본문 바로가기

Microsoft/Windows Server

UAC / 사용자 계정 컨트롤

사용자 계정 컨트롤을 알아보도록 하겠습니다. 

[알아야 두어야 할 표현]
  • 의도한 일
  • 전적으로 신뢰한다. 안한다.
  • 권한 상승
  • 관리자 승인 모드
  • UAC / 사용자 정의 컨트롤
  • 보안 데스크톱

[정리]
  • 과거 버전(Windows XP, 2000)에서는 관리자 그룹의 사용자라면 해당 사용자에 의해 일어나는 모든 일들을 전적으로 신뢰
비스타 이후부터는 관리자 그룹의 사용자라도 전적으로 신뢰하지 않기 시작

  • 사용자 계정 컨트롤 (User Account Control)
-사용자의 작업을 감시하고 적절히 제한하고 확인하는 작업을 담당하는 기능

  • UAC의 작동 방법
-Windows 7에서는 표준 계정과 관리자 계정 2가지의 유형이 있숩니다.
-표준 계정은 Users 그룹의 구성원이며, 관리자 계정은 Administrators 그룹의 구성원입니다.

!! 중요
과거 윈도우 버전들과 (Windows XP, 2000) 달리 윈도우 비스타와 윈도우 7 버전은 표준 계정과 관리자 계정 모두 기본적으로 표준 계정의 권한 수준으로 응용 프로그램을 실행합니다.

평상시에는 표준 계정의 권한으로 응용 프로그램을 실행하다가, 관리자 권한 응용 프로그램을 실행해야 할 경우 표준 계정에서 관리자 계정으로 
변경하거나 '권한 상승'을 요구하게 되고 사용자가 승인하게 되면 관리자의 권한 수준으로 응용 프로그램을 실행합니다. 이러한 기본 관리자 사용자 
환경을 '관리자 승인 모드'라고 합니다.

  • 두 개의 액세스 토큰
사용자가 윈도우에 로그온하는 경우 윈도우는 해당 사용자의 액세스 토큰을 만듭니다. 이 액세스 토큰에는 특정 SID(보안 식별자) 및 윈도우 권한을 포함하여 해당 사용자에게 부여된 액세스 수준에 대한 정보가 있습니다.

1. 표준 사용자로 로그온을 하는 경우 윈도우는 표준 사용자 액세스 토큰(Standard User Access Token)을 만듭니다.

2. 관리자로 로그온을 하는 경우 윈도우는 별도의 액세스 토큰을 두 개 즉, 표준 사용자 액세스 토큰(Filtered standard user token)과 관리자 액세스 토큰(Full Administrator Access Token)을 만듭니다.

  • 권한 상승
사용자가 관리자라 할 지라도 일반적인 응용 프로그램들은 표준 사용자 권한 수준으로 실행하게 됩니다. 사실 대다수의 응용 프로그램들은 표준 사용자 권한 수준에서도 아무런 문제없이 돌아갑니다. 그러니 굳이 위험하게 관리자 권한 수준으로 모든 응용 프로그램을 실행시킬 필요가 없는 것입니다.

그러다 관리자가 관리 작업을 수행하는 응용 프로그램을 수행하려고 하면 사용자 계정 컨트롤은 사용자에게 작업을 승인할 것인지 묻는 메시지를 표시하게 됩니다. 사용자가 작업을 승인하면 관리자의 전체 관리자 액세스 토큰을 사용하여 해당 프로세스를 관리자 권한 수준으로 권한을 상승시키고 작업을 시작하는 것입니다. 

표준 사용자 또한 사용자 계정 컨트롤을 사용하여 권한을 높이고 관리 작업을 수행할 수 있습니다. 표준 사용자가 일부 허락된 관리 작업을 수행하려고 시도하면 사용자 계정 컨트롤은 사용자에게 관리자 계정을 위한 유효한 자격 증명을 입력하도록 요구합니다. 표준 사용자가 관리자 그룹 사용자의 계정과 암호를 알고 있다면 이를 입력해주면 됩니다

  • 보안 데스크톱
사용자 계정 컨트롤은 권한 상승을 확인할 때 보안 데스크톱이라는 것을 사용합니다. 보안 데스크톱은 화면이 완전히 일시적으로 어두워지며 인증 창만이 강조되는 것입니다. 이는 악의적인 프로그램이 사용자 인터페이스나 마우스를 속이는 작업을 방지하기 위해서 입니다. 

  • 최고의 권력자 - Administrator
 윈도우의 사용자 중 유일하게 이러한 사용자 계정 컨트롤의 간섭을 받지 않는 사용자가 딱 하나 있습니다. 바로 애초에 윈도우에 의해 명시된 관리자인 Administrator(최고 관리자) 입니다. 
그래서 사용자 계정 컨트롤이 귀찮은 많은 분들은 이러한 최고 관리자 계정을 많이들 사용하고 있죠. 근데 사용자 계정 컨트롤을 꺼버리면 관리자 그룹의 사용자들도 최고 관리자와 동일한 환경이 됩니다. 아무튼 이러한 Administrator 도 사용자 계정 컨트롤의 영향을 받게 끔 윈도우의 보안 정책을 수정할 수 있습니다.

  • UAC 끄기

-윈도우 8 은 보안 정책이 한층 더 강화되어 제어판에서 설정하는 것만으로는 사용자 계정 컨트롤이 완전히 꺼지지 않습니다. 만약에 이전의 윈도우 7 이나 비스타와 같이 사용자 계정 컨트롤이 완전히 꺼지길 바란다면 아래의 레지스트리를 수정하시면 됩니다. 단! 이렇게 사용자 계정 컨트롤을 완전히 끄게 되면 앱이 정상적으로 실행되지 않습니다.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=dword:00000000

  • Windows 7, 8 공통 - UAC 설정 창 바로 실행

-[시작] - [실행] 실행 후 UserAccountControllerSettings.exe 타이핑 후 엔터칩니다.


  • UAC 관련 그룹 정책 설정
-UAC 에 대해 구성할 수 있는 그룹 정책 설정은 10가지가 있습니다. 아래 사이트를 정독해 주시기 바랍니다.
http://technet.microsoft.com/ko-kr/library/dd835564(v=ws.10).aspx#BKMK_BuiltInAdmin




[참고 사이트]