Содержание
- 1 Уязвимости Windows
- 2 Настройка UAC
- 3 Проблемы со старыми программами
- 4 Дополнительная защита
- 5 Проверка функционирования защиты UAC
- 6 Заключение
- 7 Что такое UAC
- 8 Зачем отключать UAC?
- 9 Способы отключения UAC
- 10 Способы отключения
- 11 Почему не стоит полностью выключать защиту
- 12 Как удалить имеющиеся обновления в десятке?
- 13 Включение и настройка КУЗ в Windows 10
- 14 Заключение
- 15 Что такое UAC в Windows 10
- 16 Причины отключения
- 17 Как отключить UAC Windows 10
- 18 Как включить?
Начиная с Windows Vista, Microsoft включила в состав операционной системы механизм управления учетными записями пользователей (сокращенно UAC). Механизм работы UAC большинство пользователей восприняли негативно, так как бесконечные дополнительные валидации в виде затенения экрана и прощелкивания кнопочки Yes могли вывести из себя даже самого терпеливого. Зачастую UAC функционировал не вполне корректно, что приводило к не возможности работы с рядом программ, которые были написаны под ранние версии Windows. C выходом SP1 для Vista UAC был доработан, но пользователи уже успели отключить UAC и забыть что это такое. В Windows 7 UAC приобрел дополнительные настройки. И я бы хотел рассказать, как именно сделать UAC действительно полезным инструментом для защиты ОС.
Уязвимости Windows
Так уж сложилось, что большинство пользователей Windows работают под учетной записью администратора со всеми вытекающими отсюда последствиями. Так как администратор практически не ограничен в своих правах, этим активно пользуют вирусописатели для распространения своего кода. Можно выделить несколько наиболее важных целей, на которые приходятся вирусные атаки:
- Файловая система (как правило: заражение исполняемых файлов)
- Службы Windows
- Реестр
И вот здесь возникает вопрос, как изолировать пользователя от системы даже при работе под администратором. Для этих целей и служит UAC. При включенном UAC’е любая попытка доступа к системным файлам, службам или реестру будет блокирована и появится окно, которое потребует подтверждение пользователя на дальнейшие действия.
Настройка UAC
В Windows 7 появилась возможность настройки уровня предупреждений для UAC. Экран настройки UAC выглядит следующим образом: Рис. 1. Настройка UAC в Windows 7. Всего доступно четыре уровня предупреждений UAC:
- Самый высокий уровень – предупреждения при любых попытках модифицировать системные настройки и файлы, а так же при установке программного обеспечения
- Второй уровень – предупреждения только при попытках внести изменения в системную конфигурацию и настройки пользователя
- Третий уровень – предупреждения только при попытках внести изменения в системную конфигурацию
- Четвертый уровень – полное отключение UAC.
Но куда более важными, на мой взгляд, являются дополнительные настройки UAC в политиках безопасности (рис. 2): Рис. 2. Настройки UAC в политиках безопасности. Рассмотрим более подробно некоторые из политик UAC:
- Behavior of the elevation prompt for administrators – позволяет задать режим поведения окна валидации при повышении администраторских прав. К примеру, можно включить подтверждение прав с помощью пароля (prompt for credentials) или оставить подтверждение прав только с помощью нажатия OK (prompt for consent).
- Behavior of the elevation prompt for users – аналогично первому пункту, но для учетных записей в режиме пользователя.
- Switch to the secure desktop when prompting for elevation – переключению рабочего стола в безопасный режим при прохождении валидации. Для пользователя включение данной политики отражается в виде затенения рабочего стола при прохождении проверки. В дествительности роль данной политики в изоляции процедуры валидации от других работающих программ с целью предотвратить перехват окна UAC программными способами.
- Virtualizes file and registry write failures to per-user locations – виртуализация файлов и реестра. Позволяет работать с программами в режиме виртуализации с целью исключить повреждения файловой системы и реестра (режим песочницы).
Рекомендации по настройке UAC: Лично я использую самые высокие настройки безопасности UAC, включая необходимость ввода пароля при валидации. Это дает мне полную защиту системных файлов, реестра и служб Windows. Как правило, программное обеспечение использует системные файлы и реестр только для чтения. Исключения здесь могут представлять только системные утилиты, где подтверждения прав доступа к системе вполне оправдано. Использования пароля обусловлено тем, что под моей учетной записью иногда работаю не только я, поэтому, только нажатия кнопки Yes не является достаточным условием безопасности.
Проблемы со старыми программами
Как правило, проблемы в работе старых программ при включенном UAC’е связаны в некорректном взаимодействии с системой и полном нежелании разработчиков придерживаться каких-либо стандартов безопасности и разграничения доступа пользователей к системным ресурсам. Обычно проблему можно решить путем запуска программы от имени администратора, но это особенно опасно в случае сетевых приложений, так это открывает полный доступ к системе в случае использования уязвимостей данной программы. В качестве примера можно взять старый программы, которые хранят профили пользователя не в папках пользовательского режима, а в Program Files, в итоге корректная работа возможно только от администратора, так как все создаваемые файлы и директории в Program Files наследуют уровень доступа на запись и изменение только для администратора. Простейший способ решения проблемы – добавить права на изменения данных профиля для обычных пользователей. Вообще, можно посоветовать не ставить старые программы в ProgramFiles, чтобы избежать проблем с правами доступа.
Дополнительная защита
Хотя цель работы UAC сводится к защите системных данных, но можно воспользоваться UAC’ом и для защиты пользовательских файлов. Делается это простым урезанием прав доступа к файлам для учетной записи пользователя: достаточно удалить права на модификацию и запись, оставив их лишь для администратора. Права доступа к файлам можно настроить и в более ранних версиях Windows, но работая под учетной записью администратора любая программа может изменть уровень доступа, не спрашивая при этом пользователя. В случае с включенным UAC расширение прав возможно лишь при прохождении валидации.
Проверка функционирования защиты UAC
Как уже говорилось, назначение UAC – ограждения пользователя от изменения системных файлов и настроек. Поэтому лучшим способом проверки защищенности системы здесь является исследования работы вирусов при включенном UAC’е. Приведу пример функционирования вируса при включенном UAC’е. В качестве примера я возьму троянскую программу Win32.Injector. Данный троян действует весьма просто просто: записывает себя в директорию C:WindowsSystem32 и прописывает свою загрузку в реестр. В итоге после перезагрузки компьютера запускается большое количество cmd.exe и services.exe. Самый простой способ распространения – запуск из autorun’а на флеш-накопителях. Попытаемся запустить данный троян с включенным UAC’ом. У меня это исполняемый файл nsshell.exe, который по-умолчанию так же является скрытым. Рис. 4. Троянская программа nsshell.exe. Чтобы убедиться, что это действительно вирус, проверим nsshell.exe c помощью антивируса: Рис. 5. Антивирус показывает, что nsshell.exe – троян. Попытка запуска данного исполняемого файла приведет к срабатыванию механизма UAC, так как троян пытается прописать себя в системные директории и реестр: Рис. 6. Срабатывание UAC при запуске nsshell.exe Как видно, шапка в окне UAC в данном случае приобрела желтый цвет. При более детальном рассмотрении можно заметить, что у программы так же отсутствует доверенный издатель и сертификат подлинности. Таким образом, мало кто осмелится подтвердить запуск, особенно если это произошло при монтировании флеш-накопителя.
Заключение
Таким образом, использования UAC действительно оправдано с позиции безопасности операционной системы. Если прикладная программа потребовала при запуске повышения прав до уровня администратора, то это уже несколько напрягает, особенно если отсутствует какая-либо информация о издателе и цифровая подпись. Рекомендую более детально ознакомится с механизмом работы UAC и все же оставлять его включенным. P.S.: Большинство описанных настроек и действий верны и для Windows Vista.
Если хотите узнать все о UAC в ОС Windows, то в статье собрана вся актуальная информация. После прочтения станет понятно, для чего нужна эта функция, как ее выключить, стоит ли это делать и как после всего включить ее снова.
Что такое UAC
Эту функцию можно считать информационной. Она уведомляет пользователя при выполнении действия для которого нужны права Администратора системы. При этом на экране появляется сообщение характера: «Разрешить следующей программе внести изменения на этом компьютере?». Можно подтвердить или запретить эту манипуляцию.
Для чего используется
Контроль учетных записей внедрили для защиты ОС от запуска вредоносного кода. Благодаря ему пользователь в курсе важных событий в отношении программ: установки, удалении, модификации. Обратная сторона медали: не каждый разберется, что именно запрашивает UAC. Новичков это сбивает с толку.
Зачем отключать UAC?
Отключать стоит в том случае, если надоели постоянные запросы об изменениях в системе. Это касается неопытных пользователей, которым все равно трудно каждый раз оценивать адекватность запроса, они и так не разберутся, будет совершаться рутинное действие или это вирус «ломает» ОС.
В исключительных случаях Контроль учётной записи деактивируют, чтобы избавиться от сбоев конкретной программы. При таких обстоятельствах после устранения неполадки с проблемным приложением UAC активируют опять.
Способы отключения UAC
UAC Windows 10 отключить можно многими способами, как в седьмой или восьмой версии. Разберем их по отдельности от простых к более сложным.
Используем панель управления
На примере десятой версии Виндовс все выполняется так:
- клик правой кнопкой мышки на Пуск, выбор в контекстном меню строки «Панель управления»;
- в верхней части появившегося окна в блоке «Просмотр» установите «Значки», а «Категории»;
- в основной части окна отыщите и зайдите в «Учетные записи пользователей»;
- клик на строке «Изменить параметры контроля» — она находится в нижней части окна;
- в новом окне передвиньте ползунок на самую нижнюю позицию и сохраните изменения нажатием на «ОК»;
- система спросит, нужно ли выполнить запись новых настроек — подтвердите действие.
Есть быстрый способ попасть в необходимое меню Панели управления. Для этого:
- зажмите комбинацию Win+R;
- скопируйте команду UserAccountControlSettings;
- подтвердите запуск нажатием на Enter.
Итог — откроется окно «Параметры управления учетными …».
Как отключить службу при помощи командной строки
Чтобы UAC Windows 7 отключить, действуйте по следующему алгоритму:
- зажмите комбинацию Win+R, скопируйте в окошко команду cmd, запустите ее нажатием на Enter;
- запустите его нажатием на Enter;
- перезагрузите компьютер, чтобы настройки вступили в силу.
Отключение UAC в Windows 10 через реестр
Для этого делайте такие шаги:
- зажмите комбинацию Win+R, введите команду regedit и нажмите Enter — запустится Редактор реестра;
- в левой панели Редактора следуйте по пути HKEY_LOCAL_MACHINE => SOFTWARE => Microsoft => Windows => CurrentVersion => Policies => System;
- двойным кликом измените значения следующих параметров в правой панели Редактора: PromptOnSecureDesktop, EnableLUA, ConsentPromptBehaviorAdmin, а требуемые новые параметры следовательно: 0, 1, 0;
- после каждого изменения параметра сохраняйте изменения кликом на «ОК»;
- чтобы настройки активировались перегрузите компьютер.
Как отключить UAC для определенной программы в Windows 10? Есть способ, для которого нужно править реестр. Итог — программа будет запускаться и/или изменять системные настройки без оповещений со стороны UAC, хотя он не будет отключен в рамках всей системы. Действовать нужно в такой последовательности:
- В Редакторе реестра перейдите в следующую ветку: HKEY_CURRENT_USER => SOFTWARE => Microsoft => Windows NT => CurrentVersion => AppCompatFlags => Layers.
- В правой части окна клик правой кнопкой мышки на пустом пространстве: «Создать» => «Строковый параметр». У этого параметра должно быть название, которое совпадает с путем к исполняемому файлу. Например, для Скайпа это будет C:Program FilesCPUIDSkypeSkype.exe. В каждом случае нужно заходить в папку с установленным приложением и копировать содержимое адресной строки.
- После создания параметра кликнуть правой кнопкой мышки => «Изменить». Откроется окно и в строку «Значение» скопируйте RunAsInvoker, сохраните изменения нажатием на «ОК». Теперь UAC не станет надоедать при открытии этого приложения.
Если нужно отключить Контроль для нескольких приложений, то процедуру можно упростить. Для этого:
- создаете текстовый документ;
- копируете в негоWindows Registry Editor Version 5.00[HKEY_CURRENT_USERSOFTWAREMicrosoftWindows NTCurrentVersionAppCompatFlagsLayers]«C:\Program Files\Skype\Skype.exe»=»RUNASINVOKER»
- в этом примере «C:\Program Files\Skype\Skype.exe» замените на путь к исполняемому файлу, в отношении которого отключается UAC;
- обратите внимание, что используются двойные наклонные черточки;
- изменяете расширение файла на .reg;
- двойной клик на этом файле и подтвердите внесение изменений нажатием на «Да».
Отключение UAC в Windows 10 с помощью сторонних утилит
Подойдет утилита UAC Tweak. Запустите ее после скачивания и установки. Если возникнет ошибка, то зайдите в свойства исполняемого файла и активируйте режим совместимости с Windows Vista. После старта UAC Tweak появится окно, подобное настройкам Контроля учетных записей в Панели управления, но в более лаконичной форме. Нужно только поставить отметку напротив нижней строчки.
Способы отключения
Для менее распространенных версий ОС Windows полностью отключить Контроль можно по подобному алгоритму, что и для более популярных Виндовс.
Windows Server 2012
Чтобы в Windows Server 2012 UAC отключить Windows выполняйте следующее:
- Зайдите в «Панель управления», «Учетные записи …», «Изменение параметров …».
- В новом окне клик на «Включение или отключение …» => «Продолжить».
- Снимите отметку с «Использовать контроль учетных …», сохраните изменения кликом на «ОК».
- Система сделает запрос на перезагрузку. Если уже сейчас нужно деактивировать UAC, то выберите пункт «Перезапустить потом».
Windows Vista
- Зажмите комбинацию Windows+R, введите в окне msconfig, запустите нажатием на Enter.
- В возникшем окне перейдите на вкладку «Сервис».
- В списке найдите пункт «Отключить контроль учетных записей …».
Почему не стоит полностью выключать защиту
Потому что снизится уровень надзора пользователя за устойчивостью ОС к вредоносному ПО. Если вирус «захочет» изменить системные настройки, то с отключенным UAC пользователь не узнает, что поступил такой запрос — он фактически выполнится незаметно.
Как удалить имеющиеся обновления в десятке?
Случается, что при отключенном UAC устанавливаются апдейты ОС, которые вызывают нестабильность системы. Устранить это можно за счет их удаления следующим образом:
- Зажмите комбинацию Win+I и перейдите в меню «Обновление и безопасность».
- В новом окне следуйте по пути: «Центр обновления Windows» => «Журнал обновлений» => «Удалить обновления».
- Отобразится перечень проинсталлированных обновлений. Выделяйте нужное и сверху жмите «Удалить». Если нужно выделить и очистить все — зажмите комбинацию клавиш Ctrl+A.
Очистка старых файлов после обновления Windows
- Введите в системном поиске запрос «Очистка диска» и запустите соответствующую утилиту.
- В новом окне укажите локальный диск, где установлена ОС.
- Клик на «Очистить системные файлы».
- Снова укажите диск с Виндовс.
- Поставьте отметку в списке напротив строчки «Предыдущие установки Windows».
- Запустите процесс нажатием на «ОК» внизу окна.
Включение и настройка КУЗ в Windows 10
Самый простой способ включения UAC через Панель управления. Необходимо добраться до окна «Параметры управления учетными …» и поднять ползунок из самого нижнего уровня. Подробная инструкция по открытию соответствующего окна находится в этом блоке статьи. Разберем детальнее параметры, которые устанавливаются при помощи ползунка в окне от самого нижнего до верхнего:
- Контроль полностью отключен. Никаких оповещений о запросе выполнения действий с правами Администратора возникать не будет.
- Уведомление появляется, но экран не затемняется. UAC включен и при его срабатывании появляется информационное сообщение с запросом на выполнение действий, но рабочая область дисплея не блокируется.
- Уведомление появляется, экран затемняется.
- Уведомления возникают не только при изменении системных настроек, но и при выполнении действий любыми инсталляторами.
Заключение
- UAC — не антивирус, но помогает защитить ОС от вредоносного ПО.
- Не выключайте опцию без прямой необходимости.
- Если UAC мешает только при работе в определенной программе, то отключите функцию лишь для этого приложения.
- Если Контроль деактивировался в рамках всей системы, то после выполнения действий, ради которых все затевалось, активируйте системный компонент снова.
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Что такое UAC в Windows 10
UAC — это элемент системы безопасности, который запрашивает разрешение пользователя на внесение каких-либо изменений в ОС.
Защищает пользователя Windows 10 от установки и запуска ПО, которое может нанести вред ОС, а также от потенциально опасных действий. Эта служба активирована автоматически, поэтому всегда требует запрос для выполнения любых операций, которые могут повлиять на работоспособность ОС.
Причины отключения
Мы не рекомендуем отключать Контроль учетных записей. Единственная ситуация, в которой юзер может пойти на такой шаг – служба мешает быстрой работе при одновременном использовании большого количества файлов и программ.
В остальных случаях не стоит деактивировать службу, потому что она дополнительно защищает ПК.
Как отключить UAC Windows 10
Отключить UAC в Windows 10 можно несколькими способами:
- через панель управления;
- через командную строку;
- в редакторе реестра.
Рассмотрим подробнее, как отключить каждым из способов.
Панель управления
- ПКМ по меню Пуск → Панель управления → установите Просмотр: мелкие значки → Учетные записи пользователей.
- Нажмите «Изменить параметры контроля учетных записей» → откроется окно, в котором выполните настройку уведомления об изменении параметров компьютера, установив ползунок в одно из четырех предложенных положений:
- Всегда уведомлять;
- Уведомлять при попытках приложений изменить параметры (значения по умолчанию);
- Уведомлять без затемнения экрана;
- Никогда не уведомлять.
Полезно! Альтернативный способ открыть параметры управления учетной записью: нажмите Win+R и введите:UserAccountControlSettings
Командная строка
- ПКМ по меню Пуск → Командная строка (администратор).
- Введите:
C:WindowsSystem32cmd.exe /k C:WindowsSystem32reg.exe ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem /v EnableLUA /t REG_DWORD /d 0 /f
- После этого появится сообщение о необходимости перезагрузить компьютер.
Эта команда вносит соответствующие изменения в редактор реестра Windows.
Редактор реестра
- Нажмите Win+R → введите
regedit
. - В открывшемся окне редактора реестра перейдите: HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Policies System.
- В правой части окна найдите параметры DWORD:
- ConsentPromptBehaviorAdmin;
- EnableLUA;
- PromptOnSecureDesktop.
- ПКМ по каждому из них по очереди → Изменить.
Чтобы задать определенное значение UAC, используйте таблицу для подбора нужных параметров DWORD.
ConsentPromptBehaviorAdmin | EnableLUA | PromptOnSecureDesktop | |
Никогда не уведомлять | 0 | 1 | 0 |
Уведомлять без затемнения экрана | 5 | 1 | 0 |
Уведомлять при попытках приложений изменить параметры | 5 | 1 | 1 |
Всегда уведомлять | 2 | 1 | 1 |
Как включить?
Включение Контроля учетных записей выполняется таким же образом, как и отключение. Только необходимо выбрать любое значение, кроме «Отключить UAC».
При использовании командной строки:
- ПКМ по меню Пуск → Командная строка (администратор).
- Введите:
C:WindowsSystem32cmd.exe /k C:WindowsSystem32reg.exe ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem /v EnableLUA /t REG_DWORD /d 1 /f
На видео наглядно показано, как отключить UAC в Windows 10.
Используемые источники:
- https://habr.com/post/57473/
- https://gamesqa.ru/kompyutery/chto-takoe-uac-i-kak-ego-otklyuchit-v-windows-7-8-10-i-server-2012-12335/
- https://geekon.media/zachem-nuzhna-uac-w10-11848/