Введение
Управление учетной записью пользователя (UAC) — это новый компонент безопасности Windows Vista. UAC позволяет пользователям выполнять обычные задачи в качестве не администраторов. Эти пользователи называются стандартными пользователями в Windows Vista. Учетные записи пользователей, которые являются членами локальной группы администраторов, будут запускать большинство приложений с помощью принципа наименьших привилегий. В этом сценарии пользователи с наименее привилегированным доступом имеют права, похожие на права стандартной учетной записи пользователя. Однако, если члену локальной группы администраторов необходимо выполнить задачу, требуемую правами администратора, Windows Vista автоматически подскакиет пользователю для утверждения.
Дополнительные последствия отключения UAC
- Если вы попробуете использовать Windows Explorer для просмотра каталога, в котором у вас нет разрешений на чтение, Explorer предложит изменить разрешения каталога, чтобы предоставить ему постоянный доступ к учетной записи пользователя. Результаты зависят от того, включен ли UAC. Дополнительные сведения см. в ссылке Продолжить доступ к папке в Windows Explorer, чтобы ваша учетная запись пользователя была добавлена в ACL для папки.
- Если UAC отключен, Windows Explorer продолжает отображать значки щита UAC для элементов, которые требуют высоты. И Windows Explorer продолжает включать Run as administrator в контекстное меню приложений и ярлыков приложений. Так как механизм возвышения UAC отключен, эти команды не влияют. И приложения работают в том же контексте безопасности, что и пользователь, в который подписан.
- Если UAC включен, когда Runas.exe консоли используется для запуска программы с помощью учетной записи пользователя, которая подлежит фильтрации маркеров, программа запускается с фильтрованным маркером пользователя. Если UAC отключен, запущенная программа запускается с полным маркером пользователя.
- Если UAC включен, локальные учетные записи, подвергающиеся фильтрации маркеров, не могут использоваться для удаленного администрирования над сетевыми интерфейсами, кроме удаленного рабочего стола. Например, через NET USE или WinRM. Локальную учетную запись, которая аутентификация по такому интерфейсу получает только привилегии, предоставленные фильтрованным маркером учетной записи. Если UAC отключен, это ограничение удаляется. Ограничение также можно удалить с помощью параметра, описанного в KB951016. Устранение этого ограничения может повысить риск системного компромисса в среде, в которой многие системы имеют административную локализованную учетную запись с одним и тем же именем пользователя и паролем. Рекомендуется использовать другие меры по борьбе с этим риском. Дополнительные сведения о рекомендуемых смягчениях см. в статье Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft, Version 1 и 2.
- PsExec, управление учетной записью пользователей и границы безопасности
- При выборе продолжить доступ к папке в Windows Explorer учетная запись пользователя добавляется в ACL для папки (KB 950934)
Как включить/отключить службу при помощи командной строки
Отключение и включение UAC возможно также через консоль.
- Первым делом зажмите две клавиши Windows+X либо через меню «Пуск» выберите «Командная строка (администратор)».
Нужно выбрать «Командная строка» в режиме администратора, чтобы перейти к консоли
- Запускается консоль. Здесь измените параметры. Вместо /t REG_DWORD /d 0 /f введите /t REG_DWORD /d 1 /f. После того как вы набрали команду, защита отключится.
Изменяем значения, чтобы отключить UAC
- Закрепите результат перезагрузкой компьютера.
- Если понадобится вновь активировать UAC, просто поменяйте параметры наоборот. С нуля на единицу.
Как запускать программу без Контроля учётных записей с помощью батника?
Суть метода заключается в следующем. Каждая из запускаемых программ будет проходить процедуру присвоения переменных в режиме совместимости. Назначать вручную мы ничего не станем. Для этого подойдут возможности командной консоли, в среде которой выбранное приложение и запустится. Для этого:
открываем Блокнот и вводим код:
cmd /min /C "set __COMPAT_LAYER=RUNASINVOKER && start "" "%1""
закроем его, присвоив произвольное имя, но с расширением .bat. Чтобы так сделать, вам придётся заставить Windows отображать скрытые файлы и папки.
Распакуйте и расположите его на Рабочем столе. Суть работы с ним проста: зацепите ярлык нужного файла .exe и перетащите на распакованный батник. Программа запустится без окна предупреждения со стороны Контроля учётных записей. Способ не всегда срабатывает при обращении к ярлыкам, созданным именно системой (в момент установки программы) из-за витиеватых настроек символьных ссылок. Потому, кому такой способ придется по душе, советую создать ярлык на рабочем столе самостоятельно с указанием на Расположение объекта. Либо воспользоваться другими способами.
Как запускать программу без Контроля учётных записей с ярлыка?
Команду выше можно применять для конкретной программы, скорректировав путь в ярлыке к ней. Для этого в поле адреса ярлыка добавим слева
Способ 2. Отключить или изменить контроль учётных записей с помощью с помощью .REG файла
- Выполните шаги ниже, в зависимости в какой режим хотите изменить Контроль учетных записей.
- Режим «Всегда уведомлять».
- Нажмите «Скачать» ниже, чтобы загрузить REG-файл, и перейдите к шагу 6 ниже.
- Сохраните файл .reg на рабочий стол.
- Дважды нажмите по загруженному файла .reg, чтобы объединить его.
- При появлении запроса нажмите «Выполнить», « Да» (UAC), « Да» и « ОК», чтобы подтвердить слияние.
- По завершении вы можете удалить загруженный файл .reg.
Вот и все,
В этой таблице описаны все настройки UAC и их влияние на безопасность вашего ПК.
Настройка | Описание | Влияние на безопасность |
|
|
|
Уведомлять меня только при попытке приложений внести изменения в компьютер (по умолчанию) |
|
|
Уведомлять только при попытках приложений внести изменения в компьютер (не затемнять рабочий стол) |
|
|
|
|
В Windows множество средств защиты от внесения нежелательных изменений в настройки компьютера, реестр и другие параметры, которые могут кардинальным образом сказаться на работоспособности операционной системы.
Одним из таких средств защиты является контроль учетных записей (UAC).
Как это часто бывает с подобными системными функциями, при всей своей пользе они могут надоедать, постоянно напоминая о себе, что может мешать пользователю при работе с компьютером.
В рамках данного выпуска мы рассмотрим, как отключить контроль учетных записей в Windows 10 и более ранних версиях операционной системы.
Включение, отключение и настройка КУЗ в Windows 10
Активация, деактивация и настройка контроля происходит практически одним и тем же путём, поэтому рассмотрим эти действие вместе.
Существует несколько способов проведения операции по активации, деактивации и настройки UAC. Все они будут описаны ниже в статье и вы можете выбирать из них тот, что покажется вам наиболее удобным.
Настройка КУЗ через панель управления
- Используя поисковую строку, найдите панель управления.
- Разверните раздел «Учётные записи пользователя».
- Повторите действие.
- В запущенном окошке нажмите на самый нижний вариант. Заметьте, что для перехода к этому разделу вам понадобятся права администратора, о чём говорит соответствующий значок в виде разноцветного щита.
- Перегоните ползунок до самого низа линии, чтобы выбрать вариант «Никогда не уведомлять». Выбранный вариант полностью деактивирует UAC.
- В том случае, если вам необходимо увеличить безопасность своей системы, то выберите самый верхний вариант. Если вы поставите этот параметр, то предупреждения будут появляться при любом малейшем шансе внесения изменений в работу системы. Также, если пользователь зайдёт под другой учётной записью, то есть не имея прав администратора, при появлении соответствующего уведомления от UAC ему придётся ввести логин и пароль от аккаунта администратора.
- Поставив второй параметр сверху, который обычно выбран по умолчанию, оповещения от КУЗ будут появляться, только если изменения в систему попробует ввести какая-либо сторонняя программа.
- Предпоследний режим работы включает тот же вариант исполнения обязанностей UAC, как и предыдущий, но имеет одно отличие — уведомления, присланные КУЗ, не будут затемнять экран и препятствовать работе запущенных приложений.
- После завершения выполнения настроек, кликнете по кнопке «ОК» в нижней части окошка, чтобы изменения сохранились. Иногда, чтобы КУЗ сменил режим работы, нужно перезапустить компьютер.
Путь через реестр
- Запустите утилиту «Выполнить».
- Используйте команду «regedit», чтобы перейти к редактору реестра.
- Переходя по дереву папок, находящемуся в левой части окошка реестра, пройдите по пути «HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Policies\ System».
- В конечной папке поочерёдно раскройте CоnsetPromptBehaviorАdmin, EnableLUА, PromptОnSecureDеsktоp и отредактируйте находящиеся в них значения (расшифровка необходимых значений описана и ниже).
Чтобы выставить определённый режим, вставляйте нижеприведённые цифры:
- Всегда уведомлять — PromptOnSecureDesktop=1, EnableLUA=1, ConsentPromptBehaviorAdmin=2. Остальные параметры будут идти в том же порядке.
- Уведомлять при попытках приложений изменить параметры (значения по умолчанию) — 1, 1, 5.
- Уведомлять без затемнения экрана — 0, 1, 5.
- Отключить UAC и не уведомлять — 0, 1, 0.
Как включить или отключить UAC через командную строку
Настроить режим UAC можно только через вышеописанные способы, но активировать и деактивировать его можно и через командную строку:
- Через поиск программ откройте командную строку, кликнув по ней правой кнопкой мыши и выбрав «Запустить от имени администратора».
- Пропишите команду «C:\Windows\System32\cmd.exe /k C:\Windows\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System/v EnableLUA /t REG_DWORD /d 0 /f» и нажмите Enter на клавиатуре. После перезагрузите компьютер
- Чтобы вернуть к действию функцию UAC, введите в командную строку ту же самую команду, но в её конце замените значение с 0 на 1.
Как полностью выключить UAC через PowerShell
- Используя поиск Windows, откройте консоль PowerShell, прибегнув к использованию прав администратора.
- В открывшемся окне пропишите и выполните команду «New-ItemProperty -Path HKLM:Software\Microsoft\Windows\CurrentVersion\policies\system -Name EnableLUA -PropertyType DWord -Value 0 -Force».
- После перезагрузите компьютер.
Задачи, запускающие запрос UAC
Задачи, требующие прав администратора, вызовут запрос UAC (если UAC включен); они обычно отмечены значком щита безопасности с 4-мя цветами логотипа Windows (в Vista и Windows Server 2008) или двумя панелями — желтым и двумя синими (Windows 7, Windows Server 2008 R2 и новее). В случае исполняемых файлов на значок будет накладываться защитный экран. Следующие задачи требуют прав администратора:
- Запуск приложения от имени администратора
- Изменения общесистемных настроек
- Изменения файлов в папках, для которых у обычных пользователей нет разрешений (например,% SystemRoot% или% ProgramFiles% в большинстве случаев)
- Изменения в списке управления доступом (ACL) , обычно называемом разрешениями для файлов или папок.
- Установка и удаление приложений вне:
-
% USERPROFILE% (например , C: \ Users \ {авторизовались пользователя}) папки и ее подпапок.
- В большинстве случаев это% APPDATA%. (например, C: \ Users \ {зарегистрированный пользователь} \ AppData), по умолчанию это
- Microsoft Store .
- Папка установщика и ее подпапки.
-
% USERPROFILE% (например , C: \ Users \ {авторизовались пользователя}) папки и ее подпапок.
- Установка драйверов устройств
- Установка элементов управления ActiveX
- Изменение настроек брандмауэра Windows
- Изменение настроек UAC
- Настройка Центра обновления Windows
- Добавление или удаление учетных записей пользователей
- Изменение имени или типа учетной записи пользователя
- Создание новой учетной записи или удаление учетной записи пользователя
- Включение гостевой учетной записи (с Windows 7 по 8.1)
- Включение сетевого обнаружения, общего доступа к файлам и принтерам, общего доступа к общим папкам, отключения общего доступа, защищенного паролем, или включения потоковой передачи мультимедиа
- Настройка родительского контроля (в Windows 7) или семейной безопасности (Windows 8.1)
- Запуск планировщика заданий
- Резервное копирование и восстановление папок и файлов
- Слияние и удаление сетевых расположений
- Включение или очистка журнала в настройках удаленного доступа
- Запуск калибровки цвета
- Изменение удаленных настроек, защиты системы или дополнительных настроек системы
- Восстановление системных файлов из резервных копий
- Просмотр или изменение папок и файлов другого пользователя
- Запуск дефрагментации диска , восстановления системы или Windows Easy Transfer (с Windows 7 до 8.1)
- Запуск редактора реестра
- Выполнение оценки индекса производительности Windows
- Устранение неполадок при записи и воспроизведении звука, оборудовании / устройствах и энергопотреблении
- Изменение настроек питания, отключение функций Windows, удаление, изменение или восстановление программы
- Изменение даты и времени и синхронизация с сервером времени в Интернете
- Установка и удаление языков отображения
- Изменение Простота доступа административных настроек
Общие задачи, такие как изменение часового пояса, не требуют прав администратора (хотя изменение самого системного времени требует, поскольку системное время обычно используется в протоколах безопасности, таких как Kerberos ). Ряд задач, которые требовали прав администратора в более ранних версиях Windows, таких как установка критических обновлений Windows, больше не требуют прав администратора в Vista. Любую программу можно запустить от имени администратора, щелкнув ее значок правой кнопкой мыши и выбрав «Запуск от имени администратора», за исключением пакетов MSI или MSU, поскольку в силу их характера, если потребуются права администратора, обычно отображается запрос. Если это не удастся, единственный обходной путь — запустить командную строку от имени администратора и запустить оттуда пакет MSI или MSP.
О контроле над чем идёт речь
Система защиты называется громко User Account Control (UAC), «Контроль учётных записей пользователей». По обыкновению переводчиков, они «заумнили» рубленное американское словосочетание, хотя ни о каких записях речи тут нет. Account , это «счёт», такой же, как в банке, или в ресторане на бумаге. Control , это не только контроль, но ещё и управление. А пользователь ( User ) стоит в единственном числе, поэтому вместо зауми могли просто написать: «Управление счётом пользователя». У них там вообще всё строится на различных счетах, и уже давно все привыкли употреблять это слово без перевода, просто эккаунт (или аккаунт), не вдаваясь в детали.
Степени защиты UAC
Ну и вот, это самое управление состоит из 4х степеней «защиты» (собственно, манеры задавания вопросов оператору)
- Самый низкий уровень защиты: не уведомлять меня (и не спрашивать разрешения) при попытке что-то изменить на компьютере. Уведомление это вот такое: Здесь операционка просит, чтобы оператор разрешил вносить изменение и ей самой. А низкий уровень означает – вносить изменения ничего не спрашивая.
- Уровень повыше: уведомлять только при попытке приложений внести изменения в компьютер, а когда я сам что-то меняю, то не уведомлять меня об этом. То есть, если я заснул и не помню, что начал менять на компьютере, операционка не спросит разрешения и всё будет изменено и неминуемо испорчено.
- Здесь то же самое, только ещё одна заумь: добавляется ЗАТЕМНЕНИЕ РАБОЧЕГО СТОЛА. Когда UAC выдаст запрос на разрешение, всё вокруг, кроме этого разрешения, вдруг станет тёмным как в страшной сказке. Причём вот тут об этом не сказано ни словечка, хотя рабочий стол затемняется, а в пункте 2 об этом как раз говорится: Опять всё то же, характерное для разработчиков Wiundows , стремление затемнить мозги пользователям.
- Самая суровая защита. UAC. Это то же, что и в 3 пункте, плюс уведомит(!) Вас(!) о ВАШЕЙ(!) попытке поломать собственный компьютер.
Затемнение рабочего стола — невнятный пунктик, который важен
А ларчик прост. Затемнение экрана говорит о том, что все прочие программы, кроме программ системы UAC, в этот момент остановлены. Они не могут за то время, пока Вы соображаете, сделать что-то из рук вон вредоносное. То есть, в степени защиты 2 ещё могут, а в степени защиты 3 уже всё, будут ждать как миленькие Вашего всемилостивого решения.
Ну а суровость последнего, 4го пункта самими разработчиками признаётся уже чрезмерной. Они предлагают благоразумно остановиться на пункте 3.
Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором
Этот параметр политики управляет поведением запроса на повышение прав для администраторов.
-
Повышение уровня без запроса Позволяет привилегированным учетным записям выполнять операцию, требующую повышения прав без необходимости получения согласия или учетных данных.
-
Запрос учетных данных на безопасном рабочем столе Если для операции требуется повышение привилегий, пользователю на защищенном рабочем столе будет предложено ввести привилегированное имя пользователя и пароль. Если пользователь вводит действительные учетные данные, операция продолжается с наивысшими доступными привилегиями пользователя.
-
Запрос согласия на безопасном рабочем столе Если для операции требуется повышение привилегий, пользователю на защищенном рабочем столе будет предложено выбрать «Разрешить» или «Запретить». Если пользователь выбирает разрешение, операция продолжается с наивысшими доступными привилегиями пользователя.
-
Запрос учетных данных Если для операции требуется повышение привилегий, пользователю будет предложено ввести имя и пароль администратора. Если пользователь вводит действительные учетные данные, операция продолжается с применимыми привилегиями.
-
Запрос согласия Если для операции требуется повышение привилегий, пользователю будет предложено выбрать «Разрешить» или «Запретить». Если пользователь выбирает разрешение, операция продолжается с наивысшими доступными привилегиями пользователя.
-
Запрос согласия на выдачу разрешений для разных binaries (по умолчанию). Если операция для приложения, не относястого от Майкрософт, требует повышения привилегий, пользователю на защищенном рабочем столе будет предложено выбрать разрешение или запретить. Если пользователь выбирает разрешение, операция продолжается с наивысшими доступными привилегиями пользователя.
Способ 2. Отключить или изменить контроль учётных записей с помощью с помощью .REG файла
- Выполните шаги ниже, в зависимости в какой режим хотите изменить Контроль учетных записей.
- Режим «Всегда уведомлять».
- Нажмите «Скачать» ниже, чтобы загрузить REG-файл, и перейдите к шагу 6 ниже.
- Режим «Уведомлять меня только при попытке приложений внести изменения в компьютер (по умолчанию)».
- Нажмите «Скачать», чтобы загрузить REG-файл, и перейдите к шагу 6 ниже.
- Режим «Уведомлять только при попытках приложений внести изменения в компьютер (не затемнять рабочий стол)»
- Нажмите «Скачать», чтобы загрузить REG-файл, и перейдите к шагу 6 ниже.
- Режим «Не уведомлять меня». Этот режим отключить контроль учетных записей UAC.
- Нажмите «Скачать», чтобы загрузить REG-файл, и перейдите к шагу 6 ниже.
- Сохраните файл .reg на рабочий стол.
- Дважды нажмите по загруженному файла .reg, чтобы объединить его.
- При появлении запроса нажмите «Выполнить», « Да» (UAC), « Да» и « ОК», чтобы подтвердить слияние.
- По завершении вы можете удалить загруженный файл .reg.
Вот и все,
В этой таблице описаны все настройки UAC и их влияние на безопасность вашего ПК.
Настройка | Описание | Влияние на безопасность |
Всегда уведомлять (рекомендуется) |
|
|
Уведомлять меня только при попытке приложений внести изменения в компьютер (по умолчанию) |
|
|
Уведомлять только при попытках приложений внести изменения в компьютер (не затемнять рабочий стол) |
|
|
Не уведомлять меня (выключите UAC) |
|
|
UAC не так раздражает, как кажется
Несмотря на все это, многие люди теперь отключают UAC как рефлекс, не задумываясь о последствиях. Однако, если вы попробовали UAC, когда Windows Vista была новой, а приложения к ней не были подготовлены, вы обнаружите, что использовать его сегодня гораздо меньше треплет нервы.
В Windows 10 UAC более отполирован — Windows 7 имеет более совершенную систему UAC с меньшим количеством запросов UAC, чем в Windows Vista.
Приложения стали более совместимыми — разработчики приложений больше не предполагают, что их приложения имеют полные права администратора. Вы не увидите так много запросов UAC при повседневном использовании. (Фактически, вы можете не видеть никаких запросов UAC при повседневном использовании компьютера, если вы используете хорошо разработанное программное обеспечение — только при установке новых приложений и изменении системных настроек).
UAC больше всего раздражает при настройке компьютера. Когда вы устанавливаете Windows или покупаете новый компьютер, UAC кажется хуже, чем есть на самом деле. Когда вы устанавливаете все свои любимые приложения и настраиваете параметры Windows, вы обязательно увидите приглашение UAC после запроса UAC. У вас может возникнуть соблазн отключить UAC на этом этапе, но не волнуйтесь — UAC не будет предлагать вам столько же, когда вы закончите настройку своего компьютера.
Если вы используете приложение, которое показывает подсказку UAC каждый раз при запуске, есть способы обойти подсказку UAC — это лучше, чем полностью отключить UAC.