Brugerkontokontrol

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 3. maj 2019; checks kræver 3 redigeringer .

Brugerkontokontrol ( engelsk User  Account Control , UAC ) er en komponent i Microsoft Windows -operativsystemer, der først dukkede op i Windows Vista . Denne komponent beder om bekræftelse af handlinger, der kræver administrative rettigheder for at beskytte mod uautoriseret brug af computeren. Computeradministratoren kan deaktivere brugerkontokontrol i kontrolpanelet .

Forudsætninger for oprettelse

At begrænse de rettigheder, som applikationer kører under (såsom at skelne mellem " superbruger " og "normale brugere") har været almindeligt i server- og mainframe -operativsystemer i årtier . Microsofts hjemmeoperativsystemer (såsom MS-DOS , Windows 3.x og Windows 9x ) havde ikke adskillelse af rettigheder: programmet kunne udføre enhver handling på computeren. Af denne grund blev offentlige computere hurtigt inficeret med malware .

På trods af udseendet af adskillelse af rettigheder i Windows NT , brugte brugere af vane og for nemheds skyld en konto med administratorrettigheder til at arbejde , hvilket overtrådte princippet "kør ethvert program med de lavest mulige rettigheder." Derudover virkede mange programmer skrevet til Windows 9x eller kun testet med superbrugerrettigheder ikke med reducerede rettigheder - for eksempel gemte de konfigurationsfiler i mappen med programmet eller i en registreringsgren , der er fælles for alle brugere .

Det viser sig at være en ond cirkel : udviklere laver software, der kræver omfattende brugerrettigheder, fordi brugerne "sidder som administratorer"; brugere udfører deres daglige arbejde med administratorrettigheder, fordi softwaren kræver det. På trods af at Windows 9x -serien af ​​operativsystemer ikke er blevet produceret i mange år, er adgangskontrolsystemet derfor inaktivt på de fleste computere med Windows 2000 og nyere, og ondsindede programmer får administratorrettigheder. Microsofts propaganda , der opfordrede til at gøre programmer kompatible med adgangskontrol, virkede, men langsomt – mange programmer (især små hjælpeprogrammer skrevet af singler) fortsatte med at udføre operationer med forhøjede rettigheder. For at overtale udviklere til at skrive mere "sikre" programmer, blev User Account Control udviklet.

Sådan virker det

Hvis programmet anmoder om en handling, der kræver administratorrettigheder, suspenderes programafviklingen, og systemet sender en anmodning til brugeren. Promptvinduet placeres på et sikkert skrivebord for at forhindre programmet i at "trykke" på tilladelsesknappen.

Så der udstedes anmodninger, når du prøver at ændre systemtiden, installere et program, redigere registreringsdatabasen, ændre Start-menuen .

Der er også "mappe- og registrerings-virtualisering": et program, der forsøger at skrive noget til biblioteket %PROGRAMFILES%\Папка\Пример.ini, skriver denne fil til biblioteket %USERPROFILE%\AppData\Local\VirtualStore\Program Files\Папка\Пример.ini. Dette sikrer kompatibilitet af ældre programmer med adgangskontrol.

Liste over udløsende handlinger

Her er en (delvis) liste over handlinger, der udløser brugerkontokontrol [1] :

• Ændringer i mapper %SYSTEMROOT%og %PROGRAMFILES% - især installation /fjernelse af programmet, drivere og ActiveX - komponenter ; ændre startmenuen for alle brugere.
• Installation af Windows-opdateringer , konfiguration af Windows Update .
• Genkonfigurering af Windows Firewall .
• Rekonfigurering af selve brugerkontokontrol.
• Tilføjelse/sletning af konti.
• Omkonfiguration af forældrebegrænsninger .
• Opsætning af opgaveplanlæggeren .
• Gendannelse af Windows -systemfiler fra en sikkerhedskopi.
• Eventuelle handlinger i andre brugeres mapper.
• Ændring af det aktuelle klokkeslæt (ændring af tidszonen udløser ikke brugerkontokontrol).
• Ring til Registereditor .
• Installation af nogle programmer

Der er tre måder at skrive et program på, der er kompatibelt med brugerkontokontrol.

1. Angiv applikationens adgangsniveau i manifestressourcenasInvoker : , highestAvailableeller requireAdministrator. Alle tre deaktiverer mappevirtualisering, men asInvokervil have brugerrettigheder, og de resterende to vil bede om elevation ved opstart.
2. Gør funktioner, der kræver forhøjede privilegier, til en separat .EXE-fil med privilegier , highestAvailableeller requireAdministratorkør den med ShellExecute med lpOperationlig med runas.
3. Gør funktioner, der kræver forhøjede privilegier, tilgængelige via COM- objektet. I dette tilfælde skal COM -serveren være en .EXEfil med rettigheder highestAvailableeller requireAdministrator.

Ifølge Microsofts anbefalinger skal grænsefladeelementer, der kræver brugerkontokontrol for at gå igennem, have et skjoldikon.

Ulemper

• Mange programmer udviklet før Windows Vista er enten fuldstændig inkompatible eller kræver særlig pleje under installation og konfiguration. Faktisk refererer denne ulempe mere til forældede versioner af software eller til forældede programmer.
• Spørgsmålsvinduet giver ikke brugeren tilstrækkelig information til at identificere programmet og den handling, som der kræves yderligere rettigheder til.
• Behovet for at genstarte programmet for at udføre nogle af dets funktioner. For eksempel kræver Microsoft Visual Studio en administratorgenstart, når du forsøger at åbne en dumpfil og nogle andre handlinger.
• Windows 7 hardkoder mange bundtede apps som betroede, så kode, der udløses for andre apps, virker ikke for dem i standardindstillingen, hvilket gør dem til potentielle mellemled for tredjepartsprogrammer til at udføre farlige handlinger, der omgår kontrolbrugerkonti [2] .
• Med UAC aktiveret, kører mange programmer, der kræver elevation, muligvis ikke med brugerrettigheder, selvom de fungerer med brugerrettigheder, når UAC er slået fra i en Standard Access (i Windows 7) eller Standard (i Windows 10) konto. Selvom du prøver at køre dem under "Normal" eller "Standard"-kontoen, vil UAC stadig vises (hvis aktiveret), og hvis vinduet "Tillad følgende program at foretage ændringer på denne computer?" tryk på knappen "Ja" - programmet kan startes med forhøjede rettigheder (rettighederne kan f.eks. ses i programmet Anvir Task Manager). Når du klikker på "Ja"-knappen, vil ikke alle programmer køre med forhøjede rettigheder, nogle kan køre med begrænsede rettigheder. Hvis du klikker på knappen "Nej", vil programmet enten blive startet med begrænsede rettigheder eller afslutte.

Ulempen ved UAC i dette tilfælde er, at brugeren ikke kan vide, med hvilke rettigheder programmet vil blive lanceret, hvis der trykkes på "Ja"-knappen - med begrænset eller forhøjet (fuldt).

Tilpasning

I Windows Vista kan brugerkontokontrol deaktiveres i brugerkontikontrolpanel - applet'en , men niveauet af fortrolighed og integritet af programmer og data vil blive væsentligt reduceret.

I Windows 7 er brugerkontokontrol blevet forbedret, især i kontrolpanelet, i stedet for en enkelt indstilling, der enten tændte eller slukkede den, dukkede fire driftstilstande op:

• "Giv altid besked".
• "Giv mig kun besked, når programmer forsøger at foretage ændringer på min computer."
• "Giv mig kun besked, når programmer forsøger at foretage ændringer på min computer (må ikke gøre skrivebordet mørkere)."
• "Giv aldrig besked" (UAC vil kun blive deaktiveret efter en Windows-genstart).

Noter

1. ↑ Hvad udløser prompter om brugerkontokontrol? (utilgængeligt link) . Hentet 5. september 2008. Arkiveret fra originalen 15. oktober 2007. (ubestemt) 
2. ↑ Windows 7 UAC hvidliste: Code-injection Issue (og mere) Arkiveret 25. april 2012 på Wayback Machine  

Links

• Chris Corio. Arbejde med brugerkontokontrol i Windows Vista- applikationer

Microsoft Windows-komponenter
Hoved	Aero klar type Desktop Window Manager DirectX Opgavelinje Start meddelelsesområde Leder Navneområde Særlige mapper Filforeninger Windows-søgning smarte mapper IFilter indekseringstjeneste GDI WIM SMB .NET Framework XPS Aktiv scripting WSH VBScript JScript COM OLE DCOM ActiveX Struktureret opbevaring Transaktionsserver Skyggekopi WDDM UAA Win32 konsol Windows Spotlight Windows Mixed Reality
Management Services	Backup og genskab COMMAND.COM cmd.exe Overførselsværktøj Event Viewer installatør netsh PowerShell Udstedte rapporter rundll32.exe Systemforberedelsesprogram ( Sysprep ) Systemkonfiguration ( MSConfig ) Kontrolprogram til systemfiler præstationsindeks Opdateringscenter Systemgendannelse Diskdefragmentering Jobliste Enhedshåndtering Administrationskonsol Diskoprydning Windows-indstillinger Kontrolpanel ( elementer )
Ansøgninger	Win32 Internet Explorer Microsoft Edge Maling ordblok Skype Notesbog Noter Magasin lydoptagelse Saks Samarbejdsprogram Windows Media Player Tale genkendelse Personlig karakterredaktør Viser billeder symbol tabel Fax og scan Mobilitetscenter Windows Mobile Device Center Forstørrelsesglas UWP Microsoft Store Mal 3D Fjernhjælp Kalender Lommeregner Film og TV Cortana Groove musik Mennesker Muligheder Post Foto Fortæller historisk Opgradering når som helst Studie NetMeeting Outlook Express Programleder Filhåndtering fotoalbum Windows To Go Kontaktpersoner DVD studie Mediecenter Sidepanel
Spil	Skak Titans Purble Place Solitaire halstørklæde edderkop bændelorm Microsoft Mahjong Microsoft Solitaire Collection Sapper Pinball Hjerter Blækkugle Microsoft Tinker
OS kerne	Ntoskrnl.exe Hardwareabstraktionslag (hal.dll) System inaktivt svchost.exe Register Service Service Control Manager DLL PE NTLDR Download Manager Logon-program (winlogon.exe) Gendannelseskonsol Windows RE Windows PE Beskytter kernen mod ændringer
Tjenester	Autorun.inf Baggrunds Intelligent Transfer Service Standard journalføringsfilsystem Fejlrapporter Medieklasseplanlægger Skyggekopi Jobliste Trådløs opsætning
Filsystemer _	ReFS NTFS hårdt link tilslutningspunkt Monteringspunkt Reparationspunkt Symbolsk link TxF EFS WinFS FED exFAT CDFS UDF DFS IFS
Server	Active Directory Implementeringstjenester Filreplikeringstjeneste DNS Domæner Omdirigering af mappe Hyper-V IIS Medietjenester MSMQ Network Access Protection (NAP) Print Services til UNIX Fjerndifferentiel kompression Fjerninstallationstjenester Rettighedsstyringstjenester Roaming brugerprofiler SharePoint System Resource Manager Fjernadministrationsprogram WSUS Gruppepolitik Distribueret transaktionskoordinator
Arkitektur	NT Objektmanager I/O-anmodningspakker Kernel Transaction Manager Logisk Disk Manager Sikkerhedskontoadministrator Ressourcebeskyttelse lsass.exe csrss.exe sms.exe spoolsv.exe lancering
Sikkerhed	bitlocker Forsvarer Forebyggelse af dataudførelse Obligatorisk integritetskontrol Sikker datakanal UAC UIPI Firewall Sikkerhedscenter Filbeskyttelse
Kompatibilitet	UNIX-undersystem (Interix) DOS virtuel maskine Windows på Windows wow 64