Voce: una delle ultime caratteristiche principali presenti in Windows Vista, è il controllo dell'accesso utente (controllo dell'account utente - UAC). In questo articolo, Scott Lowe dà panoramica dettagliata UAC e parla di come modificare i parametri del suo lavoro.
L'annuncio promozionale di Microsoft ha prestato molta attenzione nuova caratteristica nel sistema di sicurezza disponibile in Windows Vista. Dal punto di vista dell'utente, una di queste funzionalità, User Access Control (UAC), è probabilmente il miglioramento più notevole. UAC è un meccanismo mediante il quale gli utenti (e anche gli amministratori) possono eseguire operazioni semplici Attività di Windows, utilizzando diritti non amministrativi, o risolverli, essendo utenti ordinari. Prima di eseguire attività amministrative, gli utenti devono riconoscere attivamente le azioni che potrebbero essere potenzialmente dannose per il computer.
In questo articolo, te lo darò descrizione dettagliata il funzionamento interno di UAC e ti mostrerò alcuni dei passaggi con cui puoi cambiare il funzionamento di questa nuova funzionalità.
Il funzionamento interno dell'UAC dice molto su come questa caratteristica protegge il tuo PC. Innanzitutto, parliamo di quale sia stato l'impulso per lo sviluppo dell'UAC.
Problema: Windows XP e installazioni automatiche
Nelle versioni precedenti a Vist di Windows, oltre all'accesso, all'utente veniva assegnata una password di accesso. Un utente che non disponeva di diritti amministrativi è stato in grado di accedere a un'area di risorse che non richiedeva diritti amministrativi. Agli utenti che erano membri del gruppo amministrativo è stata data l'opportunità di utilizzare tutto disponibile su computer locale risorse.
In termini di facilità d'uso, dato livello l'autorizzazione è stata perfetta. Tuttavia, in termini di sicurezza, non era così buono, nemmeno per i professionisti IT. Immagina il potenziale di un'installazione drive-by di spyware Software. Un'installazione drive-by si verifica quando visiti, accidentalmente o intenzionalmente, un sito contenente codice dannoso di cui non hai idea. Negli ultimi due anni, gli scanner spia hanno notevolmente aumentato le loro capacità, ma non sono ancora apparsi sul mercato soluzione unica, che proteggerebbe da tutte le minacce note. Anche se esistesse un prodotto del genere, ci sarebbero comunque problemi di minacce di natura sconosciuta. Nuovi spyware si fanno sentire ogni giorno e gli sviluppatori impiegano molto tempo per identificare questi nuovi fastidi e aggiornare i loro prodotti.
Se hai effettuato l'accesso a Windows XP come utente con privilegi di amministratore, nel momento in cui si verifica l'effetto "viaggio", lo spyware viene installato sul tuo computer senza che tu te ne accorga. Questo spyware può assumere qualsiasi forma, a partire da un semplice strumento di acquisizione della tastiera apparentemente innocuo che ricorda tutto ciò che si digita e invia i risultati a un indirizzo predeterminato. Ad un certo punto, potresti nascondere la "porta sul retro" che consente a un intruso di entrare nel tuo sistema e fare il suo lavoro sporco.
Peggio ancora, più spyware è incorporato nel tuo sistema, più difficile sarà eliminarlo. Ciò può comportare reinstallazione completa sistemi, che richiederanno ore di lavoro.
Nota: Quando si installa Windows XP, l'installazione guidata concede diritti amministrativi a tutti gli account locali.
Bene, certo, puoi dire di sapere tutto questo da molto tempo; tuttavia, nell'organizzazione in cui lavori, sei obbligato a consentire agli utenti di accedere come amministratore locale Su motivi diversi. Ad esempio, molti utenti (che hanno la capacità di gestire) trovano importante avere la possibilità di installare una nuova applicazione sul proprio computer. Purtroppo spesso hanno ragione. Fare affari online spesso implica l'installazione di nuovi controlli ActiveX o altri tipi di applicazioni. Naturalmente, questo non è il massimo migliore via d'uscita, ma è meglio lasciare che le persone facciano il loro lavoro piuttosto che pagarle per sedersi nei pantaloni e sputare al soffitto, lasciando tutto in balia dell'IT.
Soluzione: Windows Vista e UACL'introduzione dell'UAC di Windows Vista è progettata per domare il mostro e riportare il caos all'ordine. In Vista, quando un utente con diritti amministrativi viene attivato nel sistema, riceve non uno, ma due tipi di accesso contemporaneamente: accesso amministrativo e accesso con password utente ordinario. La normale password di accesso viene utilizzata per avviare il PC. Il risultato finale è che l'amministratore avvia il sistema con privilegi più limitati di quelli che gli sarebbero stati concessi accedendo a Windows XP. Finché v'è la necessità, il secondo accesso - già con diritti amministrativi - non viene utilizzato.
Si verifica una situazione in cui, ad esempio, un utente con diritti di amministratore avvia il programma del pannello di controllo e tenta di modificare le impostazioni. Quindi l'UAC di Windows Vista blocca la finestra, indicando che è necessaria l'autorizzazione per continuare. Quando si sceglie di consentire le azioni amministrative utilizzando l'accesso amministrativo, si concede un'autorizzazione che consente alle applicazioni di essere eseguite con privilegi maggiori. L'immagine A mostra una finestra di dialogo UAC standard. Se si desidera consentire l'azione, fare clic sul pulsante Continua.
Immagine A
UAC chiede se intendi continuare con l'azione.
Se hai visto pubblicità"Mac vs. PC" sul sito Web di Apple, si sono resi conto che questa finestra di dialogo era un punto di contesa tra PC e Mac, con il sistema di sicurezza del PC in ritardo rispetto a quello del Mac. In effetti, la situazione non è così grave. In effetti, anche se a volte è fastidioso, ma la situazione si sta sviluppando in modo più favorevole, dal momento che nuovo sistema fornisce un segnale visivo che sta accadendo qualcosa, dando così all'utente l'opportunità di annullare l'azione.
L'irritazione è uno dei risultati di cui ti aiuterò a liberarti fornendo una descrizione in questo articolo. Ti mostrerò come disabilitare l'UAC e come creare applicazioni speciali ha sempre lavorato sodo.
Disattiva completamente l'UACFarò una piccola introduzione a questa sezione: ti sconsiglio di eseguire questa azione, anche da solo. proprio computer. Per quanto odi permettere questa azione, anche se leggo sermoni sui pericoli di "premere accidentalmente pulsanti" sulle serrature, con conseguente lancio di spyware che perseguita studenti e utenti, io stesso a volte dimentico il mio proprie raccomandazioni. L'estate scorsa, quando avevo fretta di completare una delle attività, ho ottenuto quella che all'inizio sembrava essere una finestra di dialogo di sistema e ho fatto clic sul pulsante OK. Non appena ho rilasciato il pulsante del mouse, mi sono reso conto che il "pulsante OK" che avevo appena premuto era il blocco del sito web. Dopo solo poche ore, il mio sistema è stato infettato da uno spyware.
La lezione da trarre da questo è che anche quelli di noi che lo fanno in nome della vita cadono noi stessi vittime dello spyware. Con UAC, c'è almeno un'altra barriera tra noi e loro.
Ma se ritieni che l'UAC sia molto irritante, puoi disabilitarlo e continuare a lavorare. Esistono diversi modi per disabilitare l'UAC. Ti mostrerò come farlo usando il Pannello di controllo, Editore del Registro di sistema(editor del registro) e criteri di gruppo (politiche di gruppo).
Tutte le soluzioni fornite in questo articolo richiedono l'accesso come utente con diritti amministrativi. Tuttavia, per la maggior parte delle soluzioni, non è possibile utilizzare un account amministratore locale. Questo account non consente la verifica amministrativa. Utilizzare un account diverso, ovvero un membro del gruppo amministrativo locale.
1. Disabilitazione dell'UAC utilizzando MSConfig
Sui computer più recenti, puoi utilizzare MSConfig per modificare il funzionamento dell'UAC:
- Vai a Inizio | Tutti i programmi | Accessori (standard)| Esegui (esegui).
- Nella casella Esegui, digita "msconfig", quindi fai clic su .
- Dalla finestra Configurazione del sistema, selezionare la scheda Strumenti, come mostrato nella Figura B.
- Nella colonna Nome strumento, trova l'opzione Disabilita UAC (disabilita Controllo account utente (UAC)).
- Fare clic sul pulsante Avvia.
- Riavvia il sistema.
Scheda Strumenti nella finestra Configurazione del sistema.
2. Disabilita l'UAC tramite il pannello di controllo
Se lavori su più macchine, il modo più semplice per disabilitare l'UAC è disabilitare questa funzione tramite il Pannello di controllo. Per raggiungere questo obiettivo, attenersi alla seguente procedura:
3. Disabilitazione dell'UAC tramite l'editor del registroIl terzo modo per disabilitare l'UAC prevede l'utilizzo dell'editor del registro. Modificando i tasti speciali su ciascuno Vista computer, puoi disabilitare l'UAC. Ecco i passaggi per questa azione:
- Avvia l'editor del registro (editor del registro).
- Cerca la seguente chiave: HKEY_LOCAL_MACHINE Software Microsoft Windows Sistema di criteri CurrentVersion.
- Modificare il valore della voce EnableLUA su "0". Anche se desideri riattivare l'UAC, segui queste istruzioni, ma modifica il valore della voce EnableLUA su "1". Vedere l'immagine E per vedere l'immagine sullo schermo.
- Al termine, riavvia il computer per attivare le modifiche alle impostazioni.
Chiave EnableLUA nell'Editor del Registro di sistema. 4. Gestisci/Disabilita UAC tramite Criteri di gruppo
Se hai molti computer a tua disposizione e desideri modificare il comportamento dell'UAC su tutte le macchine, il modo migliore utilizzerà Criteri di gruppo (Criteri di gruppo). Il metodo dei criteri di gruppo è anche il più granulare e ti dà la possibilità di impostare il massimo diverse opzioni relativo all'UAC. Ti mostrerò come farlo utilizzando lo strumento di amministrazione dei criteri di gruppo locali.
- Vai a Inizio | Tutti i programmi | Accessori (standard)| Esegui (esegui).
- Nella finestra Esegui, digita "secpol.msc" e premi .
- Quando il controllo dell'account utente richiede l'autorizzazione per continuare, fare clic sul pulsante Continua.
- Trova configurazione computer | Impostazioni di Windows | Impostazioni di sicurezza | Politiche locali ( politiche locali)| Opzioni di sicurezza (impostazioni di sicurezza). Vedrai la schermata mostrata in figura F.
- Selezionare l'oggetto Criteri di gruppo che si desidera modificare e modificare le impostazioni sui valori richiesti. L'elenco seguente mostra tutte le impostazioni dei criteri di gruppo relative al controllo dell'accesso degli utenti.
Editor oggetti Criteri di gruppo.
Sono disponibili diverse opzioni relative al controllo dell'accesso degli utenti:
Controllo dell'account utente: modalità di operazione rapida estesa per built-in account Amministratore: questa impostazione influisce sul funzionamento dell'UAC quando si utilizza l'account amministratore integrato.
- Abilitato: quando si esegue un'applicazione che richiede diritti amministrativi, l'account amministratore integrato avrà effetto sull'UAC.
- Disabilitato (impostazione predefinita): l'account amministratore integrato avvierà tutte le applicazioni senza ulteriori richieste.
Suggerimento per il controllo dell'account utente per gli amministratori in modalità di approvazione dell'amministratore - questa impostazione influisce su ciò che accade quando un amministratore (diverso dall'account amministratore predefinito) esegue un'applicazione con privilegi.
- Accetta senza chiedere conferma: questa è l'impostazione più pericolosa e dovrebbe essere utilizzata solo in un ambiente sicuro. Le applicazioni limitate vengono eseguite con diritti amministrativi senza alcun intervento.
- Suggerimento per la password: all'utente viene richiesto di fornire un nome utente e una password per un utente con diritti di amministratore.
- Suggerimento per dare il permesso (predefinito): questo è - modalità normale funziona per UAC e richiede all'utente (supponendo che l'utente disponga dei diritti di amministratore) di consentire o negare l'esecuzione dell'applicazione con i diritti di amministratore.
Controllo dell'account utente: modalità di funzionamento migliorate i suggerimenti per gli utenti standard- Questa impostazione determina cosa succede quando un utente normale tenta di eseguire un'applicazione privilegiata.
- Suggerimento per la password (predefinito per le versioni home): all'utente viene richiesto di fornire il nome utente e la password per un utente con diritti di amministratore locale.
- Nega automaticamente le richieste di installazione (impostazione predefinita nelle edizioni Enterprise): gli utenti riceveranno messaggi che indicano che l'accesso all'applicazione è stato negato.
Controllo dell'account utente: rilevamento dell'installazione dell'applicazione e richiesta di installazione- cosa risponderà il sistema UAC a una richiesta di installazione di nuovi programmi?
- Abilitato (impostazione predefinita per le edizioni home): l'installazione di applicazioni che richiedono privilegi di amministratore avvierà un prompt UAC.
- Disabilitato (impostazione predefinita per questioni aziendali): poiché molte applicazioni di installazione sono controllate tramite politiche di gruppo, non è richiesto l'intervento e la conferma dell'utente.
Controllo dell'account utente: solo avvio quei moduli eseguibili che sono consentiti e confermati– se le applicazioni in esecuzione richiedono una catena PKI certificata convalidata (infrastruttura chiavi pubbliche)?
- Abilitato: richiede che l'applicazione disponga di una catena PKI (Public Key Infrastructure) certificata autorizzata prima di poter essere eseguita.
- Disabilitato (impostazione predefinita): non richiede che l'app disponga dell'autorizzazione per l'esecuzione.
Controllo dell'account utente: esegui solo le applicazioni UIAccess installate posto sicuro– Le applicazioni che richiedono l'esecuzione con il livello UIAccess integrato devono risiedere nell'area protetta del sistema.
- Abilitato (impostazione predefinita): un'applicazione con integrazione UIAccess verrà eseguita solo quando risiede in un'area protetta del sistema.
- Disabilitato: un'applicazione con integrazione UIAccess verrà eseguita indipendentemente dalla posizione dei programmi eseguibili.
Controllo dell'account utente: esegui tutti gli amministratori in modalità di approvazione dell'amministratore: esegue tutti gli utenti, inclusi gli amministratori, come utenti normali. Questo attiva o disattiva l'UAC in modo efficace. Se stai cambiando questa installazione, dovrai riavviare il sistema.
- Abilitato (impostazione predefinita): modalità di approvazione amministrativa e UAC abilitato.
- Disabilitato: disabilita il controllo dell'account utente e la modalità di approvazione dell'amministratore.
Controllo dell'account utente: abilita la modalità provvisoria del PC quando viene richiesto di eseguire l'avvio: quando l'UAC è abilitato e viene richiesto di eseguire l'avvio, modificare Windows Vista in modalità sicura al contrario della modalità utente standard.
- Abilitato (impostazione predefinita): destinazione delle richieste di download lavoro sicuro PC.
- Disabilitato: destinazione delle richieste di download lavoro standard PC.
Controllo dell'account utente: virtualizza gli errori di scrittura di file e registro in base all'utente: questa impostazione consente di reindirizzare gli errori di scrittura dell'applicazione legacy a posizioni specifiche nel registro e file system, indebolendo l'influenza di queste applicazioni, che sono state eseguite a lungo con diritti di amministratore e applicazioni per accedere a %ProgramFiles%, %Windir%; %Windir%system32 o HKLMSoftware. In breve, questa chiave aiuta a mantenere la compatibilità in background con app legacy che non vogliono essere eseguiti come utenti standard.
- Abilitato (impostazione predefinita): le applicazioni che scrivono dati in aree protette verranno reindirizzate ad altre posizioni.
- Disabilitato: le applicazioni che scrivono dati in aree protette andranno in crash.
selettivo disabilitare Utente Controllo accessi (controllo accessi utente)
Non tutte le applicazioni sono contrassegnate per attivare un avviso UAC quando vengono caricate. Tuttavia, molte applicazioni richiedono l'esecuzione con diritti amministrativi abilitati per ottenere un livello di prestazioni adeguato. Per far fronte a questa situazione, è possibile contrassegnare l'applicazione in modo che venga caricata con diritti amministrativi ogni volta che viene eseguita. Perché sia così:
- clic fare clic con il tasto destro mouse sui programmi in esecuzione associati alle applicazioni;
- selezionare l'opzione Proprietà dal menu breve;
- nella pagina delle proprietà, selezionare l'etichetta Compatibilità (compatibilità);
- sotto la voce Livello di privilegio (livello di privilegio) selezionare la casella di controllo accanto a "Esegui questo programma come amministratore" (esegui questo programma in qualità di amministratore) come mostrato in figura G;
- fare clic su OK.
Scheda di compatibilità dell'applicazione.
Per alcune applicazioni, l'opzione "Esegui questo programma come amministratore" potrebbe non essere disponibile. Ci sono una serie di ragioni per questo:
- non sei registrato come utente con diritti di amministratore;
- l'applicazione non può essere eseguita con diritti scaricabili;
- l'applicazione fa parte del sistema operativo. Le applicazioni del sistema operativo non possono essere modificate in questo modo.
L'UAC può e ha un elemento di noia quando si tratta di sicurezza del sistema, ma è indispensabile quando si tratta di problemi di sicurezza del sistema, specialmente per gli utenti di computer domestici. Utenti Mac e Linux per molto tempo trattato con schemi di sicurezza di base simili, ma per gli utenti Situazione Windows prende forma in un modo nuovo. Una volta Utenti Windows abituati alla novità, apprezzeranno la sicurezza extra.
Buona giornata, cari lettori!
Il controllo dell'account utente è un sistema Componente Windows, apparso per la prima volta in Vista, è sopravvissuto alla prova del tempo perché è presente anche in Windows 10. A molti utenti non è piaciuta l'elevata invadenza della finestra che chiede loro di consentire di apportare modifiche al computer durante l'installazione di qualsiasi programma. Pertanto, molto spesso gli utenti chiedono come disabilitare il controllo dell'account utente di Windows o l'UAC.
Che cos'è l'UAC e perché è necessario?
UAC( account utente Control) o User Account Control sono apparsi per la prima volta in Vista e sono migrati da lì a tutti i successivi Versioni di Windows. La sua idea è impedire modifiche non autorizzate al computer all'insaputa dell'utente. Naturalmente, questo viene fatto per migliorare la sicurezza del sistema, ridurre il rischio di infezione da virus. Non è una panacea per tutti i mali, ma abilitare l'UAC fornisce una linea di difesa aggiuntiva per il tuo sistema e aumenta la sicurezza oltre a tutte le altre protezioni (antivirus, firewall...)
Viene visualizzata una finestra di notifica quando si tenta di apportare modifiche che richiedono diritti di amministratore, ad esempio l'installazione nuovo programma in File di programma. Se sei un amministratore, fai semplicemente clic su OK. Se si dispone di un account utente standard, verrà richiesto di inserire una password di amministratore per continuare con l'installazione. Inoltre, i diritti di amministratore vengono concessi all'utente solo durante l'installazione del programma, dopo che l'installazione è completata, i diritti vengono tolti.
Come disabilitare l'UAC?
Per accedere a una finestra Impostazioni dell'UAC, da dove questo controllo può essere disabilitato, ci sono diversi modi. Ne descriverò alcuni.
Il primo è semplicemente eseguire l'azione che attiverà la notifica. Ad esempio, esegui un programma di distribuzione scaricato di recente da Internet, anche se lo hai già installato. Apparirà una finestra di notifica che ti chiederà dove fare clic su un piccolo link poco appariscente in basso a destra chiamato Configurazione di tali notifiche.
Secondo - Ricerca di Windows. Fai clic sull'icona della lente d'ingrandimento a destra di Start o premi la combinazione di tasti Win+S. E nella ricerca qui sotto inserisci " uac'o inizia a digitare' controllo'. La migliore corrispondenza verrà visualizzata in alto come punto Modifica delle impostazioni di controllo dell'account utente. Fare clic con il mouse o il tasto Invio.
Un altro modo è il menu di scelta rapida Start. Fare clic con il pulsante destro del mouse sul pulsante Start e selezionare Pannello di controllo.
Nel Pannello di controllo, cambia la modalità di visualizzazione in Icone grandi o piccole e seleziona Account utente.
Quando siamo arrivati alle impostazioni di notifica, il dispositivo di scorrimento predefinito è al livello 3. Spostalo nella posizione più bassa (non notificare mai). Fare clic su OK.
Ecco fatto, abbiamo appena disabilitato l'UAC in Windows 10. E non richiede un riavvio, a differenza di Windows 7, ad esempio.
Come riattivare l'UAC? Simile. Sposta il cursore su uno qualsiasi dei tre livelli nelle impostazioni tranne il più basso. Ognuno di loro significherà abilitazione dell'UAC ancora.
Se non ti dispiace UAC, ma ci vuole molto tempo per scurire il desktop quando viene mostrata una notifica, prova a spostare il dispositivo di scorrimento nella seconda posizione dal basso:
Quali sono i motivi per disabilitare l'UAC sul tuo computer? Infastidito dall'eccessiva importunità, dall'apparizione frequente? Condividi nei commenti.
Il controllo dell'account utente (UAC) è funzione di Windows, che aiuta a prevenire modifiche non autorizzate al tuo computer.
Il controllo dell'account utente fornisce protezione richiedendo l'autorizzazione dell'amministratore o una password prima di eseguire operazioni che potrebbero danneggiare il computer o modificare le impostazioni che potrebbero influire su altri utenti.
Il messaggio UAC visualizzato deve essere letto attentamente, verificare se il nome dell'azione eseguita (programma) corrisponde a quello effettivamente eseguito (in esecuzione).
Controllando queste azioni prima dell'avvio, Controllo dell'account utente aiuta a prevenire l'installazione di software dannoso e spyware, così come i tentativi di questi programmi di apportare modifiche non autorizzate al tuo computer.
Se è richiesta l'autorizzazione o una password per completare un lavoro, UAC visualizzerà un avviso sotto forma di uno dei seguenti messaggi:
- Windows richiede l'autorizzazione per continuare:
Funzioni o Programma Windows, che potrebbe interessare altri utenti di questo computer, richiede la tua autorizzazione per l'esecuzione.Controllare il nome dell'azione per assicurarsi che sia la funzione o il programma che si desidera eseguire.
- Il programma richiede l'autorizzazione per continuare
Programma che non lo è parte di Windows, richiede l'autorizzazione per l'esecuzione.Ha una firma digitale valida contenente il suo nome e l'editore, che consente di verificare l'autenticità del programma. Assicurati che questo sia il programma che desideri eseguire.
- Un programma non identificato sta tentando di accedere al tuo computer
Un programma non identificato è un programma che non ha un valido firma digitale dall'editore, consentendo di verificare l'autenticità del programma.Ciò non significa necessariamente pericolo, poiché molti vecchi programmi legittimi mancano di firme.
Tuttavia, è necessario prestare particolare attenzione per consentire l'esecuzione del programma solo se proviene da una fonte attendibile, come il CD originale o il sito Web dell'editore.
- Il programma è stato bloccato
Un programma che è stato specificamente bloccato dall'esecuzione su questo computer da un amministratore. Per eseguirlo, è necessario contattare l'amministratore e chiedergli di sbloccare il programma.
Ecco un elenco (parziale) di azioni che causano un messaggio di controllo dell'account utente:
- Modifiche alle directory %SystemRoot% e %ProgramFiles%.
- installazione/disinstallazione di software, driver e componenti ActiveX
- cambia il menu di avvio per tutti gli utenti
- Installazione Aggiornamenti di Windows, configurando Windows Update
- Riconfigurazione di Windows Firewall
- Riconfigurazione dell'UAC
- Aggiungi/rimuovi account
- Riconfigurazione delle restrizioni parentali
- Impostazione dell'utilità di pianificazione
- Ripristina i file di sistema di Windows da un backup
- Qualsiasi azione nelle directory di altri utenti
- Modifica dell'ora corrente (tuttavia, la modifica del fuso orario UAC non causa)
Inoltre, non è necessario passare a un account amministratore durante l'esecuzione di un'attività amministrativa che influirà su altri utenti, come l'installazione di un nuovo programma o la modifica delle impostazioni.
Windows chiederà l'autorizzazione o la password di amministratore prima di eseguire il lavoro.
Per aumentare la sicurezza, puoi creare account standard per tutti gli utenti del computer.
Se un utente con un account standard tenta di installare il software, Windows chiederà una password per l'account amministratore, quindi il programma non può essere installato all'insaputa dell'amministratore.
Oltre agli innegabili vantaggi, ci sono anche degli svantaggi, poiché quando si lavora attivamente al computer, soprattutto se è legato all'amministrazione, Domande frequenti L'UAC può essere fonte di distrazione e fastidio per l'utente. Inoltre, la finestra di richiesta non fornisce all'utente informazioni sufficienti per identificare il programma ed è impossibile "ricordare" il programma.
Il controllo dell'account utente (UAC) può essere disabilitato. Per disabilitare l'UAC, devi seguire questi passaggi:
1. accedere Pannello di controllo
2. Vai a aspetto classico
3. Andiamo alla sezione profili utente
4. Trovare un oggetto Abilita o disabilita il controllo dell'account utente(UAC)
5. Accettare l'avviso UAC facendo clic Procedere
6. Deseleziona la casella accanto a utilizzare c.o.s. e fare clic OK
7. Riavviamo il computer
Dopo questi passaggi, il controllo dell'account utente verrà completamente disabilitato e le finestre di avviso non ti daranno più fastidio, ma il livello di riservatezza e integrità dei tuoi programmi e dati diminuirà.
In Windows Vista, il controllo dell'account utente è diventato quasi una parolaccia e molti utenti lo hanno disattivato per prima cosa. Le cose sono cambiate in meglio in Windows 7 e, sebbene incontrerai richieste di controllo dell'account utente, il numero di esse dipende in gran parte dal tuo approccio alla configurazione del sistema e dal set di programmi installati su di esso. In questo articolo parleremo dell'utilizzo dei diritti amministrativi e limitati, nonché di come lavorare in modo efficace con il controllo dell'account utente abilitato.
Su questa pagina:
Con quali diritti lavorare?
Su Windows, il pericolo principale dell'esecuzione con un account amministratore è quello malware, dopo essere penetrato nel sistema, viene eseguito con pieni diritti, il che gli consente di assumere il controllo e privare l'utente del controllo sul sistema. In Windows XP, il passaggio a un account normale non è stato così semplice, poiché molte impostazioni di sistema e, soprattutto, applicazioni sono state progettate per funzionare solo con i diritti di amministratore.
Scopo del controllo dell'account utente
Durante la creazione del controllo dell'account utente in Windows Vista, il primo obiettivo di Microsoft era convincere gli sviluppatori di software a iniziare a creare software tenendo conto dei diritti di un utente normale. L'idea principale è che i programmi durante il funzionamento non richiedano permessi di scrittura su cartelle di sistema e chiavi di registro, limitandosi a memorizzare i dati nel profilo utente e le chiavi di registro a lui accessibili (HKCU). Il suggerimento è stato compreso, e negli oltre tre anni che sono trascorsi da allora uscire da Windows Vista, è diventato chiaro che la maggioranza programmi moderni segue già questa pratica. E questo non è affatto sorprendente, perché anche i programmi devono essere venduti, ed è molto più facile farlo se sono completamente compatibili con quelli nuovi. sistemi operativi Microsoft.
Se il programma non ha bisogno diritti amministrativi per lavoro, in un'organizzazione è facile implementarne l'installazione: puoi includere il programma in un'immagine di sistema o distribuirlo in qualsiasi modo adatto. Alcuni sviluppatori vanno anche oltre, creando applicazioni che possono essere installate senza diritti di amministratore. Ad esempio, attualmente sono coinvolto nel rilascio di un enorme sistema informativo, che prevede lavori con diritti limitati, ossia per un utente normale pacchetto softwareè completamente installato nel profilo, dopodiché è completamente operativo.
In questo modo, l'UAC funge da ponte dal lavoro quotidiano con un account amministratore all'esecuzione di tutte le attività con diritti limitati, il che fornisce più ambiente protetto. Il reparto IT di un'organizzazione non concederà inutilmente i diritti di amministratore agli utenti, ma le cose sono diverse in un ambiente domestico.
Amministratore o utente?
Molti esperti di sicurezza consigliano di farlo lavoro quotidiano in un sistema con i diritti di un utente normale e Microsoft in Guida di Windows propone di farlo. Per un ambiente aziendale, questo consiglio è assolutamente giustificato ed è ampiamente utilizzato. Ma in casa è seguito solo dagli stessi esperti, ma da utenti per i quali la sicurezza è elevata al massimo. L'architettura di Windows è tale che durante l'installazione del sistema, dobbiamo creare un account amministrativo, altrimenti sarà impossibile gestire il sistema in futuro.
Figura 1 - Quando Installazione di Windows viene creato un account amministrativo
E poi accediamo con questo account e iniziamo a lavorare. E le attività amministrative devono essere eseguite in modo indipendente, poiché a casa non c'è un amministratore di sistema onnipresente, come al lavoro. Ovviamente puoi creare un account con diritti regolari e lavorarci, ma Windows è progettato in modo tale che sia più conveniente avere sempre i diritti di amministratore. Questo comfort finisce per essere il fattore decisivo per la maggior parte degli utenti. Il controllo dell'account utente offre solo un compromesso tra il lavoro di un utente normale e un amministratore illimitato.
Quando l'UAC è in esecuzione, per ottenere pieni dirittiè necessario eseguire il programma come amministratore, anche se si esegue con un account amministrativo.
Figura 2 - Lancio riga di comando come amministratore dal menu contestuale
Ciò è dovuto al fatto che quando l'UAC è abilitato, l'amministratore e l'utente vengono consegnati "in un unico pacchetto". L'account amministrativo dispone di tutti i diritti necessari, ma quando l'UAC è abilitato, tutte le attività vengono eseguite con i diritti di un normale utente. E questo accade fino a quando non avrai bisogno dei diritti di amministratore completi per continuare a lavorare. È in questo momento che viene visualizzata la richiesta di controllo dell'account utente, che funge da segnale di cui il programma ha bisogno poteri amministrativi. Quando l'UAC è abilitato, l'intera differenza tra lavorare come amministratore e un normale utente sta nel fatto che nel primo caso è sufficiente fare clic sul pulsante "Sì" per continuare a lavorare e nel secondo, sarà necessario per inserire la password di qualsiasi amministratore disponibile sul sistema.
Figura 3 - La riga di comando viene lanciata per conto dell'amministratore: amministratore (a sinistra) e utente ordinario (a destra)
Non un singolo programma che richiede diritti completi sfuggirà al controllo dell'account utente che emette avvisi e avvisato significa armato, che è quello che è compito di informazione Notifiche UAC. Nelle attività quotidiane, ovviamente, premere il pulsante "Sì" è più veloce che inserire ogni volta la password, quindi lavoro permanente con diritti limitati è meno comodo e allo stesso tempo non presenta vantaggi significativi in termini di sicurezza.
Sei un vero super amministratore?
Come lettore regolare dei forum di Windows Vista e Windows 7, ho notato che alcuni utenti motivano a disabilitare il controllo dell'account utente desiderando assumere il pieno controllo del proprio sistema. In altre parole, sono disgustati dal fatto che scrivono alla radice disco di sistema o la cartella Windows è associata azioni aggiuntive e le richieste UAC causano terribili allergie.
Sullo stesso scaffale con loro, puoi mettere i fan della mitologia popolare sull'onnipotenza dell'account amministratore integrato, la cui unica differenza rispetto agli altri amministratori è che non è coperto dall'UAC per impostazione predefinita. In realtà, la disabilitazione del controllo dell'account utente nel pannello di controllo equalizza tutti gli amministratori
Figura 5 - Per configurare opzioni non disponibili, fare clic sul collegamento con lo scudo
Tuttavia, tali "trucchi" nel pannello di controllo sono rari, il che consente all'amministratore di configurare liberamente molte impostazioni di sistema.
Programmi moderni
Microsoft ha suggerimenti non solo per gli utenti, ma anche per gli sviluppatori di software. Per quanto riguarda l'UAC, uno dei suggerimenti principali è quello di memorizzare le impostazioni del programma e le preferenze dell'utente solo in posizioni in cui la scrittura non richiede diritti di amministratore. In questo caso, sono necessari solo durante l'installazione del programma, se vengono eseguite la scrittura nelle cartelle di sistema (ad esempio, Program Files) e la registrazione dei componenti nel sistema. Ovviamente, questo visualizzerà una richiesta di controllo dell'account utente.
Ma in futuro, tutti i dati utente e le impostazioni del programma verranno archiviati nel profilo, nella cartella %userprofile%\appdata. Lì troverai le cartelle con i dati dei programmi che hai installato, che non richiedono diritti di amministratore per funzionare.
Figura 6 - Applicazioni moderne memorizzare i dati dell'utente solo nel tuo profilo
La presenza di tre cartelle è spiegata come segue:
- In roaming ambiente aziendale i dati in questa cartella seguono l'utente durante l'utilizzo dei profili roaming;
- Locale: dati troppo grandi per essere spostati insieme al profilo;
- LocalLow - dati scritti dai processi con basso livello integrità, cioè la cui capacità di apportare modifiche al sistema è il più limitata possibile.
Come ho detto sopra, dal rilascio di Windows Vista, molte applicazioni rispettano già il controllo dell'account utente e non richiedono diritti di amministratore completi per funzionare. In effetti, molte applicazioni non ne hanno nemmeno bisogno per essere installate, nel qual caso non ha molto senso che gli sviluppatori richiedano autorizzazioni di scrittura nella cartella Programmi. Penso che alcuni autori di software lo facciano semplicemente per inerzia, mentre altri si sono già adattati.
Figura 7 - Poiché l'installazione dell'applicazione non richiede diritti di amministratore, si suggerisce subito di inserirla in un profilo
Con i nuovi programmi, tutto è abbastanza semplice, ma non è raro che nell'arsenale si trovino applicazioni che non sono del tutto adatte a funzionare con il Controllo dell'account utente. Successivamente, ti dirò cosa ha fatto Microsoft per risolvere questo problema e cosa puoi fare.
Vecchie app
Le vecchie applicazioni non sono solo quelle che non sono state aggiornate per molto tempo, ma anche quelle che implicano che l'utente ha i diritti per scrivere liberamente nelle cartelle di sistema e nelle chiavi di registro. Per quanto strano possa sembrare, con il controllo dell'account utente attivato, la compatibilità delle applicazioni precedenti con Windows 7 e Windows Vista migliora. Questo perché l'UAC consente di compensare la mancanza di accesso in scrittura ai percorsi di sistema durante l'esecuzione come amministratore e come utente standard.
Virtualizzazione di file e registri
Gli sviluppatori UAC hanno subito capito che le vecchie applicazioni non avrebbero più imparato a memorizzare i dati in un profilo, ma avrebbero provato a scriverli Cartelle di programma File o Windows (sebbene quest'ultimo fosse di cattiva forma in XP). Come ho detto sopra, con UAC abilitato, anche con l'amministratore, le applicazioni vengono eseguite con diritti normali, il che significa che non ci sono autorizzazioni per scrivere nelle posizioni di sistema.
È stata inventata una soluzione originale: il sistema finge che il programma sia autorizzato a scrivere, ma in realtà reindirizza i file a un profilo o scrive le impostazioni del registro in una sezione speciale.
In futuro, il programma continuerà ad accedere a questi dati, senza nemmeno sospettare la loro reale ubicazione. Questo è il modo in cui Windows Vista ha introdotto la virtualizzazione delle cartelle e registro di sistema, ereditato da Windows 7.
Nonostante l'età di questa tecnologia, pochi ne hanno sentito parlare. Lo abbiamo scoperto in un concorso di conoscenza di Windows 7 che ha avuto luogo alla fine del 2009 su OSZone.net. È stata posta una domanda sul pulsante "File di compatibilità" in Esplora file e la stragrande maggioranza dei partecipanti ha risposto che tale pulsante non esiste in Windows 7.
Nel frattempo, è con questo pulsante che puoi vedere le cartelle in cui i programmi hanno provato a scrivere dati senza avere il permesso per farlo. Questo può tornare utile se vuoi farlo manualmente backup impostazioni del programma o dati che ha salvato.
Figura 9 - Per salvare o modificare file nelle cartelle di sistema, Blocco note deve essere eseguito come amministratore
Proprio Programmi Microsoft, ovviamente, sono progettati per funzionare come un utente normale, quindi sanno cosa fare quando non hanno i permessi. Ora prendi, diciamo editor di testo, che non fornisce tale messaggio, e prova lo stesso. Invece di una cartella file di Windows verrà salvato nella memoria virtuale e in futuro l'Akelpad "ingannato" lo vedrà nella cartella Windows (ma non nel blocco note, perché lì non ha scritto nulla).
Figura 10 - Akelpad apre il "suo" file da Cartelle di Windows(a sinistra) sebbene si trovi nella memoria virtuale (a destra)
Ora è chiaro da dove proviene Archive.zip alla radice archiviazione virtuale. L'ho creato nella radice del disco di sistema con l'archiviatore 7-zip, e non importa, dal menu contestuale o semplicemente eseguendo il programma con i normali diritti. Il sistema ha consentito il completamento dell'operazione, ma ha salvato i file nel profilo.
La virtualizzazione del registro è simile. Ad esempio, un tentativo di scrivere in HKEY_LOCAL_MACHINE\Software\ProgramName reindirizza a HKEY_USERS\
La virtualizzazione di file e registri si applica solo alle applicazioni a 32 bit con GUI, cioè. i servizi non sono virtualizzati.
Cosa c'entra l'UAC?
La virtualizzazione di file e registri fornisce compatibilità con le applicazioni precedenti ed è principalmente finalizzata all'esecuzione come utente standard. Se l'UAC è disabilitato, l'amministratore non noterà la differenza, poiché ha accesso in scrittura ai file di programma. Ma utenti ordinari vecchio programma può sconvolgere molto rapidamente, perché non ci sono diritti per scrivere nelle posizioni del sistema (anche con UAC, anche senza di esso) e non c'è nessuno a cui reindirizzare i dati. Il programma "si interrompe", cioè molto probabilmente visualizza un messaggio dalla categoria "accesso negato".
Qual è la sicurezza qui?
Immagina che un programma dannoso stia tentando di nascosto di scrivere in una cartella di sistema o in una chiave di registro. Dato che lo fa, la sicurezza del tuo sistema è già in qualche modo compromessa: il programma è penetrato nel computer e l'antivirus non ha ancora risposto.
Grazie alla virtualizzazione, il danno non si estende oltre i diritti di un normale utente. In altre parole, azione Codice malevolo limitato al profilo, cioè non si applica ai file e alle impostazioni di sistema.
La modalità protetta funziona allo stesso modo. Internet Explorer discusso nel terzo articolo della serie. Sebbene la virtualizzazione UAC non sia abilitata per questa modalità, richiede l'abilitazione del controllo dell'account utente.
Pertanto, il controllo dell'account utente non aumenta la sicurezza, ma la resistenza del sistema alle infezioni. La cosa principale è che non perdi il controllo su di esso e in questo caso è molto più facile risolvere qualsiasi problema.
La virtualizzazione di file e registro aiuta nei casi in cui l'applicazione viene avviata con diritti normali (ovvero senza una richiesta UAC), ma necessita di diritti di amministratore nel processo e non sa come richiederli. Ci sono programmi che già all'avvio controllano i permessi di scrittura nella propria cartella.
Quando sono impostati su Programmi, non sono disponibili autorizzazioni di scrittura, quindi all'avvio viene visualizzato un prompt UAC. In questo caso, puoi provare a fare in modo che il programma stia al passo con i tempi impostandolo su un profilo. Opzione alternativa sta ottenendo i diritti completi sulla cartella del programma, che potrebbe risultare essere reinstallazione più rapida di profilo.
A proposito, tutti applicazioni portatili, che per loro natura memorizzano le impostazioni in propria cartella, lo tengo nel profilo. Inoltre, questo è ancora più conveniente che inserirli in Program Files, poiché non è coinvolta la virtualizzazione, che separa le impostazioni del programma dalla loro posizione.
Tuttavia, a volte i programmi, vecchi e nuovi, hanno ragioni perfettamente legittime per accedervi file di sistema e parametri, quindi né la virtualizzazione né i diritti completi sulla cartella del programma aiuteranno a evitare la richiesta. Più lontano parleremo sui programmi per la modifica dei parametri di sistema.
Utilità di sistema
Esiste una categoria speciale di programmi il cui scopo è proprio quello di visualizzare o modificare parametri di sistema, quindi hanno sicuramente bisogno di pieni diritti. E se ti piace "modificare" il sistema, incontrerai una richiesta UAC abbastanza spesso. A seconda dello scopo del programma, vedrai una richiesta di controllo dell'account utente ogni volta che lo avvii o solo quando esegui azioni che richiedono diritti completi.
Figura 12 - Dall'intestazione della riga di comando, è chiaro con quali diritti viene lanciato (a sinistra con i normali diritti, a destra - per conto dell'amministratore)
Sfortunatamente, non è sempre noto in anticipo che i diritti di amministratore sono necessari per eseguire un comando, quindi è necessario riavviare la riga di comando e reinserire il comando, e questi sono passaggi non necessari. Puoi imbrogliare un po' inserendo cartella di sistema l'utilità eleva, che consente di richiedere l'elevazione per i programmi da una riga di comando avviata con privilegi normali.
Figura 13 - Elevate è richiesto per un comando che utilizza l'utilità eleva
In questo caso, la richiesta di controllo dell'account utente verrà comunque visualizzata, ma il tempo viene comunque risparmiato, perché. non è necessario avviare un nuovo prompt dei comandi come amministratore e immettere nuovamente il comando. Basta premere la freccia su (ripetere il comando), quindi chiave di casa(salta all'inizio della riga) e digita eleva /k. Naturalmente, questa è una mezza misura, ma se lavori spesso con la riga di comando, vale la pena avere questa utilità nel tuo arsenale.
E poiché stiamo parlando della riga di comando, non possiamo ignorare gli script, che spesso devono anche essere eseguiti con diritti elevati. A menù contestuale Windows 7, la possibilità di essere eseguito come amministratore è prevista solo per gli script di shell, ad es. per pipistrello e cmd. Tuttavia, con l'aiuto di Elevation PowerToys, puoi espandere l'elenco aggiungendo WSH e PowerShell, nonché la possibilità di eseguire script per conto di un altro utente, incluso il sistema.
Infine, c'è un modo che ti consente di eseguire immediatamente con tutti i diritti non solo la riga di comando, ma anche qualsiasi programma senza alcun prompt UAC.
Avvia programmi senza prompt UAC
Occorrono un paio di settimane per lavorare con Controllo account utente per determinare l'elenco di applicazioni che, una volta avviate, viene visualizzata la finestra di dialogo UAC. Per ognuno di essi, puoi creare un collegamento che avvierà il programma senza alcun messaggio. Puoi anche creare un collegamento alla riga di comando e/o alla finestra di dialogo Esegui, da cui tutte le attività verranno già eseguite con diritti di amministratore completi.
Ciò viene implementato utilizzando l'utilità di pianificazione delle attività, che consente di eseguire attività con i diritti più elevati di cui dispone l'utente. Quando l'amministratore avvia il programma, riceve immediatamente tutti i diritti, quindi il prompt non viene visualizzato (rimane il limite di un utente normale diritti limitati, di certo). Questo metodo descritto in dettaglio dal mio collega, e c'è anche un'utilità con la quale puoi creare tali scorciatoie trascinando e rilasciando le normali scorciatoie del programma. Naturalmente, puoi anche eseguire le applicazioni automaticamente all'avvio del sistema, se lo specifichi immediatamente nello scheduler o inserisci il collegamento creato all'avvio.
Conclusione
Come puoi vedere, è possibile organizzare il tuo lavoro quotidiano in Windows 7 in modo tale che l'UAC sia quasi invisibile, anche se ti piace armeggiare con il sistema. Quando configurato dal pannello di controllo Controllo dell'UAC praticamente non dà fastidio, grazie alle modifiche avvenute in Windows 7. Per aiutare gli appassionati della riga di comando, ci sono delle utilità che rendono più semplice eseguire comandi e script per conto dell'amministratore e puoi configurare l'avvio di qualsiasi programmi senza richiedere l'utilizzo dell'utilità di pianificazione.
Ovviamente, se installi più applicazioni ogni giorno, vedrai le richieste UAC più spesso. Ma per sperimentazione e selezione programmi adatti il più adatto macchine virtuali e lì il controllo dell'account utente può essere disabilitato.
Ho riassunto in una tabella tutti gli strumenti descritti in questo articolo che ti aiuteranno a velocizzare il tuo lavoro su un sistema con Controllo Account Utente abilitato.
| Azione | Strumento di usabilità |
|---|---|
| Impostazione nel pannello di controllo | Non richiesto |
| Configurazione tramite utilità di sistema | |
| Avvio ed esecuzione di vecchie applicazioni |
|
| Lavorare sulla riga di comando |
|
| Esecuzione di script |
|
| Selezione e test delle applicazioni | Macchina virtuale |
