Bắt đầu với User Account Control trên Windows Vista

Bắt đầu với User Account Control trên Windows Vista.Hướng dẫn này dành cho những triển khai Microsoft® Windows VistaTM và UAC trong môi trường thực hành. Hướng dẫn còn cung cấp kinh nghiệm người dùng và cấu hình dữ liệu cho cả môi trường được quản lý lẫn không quản lý thông tin về các bản cập nhật UAC có trong Windows Vista
Nội dung trích xuất từ tài liệu:
Bắt đầu với User Account Control trên Windows VistaBắt đầu với User Account Control trên Windows VistaHướng dẫn này dành cho những triển khai Microsoft® Windows VistaTM vàUAC trong môi trường thực hành. Hướng dẫn còn cung cấp kinh nghiệmngười dùng và cấu hình dữ liệu cho cả môi trường được quản lý lẫn khôngquản lý thông tin về các bản cập nhật UAC có trong Windows VistaTổng quan về User Account ControlUser Account Control (UAC) là một thành phần bảo mật mới của hệ điều hànhMicrosoft® Windows Vista. UAC cho phép bạn thực hiện các nhiệm vụ chung khikhông phải là quản trị viên, được gọi là người dùng chuẩn trong Windows Vista,và như các quản trị viên không chia sẻ quyền cho người dùng khác, log off hoặc sửdụng Run As. Một tài khoản người dùng chuẩn đồng nghĩa với tài khoản ngườidùng trong Windows XP. Tài khoản người dùng là các thành viên của nhóm quảntrị cục bộ sẽ chạy hầu hết các ứng dụng như một người dùng chuẩn. Bằng việcphân chia chức năng người dùng và quản trị viên trong khi vẫn cho phép hoạt độnghiệu quả, User Account Control là một tính năng quan trọng cho Windows Vista.Khi một quản trị viên đăng nhập vào máy tính Windows Vista, người dùng đượcgán 2 thẻ truy cập phân biệt. Thẻ truy cập gồm có tư cách hội viên nhóm của ngườidùng, sự thẩm định quyền và dữ liệu điều khiển truy cập được sử dụng bởiWindows để điều khiển những tài nguyên và các nhiệm vụ mà người dùng có thểtruy cập. Trước Windows Vista, tài khoản quản trị viên nhận được một thẻ truycập, thẻ này gồm có dữ liệu để công nhận có quyền truy cập vào tất cả tài nguyênWindows. Mô hình điều khiển truy cập này không có bất kỳ một sự kiểm tra dựphòng nào để bảo đảm người dùng tin cậy thực sự muốn thực hiện một nhiệm vụcần đến thẻ truy cập của quản trị viên. Kết quả là, các malware (phần mềm độc hại)có thể cài đặt trên máy tính mà người dùng không hề hay biết về chúng. Quá trìnhnày được cho là cài đặt thầm lặng. Thậm chí còn hỏng hóc hơn nữa bởi khi ngườidùng là một quản trị viên, malware có thể sử dụng dữ liệu điều khiển truy cập củaquản trị viên để xâm nhập vào các file hệ điều hành lõi, trong một số trường hợp làkhông thể gỡ bỏ.Sự khác nhau chính giữa một người dùng chuẩn và một quản trị viên trongWindows Vista là mức độ truy cập của người dùng trên các vùng được bảo vệ, vàtruy cập vào lõi máy tính. Quản trị viên có thể thay đổi trạng thái hệ thống, tắttường lửa, cấu hình lại các chính sách bảo mật, cài đặt dịch vụ hoặc bộ cài ảnhhưởng đến người dùng khác trên máy tính, cài đặt phần mềm cho toàn bộ máy tính.Người dùng chuẩn mặc định không thể thực hiện các nhiệm vụ trên mà chỉ có thểcài đặt những phần mềm trong quyền sử dụng của họ.Để giúp ngăn chặn các malware có thể cài đặt thầm lặng và tiêm nhiễm toàn máytính, Microsoft đã phát triển tính năng User Account Control cho Windows Vista.Không giống như các phiên bản trước, khi một quản trị viên đăng nhập vào hệthống, thẻ truy cập quản trị hoàn chỉnh của người dùng sẽ phân chia thành hai dạngtruy cập: một cho người dùng chuẩn và một cho quản trị viên. Trong suốt quá trìnhđăng nhập, các thành phần điều khiển truy cập và nhận dạng nhận dạng quản trịviên được gỡ bỏ và vô hiệu hóa. Thẻ truy cập người dùng chuẩn sau đó được sửdụng để khởi chạy máy trạm, Explorer.exe. Do tất cả các ứng dụng đều kế thừa dữliệu truy cập của chúng từ khởi chạy ban đầu của máy trạm nên tất cả chúng chạynhư cho một người dùng chuẩn. Trái ngược với quá trình này, khi một người dùngchuẩn đăng nhập vào hệ thống thì chỉ thẻ truy cập của người này mới được tạo.Thẻ truy cập người dùng chuẩn sau đó được sử dụng để khởi chạy máy trạm.Sau khi quản trị viên đăng nhập, thẻ truy cập quản trị viên đầy đủ không được cầnđến cho tới khi người dùng cố gắng thực hiện nhiệm vụ quản trị. Vì người dùng làcó thể cấu hình với mô đun phần mềm Security Policy Manager (secpol.msc) vàGroup Policy (gpedit.msc) nên không có User Account Control duy nhất.Thực hiện các ứng dụng với công việc của người dùng chuẩnMột hiệu quả lớn đang được thực hiện hiện nay để giúp Microsoft và các hãngphần mềm độc lập (ISV) thiết kế lại các ứng dụng của họ để hạn chế các yêu cầuvề thẻ truy cập quản trị viên. Thông điệp phát triển ứng dụng được sửa lại là: chỉyêu cầu người dùng trở thành một quản trị viên khi thực sự cần thiết.Trong quá khứ, các chuyên gia phát triển phần mềm thường thực hiện bước kiểmtra truy cập để bảo đảm người dùng là một quản trị viên khi ứng dụng bắt đầu đượckhởi chạy. Mặc dù vậy, nhiều ứng dụng đó đã không có các chức năng thực sự cầnthiết cho người dùng để trở thành một quản trị viên.Tuy nhiên, nhiều chương trình luôn luôn yêu cầu một thẻ truy cập quyền quản trịviên (Phần mềm phân vùng đĩa là một ví dụ). Nhiều chương trình yêu cầu ngườidùng phải là một quản trị viên thì mới có thể khởi chạy trong Windows Vista vớithẻ truy cập quyền quản trị viên đầy đủ; mặc dù vậy, ...