В системе Windows Vista обычные пользователи могут теперь выполнять множество задач, которые ранее требовали прав администратора, но не влияли на безопасность отрицательным образом. Примеры задач, которые теперь могут выполнять обычные пользователи: изменение параметров часового пояса, подключение к защищенной беспроводной сети и установка одобренных устройств и элементов управления Microsoft ActiveX®.
Более того, режим одобрения администратором в технологии контроля учетных записей также позволяет защитить компьютеры с операционной системой Windows Vista от некоторых типов вредоносных программ. По умолчанию администраторы могут запускать большинство программ и задач с привилегиями обычного пользователя. Когда пользователям требуется выполнить административные задачи, такие как установка нового программного обеспечения или изменение определенных системных параметров, система запрашивает их согласие на выполнение подобных задач. Тем не менее, этот режим не обеспечивает такой же уровень защиты, как использование учетной записи обычного пользователя и не гарантирует, что вредоносная программа, уже находящаяся на клиентском компьютере, не сможет замаскироваться под программное обеспечение, требующее повышенных привилегий. Этот режим также не гарантирует, что программное обеспечение с повышенными привилегиями само по себе не начнет выполнять вредоносные действия после повышения привилегий.
Чтобы воспользоваться преимуществами этой технологии, необходимо настроить новые параметры групповой политики в системе Windows Vista для управления поведением функции контроля учетных записей. Параметры групповой политики, описанные в предыдущей главе, настраиваются для обеспечения предписанного поведения функции контроля учетных записей. Тем не менее, корпорация Майкрософт рекомендует пересмотреть предписанные значения для этих параметров, описанные в приложении А «Параметры групповой политики, связанные с безопасностью», чтобы убедиться в том, что они оптимально настроены для удовлетворения потребностей среды.
Пользователи с привилегиями администратора входят в систему с включенными административными возможностями. Это может привести к случайному или злонамеренному выполнению административных задач без ведома пользователя.
Пример.
• Пользователь неосознанно загружает и устанавливает вредоносную программу с вредоносного или зараженного веб-узла.
• Пользователя обманным путем заставляют открыть вложение сообщения электронной почты, содержащее вредоносную программу, которая запускается и, возможно, устанавливает себя на компьютер.
• В компьютер вставляется съемный диск, а функция автоматического воспроизведения автоматически пытается запустить вредоносную программу.
• Пользователь устанавливает неподдерживаемые приложения, которые могут оказать влияние на производительность или надежность компьютеров.
Рекомендуемый подход к снижению рисков заключается в том, чтобы все пользователи входили в систему, используя для повседневных задач учетную запись обычного пользователя. Пользователям следует повышать уровень привилегий до уровня учетной записи администратора только для задач, которые требуют такого уровня доступа. Также убедитесь в том, что функция контроля учетных записей включена и выводит запрос при попытке выполнить пользователем задачу, которая требует привилегий администратора.
Сведения о снижении рисков
Функция контроля учетных записей позволяет снизить риски, описанные в предыдущем разделе «Оценка риска». Тем не менее, необходимо учитывать следующее:
• Если в компании есть собственные разработчики приложений, корпорация Майкрософт рекомендует им загрузить и прочитать статью Требования к разработке приложений для системы Windows для обеспечения совместимости с функцией контроля учетных записей (на английском языке). В этом документе описывается процесс проектирования и разработки приложений для системы Windows Vista, совместимых с функцией контроля учетных записей.
• Функция контроля учетных записей может создавать проблемы при работе несовместимых с ней приложений. По этой причине перед развертыванием приложений необходимо протестировать их с функцией контроля учетных записей. Дополнительные сведения о тестировании совместимости приложений см. на веб-узле Развертывание настольных приложений в сети Microsoft TechNet®.
• Функция контроля учетных записей запрашивает учетные данные администратора и согласие пользователя на повышение привилегий. Это увеличивает количество действий, которые необходимо выполнить для завершения многих стандартных задач администрирования. Следует оценить влияние увеличения количества действий на работу административного персонала. Дополнительные запросы функции контроля учетных записей оказывают значительное влияние на работу этих пользователей, поэтому параметру политики контроля учетных записей Behavior of the elevation prompt for administrators in Admin Approval Mode (Поведение запроса повышения привилегий для администраторов в режиме одобрения администратором) можно присвоить значение Elevate without prompting (Повышать привилегии без запроса). Тем не менее, изменение этой политики может повысить риск для среды, и центр обеспечения безопасности Windows сообщит об этом.
• Пользователь с привилегиями администратора может отключить режим одобрения администратором, отключить вывод функцией контроля учетных записей запроса на ввод учетных данных для установки приложений и изменить поведение запроса на повышение привилегий. По этой причине важно контролировать количество пользователей, имеющих доступ к привилегиям администратора на компьютерах в организации.
• Корпорация Майкрософт рекомендует назначить две учетных записи для административного персонала. Для повседневных задач эти сотрудники должны использовать учетную запись обычного пользователя. При необходимости выполнить специфические задачи администрирования этим сотрудникам следует войти в систему с учетной записью уровня администратора, выполнить задачи и выйти из системы, чтобы вернуться к учетной записи обычного пользователя.
• Параметры групповой политики в этом руководстве запрещают обычному пользователю повышать привилегии. Такой подход является рекомендуемым, поскольку гарантирует, что задачи администрирования могут выполняться только с учетными записями, которые специально были настроены на уровень администратора.
• Если приложение неправильно определено как приложение администратора или пользователя (например, с помощью маркера «администратор» или «обычный»), система Windows Vista может запустить приложение в неверном контексте безопасности.
Начните процесс снижения рисков с изучения всех возможностей функции контроля учетных записей. Дополнительные сведения см. в Пошаговом руководстве по функции контроля учетных записей в системе Windows Vista и в руководстве Приступая к работе с функцией контроля учетных записей в системе Windows Vista.
Использование процедуры снижения рисков:
1. Определите количество пользователей, способных выполнять задачи администрирования.
2. Определите, как часто необходимо выполнять задачи администрирования.
3. Определите, следует ли администраторам выполнять задачи администрирования путем простого согласия в ответ на запрос функции контроля учетных записей или для выполнения задач администрирования им необходимо будет вводить определенные учетные данные.
4. Определите, следует ли обычным пользователям иметь возможность повышения привилегий для выполнения задач администрирования. Параметры политики, описанные в данном руководстве, блокируют возможность повышения своих привилегий обычными пользователями.
5. Определите, каким образом будет проходить процесс установки приложений.
6. Настройте параметры групповой политики контроля учетных записей в соответствии со своими требованиями.
Использование групповой политики, чтобы снизить риски для функции контроля учетных записей:
Параметры контроля учетных записей можно настроить в следующем местоположении редактора объектов групповой политики:
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Защитник Windows – это программа, входящая в систему Windows Vista, также доступная для загрузки в системе Windows XP. Она позволяет защитить компьютеры от всплывающих окон, низкой производительности и угроз безопасности, вызванных программами-шпионами и иным нежелательным программным обеспечением. Защитник Windows осуществляет наблюдение в режиме реального времени за важными контрольными точками операционной системы Windows Vista, которые являются целью подобного нежелательного программного обеспечения, например, за папкой «Автозагрузка» и записями автозагрузки в реестре.
Защитник Windows позволяет обнаружить и удалить нежелательные приложения, такие как программы для показа рекламы, клавиатурные шпионы и программы-шпионы. Если программа пытается изменить защищенную область в системе Windows Vista, Защитник Windows предложит пользователю либо принять, либо отклонить изменение, чтобы защититься от установки программы-шпиона. Подобное наблюдение повышает надежность компьютеров с операционной системой Windows Vista и обеспечивает дополнительную защиту конфиденциальности пользователя. Защитник Windows включен по умолчанию в системе Windows Vista, и хотя данная технология обеспечивает улучшенную защиту от программ-шпионов, ее также можно использовать совместно с продуктами сторонних производителей для защиты компьютера. Для обеспечения лучшей защиты от вредоносного программного обеспечения корпорация Майкрософт настоятельно рекомендует клиентам также развернуть совместно с Защитником Windows полноценное антивирусное решение.