Как открыть контроль учетных записей в windows 7

UAC — это компонент Windows, который расшифровывается как «User Account Control» или «Контроль учетных записей пользователей». Его предназначение заключается в обеспечении безопасности юзера в виде подтверждения действий, которые требуют административных прав. И хотя по умолчанию эта функция включена, ранее пользователи могли отключать ее для установки каких-либо программ, которые блокировал UAC. Кроме того, она может быть отключена в некоторых сборках этой ОС, созданных сторонними пользователями. Если вы желаете ее включить, воспользуйтесь способами, которые мы рассмотрим далее.

Вместе с включением функции обеспечения безопасности активация UAC подразумевает постоянное появление окна подтверждения выполнения действия, как правило, запуска программы/установщика. Благодаря этому многие вредоносные приложения в фоне не смогут запустить важные системные компоненты или «тихую» инсталляцию, поскольку UAC запросит подтверждение на эти действия. Стоит понимать, что этот способ вовсе не убегает юзера на 100% от угроз, но в комплексе будет полезным средством.

Способ 1: «Панель управления»

Через «Панель управления» можно быстро попасть в настройку необходимого параметра. Следуйте инструкции ниже:

1. Откройте «Панель управления» через меню «Пуск».



2. Перейдите в раздел «Учетные записи пользователей».



3. На этой странице нажмите по ссылке «Изменение параметров контроля учетных записей».



4. Вы увидите шкалу частоты выдачи уведомлений о вносимых изменениях в Windows. По умолчанию регулятор находится в самом низу. Тяните его вверх до указанных меток.



5. Каждая метка присваивает разную степень реагирования UAC, поэтому обязательно читайте информацию правее: там указано, в каких случаях вы будете получать уведомления и какой именно выбор в какой ситуации рекомендуется.

Система выдаст уведомление о необходимости перезагрузки компьютера для активации UAC.

Обратите внимание, если вы хотите настроить уровень поведения UAC еще выше (например, с вводом данных от администраторской учетной записи) или отключение затемненного фона рабочего стола, сделать это через данное окно не получится. Воспользуйтесь рекомендациями из Причины 4, что находится в конце этой статьи. Там рассказывается о том, как более детально редактировать поведение окна UAC через системное приложение «Локальная политика безопасности».

Способ 2: Меню «Пуск»

Гораздо быстрее можно попасть в окно, указанное в шаге 3 предыдущего способа, если открыть «Пуск» и нажать левой кнопкой мыши по картинке с вашим профилем.

После этого останется перейти по ссылке «Изменение параметров контроля учетных записей» и выполнить те же манипуляции, что указаны в шагах 4-6 Способа 1.

Способ 3: «Выполнить»

Через окно «Выполнить» также можно быстро перейти сразу же к окну редактирования уровня оповещений UAC.

1. Комбинацией клавиш Win + R запустите окно «Выполнить». Напишите в нем команду UserAccountControlSettings.exe и нажмите «ОК» либо Enter на клавиатуре.



2. Вы увидите окно, в котором следует перемещением регулятора включить и установить частоту оповещений. Подробнее об этом написано в шагах 4-5 Способа 1.

После выполнения этих действий перезапустите компьютер.

Способ 4: «Конфигурация системы»

Через стандартную утилиту «Конфигурация системы» также можно включить UAC, однако здесь нельзя будет выбрать уровень работы этой функции. По умолчанию будет назначена самая высокая степень реагирования.

1. Нажмите сочетание клавиш Win + R и напишите в окне msconfig. Кликните на «ОК».



2. Переключитесь на вкладку «Сервис», выделите одинарным кликом мыши средство «Настройка контроля учетных записей пользователей», нажмите «Запуск», а затем «ОК».

Перезапустите ПК.

Способ 5: «Командная строка»

Пользователям, привыкшим работать с CMD, пригодится этот способ.

1. Откройте консоль, развернув меню, найдя через поиск приложение «Командная строка» и запустив его от имени администратора.

   

   Вы также можете запустить ее, вызвав окно «Выполнить» клавишами Win + R и написав cmd в соответствующем поле.



2. Впишите команду C:WindowsSystem32cmd.exe /k %windir%System32reg.exe ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem /v EnableLUA /t REG_DWORD /d 1 /f и нажмите Enter.



3. Появится уведомление об успешном включении.

Останется перезагрузить систему.

Способ 6: «Редактор реестра»

Утилита «Редактор реестра» позволяет выполнять практически любые манипуляции с операционной системой, поэтому пользоваться ей следует очень осторожно. Однако включить UAC через нее не составит труда, и именно этот способ будет эффективнее остальных в случае блокировки включения этой функции вирусами.

Читайте также: Борьба с компьютерными вирусами

1. Нажмите сочетание клавиш Win + R, напишите в поле regedit и щелкните «ОК».



2. В открывшемся окне через левую часть последовательно разворачивайте следующие разделы: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem. Выделив последнюю папку кликом мыши, правее вы увидите список параметров, из которых отыщите «EnableLUA» и откройте его, щелкнув дважды ЛКМ.



3. Установите значение «1» и нажмите «ОК».

Выполните перезагрузку Win 7 для вступления изменений в силу.

Решение проблем с включением и настройкой UAC

Некоторые могут столкнуться с тем, что запустить окно включения и настройки «Контроля учетных записей пользователей» не появляется либо не удается изменить его уровень реагирования. Виной тому разные обстоятельства.

Причина 1: Тип учетной записи

Включение UAC возможно только через учетную запись администратора. Пользователь, имеющий пониженный уровень прав («Стандартный»), не сможет управлять такими важными настройками. Чтобы это исправить, необходимо изменить тип учетной записи или выполнить это действие из-под записи администратора.

Подробнее: Как получить права администратора в Windows 7

Причина 2: Системные ошибки

Эта ситуация может быть вызвана нарушением целостности системных файлов. Чтобы проверить это и исправить возможные ошибки, воспользуйтесь консольной утилитой SFC. Подробнее об этом мы рассказывали в другой статье, в Способе 1.

Подробнее: Восстановление системных файлов в Windows 7

В редких случаях утилита не способна выполнить восстановление, поскольку хранилище резервных файлов, которые SFC берет на замену, тоже оказывается повреждено. В связи с этим понадобится выполнить восстановление уже него.

Подробнее: Восстановление поврежденных компонентов в Windows 7 при помощи DISM

После успешного восстановления снова попытайтесь запустить SFC, и когда утилита исправит системные ошибки, переходите к включению UAC.

Ко всему прочему, помогает выполнение восстановления системы с использованием стандартного одноименного компонента. Произведите откат до одной из ранних точек, когда проблем с компьютером не наблюдалось. В этом поможет Способ 1 статьи по ссылке ниже.

Подробнее: Восстановление системы в Windows 7

Причина 3: Включенный антивирус

Иногда различные антивирусы контролируют работу важных компонентов операционной системы. Изменение их состояния может рассчитываться как вмешательство в работу ОС с возможной угрозой безопасности, что в нашей ситуации кажется немного абсурдным. Решение простое: на время отключите работу вашей антивирусной защиты, а затем уже попробуйте включить UAC или изменить его уровень реагирования.

Читайте также: Отключение антивируса

Причина 4: Неверные настройки политик безопасности

В ходе каких-то событий политики безопасности оказываются измененными. Поскольку они контролируют и работу UAC в том числе, параметры, запрещающие повышать уровень функции «Контроля учетных записей пользователей» или вообще использовать UAC, могут быть активированы. Проверьте, так ли это, и при необходимости измените значения некоторых параметров на разрешающие управлять UAC.

1. Одновременно зажмите клавиши Win + R и напишите в поле secpol.msc, а затем нажмите «ОК» или Enter.



2. Откроется компонент «Локальная политика безопасности». Через левую панель разверните вариант «Локальные политики» и выделите папку «Параметры безопасности».



3. Здесь нужно проверить значение трех параметров. Первый из них — «Контроль учетных записей: все администраторы работают в режиме одобрения». Правее должно стоять значение «Включен».



4. Если это не так, кликните по нему дважды ЛКМ и поменяйте значение. Сохраните результат на «ОК». Этот параметр, собственно, и включает или отключает UAC.



5. Когда сама функция работает, но вы не можете изменить ее уровень на более высокий или низкий, найдите политику «Контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором».
   

   Перейдите в настройки этого параметра и выставьте одно из значений, которое вам больше подходит:

   • Повышение без запроса. Задачи, требующие административные права (такие как запуск программ от имени администратора), получают повышение без запроса UAC. Остальные задачи выполняются от имени обычного пользователя;
   • Запрос учетных данных на безопасном рабочем столе. Вы будете видеть запрос UAC, который появляется на фоне затемненного рабочего стола. При этом вам понадобится ввести данные учетной записи администратора для продолжения действия. Является самым строгим уровнем поведения;
   • Запрос согласия на безопасном рабочем столе. Классическое появление уведомления на фоне затемненного рабочего стола, предлагающее разрешить или отменить действие. При разрешении задача получает самые высокие права;
   • Запрос учетных данных. Вариант, аналогичный «Запрос учетных данных на безопасном рабочем столе», но без затемнения;
   • Запрос согласия. Вариант, аналогичный «Запрос согласия на безопасном рабочем столе», но без затемнения;
   • Запрос согласия для двоичных данных не из Windows. Вариант, использующийся в Windows по умолчанию. То же самое, что «Запрос согласия на безопасном рабочем столе», но не для всех задач, а только для стороннего ПО, не имеющего цифровой подписи Майкрософт.



6. Если есть надобность, дополнительно измените уровень UAC для обычных пользователей, т.е. не с типом учетной записи «Администратор». За это отвечает пункт «Контроль учетных записей: поведение запроса на повышение прав для обычных пользователей». Перейдите в свойства этой политики, чтобы настроить ее значение.
   • Автоматически отклонять запросы на повышение прав. При выполнении задач, требующих повышения прав, происходит отказ в доступе;
   • Запрос учетных данных на безопасном рабочем столе. Вариант, используемый в Windows по умолчанию. Отображается запрос UAC с затемненным фоном рабочего стола, который просит ввести данные от учетной записи администратора для продолжения действий;
   • Запрос учетных данных. То же самое, что и предыдущий вариант, но без затемнения фона рабочего стола.

Теперь вы знаете, как можно быстро включать и управлять UAC. Однако не стоит забывать, что только через «Панель управления» вы можете не просто ее активировать, но и настроить уровень появления оповещений. Во всех остальных ситуациях компонент будет просто включен с максимальным уровнем реагирования.

Контроль учетных записей пользователей (User Account Control, UAC) — это механизм, предупреждающий пользователя о том, что для выполняемых действий требуются полномочия администратора. Он предназначен в первую очередь для защиты вашего компьютера от вредоносного ПО, поскольку позволит вовремя заметить, что неизвестная программа пытается внести изменения в конфигурацию системы.

В предыдущих версиях  (например в Windows XP), войдя в систему под учетной записью с административными правами вы получали полный доступ к системе. Это вполне приемлемо, если использовать административные полномочия только для действий, связанных с администрированием, а все остальное время работать под учетной записью с правами обычного пользователя. Однако многие пользователи, не желая лишний раз вводить учетные данные,  склонны использовать административные учетные записи в качестве рабочих, что довольно удобно, но крайне нежелательно в плане безопасности.

Стоит помнить о том, что любая программа, запущенная пользователем с правами администратора, получает все его полномочия и может вносить изменения в систему. UAC решает эту проблему, и даже член локальной группы администраторов постоянно работает с правами обычного пользователя и получает повышенные полномочия лишь на время выполнения определенной задачи. Работа UAC основана на трех понятиях:

Повышение полномочий (privilege elevation)

Все пользователи Windows 7 работают с правами стандартного пользователя. При попытке выполнить действие, требующее административных полномочий, например установка приложения, его полномочия должны быть повышены до прав пользователя-администратора. Это действие и называется повышение полномочий. Оно осуществляется только для конкретной задачи, каждая новая задача генерирует собственное уведомление UAC.

Режим одобрения администратора (admin approval mode)

Он действует в том случае, когда администратор должен одобрить повышение при помощи уведомления UAC. Для этого в уведомлении нужно нажать на кнопку ДА (запрос согласия) или ввести имя пользователя и пароль (запрос учетных данных).

Безопасный рабочий стол (secure desktop)

Предназначен для того, чтобы вредоносное ПО не смогло изменить или скрыть отображение уведомлений UAC. При выведенном уведомлении UAC рабочий стол становится недоступен и чтобы продолжить работу надо отреагировать на это уведомление. При этом все процессы приостанавливаются и создается снимок рабочего стола на текущий момент. Если нет реакции на уведомление в течение 150 секунд, запрос автоматически отклоняется и возвращается стандартный рабочий стол.

Настройка уровня уведомлений UAC производится в диалоговом окне «Параметры управления учетными данными пользователей». Открыть его можно разными способами, например из меню Пуск -> Панель управления -> Учетные записи пользователей -> Изменение параметров контроля учетных записей, или набрав (можно не целиком) в строке поиска ″Изменение параметров контроля учетных записей″ (Change user account control settings). Также можно нажать сочетание клавиш Win+R и выполнить команду UserAccountControlSettings.exe.

Уровень уведомлений регулируется положением бегунка, который имеет 4 положения:

Всегда уведомлять — вы получаете уведомление при любых попытках внести изменения в компьютер. При этом происходит затемнение рабочего стола и вывод уведомления, на которое необходимо отреагировать. При отсутствии реакции на уведомление запрос автоматически отклоняется;
Уведомлять только при попытках программ внести изменения в компьютер — уведомление выдается только когда изменения в настройки компьютера вносятся программами. При выводе уведомления используется безопасный рабочий стол, при отсутствии реакции происходит автоматическое отклонение запроса;
Уведомлять только при попытках программ внести изменения в компьютер (не затемнять рабочий стол) — уведомление выводится только при попытке изменить настройки программой, не входящей в состав Windows, при этом рабочий стол не затемняется. Если вы сами вносите изменения в настройки при помощи программ из комплекта Windows,то уведомление выводится не будет;
Никогда не уведомлять — если вы вошли в качества администратора, то уведомление выводиться не будет. Если как стандартный пользователь, то любые действия требующие административных полномочий автоматически отклоняются. Фактически это означает отключение UAC.

Чтобы обезопасить себя от вредоносных программ вполне достаточно оставить уровень по умолчанию. Даже если при этом работать под учетной записью администратора, риск значительно уменьшается, при этом для выполнения административных задач достаточно одного клика мышкой.

Контроль учетных данных также можно настроить с помощью групповых политик. Об этом читаем во 2-й части статьи.

В современных версиях Windows существует много инструментов, которые предназначены для обеспечения безопасности. Один из них — User Account Control, что в переводе означает «Контроль учётных записей». Он выдаёт окно с предупреждением, если какая-то программа или процесс пытается внести несанкционированные изменения в систему. И надо либо разрешить запуск утилиты, либо отменить его. Разберитесь, для чего нужен UAC Windows 7, как отключить его, как активировать и как настроить.

Многих пользователей раздражают такие уведомления. Ведь приходится каждый раз подтверждать, что вы согласны на установку нового приложения. Но контроль учётных записей служит для защиты от вредоносного ПО: вирусов, шпионов, рекламщиков. Он не заменит антивирус, сетевой экран или firewall. Но без этой функции Windows будет уязвима.

Если отключить UAC, компьютер окажется под угрозой. Не стоит деактивировать Account Control без причин. Иначе абсолютно любая программа сможет менять настройки системы, устанавливать свои дистрибутивы и запускать их. И всё это без ведома пользователя.

Контроль учётных записей можно настроить, чтобы он не был таким «надоедливым», и оповещение не выскакивало при запуске любой программы. Но рекомендуется оставить эту функцию в активном состоянии, чтобы защитить ПК.

Панель управления

Отключение UAC Windows 7 выглядит так:

1. Пуск ­— Панель управления.
2. «Учётные записи пользователей».
3. «Изменение параметров учётных записей».
4. Откроется окно с описаниями и ползунком. Передвигайте его, чтобы задать желаемые настройки. С правой стороны будет пояснение к выбранной опции.
5. Там есть четыре отметки. Верхняя «Всегда уведомлять» означает, что диалоговое окно-предупреждение будет всплывать при запуске абсолютно любой программы.
6. Если вам нужно полностью отключить UAC, передвиньте «каретку» на нижнее деление «Никогда не уведомлять». Но тогда риск заражения вирусными программами увеличится, и Windows будет под угрозой.
7. Лучше оставить ползунок где-то посередине. Чтобы контроль учётных записей уведомлял вас, только когда приложение пытается что-то поменять в системе. Если поставите прямоугольник на третью позицию, при появлении сообщения картинка на мониторе будет темнеть. Если поставите на второе деление, дисплей темнеть не будет.

Войти в это меню и отключить UAC можно и быстрее.

1. Нажмите «Пуск».
2. Кликните на изображение вашей учётной записи наверху.

В Windows Vista такого ползунка нет. Соответственно, детальная настройка функции невозможна. Доступно только включение и отключение режима.

Групповые политики

Ещё один метод взаимодействия с Account Control — редактор групповой политики. Этот способ подойдёт не для всех версий операционной системы. Только для Профессиональной, Максимальной и Корпоративной Windows.

Чтобы отключить UAC:

1. Перейдите в «Пуск — Выполнить» или нажмите Win+R.
2. Напишите в поле для ввода «secpol.msc» без кавычек и кликните на «OK».
3. Раскройте иерархию «Локальные политики — Параметры безопасности».
4. В списке справа найдите пункты «Контроль учётных записей». Там их несколько.
5. Вам нужен тот, который заканчивается словами «Все администраторы работают в режиме одобрения». Дважды щёлкните по нему.
6. На вкладке «Параметры безопасности» поставьте маркер рядом с пунктом «Отключение».
7. Нажмите «Применить», закройте редактор и перезагрузите компьютер.

Снова включить Account Control можно в том же меню.

Редактор реестра

Перед тем как что-то менять в реестре, надо сделать его резервную копию. Чтобы в случае возникновения неполадок его быстро восстановить.

1. Перейдите в «Пуск — Выполнить» или нажмите Win+R.
2. Введите «regedit» и нажмите «OK».
3. В появившемся окне откройте «Файл — Экспорт».
4. Укажите путь к папке, в которой надо сохранить бэкап.

Вот как в Windows 7 отключить контроль учётных записей UAC:

1. В редакторе реестра откройте «Правка — Найти».
2. Запустите поиск по запросу «EnableLUA».
3. В результатах выберите строчку с таким же названием. Дважды кликните по ней.
4. В поле «Значение» напишите цифру «0» (ноль), чтобы остановить работу службы.
5. Чтобы снова включить UAC, поменяйте «0» на «1» (единицу).
6. Нажмите «OK» и перезапустите ПК.

Командная строка

Отключение Account Control при помощи команд:

1. Пуск — Программы — Стандартные.
2. Кликните правой кнопкой мыши по «Командная строка».
3. Выберите «От имени администратора». Откроется окно с чёрным фоном и белым шрифтом.
4. Скопируйте в него команду «%windir%System32cmd.exe /k %windir%System32reg.exe ADD HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem /v EnableLUA /t REG_DWORD /d 0 /f» и нажмите
5. Она меняет параметры реестра. Через него можно вновь активировать режим.

Account Control — это необходимая мера безопасности. Отключайте её только в крайнем случае.

Расскажите, а у вас работает UAC, или вы обходитесь без него?

Начиная с Windows Vista, Microsoft включила в состав операционной системы механизм управления учетными записями пользователей (сокращенно UAC). Механизм работы UAC большинство пользователей восприняли негативно, так как бесконечные дополнительные валидации в виде затенения экрана и прощелкивания кнопочки Yes могли вывести из себя даже самого терпеливого. Зачастую UAC функционировал не вполне корректно, что приводило к не возможности работы с рядом программ, которые были написаны под ранние версии Windows. C выходом SP1 для Vista UAC был доработан, но пользователи уже успели отключить UAC и забыть что это такое.

В Windows 7 UAC приобрел дополнительные настройки. И я бы хотел рассказать, как именно сделать UAC действительно полезным инструментом для защиты ОС.

Уязвимости Windows

Так уж сложилось, что большинство пользователей Windows работают под учетной записью администратора со всеми вытекающими отсюда последствиями. Так как администратор практически не ограничен в своих правах, этим активно пользуют вирусописатели для распространения своего кода.
Можно выделить несколько наиболее важных целей, на которые приходятся вирусные атаки:

1. Файловая система (как правило: заражение исполняемых файлов)
2. Службы Windows
3. Реестр

И вот здесь возникает вопрос, как изолировать пользователя от системы даже при работе под администратором. Для этих целей и служит UAC.

При включенном UAC’е любая попытка доступа к системным файлам, службам или реестру будет блокирована и появится окно, которое потребует подтверждение пользователя на дальнейшие действия.

Настройка UAC

В Windows 7 появилась возможность настройки уровня предупреждений для UAC. Экран настройки UAC выглядит следующим образом:

Рис. 1. Настройка UAC в Windows 7.

Всего доступно четыре уровня предупреждений UAC:

1. Самый высокий уровень – предупреждения при любых попытках модифицировать системные настройки и файлы, а так же при установке программного обеспечения
2. Второй уровень – предупреждения только при попытках внести изменения в системную конфигурацию и настройки пользователя
3. Третий уровень – предупреждения только при попытках внести изменения в системную конфигурацию
4. Четвертый уровень – полное отключение UAC.

Но куда более важными, на мой взгляд, являются дополнительные настройки UAC в политиках безопасности (рис. 2):

Рис. 2. Настройки UAC в политиках безопасности.

Рассмотрим более подробно некоторые из политик UAC:

1. Behavior of the elevation prompt for administrators – позволяет задать режим поведения окна валидации при повышении администраторских прав. К примеру, можно включить подтверждение прав с помощью пароля (prompt for credentials) или оставить подтверждение прав только с помощью нажатия OK (prompt for consent).
2. Behavior of the elevation prompt for users – аналогично первому пункту, но для учетных записей в режиме пользователя.
3. Switch to the secure desktop when prompting for elevation – переключению рабочего стола в безопасный режим при прохождении валидации. Для пользователя включение данной политики отражается в виде затенения рабочего стола при прохождении проверки. В дествительности роль данной политики в изоляции процедуры валидации от других работающих программ с целью предотвратить перехват окна UAC программными способами.
4. Virtualizes file and registry write failures to per-user locations – виртуализация файлов и реестра. Позволяет работать с программами в режиме виртуализации с целью исключить повреждения файловой системы и реестра (режим песочницы).

Рекомендации по настройке UAC:

Лично я использую самые высокие настройки безопасности UAC, включая необходимость ввода пароля при валидации. Это дает мне полную защиту системных файлов, реестра и служб Windows. Как правило, программное обеспечение использует системные файлы и реестр только для чтения. Исключения здесь могут представлять только системные утилиты, где подтверждения прав доступа к системе вполне оправдано. Использования пароля обусловлено тем, что под моей учетной записью иногда работаю не только я, поэтому, только нажатия кнопки Yes не является достаточным условием безопасности.

Проблемы со старыми программами

Как правило, проблемы в работе старых программ при включенном UAC’е связаны в некорректном взаимодействии с системой и полном нежелании разработчиков придерживаться каких-либо стандартов безопасности и разграничения доступа пользователей к системным ресурсам. Обычно проблему можно решить путем запуска программы от имени администратора, но это особенно опасно в случае сетевых приложений, так это открывает полный доступ к системе в случае использования уязвимостей данной программы.

В качестве примера можно взять старый программы, которые хранят профили пользователя не в папках пользовательского режима, а в Program Files, в итоге корректная работа возможно только от администратора, так как все создаваемые файлы и директории в Program Files наследуют уровень доступа на запись и изменение только для администратора. Простейший способ решения проблемы – добавить права на изменения данных профиля для обычных пользователей.

Вообще, можно посоветовать не ставить старые программы в ProgramFiles, чтобы избежать проблем с правами доступа.

Дополнительная защита

Хотя цель работы UAC сводится к защите системных данных, но можно воспользоваться UAC’ом и для защиты пользовательских файлов. Делается это простым урезанием прав доступа к файлам для учетной записи пользователя: достаточно удалить права на модификацию и запись, оставив их лишь для администратора.

Права доступа к файлам можно настроить и в более ранних версиях Windows, но работая под учетной записью администратора любая программа может изменть уровень доступа, не спрашивая при этом пользователя. В случае с включенным UAC расширение прав возможно лишь при прохождении валидации.

Проверка функционирования защиты UAC

Как уже говорилось, назначение UAC – ограждения пользователя от изменения системных файлов и настроек. Поэтому лучшим способом проверки защищенности системы здесь является исследования работы вирусов при включенном UAC’е.

Приведу пример функционирования вируса при включенном UAC’е.

В качестве примера я возьму троянскую программу Win32.Injector. Данный троян действует весьма просто просто: записывает себя в директорию C:WindowsSystem32 и прописывает свою загрузку в реестр. В итоге после перезагрузки компьютера запускается большое количество cmd.exe и services.exe. Самый простой способ распространения – запуск из autorun’а на флеш-накопителях.

Попытаемся запустить данный троян с включенным UAC’ом. У меня это исполняемый файл nsshell.exe, который по-умолчанию так же является скрытым.

Рис. 4. Троянская программа nsshell.exe.

Чтобы убедиться, что это действительно вирус, проверим nsshell.exe c помощью антивируса:

Рис. 5. Антивирус показывает, что nsshell.exe – троян.

Попытка запуска данного исполняемого файла приведет к срабатыванию механизма UAC, так как троян пытается прописать себя в системные директории и реестр:

Рис. 6. Срабатывание UAC при запуске nsshell.exe

Как видно, шапка в окне UAC в данном случае приобрела желтый цвет. При более детальном рассмотрении можно заметить, что у программы так же отсутствует доверенный издатель и сертификат подлинности. Таким образом, мало кто осмелится подтвердить запуск, особенно если это произошло при монтировании флеш-накопителя.

Заключение

Таким образом, использования UAC действительно оправдано с позиции безопасности операционной системы. Если прикладная программа потребовала при запуске повышения прав до уровня администратора, то это уже несколько напрягает, особенно если отсутствует какая-либо информация о издателе и цифровая подпись. Рекомендую более детально ознакомится с механизмом работы UAC и все же оставлять его включенным.

P.S.: Большинство описанных настроек и действий верны и для Windows Vista.

Одминский блог

Блог о технологиях, технократии и методиках борьбы с граблями

Отключение контроля учетных записей UAC в Windows 7

Из Windows Vista в Windows 7 пришла одна из наиболее раздражающих фич, так называемый контроль учетных записей или проще говоря UAC (User Account Control). Наша основная задача сразу же отключить его, иначе стандартная установка нужных программ на наш компьютер грозит сразу же превратиться в головняк, хотя для остальный юзверей эта вещь более чем необходима, чтобы пользователь успел дважды подумать, так ли ему нужна эта программа, а поскольку стандартный пользователь выскакивающие меню не читает, то вполне вероятно, что уже на этой стадии у него возникнут проблемы.

Итак UAC отключается двумя способами, из командной строки и используя панель управления, так что каждый выбирает для себя более простой способ.
По мне командная строка быстрее так как вызывается она набором клавиш + и в открывшемся окошке пишем:

Отключение UAC
C:WindowsSystem32cmd.exe /k %windir%System32reg.exe ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem /v EnableLUA /t REG_DWORD /d 0 /f

Включение UAC
C:WindowsSystem32cmd.exe /k %windir%System32reg.exe ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem /v EnableLUA /t REG_DWORD /d 1 /f

После этого перегружаем компьютер, чтобы изменения реестра вступили в силу

То же самое можно произвести из панели управления, путем кликанья по разным кнопкам:

Открываем панель управления, в строке поиска, находящейся в правом верхнем меню, набираем uac, и нажимаем на появившийся пункт Изменение параметров контроля учетных записей, после чего у нас открывается бегунок настройки выдачи уведомлений (см. рисунок), используя который, мы выбираем тот уровень реакции который нас устраивает (читай минимальный), исходя из того что полное отключение контроля несет с собой ослабление уровня защиты операционной системы Windows 7. Опускаем слайдер, и наслаждаемся отсутствием глупых вопросов.

Источник

Включение и отключение UAC в Windows

Для того чтобы ответить на вопрос, как включить или отключить контроль учётных записей в Windows, нужно понять, что это такое. UAC — это защитная опция операционной системы, поддерживаемая всеми последними версиями Windows (Vista, 7, 8, 10). Независимо от того, какую учётную запись использует пользователь, система выдаёт запрос о разрешении запускаемому приложению внести изменения.

Порядок включения и отключения UAC в Windows 10 имеет свои отличия.

Если владелец ПК Администратор, то он может разрешить или нет этой программе войти в ОС и изменить параметры, лишь нажав кнопки «Да» или «Нет». В ином случае придётся вводить пароль. Причины для отключения контроля учётных данных могут быть разные, но иногда это действительно необходимо.

На что нужно обратить внимание при появлении консоли

При загрузке приложения в появившемся окне уведомления 10 ОС имеется информация об имени программы, её издателе и источнике файла. Всё это даёт полную картину о запускаемом софте. Поэтому, когда приложение не имеет названия, у пользователей должен возникнуть вопрос о его «добропорядочности». Таким образом, вместе с установочным файлом очень часто проникают и вирусы. Если же программа проверена или вы полагаетесь на антивирус, в любом случае есть возможность отключить защиту.

Отключение контрольной функции

Способ 1.

Чтобы вызвать уведомление контроля в Windows 10, можно попробовать загрузить установочный файл любой простой программки, например, Media Player. Для этого у пользователей должен быть доступ к записи Администратором. В нижнем правом углу появившегося сообщения щёлкнуть по «Настройке выдачи таких уведомлений». Отредактировать функцию по своему усмотрению.

Способ 2.

В меню «Пуск» ввести слово «UAC». Далее выбрать «Изменение параметров контроля учётных записей». В настройках сообщения установить селектор на нижний уровень «Никогда не уведомлять».

Способ 3.

В меню «Пуск» найти вкладку «Панель управления». В правой части окна открыть «маленькие значки» и выбрать строчку «Учётные записи пользователей». Затем нажать на пункт «Изменить параметры контроля учётных записей». Также настроить работу опции или вовсе отключить её.

Способ 4.

На клавиатуре набрать Win+R. В открывшейся консоли прописать «UserAccountControlSetting» и ввод. В появившихся параметрах произвести отключение опции.

Способ 5.

Кликнуть по клавишам Win+R. В окне «Выполнить» ввести слово «regedit» и «ок». В левой части редактора реестра найти «Sistem». В открывшейся правой консоли кликнуть двойным нажатием мыши по надписи «EnableLUA». В появившемся окошке поменять значение «1» на «0» и «ок». Для сохранения изменений выскочит уведомление о перезагрузке компьютера.

Для того чтобы включить контрольную защиту в ОС Windows 10, в его настройках следует вернуть селектор в исходное положение. Также можно настроить функцию под свои параметры, где наилучшим вариантом может считаться второе положение селектора сверху.

Что означают 4 положения UAC

Если всё же было решено отключить защитную опцию в Windows 10, следует быть готовым к атакам вредоносного ПО. В этом случае нужно быть особо внимательным к запускаемым приложениям, так как они имеют такой же доступ к информации на компьютере, как и у пользователей с правами Администратора. Поэтому, если вы отключили UAC только для того, чтобы он не мешал, то это очень неправильная тактика. В этом случае лучше установить защитную функцию по умолчанию.

Источник

Как отключить или включить UAC в Windows 7

User Account Control или UAC, был внедрен разработчиками операционной системы в качестве надзирателя, который должен отслеживать действия пользователей и когда они приводят к различным изменениям в системе, тогда UAC может порой назойливо требовать подтверждение от пользователя его намерений. В качестве триггеров для срабатывая UAC, может послужить установка/удаление программ, драйверов, вызов редактора реестра, установка обновлений Windows, изменение времени и т.д.

С одной стороны, UAC позволяет скрупулезно контролировать внесения изменений в работу системы, включая и те, которые могут происходить и без ведома пользователя в фоновом режиме. Но с другой, активное использование компьютера и постоянная необходимость в подтверждении своих действий, начинает со временем раздражать. Чтобы не раздражаться сейчас мы рассмотрим с вами четыре способа отключения UAC в ОС Windows 7, начиная от самого простого и заканчивая более замороченными.

Отключаем UAC из Панели Управления

Открываем Панель управления и заходим в раздел Система и безопасность.

В Центре поддержки, нажимаем Изменение параметров контроля учетных записей.

Где можно настроить UAC при помощи ползунка на один из четырех режимов.

Вот в принципе и все.

Отключаем UAC из Редактора реестра

Нажимаем сочетание клавиш Win+R, указываем команду regedit и нажимаем ОК.

Нажимаем сочетание клавиш Ctrl+F, вводим EnableLUA и нажимаем Найти далее.

Ожидаем окончания поиска в реестре.

После завершения поиска, открываем искомый файл, кликнув по нему два раза.

Изменяем значение на , нажимаем ОК и перезагружаем компьютер.

Если решите со временем включить UAC из реестра, тогда изменяем значение на 1.

Отключаем UAC из Командной строки

Нажимаем сочетание клавиш Win+R, вводим команду cmd и нажимаем Enter.

Копируем указанную ниже команду, вставляем в командную строку и нажмем Enter.

Сразу же, появится сообщение о том, что Операция успешно завершена.

После чего, остается перезагрузить компьютер чтобы изменения вступили в силу.

Отключаем UAC из Групповой политики

Для Корпоративной, Профессиональной и Максимальной версии Windows 7.

Нажимаем сочетание клавиш Win+R, указываем команду secpol.msc и нажимаем ОК.

Открываем Локальные политики и заходим в раздел Параметры безопасности.

Здесь, находим и открываем строку политики безопасности, под названием Контроль учетных записей: Все администраторы работают в режиме одобрения.

Выключаем его, нажимаем Применить и перезагружаем компьютер.

На этом пожалуй все. Увидимся на следующих страницах блога. А пока.. пока.

Источник

Включение UAC в Windows 7

UAC — это компонент Windows, который расшифровывается как «User Account Control» или «Контроль учетных записей пользователей». Его предназначение заключается в обеспечении безопасности юзера в виде подтверждения действий, которые требуют административных прав. И хотя по умолчанию эта функция включена, ранее пользователи могли отключать ее для установки каких-либо программ, которые блокировал UAC. Кроме того, она может быть отключена в некоторых сборках этой ОС, созданных сторонними пользователями. Если вы желаете ее включить, воспользуйтесь способами, которые мы рассмотрим далее.

Включение UAC в Windows 7

Вместе с включением функции обеспечения безопасности активация UAC подразумевает постоянное появление окна подтверждения выполнения действия, как правило, запуска программы/установщика. Благодаря этому многие вредоносные приложения в фоне не смогут запустить важные системные компоненты или «тихую» инсталляцию, поскольку UAC запросит подтверждение на эти действия. Стоит понимать, что этот способ вовсе не убегает юзера на 100% от угроз, но в комплексе будет полезным средством.

Способ 1: «Панель управления»

Через «Панель управления» можно быстро попасть в настройку необходимого параметра. Следуйте инструкции ниже:

Система выдаст уведомление о необходимости перезагрузки компьютера для активации UAC.

Обратите внимание, если вы хотите настроить уровень поведения UAC еще выше (например, с вводом данных от администраторской учетной записи) или отключение затемненного фона рабочего стола, сделать это через данное окно не получится. Воспользуйтесь рекомендациями из Причины 4, что находится в конце этой статьи. Там рассказывается о том, как более детально редактировать поведение окна UAC через системное приложение «Локальная политика безопасности».

Способ 2: Меню «Пуск»

Гораздо быстрее можно попасть в окно, указанное в шаге 3 предыдущего способа, если открыть «Пуск» и нажать левой кнопкой мыши по картинке с вашим профилем.

После этого останется перейти по ссылке «Изменение параметров контроля учетных записей» и выполнить те же манипуляции, что указаны в шагах 4-6 Способа 1.

Способ 3: «Выполнить»

Через окно «Выполнить» также можно быстро перейти сразу же к окну редактирования уровня оповещений UAC.

После выполнения этих действий перезапустите компьютер.

Способ 4: «Конфигурация системы»

Через стандартную утилиту «Конфигурация системы» также можно включить UAC, однако здесь нельзя будет выбрать уровень работы этой функции. По умолчанию будет назначена самая высокая степень реагирования.

Способ 5: «Командная строка»

Пользователям, привыкшим работать с CMD, пригодится этот способ.

Вы также можете запустить ее, вызвав окно «Выполнить» клавишами Win + R и написав cmd в соответствующем поле.

Останется перезагрузить систему.

Способ 6: «Редактор реестра»

Утилита «Редактор реестра» позволяет выполнять практически любые манипуляции с операционной системой, поэтому пользоваться ей следует очень осторожно. Однако включить UAC через нее не составит труда, и именно этот способ будет эффективнее остальных в случае блокировки включения этой функции вирусами.

Выполните перезагрузку Win 7 для вступления изменений в силу.

Решение проблем с включением и настройкой UAC

Некоторые могут столкнуться с тем, что запустить окно включения и настройки «Контроля учетных записей пользователей» не появляется либо не удается изменить его уровень реагирования. Виной тому разные обстоятельства.

Причина 1: Тип учетной записи

Включение UAC возможно только через учетную запись администратора. Пользователь, имеющий пониженный уровень прав («Стандартный»), не сможет управлять такими важными настройками. Чтобы это исправить, необходимо изменить тип учетной записи или выполнить это действие из-под записи администратора.

Причина 2: Системные ошибки

Эта ситуация может быть вызвана нарушением целостности системных файлов. Чтобы проверить это и исправить возможные ошибки, воспользуйтесь консольной утилитой SFC. Подробнее об этом мы рассказывали в другой статье, в Способе 1.

В редких случаях утилита не способна выполнить восстановление, поскольку хранилище резервных файлов, которые SFC берет на замену, тоже оказывается повреждено. В связи с этим понадобится выполнить восстановление уже него.

После успешного восстановления снова попытайтесь запустить SFC, и когда утилита исправит системные ошибки, переходите к включению UAC.

Ко всему прочему, помогает выполнение восстановления системы с использованием стандартного одноименного компонента. Произведите откат до одной из ранних точек, когда проблем с компьютером не наблюдалось. В этом поможет Способ 1 статьи по ссылке ниже.

Причина 3: Включенный антивирус

Иногда различные антивирусы контролируют работу важных компонентов операционной системы. Изменение их состояния может рассчитываться как вмешательство в работу ОС с возможной угрозой безопасности, что в нашей ситуации кажется немного абсурдным. Решение простое: на время отключите работу вашей антивирусной защиты, а затем уже попробуйте включить UAC или изменить его уровень реагирования.

Причина 4: Неверные настройки политик безопасности

В ходе каких-то событий политики безопасности оказываются измененными. Поскольку они контролируют и работу UAC в том числе, параметры, запрещающие повышать уровень функции «Контроля учетных записей пользователей» или вообще использовать UAC, могут быть активированы. Проверьте, так ли это, и при необходимости измените значения некоторых параметров на разрешающие управлять UAC.

Перейдите в настройки этого параметра и выставьте одно из значений, которое вам больше подходит:

Теперь вы знаете, как можно быстро включать и управлять UAC. Однако не стоит забывать, что только через «Панель управления» вы можете не просто ее активировать, но и настроить уровень появления оповещений. Во всех остальных ситуациях компонент будет просто включен с максимальным уровнем реагирования.

Помимо этой статьи, на сайте еще 12369 инструкций.
Добавьте сайт Lumpics.ru в закладки (CTRL+D) и мы точно еще пригодимся вам.

Отблагодарите автора, поделитесь статьей в социальных сетях.

Источник

Настройка UAC в Windows 7

Начиная с Windows Vista, Microsoft включила в состав операционной системы механизм управления учетными записями пользователей (сокращенно UAC). Механизм работы UAC большинство пользователей восприняли негативно, так как бесконечные дополнительные валидации в виде затенения экрана и прощелкивания кнопочки Yes могли вывести из себя даже самого терпеливого. Зачастую UAC функционировал не вполне корректно, что приводило к не возможности работы с рядом программ, которые были написаны под ранние версии Windows. C выходом SP1 для Vista UAC был доработан, но пользователи уже успели отключить UAC и забыть что это такое.

В Windows 7 UAC приобрел дополнительные настройки. И я бы хотел рассказать, как именно сделать UAC действительно полезным инструментом для защиты ОС.

Уязвимости Windows

При включенном UAC’е любая попытка доступа к системным файлам, службам или реестру будет блокирована и появится окно, которое потребует подтверждение пользователя на дальнейшие действия.

Настройка UAC

В Windows 7 появилась возможность настройки уровня предупреждений для UAC. Экран настройки UAC выглядит следующим образом:

Рис. 1. Настройка UAC в Windows 7.

Рассмотрим более подробно некоторые из политик UAC:

Лично я использую самые высокие настройки безопасности UAC, включая необходимость ввода пароля при валидации. Это дает мне полную защиту системных файлов, реестра и служб Windows. Как правило, программное обеспечение использует системные файлы и реестр только для чтения. Исключения здесь могут представлять только системные утилиты, где подтверждения прав доступа к системе вполне оправдано. Использования пароля обусловлено тем, что под моей учетной записью иногда работаю не только я, поэтому, только нажатия кнопки Yes не является достаточным условием безопасности.

Проблемы со старыми программами

Как правило, проблемы в работе старых программ при включенном UAC’е связаны в некорректном взаимодействии с системой и полном нежелании разработчиков придерживаться каких-либо стандартов безопасности и разграничения доступа пользователей к системным ресурсам. Обычно проблему можно решить путем запуска программы от имени администратора, но это особенно опасно в случае сетевых приложений, так это открывает полный доступ к системе в случае использования уязвимостей данной программы.

В качестве примера можно взять старый программы, которые хранят профили пользователя не в папках пользовательского режима, а в Program Files, в итоге корректная работа возможно только от администратора, так как все создаваемые файлы и директории в Program Files наследуют уровень доступа на запись и изменение только для администратора. Простейший способ решения проблемы – добавить права на изменения данных профиля для обычных пользователей.

Вообще, можно посоветовать не ставить старые программы в ProgramFiles, чтобы избежать проблем с правами доступа.

Дополнительная защита

Хотя цель работы UAC сводится к защите системных данных, но можно воспользоваться UAC’ом и для защиты пользовательских файлов. Делается это простым урезанием прав доступа к файлам для учетной записи пользователя: достаточно удалить права на модификацию и запись, оставив их лишь для администратора.

Права доступа к файлам можно настроить и в более ранних версиях Windows, но работая под учетной записью администратора любая программа может изменть уровень доступа, не спрашивая при этом пользователя. В случае с включенным UAC расширение прав возможно лишь при прохождении валидации.

Проверка функционирования защиты UAC

Как уже говорилось, назначение UAC – ограждения пользователя от изменения системных файлов и настроек. Поэтому лучшим способом проверки защищенности системы здесь является исследования работы вирусов при включенном UAC’е.

Приведу пример функционирования вируса при включенном UAC’е.

В качестве примера я возьму троянскую программу Win32.Injector. Данный троян действует весьма просто просто: записывает себя в директорию C:WindowsSystem32 и прописывает свою загрузку в реестр. В итоге после перезагрузки компьютера запускается большое количество cmd.exe и services.exe. Самый простой способ распространения – запуск из autorun’а на флеш-накопителях.

Попытаемся запустить данный троян с включенным UAC’ом. У меня это исполняемый файл nsshell.exe, который по-умолчанию так же является скрытым.

Рис. 4. Троянская программа nsshell.exe.

Чтобы убедиться, что это действительно вирус, проверим nsshell.exe c помощью антивируса:

Рис. 5. Антивирус показывает, что nsshell.exe – троян.

Попытка запуска данного исполняемого файла приведет к срабатыванию механизма UAC, так как троян пытается прописать себя в системные директории и реестр:

Рис. 6. Срабатывание UAC при запуске nsshell.exe

Как видно, шапка в окне UAC в данном случае приобрела желтый цвет. При более детальном рассмотрении можно заметить, что у программы так же отсутствует доверенный издатель и сертификат подлинности. Таким образом, мало кто осмелится подтвердить запуск, особенно если это произошло при монтировании флеш-накопителя.

Заключение

Таким образом, использования UAC действительно оправдано с позиции безопасности операционной системы. Если прикладная программа потребовала при запуске повышения прав до уровня администратора, то это уже несколько напрягает, особенно если отсутствует какая-либо информация о издателе и цифровая подпись. Рекомендую более детально ознакомится с механизмом работы UAC и все же оставлять его включенным.

Источник

Функция контроля учетных записей UAC в Windows Vista вызвала немало споров. Поэтому неудивительно, что в Windows 7 внесены улучшения, не только изменившие работу функции контроля учетных записей, но и позволяющие более гибко настроить UAC. В Windows 7 и Windows Server 2008 R2 контроль учетных записей усовершенствован за счет того, что:

• уменьшено количество запросов в различных ситуациях;
• увеличено число операций, которые обычный пользователь может выполнять без повышения прав;
• добавлены новые параметры UAC;
• введены новые политики безопасности, позволяющие настроить UAC для локальных администраторов и обычных пользователей.

Microsoft уделяет большое внимание тому, чтобы разъяснить назначение контроля учетных записей в своих новейших операционных системах, поэтому логично начать именно с этого вопроса.

Назначение контроля учетных записей

Когда контроль учетных записей был впервые представлен в Windows Vista, его позиционировали как средство повышения безопасности операционной системы, хотя прямое назначение UAC состоит не в этом. Впоследствии независимые эксперты неоднократно демонстрировали возможности обхода UAC. Когда в Microsoft пришел Марк Русинович, на него, похоже, была возложена задача реабилитации UAC, и он начал методично объяснять истинное назначение контроля учетных записей. Он ввел понятие «граница защищенной зоны» (security boundary) и всеми доступными средствами (Technet, конференции, блог) разъяснял, что UAC такой границей не является. Например, именно этой теме был посвящен один из его докладов на конференции «Платформа 2008» (http://technet.microsoft.com/ru-ru/magazine/cc138019.aspx) в Москве.

На самом деле контроль учетных записей был создан для того, чтобы в системе можно было полноценно работать без прав администратора. Эту масштабную задачу необходимо было решать потому, что в Windows 2000/XP работа с административной учетной записью стала обычной практикой. В этом случае проникновение вредоносного кода в систему ведет к плачевным последствиям. Ситуация осложнялась тем, что многие разработчики программ совершенно не заботились об ограниченных учетных записях, всецело полагаясь на то, что установка их продуктов и работа с ними будут вестись с правами администратора. Получался замкнутый круг. Создатели UAC изменили модель контроля доступа, в результате чего была не только изменена работа учетных записей, но и реализована виртуализация файловой системы и реестра.

Для пользователей же контроль учетных записей фактически свелся к столь нелюбимым запросам UAC. Основное их назначение в том, чтобы уведомить пользователя, работающего с правами администратора, о попытках приложения внести в систему изменения, требующие полного административного доступа. Обычному пользователю, не имеющему прав на совершение действия, тут же предлагается ввести учетные данные администратора. Понятно, что разработчики должны планировать приложения таким образом, чтобы для работы с программой не требовалось административных прав. А если все программное обеспечение в системе может работать в контексте обычного пользователя, то уже нет необходимости в рутинной работе с полными правами администратора. Настройку системы можно производить от имени администратора или под его учетной записью, но это не каждодневная задача. И даже если вы работаете с правами администратора, UAC контролирует выполнение задач, требующих полных административных полномочий; он уведомляет пользователя в тех случаях, когда требуется подтверждение прав.

Таким образом, контроль учетных записей призван не предотвратить проникновение вредоносного кода (для этого существует брандмауэр и антивирусное/антишпионское программное обеспечение), а снизить наносимый им ущерб — ограничить его влияние правами обычного пользователя. Строго говоря, повышается не безопасность операционной системы, а ее устойчивость к несанкционированному доступу.

Кстати, значок щита в этом разделе статьи не случаен — именно его вы видите на кнопках, рядом со ссылками и в пунктах меню операционной системы, когда требуется повышение прав. Другими словами, если контроль учетных записей включен, обращение к элементу интерфейса, обозначенному щитом, сопровождается запросом UAC. Цветовая гамма щита изменилась по сравнению с Windows Vista, но это далеко не единственное изменение в интерфейсе.

Изменения в пользовательском интерфейсе

Доступ к параметрам функции контроля учетных записей упростился — их можно открыть из элементов панели управления «Центр поддержки» и «Учетные записи пользователей», а также из командной строки, запустив UserAccountControlSettings.exe (см. экран 1).

В настройках UAC вместо двух возможностей управления (включен/выключен) появилось четыре режима работы.

• «Уведомлять при установке программ или попытке внесения ими изменений, а также при изменении параметров Windows пользователем». Это максимальный уровень контроля учетных записей.
• «Уведомлять при установке программ или попытке внесения ими изменений». Этот уровень используется по умолчанию.
• «Уведомлять при попытке установки программ или попытке внесения ими изменений, но не затемнять рабочий стол». Затемнение рабочего стола (так называемый безопасный рабочий стол, Secure Desktop) — это своего рода подтверждение подлинности окна UAC, позволяющее визуально отличить поддельные запросы UAC от настоящих.
• «Не уведомлять ни при установке программ или попытке внесения ими изменений, ни при изменении параметров Windows пользователем». Контроль учетных записей отключен.

Помимо окна настроек, преобразились и диалоговые окна управления функцией контроля учетных записей. Изменения нацелены на то, чтобы пользователям была понятна суть запроса (см. экран 2).

Теперь в основном используются только два цвета:

• синий — для компонентов, имеющих цифровую подпись;
• желтый — для компонентов, не имеющих цифровой подписи.

Красный цвет используется только в тех редких случаях, когда программа или компонент заблокированы администратором. Кроме того, в запросах жирным шрифтом выделяется издатель программы. Для пользователей, озадаченных появлением запроса, в диалоговом окне предусмотрена ссылка «Помощь в принятии решения».

Изменения в работе

Безусловно, в Windows 7 и Windows Server 2008 R2 работа целенаправленно велась с акцентом на уменьшение количества запросов UAC — именно этот аспект вызвал наибольшее недовольство пользователей Windows Vista среди всех претензий к операционной системе.

Уменьшено количество запросов

Используемый по умолчанию уровень контроля — это новая возможность Windows 7 и Windows Server 2008 R2. Такой уровень невозможно было настроить в Windows Vista с помощью пользовательского интерфейса, политики безопасности или реестра. Работа операционной системы была изменена для того, чтобы, не снижая уровень безопасности, реализовать автоматическое повышение прав для выполнения распространенных административных задач, вызывавших около половины запросов UAC. Это имело смысл сделать потому, что по статистике 9 из 10 таких запросов пользователи все равно одобряли.

Что же касается уровня, позволяющего отключить безопасный рабочий стол, то его появление в пользовательском интерфейсе обусловлено желанием продемонстрировать максимальную совместимость UAC с аппаратным обеспечением. В некоторых случаях затемнение рабочего стола приводило к задержкам в работе операционной системы, чему мог быть причиной, например, драйвер видеокарты. В Windows Vista имелась политика, позволяющая отключить безопасный рабочий стол, однако большинство пользователей о ее существовании даже не подозревали.

Если сравнивать количество запросов UAC в Windows 7 и Windows Vista, то даже при максимальном уровне контроля учетных записей количество запросов в новой версии уменьшилось. A уровень контроля, используемый теперь по умолчанию, еще больше должен способствовать достижению столь необходимого баланса между безопасностью и навязчивой заботой операционной системы. В таблице 1 сравнивается количество запросов двух верхних уровней контроля учетных записей в новых операционных системах и Windows Vista SP1.

Изменена работа компонентов

Многие компоненты новых операционных систем были переработаны, чтобы уменьшить количество запросов UAC и сделать работу пользователей более комфортной. Положительные изменения произошли в работе как обычных пользователей, так и локальных администраторов (см. таблицу 2).

Административные учетные записи

Изменения, затронувшие встроенную учетную запись «Администратор», касаются в основном работы в безопасном режиме. Однако, прежде чем перейти к ним, я бы хотел рассказать о различиях между встроенной и другими административными учетными записями.

Согласно одному из распространенных заблуждений о контроле учетных записей, встроенная учетная запись «Администратор» имеет больше прав, чем обычная. Это не так. На самом деле отличие лишь в том, что права встроенной учетной записи автоматически повышаются до максимальных при выполнении всех задач, поэтому запрос UAC для нее не выводится (см. экран 3).

Все остальные административные учетные записи работают в режиме одобрения администратором (Admin Approval Mode): контроль учетных записей запрашивает подтверждение действий, если требуется повышение прав. А если не требуется, задачи выполняются с правами обычного пользователя.

Незнание этой тонкости нередко сбивает пользователей с толку. Например, запуск командной строки администратором выполняется с правами обычного пользователя, поскольку само по себе это действие не подразумевает внесения важных изменений в систему. Для того чтобы выполнить задачу с полными правами, необходимо запустить ее от имени администратора — соответствующий пункт имеется в контекстном меню проводника. В этом случае выводится запрос UAC (см. экран 4).

Поскольку запуск осуществлен администратором, учетные данные вводить не требуется — нужно лишь подтвердить действие. Кроме того, наряду с предложением помощи в принятии решения, для администраторов в диалоговом окне имеется ссылка «Изменить при появлении этого уведомления», открывающая параметры контроля учетных записей. Продолжая пример с командной строкой, легко определить, с какими правами она была запущена (см. экран 5).

Можно настроить политику безопасности таким образом, чтобы у административных учетных записей происходило повышение прав без запроса UAC — достаточно будет лишь запустить задачу от имени администратора. Поэтому нет никакой необходимости в повседневной работе со встроенной учетной записью «Администратор».

В отличие от Windows Server 2008 R2, встроенная административная учетная запись в Windows 7 отключена. Если это единственная активная учетная запись в группе «Администраторы» при обновлении Windows XP до Windows 7, она переводится в режим одобрения.

Изменения, касающиеся работы отключенной учетной записи «Администратор» в безопасном режиме, отражены в таблице 3.

Настройка UAC с помощью политик безопасности

Имея права локального администратора, вы можете управлять параметрами контроля учетных записей с помощью локальной политики безопасности. Политики UAC можно задать как в оснастке «Локальная политика безопасности» (secpol.msc) в узле «Локальные политики», «Параметры безопасности», так и в разделе системного реестра HKLMSOFTWARE
MicrosoftWindowsCurrentVersion PoliciesSystem (см. экран 6).

Основная политика, определяющая состояние контроля учетных записей и всех остальных его политик, не изменилась, что отражено в таблице 4.

Изменения же коснулись двух политик, определяющих поведение запросов контроля учетных записей для локальных администраторов и обычных пользователей. Наряду с имевшимися ранее вариантами, теперь вы можете указать, будет ли использоваться безопасный рабочий стол, если для продолжения работы UAC требует подтвердить действие или ввести учетные данные (см. таблицы 5 и 6).

Помимо перечисленных выше политик безопасности, имеются и другие, позволяющие более гибко настроить работу контроля учетных записей. С их назначением можно ознакомиться в свойствах политики на вкладке «Объяснение», а соответствующие им параметры реестра документированы в MSDN.

Новое лицо UAC

Контроль учетных записей в Windows 7 и Windows Server 2008 R2 подвергся существенной переработке. В первую очередь, снизилось количество запросов UAC, излишняя навязчивость которых вызывала справедливую критику пользователей Windows Vista. Улучшить работу UAC удалось за счет изменений в работе новых операционных систем наряду с введением нового уровня контроля учетных записей. Этот уровень, используемый по умолчанию, осуществляет автоматическое повышение прав при выполнении наиболее распространенных административных действий. Оформление запросов контроля учетных записей также изменилось — тона смягчились, а информация подается более четко. Эти нововведения должны способствовать более благосклонному восприятию UAC конечными пользователями.

Доступ к параметрам контроля учетных записей упростился за счет размещения ссылок на него в различных элементах панели управления. Все доступные параметры UAC можно также настроить с помощью локальных политик безопасности или соответствующих им параметров системного реестра. Кроме того, политики безопасности предоставляют в распоряжение системных администраторов возможности более тонкой настройки поведения запросов UAC для административных и обычных учетных записей.

Вадим Стеркин (vadim.sterkin@gmail.com) — занимается развитием компьютерного информационного портала OSZone.net. Имеет звание Microsoft MVP в категории Windows Desktop Experience

Таблица 1. Количество запросов в Windows 7 и Windows Server 2008 R2 по сравнению с Windows Vista SP1

Таблица 2. Запросы UAC для обычного пользователя и администратора

Таблица 3. Работа в безопасном режиме при отключенной учетной записи «Администратор»

Таблица 4. Политика «Контроль учетных записей: все администраторы работают в режиме одобрения администратором»

Таблица 5. Политика «Контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором»

Таблица 6. Значения политики «Контроль учетных записей: поведение запроса на повышение прав для обычных пользователей»

Экран 6. Политики безопасности контроля учетных записей