Как удалить пользователя виндовс виста

ruki svadba liubov 171365 1280x720 Windows
Содержание
  1. Создание и изменение учетных записей
  2. Читайте также
  3. Создание и редактирование учетных записей
  4. Контроль учетных записей пользователей (UAC)
  5. Использование учетных записей и паролей
  6. Диспетчер учетных записей безопасности
  7. Политики учетных записей
  8. Настройка учетных записей
  9. Виды учетных записей
  10. Редактирование и удаление учетных записей
  11. Создание и изменение учетных записей
  12. Создание и сопровождение учетных записей пользователей
  13. Настройка учетных записей почты
  14. Настройка учетных записей пользователей
  15. Настройка учетных записей
  16. Настройка учетных записей почты
  17. Контроль учетных записей пользователей (UAC)
  18. Настройка учетных записей
  19. Добавление и удаление учетных записей на компьютере
  20. Добавление пользователей в домашний компьютер
  21. Добавление пользователей в рабочий или учебный компьютер
  22. Добавление рабочих или учебных учетных записей на компьютер
  23. Добавление учетных записей, используемых приложениями
  24. Добавление пользователей в семейную группу
  25. Как удалить учетную запись на Windows
  26. Как удалить учетную запись на Windows 7
  27. Как удалить учетную запись на Windows 8
  28. Как удалить учетную запись на Windows 10
  29. Удаление учетных записей пользователей – членов семьи
  30. Как удалить пользователя виндовс виста

Создание и изменение учетных записей

Создание и изменение учетных записей

Чтобы открыть окно управления учетными записями (рис. 7.1), зайдите в меню Пуск и щелкните кнопкой мыши на значке своей учетной записи, который располагается в верхней части правого столбца.

167645 118 i 181

Рис. 7.1. Окно управления учетными записями

Примечание

Лучше запишите пароль где-нибудь в потайном месте. Например, во многих современных мобильных телефонах есть Памятка кодов. Она сама защищена паролем (который вам придется запомнить), и в ней можно хранить все секретные коды.

Если ваша учетная запись не защищена паролем, это безобразие. А вдруг злоумышленник дождется, когда вас не будет рядом с компьютером, – и шасть на ваше место! Пользуясь правами администратора, он такого может наворотить! Так что пароль создать нужно. Пароль не только защищает ваши личные данные от несанкционированного доступа, но и позволяет предотвратить нежелательные изменения в настройках системы, которые могут быть сделаны другими пользователями. Для создания пароля щелкните кнопкой мыши на ссылке Создание пароля своей учетной записи, введите пароль, его подтверждение и, если желаете, подсказку на случай, если вы вдруг забудете пароль. Однако подсказка сразу сводит на нет все усилия по созданию пароля – она будет видна и другим пользователям.

Если пароль для своей учетной записи вы установили ранее, в окне, изображенном на рис. 7.1, вы увидите ссылки Изменение своего пароля и Удаление своего пароля – думаем, понятно, что они означают? В случае изменения пароля вам потребуется ввести старый пароль, новый и его подтверждение. Кроме того, вам будет предложено ввести подсказку для нового пароля. При удалении пароля его введение также обязательно. Имейте в виду, при создании, а затем при вводе пароля учитывается различие между прописными и строчными (большими и маленькими) буквами.

К ссылке Изменение своего рисунка можете обратиться, если вы захотите изменить значок своей учетной записи. Вы можете выбрать новый значок из коллекции Windows или из собственных рисунков. Для этого щелкните кнопкой мыши на ссылке Поиск других рисунков, переместитесь к папке с изображениями и выберите среди них самое для вас подходящее. Например, череп с костями (вдруг это отпугнет злоумышленника, который попытается войти в систему под вашим именем!).

При желании вы можете изменить имя своей учетной записи, щелкнув кнопкой мыши на ссылке Изменение имени учетной записи, а также изменить тип своей учетной записи (с административной на стандартную или наоборот), обратившись к ссылке Изменение типа своей учетной записи. Но учтите, что хотя бы одна учетная запись администратора на компьютере должна остаться. Имейте в виду, что при изменении имени учетной записи каталог с вашими личными папками сохранит прежнее название.

Оба вышеупомянутых действия требуют привилегий администратора. Если вы им являетесь, вам нужно будет подтвердить свои действия в специальном окне UAC.

Если вы вошли в систему не как администратор, а как стандартный пользователь, система потребует ввода пароля администратора, поскольку только он имеет право на изменение учетных записей.

Последние две ссылки, расположенные ниже (см. рис. 7.1), отвечают за изменение настроек учетных записей других пользователей и включение или отключение контроля учетных записей пользователей. Эти настройки доступны только для администратора компьютера.

При щелчке кнопкой мыши на ссылке Управление другой учетной записью вы попадете в окно, где представлены значки всех имеющихся на компьютере учетных записей (рис. 7.2).

167645 118 i 182

Рис. 7.2. Окно редактирования учетных записей пользователей

Щелкнув кнопкой мыши на любом из них, вы переместитесь на страницу, где можно изменять параметры выбранной учетной записи. То есть сможете поменять имя или рисунок, создать, изменить или удалить пароль, изменить тип учетной записи или удалить ее. В последнем случае вам предложат сохранить на своем Рабочем столе в отдельной папке содержимое Рабочего стола и личных папок пользователя, учетную запись которого вы удаляете, – а вдруг придется ее восстанавливать?

Примечание

UAC (User Account Control – контроль учетных записей пользователей) – специальная система, которая следит, чтобы действия одного пользователя не повредили другому пользователю.

В окне, изображенном на рис. 7.2, вы также можете включить учетную запись Гость. Для этого нужно щелкнуть кнопкой мыши на ее значке и нажать кнопку Включить. Здесь же присутствует ссылка Создание учетной записи, с помощью которой вы перейдете на специальную страницу, где сможете зарегистрировать новую учетную запись.

Обратите внимание, на странице изменения параметров любой учетной записи, а также в окне, изображенном на рис. 7.2, есть ссылка на установление родительского контроля. Это функция впервые появилась в Windows Vista и очень обрадует тех домашних пользователей, у которых есть дети.

Данный текст является ознакомительным фрагментом.

Продолжение на ЛитРес

Читайте также

Создание и редактирование учетных записей

Создание и редактирование учетных записей Прежде чем вести разговор о способах создания и изменения учетных записей других пользователей, для чего требуется войти в систему под учетной записью администратора, уделим внимание тому, какие изменения можно вносить в

Контроль учетных записей пользователей (UAC)

Контроль учетных записей пользователей (UAC) Как уже упоминалось выше, контроль учетных записей пользователей (UAC) был впервые введен в Windows Vista как еще одна ступень защиты от деятельности вредоносных программ. Принципы выполнения контроля заключаются в следующем.В отличие

Использование учетных записей и паролей

Использование учетных записей и паролей Сервер, выполняющийся на компьютере, представляет собой «дверь» в систему. К сожалению, эта дверь иногда бывает открыта не только для пользователей системы, но и для «непрошеных гостей». Существуют различные способы, позволяющие

Диспетчер учетных записей безопасности

Диспетчер учетных записей безопасности Служба обеспечивает безопасность учетной записи локального пользователя. Отключение данной службы, как правило, не влияет на стабильность работы компьютера, но, тем не менее, крайне не рекомендуется и может понизить уровень

Политики учетных записей

Политики учетных записей Раздел Политики учетных записей по умолчанию содержит три политики. Это Политика блокировки учетной записи, Политика паролей и Политика Kerberos.? Политика паролей — с ее помощью можно настроить параметры создания паролей для учетных записей

Настройка учетных записей

Настройка учетных записей В программе Microsoft Outlook учетная запись электронной почты содержит информацию о почтовом ящике: имя, пароль, сервера входящей и исходящей почты, и др. Учетная запись создается на каждый почтовый ящик, поэтому, сколько ящиков вы хотите обрабатывать

Виды учетных записей

Виды учетных записей Механизм учетных записей пользователей предназначен для решения следующих задач:• Разграничение прав пользователей на доступ к информации;• Индивидуальная настройка пользовательского интерфейса и элементов рабочего стола для каждого

Редактирование и удаление учетных записей

Редактирование и удаление учетных записей Для перехода в режим редактирования учетной записи необходимо щелкнуть мышью на ее значке. В результате в открывшемся окне будет выдан запрос на выполнение дальнейших действий; для выбора необходимо щелкнуть на одной из

Создание и изменение учетных записей

Создание и изменение учетных записей Чтобы открыть окно управления учетными записями (рис. 7.1), зайдите в меню Пуск и щелкните кнопкой мыши на значке своей учетной записи, который располагается в верхней части правого столбца. Рис. 7.1. Окно управления учетными

Создание и сопровождение учетных записей пользователей

Создание и сопровождение учетных записей пользователей Для надежной и гибкой системы безопасности требуется создать систему идентификации каждого пользователя. В SQL Server система идентификации пользователей основана на учетных записях пользователей. Учетной записью

Настройка учетных записей почты

Настройка учетных записей пользователей

Настройка учетных записей пользователей Про многопользовательскую основу Windows XP упоминалось в гл. 7. Напомню, что вы сразу указываете пароль для администратора системы (по умолчанию он имеет имя пользователя Администратор (или Administrator – в английской версии)), а затем

Настройка учетных записей

Настройка учетных записей Чтобы ваш компьютер мог использовать электронную почту, программа работы с ней должна знать, где именно расположен ваш почтовый ящик в сети. Это достигается с помощью создания вашей учетной записи. Заключив договор с интернет-провайдером, вы

Настройка учетных записей почты

Настройка учетных записей почты После установки Windows Vista Почта Windows будет являться почтовой программой, используемой по умолчанию. Ее можно запустить, щелкнув кнопкой мыши на ярлыке в верхней части меню Пуск, или найти с помощью строки поиска.При первом запуске Почты Windows

Контроль учетных записей пользователей (UAC)

Контроль учетных записей пользователей (UAC) В Windows Vista имеется новое средство безопасности – контроль учетных записей пользователей (User Account Control, UAC). Основная задача UAC – предотвратить несанкционированный запуск вредоносных программ. Перед выполнением потенциально

Настройка учетных записей

Настройка учетных записей Для настройки параметров учетных записей щелкните кнопкой мыши на рисунке вашей учетной записи в меню Пуск. В окне Учетные записи пользователей (рис. 8.5) вы увидите ссылки для управления учетной записью. При наличии прав администратора вы можете

Источник

Добавление и удаление учетных записей на компьютере

В этой статье описано, как добавить и удалить учетные записи на компьютере. Наличие разных учетных записей на общем компьютере позволяет нескольким пользователям работать на одном устройстве, предоставляя каждому из них собственные сведения для входа, а также доступ к их собственным файлам, избранному браузера и параметрам рабочего стола.

Кроме того, если вы используете один компьютер для личных проектов, а также для работы или учебы, вы можете добавить на компьютер разные учетные записи.

Примечание: Если вы используете новое устройство, вы можете увидеть учетную запись «defaultuser0» — эта учетная запись неактивна, она не вредит вашему устройству и не предоставляет другим пользователям доступ. Если вы хотите удалить ее, перезапустите устройство и снова выполните вход.

Добавление пользователей в домашний компьютер

Оптимальный способ добавления пользователя на компьютер — попросить его войти с помощью учетной записи Майкрософт. Подробные сведения об учетных записях Майкрософт см. в разделе Войти с помощью учетной записи Майкрософт.

В выпусках Windows 10 Домашняя и Windows 10 Профессиональная:

Выберите пуск > Параметры > учетные записи > семейства & других пользователей.

В разделе Другие пользователи выберите Добавить пользователя для этого компьютера.

Введите сведения учетной записи Майкрософт этого пользователя и следуйте инструкциям.

Если вам требуется удалить данные для входа этого пользователя со своего компьютера, выполните указанные ниже действия.

Нажмите кнопку пуск > Параметры > учетные записи > семейство & Пользователи ther.

Выберите имя пользователя или адрес электронной почты и нажмите Удалить. Обратите внимание, что при этом учетная запись Майкрософт пользователя не будет удалена. Будут удалены только его данные для входа с вашего компьютера.

Добавление пользователей в рабочий или учебный компьютер

Всем, кто использует на работе или в учебном заведении общий компьютер, желательно иметь собственную учетную запись Майкрософт. Подробные сведения об учетных записях Майкрософт см. в разделе Войти с помощью учетной записи Майкрософт.

Добавление пользователя с существующей учетной записью Майкрософт:

Нажмите кнопку пуск > Параметры > учетные записи > других пользователей (в некоторых выпусках Windows они могут быть помечены как другие пользователи или семья & других пользователей).

В разделе Пользователи учетной записи компании или учебного заведения выберите Добавить пользователя компании или учебного заведения.

Введите учетную запись этого пользователя, выберите тип учетной записи и нажмите Добавить.

Если вам требуется удалить данные для входа этого пользователя со своего компьютера, выполните указанные ниже действия.

Нажмите кнопку пуск > Параметры > учетные записи > O Пользователи ther пользователей.

Выберите имя пользователя или адрес электронной почты и нажмите Удалить.

Прочтите уведомление и выберите Удалить учетную запись и данные. Обратите внимание, что при этом учетная запись Майкрософт пользователя не будет удалена, но будут удалены его данные для входа и данные учетной записи с вашего компьютера.

Добавление рабочих или учебных учетных записей на компьютер

Если вы используете один компьютер как в личных целях, так и для учебы или работы, вы можете добавить на компьютер разные учетные записи, чтобы упростить доступ к файлам, приложениям и информации, связанным с каждой учетной записью. При доступе к рабочей или учебной учетной записи вы подключаетесь к домену своей организации и получаете доступ к ее ресурсам.

Добавление другой учетной записи на компьютер:

Нажмите Подключиться и следуйте инструкциям по добавлению учетных записей.

Если вам требуется удалить учетную запись с компьютера, выполните указанные ниже действия.

Выберите учетную запись, которую хотите удалить, и выберите Отключиться.

Нажмите Да, чтобы подтвердить свои действия. Обратите внимание, что при этом учетная запись не будет удалена целиком. Будет только удален доступ к вашему компьютеру

Читайте также:  Как переустановить виндовс вместо линукс

Примечание: Если учетная запись является единственной или основной учетной записью на компьютере, ее невозможно удалить.

Добавление учетных записей, используемых приложениями

Чтобы облегчить и ускорить вход в учетные записи, вы можете добавить учетные записи для разных приложений.

Добавление на компьютер учетной записи, используемой приложениями:

Чтобы добавить учетную запись, используемую по электронной почте. Календарь или контакты. Выберите Добавить учетную запись в разделе учетные записи, используемые по электронной почте, календарю и контактам. Для других приложений выберите Добавить учетную запись Майкрософт или Добавить учетную запись компании или учебного заведения.

Следуйте инструкциям по добавлению учетной записи.

Удаление с компьютера учетной записи, используемой приложениями:

Выберите учетную запись, которую хотите удалить, и выберите Удалить.

Нажмите Да, чтобы подтвердить свои действия.

Добавление пользователей в семейную группу

Если вы добавили учетные записи вашей семьи на свой компьютер, вы можете настроить их в качестве семейства Microsoft. Это бесплатная служба, которая помогает семьям оставаться на связи и защищать детей на устройствах с Windows 10 и консолях Xbox One, а также на устройствах Android с Microsoft Launcher.

Примечание: Если у вас возникли проблемы при добавлении учетной записи Майкрософт, ознакомьтесь со страницей вопросы и ответы в Майкрософт.

Источник

Как удалить учетную запись на Windows

Операционная система Windows используется в многопользовательском формате. За одним ПК может работать сразу несколько пользователей. Естественно, что со временем требуется небольшая чистка – удаление ненужных учетных записей, что накопились во время работы. Это сделать достаточно легко. Существует 2 простых варианта удаления, которые избавят от ненужного аккаунта.

1 2

Как удалить учетную запись на Windows 7

Стоит учесть, что удалить учетную запись может только Администратор, а не любой пользователь девайса. Самым простым способом удаления учетной записи Майкрософт в Windows 7 есть использование Metro – приложения «Параметры».

Удалить учетную запись можно пошагово:

Нужно знать, что используя этот способ удаления учетных записей, необходимо быть готовым к потере всех файловых папок профиля пользователя. Это папки, которые находятся на системном диске (музыка, документы, видео и другие загрузки). В этом случае рекомендуется сохранить всю полезную информацию перед «чисткой» учетных записей, например, в облаке, на флешке или диске, а также в несистемной части диска.

Как удалить учетную запись на Windows 8

Удалить учетную запись можно более «щадящим» способом – удаление тем же первым методом, что и Windows 7, но только в классической вариации – посредством использования панели управления Windows, которая перед удалением «учетки» предупреждает о возможных последствиях.

Удаление учетной записи происходит в несколько этапов:

В результате, ненужная учетная запись удаляется, а сохраненная личная информация появляется в одной папке на рабочем столе (файлы «заботливо» разложены системой в тематические папки). Важно знать, что таким же способом можно удалить локальную учетную запись в Windows 10. В принципе, все последние версии Windows можно удалить одинаковыми приемами.

Как удалить учетную запись на Windows 10

Для того, чтобы осуществить удаление учетной записи в Виндовс 10, можно просто ее стереть при помощи командной строки.

После нажатия последней команды ненужная учетная запись удаляется с системы.

Зачастую требуется удалить учетную запись Майкрософт, но следует учитывать, что после ее удаления пользователь уже не сможет иметь доступ к продуктам и службам системы. Перед удалением учетной записи Microsoft необходимо привести ее в порядок – сохранить ценные файлы на другом носителе, отменить все подписки, проверить состояние финансовых счетов, которые на ней отображены, также письменная информация в Outlook.com. Помимо этого, нужно будет сообщить другим пользователям способ связи с вами после удаления учетной записи в Майкрософт.

Учетная запись в Майкрософт удаляется таким образом:

Важно знать, что учетная запись, помеченная для закрытия, актуальна в течение 2 месяцев перед окончательным удалением записи. Если потребуется восстановление данной учетной записи, нужно лишь остановить закрытие аккаунта посредством входа в него.

Удаление учетных записей пользователей – членов семьи

Стоит учесть, что такие записи, обычно, не удаляются стандартным образом. Нужно в приложении «Параметры» в пункте «Семья и другие пользователи» кликнуть на учетную запись нужного пользователя и посредством нажатия на «Блокировать» подтвердить запрет на работу учетной записи непосредственно на данном ПК.

Если на компьютере или ноутбуке нет учетных записей под паролем, то постороннему пользователю будет закрыт доступ к управлению данным компьютерным устройством. Разрешить ему пользоваться ПК может только Администратор, сняв блокировку в обратном порядке – клик по «Разрешить» с подтверждением в дополнительной опции.

Полную процедуру удаления учетной записи пользователя из состава семьи нужно осуществлять с аккаунта Майкрософт администратора данного компьютера. Для этого нужно войти в опциональное окошко используемого браузера на сайте Майкрософт и сделать вход в учетную запись. Попав в нее, требуется найти раздел «Семья» и нажать на пункт «Удалить». После этого в выплывшем окне ищем учетную запись пользователя, которого нужно исключить и нажимаем на строку «Удалить». Дальше стирание учетной записи можно произвести любым из стандартных способов удаления в ОС Windows, о которых рассказывалось в данной статье.

8 post

Учётная запись пользователя позволяет человеку, который работает за персональным компьютером, хранить документы и другие файлы, которые касаются только его и не распространять их на других людей. Каждый может создать собственну учётку и.

2 post

Учётная запись – необходимый элемент персонального компьютера, для регулирования действий на компьютере. Всего бывает три типа учётных записей: Администратор, Обычная, Гостевая. Как вы.

6 post

Нынешние пользователи устанавливают к себе на компьютер много программ, но не все они нужны для работы или учёбы или же других занятий. Какие-то устанавливают по необходимости, а какие-то устанавливаются самостоятельно, скрыто от.

Источник

Как удалить пользователя виндовс виста

Управление учетными записями пользователей (UAC) — функция Windows Vista, которую часто недооценивают. В моей серии из трех статей в журнале TechNet Magazine, посвященной нововведениям в ядре Windows Vista, которую можно прочесть на веб-узле technetmagazine.com, я не касался UAC, поскольку чувствовал, что эта тема достойна отдельной статьи.

В этой статье мы затронем проблемы, которые решает UAC, а также архитектуру и реализацию ее ключевых технологий. Эти технологии включают пересмотр операций, которые ранее требовали административных прав; облегченную виртуализацию, которая помогает программам правильно работать без административных привилегий; возможность явного запроса программами административных прав и изоляцию административных процессов от неадминистративных, работающих в той же пользовательской системе.

Назначение UAC

Функция UAC призвана обеспечить пользователям возможность работать с правами обычного пользователя, не прибегая к административным. Обладая административными правами, пользователь может просматривать и изменять любую часть операционной системы, включая код и данные других пользователей и даже самой Windows®. Без административных прав пользователи не могут случайно (или преднамеренно) изменить системные параметры, вредоносная программа не может изменить параметры системной безопасности или отключить антивирусное программное обеспечение, а пользователи не могут нарушить безопасность важных данных других пользователей на общедоступных компьютерах. Работа с правами обычного пользователя, таким образом, помогает уменьшить количество срочных вызовов службы поддержки в корпоративных средах, смягчить ущерб от вредоносной программы, способствует более четкой работе домашних компьютеров и защищает уязвимые данные на общедоступных.

С помощью UAC предполагалось решить несколько проблем с тем, чтобы работа под учетной записью обычного пользователя стала общепринятой практикой. Во-первых, до Windows Vista™ общепринятой моделью использования Windows была работа с привилегиями администратора. Разработчики программного обеспечения почему-то считали, что их программы должны иметь получать доступ и изменять любой файл, параметр реестра или настройку операционной системы. Даже когда в Windows NT® были введены функции безопасности и разные уровни доступа для административных учетных записей и обычных пользователей, в процессах настройки продолжала широко использоваться встроенная учетная запись “Администратор” или учетная запись, входящая в группу “Администраторы”.

Второй проблемой, которую должна была решить функция UAC, было то, что пользователи иногда нуждаются в административных правах для выполнения таких операций, как установка программного обеспечения, изменение системного времени и открытие портов в брандмауэре.

Решение этих проблем с помощью UAC состоит в том, чтобы большинство приложений запускать с правами обычного пользователя, исключить потребность в частом использовании прав администратора и поощрять разработчиков программного обеспечения создавать приложения, работающие с правами обычного пользователя. UAC достигает этого, реже требуя административных прав, обеспечивая работу более ранних версий приложений с правами обычного пользователя, позволяя обычным пользователями легко получать административные права (когда они в них действительно нуждаются), а администраторам — работать так, как если бы они были обычными пользователями.

Работа с правами обычного пользователя

В ходе полной проверки всех административных операций во время разработки Windows Vista было установлено, что многие из них могли бы выполняться обычными пользователями без ущерба для безопасности системы. К примеру, даже корпорации, в которых на настольных системах Windows XP принято использовать учетные записи обычных пользователей, не могли удалить своих мобильных пользователей из группы “Администраторы” по той простой причине, что Windows XP не делает отличий между изменением часового пояса и изменением системного времени. Пользователь переносного компьютера, который хочет настроить локальный часовой пояс так, чтобы в поездках его встречи правильно отображались в календаре, должен иметь привилегию “Изменение системного времени” (внутреннее имя SeSystemTimePrivilege), которая по умолчанию предоставляется только администраторам.

Время обычно используется в протоколах безопасности, таких как Kerberos, но часовой пояс влияет только на способ отображения времени. Поэтому в Windows Vista добавлена новая привилегия, “Изменение часового пояса” (SeTimeZonePrivilege), которая назначена группе “Пользователи” (см. рис. 1). Это позволяет корпоративным пользователям переносных компьютеров работать с учетными записями обычных пользователей.

fig01
Рис. 1 Привилегия “Изменение часового пояса”

Windows Vista также позволяет обычным пользователям настраивать параметры WEP-шифрования при подключении к беспроводным сетям, создавать подключения к виртуальной частной сети, изменять параметры управления электропитанием и устанавливать критические обновления Windows. Кроме того, в Windows Vista введены параметры групповой политики, с помощью которых обычные пользователи могут устанавливать драйверы принтера и других устройств, одобренные ИТ-администраторами, и устанавливать элементы управления ActiveX® с одобренных администраторами веб-узлов.

А что же потребительские и бизнес-приложения, которые неправильно работали с учетными записями обычного пользователя? Хотя для работы некоторых программ действительно требуются административные права, многие из них совершенно необоснованно хранят пользовательские данные в областях, общих для всей системы. Корпорация Майкрософт рекомендует, чтобы установщики глобальных приложений, которые должны работать с административными правами, для хранения исполняемых файлов и вспомогательных данных приложений создавали подкаталоги в каталоге %ProgramFiles%, а для параметров приложений — подраздел в разделе реестра HKEY_LOCAL_MACHINESoftware. Приложение может работать с разными учетными записями пользователей и поэтому должно хранить данные пользователей в соответствующих им каталогах %AppData%, а параметры, относящиеся к данному пользователю — в профиле пользователя в разделе реестра HKEY_CURRENT_USERSoftware. Учетные записи обычного пользователя не имеют доступа для записи к каталогу %ProgramFiles% и разделу HKEY_LOCAL_MACHINESoftware. Однако, поскольку большинство систем Windows является однопользовательскими, а большинство пользователей вплоть до Windows Vista были администраторами, то приложения, даже если неправильно сохраняли пользовательские данные и параметры в этих местах, в любом случае работали.

В Windows Vista эти старые приложения могут работать с учетными записями обычного пользователя за счет применения виртуализации файловой системы и пространства имен реестра. Когда приложение изменяет данные в частях файловой системы или реестра, общих для всей системы, и эта операция проходит неудачно из-за отказа в доступе, Windows перенаправляет операцию в область соответствующего пользователя. Когда приложение считывает данные из системно-глобального размещения, Windows сначала проверяет данные в области пользователя и, если их там не находит, разрешает чтение из глобального размещения.

Для целей этой виртуализации Windows Vista обрабатывает процесс как устаревший, если он 32-разрядный (а не 64-разрядный), выполняется не с административными правами и не имеет файла манифеста, указывающего, что он написан для Windows Vista. Любые операции, происходящие из процесса, не подпадающего под это определение, включая доступ к сетевому общему файловому ресурсу, не виртуализуются. Состояние виртуализации процесса хранится в виде флага в его маркере, представляющем собой структуру данных ядра, которая отслеживает контекст безопасности процесса, включая его учетную запись пользователя, членство в группах и привилегии.

Чтобы увидеть состояние виртуализации процесса, можно добавить столбец “Виртуализация” к странице “Процессы” диспетчера задач. На рис. 2 показано, что для большинства компонентов Windows Vista, включая диспетчер окон рабочего стола (Dwm.exe), подсистему клиент-серверной среды выполнения (Csrss.exe) и проводник, виртуализация отключена, поскольку они либо обладают манифестом Windows Vista, либо выполняются с административными правами и, следовательно, не допускают виртуализацию. Для обозревателя Internet Explorer® (iexplore.exe) виртуализация включена, так как он может поддерживать элементы управления ActiveX и сценарии и не должен полагаться на то, что они будут правильно работать с правами обычного пользователя.

fig02
Рис. 2 Состояние виртуализации в окне диспетчера задач

Области файловой системы, виртуализуемые для устаревших процессов, — это %ProgramFiles%, %ProgramData% и %SystemRoot%, за исключением некоторых определенных подкаталогов. Однако из виртуализации исключаются все файлы с расширением исполняемого файла, в том числе EXE, BAT, SCR, VBS и другие. В результате программы, которые обновляют себя под учетной записью обычного пользователя, терпят сбой вместо создания частных версий своих исполняемых файлов, которые не видны администратору, запускающему глобальный модуль обновления. Чтобы добавить к списку исключений дополнительные расширения, введите их в следующем разделе реестра и перезагрузите компьютер:

Читайте также:  Запись аудио с компьютера windows 10

Для ввода нескольких расширений следует использовать мультистроковый тип, вводя каждое расширение в отдельной строке без начальной точки.

Изменения, производимые в виртуализованных каталогах устаревшими процессами, перенаправляются в виртуальный корневой каталог пользователя, %LocalAppData%VirtualStore. Например, если виртуализованный процесс, работающий в моей системе, создает файл C:WindowsApplication.ini, фактически создается файл C:UsersMarkrussAppDataLocalVirtualStoreWindowsApplication.ini. Элемент пути Local указывает на тот факт, что если учетная запись имеет перемещаемый профиль, виртуализованные файлы не перемещаются с остальной частью профиля.

Если в проводнике перейти к каталогу, содержащему виртуализованные файлы, на панели инструментов появляется кнопка “Файлы совместимости” (рис. 3). Нажатие этой кнопки открывает соответствующий подкаталог VirtualStore, в котором собраны виртуализованные файлы.

fig03
Рис. 3 Кнопка “Файлы совместимости” говорит о наличии где-то рядом виртуализованных файлов

На рис. 4 показано, как драйвер фильтра UAC для виртуализации файлов (%SystemRoot%System32DriversLuafv.sys) реализует виртуализацию файловой системы. Поскольку это драйвер фильтра файловой системы, он видит все операции в файловой системе, но реализует функциональные возможности только для операций из устаревших процессов. Как видно на рисунке, он изменяет путь целевого файла для устаревшего процесса, который создает файл в размещении, общем для всей системы, но не делает этого для процесса приложения Windows Vista, работающего с правами обычного пользователя. Устаревший процесс полагает, что операция прошла успешно, если она фактически создала файл в размещении, полностью доступном пользователю. Но применяемые по умолчанию разрешения для каталога Windows не дают доступа к нему приложению, написанному для Windows Vista.

fig04
Рис. 4 Виртуализация файловой системы

Виртуализация реестра реализована несколько иначе, чем виртуализация файловой системы. Виртуализованные разделы реестра включают большую часть ветви HKEY_LOCAL_MACHINESoftware, но есть и многочисленные исключения, например следующие:

HKLMSoftwareMicrosoftWindows HKLMSoftwareMicrosoftWindows NT HKLMSoftwareClasses

Виртуализуются только разделы, которые часто изменяются устаревшими приложениями, но не вызывают проблем совместимости или взаимодействия. Windows перенаправляет операции изменения виртуализуемых разделов устаревшим приложением в виртуальный корневой раздел реестра пользователя в разделе HKEY_ CURRENT_USERSoftwareClassesVirtualStore. Этот раздел расположен в файле %LocalAppData%MicrosoftWindowsUsrClass.dat, в кусте Classes пользователя, который, как и все прочие данные виртуализованных файлов, с перемещаемым профилем пользователя не перемещается.

Вместо хранения фиксированного списка виртуализованных размещений, как это делается для файловой системы, состояние виртуализации раздела хранится в виде флага REG_ KEY_DONT_VIRTUALIZE в самом разделе. С помощью служебной программы Reg.exe можно просмотреть этот флаг, а также два других флага, связанные с виртуализацией, — REG_KEY_ DONT_SILENT_FAIL и REG_KEY_ RECURSE_FLAG (см. рис. 5). Если флаг REG_KEY_DONT_SILENT_FAIL установлен и раздел не виртуализован (установлен флаг REG_KEY_DONT_VIRTUALIZE), устаревшему приложению, которому иначе было бы запрещено выполнять операции с разделом, предоставляется любой уровень доступа к разделу, который имеет пользователь, вместо доступа, затребованного приложением. Флаг REG_KEY_RECURSE_FLAG указывает, наследуют ли новые разделы флаги виртуализации родительского раздела, а не только флаги, применяемые по умолчанию.

fig05
Рис. 5 Служебная программа Reg показывает флаги виртуализации

На рис. 6 показано, как виртуализация реестра реализуется диспетчером конфигураций, который управляет реестром в ядре операционной системы, Ntoskrnl.exe. Как и в случае с виртуализацией файловой системы, устаревший процесс, создающий подраздел виртуализованного раздела, перенаправляется в виртуальный корневой раздел реестра пользователя, но процессу Windows Vista будет отказано в доступе применяемыми по умолчанию разрешениями.

Кроме виртуализации файловой системы и реестра, для правильной работы с правами обычного пользователя некоторых приложений требуется дополнительная поддержка. Например, приложение, которое проверяет членство учетной записи, под которой оно работает, в группе “Администраторы”, откажется работать, если учетная запись не входит в эту группу. Поэтому Windows Vista определяет ряд режимов совместимости приложений с тем, чтобы такие приложения всё равно смогли работать. Эти режимы совместимости, обычно применяемые к устаревшим приложениям для операций с обычными правами, показаны на рис. 7.

Рис 7 Общие режимы совместимости для пользователей

Режим совместимости Назначение

ElevateCreateProcess Изменение функции CreateProcess для обработки ошибок ERROR_ELEVATION_REQUIRED путем вызова службы сведений о приложении для вывода запроса на повышение.
ForceAdminAccess Имитация запросов членства в административных группах.
VirtualizeDeleteFile Имитация успешного удаления глобальных файлов и каталогов.
LocalMappedObject Добавление объектов глобальных областей в пространство имен пользователя.
VirtualizeHKCRLite, VirtualizeRegisterTypeLib Перенаправление глобальной регистрации COM-объектов в разделы пользователей.

Эффекты виртуализации

Состояние виртуализации процесса можно изменить, выбрав “Виртуализация” в контекстном меню, которое появляется, если щелкнуть процесс правой кнопкой мыши в окне диспетчера задач. На рис. А показано поведение командной строки при изменении ее состояния виртуализации. Командная строка запускается с отключенной виртуализацией, поскольку обладает манифестом Windows Vista. Поскольку она работает с правами обычного пользователя, создать файл в каталоге Windows ей не удается, но после виртуализации с помощью диспетчера задач файл, вроде бы, успешно создается. После возвращения отключенного состояния виртуализации командной строки она не сможет найти файл, который на самом деле находится в виртуальном хранилище пользователя.

figA
Рис. А Изменение состояния виртуализации

Режим одобрения администратором

Даже если пользователи запускают только программы, совместимые с правами обычного пользователя, некоторые операции все равно требуют административных прав. Подавляющее большинство установок программного обеспечения требует административных прав для создания каталогов и параметров реестра в размещениях, общих для всей системы, или для установки драйверов устройств либо служб. Изменение глобальных системных параметров Windows и приложений также требует административных прав, как, например, функция родительского контроля в Windows Vista. Большую часть этих операций можно было бы выполнить путем переключения на отдельную учетную запись администратора, но неудобство такой процедуры вероятнее всего приведет к тому, что большинство пользователей будет выполнять свои ежедневные задачи, так и оставшись в административной учетной записи.

В связи с этим Windows Vista содержит расширенные функциональные возможности “запуска от имени”, чтобы обычные пользователи могли комфортно запускать процессы с административными правами. Эти возможности нужны для того, чтобы у приложений был способ определения операций, для которых система может по мере необходимости получать административные права от имени приложения. На этом моменте я кратко остановлюсь ниже.

Далее, чтобы пользователи, действующие как системные администраторы, могли работать с правами обычного пользователя, не вводя имена пользователей и пароли каждый раз, когда им нужно обратиться к административным правам, в Windows Vista введен режим одобрения администратором (Admin Approval Mode, AAM). Эта функция создает для пользователя два набора учетных данных для входа в систему: один с правами обычного пользователя, а другой с административными. Так как каждый пользователь в системе Windows Vista или является обычным пользователем, или работает в основном как обычный пользователь в AAM, разработчики должны рассчитывать на то, что все пользователи Windows — это обычные пользователи, в результате чего будет больше программ, работающих с правами обычного пользователя без виртуализации или режима совместимости.

Предоставление процессу административных прав называется повышением прав. Если эта процедура выполняется под учетной записью обычного пользователя, она называется повышением “через плечо” (Over the Shoulder, OTS), поскольку требует ввода учетных данных для учетной записи, которая является членом группы администраторов. Это похоже на ситуацию, когда “из-за спины” обычного пользователя что-то печатает другой пользователь. Повышение, выполняемое пользователем AAM, называется повышением по согласию, поскольку пользователь просто должен одобрить присвоение его административных прав.

Windows Vista считает пользователя администратором, если он является членом любой из групп административного типа, перечисленных на рис. 8.

Рис 8 Административные группы

Встроенная группа “Администраторы”

Администраторы сертификатов
Администраторы домена
Корпоративные администраторы
Администраторы политик
Администраторы схем
Контроллеры домена
Корпоративные контроллеры домена с доступом только для чтения
Контроллеры домена с доступом только для чтения
Операторы учета
Операторы архива
Операторы шифрования
Операторы настройки сети
Операторы печати
Системные операторы
Серверы RAS
Опытные пользователи
Пред-Windows 2000 доступ

Многие из перечисленных групп используются только в системах – участниках доменов и непосредственно не дают пользователям локальных административных прав, но позволяют им изменять параметры всего домена. Если пользователь является членом любой из этих групп, но не фактической группы администраторов, то, вместо повышений согласия, он обращается к своим административным правам через OTS-повышения.

Когда пользователь, принадлежащий одной из перечисленных групп, входит в систему, Windows Vista создает маркер, представляющий версию административного идентификатора этого пользователя, но с правами обычного пользователя. Новый маркер лишается всех привилегий, назначенных пользователю, кроме привилегий, перечисленных на рис. 9, которые являются применяемыми по умолчанию привилегиями обычного пользователя.

Рис 9 Привилегии обычного пользователя

Понятное название Внутреннее имя

Обход перекрестной проверки SeChangeNotifyPrivilege
Завершение работы системы SeShutdownPrivilege
Отключение компьютера от стыковочного узла SeUndockPrivilege
Увеличение рабочего набора процесса SeIncreaseWorkingSetPrivilege
Изменение часового пояса SeTimeZonePrivilege

fig10
Рис. 10 Маркеры администратора AAM и обычного пользователя

Группа с флагом “только для запрещения” может использоваться только для запрещения пользовательского доступа к ресурсу, но никогда не разрешает доступ. Тем самым закрывается брешь в системе безопасности, которая может возникнуть в случае полного удаления группы. Например, у файла есть список управления доступом (ACL), который запрещает любой доступ для группы “Администраторы”, но предоставляет некоторый доступ другой группе, к которой относится пользователь. Если группа администраторов отсутствует в маркере, этот пользователь получит доступ к файлу, поскольку версия его идентификатора со стандартными правами имеет больше прав доступа, чем административная.

Автономные системы, которыми обычно являются домашние компьютеры, и системы, входящие в состав доменов, обрабатывают AAM-доступ со стороны удаленных пользователей по-разному, поскольку доменные компьютеры в своих разрешениях доступа к ресурсам могут использовать доменные административные группы. Когда пользователь обращается к общедоступному файловому ресурсу на автономном компьютере, Windows запрашивает удостоверение удаленного пользователя с правами обычного пользователя, но на системах, объединенных в домен, Windows соблюдает все членства пользователя в группах домена, запрашивая административный идентификатор пользователя.

Удобное получение административных прав

Определить потребность в административных правах системы и приложений можно множеством способов. Один из них — команда контекстного меню и ярлык “Запуск от имени администратора” в пользовательском интерфейсе проводника. Эти элементы содержат цветной значок щита, который должен быть добавлен ко всем кнопкам или пунктам меню, выбор которых приводит к повышению прав. При выборе элемента “Запуск от имени администратора” проводник вызывает API-функцию ShellExecute с командой “runas”.

Подавляющее большинство программ установки требует административных прав, поэтому загрузчик образов, который инициирует запуск исполняемого файла, содержит код обнаружения установщиков для выявления устаревших версий установщиков. Часть алгоритмов используемой загрузчиком эвристики довольно проста: он ищет слова “setup”, “install” или “update” в имени файла образа или внутренней информации о версии. Более сложные алгоритмы включают просмотр в исполняемом файле последовательностей байтов, обычно применяемых сторонними разработчиками в служебных программах – установочных оболочках.

Чтобы определить, нуждается ли целевой исполняемый файл в правах администратора, загрузчик образов также вызывает библиотеку совместимости приложений (appcompat). Библиотека обращается к базе данных совместимости приложений, чтобы определить, связаны ли с исполняемым файлом флаги совместимости RequireAdministrator или RunAsInvoker.

Исполняемые файлы, не требующие административных прав, например Notepad.exe, имеют значение атрибута asInvoker. В некоторых исполняемых файлах заложено допущение, что администраторы всегда хотят получить максимальный доступ. Поэтому в них используется значение highestAvailable. Пользователю, запускающему исполняемый файл с этим значением, предлагается повысить права, только если он работает в режиме AAM или рассматривается как администратор согласно определенным ранее правилам и в связи с этим должен повысить права для обращения к своим административным привилегиям. Примерами приложений, для которых используется значение highestAvailable, могут служить программы Regedit.exe, Mmc.exe и Eventvwr.exe. Наконец, значение requireAdministrator всегда инициирует запрос повышения и используется всеми исполняемыми файлами, которым не удастся выполнить свои действия без административных прав.

В приложениях со специальными возможностями атрибуту uiAccess задается значение «true» для управления окном ввода в процессах с повышенными правами. Кроме того, для обеспечения этих возможностей они должны быть подписаны и находиться в одном из нескольких безопасных размещений, включая %SystemRoot% и %ProgramFiles%.

Значения, задаваемые исполняемым файлом, можно легко определить, просмотрев его манифест с помощью служебной программы Sysinternals Sigcheck, например:

При запуске образа, который запрашивает административные права, службе сведений о приложении (известна также как AIS, находится в %SystemRoot%System32Appinfo.dll), которая работает в процессе Service Host (%SystemRoot%System32Svchost.exe), предписывается запустить программу Consent.exe (%SystemRoot%System32Consent.exe). Программа Consent создает снимок экрана, применяет к нему эффект затемнения, переключается на рабочий стол, доступный только системной учетной записи, устанавливает затемненный снимок в качестве фона и открывает диалоговое окно повышения прав, содержащее сведения об исполняемом файле. Вывод на отдельном рабочем столе предотвращает изменение этого диалогового окна любой вредоносной программой, работающей под учетной записью пользователя.

fig11
Рис. 11 Диалоговые окна OTS-повышения

Если образ является компонентом Windows, подписанным цифровой подписью корпорации Майкрософт, и находится в системном каталоге Windows, то, как показано вверху на рис. 11, в верхней части диалогового окна добавляется синяя полоса. Серая полоса (среднее диалоговое окно) обозначает образы, подписанные цифровой подписью, отличной от подписи корпорации Майкрософт, а оранжевая полоса (нижнее диалоговое окно) предназначена для неподписанных образов. Для образов, подписанных цифровой подписью, в диалоговом окне повышения показывается значок образа, описание и издатель, а для неподписанных образов — только общий значок, имя файла и примечание “Издатель неизвестен”. Это усложняет для вредоносных программ имитацию подлинного программного обеспечения. Кнопка “Сведения” внизу диалогового окна раскрывается, показывая командную строку, которая будет передана исполняемому файлу при его запуске. Диалоговое окно программы Consent для режима AAM, показанное на Figure 12, подобно окну для OTS-повышения, но вместо запроса на ввод учетных данных администратора там имеются кнопки “Далее” и “Отмена”.

Читайте также:  Как проверить версию windows на флешке

fig12
Рис. 12 Диалоговое окно AAM-повышения

Если пользователь отклоняет повышение прав, Windows возвращает процессу, инициировавшему запуск, ошибку “Отказано в доступе”. Если пользователь соглашается на повышение, введя учетные данные администратора или нажав кнопку “Далее”, служба AIS вызывает функцию CreateProcessAsUser для запуска процесса с необходимым административным идентификатором. Хотя технически родителем процесса с повышенными правами является служба AIS, она использует новую поддержку со стороны функции CreateProcessAsUser, которая устанавливает запускаемому процессу в качестве кода родительского процесса код процесса, который изначально его запустил (см. рис. 13). Именно поэтому процессы с повышенными правами не изображаются как потомки процесса Service Hosting службы AIS в таких средствах, как обозреватель процессов, которые показывают деревья процессов.

fig13
Рис. 13 Поток повышения прав

Даже при том, что диалоговые окна повышения выводятся на отдельном безопасном рабочем столе, по умолчанию пользователи не имеют никакого способа проверить тот факт, что они видят подлинное диалоговое окно, а не окно, открытое вредоносной программой. Для AAM это не проблема, поскольку вредоносная программа со своим фальшивым диалоговым окном Consent не может получить административных прав. Однако эта программа может дождаться ОТС-повышения обычного пользователя, перехватить его и использовать троянское диалоговое окно для захвата учетных данных администратора. С этими учетными данными вредоносная программа может получить доступ к учетной записи администратора и инфицировать ее.

В связи с этим в корпоративных средах ОТС-повышения должны быть строго запрещены. Чтобы отключить ОТС-повышения (и уменьшить количество вызовов службы поддержки), запустите редактор локальных политик безопасности (Secpol.msc) и для параметра “Управление учетными записями пользователей: поведение запроса на повышение прав для обычных пользователей” выберите значение Automaticallydenyelevationrequests.

Пользователи домашних компьютеров, которые сами отвечают за свою безопасность, должны настроить ОТС-повышения таким образом, чтобы для их применения необходимо было ввести специальное сочетание клавиш (SAS), которое вредоносная программа не сможет перехватить или имитировать. Чтобы настроить SAS, нужно запустить редактор групповых политик (Gpedit.msc), перейти к разделу “Конфигурация компьютера” – “Административные шаблоны” – “Компоненты Windows” – “Интерфейс пользователя для учетных данных” и включить параметр “Требовать достоверный путь для входа в учетную запись”. После этого обратиться к диалоговому окну повышения можно будет, нажав сочетание клавиш CTRL+ALT+DELETE.

Изоляция процессов с повышенными правами

Windows Vista устанавливает ограждение вокруг процессов с повышенными правами, чтобы защитить их от вредоносной программы, работающей на том же компьютере с правами обычного пользователя. Без такого барьера вредоносная программа может управлять административным приложением, отправляя ему фальшивый синтезированный ввод мышью и оконный ввод через оконные сообщения. Стандартная модель безопасности Windows не даст вредоносной программе, работающей в процессе с правами обычного пользователя, работать от имени другого пользователя в процессе с повышенными правами. Однако она не может запретить вредоносной программе, работающей под версией обычных прав административного пользователя, запуск процессов пользователя с повышенными правами, внедрение в них кода и запуск потоков его выполнения.

Защита Windows Vista против оконных сообщений называется изоляцией привилегий интерфейса пользователя (UIPI). Он основан на новом механизме целостности Windows, который Windows Vista использует также как ограждение вокруг процессов с повышенными правами. В этой новой модели безопасности все процессы и объекты имеют уровни целостности, а политика целостности объекта может ограничить доступ, который иначе был бы предоставлен процессу моделью безопасности Windows “Управление доступом на уровне пользователей” (DAC).

Уровни целостности (IL) представлены идентификаторами безопасности (SID), которые представляют также пользователей и группы, уровень которых закодирован в относительном идентификаторе (RID) идентификатора SID. На рис. 14 показаны отображаемое имя, SID и шестнадцатеричная версия RID идентификатора SID для четырех основных IL.

Рис 14 Основные уровни целостности

Название SID RID

Низкий обязательный уровень S-1-16-4096 0x1000
Средний обязательный уровень S-1-16-8192 0x2000
Высокий обязательный уровень S-1-16-12288 0x3000
Обязательный уровень системы S-1-16-16384 0x4000

В шестнадцатеричных числах видны промежутки размером 0x1000 между каждым уровнем, что допускает создание промежуточных уровней для использования приложениями со специальными возможностями интерфейса пользователя и будущего развития.

На рис. 15 перечислены политики IL объектов и типы доступа, которые они ограничивают, и их соответствие общим типам доступа, определенным для объекта.

Рис 15 Политики уровней целостности

Политика Результат действия

Нет записи Процесс с более низким IL не может изменить объект с более высоким IL
Нет чтения Процесс с более низким IL не может считать данные из объекта с более высоким IL
Нет запуска Процесс с более низким IL не может запустить объект с более высоким IL

Например, политика “Нет записи” предотвращает получение процессом с более низким IL любого доступа, представляемого типом GENERIC_WRITE. По умолчанию для большинства объектов, включая файлы и параметры реестра, применяется политика “Нет записи”, которая запрещает процессу доступ для записи к объектам, имеющим более высокий IL, даже если список управления доступом на уровне пользователей (DACL) объекта предоставляет пользователю такой доступ. Другая политика применяется только к объектам-потокам и объектам-процессам. Эта политика, “Нет записи” плюс “Нет чтения”, запрещает процессу с более низким IL встраивать код и считывать данные — например пароли — из процесса, имеющего более высокий IL.

Windows назначает каждому процессу IL, помещая его в маркер вместе с кодами SID групп, к которым относится пользователь, выполняющий процесс. На рис. 16 показаны примеры процессов, которым назначены разные IL.

Рис 16 Примеры назначения процессам уровней целостности

Уровень целостности Примеры процессов

Низкий обязательный уровень Internet Explorer защищенного режима и процессы, им
Средний обязательный уровень Процессы обычного пользователя и процессы ААМ без повышенных прав
Высокий обязательный уровень Процессы, работающие с административными правами
Обязательный уровень системы Процессы Local System, Local Service и Network Service

Процессы обычно наследуют IL своего родителя, но процесс может также запустить процесс с другим IL, как это делает служба AIS, когда запускает процесс с повышенными правами. Уровни целостности процесса можно просмотреть с помощью встроенной служебной программы Whoami, указав параметр /all, или с помощью программ Process Explorer или AccessChk (обе от Sysinternals). Обозреватель процессов может отображать коды IL процесса наряду со столбцом “Уровень целостности”.

Каждый защищаемый объект обладает IL, который может быть явным или неявным. Процессы, потоки и маркеры всегда имеют явно назначенный IL, который обычно совпадает с IL, сохраненным в маркере соответствующего процесса. Большинство объектов не имеет явного IL, поэтому к ним по умолчанию применяется средний (Medium) уровень целостности. Уровень IL, отличный от среднего, имеют только объекты, создаваемые процессом, работающим с низким (Low) IL. Такие объекты также имеют низкий IL. Просмотреть IL файлов можно с помощью встроенного средства iCacls (%SystemRoot%System32iCacls.exe), а IL файлов, параметров реестра, служб и процессов — с помощью служебной программы Sysinternals AccessChk. Нарис. 17 показано, что IL каталога, к которому должен иметь доступ обозреватель Internet Explorer в защищенном режиме — Low.

fig17
Рис. 17 IL каталога “Избранное” пользователя в окне программы AccessChk

Если у объекта есть явный IL, он хранится в записи управления доступом (ACE) нового типа, представленного в Windows Vista, — Label ACE, в списке управления системным доступом (SACL) дескриптора безопасности объекта (см. рис. 18). SID в ACE соответствует IL объекта, а с помощью флагов ACE кодируется политика целостности объекта. До Windows Vista в SACL хранились только ACE-записи аудита, которые требуют привилегии “Управление аудитом и журналом безопасности” (SeSecurityPrivilege), но для чтения записей типа Label ACE необходим только доступ “Разрешение на чтение” (READ_CONTROL). Чтобы процесс мог изменить IL объекта, он должен иметь доступ “Смена владельца” (WRITE_OWNER) к объекту и IL, равный или более высокий, чем у объекта. При этом процесс может установить IL, только равный его собственному IL или ниже. Новая привилегия “Изменение метки объекта” (SeRelabelPrivilege) дает процессу возможность изменить IL любого объекта, к которому процесс имеет доступ, и даже установить IL выше собственного IL процесса. Однако по умолчанию эта привилегия не назначается никакой учетной записи.

fig18
Рис. 18 Запись Label ACE объекта

Когда процесс пытается открыть объект, то перед тем как функция ядра SeAccessCheck выполнит стандартную проверку DACL Windows, происходит проверка целостности. Согласно применяемым по умолчанию политикам целостности, процесс может открыть объект для записи только если выполняются два условия: его IL равен или выше, чем IL объекта, и DACL предоставляет процессу необходимые типы доступа. Например, процесс с низким IL не сможет открыть процесс со средним IL для записи, даже если DACL предоставляет процессу такое право.

Применяемая по умолчанию политика целостности позволяет процессам открыть любой объект — за исключением объектов-процессов и объектов-потоков — для чтения, если DACL объекта предоставляет им такой доступ. Это означает, что процесс, работающий с низким IL, может открыть любые файлы, доступные для учетной записи пользователя, под которой он работает. С помощью IL-уровней обозреватель Internet Explorer защищенного режима предотвращает блокировку изменения параметров учетной записи пользователя вредоносной программой, но не может помешать ей читать документы пользователя.

Объекты-процессы и объекты-потоки — исключения, поскольку их политика целостности содержит также компонент “Нет чтения”. Это означает, что IL процесса должен быть равен или выше, чем IL процесса или потока, который данному процессу необходимо открыть, а DACL должен предоставить ему доступ требуемых типов. На рис. 19 предполагается, что DACL-списки разрешают необходимый доступ. Здесь показаны варианты доступа процессов, работающих со средним и низким IL, к другим процессам и объектам.

fig19
Рис. 19 Доступ к объектам и процессам

Подсистема сообщений Windows также использует уровни целостности для реализации UIPI, препятствуя отправлению процессом всех сообщений, кроме нескольких информационных оконных сообщений, в окна, принадлежащие процессу с более высоким IL. Это позволяет предотвратить ввод в окна процессов с повышенными правами процессами обычных пользователей и разрушение процесса с повышенными правами отправкой ему неправильно сформированных сообщений, вызывающих переполнение внутреннего буфера. Процессы могут разрешать прохождение дополнительных сообщений сквозь защиту, вызывая API-функцию ChangeWindowMessageFilter. UIPI-изоляция также блокирует доступ к окнам процессов с более высоким IL с тем, чтобы, например, процесс обычного пользователя не мог захватить нажатия клавиш пользователем в административных приложениях.

Повышения прав и рубежи безопасности

Важно понимать, что повышения прав UAC — это дополнительные удобства, а не новые рубежи безопасности. Рубеж безопасности — когда некоторая политика безопасности диктует, что может проходить через некоторую границу, а что не может. Учетные записи пользователей — это пример рубежей безопасности в Windows, поскольку один пользователь не может обратиться к данным, принадлежащим другому пользователю, не имея на то разрешения пользователя-владельца.

Поскольку повышения прав не устанавливают рубежей безопасности, нет никакой гарантии, что вредоносная программа, работающая в системе с правами обычного пользователя, не сможет нарушить безопасность процесса с повышенными правами и получить административные права. Например, в диалоговых окнах повышения только определяется исполняемый файл, права которого будут повышены; в них ничего не говорится о том, что этот файл будет делать при выполнении. Исполняемый файл может обрабатывать аргументы командной строки, загружать DLL-библиотеки, открывать файлы данных и взаимодействовать с другими процессами. Любая из этих операций потенциально может позволить вредоносной программе нарушить безопасность процесса с повышенными правами и, таким образом, получить административные права.

Игра в песочнице с низким IL

figB
Рис. Б Командная строка может создавать файлы только в размещении с таким же IL

Процессы ААМ с повышенными правами особенно восприимчивы к нарушениям безопасности, поскольку они работают под той же учетной записью пользователя, что и ААМ-процессы пользователя со стандартными правами, и совместно используют профиль пользователя. Многие приложения считывают параметры и загружают расширения, зарегистрированные в профиле пользователя, создавая возможности для повышения прав вредоносной программы. Например, при работе в общих управляющих диалоговых окнах загружаются расширения оболочки, настроенные в разделе пользователя в реестре (в ветви HKEY_CURRENT_USER). Вредоносная программа может добавить себя в качестве расширения и затем загрузиться в любой процесс с повышенными правами, который использует эти диалоговые окна.

Очевидно, из-за их общедоступного состояния под угрозу могут быть поставлены даже процессы, повышенные от учетных записей обычного пользователя. Все процессы, работающие в сеансе входа в систему, совместно используют внутреннее пространство имен, в котором Windows хранит такие объекты, как события, мьютексы, семафоры и общую память. Если вредоносная программа знает, что процесс с повышенными правами при запуске будет пытаться открыть и прочитать определенный объект общей памяти, она может создать объект, содержимое которого вызовет переполнение буфера, и затем ввести код в процесс с повышенными правами. Этот тип атаки относительно сложен, но в случае его реализации OTS-повышения перестают быть рубежом безопасности.

Практический результат введения повышений — удобство для пользователей, которые, по умолчанию работая с правами обычного пользователя, получают доступ к административным правам. Пользователям, которые хотят иметь гарантии безопасности, придется несколько поступиться этим удобством. Выполняя ежедневные задачи как обычные пользователи, с помощью функции быстрого переключения пользователей (FUS) они могут переходить на выделенную учетную запись администратора для выполнения административных операций. С другой стороны, пользователи, склонные пожертвовать безопасностью в пользу удобства, могут отключить UAC в системе в диалоговом окне “Учетные записи пользователя” панели управления. Но следует помнить, что при этом также отключается защищенный режим для Internet Explorer.

Источник

Оцените статью
Мои наблюдения
Adblock
detector