Что такое user account control

Обновлено: 02.05.2024

Групповые политики

Ещё один метод взаимодействия с Account Control — редактор групповой политики. Этот способ подойдёт не для всех версий операционной системы. Только для Профессиональной, Максимальной и Корпоративной Windows.

Чтобы отключить UAC:

  1. Перейдите в «Пуск — Выполнить» или нажмите Win+R.
  2. Напишите в поле для ввода «secpol.msc» без кавычек и кликните на «OK».
  3. Раскройте иерархию «Локальные политики — Параметры безопасности».
  4. В списке справа найдите пункты «Контроль учётных записей». Там их несколько.
  5. Вам нужен тот, который заканчивается словами «Все администраторы работают в режиме одобрения». Дважды щёлкните по нему.
  6. На вкладке «Параметры безопасности» поставьте маркер рядом с пунктом «Отключение».
  7. Нажмите «Применить», закройте редактор и перезагрузите компьютер.

Выполнить secpol.msc

Запустите редактор групповой политики

Снова включить Account Control можно в том же меню.

Принципы работы контроля учетных записей

Служба контроля учетных записей пользователей позволяет предотвратить ущерб, который могут нанести компьютерам вредоносные программы, а также повысить управляемость рабочими местами, имеющимися в организации. Благодаря контролю учетных записей пользователей приложения и задачи выполняются в безопасном контексте неадминистративной учетной записи до тех пор, пока доступ к системе не будет разрешен администратором. Автоматическая установка неавторизованных приложений блокируется и тем самым предотвращаются нежелательные изменения параметров системы.

Что такое UAC и зачем он нужен?

Многих пользователей раздражают такие уведомления. Ведь приходится каждый раз подтверждать, что вы согласны на установку нового приложения. Но контроль учётных записей служит для защиты от вредоносного ПО: вирусов, шпионов, рекламщиков. Он не заменит антивирус, сетевой экран или firewall. Но без этой функции Windows будет уязвима.

Если отключить UAC, компьютер окажется под угрозой. Не стоит деактивировать Account Control без причин. Иначе абсолютно любая программа сможет менять настройки системы, устанавливать свои дистрибутивы и запускать их. И всё это без ведома пользователя.

Контроль учётных записей можно настроить, чтобы он не был таким «надоедливым», и оповещение не выскакивало при запуске любой программы. Но рекомендуется оставить эту функцию в активном состоянии, чтобы защитить ПК.

Что такое контроль учетных записей?

Как я уже упомянул, контроль учетных записей – это специальная служба, которая отслеживает запуск программ, которые могут изменить конфигурацию системы. Эти программы требуют для своего запуска права Администратора, о чем система нам и сообщает. Обычно большинству приложений не требуются права Администратора, они прекрасно работают с правами Пользователя.

Отключать или не отключать контроль учетных записей, решать только вам. Но я не рекомендую этого делать, так как User Account Control иногда очень сильно выручает, особенно если на вашем компьютере завелся вирус. UAC без вашего ведома просто не даст ему запуститься.

На что нужно обратить внимание при появлении консоли

При загрузке приложения в появившемся окне уведомления 10 ОС имеется информация об имени программы, её издателе и источнике файла. Всё это даёт полную картину о запускаемом софте. Поэтому, когда приложение не имеет названия, у пользователей должен возникнуть вопрос о его «добропорядочности». Таким образом, вместе с установочным файлом очень часто проникают и вирусы. Если же программа проверена или вы полагаетесь на антивирус, в любом случае есть возможность отключить защиту.

ВАЖНО. UAC в системе Windows 10 включён по умолчанию. После его отключения всегда можно включить контроль заново.

Архитектура контроля учетных записей

На приведенной ниже схеме показана архитектура службы контроля учетных записей пользователей.

Чтобы лучше понять каждый компонент, ознакомьтесь с таблицей ниже.

Если ползунок установлен в положение По умолчанию — уведомлять только при попытках программ внести изменения в компьютер, проверяется значение параметра политики Контроль учетных записей: повышение прав только для подписанных и проверенных исполняемых файлов.

  • Если этот параметр политики включен, то перед тем как разрешить выполнение данного файла, к нему применяется утверждение пути сертификации инфраструктуры открытого ключа (PKI).
  • Если этот параметр политики отключен (по умолчанию), то утверждение пути сертификации PKI не применяется до тех пор, пока не будет разрешено выполнение данного исполняемого файла. Проверяется значение параметра групповой политики Контроль учетных записей пользователей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав.

существует изменение Windows Server 2012 контроля учетных записей из предыдущих версий Windows. Новый ползунок никогда не будет полностью отключен от UAC. Новый параметр будет:

Обеспечьте работу службы UAC.

Приводит к тому, что все запросы на повышение прав, инициированные администраторами, будут утверждены для автоматического утверждения без отображения запроса UAC.

Автоматически запрещает все запросы на повышение прав для обычных пользователей.

Чтобы полностью отключить UAC, необходимо отключить контроль учетных записей политики: запуск всех администраторов в режиме одобрения администратором.

настроенные приложения не будут работать на Windows Server 2012 при отключенном контроле учетных записей.

Виртуализация

Системные администраторы на предприятиях стараются защитить свои системы, поэтому многие бизнес-приложения разработаны в расчете на использование только маркера доступа обычного пользователя. в результате ит-администраторам не нужно заменять большинство приложений при запуске Windows Server 2012 с включенным UAC.

Windows Server 2012 включает технологию виртуализации файлов и реестра для приложений, которые не соответствуют требованиям UAC и для правильной работы требуется маркер доступа администратора. Виртуализация гарантирует совместимость даже тех приложений, которые не соответствуют требованиям UAC, с Windows Server 2012. Когда административное приложение, несовместимое с контролем учетных записей пользователей, пытается выполнить запись в защищенную папку, например Program Files, служба контроля учетных записей предоставляет приложению созданный специально для него виртуализованный вид того ресурса, который оно пытается изменить. Эта виртуализованная копия сохраняется в профиле пользователя. При этом отдельная копия виртуализованного файла создается для каждого пользователя, запускающего несовместимое приложение.

Большинство приложений корректно работают с использованием функций виртуализации. Однако, несмотря на то что виртуализация позволяет работать большинству приложений, она является лишь временным решением проблемы. разработчики приложений должны изменить свои приложения так, чтобы они соответствовали программе Windows Server 2012 logo, как можно скорее, а не полагаться на виртуализацию файлов, папок и реестра.

Виртуализация не применяется в следующих ситуациях.

Виртуализация не применяется к приложениям, для которых выполнено повышение прав и которые работают с маркером полного доступа на уровне администратора.

Виртуализация отключается для приложений, содержащих манифест с атрибутом требуемого уровня выполнения.

Уровни выполнения запроса

Манифест приложения — это файл XML, который описывает и определяет общие и закрытые сборки одновременного выполнения, которые приложению следует подключить во время выполнения. в Windows Server 2012 манифест приложения включает записи для обеспечения совместимости приложений UAC. Административные приложения, у которых в манифесте есть запись, запрашивают разрешение пользователя на доступ к его маркеру доступа. Большинство административных приложений, у которых отсутствует в манифесте такая запись, тем не менее могут выполняться без доработки. Для этого можно использовать исправления совместимости приложений. Исправления совместимости приложений — это записи базы данных, которые позволяют приложениям, не соответствующим контролю учетных записей, правильно работать с Windows Server 2012.

Все приложения, совместимые с контролем учетных записей пользователей, должны иметь в своем манифесте запись с требуемым уровнем выполнения. Если приложению требуется административный доступ к системе, его можно пометить, задав для него требуемый уровень выполнения «требуется администратор». Это гарантирует то, что система распознает его как административное приложение и выполнит необходимые действия по повышению прав. Требуемые уровни выполнения определяют права, необходимые приложению.

Технология обнаружения установщика

Программы установки — это приложения, предназначенные для развертывания программного обеспечения. Большинство программ установки выполняют запись в системные папки и разделы реестра. В эти защищенные системные расположения выполнять запись обычно имеет право только администратор с помощью технологии обнаружения установщика, что означает, что обычные пользователи не имеют достаточно прав для установки программ. Windows Server 2012 эвристическо обнаруживает программы установки и запрашивает учетные данные администратора или утверждение от пользователя с правами администратора для запуска с правами доступа. Windows Server 2012 также эвристическо обнаруживает обновления и программы, удаляющие приложения. Одной из задач, решаемых службой контроля учетных записей пользователей, является предотвращение запуска установки приложений незаметно для пользователя и без его согласия, потому что при установке производится запись в защищенные области файловой системы и реестра.

Технология обнаружения установщика применяется только к:

32-разрядным исполняемым файлам;

приложениям, не имеющим атрибута требуемого уровня выполнения;

интерактивным процессам, выполняющимся с правами обычного пользователя с включенной службой контроля учетных записей.

Перед созданием 32-разрядного процесса определяется, не является ли он программой установки. Для этого проверяются следующие атрибуты.

В имени файла содержатся ключевые слова: «install», «setup» или «update».

Поля ресурсов определения версии «Versioning Resource» содержат следующие ключевые слова: Vendor, Company Name, Product Name, File Description, Original Filename, Internal Name и Export Name.

Ключевые слова в параллельном манифесте встроены в исполняемый файл.

Ключевые слова в специальных записях StringTable связаны в исполняемом файле.

Ключевые атрибуты в данных сценария ресурса связаны в исполняемом файле.

Это законченные последовательности байтов внутри исполняемого файла.

Ключевые слова и последовательности байтов были получены при изучении общих характеристик различных технологий программ установки.

Включение, настройка и отключение User Account Control (UAC)

В современных версиях Windows существует много инструментов, которые предназначены для обеспечения безопасности. Один из них — User Account Control, что в переводе означает «Контроль учётных записей». Он выдаёт окно с предупреждением, если какая-то программа или процесс пытается внести несанкционированные изменения в систему. И надо либо разрешить запуск утилиты, либо отменить его. Разберитесь, для чего нужен UAC Windows 7, как отключить его, как активировать и как настроить.

Как включить UAC в Windows

В этой статье мы расскажем, как включить UAC в Виндовс

Отключение контрольной функции

Способ 1.

«Настройка выдачи таких уведомлений»

Способ 2.

«Изменение параметров контроля учётных записей»

Способ 3.

В меню «Пуск» найти вкладку «Панель управления». В правой части окна открыть «маленькие значки» и выбрать строчку «Учётные записи пользователей». Затем нажать на пункт «Изменить параметры контроля учётных записей». Также настроить работу опции или вовсе отключить её.

«Изменить параметры контроля учётных записей»

Способ 4.

На клавиатуре набрать Win+R. В открывшейся консоли прописать «UserAccountControlSetting» и ввод. В появившихся параметрах произвести отключение опции.

Способ 5.

Кликнуть по клавишам Win+R. В окне «Выполнить» ввести слово «regedit» и «ок». В левой части редактора реестра найти «Sistem». В открывшейся правой консоли кликнуть двойным нажатием мыши по надписи «EnableLUA». В появившемся окошке поменять значение «1» на «0» и «ок». Для сохранения изменений выскочит уведомление о перезагрузке компьютера.

Правка реестра

Для того чтобы включить контрольную защиту в ОС Windows 10, в его настройках следует вернуть селектор в исходное положение. Также можно настроить функцию под свои параметры, где наилучшим вариантом может считаться второе положение селектора сверху.

Командная строка

Отключение Account Control при помощи команд:

  1. Пуск — Программы — Стандартные.
  2. Кликните правой кнопкой мыши по «Командная строка».
  3. Выберите «От имени администратора». Откроется окно с чёрным фоном и белым шрифтом.
  4. Скопируйте в него команду «%windir%\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f» и нажмите
  5. Она меняет параметры реестра. Через него можно вновь активировать режим.

Account Control — это необходимая мера безопасности. Отключайте её только в крайнем случае.

Что означают 4 положения UAC

  1. Всегда уведомлять — самый безопасный и оптимальный вариант. То есть любое несанкционированное действие программы будет вызывать появление окна с уведомлением.
  2. Уведомлять при попытке приложения внести изменения (по умолчанию). Обычно включается при загрузке программы.
  3. Уведомлять о внесении изменений без затемнения и блокировки экрана. Такое положение не препятствует вторжению троянов.
  4. Не уведомлять никогда, то есть полное отключение функции.

Если всё же было решено отключить защитную опцию в Windows 10, следует быть готовым к атакам вредоносного ПО. В этом случае нужно быть особо внимательным к запускаемым приложениям, так как они имеют такой же доступ к информации на компьютере, как и у пользователей с правами Администратора. Поэтому, если вы отключили UAC только для того, чтобы он не мешал, то это очень неправильная тактика. В этом случае лучше установить защитную функцию по умолчанию.

Включение и отключение UAC в Windows

Для того чтобы ответить на вопрос, как включить или отключить контроль учётных записей в Windows, нужно понять, что это такое. UAC — это защитная опция операционной системы, поддерживаемая всеми последними версиями Windows (Vista, 7, 8, 10). Независимо от того, какую учётную запись использует пользователь, система выдаёт запрос о разрешении запускаемому приложению внести изменения.

Включение и отключение UAC

Порядок включения и отключения UAC в Windows 10 имеет свои отличия.

Если владелец ПК Администратор, то он может разрешить или нет этой программе войти в ОС и изменить параметры, лишь нажав кнопки «Да» или «Нет». В ином случае придётся вводить пароль. Причины для отключения контроля учётных данных могут быть разные, но иногда это действительно необходимо.

Панель управления

Отключение UAC Windows 7 выглядит так:

Параметры управления учетными записями

Настройте, в каких случаях показывать уведомления

Войти в это меню и отключить UAC можно и быстрее.

  1. Нажмите «Пуск».
  2. Кликните на изображение вашей учётной записи наверху.

В Windows Vista такого ползунка нет. Соответственно, детальная настройка функции невозможна. Доступно только включение и отключение режима.

Процесс контроля учетных записей и взаимодействие

Все приложения, для работы которых требуется маркер доступа администратора, должны запрашивать подтверждение администратора. Существует только одно исключение — это взаимосвязь между родительским и дочерним процессами. Дочерние процессы наследуют маркер доступа пользователя от родительского процесса. При этом как родительский, так и дочерний процессы должны иметь один и тот же уровень целостности. Windows Server 2012 защищает процессы, помечая их уровни целостности. Уровень целостности является мерой доверия. Приложение с «высоким» уровнем целостности — это такое приложение, в котором выполняются задачи по изменению системных данных, например разбиение диска. Приложение с «низким» уровнем целостности выполняет задачи, которые могут подвергать риску операционную систему, например веб-браузер. Приложения с низким уровнем целостности не могут изменять данные в приложениях с высоким уровнем целостности. Если обычный пользователь попытается запустить приложение, требующее маркер доступа администратора, служба контроля учетных записей пользователя запросит действительные учетные данные администратора.

чтобы лучше понять, как происходит этот процесс, важно ознакомиться с подробными сведениями о Windows Server 2012 процесса входа в систему.

Windows Server 2012 Процесс входа

Ниже описано, как процесс входа в систему администратора отличается от процесса входа обычного пользователя.

По умолчанию как обычные пользователи, так и администраторы получают доступ к ресурсам и запускают приложения в контексте безопасности обычного пользователя. При входе пользователя в систему для этого пользователя создается маркер доступа. Маркер доступа содержит сведения об уровне доступа, предоставленного пользователю, включая специальные идентификаторы безопасности (SID) и привилегии в Windows.

При входе в систему администратора для него создаются два отдельных маркера доступа — маркер доступа обычного пользователя и маркер доступа администратора. Маркер доступа обычного пользователя содержит те же сведения о пользователе, что и маркер доступа администратора, но в нем отсутствуют привилегии администратора Windows и идентификаторы безопасности. Маркер доступа обычного пользователя применяется для запуска приложений, которые не выполняют задач администрирования (приложений обычного пользователя). Маркер доступа обычного пользователя затем используется для отображения рабочего стола (Explorer.exe). Explorer.exe является родительским процессом, от которого все другие запускаемые пользователем процессы наследуют свой маркер доступа. В результате все приложения работают в режиме обычного пользователя до тех пор, пока пользователь не даст согласие или не введет учетные данные для подтверждения возможности использования приложением маркера полного доступа на уровне администратора.

Пользователь, являющийся членом группы Администраторы, может входить в систему, выполнять поиск в Интернете и просматривать электронную почту, используя маркер доступа обычного пользователя. когда администратору необходимо выполнить задачу, для которой требуется маркер доступа администратора, Windows Server 2012 автоматически запросит пользователя на утверждение. Этот запрос называется «запрос на повышение прав». Его работу можно настраивать с помощью оснастки «Локальная политика безопасности» (Secpol.msc) или групповой политики.

термин "повышение прав" используется для ссылки на процесс в Windows Server 2012, который предлагает пользователю предоставить согласие или учетные данные для использования полного маркера доступа администратора.

Взаимодействие с пользователем UAC

Работа обычных пользователей при включенной службе контроля учетных записей пользователей отличается от работы администраторов в режиме одобрения администратором. рекомендуемый и более безопасный способ запуска Windows Server 2012 — сделать учетную запись основного пользователя учетной записью обычного пользователя. Работа в режиме обычного пользователя позволяет максимально повысить уровень безопасности управляемой среды. Используя встроенный в службу контроля учетных записей пользователей компонент повышения прав, обычный пользователь может без труда выполнять задачи администрирования путем ввода действительных учетных данных локальной учетной записи администратора. По умолчанию встроенным в службу контроля учетных записей пользователей компонентом повышения прав является запрос учетных данных.

Альтернативой работе в режиме обычного пользователя является работа в качестве администратора в режиме одобрения администратором. Используя встроенный в службу контроля учетных записей пользователей компонент повышения прав, члены локальной группы Администраторы могут выполнять задачи администрирования путем одобрения. По умолчанию встроенным в службу контроля учетных записей пользователей компонентом повышения прав для учетной записи администратора в режиме одобрения администратором является запрос согласия. Работу запроса на повышение прав в службе контроля учетных записей пользователей можно настраивать с помощью оснастки «Локальная политика безопасности» (Secpol.msc) или групповой политики.

Запрос согласия и запрос учетных данных

при включенном контроле учетных записей Windows Server 2012 запрашивает согласие или запрашивает учетные данные действующей учетной записи локального администратора перед запуском программы или задачи, требующей полного маркера доступа администратора. Применение запроса гарантирует невозможность незаметной установки вредоносных программ.

Запрос согласия

Запрос согласия выводится при попытке пользователя выполнить задачу, требующую маркера доступа на уровне администратора. Ниже приведен снимок экрана с запросом на согласие UAC.

Запрос учетных данных

Запрос учетных данных выводится при попытке обычного пользователя выполнить задачу, требующую маркера доступа на уровне администратора. Работу запроса по умолчанию для обычного пользователя можно настраивать с помощью оснастки «Локальная политика безопасности» (Secpol.msc) или групповой политики. Ввод учетных данных администратора может потребоваться также в случае, если для параметра политики Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором задано значение Запрос учетных данных.

На следующем снимке экрана показан пример запроса учетных данных UAC.

Запросы на повышение прав службы контроля учетных записей пользователей

Запросы на повышение прав выделяются разным цветом в зависимости от приложения, что позволяет быстро оценить возможный риск для безопасности со стороны запускаемого приложения. когда приложение пытается запуститься с маркером полного доступа администратора, Windows Server 2012 сначала анализирует исполняемый файл, чтобы определить его издателя. приложения сначала разделены на три категории, основанные на издателе исполняемого файла: Windows Server 2012, издатель проверен (подписан), а издатель не прошел проверку (без знака). на следующей схеме показано, как Windows Server 2012 определяет, какой запрос на повышение прав цвета должен быть представлен пользователю.

Запросы на повышение прав кодируются цветом по следующему правилу.

Изображение щита красного цвета на красном фоне: приложение заблокировано групповой политикой или принадлежит заблокированному издателю.

синий фон с синим и золотой значком щита: приложение является Windows Server 2012 административным приложением, например элементом панели управления.

Изображение щита синего цвета на синем фоне: приложение подписано с использованием Authenticode и является доверенным на локальном компьютере.

Изображение щита желтого цвета на желтом фоне: приложение не подписано или подписано, но не является доверенным на локальном компьютере.

Значок щита

Некоторые компоненты панели управления, например Дата и время, выполняют как административные операции, так и операции обычного пользователя. Обычные пользователи могут просматривать время и менять часовой пояс, но для изменения локального системного времени требуется маркер полного доступа на уровне администратора. Ниже приведен снимок экрана элемента панели управления " Свойства даты и времени ".

Изображение щита на кнопке Изменить дату и время указывает на то, что процессу требуется маркер полного доступа на уровне администратора и поэтому перед его запуском будет выведен запрос на повышение прав.

Защита запроса на повышение прав

Процесс повышения прав дополнительно защищен тем, что запрос направляется на безопасный рабочий стол. Запрос согласия и учетных данных по умолчанию отображается на защищенном рабочем столе в Windows Server 2012. Получить доступ к безопасному рабочему столу могут только процессы Windows. Для повышения уровня безопасности рекомендуется включить параметр политики Контроль учетных записей пользователей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав.

Когда исполняемый файл выполняет запрос на повышение прав, происходит переключение интерактивного рабочего стола (рабочего стола пользователя) к безопасному рабочему столу. При переключении к безопасному рабочему столу уменьшается яркость рабочего стола пользователя, появляется запрос на повышение прав, и дальнейшая работа может быть продолжена только после ответа на запрос. После нажатия одной из кнопок Да или Нет происходит обратное переключение к рабочему столу пользователя.

Вредоносные программы могут имитировать безопасный рабочий стол, но если для параметра политики Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором задано значение Запрос согласия, вредоносные программы не смогут получить повышение прав при нажатии пользователем кнопки Да на имитации. Если для параметра политики задано значение Запрос учетных данных, то вредоносные программы, имитирующие такой запрос, могут получить учетные данные от пользователя. Однако при этом вредоносные программы не получают повышенные права, а система имеет другие средства защиты, которые не позволяют им захватить контроль над интерфейсом пользователя даже при раскрытии пароля.

Вредоносные программы могут создавать имитации безопасного рабочего стола, но это может произойти только если пользователь предварительно установил вредоносную программу на компьютер. Процессы, требующие маркера доступа на уровне администратора, не могут быть установлены незаметно при включенном контроле учетных записей пользователя, поэтому пользователь должен явно дать согласие нажатием кнопки Да или путем ввода учетных данных администратора. Конкретное поведение запроса на повышение прав в службе контроля учетных записей пользователей зависит от групповой политики.

Редактор реестра

Перед тем как что-то менять в реестре, надо сделать его резервную копию. Чтобы в случае возникновения неполадок его быстро восстановить.

  1. Перейдите в «Пуск — Выполнить» или нажмите Win+R.
  2. Введите «regedit» и нажмите «OK».
  3. В появившемся окне откройте «Файл — Экспорт».
  4. Укажите путь к папке, в которой надо сохранить бэкап.

Вот как в Windows 7 отключить контроль учётных записей UAC:

  1. В редакторе реестра откройте «Правка — Найти».
  2. Запустите поиск по запросу «EnableLUA».
  3. В результатах выберите строчку с таким же названием. Дважды кликните по ней.
  4. В поле «Значение» напишите цифру «0» (ноль), чтобы остановить работу службы.
  5. Чтобы снова включить UAC, поменяйте «0» на «1» (единицу).
  6. Нажмите «OK» и перезапустите ПК.

Как отключить контроль учетных записей (UAC)?

Теперь перейдем к практической части статьи. Помните, что для изменения параметров контроля учетных записей потребуются права Администратора. Ниже вы увидите алгоритм отключения (включения) контроля учетных записей пользователей Windows:

Читайте также: