Робота з контролем облікових записів користувачів (UAC) в Windows Vista

Рекламний анонс Microsoft приділив значну увагу нової особливості в системі безпеки, наявної в Windows Vista. З точки зору перспектив для користувача, одна з таких особливостей, а саме User Access Control (контроль облікових записів користувачів – UAC), ймовірно, саме примітне поліпшення. UAC – це механізм, за допомогою якого користувачі (і навіть адміністратори) можуть виконувати прості завдання Windows, Користуючись неадміністративними правами, або вирішувати їх, будучи звичайними користувачами. До виконання адміністративних завдань, користувачі повинні активно підтвердити дії, які можуть стати потенційно небезпечними для комп'ютера.


Внутрішня робота UAC говорить багато чого про те, яким чином дана особливість захищає ваш ПК. Спочатку поговоримо про те, що послужило поштовхом для розробки UAC.


Проблема: Windows XP і автоматичні установки


У до-Vist'ових версіях Windows, Крім входу в систему, користувачеві давався пароль доступу. Користувач, який володів адміністративними правами, отримував можливість доступу в область ресурсів, які не вимагали наявності прав адміністрування. Користувачам, що був членами адміністративної групи, давалася можливість користуватись усіма наявними на локальному комп'ютері ресурсами.


З точки зору простоти використання, даний рівень авторизації був прекрасним. Але все ж, з точки зору безпеки він був не так вже і хороший, навіть для ІТ-професіоналів. Уявіть собі потенціал для попутного інсталяції шпигунського програмного забезпечення. Попутна інсталяція відбувається тоді, коли ви відвідуєте, випадково чи навмисно, сайт, що містить шкідливий код, про який у вас не ніякого подання. Останні два роки шпигунські сканери значно підвищували свої можливості, але поки що на ринку не з'являлося універсального рішення, яке б захистило від всіх відомих загроз. Навіть якщо б такий продукт і існував, все одно виникали б проблеми загроз невідомої природи. Нове шпигунське програмне забезпечення дає знати про себе кожен день, і для розробників потрібно значне час для виявлення цих нових неприємностей і оновлення своєї продукції.


Якщо ви зайшли вWindows XP в якості користувача, наділеного адміністративними привілеями, в той момент, коли виникає ефект «попутно», шпигунське програмне забезпечення встановлюється на вашу машину, при цьому ви нічого не помічаєте. Дане шпигунське програмне забезпечення може приймати будь-яку форму, починаючи з простого, здавалося б, безневинного інструменту перехоплення що вводиться з клавіатури інформації, який запам'ятовує все, що ви друкуєте, і відправляє результати в заздалегідь заданий адресу. На певному етапі ви могли б прикрити «чорний хід», який дозволяє зломщикові торувати свою стежку до вашої системи і зробити свою чорну справу.


Гірше того, чим глибше впроваджено шпигунське програмне забезпечення в вашу систему, тим складніше його звідти викурити. Це може спричинити за собою повну переустановку системи, на що знадобляться години роботи.


Примітка: коли ви встановлюєте Windows XP, Майстер налаштування наділяє адміністративними правами всі локальні облікові записи.


Ну, ви, зрозуміло, можете сказати, що все це вам давно відомо, а проте в організації, де ви працюєте, ви змушені дозволяти користувачам заходити в якості локального адміністратора з різних причин. Наприклад, багато користувачів (що мають можливість управління) вважають важливим те, що у них є можливість установки нового додатка на своєму комп'ютері. За нещастя, вони часто мають рацію. Заняття бізнесом у Мережі часто передбачає необхідність встановлення нових еллементов ActiveX контролю або іншого типу додатків. Звичайно, це – не найкращий вихід, але краще дозволити людям займатися своїми прямими обов'язками, ніж платити їм за просиджування штанів і поплевиваніе в стелю, залишивши все на відкуп ІТ.


Вирішення проблеми: Windows Vista і UAC


Введення Windows Vista "ой UAC призначено для приборкання чудовиська і поверненню від хаосу до порядку. У Vista, Коли користувач із правами адміністратора активізується в системі, він отримує не один, а відразу два типи доступу: адміністративний доступ і пароль доступу звичайного користувача. Пароль звичайного доступу використовується для запуску ПК. Кінцевий результат полягає в тому, що адміністратор запускає систему з більш обмеженими правами, ніж тими, які б він міг отримати при вході в Windows XP. Поки існує потреба, другий доступ – вже з адміністративними правами – не використовується.


Трапляється ситуація, коли, наприклад, користувач з правами адміністрування запускає програмку панелі управління і намагається змінити налаштування. Тоді UAC від Windows Vista блокує вікно, показуючи, що для продовження необхідний дозвіл. Коли ви вибираєте дозвіл використання адміністративних дій, застосовуючи адміністративний доступ, ви даєте дозвіл, який дозволяє програмам працювати з більш широкими привілеями. Зображення A показує вам стандартне діалогове вікно UAC. Якщо ви хочете дозволити дію, натисніть кнопку Continue (продовжити).


Зображення A

UAC запитує, чи збираєтеся ви продовжувати виконання дії.

Якщо ви бачили рекламні ролики «Mac проти PC» на вебсайті Apple, то зрозуміли, що це діалогове віконце є предметом суперечок між PC і Mac, при цьому система безпеки в PC відстає від аналогічної в Mac. Насправді ж, ситуація не настільки погана. Дійсно, хоча час від часу це виводить з себе, але ситуація складається більш сприятливо, оскільки нова система подає візуальну команду про те, що щось відбувається, даючи, таким чином, користувачеві можливість скасувати дію.


Роздратування – це один з результатів, від якого я допоможу вам позбутися, давши опис у цій статті. Я покажу, як відключити UAC, і як зробити так, щоб спеціальні програми завжди працювали в посиленому режимі.


Повне відключення UAC


Зроблю невеличкий вступ до цього розділу: не рекомендую вам робити це дія, навіть на своєму власному комп'ютері. Наскільки сильно я ненавиджу дозвіл цієї дії, навіть коли читаю проповіді про небезпеку "випадкового натискання кнопок" на блокування, результатом чого стає запуск шпигунського програмного забезпечення, яке переслідує студентів і користувачів, настільки сам іноді забуваю свої власні рекомендації. Минулого літа, коли я поспішав виконати одне із завдань, у мене вийшло, як спершу здалося, системне діалогове вікно, і я натиснув кнопку OK. Як тільки я відпустив кнопку миші, я усвідомив, що "кнопка OK", яку я тільки що натиснув, була блокує веб-сайту. Через всього лише декілька годин моя система була заражена шпигунським ПЗ.


Який урок звідси слід винести: навіть ті з нас, хто чинить так в ім'я життя, самі падають жертвами шпигунського ПЗ. При наявності UAC, виникає, принаймні, ще один бар'єр між нами і ними.


Але якщо ви вважаєте, що UAC сильно виснажує, ви можете відключити його і продовжувати працювати далі. Існує кілька способів відключення UAC. Я покажу вам, як зробити це, скориставшись Control Panel (панеллю управління), Registry Editor (редактором регістру), і Group Policy (груповими політиками).


Всі рішення, які даються у цій статті, вимагають того, щоб ви увійшли в систему як користувач, що володіє правами адміністратора. Однак для більшості рішень ви не можете скористатися обліковим записом локального адміністратора. Цей обліковий запис не допускає застосування адміністративного підтвердження. Скористайтеся іншим користувачем, а саме запис учасника локальної адміністративної групи.


1. Відключення UAC за допомогою MSConfig


У нових машинах для зміни режиму роботи UAC, ви можете скористатися MSConfig:



  1. Перейдіть в Start (старт) / All Programs (усі програми) / Accessories (стандартні) / Run (виконати).
  2. У віконці Run (виконати) вдрукуйте "msconfig", потім натисніть [Enter].
  3. З віконця System Configuration (конфігурація системи), виберіть вкладку Tools (сервіс), як показано на картинці B.
  4. У колонці Tool Name (назва засобу), знайдіть опцію Disable UAC (відключити контроль облікових записів (UAC)).
  5. Натисніть кнопку Launch (запуск).
  6. Перезавантажте систему.

Зображення B

Вкладка інструментів у вікні System Configuration (конфігурації системи).

2. Відключення UAC через Панель Управління


Якщо ви працюєте на декількох машинах, найпростіший спосіб деактивувати UAC – відключити це властивість через Control Panel (панель управління). Для досягнення даної мети зробіть наступні кроки:



  1. Зайдіть в Start (пуск) / Control Panel (панель управління).
  2. Переглядаючи Control Panel (панель управління) в "класичному" режимі, виберіть програмку User Accounts (облікові записи користувачів). Відкриється екран, які ви можете побачити нижче на картинці C.
    Зображення C

    Програмка панелі UAC.

  3. Виберіть опцію "Turn User Account Control on or off" (включити або вимкнути контроль облікових записів користувача). Зверніть увагу, що за програмкою є невеликий щиток. Він показує, що сама по собі функція захищена контролем облікових записів користувача.
  4. Відмініть вибір, наступний за Use User Account Control (контроль облікових записів користувача) To Help Protect Your Computer (використовуйте UAC, щоб допомогти захистити ваш комп'ютер). Дивіться картинку D.
    Зображення D

    Програмка панелі UAC.

  5. Натисніть OK.
  6. Перезавантажте комп'ютер для активації змін в налаштуваннях.

3. Відключення UAC через Редактор Реєстру


Третій спосіб відключити UAC увазі використання редактора реєстру. Змінюючи спеціальні ключі на кожному комп'ютері Vista, ви можете відключити UAC. Ось кроки для цього дії:



  1. Запустіть Registry Editor (редактор реєстру).
  2. Знайдіть в пошуку наступний ключ: HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Policies System.
  3. Змініть значення запису EnableLUA на "0". Якщо навіть ви хочете знову активувати UAC, дотримуйтесь цих інструкцій, проте змініть значення запису EnableLUA на "1". Дивіться картинку E, щоб побачити зображення на екрані.
  4. Коли ви все зробили, перезапустіть комп'ютер для активації змін в налаштуваннях.

Зображення E

Ключ EnableLUA в Registry Editor (редакторі реєстру).

4. Управління / відключення UAC через Групові політики


Якщо у вашому розпорядженні багато комп'ютерів, і ви хочете змінити режим роботи UAC на всіх машинах, найкращим способом стане використання Group Policy (групової політики). Метод Group Policy (груповий політики) також є найбільш гранульованим і дає вам можливість встановити самі різні параметри, що стосуються UAC. Я покажу вам, як зробити це, скориставшись адміністративним інструментом локальної групової політики.



  1. Перейдіть в Start (пуск) / All Programs (усі програми) / Accessories (стандартні) / Run (виконати).
  2. У вікні Run (виконати), надрукуйте "secpol.msc" і натисніть [Enter].
  3. Коли контроль облікових записів користувача зробить запит на дозвіл продовжити роботу, натисніть кнопку Continue (продовжити).
  4. Знайдіть Computer Configuration (конфігурація комп'ютера) / Windows Settings (установки Windows) / Security Settings (налаштування безпеки) / Local Policies (локальні політики) / Security Options (настройки безпеки). Ви побачите екран, показаний на картинці F.
  5. Виберіть об'єкт групової політики, який ви хочете змінити, і змініть налаштування до необхідних значень. Даний внизу список показує вам всі налаштування групових політик, пов'язаних з контролем доступу користувача.

Зображення F

Редактор об'єктів групових політик.

Існує низка опцій, пов'язаних з контролем доступу користувача:


Контроль облікових записів користувача: режим роботи розширеної підказки для вбудованої облікового запису адміністратора – Дана установка впливає на режим роботи UAC при використанні вбудованої облікового запису адміністратора.



Контроль облікових записів користувача: підказка для адміністраторів у режимі Admin Approval Mode (режим підтвердження адміністратором) – Дана установка впливає на те, що відбувається, коли адміністратор (крім вбудованої облікового запису адміністратора) запускає привілейоване додаток.



Контроль облікових записів користувача: режим роботи покращання підказки для звичайних користувачів – Дана установка визначає те, що відбувається, коли звичайний користувач намагається запустити привілейоване додаток.



Контроль облікових записів користувача: визначення інсталяції додатків і підказка по установці – Що відповість система UAC на запит про встановлення нових програм?



Контроль облікових записів користувача: запуск тільки тих виконуваних модулів, які дозволені і підтверджені – Чи потребують виконувані програми підтвердженої сертифікованої ланцюжка PKI (інфраструктури відкритих ключів)?



Контроль облікових записів користувача: тільки запуск додатків UIAccess, які встановлені в безпечному місці – Додатки, які вимагають виконання з інтегрованим рівнем UIAccess, повинні перебувати в безпечній зоні системи.



Контроль облікових записів користувача: запускати всіх адміністраторів у режимі Admin Approval Mode (режим підтвердження адміністратором) – Запуск всіх користувачів, включаючи адміністраторів, у якості звичайних користувачів. Це ефективно включає або вимикає UAC. Якщо ви міняєте дану установку, вам доведеться перезапустити систему.



Контроль облікових записів користувача: включити режим безпечної роботи ПК, коли приходить підказка про завантаження– Коли UAC включений, при цьому виходить підказка про завантаження, змініть Windows Vista на безпечний режим на противагу стандартному режиму користувача.



Контроль облікових записів користувача: віртуалізує збої запису у файли і до реєстру для кожного користувача – Це налаштування включає перенаправлення помилки запису застарілих додатків в певні місця в реєстрі і файлової системи, послаблюючи вплив цих програм, які здавна запускалися з правами адміністраторів і додатків для доступу до% ProgramFiles%,% Windir%;% Windir% system32 або HKLMSoftware. Коротенько, цей ключ допомагає підтримувати фонову сумісність із застарілими додатками, які не бажають запускатися в якості стандартного користувача.



Вибіркове відключення User Access Control (контролю доступу користувача)


Не всі програми позначені таким чином, щоб запускати застереження UAC при своїй завантаженні. Тим не менш, багато програм вимагають запуску з включеними адміністративними правами, щоб досягти належного рівня роботи. Для того, щоб залагодити такий стан, ви можете помітити додаток так, щоб воно завантажувалося з адміністративними правами кожного разу, коли воно виконується. Для того, щоб було саме так:



  1. клацніть правою кнопкою мишки на запускаються програмах, пов'язаних з додатками;
  2. в короткому меню виберіть опцію Properties (властивості);
  3. на сторінці властивостей виберіть ярлик Compatibility (сумісність);
  4. під шапкою Privilege Level (рівень привілеїв) виберіть прапорець, який іде за Run this program as an administrator "(запустити цю програму в якості адміністратора), як показано на картинці G;
  5. натисніть OK.

Зображення G

Закладка сумісності додатків.

Для ряду додатків опція "Run this program as an administrator" (запуск програми в якості адміністратора) може бути недоступна. Для цього існує ряд причин:



Втомлює, але воно того варте


UAC може і несе в собі елемент занудства, коли справа стосується питання безпеки системи, але він незамінний, коли постає питання про необхідність забезпечення безпеки системи, особливо для користувачів домашніх комп'ютерів. Користувачі Mac і Linux довгий час мали справу зі схожими базовими схемами безпеки, проте для користувачів Windows ситуація складається по-новому. Як тільки користувачі Windows звикнуть до новизни, вони гідно оцінять додаткову безпеку.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*