Работа с User Account Control (UAC) в Windows Vista

Една от последните основни функции, налични в Windows Vista, е контролът на потребителските акаунти (UAC). В тази статия ще ви кажем как да промените параметрите на работата му.

3. Деактивиране на UAC чрез редактора на системния регистър

4. Управление/деактивиране на UAC чрез групови правила

Ако имате много компютри на ваше разположение и искате да промените поведението на UAC на всички машини, най-добрият начин е да използвате групови правила (групови правила). Методът на груповата политика също е най-подробният и ви дава възможност да зададете голямо разнообразие от опции, свързани с UAC. Ще ви покажа как да направите това с помощта на административния инструмент за локална групова политика.

  1. Отидете на Старт (старт) Всички програми (всички програми) Принадлежности (стандартно) Изпълнение (изпълнение).
  2. В прозореца Run въведете "secpol.msc" и натиснете [Enter].
  3. Когато контролът на потребителските акаунти ви подкани за разрешение да продължите, щракнете върху бутона Продължи.
  4. Намерете Конфигурация на компютъра Настройки на Windows Настройки за защита Локални правила Опции за сигурност Ще видите екрана, показан на снимка F.
  5. Изберете GPO, който искате да редактирате, и променете настройките до необходимите стойности. Списъкът по-долу ви показва всички настройки на груповата политика, свързани с контрола на потребителския достъп.
Изображение F
account
Редактор на обекти за групови правила.

Има редица опции, свързани с контрола на потребителския достъп:

Контрол на потребителските акаунти: Разширен режим на работаподсказки за вградения администраторски акаунт - тази настройка засяга начина, по който работи UAC, когато се използва вграденият администраторски акаунт.

Контрол на потребителските акаунти: Съвет за администратори в режим на одобрение от администратор - Тази настройка засяга какво се случва, когато администратор (различен от вградения администраторски акаунт) стартира привилегировано приложение.

  • Приемане без подкана: Това е най-опасната настройка и трябва да се използва само в безопасна среда. Ограничените приложения работят с администраторски права без никаква намеса.
  • Съвет за парола: Потребителят е подканен да даде потребителско име и парола за потребител с администраторски права.
  • Подсказка за разрешение (по подразбиране): Това е нормалното поведение за UAC и подканва потребителя (ако приемем, че има администраторски права) да даде или откаже разрешение за стартиране на приложението с администраторски права.

Контрол на потребителските акаунти: Стандартен потребителски режим за подобряване на подканите - Тази настройка определя какво се случва, когато стандартен потребител се опита да стартира привилегировано приложение.

  • Подсказка за парола (по подразбиране за домашни версии): Потребителят е подканен да даде потребителско име и парола за потребител с локални администраторски права.
  • Автоматично отхвърляне на заявки за инсталиране (зададено по подразбиране в корпоративните издания): Потребителите ще получават съобщения, показващи, че достъпът до приложението е отказан.

Контрол на акаунтаПотребителски записи: Откриване на инсталиране на приложение и подкана за инсталиране - Как UAC реагира на подкана за инсталиране на нов софтуер?

  • Активирано (по подразбиране за домашни издания): Инсталирането на приложения, които изискват административни привилегии, ще стартира UAC подкана.
  • Деактивирано (по подразбиране за корпоративни издания): Тъй като много инсталационни приложения се контролират чрез групови правила, не е необходима намеса или потвърждение на потребителя.

Контрол на потребителските акаунти: Изпълнявайте самоизпълними файлове, които са оторизирани и одобрени - Приложенията, които се изпълняват, изискват ли верифицирана сертифицирана верига PKI (инфраструктура на публичен ключ)?

  • Активирано: Изисква приложението да има оторизирана сертифицирана PKI (инфраструктура на публичен ключ) верига, преди да бъде разрешено да работи.
  • Деактивирано (по подразбиране): Не изисква приложението да има разрешение за стартиране.

Контрол на потребителските акаунти: стартирайте само приложения на UIAccess, които са инсталирани на защитено място - Приложенията, които трябва да се изпълняват с интегрирания слой UIAccess, трябва да са в защитената зона на системата.

  • Активирано (по подразбиране): Приложение с интеграция на UIAccess ще работи само когато се намира в защитена зона на системата.
  • Деактивирано: Приложение с интеграция на UIAccess ще работи независимо от местоположението на изпълнимите програми.

Контрол на потребителските акаунти: Стартирайте всички администратори в режим на одобрение на администратор - Стартирайте всички потребители, включително администратори,като редовни потребители. Това ефективно включва или изключва UAC. Ако промените тази настройка, ще трябва да рестартирате системата.

  • Активирано (по подразбиране): Режимът на административно одобрение и UAC са активирани.
  • Деактивирано: Деактивирайте UAC и режима на одобрение от администратор.

Контрол на потребителските акаунти: Активирайте безопасен режим на компютъра, когато бъдете подканени да стартирате - Когато UAC е активиран и бъдете подканени да стартирате, сменете Windows Vista на безопасен режим, за разлика от стандартния потребителски режим.

  • Активирано (по подразбиране): Подканите за стартиране са насочени към вашия компютър за сигурност.
  • Деактивирано: Подканите за изтегляне са насочени към стандартна компютърна работа.

Контрол на потребителските акаунти: виртуализира грешките при запис на файл и регистър за всеки потребител - тази настройка позволява пренасочване на грешки при запис на наследени приложения към конкретни места в регистъра и файловата система, отслабвайки въздействието на тези приложения, които отдавна се изпълняват с администраторски права и приложения за достъп до %ProgramFiles%, %Windir%; %Windir%\system32 или HKLM\Software\. Накратко, този ключ помага да се поддържа фонова съвместимост с наследени приложения, които не искат да работят като стандартен потребител.

  • Активирано (по подразбиране): Приложенията, които записват данни в защитени зони, ще бъдат пренасочени към други местоположения.
  • Деактивирано: Приложенията, които записват данни в защитени зони, ще се сринат.

Избирателно деактивирайте контрола на потребителския достъп

Не всички приложения са етикетирани по този начин.начин за задействане на UAC предупреждение, когато се стартира. Много приложения обаче изискват работа с разрешени администраторски права, за да се постигне подходящо ниво на производителност. За да се справите с тази ситуация, можете да маркирате приложението, така че да се зарежда с администраторски права всеки път, когато се изпълнява. За да стане така:

  1. щракнете с десния бутон върху стартиращите програми, свързани с приложения;
  2. изберете опцията Свойства от краткото меню;
  3. на страницата със свойства изберете етикета Съвместимост (съвместимост);
  4. под заглавието Privilege Level (ниво на привилегии), поставете отметка в квадратчето до „Run this program as an administrator“ (изпълнете тази програма като администратор), както е показано на снимка G;
  5. щракнете върху OK.
Изображение G
user
Раздел за съвместимост на приложения.

За някои приложения опцията „Изпълни тази програма като администратор“ може да не е налична. Има няколко причини за това:

  • не сте влезли като потребител с администраторски права;
  • приложението не може да се изпълнява с права за изтегляне;
  • приложението е част от операционната система. OS приложенията не могат да бъдат модифицирани по този начин.

Уморително, но си заслужава

UAC може и има елемент на досада, когато става въпрос за сигурност на системата, но е незаменим, когато става въпрос за проблеми със сигурността на системата, особено за потребителите на домашни компютри. Потребителите на Mac и Linux са се сблъсквали с подобни основни схеми за сигурност от дълго време, но за потребителите на Windows ситуацията е различна.След като потребителите на Windows свикнат с новостите, те ще оценят добавената сигурност.