User Account Control | это... Что такое User Account Control? (original) (raw)
User Account Control
UAC (User Account Control) — компонент Microsoft Windows, впервые появившийся в Windows Vista. Этот компонент запрашивает подтверждение действий, требующих прав администратора, в целях защиты от несанкционированного использования компьютера. Администратор компьютера может отключить UAC в панели управления.
Содержание
- 1 Предпосылки создания UAC
- 2 Принцип работы
- 3 Недостатки
- 4 Изменения UAC в Windows 7
- 5 Примечания
- 6 Ссылки
Предпосылки создания UAC
Ограничение прав, с которыми выполняются приложения, (например, различение между «суперпользователем» и «обычными пользователями») в течение десятилетий было обычным явлением в операционных системах для серверов и мейнфреймов. Домашние же ОС Майкрософт (такие как MS-DOS, Windows 3.x и Windows 9x) не имели разделения прав: программа могла выполнить любое действие на компьютере. Естественно, компьютеры общего пользования быстро оказывались заражены вредоносным ПО.
Несмотря на появление разделения прав в Windows NT, пользователи по привычке и для удобства использовали для работы учётную запись с правами администратора, нарушая принцип «запускать любую программу с минимально возможными правами». К тому же многие программы, написанные для Windows 9x или протестированные только с правами суперпользователя, не работали с урезанными правами — например, хранили конфигурационные файлы в каталоге с программой или в общей для всех пользователей ветке реестра.
Получается замкнутый круг: разработчики делают ПО, которому требуются широкие права пользователей, потому что пользователи «сидят под администраторами»; пользователи ведут даже повседневную работу с правами администраторов, потому что этого требует ПО. Поэтому, несмотря на то, что ОС линейки 9x уже много лет не производятся, на большинстве компьютеров с Windows 2000 и более поздними система разграничения доступа простаивает, а вредоносное ПО получает администраторские права. Пропаганда Microsoft, призывавшая делать программы совместимыми с разграничением доступа, действовала, но медленно — многие программы (особенно небольшие утилиты, написанные одиночками) продолжали использовать небезопасные операции. Для того, чтобы склонить разработчиков писать более «безопасные» программы (то есть, разорвать этот круг «методом кнута»), и разработали UAC. Да и вредоносная программа зачастую выдаёт себя именно срабатыванием UAC.
Принцип работы
В случае, если программа запрашивает действие, требующее прав администратора, выполнение программы приостанавливается и система выдает запрос пользователю. Окно с запросом размещается на защищённом рабочем столе, чтобы предотвратить «нажатие» программой кнопки разрешения.
Так, выдаются запросы при попытке изменения системного времени, установки программы, редактирования реестра, изменения меню «Пуск».
Также действует «виртуализация каталогов и реестра»: программа, которая пробует записать что-либо в каталог \Program Files\AppName\settings.ini
, записывает этот файл в каталог \User\AppData\Local\VirtualStore\Program Files\AppName\settings.ini
. Это обеспечивает совместимость старого ПО с разграничением доступа.
Список действий, вызывающих сообщение UAC
Вот (неполный) список действий, вызывающих сообщение UserAccount Control[1]:
- Изменения в каталогах
%SystemRoot%
и%ProgramFiles%
— в частности, инсталляция/деинсталляция ПО, драйверов и компонентов ActiveX; изменение меню «Пуск» для всех пользователей. - Установка обновлений Windows, конфигурирование Windows Update.
- Перенастройка брандмауэра Windows.
- Перенастройка UAC.
- Добавление/удаление учётных записей.
- Перенастройка родительских запретов.
- Настройка планировщика задач.
- Восстановление системных файлов Windows из резервной копии.
- Любые действия в каталогах других пользователей.
- Изменение текущего времени (впрочем, изменение часового пояса UAC не вызывает).
Недостатки
- Многие программы разработанные до появления Windows Vista либо полностью несовместимы с UAC, либо требуют принятия специальных мер при установке и настройке.[2]
- При активной работе за компьютером, особенно если она связана с администрированием, частые запросы UAC могут отвлекать и раздражать. Кроме того, окно с запросом не предоставляет пользователю достаточной информации для идентификации программы и действия, на которое потребовались дополнительные права.
- Необходимость перезапуска программы для выполнения некоторых ее функций.[3]
- UAC еще более усложнил и без того запутанную модель безопасности Windows, в частности набор привилегий программы теперь определяется не только учетной записью с правами которой создан процесс программы, но и способом запуска (обычный или с использованием «Run as Administrator»).[4]
Контроль учетных записей можно отключить в апплете Панели управления «Учетные записи пользователей», однако уровень обеспечения конфиденциальности и целостности программ и данных существенно снизится.
Изменения UAC в Windows 7
В Windows 7 UAC был существенно доработан, в частности, появились новые режимы работы: «всегда уведомлять», «уведомлять только при попытках программ внести изменения в компьютер», «уведомлять только при попытках программ внести изменения в компьютер (не затемнять рабочий стол)» и «никогда не уведомлять».
Примечания
- ↑ What triggers User Account Control prompts?
- ↑ Например, установка в каталог отличный от «Program Files», необходимость установки опции «Run as Administrator» в свойствах ярлыка запуска программы.
- ↑ Например, Microsoft Visual Studio требует перезапуска с правами администратора при попытке открытия дамп-файла и некоторых других операциях.
- ↑ Статья для разработчиков под Windows Vista: требования к разработке приложений с точки зрения механизма управления учетными записями пользователей (UAC) (рус.). Microsoft Corporation. Проверено 22 февраля 2010.
Ссылки
- Крис Корио. Работа с контролем учетных записей в приложениях Windows Vista.
- Отключение контроля учетных записей (UAC) в Windows Vista.
Компоненты Microsoft Windows | |
---|---|
Основные | Aero • ClearType • Desktop Window Manager • DirectX • Проводник (Explorer) • Панель задач («Пуск» • трей) • Shell (namespace • Special Folders • File associations) • Search (Saved search • iFilters) • Graphics Device Interface • WIM • Next Generation TCP/IP stack (Server Message Block) • .NET Framework • Audio • Printing (XML Paper Specification) • Active Scripting (WSH • VBScript • JScript) • COM (OLE • OLE Automation • DCOM • ActiveX • ActiveX Document • Structured storage • Transaction Server) • Previous Versions • WDDM • UAA • Win32 console |
Службыуправления | Backup and Restore Center • COMMAND.COM • cmd.exe • Easy Transfer • Event Viewer • Installer • Netsh • PowerShell • Problem Reports and Solutions • Sysprep • Настройка системы (msconfig) • System File Checker • WinSAT • Windows Update • Восстановление системы • Дефрагментация диска • Диспетчер задач • Диспетчер устройств • Консоль управления • Очистка диска • Панель управления (функции) |
Приложения | Актуальные: Contacts • DVD Maker • Fax and Scan • Internet Explorer • Journal • Magnifier • Media Center • Media Player • Meeting Space • Mobile Device Center • Mobility Center • Narrator • Paint • Private Character Editor • Remote Assistance • Speech Recognition • WordPad • Блокнот • Боковая панель • Звукозапись • Календарь • Калькулятор • Ножницы • Почта • Таблица символов Исторические: Movie Maker • NetMeeting • Outlook Express • Фотоальбом |
Игры | Chess Titans • Hold 'Em • InkBall • Mahjong Titans • Purble Place • Пасьянс «Косынка» • Пасьянс «Паук» • Сапёр • Пасьянс «Свободная ячейка» • Пинбол • Червы |
Ядро ОС | Ntoskrnl.exe • hal.dll • System Idle Process • Svchost.exe • Registry (реестр) • Windows service • Service Control Manager • DLL • EXE • NTLDR • Boot Manager • Winlogon • Recovery Console • I/O • WinRE • WinPE • Kernel Patch Protection |
Службы | Autorun • BITS • CLFS Error Reporting • Multimedia Class Scheduler • Shadow Copy • Task Scheduler • Wireless Zero Configuration • |
Файловые системы | NTFS (Hard link • Junction point • Mount Point • Reparse point • Symbolic link • TxF • EFS) • FAT • exFAT • CDFS • UDF • DFS • IFS |
Сервер | Active Directory • Deployment Services • DFS Replication • DNS • Domains • Folder redirection • Hyper-V • IIS • Media Services • MSMQ • Network Access Protection • Print Services for UNIX • Remote Differential Compression • Remote Installation Services • Rights Management Services • Roaming user profiles • SharePoint Services • System Resource Manager • Terminal Services • WSUS • Групповая политика • Координатор распределённых транзакций |
Архитектура | Обзор • Object Manager • I/O request packets • Kernel Transaction Manager • Logical Disk Manager • Security Accounts Manager • Windows Resource Protection • LSASS • CSRSS • SMSS • Диспетчер печати • Запуск (Vista) |
Безопасность | BitLocker • Defender • DEP • Mandatory Integrity Control • Protected Media Path • UAC • UIPI • Брандмауэр • Центр обеспечения безопасности |
Совместимость | Unix subsystem (Interix) • Virtual DOS Machine • Windows on Windows • WOW64 |
Wikimedia Foundation.2010.