Робота з контролем облікових записів користувачів (uac) в windows vista

Робота з контролем облікових записів користувачів (UAC) в Windows Vista

Вступ: однією з останніх основних особливостей, присутніх в Windows Vista, є User Access Control (контроль облікових записів корстувачів UAC). У даній статті Скотт Лоуі (Scott Lowe) дає детальний огляд UAC і розповідає про те, як змінити параметри його роботи.

У цій статті я дам вам докладний опис внутрішньої роботи UAC, і покажу деякі кроки, за допомогою яких ви зможете змінити характер роботи даної нової особливості.

Внутрішня робота UAC говорить багато про те, яким чином дана особливість захищає ваш ПК. Спочатку поговоримо про те, що послужило поштовхом для розробки UAC.

Проблема: Windows XP і автоматичні установки

В до-Vist'ових версіях Windows, крім входу в систему, користувачеві давався пароль доступу. Користувач, який володів адміністративними правами, отримував можливість доступу в область ресурсів, які не вимагали наявності прав адміністрування. Користувачам, що був членами адміністративної групи, давалася можливість користуватись усіма наявними на локальному комп'ютері ресурсами.

Гірше того, чим глибше впроваджено шпигунське програмне забезпечення в вашу систему, тим складніше його звідти викурити. Це може спричинити за собою повну переустановку системи, на що знадобляться годинник роботи.

Примітка: коли ви встановлюєте Windows XP, майстер настройки наділяє адміністративними правами всі локальні облікові записи.

Ну, ви, зрозуміло, можете сказати, що все це вам давно відомо; проте в організації, де ви працюєте, ви змушені дозволяти користувачам заходити в якості локального адміністратора з різних причин. Наприклад, багато користувачів (мають можливість управління) вважають важливим те, що у них є можливість установки нової програми на своєму комп'ютері. По нещастю, вони часто мають рацію. Заняття бізнесом в Мережі часто передбачає необхідність установки нових еллементов ActiveX контролю чи іншого типу додатків. Звичайно, це - не самий кращих вихід, але краще дозволити людям займатися своїми прямими обов'язками, ніж платити їм за просиджування штанів і поплевиваніе в стелю, залишивши все на відкуп ІТ.

Рішення проблеми: Windows Vista і UAC

Введення Windows Vista'ой UAC призначене для приборкання чудовиська і поверненню від хаосу до порядку. У Vista, коли користувач з адміністративними правами активізується в системі, він отримує не один, а відразу два типи доступу: адміністративний доступ і пароль доступу звичайного користувача. Пароль звичайного доступу використовується для запуску ПК. Кінцевий результат полягає в тому, що адміністратор запускає систему з більш обмеженими правами, ніж тими, які б він міг отримати при вході в Windows XP. Доки не мине потреба, другий доступ - вже з адміністративними правами - не використовується.

Трапляється ситуація, коли, наприклад, користувач з правами адміністрування запускає програму панелі управління і намагається змінити налаштування. Тоді UAC від Windows Vista блокує вікно, показуючи, що для продовження необхідний дозвіл. Коли ви вибираєте дозвіл використання адміністративних дій, застосовуючи адміністративний доступ, ви даєте дозвіл, яке дозволяє додаткам працювати з більш широкими привілеями. Картинка A показує вам стандартне діалогове вікно UAC. Якщо ви хочете дозволити дію, натисніть кнопку Continue (продовжити).

картинка A

Робота з контролем облікових записів користувачів (uac) в windows vista

UAC запитує, чи збираєтеся ви продовжувати виконання дії.

Роздратування - це один з результатів, від якого я допоможу вам позбутися, давши опис в цій статті. Я покажу, як відключити UAC, і як зробити так, щоб спеціальні програми завжди працювали в посиленому режимі.

Повне відключення UAC

Зроблю невеличкий вступ до цього розділу: не рекомендую вам здійснювати цю дію, навіть на своєму власному комп'ютері. Наскільки сильно я ненавиджу дозвіл цієї дії, навіть коли читаю проповіді про небезпеку "випадкового натискання кнопок" на блокування, результатом чого стає запуск шпигунського програмного забезпечення, яке переслідує студентів і користувачів, настільки сам іноді забуваю свої власні рекомендації. Минулого літа, коли я поспішав виконати одне із завдань, у мене вийшло, як спершу здалося, системне діалогове вікно, і я натиснув кнопку OK. Як тільки я відпустив кнопку миші, я усвідомив, що "кнопка OK", яку я тільки що натиснув, була блокуванням веб-сайту. Через всього лише кілька годин моя система була заражена шпигунським ПО.

Який урок звідси випливає витягти: навіть ті з нас, хто чинить так в ім'я життя, самі падають жертвами шпигунського ПЗ. При наявності UAC, виникає, принаймні, ще один бар'єр між нами і ними.

1. Відключення UAC за допомогою MSConfig

У нових машинах для зміни режиму роботи UAC, ви можете скористатися MSConfig:

  1. Перейдіть в Start (старт) | All Programs (всі програми) | Accessories (стандартні) | Run (виконати).
  2. У віконці Run (виконати) надрукувати "msconfig", потім натисніть [Enter].
  3. З віконця System Configuration (конфігурація системи), виберіть вкладку Tools (сервіс), як показано на зображенні B.
  4. У колонці Tool Name (назва засобу), знайдіть опцію Disable UAC (відключити контроль облікових записів (UAC)).
  5. Натисніть кнопку Launch (запуск).
  6. Перезавантажте систему.
картинка B
Робота з контролем облікових записів користувачів (uac) в windows vista

Вкладка інструментів у вікні System Configuration (конфігурації системи).

2. Відключення UAC через Панель Управління

Якщо ви працюєте на кількох машинах, найпростіший спосіб деактивувати UAC - відключити це властивість через Control Panel (панель управління). Для досягнення даної мети зробіть наступні кроки:

  1. Зайдіть в Start (пуск) | Control Panel (панель управління).
  2. Переглядаючи Control Panel (панель управління) в "класичному" режимі, виберіть програму User Accounts (облікові записи користувачів). Відкриється екран, які ви можете побачити нижче на зображенні C.
    картинка C
    Робота з контролем облікових записів користувачів (uac) в windows vista

    Програма панелі UAC.
  3. Виберіть опцію "Turn User Account Control on or off" (включити або виключити контроль облікових записів користувача). Зверніть увагу, що за програмою є невеликий щиток. Він показує, що сама по собі функція захищена контролем облікових записів користувача.
  4. Скасуйте вибір, наступний за Use User Account Control (контроль облікових записів користувача) To Help Protect Your Computer (використовуйте UAC, щоб допомогти захистити ваш комп'ютер). Дивіться картинку D.
    картинка D
    Робота з контролем облікових записів користувачів (uac) в windows vista

    Програма панелі UAC.
  5. Натисніть OK.
  6. Перезавантажте комп'ютер для активації змін в налаштуваннях.

Якщо у вашому розпорядженні багато комп'ютерів, і ви хочете змінити режим роботи UAC на всіх машинах, найкращим способом стане використання Group Policy (групової політики). Метод Group Policy (групової політики) також є найбільш гранульованим і дає вам можливість встановити найрізноманітніші параметри, що стосуються UAC. Я покажу вам, як зробити це, скориставшись адміністративним інструментом локальної групової політики.

Існує ряд опцій, пов'язаних з контролем доступу користувача:

Керування обліковими записами користувачів: режим роботи розширеної підказки для вбудованої облікового запису адміністратора - дана установка впливає на режим роботи UAC при використанні вбудованої облікового запису адміністратора.

Керування обліковими записами користувачів: підказка для адміністраторів в режимі Admin Approval Mode (режим підтвердження адміністратором) - це налаштування впливає на те, що відбувається, коли адміністратор (крім вбудованої облікового запису адміністратора) запускає привілейоване додаток.

  • Приймати без підказки: це - найнебезпечніша установка, і її необхідно застосовувати виключно в безпечному оточенні. Додатки з обмеженнями запускаються з адміністративними правами без чийогось втручання.
  • Підказка для паролів: користувачеві дається підказка дати ім'я користувача і пароль для користувача з адміністративними правами.
  • Підказка для дачі дозволу (за замовчуванням): це - нормальний режим роботи для UAC, і він запитує користувача (допускаючи, що користувач має адміністративними правами) дати дозвіл або заборонити запуск програми з адміністративними правами.

Керування обліковими записами користувачів: режим роботи поліпшення підказки для звичайних користувачів - дана установка визначає те, що відбувається, коли звичайний користувач намагається запустити привілейоване додаток.

  • Підказка для паролів (за замовчуванням для домашніх версій): для користувача дається підказка дати ім'я користувача і пароль для користувача з локальними адміністративними правами.
  • Автоматичне відхилення запитів на установці (встановлено за умовчанням в корпоративних випусках): користувачі будуть отримувати повідомлення, які говорять про те, що доступ до додатка був відхилений.

Керування обліковими записами користувачів: визначення інсталяції додатків і підказка по установці - що відповість система UAC на запит про встановлення нових програм?

  • Включений (за замовчуванням для домашніх випусків): установки додатків, які вимагають адміністративних привілеїв, запустить підказку UAC.
  • Відключений (за замовчуванням для корпоративних випусків): оскільки багато інсталяційні додатки управляються через групові політики, призначене для користувача втручання і підтвердження не потрібно.

Керування обліковими записами користувачів: запуск тільки тих виконуваних модулів, які дозволені і підтверджені - вимагають чи виконуються додатки підтвердженої сертифікованої ланцюжка PKI (інфраструктури відкритих ключів)?

  • Включений: вимагає того, щоб додаток мало дозволену сертифіковану ланцюжок PKI (інфраструктуру відкритих ключів) до того, як їй буде дано дозвіл на запуск.
  • Відключений (за замовчуванням): не вимагає того, щоб додаток мало згоду на запуск.

Керування обліковими записами користувачів: тільки запуск додатків UIAccess, які встановлені в безпечному місці - додатки, які вимагають виконання з інтегрованим рівнем UIAccess, повинні перебувати в безпечній зоні системи.

  • Включений (за замовчуванням): додаток з інтеграцією UIAccess буде запускатися тільки тоді, коли воно знаходиться з захищеній зоні системи.
  • Відключений: додаток з інтеграцією UIAccess буде запускатися незалежно від розташування виконуваних програм.

Керування обліковими записами користувачів: запускати всіх адміністраторів в режимі Admin Approval Mode (режим підтвердження адміністратором) - запуск всіх користувачів, включаючи адміністраторів, як звичайних користувачів. Це ефективно включає або вимикає UAC. Якщо ви міняєте дану установку, вам доведеться перезапустити систему.

  • Включений (за замовчуванням): режим Administrative Approval Mode (адміністративне підтвердження) і UAC включений.
  • Відключений: відключити UAC і Admin Approval Mode (режим адміністративного підтвердження).

Керування обліковими записами користувачів: включити режим безпечної роботи ПК, коли приходить підказка про завантаження - Коли UAC включений, при цьому виходить підказка про завантаження, змініть Windows Vista на безпечний режим на противагу стандартному режиму користувача.

  • Включений (за замовчуванням): запити по завантаженню націлені на безпечну роботу ПК.
  • Відключений: запити по завантаженню націлені на стандартну роботу ПК.

Керування обліковими записами користувачів: виртуализирует збої записи в файли і в реєстр для кожного користувача - це налаштування включає перенаправлення помилки запису застарілих додатків в певні місця в реєстрі і файлової системи, послаблюючи вплив цих додатків, які здавна запускалися з правами адміністраторів і додатків для доступу до % ProgramFiles%,% Windir%; % Windir% system32 або HKLMSoftware. Якщо коротко, цей ключ допомагає підтримувати фонову сумісність із застарілими додатками, які не бажають запускатися в якості стандартного користувача.

  • Включений (за замовчуванням): додатки, що записують дані в захищені зони, будуть перенаправлятися в інші місця.
  • Відключений: додатки, що записують дані в захищені зони, дадуть збої в роботі.

Вибіркове відключення User Access Control (контролю доступу користувача)

Не всі програми позначені таким чином, щоб запускати застереження UAC при своїй завантаженні. Тим не менш, багато додатки вимагають запуску з включеними адміністративними правами, щоб досягти належного рівня роботи. Для того, щоб залагодити такий стан, ви можете помітити додаток так, щоб воно завантажувалося з адміністративними правами щоразу, коли воно виконується. Для того, щоб було саме так:

  1. клацніть правою кнопкою мишки на запускаються програмах, пов'язаних з додатками;
  2. в короткому меню виберіть опцію Properties (властивості);
  3. на сторінці властивостей виберіть ярлик Compatibility (сумісність);
  4. під шапкою Privilege Level (рівень привілеїв) виберіть прапорець, наступний за "Run this program as an administrator" (запустити дану програму в якості адміністратора), як показано на зображенні G;
  5. натисніть OK.
картинка G
Робота з контролем облікових записів користувачів (uac) в windows vista

Закладка сумісності додатків.

Для ряду додатків опція "Run this program as an administrator" (запуск програми в якості адміністратора) може бути недоступна. Для цього існує ряд причин:

  • ви не зайшли до системи в якості користувача з адміністративними правами;
  • додаток не може бути запущено з завантажуються правами;
  • додаток є частиною операційної системи. Додатки ОС не можуть бути змінені таким чином.
Утомливо, але воно того варте

UAC може і несе в собі елемент занудства, коли справа стосується питання безпеки системи, але він незамінний, коли постає питання про необхідність забезпечення безпеки системи, особливо для користувачів домашніх комп'ютерів. Користувачі Mac і Linux довгий час мали справу зі схожими базовими схемами безпеки, однак для користувачів Windows ситуація складається по-новому. Як тільки користувачі Windows звикнуть до новизни, вони гідно оцінять додаткову безпеку.

Схожі статті