Contabilità dell'UAC. Disabilita UAC tramite il registro di sistema

Controllo dell'account utente ( account utente Controllo, UAC) è funzione di Windows, che aiuta a prevenire modifiche non autorizzate al tuo computer.

Il controllo dell'account utente fornisce protezione richiedendo l'autorizzazione dell'amministratore o una password prima di eseguire operazioni che potrebbero danneggiare il computer o modificare le impostazioni che potrebbero influire su altri utenti.

Il messaggio UAC visualizzato deve essere letto attentamente, verificare se il nome dell'azione eseguita (programma) corrisponde a quello effettivamente eseguito (in esecuzione).

Controllando queste azioni prima dell'avvio, il controllo dell'account utente aiuta a prevenire l'installazione di malware Software e spyware, così come i tentativi di questi programmi di apportare modifiche non autorizzate al tuo computer.

Se è richiesta l'autorizzazione o una password per completare un lavoro, UAC visualizzerà un avviso sotto forma di uno dei seguenti messaggi:

- Windows richiede l'autorizzazione per continuare:

Una funzionalità o un programma di Windows che potrebbe influire su altri utenti di questo computer richiede la tua autorizzazione per l'esecuzione.

Controllare il nome dell'azione per assicurarsi che sia la funzione o il programma che si desidera eseguire.

- Il programma richiede l'autorizzazione per continuare

Programma che non lo è parte di Windows, richiede l'autorizzazione per l'esecuzione.

Lei ha un valido firma digitale, contenente il nome e l'editore, che consente di verificare l'autenticità del programma. Assicurati che questo sia il programma che desideri eseguire.

- Un programma non identificato sta tentando di accedere al tuo computer

Un programma non identificato è un programma che non dispone di una firma digitale valida dell'editore per verificare l'autenticità del programma.

Ciò non significa necessariamente pericolo, poiché molti vecchi programmi legittimi mancano di firme.

Tuttavia, è necessario prestare particolare attenzione per consentire l'esecuzione del programma solo se proviene da una fonte attendibile, come il CD originale o il sito Web dell'editore.

- Il programma è stato bloccato

Un programma che è stato specificamente bloccato dall'esecuzione su questo computer da un amministratore. Per eseguirlo, è necessario contattare l'amministratore e chiedergli di sbloccare il programma.

Ecco un elenco (parziale) di azioni che causano un messaggio di controllo dell'account utente:

- Modifiche alle directory %SystemRoot% e %ProgramFiles%.
- installazione/disinstallazione di software, driver e componenti ActiveX
- cambia il menu di avvio per tutti gli utenti
- Installazione Aggiornamenti di Windows, configurando Windows Update
- Riconfigurazione di Windows Firewall
- Riconfigurazione dell'UAC
- Aggiungi/rimuovi account
- Riconfigurazione delle restrizioni parentali
- Impostazione dell'utilità di pianificazione
- Recupero file di sistema Windows dal backup
- Qualsiasi azione nelle directory di altri utenti
- Modifica dell'ora corrente (tuttavia, la modifica del fuso orario UAC non causa)

Inoltre, non è necessario passare a un account amministratore durante l'esecuzione di un'attività amministrativa che influirà su altri utenti, come l'installazione nuovo programma o modificare le impostazioni.

Windows chiederà l'autorizzazione o la password di amministratore prima di eseguire il lavoro.

Per migliorare la sicurezza, puoi creare account standard per tutti gli utenti del computer.

Quando un utente con un account standard tenta di installare un software, Windows chiederà una password account amministratore, quindi questo programma non può essere installato all'insaputa dell'amministratore.

Oltre agli innegabili vantaggi, ci sono anche degli svantaggi, poiché quando si lavora attivamente al computer, soprattutto se è legato all'amministrazione, Domande frequenti L'UAC può essere fonte di distrazione e fastidio per l'utente. Inoltre, la finestra di richiesta non fornisce all'utente informazioni sufficienti per identificare il programma ed è impossibile "ricordare" il programma.

Il controllo dell'account utente (UAC) può essere disabilitato. Per disabilitare l'UAC, devi seguire questi passaggi:

1. accedere Pannello di controllo
2. Vai a aspetto classico
3. Andiamo alla sezione profili utente
4. Trovare un oggetto Abilita o disabilita il controllo dell'account utente(UAC)
5. Accettare l'avviso UAC facendo clic Procedere
6. Deseleziona la casella accanto a utilizzare c.o.s. e fare clic ok
7. Riavviamo il computer

Dopo questi passaggi, il controllo dell'account utente sarà completamente disabilitato e le finestre di avviso non ti daranno più fastidio, ma il livello di riservatezza e integrità dei tuoi programmi e dati diminuirà.

Qualsiasi sistema operativo dovrebbe essere non solo comodo, funzionale e produttivo, ma anche ben protetto. La protezione integrata era presente anche nelle versioni precedenti di Windows, ma rispetto a quella che abbiamo ora, i meccanismi da essa utilizzati non erano così efficaci. Ad esempio, gli utenti che eseguono XP dispongono di diritti di amministratore per impostazione predefinita, che potrebbero fungere da backdoor per software dannoso che utilizza anche autorizzazioni elevate.

È per questo motivo che è stato fortemente raccomandato in XP e precedenti di utilizzare un account normale, ma questo metodo ha generato diverso tipo difficoltà, ad esempio, le continue richieste da parte dell'amministratore di eseguire alcune azioni innocenti come la modifica dell'ora del sistema. Naturalmente, tale lavoro non può essere definito produttivo. Tuttavia, la soluzione al problema urgente è stata presto trovata.

Cos'è l'UAC

A partire da Vista, Windows introduce un nuovo meccanismo di sicurezza chiamato UAC o User Account Control. Perché è necessario l'UAC e come funziona? In sostanza, si tratta di una funzionalità che consente di impedire l'esecuzione spontanea di file eseguibili sul sistema chiedendo all'amministratore il permesso di eseguire operazioni che possono apportare modifiche più o meno significative al funzionamento del sistema, dei programmi o di altri account utente. IN questo momento Questo meccanismo di protezione è utilizzato in tutti ultime versioni Finestre.

Esternamente, il funzionamento di User Account Control in Windows 7/10 si manifesta nel fatto che al momento dell'avvio del processo compare una finestra che chiede di confermare l'azione che richiede i diritti di amministratore.

Ciò imposta il desktop in modalità protetta, impedendo all'utente di interagire con altre applicazioni. Viene fatta un'eccezione solo per l'account amministratore integrato, che non è limitato dall'UAC, ma è disabilitato per impostazione predefinita.

I vantaggi dell'UAC sono evidenti: se non fosse presente, qualsiasi virus potrebbe iniziare con diritti più elevati quando un utente lavora con un account amministratore. Naturalmente, l'UAC non è una panacea, ma è abbastanza in grado di fermare un tale avvio non autorizzato di un file eseguibile. Tuttavia, a molti utenti non piace l'UAC e la stessa cosa il motivo è la sua arroganza. Pertanto, non sorprende che gli utenti ordinari abbiano spesso la domanda su come disabilitare il controllo dell'account utente in Windows 7/10.

Principio di funzionamento

Parleremo dei modi per disabilitare il controllo in seguito, ma per ora esaminiamo un po' più a fondo il meccanismo dell'UAC. Quando un utente accede a un account, riceve due token o un elenco più semplice di autorizzazioni. Il primo token è utente, il secondo è amministratore. Da ciò possiamo concludere che l'amministratore del PC utilizza i permessi del secondo elenco, ma questo non è del tutto vero. Funziona semplicemente con esso, ma il token stesso è "di proprietà" del meccanismo UAC, quindi anche se stai eseguendo applicazioni come amministratore, avrai comunque bisogno dell'autorizzazione per il controllo dell'account utente.

Questo potrebbe non essere il modo più accurato per descrivere come funziona l'UAC. Il controllo, piuttosto, può essere pensato come una sorta di collegamento intermedio tra gli elenchi di diritti dell'utente e dell'amministratore. Diamo un'occhiata più da vicino a cosa succede durante l'installazione/lancio dell'applicazione con UAC abilitato. Quando l'utente avvia il programma di installazione, la funzione ShellExecute chiama un'altra funzione CreateProcess, che a sua volta avvia i sistemi AppCompat, Fusion e Installer Detection per verificare se il programma necessita di privilegi elevati. Se necessario, la funzione CreateProcess restituisce un errore ERROR_ELEVATION_REQUIRED e la funzione ShellExecute avvia una finestra di dialogo UAC.

Ecco come va la catena. Ma i poteri dell'UAC non finiscono qui. Partecipa anche ad altri meccanismi, ad esempio alla virtualizzazione file system e registro, reindirizzando la scrittura di programmi non amministrativi a luoghi designati, invece di scrivere i loro dati direttamente in directory protette e rami di registro.

Tutti i modi per disabilitare l'UAC

Bene, ora torniamo a come disabilitare l'UAC in Windows 7/10. Più il modo ovvio– attraverso l'interfaccia. Accedi a impostazioni desiderateè possibile tramite l'applet "Account utente" nel Pannello di controllo, ma per non andare lontano è possibile eseguire il comando nella finestra Esegui (Win + R) Impostazioni di controllo dell'account utente(funziona su Windows 7, 8, 8.1 e 10).

Sono disponibili quattro modalità UAC:

• La prima modalità disabilita il controllo dell'account utente, i prompt non vengono visualizzati durante l'esecuzione di azioni.
• Quando si lavora nella seconda modalità, il sistema richiede l'autorizzazione per eseguire programmi, ma il desktop non è oscurato.
• La terza modalità è impostata per impostazione predefinita. Richiede il permesso di eseguire programmi con il trasferimento del desktop in modalità provvisoria.
• La quarta modalità include il massimo livello di protezione, il meccanismo funziona non solo all'avvio dei programmi, ma anche quando un amministratore tenta di apportare modifiche alle impostazioni.

Per disabilitare l'UAC, trascina il cursore fino in fondo e fai clic su OK. Se il sistema lo richiede, riavviare il computer.

Apri l'editor del registro con il comando regedit e distribuisci questo ramo:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System

Trova il parametro nella colonna di destra AbilitaLUA e cambiarne il valore da 1 a 0, salvare le impostazioni e riavviare.

Prestare attenzione anche ai parametri PromptOnSecureDesktop(0 disabilita solo l'oscuramento) e ConsentPromptBehaviorAdmin(1 include il livello massimo di protezione con richiesta di password).

Usando la riga di comando

Gli stessi passaggi possono essere eseguiti utilizzando un prompt dei comandi eseguito come amministratore. IN questo esempio il comando per disabilitare completamente l'UAC sarebbe:

C:/Windows/System32/cmd.exe /k %windir%/System32/reg.exe ADD HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System /v EnableLUA /t REG_DWORD /d 0 /f

La prima parte del comando è il percorso del file di controllo del registro, la seconda è la chiave modificabile, di cui EnableLUA è responsabile disabilitare l'UAC parametro, 0 è il suo nuovo valore. Sostituendo altri dati per il parametro e il suo valore, è possibile modificare le impostazioni di altre modalità UAC (vedi sopra). Come nel caso di apportare modifiche tramite il registro, sarà necessario riavviare il computer.

Criteri di gruppo locali

Puoi anche disabilitare l'UAC usando l'editor locale. politiche di gruppo. Eseguilo con il comando gpedit.msc e segui il sentiero Configurazione del computer - Configurazione di Windows- Opzioni di sicurezza - Politiche locali- Opzioni di sicurezza.

Esistono molti criteri per la gestione delle impostazioni di Controllo dell'account utente nella colonna di destra, ma ne basta uno solo per disabilitare l'UAC: tutti gli amministratori vengono eseguiti in modalità di approvazione dell'amministratore. Fare doppio clic su di esso e impostare il pulsante di opzione nella finestra di dialogo su Disabilitato, quindi riavviare il computer.

Disabilitazione del controllo per un'applicazione specifica

E infine, diamo un'occhiata a un altro punto interessante, ovvero la disabilitazione dell'UAC in Windows 7/10 per programmi specifici. Esistono diversi modi per farlo, ma non tutti sono convenienti. Se ti consideri un utente avanzato, puoi armeggiare con l'Application Compatibility Toolkit, che ti consente di fare cose diverse cose interessanti. Offriremo di più una semplice utilità Winaero Tweaker da uno sviluppatore locale. Eseguilo, scorri l'elenco delle opzioni quasi fino in fondo e trova lì escorciatoia levata.

Nella parte destra della finestra dell'utilità, nel campo Destinazione, specificare il percorso del file eseguibile dell'applicazione che si desidera eseguire ignorando l'UAC e nel campo Percorso collegamento, specificare il percorso del collegamento di avvio.

Fare clic sul pulsante "Crea collegamento elevato" e verrà creato il collegamento. Semplice, veloce e conveniente, ma questo metodo ha un piccolo inconveniente. Quando avvii l'applicazione tramite il collegamento creato, sullo schermo apparirà per un momento una finestra della riga di comando.

Puoi anche provare questo metodo. Crea una nuova attività in Utilità di pianificazione.

Nella scheda "Generale", assegnagli un nome, ad esempio "Avvia Editor del Registro di sistema senza UAC", quindi seleziona la casella di controllo "Esegui con i privilegi più alti" in basso.

Nella finestra che si apre, specifica il percorso completo del file eseguibile del programma.

Passare alla scheda "Condizioni" e deselezionare le caselle di controllo "Avvia solo con alimentazione di rete" e "Interrompi quando si passa all'alimentazione a batteria".

Salviamo l'attività e la controlliamo in azione facendo clic su "Esegui".

Se il programma è stato avviato come previsto, senza un prompt UAC, non resta che creare un collegamento. Crealo sul desktop e scrivi il comando nel campo della posizione dell'oggetto schtasks /run /tn "nome attività", dove "nome attività" è il nome dell'attività.

Questo è tutto ciò che c'è da fare.

Purtroppo, questo metodo ha anche il suo svantaggio: le applicazioni verranno avviate sfondo, più precisamente, senza mettere a fuoco, ma questo può essere risolto inserendo nel campo Utilità di pianificazione al posto del percorso del tuo programma il percorso C:/Windows/system32/cmd.exe e nel campo per aggiungere argomenti /c avvia ""programma.exe, dove program.exe è il nome del file eseguibile del programma che viene avviato ignorando il controllo dell'account utente.

Forse questo è tutto ciò di cui volevamo parlare di Controllo dell'account utente in Windows 7/10. Invia i tuoi commenti e commenti utilizzando il modulo sottostante.

UAC è un elemento dei sistemi operativi di Microsoft apparso nel disastroso Vista. Richiede all'utente di confermare che stanno eseguendo azioni sul computer che richiedono privilegi di amministratore. Questo viene fatto per evitare modifiche non autorizzate ai parametri di sistema. Se sei sicuro di non danneggiare il computer con le tue stesse azioni, ed è protetto programma antivirus, di seguito ti mostra come disabilitare l'UAC in Windows 10.

Tali finestre si aprono a causa di cambi di orario, avvio file di installazione, apportando modifiche al registro, all'avvio e alle impostazioni della barra delle applicazioni, nonché durante la configurazione di Windows 10 tramite Impostazioni e Pannello di controllo.

Oltre a proteggere il tuo computer da una quantità significativa di malware e programmi antivirus, UAC avverte l'utente quando tenta di modificare impostazioni importanti Sistema operativo. Grazie alla finestra di avviso pop-up, l'utente inizia ad essere più responsabile di apportare modifiche alla top ten.

ma
Non è un segreto che il controllo dell'account utente sia abilitato per impostazione predefinita. Il livello di protezione è di circa 3 posizioni su quattro possibili.

• "Avvisa sempre l'utente dei tentativi di installazione/disinstallazione di un'applicazione o di modifiche registro di sistema con qualsiasi mezzo." L'opzione fornisce massima sicurezza computer e non consentirà a nessun programma e script di eseguire azioni che richiedono privilegi di amministratore a tua insaputa. Per confermare le azioni, i non amministratori dovranno inserire costantemente una password.
• "Avvisami quando le applicazioni tentano di apportare modifiche al computer senza ombreggiare il desktop." L'impostazione predefinita consente di controllare solo il funzionamento delle applicazioni, ma non le azioni dell'utente.
• Come la versione precedente, ma con l'ombreggiatura del desktop.
• "Non notificare mai" - UAC è disabilitato e non visualizza alcun avviso.

Abbiamo capito il meccanismo di funzionamento e lo scopo dello strumento UAC, diamo un'occhiata a come disabilitare UAC in Windows 10.

Spegnimento tramite GUI

Il modo più semplice per i principianti e, quindi, il più popolare per disattivare lo strumento è l'applet del pannello di controllo chiamata "Account".

1. Andiamo al "Pannello di controllo" usando il menu di WinX.
2. Andiamo all'elemento responsabile della creazione di account (si trova uno degli ultimi).
3. Fare clic sul collegamento "Modifica impostazioni di controllo dell'account utente".

L'azione richiederà all'utente di disporre dei privilegi di amministratore.

Di più modo semplice aprire questa finestra è eseguire il comando in riga di ricerca o la finestra "Esegui" (per chiamarla, usa la combinazione di tasti Win + R).

La finestra che si apre con uno slider verticale a quattro posizioni permette di cambiare manualmente Impostazioni dell'UAC. Lo spostamento del dispositivo di scorrimento è accompagnato dalla comparsa di una spiegazione per esso stato attuale che sono stati descritti sopra.

Per disabilitare l'UAC, sposta il cursore nella posizione inferiore, fai clic su "OK" e conferma l'azione che richiede modifiche Registro di Windows 10.

Avendo deciso di sbarazzarti dei fastidiosi messaggi fastidiosi che compaiono regolarmente, dovresti stare estremamente attento, perché qualsiasi applicazione o script avrà gli stessi diritti dell'utente. L'UAC non sarà in grado di segnalare l'attività applicazioni dannose, che possono cambiare quasi tutti impostazioni di Windows e modificare una parte significativa dei file di sistema, comprese le voci di registro.

Disabilita UAC tramite il registro di sistema

Il registro, a cui si accede tramite un apposito editor, memorizza la maggior parte delle impostazioni e delle informazioni relative al tuo computer e a Windows 10. Nel registro sono memorizzate anche le impostazioni UAC che hai imparato a modificare tramite il Pannello di controllo. Pertanto, possono essere modificati modificando i tasti corrispondenti.

1. Eseguiamo "regedit".
2. Espandi le sezioni HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System una per una.
3. Impostare il valore PromptOnSecureDesktop su "0" dopo aver fatto doppio clic sul nome/icona della chiave.
4. Allo stesso modo, cambia ConsentPromptBehaviorAdmin su "0".

Le modifiche hanno effetto immediatamente dopo aver cliccato sul pulsante "OK", senza richiedere il riavvio dell'utente shell di Windows 10 o il sistema operativo stesso.

La chiave PromptOnSecureDesktop è responsabile dell'oscuramento del desktop (1 - scurisci, 0 - no, altri valori automaticamente uguali a uno) quando l'UAC è abilitato.

I valori ConsentPromptBehaviorAdmin e PromptOnSecureDesktop possono essere:

• 1 e 2 corrispondono alla posizione superiore del cursore - avvisa sempre;
• 1 e 5 - seconda posizione - valore di default;
• 0 e 5 - notifica senza oscurare lo schermo.

Dal rilascio della versione di rete sistema operativo Windows NT in tutte le successive modifiche iniziò a utilizzare attivamente il controllo dell'account utente, che in precedenza era utilizzato esclusivamente per mainframe e server. Nelle versioni desktop del sistema non c'era separazione tra i diritti di amministratore e utente ordinario. Pertanto, qualsiasi programma installato o installato potrebbe apportare le proprie modifiche Impostazioni di sistema, a causa della quale le prestazioni del sistema operativo stesso potrebbero essere compromesse.

Che cos'è il controllo dell'account utente ea cosa serve?

Nei sistemi di rango superiore, la separazione dei diritti è diventata più tangibile. Alla fine ha raggiunto il suo apice in Windows 7. Quindi, il sistema ha tre categorie di diritti di accesso per modificare le impostazioni di sistema (e il controllo dell'account utente è progettato specificamente per questo) a livello di amministratore, utente normale e super amministratore. Quest'ultimo, tra l'altro, ha i privilegi massimi, e lui stesso non è un utente registrato, ma un tale fantasma di sistema, il cui funzionamento non è praticamente controllato dai proprietari del computer, sebbene sia possibile disabilitare questo account.

Come è già chiaro, è stato introdotto il controllo dell'account utente di Windows in modo che l'utente non potesse modificare accidentalmente o intenzionalmente le impostazioni di sistema o eliminare elementi critici file importanti. E questo vale non solo per le sue azioni avventate, ma anche per i programmi installati o avviati che possono modificare le impostazioni da soli all'insaputa dell'utente, per non parlare di tutti i tipi di virus e minacce.

Quali parametri sono soggetti a controllo?

Ora diamo una rapida occhiata a quali azioni dell'utente o dell'applicazione sono soggette a questa restrizione Strumento Windows. Non forniremo un elenco completo dei divieti, ma ci limiteremo alle situazioni principali:

• installazione/disinstallazione di applicazioni applicative, driver e Controlli ActiveX;
• installazione di aggiornamenti di sistema;
• modificare le impostazioni del firewall e lo stesso strumento di controllo;
• creare o eliminare record di registrazione;
• installazione e rimozione controllo dei genitori;
• azioni con il "Task Scheduler";
• ripristinare gli elementi di sistema da backup;
• qualsiasi azione con file e directory di altri utenti;
• cambiare l'ora (ma non il fuso orario);
• azioni nell'editor del registro, ecc.

Come disabilitare il controllo dell'account utente?

Per fare ciò, è necessario chiamare la sezione account tramite il "Pannello di controllo" e andare alla voce per modificare le opzioni di controllo (in Windows 10, per chiamare sezione desiderata puoi semplicemente inserire l'abbreviazione UAC nel campo di ricerca).

Nella finestra delle impostazioni a sinistra c'è uno slider, spostandosi che imposta livello desiderato. Ci sono solo quattro opzioni di impostazione:

• notifica permanente (per tutti i programmi e utenti ordinari);
• notifica solo quando si tenta di apportare modifiche alle impostazioni di sistema (solo per programmi);
• notifica di modifica parametri di sistema, ma senza oscurare lo schermo;
• spegnimento completo.

Tieni presente che se lo fai completa disattivazione controllo, tutte le applicazioni installate (inclusi i virus) avranno gli stessi diritti con l'amministratore, quindi in questo caso è necessario essere estremamente attenti e pensare cento volte prima di apportare tali modifiche al sistema.

Disattivazione del controllo tramite il registro di sistema

In Windows, puoi anche tramite il registro di sistema. Per chiamare l'editor, utilizzare il comando regedit, che è scritto nel campo del menu "Esegui".

Qui dovresti seguire il ramo HKLM fino alla sezione Politiche e sistema, dove ci sono tre parametri sulla destra: EnableLUA, PromptOnSecureDesktop e ConsentPromptBehaviorAdmin.

La loro modifica avviene tramite un doppio clic. Le combinazioni presentate di seguito corrispondono ai valori sopra descritti, che potrebbero essere impostati dallo slider nella sezione di controllo e dall'ordine dei tasti elencati:

1. 1, 1, 2.
2. 1, 1, 5.
3. 1, 0, 5.
4. 1, 0, 0.

Se si osserva da vicino la posizione delle chiavi, è facile vedere che si trovano nella sezione dei criteri, che può essere richiamata anche tramite le impostazioni di sistema di Windows. Tuttavia, il registro ha una priorità più alta, quindi la modifica delle impostazioni non viene considerata nei criteri.

Vale la pena abbassare il livello di controllo?

In poche parole, si tratta di Controllo dell'account utente. Infine, resta da decidere se sia opportuno disabilitare il controllo. Sembra che tu possa disattivarlo completamente solo se non hai accesso a Internet, da dove i virus potrebbero penetrare nel sistema, o se non hai intenzione di installare alcun programma. Ma in versione generale puoi semplicemente abbassare il livello di controllo (al terzo punto), se è assolutamente necessario. Inoltre, non è consigliabile impostare il livello massimo, poiché il sistema emetterà richieste di conferma in ogni occasione e, sai, a poche persone piacerà.

Il controllo dell'account utente è probabilmente la funzionalità più sottovalutata e forse anche più odiata che ha debuttato in Vista ed è entrata a far parte di tutte le versioni successive di Windows. Per la maggior parte, il torrente di odio che gli utenti stanno riversando su User Account Control è immeritato, a mio avviso, poiché la funzione è di reale utilità. Sono pienamente d'accordo sul fatto che a volte il controllo dell'account utente (di seguito denominato semplicemente UAC) può essere piuttosto fastidioso, ma è stato introdotto in Windows con scopo. No, non per interferire con gli utenti, ma per facilitare transizione graduale da un account standard (limitato) a un account amministratore.

In questo articolo, spiegherò cos'è l'UAC, come funziona, perché è necessario e come configurarlo. Non è mia intenzione istruirti sul motivo per cui dovresti usare UAC, ma informarti di ciò che perdi disabilitando questa funzione.

Un po' di informazioni sul background e sull'account

Come dovresti sapere, Windows funziona con i cosiddetti account. Sono di due tipi: amministratore e standard (limitato).

L'account amministratore offre all'utente l'accesso completo a tutte le funzioni del sistema operativo, ad es. l'utente può fare quello che vuole. Un utente con account standard ha privilegi ridotti e quindi sono consentite solo determinate cose. Questo di solito è tutto ciò che riguarda solo utente attuale. Ad esempio: modifica dello sfondo del desktop, delle impostazioni del mouse, modifica della combinazione di suoni, ecc. In generale, tutto su utente specifico e non si applica all'intero sistema, disponibile nell'account standard. Per tutto ciò che può influire sul sistema nel suo insieme, è necessario l'accesso come amministratore.

Una delle attività assegnate a questi account è la protezione da codice dannoso. L'idea generale qui è quella lavoro regolare l'utente era in esecuzione con un account limitato ed è passato a un account amministratore solo quando l'azione lo richiedeva. Per quanto paradossale possa sembrare, ma malware ottenere lo stesso livello di diritti con cui l'utente ha effettuato l'accesso.

In Windows 2000 e Windows XP, l'esecuzione di azioni per conto dell'amministratore non è sufficientemente flessibile e quindi non era molto conveniente lavorare con un account limitato. Un modo per eseguire un'azione amministrativa su queste versioni del sistema consiste nel disconnettersi da un account limitato (o commutazione rapida, se si utilizza Windows XP) -> accedi all'account amministratore -> esegui azione -> esci dall'account amministratore (o passaggio rapido se si utilizza Windows XP) -> torna all'account limitato.

Un'altra opzione è usare menù contestuale e l'opzione "Esegui come utente diverso", che apre una finestra in cui è necessario specificare l'account amministratore e la password appropriati per eseguire il file come amministratore. È abbastanza modo veloce passaggio da un account all'altro, ma non si applica a tutte le situazioni che richiedono privilegi di amministratore. Un altro problema con questo metodo è che l'account amministratore deve avere una password o l'esecuzione non riuscirà.

Ecco perché dentro Windows Vistaè stata introdotta la funzione User Account Control, che in Windows 7 è stata portata quasi alla perfezione.

Cos'è l'UAC

UAC è una funzionalità di Windows Vista, 7, 8, 8.1 e 10 che mira a rendere il passaggio dall'ambiente riservato all'amministratore il più agevole e senza problemi possibile, eliminando la necessità di eseguire manualmente i file come amministratore o di passare da un account all'altro. Inoltre, UAC è un ulteriore livello di protezione che non richiede quasi nessuno sforzo da parte dell'utente, ma è in grado di prevenire gravi danni.

Come funziona l'UAC

Quando un utente accede al proprio account Entrata di Windows crea un cosiddetto utente token di accesso, che contiene alcune informazioni sull'account e principalmente i vari identificatori di sicurezza utilizzati dal sistema operativo per controllare l'accessibilità dell'account. In altre parole, questo gettone è una specie di documento personale (come un passaporto, per esempio). Questo vale per tutti Versioni di Windows basato sul kernel NT: NT, 2000, XP, Vista, 7, 8 e 10.

Quando un utente accede a un account standard (limitato), viene creato un token utente standard con diritti limitati. Quando un utente accede a un account amministratore, un cosiddetto. token amministratore con accesso completo. Logicamente.

Tuttavia, in Windows Vista, 7, 8 e 10, se l'UAC è abilitato e l'utente ha effettuato l'accesso a un account amministratore, Windows crea due token. Quello dell'amministratore rimane in background e quello standard viene utilizzato per avviare Explorer.exe. Cioè, Explorer.exe viene eseguito con diritti limitati. In questo caso, tutti i processi avviati successivamente diventano sottoprocessi di Explorer.exe con privilegi limitati ereditati del processo principale. Se un processo necessita dei diritti di amministratore, richiede un token di amministratore e Windows a sua volta chiede all'utente il permesso di concedere questo token al processo sotto forma di una finestra di dialogo speciale.

Questa finestra di dialogo contiene un cosiddetto desktop sicuro a cui ha accesso solo il sistema operativo. Sembra un'istantanea oscurata del desktop reale e contiene solo una finestra di conferma dei diritti di amministratore e possibilmente barra della lingua(se è attivata più di una lingua).

Se l'utente non è d'accordo e fa clic su No, Windows negherà al processo un token amministrativo. E se è d'accordo e seleziona "Sì", il sistema operativo concederà al processo i privilegi di cui ha bisogno, ovvero il token di amministratore.

Se il processo è già in esecuzione con privilegi ridotti, verrà riavviato con privilegi (amministrativi) elevati. Un processo non può essere "declassato" o "promosso" direttamente. Una volta che un processo è stato avviato con un token, non sarà in grado di acquisire altri diritti finché non verrà riavviato con nuovi diritti. Un esempio è il Task Manager, che inizia sempre con diritti limitati. Se fai clic sul pulsante "Mostra processi di tutti gli utenti", Task Manager verrà chiuso e riavviato, ma con diritti di amministratore.

Quando si utilizza un account standard, l'UAC richiede di specificare un account amministratore specifico e di inserire una password:

Come UAC protegge l'utente

Di per sé, UAC non fornisce molta protezione. Facilita solo il passaggio da un ambiente limitato a uno così amministrativo. Quindi la domanda più corretta, quindi, è: in che modo un account limitato impedisce un utente. Sotto profilo limitato I processi utente non possono accedere a determinate zone del sistema:

• partizione del disco principale;
• cartelle utente di altri utenti nella cartella \Utenti\;
• cartella File di programma;
• la cartella Windows e tutte le sue sottocartelle;
• sezioni di altri account nel registro di sistema
• Chiave HKEY_LOCAL_MACHINE nel registro di sistema.

Qualsiasi processo (o codice dannoso) senza diritti di amministratore non può entrare in profondità nel sistema senza avere accesso alle cartelle e alle chiavi di registro necessarie e quindi non può causare seri danni al sistema.

L'UAC può interferire con i vecchi programmi che non sono ufficialmente compatibili con Vista/7/8/10

Non dovrebbe. Quando l'UAC è abilitato, viene abilitata anche la virtualizzazione. Alcuni programmi vecchi e/o semplicemente sciatti non utilizzano le cartelle corrette per memorizzare i propri file (impostazioni, log, ecc.). Le cartelle corrette sono le cartelle nella directory AppData di ogni account e in cui ogni programma può creare una cartella in cui archiviare tutto ciò che vogliono lì.

Alcuni programmi tentano di salvare i propri file in Programmi e/o Windows. Se il programma viene eseguito con diritti di amministratore, questo non sarà un problema. Tuttavia, se il programma è in esecuzione con autorizzazioni limitate, non sarà in grado di apportare modifiche a file/cartelle in Programmi e/o Windows. Il sistema operativo semplicemente non lo permette.

Per evitare problemi con tali programmi, Windows offre la virtualizzazione di cartelle e chiavi di registro, a cui in linea di principio non hanno accesso i programmi con diritti limitati. Quando un tale programma tenta di creare un file in una cartella protetta, il sistema operativo lo reindirizza a cartella speciale Negozio virtuale situato in X:\Utenti\<имя-вашего-профиля>\AppData\Locale\(dove X: è partizione di sistema, di solito C:). Quelli. attraverso gli occhi del programma stesso, tutto è in ordine. Non incontra ostacoli e crede di creare file/cartelle esattamente dove vuole. VirtualStore di solito contiene nidificato Cartelle di programma File e Windows. Ecco uno screenshot dei Program Files nella mia cartella VirtualStore:

Ed ecco cosa c'è nella cartella SopCast, ad esempio:

Quelli. se l'UAC viene interrotto o il programma viene sempre eseguito con diritti di amministratore, questi file/cartelle vengono creati in C:\Programmi\SopCast. In Windows XP, questi file e cartelle sarebbero stati creati senza problemi, perché in esso tutti i programmi hanno diritti di amministratore per impostazione predefinita.

Questo, ovviamente, non dovrebbe essere considerato dagli sviluppatori come soluzione permanente. Il dovere di ogni autore è quello di creare un software che sia pienamente compatibile con i sistemi operativi attuali.

Finestre di dialogo UAC

Potresti aver notato che ce ne sono solo tre diversi finestre di dialogo UAC. Qui esamineremo quelli in Windows 7, 8.xe 10. In Vista, le finestre di dialogo sono leggermente diverse, ma non ci soffermeremo su di esse.

Il primo tipo di finestra ha una striscia blu scuro in alto e un'icona a forma di scudo a sinistra. angolo superiore, che è diviso in 2 sezioni blu e 2 gialle. Questa finestra appare quando è richiesta la conferma per un processo con firma digitale che appartiene al sistema operativo - il cosiddetto. binari di Windows. Ne parleremo di seguito.

Anche il secondo tipo di finestra ha un nastro blu scuro, ma l'icona dello scudo è tutta blu e ha un punto interrogativo. Questa finestra viene visualizzata quando è richiesta la conferma per un processo con firma digitale, ma il processo/file non appartiene al sistema operativo.

La terza finestra è decorata con una striscia arancione, anche lo scudo è arancione, ma con punto esclamativo. Questa finestra di dialogo viene visualizzata quando è richiesta la conferma per un processo senza firma digitale.

Impostazioni dell'UAC

Le impostazioni di controllo dell'account utente (modalità operative) si trovano in Pannello di controllo -> Sistema e sicurezza -> Modifica impostazioni di controllo dell'account utente. Ce ne sono solo 4:

Avvisare sempre - il massimo alto livello. Questa modalità è equivalente al funzionamento dell'UAC in Windows Vista. In questa modalità, il sistema richiede sempre la conferma dei diritti di amministratore, indipendentemente dal processo e da ciò che richiede.

Il secondo livello è l'impostazione predefinita in Windows 7, 8.xe 10. Questo Modalità Windows non apre una finestra UAC quando si tratta dei cosiddetti binari di Windows. Quelli. se un file/processo che richiede diritti di amministratore soddisfa le seguenti 3 condizioni, il sistema operativo li concederà automaticamente senza conferma da parte dell'utente:

• il file ha un incorporato o nel modulo file separato manifest (manifest), che indica l'elevazione automatica dei diritti;
• il file è in Cartella Windows(o in una qualsiasi delle sue sottocartelle);
• il file è firmato con una firma digitale Windows valida.

La terza modalità è la stessa della seconda (precedente), ma con la differenza che non utilizza il desktop sicuro. Cioè, lo schermo non si oscura, ma la finestra di dialogo UAC appare come qualsiasi altra. Microsoft sconsiglia di utilizzare questa opzione e spiegherò perché in seguito.

Non avvisarmi è il quarto e ultimo livello. In effetti, questo significa disabilitare completamente l'UAC.

Qui sono pertinenti due osservazioni:

• digitale Firma di Windows si riferisce specificamente al sistema operativo. Dico questo perché ci sono anche file che sono stati firmati digitalmente da Microsoft. Si tratta di due firme separate, con l'UAC che riconosce solo la firma digitale di Windows in quanto funge da prova che il file non è solo di Microsoft, ma fa parte del sistema operativo.
• Non tutti i file di Windows hanno un manifest di elevazione automatica. Ci sono file che sono intenzionalmente privi di questo. Ad esempio, regedit.exe e cmd.exe. È chiaro che il secondo è privo di promozione automatica, perché molto spesso viene utilizzato per avviare altri processi e, come già accennato, ogni nuovo processo eredita i diritti del processo che lo ha avviato. Ciò significa che chiunque potrebbe utilizzare riga di comando per eseguire senza problemi qualsiasi processo con diritti di amministratore. Fortunatamente, Microsoft non è stupida.

Perché è importante utilizzare un desktop sicuro

Secure Desktop ne impedisce qualsiasi possibile interferenza e l'influenza di altri processi. Come accennato in precedenza, solo il sistema operativo ha accesso ad esso e con esso accetta solo comandi di base dall'utente, ovvero premendo il pulsante "Sì" o "No".

Se non stai utilizzando il desktop sicuro, un utente malintenzionato può falsificare una finestra UAC per indurti ad avviare la propria file dannoso con diritti di amministratore.

Quando sono necessari i diritti di amministratore? Quando viene visualizzata la finestra UAC?

In generale, ci sono tre casi in cui l'UAC si rivolge all'utente:

• quando si modificano le impostazioni di sistema (non utente), sebbene in realtà ciò si applichi solo a livello massimo UAC;
• durante l'installazione o la disinstallazione di un programma/driver;
• quando un'applicazione/un processo richiede privilegi di amministratore per apportare modifiche a file/cartelle di sistema o chiavi di registro.

Perché è importante non disabilitare l'UAC

Il controllo dell'account utente offre un elevato livello di protezione e non richiede quasi nulla in cambio. Cioè, il rapporto azione utile L'UAC è molto alto. Non capisco perché irriti così tanto le persone. IN lavoro quotidiano L'utente medio vede la finestra UAC 1-2 volte al giorno. Forse anche 0. È molto?

L'utente medio cambia raramente le impostazioni di sistema e, quando lo fa, l'UAC non si preoccupa delle sue domande se lavora con le impostazioni predefinite.

L'utente medio non installa driver e programmi ogni giorno. Tutti i driver e la maggior parte programmi necessari installato una volta - dopo Installazione di Windows. Cioè, questa è la percentuale principale delle richieste UAC. Successivamente, l'UAC interferisce solo con gli aggiornamenti, ma le nuove versioni dei programmi non vengono rilasciate ogni giorno, per non parlare dei driver. Inoltre, molti non aggiornano affatto né i programmi né i driver, il che riduce ulteriormente i problemi di controllo dell'account utente.

Pochissimi programmi necessitano dei diritti di amministratore per svolgere il proprio lavoro. Si tratta principalmente di deframmentazione, strumenti di pulizia e ottimizzazione, alcuni programmi diagnostici (AIDA64, HWMonitor, SpeedFan, ecc.) e impostazioni di sistema ( Esploratore di processi e Autoruns, ad esempio, ma solo se devi fare qualcosa di specifico, ad esempio disabilita un driver/servizio o inizia con Programma Windows). E tutti questi sono programmi che non possono essere utilizzati affatto o in rari casi. Tutte le applicazioni utilizzate di frequente funzionano perfettamente con UAC e non fanno domande:

• lettori multimediali(audio e/o video);
• convertitori video/audio;
• programmi per elaborazione di immagini/video/audio;
• programmi per acquisire schermate del desktop o registrare video su di esso;
• programmi per la visualizzazione di immagini;
• browser web;
• downloader di file (gestori di download e client di rete P2P);
• client FTP;
• programmi di messaggistica istantanea o programmi per comunicazioni voce/video;
• software per la masterizzazione di dischi;
• archivisti;
• editor di testo;
• lettori PDF;
• macchine virtuali;
• e così via.

Anche l'installazione degli aggiornamenti di Windows non abilita la finestra UAC.

Ci sono persone che sono disposte a sacrificare 1-2 o più minuti al giorno per "ottimizzare" il sistema con alcuni programmi distorti che non fanno nulla di utile, ma non sono disposte a spendere qualche secondo al giorno per rispondere alle richieste dell'UAC.

Diverse affermazioni come "I utente avanzato e sapersi tutelare” non basta, perché nessuno è assicurato e l'esito di determinate situazioni non dipende sempre dall'utente. Inoltre, le persone commettono errori, succede a tutti.

Lascia che ti faccia un esempio: supponi di utilizzare un programma che presenta delle vulnerabilità e un giorno finisci su un sito che sfrutta tali vulnerabilità. Se il controllo dell'account utente è abilitato e il programma viene eseguito con diritti limitati, l'autore dell'attacco non sarà in grado di causare molti problemi. In caso contrario, il danno al sistema può essere enorme.

E questo è solo uno dei tanti esempi.

Esegui applicazioni insieme a Windows con diritti di amministratore

Ammetto che forse ci sono utenti che disattivano l'UAC solo per poter eseguire programmi insieme a Windows e con diritti di amministratore. Nel solito modo questo non è possibile perché UAC non può inviare una richiesta all'utente finché il desktop non viene caricato. Tuttavia, esiste un modo per lasciare abilitato l'UAC. Eccolo:

• aprire Agenda;
• clic Crea un'attività;
• in campo Nome digita tutto ciò che ti piace e nella parte inferiore della finestra attiva l'opzione Esegui con i privilegi più alti;
• vai alla scheda trigger e premere Creare;
• seleziona dal menu a tendina in alto Quando accedi; se desideri creare un'attività per un utente specifico, seleziona l'opzione Utente, quindi fare clic Cambia utente; inserisci il tuo nome utente e conferma premendo il pulsante ok;
• vai alla scheda Azioni e premere Creare;
• clic Panoramica, seleziona l'applicazione appropriata e conferma la tua scelta;
• vai alla scheda Termini e disabilita l'opzione Funziona solo con alimentazione di rete;
• scheda Parametri disabilitare l'opzione Interrompi attività in esecuzione più a lungo;
• confermare premendo ok.

Pronto. L'attività è stata aggiunta in modo che l'applicazione venga ora caricata automaticamente con i diritti di amministratore. Qui, tuttavia, c'è un piccolo intoppo: tutti questi compiti vengono eseguiti con una priorità inferiore al normale - al di sotto del normale (al di sotto della norma). Se ti va bene, allora è tutto in ordine. In caso contrario, dovrai lavorare un po' di più:

• correre Agenda se l'hai già chiuso;
• Selezionare Libreria dell'utilità di pianificazione;
• contrassegna la tua attività, fai clic Esportare e salvalo in formato .xml;
• apri il file .xml in editor di testo;
• trova la sezione 7 , che dovrebbe trovarsi alla fine del file e cambiare i sette (7) tra i tag di apertura e chiusura in cinque (5);
• salvare il file;
• nell'Utilità di pianificazione, evidenziare nuovamente l'attività, fare clic su Eliminare e confermare la cancellazione;
• ora clicca Importa attività, seleziona il file appena salvato e fai clic sul pulsante ok.

È tutto. L'utilizzo o meno dell'UAC dipende da te, ma è importante sapere cosa ti stai perdendo disabilitando questa funzione, oltre ad essere consapevole dei rischi. Grazie per l'attenzione!

Vi auguro una buona giornata!