|
Artigo Técnico: Cenários para a implementação do UAC no Windows Vista
Autor: Helio Panissa Jr - Colaborador MCP Brasil.com
18/12/2006 - Introdução O User Account Control (UAC) é um novo conjunto de tecnologias do Microsoft Windows Vista que ajudará as empresas na implementação de desktops melhor gerenciados e consequentemente menos suscetíveis a ataques de malwares. O UAC faz com que os usuários executem as aplicações com contas padrão, sem privilégios administrativos.
No Windows Vista existem dois tipos de conta de usuário: standard ou administrator. Quando uma aplicação é executada o token de acesso associado ao usuário é utilizado. Isso significa que uma aplicação executada por um usuário standard será executada com privilégios limitados, enquanto, uma aplicação de um usuário administrator será executada com maiores privilégios.
As aplicações no Windows Vista estão associadas a um token de Administrator ou de usuário Standard. Caso uma aplicação não possa ser identificada como administrativa, o Windows Vista a executará com um token de aplicação Standard. Se a aplicação for detectada como administrativa, o Windows Vista irá perguntar ao usuário se realmente deseja executá-la com um nível elevado de privilégios. Se a aplicação não for confiável, como um malware, por exemplo, o usuário terá a chance de impedir a sua execução.
Neste artigo, vamos identificar os processos necessários para gerenciar o User Account Control no Windows Vista.
Cenários para a utilização do UAC Neste artigo, vamos identificar três pontos da configuração do UAC no Windows Vista:
- Executando uma aplicação em nível elevado uma única vez;
- Configurando uma aplicação para sempre ser executada em nível elevado;
- Configurando o UAC.
Executando uma aplicação em nível elevado uma única vez O User Account Control está habilitado por padrão em um computador executando o Windows Vista. O modo de aprovação também está disponível por padrão. Isso significa que quando um usuário Administrator executa uma aplicação que deve ser executada com nível elevado, o sistema pedirá ao administrador um consentimento para executar a aplicação. Por tanto, neste primeiro cenário, não há nenhuma configuração a ser realizada para testar os efeitos do UAC. Basta executar uma aplicação que deva ser executada com um nível elevado, como por exemplo, o Network Center, e o sistema automaticamente pedirá consentimento para concluir a tarefa.
Configurando uma aplicação para ser executada sempre em nível elevado Este segundo cenário é similar ao primeiro, porém, nesta situação, vamos forçar uma aplicação para que sempre seja solicitado o consentimento para a sua execução. Vejamos o procedimento:
1. Clique com o botão direito sobre a aplicação que você deseja configurar para ser executada com nível elevado de privilégios e selecione as as propriedades;
2. Na aba compatibilidade, selecione a opção Run this program as an administrator e clique em OK.
Nota: A opção Run this program as an administrator pode não estar disponível, caso a aplicação esteja bloqueada para a execução com nível elevado de privilégios.
Configurando o UAC Este terceiro cenário se refere as configurações gerais do UAC. Vamos verificar como:
- Desabilitar o Admin Approval Mode;
- Desabilitar o UAC para a instalação de aplicações;
- Modificar o comportamento da requisição de consentimento.
Desabilitar o Admin Approval Mode
Para desabilitar o Admin Approval Mode:
1. Execute o secpol.msc;
2. Expanda Local Policies e depois selecione Security Options;
3. Encontre e acesse a diretiva User Account Control: Run all users, including administrators, as standard users;
4. Nas propriedades da diretiva User Account Control: Run all users, including administrators, as standard users selecione a opção Disabled.
Desabilitar o UAC para a instalação de aplicações
Para desabilitar o UAC para a instalação de aplicações:
1. Execute o secpol.msc;
2. Expanda Local Policies e depois selecione Security Options;
3. Acesse as propriedades da diretiva User Account Control: Elevate on application installs e marque a opção disabled.
Modificar o comportamento da requisição de consentimento
Para modificar o comportamento da requisição de consentimento:
1. Execute o secpol.msc;
2. Expanda Local Policies e depois selecione Security Options;
3. Acesse as propriedades da diretiva User Account Control: Behavior of the elevation prompt for administrators caso queira controlar o comportamento para administradores ou User Account Control: Behavior of the elevation prompt for standard users caso seu alvo seja o comportamento para usuários Standard.
4. Selecione as opções entre as opções: No prompt, Prompt for credentials (o usuário deverá entrar com um nome de usuário e senha) ou Prompt for consent (válida somente para administradores).
Conclusão No Windows Vista uma aplicação associada a um token administrativo deve ser executada com um nível elevado de privilégios. As aplicações associadas a um token administrativo pedirão consetimento ao administrador para a sua execução. Como administrador, você poderá controlar o comportamento do UAC na aplicação ou por usuário.
|
|
Principal
