Windows® 7 מספק מנגנון פשוט להפעלת חשבונות של משתמשי-קצה עם הרשאות משתמש רגילות, תוך צמצום הצורך בהרשאות של מנהל מערכת בעת ביצוע משימות נפוצות, כגון התקנת מנהל מדפסת או התחברות לרשת אלחוטית. טקטיקה בסיסית זו מסייעת לספק אבטחה ברמת מערכת ההפעלה על-ידי מניעת נזק בידי תוכנות זדוניות (נקראות גם malware) וערכות בסיס לקבצים והגדרות הפרוסים בכל רחבי החברה.

התכונה 'בקרת חשבון משתמש' (UAC) מבוססת על תיאוריית האבטחה של הרשאה מינימלית, שהרעיון שעומד מאחוריה הוא שיש להקצות למשתמשים את ההרשאות המינימליות ביותר הדרושות לביצוע מטלות מוקצות. שינויים ב'מערכת משנה עבור יישומים מבוססי UNIX' התואמים ל- UAC כוללים שימוש בחשבון משתמש עם הרשאה מינימלית (LUA)

בקרת חשבון משתמש

'בקרת חשבון משתמש' היא מאפיין אבטחה ב-Windows 7 שהוצגה לראשונה ב-Windows Vista.

המטרה העיקרית של 'בקרת חשבון משתמש' היא לצמצם את החשיפה ואת שטח התקיפה של מערכת ההפעלה Windows 7 על-ידי דרישה שכל המשתמשים יפעלו במצב משתמש רגיל ועל-ידי הגבלת הגישה ברמת מנהל מערכת לתהליכים מורשים. מגבלה זו ממזערת את יכולת המשתמשים לבצע שינויים שעלולים לגרום לחוסר יציבות במחשבים שלהם או לחשוף את הרשת בשוגג לווירוסים באמצעות תוכנות זדוניות שלא זוהו שהדביקו את המחשבים שלהם.

כברירת מחדל, Windows 7 מפעיל כל יישום כמשתמש רגיל גם אם המשתמש הנוכחי נכנס כחבר בקבוצה Administrators. לעומת זאת, כאשר משתמשים מנסים להפעיל יישום שסומן כיישום הדורש הרשאות של מנהל מערכת, Windows 7 מבקש מהם לאשר את כוונתם לעשות זאת. רק יישומים שמופעלים עם הרשאות של מנהל מערכת יכולים לשנות הגדרות מערכת, הגדרות כלליות ואת אופן הפעולה של המערכת.

לקבלת מידע נוסף אודות 'בקרת חשבון משתמש', עיין בנושא "הכרה והגדרת תצורה של 'בקרת חשבון משתמש' ב- Windows Vista" באתר האינטרנט של Microsoft (https://go.microsoft.com/fwlink/?LinkId=70242).

'בקרת חשבון משתמש' והרשאה מינימלית ב'מערכת משנה עבור יישומים מבוססי UNIX'

כאשר משתמש של 'מערכת משנה עבור יישומים מבוססי UNIX' שמוגדר כחבר בקבוצה Administrators מפעיל יישום, מעטפת או מטלה אחרת, היישומים פועלים בהקשר האבטחה של משתמש רגיל.

הדוגמאות הבאות ממחישות כיצד התכונה 'בקרת חשבון משתמש' יכולה למנוע ממשתמשים שאינם חברים בקבוצה Administrators מלבצע מטלות מנהליות ללא הרשאות מלאות.

משתמש א' הוא חבר בקבוצה Administrators וברצונו ליצור ספריה חדשה בשם test בתוך / הספריה (בסיס). יצירת ספריות חדשות בספריית הבסיס מותרת רק לחברים בקבוצה Administrators. עם זאת, למרות שמשתמש א' חבר בקבוצה Administrators, משתמש א' לא יכול ליצור ספריה חדשה בשל מגבלות LUA. משתמש א' פותח מעטפת Korn עם הרשאות מלאות ומותר לו ליצור את הספריה test בבסיס.

כדי להפעיל יישום או לבצע משימות עם הרשאות מלאות, עיין בהליכים הבאים.

כיצד להפעיל יישום כמנהל מערכת

עם 'מערכת משנה עבור יישומים מבוססי UNIX' וחבילת ההורדה שלה של כלים ותוכניות עזר מותקנים, קיימות שתי שיטות להפעלת יישום כמנהל מערכת.

באמצעות ממשק Windows

באמצעות שורת פקודה מבוססת-UNIX

באמצעות ממשק Windows

כדי להפעיל יישום בממשק המשתמש של Windows שיש צורך עבורו בהרשאות ניהול, בצע את השלבים הבאים.

כדי להפעיל יישום כמנהל מערכת בממשק Windows

  1. לחץ באמצעות לחצן העכבר הימני על קובץ ההפעלה של היישום.

  2. בתפריט הקיצור, לחץ על הפעל כמנהל.

באמצעות שורת פקודה מבוססת-UNIX

כדי להפעיל יישום בסביבת מעטפת Korn מבוססת-UNIX שיש צורך עבורה בהרשאות ניהול, בצע את השלבים הבאים.

כדי להפעיל יישום כמנהל מערכת במעטפת Korn

  1. לחץ על התחל, לחץ על כל התוכניות, לחץ על מערכת משנה עבור יישומים מבוססי UNIX ולאחר מכן הצבע על Korn shell.

  2. לחץ באמצעות לחצן העכבר הימני על Korn shell ולאחר מכן לחץ על Run as administrator.

  3. כאשר תתבקש לאפשר למעטפת לפעול כמנהל מערכת, לחץ על Yes.

  4. הפעל את התוכנית שיש צורך עבורה בהרשאות של מנהל מערכת.

  5. לאחר שסיימת להפעיל את היישום שעבורו יש צורך בהרשאות מלאות, סגור את הפעלת המעטפת.

    כדי לבצע משימות אחרות בסביבת המעטפת מבוססת ה-UNIX שאין צורך עבורן בהרשאות של מנהל מערכת, פתח הפעלת מעטפת חדשה מבלי להשתמש בפקודה Run as administrator.

מפתח הרישום EnableSuToRoot

התכונה 'בקרת חשבון משתמש' זמינה כברירת מחדל. כאשר 'בקרת חשבון משתמש' זמינה, כל יישום או משימה שמתחזים למשתמש אחר שחבר בקבוצה Administrators (לדוגמה, באמצעות כלי השירות su, cron, או login, setuid, כל אחת ממשפחות הקריאות setuid או exec_asuser) תמיד פועלים בהקשר האבטחה של חשבון משתמש רגיל.

הערה

כאשר יישום מתחזה למשתמש רגיל, עליו להשלים הקשר אבטחה כמשתמש רגיל. לקבלת מידע נוסף אודות משתמשים רגילים, עיין במקטע המבוא של הנושא "שיטות עבודה מומלצות וקווים מנחים עבור יישומים בסביבה של הרשאה מינימלית עבור מפתחים" באתר האינטרנט של Microsoft (הדף עשוי להיות באנגלית) (https://go.microsoft.com/fwlink/?LinkId=70243).

עם הגדרות ברירת מחדל, יישום לא יכול להתחזות למשתמש בסיס. באפשרותך לנהל אופן פעולה זה על ידי שינוי מפתח הרישום HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SUA\EnableSuToRoot.

כיצד לשנות את מפתח הרישום EnableSuToRoot

חשוב

החשבון Administrator אינו פעיל כברירת מחדל ב-Windows 7 וב-Windows Server 2008 R2 כדי לסייע בהגנה על מחשבים ונתונים מפני גישה של משתמשים שאינם מורשים או משתמשים בעלי כוונות מזיקות, ויש להופכו לזמין כדי שמשתמשים יוכלו להתחזות למשתמש הבסיס או ל- Administrator. מכיוון שיש להפוך תחילה את החשבון Administrator לזמין כדי לשנות את הגדרת מפתח הרישום EnableSuToRoot, ההליך להשלמת משימה זו בא מיד לאחר מכן. להשלמת ההליך הבא, עליך להשתייך לקבוצה Administrators במחשב מקומי.

להפעלת החשבון Administrator

  1. לחץ על התחל, לחץ באמצעות לחצן העכבר הימני על מחשב ולאחר מכן לחץ על ניהול.

  2. בחלונית ההירארכיה ביישום ה-snap-in‏ ניהול מחשב, פתח את משתמשים וקבוצות מקומיים.

  3. בחר ב- Users.

  4. בחלונית התוצאות, לחץ באמצעות לחצן העכבר הימני על Administrator ולאחר מכן לחץ על מאפיינים.

  5. נקה את תיבת הסימון עבור האפשרות החשבון אינו זמין.

  6. לחץ על אישור.

  7. סגור את החלון מאפיינים, ולאחר מכן סגור את יישום ה-snap-in‏ ניהול מחשב.‏

בצע את השלבים הבאים כדי לשנות את ההגדרה של מפתח הרישום EnableSuToRoot לאחר התקנת 'מערכת משנה עבור יישומים מבוססי UNIX'.

כדי לשנות את ההגדרה של מפתח הרישום EnableSuToRoot

  1. לחץ על התחל, לחץ על תיבת הטקסט התחל חיפוש והקלד regedit כדי לפתוח את 'עורך הרישום'.

  2. בחלונית ההירארכיה, פתח את HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SUA.

  3. בחלונית התוצאות, לחץ פעמיים על EnableSuToRoot.

  4. בתיבה נתוני ערך, הזן 0 כדי לא לאפשר התחזות של משתמש הבסיס, או 1 כדי לאפשר את ההתחזות.

    הגדרת ברירת המחדל היא 0.

  5. לחץ על אישור.

  6. סגור את 'עורך הרישום'; אם תתבקש לעשות זאת, שמור את השינויים.

כאשר הערך של מפתח זה מוגדר ל- 0 (הגדרת ברירת המחדל), אין אפשרות להתחזות למשתמש הבסיס. כאשר הערך מוגדר ל- 1, יש אפשרות להתחזות למשתמש הבסיס. כאשר יישום מתחזה למשתמש הבסיס או לחשבון של מנהל מערכת, ליישום יש את הקשר האבטחה המנהלי של משתמש הבסיס (מנהל מערכת).

Setuid והרשאה מנהלית

במידה ומשתמשים שחברים בקבוצה Administrators מנסים לסמן יישומים עם התכונה setuid, הם יצליחו בכך רק אם הם מורשים להפעיל יישומים ולבצע משימות בהקשר אבטחה ניהולי.

להלן דוגמה לאופן הסימון של הקובץ הבינארי /bin/regpwd, שבדרך כלל מסומן עם התכונה setuid:

  1. פתח מעטפת Korn ‏(ksh) עם הרשאה מלאה כמתואר בנושא זה.

  2. הקלד chmod +s /bin/regpwd ולאחר מכן הקש ENTER.

  3. הקלד exit כדי לסגור את הפעלת ה- ksh.

למידע נוסף


תוכן העניינים