Co je virtualizace UAC?
UAC znamená „ Kontrola uživatelského účtu “. Jedná se o oblast správy softwaru, která izoluje základní součásti operačního systému od potenciálně škodlivých změn. Toto je úroveň přístupu, která se v systémech podobných Unixu nazývá „root“ a v systémech Windows je známá jako oprávnění správce.
Nejčastěji se uživatelé Windows setkávají s UAC, když se pokoušejí nainstalovat nový software. Tato vyskakovací zpráva požadující autorizaci za účelem povolení instalace je veřejnou stránkou UAC.
Více o UAC
Řízení uživatelských účtů je od té doby integrováno do systému Windows Windows Vista v roce 2006 a byl zařazen do Windows Server od verze 2008.
Systém UAC umožňuje spouštět uživatelsky instalovaný software v uživatelské oblasti disku a pouze software nainstalovaný jednotkou Správce účet získá přístup k systémovým prostředkům. Software, který nainstaloval správce, mohou spouštět uživatelé bez přístupu k systémovým prostředkům nebo je spouštět správce za účelem získání přístupu k systému.
Účelem UAC je posílit zabezpečení systému. Předpokládá se, že Administrátor v bezpečném obchodním prostředí je přístupný pouze IT profesionálovi, který nainstaluje pouze autorizovaný, ověřený software. Na druhou stranu uživatelům nelze vždy věřit, že přijmou preventivní opatření ohledně toho, co stahují.
Uživatelé mohou být snadno přimět ke stažení malware který je vložen do obrázku nebo souboru PDF. Bez oprávnění správce se software, který získá přístup ke koncovému bodu prostřednictvím uživatelského účtu, nebude moci dostat do důležitých služeb.
Mezi oblasti disku, které jsou blokovány pro uživatelské účty, patří adresáře %ProgramFiles%, %Windir%, %Windir%system32. Služba UAC také blokuje přístup pro zápis do cesty registru HKEY_LOCAL_MACHINESoftware.
Vyskakovací okno UAC
Toto vyskakovací okno oprávnění je klíčovou součástí UAC. Spouští nastavení v operačním systému, které buď usnadní akce v citlivých adresářích operačního systému s oprávněním, nebo tento přístup zablokuje, pokud je oprávnění odmítnuto.
Přístup k systému by měl být nutný pouze během instalace a aktualizace softwaru. Provozní proměnné, dočasné úložiště a data relace by měly být uloženy uživatelsky vlastněné složky . Systémová nastavení by měla být zapsána pouze do a sdílená, upravitelná složka , například %programdata%.
Pevná organizace dat a nastavení je výhodná pro všechny uživatele. Pokud je jeden uživatel na zařízení schopen přizpůsobit software, tyto osobní preference neovlivní ostatní uživatele daného počítače.
Virtualizace
Existuje celá řada typů virtualizace. Obecným účelem této strategie je použít software k vytvoření prostředí, které napodobuje skutečný zdroj , jako je samostatný server nebo hardware počítače.
Jedním z nejrozšířenějších typů virtualizace je „ virtuální stroj “ nebo VM . Jedná se o samostatný operační systém, který se vznáší nad skutečným OS. Poskytuje služby, které určitý software potřebuje od operačního systému, aniž by tomuto softwaru umožnil získat skutečný přímý přístup ke skutečnému operačnímu systému.
VM zprostředkovává mezi softwarem a operačním systémem. V některých případech může tato konfigurace umožnit spuštění softwaru napsaného pro jeden operační systém na počítači, který ve skutečnosti tento operační systém nemá nainstalovaný. Je například možné spouštět software napsaný pro Linux na počítači, který má Okna operační systém. Pokud je k dispozici virtuální prostředí pro interpretaci požadavků softwaru kompatibilních s Linuxem do požadavků, kterým Windows rozumí – je to jako interpret.
Virtualizace UAC
V případě virtualizace UAC virtuální počítač provozuje Windows a běží nad Windows. Účelem dvojitého operačního systému není poskytovat kompatibilitu v OS, ale zajistit ověření starší software který skutečně potřebuje přístup k těmto oblastem systému, když je spouští uživatelé.
Spíše než zprostředkování mezi dvěma různými operačními systémy poskytuje virtualizace UAC služby, které software potřebuje ke spuštění v uživatelském účtu, aniž by narušil přísnou systémovou izolaci UAC. Přístup ke složkám, které software potřebuje, je blokováno a tato skutečnost by způsobila, že se program zasekne nebo převrhne.
Implementace virtualizace UAC byla nezbytným krokem k překlenutí zavedení Řízení přístupu uživatelů . Bez tohoto dočasného opatření by velká část softwaru vytvořeného pro provoz ve Windows přestala fungovat. Přestože softwarové společnosti by časem přišly napsat nové verze svých produktů, úplné přepsání, které UAC vyžadovalo, by nějakou dobu trvalo. Takové velké změny jsou obvykle vyhrazeny pro nová vydání a nejsou brány jako aktualizace.
Softwarové domy, které se specializovaly na produkty pro Windows, si to nemohly dovolit odepsat investici již v jejich produktech. Když jsou vyrobeny nové edice, prodejci pro ně vypočítají životnost a před napsáním nových verzí počkají, dokud nebudou pokryty všechny náklady.
Virtualizace UAC mapuje požadavky na systémové složky staršího softwaru a složky vlastněné uživateli, které nyní systém Windows očekává, že bude software používat při spouštění z uživatelských účtů.
Díky virtualizaci UAC je software, který zapisuje do C:Program Files
Manifest aplikace
Ne každý software bude potřebovat přístup do chráněných systémových oblastí. Některé programy se stahují jako spustitelné soubory a spouštějí se odkudkoli v počítači. Hlavní problém, zda program potřebuje zapisovat soubory do vyhrazených adresářů, spočívá v organizaci potřeb přístupu ke složce.
Instalační program signalizuje operačnímu systému, jaký přístup ke složce program očekává jak pro instalaci, tak při každém spuštění prostřednictvím položek v Manifest aplikace . Toto je dokument XML, který doprovází programy v instalačním balíčku.
Hodnota požadavku na úroveň oprávnění v souboru je klíčem k tomu, zda systém Windows vyvolá virtualizaci UAC pro tento program při každém jeho spuštění. Možné hodnoty pro requiredExecutionLevel jsou:
- jako Invoker Spusťte se stejným přístupovým tokenem jako nadřazený proces.
- nejvyšší Dostupné Získejte nejvyšší oprávnění, která může aktuální uživatel získat.
- vyžadovatAdministrátora Tento program lze spustit pouze jako správce.
Windows bude vždy používat virtualizaci UAC pro software, který je označen s potřebou přístupu requiredAdministrator. Tento typ softwaru vždy vyvolá zobrazení vyskakovacího okna oprávnění UAC, kdykoli je spuštěn. Tento stav je výchozí. Pokud tedy neexistuje žádný manifest aplikace nebo chybí prohlášení o požadovaném oprávnění ke spuštění, software bude mít automaticky status requireAdministrator a bude vždy virtualizován.
Když je vyvolána virtualizace UAC
Virtualizace UAC je mechanismus v rámci Windows, nelze jej libovolně použít. V oběhu není žádný balíček hypervizoru UAC. Není to nástroj ve vývojářském rámci a neexistuje pro něj API. Ve zkratce, nemůžete nařídit použití virtualizace UAC .
Proces virtualizace UAC se nevztahuje na veškerý software. Zde je několik okolností, které je třeba mít na paměti, zda bude pro aplikaci použita virtualizace UAC:
- Virtualizace UAC je vyvolána pouze pro software, když je spuštěn z uživatelského účtu. Aplikace běžící jako správci to nepotřebují.
- Virtualizace UAC musí být povolena a aktivní na hostiteli.
- Programy běžící v 64bitovém prostředí nepotřebují virtualizaci UAC. Platí pouze pro 32bitový software.
- Uživatelský účet musí mít přístup pro zápis k souborům v původní cestě k souboru.
Správa Řízení uživatelských účtů
Chování Řízení uživatelských účtů lze upravit na každém počítači se systémem Windows. Tato možnost je k dispozici v Nastavení menu a dostanete se do něj kliknutím na Nastavení ikona ozubeného kolečka v Start a poté zadejte Řízení uživatelských účtů do vyhledávacího pole Nastavení.
Obrazovka nastavení Řízení uživatelských účtů je zobrazena jako posuvník. To dává uživateli možnost přepínat mezi jedním ze čtyř nastavení UAC. Tyto možnosti jsou:
- Vždy upozornit
- Upozornit mě pouze tehdy, když se programy pokusí provést změny v mém počítači
- Upozornit mě pouze tehdy, když se programy pokusí provést změny v mém počítači (neztlumit moji plochu)
- Nikdy neoznamovat
Níže naleznete o každé z těchto možností trochu více podrobností.
Vždy upozornit
Toto je nejpřísnější nastavení. Vyvolá vyskakovací okno s upozorněním, když se program chystá nainstalovat nebo aktualizovat a když se vy nebo jakýkoli jiný program pokusíte změnit nastavení systému Windows. Zmrazí všechny úkoly v počítači, dokud neodpovíte.
Tato možnost se doporučuje pro počítače, kde se často instaluje nový software, a pro lidi, kteří navštěvují neznámé webové stránky.
Upozornit mě pouze tehdy, když se programy pokusí provést změny v mém počítači
Toto je výchozí hodnota pro UAC. Upozorní uživatele počítače, když se programy pokusí nainstalovat software nebo provést změny v počítači. Když sami provedete změny v nastavení počítače, nezobrazí se vyskakovací okno oprávnění. Zmrazí všechny úkoly v počítači, dokud neodpovíte.
Tato možnost se doporučuje těm, kteří často instalují nový software a navštěvují neznámé weby, ale nechtějí být upozorňováni na své vlastní akce, které mění nastavení systému Windows.
Upozornit mě pouze tehdy, když se programy pokusí provést změny v mém počítači (neztlumit moji plochu)
Tato možnost vyvolá vyskakovací okno oprávnění, když se programy pokusí nainstalovat software nebo provést změny v počítači, ale neupozorní uživatele, kteří provádějí změny nastavení systému Windows ručně. Na rozdíl od předchozích dvou možností toto nastavení nezamrzne ostatní úkoly ani nebude čekat na odezvu.
Tato možnost se doporučuje pouze v případě, že z nějakého důvodu proces oznamování na počítači funguje pomalu až do bodu, kdy to pro uživatele představuje vážnou nepříjemnost.
Nikdy neoznamovat
Tato možnost zakáže Řízení přístupu uživatelů. Za žádných okolností se vám nezobrazí vyskakovací okno oprávnění.
Tato možnost představuje bezpečnostní riziko.
Virtualizace registru
Virtualizace registrů je aplikace virtualizace UAC do systémového registru. Účelem této funkce je zablokovat přístup k položkám globálního registru a zároveň povolit, aby software, který takový přístup vyžaduje, nadále fungoval. Protože nástroj UAC interpretuje přístup ke složce a přesměruje akce zápisu do adresářů ovládaných uživatelem, přepínače virtualizace registru se pokouší zapisovat do globálních proměnných, aby byly bezpečnější klíče registru uživatelských účtů.
Stejně jako u virtualizace UAC založené na souborech software pokračuje ve všech svých předem napsaných procedurách, vytváří a aktualizuje hodnoty klíčů registru, aniž by poškodil tyto oblasti globálního registru.
Virtualizace registrů je implementována pouze proto, aby umožnila pokračování provozu starších systémů. Potřeba této služby je pravděpodobně již nyní téměř zcela zaniklý . Jakýkoli software, který byl napsán po roce 2006, nebude potřebovat službu virtualizace registru, protože měl být napsán v souladu s pokyny pro vývojáře společnosti Microsoft. Tyto pokyny vysvětlují rozdíl mezi použitím globální položky registru a klíči registru, které jsou k dispozici pro uživatelské účty.
Budoucnost virtualizace UAC
Virtualizace UAC byla vytvořena, aby zajistila zpětnou kompatibilitu, když Microsoft uvedl svou novou architekturu. Je to metoda, jak zabránit selhání staršího softwaru, protože již není povoleno zapisovat do souborů, jejichž cesty a názvy jsou pevně zakódovány.
To ukazuje, že virtualizace UAC nemá budoucnost – je to všechno o minulosti. Virtualizační systém UAC se postupem času stal postupně redundantním. Jelikož je UAC součástí Windows od roku 2006, představuje již 25 let ekologickou jistotu. Šance, že software napsaný před více než 25 lety bude stále aktivní bez jakýchkoli nových verzí nebo aktualizací, je mizivá. Za prvé, starý software je velmi náchylné k útokům hackerů . Skenery zranitelnosti hledají zejména starý software, když hledají cestu dovnitř počítačů a sítí.
Virtualizace UAC ve Windows 10
Pokud používáte Windows 10, můžete se rozhodnout vyhledat nastavení virtualizace UAC a zjistit, zda je funkce zapnutá.
Chcete-li to provést:
- Stisknutím tlačítka Windows plus „R“ otevřete a Běh box.
- Typ secpol.msc a stiskněte „OK“ pro otevření Místní bezpečnostní politika aplikace.
- V Místní bezpečnostní politika v okně, rozbalte Místní zásady a klikněte na Možnosti zabezpečení v levém panelu.
- Procházejte seznam zásad na hlavním panelu, dokud se nedostanete na Řízení uživatelských účtů: Virtualizujte selhání zápisu souborů a registru do umístění pro jednotlivé uživatele .
Stav tohoto nastavení by měl být Povoleno . Pokud není:
- Dvakrát klikněte na řádek Řízení uživatelských účtů. Objeví se vyskakovací okno.
- Klikněte na Povoleno přepínač.
- Klikněte OK pro zavření vyskakovacího okna.
Jiné způsoby ochrany systému
Typický uživatel Windows by si neměl dělat starosti s virtualizací UAC a návrhář softwaru, který je určen pro použití ve Windows, se také nemusí starat o virtualizaci UAC, protože současné programovací postupy Windows tuto službu nepotřebují.
Existuje komplexní systém zabezpečení Windows, který chrání zařízení před neoprávněnou manipulací, a existuje několik nastavení, na která se můžete v systému Windows podívat, abyste zlepšili ochranu systému.
První, na kterou se můžete podívat, je Ochrana proti manipulaci , která brání malwaru v zasahování a pozměňování nastavení antiviru vašeho zařízení. Chcete-li zkontrolovat, zda je tato funkce zapnutá, postupujte takto:
- Typ Zabezpečení systému Windows ve vyhledávacím poli nabídky Start.
- Vybrat Aplikace zabezpečení systému Windows z výsledků.
- Klikněte na Ochrana před viry a hrozbami.
- Podívejte se do spodní části hlavního panelu na této obrazovce a klikněte na Spravovat nastavení .
- Ochrana proti manipulaci je čtvrtá možnost na této obrazovce. Ujistěte se, že je zapnutý.
Měli byste to také zajistit Ochrana v reálném čase , Ochrana poskytovaná cloudem , a Automatické odeslání vzorku jsou zapnuté.
Další hlavní náhradou za ochranu virtualizace UAC je Řízený přístup ke složce Systém. To zabraňuje malwaru měnit přípony souborů a skrýt je nebo měnit názvy systémových složek. To lze také získat z Nastavení ochrany před viry a hrozbami obrazovce, kde jste ji zapnuli Ochrana proti neoprávněné manipulaci .
- V Nastavení ochrany před viry a hrozbami obrazovka. Přejděte dolů na Spravujte řízený přístup ke složce a klikněte na něj.
- Na další obrazovce, která je Ochrana proti ransomwaru , posuňte posuvník pro Řízený přístup ke složce na Na .
- Budete přesměrováni do vyskakovacího okna oprávnění Řízení uživatelských účtů. Klikněte na Ano povolit změnu.
Závěr
Virtualizace UAC byla zastavovací opatření které umožnily zachování provozu velké knihovny softwaru dostupného pro Windows. Bez tohoto řešení by velké množství aplikací dostupných pro Windows přestalo fungovat při uvedení Windows Vista.
S postupem času se virtualizace UAC stala stále nepotřebnější. Jak jste však viděli, je stále ve Windows 10 a pravděpodobně uvidíte, že je ve vašem počítači povolena.
Virtualizační řešení pro UAC bylo chytré a jeho metody by se ukázaly být užitečné pro jakýkoli scénář ochrany systému. Ve skutečnosti mnoho bezpečnostních systémů funguje na virtualizaci a klasifikuje je jako „ virtuální zařízení .“ Izolace operačního systému a aplikací funguje oběma způsoby. Může také zabránit hackerům dostat se do softwaru a manipulovat s ním tím, že zablokuje přístupovou cestu přes operační systém.
Časté dotazy k virtualizaci UAC
Mám zakázat virtualizaci UAC?
Virtualizace UAC je základním prvkem bezpečnostní strategie společnosti Micorosft pro Windows. Vypnutím UAC ztrácíte výhody nativních bezpečnostních postupů.
Jak zajistíte, aby spustitelný soubor nepodléhal virtualizaci UAC?
Existují dva způsoby, jak lze spustitelný soubor vyjmout z virtualizace UAC. První je navrhnout software jako přenosný balíček, který se nemusí instalovat, ale poběží jako soubor v umístění, kde byl stažen. Druhý způsob, jak se vyhnout spuštění virtualizace UAC při spuštění programu. Druhým způsobem je zahrnout Manifest aplikace s instalačním programem. To by mělo obsahovat položku pro requiredExecutionLevel s hodnotou nastavenou na asInvoker nebo nejvyššíAvailable.