1. Cấu hình quản lý
1.1. Cấu hình User Account Control (UAC)
User Account Control (UAC) là một thành phần bảo mật mới của hệ điều hành Microsoft® Windows Vista. UAC cho phép bạn thực hiện các nhiệm vụ chung khi không phải là quản trị viên, được gọi là người dùng chuẩn trong Windows Vista, và như các quản trị viên không chia sẻ quyền cho người dùng khác, log off hoặc sử dụng Run As. Một tài khoản người dùng chuẩn đồng nghĩa với tài khoản người dùng trong Windows XP. Tài khoản người dùng là các thành viên của nhóm quản trị cục bộ sẽ chạy hầu hết các ứng dụng như một người dùng chuẩn. Bằng việc phân chia chức năng người dùng và quản trị viên trong khi vẫn cho phép hoạt động hiệu quả, User Account Control là một tính năng quan trọng cho Windows Vista.
Khi một quản trị viên đăng nhập vào máy tính Windows Vista, người dùng được gán 2 thẻ truy cập phân biệt. Thẻ truy cập gồm có tư cách hội viên nhóm của người dùng, sự thẩm định quyền và dữ liệu điều khiển truy cập được sử dụng bởi Windows để điều khiển những tài nguyên và các nhiệm vụ mà người dùng có thể truy cập. Trước Windows Vista, tài khoản quản trị viên nhận được một thẻ truy cập, thẻ này gồm có dữ liệu để công nhận có quyền truy cập vào tất cả tài nguyên Windows. Mô hình điều khiển truy cập này không có bất kỳ một sự kiểm tra dự phòng nào để bảo đảm người dùng tin cậy thực sự muốn thực hiện một nhiệm vụ cần đến thẻ truy cập
34
của quản trị viên. Kết quả là, các malware (phần mềm độc hại) có thể cài đặt trên máy tính mà người dùng không hề hay biết về chúng. Quá trình này được cho là cài đặt thầm lặng. Thậm chí còn hỏng hóc hơn nữa bởi khi người dùng là một quản trị viên, malware có thể sử dụng dữ liệu điều khiển truy cập của quản trị viên để xâm nhập vào các file hệ điều hành lõi, trong một số trường hợp là không thể gỡ bỏ.
Sự khác nhau chính giữa một người dùng chuẩn và một quản trị viên trong Windows Vista là mức độ truy cập của người dùng trên các vùng được bảo vệ, và truy cập vào lõi máy tính. Quản trị viên có thể thay đổi trạng thái hệ thống, tắt tường lửa, cấu hình lại các chính sách bảo mật, cài đặt dịch vụ hoặc bộ cài ảnh hưởng đến người dùng khác trên máy tính, cài đặt phần mềm cho toàn bộ máy tính. Người dùng chuẩn mặc định không thể thực hiện các nhiệm vụ trên mà chỉ có thể cài đặt những phần mềm trong quyền sử dụng của họ.
Để giúp ngăn chặn các malware có thể cài đặt thầm lặng và tiêm nhiễm toàn máy tính, Microsoft đã phát triển tính năng User Account Control cho Windows Vista. Không giống như các phiên bản trước, khi một quản trị viên đăng nhập vào hệ thống, thẻ truy cập quản trị hoàn chỉnh của người dùng sẽ phân chia thành hai dạng truy cập: một cho người dùng chuẩn và một cho quản trị viên. Trong suốt quá trình đăng nhập, các thành phần điều khiển truy cập và nhận dạng nhận dạng quản trị viên được gỡ bỏ và vô hiệu hóa. Thẻ truy cập người dùng chuẩn sau đó được sử dụng để khởi chạy máy trạm, Explorer.exe. Do tất cả các ứng dụng đều kế thừa dữ liệu truy cập của chúng từ khởi chạy ban đầu của máy trạm nên tất cả chúng chạy như cho một người dùng chuẩn. Trái ngược với quá trình này, khi một người dùng chuẩn đăng nhập vào hệ thống thì chỉ thẻ truy cập của người này mới được tạo. Thẻ truy cập người dùng chuẩn sau đó được sử dụng để khởi chạy máy trạm.
Sau khi quản trị viên đăng nhập, thẻ truy cập quản trị viên đầy đủ không được cần đến cho tới khi người dùng cố gắng thực hiện nhiệm vụ quản trị. Vì người dùng là có thể cấu hình với mô đun phần mềm Security Policy Manager (secpol.msc) và Group Policy (gpedit.msc) nên không có User Account Control duy nhất.