Работа с контролем учетных записей пользователей (UAC) в Windows Vista

Одной из последних основных особенностей, присутствующих в Windows Vista, является контроль учетных записей пользователей (UAC). В данной статье расскажем о том, как поменять параметры его работы.

13.08.2007 08:01
Страницы: 1 2 След.

Вступление: одной из последних основных особенностей, присутствующих в Windows Vista, является  User Access Control (контроль учетных записей пользователей– UAC). В данной статье Скотт Лоуи (Scott Lowe) дает подробный обзор UAC и рассказывает о том, как поменять параметры его работы.

Рекламный анонс Microsoft уделил значительное внимание новой особенности в системе безопасности, имеющейся в Windows Vista. С точки зрения перспектив для пользователя, одна из таких особенностей, а именно User Access Control (контроль учетных записей пользователей – UAC), вероятно, самое примечательное улучшение. UAC – это механизм, с помощью которого пользователи (и даже администраторы) могут выполнять простые задачи Windows, пользуясь неадминистративными правами, или решать их, являясь обычными пользователями. До выполнения административных заданий, пользователи должны активно подтвердить действия, которые могут стать потенциально опасными для компьютера.

В этой статье я дам вам подробное описание внутренней работы UAC, и покажу некоторые шаги, посредством которых вы сможете изменить характер работы данной новой особенности.

Внутренняя работа UAC говорит многое о том, каким образом данная особенность защищает ваш ПК. Сначала поговорим о том, что послужило толчком для разработки UAC.

Проблема: Windows XP и автоматические установки

В до-Vist’овых версиях Windows, помимо входа в систему, пользователю давался пароль доступа. Пользователь, не обладавший административными правами, получал возможность доступа в область ресурсов, которые не требовали наличия прав администрирования. Пользователям, являвшимся членами административной группы, давалась возможность пользоватся всеми имеющимися на локальном компьютере ресурсами.

С точки зрения простоты использования, данный уровень авторизации был прекрасным. Но все же, с точки зрения безопасности он был не так уж и хорош, даже для ИТ-профессионалов. Представьте себе потенциал для попутной инсталляции шпионского программного обеспечения. Попутная инсталляция происходит тогда, когда вы посещаете, случайно или намеренно, сайт, содержащий вредоносный код, о котором у вас нет никакого представления. Последние два года шпионские сканеры значительно повышали свои возможности, но пока еще на рынке не появлялось универсального решения, которое бы защитило от всех известных угроз. Даже если бы такой продукт и существовал, все равно возникали бы проблемы угроз неизвестной природы. Новое шпионское программное обеспечение дает знать о себе каждый день, и для разработчиков требуется значительное время для выявления этих новых неприятностей и обновления своей продукции.

Если вы зашли в Windows XP в качестве пользователя, наделенного административными привилегиями, в тот момент, когда возникает эффект «попутности», шпионское программное обеспечения устанавливается на вашу машину, при этом вы ничего не замечаете. Данное шпионское программное обеспечение может принимать любую форму, начиная с простого, казалось бы, безобидного инструмента перехвата вводимой с клавиатуры информации, который запоминает все, что вы печатаете, и отправляет результаты в заранее заданный адрес. На определенном этапе вы могли бы прикрыть «черный ход», который позволяет взломщику проторить свою дорожку к вашей системе и сделать свое черное дело.

Хуже того, чем глубже внедрено шпионское программное обеспечение в вашу систему, тем сложнее его оттуда выкурить. Это может повлечь за собой полную переустановку системы, на что понадобятся часы работы.

Примечание: когда вы устанавливаете Windows XP, мастер настройки наделяет административными правами все локальные учетные записи.

Ну, вы, разумеется, можете сказать, что все это вам давно известно; однако в организации, где вы работаете, вы вынуждены позволять пользователям заходить в качестве локального администратора по разным причинам. К примеру, многие пользователи (имеющие возможность управления) считают важным то, что у них имеется возможность установки нового приложения на своем компьютере. По несчастью, они зачастую правы. Занятие бизнесом в Сети часто предполагает необходимость установки новых эллементов ActiveX контроля или иного типа приложений. Конечно, это – не самый лучших выход, но лучше позволить людям заниматься своими прямыми обязанностями, чем платить им за просиживание штанов и поплевывание в потолок, оставив все на откуп ИТ.

Решение проблемы: Windows Vista и UAC

Введение Windows Vista'ой  UAC предназначено для укрощения чудовища и возврату от хаоса к порядку. В Vista, когда пользователь с административными правами активизируется в системе, он получает не один, а сразу два типа доступа: административный доступ и пароль доступа обычного пользователя. Пароль обычного доступа используется для запуска ПК. Конечный результат заключается в том, что администратор запускает систему с более ограниченными правами, чем теми, которые бы он мог получить при входе в Windows XP. Пока существует потребность, второй доступ – уже с административными правами – не используется.

Случается ситуация, когда, например, пользователь с правами администрирования запускает программку панели управления и пытается изменить настройки. Тогда UAC от Windows Vista блокирует окно, показывая, что для продолжения необходимо разрешение. Когда вы выбираете разрешение использования административных действий, применяя административный доступ, вы даете разрешение, которое позволяет приложениям работать с более широкими привилегиями. Картинка A показывает вам стандартное диалоговое окно UAC. Если вы хотите разрешить действие, нажмите кнопку Continue (продолжить).

Картинка A
UAC
UAC спрашивает, собираетесь ли вы продолжать выполнение действия.

Если вы видели рекламные ролики «Mac против PC» на вебсайте Apple, то поняли, что это диалоговое окошко является предметом споров между PC и Mac, при этом система безопасности в PC отстает от аналогичной в Mac. На самом же деле, ситуация не настолько плоха. Действительно, хотя время от времени это выводит из себя, но ситуация складывается более благоприятно, поскольку новая система подает визуальную команду о том, что что-то происходит, давая, таким образом, пользователю возможность отменить действие.

Раздражение – это один из результатов, от которого я помогу вам избавиться, дав описание в этой статье. Я покажу, как отключить UAC, и как сделать так, чтобы специальные приложения всегда работали в усиленном режиме.

Полное отключение UAC

Сделаю небольшое вступление к этому разделу: не рекомендую вам совершать это действие, даже на своем собственном компьютере. Насколько сильно я ненавижу разрешение этого действия, даже когда читаю проповеди об опасности "случайного нажатия кнопок" на блокировках, результатом чего становится запуск шпионского программного обеспечения, которое преследует студентов и пользователей, настолько сам иногда забываю свои собственные рекомендации. Прошлым летом, когда я торопился выполнить одно из заданий, у меня вышло, как сперва показалось, системное диалоговое окно, и я нажал кнопку OK. Как только я отпустил кнопку мыши, я осознал, что "кнопка OK", которую я только что нажал, являлась блокиратором веб-сайта. Спустя всего лишь несколько часов моя система была заражена шпионским ПО.

Какой урок отсюда следует извлечь: даже те из нас, кто поступает так во имя жизни, сами падают жертвами шпионского ПО. При наличии UAC, возникает, по крайней мере, еще один барьер между нами и ними.

Но если вы считаете, что UAC сильно изнуряет, вы можете отключить его и продолжать работать дальше. Существует несколько способов отключения UAC. Я покажу вам, как сделать это, воспользовавшись Control Panel (панелью управления), Registry Editor (редактором регистра), и Group Policy (групповыми политиками).

Все решения, которые даются в данной статье, требуют того, чтобы вы вошли в систему в качестве пользователя, обладающего административными правами. Однако для большинства решений вы не можете воспользоваться учетной записью локального администратора. Данная учетная запись не допускает применения административного подтверждения. Воспользуйтесь другой учетной записью, а именно запись участника локальной административной группы.

1. Отключение UAC с помощью MSConfig

В новых машинах для изменения режима работы UAC, вы можете воспользоваться MSConfig:

  1. Перейдите в Start (старт)| All Programs (все программы)| Accessories (стандартные)| Run (выполнить).
  2. В окошке Run (выполнить) впечатайте "msconfig", затем нажмите [Enter].
  3. Из окошка System Configuration (конфигурация системы), выберите вкладку Tools (сервис), как показано на картинке B.
  4. В колонке Tool Name (название средства), найдите опцию Disable UAC (отключить контроль учетных записей (UAC)).
  5. Нажмите кнопку Launch (запуск).
  6. Перезагрузите систему.
Картинка B
UAC
Вкладка инструментов в окне System Configuration (конфигурации системы).

2. Отключение UAC через Панель Управления

Если вы работаете на нескольких машинах, самый простой способ деактивировать UAC – отключить это свойство через Control Panel (панель управления). Для достижения данной цели сделайте следующие шаги:

  1. Зайдите в Start (пуск)| Control Panel (панель управления).
  2. Просматривая Control Panel (панель управления) в "классическом" режиме, выберите программку User Accounts (учетные записи пользователей). Откроется экран, которые вы можете увидеть ниже на картинке C.
    Картинка C
    UAC
    Программка панели UAC.
  3. Выберите опцию "Turn User Account Control on or off" (включить или выключить контроль учетных записей пользователя). Обратите внимание, что за программкой имеется небольшой щиток. Он показывает, что сама по себе функция защищена контролем учетных записей пользователя.
  4. Отмените выбор, следующий за Use User Account Control (контроль учетных записей пользователя) To Help Protect Your Computer (используйте UAC, чтобы помочь защитить ваш компьютер). Смотрите картинку D.
    Картинка D
    UAC
    Программка панели UAC.
  5. Нажмите OK.
  6. Перезагрузите компьютер для активации изменений в настройках.

Страницы: 1 2 След.
Теги:  UAC
Оцените материал:  
(Голосов: 51, Рейтинг: 4.18)

Каждый вечер мы будем присылать вам одно письмо со всеми опубликованными за день материалами. Нет материалов - нет писем, просто и удобно (другие варианты).

Материалы по теме


Комментарии (0)