User Account Control

Chia sẻ: Nghia Bui Tuan | Ngày: | Loại File: PDF | Số trang:20

0
102
lượt xem
25
download

User Account Control

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Tổng quan về User Account Control User Account Control (UAC) là một thành phần bảo mật mới của hệ điều hành Microsoft® Windows Vista. UAC cho phép bạn thực hiện các nhiệm vụ chung khi không phải là quản trị viên, được gọi là người dùng chuẩn trong Windows Vista, và như các quản trị viên không chia sẻ quyền cho người dùng khác, log off hoặc sử dụng Run As.

Chủ đề:
Lưu

Nội dung Text: User Account Control

  1. User Account Control Tổng quan về User Account Control User Account Control (UAC) là một thành phần bảo mật mới của hệ điều hành Microsoft® Windows Vista. UAC cho phép bạn thực hiện các nhiệm vụ chung khi không phải là quản trị viên, được gọi là người dùng chuẩn trong Windows Vista, và như các quản trị viên không chia sẻ quyền cho người dùng khác, log off hoặc sử dụng Run As. Một tài khoản người dùng chuẩn đồng nghĩa với tài khoản người dùng trong Windows XP. Tài khoản người dùng là các thành viên của nhóm quản trị cục bộ sẽ chạy hầu hết các ứng dụng như một người dùng chuẩn. Bằng việc phân chia chức năng người dùng và quản trị viên trong khi vẫn cho phép hoạt động hiệu quả, User Account Control là một tính năng quan trọng cho Windows Vista. Khi một quản trị viên đăng nhập vào máy tính Windows Vista, người dùng được gán 2 thẻ truy cập phân biệt. Thẻ truy cập gồm có tư cách hội viên nhóm của người dùng, sự thẩm định quyền và dữ liệu điều khiển truy cập được sử dụng bởi Windows để điều khiển
  2. những tài nguyên và các nhiệm vụ mà người dùng có thể truy cập. Trước Windows Vista, tài khoản quản trị viên nhận được một thẻ truy cập, thẻ này gồm có dữ liệu để công nhận có quyền truy cập vào tất cả tài nguyên Windows. Mô hình điều khiển truy cập này không có bất kỳ một sự kiểm tra dự phòng nào để bảo đảm người dùng tin cậy thực sự muốn thực hiện một nhiệm vụ cần đến thẻ truy cập của quản trị viên. Kết quả là, các malware (phần mềm độc hại) có thể cài đặt trên máy tính mà người dùng không hề hay biết về chúng. Quá trình này được cho là cài đặt thầm lặng. Thậm chí còn hỏng hóc hơn nữa bởi khi người dùng là một quản trị viên, malware có thể sử dụng dữ liệu điều khiển truy cập của quản trị viên để xâm nhập vào các file hệ điều hành lõi, trong một số trường hợp là không thể gỡ bỏ. Sự khác nhau chính giữa một người dùng chuẩn và một quản trị viên trong Windows Vista là mức độ truy cập của người dùng trên các vùng được bảo vệ, và truy cập vào lõi máy tính. Quản trị viên có thể thay đổi trạng thái hệ thống, tắt tường lửa, cấu hình lại các chính sách bảo mật, cài đặt dịch vụ hoặc bộ cài ảnh hưởng đến người dùng khác trên máy tính, cài đặt phần mềm cho toàn bộ máy tính. Người dùng chuẩn mặc định không thể thực hiện các nhiệm vụ trên mà chỉ có thể cài đặt những phần mềm trong quyền sử dụng của họ. Để giúp ngăn chặn các malware có thể cài đặt thầm lặng và tiêm nhiễm toàn máy tính, Microsoft đã phát triển tính năng User Account Control cho Windows Vista. Không giống như các phiên bản trước, khi một quản trị viên đăng nhập vào hệ thống, thẻ truy cập quản trị hoàn chỉnh của người dùng sẽ phân chia thành hai dạng truy cập: một cho người dùng chuẩn và một cho quản trị viên. Trong suốt quá trình đăng nhập, các thành phần điều khiển truy cập và nhận dạng nhận dạng quản trị viên được gỡ bỏ và vô hiệu hóa. Thẻ truy cập người dùng chuẩn sau đó được sử dụng để khởi chạy máy trạm, Explorer.exe. Do tất cả các ứng dụng đều kế thừa dữ liệu truy cập của chúng từ khởi chạy ban đầu của máy trạm nên tất cả chúng chạy như cho một người dùng chuẩn. Trái ngược với quá trình này, khi một người dùng chuẩn đăng nhập vào hệ thống thì chỉ thẻ truy cập của người này mới được tạo. Thẻ truy cập người dùng chuẩn sau đó được sử dụng để khởi chạy máy trạm. Sau khi quản trị viên đăng nhập, thẻ truy cập quản trị viên đầy đủ không được cần đến cho tới khi người dùng cố gắng thực hiện nhiệm vụ quản trị. Vì người dùng là có thể cấu hình với mô đun phần mềm Security Policy Manager (secpol.msc) và Group Policy (gpedit.msc) nên không có User Account Control duy nhất. Thực hiện các ứng dụng với công việc của người dùng chuẩn Một hiệu quả lớn đang được thực hiện hiện nay để giúp Microsoft và các hãng phần mềm độc lập (ISV) thiết kế lại các ứng dụng của họ để hạn chế các yêu cầu về thẻ truy cập quản trị viên. Thông điệp phát triển ứng dụng được sửa lại là: chỉ yêu cầu người dùng trở thành một quản trị viên khi thực sự cần thiết.
  3. Trong quá khứ, các chuyên gia phát triển phần mềm thường thực hiện bước kiểm tra truy cập để bảo đảm người dùng là một quản trị viên khi ứng dụng bắt đầu được khởi chạy. Mặc dù vậy, nhiều ứng dụng đó đã không có các chức năng thực sự cần thiết cho người dùng để trở thành một quản trị viên. Tuy nhiên, nhiều chương trình luôn luôn yêu cầu một thẻ truy cập quyền quản trị viên (Phần mềm phân vùng đĩa là một ví dụ). Nhiều chương trình yêu cầu người dùng phải là một quản trị viên thì mới có thể khởi chạy trong Windows Vista với thẻ truy cập quyền quản trị viên đầy đủ; mặc dù vậy, trước tiên người dùng được thông báo với các yêu cầu của quản trị viên rồi nâng dần từ một quản trị viên trong chế độ Admin Approval thành một quản trị viên đầy đủ (hoàn chỉnh) và phải chọn sự phê chuẩn của họ. Lưu ý: Chức năng User Account Control được mặc định không áp dụng cho tài khoản quản trị viên được cài đặt sẵn nhưng có thể được cấu hình để áp dụng. Trong hầu hết các trường hợp, tài khoản này chạy tất cả các ứng dụng và công cụ quản trị khi một quản trị viên không được sự ưng thuận. Khi đó máy trạm cũng được khởi chạy. Những nâp cấp của Windows Vista Những nâng cấp dưới đây thể hiện sự thay đổi bên trong mang tính chức năng có trong Windows Vista. User Account Control được kích hoạt một cách mặc định Bạn có thể thấy được các vấn đề tương thích với ứng dụng khác vẫn chưa được nâng cấp thành phần User Account Control Windows Vista. Nếu một ứng dụng yêu cầu một thẻ truy cập quyền quản trị viên (đây là biểu hiện từ một lỗi “từ chối sự truy cập” được đáp lại khi bạn cố gắng chạy ứng dụng), bạn có thể chạy chương trình như một quản trị viên bằng cách sử dụng Run như tùy chọn quyền quản trị viên trong menu nội dung (kích chuột phải). Điều này được minh chứng trong tài liệu phần "Chạy các chương trình như một quản trị viên". Tất cả tài khoản người dùng sau đó được tạo như các người dùng chuẩn Cả tài khoản người dùng chuẩn và tài khoản quản trị viên đều có những ưu điểm với bảo mật nâng cao của User Account Control. Trong các cài đặt mới, mặc định tài khoản người dùng đầu tiên được tạo là một tài khoản quản trị viên cục bộ trong Admin Approval Mode (UAC enabled). Tất cả các tài khoản sau đó đều được tạo như những người dùng chuẩn. Các tài khoản quản trị viên đã cài đặt sẵn bị vô hiệu hóa mặc định trong các cài đặt
  4. mới Các tài khoản quản trị viên cài đặt sẵn bị vô hiệu hóa một cách mặc định trong Windows Vista. Nếu Windows Vista quyết định một nâng cấp hoàn thiện từ Windows XP mà một quản trị viên kèm theo chỉ là tài khoản quản trị viên cục bộ thì Windows Vista sẽ bỏ lại tài khoản được mặc định và thay thế tài khoản trong Admin Approval Mode. Tài khoản quản trị viên kèm theo mặc định không thể đăng nhập vào máy tính ở chế độ safe mode. Bạn nên xem những phần dưới đây để có thêm thông tin chi tiết. Non-Domain Joined Khi có ít nhất một tài khoản quản trị viên cục bộ được kích hoạt thì chế độ safe mode sẽ không cho phép đăng nhập với tài khoản quản trị viên cài đặt sẵn đã bị vô hiệu hóa. Thay vì đó, bất kỳ tài khoản quản trị viên cục bộ nào cũng có thể được sử dụng để đăng nhập. Nếu tài khoản quản trị viên cục bộ cuối cùng tình cờ bị hạ cấp, vô hiệu hóa hoặc xóa bỏ thì chế độ safe mode sẽ cho phép tài khoản quản trị viên được cài đặt sẵn đã bị vô hiệu hóa có thể đăng nhập để khôi phục. Domain Joined Tài khoản quản trị viên cài đặt sẵn bị vô hiệu hóa trong các trường hợp không thể đăng nhập trong chế độ safe mode. Một tài khoản người dùng là một thành viên của nhóm Domain Admins có thể đăng nhập vào máy tính để tạo một quản trị viên cục bộ nếu không tồn tại. Lưu ý: Nếu tài khoản quản trị viên miền chưa từng đăng nhập trước đó thì máy tính phải được bắt đầu trong chế độ Safe Mode với networking từ những tài nguyên không bị che giấu. Lưu ý: Khi máy tính bị tách rời ra, nó sẽ quay trở lại non-domain joined đã được mô tả trước. Các lệnh nâng quyền được hiển thị trong Secure Desktop một cách mặc định Sự cho phép và các lệnh quan trọng được hiển thị trên máy trạm bảo vệ mặc định trong Windows Vista. Các thiết lập bảo mật User Account Control mới và thay đổi tên thiết lập bảo mật Các thiết lập bảo mật mới và các nâng cấp hoàn chỉnh của nó được mô tả chi tiết trong Understanding and Configuring User Account Control của Windows Vista (http://go.microsoft.com/fwlink/?LinkId=66020).
  5. Cảm nhận người dùng UAC Cảm nhận người dùng sẽ khác nhau với người dùng chuẩn và quản trị viên trong Admin Approval Mode khi UAC được kích hoạt. Những phần dưới đây sẽ miêu tả cụ thể những khác nhau này và giải thích thiết kế của giao diện người dùng UAC. Sự đồng thuận và các lệnh quan trọng Với User Account Control được kích hoạt, Windows Vista thực hiện cho sự đồng thuận hoặc cho các khả năng của một quản trị viên hợp lệ trước khi khởi chạy một chương trình hoặc một nhiệm vụ yêu cầu đến thẻ truy cập quyền quản trị viên đầy đủ. Lệnh này sẽ giúp bạn ngăn chặn những cài đặt thầm lặng của malware. Cửa sổ đồng thuận Lệnh đồng thuận được thể hiện khi một quản trị viên cố gắng thực hiện một nhiệm vụ yêu cầu đến thẻ truy cập quyền quản trị viên đầy đủ. Cửa sổ mặc định này cho quản trị viên có thể được cấu hình bằng mô đun phần mềm Security Policy Editor cục bộ (secpol.msc) và với Group Policy (gpedit.msc). Hình dưới đây là một cửa sổ đồng thuận User Account Control. Cửa sổ đồng thuận User Account Control Ví dụ dưới đây sẽ thể hiện cho các bạn thấy một quản trị viên trong Admin Approval Mode đã thực hiện khi thực hiện một nhiệm vụ quản trị viên. Để quan sát cửa sổ đồng thuận 1. Đăng nhập vào máy tính Windows Vista với tài khoản quản trị viên trong Admin Approval Mode. 2. Kích vào nút Start sau đó kích chuột phải vào My Computer, chọn Manage từ menu
  6. 3. Tại cửa sổ của User Account Control bạn kích Continue. Cửa sổ ủy nhiệm Cửa sổ ủy nhiệm được hiện lên khi một người dùng chuẩn cố gắng thực hiện một nhiệm vụ yêu cầu đến một thể truy cập quyền quản trị viên. Người dùng chuẩn này mặc định có thể cấu hình với mô đun phần mềm Security Policy Manager (secpol.msc) và với Group Policy. Các quản trị viên cũng có thể bị yêu cầu cung cấp sự ủy nhiệm của họ bằng thiết lập User Account Control: Behavior của cửa sổ nâng quyền cho các quản trị viên trong Admin Approval Mode có giá trị với cửa sổ ủy nhiệm. Hình dưới đây là một ví dụ về cửa sổ ủy nhiệm User Account Control. Cửa sổ ủy nhiệm User Account Control Ví dụ dưới đây sẽ chứng tỏ làm thế nào để một người dùng chuẩn ra lệnh về sự ủy nhiệm khi đang cố gắng thực hiện một nhiệm vụ quản trị viên. Để quan sát cửa sổ ủy nhiệm 1. Đăng nhập vào Windows Vista với tài khoản người dùng chuẩn 2. Kích vào nút Start sau đó kích chuột phải vào My Computer, chọn Manage từ menu
  7. 3. Sử dụng cửa sổ User Account Control, kích vào tên người dùng với quản trị viên thích hợp sau đó nhập password của tài khoản người dùng và kích Submit. Các lệnh nâng quyền có liên quan đến ứng dụng Các lệnh nâng quyền User Account Control được viết bằng màu với từng ứng dụng cụ thể, cho phép nhận dạng ngay lập tức các rủi ro bảo mật tiềm tàng của ứng dụng. Khi một ứng dụng cố gắng chạy với một thẻ truy cập đầy đủ của quản trị viên thì Windows Vista trước tiên sẽ phân tích sự thực thi để xác định nhà xuất bản của nó. Các ứng dụng trước tiên được phân chia thành ba loại dựa trên nhà xuất bản: Windows Vista, nhà xuất bản được thẩm định (được kí) và nhà xuất bản không thẩm định. Sơ đồ dưới đây chứng minh cho chúng ta thấy được Windows Vista xác định màu lệnh nâng quyền nào cho người dùng. Các lệnh nâng quyền có liên quan đến ứng dụng Chi tiết về màu:
  8. • Màu nền đỏ và biểu tượng khiên màu đỏ: Ứng dụng là của một nhà xuất bản đã bị khóa hoặc bị khóa bởi Group Policy. • Màu nền xanh/xanh lá cây: là ứng dụng của quản trị viên Windows Vista như một control panel. • Màu nền xám và màu biểu tượng khiên màu vàng: Ứng dụng được đã được thẩm định chữ kí và được tin tưởng bởi máy tính cục bộ. • Màu nền vàng và màu biểu tượng khiên màu đỏ: Ứng dụng không được kí hoặc kí nhưng vẫn chưa được tin tưởng bởi máy tính cục bộ. Các lệnh nâng quyền được viết màu ứng với các hộp thoại được viết màu trong Microsoft Internet Explorer. Biểu tượng khiên Nhiều control panel như thuộc tính ngày và giờ trộn lẫn các hoạt động của người dùng chuẩn và quản trị viên. Người dùng chuẩn có thể quan sát đồng hồ và thay đổi thời gian vùng, nhưng một thẻ truy cập quyền quản trị viên đầy đủ phải cần đến để thay đổi thời gian hệ thống cục bộ. Hình dưới đây là control panel thuộc tính ngày và giờ.
  9. Thuộc tính ngày và giờ Khi người dùng cần thay đổi thời gian thì họ kích chuột vào nút biểu tượng hình khiên. Biểu tượng hình khiên chỉ thị hệ thống sử dụng một thẻ truy cập quản trị viên đầy đủ, thẻ yêu cầu một lệnh nâng quyền User Account Control. Việc cài đặt và chạy một chương trình với User Account Control được kích hoạt Khi cài đặt nhiều ứng dụng trên một hệ thống yêu cầu một thẻ truy cập quyền quản trị viên, một cơ chế được thiết lập bên trong hệ điều hành Windows Vista để tự động phát hiện sự khởi chạy của một bộ cài đặt. Khi một cài đặt ứng dụng được phát hiện, User Account Control sẽ hiển thị lệnh nâng quyền cho người dùng để thành hợp lệ với quá trình cài đặt. Cài đặt dưới đây sẽ không yêu cầu người dùng cung cấp sự đồng thuận hoặc các ủy nhiệm trừ khi nó là một ứng dụng quản trị viên. Việc thay đổi giữa lệnh đồng thuận và ủy nhiệm Bạn có thể điều khiển người dùng nào vào những gì mà lệnh yêu cầu bằng cách cấu hình một thiết lập chính sách bảo mật mới được giới thiệu trong Windows Vista. Thiết lập này
  10. được định vị bên trong mô đun phần mềm Security Policy Manager Microsoft Management Console (MMC) theo đường sau: Local Security Settings -> Local Policies -> Security Options. Bạn có thể cấu hình những tính năng của cửa sổ nâng quyền phân chia cho người dùng chuẩn và quản trị viên. Thủ tục dưới đây sẽ miêu tả chi tiết làm cách nào để điều chỉnh lệnh User Account Control cho các quản trị viên trong Admin Approval Mode. Nhiệm vụ này có thể được thực hiện bởi người dùng chuẩn và các quản trị viên nhưng thủ tục dưới chỉ mô tả chi tiết quá trình một quản trị viên trong Admin Approval Mode. Để cấu hình lệnh User Account Control cho các quản trị viên 1. Đăng nhập vào máy tính Windows Vista với một tài khoản quản trị viên trong Admin Approval Mode. 2. Kích vào nút Start và Run, đánh secpol.msc sau đó kích OK. 3. Trong cửa sổ User Account Control cho Microsoft Management Console, bạn kích Continue. 4. Trong Local Security Settings mở rộng Local Security Settings, Local Policies sau đó mở rộng Security Options. 5. Kích chuột phải vào User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode và chọn Properties. Lưu ý: Với hầu hết các tình huống, thiết lập No Prompt không được khuyến khích. Nâng quyền No prompt sẽ cho phép các ứng dụng User Account Control khởi chạy ứng dụng quản trị viên mà bạn không hề hay biết hay đồng thuận. Thủ tục dưới đây sẽ mô tả chi tiết làm cách nào để cấu hình User Account Control: Behavior of the elevation prompt for standard users. Nhiệm vụ này có thể được thực hiện bởi một người dùng chuẩn và quản trị viên nhưng thủ tục dưới đây là của quản trị viên trong Admin Approval Mode. Để cấu hình bạn làm như sau: 1. Kích nút Start > Run, nhập vào secpol.msc, sau đó kích OK. 2. Trong hộp thoại User Account Control dialog box của Microsoft Management Console, chọn Continue. 3. Trong Local Security Settings, mở rộng Local Security Settings, Local Policies, sau đó là Security Options. 4. Kích chuột phải vào User Account Control: Behavior of the elevation prompt for standard users sau đó chọn Properties.
  11. Bảng dưới đây mô tả User Account Control: nâng quyền cho quản trị viên trong Admin Approval Mode và User Account Control: nâng quyền cho người dùng chuẩn Việc thay đổi lệnh nâng quyền User Account Control nên được thực hiện với sự cân nhắc cẩn thận. Chính sách này có thể cấu hình cho cả quản trị viên trong Admin Approval Mode và các người dùng chuẩn. hướng dẫn chung dưới đâu có thể giúp bạn nhận thấy làm thế nào để cấu hình lệnh nâng cấp User Account Control cho môi trường của bạn. Quản trị viên trong Admin Approval Mode Tùy chọn lệnh cho sự đồng thuận được khuyến khích cho hầu hết các môi trường. Các môi trường cần nhiều an toàn hơn nữa nên sử dụng tùy chọn prompt for credentials. Microsoft khuyên không nên sử dụng thiết lập tùy chọn No Prompt; việc vô hiệu hóa lệnh User Account Control làm mất đi khả năng của người dùng để chuẩn y một ứng dụng trước khi nó chạy. Điều đó có thể dẫn đến việc bất kỳ ứng dụng nào cũng có thể nâng quyền thầm lặng sau đó và sử dụng thẻ truy cập của quản trị viên như các malware mà không có sự cho phép của người dùng. Người dùng chuẩn Microsoft cũng khuyên bạn nên thực hiện lệnh cho sự ủy nhiệm quản trị viên. Khi tùy
  12. chọn No prompt được kích hoạt, người dùng chuẩn sẽ không thể thực hiện các nhiệm vụ quản trị viên mà không cần sử dụng Run as administrator hoặc đăng nhập với một tài khoản của một thành viên trong nhóm quản trị viên cục bộ. Máy trạm an toàn Lệnh đồng thuận và ủy nhiệm được thể hiện trong secure desktop mặc định trong Windows Vista. Chỉ có các quá trình của Windows mới có thể truy cập vào secure desktop. Thêm vào đó, Microsoft khuyên các quản trị viên và người dùng chuẩn nên thiết lập User Account Control: chuyển sang secure desktopkhi có lệnh nâng ở trạng thái kích hoạt cho các mức bảo mật cao. Khi một sự thực thi cần nâng quyền, máy trạm tương tác (cũng được gọi là máy trạm người dùng) được chuyển đến máy trạm an toàn. Máy trạm an toàn sẽ hoàn lại một ảnh bitmap của máy trạm người dùng và hiển thị lệnh nâng quyền được tô nổi và tương ứng với việc gọi cửa sổ ứng dụng. Khi người dùng kích chuột vào Continue hoặc Cancel, máy trạm sẽ chuyển trở về máy trạm người dùng. Bạn phải chú ý rằng malware có thể tô vẽ trên máy trạm tương tác và thể hiện trên đó một hình ảnh mẫu giả mạo của máy trạm an toàn, nhưng khi vẫn sử dụng thiết lập được thiết đặt để thực hiện lệnh có thể làm cho malware không thể tăng quyền, chính vì vậy người dùng bị lừa kích chuột vào Continue trên hình giả mạo. Nếu thiết lập được thiết đặt để lệnh cho sự ủy nhiệm thì hình ảnh giả mạo của malware cũng có thể thu thập các sự ủy nhiệm từ người dùng. Chú ý rằng điều này cũng không tăng đặc quyền malware và hệ thống có các sự bảo vệ khác làm giảm nhẹ bằng việc tự động điều chỉnh giao diện người dùng thậm chí với một password. Quan trọng Việc malware có thể hiển thị hình ảnh giả mạo của máy trạm an toàn thì vấn đề này không xuất hiện trừ khi người dùng đã cài đặt từ trước malwere trên máy tính. Bởi vì các quá trình yêu cầu một thẻ truy cập quyền quản trị viên nên không thể cài đặt thầm lặng khi User Account Control được kích hoạt, người dùng hẳn đã cung cấp sự đồng thuận bằng việc kích Continue hoặc cung cấp sự ủy nhiệm quản trị viên. Lệnh nâng quyền User Account Control cũng phụ thuộc vào cả Group Policy. Chạy các chương trình như một quản trị viên Windows Vista có chức năng thủ công và yêu cầu được ưu tiên đối với một ứng dụng được khởi chạy. Để khởi chạy một chương trình với thẻ truy cập quản trị viên đầy đủ tại thời điểm nào đó, bạn kích chuột phải vào biểu tượng chương trình và chọn Run as administrator trên menu. Sau khi người dùng thẩm định sự nâng quyền thì chương trình sẽ khởi chạy và chạy với thẻ truy cập quản trị viên đầy đủ. Thủ tục dưới đây mô tả chi tiết quá trình này được thực hiện bởi một quản trị viên trong Admin Approval Mode.
  13. Để chạy một chương trình như một quản trị viên 1. Kích chuột phải vào chương trình mà bạn thích chạy như một quản trị viên sau đó chọn Run as administrator. 2. Trong cửa sổ User Account Control bạn chọn Continue. Sau khi người dùng thẩm định nâng quyền, chương trình sẽ được khởi chạy và chạy với thẻ truy cập quản trị viên đầy đủ. Đánh dấu ứng dụng yêu cầu một thẻ quản trị viên đầy đủ Để đánh dấu một ứng dụng luôn luôn yêu cầu một thẻ quản trị viên đầy đủ 1. Kích chuột phải vào chương trình mà bạn thích thay đổi, sau đó chọn Properties. 2. Trong Properties, chọn tab Compatibility. 3. Dưới Privilege Level, chọn Run this program as an administrator, sau đó kích Apply hoặc OK. 4. Nếu đây là lần đầu tiên ứng dụng được đánh dấu thì một hộp thoại sẽ xuất hiện. 5. Kích OK để tiếp tục. Lưu ý Nếu đây là lần đầu tiên ứng dụng này được đánh dấu thì một thông báo sẽ xuất hiện chỉ thị rằng Windows Vista sẽ chỉ thị cho ứng dụng thu thập thông tin về các hoạt động gì mà chương trình đang thực hiện yêu cầu nó để chạy với một thẻ truy cập quản trị viên đầy đủ. Thông tin này sẽ giúp Microsoft xác định xem các bước có thể đã diễn ra đúng với chương trình sẽ sử dụng hay không để sẽ không cần phải yêu cầu đến thẻ truy cập quản trị viên hoàn chỉnh lần nữa. Khi được hỏi để kiểm tra về "Solutions to Problems" (“các vấn đề và giải pháp”), bạn luôn chọn các giải pháp trên bất kỳ sản phẩm nào có vấn đề LUADiagnostics. Điều này sẽ bảo đảm rằng thông tin được lựa chọn sẽ không bị gửi đến Microsoft. Nếu bạn không muốn gửi thông tin này, bạn hãy bỏ dấu kiểm tra ở "Solutions to Problems." Sau khi hoàn tất, chương trình sẽ thực hiện sự đồng thuận nâng quyền bất cứ khi nào nó được khởi chạy. Quan trọng Việc đánh dấu một ứng dụng để yêu cầu một thẻ truy cập quản trị viên sẽ không ngăn chặn được lệnh nâng quyền User Account Control được hiển thị. Ứng dụng sẽ vẫn yêu cầu người dùng cung cấp sự thẩm định trước khi nó có thể sử dụng thẻ truy cập quản trị viên hoàn chỉnh.
  14. Cấu hình User Account Control cho máy tính của bạn Phần này chúng tôi sẽ nói về làm thế nào để cấu hình UAC cho môi trường tính toán cụ thể của bạn, bạn cần phải chú ý rằng User Account Control đụng chạm đến mọi thành phần trong Windows Vista. User Account Control là một thành phần không thể thiếu của kiến trúc bảo mật Windows Vista. Trong hoạt động kinh doanh, Microsoft khuyên nên sử dụng Group Policy và Microsoft Systems Management Server (SMS) để quản lý UAC. Với các máy tính không phải là thành viên của một miền hoặc là một phần của một nhóm thì Microsoft khuyên nên sử dụng các cấu hình UAC mặc định. Dựa trên những giới thiệu từ trước, chọn một trong hai phương pháp để cấu hình Windows Vista với UAC được kích hoạt. • Cấu hình UAC cho một trạm làm việc trong hoạt động kinh doanh. • Cấu hình cho một máy tính gia đình hoặc không được quản lý. Cấu hình UAC cho một trạm làm việc trong hoạt động kinh doanh. Trong hoạt động kinh doanh, việc bảo đảm sao cho người dùng không thể thay đổi các thiết lập hệ thống, cài đặt malware và tác động tới dữ liệu là một điều hết sức cần thiết. Chính vì lẽ đó là Microsoft đã khuyên là các doanh nghiệp nên cấu hình trạm làm việc của họ để chạy như những người dùng chuẩn. Việc sử dụng sự cấu hình dưới đây sẽ giúp giảm nhẹ các vấn đề tiềm ẩn: • UAC được kích hoạt thông qua toàn bộ môi trường và được duy trì tập trung với Group Policy. • Tài khoản quản trị viên cài đặt từ trước được giữ ở trạng thái vô hiệu hóa và một password được thiết lập để ngăn chặn bất kỳ tấn công offline nào. • Mọi người dùng của máy trạm đều chạy với một tài khoản người dùng chuẩn. • Các quản trị viên miền có hai tài khoản: một tài khoản người dùng chuẩn và một tài khoản quản trị viên trong Admin Approval Mode. • Triển khai các ứng dụng bằng việc sử dụng Microsoft Systems Management Server (SMS), cài đặt phần mềm Group Policy (GPSI) hoặc các công nghệ triển khai ứng dụng tương tự. Nếu bạn có một cơ chế triển khai User Account Control, Microsoft khuyên bạn nên vô hiệu hóa phát hiện của bộ cài đặt ứng dụng. • Sự nâng quyền của thẻ truy cập được quản lý bởi một bàn trợ giúp hoặc các nhân viên CNTT bằng việc sử dụng Remote Assistance hoặc vào sự ủy nhiệm theo đường vật lý. Lưu ý Nếu có thể bạn nên xóa bỏ hoặc vô hiệu hóa tất cả các quản trị viên máy tính cục bộ.
  15. Cấu hình UAC cho máy tính gia đình hoặc các máy tính không quản lý. User Account Control không những cho phép kiểm soát toàn bộ máy trạm trong hoạt động kinh doanh, ngoài ra nó còn cải thiện bảo mật trong các máy tính gia đình. Trong khi một tài khoản người dùng chuẩn đã xuất hiện trong Windows từ NT 4.0 thì hầu hết người dùng gia đình không hề hay biết rằng có nhiều loại tài khoản khác nhau. Chính vì vậy, phần lớn người dùng gia đình chỉ duyệt web, đọc email, mua sắm online và soạn tài liệu với quyền quản trị viên. Bởi vì một quản trị viên có đầy đủ quyền truy cập vào tài nguyên hệ thống nên bất kỳ phần mềm mã nguy hiểm nào mà được cài đặt tình cờ trên máy tính đều có thể ảnh hưởng đến các file, folder trong toàn bộ máy tính. Với UAC trong Windows Vista, sự hỗ trợ được cung cấp bên trong hệ điều hành giúp nó trở nên dễ dàng hơn đối với người dùng như một người dùng chuẩn. Việc chạy như một người dùng chuẩn là bảo đảm tính kế thừa và giúp giới hạn việc mất mát dữ liệu do phần mềm mã nguy hiểm cài đặt. Chọn một trong hai tùy chọn dưới đây cho việc cấu hình trong môi trường gia đình: • Cấu hình UAC với các điều khiển cha • Cấu hình UACC không có các điều khiển cha Cấu hình UAC với các điều khiển cha UAC cho phép sử dụng linh hoạt điều khiển cha bằng cách gạn lọc các nhiệm vụ người dùng và loại tài khoản người dùng. Lưu ý Điều khiển Parental Controls không được hiển thị trong Control Panel trên miền các máy tính được ghép lại. Cấu hình được khuyến khích cho các điều khiển cha: • UAC được kích hoạt trên máy tính. • Tất cả các tài khoản cha được tạo như tài khoản quản trị viên trong Admin Approval Mode. • Tất cả các tài khoản con được tạo như tài khoản người dùng chuẩn. Quan trọng Các tài khoản cha cần phải có password vững chắc. Sơ đồ dưới đây sử dụng nguyên tắc có trước để chứng minh làm thế nào để cha- mẹ (quản trị viên trong Admin Approval Mode) có thể thiết lập các điều khiển cha cho một đứa trẻ (tài khoản người dùng chuẩn).
  16. Thiết lập các điều khiển cha Trong trường hợp này, Denise Smith muốn thiết lập các điều khiển cha trên Windows Vista để kiểm soát thời gian con trai cô ấy có thể đăng nhập vào máy tính. Các điều khiển cha Loại tài khoản Tên Mô tả người dùng Brian Bé trai 12 tuổi, người thích chơi các trò chơi Chuẩn Smith máy tính và duyệt web Mẹ của cậu bé. Denise muốn bảo đảm cho Quản trị viên trong Denise con trai của cô ấy chỉ đăng nhập trong những Admin Approval Smith giờ cụ thể nào đó Mode 1, Denise cài đặt Windows Vista và tạo một tài khoản cho chính cô ấy trong suốt quá trình cài đặt. Tài khoản này được tạo như một tài khoản quản trị viên cục bộ với UAC được kích hoạt mặc định. 2, Denise sử dụng Control panel User để tạo một tài khoản người dùng chuẩn cho Brian và sau đó mở Parental Controls.
  17. 3, Vì Denise muốn bảo đảm Brian không sử dụng máy tính muộn vào buổi tối, Denise đã sử dụng Parental Controls để thiết lập giới hạn thời gian, cho phép Brian chỉ đăng nhập vào máy tính từ 3 giờ chiều đến 10 giờ tối. Hình dưới đây mô tả chi tiết cấu hình này. Cấu hình hạn chế thời gian 4, Denise kích hoạt hoạt động báo cáo để nhận được báo cáo về hoạt động máy tính của Brian; gồm có các trang web mà Brian vào, thời gian đăng nhập và hầu hết các trang web được khóa gần đây bởi bố mẹ. 5, Brian cố gắng đăng nhập vào máy tính lúc 10:30 PM và nhận được thông báo lỗi: “Tài khoản của bạn đã bị giới hạn để ngăn chặn bạn đăng nhập vào thời gian này. Bạn hãy thử lại lần sau” 6, Denise đăng nhập và quan sát thấy một báo cáo hoạt động về tài khoản của Brian. Bảng dưới đây mô tả chi tiết các điều khiển cha có sẵn. Các điều khiển cha của Windows Vista Điều khiển cha Mô tả Điều khiển cho phép các Ngăn chặn web website, download,… Điều khiển khi người dùng cụ Giới hạn thời gian thể được cho phép sử dụng máy tính.
  18. Điều khiển các game bằng đánh Games giá, nội dung và tiêu đề. Cho phép và khóa Cho phép hoặc khóa bất kỳ các chương trình chương trình nào trên máy tính. cụ thể Báo cáo hoạt động Xem các báo cáo hoạt động Cấu hình UAC không có các điều khiển cha Phương pháp được khuyên ở đây cho việc cấu hình UAC mà không có các điều khiển cha cho máy tính gia đình giống như trường hợp cấu hình trạm làm việc trong hoạt động kinh doanh được làm nổi bật trong tài liệu này. Danh sách dưới đây mô tả chi tiết cấu hình máy tính gia đình được khuyến khích cho Windows Vista. • Tạo một tài khoản quản trị viên trong Admin Approval Mode • Tạo một tài khoản chuẩn như tài khoản người dùng chính của bạn • Tạo tất cả các tài khoản tiếp theo như các tài khoản người dùng chuẩn Các phần dưới đây mô tả chi tiết làm thế nào để hoàn thành quá trình này, người dùng nhìn chung cảm nhận thấy rằng bạn sẽ bắt gặp và có các cách khác nhau để cấu hình User Account Control. Lưu ý Tuy trường hợp người dùng chuẩn được minh chứng ở đây là cho môi trường tính toán tại nhà, nhưng các hoạt động kinh doanh sẽ có lợi ích lý tưởng để giảm TCO nếu chúng bổ sung tài khoản người dùng trên các trạm làm việc. Tạo một tài khoản quản trị viên trong Admin Approval Mode Trong suốt quá trình cài đặt Windows Vista, bạn sẽ phải cung cấp thông tin về một tài khoản người dùng. Mặc định, tài khoản người dùng này được tạo như một tài khoản quản trị viên trong Admin Approval Mode. Bởi vì Microsoft chỉ cho sử dụng tài khoản quản trị viên ban đầu này một cách tiết kiệm nên để đảm bảo bạn không nên đặt tên của tài khoản như những gì sẽ phải cung cấp cho tài khoản sử dụng chính của bạn. Ví dụ: một người dùng đặt tên là Michael Patten có thể sử dụng kiểu đặt tên dưới đây cho hai tài khoản người dùng của mình. • Tài khoản quản trị viên trong Admin Approval Mode: mpAdmin • Tài khoản người dùng chuẩn: Michael
  19. Tạo một tài khoản người dùng chuẩn như tài khoản người dùng chính của bạn Bạn nên hoàn thiện các thủ tục dưới đây sau khi Windows cài đặt xong ngay lập tức. Thủ tục này được viết đã được tham khảo qua Control Panel mặc định chứ không phải là Classic View. Để tạo một tài khoản người dùng chuẩn bạn thực hiện như sau: • Đăng nhập với một tài khoản quản trị viên trong Admin Approval Mode. • Kích chuột vào Start, Control Panel, Add or remove user accounts dưới User Accounts and Family Safety. • Tại cửa sổ User Account Control , kích Continue. • Trong Manage Accounts, kích Create a new account. • Trong Create new account, bạn đánh tên cần đặt cho tài khoản người dùng chính và bảo đảm rằng Standard user được chọn. • Trong Manage Accounts, kích vào tài khoản người dùng mới. • Trong Change an account, kích Create a password • Trong Create Password, nhập vào password. Lưu ý Tuy Windows Vista không yêu cầu một password tốt cho các tài khoản người dùng chuẩn nhưng bạn nên bảo đảm thiết lập password đó đủ tốt để bảo đảm độ tin cậy. Tạo tất cả các tài khoản người dùng sau như các người dùng chuẩn Mỗi tài khoản người dùng sau khi tạo sau hai tài khoản đầu tiên nên là mỗi tài khoản người dùng chuẩn. Theo thủ tục "Create a standard user account" được mô tả chi tiết trong chủ đề có trước dưới đây bạn sẽ có thể học được cách để tạo các tài khoản người dùng chuẩn. Mặc định, mỗi tài khoản người dùng sau tài khoản quản trị viên đầu sẽ được tạo như tài khoản người dùng chuẩn trong Windows Vista. Tìm hiểu một số vấn đề và giải pháp
  20. Văn Linh (Theo Microsoft)
Đồng bộ tài khoản