Računovodstvo kontrole računa. Onemogućite UAC putem registra sustava

Kontrola korisničkog računa (UAC) je značajka sustava Windows koja pomaže spriječiti neovlaštene promjene na vašem računalu.

UAC vas štiti traženjem administratorskog dopuštenja ili lozinke prije nego što poduzmete radnju koja je potencijalno štetna za vaše računalo ili kada promijenite postavke koje bi mogle utjecati na druge korisnike.

UAC poruku koja se pojavi treba pažljivo pročitati, provjeriti odgovara li naziv radnje (programa) koji se izvodi s onom koja se stvarno izvodi (pokreće).

Provjeravanjem ovih koraka prije pokretanja, kontrola korisničkog računa pomaže spriječiti instalaciju zlonamjernog softvera i špijunskog softvera te pokušaje tih programa da izvrše neovlaštene promjene na vašem računalu.

Ako je za dovršetak posla potrebna dozvola ili lozinka, UAC će prikazati poruku upozorenja u obliku jedne od sljedećih poruka:

- Windows zahtijeva dopuštenje za nastavak:

Značajka ili program sustava Windows koji može utjecati na druge korisnike na ovom računalu zahtijeva vaše dopuštenje za pokretanje.

Provjerite naziv radnje kako biste bili sigurni da je to funkcija ili program koji želite pokrenuti.

- Program zahtijeva dopuštenje za nastavak

Program koji nije Windows zahtijeva dopuštenje za pokretanje.

Ima valjani digitalni potpis sa svojim imenom i izdavačem za provjeru autentičnosti programa. Provjerite je li to točan program koji želite pokrenuti.

- Neidentificirani program pokušava pristupiti računalu

Neprepoznat program je onaj koji nema valjani digitalni potpis izdavača za provjeru autentičnosti programa.

To ne znači nužno opasnost, jer mnogi stariji pravni programi nemaju potpisa.

Međutim, programu morate posvetiti dodatnu pažnju i dopustiti mu da radi samo ako je dobiven iz pouzdanog izvora, kao što je izvorni CD ili web stranica izdavača.

- Program je blokiran

Program čije je pokretanje na ovom računalu administrator posebno blokirao. Da biste ga pokrenuli, trebate kontaktirati administratora i zamoliti ga da deblokira program.

Evo (nepotpunog) popisa radnji koje pokreću poruku kontrole korisničkog računa:

- Promjene u direktorijima% SystemRoot% i% ProgramFiles%
- instalacija / deinstalacija softvera, drajvera i ActiveX komponenti
- promijeniti početni izbornik za sve korisnike
- Instaliranje Windows ažuriranja, konfiguriranje Windows Update
- Ponovno konfigurirajte Windows vatrozid
- Ponovno konfiguriranje UAC-a
- Dodajte/uklonite račune
- Ponovno konfiguriranje roditeljskih ograničenja
- Postavljanje planera zadataka
- Vratite datoteke sustava Windows iz sigurnosne kopije
- Sve radnje u imenicima drugih korisnika
- Promjena trenutnog vremena (međutim, promjena vremenske zone UAC ne uzrokuje)

Također nema potrebe za prebacivanjem na administratorski račun prilikom obavljanja administrativnog zadatka koji će utjecati na druge korisnike, kao što je instaliranje novog programa ili promjena postavki.

Windows će tražiti administratorsko dopuštenje ili lozinku prije izvršavanja zadatka.

Da biste poboljšali sigurnost, možete stvoriti standardne račune za sve korisnike računala.

Ako korisnik sa standardnim računom pokuša instalirati softver, Windows će tražiti lozinku administratorskog računa, tako da se ovaj softver ne može instalirati bez znanja administratora.

Uz neosporne prednosti, postoje i nedostaci, jer pri aktivnom radu za računalom, pogotovo ako je vezan uz administraciju, česti UAC upiti za korisnika mogu biti ometajući i neugodni. Osim toga, prozor zahtjeva ne daje korisniku dovoljno informacija za identifikaciju programa, a program je nemoguće "zapamtiti".

Kontrola korisničkog računa (UAC) može se onemogućiti. Da biste onemogućili UAC, morate učiniti sljedeće:

1. Unesi Upravljačka ploča
2. Ići Klasičan izgled
3. Idemo u odjeljak korisničkih računa
4. Pronađite predmet Uključite ili isključite kontrolu korisničkog računa(UAC)
5. Prihvatite UAC upozorenje klikom Nastaviti
6. Poništite okvir pored upotrebe k.y.z i kliknite u redu
7. Ponovno pokrenite računalo

Nakon ovih koraka, kontrola korisničkog računa bit će potpuno onemogućena i prozori upozorenja više vas neće smetati, ali će se razina povjerljivosti i integriteta vaših programa i podataka smanjiti.

Svaki operativni sustav trebao bi biti ne samo prikladan, funkcionalan i produktivan, već i dobro zaštićen. Ugrađena zaštita bila je prisutna u ranijim verzijama Windowsa, ali u usporedbi s onim što imamo sada, mehanizmi koje koristi nisu bili tako učinkoviti. Na primjer, korisnici XP-a su prema zadanim postavkama imali administratorske privilegije, što je moglo poslužiti kao rupa u zakonu za zlonamjerni softver koji također koristi povišene privilegije.

Upravo je iz tog razloga u XP-u i ranijim verzijama bio preporučljiv rad pod uobičajenim računom, ali ova metoda je izazvala razne poteškoće, na primjer, stalne zahtjeve administratora da izvrši neku nedužnu radnju poput promjene sustava vrijeme. Naravno, takav rad se nikako ne bi mogao nazvati produktivnim. Međutim, ubrzo je pronađeno rješenje za bolno pitanje.

Što je UAC

Počevši od Viste, Windows ima novi sigurnosni mehanizam nazvan UAC ili Kontrola korisničkog računa. Zašto je potreban UAC i kako funkcionira? Zapravo, ovo je funkcija koja vam omogućuje da spriječite spontano izvršavanje izvršnih datoteka u sustavu traženjem dozvole od administratora za operacije koje mogu napraviti manje ili više značajne promjene u radu sustava, programa ili računa drugih korisnika . Ovaj zaštitni mehanizam trenutno se koristi u svim novijim verzijama sustava Windows.

Izvana, rad kontrole korisničkog računa u sustavu Windows 7/10 očituje se u činjenici da se u trenutku pokretanja procesa pojavljuje prozor u kojem se traži da potvrdite radnju koja zahtijeva administratorska prava.

Time se radna površina prebacuje u zaštićeni način rada, sprječavajući korisnika u interakciji s drugim aplikacijama. Jedina iznimka je ugrađeni administratorski račun, koji nije ograničen UAC-om, ali je onemogućen prema zadanim postavkama.

Prednosti UAC-a su očite – da nije bilo njega, svaki virus bi se mogao pokrenuti s većim pravima kada je korisnik radio na administratorskom računu. Naravno, UAC nije lijek, ali je sasvim sposoban zaustaviti takvo neovlašteno pokretanje izvršne datoteke. Ipak, mnogi korisnici ne vole UAC, a glavni razlog tome je njegova nametljivost. Stoga ne čudi da obični korisnici često imaju pitanje kako onemogućiti kontrolu korisničkog računa u sustavu Windows 7/10.

Princip rada

Kasnije ćemo razgovarati o tome kako onemogućiti kontrolu, ali za sada pogledajmo malo dublje u UAC mehanizam. Kada se korisnik prijavi na račun, dobiva dva tokena ili jednostavniji popis dopuštenja. Prvi token je korisnički token, drugi je token administratora. Iz ovoga možemo zaključiti da administrator računala koristi dopuštenja drugog popisa, ali to nije sasvim točno. Jednostavno radi s njim, ali sam token "pripada" UAC mehanizmu, pa čak i ako pokrećete aplikacije s administratorskim pravima, i dalje vam je potrebna dozvola za kontrolu korisničkog računa.

Ovo možda nije najtočniji način da se opiše kako UAC funkcionira. Umjesto toga, kontrola se može smatrati nekom vrstom posredne veze između popisa prava korisnika i administratora. Pogledajmo pobliže što se događa tijekom instalacije / pokretanja programa kada je UAC omogućen. Kada korisnik pokrene instalacijski program, funkcija ShellExecute poziva drugu funkciju CreateProcess, koja zauzvrat pokreće AppCompat, Fusion i Installer Detection sustave kako bi provjerila trebaju li programu povišene privilegije. Ako je potrebno, funkcija CreateProcess vraća pogrešku ERROR_ELEVATION_REQUIRED, a funkcija ShellExecute pokreće UAC dijaloški okvir.

Tako se razvija lanac. Ali ovo nije kraj ovlasti UAC-a. Također sudjeluje u drugim mehanizmima, na primjer, u virtualizaciji datotečnog sustava i registra, preusmjeravajući pisanje neadministratorskih programa na posebno određena mjesta, umjesto da njihove podatke upisuje izravno u zaštićene imenike i grane registra.

Svi načini za onemogućavanje UAC-a

Sada se vratimo na to kako onemogućiti UAC u sustavu Windows 7/10. Najočitiji način je kroz sučelje. Potrebnim postavkama možete pristupiti putem apleta "Korisnički računi" na upravljačkoj ploči, ali kako ne biste otišli daleko, možete izvršiti naredbu u prozoru Run (Win + R) UserAccountControlSettings(radi na Windows 7, 8, 8.1 i 10).

Dostupna su četiri načina rada UAC-a:

• Prvi način onemogućuje kontrolu korisničkog računa, pri izvođenju bilo kakvih radnji ne pojavljuju se upiti.
• Kada radi u drugom načinu rada, sustav traži dopuštenje za pokretanje programa, ali radna površina nije zatamnjena.
• Treći način rada je postavljen prema zadanim postavkama. Zahtijeva se dopuštenje za izvršavanje programa uz prijenos radne površine u siguran način rada.
• Četvrti način rada uključuje maksimalnu razinu zaštite, mehanizam se pokreće ne samo kada se programi pokreću, već i kada administrator pokuša promijeniti postavke.

Da biste onemogućili UAC, povucite klizač do samog dna i kliknite U redu. Ako sustav zatraži, ponovno pokrenite računalo.

Otvorite uređivač registra pomoću naredbe regedit i proširi ovu temu:

HKEY_LOCAL_MACHINE / SOFTWARE / Microsoft / Windows / Trenutna verzija / Pravila / Sustav

Pronađite parametar u desnom stupcu OmogućiLUA i promijenite njegovu vrijednost iz 1 u 0, spremite postavke i ponovno pokrenite.

Obratite pažnju i na parametre PromptOnSecureDesktop(0 onemogućuje samo zatamnjenje) i ConsentPromptBehaviorAdmin(1 uključuje maksimalnu razinu zaštite sa zahtjevom lozinke).

Korištenje naredbenog retka

Isti se koraci mogu izvesti pomoću naredbenog retka koji se izvodi kao administrator. U ovom primjeru, naredba za potpuno onemogućavanje UAC-a bit će sljedeća:

C: /Windows/System32/cmd.exe / k% windir% / System32 / reg.exe DODAJ HKLM / SOFTVER / Microsoft / Windows / CurrentVersion / Policies / System / v EnableLUA / t REG_DWORD / d 0 / f

Prvi dio naredbe je put do datoteke za upravljanje registrom, drugi je ključ koji se može uređivati, EnableLUA je parametar odgovoran za onemogućavanje UAC-a, 0 je njegova nova vrijednost. Zamjenom drugih podataka za parametar i njegove vrijednosti, možete promijeniti postavke drugih UAC načina (vidi gore). Kao i kod izmjena putem registra, morat ćete ponovno pokrenuti računalo.

Pravila lokalne grupe

Također možete onemogućiti UAC pomoću uređivača lokalnih grupnih pravila. Pokrenite ga s naredbom gpedit.msc i slijedite put Konfiguracija računala - Konfiguracija sustava Windows - Sigurnosne opcije - Lokalna pravila - Sigurnosne opcije.

Postoji mnogo pravila za upravljanje postavkama UAC-a u desnom stupcu, ali trebate samo jedno da biste onemogućili UAC - svi administratori rade u načinu odobrenja administratora. Dvaput kliknite na njega i postavite radio gumb u dijaloškom okviru na poziciju "Onemogućeno", a zatim ponovno pokrenite računalo.

Onemogućite kontrolu za određenu aplikaciju

I na kraju, pogledajmo još jednu zanimljivu točku, naime onemogućavanje UAC-a u sustavu Windows 7/10 za određene programe. Postoji nekoliko načina za to, ali nisu svi prikladni. Ako se smatrate naprednim korisnikom, možete se poigrati s alatom za kompatibilnost aplikacija koji vam omogućuje neke zanimljive stvari. Ponudit ćemo jednostavniji uslužni program Winaero tweaker od domaćeg programera. Pokrenite ga, pomaknite popis opcija gotovo do samog dna i pronađite ga Elevated Shortcut.

U desnom dijelu prozora uslužnog programa, u polju Cilj, navedite put do izvršne datoteke aplikacije koju želite pokrenuti zaobilazeći UAC, a u polju Prečac odredite put do prečaca za pokretanje.

Kliknite gumb "Stvori povišeni prečac" i prečac će biti stvoren. Jednostavna, brza i praktična, ali ova metoda ima mali nedostatak. Kada pokrenete aplikaciju putem kreiranog prečaca, na ekranu će se na trenutak pojaviti prozor naredbenog retka.

Možete isprobati i ovu metodu. Napravite novi zadatak u Planeru zadataka.

Na kartici "Općenito" dajte mu naziv, na primjer "Pokreni uređivač registra bez UAC-a", a zatim potvrdite okvir "Pokreni s najvišim pravima" pri dnu.

U prozoru koji se otvori navedite puni put do izvršne datoteke programa.

Prijeđite na karticu "Uvjeti" i uklonite potvrdne okvire "Pokreni samo kada se napaja iz mreže" i "Zaustavi pri prelasku na baterijsko napajanje".

Zadatak spremamo i provjeravamo ga u akciji klikom na "Pokreni".

Ako se program pokrenuo kako se očekivalo, bez UAC prompta, preostalo je samo stvoriti prečac. Napravite ga na radnoj površini i upišite naredbu u polje lokacije objekta schtasks / run / tn "ime zadatka", gdje je "ime zadatka" naziv vašeg zadatka.

To je sve.

Nažalost, ova metoda također ima svoj nedostatak - aplikacije će raditi u pozadini, odnosno bez fokusiranja, ali to se može ispraviti unosom puta do polja Task Scheduler umjesto puta do vašeg programa C: /Windows/system32/cmd.exe, te u polju za dodavanje argumenata / c pokrenite "" program.exe, gdje je program.exe naziv izvršne datoteke programa za zaobilaženje kontrole računa.

Možda je ovo sve što smo vam htjeli reći o kontroli korisničkog računa u sustavu Windows 7/10. Ostavite svoje primjedbe i komentare putem obrasca u nastavku.

UAC je element Microsoftovih operativnih sustava koji se pojavio u katastrofalnoj Visti. Od korisnika traži potvrdu radnji na računalu koje zahtijevaju administratorske privilegije. To je učinjeno kako bi se spriječile neovlaštene promjene parametara sustava. Ako ste sigurni da vlastitim djelovanjem nećete oštetiti računalo, a zaštićeno je antivirusnim programom, u nastavku je prikazano kako onemogućiti UAC u Windows 10.

Takvi prozori iskaču zbog vremenskih promjena, pokretanja instalacijskih datoteka, izmjena registra, postavki starta i programske trake, kao i prilikom konfiguriranja sustava Windows 10 kroz postavke i upravljačku ploču.

Osim što štiti vaše računalo od djelovanja značajnog broja zlonamjernih i virusnih programa, UAC upozorava korisnika kada pokuša promijeniti važne postavke OS-a. Zahvaljujući skočnom prozoru upozorenja, korisnik postaje odgovorniji za izmjene prvih deset.

a
Nije tajna da je kontrola korisničkog računa aktivirana prema zadanim postavkama. Razina zaštite je na otprilike 3 od četiri moguća položaja.

• "Uvijek obavijestite korisnika o pokušajima instaliranja/deinstaliranja aplikacije ili na bilo koji način prilagodbe u registru sustava." Ova opcija pruža maksimalnu sigurnost računala i neće dopustiti bilo kakvim programima i skriptama da izvedu bilo koju radnju koja zahtijeva administratorske privilegije bez vašeg znanja. Da bi potvrdili radnje, neadministratori će morati stalno unositi lozinku.
• Upozorenje kada aplikacije pokušaju izvršiti promjene na računalu bez zaklanjanja radne površine. Zadana postavka omogućuje vam da kontrolirate samo rad aplikacija, ali ne i radnje korisnika.
• Isto kao i prethodna verzija, ali sa zasjenjenom radnom površinom.
• Nikada ne obavještavaj - UAC je onemogućen i ne prikazuje nikakva upozorenja.

Shvatili smo mehanizam rada i svrhu alata za kontrolu korisničkog računa, pogledajmo kako onemogućiti UAC u sustavu Windows 10.

Prekinite vezu putem GUI-ja

Najlakši za početnike i stoga najpopularniji način deaktiviranja alata je aplet upravljačke ploče pod nazivom "Računi".

1. Idemo na "Upravljačka ploča" pomoću WinX izbornika.
2. Prelazimo na stavku odgovornu za postavljanje računa (nalazi se jedan od posljednjih).
3. Slijedite vezu "Promjena postavki kontrole korisničkog računa".

Radnja će zahtijevati od korisnika da ima administratorske ovlasti.

Lakši način za otvaranje ovog prozora je da izvršite naredbu u traci za pretraživanje ili u prozoru Run (da bismo je pozvali, koristimo kombinaciju tipki Win + R).

Otvara se prozor s okomitim klizačem s četiri položaja koji vam omogućuje da ručno promijenite postavke UAC-a. Pomicanje klizača je popraćeno pojavom objašnjenja njegovog trenutnog stanja, koje je gore opisano.

Da biste onemogućili UAC, pomaknite klizač u donju poziciju, kliknite "U redu" i potvrdite radnju koja zahtijeva promjene u registru sustava Windows 10.

Odlučili ste se riješiti redovito iskačućih dosadnih poruka, trebali biste biti izuzetno oprezni, jer će svaka aplikacija ili skripta imati ista prava kao i korisnik. UAC neće moći prijaviti aktivnost zlonamjernih aplikacija kojima je dopušteno mijenjati gotovo sve postavke sustava Windows i mijenjati značajan dio sistemskih datoteka, uključujući unose u registru.

Onemogućite UAC putem registra sustava

Registar, čiji se pristup zapisima provodi putem posebnog uređivača, pohranjuje većinu postavki i informacija koje se tiču ​​vašeg računala i Windows 10. UAC parametri, koje ste naučili mijenjati putem "Upravljačke ploče", također su pohranjeni u registru. Stoga se mogu mijenjati uređivanjem odgovarajućih ključeva.

1. Izvršavamo "regedit".
2. Proširite odjeljke HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System jedan po jedan.
3. Postavite vrijednost PromptOnSecureDesktop na "0" nakon dvostrukog klika na naziv / ikonu ključa.
4. Slično, promijenite ConsentPromptBehaviorAdmin u "0".

Promjene stupaju na snagu odmah nakon klika na gumb "U redu", bez potrebe da korisnik ponovno pokrene ljusku Windows 10 ili sam OS.

Ključ PromptOnSecureDesktop odgovoran je za zatamnjenje radne površine (1 - zatamnjeno, 0 - ne, ostale vrijednosti su automatski jednake jedan) kada je UAC omogućen.

Vrijednosti ConsentPromptBehaviorAdmin i PromptOnSecureDesktop mogu biti sljedeće:

• 1 i 2 odgovaraju gornjoj poziciji klizača - uvijek obavijesti;
• 1 i 5 - druga pozicija - zadana vrijednost;
• 0 i 5 - obavijestite bez zatamnjivanja zaslona.

Od izlaska mrežne verzije operacijskog sustava Windows NT, sve naknadne izmjene počele su aktivno koristiti Kontrolu korisničkog računa, koja se prije koristila isključivo za glavna računala i poslužitelje. U desktop verzijama sustava nije bilo razdvajanja administratorskih i običnih korisničkih prava. Stoga bi svi instalirani ili instalirani programi mogli napraviti vlastite prilagodbe u postavkama sustava, što bi moglo poremetiti rad samog operacijskog sustava.

Što je kontrola korisničkog računa i čemu služi?

U sustavima iznad podjela prava postala je vidljivija. Na kraju je dosegnuo vrhunac u sustavu Windows 7. Dakle, sustav ima tri kategorije prava pristupa za promjenu postavki sustava (a Kontrola korisničkog računa je dizajnirana za to) na razini administratora, redovnog korisnika i super administratora. Potonji, inače, ima najviše privilegija, a on sam nije registrirani korisnik, već svojevrsni sistemski fantom, čiju radnju praktički ne kontroliraju vlasnici računala, iako se ovaj račun može onemogućiti.

Kao što je već jasno, kontrola korisničkog računa u Windowsima uvedena je kako korisnik ne bi mogao slučajno ili namjerno mijenjati parametre sustava ili brisati kritične datoteke. I to se ne odnosi samo na njegove vlastite nepromišljene radnje, već i na instalirane ili pokrenute programe koji mogu sami mijenjati parametre bez znanja korisnika, a da ne spominjemo sve vrste virusa i prijetnji.

Koje parametre pokriva kontrola?

Sada pogledajmo na brzinu na koje radnje korisnika ili aplikacije utječe ovaj restriktivni alat za Windows. Nećemo dati potpuni popis zabrana, ali ćemo se ograničiti na glavne situacije:

• instalacija / uklanjanje aplikacijskih aplikacija, upravljačkih programa i ActiveX kontrola;
• instalacija ažuriranja sustava;
• mijenjanje postavki vatrozida i samog kontrolnog alata;
• stvaranje ili brisanje registracijskih zapisa;
• postavljanje i uklanjanje roditeljskog nadzora;
• radnje s "Rasporedom zadataka";
• vraćanje elemenata sustava iz sigurnosnih kopija;
• sve radnje s datotekama i imenicima drugih korisnika;
• promjena vremena (ali ne i vremenske zone);
• radnje u uređivaču registra itd.

Kako mogu isključiti kontrolu korisničkog računa?

Da biste to učinili, trebate pozvati odjeljak računa kroz "Upravljačku ploču" i otići na stavku za promjenu opcija kontrole (u sustavu Windows 10, da biste pozvali željeni odjeljak, možete jednostavno unijeti kraticu UAC u polje za pretraživanje).

U prozoru postavki s lijeve strane nalazi se klizač, pomicanjem kojeg se postavlja željena razina. Postoje samo četiri opcije postavki:

• stalna obavijest (za sve programe i redovite korisnike);
• obavijest samo kada pokušavate promijeniti postavke sustava (samo za programe);
• obavijest pri promjeni parametara sustava, ali bez zatamnjivanja zaslona;
• potpuno gašenje.

Imajte na umu da će, ako potpuno deaktivirate kontrolu, sve instalirane aplikacije (uključujući viruse) imati ista prava kao administrator, pa u ovom slučaju morate biti krajnje oprezni i stotinu puta razmisliti o takvim promjenama u sustavu.

Deaktiviranje kontrole putem registra sustava

U sustavu Windows to je moguće i putem registra sustava. Za pozivanje uređivača koristite naredbu regedit koja je napisana u polju izbornika Run.

Ovdje biste trebali slijediti granu HKLM do odjeljka Police i sustav, gdje se nalaze tri parametra s desne strane: EnableLUA, PromptOnSecureDesktop i ConsentPromptBehaviorAdmin.

Njihovo uređivanje se vrši dvostrukim klikom. Kombinacije prikazane u nastavku odgovaraju gore opisanim vrijednostima, koje se mogu postaviti klizačem u kontrolnom dijelu i redoslijedom navedenih tipki:

1. 1, 1, 2.
2. 1, 1, 5.
3. 1, 0, 5.
4. 1, 0, 0.

Ako pomno pogledate položaj tipki, lako je vidjeti da se nalaze u odjeljku pravila, koji se također može pozvati putem postavki sustava Windows. Međutim, registar ima veći prioritet, pa se pitanja promjene postavki ne razmatraju u pravilima.

Isplati li se sniziti razinu kontrole?

Ukratko, to je sve o kontroli korisničkog računa. Konačno, ostaje riješiti pitanje koliko je svrsishodno onemogućiti kontrolu. Čini se da ga možete potpuno deaktivirati samo ako nemate pristup internetu, odakle bi virusi mogli procuriti u sustav ili nećete instalirati nikakve programe. Ali u općoj verziji, možete jednostavno spustiti razinu kontrole (na treću točku), ako je to tako hitno potrebno. Također se ne preporučuje postavljanje maksimalne razine, budući da će sustav izdavati zahtjeve za potvrdu u svakoj prilici, a razumijete da će se vrlo malo ljudi ovo svidjeti.

Kontrola korisničkog računa je vjerojatno najpodcijenjenija, a možda čak i najomraženija značajka koja je debitirala u Visti i postala dio svih sljedećih verzija sustava Windows. Uglavnom, tok mržnje koji korisnici izlijevaju na Kontrolu korisničkog računa smatram nezasluženim, budući da je funkcija od stvarne koristi. Potpuno se slažem da ponekad Kontrola korisničkog računa (u daljnjem tekstu samo UAC) može biti prilično neugodna, ali je implementirana u Windows za određenu svrhu. Ne, ne radi ometanja korisnika, već radi lakšeg prijelaza sa standardnog (ograničenog) računa na račun administratora.

U ovom članku objasnit ću što je UAC, kako radi, zašto je potreban i kako ga postaviti. Nemam vam namjeru dati vam bilo kakve smjernice zašto biste trebali koristiti UAC, već vas samo informiram o tome za što ste lišeni onemogućavanja ove značajke.

Malo pozadine i informacija o računu

Kao što trebate znati, Windows radi s takozvanim računima. Oni su dvije vrste: administratorski i standardni (ograničeni).

Administratorski račun daje korisniku potpuni pristup svim funkcijama operacijskog sustava, tj. korisnik može raditi što god želi. Standardni korisnik računa ima smanjena prava i stoga mu je dopušteno samo nekoliko stvari. To je obično sve što utječe samo na trenutnog korisnika. Na primjer: promjena pozadine na radnoj površini, postavke miša, promjena zvučne sheme itd. Općenito, sve što se tiče određenog korisnika i ne odnosi se na cijeli sustav dostupno je na standardnom računu. Sve što može utjecati na sustav u cjelini zahtijeva administratorski pristup.

Jedan od zadataka dodijeljenih tim računima je zaštita od zlonamjernog koda. Opća ideja ovdje je da bi korisnik trebao obavljati normalan posao pod ograničenim računom i prebaciti se na administratorski račun samo kada to zahtijeva neka radnja. Paradoksalno, ali zlonamjerni programi dobivaju istu razinu prava s kojom se korisnik prijavio na sustav.

U sustavima Windows 2000 i Windows XP implementacija radnji u ime administratora nije dovoljno fleksibilna, pa stoga nije bilo baš zgodno raditi pod ograničenim računom. Jedan od načina za izvođenje radnje administratora u ovim verzijama sustava izgleda ovako: odjavite se s ograničenog računa (ili brzo prebacite ako ste koristili Windows XP) -> prijavite se na administratorski račun -> izvršite radnju - > odjavite se s administratorskog računa (ili brzo prebacite ako koristite Windows XP) -> vratite se na ograničeni račun.

Druga mogućnost je korištenje kontekstnog izbornika i opcije "Pokreni kao drugi korisnik" koja otvara prozor u kojem morate navesti odgovarajući administratorski račun i lozinku kako biste datoteku pokrenuli kao administrator. Ovo je prilično brz način za prebacivanje s jednog računa na drugi, ali se ne odnosi ni na jednu situaciju koja zahtijeva administrativne privilegije. Drugi problem s ovom metodom je taj što administratorski račun mora imati lozinku, inače neće uspjeti.

Zbog toga je kontrola korisničkog računa uvedena u sustav Windows Vista, a u sustavu Windows 7 dovedena je gotovo do savršenstva.

Što je UAC

UAC je značajka u sustavima Windows Vista, 7, 8, 8.1 i 10 koja ima za cilj učiniti prijelaz s ograničenog na administratora što glatkijim i bez muke, eliminirajući potrebu za ručnim pokretanjem datoteka s administratorskim povlasticama ili prebacivanjem između računa. Osim toga, UAC je dodatni sloj zaštite koji ne zahtijeva gotovo nikakav napor od strane korisnika, ali može spriječiti ozbiljna oštećenja.

Kako UAC radi

Kada se korisnik prijavi na svoj račun, Windows stvara tzv. korisnički pristupni token, koji sadrži određene podatke o ovom računu i uglavnom različite sigurnosne identifikatore koje operativni sustav koristi za kontrolu pristupačnosti ovog računa. Drugim riječima, ovaj token je vrsta osobnog dokumenta (poput putovnice, na primjer). Ovo se odnosi na sve verzije sustava Windows temeljene na NT kernelu: NT, 2000, XP, Vista, 7, 8 i 10.

Kada se korisnik prijavi na standardni račun (ograničeno), stvara se standardni korisnički token s ograničenim pravima. Kada se korisnik prijavi na administratorski račun, nastaje tzv. administratorski token s punim pristupom. Logično je.

Međutim, u sustavu Windows Vista, 7, 8 i 10, ako je UAC omogućen i korisnik je prijavljen na administratorski račun, Windows stvara dva tokena. Administrator ostaje u pozadini, dok se zadano koristi za pokretanje Explorer.exe. To jest, Explorer.exe radi s ograničenim pravima. U ovom slučaju, svi procesi pokrenuti nakon toga postaju podprocesi Explorer.exe s naslijeđenim ograničenim privilegijama glavnog procesa. Ako proces zahtijeva administratorska prava, traži administratorski token, a Windows zauzvrat traži od korisnika dopuštenje da procesu pruži ovaj token u posebnom dijaloškom okviru.

Ovaj dijaloški okvir sadrži takozvanu sigurnu radnu površinu kojoj samo operativni sustav ima pristup. Izgleda kao zatamnjena snimka stvarne radne površine i sadrži samo prozor za potvrdu administratorskih prava i eventualno jezičnu traku (ako je aktivirano više od jednog jezika).

Ako se korisnik ne slaže i klikne "Ne", Windows će procesu odbiti administratorski token. A ako se složi i odabere "Da", operativni sustav će procesu dodijeliti potrebne privilegije, odnosno administratorski token.

Ako se proces već izvodi s povišenim privilegijama, ponovno će se pokrenuti s povišenim (administratorskim) povlasticama. Proces se ne može izravno "smanjiti" ili "promovirati". Nakon što je proces pokrenut s jednim tokenom, neće moći dobiti druga prava dok se ponovno ne pokrene s novim pravima. Primjer je Task Manager, koji uvijek počinje s ograničenim pravima. Ako kliknete gumb Prikaži procese svih korisnika, Upravitelj zadataka se zatvara i ponovno pokreće, ali s administratorskim pravima.

Kada koristite standardni račun, UAC traži određeni administratorski račun i unesite lozinku:

Kako UAC štiti korisnika

Sam UAC ne pruža veliku zaštitu. To samo olakšava prijelaz iz ograničenog okruženja u administrativno. Stoga je ispravnija formulacija pitanja sljedeća: kako ograničeni račun obeshrabruje korisnika. Pod ograničenim korisničkim profilom procesi ne mogu pristupiti određenim zonama sustava:

• glavna particija diska;
• korisničke mape drugih korisnika u mapi \ Korisnici \;
• mapa Program Files;
• Windows mapa i sve njezine podmape;
• odjeljke drugih računa u registru sustava
• HKEY_LOCAL_MACHINE odjeljak u registru sustava.

Bilo koji proces (ili zlonamjerni kod) bez administratorskih prava ne može prodrijeti duboko u sustav, bez pristupa potrebnim mapama i ključevima registra, te stoga ne može ozbiljno oštetiti sustav.

Može li UAC ometati starije programe koji nisu službeno kompatibilni s Vistom / 7/8/10

ne bi trebao. Kada je UAC omogućen, omogućena je i virtualizacija. Neki stari i/ili samo neuredno napisani programi ne koriste ispravne mape za pohranu svojih datoteka (postavke, zapisnici, itd.). Ispravne mape su mape u direktoriju AppData koji svaki račun ima i gdje svaki program može stvoriti mapu za pohranu što god želi.

Neki programi pokušavaju spremiti svoje datoteke u Program Files i/ili Windows. Ako se program pokrene s administratorskim pravima, to neće biti problem. Međutim, ako se program izvodi s ograničenim dopuštenjima, neće moći mijenjati datoteke/mape u Programskim datotekama i/ili Windowsima. Operativni sustav to jednostavno ne dopušta.

Kako bi spriječio probleme s takvim programima, Windows nudi virtualizaciju mapa i ključeva registra, kojima programi s ograničenim pravima načelno nemaju pristup. Kada takav program pokuša stvoriti datoteku u zaštićenoj mapi, operativni sustav je preusmjerava u posebnu mapu VirtualStore koja se nalazi u X: \ Korisnici \<имя-вашего-профиля>\ AppData \ Lokalno \(gdje je X: ovo je particija sustava, obično C :). Oni. Pogledom samog programa sve je u redu. Ne nailazi na prepreke i vjeruje da stvara datoteke/mape točno tamo gdje želi. VirtualStore obično sadrži Programske datoteke i Windows podmape. Evo snimka zaslona programskih datoteka u mojoj mapi VirtualStore:

A evo što se nalazi u mapi SopCast, na primjer:

Oni. ako je UAC zaustavljen ili je program uvijek pokrenut s administratorskim pravima, ove datoteke / mape bi se kreirale u C: \ Program Files \ SopCast. U sustavu Windows XP te bi datoteke i mape bile stvorene bez problema, jer u sustavu Windows XP svi programi prema zadanim postavkama imaju administratorska prava.

To, naravno, programeri ne bi trebali gledati kao trajno rješenje. Dužnost svakog autora je stvoriti softver koji je u potpunosti kompatibilan s trenutnim operativnim sustavima.

UAC dijaloški okviri

Možda ste primijetili da postoje samo tri različita UAC dijaloška okvira. Ovdje ćemo pogledati one u Windowsima 7, 8.x i 10. U Visti su dijalozi malo drugačiji, ali se nećemo zadržavati na njima.

Prvi tip prozora ima tamnoplavu traku na vrhu i ikonu štita u gornjem lijevom kutu, koja je podijeljena na 2 plava i 2 žuta dijela. Ovaj prozor se pojavljuje kada je potrebna potvrda za digitalno potpisan proces koji pripada operativnom sustavu – tzv. Windows binarne datoteke. O njima ćemo govoriti u nastavku.

Druga vrsta prozora također ima tamnoplavu vrpcu, ali je ikona štita potpuno plava i ima upitnik. Ovaj prozor se pojavljuje kada je potrebna potvrda za digitalno potpisan proces, ali proces/datoteka ne pripada operativnom sustavu.

Treći prozor ukrašen je narančastom prugom, štit je također narančast, ali s uskličnikom. Ovaj dijaloški okvir pojavljuje se kada je potrebna potvrda za nepotpisani proces.

UAC postavke

Postavke kontrole korisničkog računa (načini rada) nalaze se u Upravljačka ploča -> Sustav i sigurnost -> Promjena postavki kontrole korisničkog računa... Ima ih samo 4:

Uvijek obavijesti najviša je razina. Ovaj način rada je ekvivalentan načinu na koji UAC radi u sustavu Windows Vista. U ovom načinu rada sustav uvijek zahtijeva potvrdu administratorskih prava, bez obzira na proces i što zahtijeva.

Druga razina se prema zadanim postavkama koristi u sustavima Windows 7, 8.x i 10. U ovom načinu rada Windows ne prikazuje UAC prozor kada su u pitanju takozvane Windows binarne datoteke. Oni. ako datoteka/proces koji zahtijeva administratorska prava ispunjava sljedeća 3 uvjeta, operativni sustav će ih automatski odobriti, bez potvrde korisnika:

• datoteka ima ugrađen manifest ili kao zasebna datoteka, što ukazuje na automatsko podizanje;
• datoteka se nalazi u mapi Windows (ili u bilo kojoj od njezinih podmapa);
• datoteka je potpisana valjanim Windows digitalnim potpisom.

Treći način rada je isti kao i drugi (prethodni) način rada, s tom razlikom što ne koristi sigurnu radnu površinu. To jest, zaslon nije zatamnjen, a dijaloški okvir UAC pojavljuje se kao i svaki drugi. Microsoft ne preporučuje korištenje ove opcije, a kasnije ću objasniti zašto.

Ne obavještavaj me je četvrta i zadnja razina. Zapravo, to znači potpuno onemogućavanje UAC-a.

Ovdje je prikladno dati dvije napomene:

• Windows digitalni potpis odnosi se posebno na operacijski sustav. Ovo kažem jer postoje i datoteke koje je Microsoft potpisao digitalno. To su dva odvojena potpisa, pri čemu UAC prepoznaje samo Windows digitalni potpis jer djeluje kao dokaz da datoteka nije samo od Microsofta, već je i dio operativnog sustava.
• nemaju sve Windows datoteke manifest automatske elevacije. Postoje datoteke koje su to namjerno lišene. Na primjer, regedit.exe i cmd.exe. Jasno je da je drugi lišen automatske promocije, jer se vrlo često koristi za pokretanje drugih procesa, a kao što je već spomenuto, svaki novi proces nasljeđuje prava procesa koji ga je pokrenuo. To znači da bi svatko mogao koristiti naredbeni redak za pokretanje bilo kojeg procesa s administratorskim povlasticama bez ikakvih problema. Srećom, Microsoft nije budala.

Zašto je važno koristiti sigurnu radnu površinu

Sigurna radna površina sprječava sve moguće smetnje i utjecaj drugih procesa. Kao što je već spomenuto, pristup mu ima samo operativni sustav, a uz njega prihvaća samo osnovne naredbe od korisnika, odnosno pritiskom na tipku "Da" ili "Ne".

Ako ne koristite sigurnu radnu površinu, napadač može lažirati UAC prozor kako bi vas prevario i pokrenuo vašu zlonamjernu datoteku s administratorskim povlasticama.

Kada su vam potrebna administratorska prava? Kada se pojavljuje prozor UAC?

Općenito, postoje tri slučaja u kojima se UAC obraća korisniku:

• pri promjeni postavki sustava (ne-korisnika), iako se to u stvarnosti odnosi samo na maksimalnu razinu UAC-a;
• prilikom instaliranja ili deinstaliranja programa / upravljačkog programa;
• kada aplikacija/proces zahtijeva administratorske ovlasti za unošenje promjena u sistemske datoteke/mape ili ključeve registra sustava.

Zašto je važno ne onemogućiti UAC

Kontrola korisničkog računa pruža visoku razinu zaštite, a zauzvrat ne zahtijeva gotovo ništa. To jest, učinkovitost UAC-a je vrlo visoka. Ne razumijem zašto toliko nervira ljude. U svakodnevnom radu prosječan korisnik vidi prozor UAC 1-2 puta dnevno. Možda čak i 0. Je li to toliko?

Prosječni korisnik rijetko mijenja postavke sustava, a kada to učini, UAC se ne trudi postavljati pitanja sve dok radi sa zadanim postavkama.

Prosječan korisnik ne instalira drajvere i softver svaki dan. Svi upravljački programi i većina potrebnih programa instaliraju se jednom - nakon instalacije sustava Windows. To jest, ovo je glavni postotak UAC zahtjeva. Nakon toga UAC intervenira samo prilikom ažuriranja, ali nove verzije programa ne izlaze svaki dan, a da ne govorimo o drajverima. Štoviše, mnogi uopće ne ažuriraju programe ili upravljačke programe, što dodatno smanjuje probleme UAC-a.

Vrlo malo programa treba administratorska prava da bi obavljali svoj posao. To su uglavnom defragmentatori, alati za čišćenje i optimizaciju, neki dijagnostički programi (AIDA64, HWMonitor, SpeedFan itd.) i postavke sustava (Process Explorer i Autoruns, na primjer, ali samo ako trebate učiniti nešto specifično - recimo, onemogućiti upravljački program / usluga ili program koji počinje sa sustavom Windows). A sve su to programi koji se ili uopće ne mogu koristiti, ili u rijetkim slučajevima. Sve najčešće korištene aplikacije rade s UAC-om potpuno dobro i ne postavljaju nikakva pitanja:

• multimedijski playeri (audio i/ili video);
• video / audio pretvarači;
• programi za obradu slika / videa / zvuka;
• programi za snimanje snimki zaslona radne površine ili snimanje videa na njoj;
• programi za gledanje slika;
• web preglednici;
• programi za preuzimanje datoteka (upravitelji preuzimanja i P2P klijenti);
• FTP klijenti;
• instant messengeri ili programi za glasovnu/video komunikaciju;
• Programi za snimanje diskova;
• arhivisti;
• uređivači teksta;
• PDF čitači;
• virtualni strojevi;
• i tako dalje.

Čak i instaliranje Windows ažuriranja ne koristi prozor UAC.

Postoje ljudi koji su spremni žrtvovati 1-2 minute ili više dnevno kako bi "optimizirali" sustav s nekim krivo napisanim programima koji ne rade ništa korisno, ali nisu spremni potrošiti nekoliko sekundi dnevno odgovarajući na UAC zahtjeve.

Nisu dovoljne razne izjave poput „iskusan sam korisnik i znam se zaštititi“, jer nitko nije osiguran i ishod određenih situacija ne ovisi uvijek o korisniku. Štoviše, ljudi su skloni griješiti, to se događa svima.

Dopustite mi da vam navedem jedan primjer: pretpostavimo da koristite program koji ima ranjivosti i jednog dana se nađete na web mjestu koje iskorištava te ranjivosti. Ako je kontrola korisničkog računa omogućena i program radi s ograničenim pravima, napadač neće moći napraviti mnogo problema. Inače, šteta na sustavu može biti kolosalna.

A ovo je samo jedan od mnogih primjera.

Pokrenite aplikacije u sustavu Windows kao administrator

Priznajem da možda postoje korisnici koji isključe UAC samo da bi mogli pokretati programe sa Windowsima i s administratorskim pravima. To nije moguće na uobičajen način jer UAC ne može poslati prompt korisniku dok se radna površina ne učita. Međutim, postoji način na koji možete ostaviti UAC uključen. Evo ga:

• otvoriti Planer zadataka;
• klik Kreirajte zadatak;
• u polju Ime unesite sve što želite i na dnu prozora omogućite opciju Izvršiti s najvišim pravima;
• idite na karticu Okidači i pritisnite Stvoriti;
• u padajućem izborniku pri vrhu odaberite Prilikom prijave; ako želite stvoriti zadatak za određenog korisnika, odaberite opciju Korisnik a zatim pritisnite Promijenite korisnika; unesite svoje korisničko ime i potvrdite pritiskom na gumb u redu;
• idite na karticu Radnje i pritisnite Stvoriti;
• klik Pregled, naznačite odgovarajuću aplikaciju i potvrdite svoj izbor;
• idite na karticu Uvjeti i onemogućite opciju Pokrenite samo kada se napaja iz mreže;
• u kartici Parametri onemogućite opciju Zaustavi zadatak koji traje dulje;
• potvrdite pritiskom na u redu.

Spreman. Zadatak je dodan tako da će se sada aplikacija automatski učitavati s administratorskim pravima. Međutim, postoji jedna mala prepreka: svi se takvi zadaci izvode s prioritetom nižim od normalnog - ispod normalnog (ispod normalnog). Ako ti je to u redu, onda si u redu. Ako ne, onda morate još malo raditi:

• trčanje Planer zadataka ako ste ga već zatvorili;
• birati Knjižnica planera zadataka;
• označite svoj zadatak, kliknite Izvoz i spremite ga u .xml formatu;
• otvorite .xml datoteku u uređivaču teksta;
• pronađite odjeljak 7 , koji bi trebao biti na kraju datoteke i promijeniti sedam (7) između oznaka otvaranja i zatvaranja u pet (5);
• spremite datoteku;
• u Planeru zadataka ponovno označite svoj zadatak, pritisnite Izbrisati i potvrdite brisanje;
• sada pritisnite Zadatak uvoza, pokažite na datoteku koju ste upravo spremili i kliknite u redu.

To je sve. Na vama je da odlučite hoćete li koristiti UAC ili ne, ali vrlo je važno znati što gubite kada onemogućite ovu značajku, kao i biti svjestan rizika. Hvala na pažnji!

Ugodan dan!