UAC – talán mégis hasznos

Ha egy rendszergazdának a korábbi Windows XP világban sikerült elérnie, hogy a felhasználók valóban csak felhasználók a gépeiken, akkor elsőre, és aztán sokadszorra is idegenkedik a Vista "User Access Control" funkciójától. Hiszen minek az egy olyan felhasználónak, akinek sohasem lesz rendszergazda joga? Akkor most adjunk neki? Honnan tudja majd a felhasználó, hogy egy legitim kérésről, és nem egy kártékony kódról van szó? A felhasználó DEFINÍCIÓ SZERINT ezt nem tudhatja. Bevallom rendszeradminisztrátorként mindig legyintettem erre a funkcióra. Ahol helyi admin a felhasználó, ott nem sokat ér, ahol meg nem az, ott meg használhatatlan. 

Nos, mint annyiszor, most is tévedtem. Kezdjük ott, hogy az UAC mindenütt látható a felületen méghozzá azért, mert minden adminisztrátori jogoultságot igénylő művelet mellett ott virít egy kis pajzsocska, legyen az bárhol. Az első képen látható például, hogy a vizuális effektusok állításához és a Windows által adott teljesítményindex újraszámolásához rendszergazdai jogosultságok szükségesek. Persze lehetne most azon vitatkozni, hogy miért, meg miért ilyen sok esetben szükséges, de a mondanivalóm szempontjából ez lényegtelen. Sokkal lényegesebb, hogy olyan egyszerű esetekben is, mint például egy mappa megnyitása, ha az csak a rendszergazdáknak engedélyezett, akkor feltűnik a kis ikonka. Ez már izgalmasabbá teszi a történetet, mert ilyenkor nem a párbeszédpanel bal szélén jelenik meg a pajzs (ekkor csak információ volna), hanem egy "Continue" feliratú gombon. Vagyis, vigyázz, ha folytatod, meg kell adnod a rendszergazdai hitelesítő adataidat. De figyelem! Nem hajt el a fenébe!!! Lehet folytatni a műveletet! És ez már minőségi különbség a Windows XP-hez képest. A Continue gombra ugyanis rákattinthat egy felhasználó is, legfeljebb egy rendszergazdának kell folytatnia a műveletet – például egy távsegítség (Remote Assistance) keretében.

Ettől a pillanattól kezdve valamilyen módon meg kell adni a szükséges jogosultságot, és ezt alapesetben kétféleképp végezhetjük el. Ha eredetileg sem voltunk rendszergazdák, akkor az alábbi két kép közül a bal oldali jelenik meg. Be kell ütnünk egy adminjogú felhasználónevet és jelszót. Ha eredetileg megvolt a korlátlan jogunk, csak az UAC vette el ideiglenesen, akkor a jobb oldali párbeszédpanel segítségével szabadulhatunk a kötöttségektől átmenetileg. (Ez utóbbi esetet nem tartom sokra, vagy másképp: életveszélyesnek tartom!)

Ha esetleg kényelmi szolgáltatásokkal felszerelt gép előtt ülünk (mint például az én HP Compaq nc 8430-as, ujjlenyomatolvasós masinám), akkor a kényelemről nem kell lemondanunk. A bal oldali kép kiegészül egy, vagyis esetemben kettő opcióval: smartkártyával vagy ujjlenyomattal is produkálható a rendszergazdai jog. Én ez utóbbit használom, mondhatom kellemes élmény.

A "teljes biztonságot" meg úgy értem el, hogy a jobb kezem ujjai "csak felhasználók", a balkezemé pedig a rendszergazdák🙂. Gond nélkül működik. (Az itt látható képet egyébként fényképezőgéppel kellett előállítanom, mert a jogosultság bekérésekor semii sem működik, így például az AltGr-PrintScreen billentyűkombináció és a vágólap sem.)

Még egy pillanatra térjünk vissza az Internet Explorerhez. Korábban (értsd: rendszerüzemeltető koromban) úgy szereztem egy Remote Assistance munkamenetben admin jogot, hogy elindítottam egy Internet Explorer-t a RunAs funkcióval, majd a helyi meghajtókat böngészve "ruhát váltattam vele" és Windows Intézővé változtattam. Ettől kezdve a Vezérlőpult minden ikonja admi módban indult, és így bármilyen konfigurációt, amit másképp nem lehetett elvégezni, megtehettem, illetve a teljes fájlrendszerhez hozzáférhettem. Nos, erre a Vista világában már nincs szükség. Az admin jelszó bárhol megadható, még az ActiveX kontrollok telepítésekor is.

Száz szónak is egy a vége: az UAC hasznos lehet még azokban a jól menedzselt hálózatokban is, ahol a felhasználó felhasználó. Ott az "igazi" rendszergazdákat segíti.

2 Responses to UAC – talán mégis hasznos

  1. Tako says:

    Lehet, hogy buta a kérdés de ezt nem értem:
    "elindítottam egy Internet Explorer-t a RunAs funkcióval, majd a helyi meghajtókat böngészve "ruhát váltattam vele" és Windows Intézővé változtattam. "
     
    de miért nem magát az intézőt runasoltad?
     
    más:
    az ujjlenyomat beolvasás mennyire stabil? úgy értem, hogy nem zavarja ha száraz a kezd, izzad stb
    érdekes lehet, hogy mennyire zavarja egy sérülés?

  2. Tamas says:

    Azért nem az Intézőt, mert az alapértelmezetten egy process a shell-el. Nem lehetetlen persze, de nagyon kellett volna akrobatikázni, hogy az explorer.exe fusson runas-szal. Az IEXPLORE átvarázslása egyszerűbb volt.
    Ujjlenyomat: A száraz ujjat szereti, a vizes/izzadt valóban zavaró. Meg kell törölni. :-)
    A sérülések és egyéb balesetek miatt lehet (és érdemes) a HP ProtectTools-szal legalább három ujjad ujjlenyomatát rögzíteni. Vagyis nekem most hat ujjamat ismeri: hármat a bal kezemről, hármat meg a jobbról. Persze nem lehetetlen, hogy egyszerre minden ujjadat elveszíted, de akkor még mindig ott van a jelszó (a normál jelszavad), amit használhatsz. Ezek a progik ugyanis úgy működnek, hogy a háttérben mindig a jelszavadat használják, csak a jelszóhoz való hozzáférést kötik az ujjlenyomatodhoz. Szóval biztonsági szempontból tulajdonképpen parasztvakítás. De nem is ez a céljuk a notebookos bimetrikus azonosítóknak, hanem a kényelem növelése.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: