Windows® 7 -käyttöjärjestelmässä on yksinkertainen mekanismi, jonka avulla peruskäyttöoikeudet omaavilla käyttäjätileillä voi suorittaa yleisiä tehtäviä, kuten asentaa tulostinohjaimia tai muodostaa langattomia verkkoyhteyksiä, ilman järjestelmänvalvojan oikeuksia. Tämä keskeinen muutos helpottaa suojaamista käyttöjärjestelmätasolla, kun koko yrityksen tiedostoja ja asetuksia vahingoittavat haittaohjelmat ja "root kit" -ohjelmistot voidaan estää.

Käyttäjätilien valvonta perustuu vähimmäisoikeuksien periaatteeseen, jonka mukaan käyttäjillä tulee olla vain sellaiset oikeudet, jotka ovat ehdottoman välttämättömiä käyttäjälle osoitettujen tehtävien suorittamiseen. Muutoksiin, jotka on tehty käyttäjätilien valvonnan kanssa yhteensopivien UNIX-pohjaisten sovellusten alijärjestelmään, sisältyy vähimmäisoikeuksilla varustettu käyttäjätili (LUA, Least-privilege User Account).

Käyttäjätilien valvonta

Käyttäjätilien valvonta on Windows 7 -järjestelmän suojausominaisuus, joka sisältyi ensimmäistä kertaa Windows Vista -järjestelmään.

Käyttäjätilien valvonnan ensisijainen tavoite on vähentää Windows 7 -käyttöjärjestelmän altistumista tietoturvauhille ja hyökkäyksille edellyttämällä, että kaikki käyttäjät toimivat peruskäyttäjätilassa, ja rajoittamalla järjestelmänvalvojatasoisen käytön valtuutettuihin prosesseihin. Tämä rajoitus minimoi käyttäjien kyvyn tehdä muutoksia, jotka saattavat heikentää tietokoneen vakautta tai altistaa verkon havaitsematta jääneille haittaohjelmille.

Oletusarvon mukaan Windows 7 suorittaa jokaisen sovelluksen peruskäyttäjän oikeuksin, vaikka nykyinen käyttäjä olisi kirjautunut sisään Järjestelmänvalvojat-ryhmän jäsenenä. Jos taas käyttäjä yrittää käynnistää sovelluksen, jonka suorittaminen edellyttää järjestelmänvalvojan oikeuksia, Windows 7 kehottaa käyttäjää vahvistamaan aikomuksensa. Vain järjestelmänvalvojan oikeuksilla suoritettavat sovellukset voivat muokata järjestelmää, yleisiä asetuksia ja yleistä toimintaa.

Lisätietoja käyttäjätilien valvonnasta on Microsoftin WWW-sivuston ohjeaiheessa Windows Vistan käyttäjätilien valvonnan toiminta ja määrittäminen (https://go.microsoft.com/fwlink/?LinkId=70242 (sivu voi olla englanninkielinen)).

Käyttäjätilien valvonta ja vähimmäisoikeudet UNIX-pohjaisten sovellusten alijärjestelmässä

Kun UNIX-pohjaisten sovellusten alijärjestelmän käyttäjä, joka on Järjestelmänvalvojat-ryhmän jäsen, käynnistää sovelluksen, komentoliittymän tai muun tehtävän, ne suoritetaan peruskäyttäjän suojauskontekstissa.

Seuraavassa esimerkissä on kuvattu, miten käyttäjätilien valvonnalla voidaan estää Järjestelmänvalvojat-ryhmään kuuluvia käyttäjiä suorittamasta hallintatehtäviä ilman laajennettuja oikeuksia.

Käyttäjä A on Järjestelmänvalvojat-ryhmän jäsen ja haluaa luoda (pää)hakemistoon / uuden hakemiston, jonka nimi on test. Vain Järjestelmänvalvojat-ryhmän jäsenet voivat luoda uusia hakemistoja päähakemistoon. Vaikka käyttäjä A on Järjestelmänvalvojat-ryhmän jäsen, hän ei silti voi luoda uutta hakemistoa vähimmäisoikeuksilla varustetun käyttäjätilin rajoitusten vuoksi. Käyttäjä A avaa Korn-komentoliittymän järjestelmänvalvojan oikeuksilla, minkä jälkeen hän voi luoda test-hakemiston päähakemistoon.

Jos haluat suorittaa sovelluksen tai tehtäviä laajennetuilla oikeuksilla, katso lisätietoja seuraavista toimintaohjeista.

Sovelluksen suorittaminen järjestelmänvalvojana

Kun UNIX-pohjaisten sovellusten alijärjestelmä ja sen ladattava työkalu- ja apuohjelmapaketti on asennettu, voit suorittaa sovelluksen järjestelmänvalvojana kahdella tavalla.

Windows-käyttöliittymän avulla

UNIX-komentoriviltä

Windows-käyttöliittymän avulla

Jos haluat suorittaa järjestelmänvalvojan oikeuksia edellyttävän sovelluksen Windows-käyttöliittymässä, tee seuraavat toimet.

Sovelluksen suorittaminen järjestelmänvalvojana Windows-käyttöliittymässä

  1. Napsauta suoritettavaa sovellustiedostoa hiiren kakkospainikkeella.

  2. Valitse pikavalikosta Suorita järjestelmänvalvojana.

UNIX-komentoriviltä

Jos haluat suorittaa järjestelmänvalvojan oikeuksia edellyttävän sovelluksen UNIX-pohjaisessa Korn-komentoliittymässä, tee seuraavat toimet.

Sovelluksen suorittaminen järjestelmänvalvojana Korn-komentoliittymässä

  1. Valitse Käynnistä, Kaikki ohjelmat, UNIX-pohjaisten sovellusten alijärjestelmä ja Korn-komentoliittymä.

  2. Napsauta Korn-komentoliittymä -painiketta hiiren kakkospainikkeella ja valitse Suorita järjestelmänvalvojana.

  3. Kun saat kehotteen sallia komentoliittymän suorittamisen järjestelmänvalvojana, valitse Kyllä.

  4. Suorita ohjelma, joka edellyttää järjestelmänvalvojan oikeuksia.

  5. Kun olet lopettanut laajennettuja oikeuksia edellyttävän sovelluksen suorittamisen, sulje komentoliittymäistunto.

    Jos haluat suorittaa UNIX-pohjaisessa komentoliittymäympäristössä muita tehtäviä, jotka eivät edellytä järjestelmänvalvojan oikeuksia, avaa uusi komentoliittymäistunto käyttämättä Suorita järjestelmänvalvojana -komentoa.

EnableSuToRoot-rekisteriavain

Käyttäjätilien valvonta on oletusarvon mukaan käytössä. Kun käyttäjätilien valvonta on käytössä, kaikki joksikin toiseksi Järjestelmänvalvojat-ryhmään kuuluvaksi käyttäjäksi tekeytyvät sovellukset tai tehtävät (jotka käyttävät esimerkiksi su-, cron- tai login-apuohjelmaa, setuid-komentoa tai jotakin setuid- tai exec_asuser-kutsua) suoritetaan aina peruskäyttäjätilin suojauskontekstissa.

Huomautus

Kun sovellus tekeytyy peruskäyttäjäksi, se toimii täysin peruskäyttäjän suojauskontekstissa. Lisätietoja peruskäyttäjistä on Microsoftin WWW-sivuston kohdassa, jossa käsitellään sovelluskehittäjien toimintaa vähimmäiskäyttöoikeusympäristössä (https://go.microsoft.com/fwlink/?LinkId=70243 (sivu voi olla englanninkielinen)).

Oletusasetuksia käytettäessä sovellus ei voi tekeytyä root-käyttäjäksi. Voit ohjata tätä toimintaa muokkaamalla rekisteriavainta HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SUA\EnableSuToRoot.

EnableSuToRoot-rekisteriavaimen muokkaaminen

Tärkeää

Järjestelmänvalvoja-tili on oletusarvoisesti pois käytöstä Windows 7- ja Windows Server 2008 R2 -järjestelmissä, jotta tietokoneita ja tietoja suojataan luvattomilta tai pahantahtoisilta käyttäjiltä, ja se on otettava käyttöön käyttäjille, jotta he voivat tekeytyä root-käyttäjäksi tai järjestelmänvalvojaksi. Koska Järjestelmänvalvoja-tili on otettava ensin käyttöön, jotta EnableSuToRoot-rekisteriavaimen asetusta voidaan muuttaa, tämän tehtävän tekemisen ohjeet ovat heti seuraavassa. Sinun on oltava paikallisen tietokoneen Järjestelmänvalvojat-ryhmän jäsen, jotta voit tehdä seuraavat toiminnot.

Järjestelmänvalvoja-tilin ottaminen käyttöön

  1. Napsauta Käynnistä-painiketta, napsauta Tietokone-kohtaa hiiren kakkospainikkeella ja valitse sitten Hallinta.

  2. Avaa Tietokoneen hallinta -laajennuksen hierarkiaruudussa Paikalliset käyttäjät ja ryhmät.

  3. Valitse Käyttäjät.

  4. Napsauta tulosruudussa hiiren kakkospainikkeella Järjestelmänvalvoja-kohtaa ja valitse sitten Ominaisuudet.

  5. Poista Tili on poistettu käytöstä -valintaruudun valinta.

  6. Valitse OK.

  7. Sulje Ominaisuudet-ikkuna ja sulje sitten Tietokoneen hallinta -laajennus.

Voit muuttaa EnableSuToRoot-rekisteriavaimen asetusta UNIX-pohjaisten sovellusten alijärjestelmän asentamisen jälkeen suorittamalla seuraavat toimet.

EnableSuToRoot-rekisteriavaimen asetuksen muuttaminen

  1. Valitse Käynnistä, napsauta jotakin kohtaa Aloita haku -muokkausruudussa ja avaa rekisterieditori kirjoittamalla regedit.

  2. Avaa hierarkiaruudussa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SUA.

  3. Kaksoisnapsauta tulosruudussa EnableSuToRoot-kohtaa.

  4. Kirjoita Arvon data -ruutuun 0, jos haluat estää root-käyttäjäksi tekeytymisen, tai 1, jos haluat sallia sen.

    Oletusasetus on 0.

  5. Valitse OK.

  6. Sulje rekisterieditori ja tallenna muutokset, jos sinua kehotetaan tekemään niin.

Kun tämän avaimen arvoksi on määritetty 0 (oletusasetus), root-käyttäjäksi tekeytymistä ei sallita. Kun arvoksi on määritetty 1, root-käyttäjäksi tekeytyminen sallitaan. Kun sovellus tekeytyy root-käyttäjäksi tai järjestelmänvalvojatiliksi, sovellus toimii root-käyttäjän (järjestelmänvalvojan) hallinnollisessa suojauskontekstissa.

Setuid ja järjestelmänvalvojan oikeus

Jos Järjestelmänvalvojat-ryhmän jäsenet yrittävät merkitä sovelluksia setuid-määritteellä, sen tekeminen onnistuu vain, jos he saavat suorittaa sovelluksia ja tehtäviä järjestelmänvalvojan tietoturvakontekstissa.

Seuraavassa on esimerkki siitä, miten voidaan merkitä binaaritiedosto /bin/regpwd, joka on yleensä merkitty setuid-määritteellä:

  1. Avaa Korn-komentoliittymä (ksh) laajennetuilla oikeuksilla tässä ohjeaiheessa kuvatulla tavalla.

  2. Kirjoita chmod +s /bin/regpwd ja paina sitten ENTER-näppäintä.

  3. Sulje ksh-istunto kirjoittamalla exit.

Katso myös

Sisällys