Заметки о Windows и других программных продуктах Microsoft...

Контроль учетных записей пользователей. Часть 1 — обзор и настройка

Контроль учетных записей пользователей. Часть 1 — обзор и настройка

Контроль учетных записей пользователей (User Account Control, UAC) — это механизм, предупреждающий пользователя о том, что для выполняемых действий требуются полномочия администратора. Он предназначен в первую очередь для защиты вашего компьютера от вредоносного ПО, поскольку позволит вовремя заметить, что неизвестная программа пытается внести изменения в конфигурацию системы.

В предыдущих версиях  (например в Windows XP), войдя в систему под учетной записью с административными правами вы получали полный доступ к системе. Это вполне приемлемо, если использовать административные полномочия только для действий, связанных с администрированием, а все остальное время работать под учетной записью с правами обычного пользователя. Однако многие пользователи, не желая лишний раз вводить учетные данные,  склонны использовать административные учетные записи в качестве рабочих, что довольно удобно, но крайне нежелательно в плане безопасности.

Стоит помнить о том, что любая программа, запущенная пользователем с правами администратора, получает все его полномочия и может вносить изменения в систему. UAC решает эту проблему, и даже член локальной группы администраторов постоянно работает с правами обычного пользователя и получает повышенные полномочия лишь на время выполнения определенной задачи. Работа UAC основана на трех понятиях:

Повышение полномочий (privilege elevation)

Все пользователи Windows 7 работают с правами стандартного пользователя. При попытке выполнить действие, требующее административных полномочий, например установка приложения, его полномочия должны быть повышены до прав пользователя-администратора. Это действие и называется повышение полномочий. Оно осуществляется только для конкретной задачи, каждая новая задача генерирует собственное уведомление UAC.

Режим одобрения администратора (admin approval mode)

Он действует в том случае, когда администратор должен одобрить повышение при помощи уведомления UAC. Для этого в уведомлении нужно нажать на кнопку ДА (запрос согласия) или ввести имя пользователя и пароль (запрос учетных данных).

Безопасный рабочий стол (secure desktop)

Предназначен для того, чтобы вредоносное ПО не смогло изменить или скрыть отображение уведомлений UAC. При выведенном уведомлении UAC рабочий стол становится недоступен и чтобы продолжить работу надо отреагировать на это уведомление. При этом все процессы приостанавливаются и создается снимок рабочего стола на текущий момент. Если нет реакции на уведомление в течение 150 секунд, запрос автоматически отклоняется и возвращается стандартный рабочий стол.

Безопасный рабочий стол

 

Настройка уровня уведомлений UAC производится в диалоговом окне «Параметры управления учетными данными пользователей». Открыть его можно разными способами, например из меню Пуск -> Панель управления -> Учетные записи пользователей -> Изменение параметров контроля учетных записей, или набрав (можно не целиком) в строке поиска ″Изменение параметров контроля учетных записей″ (Change user account control settings). Также можно нажать сочетание клавиш Win+R и выполнить команду UserAccountControlSettings.exe.

Настройка уровня уведомлений UAC

 

Уровень уведомлений регулируется положением бегунка, который имеет 4 положения:

Всегда уведомлять — вы получаете уведомление при любых попытках внести изменения в компьютер. При этом происходит затемнение рабочего стола и вывод уведомления, на которое необходимо отреагировать. При отсутствии реакции на уведомление запрос автоматически отклоняется;
Уведомлять только при попытках программ внести изменения в компьютер — уведомление выдается только когда изменения в настройки компьютера вносятся программами. При выводе уведомления используется безопасный рабочий стол, при отсутствии реакции происходит автоматическое отклонение запроса;
Уведомлять только при попытках программ внести изменения в компьютер (не затемнять рабочий стол) — уведомление выводится только при попытке изменить настройки программой, не входящей в состав Windows, при этом рабочий стол не затемняется. Если вы сами вносите изменения в настройки при помощи программ из комплекта Windows,то уведомление выводится не будет;
Никогда не уведомлять — если вы вошли в качества администратора, то уведомление выводиться не будет. Если как стандартный пользователь, то любые действия требующие административных полномочий автоматически отклоняются. Фактически это означает отключение UAC.

Чтобы обезопасить себя от вредоносных программ вполне достаточно оставить уровень по умолчанию. Даже если при этом работать под учетной записью администратора, риск значительно уменьшается, при этом для выполнения административных задач достаточно одного клика мышкой.

Контроль учетных данных также можно настроить с помощью групповых политик. Об этом читаем во 2-й части статьи.

 
 
Комментарии

Пока нет комментариев.