Vista sisukorda

icon Koju1 icon Koju2 icon Sisukord icon Arvutiabiicon Koolitus & help

Minu lugu...

Windows Vista turvalisuse tõstmine.

NB! Windows Vista ja Windows XP jaoks loodud tasuta viiruse -ja pahavaratõrjumise programmidest, tulemüüridest ja linkidest ning soovitustest loe siit!

I. Kasutajakontode (User Accounts) kaitsmine ja lapsevanemate kontrolli (Parental Controls) kasutamine:

Traditsiooniliselt võideldakse turvaohtudega tarkvarainstrumentide ja opsüsteemi enda komponentidega, näiteks nagu tulemüürid ja pahavara tõrje programmid. Ka Windows Vistas on olemas Windows Firawall (tulemüür), Windows Defender (pahavara tõrje programm) ja muud turvalisuse tagamise vahendid.
Peale selle on Windows Vistas tehtud fundamentaalsed muudatused, mis on seotud kasutajakonto kontrolliga ((User Account Control (UAC)) ja vanemate kontrolliga (Parental Controls), et realiseerida turvalisuse tagamist ning juhtimist.

NB! Kuid enne Windows Vista UAC ja tema teiste turvavahendite tutvustamist tahaksin ära märkida kõikide Windows versioonide turvamise esmased reeglid:

Märkus: Kui osa pilte ei ilmu siin dokumendis päris terviklikult (täissuuruses), siis klõpsa oma brauseriakna tööriistariba nupule uuenda1 (Refresh-värskenda) või siis nupule uuenda2 (Reload-lae ümber) ja kõik saab korda.

User Account Control—sissejuhatus:

User Account Control (UAC)—see kasutajakontode kontrollimise mehhanism on loodud ikka selle Internetist tuleva ohuga võitlemiseks. Wnidows Vistas on võrreldes Windowsi eelmiste versioonidega kasutajakontode kasutamise ja konfigureerimise viisi tunduvalt muudetud. Administraatori õigusi on vaja vähem kasutada ja palju hoolikamalt tuleb defineerida standartse kasutaja ja administraatori reźiime.

Administraatori õiguste kasutamise vajaduse vähenemine:

Windowsi varasemates versioonides olid enamus kasutajakontosid konfigureeritud kui lokaalse ADMINISTRAATORITE grupi liikmed ja seda oli vaja teha selleks, et kasutajad saaksid installida, uuendada ja käivitada tarkvaraprogramme. Samuti nõuti varem mõnede põhitegevuste korral, näiteks klõpsamine tegumirea kellale, et vaadata kalendrit, administraatori õigusi (privileege) ja ka see oli põhjuseks, et miks tavakasutajad konfigureeriti kui lokaalsed administraatorid. Kuid kasutajakontode konfigureerimine kui lokaalseteks administraatoriteks tegi kompuutri haavatavamaks igasuguse võrgust tuleneva ohu suhtes ja ka ses suhtes, et kasutaja võis kogemata teha süsteemile kahjulikke muudatusi.

Windows Vistas aga töötavad kõik kasutajakontod tavakasutaja (standardkasutaja) õigustega ehk privileegidega, mis ei nõua põhiülesannete täimisel enam administraatori õigusi. Seda tehakse User Account Control (UAC) abil, mis nõuab, et kõik kasutajad (ka administraatorid) peavad käivitama programme ja ülesandeid standartse kasutajakonto all, mis seega vähendab administraatori privileegide rakendamise vajadust.

PS! Näiteks Windows XP's saabki paljusid programme jooksutada ainult lokaalse administraatori konto alt, sest Windows XP programmid kasutavad tavaliselt administratiivõigusi, et tegutseda normaalsel viisil.

Üheks Windows Vista turvalisuse tõstmise võtmetehnoloogiaks ongi see User Account Control (UAC), mis täidab kahte baaseesmärki. Esiteks, UAC eraldab ülessanded, mida Sa võid Vistas täita, kaheks grupiks: nendeks ülessanneteks, mida võib täita tavakasutajate poolt ja nendeks, mida võivad täita ainult administraatorid. Teiseks, UAC põhjustab seda, et isegi administraatorite kasutajakontod töötavad enamiku ajast kui standartsed kasutajakontod. Kui on vaja täita administraatori tasemega ülessannet, siis saab kasutaja hoiatusakna, kus ta saab siis ajutiselt suurendada oma privileege, et oma üksikut ülessannet lõpule viia.

Aga millised ülessanded kuuluvad igale grupile? Uue programmi installeerimine, süsteemi aja ja kuupäeva muutmine või juurdepääs Control Panel'i paljudele programmidele kuuluvad administraatorite-tasandi grupile. Vahepealseid, vähemolulisi ülessandeid nagu energiajuhtimise seadistamine või uue printeri lisamine võivad täita kõik kasutajad. Microsoft lisab automaatselt kilbikujulise ikooni nende kasutajaliidese elementide ette, milledele klõpsamine tingib kasutajakonto privileegide eskaleerimist (laiendamist). Allolevalt pildilt võibki näha ühte sellist kilbiikoonikest, seal me võime muuta ajatsooni ilma et ilmuks hoiatusaken, aga kui me proovime muuta kuupäeva või kellaaega, siis ilmub UAC dialoogiaken, kus me peame enda soovi kinnitama:

Ilmub UAC aken

UAC dialoogiaken töötab erinevatel viisidel, olenevalt sellest, et millist tüüpi kasutajakontot Sa omad, st millise kasutajakonto all Sa kompuutrisse sisse logisid. Standartne kasutaja (tavakasutaja), kui ta püüab täita administraatori-tasemega ülessannet, peab ilmuvas UAC dialoogiaknas esitama administraatori kasutajanime ja parooli ja siis klõpsama nupule Submit (või OK):

uac

Samal ajal, see administraatori-tasandil kasutaja, kes töötab vaikimisi nn Adminstraatori Nõusoleku Reziimil (Administrator Approval Mode), saab natuke erineva ja vähem sundiva UAC dialoogiakna, mida kutsutakse nõustumise dialoogiaknaks. Selline aken küsib lihtsalt, et kas Sa soovid oma ülesannet jätkata ja kui soovid, siis klõpsa nupule Continue:

continue

Esineb ka kolmandat tüüpi UAC dialoogiaknaid, mis ilmuvad iga kord, kui Sa üritad käivitada programmi, mis ei ole digitaalselt signeeritud või kinnitatud ja ta ilmub vaatamata sellele, et kas Sa oled administraator või ei ole seda. Sellises akna puhul mõtle, et kas Sa ikka tead seda programmi ja kas Sa oled teda ka varem käivitanud, kui kõik tundub olevat korras, siis klõpsa Allow, kui aga midagi tundub olevat kahtlast, siis klõpsa Cancel ning käivita anti-spioonivara -ja viirusetõrjeprogrammid:

autoriseerimata

Mõlemal juhul muutub ekraanipilt ja ta jääb ligipääsmatuks seniajaks kuni Sa ei vasta sellele UAC dialoogiaknale. Tegelikult teeb süsteem Sinu töölauast ülesvõtte ja läheb nn Secure Desktop reźiimi ja esitab seejärel Sulle selle UAC dialoogiakna. Sa ei saa midagi ette võtta enne kui Sa lõpetad oma "suhtlemise" dialoogiaknaga:

desktop

Selgitan veelkord seda standardkasutaja ja administraatori reźiimide defineerimist:

Windows Vistas on kaks kasutajate tasapinda:

Windows Vistas saab paljusid põhiülesandeid täita standartse kasutajakonto alt ja seega peaksid turvalisuse seisukohast kasutajad ennast sisse logima kui standardkasutajad. Iga kord kui kasutaja üritab täita ülesannet, mis nõuab administraatori luba, ilmub User Account Control (UAC) dialoogiaken , mis sisaldab hoiatust. See et kuidas see hoiatusaken töötab, sõltub juba sellest, et kuidas kasutaja ennast kompuutri käivitamisel sisse logis: kas administraatorina või siis standardkasutajana (lihtkasutajana).


uac

Ka siin, kui selline aken ilmub ootamatult (st siis, kui ta ilmuma ei peaks) ja hakkab administraaatori privileege lunima, siis võib tegu olla kahjuliku programmi või protsessiga , mis üritab endale välja kaubelda administraatori privileege, et siis mingit "käkki" kokku keerata, sel juhul klõpsa nupule Cancel.

Administraator töötab standartse kasutajana seni kuni mingi programm või süsteemikomponent nõuab administraatori mandaati, et teda saaks käivitada. Windows Vista määrab juba ise, et kas mingi programmi käivitamiseks või ülesande täitmiseks on vaja administraatori või siis lihtkasutaja privileege.

Sellist administraatori loa andmise protsessi administraatorile või standartsele kasutajale enne kui nad võivad käivitada mingi programmi või siis täita mingit ülesannet administraatori reźiimis, nimetatakse elevation'iks ja seda vahendit nimetatakse Admin Approval Mode-ks (Admin Nõusoleku Reźiim).
Elevation suurendab turvalisust ja vähendab kahjuliku tarkvara mõju järgmiselt:

Mis on süsteemi sisseehitatud Administraator (built-in Administrator)?

Windows Vista ei loo vaikimisi Administraatori kasutajakontot. Selle asemel konfigureeritakse see kasutajakonto, mis luuakse esimesena Windows Vista interaktiivse installeerimise käigus kui administraatori-tasandil konto (järgmistele loodavatele kasutajakontodele kehtestatakse vaikimisi standartkasutaja staatus). Ehk seda lihtsamalt õeldes: Kui me oleme kompuutri omanikud ja installeerime Vista ning loome installeerimise käigus vastavas interaktiivses aknas esimese kasutajakonto, siis määratakse vaikimisi (st automaatselt) ainult sellele kontole administraatori õigused. Kui me loome hiljem pärast installeerimist uued kasutajakontod (näiteks lastele), siis kehtestatakse nendele vaikimisi standartkasutaja (lihtkasutaja) õigused. Seejärel me võime mingi uue standartkasutaja (nt oma abikaasa) viia üle administraatorite gruppi, st määrata ka temale administraatori õigused ja selle tulemusel omab ka tema adiministraator-tasandil kasutajakontot ning sellest tulenevaid privileege/õigusi.
Seda sisseehitatud (bulit-in) Administraatori kontot ei näe me kusagil, ei sisselogimise ekraanil ega ka Control Panel'i akna vastavate kategooriate all, st ta on meie eest ära peidetud. Miks? Sest tal on vaikimisi piiramatud õigused kompuutri üle, näiteks talle ei ole kehtestatud isegi seda Admin Approval Mode't ja kompuutri turvalisuse eesmärgil ongi antud sisseehitatud admin konto tavakasutaja eest varjatud. Loomulikult saab sellele sisseehitatud kasutajakontole ligi ja teda ka konfigureerida...
Tekib õigustatud küsimus, et milleks seda kuramuse sisseehitatud Administraatori kontot üleüldse vaja on kui ta on varjatud ja teda on keerukas ja ohtlik kasutada? Ta on siiski mõningate spetsiifiliste installeerimiste ja teostatavate ülessannete jaoks vajalik. Kuid üldjuhul ei maksa teda näppida ja konfigureerida—see võib kurvalt lõppeda!

Ülesse

User Account'ile tehtud muudatused:

Kasutajakontodele ja privileegidele on tehtud hulga muudatusi. Need muudatused on mõeldud veendumaks, et kasutaja ja administraatori ülesanded on õieti ja kindlalt eraldatud ning et kõiki ülesandeid, mis mõjutavad süsteemi minimaalselt ja ei oma süsteemile ohtu, võib täita standartse kasutajakonto alt. Administraatorid võivad veel ka omakorda neid privileege piirata kui nad seda vajavad.

Standardkasutaja privileegid/õigused:

Need on:

Märkus: See tähendab seda, et kui tavakasutaja hakkab teostama neid ülalloetletud ülessandeid, siis ei ilmu see Windows Security (UAC) dialoogiaken, st standardkasutaja ei pea nende teostamiseks vajama administraatori privileege.

Lisaks on mõned hooldamise ülesanded nüüd automaatselt planeeeritud nii et kasutaja ei pea neid ise käsitsi algatama:

Et tavakasutajad saaksid lihtsamalt teha kindlaks, et kas nad võivad täita mingit ülesannet või ei või, selleks kasutab Windows Vista "kilbi" ikooni, et märgistada sellega ülesandeid, mis nõuavad administraatori privileege:

kilbiikoonid

Märkus: Üheks suureks miinuseks nende User Account Control (UAC) dialoogiakende puhul on see et nad kipuvad välja kargama väga tihti ja iga meie tühisemagi tegevuse peale, näiteks mingi mittevajaliku faili kustutamise peale...; võib olla on Vista müügiversioonis seda viga korrigeeritud. Kuid nende UAC dialoogiaknde ilmumist ja muud temaga seonduvat saame ka ise korrigeerida, sellest tuleb ka edaspidi juttu.

Failisüsteem ja Registri virtualiseerimine (Registry Virtualization):

Selle UAC'ga on seotud veel mõned huvitavad ja kasulikud vahendid. Tavalises Windows XP opsüsteemiga kompuutris anti programmidele, mis sinna installeeriti, täielik kontroll süsteemi üle ja nad võisid lugeda ning kirjutada andmeid nii Registrisse (Registry) kui ka failisüsteemi. Windows Vista's on aga Register ja failisüsteem lukustatud. UAC on varustatud Registry ja failisüsteemi virtualiseerimise servisega, mis suunab lugemise ja kirjutamise operatsioonid Registri ning failisüsteemi kaitstud osast üle mittekaitstud alasse, mis asub kasutaja profiilis (Näiteks: C:\Users\ahv1\AppData\Local\VirtualStore\Program Files\<Programmikaust>).

Ühesõnaga kasutab Windows Vista tarkvara turvakontrolli, et teha kindlaks kas mingi programmi või protsessi käivitamiseks on vaja kõrgendatud privileege või ei ole seda vaja.
Kui programmid on kirjutatud Windows Vista jaoks, siis standardkasutaja reźiimis kirjutab "sõnakuulelik" programm andmefailid ainult mittesüsteemi alasse (st operatsioonisüsteemist väljapoole). Kui antud programmi jaoks on vaja administraatori õigusi, et täita spetsiifilist ülesannet, peab ta selleks nõudma endale kõrgendatud õigused, et teostada oma ülesanne. Kõikide teiste ülesannete täitmiseks ei pea see programm kasutama kõrgendatud privileege.

Kui programmid ei ole kirjutatud Windows Vista jaoks, siis käivitab Windows Vista nad vaikimisi kui standartkasutaja programmid ja kasutab faili ja registri virtualisatsiooni, et anda neile omaenda "virtuaalne" ressursside keskond mida nad üritavad muuta. Kui võõras programm üritab kirjutada andmeid süsteemi sisse, siis annab Windows Vista talle enda faili või registri väärtuse koopia. See koopia saab olema siis antud programmi omaenda privaatseks faili või registrikirjeks ja seda selleks, et ta võiks korralikult funktsioneerida.

Ülesse

User Account Control´i (UAC) täielik või osaline väljalülitamine ja tema seadistamine:

User Account Control (UAC) funktsioon on loodud ikkagi meie kompuutri kaitsmiseks igasuguste turvaohtude eest.
Windows Vista kasutab vaikimisi Admin Approval Mode't ja see kehtib PC kõikidele kasutajatele. Arvatavasti hakkavad need väljakargavad UAC dialoogiaknad mõnele kasutajale närvidele käima ja tema tööd häirima ning ta võib soovida sellist mehhanismi välja lülitada. Tegelikult, kui seda UAC mehhanismi õieti seadistada, siis ei hakkagi tema dilaloogiaknad nii tihti välja hüppama ja meid segama.

HOIATUS! See User Account Control (UAC) funktsioon on loodud ikka selleks et kaitsata Sinu kompuutrit erinevate ohtude ja viperuste eest ning seega ma ei soovitaks seda vahendit täielikult välja lülitada.
Aga antud UAC'i saab ka nii seadistada, et tema dialoogiaknad ilmuksid meie ekraaanile võimalikult vähem ja kohe allpool tulebki juttu tema reguleerimisest, osalisest ja täielikust väljalülitamisest.

OLULINE Vot siin tahaks ära mainida selle paljuvihatud ja tüütu Winows Vista UAC ühe vägagi kasuliku ja hea omaduse, nimelt kui ta on Sul sisse lülitatud, siis on ta vägagi efektiivne ses suhtes, et ta ei lase rootkitte süsteemi sisse. Seega ära lülita UAC'i välja või siis lülita ta ainult osaliselt välja kasvõi näiteks TweakUAC programmi abil, millest tuleb siin allpool ka juttu.

Loe nendest rootkittidest siit.

Programmid, mis on kirjutatud Windows Vista jaoks kasutavad User Account Control'i, et vähendada opreatsioonisüsteemile tehtavaid rünnakuid.

Programmid, mis ei ole kirjutatud Windows Vista jaoks, aga on sertifitseeritud ja sobivad uue Windows Vista arhitektuuriga, omavad Windows Vista–Compliant logot. Selline programm võib joosta nii satandart kui ka adminreźiimis, olenevalt sellest, et mis ülesannet ta täidab.

Käivitamise tasemete (Run Levels) seadmine:

Windows Vistas võib programm ette näidata spetsiifilist loa taset, mis on vajalik tema korralikuks funktsioneerimiseks ja selleks, et ta saaks täita ainult autoriseeritud ülesandeid, et vältida kahjulikke rünnakuid.
Windows Vistas on uus vahend, mida kutsutakse Windows Vista Trust Manager´iks (Windows Vista Usalduse Haldur) ja see haldur võib kasutada seda informatsiooni (lubade tasemeid) enne programmi installeerimist, et teha kindlaks kas lubada antud programmi installida. Kui programm ei oma riske, siis võib teda installeerida ilma et genereeritaks turvahoiatust. Kuid siiski kui antud programmi setup fail üritab kirjutada andmeid haavatavasse oblastisse või täita ülessandeid, mis on potentsiaalselt ohtlikud, siis ilmub UAC vastav dialoogiaken, mis kirjeldab potentsiaalseid turvariske ja küsib enne jätkamist Sinu kinnitust.

Application Manifests ja Run Levels on vahendid, mida kasutatakse selleks, et aidata jälgida nõutavaid privileege.
Application Manifests lubab administraatoritel määrata programmidele soovitud turvalubasid ja määrata, et millal hoiatada kasutajat autoriseerimise asjus.

User Account Control ja Admin Approval reźiimis hoiatatakse Sind enne iga ülessande täitmist, mis nõuavad kõrgendatud lubasid ja seda teebki Windows Security dialoogiaken, mis lubab Sul käivitada programmi ainult ühekordseks kasutamiseks. Klõpsa Windows Security dialoogiaknas nupule Allow, et käivitada programm kasutades selleks oma administraatori kontot või klõpsa kasutajanimel, tipi parool ja klõpsa siis Submit, et startida programm juhul kui Sul on standartne kasutajakonto.

Kuid me võime ka ise mingi sagedasti kasutatava programmi või protsessi märgistada nii et nad võivad alati startida kasutades selleks kõrgendatud lubasid/privileege ja ilma et kasutajat oleks enam vaja hoiatada (st sel juhul see Windows Security dialoogiaken ei ilmu).

* Programmifaili puhul tee selleks järgmist:

Compatibility leht

Märkus: Kui Run This Program As An Administrator parameeter on ligipääsmatu, siis tähendab see seda, et antud programmi ei saa sel moel käivitada või ta ei nõuagi siis administraatori privileege või Sa ei ole ennast loginud sisse kui administraator.

* Programmi kiirkorralduse jaoks tee aga nii:

Windows Security dialoogiakna elimineerimine

User Account Control (UAC) ja Admin Approval Mode modifitseerimine:

Administraatorid võivad muuta seda, et kuidas User Account Control ja Admin Approval Mode hakkavad tööle, mitut moodi:

Igaüks nendest ülesannetest on konfigureeritav ja neid võib muuta Local Group Policy´is.

Admin Approval Mode tühistamine, sealhulgas User Account Control (UAC) dialoogiakende väljailmumise keelamine:

Windows Vista kasutab vaikimisi Admin Approval Mode't, et käivitada programmid kõikidele kasutajatele (sealhulgas ka administraatorid) nii nagu oleksid nad standardkasutajad (tavakasutajad). Kuid nii mõnedki kasutajad soovikisid neid UAC dialoogiakende ilmumise sagedust konfigureerida või isegi seda funktsiooni täielikult välja lülitada. Kuid soovitaksin ta siiski rahule jätta ja harjuda tema kohalolekuga, sest siis on Sinu süsteem palju turvalisem. Soovitaksin järgmist:

Et konfigureerida UAC'i või et teda täielikult või osaliselt välja lülitada, selleks saab saab kasutada mitut moodust.

Esimne moodus:

Kõige parem ja täpsem on seda teha Local Security Settings konsoolis.

NB! Windows Vista Home ja Windows Vista Home Premium ei toeta Domain Join and Group Policy'it ja seega ei ole alltoodud secpol.msc käsk neile kättesaadav.
Neile, kes omavad Windows Vista Home või Windows Vista Home Premium versioone, pakun allpool alapealkirja "Viies moodus" all ühte pisikest programmikest, mis teeb selle UAC kas täieliku (mida ma muidugi ei soovita!) või siis osalise väljalülitamise väga lihtsaks....

Lülita Admin Approval Mode välja ja sellega keela igasuguste UAC dialoogiakende ilmumine:

  1. Logi end kompuutrisse kui Administrators grupi liige.

  2. Klõpsa Start - All Programs - Accessories ja siis Run (või vajuta klahve Windows Logo + R)

  3. Tipi secpol.msc ja klõpsa OK.

  4. Vasemas paanis Security Settings alla laienda Local Policies haru ja siis märgista Security Options.

  5. Paremas paanis tee 2x klõps elemendil User Account Control: Run all administrators in Admin Approval Mode.

  6. Klõpsa Disabled ja siis klõpsa OK. Seejärel tuleb teha kompuutri ümberlaadimine.

    NB! Enne ikka mõtle kui seda teed! Kohe allpool on ära toodud ka teised vahendid, et kuidas seda UAC'i võiks reguleerida nii et me ei peaks teda täielikult välja lülitama.

Local Security Settings konsooli akna pilt ja tema ülejäänud UAC parameetrid, mida saab seal seadistada.
Et neid UAC parameetreid näha ja muuta, selleks keri akna paremas pooles allapoole ja tee siis vajalikul UAC parameetril 2x klõps ning muuda:

UAC elimineerimine

Keri siin akna paremas pooles allapoole ja Sa näed järgmisi UAC kaheksat parameetrit:

User Account Control: Admin Approval Mode for the Built-in Administrator Account
Default setting: Not defined (Vaikimisi seadistus: Ei ole defineeritud)
Mida ta teeb: Kehtestab antud Admin Approval Mode (Admin Nõusoleku Reźiim) sisseehitatud Administraatori kasutajakontole. Seda parameeterit ei ole vaikimisi defineeritud seepärast, sest et Windows Vista ei loo vaikimisi Administraatori kasutajakontot. Selle asemel konfigureeritakse see kasutajakonto, mis luuakse esimesena Windows Vista interaktiivse installeerimise käigus kui administraatori-tasandil konto (järgmistele loodavatele kasutajakontodele kehtestatakse vaikimisi standartkasutaja staatus).
Ehk seda lihtsamalt õeldes: Kui me oleme kompuutri omanikud ja installeerime Vista ning loome installeerimise käigus vastavas interaktiivses aknas esimese kasutajakonto, siis määratakse vaikimisi (st automaatselt) ainult sellele kontole administraatori õigused. Kui me loome hiljem pärast installeerimist uued kasutajakontod (näiteks lastele), siis kehtestatakse nendele vaikimisi standartkasutaja (lihtkasutaja) õigused. Seejärel me võime mingi uue standartkasutaja (nt oma abikaasa) viia üle administraatorite gruppi, st määrata ka temale administraatori õigused ja selle tulemusel omab ka tema adiministraatori-tasandil kasutajakontot ning sellest tulenevaid privileege/õigusi.
Seda sisseehitatud (bulit-in) Administraatori kontot ei näe me kusagil, ei sisselogimise ekraanil ega ka Control Panel'i akna vastavate kategooriate all, st ta on meie eest ära peidetud. Miks? Sest tal on vaikimisi piiramatud õigused kompuutri üle ja nagu siinsest aknast on näha, ei ole talle kehtestatud isegi seda Admin Approval Mode 't ning kompuutri turvalisuse eesmärgil ongi antud sisseehitatud admin konto tavakasutaja eest varjatud. Loomulikult saab sellele sisseehitatud kasutajakontole ligi ja teda ka konfigureerida, näiteks kasvõi siinsamas antud parameetri puhul... Näiteks kui me muudame siin selle sissehitatud Administraatori konto vaikimisi seadistusi, siis saame me isegi sellele kõikvõimsale kontole kehtestada palju turvalisema Admin Approval Mode reźiimi.
Tekib õigustatud küsimus, et milleks seda kuramuse sisseehitatud Administraatori kontot üleüldse vaja on kui ta on varjatud ja teda on keerukas ja ohtlik kasutada? Ta on siiski mõningate spetsiifiliste installeerimiste ja teostatavate ülessannete jaoks vajalik. Kuid üldjuhul ei maksa teda näppida ja konfigureerida—see võib kurvalt lõppeda!

User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode
Default setting: Ilmub UAC dialoogiaken, kus küsitakse lihtsalt administraatori nõusolekut.
Mida ta teeb: See määrab, et millist tüüpi UAC dialoogiaken ilmub administraator-tasemega kasutajakontodele siis, kui nad üritavad täita admin-tasemega ülessandeid. Vaikimisi on siin kehtestatud nii, et see UAC hoiatusaken peab välja kargama ja küsima lihtsalt administraatori kinnitust (nõusolekut). Kui me määrame siin No prompt, siis UAC dialoogiaknad ei ilmu. Kui me määrame siin Prompt for credentials, siis ilmub see UAC dialoogiaken ja kasutaja peab sisestama ka administraatori kasutajanime ning parooli.
Seega, kui me oleme kompuutri omanikud või siis kuulume adiministraatorite gruppi ja kui me ei soovi näha neid UAC dialoogiaknaid, siis me võime siin valida parameetri No promt. Kuid veelgi paremaks lahenduseks oleks siin see et kui me oleme ennast administraatorina sisse loginud ja kui me oleme endas kindlad, valida vaikimisi parameeter Prompt for consent asemele hoopis Elevate without prompting parameeter. Mida see tähendab? Sellega ei lülitanud me tegelikult Windows Security Center'ist tulevat UAC hoiatust välja. Ta on ikkagi veel seal ja kõik protsessid, mis Sa käivitad, jooksevad endiselt standartse kasutaja reźiimis. Et selles veenduda, ava näiteks CMD aken ja proovi sealt salvestada mingit faili c:\ kausta. Sulle ilmub seepeale "juurdepääs keelatud" teade. Kuna me aga määrasime siin parameetri Elevate without promting, siis meie poolt käivitatud protsesside puhul, mis nõuavad tõestamist, ei ilmu enam seda UAC dialoogiakent vaid protsessid lubatakse/tõestatakse vaikimisi. Et selles veenduda, tee oma CMD käsurea kiirkorraldusel hiire paremklõps ja vali kontekstmenüüst käsk "Run as Administrator" ja Sa näed, et cmd aken avatakse ilma UAC hoiatusaknata, aga selle cmd akna tiitelreal on kiri, mis teatab, et Sa töötad täielike administraatorite õigustega.

User Account Control: Behavior of the elevation prompt for standard users
Default setting: Ilmub UAC dialoogiaken, kus nõutakse administraatori kasutajanime ning parooli.
Mida ta teeb: See määrab, et millist tüüpi UAC dialoogiaken ilmub standartkasutajatele (tavakasutajatele) siis, kui nad üritavad täita admin-tasemega ülessandeid. Vaikimisi nõutakse neilt administraatori kasutajanime ning parooli. Kui me määrame siin No prompt, siis UAC dialoogiaknad ei ilmu. Kui aga kehtestame siin Prompt for consent, siis kasutaja näeb UAC dialoogiakent.
Kui me töötame oma arvutiga üksi ja oleme endis kindlad, siis võime siin valida No promt.

User Account Control: Detect application installations and prompt for elevation
Default setting: Lubatud (Enabled).
Mida ta teeb: Määrab ära, et kas signeeritud ja mittesigneeritud programmide installeerimise puhul ilmub UAC dialoogiaken või ei ilmu. Vaikimisi ta ilmub. Siin võib valida parameetri Disabled ja siis dialoogiaknad ei ilmu.

User Account Control: Only elevate executables that are signed and validated
Default setting: Enabled
Mida ta teeb: Määrab ära UAC dialoogiakende ilmumise või mitteilmumise ainult signeeritud programmide installeerimise puhul. Vaikimisi see dialoogiaken ilmub. Ka siin võime valida parameetri Disabled või siis Not Defined ja dialoogiaknad ei ilmu.

User Account Control: Run all administrators in Admin Approval Mode
Default setting: Enabled
Mida ta teeb: Määrab, et kas kõikide administraatorite kasutajakontode jaoks kehtestatakse see vajalik Admin Approval Mode reźiim, mis genereerib UAC dialoogiakende ilmumise siis, kui püütakse täita admin-tasemega ülessandeid. Vaikimisi on see reźiim kehtestatud ja las nii jääbki, aga kui Sa oled kompuutri ainus kasutaja ning endas kindel, siis võid ta ka välja lülitada.

User Account Control: Control Switch to the secure desktop when prompting for elevation
Default setting: Enabled
Mida ta teeb: Määrab, et kas ilmub Secure Desktop keskkond siis, kui süsteem genereerib UAC dialoogiaknaid. Vaikimisi genereeritakse. Sellest Secure Desktop keskkonnst oli ülevalpool juba juttu.
Siin võib ta jäädagi Enabled parameetriks, sest kui meil on UAC täielikut või osaliselt välja lülitatud, siis see mehhanism ei käivitugi, aga kui meil on UAC kas täilikut või siis teatud osas sisse lülitatud, siis peaks see Secure Desktop käivituma, sest muidu võib mingi "paharett" Sinu eest ise "vajutada" UAC dialoogiaknas "Yes"...

User Account Control: Virtualize file and registry write failures to per-user locations
Default setting: Enabled
Mida ta teeb: Määrab, et kas UAC tehnoloogia virtualiseerib Registrit ja failisüsteemi legaalsete rogrammide jaoks siis, kui nad üritavad lugeda või kirjutada andmeid süsteemi privaatsest osast. Vaikimisi on see lubatud ja ära lülita seda välja!

Teine moodus (See lülitab UAC täielikult välja ja ole sellega ettevaatlik—ära kasuta seda moodust!):

Seda UAC reźiimi saab kõikide kasutajate jaoks ka lihtsamal teel välja lülitada ja seda võib teha Control Panel'i akna kaudu:

UAC aktiveerimine

Kui me tahame mingile kindlale kasutajale tühistada UAC'i (Ma ei soovita seda teha!):

Kolmas mooduskasutame MsCONFIG System Configuration utiliiti.

Sel teel me lülitame kõikidele UAC'i välja (Ole jälle ettevaatlik sellega—ei soovita!):

Neljas moodus (Lülitab UAC täielikult välja! Ära kasuta seda!) —kasutame Registry Editor'i abi:

HOIATUS! Niisama ei maksaks seal Regisrty Editor'is "laamendada" ja kui siis, siis peab eelnevalt oma olulised asjad arhiveerima (+ arhiveerida tuleks ka register või siis muudetav registrivõti).

Viies moodus (Kõige mugavam ja ohutum/turvalisem...!):

Kui Sa oled administraatori õigustega ja piisavalt kogenud arvutikasutaja, siis võid selle UAC'i lülitada osaliselt välja alltoodud TweakUAC programmi abil. Ära lülita UAC-d täielikult välja!

Lae siitsamast alla üks pisike tasuta programmike nimega TweakUAC, mida ei ole vaja isegi installeerida ja mille abil saad selle UAC'iga teha järgmisi asju:

Programm TweacUAC

Lae ta alla siit!

NB! Nüüd, et veenduda, et kas see TweakUAC programmike ja meie poolt valitud teine raadionupp ikka töötavad turvaliselt, avame selleks Windows Task Manager'i. Tee all tegumirea tühjal kohal paremklõps ja vali käsk Task Manager. Seejärel ava tema sakk (tab) Processes, klõpsa üleval menüüle View ja vali käsk Select Columns (View > Select Columns), keri uues aknas lifti allapoole ja pane linnuke ruutu Virtualization. Sellega ilmub Task Manager'i sakile/vahekaardile Processes veel üks lisaveerg—Virtualization veerg.
Nüüd vaata selles veerus olevaid andmeid (Protsesside ja programmide) ja kui neist osa on tähistatud sõnaga Enabled, siis on kõik korras ja Sinu TweakUAC programm töötab ilusti..., vaata alumist pilti:

Leht Virtualization

NB! Pärast seda kui Sa lülitad selle UAC vahendi välja, ilmub ekraani allaossa paremale teadeteribale Windows Security Center'i väike punane X ikoonike. Et sellest lahti saada, tee järgmist:

Märkus: Neile, kes kasutavad sellist pahavara tõrjumise programmi nagu Ad-Aware, neil tuleb selle TweakUAC programmi kasutamiseks lülitada välja Ad-Aware programmi Ad-Watch vahend.

Neile, kes omavad Windows Vista Home või Windows Vista Home Premium versioone ja kes ei saa kasutada secpol.msc käsku ning kes oskavad Vista registris tegutseda, võivad kasutada ka järgmiste võtmete muutmist:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin"
"ConsentPromptBehaviorUser"
"EnableInstallerDetection"
"EnableLUA"
"EnableSecureUIAPaths"
"EnableVirtualization"
"PromptOnSecureDesktop"
"ValidateAdminCodeSignatures"
"FilterAdministratorToken"

"ConsentPromptBehaviorAdmin" ja "ConsentPromptBehaviorUser" lülitavad UAC välja.

"PromptOnSecureDesktop" hoolitseb töölaua "lukustamise" eest sel ajal kui ilmub UAC aken. Kui muuta tema väärtus 0-iks, siis lülitab ta UAC-i välja tervel kompuutril (kõikide kasutajate jaoks).

Siin oleks mõtekas teha järgmised muudatused:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin"=dword:0 (lülitab administraatoritele UAC-i välja)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin"=dword:1 (lülitab administraatoritele UAC-i jälle sisse)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorUser"=dword:1 (jätab tavakasutajatele UAC-i töösse, kui muudad siin dword:1 väärtuse dword:0-iks, siis saavad ka standartkasutajad töötada ilma selle UAC'ita).

Ülesse

Parental Controls (Lapsevanemate Kontroll):

Kompuutri üheks põhiprobleemiks on ikkagi see tema turvalisuse probleem ja üheks suureks ohuallikaks on meie endi kallid lapsed, kes ei tunne arvutiga seotud ohte nii hästi ja võivad ka lihtsalt hooletusest tekitada mingi turvaprobleemi.
Peale selle on üha tõsisemaks probleemiks saanud see et lapsed kipuvadki kompuutri juures elama (sõõma, puhkama, magama, vaba aega veetma jne)—nad "abilelluvad" omaenda või siis vanemate arvutiga ja muu neid ei huvita (kool, õppimine, sport jms).
Paljud lapsevanemad ei soovi, et nende lapsed mängiksid teatud tüüpi mänge või surfaksid Internetis seal, kus aga süda ja meeled soovivad. Ka ei taheta, et nende lapsed istuksid oma arvuti taga 24 h ööpäevas...
Kui jõnglased saaksid veel seejuures targemaks ja hariksid ennast, siis oleks teine asi, aga vaadates seda üha süvenevat tulistamis -ja kaigastega vehkimise haiglaslikku mängimishullust, siis tekib küll selline tunne, et lähitulevikus on maailm neid debiile ja kõrilõikajaid täis.

Et aidata seda probleemi lahendada, selleks ongi Windows Vistasse lülitatud sisse Vanemate kontrollvahend (Parental Controls).

Parental Controls seadmine (sisselülitamine):

Sa saad vanemate kontrolli kehtestada ainult standartsele kasutajale (standard user account) ja seda ainult lokaalses kompuutris. Sa ei saa seda kehtestada administraatoritele ja Sa ei saa vanemate kontrolli kehtestada ka domeeni kasutajakontole.
See tähendab seda et kui Sinu käes on rahakott (?) ja Sina oled ostnud OEM kompuutri koos elinstalleeritud Windowsiga või siis windoosa ise sinna installeerinud, siis omad Sina administraatori kontot (kõiki õigusi). Ja kui Sa lubad oma kompuutri kallale ka abikaasa ning lapsed, siis oleks mõtekas luua nende jaoks eraldi standartsed kasutajakontod (piiratud õigustega).
Kui Sa aga lood näiteks oma naisele/pruudile samuti administraatori õigustega kasutajakonto, siis Sa ei saa temale seda lapsevanemte kontrolli kehtestada ja samuti ei saa ka tema seda Sinu suhtes teha (see veel puudus...).
Seega, et kehtestada oma lapse suhtes mingisugunegi kompuutri kasutamise kontroll (piirangud), tuleb Sul tema jaoks luua standartne kasutajakonto ja peale selle tuleb Sul omaenda administraatori kontole luua ka parool, mida kasutad süsteemi sisselogimisel.

Sa saad Parental Controls vahendile ligi nii:

  1. Klõpsa Start ja siis Control Panel.

  2. Klõpsa User Accounts and Family Safety all asuvale Set up parental controls for any user.

  3. Parental Controls pealehel võid siis kehtestada vanemate kontrolli, antud näite puhul klõpsa siis tavakasutaja ahv2 ikoonile:

tavakasutajale kontrolli kehtestamine

Antud näites saame kehtestada selle kontrolli ainult kasutajale ahv2, ei saa ju ahv1, kes on selle kompuutri ainuke administraator iseendale kehtestada vanemate kontrolli... ja peale selle ei saa ta kehtestada seda kontrolli ka teistele administraatori grupi liikmetele (antud arvutis neid teisi administraatoreid ei ole...).
Kui vaadata seda ülemist pilti, siis torkab seal silma üks kollast värvi "loosung", mis teatab, et administraator ei oma parooli ja seega võib iga kasutaja, kes natukenegi asja mõikab, selle Parental Controls'i välja lülitada ning pakub ilmuvas dialoogiaknas kohe ka parooli tegemise võimalust. Kuna siin on tegemist ainult näitega, siis ei hakka ma ka mingit parooli looma ja ka see ahv2 kasutajakonto on tegelikult "fiktiivne" konto.

Kui lõpsad seal "ahv2" kasutajakontole, siis ilmub järgmine aken:

aktiveeri kontrollmehhanism

Aktiveeri seal raadionupp On, enforce current settings ja klõpsa OK.

Parental controls on konfigureeritud nii et tema põhiseadistusi rakendatakse tervele kompuutrile, aga on ka spetiifilised seadistused individuaalsele kasutajale.

Põhiseadistused:

Individuaalsewd seadistused:

Mängude hindamissüsteemi (Games Rating System) valimine:

hindamissaidid

Teavitamise konfigureerimine Parental Controls jaoks:

Vaikimisi, kui Sa konfigureerid vanemate kontrolli, siis meenutatakse sulle üks kord nädalas aktiivsuse raporti lugemisest ja kasutaja, kellele on see kontroll kehtestatud, näeb tegumireal vastavat ikooni sel ajal kui parental controls on käivitatud. Sa võid aga neid ka muuta:

  1. Klõpsa Start ja siis Control Panel.

  2. Klõpsa User Accounts and Family Safety all asuvale Set up parental controls for any user.

  3. Klõpsa vasemas paanis lingile Family Safety Options.

  4. Järgmises avatavas aknas saad valida siis vastava raadionupu teavitamise jaoks...

  5. Klõpsa OK.

Parental Controls konfigureerimine:

Tee nii:

  1. Klõpsa Start ja siis Control Panel.

  2. Klõpsa User Accounts and Family Safety all asuvale Set up parental controls for any user.

  3. Parental Controls lehel klõpsa kasutajakontole, kellele Sa olid juba kontrolli kehtestanud ja ilmub aken:

kontrolli seadistamine

5. Et lülitada sisse aktiivsuse aruannet, selleks vali raadionupp On, collect information about computer usage.

6. Kui soovid piirata surfamist, siis klõpsa Windows Vista Web Filter.

Web Restrictions lehel määra siis vastavad piirangud... ja klõpsa OK.

7. Parameeter Time limits kehtestab kellaaja, et millal võib kompuutrit kasutada. Kui soovid seda kehtestada, siis klõpsa parameetrile Time limits ja uues aknas sea ajad...

8. Games—määrab mängude tüübi mida võib mängida. Kui Sa soovid seda kontrollida, siis klõpsa parameetril Games ja uues aknas tegutse...

9. Allow and block specific programs—määrab, et milliseid programme kasutaja tohib kasutada.

10. Vali ka akna paremal allasuvas osas vajalikud elemendid ja seadista.

11. Kui kõik on valmis klõpsa User Controls aknas OK.

Activity Reports (Aktiivsuse aruande) vaatamine ja lugemine—vägev nuhkimisvahend:

See nuhkimisvahend on küll võimas asi ja ta annab vägagi detailse ülevaate sellest, et mida kontrollitav kasutaja kompuutris on teinud. Ülevaate saab järgmistest asjadest:

Kompuutri kasutamise detailid:

Instant messaging detailid:

Süsteemi detailid:

Sa võid käivitada activity reports'i nii:

  1. Klõpsa Start ja siis Control Panel.

  2. Klõpsa User Accounts and Family Safety all asuvale Set up parental controls for any user.

  3. Parental Controls lehel klõpsa sellel kasutajakontol, kelle kohta Sa soovid seada aktiivsuse kontrolli.

  4. Aktiveeri raadionupp On, collect information about computer usage.

  5. Klõpsa OK.

Et vaadata ja lugeda activity reports'i:

  1. Klõpsa Start ja siis Control Panel.

  2. Klõpsa User Accounts and Family Safety all asuvale Set up parental controls for any user.

  3. Parental Controls lehel klõpsa kasutajakontol, keda tahad kontrollida.

  4. Vali Parental Controls lehel element View activity reports ja avatakse Activity Viewer leht...

Ülesse

Mine lehele Windows Vista ja kompuutri kaitsmine >

< Tagasi

< Tagasi Windows Vista esilehele ja sisukorda

Saada ka enda tuttavale lugemiseks!

Kui Sa saadad meili, siis on Sinu saadetavas kirjas selle lehe aadress juba
olemas ja muu saad ise juurde lisada.

Sisesta siia saaja e-mail aadress:

elaja kojuAbout Us |Site Map | ©2006 Ahv & Co Eesti Vabariik