Quản trị mạng – Trong bài này chúng ta sẽ đi xem xét công nghệ UAC cũ và mới để định rõ xem bạn có cần phải quan tâm đến Windows 7 và UAC.
Giới thiệu
Nếu chưa hề nghe nói về User Account Control (UAC) bao giờ, có lẽ các bạn cần phải tốn một chút thời gian về thành phần này trong hệ điều hành Windows Vista. UAC được giới thiệu đầu tiên trong Windows Vista và là một thành phần có nhiều tranh luận nhiều nhất. Lúc này, chúng ta dần thấy được sắp kết thúc chu kỳ của Windows Vista, thế hệ kế tiếp, Windows 7 đang được test thử, được đánh giá, được phê bình cho sự bổ sung gồm có cả UAC. Ở đây chúng ta sẽ xem xét đến công nghệ UAC mới và cũ để xác định xem bạn có cần phải xem xét đến Windows 7 và UAC hay không.
UAC được thiết kế để thực hiện nhiệm vụ gì
Ban đầu UAC được dùng cho các vấn đề có liên quan đến các ứng dụng yêu cầu đến các đặc quyền quản trị, bắt buộc người dùng phải được cấu hình như một quản trị viên nội bộ. Mới đầu, UAC được ám chỉ đến như LUA (Least Privilege User Access), tuy nhiên nó đã sớm vị thay đổi do sự thật nó không tiếp cận để giải quyết được vấn đề.
Trong sản phẩm cuối cùng, UAC là một công nghệ có liên quan đến bảo mật, được thiết kế để bảo vệ các file hệ điều hành và Registry chống lại malware, virus và các thành phần mã độc muốn xâm nhập vào các vùng được bảo vệ của máy tính. Các phần mềm mã độc này thường muốn thêm, thay đổi và xóa các thành phần của hệ điều hành nhằm kiểm soát máy tính mà bạn không hề hay biết.
UAC làm việc như thế nào
UAC (cho cả Windows Vista và Windows 7) đều có cách làm việc giống nhau. Tuy nhiên có một số thay đổi trong Windows 7 khác với trong Windows Vista, chúng ta sẽ xem xét đến các thay đổi này trong phần dưới. Những gì UAC thực hiện là tước hết sức mạnh “quản trị viên” từ các ứng dụng, nhiệm vụ, các tính năng mà người dùng thực hiện. Có hai chế độ khác nhau mà UAC có thể sử dụng đó là chế độ cho người dùng là thành viên của nhóm quản trị viên nội bộ và người dùng không nằm trong nhóm này.
Nếu chúng ta quan sát vào cách làm việc của UAC trong Windows Vista, hẳn chúng ta sẽ thấy sự khác biệt về cách nó làm việc trong Windows như thế nào. Cần phải quan sát trong cả hai chế độ hoạt động để thấy được cách mỗi một chế độ làm việc như thế nào. Trước tiên, chúng ta hãy quan sát thời điểm một người dùng không có đặc quyền quản trị viên (non-Administrator) đăng nhập. Trong trường hợp này, người dùng không có các tiêu chuẩn quản trị khi đăng ký, chính vì vậy bất cứ ứng dụng, nhiệm vụ hoặc tính năng nào đều sẽ thất bại khi chạy nếu nó yêu cầu các đặc quyền quản trị viên. Khi UAC được kích hoạt (mặc định để nhắc nhở người dùng), một hộp thoại sẽ xuất hiện bắt người dùng nhập vào tên và mật khẩu của tài khoản có các đặc quyền quản trị viên. Nếu các tiêu chuẩn thỏa mãn điều kiện đầu vào thì chỉ có ứng dụng, nhiệm vụ hay tính năng mà UAC đã đánh dấu và đã nhắc nhở sẽ được nâng quyền cho các đặc quyền quản trị viên. Hình 1 thể hiện cho bạn thấy nhắc nhở của UAC.
Hình 1: UAC nhắc nhở người dùng cần nhập vào các tiêu chuẩn cần thiết
Tiếp đến, chúng ta cần phải nghiên cứu UAC trên Windows Vista khi một quản trị viên đăng nhập. Trong tình huống này, khi người dùng đăng nhập với các đặc quyền quản trị viên, UAC sẽ tước hết các đặc quyền quản trị cho tới khi một nhiệm vụ nào đó yêu cầu đến nó. Điều đó được thực hiện để làm cho các ứng dụng chạy ngầm, virus, malware, worm,… không thể thay đổi các file của hệ điều hành và registry bằng cách đăng nhập theo các tiêu chuẩn. Nếu chúng ta quan sát vào một mã thẩm định nào của một tài khoản người dùng đăng nhập với tư cách là thành viên trong nhóm quản trị miền thì bạn sẽ thấy được rằng các đặc quyền quản trị đã bị tước hết. Hình 2 thể hiện rõ nét cách Domain Admins group SID đã được thiết lập “DENY” cho mã thẻ.
Hình 2: UAC thiết lập Domain Admins group SID ở mức độ Deny
Đây là khía cạnh quan trọng nhất của UAC khi một quản trị viên đăng nhập. Do hầu hết các ứng dụng mã độc được ghi để lợi dụng toàn bộ các tiêu chuẩn đã được đăng nhập nên chúng sẽ bị thất bại. Rõ ràng vẫn còn tồn tại vấn đề ở đây như khi một ứng dụng nào đó, thậm chí một ứng dụng nổi tiếng và chạy thường xuyên được khởi chạy, thì ứng dụng này vẫn bị nhắc nhở về sự ưng thuận để chạy ứng dụng. Nhắc nhở này có thể được thấy trong hình 3.
Hình 3: UAC có thể nhắc nhở người dùng về sự ưng thuận nếu họ có các đặc quyền quản trị
Điều này có thể gây bực mình sau đến chục lần bạn chạy một ứng dụng mà bạn biết rõ là an toàn. Mặc dù vậy, sự bảo mật chưa bao giờ được coi là dễ dàng hay không có nhiều rắc rối. Ưu điểm của nó là khi ứng dụng mã độc muốn đụng trạm vào một file được bảo vệ hoặc một entry của registry thì nhắc nhở sẽ xuất hiện, chỉ thị cho bạn rằng có một chương trình chạy trong chế độ nền mà bạn không hề khởi tạo.
Hành vi cho cả quản trị viên lẫn không phải quản trị viên này là UAC nằm trong chế độ an toàn nhất, khi đó sẽ có nhắc nhở xuất hiện cho bất cứ nhiệm vụ nào yêu cầu các đặc quyền quản trị. Bất cứ thứ gì thấp hơn mức nhắc nhở này đều không bảo vệ máy tính chống lại ứng dụng mã độc hoặc virus, do hành động ngầm sẽ không được thông báo và sẽ được phép thay đổi hệ thống của bạn.
Các tùy chọn UAC với Windows 7
Cách mà UAC hoạt động trong Windows Vista đã làm cho nhiều quản trị viên và các công ty (với người dùng không phải quản trị viên) muốn xa lánh Vista. Chính vì điều này mà Microsoft đã đầu tư tập trung vào để khắc phục các pop-up gây bực mình có liên quan đến UAC này. Giải pháp mà Microsoft đưa ra trong Windows 7 được gọi là UAC slider.
Slider kiểm soát cho phép quản trị viên của máy tính điều khiển mức độ nhắc nhở của UAC, mức bảo mật nào sẽ được thực hiện. Slider sẽ kiểm soát các kiểu ứng dụng nào sẽ gây ra nhắc nhở và các kiểu nào sẽ được phép nâng quyền mà không cần nhắc nhở. Có toàn bộ bốn thiết lập slider khác nhau, bạn có thể thấy nó trong hình 4.
Hình 4: UAC slider trong Windows 7
Các mức được định nghĩa khác nhau được thể hiện dưới đây:
- Luôn thông báo mỗi khi có sự thay đổi hệ thống. Đây là cách hành xử như trong Vista – các nhở UAC sẽ được bật ra khi có bất cứ một thay đổi nào mức hệ thống được thực hiện (các thiết lập Windows, cài đặt phần mềm,…)
- Thông báo cho người dùng biết chỉ khi nào chương trình muốn thay đổi máy tính của họ. Thiết lập này không nhắc nhở khi bạn thay đổi các thiết lập Windows, chẳng hạn như control panel và các nhiệm vụ quản trị viên.
- Chỉ thông báo cho người dùng khi chương trình muốn thực hiện sự thay đổi trên máy tính, không sử dụng Secure Desktop. Thao tác này cũng giống như trong tùy chọn 2, tuy nhiên nhắc nhở UAC sẽ xuất hiện trên máy trạm thông thường thay vì Secure Desktop.
- Không bao giờ thông báo. Tắt bỏ UAC
Với hầu hết các mức mà chúng tôi đã giới thiệu trên đã cho thấy được Windows có thể điều kiển tinh hơn trong các mức bảo mật trong hệ điều hành, hay có thể nói là thông minh hơn những gì thể hiện trong Windows Vista.
Kết luận
Windows Vista an toàn hơn Windows nhờ những gì mà UAC mang lại cho nó. Nếu bạn không nhắc nhở hoặc vô hiệu hóa UAC thì máy tính của bạn sẽ không an toàn gì hơn so với Windows XP. Nếu chạy Windows 7 trong bất cứ chế độ nào không phải là chế độ an toàn nhất, bạn sẽ làm việc ở độ bảo mật tương tự như trong Windows XP. Sự bảo mật chưa bao giờ được coi là dễ dàng và thuận tiện. Nếu bạn quyết định vô hiệu hóa tính năng bảo mật này của UAC hoặc điều chỉnh giảm mức độ bảo mật trong slider, thì bạn sẽ mất đi tính năng bảo vệ tốt nhất cho các máy trạm Windows. Chính vì vậy đây là tất cả những quyết định mà cần đến sự sáng suốt lựa chọn của chính bản thân bạn.