Надоедливые всплывающие сообщения от контроля учётных записей часто преследуют обычных пользователей Windows. UAC старается повысить безопасность, чтобы вашему компьютеру ничего не грозило, но получается так, что своими постоянными оповещениями он только отталкивает от себя. Как бы операционная система ни хотела обезопасить компьютер пользователей, иногда чрезмерная защита становится очень надоедливой, и появляется необходимость её отключить.

Что такое Windows UAC

Windows UAC - это контроль ваших учётных записей. Для пользователя он служит защитой, следит за совместимостью старых программ, помогает нам уберечься от вирусов, нежелательных программ, которые у нас могут запуститься, и различных приложений. Windows UAC работает постоянно. Каждый раз, когда вы будете запускать программу на своём компьютере, контроль прервёт запуск, и всплывёт окно с вопросом о разрешении системе открыть нужную программу. Если вы не имеете администраторских прав, система запросит вас ввести пароль.

Пример того, как выглядит всплывающее сообщение:

Всплывающее оповещение при попытке внести изменения на компьютер

Почему не стоит полностью выключать защиту

К сожалению, эта технология вызывает у пользователя лишь раздражение. Несмотря на то что UAC повышает безопасность вашего ПК, не позволяет запуститься вредоносным программам и уберегает от вирусов, пользователи не любят назойливых оповещений, мешающих работать. В основном причина, по которой требуется отключить контроль, - это необходимость работать с несколькими программами одновременно. В таком случае UAC начнёт раздражать и мешать вашей работе.
Компания Microsoft не рекомендует полностью отключать службу контроля, потому что существует риск случайно запустить шпионскую программу или загрузить вирусы, которые могут быстро заразить ваш компьютер и всю операционную систему. В конце концов, включение UAC в систему Windows было нужно как раз для защиты.

Отключение службы в панели управления

UAC в системе включён по умолчанию. Разберём, как отключить надоедливые оповещения при помощи панели управления.

Как выключить с помощью файла реестра

1. Для того чтобы открыть редактор реестра, зажимаем правую кнопку мыши по пуску и выбираем из списка «Выполнить».

   

   Выбираем в списке «Выполнить», чтобы перейти к одноимённой строке

2. В открывшемся окошке пишем команду regedit. Подтверждаем действие, нажав «ОК».

   

   Прописываем команду regedit, чтобы перейти к реестру

3. Теперь в редакторе реестра ищем папку System, к которой нам нужно перейти. Путь к папке: Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System. На правой стороне окошка ищем EnableLUA.

   

   Находим запись EnableLUA, нужно будет её отредактировать

4. Нажимаем на него два раза и ждём, пока всплывёт строка. В ней меняем значение с 1 на 0. Нажимаем «ОК».

   

   Изменяем значение с 1 на 0, чтобы отключить UAC

5. После этого сразу выскакивает предупреждение, требующее, чтобы вы перезагрузили ПК. Контроль учётных записей отключится полностью.

   

   Чтобы изменения вступили в силу, перезагрузите ПК

6. Перезагружаем компьютер.

Как включить/отключить службу при помощи командной строки

Отключение и включение UAC возможно также через консоль.

Можно ли выключить UAC через консоль PowerShell

Настройка UAC

В настройках контроля существует четыре уровня защиты. Прокрутите их колесиком мыши, и с правой стороны вы сможете прочитать описание для любого из четырёх параметров.

Видео: как отключается контроль учётных записей в Windows 10

Если вы хотите поподробнее познакомиться с отключением и настройкой UAC в Windows 10, можете ознакомиться с видеороликом, в котором рассказывается, как это делается.

UAC – система контроля учетных записей. Именно она обычно уведомляет вас о том, что вы собираетесь установить какую-то программу, действия которой могут привести к изменению системных файлов и настроек. Это сделано с целью защиты вас от установки вредного программного обеспечения. В этой статье мы расскажем, как настроить уведомления UAC или вовсе отключить их. Однако мы все равно не рекомендуем этого делать.

Теперь давайте рассмотрим как отключить uac.

Отключение UAC с помощью панели управления Windows.

Для того, чтобы отключить UAC, откройте "Панель управления". Как открыть панель управления мы рассматривали в статье . В панели управления необходимо выбрать пункт “Учетные записи пользователей”.

Найдите и кликните по пункту "Изменить параметры контроля учетных записей".

Помните, что для этой операции требуются права администратора. Перед вами откроется окно, в котором вы можете настроить параметры уведомлений.

Используйте ползунок для выбора:

Всегда уведомлять, когда приложения пытаются установить программное обеспечение или при изменении параметров компьютера. Этот пункт самый надежный, так как при любом действии (и пользователя, и программ), которое может привести к изменению файлов системы, будет появляться соответствующее уведомление. Кроме того, пользователю придется ввести пароль для подтверждения действий.

Уведомлять только при попытках приложений внести изменения в компьютер. В этом положении ползунок установлен по умолчанию. - этот параметр установлен в Windows 10 по умолчанию. Здесь уже действия пользователя не контролируются.

Уведомлять только при попытках приложений внести изменения в компьютер (не затемнять рабочий стол).

Не уведомлять меня - тот самый пункт, который отключает UAC. Установив ползунок в этом положении вы лишите себя уведомлений со стороны системы контроля учетных записей.

Для отключения UAC выбираем 4 пункт и нажимаем “ОК”.

В окне "Контроль учетных записей" нажимаем на кнопку "Да".

Теперь вы не будете знать о том, что какая-то программа хочет изменить файлы системы, следовательно риск заражения компьютера вирусным ПО увеличился.

Как отключить контроль учетных записей через реестр.

Отключить систему контроля учетных записей можно с помощью редактора реестра. Для этого с помощью сочетания клавиш “Win+R” откройте окно “Выполнить”.

Введите в нем “regedit” и нажмите клавишу “Enter”.

Появится окно "Контроль учетных записей". В этом окне нажимаем на кнопку "Да".

Перемещаясь по каталогам в левой части окна, перейдите в:

HKEY_LOCAL_MACHINE –> SOFTWARE –> Microsoft –> Windows –> CurrentVersion –> Policies –> System

Теперь в правой части окна найдите строку EnableLUA.

Здесь мы будем изменять параметры. Дважды кликните по ней и замените “1” на “0”.

Затем нажмите “Ок” и перезагрузите компьютер. Изменения вступят в силу.

Отключение UAC с помощью командной строки.

Командная строка Windows позволяет выполнять любые действия в сист еме. Также с ее помощью можно отключить систему контроля учетных записей. Для этого откройте меню “Пуск”, найдите пункт “Командная строка”, нажмите на него правой кнопкой мыши и запустите от имени администратора. Далее в открывшемся окне введите команду:

reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f

Нажмите “Enter” и перезагрузите компьютер. Защита будет отключена.

Итоги

Система контроля учетными записями защищает ваш компьютер от вредоносных программ, которые хотят заполучить доступ к изменению файлов системы. Она уведомляет вас о подобном действии и спрашивает: разрешить или нет. Отключение UAC означает, что больше уведомления приходить не будут, соответственно безопасность компьютера снижается. Мы настоятельно не рекомендуем, отключать UAC, однако если вам необходимо, то теперь вы знаете, как это сделать.

Когда Windows Vista была запущена, на функцию контороль учетных записей (UAC) обрушилась лавина критики — ее не поняли.

Даже если она очень важна для обеспечения безопасности операционной системы, многие люди отключили ее и таким образом, были подвержены возможным проблемам безопасности.

Windows 7 принесла изменения, что привело к дальнейшему противоречие. Именно поэтому постараюсь, пролить больше «света» на этот объект. Поясню, что такое контроль учетных записей, как она работает, что вы можете делать и чего не должны.

Если вы рассматриваете, остановить ее, пожалуйста, прочитайте эту статью, чтобы лучше понять эту функцию, и как это помогает.

Что такое контроль учетных записей пользователей

Контроль учетных записей является функцией безопасности, для предотвращения несанкционированного изменения параметров компьютера. Эти изменения могут потребоваться приложениям, вирусам или пользователям.

Контроль учетных записей обеспечит защиту, чтобы эти изменения могли быть сделаны только с одобрения администратора компьютера.

Если они не будут утверждены администратором, то никогда не будут выполняться, и система останется неизменной.

Где находится контроль четных записей

Находится UAC в панеле управления, точнее не находится, а оттуда можно мгновенно войти в ее настройки.

В целом их две. Одна онлайн (на сайте майкрософт), вторая оффлайн (все находится непосредственно на компьютере или ноутбуке).

Как работает контроль учетных записей пользователей

В последних версиях Windows, стандартные приложения работают без разрешения администратора.

Они имеют уровень разрешения обычного пользователя – им не разрешается вносить изменения в систему.

Когда приложение хочет внести что-то новое, что влияют на других пользователей, изменения системных файлов и папок, установка новой программы, UAC запрашивает разрешение у пользователя.

Если пользователь выбирает нет, они не будут осуществляться. Если пользователь выбирает да, приложения получат разрешение от администратора и могут их внести в систему.

Это разрешение будет дано, пока приложение не будет остановлено или выключено пользователем

Какие изменения требуют прав администратора

Есть много действий, которые требуют административных привилегий, в зависимости от того, как контроль учетных записей настроена. К ним относятся:

• Запуск приложения в качестве администратора
• Системные настройки или файлы в папках Windows и Program Files
• Установка и удаление драйверов
• Установка элементов управления ActiveX
• Настройка брандмауэра Windows
• Обновление
• Добавление или удаление учетных записей пользователей
• Настройка учетной записи пользователя
• Настройка родительского контроля
• Запуск диспетчера задач
• Восстановление системных файлов
• Просмотр папки и файлов другого пользователя
• Изменение даты и времени системы

В чем разница контролями учетных записей между версиями виндовс

В отличие от Vista, которая имела только два варианта: включить и выключить, в Windows 7 — Windows 10 есть четыре уровня на выбор. Различия между ними заключаются в следующем:

• Всегда оповещать — на этом уровне, вы будете уведомлены, когда приложение пытается что-либо сделать в системе или при доступе к параметрам, требующих права администратора.
• Сообщение, только когда программа пытается внести изменения в компьютер — это по умолчанию и уведомляет вас только тогда, когда программы требуют изменений в системе. Этот уровень меньше раздражает, потому что не мешает пользователю.
• Сообщение, только когда программа пытается внести изменения в компьютер (например, не затемнять рабочий стол) ,
• Никогда не уведомлять — на этом уровне, контроль учетных записей отключен и не обеспечивает никакой защиты от несанкционированных изменений в систему. Тогда вирусам будет намного легче атаковать ваш компьютер.

Нужно ли отключить контроль учетных записей при установке приложений

Самый высокий уровень безопасности появляется при установке приложений. В эти моменты, вы получите много запросов от UAC, и возникает желание временно его отключить, а после установки активировать опять.

В некоторых случаях это может быть плохой идеей. Некоторые приложения, тогда не смогут работать, если вы установите с UAC выключенным, а потом включите.

Неудачи происходят, потому что, когда UAC отключен, методы виртуализации, используемые ею для всех приложений, являются неактивными.

Чтобы избежать этих проблем, лучше иметь UAC постоянно включенным – это довольно хороший баланс между безопасностью и функциональностью. Успехов.

Рубрики: Без рубрики

Дмитрий Буланов

Введение

Большинство проблем, связанных с безопасностью в последних версиях Windows были вызваны одной главной причиной: большинство пользователей запускали Windows, обладая правами администратора. Администраторы могут делать все что угодно с компьютером, работающим под управлением Windows: инсталлировать программы, добавлять устройства, обновлять драйвера, инсталлировать обновления, изменять параметры реестра, запускать служебные программы, а также создавать и модифицировать учетные записи пользователей. Несмотря на то, что это очень удобно, наличие этих прав приводит к возникновению огромной проблемы: любая шпионская программа, внедрившаяся в систему, тоже сможет работать, имея права администратора, и, таким образом, может нанести огромный урон, как самому компьютеру, так и всему, что к нему подключено.

В Windows XP эту проблему пытались решить путем создания второго уровня учетных записей, называемых ограниченными пользователями , которые обладали только самыми необходимыми разрешениями, но имели ряд недостатков. В Windows Vista снова попытались устранить эту проблему. Это решение называется «Контроль учетных записей пользователей» , в основе которого был заложен принцип наименее привилегированного пользователя . Идея заключается в том, чтобы создать уровень учетной записи, который бы имел прав не больше, чем ему требовалось. Под такими учетными записями невозможно вносить изменения в реестр и выполнять другие административные задачи. Контроль учетных записей используется для уведомления пользователя перед внесением изменений, требующих прав администратора. С появлением UAC модель управления доступом изменилась таким образом, чтобы можно было помочь смягчить последствия вносимые вредоносными программами. Когда пользователь пытается запустить определенные компоненты системы или службы, появляется диалог контроля учетными записями, который дает пользователю право выбора: продолжать ли действие для получения административных привилегий или нет. Если пользователь не обладает правами администратора, то он должен в соответствующем диалоге предоставить данные учетной записи администратора для запуска необходимой ему программы. Для применения установок UAC требует только одобрение администратора, в связи с этим несанкционированные приложения не смогут устанавливаться без явного согласия администратора. В этой статье подробно расписан принципе работы «Контроля учетных записей пользователей» в операционной системе Windows 7

Официальные определения терминов в этом разделе статьи заимствованы из материала Безопасность , опубликованного на Microsoft Technet.

По сравнению с Windows Vista и Windows Server 2008 в операционных системах Windows 7 и Windows Server 2008 R2 появились следующие улучшения в функционале контроля учетных записей пользователей:

• Увеличилось количество задач, которые может выполнять обычный пользователь без запроса подтверждения администратором;
• Пользователю с правами администратора разрешается настраивать уровень UAC из «Панели Управления»
• Существуют дополнительные настройки локальной политики безопасности, которые позволяют локальным администраторам изменять поведение сообщений UAC для локальных администраторов в режиме одобрения администратором;
• Существуют дополнительные настройки локальной политики безопасности, которые позволяют локальным администраторам изменять поведение сообщений UAC для обычных пользователей.

Большинству пользователей не нужен настолько высокий уровень доступа к компьютеру и операционной системе. Чаще всего пользователи не подозревают, что они вошли в систему как администраторы, когда они проверяют электронную почту, занимаются веб-серфингом или запускают программное обеспечение. Вредоносная программа, установленная администратором, может повредить систему и воздействовать на всех пользователей. В связи с тем, что UAC требует одобрение администратором применение установки, несанкционированные приложения не смогут быть установленными автоматически без явного согласия администратором системы.

В связи с тем, что UAC позволяет пользователям запускать приложения как обычные пользователи:

• ИТ-отделы могут быть уверены в целостности их окружающей среды, включая системные файлы, журналы аудита, а также настройки системы;
• Администраторам больше не приходится тратить много времени на определение разрешений для задач на отдельных компьютерах;
• Администраторам предоставляется более эффективный контроль над лицензированием программного обеспечения, поскольку они могут обеспечить установку только авторизованных приложений. Им больше не придется беспокоиться о возможных угрозах их сетей из-за нелицензионного или вредоносного программного обеспечения.

Спецификации UAC

Маркер доступа . Маркеры доступа содержат информацию безопасности сеанса входа, определяющую пользователя, группы пользователей и привилегии. Операционная система использует маркер доступа для контроля доступа к защищаемым объектам и контролирует возможность выполнения пользователем различных связанных с системой операций на локальном компьютере. Маркеры доступа UAC – это особый вид маркеров доступа, определяющих минимальные привилегии, необходимые для работы – привилегии интерактивного доступа по умолчанию для пользователя Windows в системе с включенной функцией UAC. Второй маркер, маркер полного доступа администратора, имеет максимальные привилегии, разрешенные для учетной записи администратора. Когда пользователь входит в систему, то для этого пользователя создается маркер доступа. Маркер доступа содержит информацию об уровне доступа, который выдается пользователю, в том числе идентификаторы безопасности (SID).

Режим одобрения администратором . Режим одобрения администратором – это конфигурация управления учетными записями пользователей, в которой для администратора создается пользовательский маркер комбинированного доступа. Когда администратор входит в компьютер с ОС Windows, ему назначаются два отдельных маркера доступа. Если режим одобрения администратором не используется, администратор получает только один маркер доступа, предоставляющий ему доступ ко всем ресурсам Windows.

Запрос согласия . Запрос согласия отображается в том случае, когда пользователь пытается выполнить задачу, которая требует права администратора. Пользователь дает согласие или отказывается, нажимая на кнопку «Да» или «Нет».

Запрос учетных данных . Запрос учетных данных отображается для обычных пользователей в том случае, когда они пытаются выполнить задачу, для которой необходим доступ администратора. Пользователь должен указать имя и пароль учетной записи, которая входит в группу локальных администраторов.

В статье использовалась информация из материала , содержащего описание технологии UAC

Принцип работы UAC

Контроль учетных записей пользователей (UAC) помогает предотвращать заражение компьютера от вредоносных программ, помогая организациям более эффективно разворачивать настольные приложения.

С использованием UAC, приложения и задачи всегда запускаются в безопасной области от неадминистраторской учетной записи, если администратор дает права для административного доступа в системе.

Панель управления UAC позволяет выбрать один из четырех вариантов:

1. Уведомлять при каждом изменении, вносимом в систему: такое поведение присутствует в Vista – диалог UAC появляется каждый раз, когда пользователь пытается внести любое изменение в систему (настройка Windows, установка приложений и т.д.)
2. Уведомлять только тогда, когда приложения пытаются внести изменения в систему: в этом случае уведомление не появится при внесении изменений в Windows, например, через панель управления и оснастки.
3. Уведомлять только тогда, когда приложения пытаются внести изменения в систему, без использования безопасного рабочего стола: то же самое, что и пункт 2, за исключением того, что диалог UAC появляется в виде традиционного диалога, а не в режиме безопасного рабочего стола. Несмотря на то, что это может оказаться удобным в случае использования определенных графических драйверов, затрудняющих переключение между рабочими столами, этот режим является барьером на пути приложений, имитирующих поведение UAC.
4. Никогда не уведомлять: данная настройка полностью отключает UAC.

Процессы и взаимодействия UAC

Процесс входа в систему в Windows 7

На следующем рисунке показано как отличается процесс входа в систему администратора от стандартного пользователя.

Для обеспечения безопасности, по умолчанию, доступ к системным ресурсам и приложениям, обычным пользователям и администраторам предоставляется в режиме обычного пользователя. Когда пользователь входит в систему, то для него создается маркер доступа. Маркер доступа содержит информацию об уровне доступа, который задается пользователю, в том числе и идентификаторы безопасности (SID).

Когда администратор входит в систему, создается два отдельных пользовательских маркера: маркер доступа стандартного пользователя и маркер полного доступа администратора. В стандартном пользовательском доступе содержится та же пользовательская информация, что и в маркере полного доступа администратора, но без административных привилегий и SID. Маркер доступа стандартного пользователя используется для запуска приложений, которые не выполняют административные задачи. Доступ стандартного пользователя используется только для отображения рабочего стола (explorer.exe). Explorer.exe является родительским процессом, из-под которого пользователь может запускать другие процессы, наследуемые своим маркером доступа. В результате все приложения запускаются от имени обычного пользователя, кроме тех случаев, когда приложения требует использования административного доступа.

Пользователь, который является членом группы «Администраторы» может войти в систему для просмотра веб-страниц и чтения сообщений электронной почты при использовании стандартного маркера пользовательского доступа. Когда администратору необходимо выполнить задачу, которая требует от него маркер административного пользователя, Windows 7 автоматически покажет уведомление для использования административных прав. Это уведомление называется запросом учетных данных, а его поведение может быть настроено при помощи оснастки локальной политики безопасности (Secpol.msc) или групповых политик.

Каждое приложение, которое требует маркер доступа администратора должно запускаться с согласием администратора. Исключением является взаимосвязь между родительским и дочерним процессами. Дочерние процессы наследуют маркер доступа пользователей из родительского процесса. Оба процесса родителя и ребенка должны иметь одинаковый уровень интеграции.

Windows 7 защищает процессы при помощи маркировки уровней интеграции. Уровни интеграции измеряются доверием. Приложения с «высокой» интеграцией – это приложения, выполняющие задачи, которые могут изменять системные данные. А приложения с «низкой» интеграцией – это выполняемые задачи, которые потенциально могут нанести ущерб операционной системе. Приложения с более низким уровнем интеграции не могут изменять данные в приложениях с высоким уровнем интеграции.

Когда обычный пользователь пытается запустить приложение, которое требует маркер доступа администратора, UAC требует пользователя предоставить данные администратора.

Пользовательские возможности UAC

При включенном UAC, пользовательские возможности отличаются от возможностей администратора в режиме одобрения администратором. Существует еще более безопасный метод входа в систему Windows 7 – создание основной учетной записи с правами обычного пользователя. Работа в качестве обычного пользователя позволяет максимально повысить степень безопасности. Благодаря встроенному в UAC компоненту полномочий обычные пользователи могут легко выполнять административные задачи путем ввода данных локальной учетной записи администратора.

Альтернативный вариант запуска приложений обычным пользователем является запуск приложений с повышенными правами администратора. С помощью встроенного в UAC компонента учетных данных, члены локальной группы Администраторы могут легко выполнять административные задачи путем предоставления утверждающих данных. По умолчанию, встроенный компонент учетных данных для учетной записи администратора в режиме одобрения называется запросом согласий. Запрос учетных данных UAC может быть настроен при помощи оснастки локальной политики безопасности (Secpol.msc) или групповых политик.

Запросы согласия и учетных данных

С включенным UAC, Windows 7 запрашивает согласие или учетные данные записи локального администратора, перед запуском программы или задания, которое требует маркер полного доступа администратора. Этот запрос не гарантирует того, что шпионские программы могут быть установлены в тихом режиме.

Запрос согласия

Запрос согласия отображается в том случае, когда пользователь пытается выполнить задачу, которая требует маркер доступа администратора. Ниже приведен скриншот с запросом согласия UAC

Запрос учетных данных

Запрос учетных данных отображается в том случае, когда обычный пользователь пытается запустить задачу, которая требует маркер доступа администратора. Этот запрос для обычного пользователя может быть настроен при помощи оснастки локальной политики безопасности (Secpol.msc) или групповых политик. Запрос учетных данных также может быть настроен для администраторов при помощи изменения политики Контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором со значением Запрос учетных данных .

На следующем скриншоте отображен пример запроса полномочия UAC.

Запросы на повышение прав UAC

Запросы на повышение прав UAC имеют цветовую маркировку для конкретных приложений, позволяя немедленно идентифицировать потенциальный риск безопасности. Когда приложение пытается запуститься с маркером полного доступа администратора, Windows 7 сначала анализирует исполняемый файл для определения издателя. Прежде всего, приложения делятся на 3 категории издателей исполняемого файла: Windows 7, проверенный издатель (подписанный), не проверенный издатель (не подписанный). На следующем изображении отображается то, как Windows 7 определяет какой цвет запроса повышения отображать пользователю.

Цветовая маркировка запросов на повышение прав следующая:

• На красном фоне отображен значок щита: приложение блокируется при помощи групповой политики или блокируется из-за неизвестного издателя.
• На синем фоне отображен золотистый значок щита: приложение является административным приложением Windows 7, таким как «Панель управления».
• На голубом фоне отображается синий значок щита: приложение подписано и является доверенным на локальном компьютере.
• На желтом фоне отображается желтый значок щита: приложение не подписано или подписано, но не является доверенным на локальном компьютере.

Запросы на повышение прав используют ту же цветовую маркировку, что и диалоговые окна в Windows Internet Explorer 8.

Значок щита

Некоторые элементы «Панели управления» , такие как «Дата и время» содержат комбинацию операций администратора и обычных пользователей. Обычные пользователи могут видеть время и изменять часовой пояс, маркер полного доступа администратора требуется для изменения даты и времени системы. Ниже приведен скриншот диалога «Дата и время» панели управления.

Значок щита на кнопке «Изменить дату и время» указывает на то, что этот процесс требует маркер полного доступа администратора и отобразит запрос на повышения прав UAC .

Обеспечение запроса на повышение прав

Процесс повышения прав обеспечивает прямые запросы для защиты рабочего стола. Запросы согласия и учетных данных отображаются по умолчанию в Windows 7 для обеспечения безопасности системы. Только системные процессы могут получить полный доступ к безопасной рабочей среде. Для достижения более высокого уровня безопасности рекомендуется включить групповую политику Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав.

Когда исполняемые файлы просят повышения прав, интерактивный рабочий стол, называемый также рабочим столом, переключается на безопасный рабочий стол. Безопасный рабочий стол затемняет пользовательский и отображает запрос на повышение прав, в котором пользователь должен принять решение для продолжения выполнения задачи. Когда пользователь нажимает на кнопку «Да» или «Нет» , рабочий стол снова переключается на пользовательский.

Вредоносное программное обеспечение может имитировать безопасный рабочий стол, но при включенной политике Контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором со значением «Запрос согласия» вредоносная программа не сможет получить повышенные права, если даже пользователь нажмет на кнопку «Да» . Если параметр политики имеет значение «Запрос учетных данных» , то вредоносное программное обеспечение сможет собирать учетные данные пользователей.

Заключение

В данной статье я рассказал об обновленном компоненте операционной системы Microsoft Windows - «Контроле учетных записей пользователей», в основе которого был заложен принцип наименее привилегированного пользователя. По сравнению с Windows Vista и Windows Server 2008 в операционных системах Windows 7 и Windows Server 2008 R 2 появились несколько улучшений в функционале, что подробно было описано выше. Подробно рассказано о маркерах доступа и процессе входа в систему.

В предыдущих версиях Windows работающие на компьютере пользователи по большей части имели права администратора по умолчанию, что давало им широкие возможности в плане установки и настройки приложений, а также изменения конфигурации системы. Такой подход отличался удобством, но в то же время представлял собой потенциальную уязвимость в системе безопасности, так как абсолютными полномочиями администратора могли воспользоваться вредоносные программы.

Разумеется, описанный механизм вовсе не исключал возможности создания учётной записи пользователя с ограниченными правами, однако работающим под такими учётными записями пользователям приходилось сталкиваться с разного рода трудностями, запрашивая разрешения у администратора на выполнение банальных операций вроде изменения системного времени. С этим нужно было что-то делать, и вскоре компромисс был найден. Решением проблемы стал UAC или контроль учётных записей .

UAC - это технология дополнительной защиты, позволяющая предотвращать несанкционированные изменения в файлах операционной системы. Внешне работа компонента проявляется тем, что при запуске исполняемого файла на экране появляется окошко с просьбой проанализировать процедуру запуска и принять окончательное решение относительно запускаемого приложения.

При этом у пользователя есть два варианта: либо разрешить запуск файла, либо заблокировать, если он показался ему подозрительным. Как правило, UAC срабатывает в случаях если Windows или сторонняя программа требует разрешения на продолжение работы, а также в случае попытки неопознанной и, возможно, вредоносной программы получить доступ к компьютеру. Сообщение UAC можно видеть и при запуске программы, заблокированной администратором.

Но что именно происходит, когда срабатывает контроль учётных записей? Начнём с того, что, входя в систему со своим идентификатором безопасности, пользователь получает так называемый токен или проще список разрешений, в которой указывается, что он может делать, а что нет. А если быть точнее, создаётся два токена: один пользовательский, а другой администраторский. Когда UAC включён, то вошедший в систему пользователь даже если он имеет администраторские права, всегда работает с разрешениями первого токена.

И когда пользователь запускает программу, требующую администраторских привилегий, формируется обращение ко второму токену с просьбой предоставить пользователю администраторские права. Формированием такого запроса как раз и занимается контроль учетных записей . Схематически UAC можно изобразить как промежуточный модуль между пользовательским и администраторским списками прав.

Несмотря на свои преимущества, технология UAC имеет один минус - работать с включённым UAC неудобно, ведь при этом подтверждать вам придётся запуск любой программы. Поэтому многие пользователи предпочитает отключать UAC, хотя в Microsoft делать это не рекомендуют. Представьте, что на ваш компьютер проникла некая вредоносная программа, которая пытается запуститься без вашего ведома. Если UAC будет отключён, она запуститься в скрытом режиме, и вы даже не узнаете об этом. Правда, вирусы могут обходить защиту UAC, но всё же определённый процент атак он может предотвратить.