Contabilitate control cont. Dezactivați UAC prin intermediul registrului de sistem

Controlul contului de utilizator (UAC) este o caracteristică Windows care ajută la prevenirea modificărilor neautorizate ale computerului dvs.

UAC vă protejează cerând permisiunea de administrator sau parola înainte de a lua măsuri care pot fi dăunătoare computerului dvs. sau atunci când modificați setările care ar putea afecta alți utilizatori.

Mesajul UAC care apare trebuie citit cu atenție, verificați dacă numele acțiunii (programului) care se desfășoară se potrivește cu cel care se realizează efectiv (lansat).

Verificând acești pași înainte de lansare, Controlul contului utilizatorului ajută la prevenirea instalării de software rău intenționat și spyware și încercările acestor programe de a face modificări neautorizate pe computer.

Dacă este necesară o permisiune sau o parolă pentru a finaliza o lucrare, UAC va afișa un mesaj de avertizare sub forma unuia dintre următoarele mesaje:

- Windows necesită permisiunea pentru a continua:

O funcție sau un program Windows care poate afecta alți utilizatori de pe acest computer necesită permisiunea dvs. pentru a rula.

Verificați numele acțiunii pentru a vă asigura că este funcția sau programul pe care doriți să îl executați.

- Programul necesită permisiunea pentru a continua

Un program non-Windows necesită permisiunea de a rula.

Are o semnătură digitală validă cu numele și editorul pentru a verifica autenticitatea programului. Asigurați-vă că acesta este programul exact pe care doriți să îl rulați.

- Un program neidentificat încearcă să acceseze computerul

Un program nerecunoscut este unul care nu are o semnătură digitală validă de la editor pentru a verifica autenticitatea programului.

Acest lucru nu înseamnă neapărat pericol, deoarece multe programe legale mai vechi nu au semnături.

Cu toate acestea, trebuie să acordați o atenție suplimentară programului și să îi permiteți să ruleze numai dacă este obținut dintr-o sursă de încredere, cum ar fi CD-ul original sau site-ul Web al editorului.

- Programul a fost blocat

Programul, a cărui lansare pe acest computer este blocată special de administrator. Pentru a-l porni, trebuie să contactați administratorul și să-i cereți să deblocheze programul.

Iată o listă (incompletă) de acțiuni care declanșează mesajul UserAccount Control:

- Modificări în directoare% SystemRoot% și% ProgramFiles%
- instalarea/dezinstalarea software-ului, driverelor și componentelor ActiveX
- modificați meniul de pornire pentru toți utilizatorii
- Instalarea actualizărilor Windows, configurarea Windows Update
- Reconfigurați paravanul de protecție Windows
- Reconfigurarea UAC
- Adăugați/eliminați conturi
- Reconfigurarea restricțiilor parentale
- Configurarea programatorului de sarcini
- Restaurați fișierele de sistem Windows dintr-o copie de rezervă
- Orice acțiuni în directoarele altor utilizatori
- Modificarea orei curente (cu toate acestea, modificarea fusului orar UAC nu provoacă)

De asemenea, nu este nevoie să treceți la contul de administrator atunci când efectuați o sarcină administrativă care va afecta alți utilizatori, cum ar fi instalarea unui nou program sau modificarea setărilor.

Windows va cere permisiunea de administrator sau parola înainte de a executa sarcina.

Pentru a îmbunătăți securitatea, puteți crea conturi standard pentru toți utilizatorii computerului.

Dacă un utilizator cu un cont standard încearcă să instaleze software-ul, Windows va cere parola contului de administrator, astfel încât acest software nu poate fi instalat fără știrea administratorului.

Pe lângă avantajele incontestabile, există și dezavantaje, deoarece atunci când lucrezi activ la computer, mai ales dacă este legat de administrare, solicitările frecvente UAC pentru utilizator pot fi distrage și enervante. În plus, fereastra de solicitare nu oferă utilizatorului suficiente informații pentru a identifica programul și este imposibil să se „amintească” programul.

Controlul contului utilizatorului (UAC) poate fi dezactivat. Pentru a dezactiva UAC, trebuie să faceți următoarele:

1. introduce Panou de control
2. Mergi la Aspect clasic
3. Mergem la secțiune conturi de utilizator
4. Găsiți articolul Activați sau dezactivați Controlul contului de utilizator(UAC)
5. Acceptați avertismentul UAC făcând clic Continua
6. Debifați caseta de lângă utilizare k.y.zși faceți clic O.K
7. Reporniți computerul

După acești pași, Controlul contului utilizatorului va fi complet dezactivat și ferestrele de avertizare nu te vor mai deranja, dar nivelul de confidențialitate și integritate al programelor și datelor tale va scădea.

Orice sistem de operare ar trebui să fie nu numai convenabil, funcțional și productiv, ci și bine protejat. Protecția încorporată a fost prezentă în versiunile anterioare de Windows, dar în comparație cu ceea ce avem acum, mecanismele pe care le folosește nu au fost la fel de eficiente. De exemplu, utilizatorii XP aveau privilegii de administrator în mod implicit, ceea ce ar fi putut servi drept o lacună pentru software-ul rău intenționat care folosește și privilegii ridicate.

Din acest motiv, în XP și versiunile anterioare, se recomanda cu tărie să lucreze sub un cont obișnuit, dar această metodă a dat naștere la tot felul de dificultăți, de exemplu, solicitări constante din partea administratorului de a efectua anumite acțiuni inocente, cum ar fi schimbarea sistemului. timp. Desigur, o astfel de muncă nu poate fi numită productivă în niciun fel. Cu toate acestea, o soluție la întrebarea dureroasă a fost găsită curând.

Ce este UAC

Începând cu Vista, Windows are un nou mecanism de securitate numit UAC sau User Account Control. De ce este necesar UAC și cum funcționează? De fapt, aceasta este o funcție care vă permite să împiedicați executarea spontană a fișierelor executabile în sistem prin solicitarea permisiunii de la administrator pentru operațiuni care pot face modificări mai mult sau mai puțin semnificative în funcționarea sistemului, a programelor sau a conturilor altor utilizatori. . Acest mecanism de protecție este utilizat în prezent în toate versiunile recente de Windows.

Pe plan extern, munca Controlului contului utilizatorului în Windows 7/10 se manifestă prin faptul că la momentul începerii procesului, apare o fereastră care vă cere să confirmați acțiunea care necesită drepturi de administrator.

Aceasta comută desktopul în modul protejat, împiedicând utilizatorul să interacționeze cu alte aplicații. Singura excepție este contul de administrator încorporat, care nu este limitat de UAC, dar este dezactivat implicit.

Beneficiile UAC sunt evidente - dacă nu ar fi, orice virus ar putea rula cu drepturi mai mari atunci când utilizatorul lucra în contul de administrator. Desigur, UAC nu este un panaceu, dar este destul de capabil să oprească o astfel de lansare neautorizată a unui fișier executabil. Cu toate acestea, mulți utilizatori nu le place UAC, iar motivul principal pentru aceasta este intruzivitatea sa. Prin urmare, nu este surprinzător faptul că utilizatorii obișnuiți au adesea o întrebare despre cum să dezactiveze Controlul contului de utilizator în Windows 7/10.

Principiul de funcționare

Vom vorbi mai târziu despre cum să dezactivați controlul, dar deocamdată să ne uităm puțin mai adânc în mecanismul UAC. Când un utilizator se conectează la un cont, i se oferă două jetoane sau o listă mai simplă de permisiuni. Primul token este un token de utilizator, al doilea este un token de administrator. Din aceasta putem concluziona că administratorul PC-ului folosește permisiunile din a doua listă, dar acest lucru nu este în întregime adevărat. Funcționează doar cu el, dar token-ul în sine „aparține” mecanismului UAC, așa că, chiar dacă rulați aplicații cu drepturi de administrator, aveți nevoie de permisiunea de control al contului de utilizator.

Este posibil să nu fie cel mai precis mod de a descrie modul în care funcționează UAC. Mai degrabă, controlul poate fi considerat ca un fel de legătură intermediară între listele de drepturi ale utilizatorului și ale administratorului. Să aruncăm o privire mai atentă la ce se întâmplă în timpul instalării/lansării programului când UAC este activat. Când utilizatorul lansează programul de instalare, funcția ShellExecute apelează o altă funcție CreateProcess, care la rândul său lansează sistemele AppCompat, Fusion și Installer Detection pentru a verifica dacă programul are nevoie de privilegii ridicate. Dacă este necesar, funcția CreateProcess returnează o eroare ERROR_ELEVATION_REQUIRED, iar funcția ShellExecute lansează caseta de dialog UAC.

Așa se dezvoltă lanțul. Dar acesta nu este sfârșitul puterilor UAC. De asemenea, participă la alte mecanisme, de exemplu, la virtualizarea sistemului de fișiere și a registrului, redirecționând scrierea programelor non-administratoare către locuri special desemnate, în loc să scrie datele lor direct în directoare protejate și ramuri de registru.

Toate modalitățile de a dezactiva UAC

Acum să revenim la cum să dezactivați UAC în Windows 7/10. Cea mai evidentă cale este prin interfață. Puteți accesa setările necesare prin appletul „Conturi de utilizator” din Panoul de control, dar pentru a nu merge departe, puteți executa comanda în fereastra Run (Win + R) UserAccountControlSettings(funcționează pe Windows 7, 8, 8.1 și 10).

Există patru moduri de operare UAC disponibile:

• Primul mod dezactivează Controlul contului utilizatorului, nu apar solicitări atunci când se efectuează acțiuni.
• Când lucrează în al doilea mod, sistemul solicită permisiunea de a rula programe, dar desktopul nu este estompat.
• Al treilea mod este setat implicit. Se solicită permisiunea de a executa programe cu transferul desktop-ului în modul sigur.
• Al patrulea mod include nivelul maxim de protecție, mecanismul este declanșat nu numai la lansarea programelor, ci și atunci când administratorul încearcă să modifice setările.

Pentru a dezactiva UAC, trageți glisorul în partea de jos și faceți clic pe OK. Dacă sistemul vi se solicită, reporniți computerul.

Deschideți editorul de registry cu comanda regedit si extinde acest thread:

HKEY_LOCAL_MACHINE / SOFTWARE / Microsoft / Windows / CurrentVersion / Politics / System

Găsiți parametrul în coloana din dreapta ActivațiLUAși schimbați-i valoarea de la 1 la 0, salvați setările și reporniți.

Acordați atenție și parametrilor PromptOnSecureDesktop(0 dezactivează doar reglajul) și ConsentPromptBehaviorAdmin(1 include nivelul maxim de protecție cu o cerință de parolă).

Folosind linia de comandă

Aceiași pași pot fi efectuati folosind o linie de comandă care rulează ca administrator. În acest exemplu, comanda pentru a dezactiva complet UAC va fi următoarea:

C: /Windows/System32/cmd.exe / k% windir% / System32 / reg.exe ADD HKLM / SOFTWARE / Microsoft / Windows / CurrentVersion / Policies / System / v EnableLUA / t REG_DWORD / d 0 / f

Prima parte a comenzii este calea către fișierul de gestionare a registrului, a doua este cheia editabilă, EnableLUA este parametrul responsabil pentru dezactivarea UAC, 0 este noua sa valoare. Prin înlocuirea altor date pentru parametru și valorile acestuia, puteți modifica setările altor moduri UAC (vezi mai sus). Ca și în cazul modificărilor prin intermediul registrului, va trebui să reporniți computerul.

Politicile de grup local

De asemenea, puteți dezactiva UAC utilizând Editorul de politici de grup local. Rulați-l cu comanda gpedit.mscși urmează poteca Configurare computer - Configurare Windows - Opțiuni de securitate - Politici locale - Opțiuni de securitate.

Există multe politici pentru a gestiona setările UAC în coloana din dreapta, dar aveți nevoie doar de una pentru a dezactiva UAC - toți administratorii rulează în modul de aprobare de administrator. Faceți dublu clic pe el și setați butonul radio din caseta de dialog în poziția „Dezactivat”, apoi reporniți computerul.

Dezactivați controlul pentru o anumită aplicație

Și, în sfârșit, să ne uităm la un alt punct interesant, și anume dezactivarea UAC în Windows 7/10 pentru anumite programe. Există mai multe moduri de a face acest lucru, dar nu toate sunt convenabile. Dacă vă considerați un utilizator avansat, vă puteți juca cu aplicația Compatibility Toolkit, care vă permite să faceți câteva lucruri interesante. Vă vom oferi o utilitate mai simplă Tweaker Winaero de la un dezvoltator autohton. Rulați-l, derulați lista de opțiuni aproape până la capăt și găsiți acolo EComandă rapidă ridicată.

În partea dreaptă a ferestrei utilitarului, în câmpul Țintă, specificați calea către fișierul executabil al aplicației pe care doriți să o rulați ocolind UAC, iar în câmpul Locație comandă rapidă, specificați calea către comanda rapidă pentru a o lansa.

Faceți clic pe butonul „Creați o comandă rapidă ridicată” și va fi creată comanda rapidă. Simplă, rapidă și convenabilă, dar această metodă are un mic dezavantaj. Când lansați aplicația prin comanda rapidă creată, o fereastră de linie de comandă va apărea pe ecran pentru un moment.

Puteți încerca și această metodă. Creați o sarcină nouă în Task Scheduler.

În fila „General”, dați-i un nume, de exemplu, „Rulați editorul de registry fără UAC”, apoi bifați caseta de selectare „Rulați cu cele mai înalte drepturi” din partea de jos.

În fereastra care se deschide, specificați calea completă către fișierul executabil al programului.

Treceți la fila „Condiții” și eliminați casetele de selectare „Funcționați numai când este alimentat de la rețea” și „Opriți la trecerea la alimentarea cu baterie”.

Salvăm sarcina și o verificăm în acțiune făcând clic pe „Run”.

Dacă programul a pornit așa cum era de așteptat, fără un prompt UAC, tot ce a mai rămas a fost crearea unei comenzi rapide. Creați-l pe desktop și scrieți comanda în câmpul locație obiect schtasks / run / tn "numele sarcinii", unde „numele sarcinii” este numele sarcinii dvs.

Cam despre asta e.

Din păcate, această metodă are și dezavantajul ei - aplicațiile vor rula în fundal, sau mai degrabă fără focalizare, dar acest lucru poate fi corectat introducând calea către câmpul Task Scheduler în loc de calea către programul dvs. C: /Windows/system32/cmd.exe, și în câmpul pentru adăugarea de argumente / c porniți programul "" program.exe, unde program.exe este numele fișierului executabil al programului pentru a ocoli controlul contului.

Poate că asta este tot ce am vrut să vă spunem despre Controlul contului de utilizator în Windows 7/10. Lăsați observațiile și comentariile dvs. folosind formularul de mai jos.

UAC este un element al sistemelor de operare Microsoft care a apărut în dezastruosul Vista. Acesta solicită utilizatorului confirmarea acțiunilor pe computer care necesită privilegii de administrator. Acest lucru se face pentru a preveni modificările neautorizate ale parametrilor sistemului. Dacă sunteți sigur că nu veți dăuna computerului prin propriile acțiuni și este protejat de un program antivirus, mai jos este arătat cum să dezactivați UAC în Windows 10.

Astfel de ferestre apar din cauza modificărilor de timp, lansării fișierelor de instalare, modificărilor în registry, setări de pornire și bară de activități, precum și la configurarea Windows 10 prin Setări și Panoul de control.

Pe lângă protejarea computerului de acțiunea unui număr semnificativ de programe malware și viruși, UAC avertizează utilizatorul atunci când încearcă să modifice setările importante ale sistemului de operare. Datorită ferestrei de avertizare pop-up, utilizatorul devine mai responsabil pentru efectuarea modificărilor în primele zece.

A
Nu este un secret că Controlul contului utilizatorului este activat în mod implicit. Nivelul de protecție este de aproximativ 3 din patru poziții posibile.

• „Întotdeauna notificați utilizatorul despre încercările de a instala/dezinstala o aplicație sau de a face ajustări în registrul de sistem în orice mod.” Această opțiune oferă securitate maximă pentru computer și nu va permite programelor și scripturilor să efectueze nicio acțiune care necesită privilegii de administrator fără știrea dvs. Pentru a confirma acțiunile, non-administratorii vor trebui să introducă în mod constant o parolă.
• Alertă când aplicațiile încearcă să facă modificări pe computer fără a ascundea desktopul. Setarea implicită vă permite să controlați doar funcționarea aplicațiilor, dar nu și acțiunile utilizatorului.
• La fel ca și versiunea anterioară, dar cu un desktop umbrit.
• Nu notifica niciodată - UAC este dezactivat și nu afișează niciun avertisment.

Am descoperit mecanismul de funcționare și scopul instrumentului de control al contului de utilizator, să vedem cum să dezactivați UAC în Windows 10.

Deconectați-vă prin GUI

Cel mai simplu pentru începători și, prin urmare, cel mai popular mod de a dezactiva instrumentul este applet-ul panoului de control numit „Conturi”.

1. Mergem la „Panou de control” folosind meniul WinX.
2. Trecem la elementul responsabil cu crearea conturilor (se află unul dintre ultimele).
3. Urmați linkul „Schimbați setările de control al contului de utilizator”.

Acțiunea va cere utilizatorului să aibă privilegii de administrator.

O modalitate mai ușoară de a deschide această fereastră este să executați comanda în bara de căutare sau în fereastra Run (pentru a o apela, folosim combinația de butoane Win + R).

Se deschide o fereastră cu un glisor vertical cu patru poziții, permițându-vă să modificați manual setările UAC. Deplasarea cursorului este însoțită de apariția unei explicații a stării sale curente, care au fost descrise mai sus.

Pentru a dezactiva UAC, mutați glisorul în poziția de jos, faceți clic pe „OK” și confirmați acțiunea care necesită modificarea registrului Windows 10.

După ce ați decis să scăpați de mesajele enervante care apar în mod regulat, ar trebui să fiți extrem de atenți, deoarece orice aplicație sau script va avea aceleași drepturi ca și utilizatorul. UAC nu va putea raporta activitatea aplicațiilor rău intenționate cărora li se permite să modifice aproape orice setări Windows și să modifice o parte semnificativă a fișierelor de sistem, inclusiv intrările din registry.

Dezactivați UAC prin intermediul registrului de sistem

Registrul, al cărui acces la înregistrările se realizează printr-un editor special, stochează majoritatea setărilor și informațiilor referitoare la computer și Windows 10. Parametrii UAC, pe care ați învățat să îi modificați prin „Panou de control”, sunt de asemenea stocați. în registru. Prin urmare, acestea pot fi modificate prin editarea tastelor corespunzătoare.

1. Executăm „regedit”.
2. Extindeți secțiunile HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System una câte una.
3. Setați valoarea PromptOnSecureDesktop la „0” după ce faceți dublu clic pe numele / pictograma cheii.
4. În mod similar, modificați ConsentPromptBehaviorAdmin la „0”.

Modificările intră în vigoare imediat după ce faceți clic pe butonul „OK”, fără a fi necesar ca utilizatorul să repornească shell-ul Windows 10 sau sistemul de operare în sine.

Tasta PromptOnSecureDesktop este responsabilă pentru estomparea desktopului (1 - dim, 0 - nu, alte valori sunt automat egale cu unu) atunci când UAC este activat.

Valorile ConsentPromptBehaviorAdmin și PromptOnSecureDesktop pot fi după cum urmează:

• 1 și 2 corespund poziției superioare a glisorului - anunțați întotdeauna;
• 1 și 5 - poziție secundă - valoare implicită;
• 0 și 5 - notifică fără a estompa ecranul.

De la lansarea versiunii de rețea a sistemului de operare Windows NT, toate modificările ulterioare au început să utilizeze în mod activ Controlul contului de utilizator, care anterior era folosit exclusiv pentru mainframe și servere. În versiunile desktop ale sistemului, nu a existat nicio separare a drepturilor de administrator și de utilizator obișnuit. Prin urmare, orice program instalat sau instalat ar putea face propriile ajustări ale setărilor sistemului, ceea ce ar putea perturba operabilitatea sistemului de operare în sine.

Ce este Controlul contului de utilizator și pentru ce este?

În sistemele de deasupra diviziunii drepturilor a devenit mai perceptibilă. În cele din urmă, a atins apogeul în Windows 7. Deci, sistemul are trei categorii de drepturi de acces pentru a modifica setările sistemului (iar User Account Control este conceput pentru acest lucru) la nivel de administrator, utilizator obișnuit și super administrator. Acesta din urmă, apropo, are maximum de privilegii și nu este el însuși un utilizator înregistrat, ci un fel de fantomă de sistem, a cărui acțiune practic nu este controlată de proprietarii de computere, deși acest cont poate fi dezactivat.

După cum este deja clar, Controlul contului utilizatorului în Windows a fost introdus, astfel încât utilizatorul să nu poată modifica accidental sau intenționat parametrii sistemului sau să ștergă fișierele critice. Și acest lucru este valabil nu numai pentru propriile sale acțiuni eruptive, ci și pentru programele instalate sau rulate care pot modifica parametrii pe cont propriu fără știrea utilizatorului, ca să nu mai vorbim de tot felul de viruși și amenințări.

Ce parametri sunt acoperiți de control?

Acum să aruncăm o privire rapidă la exact ce acțiuni ale utilizatorului sau ale aplicației sunt afectate de acest instrument restrictiv Windows. Nu vom oferi o listă completă de interdicții, dar ne vom limita la principalele situații:

• instalarea/eliminarea aplicațiilor, driverelor și controalelor ActiveX;
• instalarea actualizărilor de sistem;
• modificarea setărilor paravanului de protecție și a instrumentului de control în sine;
• crearea sau ștergerea înregistrărilor de înregistrare;
• instalarea și eliminarea controlului parental;
• acțiuni cu „Task Scheduler”;
• restaurarea elementelor sistemului din backup;
• orice acțiuni cu fișiere și directoare ale altor utilizatori;
• modificarea orei (dar nu a fusului orar);
• acțiuni în editorul de registry etc.

Cum dezactivez Controlul contului de utilizator?

Pentru a face acest lucru, trebuie să apelați secțiunea de conturi prin „Panou de control” și să mergeți la elementul pentru modificarea opțiunilor de control (în Windows 10, pentru a apela secțiunea dorită, puteți introduce pur și simplu abrevierea UAC în câmpul de căutare).

În fereastra de setări din stânga există un glisor, prin deplasarea căruia se stabilește nivelul dorit. Există doar patru opțiuni de setări:

• notificare permanentă (pentru toate programele și utilizatorii obișnuiți);
• notificare numai atunci când încercați să faceți modificări la setările sistemului (numai pentru programe);
• notificare la modificarea parametrilor sistemului, dar fără a estompa ecranul;
• oprire completă.

Rețineți că dacă dezactivați complet controlul, toate aplicațiile instalate (inclusiv virușii) vor avea aceleași drepturi ca și administratorul, așa că în acest caz trebuie să fiți extrem de atenți și să vă gândiți de o sută de ori să faceți astfel de modificări în sistem.

Dezactivarea controlului prin registrul de sistem

În Windows este posibil și prin intermediul registrului de sistem. Pentru a apela editorul, utilizați comanda regedit, care este scrisă în câmpul meniului Run.

Aici ar trebui să urmați filiala HKLM până la secțiunea Politici și sistem, unde există trei parametri în dreapta: EnableLUA, PromptOnSecureDesktop și ConsentPromptBehaviorAdmin.

Editarea acestora se face printr-un dublu clic. Combinațiile prezentate mai jos corespund valorilor descrise mai sus, care ar putea fi setate cu glisorul din secțiunea de control și ordinea tastelor enumerate:

1. 1, 1, 2.
2. 1, 1, 5.
3. 1, 0, 5.
4. 1, 0, 0.

Dacă te uiți cu atenție la locația cheilor, este ușor de observat că acestea se află în secțiunea de politici, care poate fi apelată și prin setările sistemului Windows. Cu toate acestea, registrul are o prioritate mai mare, astfel încât problemele de modificare a setărilor nu sunt luate în considerare în politici.

Merită să reduceți nivelul de control?

Pe scurt, asta este totul despre Controlul contului de utilizator. În cele din urmă, rămâne de decis întrebarea cât de oportun este dezactivarea controlului. Se pare că îl poți dezactiva complet doar dacă nu ai acces la Internet, de unde s-ar putea scurge viruși în sistem, sau nu ai de gând să instalezi niciun program. Dar în versiunea generală, puteți pur și simplu să reduceți nivelul de control (până la al treilea punct), dacă este atât de urgent necesar. De asemenea, nu este recomandat să setați nivelul maxim, deoarece sistemul va emite solicitări de confirmare cu fiecare ocazie și înțelegeți că foarte puțini oameni le va plăcea asta.

Controlul contului utilizatorului este probabil cea mai subestimată și poate chiar cea mai urâtă caracteristică care a debutat în Vista și a devenit parte a tuturor versiunilor ulterioare de Windows. În cea mai mare parte, fluxul de ură pe care utilizatorii îl revarsă asupra Controlului contului utilizatorului, îl consider nemeritat, deoarece funcția este de real folos. Sunt pe deplin de acord că uneori Controlul contului utilizatorului (denumit în continuare doar UAC) poate fi destul de enervant, dar a fost implementat în Windows pentru un anumit scop. Nu, nu pentru a împiedica utilizatorii, ci pentru a facilita o tranziție lină de la un cont standard (limitat) la un cont de administrator.

În acest articol, voi explica ce este UAC, cum funcționează, de ce este necesar și cum să-l configurez. Nu am intenția de a vă oferi nicio îndrumare cu privire la motivul pentru care ar trebui să utilizați UAC, ci doar să vă informez despre ceea ce sunteți lipsit dezactivând această funcție.

Câteva informații de fundal și de cont

După cum ar trebui să știți, Windows funcționează cu așa-numitele conturi. Sunt de două tipuri: administrator și standard (limitate).

Contul de administrator oferă utilizatorului acces deplin la toate funcțiile sistemului de operare, de ex. utilizatorul poate face ce vrea. Utilizatorul contului standard are drepturi reduse și, prin urmare, doar câteva lucruri îi sunt permise. Acesta este de obicei orice lucru care afectează doar utilizatorul actual. De exemplu: schimbarea imaginii de fundal de pe desktop, setările mouse-ului, schimbarea schemei de sunet etc. În general, tot ceea ce privește un anumit utilizator și nu se aplică întregului sistem este disponibil într-un cont standard. Orice lucru care poate afecta sistemul în ansamblu necesită acces de administrator.

Una dintre sarcinile atribuite acestor conturi este protejarea împotriva codului rău intenționat. Ideea generală aici este că utilizatorul ar trebui să efectueze o activitate normală într-un cont limitat și să treacă la contul de administrator numai atunci când este necesar de o acțiune. Paradoxal, dar programele rău intenționate primesc același nivel de drepturi cu care utilizatorul s-a conectat la sistem.

În Windows 2000 și Windows XP, implementarea acțiunilor în numele administratorului nu este suficient de flexibilă și, prin urmare, nu era foarte convenabil să lucrezi sub un cont limitat. Una dintre modalitățile de a efectua o acțiune de administrator în aceste versiuni de sistem arată astfel: deconectare dintr-un cont limitat (sau comutare rapidă dacă utilizați Windows XP) -> autentificare într-un cont de administrator -> efectuarea unei acțiuni -> înregistrare ieșiți dintr-un cont de administrator (sau comutare rapidă dacă este utilizat Windows XP) -> reveniți la contul restricționat.

O altă opțiune este să folosiți meniul contextual și opțiunea „Run as a different user”, care deschide o fereastră în care trebuie să specificați contul și parola de administrator corespunzătoare pentru a rula fișierul ca administrator. Aceasta este o modalitate destul de rapidă de a trece de la un cont la altul, dar nu se aplică în nicio situație care necesită privilegii administrative. O altă problemă cu această metodă este că contul de administrator trebuie să aibă o parolă, altfel va eșua.

Acesta este motivul pentru care Controlul contului de utilizator a fost introdus în Windows Vista, iar în Windows 7 a fost adus aproape de perfecțiune.

Ce este UAC

UAC este o caracteristică din Windows Vista, 7, 8, 8.1 și 10 care urmărește să facă tranziția de la un mediu restricționat la un mediu de administrare cât mai fluidă și fără probleme posibil, eliminând necesitatea lansării manuale a fișierelor ca administrator sau comuta între conturi. În plus, UAC este un strat suplimentar de protecție care nu necesită aproape niciun efort din partea utilizatorului, dar poate preveni daune grave.

Cum funcționează UAC

Când un utilizator se conectează la contul său, Windows creează un așa-numit token de acces utilizator, care conține anumite informații despre acest cont și în principal diverși identificatori de securitate pe care sistemul de operare îi folosește pentru a controla accesibilitatea acestui cont. Cu alte cuvinte, acest token este un fel de document personal (cum ar fi un pașaport, de exemplu). Acest lucru se aplică tuturor versiunilor de Windows bazate pe nucleul NT: NT, 2000, XP, Vista, 7, 8 și 10.

Când un utilizator se conectează la un cont standard (restricționat), este creat un simbol de utilizator standard cu drepturi limitate. Când un utilizator se conectează la un cont de administrator, un așa-numit. jeton de administrator cu acces complet. Este logic.

Cu toate acestea, în Windows Vista, 7, 8 și 10, dacă UAC este activat și utilizatorul este conectat la un cont de administrator, Windows creează două jetoane. Administratorul rămâne în fundal, în timp ce implicit este folosit pentru a lansa Explorer.exe. Adică, Explorer.exe rulează cu drepturi limitate. În acest caz, toate procesele lansate după aceasta devin subprocese Explorer.exe cu privilegii limitate moștenite ale procesului principal. Dacă un proces necesită drepturi de administrator, acesta solicită un token de administrator, iar Windows, la rândul său, cere utilizatorului permisiunea de a furniza procesului acest token într-o casetă de dialog specială.

Acest dialog conține așa-numitul desktop securizat, la care are acces numai sistemul de operare. Arată ca un instantaneu întunecat al desktopului real și conține doar o fereastră de confirmare pentru drepturile de administrator și, eventual, o bară de limbă (dacă sunt activate mai multe limbi).

Dacă utilizatorul nu este de acord și dă clic pe „Nu”, Windows va refuza procesului un token de administrator. Iar dacă este de acord și alege „Da”, sistemul de operare va acorda procesului privilegiile de care are nevoie și anume, un token de administrator.

Dacă procesul rulează deja cu privilegii ridicate, va fi repornit cu privilegii ridicate (de administrator). Procesul nu poate fi „degradat” sau „promovat” direct. După ce procesul a fost pornit cu un singur token, nu va putea obține alte drepturi până când nu va fi reluat cu noi drepturi. Un exemplu este Task Manager, care începe întotdeauna cu drepturi limitate. Dacă faceți clic pe butonul Afișați procesele tuturor utilizatorilor, Managerul de activități este închis și repornit, dar cu drepturi de administrator.

Când utilizați un cont standard, UAC solicită un anumit cont de administrator și introduce o parolă:

Cum protejează UAC utilizatorul

UAC în sine nu oferă multă protecție. Doar facilitează tranziția de la un mediu restrâns la unul administrativ. Deci formularea mai corectă a întrebării este, așadar, următoarea: cum descurajează contul restricționat utilizatorul. În cadrul unui profil de utilizator restricționat, procesele nu pot accesa anumite zone de sistem:

• partiția principală a discului;
• folderele de utilizatori ale altor utilizatori în folderul \ Utilizatori \;
• folder Program Files;
• folderul Windows și toate subfolderele sale;
• secțiuni ale altor conturi din registrul de sistem
• Secțiunea HKEY_LOCAL_MACHINE din registrul de sistem.

Orice proces (sau cod rău intenționat) fără drepturi de administrator nu poate pătrunde adânc în sistem, fără acces la folderele și cheile de registry necesare și, prin urmare, nu poate deteriora grav sistemul.

Poate UAC să interfereze cu programe mai vechi care nu sunt compatibile oficial cu Vista / 7/8/10

Nu ar trebui. Când UAC este activat, virtualizarea este, de asemenea, activată. Unele programe vechi și/sau doar scrise neglijent nu folosesc folderele corecte pentru a-și stoca fișierele (setări, jurnale etc.). Dosarele corecte sunt folderele din directorul AppData pe care le are fiecare cont și unde fiecare program poate crea un folder pentru a stoca tot ce dorește.

Unele programe încearcă să-și salveze fișierele în Program Files și/sau Windows. Dacă programul este pornit cu drepturi de administrator, aceasta nu va fi o problemă. Cu toate acestea, dacă programul este executat cu permisiuni limitate, nu va putea face modificări la fișierele / folderele din Program Files și/sau Windows. Sistemul de operare pur și simplu nu o permite.

Pentru a preveni problemele cu astfel de programe, Windows oferă virtualizarea folderelor și a cheilor de registry, la care programele cu drepturi limitate nu au acces în principiu. Când un astfel de program încearcă să creeze un fișier într-un folder protejat, sistemul de operare îl redirecționează către un folder special VirtualStore situat în X: \ Utilizatori \<имя-вашего-профиля>\ AppData \ Local \(unde X: aceasta este partiția de sistem, de obicei C :). Acestea. Prin ochii programului în sine, totul este în ordine. Ea nu întâlnește obstacole și crede că creează fișiere / foldere exact acolo unde își dorește. VirtualStore conține, de obicei, fișiere de program și subfoldere Windows. Iată o captură de ecran a fișierelor de program din folderul VirtualStore:

Și iată ce se află în folderul SopCast, de exemplu:

Acestea. dacă UAC a fost oprit sau programul a fost întotdeauna pornit cu drepturi de administrator, aceste fișiere / foldere ar fi create în C: \ Program Files \ SopCast. În Windows XP, aceste fișiere și foldere ar fi create fără probleme, deoarece în Windows XP toate programele au drepturi de administrator în mod implicit.

Acest lucru, desigur, nu ar trebui să fie văzut de dezvoltatori ca o soluție permanentă. Datoria fiecărui autor este să creeze software care să fie pe deplin compatibil cu sistemele de operare actuale.

Casete de dialog UAC

Poate ați observat că există doar trei casete de dialog UAC diferite. Aici ne vom uita la cele din Windows 7, 8.x și 10. În Vista, dialogurile sunt ușor diferite, dar nu ne vom opri asupra lor.

Primul tip de fereastră are o dungă albastru închis în partea de sus și o pictogramă de scut în colțul din stânga sus, care este împărțită în 2 secțiuni albastre și 2 galbene. Această fereastră apare atunci când este necesară confirmarea pentru un proces semnat digital care aparține sistemului de operare - așa-numitul. Binare Windows. Despre ele vom vorbi mai jos.

Al doilea tip de fereastră are și o panglică albastru închis, dar pictograma scutului este complet albastră și are un semn de întrebare. Această fereastră apare atunci când este necesară confirmarea pentru un proces semnat digital, dar procesul/fișierul nu aparține sistemului de operare.

A treia fereastră este decorată cu o dungă portocalie, scutul este tot portocaliu, dar cu semnul exclamării. Acest dialog apare atunci când este necesară confirmarea pentru un proces nesemnat.

Setări UAC

Setările de control al contului de utilizator (modurile de operare) se află în Panou de control -> Sistem și securitate -> Modificați setările de control al contului de utilizator... Sunt doar 4 dintre ele:

Notificarea întotdeauna este cel mai înalt nivel. Acest mod este echivalent cu modul în care funcționează UAC în Windows Vista. În acest mod, sistemul necesită întotdeauna confirmarea drepturilor de administrator, indiferent de proces și de ceea ce necesită.

Al doilea nivel este utilizat în mod implicit în Windows 7, 8.x și 10. În acest mod, Windows nu afișează o fereastră UAC când vine vorba de așa-numitele binare Windows. Acestea. dacă un fișier/proces care necesită drepturi de administrator îndeplinește următoarele 3 condiții, sistemul de operare le va acorda automat, fără confirmare din partea utilizatorului:

• fișierul are un manifest încorporat sau ca fișier separat, care indică elevația automată;
• fișierul se află în folderul Windows (sau în oricare dintre subfolderele acestuia);
• fișierul este semnat cu o semnătură digitală Windows validă.

Al treilea mod este același cu al doilea (anterior), cu diferența că nu folosește desktopul securizat. Adică, ecranul nu este estompat, iar caseta de dialog UAC apare ca oricare alta. Microsoft nu recomandă utilizarea acestei opțiuni și voi explica de ce mai târziu.

Nu mă notifica este al patrulea și ultimul nivel. De fapt, aceasta înseamnă dezactivarea completă a UAC.

Este pertinent să facem două observații aici:

• Semnătura digitală Windows se referă în mod specific la sistemul de operare. Spun asta pentru că există și fișiere care au fost semnate digital de Microsoft. Acestea sunt două semnături separate, UAC recunoscând doar o semnătură digitală Windows, deoarece acționează ca dovadă că fișierul nu este doar de la Microsoft, ci este și parte a sistemului de operare.
• nu toate fișierele Windows au un manifest de ridicare automată. Există fișiere care sunt lipsite în mod intenționat de acest lucru. De exemplu, regedit.exe și cmd.exe. Este clar că al doilea este lipsit de promovare automată, deoarece este foarte des folosit pentru a lansa alte procese și, după cum am menționat deja, fiecare proces nou moștenește drepturile procesului care l-a lansat. Aceasta înseamnă că oricine poate folosi linia de comandă pentru a rula fără probleme orice procese cu privilegii de administrator. Din fericire, Microsoft nu este un prost.

De ce este important să folosiți un desktop securizat

Desktopul securizat previne orice posibilă interferență și influență din partea altor procese. După cum s-a menționat mai sus, doar sistemul de operare are acces la el și, odată cu acesta, acceptă doar comenzi de bază de la utilizator, adică apăsând butonul „Da” sau „Nu”.

Dacă nu utilizați un desktop securizat, un atacator poate falsifica o fereastră UAC pentru a vă păcăli și a rula fișierul rău intenționat cu privilegii de administrator.

Când aveți nevoie de drepturi de administrator? Când apare fereastra UAC?

În general, există trei cazuri în care UAC se adresează utilizatorului:

• la modificarea setărilor sistemului (non-utilizator), deși în realitate acest lucru se aplică doar nivelului maxim UAC;
• la instalarea sau dezinstalarea unui program/driver;
• atunci când o aplicație/proces necesită privilegii de administrator pentru a face modificări la fișierele de sistem/directoarele sau cheile de registry de sistem.

De ce este important să nu dezactivați UAC

Controlul contului utilizatorului oferă un nivel ridicat de protecție și, în schimb, nu necesită aproape nimic. Adică, eficiența UAC este foarte mare. Nu înțeleg de ce enervează atât de mult oamenii. În munca de zi cu zi, utilizatorul mediu vede fereastra UAC de 1-2 ori pe zi. Poate chiar 0. Este atât de mult?

Utilizatorul obișnuit modifică rareori setările sistemului și, atunci când o fac, UAC nu se deranjează să pună întrebări atâta timp cât funcționează cu setările implicite.

Utilizatorul mediu nu instalează drivere și software în fiecare zi. Toate driverele și majoritatea programelor necesare sunt instalate o singură dată - după instalarea Windows. Adică, acesta este procentul principal de solicitări UAC. După aceea, UAC intervine doar la actualizare, dar nu sunt lansate în fiecare zi versiuni noi de programe, ca să nu mai vorbim de drivere. În plus, mulți nu actualizează deloc programele sau driverele, ceea ce reduce și mai mult problemele UAC.

Foarte puține programe au nevoie de drepturi de administrator pentru a-și face treaba. Acestea sunt în principal defragmentare, instrumente de curățare și optimizare, unele programe de diagnosticare (AIDA64, HWMonitor, SpeedFan etc.) și setări de sistem (Process Explorer și Autoruns, de exemplu, dar numai dacă trebuie să faceți ceva anume - să zicem, dezactivați driverul). / service sau un program care pornește cu Windows). Și toate acestea sunt programe care fie nu pot fi folosite deloc, fie în cazuri rare. Toate aplicațiile utilizate în mod obișnuit funcționează cu UAC absolut bine și nu pun întrebări:

• playere multimedia (audio și/sau video);
• convertoare video/audio;
• programe pentru procesarea imaginilor/video/audio;
• programe pentru capturarea de capturi de ecran ale desktopului sau înregistrarea video pe acesta;
• Programe pentru vizualizarea imaginilor;
• browsere web;
• descărcatoare de fișiere (manager de descărcare și clienți P2P);
• Clienți FTP;
• mesagerie instant sau programe pentru comunicatii voce/video;
• Programe pentru înregistrarea discurilor;
• arhivatorii;
• editori de text;
• Cititoare PDF;
• mașini virtuale;
• si etc.

Chiar și instalarea actualizărilor Windows nu folosește fereastra UAC.

Sunt oameni care sunt dispuși să sacrifice 1-2 minute sau mai multe pe zi pentru a „optimiza” sistemul cu niște programe scrise strâmb care nu fac nimic folositor, dar nu sunt dispuși să petreacă câteva secunde pe zi răspunzând solicitărilor UAC.

Diverse afirmații precum „Sunt un utilizator cu experiență și știu să mă protejez” nu sunt suficiente, pentru că nimeni nu este asigurat și rezultatul anumitor situații nu depinde întotdeauna de utilizator. Mai mult, oamenii au tendința de a greși, se întâmplă tuturor.

Permiteți-mi să vă dau un exemplu: să presupunem că utilizați un program care are vulnerabilități și, într-o zi, vă aflați pe un site care exploatează aceste vulnerabilități. Dacă Controlul contului de utilizator este activat și programul rulează cu drepturi limitate, un atacator nu va putea face prea multe probleme. În caz contrar, deteriorarea sistemului poate fi colosală.

Și acesta este doar unul dintre multele exemple.

Rulați aplicații cu Windows ca administrator

Recunosc că pot exista utilizatori care dezactivează UAC doar pentru a putea rula programe cu Windows și cu drepturi de administrator. Acest lucru nu este posibil în mod obișnuit, deoarece UAC nu poate trimite o solicitare utilizatorului până când desktopul este încărcat. Cu toate acestea, există o modalitate prin care puteți lăsa UAC activat. Iată-l:

• deschide Planificator de sarcini;
• clic Creați sarcină;
• în câmp Nume introduceți orice doriți și activați opțiunea în partea de jos a ferestrei Execută cu cele mai înalte drepturi;
• accesați fila Declanșatoareși apăsați Crea;
• în meniul derulant din partea de sus selectează Când vă conectați; dacă doriți să creați o sarcină pentru un anumit utilizator, selectați opțiunea Utilizatorși apoi apăsați Schimbă utilizatorul; introduceți numele dvs. de utilizator și confirmați apăsând butonul O.K;
• accesați fila Acțiuniși apăsați Crea;
• clic Prezentare generală, indicați aplicația corespunzătoare și confirmați alegerea dvs.;
• accesați fila Condițiiși dezactivați opțiunea Porniți numai când este alimentat de la rețea;
• în filă Parametrii dezactivați opțiunea Opriți sarcina care durează mai mult;
• confirmați apăsând O.K.

Gata. Sarcina a fost adăugată astfel încât acum aplicația să fie încărcată automat cu drepturi de administrator. Cu toate acestea, există o mică problemă: toate astfel de sarcini sunt efectuate cu o prioritate mai mică decât în ​​mod normal - sub normal (sub normal). Dacă ești în regulă cu tine, atunci ești în regulă. Dacă nu, atunci trebuie să mai lucrezi puțin:

• alerga Planificator de sarcini dacă l-ați închis deja;
• alege Bibliotecă Task Scheduler;
• marcați-vă sarcina, faceți clic Exportși salvați-l în format .xml;
• deschideți fișierul .xml într-un editor de text;
• găsiți secțiunea 7 , care ar trebui să fie la sfârșitul fișierului și să schimbe cele șapte (7) dintre etichetele de deschidere și de închidere la cinci (5);
• salvați fișierul;
• în Task Scheduler, evidențiați sarcina din nou, apăsați Ștergeși confirmați ștergerea;
• acum apăsați Sarcina de import, indicați spre fișierul pe care tocmai l-ați salvat și faceți clic O.K.

Asta e tot. Depinde de tine să decizi dacă folosești sau nu UAC, dar este foarte important să știi ce pierzi atunci când dezactivezi această funcție, precum și să fii conștient de riscuri. Vă mulțumim pentru atenție!

O zi bună!