Bắt đầu với User Account Control trên Windows Vista (phần 2)


Cấu hình User Account Control cho máy tính của bạn

Phần này chúng tôi sẽ nói về làm thế nào để cấu hình UAC cho môi trường
tính toán cụ thể của bạn, bạn cần phải chú ý rằng User Account Control
đụng chạm đến mọi thành phần trong Windows Vista. User Account Control
là một thành phần không thể thiếu của kiến trúc bảo mật Windows Vista.

Trong hoạt động kinh doanh, Microsoft khuyên nên sử dụng Group Policy
và Microsoft Systems Management Server (SMS) để quản lý UAC. Với các
máy tính không phải là thành viên của một miền hoặc là một phần của một
nhóm thì Microsoft khuyên nên sử dụng các cấu hình UAC mặc định.

Dựa trên những giới thiệu từ trước, chọn một trong hai phương pháp để cấu
hình Windows Vista với UAC được kích hoạt.


Cấu hình UAC cho một trạm làm việc trong hoạt động kinh doanh.



Cấu hình cho một máy tính gia đình hoặc không được quản lý.

Cấu hình UAC cho một trạm làm việc trong hoạt động kinh doanh.

Trong hoạt động kinh doanh, việc bảo đảm sao cho người dùng không thể
thay đổi các thiết lập hệ thống, cài đặt malware và tác động tới dữ liệu là
một điều hết sức cần thiết. Chính vì lẽ đó là Microsoft đã khuyên là các
doanh nghiệp nên cấu hình trạm làm việc của họ để chạy như những người

dùng chuẩn. Việc sử dụng sự cấu hình dưới đây sẽ giúp giảm nhẹ các vấn đề
tiềm ẩn:


UAC được kích hoạt thông qua toàn bộ môi trường và được duy trì
tập trung với Group Policy.




Tài khoản quản trị viên cài đặt từ trước được giữ ở trạng thái vô hiệu
hóa và một password được thiết lập để ngăn chặn bất kỳ tấn công
offline nào.



Mọi người dùng của máy trạm đều chạy với một tài khoản người dùng
chuẩn.



Các quản trị viên miền có hai tài khoản: một tài khoản người dùng
chuẩn và một tài khoản quản trị viên trong Admin Approval Mode.



Triển khai các ứng dụng bằng việc sử dụng Microsoft Systems
Management Server (SMS), cài đặt phần mềm Group Policy (GPSI)
hoặc các công nghệ triển khai ứng dụng tương tự. Nếu bạn có một cơ
chế triển khai User Account Control, Microsoft khuyên bạn nên vô

hiệu hóa phát hiện của bộ cài đặt ứng dụng.



Sự nâng quyền của thẻ truy cập được quản lý bởi một bàn trợ giúp
hoặc các nhân viên CNTT bằng việc sử dụng Remote Assistance hoặc
vào sự ủy nhiệm theo đường vật lý.

Lưu ý
Nếu có thể bạn nên xóa bỏ hoặc vô hiệu hóa tất cả các quản trị viên máy tính
cục bộ.

Cấu hình UAC cho máy tính gia đình hoặc các máy tính không quản lý.

User Account Control không những cho phép kiểm soát toàn bộ máy trạm
trong hoạt động kinh doanh, ngoài ra nó còn cải thiện bảo mật trong các máy
tính gia đình. Trong khi một tài khoản người dùng chuẩn đã xuất hiện trong
Windows từ NT 4.0 thì hầu hết người dùng gia đình không hề hay biết rằng


có nhiều loại tài khoản khác nhau. Chính vì vậy, phần lớn người dùng gia
đình chỉ duyệt web, đọc email, mua sắm online và soạn tài liệu với quyền
quản trị viên. Bởi vì một quản trị viên có đầy đủ quyền truy cập vào tài
nguyên hệ thống nên bất kỳ phần mềm mã nguy hiểm nào mà được cài đặt
tình cờ trên máy tính đều có thể ảnh hưởng đến các file, folder trong toàn bộ
máy tính. Với UAC trong Windows Vista, sự hỗ trợ được cung cấp bên
trong hệ điều hành giúp nó trở nên dễ dàng hơn đối với người dùng như một
người dùng chuẩn. Việc chạy như một người dùng chuẩn là bảo đảm tính kế
thừa và giúp giới hạn việc mất mát dữ liệu do phần mềm mã nguy hiểm cài
đặt.


Chọn một trong hai tùy chọn dưới đây cho việc cấu hình trong môi trường
gia đình:


Cấu hình UAC với các điều khiển cha



Cấu hình UACC không có các điều khiển cha

Cấu hình UAC với các điều khiển cha

UAC cho phép sử dụng linh hoạt điều khiển cha bằng cách gạn lọc các
nhiệm vụ người dùng và loại tài khoản người dùng.

Lưu ý
Điều khiển Parental Controls không được hiển thị trong Control Panel
trên miền các máy tính được ghép lại.

Cấu hình được khuyến khích cho các điều khiển cha:


UAC được kích hoạt trên máy tính.




Tất cả các tài khoản cha được tạo như tài khoản quản trị viên trong
Admin Approval Mode.




Tất cả các tài khoản con được tạo như tài khoản người dùng chuẩn.

Quan trọng
Các tài khoản cha cần phải có password vững chắc.

Sơ đồ dưới đây sử dụng nguyên tắc có trước để chứng minh làm thế nào để
cha- mẹ (quản trị viên trong Admin Approval Mode) có thể thiết lập các
điều khiển cha cho một đứa trẻ (tài khoản người dùng chuẩn).

Thiết lập các điều khiển cha
Trong trường hợp này, Denise Smith muốn thiết lập các điều khiển cha trên
Windows Vista để kiểm soát thời gian con trai cô ấy có thể đăng nhập vào
máy tính.


Các điều khiển cha

Tên

Mô tả

Brian

Bé trai 12 tuổi, người thích chơi các

Smith


trò chơi máy tính và duyệt web

Denise
Smith

Loại tài khoản
người dùng

Chuẩn

Mẹ của cậu bé. Denise muốn bảo

Quản trị viên trong

đảm cho con trai của cô ấy chỉ đăng

Admin Approval

nhập trong những giờ cụ thể nào đó

Mode

1, Denise cài đặt Windows Vista và tạo một tài khoản cho chính cô ấy trong
suốt quá trình cài đặt. Tài khoản này được tạo như một tài khoản quản trị
viên cục bộ với UAC được kích hoạt mặc định.

2, Denise sử dụng Control panel User để tạo một tài khoản người dùng
chuẩn cho Brian và sau đó mở Parental Controls.

3, Vì Denise muốn bảo đảm Brian không sử dụng máy tính muộn vào buổi

tối, Denise đã sử dụng Parental Controls để thiết lập giới hạn thời gian, cho
phép Brian chỉ đăng nhập vào máy tính từ 3 giờ chiều đến 10 giờ tối. Hình
dưới đây mô tả chi tiết cấu hình này.


Cấu hình hạn chế thời gian
4, Denise kích hoạt hoạt động báo cáo để nhận được báo cáo về hoạt động
máy tính của Brian; gồm có các trang web mà Brian vào, thời gian đăng
nhập và hầu hết các trang web được khóa gần đây bởi bố mẹ.

5, Brian cố gắng đăng nhập vào máy tính lúc 10:30 PM và nhận được thông
báo lỗi: “Tài khoản của bạn đã bị giới hạn để ngăn chặn bạn đăng nhập vào
thời gian này. Bạn hãy thử lại lần sau”

6, Denise đăng nhập và quan sát thấy một báo cáo hoạt động về tài khoản
của Brian.

Bảng dưới đây mô tả chi tiết các điều khiển cha có sẵn.
Các điều khiển cha của Windows Vista


Điều khiển cha Mô tả

Ngăn chặn web

Giới hạn thời
gian

Điều khiển cho phép các
website, download,…

Điều khiển khi người dùng
cụ thể được cho phép sử
dụng máy tính.
Điều khiển các game bằng

Games

đánh giá, nội dung và tiêu
đề.

Cho phép và
khóa các
chương trình cụ
thể

Cho phép hoặc khóa bất kỳ
chương trình nào trên máy
tính.

Báo cáo hoạt

Xem các báo cáo hoạt

động

động

Cấu hình UAC không có các điều khiển cha

Phương pháp được khuyên ở đây cho việc cấu hình UAC mà không có các

điều khiển cha cho máy tính gia đình giống như trường hợp cấu hình trạm
làm việc trong hoạt động kinh doanh được làm nổi bật trong tài liệu này.


Danh sách dưới đây mô tả chi tiết cấu hình máy tính gia đình được khuyến
khích cho Windows Vista.


Tạo một tài khoản quản trị viên trong Admin Approval Mode



Tạo một tài khoản chuẩn như tài khoản người dùng chính của bạn



Tạo tất cả các tài khoản tiếp theo như các tài khoản người dùng chuẩn

Các phần dưới đây mô tả chi tiết làm thế nào để hoàn thành quá trình này,
người dùng nhìn chung cảm nhận thấy rằng bạn sẽ bắt gặp và có các cách
khác nhau để cấu hình User Account Control.

Lưu ý
Tuy trường hợp người dùng chuẩn được minh chứng ở đây là cho môi
trường tính toán tại nhà, nhưng các hoạt động kinh doanh sẽ có lợi ích lý
tưởng để giảm TCO nếu chúng bổ sung tài khoản người dùng trên các trạm
làm việc.

Tạo một tài khoản quản trị viên trong Admin Approval Mode


Trong suốt quá trình cài đặt Windows Vista, bạn sẽ phải cung cấp thông tin
về một tài khoản người dùng. Mặc định, tài khoản người dùng này được tạo
như một tài khoản quản trị viên trong Admin Approval Mode. Bởi vì
Microsoft chỉ cho sử dụng tài khoản quản trị viên ban đầu này một cách tiết
kiệm nên để đảm bảo bạn không nên đặt tên của tài khoản như những gì sẽ
phải cung cấp cho tài khoản sử dụng chính của bạn. Ví dụ: một người dùng
đặt tên là Michael Patten có thể sử dụng kiểu đặt tên dưới đây cho hai tài
khoản người dùng của mình.




Tài khoản quản trị viên trong Admin Approval Mode: mpAdmin



Tài khoản người dùng chuẩn: Michael

Tạo một tài khoản người dùng chuẩn như tài khoản người dùng chính của
bạn

Bạn nên hoàn thiện các thủ tục dưới đây sau khi Windows cài đặt xong ngay
lập tức. Thủ tục này được viết đã được tham khảo qua Control Panel mặc
định chứ không phải là Classic View.

Để tạo một tài khoản người dùng chuẩn bạn thực hiện như sau:


Đăng nhập với một tài khoản quản trị viên trong Admin Approval
Mode.




Kích chuột vào Start, Control Panel, Add or remove user accounts
dưới User Accounts and Family Safety.



Tại cửa sổ User Account Control , kích Continue.



Trong Manage Accounts, kích Create a new account.



Trong Create new account, bạn đánh tên cần đặt cho tài khoản người
dùng chính và bảo đảm rằng Standard user được chọn.



Trong Manage Accounts, kích vào tài khoản người dùng mới.



Trong Change an account, kích Create a password



Trong Create Password, nhập vào password.


Lưu ý
Tuy Windows Vista không yêu cầu một password tốt cho các tài khoản
người dùng chuẩn nhưng bạn nên bảo đảm thiết lập password đó đủ tốt để


bảo đảm độ tin cậy.

Tạo tất cả các tài khoản người dùng sau như các người dùng chuẩn

Mỗi tài khoản người dùng sau khi tạo sau hai tài khoản đầu tiên nên là mỗi
tài khoản người dùng chuẩn. Theo thủ tục "Create a standard user account"
được mô tả chi tiết trong chủ đề có trước dưới đây bạn sẽ có thể học được
cách để tạo các tài khoản người dùng chuẩn. Mặc định, mỗi tài khoản người
dùng sau tài khoản quản trị viên đầu sẽ được tạo như tài khoản người dùng
chuẩn trong Windows Vista.

Tìm hiểu một số vấn đề và giải pháp
Tìm hiểu một số vấn đề và giải pháp
Vấn đề

Giải pháp
Khởi chạy Internet Explorer bằng việc vào Start,

Không thể cài đặt

sau đó chỉ đến All Programs. Kích chuột phải

các ActiveX


vào Internet Explorer chọn Run as administrator.

control trong

Bước tiếp theo thực hiện cài đặt ActiveX. Thoát

Internet Explorer

khỏi Internet Explorer và bắt đầu một trường
hợp mới như một người dùng chuẩn để tiếp tục.

Người dùng

Mặc định, Windows Vista viết một cách gián

không phải quản

tiếp lên các vùng được bảo vệ (ví dụ C:\ và

trị viên không thể

C:\%systemroot%) để đăng nhập profile của


tạo các file trên ổ

người dùng hiện hành.

gốc hệ thống, ví
dụ ổ đĩa C:\


Giải pháp:

• Tạo các file và folder trong profile của người
dùng (dưới \users\(user) hoặc \users\public).

Hoặc

• Kích chuột phải vào cửa sổ lệnh Command
Prompt và chọn Run as administrator. tạo thư
mục từ cửa sổ lệnh nâng quyền
Sự phát hiện cài
đặt có thể không
phát hiện được tất
cả các cài đặt
Không có các lệnh
nâng quyền từ cửa
sổ lệnh

Chạy file setup.exe đã được nâng quyền. Xem
phần đánh dấu một ứng dụng mà yêu cầu đến
một thẻ truy cập quản trị viên hoàn chỉnh.

Khởi chạy chương trình bằng việc kích vào nút
Start sau đó chỉ đến Run.