ビスタユーザーアカウントの管理:ユーザの権限が賢い


  Share  
|


ほとんどの(私は実際に誘惑によると、圧倒的多数)の安全保障に関連した問題での最近のバージョンを1つのウィンドウ下茹で根本的な原因:ほとんどのユーザーが管理者レベルの権限をwindowsを実行しています。 管理者は、何かをwindowsマシン上で、プログラムのインストールを含め、デバイスの追加、ドライバの更新は、アップデートやパッチをインストールし、レジストリ設定を変更し、管理ツールを実行して、ユーザーアカウントの作成と変更します。 これは便利ですが、それにつながる大きな問題:任意の不正なソフトウェアをinsinuates自体にもお使いのシステムに入ることができる管理者権限で動作し、そのために大損害をもたらすプログラムを有効にすると、コンピュータに接続しただけでは何もしてください。

windows xpにしようとし、問題の解決を作成し、 2番手と呼ばれる限られたユーザーのアカウントレベルで、これしかなかった非常に基本的な許可します。 残念なことに、ぽっかり開いた穴があったこの3つの"解" :

  • xpのプロンプトを作成するときに、 1つまたは複数のユーザーアカウントをセットアップ中に、それを作成できませんでした力の1つです。 この部分をスキップする場合は、管理者アカウントの下で始まったxpにします。

  • 当選した場合のユーザーを作成しても、セットアッププログラムが起動しませんでしたしてもらうために、アカウントのセキュリティレベルを設定するオプションです。 したがって、任意のセットアップ中にアカウントを作成した管理者グループに自動的に追加されます。

  • 限られたユーザーアカウントを作成した場合は、それを維持するでしょうがなかったため、長いxpのhobbled 、ひどいことができませんのでアカウントを使用することはありませんが、最も基本的なコンピュータのタスクをします。 でもほとんどのプログラムをインストールすることができませんので、通常の書き込み権限を必要として% %フォルダおよびシステム、レジストリ、および限られたユーザーが欠けて許可しています。

ウィンドウズビスタ再びこの問題を解決しようとします。 解決策は、新しいユーザーアカウントを制御したりすることと呼ばれる原理を使用すると呼ばれる最小特権ユーザです。 背後にある思想は、このレベルでは、アカウントを作成することはありませんそれよりももっと権限を必要とします。 また、このようなアカウントはレジストリを編集してから防がおよびその他の管理タスクを実行します。 しかし、これらのユーザーが実行できるその他の日常的なタスク:

  • プログラムのインストールとアップデート

  • プリンタドライバを追加

  • ワイヤレスセキュリティを変更するオプション(追加するなどのwepキーまたはwpaキー)

ウィンドウズビスタで、最小特権ユーザの形での概念が届いたら、新しいアカウントを作成して標準的なユーザーと呼ばれる種類です。 これは、ビスタは、 3つの基本的なアカウントレベル:

  • このアカウントの管理者アカウントをコンピュータになら何でもすることができます。

  • グループの会員は、このグループの管理者(管理者アカウントを除く)として実行できるように標準的なユーザーが権限を昇格させて必要なときには、ボタンをクリックしただけでは、ダイアログボックスが開きます(次のセクションを参照してください) 。

  • これらは、標準的なユーザーグループの最小特権ユーザーは、彼らもまた、必要に応じて権限を昇格させてでき;しかし、彼らのアクセスを管理者パスワードを必要としています。

昇降特権

このアイデアは、昇降特権の中心にビスタの新しいセキュリティモデルです。 windows xpでは、のようにコマンドを実行して使用することができ、タスクを実行する別のユーザーとして(つまり、 1つの権限が高い)します。 ビスタでは、通常これを行う必要はありませんのでビスタは、高度に自動的に促すメッセージが表示されます。

もしあなたが管理者グループのメンバーで、あなたの権限で実行するための標準的なユーザーのセキュリティがさらに強化されます。 しようとするときには管理者権限が必要な仕事は、ビスタのプロンプトを表示するために、お客様の同意されるユーザーアカウント]ダイアログボックスを制御します。 クリックして、コントロールを許可するタスクを続行します。 ダイアログボックスが表示された場合、この予期せず、それは可能性があり、不正なソフトウェアのプログラムは、いくつかのタスクを実行しようとして管理者権限が必要;ことを阻止することができキャンセルinstead.whenは、管理者のタスクをクリックして起動して、タスクの管理者権限が必要、ウィンドウズビスタが表示されこのダイアログボックスを求めるに同意します。

実行している場合として、標準のユーザーおよび管理者権限が必要な仕事をしようと、ビスタに余分なレベルの保護を使用します。 では、ではなく、同意を求めるために、それを促すメッセージが表示証明書の管理者です。 もし、あなたのシステムには複数の管理者アカウントは、それぞれの1つは、このダイアログボックスに表示されます。 任意の管理者アカウントのパスワードを入力していただきますと、表示をクリックして送信します。 また、このダイアログボックスを表示する場合に予期せず、不正なソフトウェアのかもしれませんので、 [キャンセル]をクリックする必要があり、タスクを防ぐためだろうthrough.when標準的なユーザーから発射して、タスクの管理者権限が必要、このダイアログボックスが表示されウィンドウズビスタを求める行政認証します。

メモでも、そのどちらの場合ウィンドウズビスタを確保するデスクトップモードのスイッチが、これは何か他のことはできませんが、お客様の同意を与えるビスタするまでの操作や認証またはキャンセルします。 ビスタを示し確保されるデスクトップのを除いて室内を暗くして画面上のすべてのユーザーアカウント]ダイアログボックスを制御します。

注意

ユーザーアカウント制御表面上は理にかなったようだが、マイクロソフトは必ずしも賢明な方法で実装しています。 たとえば、あなたはときどき高度を促すメッセージが表示中のような単純なタスクを削除したファイル名を変更すると、または変更のときは、システムの日付または時刻ます。 これを受けて、ユーザーアカウントへの反発を制御するいくつかの業界で、私に同情的なポイント(これは、マイクロソフト、微調整すると約束してきたユーザーアカウントを管理する前に最終的な配送ビスタcode )です。 しかし、すべての人たちに文句をベータテスターは、ユーザーアカウントの管理者は、定義され、設定の調整は、ドライバのインストールやプログラムは、ビスタを押すと通常の限界がある。 もちろん、あなたがたくさんのヒットを得るだろうuacダイアログボックスの下にこれらの条件をします。 しかし、実際にはありません平均的なユーザーには、システムのすべてを微調整してしばしばので、だと思うuacされるよりもはるかに少ない、問題の評論家お勧めします。

でもそれは可能性を高めるために、どのような個人プログラムの特権をしています。 このことを右クリックし、プログラムのショートカットファイルまたは管理者として実行]をクリックします。

注意

古いプログラムのかもしれませんが単にビスタの下に実行されませんユーザーアカウントを制御するセキュリティモデルのためには管理者権限が必要です。 したくない場合は、標準のユーザーには、管理者のパスワードは、まだ有効にすることができ、ユーザプログラムを実行しています。 プログラムの実行ファイルを見つけ、それを右クリックし、それから[プロパティ]をクリックします。 のプロパティシートが表示され、表示されるの互換性タブをクリックし、活性化してこのプログラムを実行するには管理者としてのチェックボックスをクリックして分かりました。 (どんなこともできない、このショートカットを実行しています。ビスタ権限を割り当て高架とそのすべてのショートカットを実行します。 )ビスタをして診断テストを実行するプログラムを参照して管理者権限が必要です。 これは、セキュリティ機能のみを取得していることを確認し、プログラムの最低数の特権が正常に機能することが必要です。


ファイルとレジストリの仮想化

お持ちかもしれないだろうウィンドウズビスタ実際にはどのように確保する場合、標準的なユーザーがプログラムをインストールします。 ということではありませんしても不正なソフトウェアをインストールすることができますか? novistaを実装し、新しいセキュリティモデルをインストールします。 ビスタでは、管理者権限が必要です。何かを書くことにしてシステム% %フォルダ(通常c : \ windows )は、 % programfiles %フォルダ(通常c : \プログラムファイル)と、レジストリします。 ビスタを処理するための標準的なユーザーが、この2つの方法:

  • プログラムのインストール中に、ビスタの最初の認証を促すメッセージが表示します。 提供している場合は、このプログラムのインストーラの許可を与えビスタへの書き込みにシステム% % 、 % programfiles %で、レジストリとします。

  • 場合は、ユーザーの資格情報を提供することはできません、ビスタと呼ばれる技術を使用するファイルとレジストリの仮想化は、システムを作成する仮想% %と% programfiles %フォルダ、および仮想場合hkey_local_machineレジストリキー、そのどれもが保存さで、ユーザーのファイルにします。 これにより、インストーラを続行せずに実際のシステムファイルを危険にさらすします。

ユーザーアカウントの管理ポリシー

ユーザーアカウント制御をカスタマイズすることができ、ある程度のグループポリシーを使用します。 ローカルセキュリティ設定のスナップインで(プレス+ rのwindowsのロゴは、タイプsecpol.msc 、およびokをクリックして)は、セキュリティの設定を開き、ローカルポリシー、セキュリティオプションを分岐します。 ここで見つかる6つの政策に関連したユーザーアカウントの管理:

  • ユーザーアカウントの管理:管理者の承認モードでは、このポリシーに組み込まれているかどうかを制御して管理者アカウントの管理者アカウントの滝の下でのユーザーアカウントを制御します。 このポリシーを有効にした場合は、管理者アカウントのように扱われるが、他のグループとアカウントの管理者の同意が必要]ダイアログボックスで[続行]をクリックしたときのアクションウィンドウズビスタの承認を必要とします。

  • ユーザーアカウントの管理:管理者のための迅速な行動は、高度に管理者の承認モードこのポリシーを制御するプロンプトが表示されたときは、管理者権限が必要な高架します。 デフォルトの設定はプロンプトを承諾で、ユーザーがクリックして続行するか、またはどちらかをキャンセルします。 プロンプトを選択することもでき、ユーザーの資格情報を強制したパスワードを入力します。 選択した場合はありませんプロンプトで、自分を高めることはできません管理者権限が必要です。

  • ユーザーアカウントの管理:行動を促すためには、高度の標準的なユーザーがこのポリシーを制御するプロンプトが表示されたときに必要な高架標準ユーザー権限が必要です。 デフォルトの設定はプロンプトを認証し、強制的にユーザーの管理者パスワードを入力するとします。 選択することもできませんプロンプトを防ぐための標準的なユーザーからの昇降権限が必要です。

  • ユーザーアカウントの管理:アプリケーションのインストールを削除するとプロンプトを使用する高度このポリシーを有効または無効に特権の昇格の自動インストール中にプログラムします。

  • ユーザーアカウントの管理:管理者が管理者の承認モードで実行するすべてのユーザーが利用するこのポリシーを有効または無効に実行中のシステム管理者(管理者アカウントを除く)としての標準的なユーザーがいます。

  • ユーザーアカウント制御:実行ファイルのみを高めることがこのポリシーを使用する署名と検証を有効または無効にするかどうかをチェックし、セキュリティビスタ署名の高架任意のプログラムを要求する権限が必要です。

  • ユーザーアカウントの管理:デスクトップスイッチを確保するために高度を求める際に使用するこのポリシーを有効または無効にするかどうかのスイッチビスタを確保する際に、デスクトップの高度促すメッセージが表示されます。

  • ユーザーアカウントの管理:ファイルとレジストリの仮想化の失敗を書く場所を各ユーザーにこのポリシーを有効または無効に使用するファイルとレジストリの仮想化のための標準ユーザー

これは、記事に追加されたemmシュミット

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions