitir o para inhabilitar a administradores corrientes (excepto la cuenta del administrador) como usuarios estándares.
Control De la Cuenta Del Usuario: Eleve solamente Executables se firma que y uso validado esta política de permitir o de inhabilitar si Vista comprueba la firma de la seguridad de cualquier programa que pida privilegios elevados.
Control De la Cuenta Del Usuario: Cambie al tablero del escritorio seguro al incitar para el uso de la elevación esta política de permitir o de inhabilitar si Vista cambia al tablero del escritorio seguro cuando aparecen los avisos de la elevación.
Control De la Cuenta Del Usuario: El archivo y el registro de Virtualize escriben a faltas al uso de las localizaciones del Por-Usuario esta política de permitir o de inhabilitar el archivo y la virtualización del registro para los usuarios estándares

esto es un artículo agregado por Emm Schmitt