Робота з контролем облікових записів користувачів (uac) в windows vista

Рекламний анонс Microsoft приділив значну увагу нової особливості в системі безпеки, наявної в Windows Vista. З точки зору перспектив для користувача, одна з таких особливостей, а саме User Access Control (контроль облікових записів користувачів - UAC), ймовірно, найцікавіше поліпшення. UAC - це механізм, за допомогою якого користувачі (і навіть адміністратори) можуть виконувати прості завдання Windows, користуючись неадміністративними правами, або вирішувати їх, будучи звичайними користувачами. До виконання адміністративних завдань, користувачі повинні активно підтвердити дії, які можуть стати потенційно небезпечними для комп`ютера.

У цій статті я дам вам докладний опис внутрішньої роботи UAC, і покажу деякі кроки, за допомогою яких ви зможете змінити характер роботи даної нової особливості.

Внутрішня робота UAC говорить багато про те, яким чином дана особливість захищає ваш ПК. Спочатку поговоримо про те, що послужило поштовхом для розробки UAC.

Відео: Контроль облікових записів користувачів в Windows Vista [1/2]

Проблема: Windows XP і автоматичні установки

В до-Vistrsquo-ових версіях Windows, крім входу в систему, користувачеві давався пароль доступу. Користувач, який володів адміністративними правами, отримував можливість доступу в область ресурсів, які не вимагали наявності прав адміністрування. Користувачам, що був членами адміністративної групи, давалася можливість користуватись усіма наявними на локальному комп`ютері ресурсами.

З точки зору простоти використання, даний рівень авторизації був прекрасним. Але все ж, з точки зору безпеки він був не так вже й хороший, навіть для ІТ-професіоналів. Уявіть собі потенціал для попутної інсталяції шпигунського програмного забезпечення. Попутна інсталяція відбувається тоді, коли ви відвідуєте, випадково або навмисно, сайт, що містить шкідливий код, про який у вас немає жодного уявлення. Протягом останніх двох років шпигунські сканери значно підвищували свої можливості, але поки що на ринку не з`являлося універсального рішення, яке б захистило від всіх відомих загроз. Навіть якби такий продукт і існував, все одно виникали б проблеми загроз невідомої природи. Нове шпигунське програмне забезпечення дає знати про себе кожен день, і для розробників потрібно чимало часу для виявлення цих нових неприємностей і поновлення своєї продукції.

Якщо ви зайшли в Windows XP в якості користувача, наділеного адміністративними привілеями, в той момент, коли виникає ефект «попутно», шпигунське програмне забезпечення встановлюється на вашу машину, при цьому ви нічого не помічаєте. Дане шпигунське програмне забезпечення може приймати будь-яку форму, починаючи з простого, здавалося б, безневинного інструменту перехоплення вводиться з клавіатури інформації, який запам`ятовує все, що ви друкуєте, і відправляє результати в заздалегідь задану адресу. На певному етапі ви могли б прикрити «чорний хід», який дозволяє зломщикові торувати свою доріжку до всієї системи і зробити свою чорну справу.

Гірше того, чим глибше впроваджено шпигунське програмне забезпечення в вашу систему, тим складніше його звідти викурити. Це може спричинити за собою повну переустановку системи, на що знадобляться годинник роботи.

Примітка: коли ви встановлюєте Windows XP, майстер настройки наділяє адміністративними правами всі локальні облікові записи.

Ну, ви, зрозуміло, можете сказати, що все це вам давно відомо-проте в організації, де ви працюєте, ви змушені дозволяти користувачам заходити в якості локального адміністратора з різних причин. Наприклад, багато користувачів (мають можливість управління) вважають важливим те, що у них є можливість установки нової програми на своєму комп`ютері. По нещастю, вони часто мають рацію. Заняття бізнесом в Мережі часто передбачає необхідність установки нових еллементов ActiveX контролю чи іншого типу додатків. Звичайно, це - не самий кращих вихід, але краще дозволити людям займатися своїми прямими обов`язками, ніж платити їм за просиджування штанів і поплевиваніе в стелю, залишивши все на відкуп ІТ.

Рішення проблеми: Windows Vista і UAC

Введення Windows Vista`ой UAC призначене для приборкання чудовиська і поверненню від хаосу до порядку. У Vista, коли користувач з адміністративними правами активізується в системі, він отримує не один, а відразу два типи доступу: адміністративний доступ і пароль доступу звичайного користувача. Пароль звичайного доступу використовується для запуску ПК. Кінцевий результат полягає в тому, що адміністратор запускає систему з більш обмеженими правами, ніж тими, які б він міг отримати при вході в Windows XP. Доки не мине потреба, другий доступ - вже з адміністративними правами - не використовується.

Трапляється ситуація, коли, наприклад, користувач з правами адміністрування запускає програму панелі управління і намагається змінити налаштування. Тоді UAC від Windows Vista блокує вікно, показуючи, що для продовження необхідний дозвіл. Коли ви вибираєте дозвіл використання адміністративних дій, застосовуючи адміністративний доступ, ви даєте дозвіл, яке дозволяє додаткам працювати з більш широкими привілеями. Картинка A показує вам стандартне діалогове вікно UAC. Якщо ви хочете дозволити дію, натисніть кнопку Continue (продовжити).

картинка A

UAC запитує, чи збираєтеся ви продовжувати виконання дії.

Якщо ви бачили рекламні ролики «Mac проти PC» на веб-сайті Apple, то зрозуміли, що це діалогове віконце є предметом суперечок між PC і Mac, при цьому система безпеки в PC відстає від аналогічної в Mac. Насправді ж, ситуація не настільки погана. Дійсно, хоча час від часу це виводить з себе, але ситуація складається більш сприятливо, оскільки нова система подає візуальну команду про те, що щось відбувається, даючи, таким чином, користувачеві можливість скасувати дію.

Роздратування - це один з результатів, від якого я допоможу вам позбутися, давши опис в цій статті. Я покажу, як відключити UAC, і як зробити так, щоб спеціальні програми завжди працювали в посиленому режимі.

Повне відключення UAC

Зроблю невеличкий вступ до цього розділу: не рекомендую вам здійснювати цю дію, навіть на своєму власному комп`ютері. Наскільки сильно я ненавиджу дозвіл цієї дії, навіть коли читаю проповіді про небезпеку "випадкового натискання кнопок" на блокування, результатом чого стає запуск шпигунського програмного забезпечення, яке переслідує студентів і користувачів, настільки сам іноді забуваю свої власні рекомендації. Минулого літа, коли я поспішав виконати одне із завдань, у мене вийшло, як спершу здалося, системне діалогове вікно, і я натиснув кнопку OK. Як тільки я відпустив кнопку миші, я усвідомив, що "кнопка OK", яку я тільки що натиснув, була блокуванням веб-сайту. Через всього лише кілька годин моя система була заражена шпигунським ПО.

Який урок звідси випливає витягти: навіть ті з нас, хто чинить так в ім`я життя, самі падають жертвами шпигунського ПЗ. При наявності UAC, виникає, принаймні, ще один бар`єр між нами і ними.

Але якщо ви вважаєте, що UAC сильно виснажує, ви можете відключити його і продовжувати працювати далі. Існує кілька способів відключення UAC. Я покажу вам, як зробити це, скориставшись Control Panel (панеллю управління), Registry Editor (редактором регістра), і Group Policy (груповими політиками).

Всі рішення, які даються в даній статті, вимагають того, щоб ви увійшли в систему як користувач, що володіє адміністративними правами. Однак для більшості рішень ви не можете скористатися обліковим записом локального адміністратора. Дана обліковий запис не допускає застосування адміністративного підтвердження. Скористайтеся іншим користувачем, а саме запис учасника локальної адміністративної групи.

1. Відключення UAC за допомогою MSConfig

У нових машинах для зміни режиму роботи UAC, ви можете скористатися MSConfig:

1. Перейдіть в Start (старт) | All Programs (всі програми) | Accessories (стандартні) | Run (виконати).
2. У віконці Run (виконати) надрукувати "msconfig", потім натисніть [Enter].
3. З віконця System Configuration (конфігурація системи), виберіть вкладку Tools (сервіс), як показано на зображенні B.
4. У колонці Tool Name (назва засобу), знайдіть опцію Disable UAC (відключити контроль облікових записів (UAC)).
5. Натисніть кнопку Launch (запуск).
6. Перезавантажте систему.

картинка B

Вкладка інструментів у вікні System Configuration (конфігурації системи).

2. Відключення UAC через Панель Управління

Якщо ви працюєте на кількох машинах, найпростіший спосіб деактивувати UAC - відключити це властивість через Control Panel (панель управління). Для досягнення даної мети зробіть наступні кроки:

1. Зайдіть в Start (пуск) | Control Panel (панель управління).
2. Переглядаючи Control Panel (панель управління) в "класичному" режимі, виберіть програму User Accounts (облікові записи користувачів). Відкриється екран, які ви можете побачити нижче на зображенні C.
   картинка C
   
   Програма панелі UAC.
   
3. Виберіть опцію "Turn User Account Control on or off" (включити або виключити контроль облікових записів користувача). Зверніть увагу, що за програмою є невеликий щиток. Він показує, що сама по собі функція захищена контролем облікових записів користувача.
4. Скасуйте вибір, наступний за Use User Account Control (контроль облікових записів користувача) To Help Protect Your Computer (використовуйте UAC, щоб допомогти захистити ваш комп`ютер). Дивіться картинку D.
   картинка D
   
   Програма панелі UAC.
   
5. Натисніть OK.
6. Перезавантажте комп`ютер для активації змін в налаштуваннях.

Відео: Контроль облікових записів користувачів в Windows Vista [2/2]