Работа с контролем учетных записей пользователей (UAC)
в Windows Vista


 

Вступление: одной из последних основных особенностей, присутствующих в Windows Vista, является  User Access Control (контроль учетных записей пользователей– UAC). В данной статье Скотт Лоуи (Scott Lowe) дает подробный обзор UAC и рассказывает о том, как поменять параметры его работы.

Рекламный анонс Microsoft уделил значительное внимание новой особенности в системе безопасности, имеющейся в Windows Vista. С точки зрения перспектив для пользователя, одна из таких особенностей, а именно User Access Control (контроль учетных записей пользователей – UAC), вероятно, самое примечательное улучшение. UAC – это механизм, с помощью которого пользователи (и даже администраторы) могут выполнять простые задачи Windows, пользуясь неадминистративными правами, или решать их, являясь обычными пользователями. До выполнения административных заданий, пользователи должны активно подтвердить действия, которые могут стать потенциально опасными для компьютера.

В этой статье я дам вам подробное описание внутренней работы UAC, и покажу некоторые шаги, посредством которых вы сможете изменить характер работы данной новой особенности.

Внутренняя работа UAC говорит многое о том, каким образом данная особенность защищает ваш ПК. Сначала поговорим о том, что послужило толчком для разработки UAC.



Проблема: Windows XP и автоматические установки

В до-Vist’овых версиях Windows, помимо входа в систему, пользователю давался пароль доступа. Пользователь, не обладавший административными правами, получал возможность доступа в область ресурсов, которые не требовали наличия прав администрирования. Пользователям, являвшимся членами административной группы, давалась возможность пользоватся всеми имеющимися на локальном компьютере ресурсами.

С точки зрения простоты использования, данный уровень авторизации был прекрасным. Но все же, с точки зрения безопасности он был не так уж и хорош, даже для ИТ-профессионалов. Представьте себе потенциал для попутной инсталляции шпионского программного обеспечения. Попутная инсталляция происходит тогда, когда вы посещаете, случайно или намеренно, сайт, содержащий вредоносный код, о котором у вас не никакого представления. Последние два года шпионские сканеры значительно повышали свои возможности, но пока еще на рынке не появлялось универсального решения, которое бы защитило от всех известных угроз. Даже если бы такой продукт и существовал, все равно возникали бы проблемы угроз неизвестной природы. Новое шпионское программное обеспечение дает знать о себе каждый день, и для разработчиков требуется значительное время для выявления этих новых неприятностей и обновления своей продукции.

Если вы зашли в Windows XP в качестве пользователя, наделенного административными привилегиями, в тот момент, когда возникает эффект «попутности», шпионское программное обеспечения устанавливается на вашу машину, при этом вы ничего не замечаете. Данное шпионское программное обеспечение может принимать любую форму, начиная с простого, казалось бы, безобидного инструмента перехвата вводимой с клавиатуры информации, который запоминает все, что вы печатаете, и отправляет результаты в заранее заданный адрес. На определенном этапе вы могли бы прикрыть «черный ход», который позволяет взломщику проторить свою дорожку к вашей системе и сделать свое черное дело.

Хуже того, чем глубже внедрено шпионское программное обеспечение в вашу систему, тем сложнее его оттуда выкурить. Это может повлечь за собой полную переустановку системы, на что понадобятся часы работы.

Примечание: когда вы устанавливаете Windows XP, мастер настройки наделяет административными правами все локальные учетные записи.

Ну, вы, разумеется, можете сказать, что все это вам давно известно; однако в организации, где вы работаете, вы вынуждены позволять пользователям заходить в качестве локального администратора по разным причинам. К примеру, многие пользователи (имеющие возможность управления) считают важным то, что у них имеется возможность установки нового приложения на своем компьютере. По несчастью, они зачастую правы. Занятие бизнесом в Сети часто предполагает необходимость установки новых эллементов ActiveX контроля или иного типа приложений. Конечно, это – не самый лучших выход, но лучше позволить людям заниматься своими прямыми обязанностями, чем платить им за просиживание штанов и поплевывание в потолок, оставив все на откуп ИТ.

Решение проблемы: Windows Vista и UAC

Введение Windows Vista´ой  UAC предназначено для укрощения чудовища и возврату от хаоса к порядку. В Vista, когда пользователь с административными правами активизируется в системе, он получает не один, а сразу два типа доступа: административный доступ и пароль доступа обычного пользователя. Пароль обычного доступа используется для запуска ПК. Конечный результат заключается в том, что администратор запускает систему с более ограниченными правами, чем теми, которые бы он мог получить при входе в Windows XP. Пока существует потребность, второй доступ – уже с административными правами – не используется.

Случается ситуация, когда, например, пользователь с правами администрирования запускает программку панели управления и пытается изменить настройки. Тогда UAC от Windows Vista блокирует окно, показывая, что для продолжения необходимо разрешение. Когда вы выбираете разрешение использования административных действий, применяя административный доступ, вы даете разрешение, которое позволяет приложениям работать с более широкими привилегиями. Картинка A показывает вам стандартное диалоговое окно UAC. Если вы хотите разрешить действие, нажмите кнопку Continue (продолжить).

Картинка A
UAC
UAC спрашивает, собираетесь ли вы продолжать выполнение действия.

Если вы видели рекламные ролики «Mac против PC» на вебсайте Apple, то поняли, что это диалоговое окошко является предметом споров между PC и Mac, при этом система безопасности в PC отстает от аналогичной в Mac. На самом же деле, ситуация не настолько плоха. Действительно, хотя время от времени это выводит из себя, но ситуация складывается более благоприятно, поскольку новая система подает визуальную команду о том, что что-то происходит, давая, таким образом, пользователю возможность отменить действие.

Раздражение – это один из результатов, от которого я помогу вам избавиться, дав описание в этой статье. Я покажу, как отключить UAC, и как сделать так, чтобы специальные приложения всегда работали в усиленном режиме.

Полное отключение UAC

Сделаю небольшое вступление к этому разделу: не рекомендую вам совершать это действие, даже на своем собственном компьютере. Насколько сильно я ненавижу разрешение этого действия, даже когда читаю проповеди об опасности "случайного нажатия кнопок" на блокировках, результатом чего становится запуск шпионского программного обеспечения, которое преследует студентов и пользователей, настолько сам иногда забываю свои собственные рекомендации. Прошлым летом, когда я торопился выполнить одно из заданий, у меня вышло, как сперва показалось, системное диалоговое окно, и я нажал кнопку OK. Как только я отпустил кнопку мыши, я осознал, что "кнопка OK", которую я только что нажал, являлась блокиратором веб-сайта. Спустя всего лишь несколько часов моя система была заражена шпионским ПО.

Какой урок отсюда следует извлечь: даже те из нас, кто поступает так во имя жизни, сами падают жертвами шпионского ПО. При наличии UAC, возникает, по крайней мере, еще один барьер между нами и ними.

Но если вы считаете, что UAC сильно изнуряет, вы можете отключить его и продолжать работать дальше. Существует несколько способов отключения UAC. Я покажу вам, как сделать это, воспользовавшись Control Panel (панелью управления), Registry Editor (редактором регистра), и Group Policy (групповыми политиками).

Все решения, которые даются в данной статье, требуют того, чтобы вы вошли в систему в качестве пользователя, обладающего административными правами. Однако для большинства решений вы не можете воспользоваться учетной записью локального администратора. Данная учетная запись не допускает применения административного подтверждения. Воспользуйтесь другой учетной записью, а именно запись участника локальной административной группы.

1. Отключение UAC с помощью MSConfig

В новых машинах для изменения режима работы UAC, вы можете воспользоваться MSConfig:

  1. Перейдите в Start (старт)| All Programs (все программы)| Accessories (стандартные)| Run (выполнить).
  2. В окошке Run (выполнить) впечатайте "msconfig", затем нажмите [Enter].
  3. Из окошка System Configuration (конфигурация системы), выберите вкладку Tools (сервис), как показано на картинке B.
  4. В колонке Tool Name (название средства), найдите опцию Disable UAC (отключить контроль учетных записей (UAC)).
  5. Нажмите кнопку Launch (запуск).
  6. Перезагрузите систему.
Картинка B
UAC
Вкладка инструментов в окне System Configuration (конфигурации системы).

2. Отключение UAC через Панель Управления

Если вы работаете на нескольких машинах, самый простой способ деактивировать UAC – отключить это свойство через Control Panel (панель управления). Для достижения данной цели сделайте следующие шаги:

  1. Зайдите в Start (пуск)| Control Panel (панель управления).
  2. Просматривая Control Panel (панель управления) в "классическом" режиме, выберите программку User Accounts (учетные записи пользователей). Откроется экран, которые вы можете увидеть ниже на картинке C.
     
    Картинка C
    UAC
    Программка панели UAC.
     
  3. Выберите опцию "Turn User Account Control on or off" (включить или выключить контроль учетных записей пользователя). Обратите внимание, что за программкой имеется небольшой щиток. Он показывает, что сама по себе функция защищена контролем учетных записей пользователя.
  4. Отмените выбор, следующий за Use User Account Control (контроль учетных записей пользователя) To Help Protect Your Computer (используйте UAC, чтобы помочь защитить ваш компьютер). Смотрите картинку D.
     
    Картинка D
    UAC
    Программка панели UAC.
     
  5. Нажмите OK.
  6. Перезагрузите компьютер для активации изменений в настройках.

 

3. Отключение UAC через Редактор Реестра

Третий способ отключить UAC подразумевает использование редактора реестра. Изменяя специальные ключи на каждом компьютере Vista, вы можете отключить UAC. Вот шаги для этого действия:

  1. Запустите Registry Editor (редактор реестра).
  2. Найдите в поиске следующий ключ: HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Policies System.
  3. Измените значение записи EnableLUA на "0". Если даже вы хотите вновь активировать UAC, следуйте этим инструкциям, однако измените значение записи EnableLUA на "1". Смотрите картинку E, чтобы увидеть изображение на экране.
  4. Когда вы все сделали, перезапустите компьютер для активации изменений в настройках.
Картинка E
UAC
Ключ EnableLUA в Registry Editor (редакторе реестра).
4. Управление/отключение UAC через Групповые политики

Если в вашем распоряжении много компьютеров, и вы хотите изменить режим работы UAC на всех машинах, самым лучшим способом станет использование Group Policy (групповой политики). Метод Group Policy (групповой политики) также является наиболее гранулированным и дает вам возможность установить самые разные параметры, касающиеся UAC. Я покажу вам, как сделать это, воспользовавшись административным инструментом локальной групповой политики.

  1. Перейдите в Start (пуск)| All Programs (все программы)| Accessories (стандартные)| Run (выполнить).
  2. В окне Run (выполнить), напечатайте "secpol.msc" и нажмите [Enter].
  3. Когда контроль учетных записей пользователя сделает запрос на разрешение продолжить работу, нажмите кнопку Continue (продолжить).
  4. Найдите Computer Configuration (конфигурация компьютера)| Windows Settings (установки Windows)| Security Settings (настройки безопасности)| Local Policies (локальные политики)| Security Options (настройки безопасности). Вы увидите экран, показанный на картинке F.
  5. Выберите объект групповой политики, который вы хотите изменить, и смените настройки до необходимых значений. Данный внизу список показывает вам все настройки групповых политик, связанных с контролем доступа пользователя.
Картинка F
UAC
Редактор объектов групповых политик.

Существует ряд опций, связанных с контролем доступа пользователя:

Контроль учетных записей пользователя: режим работы расширенной подсказки для встроенной учетной записи администратора – данная установка влияет на режим работы UAC при использовании встроенной учетной записи администратора.

  • Активирован: при запуске приложения, которое требует административных прав, встроенная учетная запись администратора окажет воздействие на UAC.
  • Отключен (по умолчанию): встроенная учетная запись администратора запустит все приложения без последующих подсказок.

Контроль учетных записей пользователя: подсказка для администраторов в режиме Admin Approval Mode (режим подтверждения администратором) – данная настройка влияет на то, что происходит, когда администратор (помимо встроенной учетной записи администратора) запускает привилегированное приложение.

  • Принимать без подсказки: это – самая опасная установка, и ее необходимо применять исключительно в безопасном окружении. Приложения с ограничениями запускаются с административными правами без чьего-либо вмешательства.
  • Подсказка для паролей: пользователю дается подсказка дать имя пользователя и пароль для пользователя с административными правами.
  • Подсказка для дачи разрешения (по умолчанию): это – нормальный режим работы для UAC, и он запрашивает пользователя (допуская, что пользователь обладает административными правами) дать разрешение или запретить запуск приложения с административными правами.

Контроль учетных записей пользователя: режим работы улучшения подсказки для обычных пользователей – данная установка определяет то, что происходит, когда обычный пользователь пытается запустить привилегированное приложение.

  • Подсказка для паролей (по умолчанию для домашних версий): для пользователя дается подсказка дать имя пользователя и пароль для пользователя с локальными административными правами.
  • Автоматическое отклонение запросов на установке (установлен по умолчанию в корпоративных выпусках): пользователи будут получать сообщения, говорящие о том, что доступ к приложению был отклонен.

Контроль учетных записей пользователя: определение инсталляции приложений и подсказка по установке – что ответит система UAC на запрос об установке новых программ?

  • Включен (по умолчанию для домашних выпусков): установки приложений, которые требуют административных привилегий, запустит подсказку UAC.
  • Отключен (по умолчанию для корпоративных выпусков): поскольку многие инсталляционные приложения управляются через групповые политики, пользовательское вмешательство и подтверждение не требуется.

Контроль учетных записей пользователя: запуск только тех выполняемых модулей, которые разрешены и подтверждены – требуют ли выполняемые приложения подтвержденной сертифицированной цепочки PKI (инфраструктуры открытых ключей)?

  • Включен: требует того, чтобы приложение имело разрешенную сертифицированную цепочку PKI (инфраструктуру открытых ключей) до того, как ей будет дано разрешение на запуск.
  • Отключен (по умолчанию): не требует того, чтобы приложение имело согласие на запуск.

Контроль учетных записей пользователя: только запуск приложений UIAccess, которые установлены в безопасном месте – приложения, которые требуют выполнения с интегрированным уровнем UIAccess, должны находиться в безопасной зоне системы.

  • Включен (по умолчанию): приложение с интегрированием UIAccess будет запускаться только тогда, когда оно находится с защищенной зоне системы.
  • Отключен: приложение с интегрированием UIAccess будет запускаться вне зависимости от расположения выполняемых программ.

Контроль учетных записей пользователя: запускать всех администраторов в режиме Admin Approval Mode (режим подтверждения администратором) – запуск всех пользователей, включая администраторов, в качестве обычных пользователей. Это эффективно включает либо выключает UAC. Если вы меняете данную установку, вам придется перезапустить систему.

  • Включен (по умолчанию): режим Administrative Approval Mode (административное подтверждение) и UAC включен.
  • Отключен: отключить UAC и Admin Approval Mode (режим административного подтверждения).

Контроль учетных записей пользователя: включить режим безопасной работы ПК, когда приходит подсказка о загрузке – Когда UAC включен, при этом выходит подсказка о загрузке, смените Windows Vista на безопасный режим в противоположность стандартному пользовательскому режиму.

  • Включен (по умолчанию): запросы по загрузке нацелены на безопасную работу ПК.
  • Отключен: запросы по загрузке нацелены на стандартную работу ПК.

Контроль учетных записей пользователя: виртуализирует сбои записи в файлы и в реестр для каждого пользователя – данная настройка включает перенаправление ошибки записи устаревших приложений в определенные места в реестре и файловой системе, ослабляя влияние этих приложений, которые издавна запускались с правами администраторов и приложений для доступа к %ProgramFiles%, %Windir%; %Windir%system32 или HKLMSoftware. Вкратце, этот ключ помогает поддерживать фоновую совместимость с устаревшими приложениями, которые не желают запускаться в качестве стандартного пользователя.

  • Включен (по умолчанию): приложения, записывающие данные в защищенные зоны, будут перенаправляться в другие места.
  • Отключен: приложения, записывающие данные в защищенные зоны, дадут сбои в работе.

Выборочное отключение User Access Control (контроля доступа пользователя)

Не все приложения помечены таким образом, чтобы запускать предостережение UAC при своей загрузке. Тем не менее, многие приложения требуют запуска с включенными административными правами, чтобы достичь должного уровня работы. Для того, чтобы уладить такой положение, вы можете пометить приложение так, чтобы оно загружалось с административными правами всякий раз, когда оно выполняется. Для того, чтобы было именно так:

  1. щелкните правой кнопкой мышки на запускаемых программах, связанных с приложениями;
  2. в кратком меню выберите опцию Properties (свойства);
  3. на страничке свойств выберите ярлык Compatibility (совместимость);
  4. под шапкой Privilege Level (уровень привилегий) выберите флажок, следующий за "Run this program as an administrator" (запустить данную программу в качестве администратора), как показано на картинке G;
  5. нажмите OK.
Картинка G
UAC
Закладка совместимости приложений.

Для ряда приложений опция "Run this program as an administrator" (запуск программы в качестве администратора) может быть недоступна. Для этого существует ряд причин:

  • вы не зашли в систему в качестве пользователя с административными правами;
  • приложение не может быть запущено с загружаемыми правами;
  • приложение является частью операционной системы. Приложения ОС не могут быть изменены таким образом.
Утомительно, но оно того стоит

UAC может и несет в себе элемент занудства, когда дело касается вопроса безопасности системы, но он незаменим, когда встает вопрос о необходимости обеспечения безопасности системы, особенно для пользователей домашних компьютеров. Пользователи Mac и Linux долгое время имели дело со схожими базовыми схемами безопасности, однако для пользователей Windows ситуация складывается по-новому. Как только пользователи Windows привыкнут к новизне, они по достоинству оценят дополнительную безопасность.