Beveiligingsbeleid Windows Vista en het gebruikersaccount

Het gebruikersaccount staat centraal in Windows Vista en vormt de kern van de nieuwe veiligheidsstrategie. Het gebruikersaccount zorgt in eerste instantie voor de personalisering van Windows, zeg maar de inrichting van de individuele werkplek van de gebruiker. Door middel van datzelfde gebruikersaccount is zijn Windows-omgeving tegelijkertijd af te schermen tegen oneigenlijk gebruik.

 

Let op - van Windows Vista zijn verschillende versies op de markt. Vooral de Home Edition wijkt qua gebruikersbeheer af ten opzichte van de zakelijke versies als Windows Vista Business Edition of Windows Vista Ultimate Edition. Voor de zakelijke omgeving is de Home Edition niet geschikt.

 

Het nieuwe beleid onder Vista gaat er vanuit dat elke bron (software, schijf, printer etc.) een eigenaar heeft. Deze eigenaar kan naar eigen goeddunken bepalen wie de bron wel of niet mag gebruiken. Elk bestand dat u op uw pc aanmaakt is in principe úw eigendom. Alleen de systeembeheerder kan het eigendom van een document overnemen. Voorwaarde hiervoor is wel dat de vaste schijf is geformatteerd volgens de NTFS-bestandsindeling, en dus niet volgens de verouderde FAT-indeling.

 

Windows bepaalt aan de hand van het SID-nummer welke gebruiker toegang heeft tot een bestand. Dit SID-nummer is een zeer groot getal en daardoor absoluut uniek. Zodra u inlogt op het systeem creëert Vista als het ware een 'security access token'. In dit token zit alle informatie die voor u als gebruiker van belang is. Naast de gebruikersnaam en het SID-nummer bevat de token ook informatie over de gebruikersgroep waartoe u behoort. Stel nu dat u een gedeelde printer wilt gebruiken, dan zal Vista aan de hand van uw security access code controleren welke rechten u heeft. Wordt de toegang toegestaan dan merkt u daar weinig van, maar wordt de toegang geweigerd dan krijgt u een waarschuwingsvenster te zien. Windows controleert de toegang aan de hand van de ACL (access control list) lijst. In deze lijst staan alle SID-nummers met daaraan gekoppelde gebruikersrechten.

 

Tegelijkertijd is ook het UAC (User Account Control) actief. Dit betekent het volgende: als de systeembeheerder inlogt, worden er voor hem twéé security-tokens aangemaakt: één token als gebruiker en één token als beheerder. De beheerder werkt dus zelf ook als gebruiker met de beperkte rechten. Wanneer de beheerder een aanpassing wil doen aan het systeem waar beheerrechten voor nodig zijn, wordt er gevraagd de rechten te verhogen. Dit gebeurt vrij subtiel; Het scherm wordt donker en er verschijnt een dialoogbox met de vraag om toestemming om deze applicatie te starten met beheersrechten. Alleen deze ene beheerapplicatie draait dan met de rechten van de systeembeheerder. Alle andere applicaties die de beheerder heeft gestart draaien met normale gebruikersrechten. Dit voorkomt dat bepaalde programma's (zoals malware) misbruik kunnen maken van de rechten van een account.

 

UAC krijgt tegenwoordig de schuld van het restrictieve beleid van Windows Vista, maar dit is niet terecht. UAC is immers een échte ingebouwde veiligheidsgarantie. Het doet feitelijk niet anders dan het hanteren van de regel dat de gebruiker met de minste rechten ook het minst mag op het systeem. Schakelt u UAC uit, dan reageert Vista overigens hetzelfde als de voorgaande Windows-versies. In zo'n geval neemt het programma automatisch de rechten over van het actieve account.

 

Windows Vista onderscheidt twee toegangsprivileges:

 

 

 

Permissies worden verstrekt door de eigenaar, bijvoorbeeld via het eigenschappenvenster van een printer. Systeembeheerders kunnen gebruikmaken van het lokale beveiligingsbeleid. Nogmaals: deze beveiliging zit niet in Windows Vista Home Edition.  

 

 

De ruggengraat van de Windows-beveiliging schuilt in de mogelijkheid om de individuele gebruiker te identificeren. Een beheerder creëert de accounts en bepaalt of er wel of geen wachtwoord gebruikt dient te worden. Na het inloggen bepalen de toegangsprivileges wat de gebruiker wel of niet mag in het systeem. Windows Vista onderscheidt drie typen gebruikersgroepen:

 

 

 

 

Elke gebruikersgroep behoort tot een bepaalde categorie binnen de beveiliging van Windows. Het zal duidelijk zijn dat de administrator meer mag dan de groep gasten.

 

Verder geldt onder Windows Vista hetzelfde als onder Windows XP. Toegangsprivileges kunnen het beste ingesteld worden voor een groep gebruikers; rechtenbeheer op niveau van de gebruiker is minder handig en kost qua beheer te veel tijd. Onder Windows Vista voegt u iedere gebruiker toe aan een gebruikersgroep; elke groep krijgt dan de privileges.