Artykuł ten kontynuuje serię, omawiając więcej ustawień dotyczących User Account Control.
Źródło: http://www.windowsnetworking.com
Tłumaczenie: Agnieszka Hawro, Wrocław
W poprzednich częściach artykułów z tej serii zacząłem wyjaśniać, co robią różne ustawienia polityki dotyczące User Account Control. Chociaż Windows Vista i Windows Server 2008 oferują setki dodatkowych ustawień polityki grupowej poza tymi oferowanymi w systemach Windows XP oraz Windows Server 2003, ustawienia User Account Control są wśród tych najważniejszych nowych ustawień, ponieważ mogą działać jako główna obrona komputera przed złośliwym oprogramowaniem. W tym artykule będę kontynuował dyskusję, wyjaśniając pozostałe ustawienia User Account Control.
User Account Control: Only Elevate Executables that are Signed and Validated
Jeśli choć przez chwilę pomyślisz o tym, zauważysz, że głównym zadaniem User Account Controls jest nie dopuszczenie do tego, aby niewiarygodne kody mogły zostać uruchomione na stacjach roboczych sieci. Oczywiście wywołuje to pytanie jak możesz ocenić czy dany kod jest wiarygodny czy nie.
Powszechnym sposobem oceny czy kod powinien być uznany za wiarygodny czy nie jest przyglądnięcie się na jego cyfrową sygnaturę. Wielu (lecz nie wszyscy) edytorów podpisuje cyfrowo swój kod, aby udowodnić, że został on utworzony przez edytora, a nie przez kogoś, kto próbuje podszyć się pod tożsamość edytora. Cyfrowa sygnatura świadczy także o tym, że kod nie został zmieniony od momentu jego podpisania.
To, że kod jest podpisany niekoniecznie oznacza, że jest on godny zaufania. To nadal tylko Twoja decyzja czy zaufasz, że to edytor podpisał dany kod. Gdy już uznasz którym edytorom zaufać, możesz ich dodać do Windows Trusted Publisher Store (Pamięć Zaufanych Edytorów Windows).
I w tym miejscu wchodzi do gry ustawienie polityki grupowej User Account Control: Only Elevate Executables that are Signed and Validated. Gdy to ustawienie zostanie włączone, dokonuje ono sprawdzenia podpisu PKI pod kątem aplikacji interaktywnych, które proszą o podniesienie przywilejów. Jeżeli aplikacja jest podpisana przez wiarygodnego edytora (edytor jest wpisany na listę Trusted Publisher Store), wtedy prośba o podniesienie przywilejów zostaje autoryzowana. Jeśli kod nie jest podpisany albo podpisany jest przez edytora, który nie został określony jako wiarygodny, wtedy prośba o podniesienie przywilejów zostaje odrzucona.
O jednej rzeczy należy pamiętać: według dokumentacji Microsoftu to ustawienie polityki grupowej ma zastosowanie tylko dla aplikacji interaktywnych. Oznacza to, że jeśli dokumentacja jest poprawna to ustawienie polityki nie oddziałuje na usługi i skrypty, które działają niewidocznie.
User Account Control: Only Elevate UIAccess Applications that Are Installed in Secure Locations
To konkretne ustawienie może być trochę skomplikowane dla kogoś, kto nie jest programistą, ale wyjaśnię to najprościej jak tylko potrafię.
Do tego czasu z pewnością już wiesz, że kiedy użytkownik wykonuje zadanie, które wymaga pozwolenia administratora, to domyślnym zachowaniem Visty jest pokazanie polecenia typu „prompt” o podniesieniu przywilejów temu użytkownikowi. To, z czego możesz nie zdawać sobie jednak sprawy jest fakt, że Vista chroni okienko dialogowe zawierające prompt przed komunikacją międzyplatformową. W ten sposób złośliwe aplikacje nie mogą imitować wprowadzania danych użytkownika i zapewnić sobie podniesienia przywilejów.
Mimo że to okienko dialogowe i kilka innych okienek dialogowych Windowsa (takie jak te podpowiadające użytkownikowi, aby wcisnął Ctrl+Alt+Delete do zalogowania) chronione są przez system operacyjny, zdarzają się sytuacje, w których aplikacja ma uzasadnioną potrzebę komunikacji z tymi skądinąd chronionymi oknami dialogowymi.
Aby mieć dostęp do tych chronionych okien dialogowych, aplikacja musi być zaprojektowana w taki sposób, aby zawierała plik-wykaz z następującym atrybutem:
UIAccess=TRUE
Problemem przy używaniu tego atrybutu wewnątrz aplikacji jest fakt, że pozwala on aplikacji całkowicie osłabić niektóre z wbudowanych zabezpieczeń Visty. I w tym momencie do gry wchodzi ustawienie User Account Control: Only Elevate UIAccess Applications that are Installed in Secure Locations.
Chodzi tu o to, że nikt nie chce, aby jakakolwiek aplikacja mogła używać atrybutu UIAccess=true. Jeśli na ślepo zezwolisz na jego wykorzystanie, wtedy złośliwi autorzy mogą użyć tego atrybutu wewnątrz złośliwego oprogramowania, np. jako mechanizmu do eksploatacji Twojego systemu. Lepszym podejściem jest pozwolenie na korzystanie z tego atrybutu tylko zaufanym aplikacjom. Jednym ze sposobów, aby upewnić się, że tak się stanie jest pozwolenie aplikacjom używania atrybutu UIAccess=true pod warunkiem, że są one umieszczone w bezpiecznych lokalizacjach.
Istnieje tylko kilka lokalizacji, które Windows traktuje jako bezpieczne. Wśród nich są \Program Files oraz \Windows\System32. 64-bitowe wersje Windowsa za bezpieczne uważają też foldery \Program Files (x86). Podkatalogi znajdujące się pod tymi lokalizacjami są również traktowane jako te bezpieczne.
User Account Control: Run All Administrators in Admin Approval Mode
Prawdopodobnie słyszałeś jak ludzie mówili, że w systemie Windows Vista nawet administratorzy traktowani są jako standardowi użytkownicy. Za to stwierdzenie odpowiada ustawienie polityki grupowej. Ustawienie to – włączane domyślnie – sprawia, że administratorzy pracują z pomniejszonym zestawem przywilejów. Kiedykolwiek administrator przeprowadza czynność, która wymaga użycia przywilejów administratora, administrator dostaje wskazówkę, aby zgodził się na podniesienie przywilejów zanim czynność ta zostanie wykonana.
User Account Control: Switch to the Secure Desktop When Prompting for Elevation
Jeśli kiedykolwiek otrzymałeś polecenie typu „prompt” o podniesieniu przywilejów w systemie Windows Vista, zauważyłeś prawdopodobnie, że cały ekran zrobił się ciemny, a jedynym oknem, które nie zostało przyciemnione było to z podpowiedzią o podniesieniu przywilejów. Kiedy polecenie „prompt” wyświetlone jest w ten sposób oznacza to, że jest wyświetlane na bezpiecznym pulpicie.
Powodem, dla którego Microsoft używa bezpiecznego pulpitu jest fakt, że istnieje tak wiele typów złośliwego oprogramowania, które tworzą fałszywe okna dialogowe Windowsa, aby zmusić użytkowników do kliknięcia czegoś. Gdy system operacyjny zaciemnia cały pulpit i wyświetla tylko polecenie typu „prompt” o podniesieniu przywilejów, ma to na celu upewnienie użytkowników, że prompt naprawdę pochodzi z systemu operacyjnego Windows, a nie od złośliwego oprogramowania, które próbuje podszyć się pod polecenie typu „prompt” systemu operacyjnego.
Polecenia typu „prompt” o podniesieniu przywilejów są zawsze domyślnie wyświetlane na bezpiecznym pulpicie. Możesz jednak wyłączyć bezpieczny pulpit poprzez wyłączenie tego ustawienia polityki grupowej.
User Account Control: Virtualize File and Registry Write Failures to Per User Locations
Ostatnim z ustawień User Account Control jest ustawienie User Account Control: Virtualize File and Registry Write Failures to Per User Locations (Wirtualizuj Plik i Rejestr Błędów Zapisu do Lokalizacji Na Użytkownika). Prawdopodobnie słyszałeś jak ludzie mówili, że dużo aplikacji, które działają dobrze pod systemem Windows XP i starszymi wersjami Windowsa, nie działają w systemie Vista z powodu nowych funkcji bezpieczeństwa. Często to stwierdzenie jest prawdziwe, ponieważ duża liczba dotychczasowych aplikacji zakłada, że użytkownik ma pełną kontrolę nad systemem operacyjnym. W systemie Windows Vista nawet administratorzy nie są domyślnie traktowani jak administratorzy i to powoduje, że wiele z tych aplikacji nie działa.
Aby obejść te problemy związane z nowymi ustawieniami bezpieczeństwa, Microsoft stworzył to ustawienie polityki grupowej. Podstawą tego pomysłu jest fakt, że dotychczasowe aplikacje próbują zapisać dane na aktualnie zabronionym obszarze systemu plików i rejestru. Kiedy to ustawienie polityki jest włączone (a włączone jest domyślnie), zapisujący zostają zatrzymani i przekserowani na inną lokalizację. Pozwala to dotychczasowym aplikacjom działać bez konieczności naruszania integralności systemu operacyjnego.
Podsumowanie
Jak łatwo zauważyć, ustawienia User Account Control są istotne dla zapewnienia bezpieczeństwa Visty. W części 5 będę kontynuował tę serię, analizując niektóre z innych obszarów, w których Microsoft dokonał zmian w ustawieniach polityki grupowej.
Źródło: http://www.windowsnetworking.com
Tłumaczenie: Agnieszka Hawro, Wrocław |
