|
Руководство по безопасности Windows ® 7 Набор средств по управлению соответствием требованиям безопасности
|
| bet | 39/91 | | Sana | 18.02.2022 | | Hajmi | 1,32 Mb. | | #15622 | | Turi | Руководство |
Риски, описанные в предыдущем разделе, «Оценка рисков», могут быть снижены благодаря использованию UAC. При этом, однако, необходимо учитывать следующее.
Если на предприятии есть собственные разработчики, им рекомендуется изучить статью «Требования к разработке приложений для Windows Vista, совместимых с контролем учетных записей». В этом документе описывается проектирование и разработка UAC-совместимых приложений.
Приложения, не соответствующие требованиям UAC, могут вызывать проблемы на уровнях защиты по умолчанию. По этой причине перед развертыванием необходимо тестировать приложения на совместимость с UAC. Подробнее о тестировании совместимости приложений см. главу 4, «Совместимость приложений с Windows 7».
Запросы UAC на ввод учетных данных администратора и повышение прав увеличивают число шагов, необходимых для выполнения многих административных задач. Необходимо установить, представляет ли это проблему для штата администраторов. Если дополнительные запросы UAC существенно сказываются на них, можно установить для параметра политики Behavior of the elevation prompt for administrators in Admin Approval Mode (поведение запроса на повышение прав для администраторов в режиме одобрения администратором) значение Elevate without prompting (повышать без запроса). Это, однако, ослабит степень защищенности компьютера и повысит риск, исходящий от более старых вредоносных программ.
Пользователь, обладающий административными привилегиями и работающий от имени учетной записи защищенного администратора (PA), может отключить режим одобрения администратором, запретить выдачу запросов учетных данных администратора при установке приложений и изменить способ выдачи запросов на повышение прав. Поэтому, если пользователи обладают правами администратора, то нельзя гарантировать, что политики UAC выполняются.
Администраторам предприятия рекомендуется иметь две учетные записи. Для повседневных задач следует использовать учетную запись обычного пользователя. При необходимости выполнить административное действие следует войти в систему от имени учетной записи с правами администратора, выполнить это действие, выйти из системы и вернуться к работе от имени обычного пользователя.
Параметры групповой политики, рекомендуемые в этом руководстве, отключают возможность обычных пользователей повышать права. Обратите внимание, что это поведение по умолчанию для компьютеров, входящих в домен Active Directory. Это рекомендуемый подход, поскольку так административные задачи могут выполняться только пользователями, чьи учетные записи были специально отнесены к группе администраторов.
Если приложение неверно отнесено к группе административных или пользовательских, Windows может запустить его в неверном контексте безопасности, например с маркером «администратор» или «обычный пользователь».
|
| |
