Sdílet prostřednictvím

Důležité informace o zabezpečení pro technologie usnadnění

  • Článek

Technologie usnadnění jsou aplikace, které běží na stolním počítači s Windows a pomáhají uživatelům usnadnění pracovat s operačním systémem a dalšími aplikacemi běžícími na počítači, včetně aplikací v novém uživatelském rozhraní Systému Windows. Aplikace technologie usnadnění pracují načtením informací z operačního systému a dalších aplikací a následným prezentováním informací způsobem, který je přístupný uživateli. Aplikace technologie usnadnění může také programově "řídit" operační systém a další aplikace na základě vstupu od uživatele.

Povaha aplikací technologie usnadnění vyžaduje, aby překračovaly hranice procesů a aby měly přístup k procesům, které běží na vyšší úrovni integrity (IL), než jsou samotné. (Aplikace pomocné technologie běží ve střední IL.) Například když se uživatel pokusí provést úlohu, která vyžaduje oprávnění správce, systém Windows zobrazí dialogové okno, ve kterém požádá uživatele o souhlas k pokračování. Toto dialogové okno se spouští na vyšší úrovni IL, aby bylo možné ho chránit před komunikaci mezi procesy, aby škodlivý software nemohl simulovat vstup uživatele. Podobně přihlašovací obrazovka na ploše má vyšší úroveň IL, aby k ní nemohly přistupovat jiné procesy.

Aplikace technologie usnadnění obvykle potřebují přístup k chráněným prvkům uživatelského rozhraní systému nebo jiným procesům, které můžou běžet na vyšší úrovni oprávnění. Aplikace asistenční technologie proto musí být systémem důvěryhodné a musí běžet se zvláštními oprávněními.

Aby bylo možné získat přístup k vyšším procesům IL, musí aplikace technologie usnadnění nastavit příznak UIAccess v manifestu aplikace a spustit ho uživatel s oprávněními správce.

Poznámka

Přístupová oprávnění jsou omezená následujícím způsobem:

  • Aplikace, která nemá v manifestu nastaveno UIAccess, začíná se střední úrovní integrity (IL) a nemá přístup k uživatelskému rozhraní procesu se zvýšenou úrovní oprávnění ("medium+" IL).
  • Aplikace, která má v manifestu technologii UIAccess a je spuštěna uživatelem, který není ve skupině správců, začíná jako "medium+" IL a nemůže přistupovat ke zvýšenému uživatelskému rozhraní (žádné aplikace spuštěné jako "vysoká" IL, například aplikace spuštěné prostřednictvím kliknutí pravým tlačítkem –> Spustit jako správce).
  • Aplikace má přístup k uživatelskému rozhraní a je spuštěna uživatelem s oprávněním správce jako "vysoká" úroveň integrity (IL) a může přistupovat k zvýšenému uživatelskému rozhraní, protože má stejnou úroveň integrity.

Technologie UIAccess nestačí k tomu, aby proces procházel přes hranici IL.

Kromě přístupu k vyšším procesům IL může aplikace asistivní technologie s těmito oprávněními kdykoli běžet jako nejvyšší aplikace v pořadí vykreslování, což znamená, že taková aplikace může být viditelná a dostupná vždy, když ji uživatel potřebuje.

Důležitý

Žádný z výše uvedených scénářů neposkytuje přístup k uživatelskému rozhraní spuštěnému pod systémovým IL. To je možné jenom v případě, že se proces spustí v desktopové verzi řízení uživatelských účtů (UAC) v části SYSTEM (a system IL). V tomto případě nastavení UIAccess nemá žádný vliv.

Požadavky na UIAccess pro asistenční technologické aplikace

Aplikace technologie usnadnění je desktopová aplikace systému Windows, která komunikuje s jinými procesy spuštěnými na ploše a v novém uživatelském rozhraní systému Windows, aby získala informace ze systému a aplikací. Aplikace technologie usnadnění pak může poskytnout informace uživatelům přístupnosti.

Aplikace asistivní technologie získá přístup k jiným procesům nastavením příznaku UIAccess v manifestu aplikace. Pokud chcete použít příznak UIAccess, musí aplikace technologie usnadnění splňovat následující požadavky.

  • Vyžadovat zobrazení, interakci nebo zobrazení informací z jiné aplikace, aby poskytovaly informace pro scénář přístupnosti a/nebo
  • Aby bylo možné tyto informace získat nebo zobrazit, je nutné, aby okno bylo nastaveno jako nejvyšší.

Pro použití UIAccess potřebuje usnadňující technologie aplikace:

  • Být podepsán pomocí certifikátu pro interakci s aplikacemi běžícími na vyšší úrovni oprávnění.
  • Být důvěryhodný pro systém. Aplikace musí být nainstalována v zabezpečeném umístění, které vyžaduje výzvu pro řízení uživatelských účtů (UAC) k přístupu. Například složka Program Files.
  • Vytvořte soubor manifestu, který obsahuje příznak uiAccess.

UiAccess by se neměl používat:

  • Aplikace, které nejsou asistenčními technologiemi.

  • Asistivní technologické aplikace, které zobrazují informace nebo uživatelské rozhraní, jež nejsou relevantní pro scénář přístupnosti cílové skupiny, na kterou cílí.

  • Aplikace, které se jen chtějí zobrazit před ostatními aplikacemi v novém uživatelském rozhraní operačního systému Windows.

    Poznámka

    Aplikace UWP nemají UIAccess jako dostupnou možnost.

     

Nastavení UIAccess v souboru manifestu aplikace

Aby bylo možné získat přístup k chráněnému systémovému uživatelskému rozhraní, musí být aplikace sestaveny pomocí souboru manifestu, který obsahuje speciální atribut v souboru manifestu. Tento atribut uiAccess je součástí značky requestedExecutionLevel, jak je znázorněno v následujícím příkladu kódu.

<trustInfo xmlns="urn:schemas-microsoft-com:asm.v3"> 
    <security> 
        <requestedPrivileges> 
        <requestedExecutionLevel 
            level="highestAvailable" 
            uiAccess="true" /> 
        </requestedPrivileges> 
    </security> 
</trustInfo>

Hodnota atributu level v tomto kódu je pouze příkladem.

UIAccess je ve výchozím nastavení false. Pokud je atribut vynechán nebo pokud neexistuje žádný manifest, aplikace nemůže získat přístup k chráněnému uživatelskému rozhraní.

Další informace o zabezpečení systému Windows, podepisování aplikací a vytváření manifestů naleznete v tématu Windows Vista a Windows Server 2008 Developer Story: Windows Vista Application Development Requirements for User Account Control (UAC).

základy automatizace uživatelského rozhraní