Хотя этот подход и был удобен для пользователей, он делал компьютеры в сети более уязвимыми к вредоносному ПО, которое могло использовать системные привилегии для повреждения файлов, изменения конфигурации (например, отключение фаервола), кражи или изменения конфиденциальной информации. Хотя существовала возможность работы учетных записей пользователей Windows в конфигурации с ограниченными правами, она сильно сокращала продуктивность работы, потому что базовые задачи, такие как изменение системного времени, присоединение к безопасной беспроводной сети или установка драйвера принтера требовали административных привилегий.
Для решения этой проблемы, Windows Vista содержит компонент User Account Control (UAC). Это новый подход, который разделяет все операции в системе на 2 категории: те, которые может выполнять пользователь со своими стандартными правами и те, которые требуют административных привилегий. Применение нового подхода сокращает плацдарм для атак на операционную систему, в то же время предоставляя обычным пользователям большинство функций, которые им требуются каждый день.
UAC обладает двумя преимуществами: во-первых, он переопределяет список стандартных возможностей пользователя, путем включения в него множества базовых функций, которые не несут риска нарушения безопасности, хотя раньше требовали административных привилегий. К этим новым функциям можно отнести:
- Изменение временной зоны
- Настройку системы управления питанием
- Добавление принтера и других устройств, при условии, что драйверы для них уже установлены в системе
- Установку новых шрифтов
- Изменение настроек экрана
- Создание и настройка VPN-соединения
- Установка WEP (Wired Equivalent privacy) для соединения с защищенной беспроводной сетью
- Просмотр календаря и системного времени
- Загрузка и установка обновлений, при условии использования UAC-совместимого инсталлятора.
UAC также помогает контролировать доступ к ценной информации, находящейся в папке «Мои документы». Теперь, если пользователь не является создателем файла, он не сможет его ни прочесть, ни изменить, ни удалить, т.е., другими словами, доступ к файлам других пользователей закрыт.
Когда обычные пользователи пытаются выполнить задачу, требующую административных привилегий (например, установка нового приложения или изменение важных системных настроек), им предлагается ввести пароль администратора. IT-администраторы имеют возможность отключить процедуру ввода пароля администратора для обычных пользователей, сокращая тем самым риск несанкционированных действий со стороны последних. Во-вторых, UAC позволяет пользователям с административными привилегиями работать в более безопасной среде путем ограничения (по умолчанию) доступа к критичным ресурсам и функциям системы. Если для выполнения какой-либо задачи требуются повышенные привилегии, система предупредит вас об этом с помощью окна с предложением подтверждения выполнения данной задачи.
Интерфейс пользователя ОС Windows Vista включает в себя ряд улучшений, призванных облегчить пользователям определение тех задач, которые требуют административных привилегий. Эти улучшения проявляются в виде описания запрашиваемых действий, а также в маркировании административных действий значком в виде щита:
UAC помогает существующим приложениям работать с правами стандартного пользователя без модификаций, путем предоставления им специальной платформы, которая помогает последним обойтись без использования административных привилегий в обычных ситуациях. Например, чтобы обеспечить нормальную работу приложений, требующих для своего выполнения административных привилегий, Windows Vista содержит механизм виртуализации файловой системы и реестра. Данный механизм перенаправляет запросы чтения и записи из защищенных областей в какое-либо место внутри профиля пользователя, таким образом, приложение работает корректно, не влияя на ресурсы других пользователей или систему вцелом. Это сокращает риск нарушения безопасности, потому что приложения никогда не получат доступ к ресурсам, требующим прав администратора для доступа.
Хотя UAC явно повышает уровень безопасности Windows Vista, в рамках некоторых сценариев, Вы, возможно, захотите отключить его... Например, при проведении лекций перед аудиторией (демонстрации, не связанные с безопасностью). У некоторых домашних пользователей может возникнуть соблазн отключить UAC из-за дополнительных кликов мышкой, но я призываю не делать это сразу, а попытаться привыкнуть жить с UAC, вместо этого...
В любом случае,-если необходимо отключить UAC по тем или иным причинам, есть несколько способов это сделать.
Способ # 1: С помощью утилиты MSCONFIG
Запустите утилиту MSCONFIG из командной строки и воткрывшемся окне перейдите в закладку Tools:
Кликните на строку как на картинке сверху и нажмите на кнопку Launch. Откроется окно CMD. Когда команда закончит свою работу Вы можете закрыть все окна. Для того, чтобы изменения возымели действие, нужно перезапустить компютер.
Всегда можно опять включить UAC опять подсветив строку Enable UAC и нажав на кнопку Launch.
Способ # 2 С помощью системной утилиты Regedit.
Запустите Regedit из меню Run и в открывшемся окне пройдите по ветке:
Код: Выделить всё
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
Если Вам нужно будет включить UAC, измените это значение на 1.
Для того, чтобы изменения возымели эффект, перезагрузите компютер.
Способ # 3 С помощью Group Policy Object editor.
Нажмите Start. В Search box, Run box или в console window напишите: GPEDIT.MSC чтобы вызвать Group Policy Object editor.
В Group Policy Editor окне, перйдите к Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options:
В правой панели, найдите User Access Control policies (они в нижней части окна, на картинке сверху выделены те настройки, которые нужно модифицировать). Сделав двойной клик на каждой настройке, необходимо изменить следующие правила, чтобы их значения соответствовали тем, что на картинке ниже:
Как только мы сделаем эти изменения, тут же получим предупреждение (оно появится в системном трее, рядом с часами) о том, что один из компонентов защиты ОС отключен. Кликнув на этом сообщении мы можем удостовериться, что изменения, которые мы сделали, возымели действие:
Способ # 4 С помощью Control Panel.
1. Откройте Control Panel.
2. Зайдите в User Accounts и кликните на"Turn User Account Control on or off":
В открывшемся окне убираем галочку с "Use User Account Control (UAC) to help protect your computer":
Нужно перегрузить компютер, чтобы это изменение вступило в силу, что нам и будет предложено сделать:
Для того, чтобы включить UAC, нужно всего лишь поставить галочку на место и перезагрузить компютер.
Ну и теперь, подводя итог всему вышеописанному, выскажу свое ИМХО,- UAC очень хорошее средство защиты компютера от несанкционированных изменений системных настроек (что многие вирусы и делают), так что, стоит хорошо подумать, прежде чем отключать его.
Для написания этой статьи использовались материалы с http://www.petri.co.il и http://www.oszone.net