Account Control Accounting. Onemogućite UAC preko sistemskog registra

Kontrola korisničkog naloga (UAC) je funkcija operativnog sistema Windows koja pomaže u sprečavanju neovlašćenih promena na vašem računaru.

UAC vas štiti traženjem administratorske dozvole ili lozinke prije nego što poduzmete radnju koja je potencijalno štetna za vaš računar ili kada promijenite postavke koje bi mogle utjecati na druge korisnike.

UAC poruku koja se pojavi treba pažljivo pročitati, provjeriti da li naziv radnje (programa) koji se izvodi odgovara onom koji se stvarno izvodi (pokreće).

Provjeravanjem ovih koraka prije pokretanja, kontrola korisničkog računa pomaže u sprječavanju instalacije zlonamjernog softvera i špijunskog softvera i pokušaja ovih programa da izvrše neovlaštene promjene na vašem računaru.

Ako je za dovršetak posla potrebna dozvola ili lozinka, UAC će prikazati poruku upozorenja u obliku jedne od sljedećih poruka:

- Windows zahtijeva dozvolu za nastavak:

Funkcija ili program operativnog sistema Windows koji mogu uticati na druge korisnike na ovom računaru zahtevaju vašu dozvolu za pokretanje.

Provjerite naziv radnje da biste bili sigurni da je to funkcija ili program koji želite pokrenuti.

- Programu je potrebna dozvola za nastavak

Program koji nije Windows zahtijeva dozvolu za pokretanje.

Ima važeći digitalni potpis sa svojim imenom i izdavačem za provjeru autentičnosti programa. Uvjerite se da je ovo tačan program koji želite pokrenuti.

- Neidentifikovani program pokušava da pristupi računaru

Neprepoznat program je onaj koji nema važeći digitalni potpis izdavača za provjeru autentičnosti programa.

To ne znači nužno opasnost, jer mnogi stariji pravni programi nemaju potpise.

Međutim, programu morate posvetiti dodatnu pažnju i dozvoliti mu da radi samo ako je nabavljen iz pouzdanog izvora, kao što je originalni CD ili web stranica izdavača.

- Program je blokiran

Program čije pokretanje na ovom računaru posebno blokira administrator. Da biste ga pokrenuli, trebate kontaktirati administratora i zamoliti ga da deblokira program.

Evo (nepotpune) liste radnji koje pokreću poruku kontrole korisničkog računa:

- Promjene u direktorijima% SystemRoot% i% ProgramFiles%
- instalacija / deinstalacija softvera, drajvera i ActiveX komponenti
- promijeniti start meni za sve korisnike
- Instaliranje Windows ažuriranja, konfiguracija Windows Update
- Ponovo konfigurišite Windows zaštitni zid
- Rekonfiguracija UAC-a
- Dodajte/uklonite račune
- Rekonfiguracija roditeljskih ograničenja
- Postavljanje planera zadataka
- Vratite Windows sistemske datoteke iz sigurnosne kopije
- Sve radnje u imenicima drugih korisnika
- Promjena trenutnog vremena (međutim, promjena vremenske zone UAC ne uzrokuje)

Takođe nema potrebe za prebacivanjem na administratorski nalog kada obavljate administrativni zadatak koji će uticati na druge korisnike, kao što je instaliranje novog programa ili promena postavki.

Windows će tražiti administratorsku dozvolu ili lozinku prije izvršavanja zadatka.

Da biste poboljšali sigurnost, možete kreirati standardne naloge za sve korisnike računara.

Ako korisnik sa standardnim nalogom pokuša da instalira softver, Windows će tražiti lozinku administratorskog naloga, tako da ovaj softver ne može da se instalira bez znanja administratora.

Pored neospornih prednosti, postoje i nedostaci, jer pri aktivnom radu na računaru, posebno ako je u vezi sa administracijom, česti UAC upiti za korisnika mogu biti ometajući i dosadni. Osim toga, prozor zahtjeva ne pruža korisniku dovoljno informacija za identifikaciju programa i nemoguće je "zapamtiti" program.

Kontrola korisničkog naloga (UAC) se može onemogućiti. Da biste onemogućili UAC, morate učiniti sljedeće:

1. Enter Kontrolna tabla
2. Idi Klasičan izgled
3. Idemo u sekciju korisničkih naloga
4. Pronađite predmet Uključite ili isključite kontrolu korisničkog računa(UAC)
5. Prihvatite UAC upozorenje klikom Nastavi
6. Poništite izbor u polju za potvrdu pored upotrebe k.y.z i kliknite uredu
7. Ponovo pokrenite računar

Nakon ovih koraka, kontrola korisničkog naloga će biti potpuno onemogućena i prozori upozorenja vam više neće smetati, ali će se nivo povjerljivosti i integriteta vaših programa i podataka smanjiti.

Svaki operativni sistem treba da bude ne samo zgodan, funkcionalan i produktivan, već i dobro zaštićen. Ugrađena zaštita bila je prisutna u ranijim verzijama Windowsa, ali u poređenju sa onim što imamo sada, mehanizmi koje koristi nisu bili tako efikasni. Na primjer, korisnici XP-a su prema zadanim postavkama imali administratorske privilegije, što je moglo poslužiti kao rupa u zakonu za zlonamjerni softver koji također koristi povišene privilegije.

Upravo iz tog razloga je u XP-u i ranijim verzijama bilo jako preporučljivo raditi pod redovnim računom, ali ova metoda je izazvala razne poteškoće, na primjer, stalni zahtjevi administratora da izvrši neku nedužnu radnju poput promjene sistema vrijeme. Naravno, takav rad se ni na koji način ne može nazvati produktivnim. Međutim, ubrzo je pronađeno rješenje za bolno pitanje.

Šta je UAC

Počevši od Viste, Windows ima novi sigurnosni mehanizam koji se zove UAC ili Kontrola korisničkog naloga. Zašto je potreban UAC i kako funkcioniše? Zapravo, ovo je funkcija koja vam omogućava da spriječite spontano izvršavanje izvršnih datoteka u sistemu traženjem dozvole od administratora za operacije koje mogu napraviti manje ili više značajne promjene u radu sistema, programa ili naloga drugih korisnika. . Ovaj zaštitni mehanizam se trenutno koristi u svim novijim verzijama Windowsa.

Eksterno, rad Kontrole korisničkog naloga u Windows 7/10 se manifestuje u činjenici da se u trenutku pokretanja procesa pojavljuje prozor u kojem se traži da potvrdite radnju za koju su potrebna administratorska prava.

Ovo prebacuje radnu površinu u zaštićeni način rada, sprječavajući korisnika da komunicira s drugim aplikacijama. Jedini izuzetak je ugrađeni administratorski nalog, koji nije ograničen UAC-om, ali je onemogućen po defaultu.

Prednosti UAC-a su očigledne - da nije bilo njega, svaki virus bi mogao da radi sa većim pravima kada korisnik radi na administratorskom nalogu. Naravno, UAC nije lijek, ali je sasvim sposoban zaustaviti takvo neovlašteno pokretanje izvršne datoteke. Ipak, mnogi korisnici ne vole UAC, a glavni razlog za to je njegova nametljivost. Stoga nije iznenađujuće da obični korisnici često imaju pitanje kako onemogućiti kontrolu korisničkog računa u Windows 7/10.

Princip rada

Kasnije ćemo razgovarati o tome kako onemogućiti kontrolu, ali za sada pogledajmo malo dublje u UAC mehanizam. Kada se korisnik prijavi na nalog, dobija dva tokena ili jednostavniju listu dozvola. Prvi token je korisnički token, drugi je token administratora. Iz ovoga možemo zaključiti da PC administrator koristi dozvole druge liste, ali to nije sasvim tačno. Samo radi s njim, ali sam token "pripada" UAC mehanizmu, pa čak i ako pokrećete aplikacije s administratorskim pravima, i dalje vam je potrebna dozvola za kontrolu korisničkog računa.

Ovo možda nije najprecizniji način da se opiše kako UAC funkcionira. Umjesto toga, kontrola se može smatrati nekom vrstom posredne veze između liste prava korisnika i administratora. Pogledajmo bliže šta se dešava tokom instalacije / pokretanja programa kada je UAC omogućen. Kada korisnik pokrene instalater, funkcija ShellExecute poziva drugu funkciju CreateProcess, koja zauzvrat pokreće AppCompat, Fusion i Installer Detection sisteme kako bi provjerila da li su programu potrebne povišene privilegije. Ako je potrebno, funkcija CreateProcess vraća grešku ERROR_ELEVATION_REQUIRED, a funkcija ShellExecute pokreće UAC dijaloški okvir.

Ovako se razvija lanac. Ali ovo nije kraj ovlasti UAC-a. Takođe učestvuje u drugim mehanizmima, na primer, u virtuelizaciji sistema datoteka i registra, preusmeravajući pisanje neadministratorskih programa na posebno određena mesta, umesto da njihove podatke upisuje direktno u zaštićene direktorijume i grane registra.

Svi načini da onemogućite UAC

Vratimo se sada na to kako onemogućiti UAC u Windows 7/10. Najočigledniji način je preko interfejsa. Neophodnim postavkama možete pristupiti preko apleta "Korisnički nalozi" na kontrolnoj tabli, ali da ne biste otišli daleko, možete izvršiti naredbu u prozoru Run (Win + R) UserAccountControlSettings(radi na Windows 7, 8, 8.1 i 10).

Dostupna su četiri načina rada UAC-a:

• Prvi način onemogućava kontrolu korisničkog računa, ne pojavljuju se upiti prilikom izvođenja bilo kakvih radnji.
• Kada radi u drugom režimu, sistem traži dozvolu za pokretanje programa, ali radna površina nije zatamnjena.
• Treći način rada je podešen po defaultu. Zahtijeva se dozvola za izvršavanje programa uz prebacivanje radne površine u siguran način rada.
• Četvrti način rada uključuje maksimalan nivo zaštite, mehanizam se pokreće ne samo kada se programi pokreću, već i kada administrator pokuša promijeniti postavke.

Da biste onemogućili UAC, povucite klizač do samog dna i kliknite OK. Ako sistem zatraži, ponovo pokrenite računar.

Otvorite uređivač registra pomoću naredbe regedit i proširi ovu temu:

HKEY_LOCAL_MACHINE / SOFTWARE / Microsoft / Windows / Trenutna verzija / Pravila / Sistem

Pronađite parametar u desnoj koloni EnableLUA i promijenite njegovu vrijednost sa 1 na 0, sačuvajte postavke i restartujte.

Obratite pažnju i na parametre PromptOnSecureDesktop(0 onemogućava samo zatamnjenje) i ConsentPromptBehaviorAdmin(1 uključuje maksimalan nivo zaštite sa zahtjevom za lozinkom).

Korištenje komandne linije

Isti koraci se mogu izvesti koristeći komandnu liniju koja radi kao administrator. U ovom primjeru, naredba za potpuno onemogućavanje UAC-a bit će sljedeća:

C: /Windows/System32/cmd.exe / k% windir% / System32 / reg.exe DODAJ HKLM / SOFTVER / Microsoft / Windows / CurrentVersion / Policies / System / v EnableLUA / t REG_DWORD / d 0 / f

Prvi dio naredbe je put do datoteke za upravljanje registratorom, drugi je ključ koji se može uređivati, EnableLUA je parametar odgovoran za onemogućavanje UAC-a, 0 je njegova nova vrijednost. Zamjenom drugih podataka za parametar i njegove vrijednosti, možete promijeniti postavke drugih UAC modova (vidi gore). Kao i kod unošenja izmjena putem registra, morat ćete ponovo pokrenuti računar.

Politika lokalne grupe

UAC možete onemogućiti i pomoću uređivača lokalnih grupnih pravila. Pokrenite ga naredbom gpedit.msc i pratite stazu Konfiguracija računara - Windows konfiguracija - Sigurnosne opcije - Lokalne politike - Sigurnosne opcije.

Postoji mnogo pravila za upravljanje postavkama UAC-a u desnoj koloni, ali vam je potrebna samo jedna da biste onemogućili UAC - svi administratori rade u Admin Approval Modu. Dvaput kliknite na njega i postavite radio dugme u dijaloškom okviru na poziciju "Onemogućeno", a zatim ponovo pokrenite računar.

Onemogućite kontrolu za određenu aplikaciju

I na kraju, pogledajmo još jednu zanimljivu tačku, naime onemogućavanje UAC-a u Windowsu 7/10 za određene programe. Postoji nekoliko načina da to učinite, ali nisu svi prikladni. Ako sebe smatrate naprednim korisnikom, možete se poigrati sa kompletom alata za kompatibilnost aplikacija, koji vam omogućava da radite neke zanimljive stvari. Ponudićemo jednostavniji uslužni program Winaero tweaker od domaćeg programera. Pokrenite ga, skrolujte listu opcija skoro do samog dna i tamo pronađite Elevated Shortcut.

U desnom dijelu prozora uslužnog programa, u polju Cilj, navedite putanju do izvršne datoteke aplikacije koju želite pokrenuti zaobilazeći UAC, a u polju Lokacija prečica navedite putanju do prečice za pokretanje.

Kliknite na dugme "Kreiraj povišenu prečicu" i prečica će biti kreirana. Jednostavna, brza i praktična, ali ova metoda ima mali nedostatak. Kada pokrenete aplikaciju preko kreirane prečice, na ekranu će se na trenutak pojaviti prozor komandne linije.

Možete isprobati i ovu metodu. Kreirajte novi zadatak u Task Scheduleru.

Na kartici "Općenito" dajte mu ime, na primjer, "Pokreni uređivač registra bez UAC-a", a zatim potvrdite izbor u polju za potvrdu "Pokreni s najvišim pravima" na dnu.

U prozoru koji se otvori navedite punu putanju do izvršne datoteke programa.

Prebacite se na karticu "Uvjeti" i uklonite potvrdne okvire "Pokreni samo kada se napaja iz mreže" i "Zaustavi kada prelazite na napajanje iz baterije".

Zadatak spremamo i provjeravamo ga u akciji klikom na "Pokreni".

Ako je program počeo kako je očekivano, bez UAC prompta, preostalo je samo da se napravi prečica. Kreirajte ga na radnoj površini i upišite naredbu u polje lokacije objekta schtasks / run / tn "ime zadatka", gdje je "ime zadatka" naziv vašeg zadatka.

To je sve.

Nažalost, ova metoda ima i svoj nedostatak - aplikacije će raditi u pozadini, odnosno bez fokusiranja, ali to se može ispraviti unošenjem putanje do polja Task Scheduler umjesto putanje do vašeg programa C: /Windows/system32/cmd.exe, i u polju za dodavanje argumenata / c pokrenite "" program.exe, pri čemu je program.exe naziv izvršne datoteke programa za zaobilaženje kontrole naloga.

Možda je ovo sve što smo hteli da vam kažemo o kontroli korisničkog naloga u Windows 7/10. Ostavite svoje primjedbe i komentare koristeći formu ispod.

UAC je element Microsoft operativnih sistema koji se pojavio u katastrofalnoj Visti. Od korisnika traži potvrdu radnji na računaru koje zahtijevaju administratorske privilegije. Ovo se radi kako bi se spriječile neovlaštene promjene sistemskih parametara. Ako ste sigurni da sopstvenim postupcima nećete oštetiti računar, a zaštićen je antivirusnim programom, u nastavku je prikazano kako da onemogućite UAC u Windows 10.

Takvi prozori iskaču zbog vremenskih promjena, pokretanja instalacionih datoteka, unošenja promjena u registrator, start i postavke trake zadataka, kao i prilikom konfigurisanja Windows 10 preko postavki i kontrolne table.

Osim što štiti vaše računalo od djelovanja značajnog broja zlonamjernih i virusnih programa, UAC upozorava korisnika kada pokuša promijeniti važne postavke OS-a. Zahvaljujući iskačućem prozoru upozorenja, korisnik postaje odgovorniji za izmjene prvih deset.

a
Nije tajna da je kontrola korisničkog računa aktivirana po defaultu. Nivo zaštite je na oko 3 od četiri moguća položaja.

• "Uvijek obavijestite korisnika o pokušajima da instalirate/deinstalirate aplikaciju ili izvršite prilagođavanja sistemskog registra na bilo koji način." Ova opcija pruža maksimalnu sigurnost računara i neće dozvoliti bilo kakvim programima i skriptama da izvrše bilo koju radnju koja zahtijeva administratorske privilegije bez vašeg znanja. Da bi potvrdili radnje, neadministratori će morati stalno unositi lozinku.
• Upozorenje kada aplikacije pokušaju izvršiti promjene na računaru bez zaklanjanja radne površine. Podrazumevana postavka vam omogućava da kontrolišete samo rad aplikacija, ali ne i radnje korisnika.
• Isto kao i prethodna verzija, ali sa zasjenjenom radnom površinom.
• Nikada ne obavještavaj - UAC je onemogućen i ne prikazuje nikakva upozorenja.

Shvatili smo mehanizam rada i svrhu alata za kontrolu korisničkog računa, pogledajmo kako onemogućiti UAC u Windows 10.

Prekinite vezu preko GUI

Najlakši za početnike, a samim tim i najpopularniji način za deaktivaciju alata je aplet kontrolne ploče pod nazivom "Računi".

1. Idemo na "Control Panel" koristeći WinX meni.
2. Prelazimo na stavku odgovornu za postavljanje računa (nalazi se jedna od posljednjih).
3. Slijedite vezu "Promijenite postavke kontrole korisničkog računa".

Radnja će zahtijevati od korisnika da ima administratorske privilegije.

Lakši način da otvorite ovaj prozor je da izvršite komandu u traci za pretragu ili u prozoru Run (da bismo je pozvali, koristimo kombinaciju tastera Win + R).

Otvara se prozor sa vertikalnim klizačem sa četiri pozicije, koji vam omogućava da ručno promijenite postavke UAC-a. Pomicanje klizača je praćeno pojavom objašnjenja njegovog trenutnog stanja, koje je gore opisano.

Da biste onemogućili UAC, pomaknite klizač u donju poziciju, kliknite na "OK" i potvrdite radnju koja zahtijeva izmjene u registru Windows 10.

Odlukom da se riješite redovito iskačućih dosadnih poruka, trebali biste biti izuzetno oprezni, jer će svaka aplikacija ili skripta imati ista prava kao i korisnik. UAC neće moći prijaviti aktivnost zlonamjernih aplikacija kojima je dozvoljeno da mijenjaju gotovo sve Windows postavke i modificiraju značajan dio sistemskih datoteka, uključujući unose u registratoru.

Onemogućite UAC preko sistemskog registra

Registar, čiji se pristup zapisima vrši putem posebnog uređivača, pohranjuje većinu postavki i informacija koje se tiču ​​vašeg računara i Windows 10. UAC parametri koje ste naučili mijenjati putem "Control Panel" također su pohranjeni. u registru. Stoga se mogu mijenjati uređivanjem odgovarajućih ključeva.

1. Izvršavamo "regedit".
2. Proširite sekcije HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System jedan po jedan.
3. Postavite vrijednost PromptOnSecureDesktop na "0" nakon dvostrukog klika na ime / ikonu ključa.
4. Slično, promijenite ConsentPromptBehaviorAdmin u "0".

Promjene stupaju na snagu odmah nakon klika na dugme "OK", bez potrebe da korisnik ponovo pokrene Windows 10 shell ili sam OS.

Ključ PromptOnSecureDesktop je odgovoran za zatamnjenje radne površine (1 - zatamnjeno, 0 - ne, ostale vrijednosti su automatski jednake jedan) kada je UAC omogućen.

Vrijednosti ConsentPromptBehaviorAdmin i PromptOnSecureDesktop mogu biti sljedeće:

• 1 i 2 odgovaraju gornjoj poziciji klizača - uvijek obavijesti;
• 1 i 5 - druga pozicija - zadana vrijednost;
• 0 i 5 - obavještavanje bez zatamnjivanja ekrana.

Od izlaska mrežne verzije operativnog sistema Windows NT, sve naknadne modifikacije počele su aktivno koristiti Kontrolu korisničkog naloga, koja se ranije koristila isključivo za mainframe i servere. U desktop verzijama sistema nije bilo razdvajanja administratorskih i običnih korisničkih prava. Stoga, bilo koji instalirani ili instalirani programi mogli bi izvršiti vlastita prilagođavanja sistemskih postavki, što bi moglo poremetiti rad samog operativnog sistema.

Šta je kontrola korisničkog računa i čemu služi?

U sistemima iznad podjela prava postala je vidljivija. Na kraju je dostigao vrhunac u Windows 7. Dakle, sistem ima tri kategorije prava pristupa za promjenu postavki sistema (a za to je dizajnirana kontrola korisničkog računa) na nivou administratora, redovnog korisnika i super administratora. Potonji, inače, ima najviše privilegija, a on sam nije registrovani korisnik, već neka vrsta sistemskog fantoma, čiju radnju praktički ne kontrolišu vlasnici računara, iako se ovaj nalog može onemogućiti.

Kao što je već jasno, kontrola korisničkog naloga u Windows-u je uvedena kako korisnik ne bi mogao slučajno ili namjerno mijenjati sistemske parametre ili brisati kritične datoteke. I to se odnosi ne samo na njegove vlastite nepromišljene radnje, već i na instalirane ili pokrenute programe koji mogu sami promijeniti parametre bez znanja korisnika, a da ne spominjemo sve vrste virusa i prijetnji.

Koje parametre pokriva kontrola?

Sada pogledajmo na brzinu na koje radnje korisnika ili aplikacije utiče ovaj restriktivni alat za Windows. Nećemo dati potpunu listu zabrana, ali ćemo se ograničiti na glavne situacije:

• instalacija / uklanjanje aplikacijskih aplikacija, drajvera i ActiveX kontrola;
• instalacija ažuriranja sistema;
• promjena postavki zaštitnog zida i samog kontrolnog alata;
• stvaranje ili brisanje registracionih zapisa;
• postavljanje i uklanjanje roditeljske kontrole;
• radnje sa "Task Scheduler";
• obnavljanje elemenata sistema iz rezervnih kopija;
• sve radnje sa datotekama i direktorijumima drugih korisnika;
• promjena vremena (ali ne i vremenske zone);
• radnje u uređivaču registra itd.

Kako da isključim kontrolu korisničkog naloga?

Da biste to učinili, trebate pozvati odjeljak računa kroz "Kontrolna tabla" i otići na stavku za promjenu opcija kontrole (u Windows 10, da biste pozvali željeni odjeljak, možete jednostavno unijeti skraćenicu UAC u polje za pretragu).

U prozoru za podešavanja sa leve strane nalazi se klizač, pomeranjem kojeg se podešava željeni nivo. Postoje samo četiri opcije podešavanja:

• trajno obavještenje (za sve programe i redovne korisnike);
• obaveštenje samo kada pokušavate da izvršite promene u sistemskim postavkama (samo za programe);
• obavještenje pri promjeni sistemskih parametara, ali bez zatamnjivanja ekrana;
• potpuno gašenje.

Imajte na umu da će, ako potpuno deaktivirate kontrolu, sve instalirane aplikacije (uključujući i viruse) imati ista prava kao administrator, tako da u ovom slučaju morate biti krajnje oprezni i stotinu puta razmisliti o uvođenju ovakvih promjena na sistemu.

Deaktiviranje kontrole kroz sistemski registar

U Windows-u je to moguće i preko sistemskog registra. Da pozovete uređivač, koristite naredbu regedit, koja je napisana u polju menija Pokreni.

Ovdje biste trebali pratiti granu HKLM do odjeljka Police i sistem, gdje se nalaze tri parametra na desnoj strani: EnableLUA, PromptOnSecureDesktop i ConsentPromptBehaviorAdmin.

Njihovo uređivanje se vrši dvostrukim klikom. Kombinacije prikazane u nastavku odgovaraju gore opisanim vrijednostima, koje se mogu podesiti klizačem u kontrolnom dijelu i redoslijedom navedenih tipki:

1. 1, 1, 2.
2. 1, 1, 5.
3. 1, 0, 5.
4. 1, 0, 0.

Ako pažljivo pogledate lokaciju ključeva, lako je uočiti da se nalaze u odjeljku politike, koji se također može pozvati kroz postavke sistema Windows. Međutim, registar ima veći prioritet, tako da se pitanja promjene postavki ne razmatraju u politikama.

Da li se isplati sniziti nivo kontrole?

Ukratko, to je sve o kontroli korisničkog naloga. Konačno, ostaje da se riješi pitanje koliko je svrsishodno onemogućiti kontrolu. Čini se da ga možete potpuno deaktivirati samo ako nemate pristup internetu, odakle bi virusi mogli procuriti u sistem, ili nećete instalirati nikakve programe. Ali u općoj verziji, možete jednostavno spustiti nivo kontrole (na treću tačku), ako je to tako hitno potrebno. Također se ne preporučuje postavljanje maksimalnog nivoa, jer će sistem izdavati zahtjeve za potvrdu u svakoj prilici, a razumijete da će se ovo svidjeti malom broju ljudi.

Kontrola korisničkog naloga je verovatno najpotcenjenija, a možda čak i najomraženija funkcija koja je debitovala u Visti i postala deo svih narednih verzija Windows-a. Uglavnom, tok mržnje koji korisnici izlivaju na Kontrolu korisničkog naloga, smatram nezasluženim, jer je funkcija od stvarne koristi. Potpuno se slažem da ponekad Kontrola korisničkog naloga (u daljem tekstu samo UAC) može biti prilično neugodna, ali je implementirana u Windows za određenu svrhu. Ne, ne da bi ometao korisnike, već da bi olakšao nesmetan prelazak sa standardnog (ograničenog) naloga na administratorski nalog.

U ovom članku ću objasniti šta je UAC, kako radi, zašto je potreban i kako ga postaviti. Nemam namjeru da vam dam bilo kakve smjernice zašto biste trebali koristiti UAC, već vas samo informiram o tome čega ste lišeni onemogućavanjem ove funkcije.

Malo pozadine i informacija o računu

Kao što treba da znate, Windows radi sa takozvanim nalozima. Oni su dva tipa: administratorski i standardni (ograničeni).

Administratorski nalog daje korisniku potpuni pristup svim funkcijama operativnog sistema, tj. korisnik može da radi šta god želi. Standardni korisnik naloga ima smanjena prava, pa mu je stoga dozvoljeno samo nekoliko stvari. Ovo je obično sve što utiče samo na trenutnog korisnika. Na primjer: promjena pozadine na radnoj površini, postavke miša, promjena zvučne šeme itd. Generalno, sve što se tiče određenog korisnika i ne odnosi se na ceo sistem dostupno je na standardnom nalogu. Sve što može uticati na sistem kao celinu zahteva administratorski pristup.

Jedan od zadataka koji je dodijeljen ovim nalozima je zaštita od zlonamjernog koda. Opšta ideja je da korisnik treba da obavlja normalan posao pod ograničenim nalogom i da se prebaci na administratorski nalog samo kada to zahteva neka radnja. Paradoksalno, ali zlonamerni programi dobijaju isti nivo prava sa kojim se korisnik prijavio na sistem.

U Windows 2000 i Windows XP, implementacija radnji u ime administratora nije dovoljno fleksibilna, pa stoga nije bilo baš zgodno raditi pod ograničenim nalogom. Jedan od načina da izvršite radnju administratora u ovim verzijama sistema izgleda ovako: odjavite se sa ograničenog naloga (ili brzo prebacite ako ste koristili Windows XP) -> prijavite se na administratorski nalog -> izvršite akciju - > odjavite se sa administratorskog naloga (ili brzo prebacite ako koristite Windows XP) -> vratite se na ograničeni nalog.

Druga opcija je korištenje kontekstnog izbornika i opcije "Pokreni kao drugi korisnik" koja otvara prozor u kojem morate navesti odgovarajući administratorski nalog i lozinku da biste pokrenuli datoteku kao administrator. Ovo je prilično brz način za prebacivanje s jednog računa na drugi, ali se ne odnosi ni na jednu situaciju koja zahtijeva administrativne privilegije. Drugi problem sa ovom metodom je taj što administratorski nalog mora imati lozinku, inače neće uspjeti.

Zbog toga je kontrola korisničkog naloga uvedena u Windows Vista, au Windows 7 je dovedena do gotovo savršenstva.

Šta je UAC

UAC je funkcija u Windows Vista, 7, 8, 8.1 i 10 koja ima za cilj da učini tranziciju sa ograničenog na administratora što glatkijim i bez problema, eliminišući potrebu za ručnim pokretanjem datoteka sa administratorskim privilegijama ili prebacivanjem između naloga. Osim toga, UAC je dodatni sloj zaštite koji ne zahtijeva gotovo nikakav napor od strane korisnika, ali može spriječiti ozbiljna oštećenja.

Kako UAC radi

Kada se korisnik prijavi na svoj nalog, Windows kreira takozvani korisnički pristupni token, koji sadrži određene informacije o ovom nalogu i uglavnom različite bezbednosne identifikatore koje operativni sistem koristi za kontrolu pristupačnosti ovog naloga. Drugim riječima, ovaj token je neka vrsta ličnog dokumenta (poput pasoša, na primjer). Ovo se odnosi na sve verzije Windows-a zasnovane na NT kernelu: NT, 2000, XP, Vista, 7, 8 i 10.

Kada se korisnik prijavi na standardni nalog (ograničeno), kreira se standardni korisnički token sa ograničenim pravima. Kada se korisnik prijavi na administratorski račun, nastaje tzv. administratorski token sa punim pristupom. To je logično.

Međutim, u Windows Vista, 7, 8 i 10, ako je UAC omogućen i korisnik je prijavljen na administratorski nalog, Windows kreira dva tokena. Administrator ostaje u pozadini, dok se po defaultu koristi za pokretanje Explorer.exe. To jest, Explorer.exe radi sa ograničenim pravima. U ovom slučaju, svi procesi pokrenuti nakon ovoga postaju Explorer.exe potprocesi sa naslijeđenim ograničenim privilegijama glavnog procesa. Ako proces zahtijeva administratorska prava, on traži administratorski token, a Windows, zauzvrat, traži od korisnika dozvolu da pruži procesu sa ovim tokenom u posebnom dijaloškom okviru.

Ovaj dijalog sadrži takozvanu bezbednu radnu površinu kojoj samo operativni sistem ima pristup. Izgleda kao zatamnjeni snimak prave radne površine i sadrži samo prozor za potvrdu administratorskih prava i eventualno jezičku traku (ako je aktivirano više od jednog jezika).

Ako se korisnik ne slaže i klikne "Ne", Windows će procesu odbiti administratorski token. A ako se složi i odabere "Da", operativni sistem će dodijeliti procesu potrebne privilegije, odnosno administratorski token.

Ako se proces već izvodi s povišenim privilegijama, bit će ponovo pokrenut s povišenim (administratorskim) privilegijama. Proces se ne može direktno "smanjiti" ili "promovisati". Nakon što je proces pokrenut s jednim tokenom, neće moći dobiti druga prava dok se ponovo ne pokrene s novim pravima. Primjer je Task Manager, koji uvijek počinje s ograničenim pravima. Ako kliknete na dugme Prikaži procese svih korisnika, Task Manager se zatvara i ponovo pokreće, ali sa administratorskim pravima.

Kada koristite standardni nalog, UAC traži određeni administratorski nalog i unesite lozinku:

Kako UAC štiti korisnika

Sam UAC ne pruža veliku zaštitu. To samo olakšava prelazak iz ograničenog okruženja u administrativno. Dakle, ispravnija formulacija pitanja je, dakle, sljedeća: kako ograničeni račun obeshrabruje korisnika. Pod ograničenim korisničkim profilom, procesi ne mogu pristupiti određenim sistemskim zonama:

• glavna particija diska;
• korisničke fascikle drugih korisnika u fascikli \ Korisnici \;
• folder Program Files;
• Windows folder i sve njegove podmape;
• sekcije drugih naloga u sistemskom registru
• HKEY_LOCAL_MACHINE odjeljak u sistemskom registru.

Bilo koji proces (ili zlonamjerni kod) bez administratorskih prava ne može prodreti duboko u sistem, bez pristupa potrebnim folderima i ključevima registratora, te stoga ne može ozbiljno oštetiti sistem.

Može li UAC ometati starije programe koji nisu službeno kompatibilni sa Vistom / 7/8/10

Ne treba. Kada je UAC omogućen, omogućena je i virtuelizacija. Neki stari i/ili samo traljavo napisani programi ne koriste ispravne foldere za pohranjivanje svojih datoteka (podešavanja, evidencije, itd.). Ispravne fascikle su fascikle u direktorijumu AppData koji svaki nalog ima i gde svaki program može da kreira fasciklu za skladištenje šta god želi.

Neki programi pokušavaju da sačuvaju svoje datoteke u Program Files i/ili Windows. Ako se program pokrene s administratorskim pravima, to neće biti problem. Međutim, ako se program izvršava s ograničenim dozvolama, neće moći mijenjati datoteke/fascikle u programskim datotekama i/ili Windows-u. Operativni sistem to jednostavno ne dozvoljava.

Da bi sprečio probleme sa takvim programima, Windows nudi virtuelizaciju fascikli i ključeva registratora, kojima programi sa ograničenim pravima u principu nemaju pristup. Kada takav program pokuša kreirati datoteku u zaštićenoj fascikli, operativni sistem je preusmjerava u posebnu mapu VirtualStore koja se nalazi u X: \ Korisnici \<имя-вашего-профиля>\ AppData \ Lokalno \(gdje X: ovo je sistemska particija, obično C :). One. Kroz oči samog programa, sve je u redu. Ona ne nailazi na prepreke i vjeruje da kreira datoteke/fascikle točno tamo gdje želi. VirtualStore obično sadrži Programske datoteke i Windows podfoldere. Evo snimka ekrana programskih datoteka u mom VirtualStore folderu:

A evo šta se nalazi u folderu SopCast, na primjer:

One. ako je UAC zaustavljen ili je program uvijek pokretan sa administratorskim pravima, ovi fajlovi / fascikle bi se kreirale u C: \ Program Files \ SopCast. U Windows XP-u bi se ovi fajlovi i fascikle kreirali bez problema, jer u Windows XP-u svi programi po podrazumevanoj vrednosti imaju administratorska prava.

Ovo, naravno, programeri ne bi trebali gledati kao trajno rješenje. Dužnost svakog autora je da kreira softver koji je u potpunosti kompatibilan sa aktuelnim operativnim sistemima.

UAC dijaloški okviri

Možda ste primijetili da postoje samo tri različita UAC dijaloška okvira. Ovde ćemo pogledati one u Windows 7, 8.x i 10. U Visti, dijalozi su malo drugačiji, ali se nećemo zadržavati na njima.

Prvi tip prozora ima tamnoplavu traku na vrhu i ikonu štita u gornjem lijevom uglu, koja je podijeljena na 2 plava i 2 žuta dijela. Ovaj prozor se pojavljuje kada je potrebna potvrda za digitalno potpisan proces koji pripada operativnom sistemu - tzv. Windows binarne datoteke. O njima ćemo govoriti u nastavku.

Drugi tip prozora takođe ima tamnoplavu traku, ali je ikona štita potpuno plava i ima znak pitanja. Ovaj prozor se pojavljuje kada je potrebna potvrda za digitalno potpisan proces, ali proces/datoteka ne pripada operativnom sistemu.

Treći prozor je ukrašen narandžastom prugom, štit je također narandžaste boje, ali sa uskličnikom. Ovaj dijalog se pojavljuje kada je potrebna potvrda za nepotpisani proces.

UAC postavke

Postavke kontrole korisničkog računa (režimi rada) se nalaze u Kontrolna tabla -> Sistem i sigurnost -> Promjena postavki kontrole korisničkog računa... Ima ih samo 4:

Uvijek obavijesti je najviši nivo. Ovaj režim je ekvivalentan načinu na koji UAC radi u operativnom sistemu Windows Vista. U ovom režimu, sistem uvek zahteva potvrdu administratorskih prava, bez obzira na proces i šta zahteva.

Drugi nivo se podrazumevano koristi u Windows 7, 8.x i 10. U ovom režimu, Windows ne prikazuje UAC prozor kada su u pitanju takozvane Windows binarne datoteke. One. ako datoteka/proces koji zahtijeva administratorska prava ispunjava sljedeća 3 uslova, operativni sistem će ih automatski odobriti, bez potvrde korisnika:

• datoteka ima ugrađen manifest ili kao zasebna datoteka, što ukazuje na automatsko podizanje;
• datoteka se nalazi u Windows folderu (ili u bilo kojoj od njegovih podfoldera);
• datoteka je potpisana važećim Windows digitalnim potpisom.

Treći način rada je isti kao i drugi (prethodni) način rada, s tom razlikom što ne koristi bezbednu radnu površinu. To jest, ekran nije zatamnjen, a UAC dijaloški okvir se pojavljuje kao i svaki drugi. Microsoft ne preporučuje korištenje ove opcije, a kasnije ću objasniti zašto.

Ne obavještavaj me je četvrti i posljednji nivo. U stvari, to znači potpuno onemogućavanje UAC-a.

Ovdje je relevantno dati dvije napomene:

• Windows digitalni potpis se posebno odnosi na operativni sistem. Ovo kažem jer postoje i fajlovi koje je Microsoft potpisao digitalno. Ovo su dva odvojena potpisa, pri čemu UAC prepoznaje samo Windows digitalni potpis jer služi kao dokaz da datoteka nije samo od Microsofta, već je i dio operativnog sistema.
• nemaju sve Windows datoteke manifest automatskog podizanja. Postoje fajlovi koji su to namjerno lišeni. Na primjer, regedit.exe i cmd.exe. Jasno je da je drugi lišen automatske promocije, jer se vrlo često koristi za pokretanje drugih procesa, a kao što je već spomenuto, svaki novi proces nasljeđuje prava procesa koji ga je pokrenuo. To znači da svako može koristiti komandnu liniju za pokretanje bilo kojeg procesa sa administratorskim privilegijama bez ikakvih problema. Na sreću, Microsoft nije budala.

Zašto je važno koristiti bezbednu radnu površinu

Sigurna radna površina sprečava bilo kakvu moguću smetnju i uticaj drugih procesa. Kao što je već pomenuto, pristup ima samo operativni sistem, a uz njega prihvata samo osnovne komande od korisnika, odnosno pritiskanje dugmeta „Da“ ili „Ne“.

Ako ne koristite sigurnu radnu površinu, napadač može lažirati UAC prozor kako bi vas prevario i pokrenuo vašu zlonamjernu datoteku s administratorskim privilegijama.

Kada su vam potrebna administratorska prava? Kada se pojavljuje prozor UAC?

Generalno, postoje tri slučaja u kojima se UAC obraća korisniku:

• pri promeni sistemskih (nekorisničkih) postavki, iako se u stvarnosti to odnosi samo na maksimalni nivo UAC;
• prilikom instaliranja ili deinstaliranja programa / upravljačkog programa;
• kada aplikacija/proces zahtijeva administratorske privilegije za unošenje promjena u sistemske datoteke/fascikle ili ključeve sistemskog registra.

Zašto je važno ne onemogućiti UAC

Kontrola korisničkog naloga pruža visok nivo zaštite, a zauzvrat ne zahteva gotovo ništa. To jest, efikasnost UAC-a je veoma visoka. Ne razumijem zašto toliko nervira ljude. U svakodnevnom radu, prosječan korisnik vidi prozor UAC 1-2 puta dnevno. Možda čak i 0. Je li to toliko?

Prosječan korisnik rijetko mijenja postavke sistema, a kada to učini, UAC se ne trudi postavljati pitanja sve dok radi sa zadanim postavkama.

Prosječan korisnik ne instalira drajvere i softver svaki dan. Svi drajveri i većina potrebnih programa se instaliraju jednom - nakon instalacije Windows-a. Odnosno, ovo je glavni postotak UAC zahtjeva. Nakon toga, UAC interveniše samo prilikom ažuriranja, ali nove verzije programa ne izlaze svaki dan, a da ne spominjemo drajvere. Štaviše, mnogi uopšte ne ažuriraju programe ili drajvere, što dodatno smanjuje probleme UAC-a.

Vrlo malo programa treba administratorska prava da bi obavljali svoj posao. To su uglavnom defragmentatori, alati za čišćenje i optimizaciju, neki dijagnostički programi (AIDA64, HWMonitor, SpeedFan, itd.) i postavke sistema (Process Explorer i Autoruns, na primjer, ali samo ako treba da uradite nešto specifično - recimo, onemogućite drajver / servis ili program koji počinje sa Windows). A sve su to programi koji se ili uopšte ne mogu koristiti, ili u rijetkim slučajevima. Sve najčešće korištene aplikacije rade sa UAC-om potpuno dobro i ne postavljaju nikakva pitanja:

• multimedijski playeri (audio i/ili video);
• video/audio pretvarači;
• programi za obradu slika/video/audio;
• programi za snimanje screenshot-a radne površine ili video snimanja na njoj;
• Programi za gledanje slika;
• web pretraživači;
• programi za preuzimanje datoteka (menadžeri preuzimanja i P2P klijenti);
• FTP klijenti;
• instant messengeri ili programi za glasovnu/video komunikaciju;
• Programi za snimanje diskova;
• arhivari;
• uređivači teksta;
• PDF čitači;
• virtuelne mašine;
• i sl.

Čak i instaliranje Windows ažuriranja ne koristi UAC prozor.

Postoje ljudi koji su spremni da žrtvuju 1-2 minuta ili više dnevno kako bi "optimizirali" sistem nekim krivo napisanim programima koji ne rade ništa korisno, ali nisu voljni da potroše nekoliko sekundi dnevno na odgovaranje na UAC zahtjeve.

Nisu dovoljne razne izjave tipa "ja sam iskusan korisnik i znam kako da se zaštitim", jer niko nije osiguran i ishod određenih situacija ne zavisi uvijek od korisnika. Štaviše, ljudi su skloni greškama, to se dešava svima.

Dozvolite mi da vam dam jedan primjer: pretpostavimo da koristite program koji ima ranjivosti, a jednog dana se nađete na web lokaciji koja iskorištava te ranjivosti. Ako je kontrola korisničkog naloga omogućena i program radi sa ograničenim pravima, napadač neće moći napraviti mnogo problema. U suprotnom, šteta na sistemu može biti kolosalna.

A ovo je samo jedan od mnogih primjera.

Pokreni aplikacije sa Windows-om kao administrator

Priznajem da možda postoje korisnici koji isključe UAC samo da bi mogli pokrenuti programe sa Windowsom i sa administratorskim pravima. Ovo nije moguće na uobičajen način jer UAC ne može poslati prompt korisniku dok se radna površina ne učita. Međutim, postoji način na koji možete ostaviti UAC uključen. Evo ga:

• otvoriti Task Scheduler;
• kliknite Kreirajte zadatak;
• u polju Ime unesite sve što želite i na dnu prozora omogućite opciju Izvršite sa najvišim pravima;
• idite na karticu Okidači i pritisnite Stvoriti;
• u padajućem meniju na vrhu odaberite Prilikom prijave; ako želite kreirati zadatak za određenog korisnika, odaberite opciju Korisnik a zatim pritisnite Promijenite korisnika; unesite svoje korisničko ime i potvrdite pritiskom na dugme uredu;
• idite na karticu Akcije i pritisnite Stvoriti;
• kliknite Pregled, naznačite odgovarajuću aplikaciju i potvrdite svoj izbor;
• idite na karticu Uslovi i onemogućite opciju Pokrenite samo kada se napaja iz mreže;
• u kartici Parametri onemogućite opciju Zaustavi zadatak koji traje duže;
• potvrdite pritiskom na uredu.

Spreman. Zadatak je dodat tako da će se sada aplikacija automatski učitavati sa administratorskim pravima. Međutim, postoji jedna mala prepreka: svi takvi zadaci se izvode s prioritetom nižim od normalnog - ispod normalnog (ispod normalnog). Ako ti je to u redu, onda si u redu. Ako ne, onda morate još malo raditi:

• trči Task Scheduler ako ste ga već zatvorili;
• izabrati Biblioteka planera zadataka;
• označite svoj zadatak, kliknite Izvoz i sačuvajte ga u .xml formatu;
• otvorite .xml datoteku u uređivaču teksta;
• pronađite odjeljak 7 , koji bi trebao biti na kraju datoteke i promijeniti sedam (7) između otvaranja i zatvaranja oznake u pet (5);
• sačuvajte datoteku;
• u Task Scheduler, ponovo označite svoj zadatak, pritisnite Izbriši i potvrdite brisanje;
• sada pritisnite Zadatak uvoza, pokažite na datoteku koju ste upravo sačuvali i kliknite uredu.

To je sve. Na vama je da odlučite da li ćete koristiti UAC ili ne, ali je veoma važno da znate šta gubite kada onemogućite ovu funkciju, kao i da budete svesni rizika. Hvala vam na pažnji!

Ugodan dan!