Hvad er UAC-virtualisering?
UAC står for ' Brugerkontokontrol ”. Dette er et område inden for softwarestyring, der isolerer operativsystemets kernekomponenter fra potentielt skadelige ændringer. Dette er det adgangsniveau, der i Unix-lignende systemer kaldes 'root', og i Windows-systemer er kendt som administratorrettigheder.
Det hyppigste møde, som brugere af Windows får med UAC, opstår, når de forsøger at installere et nyt stykke software. Den pop op-meddelelse, der beder om autorisation for at tillade installationen, er UAC's offentlige ansigt.
Mere om UAC
Brugerkontokontrol er blevet integreret i Windows siden Windows Vista i 2006, og den er medtaget i Windows Server siden version 2008.
UAC-systemet lader brugerinstalleret software køre i brugerområdet af drevet og kun software installeret af Administrator konto får adgang til systemressourcer. Software, der er blevet installeret af administratoren, kan køres af brugere uden adgang til systemressourcer eller køres af administratoren for at få denne systemadgang.
Formålet med UAC er at styrke systemsikkerheden. Det antages, at administratoren i et sikkert forretningsmiljø kun er tilgængelig for en it-professionel, som kun vil installere autoriseret, verificeret software. Brugere kan på den anden side ikke altid have tillid til at tage forholdsregler omkring det, de downloader.
Brugere kan nemt narre til at downloade malware der er indlejret i et billede eller en PDF-fil. Uden administratorrettigheder vil software, der får adgang til slutpunktet via en brugerkonto, ikke være i stand til at komme ind i vigtige tjenester.
Områder på disken, der er blokeret for brugerkonti, inkluderer mapperne %ProgramFiles%, %Windir%, %Windir%system32. UAC-tjenesten blokerer også skriveadgang til HKEY_LOCAL_MACHINESoftware-registreringsstien.
UAC pop op
Denne tilladelses-popup er en vigtig del af UAC. Det udløser en indstilling i operativsystemet til enten at lette handlinger i operativsystemets følsomme mapper med tilladelse eller blokere denne adgang, hvis tilladelse nægtes.
Systemadgang bør kun være nødvendig under installation og opdatering af softwaren. Driftsvariabler, midlertidig lagring og sessionsdata bør alle gemmes i brugerejede mapper . Systemindstillinger bør kun skrives til en delt, redigerbar mappe , såsom %programdata%.
Den stive organisering af data og indstillinger er til gavn for alle brugere. Hvis en bruger på en enhed er i stand til at tilpasse softwaren, påvirker disse personlige præferencer ikke de andre brugere på den computer.
Virtualisering
Der findes en række former for virtualisering. Det generelle formål med denne strategi er at bruge softwaren til at skabe et miljø, der efterligner en reel ressource , såsom en separat server eller en pc's hardware.
En af de mest implementerede former for virtualisering er en ' virtuel maskine ' eller VM . Dette er et separat operativsystem, der flyder oven på det rigtige OS. Det giver de tjenester, som et stykke software har brug for fra operativsystemet uden at lade softwaren få reel, direkte adgang til det faktiske operativsystem.
VM formidler mellem softwaren og operativsystemet. I nogle tilfælde kan denne konfiguration gøre det muligt for software, der er skrevet til et operativsystem, at køre på en computer, der faktisk ikke har det pågældende operativsystem installeret. For eksempel er det muligt at køre software, der er skrevet til Linux på en computer, der har Windows operativ system. Hvis et virtuelt miljø er tilgængeligt til at fortolke de Linux-kompatible krav fra softwaren til anmodninger, som Windows kan forstå – er det som en tolk.
UAC virtualisering
I tilfælde af en UAC-virtualisering, kører VM'en Windows og kører oven på Windows. Formålet med det dobbelte operativsystem er ikke at give kompatibilitet i OS, men at imødekomme validerede ældre software der virkelig har brug for adgang til disse systemområder, når de drives af brugere.
I stedet for at formidle mellem to forskellige operativsystemer, giver UAC-virtualiseringen de tjenester, som softwaren skal bruge for at køre på en brugerkonto uden at bryde den strenge systemisolering af UAC. Adgang til de mapper, som softwaren har brug for, er blokeret og det faktum ville få programmet til at hænge eller vælte.
Implementeringen af UAC-virtualisering var et nødvendigt skridt for at bygge bro over introduktionen af Brugeradgangskontrol . Uden denne stop-gap-foranstaltning ville meget af den software, der er bygget til at køre på Windows, holde op med at fungere. Selvom softwarehuse med tiden ville komme til at skrive nye versioner af deres produkter, ville den komplette omskrivning, som UAC krævede, have taget tid. Sådanne større ændringer er sædvanligvis forbeholdt nye udgaver og tages ikke med som opdateringer.
Softwarehuse, der specialiserede sig i produkter til Windows, havde ikke råd til det afskrive investeringen allerede lavet i deres produkter. Når nye udgaver er produceret, beregner leverandørerne en levetid for dem og venter, indtil alle omkostninger er inddrevet, før de skriver nye versioner.
UAC-virtualiseringen kortlægger mellem systemmappekravene fra ældre software og de brugerejede mapper, som Windows nu forventer, at softwaren bruger, når den køres fra brugerkonti.
Takket være UAC-virtualiseringen, software, der skriver til C:Program Files
Ansøgningsmanifestet
Ikke al software har brug for adgang til beskyttede systemområder. Nogle programmer downloades som eksekverbare filer og kører fra, hvor de er hjemmehørende på computeren. Hovedspørgsmålet om, hvorvidt et program skal skrive filer til reserverede mapper, kommer ned til et spørgsmål om organiseringen af behov for mappeadgang.
Installationsprogrammet signalerer til operativsystemet, hvilken mappeadgang programmet forventer både til installation, og når det køres gennem indgange i Ansøgningsmanifest . Dette er et XML-dokument, der ledsager programmerne i en installationspakke.
En tilladelsesniveaukravværdi i filen er nøglen til, om Windows vil påberåbe UAC-virtualisering for dette program, når det køres. Mulige værdier for requestedExecutionLevel er:
- som Invoker Kør med samme adgangstoken som den overordnede proces.
- højest tilgængelig Få de højeste privilegier, den nuværende bruger kan opnå.
- kræver administrator Dette program kan kun køre som administrator.
Windows vil altid bruge UAC-virtualisering til software, der er markeret med kravet om administratoradgang. Denne type software vil altid fremprovokere udseendet af UAC-tilladelses-popup'en, når den køres. Denne status er standard. Så hvis der ikke er noget programmanifest, eller den påkrævede udførelsestilladelseserklæring mangler, vil softwaren automatisk have statussen requireAdministrator og vil altid være virtualiseret.
Når UAC-virtualisering påberåbes
UAC-virtualisering er en mekanisme i Windows, den kan ikke anvendes efter ønske. Der er ingen UAC hypervisor-pakke i omløb. Det er ikke et værktøj i en udviklerramme, og der er ikke en API til det. Kort sagt, du kan ikke beordre brugen af UAC-virtualisering .
UAC-virtualiseringsprocessen gælder ikke for al software. Her er nogle omstændigheder, du skal huske på, om UAC-virtualisering vil blive brugt til en applikation:
- UAC-virtualisering påberåbes kun for software, når den køres fra en brugerkonto. Programmer, der kører som administratorer, har ikke brug for det.
- UAC-virtualisering skal være aktiveret og aktiv på værten.
- Programmer, der kører i et 64-bit miljø, behøver ikke UAC-virtualisering. Det gælder kun for 32-bit software.
- Brugerkontoen skal have skriveadgang til filerne i den originale filsti.
Håndtering af brugerkontokontrol
Funktionen Brugerkontokontrol kan ændres på hver computer, der kører Windows. Denne mulighed er tilgængelig i Indstillinger menuen, og du kan komme til den ved at klikke på Indstillinger tandhjulsikon i Start menuen og derefter indtaste Brugerkontokontrol i søgefeltet Indstillinger.
Skærmbilledet Brugerkontokontrolindstillinger vises som en skyder. Dette giver brugeren mulighed for at skifte mellem en af fire indstillinger for UAC. Disse muligheder er:
- Giv altid besked
- Giv mig kun besked, når programmer forsøger at foretage ændringer på min computer
- Giv mig kun besked, når programmer forsøger at foretage ændringer på min computer (dæmp ikke mit skrivebord)
- Giv aldrig besked
Nedenfor finder du lidt flere detaljer om hver af disse muligheder.
Giv altid besked
Dette er den mest stive indstilling. Det fremkalder popup-meddelelsen, når et program er ved at blive installeret eller opdateret, og når du eller andre programmer forsøger at ændre Windows-indstillinger. Det vil fryse alle opgaver på computeren, indtil du svarer.
Denne indstilling anbefales til computere, hvor der ofte installeres ny software, og til personer, der besøger ukendte websteder.
Giv mig kun besked, når programmer forsøger at foretage ændringer på min computer
Dette er standardværdien for UAC. Det vil underrette computerens bruger, når programmer forsøger at installere software eller foretage ændringer på din computer. Det vil ikke vise tilladelses-popup'en, når du selv foretager ændringer i din computers indstillinger. Det vil fryse alle opgaver på computeren, indtil du svarer.
Denne mulighed anbefales til dem, der ofte installerer ny software og besøger ukendte websteder, men ikke ønsker at blive underrettet om deres egne handlinger, der ændrer Windows-indstillinger.
Giv mig kun besked, når programmer forsøger at foretage ændringer på min computer (dæmp ikke mit skrivebord)
Denne mulighed fremkalder tilladelses-popup'en, når programmer forsøger at installere software eller foretage ændringer på computeren, men den vil ikke underrette de brugere, der foretager ændringer til Windows-indstillinger manuelt. I modsætning til de to foregående muligheder vil denne indstilling ikke fryse andre opgaver eller vente på et svar.
Denne mulighed anbefales kun, hvis underretningsprocessen af en eller anden grund fungerer langsomt på computeren til det punkt, hvor det bliver til alvorlig gene for brugeren.
Giv aldrig besked
Denne indstilling deaktiverer brugeradgangskontrol. Du vil under ingen omstændigheder få popup-tilladelserne.
Denne mulighed skaber en sikkerhedsrisiko.
Virtualisering af registreringsdatabasen
Virtualisering af registreringsdatabasen er anvendelsen af UAC-virtualisering til systemregistret. Formålet med denne funktion er at blokere adgangen til globale registreringsposter, samtidig med at software, der kræver en sådan adgang, kan fortsætte med at fungere. Efterhånden som UAC fortolker mappeadgang og omdirigerer skrivehandlinger til brugerkontrollerede mapper, skifter Registry Virtualization forsøg på at skrive til globale variabler til sikrere brugerkontoregistreringsnøgler.
Som med filbaseret UAC-virtualisering fortsætter softwaren med alle sine forudskrevne procedurer, og skaber og opdaterer registreringsnøgleværdier uden at skade disse globale registreringsområder.
Registry virtualisering er kun implementeret for at gøre det muligt for ældre systemer at fortsætte med at fungere. Behovet for denne service er sandsynligvis, efterhånden, næsten helt nedlagt . Enhver software, der er skrevet efter 2006, har ikke brug for registreringsdatabasen virtualiseringstjenesten, fordi den burde være skrevet sammen med Microsofts retningslinjer for udviklere. Disse retningslinjer forklarer forskellen mellem global brug af registreringsdatabasen og de registreringsnøgler, der er tilgængelige for brugerkonti.
Fremtiden for UAC-virtualisering
UAC-virtualisering blev skabt for at sikre bagudkompatibilitet, da Microsoft lancerede sin nye arkitektur. Det er en metode til at forhindre ældre software i at fejle, fordi de ikke længere har tilladelse til at skrive til de filer, hvis stier og navne er hårdkodede.
Dette viser, at UAC-virtualisering har ingen fremtid – det handler om fortiden. UAC-virtualiseringssystemet er blevet gradvist mere overflødigt som tiden går. Da UAC har været en del af Windows siden 2006, har det været en miljømæssig sikkerhed i 25 år. Chancerne for, at software skrevet for mere end 25 år siden stadig er aktiv uden nye versioner eller opdateringer, er små. For det første er gammel software meget tilbøjelige til at blive angrebet af hackere . Sårbarhedsscannere leder især efter gammel software, når de undersøger computere og netværk for at finde en vej ind.
UAC-virtualisering i Windows 10
Hvis du kører Windows 10, kan du beslutte at søge efter din UAC-virtualiseringsindstilling og se, om funktionen er slået til.
For at gøre dette:
- Tryk på Windows-knappen plus 'R' for at åbne en Løb boks.
- Type secpol.msc og tryk på 'OK' for at åbne Lokal sikkerhedspolitik app.
- I den Lokal sikkerhedspolitik vindue, udvid Lokale politikker og klik på Sikkerhedsindstillinger i venstre panel.
- Rul ned på listen over politikker i hovedpanelet, indtil du kommer til Brugerkontokontrol: Virtualiser fil- og registreringsfejl i skrivefejl til placeringer pr. bruger .
Status for denne indstilling skal være Aktiveret . Hvis det ikke er:
- Dobbeltklik på linjen Brugerkontokontrol. Der vises en popup.
- Klik på Aktiveret Radio knap.
- Klik Okay for at lukke pop op-vinduet.
Andre systembeskyttelsesmetoder
En typisk Windows-bruger behøver ikke at bekymre sig om UAC-virtualisering, og en designer af software, der er beregnet til brug på Windows, behøver heller ikke at bekymre sig om UAC-virtualisering, fordi den nuværende Windows-programmeringspraksis gør denne tjeneste unødvendig.
Der er et omfattende Windows-sikkerhedssystem, der beskytter enheder mod manipulation, og der er et par indstillinger, som du kan se på i Windows for at forbedre systembeskyttelsen.
Den første, du kan se på, er Sabotagebeskyttelse , som blokerer malware i at forstyrre og ændre din enheds antivirusindstillinger. For at kontrollere, at dette er slået til:
- Type Windows sikkerhed i startmenuens søgefelt.
- Vælg Windows Sikkerhedsapp fra resultaterne.
- Klik på Virus- og trusselsbeskyttelse.
- Se til bunden af hovedpanelet på denne skærm, og klik på Administrer indstillinger .
- Sabotagebeskyttelse er den fjerde mulighed på denne skærm. Sørg for, at den er tændt.
Det bør du også sikre dig Real time beskyttelse , Sky-leveret beskyttelse , og Automatisk prøveindsendelse er tændt.
Den anden store erstatning for UAC-virtualiseringsbeskyttelse er Kontrolleret mappeadgang system. Dette forhindrer malware i at ændre filudvidelserne for at skjule dem eller ændre systemmappenavne. Denne kan også tilgås fra Virus- og trusselsbeskyttelsesindstillinger skærmen, hvor du tændte Sabotagebeskyttelse .
- I den Virus- og trusselsbeskyttelsesindstillinger skærmen. Rul ned til Administrer kontrolleret mappeadgang og klik på den.
- I det næste skærmbillede, dvs Ransomware beskyttelse , flyt skyderen for Kontrolleret mappeadgang til På .
- Du vil blive ført til popup-vinduet Brugerkontokontroltilladelse. Klik på Ja at tillade ændringen.
Konklusion
UAC virtualisering var en stop-gab-foranstaltning som gjorde det muligt for det store bibliotek af software, der var tilgængeligt for Windows, at fortsætte med at fungere. Uden denne løsning ville en stor del af de tilgængelige applikationer til Windows være holdt op med at fungere, da Windows Vista blev introduceret.
Med tiden er UAC-virtualisering blevet mere og mere unødvendig. Men som du har set, er den stadig i Windows 10, og du vil sandsynligvis se, at den er aktiveret på din computer.
Virtualiseringsløsningen til UAC var en smart en, og dens metoder ville vise sig nyttige til ethvert systembeskyttelsesscenarie. Faktisk opererer mange sikkerhedssystemer på virtualisering og klassificerer dem som ' virtuelle apparater .' Isoleringen af operativsystemet og applikationerne fungerer begge veje. Det kan også forhindre hackere i at komme ind i softwaren og manipulere med dem ved at spærre adgangsvejen gennem operativsystemet.
Ofte stillede spørgsmål om UAC-virtualisering
Skal jeg deaktivere UAC-virtualisering?
UAC-virtualisering er et grundlæggende element i Micorosfts sikkerhedsstrategi for Windows. Hvis du slår UAC fra, mister du fordelen ved indbyggede sikkerhedsprocedurer.
Hvordan laver man en eksekverbar, der ikke er underlagt UAC-virtualisering?
Der er to måder, hvorpå en eksekverbar fil kan undtages fra UAC-virtualisering. Den første er at designe softwaren som en bærbar pakke, der ikke skal installeres, men vil køre som en fil på det sted, hvor den blev downloadet. Den anden måde at undgå, at UAC-virtualisering starter, når programmet kører. Den anden måde er at inkludere et applikationsmanifest med dets installationsprogram. Dette bør indeholde en post for requestedExecutionLevel med en værdi sat til asInvoker eller højesteAvailable.