Windows® 7 biedt een eenvoudig mechanisme voor het uitvoeren van accounts van eindgebruikers met standaardgebruikersbevoegdheden, terwijl u niet langer hoeft te beschikken over Administrator-bevoegdheden voor het uitvoeren van veelvoorkomende taken, zoals het installeren van een printerstuurprogramma of verbinding maken met een draadloos netwerk. Deze belangrijke verandering biedt meer beveiliging op besturingssysteemniveau doordat wordt voorkomen dat schadelijke software (ook wel malware genoemd) en rootkits bestanden en instellingen binnen uw bedrijf kunnen beschadigen.

Gebruikersaccountbeheer is gebaseerd op de beveiligingstheorie van minimale bevoegdheid, een concept waarin gebruikers de absoluut minimale bevoegdheden hebben die vereist zijn om aan hen toegewezen taken uit te voeren. Wijzigingen in Subsystem for UNIX-based Applications die compatibel zijn met Gebruikersaccountbeheer omvatten onder andere het gebruik van het LUA-account (Least-privilege User Account).

Gebruikersaccountbeheer

Gebruikersaccountbeheer is een nieuwe beveiligingsfunctie in Windows 7 die is geïntroduceerd in Windows Vista.

Het voornaamste doel van Gebruikersaccountbeheer is het blootstellings- en aanvaloppervlak van het besturingssysteem van Windows 7 te beperken, door te vereisen dat alle gebruikers werken in de standaardgebruikersmodus en door toegang op beheerdersniveau tot geautoriseerde processen te beperken. Door deze beperking hebben gebruikers minder mogelijkheden om wijzigingen aan te brengen waardoor hun computers instabiel kunnen worden, of waardoor het netwerk per ongeluk wordt blootgesteld aan virussen via niet-gedetecteerde schadelijke software waarmee hun computer is geïnfecteerd.

In Windows 7 wordt elke toepassing standaard uitgevoerd als een standaardgebruiker, zelfs als de huidige gebruiker zich heeft aangemeld als lid van de groep Administrators. Als gebruikers daarentegen proberen een toepassing te starten waarvoor is gemarkeerd dat hiervoor beheerdersbevoegdheden vereist zijn, worden zij in Windows 7 gevraagd om te bevestigen dat zij deze toepassing ook echt willen starten. Systeeminstellingen, algemene instellingen en specifiek gedrag kunnen alleen worden gewijzigd in toepassingen die worden uitgevoerd met Administrator-bevoegdheden.

Zie de Microsoft-website met het onderwerp met informatie over Gebruikersaccountbeheer en over het configureren van Gebruikersaccountbeheer in Windows Vista (https://go.microsoft.com/fwlink/?LinkId=70242 voor meer informatie over gebruikersaccountbeheer. (Deze pagina is mogelijk Engelstalig.)

Gebruikersaccountbeheer en minimale bevoegdheden in Subsystem for UNIX-based Applications

Wanneer een gebruiker van Subsystem for UNIX-based Applications die lid is van de groep Administrators, een toepassing, shell of andere taak start, worden de toepassingen uitgevoerd in de beveiligingscontext van de standaardgebruiker.

In het volgende voorbeeld ziet u hoe met Gebruikersaccountbeheer kan worden voorkomen dat gebruikers die lid zijn van de groep Administrators, beheertaken kunnen uitvoeren zonder verhoogde bevoegdheden.

Gebruiker A is lid van de groep Administrators en wil in de (hoofd)map / een nieuwe map maken met de naam test. Het maken van nieuwe mappen in de hoofdmap is alleen toegestaan voor leden van de groep Administrators. Hoewel Gebruiker A lid is van de groep Administrators, kan hij de nieuwe map niet maken wegens LUA-beperkingen. Gebruiker A opent een Korn-shell met verhoogde bevoegdheden en mag nu de map test maken in de hoofdmap.

Als u een toepassing of taken wilt uitvoeren met verhoogde bevoegdheden, raadpleegt u de volgende procedures.

Een toepassing uitvoeren als beheerder

Als Subsystem for UNIX-based Applications en het bijbehorende downloadpakket met hulpprogramma's is geïnstalleerd, kunt u een toepassing op twee manieren uitvoeren als beheerder.

Met de Windows-interface

Met een op UNIX gebaseerde opdrachtregel

Met de Windows-interface

Als u in de Windows-gebruikersinterface een toepassing wilt uitvoeren waarvoor beheerbevoegdheden vereist zijn, voert u de volgende stappen uit.

Een toepassing uitvoeren als beheerder in de Windows-interface

  1. Klik met de rechtermuisknop op het uitvoerbare bestand van de toepassing.

  2. Klik in het snelmenu op Als administrator uitvoeren.

Met een op UNIX gebaseerde opdrachtregel

Als u in de op UNIX gebaseerde Korn-shell-omgeving een toepassing wilt uitvoeren waarvoor beheerbevoegdheden vereist zijn, voert u de volgende stappen uit.

Een toepassing uitvoeren als beheerder in een Korn-shell

  1. Klik achtereenvolgens op Start, Alle programma's en Subsystem for UNIX-based Applications en wijs vervolgens Korn-shell aan.

  2. Klik met de rechtermuisknop op Korn-shell en klik vervolgens op Als administrator uitvoeren.

  3. Wanneer u wordt gevraagd om de shell als beheerder uit te voeren, klikt u op Ja.

  4. Voer het programma uit waarvoor Administrator-bevoegdheden vereist zijn.

  5. Wanneer u klaar bent met het uitvoeren van de toepassing waarvoor verhoogde bevoegdheden vereist zijn, sluit u de shell-sessie.

    Als u in de op UNIX gebaseerde shell-omgeving andere taken wilt uitvoeren waarvoor geen Administrator-bevoegdheden vereist zijn, opent u een nieuwe shell-sessie zonder de opdracht Als administrator uitvoeren.

De registersleutel EnableSuToRoot

Gebruikersaccountbeheer is standaard ingeschakeld. Wanneer Gebruikersaccountbeheer is ingeschakeld, wordt elke toepassing of taak waarin een andere gebruiker wordt geïmiteerd die lid is van de groep Administrators (met behulp van de hulpprogramma's su, cron of login, setuid, of een van de aanroepen setuid of exec_asuser als voorbeelden), altijd uitgevoerd in de beveiligingscontext van een standaardgebruikersaccount.

Opmerking

Wanneer een toepassing een standaardgebruiker imiteert, heeft deze ook de volledige beveiligingscontext van een standaardgebruiker. Zie de inleiding op de Microsoft-website met het onderwerp Aanbevolen procedures en richtlijnen voor toepassingen in een omgeving met minimale bevoegdheden (https://go.microsoft.com/fwlink/?LinkId=70243) voor meer informatie over standaardgebruikers. (Deze pagina is mogelijk Engelstalig.)

Met standaardinstellingen kan een toepassing niet de hoofdgebruiker imiteren. Dit kunt u doen met de registersleutel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SUA\EnableSuToRoot.

De registersleutel EnableSuToRoot wijzigen

Belangrijk

Het Administrator-account is standaard uitgeschakeld in Windows 7 en Windows Server 2008 R2 om te voorkomen dat onbevoegde of kwaadwillende gebruikers toegang tot computers en gegevens kunnen krijgen. Het account moet worden ingeschakeld als gebruikers de identiteit van de hoofdgebruiker of administrator willen aannemen. Omdat het Administrator-account eerst moet worden ingeschakeld voordat u de instelling van de registersleutel EnableSuToRoot kunt wijzigen, vindt u hieronder de procedure die u hiervoor moet uitvoeren. Als u deze procedure wilt uitvoeren, moet u lid zijn van de groep Administrators op de lokale computer.

Het Administrator-account inschakelen

  1. Klik op Start, klik met de rechtermuisknop op Computer en klik vervolgens op Beheren.

  2. Ga in het hiërarchievenster van de module Computerbeheer naar Lokale gebruikers en groepen.

  3. Selecteer Gebruikers.

  4. Klik in het resultatenvenster met de rechtermuisknop op Administrator en klik vervolgens op Eigenschappen.

  5. Schakel het selectievakje Account is uitgeschakeld uit.

  6. Klik op OK.

  7. Sluit het dialoogvenster Eigenschappen en sluit de module Computerbeheer.

Voer de volgende stappen uit om de instelling van de registersleutel EnableSuToRoot te wijzigen nadat u Subsystem for UNIX-based Applications hebt geïnstalleerd.

De instelling van de sleutel EnableSuToRoot wijzigen

  1. Klik op Start, klik in het tekstvak Zoekopdracht starten en typ regedit om Register-editor te openen.

  2. Open HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SUA in het hiërarchievenster.

  3. Dubbelklik in het resultaatvenster op EnableSuToRoot.

  4. Geef in het vak Waardegegevens de waarde 0 op om imitatie van de hoofdgebruiker te weigeren of 1 om imitatie toe te staan.

    De standaardinstelling is 0.

  5. Klik op OK.

  6. Sluit Register-editor; sla uw wijzigingen op als u hierom wordt gevraagd.

Wanneer de waarde van deze sleutel is ingesteld op 0 (de standaardinstelling), is imitatie van de hoofdgebruiker niet toegestaan. Wanneer de waarde is ingesteld op 1, is imitatie van de hoofdgebruiker toegestaan. Wanneer een toepassing de hoofdgebruiker of het account Administrator imiteert, heeft de toepassing de beheerbeveiligingscontext van de hoofdgebruiker (Administrator).

Setuid en beheerdersmachtigingen

Als gebruikers die lid zijn van de groep Administrators toepassingen willen markeren met het kenmerk setuid, kunnen zij dat alleen maar als zij toepassingen en taken mogen uitvoeren in een beveiligingscontext voor beheerders.

Hier volgt een voorbeeld van de werkwijze om het binaire bestand /bin/regpwd te markeren, een bestand dat doorgaans wordt gemarkeerd met het kenmerk setuid:

  1. Open een Korn-shell (ksh) met verhoogde bevoegdheden, zoals in dit onderwerp wordt beschreven.

  2. Typ chmod +s /bin/regpwd en druk vervolgens op ENTER.

  3. Typ exit om de ksh-sessie af te sluiten.

Zie ook

Inhoudsopgave