Bắt đầu với User Account Control trên Windows Vista( Phần 1)

Bắt đầu với User Account Control trên Windows Vista( Phần 1)Hướng dẫn này dành cho những triển khai Microsoft® Windows VistaTM và UAC trong môi trường thực hành. Hướng dẫn còn cung cấp kinh nghiệm người dùng và cấu hình dữ liệu cho cả môi trường được quản lý lẫn không quản lý thông tin về các bản cập nhật UAC có trong Windows VistaTổng quan về User Account ControlUser Account Control (UAC) là một thành phần bảo mật mới của hệ điều hành Microsoft® Windows Vista. UAC cho phép bạn thực hiện các nhiệm vụ chung khi không phải...
Nội dung trích xuất từ tài liệu:
Bắt đầu với User Account Control trên Windows Vista( Phần 1) Bắt đầu với User Account Control trên Windows Vista( Phần 1)Hướng dẫn này dành cho những triển khai Microsoft® WindowsVistaTM và UAC trong môi trường thực hành. Hướng dẫn còn cungcấp kinh nghiệm người dùng và cấu hình dữ liệu cho cả môi trườngđược quản lý lẫn không quản lý thông tin về các bản cập nhật UAC cótrong Windows VistaTổng quan về User Account ControlUser Account Control (UAC) là một thành phần bảo mật mới của hệ điềuhành Microsoft® Windows Vista. UAC cho phép bạn thực hiện các nhiệmvụ chung khi không phải là quản trị viên, được gọi là người dùng chuẩntrong Windows Vista, và như các quản trị viên không chia sẻ quyền chongười dùng khác, log off hoặc sử dụng Run As. Một tài khoản người dùngchuẩn đồng nghĩa với tài khoản người dùng trong Windows XP. Tài khoảnngười dùng là các thành viên của nhóm quản trị cục bộ sẽ chạy hầu hết cácứng dụng như một người dùng chuẩn. Bằng việc phân chia chức năng ngườidùng và quản trị viên trong khi vẫn cho phép hoạt động hiệu quả, UserAccount Control là một tính năng quan trọng cho Windows Vista.Khi một quản trị viên đăng nhập vào máy tính Windows Vista, người dùngđược gán 2 thẻ truy cập phân biệt. Thẻ truy cập gồm có tư cách hội viênnhóm của người dùng, sự thẩm định quyền và dữ liệu điều khiển truy cậpđược sử dụng bởi Windows để điều khiển những tài nguyên và các nhiệm vụmà người dùng có thể truy cập. Trước Windows Vista, tài khoản quản trịviên nhận được một thẻ truy cập, thẻ này gồm có dữ liệu để công nhận cóquyền truy cập vào tất cả tài nguyên Windows. Mô hình điều khiển truy cậpnày không có bất kỳ một sự kiểm tra dự phòng nào để bảo đảm người dùngtin cậy thực sự muốn thực hiện một nhiệm vụ cần đến thẻ truy cập của quảntrị viên. Kết quả là, các malware (phần mềm độc hại) có thể cài đặt trên máytính mà người dùng không hề hay biết về chúng. Quá trình này được cho làcài đặt thầm lặng. Thậm chí còn hỏng hóc hơn nữa bởi khi người dùng làmột quản trị viên, malware có thể sử dụng dữ liệu điều khiển truy cập củaquản trị viên để xâm nhập vào các file hệ điều hành lõi, trong một số trườnghợp là không thể gỡ bỏ.Sự khác nhau chính giữa một người dùng chuẩn và một quản trị viên trongWindows Vista là mức độ truy cập của người dùng trên các vùng được bảovệ, và truy cập vào lõi máy tính. Quản trị viên có thể thay đổi trạng thái hệthống, tắt tường lửa, cấu hình lại các chính sách bảo mật, cài đặt dịch vụhoặc bộ cài ảnh hưởng đến người dùng khác trên máy tính, cài đặt phầnmềm cho toàn bộ máy tính. Người dùng chuẩn mặc định không thể thực hiệncác nhiệm vụ trên mà chỉ có thể cài đặt những phần mềm trong quyền sửdụng của họ.Để giúp ngăn chặn các malware có thể cài đặt thầm lặng và tiêm nhiễm toànmáy tính, Microsoft đã phát triển tính năng User Account Control choWindows Vista. Không giống như các phiên bản trước, khi một quản trị viênđăng nhập vào hệ thống, thẻ truy cập quản trị hoàn chỉnh của người dùng sẽphân chia thành hai dạng truy cập: một cho người dùng chuẩn và một choquản trị viên. Trong suốt quá trình đăng nhập, các thành phần điều khiểntruy cập và nhận dạng nhận dạng quản trị viên được gỡ bỏ và vô hiệu hóa.Thẻ truy cập người dùng chuẩn sau đó được sử dụng để khởi chạy máy trạm,Explorer.exe. Do tất cả các ứng dụng đều kế thừa dữ liệu truy cập của chúngtừ khởi chạy ban đầu của máy trạm nên tất cả chúng chạy như cho mộtngười dùng chuẩn. Trái ngược với quá trình này, khi một người dùng chuẩnđăng nhập vào hệ thống thì chỉ thẻ truy cập của người này mới được tạo. Thẻtruy cập người dùng chuẩn sau đó được sử dụng để khởi chạy máy trạm.Sau khi quản trị viên đăng nhập, thẻ truy cập quản trị viên đầy đủ khôngđược cần đến cho tới khi người dùng cố gắng thực hiện nhiệm vụ quản trị.Vì người dùng là có thể cấu hình với mô đun phần mềm Security PolicyManager (secpol.msc) và Group Policy (gpedit.msc) nên không có UserAccount Control duy nhất.Thực hiện các ứng dụng với công việc của người dùng chuẩnMột hiệu quả lớn đang được thực hiện hiện nay để giúp Microsoft và cáchãng phần mềm độc lập (ISV) thiết kế lại các ứng dụng của họ để hạn chếcác yêu cầu về thẻ truy cập quản trị viên. Thông điệp phát triển ứng dụngđược sửa lại là: chỉ yêu cầu người dùng trở thành một quản trị viên khi thựcsự cần thiết.Trong quá khứ, các chuyên gia phát triển phần mềm thường thực hiện bướckiểm tra truy cập để bảo đảm người dùng là một quản trị viên khi ứng dụngbắt đầu được khởi chạy. Mặc dù vậy, nhiều ứng dụng đó đã không có cácchức năng thực sự cần thiết cho người dùng để trở thành một quản trị viên.Tuy nhiên, nhiều chương trình luôn luôn yêu cầu một thẻ truy cập quyềnquản trị viên (Phần mềm phân vùng đĩa là một ví dụ). Nhiều chương trìnhyêu cầu người dùng phải là một quản trị viên thì mới có thể khởi chạy trongWindows Vista với thẻ truy cập quyền quản trị viên đầy đủ; mặc dù vậy,trước tiên người dùng được thông báo với các yêu ...