віл запитується тільки тоді, коли це дійсно необхідно. Також перевірили прикладне програмне забезпечення від сторонніх виробників, щоб воно не вимагало прав адміністратора, коли це не потрібно. Розглянули випадки, коли додаток вимагало переходу до режиму адміністратора, коли це не настільки необхідно, і створили модифікації, що змушують додаток оцінювати свої дії, щоб вони по можливості не вимагали підвищення в рівні доступу.
p> Другу проблему було вирішити важче, так як CAD дійсно єдиний спосіб упевнитися, що ви - не зловмисник. У підсумку, дійшли висновку, що їли б не усунули потреба в CAD, то більшість користувачів входили б в систему з правами адміністратора, що в підсумку призвело б до більшого ризику. У той же час, хоча CAD за замовчуванням заблокована, система все ще запитує згоду в безпечному робочому столі, щоб користувач знав, що це - спеціальний запит системи. Зрештою, залишили інтеграцію CAD в UAC і вимкнули її використання за замовчуванням. Якщо користувач хоче включити використання CAD для підвищення рівня в UAC, то він може це зробити через локальну зв'язок або робочу групу. Підключенням CAD через робочу групу можуть також скористатися мережеві адміністратори. Тому якщо ви хочете підвищити базову безпеку Windows Vista, то дозволите CAD для підвищення рівня в UAC.
Слід звернути увагу, що UAC не допоможе вам, якщо ваш комп'ютер вже заражений, і це ще одна причина, по якій розглядаємо глибину і ступінь захищеності.
Як я вже говорив вище, хочуть допомогти тим користувачам, які хотіли отримати права адміністратора, щоб зробити свою роботу з системою настільки ж гнучкою, але в той же час більш захищеною, ніж у Windows XP. Для цього зробили в UAC режим під назвою В«режим, схвалений адміністраторомВ» (admin approval mode). У цьому режимі (який за замовчуванням включений для локальної групи адміністраторів) кожен користувач з привілеями адміністратора в основному працює як звичайний користувач, але коли система або додаток збираються виконати дія, що вимагає прав адміністратора, користувач повинен запросити дозвіл на це. У відмінності від подібної функції в Unix, яка відключається після підняття рівня доступу для користувача, admin approval mode допускає використання привілеїв тільки на час виконання завдання, після чого автоматично повертаючи користувача до стандартного режиму.
Однак, слід зазначити, що ця функція призначена насамперед для зручності адміністраторів і не є кордоном між процесами, з якими вони можуть бути абсолютно ізольовані. Якщо адміністратор виконує безліч завдань на одному і тому ж робочому столі, то шкідлива програма може з'єднувати програму з високим рівнем доступу з програмою, яка не має доступ до певних ресурсів. Тому найбільш безпечною конфігурацією Windows Vista є схема роботи, коли процеси виконуються в двох окремих облікових записах, одна з якої (з правами адміністратора) виконує доступні тільки їй дії, а інша (стандартна) - всі інші.
Ко...
