Controllo account utente
Controllo account utente di Windows 7 all'interno
Mark Russinovich
Informazioni di riepilogo:
- Account utente standard
- Controllo dell'account utente
Contenuto
Tecnologie UAC
Elevazioni e protezione di Malware
Che cos'è diverso in Windows 7
-Promozione automatica
-Promozione automatica e obiettivi del controllo dell'account utente
Account utente standard consentono una migliore protezione e diminuire il costo totale di proprietà in ambienti sia domestica che aziendale. Quando gli utenti eseguono con diritti utente standard anziché diritti amministrativi, la configurazione di protezione del sistema, inclusi antivirus e firewall, è protetto. Questo consente agli utenti un'area protetta possibile proteggere il proprio account e il resto del sistema. Per le distribuzioni dell'organizzazione, possono essere sottoposto a override i criteri impostati dai responsabili IT di desktop e in un computer condiviso della famiglia, diversi account utente sono protetti da modifiche apportate da altri account.
Tuttavia, Windows ha avuto una lunga storia di utenti con diritti amministrativi. Di conseguenza, è stato sviluppato software spesso per eseguire in account amministrativi e assumono le dipendenze, spesso involontariamente diritti amministrativi. Per entrambi attivare altri software per l'esecuzione con diritti utente standard e il consentono agli sviluppatori di scrivere applicazioni che funzionano correttamente con diritti utente standard, verrà introdotto controllo account utente (UAC). Controllo dell'account utente è un insieme di tecnologie che includono file system e la virtualizzazione del Registro di sistema, account amministratore protetto (PA), richieste di elevazione UAC e livelli di integrità di Windows che supportano tali obiettivi. È parlato in dettaglio nel mio presentazioni della conferenzae TechNet Magazine Elementi interni UACarticolo.
Windows 7 estende gli obiettivi del controllo dell'account utente con le tecnologie sottostanti relativamente invariate. Tuttavia, introdurre due nuove modalità PA account del controllo dell'account utente può funzionare con e un meccanismo di all'elevazione automatica di alcuni componenti incorporati di Windows. In questo post, si parlerà di motivazioni dietro le tecnologie del controllo dell'account utente, Rivedere la relazione tra controllo dell'account utente e protezione, descrivono le due modalità di nuova e spiegare come esattamente all'elevazione automatica funziona. Si noti che informazioni di questo post riflette il funzionamento dei Windows 7 versione release candidate, che è diverso in diversi modi dalla versione beta.
Tecnologie UAC
L'elemento di base e il vantaggio diretto di tecnologia del controllo dell'account utente è semplicemente rendere Windows più descrittivo di utente standard. Nell'esempio di vetrina presentazione è la differenza tra i requisiti dei privilegi di impostare il fuso orario in Windows XP e Windows Vista. In Windows XP, modifica del fuso orario, in realtà, anche osservando il fuso orario con l'applet data/ora del Pannello di controllo, richiede diritti amministrativi.
Ciò accade perché Windows XP non distinguere la modifica dell'ora, che è un'operazione di sistema di protezione, di modificare il fuso orario, quali effetti semplicemente il modo in cui ora viene visualizzato. In Windows Vista (e Windows 7), modifica del fuso orario non è un'operazione amministrativa e l'applet data/ora del Pannello di controllo separa le operazioni amministrative dalle operazioni utente standard. Questa modifica solo consente alle aziende molti configurare gli utenti in viaggio con gli account utente standard, poiché è possibile regolare il fuso orario in base al percorso corrente. Windows 7 consente di spostarsi, inoltre, che effettua operazioni come aggiornare l'indirizzo IP del sistema, tramite Windows Update per installare gli aggiornamenti facoltativi e driver, modifica la visualizzazione DPI e visualizzare le impostazioni correnti del firewall accessibile agli utenti standard.
Lavoro virtualizzazione di file di sistema e del Registro di sistema dietro le quinte per molte applicazioni che inavvertitamente consente di utilizzare diritti amministrativi per eseguire correttamente senza di essi. I compiti di inutili più comuni di diritti amministrativi sono l'archiviazione di impostazioni dell'applicazione o di dati utente in aree del sistema del Registro di sistema o file che sono per uso dal sistema. Alcune applicazioni legacy memorizzano le impostazioni nella parte a livello di sistema del Registro di sistema (HKEY_LOCAL_MACHINE\Software) invece della parte per singolo utente (HKEY_CURRENT_USER\Software), ad esempio e la virtualizzazione del Registro di sistema diverts tentativi di scrittura nel percorso sistema a uno in HKEY_CURRENT_USER (HKCU) mantenendo la compatibilità delle applicazioni.
L'account PA è stata progettata per incoraggiare agli sviluppatori di scrivere applicazioni per richiedere solo i diritti utente standard consentendo di molte applicazioni che condividono lo stato tra i componenti amministrativi e componenti di utente standard per continuare a lavorare. Per impostazione predefinita, il primo account in un sistema Windows Vista o Windows 7, è stato un account di amministratore completo su versioni precedenti di Windows, è un account di PA. Un utente PA esegue tutti i programmi vengono eseguiti con diritti utente standard, a meno che l'utente in modo esplicito i vengono estesi applicazione, che concede il diritto amministrativo di applicazione. Richieste di elevazione dei privilegi vengono generate da attività utente, ad esempio l'installazione di applicazioni e la modifica delle impostazioni di sistema. Queste richieste di elevazione dei privilegi sono la tecnologia UAC più visibile, manifesting come un parametro per una schermata con una finestra di dialogo Consenti/Annulla e di non disponibile del desktop come sfondo.
Gli account creati successivamente per l'installazione sono account utente standard per impostazione predefinita, che forniscono la possibilità di elevare tramite un prompt "tramite il perno" che richiede le credenziali di un account amministrativo che verrà utilizzato per concedere diritti amministrativi. Questa funzionalità consente a un membro della famiglia di condivisione di un computer di casa o di un utente di più scrupoloso con un account utente standard per eseguire le applicazioni con diritti amministrativi, a condizione che conoscono la password di un account amministrativo, senza dover passare manualmente a una sessione di accesso utente diverso. Comuni tali applicazioni esempi di programmi di installazione e configurazione di controllo genitori.
Quando è attivato il controllo dell'account utente, di tutti gli account utente, inclusi gli account amministrativi, eseguito con diritti utente standard. Ciò significa che gli sviluppatori di applicazioni devono considerare il fatto che il software non disporrà di diritti amministrativi per impostazione predefinita. Questo deve ricordare loro di progettare il loro funzionamento con diritti utente standard dell'applicazione. Se l'applicazione o parti delle sue funzionalità richiedono diritti amministrativi, è possibile sfruttare il meccanismo di elevazione dei privilegi per consentire di sbloccare tale funzionalità. In genere, gli sviluppatori di applicazioni necessario apportare solo modifiche minime alle applicazioni con diritti utente standard. non è impostata come Post di blog E7 su UACviene illustrato UAC correttamente viene modificato il modo che gli sviluppatori scrivano software.
Richieste di elevazione forniscono inoltre il vantaggio che sono "notify" l'utente quando software desidera apportare modifiche al sistema e viene offerta all'utente un'opportunità per evitare. Ad esempio, se un pacchetto software che l'utente non attendibile o desidera consentire di modificare il sistema richiede diritti amministrativi, può rifiutare la richiesta.
Elevazioni e protezione di Malware
L'obiettivo principale di UAC è consentire agli utenti più per l'esecuzione con diritti utente standard. Tuttavia, una delle tecnologie del controllo dell'account utente esegue la ricerca e smells come una funzionalità di protezione: la richiesta di consenso. Molte persone è ritenuto che il fatto che è chiedere al concedergli diritti utente di software significa che è inoltre possibile impedire malware diritti amministrativi. L'opzione a un desktop diverso per la finestra di dialogo l'elevazione dei privilegi e l'utilizzo del meccanismo di integrità di Windows, tra cui funzionalità User Interface Privilege isolamento (UIPI), oltre che una richiesta sia un gateway a diritti di amministrazione solo l'operazione viene descritto il visual implicazione, sembra sottolineare tale convinzione.
Come sono |stateindicato quanto prima l'avvio di Windows Vista, lo scopo principale di elevazione non protezione, tuttavia, è utile: se gli utenti dovevano passare account per eseguire operazioni amministrative, l'accesso a o Cambio rapido utente di un account amministrativo, la maggior parte degli utenti dovrebbe passare una sola volta e di non passare nuovamente. Non vi sarà alcun corso modificare l'ambiente che gli sviluppatori di applicazioni di progettazione per. Così che cosa sono il desktop protetto e di un meccanismo di integrità di Windows per?
Il motivo principale per l'opzione a un desktop diverso per la richiesta è che software di utente standard non può "spoofing" di elevazione dei privilegi, ad esempio, disegnando sulla parte superiore del nome dell'autore nella finestra di dialogo per ingannare un utente a pensare che Microsoft o un altro fornitore di software genera la richiesta invece del. È che il desktop alternativo detta "desktop sicuro", in quanto di proprietà del sistema, anziché l'utente, come il desktop in cui il sistema Visualizza la finestra di accesso Windows.
L'utilizzo del desktop di un altro ha inoltre un scopo di compatibilità applicazione importante: durante il software di accesso facilitato, ad esempio tastiera su schermo funziona anche sul desktop che le applicazioni in esecuzione intestato utenti diversi, è presente un software di terze parti che non. Che il software non funziona correttamente quando viene visualizzata una finestra di dialogo l'elevazione dei privilegi, cui appartiene l'account di sistema locale, sul desktop dell'utente.
Il meccanismo di integrità di Windows e la funzionalità UIPI sono stati progettati per creare una barriera protettiva intorno applicazioni con privilegi elevate. Uno dei suoi obiettivi originali era per impedire agli sviluppatori di software di prendere i tasti di scelta rapida e sfruttare le applicazioni di già elevato per eseguire attività amministrative. Un'applicazione in esecuzione con diritti utente standard è Impossibile inviare sintetico mouse o input da tastiera in un'applicazione con privilegi elevata per renderlo di eseguire la linea o inserire il codice in un'applicazione con privilegi elevata per eseguire operazioni amministrative.
Per protected modalità Internet Explorer, che rende più difficile per il malware che infetta un'istanza di Internet Explorer per modificare le impostazioni di account utente, ad esempio, per configurarsi per avviare ogni volta che l'utente effettua l'accesso in esecuzione in Windows Vista sono stati utilizzati meccanismo di integrità di Windows e la funzionalità UIPI. Durante un obiettivo di progettazione prima di Windows Vista per utilizzare le elevazioni con il desktop protetto, il meccanismo di integrità di Windows e la funzionalità UIPI per creare una barriera impermeable, chiamato un confine di protezione, tra software in esecuzione con diritti utente standard e diritti amministrativi, due motivi impedito tale obiettivo viene raggiunto ed successivamente interrotta: compatibilità utilizzabilità e applicazione.
Figura 1 Mostra nome. ’s the di fi eseguibile
Considerare innanzitutto la finestra di dialogo l'elevazione dei privilegi a se stesso. Visualizza il nome e l'editore del file eseguibile principale cui verrà concesso diritti amministrativi. Sfortunatamente, mentre il maggior numero di autori o distributori di software una firma digitale del codice, vi sono quelli che non sono, e non esistono molte applicazioni meno recenti che non sono firmati. Per il software non è firmato, la finestra di elevazione visualizza semplicemente nome file dell'eseguibile, che rende possibile per il malware già in esecuzione in un account di utenti e che del controllo di un'elevazione di un'installazione di applicazione Setup.exe senza segno, ad esempio, per sostituire il file eseguibile con un file Setup.exe dannoso senza che l'utente in grado di comunicare (vedere la Figura 1 ).
In secondo luogo, la finestra di dialogo non informare l'utente quali DLL l'eseguibile verrà caricata una volta che viene avviato. Se il file eseguibile si trova in una directory sotto il controllo dell'utente, malware in esecuzione con i diritti dell'utente standard può sostituire qualsiasi DLL nel percorso che verrà utilizzato il software associato. In alternativa, software dannoso potrebbe utilizzare funzionalità side-by-side da affinché il file eseguibile caricare versioni dannose di applicazione o DLL di sistema. E a meno che un utente fa clic vigilantly con il pulsante Dettagli e attentamente esaminate il percorso indicato per l'eseguibile di elevazione, malware possibile copiare il file eseguibile in una posizione denominata allo stesso modo, ad esempio, \ProgramFiles\Vendor\Application.exe (si noti lo spazio manca nel quale deve essere "Programmi"), in cui è possibile controllare quali DLL i carichi di applicazione. Nella Figura 2 , È stato copiato un componente di Microsoft Network Monitor nella directory C:\ProgramFiles creati dall'utente controllabile dall'utente e avviata.
Nella figura 2 Copia Launched di componente di Microsoft Network Monitor.
Infine, per garantire la compatibilità dell'applicazione, le applicazioni con privilegi elevate condividono stato sostanziale con l'ambiente utente standard che un'applicazione dannosa può eseguire influenzano il comportamento di un'applicazione con privilegi elevato. L'esempio clearest è profilo del Registro di sistema dell'utente, HKEY_CURRENT_USER (HKCU). Che viene condiviso dal momento che gli utenti si aspettano le impostazioni e le estensioni che registrano come utente standard per funzionare in applicazioni con privilegi elevate. Malware è in stato di utilizzare le estensioni di shell registrate in HKCU per caricare nelle applicazioni con privilegi elevate che utilizzano uno qualsiasi della shell l'esplorazione delle finestre di dialogo, quali Apri e Salva. Altri tipi di stato sono inoltre condivisi, in particolare lo spazio dei nome oggetto di base nomi, cui applicazioni sincronizzazione vengono creati e condivisi di oggetti di memoria. Malware potrebbe sfruttare tale condivisione per manipolare un oggetto di memoria condivisa utilizzato da un'applicazione con privilegi elevata, ad esempio, per compromettere l'applicazione e quindi il sistema.
Come per del meccanismo di integrità di Windows, l'efficacia, come una barriera è limitato dai problemi l'elevazione dei privilegi di cui che ho accennato, ma presenta anche limitazioni dovute alla compatibilità delle applicazioni. Funzionalità UIPI non impedire l'utente standard di applicazioni da disegno sul desktop, qualcosa che può essere utilizzato per ingannare l'utente di interagire con le applicazioni con privilegi elevate in modo che concede diritti di amministrazione di software dannoso. Meccanismo di integrità di Windows non flusso anche attraverso la rete. Un'applicazione di utente standard in esecuzione in un conto PA avranno accesso alle risorse di sistema in un sistema remoto in cui tale account PA dispone di diritti amministrativi. Indirizzamento di queste limitazioni ha implicazioni di compatibilità dell'applicazione principale. Detto questo, che si sta costantemente esaminando modi per migliorare la protezione del sistema, ad esempio, miglioramento della protezione modalità IE mentre allo stesso tempo problemi di compatibilità delle applicazioni di indirizzamento e utilizzare strettamente agli sviluppatori di software.
In questo modo, la quantità contro i malware ottenere? quando si esegue un account di Windows Vista PA con UAC attivato Tenere in primo luogo, presente che per qualsiasi per rilevante, software dannoso ottenere nel sistema e avviare l'esecuzione in primo luogo. Windows dispone di numerose funzionalità di difesa in profondità, tra cui protezione esecuzione programmi, indirizzo spazio carico Randomization (ASLR), Internet Explorer di modalità protetta, 8 di Internet Explorer SmartScreenFiltro e Windows Defender che consentono di impedire malware di recupero del sistema e in esecuzione.
Come per il caso in cui malware in qualche modo riesce a ottenere su un sistema, perché gli autori di malware (ad esempio legittimi per sviluppatori) sono presunti gli utenti eseguono con amministrazione diritti, la maggior parte dei software dannoso non funzionerà correttamente. Che singolarmente può essere considerata un vantaggio di protezione. Tuttavia, potrebbe essere possibile ottenere diritti amministrativi la prima volta all'utente i vengono estesi malware che viene utilizzato in un sistema e che è progettato per sfruttare le opportunità, ma non necessario attendere un elevazione "reale" poiché è possibile precipitate che sarebbe ingannare anche più gli utenti consapevoli protezione anche il software dannoso. Ho dimostrato pubblicamente come software dannoso può manipolare il processo di elevazione in mio Elementi interni UACe Limiti di protezione di Windowspresentazioni (la demo è minuto 1: 03 in parlare di limiti di protezione). Tenere presente però che se malware viene avviato in esecuzione, è possibile eseguire la maggior parte delle operazioni che il malware desidera eseguire con diritti di utente standard è sufficiente, compresi configurazione in modo da eseguire ogni volta che l'utente effettua l'accesso, furto o l'eliminazione di tutti i dati dell'utente o anche che diventi parte di un botnet.
Che cos'è diverso in Windows 7
Ho accennato alcune operazioni in Windows 7 che ora possono essere eseguite dagli utenti standard, ma come il blog E7 post sul controllo dell'account utente descritta, è anche riconosciuto che si potrebbe rendere l'esperienza Windows più uniforme senza compromettere gli obiettivi del controllo dell'account utente. Molti utenti lamentato una riduzione del fatto che Windows Vista spesso richiede diritti amministrativi quando si esegue comuni operazioni di gestione del sistema. È nel nostro interesse migliore, perché è di clienti, per rendere Windows funziona anche per gli ambienti utente standard. Tuttavia, richiede l'elevazione dei privilegi non informare o incoraggiare per effettuare questa operazione, ma obbligare gli utenti a fare clic una seconda volta tramite una finestra di dialogo non leggere la maggior parte degli utenti. Windows 7, pertanto, impostare per ridurre al minimo tali richieste dall'esperienza di Windows predefinita e abilitare gli utenti che eseguono come agli amministratori di controllare l'utilizzo del prompt.
A tale scopo, il sistema è refactoring ulteriormente tale che un utente con diritti utente standard può eseguire più attività, e che è stato ridotto il numero di richieste in diversi scenari multi-prompt (ad esempio, installare un controllo ActiveX in Internet Explorer). Windows 7 introduce anche due nuovi UAC modalità operative che sono selezionabili in una nuova finestra Configurazione di UAC (vedere la Figura 3 ). È possibile aprire la finestra di dialogo verrà al Pannello di controllo, fare clic su account utente, fare clic su account utente e quindi facendo clic su Impostazioni controllo account utente di modifica. (È possibile anche ottenere al facendo clic sul collegamento modifica quando notifiche visualizzato nella finestra di una richiesta di elevazione oppure passare attraverso il centro di azione.)
Nella figura 3 due nuove UAC modalità operative che sono selezionabili in un nuovo UAC configurazione finestra di dialogo.
L'impostazione predefinita, illustrato nella Figura 3 , è uno dei nuovi livelli. A differenza di sempre notifica, che è la selezione nella parte superiore del dispositivo di scorrimento ed è identica alla modalità predefinita in Windows Vista, l'impostazione predefinita Windows 7 richiede all'utente solo quando un eseguibile di Windows non richiede l'elevazione dei privilegi, il comportamento per le elevazioni non Windows è lo stesso, come in Windows Vista.
La posizione del dispositivo di scorrimento successiva verso il basso è la seconda nuova impostazione, con la stessa etichetta, ad eccezione con "(non dim desktop)" aggiunto a esso. L'unica differenza tra che e la modalità predefinita è che richiede verificano sul desktop dell'utente anziché sul desktop protetto. Il vantaggio che è che l'utente può interagire con il desktop durante una richiesta non è attiva, ma come già accennato, il rischio è che il software di accesso facilitato di terze parti potrebbe non funzionare correttamente nella finestra di dialogo richiesta.
Infine, la posizione del dispositivo di scorrimento inferiore disattiva completamente le tecnologie di controllo dell'account utente, in modo che tutto il software in esecuzione con un account PA viene eseguito con diritti amministrativi completi, la virtualizzazione di file di sistema e del Registro di sistema sono disattivati e protetta di Internet Explorer modalità è disattivata. Sebbene non esistano visualizzare messaggi con questa impostazione, la perdita di Internet Explorer di modalità protetta è uno svantaggio significativo questa modalità.
-Promozione automatica
Il motivo che l'elevazione dei file eseguibili di Windows (la maggior parte) nelle due impostazioni intermedio non comportare un messaggio è che gli eseguibili di Windows "i vengono estesi automaticamente" sistema. In primo luogo, che cos' Windows definire come un eseguibile di Windows in questo contesto? La risposta dipende da diversi fattori, ma devono contenere due cose: devono essere firmato digitalmente dall'autore di Windows, che è il certificato utilizzato per firmare tutto il codice incluso in Windows (non quello sufficiente siano firmati da Microsoft, in modo che non è incluso nel Windows software Microsoft non verrà incluso); e deve trovarsi in uno dei pochi di directory "protetto". Una directory protetta è uno che non è possibile modificare gli utenti standard e includono %SystemRoot%\System32 (ad esempio, \Windows\System32) e la maggior parte delle relative sottodirectory, % SystemRoot%\Ehome, così come alcune delle directory in % programmi % che includono Windows Defender e Windows Journal.
Inoltre, a seconda se il file eseguibile un exe normale, MMC.exe o un oggetto COM, all'elevazione automatica ha regole aggiuntive. File eseguibili di Windows (definiti come solo) dei vari exe automatico-elevare se si specifica la proprietà di autoElevate nel relativo manifesto, che è anche in cui le applicazioni indicare al controllo dell'account utente che desiderano diritti amministrativi. Ecco il Sysinternals Sigcheckutilità di dump il manifesto per Task Manager (Taskmgr.exe) con il comando "sigcheck – m – % systemroot%\system32\taskmgr.exe", che mostra che Task Manager viene scelto nell'elevazione automatica, come illustrato nella Nella figura 4 .
Nella figura 4 la proprietà autoElevate
Eleva automaticamente un metodo semplice per trovare file eseguibili in una directory della struttura è utilizzare l'utilità di stringhe di Sysinternals con un comando simile al seguente:
strings –s *.exe | findstr /i autoelevate
È anche disponibile un elenco hardcoded dei file eseguibili di Windows che consente di ottenere il trattamento acquisire più automatico. Questi eseguibili di Windows anche spediscono esterni Windows 7 e devono essere in grado di eseguire su sistemi di basso livello in cui la presenza della proprietà autoexecute può causare un errore. L'elenco include Migwiz.exe, la procedura guidata di migrazione, pkgmgr.exe, il package manager e Spinstall.exe, il programma di installazione Service Pack.
Microsoft Management Console, MMC.exe, ottiene un trattamento speciale dal momento che ospita numerose il sistema Gestione snap-in, che vengono implementati come DLL. MMC.exe viene avviata con una riga di comando che specifica un file .MSC contenente lo snap-in MMC snap-in è caricare. Quando Windows rileva MMC.exe richiedere diritti amministrativi, che avviene quando viene avviato da un account PA convalida che MMC.exe è un eseguibile Windows e quindi controlla il .MSC. Per essere idoneo per l'elevazione dei privilegi automatico, il file .MSC deve soddisfare i criteri eseguibili di Windows (con segno da Windows in un luogo sicuro) ed è necessario essere elencato su un elenco interno di .MSCs acquisire più automatico. Tale elenco include praticamente tutti i file .MSC forniti con Windows.
Gli oggetti COM infine possono specificare la necessità di diritti amministrativi con un valore del Registro di sistema la chiave del Registro di sistema mediante la creazione di una sottochiave denominata elevazione con un valore denominato Enabled è impostato su 1. Figura 5 illustra la chiave del Registro di sistema per Copia/Sposta/rinomina/Elimina/collegamento oggetto della shell che Explorer utilizza quando un utente esegue un'operazione di file del sistema in un percorso relativo account non dispone di autorizzazioni per.
Nella figura 5 chiave del Registro di sistema shell
Per un oggetto COM da automatico-con privilegi elevati, è necessario inoltre deve essere un eseguibile di Windows e deve è stata istanziata da un eseguibile di Windows. (Da contrassegnare per l'elevazione automatica, anche se non necessario l'eseguibile di creare un'istanza). Quando si utilizza Explorer per creare una directory nella directory % programmi % da un account PA, ad esempio, l'operazione verrà automaticamente-elevare perché l'oggetto COM richiede l'elevazione dei privilegi, DLL dell'oggetto è un eseguibile Windows ed Esplora è un eseguibile Windows.
-Promozione automatica e obiettivi del controllo dell'account utente
Che cos'è così dietro tutte le regole speciali all'elevazione automatica? Scelta da elevare a automatico e cosa non per è stato guidato per la domanda "È uno sviluppatore di applicazioni inavvertitamente o trivially variano a seconda dei diritti amministrativi sfruttando elevare a automatica?" Poiché cmd.exe può essere utilizzato per eseguire script batch tramite gli argomenti della riga di comando e agli utenti medi non necessario per eseguire il prompt dei comandi con privilegi elevati (la maggior parte non conosce anche quali un prompt dei comandi è), non è stato manifesta automatico-l'elevazione. Analogamente, Rundll32.exe, il file eseguibile che gli host controllano Pannello plug-in non automatico-elevare nella versione finale di Windows 7 poiché l'elevazione dei privilegi non è obbligatorio per qualsiasi attività di gestione comuni e se è automatico-con privilegi elevati, la capacità di host arbitrari DLL tramite la riga di comando potrebbe causare uno sviluppatore richiedere i diritti di amministratore senza sapere.
Gli utenti finali sono stato chiedere vengano consentono di aggiungere applicazioni arbitrarie per l'elevare automaticamente elenco dopo la versione di Windows Vista beta. Il motivo per genere citato è che alcune applicazioni di terze che utilizzano spesso impone vengano costantemente scorrere una richiesta di elevazione come parte della loro routine giornaliero. Windows 7, come Windows Vista, non fornisce una funzionalità di questo tipo. È comprendere il disponibile e potrebbe esserci un motivo valido che non è possibile eseguire tali applicazioni senza diritti amministrativi, ma il rischio è troppo elevato che gli sviluppatori di evitare correzione del codice per lavorare con i diritti utente standard. Anche se ottenere l'elenco di quali applicazioni con privilegi elevati automatica solo sono accessibili da parte degli amministratori, gli sviluppatori potrebbero semplicemente programma di installazione loro applicazione, che richiede l'elevazione dei privilegi occasionale, per aggiungere la propria applicazione all'elenco. È invece stato scelto di investire in formazione e stretta collaborazione con gli sviluppatori di applicazioni per assicurarsi che i propri programmi funzionino correttamente come utente standard.
Più persone è osservato che è possibile per software di terze parti in esecuzione con un account PA con diritti utente standard per usufruire di elevazione dei privilegi automatico per ottenere diritti amministrativi. Ad esempio, possibile utilizzare il software di WriteProcessMemoryAPI per inserire il codice in risorse e CreateRemoteThreadAPI per eseguire tale codice, una tecnica chiamata DLL inserimento. Poiché il codice è in esecuzione in Explorer, che è un eseguibile di Windows, può sfruttare gli oggetti COM che consente di elevare a automatico, come l'oggetto di copia/Sposta/rinomina/Elimina/collegamento, per modificare le chiavi del Registro di sistema di sistema o di directory e assegnare i diritti amministrativi di software. Mentre true, procedura richiesta intento intenzionale, non è semplice e non è pertanto qualcosa siamo convinti che gli sviluppatori legittimi potrebbero optare per e correggere il software per l'esecuzione con diritti utente standard. Infatti, si consiglia rispetto a qualsiasi sviluppatore dell'applicazione richiede una dipendenza il comportamento di elevazione dei privilegi nel sistema e test gli sviluppatori di applicazioni software in esecuzione in modalità utente standard.
L'osservazione di completamento è che il malware può ottenere diritti amministrativi utilizzando le stesse tecniche. Anche questo è vero, ma come è evidenziato precedenti, software dannoso può compromettere il sistema tramite nonché le elevazioni richiesto. Dal punto di vista di software dannoso, modalità predefinita di Windows 7 è non è più o meno sicura rispetto alla modalità sempre notifica ("Vista modalità") e software dannoso si presuppone che i diritti amministrativi ancora interromperà quando esegue in modalità predefinita di Windows 7.
Conclusione
Per riepilogare, controllo dell'account utente è un insieme di tecnologie che ha un obiettivo globale: per consentire agli utenti di eseguire come utenti standard. La combinazione di modifica per Windows che consentono agli utenti standard di eseguire altre operazioni che precedentemente richiesti diritti amministrativi, la virtualizzazione dei file e del Registro di sistema e viene richiesto di tutte le operazioni per realizzare questo obiettivo. La riga inferiore è che la modalità di controllo dell'account utente di Windows 7 predefinita rende più uniforme un utente ’s PA riducendo richieste, consente di controllare quale software legittimo possibile modificare il proprio sistema e ancora esegue obiettivi ’s UAC di abilitazione di altri software eseguire senza diritti amministrativi e continuare a spostare l'ecosistema di software a software di scrittura che funziona con diritti utente standard.
Mark Russinovich è un Technical Fellow della Platform and Services Division di Microsoft.