A Windows® 7 egy egyszerű mechanizmussal biztosítja a végfelhasználói fiókok futtatását általános felhasználói jogosultságokkal. Eközben nincs szükség rendszergazdai jogosultságokra általános feladatok végrehajtásakor, például nyomtatóillesztő telepítéséhez vagy vezeték nélküli hálózathoz történő kapcsolódáshoz. Ez az alapvető módosítás a biztonságnak az operációs rendszer szintjén történő kezelését teszi lehetővé, és így megakadályozza, hogy a rosszindulatú szoftverek és rootkit férgek károsítsák a vállalatban mindenki által használt fájlokat és beállításokat.

A Felhasználói fiókok beállításai (UAC) szolgáltatás a legalacsonyabb jogosultsági szint biztonsági elvén alapszik, mely szerint egy felhasználónak a kiadott feladatok teljesítéséhez szükséges legkevesebb jogosultsággal kell rendelkeznie. A UNIX-alapú alkalmazások alrendszere alrendszer egyes módosításai, például a legalacsonyabb jogosultsági szintű felhasználói fiókok (LUA) használata, kompatibilisek az UAC követelményeivel.

Felhasználói fiók beállításai

A Felhasználói fiókok felügyelete a Windows 7 rendszer egy biztonsági szolgáltatása, amely először a Windows Vista rendszerben jelent meg.

A szolgáltatás elsődleges célja, hogy csökkentse a Windows 7 operációs rendszer támadható felületét oly módon, hogy minden felhasználó számára az általános jogosultságokat biztosító fiók használatát írja elő, és az engedélyezett folyamatokra korlátozza a rendszergazda-szintű hozzáférést. Ez a korlátozás minimálisra csökkenti annak a lehetőségét, hogy a felhasználók a számítógép stabilitását veszélyeztető módosításokat hajtsanak végre, vagy akaratlanul kitegyék a hálózatot vírusfertőzés veszélyének amiatt, hogy nem észlelik a számítógépet megfertőző rosszindulatú szoftvereket.

Alapértelmezés szerint a Windows 7 minden alkalmazást általános jogú felhasználóként futtat, még akkor is, ha az aktuális felhasználó a rendszergazdák csoportjának tagjaként jelentkezik be a számítógépre. Fordított esetben pedig, ha a felhasználó egy csak rendszergazdai engedélyekkel futtatható alkalmazást próbál elindítani, a Windows 7 megerősítést kér a művelet végrehajtásához. Csak a rendszergazdai jogokkal futtatott alkalmazások módosíthatják a rendszerbeállításokat és az általános beállításokat, valamint a rendszer működését.

További információt a Felhasználói fiókok felügyelete szolgáltatásról a Microsoft webhelyén, „A Felhasználói fiókok felügyelete szolgáltatás megismerése és konfigurálása a Windows Vista operációs rendszeren” témakörben talál (https://go.microsoft.com/fwlink/?LinkId=70242) (előfordulhat, hogy a lap angol nyelven jelenik meg.)

Felhasználói fiókok beállításai és legalacsonyabb jogosultsági szint a UNIX-alapú alkalmazások alrendszerében

Ha a UNIX-alapú alkalmazások alrendszerénak egy felhasználója, aki tagja a rendszergazdák csoportjának, elindít egy alkalmazást, rendszerhéjat vagy egyéb feladatot, az alkalmazások az általános jogú felhasználó biztonsági környezetében futnak.

A következő példa bemutatja, hogy a felhasználói fiókok beállításainak segítségével hogyan gátolható meg emelt szintű jogok nélkül felügyeleti műveletek végrehajtása egy olyan felhasználó számára, amely a rendszergazdák csoportjának tagja.

„A” felhasználó tagja a rendszergazdák csoportjának és szeretne létrehozni egy új, test nevű könyvtárat a / (gyökér) könyvtárban. Ez a művelet csak a Rendszergazdák csoport tagjai számára engedélyezett. Azonban, bár „A” felhasználó tagja a rendszergazdák csoportjának, mégsem hozhatja létre az új könyvtárat a legalacsonyabb jogosultsági szinttel rendelkező felhasználói fiókok (LUA) korlátozásai miatt. „A” felhasználó emelt szintű jogokkal megnyit egy Korn rendszerhéjat, és lehetővé válik számára a test könyvtár létrehozása a gyökérkönyvtárban.

Ha emelt szintű jogokkal szeretne egy alkalmazást futtatni vagy egy feladatot elvégezni, tekintse át a következő eljárásokat.

Alkalmazás futtatása rendszergazdaként

Egy alkalmazás rendszergazdaként történő futtatására kétféle lehetőség adódik a UNIX-alapú alkalmazások alrendszere és az ahhoz kapcsolódó, eszközöket és telepített segédprogramokat tartalmazó letöltőcsomag alkalmazásával.

A Windows felhasználói felület használatával

UNIX-alapú parancssor használatával

A Windows felhasználói felületének használatával

Ha a Windows felhasználói felületen szeretne egy alkalmazást futtatni, amelyhez rendszergazdai jogok szükségesek, hajtsa végre a következő lépéseket.

Alkalmazás futtatása a Windows felhasználói felületen rendszergazdaként

  1. Kattintson a jobb gombbal az alkalmazáshoz tartozó végrehajtható fájlra.

  2. A helyi menüben kattintson a Futtatás rendszergazdaként parancsra.

UNIX-alapú parancssor használatával

Ha a UNIX-alapú Korn rendszerhéj környezetében szeretne egy alkalmazást futtatni, amelyhez rendszergazdai jogok szükségesek, hajtsa végre a következő lépéseket.

Alkalmazás futtatása a Korn rendszerhéjon rendszergazdaként

  1. Kattintson a Start gombra, mutasson a Minden program menüpontra, mutasson a UNIX-alapú alkalmazások alrendszere menüpontra, majd mutasson a Korn rendszerhéj menüpontra.

  2. Kattintson a jobb gombbal a Korn rendszerhéj menüpontra, majd kattintson a Futtatás rendszergazdaként parancsra.

  3. Ha megerősítést kér a rendszer a rendszerhéj rendszergazdaként történő futtatásához, kattintson az Igen gombra.

  4. Futtassa a programot, amelyhez rendszergazdai jogok szükségesek.

  5. Ha befejezi az emelt szintű jogokat megkövetelő alkalmazás futtatását, zárja be a rendszerhéj munkamenetét.

    Ha a UNIX-alapú rendszerhéj környezetében olyan feladatokat szeretne elvégezni, amelyekhez nincsen szükség rendszergazdai jogokra, nyisson meg egy új rendszerhéj munkamenetet a Futtatás rendszergazdaként parancs használata nélkül.

EnableSuToRoot beállításkulcs

Alapértelmezés szerint a Felhasználói fiókok beállításai szolgáltatás engedélyezett. Ha a Felhasználói fiókok beállításai szolgáltatás engedélyezve van, az összes alkalmazás, amely megszemélyesít egy másik felhasználót, aki a rendszergazdák csoportjának tagja (például a su, cron vagy login segédprogram, a setuid, illetve a setuid és az exec_asuser híváscsalád bármelyikének használatával) mindig az általános jogú felhasználói fiók biztonsági környezetében fut.

Megjegyzés

Ha az alkalmazás egy általános jogú felhasználót személyesít meg, rendelkezni fog az általános jogú felhasználó teljes biztonsági környezetével. További információt az általános jogú felhasználókról a Microsoft webhelyén a fejlesztők számára a legalacsonyabb jogosultsági szintű környezetben futó alkalmazásokhoz készült gyakorlati tanácsokat és irányelveket ismertető weblap bevezető szakaszban talál (https://go.microsoft.com/fwlink/?LinkId=70243).

Az alapértelmezett beállításokkal az alkalmazás nem személyesítheti meg a root felhasználót. Ez a tulajdonság a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SUA\EnableSuToRoot beállításkulcs módosításával vezérelhető.

Az EnableSuToRoot beállításkulcs módosítása

Fontos!

A beépített rendszergazdai fiók alapértelmezés szerint le van tiltva a Windows 7 és a Windows Server 2008 R2 rendszerben, hogy megvédja a számítógépeket az illetéktelen vagy rosszindulatú felhasználóktól, és engedélyezni kell a rendszergazdai fiók megszemélyesítéséhez. Mivel az EnableSuToRoot beállításkulcs módosítása előtt előbb a Rendszergazda fiókot kell engedélyeznie, az alábbiakban ennek lépései következnek. A lépések végrehajtásához a helyi számítógép Rendszergazdák csoportjához kell tartoznia.

A rendszergazdai fiók engedélyezése

  1. Kattintson a Start gombra, majd a jobb gombbal a Számítógép elemre, azután pedig a Kezelés parancsra.

  2. A Számítógép-kezelés modul hierarchiát tartalmazó ablaktáblájában bontsa ki a Helyi felhasználók és csoportok csomópontot.

  3. Nyissa meg a Felhasználók mappát.

  4. Az eredményeket megjelenítő ablaktáblában kattintson a jobb gombbal a Rendszergazda elemre, majd válassza a Tulajdonságok parancsot.

  5. Törölje A fiók le van tiltva jelölőnégyzet jelölését.

  6. Kattintson az OK gombra.

  7. Zárja be a Tulajdonságok ablakot, majd a Számítógép-kezelés beépülő modult.

A UNIX-alapú alkalmazások alrendszerének telepítése után az EnableSuToRoot beállításkulcs értékének módosításához hajtsa végre a következő műveleteket.

Az EnableSuToRoot beállításkulcs értékének módosítása

  1. Kattintson a Start gombra, kattintson a Keresés megkezdése szövegmezőbe és írja be a regedit parancsot a Beállításszerkesztő megnyitásához.

  2. A Beállításszerkesztő hierarchiát tartalmazó ablaktáblájában bontsa ki a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SUA csomópontot.

  3. Az eredménypanelen kattintson duplán az EnableSuToRoot elemre.

  4. Az Azonosító értéke mezőben adja meg a 0 értéket a rendszergazdai jogokkal rendelkező felhasználó megszemélyesítésének letiltásához, vagy az 1 értéket a megszemélyesítés engedélyezéséhez.

    Az alapértelmezett beállítás 0.

  5. Kattintson az OK gombra.

  6. Zárja be a Beállításszerkesztőt, és ha a rendszer felajánlja, mentse a változtatásokat.

Ha a kulcs értéke 0 (az alapértelmezett beállítás), a rendszergazdai jogokkal rendelkező felhasználó megszemélyesítése nem engedélyezett. Ha a kulcs értéke 1, a rendszergazdai jogokkal rendelkező felhasználó megszemélyesítése engedélyezett. Ha az alkalmazás a rendszergazdai jogokkal rendelkező felhasználót vagy egy rendszergazdai fiókot személyesít meg, a rendszergazdai jogokkal rendelkező felhasználó (rendszergazda) felügyeleti biztonsági környezetével rendelkezik.

Setuid beállítások és Rendszergazdai jogosultságok

Azok a felhasználók, akik rendszergazdai csoport tagjaként megpróbálnak alkalmazásokat megjelölni a setuid attribútummal, csak akkor járnak sikeresen, ha jogosultsággal rendelkeznek egy felügyeleti biztonsági környezetben alkalmazások futtatására és feladatok végrehajtására.

A következőkben egy példa látható arra, hogy hogyan jelölhető meg a /bin/regpwd bináris fájl, amely jellemzően a setuid attribútummal van megjelölve:

  1. Nyisson meg egy Korn rendszerhéjat (ksh) emelt szintű jogosultságokkal az ebben a témakörben leírt módon.

  2. Írja be a chmod +s /bin/regpwd parancsot, majd nyomja meg az Enter billentyűt

  3. Írja be az exit parancsot a ksh munkamenet bezárásához.

Lásd még

Tartalom