Новая модель учетных записей

В Windows Vista введена совершенно новая модель учетных записей пользователей. В Windows ХР , к примеру, два вида пользователей — администратор , которому можно все (практически Бог в системе), и просто пользователь , который почти ничего не может сделать. У обычного пользователя, не обладающего правами администратора, буквально связаны руки, даже простенькую программу невозможно установить. В результате большинство здравомыслящих людей, конечно же, предпочитали работать на уровне привилегий администратора. Это бы ничего, только с тем же успехом правами администратора пользовались многие шпионские программы (если проникали в систему).

В Vista совешенно иной подход к данному вопросу. Теперь есть три базовых уровня учетных записей:

Администратор "настоящий" ( Administrator account ). То есть учетная запись администратора, под которой можно выполнять в компьютере абсолютно все. В Windows Vista данная учетная запись отсутствует. Но любой пользователь может повысить свои привилегии до этого уровня.
Администратор "простой" ( Administrators group , группа администраторов). Это обычные пользователи компьютера, которые в любой момент могут повысить свои привилегии до уровня "настоящего" администратора.
Стандартный пользователь ( Standard users group ). Пользователи с ограниченными правами, которые, тем не менее, могут инсталлировать программы и обновления, добавлять драйверы и изменять параметры безопасности беспроводной связи. Кроме того, они тоже могут повысить свои привилегии. Если знают пароль администратора.

Повышение привилегий

Целью создания новой модели была задача защиты от несанкционированных действий. Прежде всего, со стороны хакерских программ. Ну, и со стороны некоторых "умников". Как ни странно, таковыми порой могут оказаться вовсе не дети, а как раз отдельные "особо одаренные" взрослые. Сталкивались, да?

Итак, три уровня учетных записей. При этом учетной записи первого уровня (администратора "настоящего", или администратора системы, как это было в Windows ХР) в Vista не существует. Ну, нет такой учетной записи. Даже в безопасном режиме нет. Не волнуйтесь, вы все равно сможете делать в своем компьютере абсолютно все, что захотите. Если умеете. Но вот программы-шпионы пролетают, упс…

Любые пользователи компьютера, включая пользователей третьего уровня (стандартные), легко могут повысить свои привилегии до первого уровня. Только администраторы могут сделать это в любой момент, а стандартные пользователи тоже в любой момент, но при условии, что введут пароль пользователя с правами второго уровня, с правами "Администратор простой".

Трудно нам было нажать эту кнопку? Конечно, нет. Но именно это незначительное "лишнее" движение повышало в тот момент наши привилегии до уровня "Бога", до "настоящего" администратора.

Если бы то же самое действие (например, изменение системного файла) попыталась выполнить какая-нибудь хакерская программа, появилось бы точно такое окошко с запросом. Ну, а если вы ничего в системе не затевали, так и не давайте санкций, нажимайте Отмена . И все, никакой шпион у вас не установится. Как говорится, простенько и со вкусом.

А теперь посмотрим глазами стандартного пользователя. В главе 6 мы создавали пользователя (я вводила Дети , а вы — не знаю) и довольно сильно ограничивали возможности этой учетной записи с помощью родительского контроля. Зайдите теперь в эту учетную запись (или создайте новую) и попытайтесь сделать там что-нибудь, влияющее на безопасность компьютера, касающееся других пользователей или изменяющее границы родительского контроля.

Будучи стандартным пользователем, вы тем не менее сможете внести любые изменения из перечисленных. Вы, будучи под учетной записью третьего уровня, сможете сделать вообще все, что угодно в компьютере. А ваши дети ничего лишнего сделать не смогут, пока вы им свой пароль не скажете. При этом они все равно смогут, например, сами устанавливать себе игры и не дергать вас по каждому лишнему поводу.

То есть при попытке совершить что-то, выходящее за рамки привилегий стандартного пользователя, точно так же потемнеет экран, точно так же появится на его фоне яркое небольшое окошко с запросом на подтверждение, но с одним исключением. В этом окошке дополнительно надо ввести пароль пользователя, обладающего правами администратора (или любого из них, если их несколько).

И, разумеется, если не вы запустили процесс, вызвавший появление такого окошка, следует нажать отмену.

Как видите, новый контроль учетных записей ( User Account Control , UAC ) ничуть не связывает нам руки, но при этом весьма эффективно помогает предотвратить несанкционированные изменения на компьютере.

Повышение привилегий для программ

При желании можно повысить привилегии только для какой-нибудь отдельно взятой программы. Для этого достаточно щелкнуть на исполняемом файле или его ярлыке правой кнопкой мыши и выбрать в контекстном меню Запуск от имени администратора , а затем подтвердить выполнение (либо ввести пароль и тоже подтвердить выполнение).

Некоторые старые программы могут отказываться работать под стандартной учетной записью. То есть они "привыкли" требовать права администратора. Что делать, если делиться паролем с пользователем третьего уровня вы не хотите? Нажмите на файле или ярлыке программы правой кнопкой мыши, выберите Свойства , в появившемся окне перейдите на вкладку Совместимость и выставьте флажок Выполнять эту программу от имени администратора .

Вспомните теперь, что я рассказывала о защищенном режиме, в котором обычно работает IE -7. Этот защищенный режим, в частности, означает, что браузер Интернета имеет права стандартного пользователя. Он может устанавливать программы, но не подвергает при этом компьютер риску, который возникает при входе в систему с учетной записью администратора.

Виртуализация файла и реестра

Пользователи третьего уровня, как я уже упомянул, могут инсталлировать программы и обновления, добавлять драйверы и изменять параметры безопасности беспроводной связи. Все это доступно им без всякого повышения привилегий.

Драйверы? Программы? Как же так? Я же только что написал, что новая модель учетных записей создана для того, чтобы всякие шпионские программы не инсталлировались. И вдруг выясняется, что стандартные пользователи все могут устанавливать?

Да, я не ошибся, все обстоит именно так. Из-под учетной записи третьего уровня все это можно легко проделывать, а чтобы стандартные не "парились" по поводу паролей администратора, придумана довольно неплохая фишка.

Что происходит, когда, например, ваш ребенок решит установить себе новую игрушку? Сначала Vista предложит ему то самое окошко, где спросит пароль. Пароля малыш не знает, что дальше? А ничего. Vista разрешит установку, создав для этого виртуальные папки Windows и Program Files и виртуальный реестр.

А если вы зашли бы в учетную запись своего ребенка и решили бы там что-то установить? Если бы вы ввели пароль, вы внесли бы изменения и в папку Windows, и в папку Program Files , и в реестр. В настоящие, не виртуальные.

Политики управления учетными записями
Контроль учетных записей пользователей ( UAC ) можно до некоторой степени изменять и настраивать.  Нажмите клавишу с логотипом "окошек" и одновременно клавишу <R>. А теперь в окне Выполнить введите secpol.msc и нажмите ОК .

Нет, повысить чьи-либо привилегии до уровня "Бога" здесь не удастся, зато наоборот, понизить — это пожалуйста. Вы можете заставить обычного администратора каждый раз вводить пароль, можете запретить инсталляцию программ под стандартной учетной записью, можете запретить выполнение программ от имени администратора и сделать много прочих мелких пакостей настроек.