Cấu hình User Account Control cho máy tính của bạn
Phần này chúng tôi sẽ nói về làm thế nào để cấu hình UAC cho môi trường tính toán cụ thể của bạn, bạn cần phải chú ý rằng User Account Control đụng chạm đến mọi thành phần trong Windows Vista. User Account Control là một thành phần không thể thiếu của kiến trúc bảo mật Windows Vista.
Trong hoạt động kinh doanh, Microsoft khuyên nên sử dụng Group Policy và Microsoft Systems Management Server (SMS) để quản lý UAC. Với các máy tính không phải là thành viên của một miền hoặc là một phần của một nhóm thì Microsoft khuyên nên sử dụng các cấu hình UAC mặc định.
Dựa trên những giới thiệu từ trước, chọn một trong hai phương pháp để cấu hình Windows Vista với UAC được kích hoạt.
- Cấu hình UAC cho một trạm làm việc trong hoạt động kinh doanh.
- Cấu hình cho một máy tính gia đình hoặc không được quản lý.
Cấu hình UAC cho một trạm làm việc trong hoạt động kinh doanh.
Trong hoạt động kinh doanh, việc bảo đảm sao cho người dùng không thể thay đổi các thiết lập hệ thống, cài đặt malware và tác động tới dữ liệu là một điều hết sức cần thiết. Chính vì lẽ đó là Microsoft đã khuyên là các doanh nghiệp nên cấu hình trạm làm việc của họ để chạy như những người dùng chuẩn. Việc sử dụng sự cấu hình dưới đây sẽ giúp giảm nhẹ các vấn đề tiềm ẩn:
- UAC được kích hoạt thông qua toàn bộ môi trường và được duy trì tập trung với Group Policy.
- Tài khoản quản trị viên cài đặt từ trước được giữ ở trạng thái vô hiệu hóa và một password được thiết lập để ngăn chặn bất kỳ tấn công offline nào.
- Mọi người dùng của máy trạm đều chạy với một tài khoản người dùng chuẩn.
- Các quản trị viên miền có hai tài khoản: một tài khoản người dùng chuẩn và một tài khoản quản trị viên trong Admin Approval Mode.
- Triển khai các ứng dụng bằng việc sử dụng Microsoft Systems Management Server (SMS), cài đặt phần mềm Group Policy (GPSI) hoặc các công nghệ triển khai ứng dụng tương tự. Nếu bạn có một cơ chế triển khai User Account Control, Microsoft khuyên bạn nên vô hiệu hóa phát hiện của bộ cài đặt ứng dụng.
- Sự nâng quyền của thẻ truy cập được quản lý bởi một bàn trợ giúp hoặc các nhân viên CNTT bằng việc sử dụng Remote Assistance hoặc vào sự ủy nhiệm theo đường vật lý.
Lưu ý
Nếu có thể bạn nên xóa bỏ hoặc vô hiệu hóa tất cả các quản trị viên máy tính cục bộ.
Cấu hình UAC cho máy tính gia đình hoặc các máy tính không quản lý.
User Account Control không những cho phép kiểm soát toàn bộ máy trạm trong hoạt động kinh doanh, ngoài ra nó còn cải thiện bảo mật trong các máy tính gia đình. Trong khi một tài khoản người dùng chuẩn đã xuất hiện trong Windows từ NT 4.0 thì hầu hết người dùng gia đình không hề hay biết rằng có nhiều loại tài khoản khác nhau. Chính vì vậy, phần lớn người dùng gia đình chỉ duyệt web, đọc email, mua sắm online và soạn tài liệu với quyền quản trị viên. Bởi vì một quản trị viên có đầy đủ quyền truy cập vào tài nguyên hệ thống nên bất kỳ phần mềm mã nguy hiểm nào mà được cài đặt tình cờ trên máy tính đều có thể ảnh hưởng đến các file, folder trong toàn bộ máy tính. Với UAC trong Windows Vista, sự hỗ trợ được cung cấp bên trong hệ điều hành giúp nó trở nên dễ dàng hơn đối với người dùng như một người dùng chuẩn. Việc chạy như một người dùng chuẩn là bảo đảm tính kế thừa và giúp giới hạn việc mất mát dữ liệu do phần mềm mã nguy hiểm cài đặt.
Chọn một trong hai tùy chọn dưới đây cho việc cấu hình trong môi trường gia đình:
- Cấu hình UAC với các điều khiển cha
- Cấu hình UACC không có các điều khiển cha
Cấu hình UAC với các điều khiển cha
UAC cho phép sử dụng linh hoạt điều khiển cha bằng cách gạn lọc các nhiệm vụ người dùng và loại tài khoản người dùng.
Lưu ý
Điều khiển Parental Controls không được hiển thị trong Control Panel trên miền các máy tính được ghép lại.
Cấu hình được khuyến khích cho các điều khiển cha:
- UAC được kích hoạt trên máy tính.
- Tất cả các tài khoản cha được tạo như tài khoản quản trị viên trong Admin Approval Mode.
- Tất cả các tài khoản con được tạo như tài khoản người dùng chuẩn.
Quan trọng
Các tài khoản cha cần phải có password vững chắc.
Sơ đồ dưới đây sử dụng nguyên tắc có trước để chứng minh làm thế nào để cha- mẹ (quản trị viên trong Admin Approval Mode) có thể thiết lập các điều khiển cha cho một đứa trẻ (tài khoản người dùng chuẩn).
Thiết lập các điều khiển cha
Trong trường hợp này, Denise Smith muốn thiết lập các điều khiển cha trên Windows Vista để kiểm soát thời gian con trai cô ấy có thể đăng nhập vào máy tính.
Các điều khiển cha | ||
Tên | Mô tả | Loại tài khoản người dùng |
Brian Smith | Bé trai 12 tuổi, người thích chơi các trò chơi máy tính và duyệt web | Chuẩn |
Denise Smith | Mẹ của cậu bé. Denise muốn bảo đảm cho con trai của cô ấy chỉ đăng nhập trong những giờ cụ thể nào đó | Quản trị viên trong Admin Approval Mode |
1, Denise cài đặt Windows Vista và tạo một tài khoản cho chính cô ấy trong suốt quá trình cài đặt. Tài khoản này được tạo như một tài khoản quản trị viên cục bộ với UAC được kích hoạt mặc định.
2, Denise sử dụng Control panel User để tạo một tài khoản người dùng chuẩn cho Brian và sau đó mở Parental Controls.
3, Vì Denise muốn bảo đảm Brian không sử dụng máy tính muộn vào buổi tối, Denise đã sử dụng Parental Controls để thiết lập giới hạn thời gian, cho phép Brian chỉ đăng nhập vào máy tính từ 3 giờ chiều đến 10 giờ tối. Hình dưới đây mô tả chi tiết cấu hình này.
Cấu hình hạn chế thời gian
4, Denise kích hoạt hoạt động báo cáo để nhận được báo cáo về hoạt động máy tính của Brian; gồm có các trang web mà Brian vào, thời gian đăng nhập và hầu hết các trang web được khóa gần đây bởi bố mẹ.
5, Brian cố gắng đăng nhập vào máy tính lúc 10:30 PM và nhận được thông báo lỗi: “Tài khoản của bạn đã bị giới hạn để ngăn chặn bạn đăng nhập vào thời gian này. Bạn hãy thử lại lần sau”
6, Denise đăng nhập và quan sát thấy một báo cáo hoạt động về tài khoản của Brian.
Bảng dưới đây mô tả chi tiết các điều khiển cha có sẵn.
Các điều khiển cha của Windows Vista | |
Điều khiển cha | Mô tả |
Ngăn chặn web | Điều khiển cho phép các website, download,… |
Giới hạn thời gian | Điều khiển khi người dùng cụ thể được cho phép sử dụng máy tính. |
Games | Điều khiển các game bằng đánh giá, nội dung và tiêu đề. |
Cho phép và khóa các chương trình cụ thể | Cho phép hoặc khóa bất kỳ chương trình nào trên máy tính. |
Báo cáo hoạt động | Xem các báo cáo hoạt động |
Cấu hình UAC không có các điều khiển cha
Phương pháp được khuyên ở đây cho việc cấu hình UAC mà không có các điều khiển cha cho máy tính gia đình giống như trường hợp cấu hình trạm làm việc trong hoạt động kinh doanh được làm nổi bật trong tài liệu này. Danh sách dưới đây mô tả chi tiết cấu hình máy tính gia đình được khuyến khích cho Windows Vista.
- Tạo một tài khoản quản trị viên trong Admin Approval Mode
- Tạo một tài khoản chuẩn như tài khoản người dùng chính của bạn
- Tạo tất cả các tài khoản tiếp theo như các tài khoản người dùng chuẩn
Các phần dưới đây mô tả chi tiết làm thế nào để hoàn thành quá trình này, người dùng nhìn chung cảm nhận thấy rằng bạn sẽ bắt gặp và có các cách khác nhau để cấu hình User Account Control.
Lưu ý
Tuy trường hợp người dùng chuẩn được minh chứng ở đây là cho môi trường tính toán tại nhà, nhưng các hoạt động kinh doanh sẽ có lợi ích lý tưởng để giảm TCO nếu chúng bổ sung tài khoản người dùng trên các trạm làm việc.
Tạo một tài khoản quản trị viên trong Admin Approval Mode
Trong suốt quá trình cài đặt Windows Vista, bạn sẽ phải cung cấp thông tin về một tài khoản người dùng. Mặc định, tài khoản người dùng này được tạo như một tài khoản quản trị viên trong Admin Approval Mode. Bởi vì Microsoft chỉ cho sử dụng tài khoản quản trị viên ban đầu này một cách tiết kiệm nên để đảm bảo bạn không nên đặt tên của tài khoản như những gì sẽ phải cung cấp cho tài khoản sử dụng chính của bạn. Ví dụ: một người dùng đặt tên là Michael Patten có thể sử dụng kiểu đặt tên dưới đây cho hai tài khoản người dùng của mình.
- Tài khoản quản trị viên trong Admin Approval Mode: mpAdmin
- Tài khoản người dùng chuẩn: Michael
Tạo một tài khoản người dùng chuẩn như tài khoản người dùng chính của bạn
Bạn nên hoàn thiện các thủ tục dưới đây sau khi Windows cài đặt xong ngay lập tức. Thủ tục này được viết đã được tham khảo qua Control Panel mặc định chứ không phải là Classic View.
Để tạo một tài khoản người dùng chuẩn bạn thực hiện như sau:
- Đăng nhập với một tài khoản quản trị viên trong Admin Approval Mode.
- Kích chuột vào Start, Control Panel, Add or remove user accounts dưới User Accounts and Family Safety.
- Tại cửa sổ User Account Control , kích Continue.
- Trong Manage Accounts, kích Create a new account.
- Trong Create new account, bạn đánh tên cần đặt cho tài khoản người dùng chính và bảo đảm rằng Standard user được chọn.
- Trong Manage Accounts, kích vào tài khoản người dùng mới.
- Trong Change an account, kích Create a password
- Trong Create Password, nhập vào password.
Lưu ý
Tuy Windows Vista không yêu cầu một password tốt cho các tài khoản người dùng chuẩn nhưng bạn nên bảo đảm thiết lập password đó đủ tốt để bảo đảm độ tin cậy.
Tạo tất cả các tài khoản người dùng sau như các người dùng chuẩn
Mỗi tài khoản người dùng sau khi tạo sau hai tài khoản đầu tiên nên là mỗi tài khoản người dùng chuẩn. Theo thủ tục "Create a standard user account" được mô tả chi tiết trong chủ đề có trước dưới đây bạn sẽ có thể học được cách để tạo các tài khoản người dùng chuẩn. Mặc định, mỗi tài khoản người dùng sau tài khoản quản trị viên đầu sẽ được tạo như tài khoản người dùng chuẩn trong Windows Vista.
Tìm hiểu một số vấn đề và giải pháp
Tìm hiểu một số vấn đề và giải pháp | |
Vấn đề | Giải pháp |
Không thể cài đặt các ActiveX control trong Internet Explorer | Khởi chạy Internet Explorer bằng việc vào Start, sau đó chỉ đến All Programs. Kích chuột phải vào Internet Explorer chọn Run as administrator. Bước tiếp theo thực hiện cài đặt ActiveX. Thoát khỏi Internet Explorer và bắt đầu một trường hợp mới như một người dùng chuẩn để tiếp tục. |
Người dùng không phải quản trị viên không thể tạo các file trên ổ gốc hệ thống, ví dụ ổ đĩa C:\ | Mặc định, Windows Vista viết một cách gián tiếp lên các vùng được bảo vệ (ví dụ C:\ và C:\%systemroot%) để đăng nhập profile của người dùng hiện hành. Giải pháp: • Tạo các file và folder trong profile của người dùng (dưới \users\(user) hoặc \users\public). Hoặc • Kích chuột phải vào cửa sổ lệnh Command Prompt và chọn Run as administrator. tạo thư mục từ cửa sổ lệnh nâng quyền |
Sự phát hiện cài đặt có thể không phát hiện được tất cả các cài đặt | Chạy file setup.exe đã được nâng quyền. Xem phần đánh dấu một ứng dụng mà yêu cầu đến một thẻ truy cập quản trị viên hoàn chỉnh. |
Không có các lệnh nâng quyền từ cửa sổ lệnh | Khởi chạy chương trình bằng việc kích vào nút Start sau đó chỉ đến Run. |