keskiviikko 11. tammikuuta 2012

Käyttöoikeudet kuntoon, osa 1

Järjestelmänvalvoja, onko se jotain syötävää? Monikaan windows käyttäjä ei ymmärrä koko käyttöoikeusasiaa, tai on muuten vain huolimaton. Ajattelin perehtyä hetkeksi käyttöoikeuksien ihmeelliseen maailmaan.

Ensinnäkin, perusperiaatteeni: Kaikki tietokoneen käyttöjärjestelmällä toteutettavat asiat eivät vaadi järjestelmänvalvojan tasoisia käyttöoikeuksia, vaan  peruskäyttäjän oikeudet riittävät.

Tarkoitan nyt uusia käyttöjärjestelmiä, eli Windows 7 ja jopa Windows Vistaa.

Mitä eroa on Järjestelmänvalvoja- ja peruskäyttäjäoikeuksilla? Asia on erittäin helppo selittää;
Järjestelmävalvoja oikeuden omaavalla käyttäjällä on täydet oikeudet koko järjestelmään, jopa kriittisiinkin osioihin! Ts. käyttäjä voi "vahingossa" vahingoittaa käyttöjärjestelmän toimintaa omilla varomattomilla toimillaan, tietämättä vaaroista. Tämän mahdollistaa siis se että käyttäjällä on järjestelmänvalvojan oikeudet!

Windows XP:ssa oli myös kyseiset käyttöoikeustasot, mutta niiden käyttö oli erittäin hankalaa. Tästä syystä moni käyttikin XP:tä täysillä oikeuksilla, jolloin käyttäjä avasi oven kaikelle, myös haittaohjelmille. Asiaa ei auttanut se että XP:n asennuksessa ensimmäinen luotu käyttäjä omasi automaattisesti järjestelmänvalvoja oikeudet. Windows Vista muutti tilanteen, mutta käyttäjiä ärsytti jatkuva oikeuksien kysely, jolloin jälleen kerran palattiin siihen että käyttöjärjestelmää käytettiin täysin oikeuksian tai pahimmassa tapauksessa koko toiminto kytkettiin pois. Windows 7 paransi tilannetta, huomattavasti!

Peruskäyttäjäoikeudella omaavalla käyttäjällä on täydet oikeudet vain oman profiilin tiedostoihin ja käyttöjärjestelmän tiettyihin osioihin, esim. ulkoasun muokkaukseen. Kriittisiin osioihin ei ole mitään asiaa jolloin peruskäyttäjä ei pysty vahingossakaan vahingoittamaan järjestelmää.

Hyvä esimerkki: Peruskäyttäjäoikeudella ei voi asentaa ohjelmia. Tämä tarkoittaa MYÖS haittaohjelmia! Järjestelmänvalvojaoikeudella ohjelmia VOI asentaa, myös siis haittaohjelmia!

Tätä kaikkea hallitsee UAC; User Account Control eli käyttäjätilin valvonta. UAC:n idea on yksinkertainen; Kun tarvitaan lisäoikeuksia, UAC myöntää ne käyttäjälle. Myös järjestelmävalvojaoikeuksilla olevalle käyttäjälle annetaan muutosten ajaksi lisää oikeuksia, jotka käyttäjän pitää hyväksyä. Peruskäyttäjäoikeden omaavalla käyttäjällä tilanne on toinen, käyttäjältä pyydetään käyttäjätunnusta ja salasanaa jolla on järjestelmänvalvojanoikeudet. Windows käyttöjärjestelmään tämä toiminto on nykyään sisäänrakennettu. Windows XP ei sisällä näin hienoa tekniikkaa...

UAC:n toiminna tunnistaa siitä että käyttäjän näyttö tummenee ja ruudulle ilmestyy kysely siitä että ollaan nyt tekemässä jotain joka vaatii lisäoikeuksia. Käyttöjärjestelmän asetuksista lisäoikeuden tunnistaa kilven kuvasta. Ohessa muutama esimerkki:

Windows palomuuri: huomatkaa vasemman reunan "kilvet"; pitää tietää järjestelmänvalvoja tasoisen käyttäjän tunnus ja salasana jotta asetuksia voi muuttaa!

UAC toiminnassa, palomuurimuutoksia peruskäyttäjäoikeudella. Nyt pitää syöttää oikeat tunnukset! Oma ei kelpaa...

Mozilla Firefox selaimen asennus kysyy lisäoikeuksia, Kirjautuneella käyttäjällä on järjestelmävalvoja oikeudet.

Sama kuin edellä, mutta peruskäyttäjäoikeuksilla UAC kysyy tarvittavaa tunnusta ja salasanaa...


Miten tilanteen jossa käytät järjestelmänvalvojaoikeuksilla tietokonettasi? Asia on perin yksinkertainen: Tee yksi käyttäjä jolla on järjestelmänvalvoja oikeudet, määritä monimutkainen salasana. Tätä tunnusta tarvitaan vain kun käyttöjärjestelmään pitää tehdä suurempia muutoksia. Muut käyttäjät ovat peruskäyttäjiä jotka konetta käyttävät, salasanalla tai ilman. Suosittelen kuitenkin salasanan käyttämistä!

Toteutuksessa on omat vaaransa, mikäli hukkaan tunnuksen ja salasanan jolla on täydet oikeudet järjestelmään, edessä on käyttöjärjestelmän uudelleenasennus pahimmassa tapauksessa.

Se kuinka tämä muutos tehdään oikein, esittelen sen seuraavassa osiossa.