Bắt đầu với User Account Control trên Windows Vista Hướng dẫn này dành cho những triển khai Microsoft® Windows VistaTM và UAC trong môi trường thực hành. Hướng dẫn còn cung cấp kinh nghiệm người dùng và cấu hình dữ liệu cho cả môi trường được quản lý lẫn không quản lý thông tin về các bản cập nhật UAC có trong Windows Vista Tổng quan về User Account Control User Account Control (UAC) là một thành phần bảo mật mới của hệ điều hành Microsoft® Windows Vista. UAC cho phép bạn thực hiện các nhiệm vụ chung khi không phải là quản trị viên, được gọi là người dùng chuẩn trong Windows Vista, và như các quản trị viên không chia sẻ quyền cho người dùng khác, log off hoặc sử dụng Run As. Một tài khoản người dùng chuẩn đồng nghĩa với tài khoản người dùng trong Windows XP. Tài khoản người dùng là các thành viên của nhóm quản trị cục bộ sẽ chạy hầu hết các ứng dụng như một người dùng chuẩn. Bằng việc phân chia chức năng người dùng và quản trị viên trong khi vẫn cho phép hoạt động hiệu quả, User Account Control là một tính năng quan trọng cho Windows Vista. Khi một quản trị viên đăng nhập vào máy tính Windows Vista, người dùng được gán 2 thẻ truy cập phân biệt. Thẻ truy cập gồm có tư cách hội viên nhóm của người dùng, sự thẩm định quyền và dữ liệu điều khiển truy cập được sử dụng bởi Windows để điều khiển những tài nguyên và các nhiệm vụ mà người dùng có thể truy cập. Trước Windows Vista, tài khoản quản trị viên nhận được một thẻ truy cập, thẻ này gồm có dữ liệu để công nhận có quyền truy cập vào tất cả tài nguyên Windows. Mô hình điều khiển truy cập này không có bất kỳ một sự kiểm tra dự phòng nào để bảo đảm người dùng tin cậy thực sự muốn thực hiện một nhiệm vụ cần đến thẻ truy cập của quản trị viên. Kết quả là, các malware (phần mềm độc hại) có thể cài đặt trên máy tính mà người dùng không hề hay biết về chúng. Quá trình này được cho là cài đặt thầm lặng. Thậm chí còn hỏng hóc hơn nữa bởi khi người dùng là một quản trị viên, malware có thể sử dụng dữ liệu điều khiển truy cập của quản trị viên để xâm nhập vào các file hệ điều hành lõi, trong một số trường hợp là không thể gỡ bỏ. Sự khác nhau chính giữa một người dùng chuẩn và một quản trị viên trong Windows Vista là mức độ truy cập của người dùng trên các vùng được bảo vệ, và truy cập vào lõi máy tính. Quản trị viên có thể thay đổi trạng thái hệ thống, tắt tường lửa, cấu hình lại các chính sách bảo mật, cài đặt dịch vụ hoặc bộ cài ảnh hưởng đến người dùng khác trên máy tính, cài đặt phần mềm cho toàn bộ máy tính. Người dùng chuẩn mặc định không thể thực hiện các nhiệm vụ trên mà chỉ có thể cài đặt những phần mềm trong quyền sử dụng của họ. Để giúp ngăn chặn các malware có thể cài đặt thầm lặng và tiêm nhiễm toàn máy tính, Microsoft đã phát triển tính năng User Account Control cho Windows Vista. Không giống như các phiên bản trước, khi một quản trị viên đăng nhập vào hệ thống, thẻ truy cập quản trị hoàn chỉnh của người dùng sẽ phân chia thành hai dạng truy cập: một cho người dùng chuẩn và một cho quản trị viên. Trong suốt quá trình đăng nhập, các thành phần điều khiển truy cập và nhận dạng nhận dạng quản trị viên được gỡ bỏ và vô hiệu hóa. Thẻ truy cập người dùng chuẩn sau đó được sử dụng để khởi chạy máy trạm, Explorer.exe. Do tất cả các ứng dụng đều kế thừa dữ liệu truy cập của chúng từ khởi chạy ban đầu của máy trạm nên tất cả chúng chạy như cho một người dùng chuẩn. Trái ngược với quá trình này, khi một người dùng chuẩn đăng nhập vào hệ thống thì chỉ thẻ truy cập của người này mới được tạo. Thẻ truy cập người dùng chuẩn sau đó được sử dụng để khởi chạy máy trạm. Sau khi quản trị viên đăng nhập, thẻ truy cập quản trị viên đầy đủ không được cần đến cho tới khi người dùng cố gắng thực hiện nhiệm vụ quản trị. Vì người dùng là có thể cấu hình với mô đun phần mềm Security Policy Manager (secpol.msc) và Group Policy (gpedit.msc) nên không có User Account Control duy nhất. Thực hiện các ứng dụng với công việc của người dùng chuẩn Một hiệu quả lớn đang được thực hiện hiện nay để giúp Microsoft và các hãng phần mềm độc lập (ISV) thiết kế lại các ứng dụng của họ để hạn chế các yêu cầu về thẻ truy cập quản trị viên. Thông điệp phát triển ứng dụng được sửa lại là: chỉ yêu cầu người dùng trở thành một quản trị viên khi thực sự cần thiết. Trong quá khứ, các chuyên gia phát triển phần mềm thường thực hiện bước kiểm tra truy cập để bảo đảm người dùng là một quản trị viên khi ứng dụng bắt đầu được khởi chạy. Mặc dù vậy, nhiều ứng dụng đó đã không có các chức năng thực sự cần thiết cho người dùng để trở thành một quản trị viên. Tuy nhiên, nhiều chương trình luôn luôn yêu cầu một thẻ truy cập quyền quản trị viên (Phần mềm phân vùng đĩa là một ví dụ). Nhiều chương trình yêu cầu người dùng phải là một quản trị viên thì mới có thể khởi chạy trong Windows Vista với thẻ truy cập quyền quản trị viên đầy đủ; mặc dù vậy, trước tiên người dùng được thông báo với các yêu cầu của quản trị viên rồi nâng dần từ một quản trị viên trong chế độ Admin Approval thành một quản trị viên đầy đủ (hoàn chỉnh) và phải chọn sự phê chuẩn của họ. Lưu ý: Chức năng User Account Control được mặc định không áp dụng cho tài khoản quản trị viên được cài đặt sẵn nhưng có thể được cấu hình để áp dụng. Trong hầu hết các trường hợp, tài khoản này chạy tất cả các ứng dụng và công cụ quản trị khi một quản trị viên không được sự ưng thuận. Khi đó máy trạm cũng được khởi chạy. Những nâp cấp của Windows Vista Những nâng cấp dưới đây thể hiện sự thay đổi bên trong mang tính chức năng có trong Windows Vista. User Account Control được kích hoạt một cách mặc định Bạn có thể thấy được các vấn đề tương thích với ứng dụng khác vẫn chưa được nâng cấp thành phần User Account Control Windows Vista. Nếu một ứng dụng yêu cầu một thẻ truy cập quyền quản trị viên (đây là biểu hiện từ một lỗi “từ chối sự truy cập” được đáp lại khi bạn cố gắng chạy ứng dụng), bạn có thể chạy chương trình như một quản trị viên bằng cách sử dụng Run như tùy chọn quyền quản trị viên trong menu nội dung (kích chuột phải). Điều này được minh chứng trong tài liệu phần "Chạy các chương trình như một quản trị viên". Tất cả tài khoản người dùng sau đó được tạo như các người dùng chuẩn Cả tài khoản người dùng chuẩn và tài khoản quản trị viên đều có những ưu điểm với bảo mật nâng cao của User Account Control. Trong các cài đặt mới, mặc định tài khoản người dùng đầu tiên được tạo là một tài khoản quản trị viên cục bộ trong Admin Approval Mode (UAC enabled). Tất cả các tài khoản sau đó đều được tạo như những người dùng chuẩn. Các tài khoản quản trị viên đã cài đặt sẵn bị vô hiệu hóa mặc định trong các cài đặt mới Các tài khoản quản trị viên cài đặt sẵn bị vô hiệu hóa một cách mặc định trong Windows Vista. Nếu Windows Vista quyết định một nâng cấp hoàn thiện từ Windows XP mà một quản trị viên kèm theo chỉ là tài khoản quản trị viên cục bộ thì Windows Vista sẽ bỏ lại tài khoản được mặc định và thay thế tài khoản trong Admin Approval Mode. Tài khoản quản trị viên kèm theo mặc định không thể đăng nhập vào máy tính ở chế độ safe mode. Bạn nên xem những phần dưới đây để có thêm thông tin chi tiết. Non-Domain Joined Khi có ít nhất một tài khoản quản trị viên cục bộ được kích hoạt thì chế độ safe mode sẽ không cho phép đăng nhập với tài khoản quản trị viên cài đặt sẵn đã bị vô hiệu hóa. Thay vì đó, bất kỳ tài khoản quản trị viên cục bộ nào cũng có thể được sử dụng để đăng nhập. Nếu tài khoản quản trị viên cục bộ cuối cùng tình cờ bị hạ cấp, vô hiệu hóa hoặc xóa bỏ thì chế độ safe mode sẽ cho phép tài khoản quản trị viên được cài đặt sẵn đã bị vô hiệu hóa có thể đăng nhập để khôi phục. Domain Joined Tài khoản quản trị viên cài đặt sẵn bị vô hiệu hóa trong các trường hợp không thể đăng nhập trong chế độ safe mode. Một tài khoản người dùng là một thành viên của nhóm Domain Admins có thể đăng nhập vào máy tính để tạo một quản trị viên cục bộ nếu không tồn tại. Lưu ý: Nếu tài khoản quản trị viên miền chưa từng đăng nhập trước đó thì máy tính phải được bắt đầu trong chế độ Safe Mode với networking từ những tài nguyên không bị che giấu. Lưu ý: Khi máy tính bị tách rời ra, nó sẽ quay trở lại non-domain joined đã được mô tả trước. Các lệnh nâng quyền được hiển thị trong Secure Desktop một cách mặc định Sự cho phép và các lệnh quan trọng được hiển thị trên máy trạm bảo vệ mặc định trong Windows Vista. Các thiết lập bảo mật User Account Control mới và thay đổi tên thiết lập bảo mật Các thiết lập bảo mật mới và các nâng cấp hoàn chỉnh của nó được mô tả chi tiết trong Understanding and Configuring User Account Control của Windows Vista (http://go.microsoft.com/fwlink/?LinkId=66020). Cảm nhận người dùng UAC Cảm nhận người dùng sẽ khác nhau với người dùng chuẩn và quản trị viên trong Admin Approval Mode khi UAC được kích hoạt. Những phần dưới đây sẽ miêu tả cụ thể những khác nhau này và giải thích thiết kế của giao diện người dùng UAC. Sự đồng thuận và các lệnh quan trọng Với User Account Control được kích hoạt, Windows Vista thực hiện cho sự đồng thuận hoặc cho các khả năng của một quản trị viên hợp lệ trước khi khởi chạy một chương trình hoặc một nhiệm vụ yêu cầu đến thẻ truy cập quyền quản trị viên đầy đủ. Lệnh này sẽ giúp bạn ngăn chặn những cài đặt thầm lặng của malware. Cửa sổ đồng thuận Lệnh đồng thuận được thể hiện khi một quản trị viên cố gắng thực hiện một nhiệm vụ yêu cầu đến thẻ truy cập quyền quản trị viên đầy đủ. Cửa sổ mặc định này cho quản trị viên có thể được cấu hình bằng mô đun phần mềm Security Policy Editor cục bộ (secpol.msc) và với Group Policy (gpedit.msc). Hình dưới đây là một cửa sổ đồng thuận User Account Control. [...]... một lệnh nâng quyền User Account Control Việc cài đặt và chạy một chương trình với User Account Control được kích hoạt Khi cài đặt nhiều ứng dụng trên một hệ thống yêu cầu một thẻ truy cập quyền quản trị viên, một cơ chế được thiết lập bên trong hệ điều hành Windows Vista để tự động phát hiện sự khởi chạy của một bộ cài đặt Khi một cài đặt ứng dụng được phát hiện, User Account Control sẽ hiển thị lệnh... cấu hình với mô đun phần mềm Security Policy Manager (secpol.msc) và với Group Policy Các quản trị viên cũng có thể bị yêu cầu cung cấp sự ủy nhiệm của họ bằng thiết lập User Account Control: Behavior của cửa sổ nâng quyền cho các quản trị viên trong Admin Approval Mode có giá trị với cửa sổ ủy nhiệm Hình dưới đây là một ví dụ về cửa sổ ủy nhiệm User Account Control Cửa sổ ủy nhiệm User Account Control. .. nhập vào Windows Vista với tài khoản người dùng chuẩn 2 Kích vào nút Start sau đó kích chuột phải vào My Computer, chọn Manage từ menu 3 Sử dụng cửa sổ User Account Control, kích vào tên người dùng với quản trị viên thích hợp sau đó nhập password của tài khoản người dùng và kích Submit Các lệnh nâng quyền có liên quan đến ứng dụng Các lệnh nâng quyền User Account Control được viết bằng màu với từng... sau đó kích OK 2 Trong hộp thoại User Account Control dialog box của Microsoft Management Console, chọn Continue 3 Trong Local Security Settings, mở rộng Local Security Settings, Local Policies, sau đó là Security Options 4 Kích chuột phải vào User Account Control: Behavior of the elevation prompt for standard users sau đó chọn Properties Bảng dưới đây mô tả User Account Control: nâng quyền cho quản trị... nhiệm, User Account Control yêu cầu ủy nhiệm hợp lệ của quản trị viên được nhập vào trước khi User Account Control được kích hoạt Có hai giá trị: User Account 1 No prompt – không có lệnh nâng quyền Lệnh Control: Nâng được hiện và người dùng không thể thực cho ủy quyền cho người hiện các nhiệm vụ của quản trị viên mà nhiệm dùng chuẩn không sử dụng Run as administrator hoặc bằng cách đăng nhập với tài... – User Account Control yêu cầu ủy nhiệm quản trị viên hợp lệ cần phải nhập vào trước khi nâng quyền Việc thay đổi lệnh nâng quyền User Account Control nên được thực hiện với sự cân nhắc cẩn thận Chính sách này có thể cấu hình cho cả quản trị viên trong Admin Approval Mode và các người dùng chuẩn hướng dẫn chung dưới đâu có thể giúp bạn nhận thấy làm thế nào để cấu hình lệnh nâng cấp User Account Control. .. Account Control: nâng quyền cho quản trị viên trong Admin Approval Mode và User Account Control: nâng quyền cho người dùng chuẩn Chính sách đồng thuận cho sự nâng quyền Thiết lập Mô tả Giá trị mặc định Có ba giá trị: 1 No prompt –nâng quyền xuất hiện tự động và thầm lặng User Account 2 Prompt for consent – User Account Lệnh Control: Nâng Control yêu cầu đồng thuận trước khi nâng cho quyền cho quản trị quyền... làm cách nào để điều chỉnh lệnh User Account Control cho các quản trị viên trong Admin Approval Mode Nhiệm vụ này có thể được thực hiện bởi người dùng chuẩn và các quản trị viên nhưng thủ tục dưới chỉ mô tả chi tiết quá trình một quản trị viên trong Admin Approval Mode Để cấu hình lệnh User Account Control cho các quản trị viên 1 Đăng nhập vào máy tính Windows Vista với một tài khoản quản trị viên... thuận User Account Control Ví dụ dưới đây sẽ thể hiện cho các bạn thấy một quản trị viên trong Admin Approval Mode đã thực hiện khi thực hiện một nhiệm vụ quản trị viên Để quan sát cửa sổ đồng thuận 1 Đăng nhập vào máy tính Windows Vista với tài khoản quản trị viên trong Admin Approval Mode 2 Kích vào nút Start sau đó kích chuột phải vào My Computer, chọn Manage từ menu 3 Tại cửa sổ của User Account Control. .. trước malwere trên máy tính Bởi vì các quá trình yêu cầu một thẻ truy cập quyền quản trị viên nên không thể cài đặt thầm lặng khi User Account Control được kích hoạt, người dùng hẳn đã cung cấp sự đồng thuận bằng việc kích Continue hoặc cung cấp sự ủy nhiệm quản trị viên Lệnh nâng quyền User Account Control cũng phụ thuộc vào cả Group Policy Chạy các chương trình như một quản trị viên Windows Vista có . Bắt đầu với User Account Control trên Windows Vista Hướng dẫn này dành cho những triển khai Microsoft® Windows VistaTM và UAC trong. trong Windows Vista Tổng quan về User Account Control User Account Control (UAC) là một thành phần bảo mật mới của hệ điều hành Microsoft® Windows Vista.