Робота з контролем облікових записів користувачів (UAC) в Windows Vista, Windows, Операційні системи, статті

Рекламний анонс Microsoft приділив значну увагу нової особливості в системі безпеки, наявної в Windows Vista. З точки зору перспектив для користувача, одна з таких особливостей, а саме User Access Control (контроль облікових записів користувачів – UAC), ймовірно, саме примітне поліпшення. UAC – це механізм, за допомогою якого користувачі (і навіть адміністратори) можуть виконувати прості завдання Windows, Користуючись неадміністративними правами, або вирішувати їх, будучи звичайними користувачами. До виконання адміністративних завдань, користувачі повинні активно підтвердити дії, які можуть стати потенційно небезпечними для комп’ютера.


Внутрішня робота UAC говорить багато про те, яким чином дана особливість захищає ваш ПК. Спочатку поговоримо про те, що послужило поштовхом для розробки UAC.


Проблема: Windows XP і автоматичні установки


В до-Vist’ових версіях Windows, Крім входу в систему, користувачеві давався пароль доступу. Користувач, не володів адміністративними правами, отримував можливість доступу в область ресурсів, які не вимагали наявності прав адміністрування. Користувачам, що був членами адміністративної групи, давалася можливість користуватись усіма наявними на локальному комп’ютері ресурсами.


З точки зору простоти використання, даний рівень авторизації був прекрасним. Але все ж, з точки зору безпеки він був не так вже й хороший, навіть для ІТ-професіоналів. Уявіть собі потенціал для попутної інсталяції шпигунського програмного забезпечення. Попутна інсталяція відбувається тоді, коли ви відвідуєте, випадково чи навмисно, сайт, що містить шкідливий код, про який у вас не ніякого подання. Останні два роки шпигунські сканери значно підвищували свої можливості, але поки що на ринку не з’являлося універсального рішення, яке б захистило від всіх відомих загроз. Навіть якщо б такий продукт і існував, все одно виникали б проблеми загроз невідомої природи. Нове шпигунське програмне забезпечення дає знати про себе кожен день, і для розробників потрібно значне час для виявлення цих нових неприємностей і поновлення своєї продукції.


Якщо ви зайшли вWindows XP в якості користувача, наділеного адміністративними привілеями, в той момент, коли виникає ефект «попутно», шпигунське програмне забезпечення встановлюється на вашу машину, при цьому ви нічого не помічаєте. Дане шпигунське програмне забезпечення може приймати будь-яку форму, починаючи з простого, здавалося б, нешкідливого інструменту перехоплення вводиться з клавіатури інформації, який запам’ятовує все, що ви друкуєте, і відправляє результати в заздалегідь заданий адресу. На певному етапі ви могли б прикрити «чорний хід», який дозволяє зломщикові торувати свою доріжку до всієї системи і зробити свою чорну справу.


Гірше того, чим глибше впроваджено шпигунське програмне забезпечення в вашу систему, тим складніше його звідти викурити. Це може спричинити за собою повну переустановку системи, на що знадобляться години роботи.


Примітка: коли ви встановлюєте Windows XP, Майстер настройки наділяє адміністративними правами всі локальні облікові записи.


Ну, ви, зрозуміло, можете сказати, що все це вам давно відомо, а проте в організації, де ви працюєте, ви змушені дозволяти користувачам заходити в якості локального адміністратора з різних причин. Наприклад, багато користувачів (що мають можливість керування) вважають важливим те, що у них є можливість установки нової програми на своєму комп’ютері. По нещастю, вони часто мають рацію. Заняття бізнесом в Мережі часто передбачає необхідність встановлення нових еллементов ActiveX контролю або іншого типу додатків. Звичайно, це – не найкращий вихід, але краще дозволити людям займатися своїми прямими обов’язками, ніж платити їм за просиджування штанів і поплевиваніе в стелю, залишивши все на відкуп ІТ.


Вирішення проблеми: Windows Vista і UAC


Введення Windows Vista “ой UAC призначено для приборкання потвори та повернення від хаосу до порядку. В Vista, Коли користувач з адміністративними правами активізується в системі, він отримує не один, а відразу два типи доступу: адміністративний доступ і пароль доступу звичайного користувача. Пароль звичайного доступу використовується для запуску ПК. Кінцевий результат полягає в тому, що адміністратор запускає систему з більш обмеженими правами, ніж тими, які б він міг отримати при вході в Windows XP. Поки існує потреба, другий доступ – вже з адміністративними правами – не використовується.


Трапляється ситуація, коли, наприклад, користувач з правами адміністрування запускає програмку панелі управління і намагається змінити настройки. Тоді UAC від Windows Vista блокує вікно, показуючи, що для продовження необхідний дозвіл. Коли ви обираєте дозвіл використання адміністративних дій, застосовуючи адміністративний доступ, ви даєте дозвіл, який дозволяє додаткам працювати з більш широкими привілеями. Картинка A показує вам стандартне діалогове вікно UAC. Якщо ви хочете дозволити дію, натисніть кнопку Continue (продовжити).


Картинка A
UAC
UAC запитує, чи збираєтеся ви продовжувати виконання дії.

Якщо ви бачили рекламні ролики «Mac проти PC» на вебсайті Apple, то зрозуміли, що це діалогове віконце є предметом суперечок між PC і Mac, при цьому система безпеки в PC відстає від аналогічної в Mac. Насправді ж, ситуація не настільки погана. Дійсно, хоча час від часу це виводить з себе, але ситуація складається більш сприятливо, оскільки нова система подає візуальну команду про те, що щось відбувається, даючи, таким чином, користувачеві можливість скасувати дію.


Роздратування – це один з результатів, від якого я допоможу вам позбутися, давши опис в цій статті. Я покажу, як відключити UAC, і як зробити так, щоб спеціальні програми завжди працювали в посиленому режимі.


Повне відключення UAC


Зроблю невеликий вступ до цього розділу: не рекомендую вам робити це дія, навіть на своєму власному комп’ютері. Наскільки сильно я ненавиджу дозвіл цієї дії, навіть коли читаю проповіді про небезпеку “випадкового натискання кнопок” на блокування, результатом чого стає запуск шпигунського програмного забезпечення, яке переслідує студентів і користувачів, настільки сам іноді забуваю свої власні рекомендації. Минулого літа, коли я поспішав виконати одне із завдань, у мене вийшло, як спершу здалося, системне діалогове вікно, і я натиснув кнопку OK. Як тільки я відпустив кнопку миші, я усвідомив, що “кнопка OK”, яку я щойно натиснув, була блокатором веб-сайту. Через всього лише декілька годин моя система була заражена шпигунським ПО.


Який урок звідси випливає витягти: навіть ті з нас, хто чинить так в ім’я життя, самі падають жертвами шпигунського ПЗ. При наявності UAC, виникає, принаймні, ще один бар’єр між нами і ними.


Але якщо ви вважаєте, що UAC сильно виснажує, ви можете вимкнути його і продовжувати працювати далі. Існує кілька способів відключення UAC. Я покажу вам, як зробити це, скориставшись Control Panel (панеллю управління), Registry Editor (редактором регістра), і Group Policy (груповими політиками).


Всі рішення, які даються в цій статті, вимагають того, щоб ви увійшли в систему як користувач, що володіє адміністративними правами. Однак для більшості рішень ви не можете скористатися обліковим записом локального адміністратора. Дана обліковий запис не допускає застосування адміністративного підтвердження. Скористайтеся іншим користувачем, а саме запис учасника локальної адміністративної групи.


1. Відключення UAC за допомогою MSConfig


У нових машинах для зміни режиму роботи UAC, ви можете скористатися MSConfig:



  1. Перейдіть в Start (старт) / All Programs (всі програми) / Accessories (стандартні) / Run (виконати).
  2. У віконці Run (виконати) вдрукувати “msconfig”, потім натисніть [Enter].
  3. З віконця System Configuration (конфігурація системи), виберіть вкладку Tools (сервіс), як показано на зображенні B.
  4. У колонці Tool Name (назва засобу), знайдіть опцію Disable UAC (відключити контроль облікових записів (UAC)).
  5. Натисніть кнопку Launch (запуск).
  6. Перезавантажте систему.

Картинка B
UAC
Вкладка інструментів у вікні System Configuration (конфігурації системи).

2. Відключення UAC через Панель Управління


Якщо ви працюєте на кількох машинах, найпростіший спосіб деактивувати UAC – відключити це властивість через Control Panel (панель керування). Для досягнення даної мети зробіть наступні кроки:



  1. Зайдіть в Start (пуск) / Control Panel (панель керування).
  2. Переглядаючи Control Panel (панель керування) в “класичному” режимі, виберіть програмку User Accounts (облікові записи користувачів). Відкриється екран, які ви можете побачити нижче на зображенні C.
    Картинка C
    UAC
    Програмка панелі UAC.

  3. Виберіть опцію “Turn User Account Control on or off” (включити або виключити контроль облікових записів користувача). Зверніть увагу, що за програмкою є невеликий щиток. Він показує, що сама по собі функція захищена контролем облікових записів користувача.
  4. Відмініть вибір, наступний за Use User Account Control (контроль облікових записів користувача) To Help Protect Your Computer (використовуйте UAC, щоб допомогти захистити ваш комп’ютер). Дивіться картинку D.
    Картинка D
    UAC
    Програмка панелі UAC.

  5. Натисніть OK.
  6. Перезавантажте комп’ютер для активації змін в налаштуваннях.

3. Відключення UAC через Редактор Реєстру


Третій спосіб відключити UAC увазі використання редактора реєстру. Змінюючи спеціальні ключі на кожному комп’ютері Vista, ви можете відключити UAC. Ось кроки для цього дії:



  1. Запустіть Registry Editor (редактор реєстру).
  2. Знайдіть в пошуку наступний ключ: HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Policies System.
  3. Змініть значення записи EnableLUA на “0”. Якщо навіть ви хочете знову активувати UAC, дотримуйтесь цих інструкцій, однак змініть записи EnableLUA на “1”. Дивіться картинку E, щоб побачити зображення на екрані.
  4. Коли ви все зробили, перезавантажте комп’ютер для активації змін в налаштуваннях.

Картинка E
UAC
Ключ EnableLUA в Registry Editor (редакторі реєстру).

4. Управління / відключення UAC через Групові політики


Якщо у вашому розпорядженні багато комп’ютерів, і ви хочете змінити режим роботи UAC на всіх машинах, найкращим способом стане використання Group Policy (групової політики). Метод Group Policy (груповий політики) також є найбільш гранульованим і дає вам можливість встановити різні параметри, що стосуються UAC. Я покажу вам, як зробити це, скориставшись адміністративним інструментом локальної групової політики.



  1. Перейдіть в Start (пуск) / All Programs (всі програми) / Accessories (стандартні) / Run (виконати).
  2. У вікні Run (виконати), надрукуйте “secpol.msc” і натисніть [Enter].
  3. Коли контроль облікових записів користувача зробить запит на дозвіл продовжити роботу, натисніть кнопку Continue (продовжити).
  4. Знайдіть Computer Configuration (конфігурація комп’ютера) / Windows Settings (установки Windows) / Security Settings (налаштування безпеки) / Local Policies (локальні політики) / Security Options (настройки безпеки). Ви побачите екран, показаний на картинці F.
  5. Виберіть об’єкт групової політики, який ви хочете змінити, і змініть настройки до необхідних значень. Даний внизу список показує вам всі налаштування групових політик, пов’язаних з контролем доступу користувача.

Картинка F
UAC
Редактор об’єктів групових політик.

Існує ряд опцій, пов’язаних з контролем доступу користувача:


Контроль облікових записів користувача: режим роботи розширеної підказки для вбудованої облікового запису адміністратора – Дана установка впливає на режим роботи UAC при використанні вбудованої облікового запису адміністратора.



Контроль облікових записів користувача: підказка для адміністраторів у режимі Admin Approval Mode (режим підтвердження адміністратором) – Дана настройка впливає на те, що відбувається, коли адміністратор (крім вбудованої облікового запису адміністратора) запускає привілейоване додаток.



Контроль облікових записів користувача: режим роботи поліпшення підказки для звичайних користувачів – Дана установка визначає те, що відбувається, коли звичайний користувач намагається запустити привілейоване додаток.



Контроль облікових записів користувача: визначення інсталяції додатків і підказка по установці – Що відповість система UAC на запит про встановлення нових програм?



Контроль облікових записів користувача: запуск тільки тих виконуваних модулів, які дозволені і підтверджені – Чи потребують виконуються програми підтвердженої сертифікованої ланцюжка PKI (інфраструктури відкритих ключів)?



Контроль облікових записів користувача: тільки запуск додатків UIAccess, які встановлені в безпечному місці – Додатки, які вимагають виконання з інтегрованим рівнем UIAccess, повинні перебувати в безпечній зоні системи.



Контроль облікових записів користувача: запускати всіх адміністраторів в режимі Admin Approval Mode (режим підтвердження адміністратором) – Запуск всіх користувачів, включаючи адміністраторів, як звичайних користувачів. Це ефективно включає або вимикає UAC. Якщо ви міняєте дану установку, вам доведеться перезапустити систему.



Контроль облікових записів користувача: включити режим безпечної роботи ПК, коли приходить підказка про завантаження– Коли UAC включений, при цьому виходить підказка про завантаження, змініть Windows Vista на безпечний режим в протилежність стандартному користувача режиму.



Контроль облікових записів користувача: віртуалізує збої записи в файли і в реєстр для кожного користувача – Дана настройка включає перенаправлення помилки запису застарілих додатків в певні місця в реєстрі і файловій системі, послаблюючи вплив цих додатків, які здавна запускалися з правами адміністраторів і додатків для доступу до% ProgramFiles%,% Windir%;% Windir% system32 або HKLMSoftware. Якщо коротко, цей ключ допомагає підтримувати фонову сумісність із застарілими додатками, які не бажають запускатися в якості стандартного користувача.



Вибіркове відключення User Access Control (контролю доступу користувача)


Не всі програми позначені таким чином, щоб запускати застереження UAC при своїй завантаженні. Тим не менш, багато додатків вимагають запуску з включеними адміністративними правами, щоб досягти належного рівня роботи. Для того, щоб залагодити такий стан, ви можете помітити додаток так, щоб вона завантажувалося з адміністративними правами всякий раз, коли воно виконується. Для того, щоб було саме так:



  1. клацніть правою кнопкою мишки на запускаються програмах, пов’язаних з додатками;
  2. в короткому меню виберіть опцію Properties (властивості);
  3. на сторінці властивостей виберіть ярлик Compatibility (сумісність);
  4. під шапкою Privilege Level (рівень привілеїв) виберіть прапорець, наступний за “Run this program as an administrator” (запустити цю програму в якості адміністратора), як показано на зображенні G;
  5. натисніть OK.

Картинка G
UAC
Закладка сумісності додатків.

Для ряду додатків опція “Run this program as an administrator” (запуск програми в якості адміністратора) може бути недоступна. Для цього існує ряд причин:



Утомливо, але воно того варте


UAC може і несе в собі елемент занудства, коли справа стосується питання безпеки системи, але він незамінний, коли постає питання про необхідність забезпечення безпеки системи, особливо для користувачів домашніх комп’ютерів. Користувачі Mac і Linux довгий час мали справу зі схожими базовими схемами безпеки, однак для користувачів Windows ситуація складається по-новому. Як тільки користувачі Windows звикнуть до новизни, вони по достоїнству оцінять додаткову безпеку.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*