Контроль учетных записей в windows 10: Как работает контроль учетных записей (Windows) — Windows security

{{l10n_strings.DRAG_TEXT_HELP}}

{{article.content_lang.display}}

{{l10n_strings.AUTHOR_TOOLTIP_TEXT}}

Как полностью отключить контроль учетных записей Windows

Контроль учетных записей пользователей Windows, также известный как UAC, является интегрированной функцией во всех операционных системах Microsoft, которая позволяет вам контролировать компьютер, запрашивая разрешение, прежде чем вносить изменения, требующие прав администратора.

Прежде чем объяснять, как отключить контроль учетных записей Windows, следует сказать, что UAC всегда должен быть активным, поскольку он может предотвращать и блокировать несанкционированные изменения, которые могут поставить под угрозу безопасность компьютера.

Контроль учетных записей можно отключить несколькими способами: в настройках UAC, в системном реестре или в командной строке.

Отключить контроль учетных записей Windows в настройках

1. Нажмите на клавиатуре компьютера клавиши Win (это клавиша с логотипом Windows) и R одновременно. Откроется окно «Выполнить».
2. В поле Открыть: введите useraccountcontrolsettings и нажмите кнопку ОК.
3. Откроется окно настроек контроля учетных записей Windows.
4. Теперь переведите селектор до «Никогда не уведомлять».

5. Нажмите ОК.

Чтобы завершить процедуру и отключить контроль учетных записей Windows, вы должны перезагрузить компьютер.

Отключить контроль учетных записей Windows в реестре

Чтобы отключить UAC, мы можем использовать редактор реестра Windows (→ что такое реестр Windows).

Важно

1. Нажмите на клавиатуре компьютера клавиши Win (это клавиша с логотипом Windows) и R одновременно. Откроется окно «Выполнить».
2. В поле Открыть: введите regedit и нажмите ОК. Откроется редактор реестра.

   Перед изменением реестра рекомендуется создать резервную копию (→ как сделать резервную копию реестра Windows) или точку восстановления, которую можно использовать в случае проблем (→ как создать точку восстановления Windows).

3. На левой панели найдите этот ключ: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
4. На правой панели найдите элемент EnableLUA и дважды кликните по нему.
5. Откроется окно «Изменение параметра DWORD».

6. В поле Значение: поменяйте 1 на 0.
7. Нажмите ОК.
8. Закройте редактор реестра.

Чтобы завершить процедуру и отключить контроль учетных записей Windows, необходимо перезагрузить компьютер.

Отключите контроль учетных записей с помощью командной строки

1. Откройте командную строку Windows от имени администратора.
2. Скопируйте и вставьте следующую команду в командную строку: C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
3. Нажмите Enter на клавиатуре компьютера.

Чтобы завершить процедуру и отключить контроль учетных записей Windows, вы должны перезагрузить компьютер.

Что произойдет, если отключить контроль учетных записей

В заключение руководства мы объясним, что произойдет, если вы решили отключить контроль учетных записей Windows.

• Вы больше не будете получать никаких уведомлений о том, нужно ли разрешить или запретить изменения, требующие административных прав.
• Если вы используете стандартную учетную запись пользователя, вы не сможете вносить изменения, требующие авторизации администратора, поскольку они будут автоматически заблокированы.
• Если вы используете учетную запись администратора, некоторые программы могут вносить изменения в компьютер без предварительного разрешения.

Важное замечание: единственный пользователь Windows, на которого не распространяется UAC, – это Супер Администратор, который по соображениям безопасности отключен по умолчанию (→ что такое учетная запись Супер Администратора и как её включить).

Контроль учетных записей и права администратора в Windows 10

Вы являетесь администратором сети для своей семьи или семьи? В какой-то момент один из самых близких вам людей установит что-то нехорошее или что-то сломает, не задумываясь об этом, и именно поэтому тип используемой учетной записи пользователя Windows имеет значение.

Если все в вашей сети используют учетную запись администратора, у вас будут плохие времена. Тем не менее, существует много запутанной информации о том, что стандартные учетные записи могут и не могут делать. Вот что вам нужно знать.

Что такое учетные записи пользователей Windows?

Каждый раз, когда вы используете компьютер с Windows 10, вы входите в учетную запись пользователя. Если вы единственный пользователь на вашем компьютере

, скорее всего, у вас есть администратор учетная запись. Учетные записи администратора являются привилегированными, то есть они могут выполнять любые действия в системе с минимальными ограничениями (обычно для подтверждения требуется пароль).

стандарт Учетные записи могут использовать компьютер в буквальном смысле: просматривать Интернет, отправлять электронные письма, играть в игры, использовать программное обеспечение и так далее. Стандартные учетные записи также могут вносить некоторые системные изменения, с ограничениями, и ничего, что может повлиять на других пользователей в той же системе.

Существует также опция для выделенной дочерней учетной записи в Windows 10

, Эти учетные записи имеют ряд ограничений, а также интегрированный мониторинг для наблюдения за родителями. Windows также имеет ряд встроенных родительских контролей

,

Реальное внимание уделяется типу учетной записи в сочетании с настройкой контроля учетных записей (UAC).

Понимание UAC и учетных записей пользователей

По умолчанию для учетных записей Standard и Administrator используется UAC. Это первое, что отключают некоторые пользователи, считая это ненужным и отнимающим много времени.

Но посмотрите на это по-другому: каждый раз, когда вам нужно вводить пароль, вы знаете, что вредоносный процесс должен делать то же самое. И если злонамеренный процесс не знает пароль, вы мгновенно спасаете себя от мира компьютерных атак, а также экономите время в процессе.

Давайте рассмотрим, как UAC работает с обеими учетными записями.

Как стандартные, так и административные учетные записи получают доступ к ресурсам и запускают программы в контексте безопасности обычного пользователя. Когда вы включаете UAC, каждое приложение требует разрешения, используя маркер доступа администратора.

Это означает, что ваша учетная запись, Администратор или Стандартный, защищена с использованием тех же механизмов безопасности. Различаются разрешения, доступные для каждой учетной записи, которые, в свою очередь, модерируются с помощью контроля учетных записей.

Запросы контроля учетных записей

Таким образом, когда UAC включен, Стандартная учетная запись получает различные уровни запросов для обеспечения безопасности. Подсказки гарантируют, что пользователь проверяет каждое существенное изменение в системе, отклоняя что-либо неизвестное или неожиданное (по крайней мере, в теории).

Уровни UAC

Вы можете установить UAC на один из четырех уровней:

• Всегда сообщайте мне: Высочайший уровень контроля учетных записей, запросы на проверку для каждого приложения, каждой части программного обеспечения и каждого изменения настроек Windows.
• Уведомлять меня только тогда, когда приложения пытаются внести изменения: Уровень UAC по умолчанию, запрашивает проверку для новых приложений, но не для настроек Windows.
• Уведомлять меня только тогда, когда приложения пытаются внести изменения: Это то же самое, что уровень UAC по умолчанию, но он не затемняет рабочий стол при появлении запроса на проверку.
• Никогда не уведомляй меня: Самый низкий уровень контроля учетных записей, вы не получаете уведомлений о любых изменениях системы, в любое время для указанной учетной записи пользователя.

Настройка по умолчанию подходит для большинства пользователей. Конечно, это зависит от пользователя. Разница заключается в типе приглашения, которое получает пользователь, в зависимости от учетной записи.

Согласие

Учетная запись администратора получит быстрое согласие. Это приглашение появляется для трех уровней контроля учетных записей, которые требуют проверки. Администратору нужно только щелкнуть по согласию, чтобы подтвердить изменения в системе.

Учетные данные

Стандартный аккаунт вместо этого получает учетные данные. В отличие от вошедшего в систему запроса на согласие учетной записи администратора, для запроса учетных данных требуется пароль администратора для проверки изменений системы.

Цветовые коды

Приглашения для проверки UAC также имеют цветовую кодировку. Это позволяет учетным записям Standard и Administrator сразу понять риск, связанный с системой.

Должен ли я использовать учетную запись администратора?

Учетная запись администратора важна. В каждой системе есть такой, поскольку вы не сможете установить программное обеспечение и вносить другие изменения без него. Но должна ли ваша основная учетная запись быть администратором?

Ответ на самом деле лежит в вашей системе пользователей.

Например, я единственный человек, который использует эту систему. Поэтому я запускаю защищенную паролем учетную запись администратора. Но на семейном ноутбуке у меня есть защищенная паролем учетная запись администратора и стандартная учетная запись с включенным контролем учетных записей. UAC — это то, что имеет значение для учетных записей Standard и Administrator.

При этом вам не обязательно использовать учетную запись администратора по умолчанию. Конечно, это ускоряет определенные вещи, но ввод вашего пароля занимает всего секунду. Я бы не стал полностью отключать учетную запись администратора, как предлагают некоторые другие руководства.

Но опять же, это зависит от того, кто использует систему. Можно скрыть учетную запись, а не полностью отключить ее (в Windows есть скрытая учетная запись администратора для технического использования

).

Кроме того, отключение уведомлений UAC не является хорошей идеей. Он просто удаляет базовый уровень безопасности системы, который иногда спасает вашу систему от вредоносного процесса.

И даже если вы отключите уведомления, UAC все еще работает. Это просто означает, что каждый запрос на валидацию немедленно утверждается Однако для стандартных учетных записей это означает, что все запросы на проверку немедленно отклоняются.

TL; DR: Стандартная учетная запись с правильными настройками UAC так же полезна, как учетная запись администратора, и, возможно, даже немного более безопасна.

как отключить, включить и настроить контроль учетных записей в реестре

В каких сценариях срабатывает UAC?

• Программы, которые пытаются запустить от имени администратора.
• Попытки внести изменения в реестр Windows.
• Установщики или программы пытаются внести изменения в папку Windows или Program Files.
• Изменения в правах доступа пользователя или папки.
• Изменения в функциях безопасности Windows.
• Создание или удаление пользователей.
• Расписание задач.
• Восстановление или изменение системных файлов.
• Установка драйверов.

Уровни безопасности UAC

В конфигурации UAC мы сможем найти различные уровни безопасности. Эти уровни позволят нам настроить уровень защиты, который мы хотим для нашей системы Windows 10.

• Не уведомлять меня: Контроль учетных записей отключен. Он не предупредит, когда программы попытаются внести изменения в системе.
• Уведомлять только при попытках приложений внести изменения в ПК (не затемнять рабочий стол): Рабочий стол не затемнен, поэтому предупреждение может остаться незамеченным.
• Уведомлять только при попытках приложений внести изменения в ПК (по умолчанию): уведомляет нас, когда программы пытаются внести изменения на компьютере, но не когда они пытаются изменить конфигурацию. Это рекомендуемый параметр по умолчанию в Windows 10.
• Всегда уведомлять:UAC будет появляться всякий раз, когда мы пытаемся что-то установить, или любая программа пытается внести изменения в конфигурацию оборудования. Это наивысший уровень безопасности и он рекомендуется при установке нового программного обеспечения и посещении неизвестных веб-сайтов.

Что такое Windows UAC

Windows UAC — это контроль ваших учётных записей. Для пользователя он служит защитой, следит за совместимостью старых программ, помогает нам уберечься от вирусов, нежелательных программ, которые у нас могут запуститься, и различных приложений. Windows UAC работает постоянно. Каждый раз, когда вы будете запускать программу на своём компьютере, контроль прервёт запуск, и всплывёт окно с вопросом о разрешении системе открыть нужную программу. Если вы не имеете администраторских прав, система запросит вас ввести пароль.

Пример того, как выглядит всплывающее сообщение:

Всплывающее оповещение при попытке внести изменения на компьютер

Что такое UAC и зачем он нужен?

Многих пользователей раздражают такие уведомления. Ведь приходится каждый раз подтверждать, что вы согласны на установку нового приложения. Но контроль учётных записей служит для защиты от вредоносного ПО: вирусов, шпионов, рекламщиков. Он не заменит антивирус, сетевой экран или firewall. Но без этой функции Windows будет уязвима.

Если отключить UAC, компьютер окажется под угрозой. Не стоит деактивировать Account Control без причин. Иначе абсолютно любая программа сможет менять настройки системы, устанавливать свои дистрибутивы и запускать их. И всё это без ведома пользователя.

Контроль учётных записей можно настроить, чтобы он не был таким «надоедливым», и оповещение не выскакивало при запуске любой программы. Но рекомендуется оставить эту функцию в активном состоянии, чтобы защитить ПК.

Почему не стоит полностью выключать защиту

К сожалению, эта технология вызывает у пользователя лишь раздражение. Несмотря на то что UAC повышает безопасность вашего ПК, не позволяет запуститься вредоносным программам и уберегает от вирусов, пользователи не любят назойливых оповещений, мешающих работать. В основном причина, по которой требуется отключить контроль, — это необходимость работать с несколькими программами одновременно. В таком случае UAC начнёт раздражать и мешать вашей работе. Компания Microsoft не рекомендует полностью отключать службу контроля, потому что существует риск случайно запустить шпионскую программу или загрузить вирусы, которые могут быстро заразить ваш компьютер и всю операционную систему. В конце концов, включение UAC в систему Windows было нужно как раз для защиты.

Редактор реестра

Перед тем как что-то менять в реестре, надо сделать его резервную копию. Чтобы в случае возникновения неполадок его быстро восстановить.

1. Перейдите в «Пуск — Выполнить» или нажмите Win+R.
2. Введите «regedit» и нажмите «OK».
3. В появившемся окне откройте «Файл — Экспорт».
4. Укажите путь к папке, в которой надо сохранить бэкап.

Вот как в Windows 7 отключить контроль учётных записей UAC:

1. В редакторе реестра откройте «Правка — Найти».
2. Запустите поиск по запросу «EnableLUA».
3. В результатах выберите строчку с таким же названием. Дважды кликните по ней.
4. В поле «Значение» напишите цифру «0» (ноль), чтобы остановить работу службы.
5. Чтобы снова включить UAC, поменяйте «0» на «1» (единицу).
6. Нажмите «OK» и перезапустите ПК.

Как включить/отключить службу при помощи командной строки

Отключение и включение UAC возможно также через консоль.

1. Первым делом зажмите две клавиши Windows+X либо через меню «Пуск» выберите «Командная строка (администратор)».

   Нужно выбрать «Командная строка» в режиме администратора, чтобы перейти к консоли

2. Запускается консоль. Здесь измените параметры. Вместо /t REG_DWORD /d 0 /f введите /t REG_DWORD /d 1 /f. После того как вы набрали команду, защита отключится.

   Изменяем значения, чтобы отключить UAC

3. Закрепите результат перезагрузкой компьютера.
4. Если понадобится вновь активировать UAC, просто поменяйте параметры наоборот. С нуля на единицу.

Включить флаг RUNASINVOKER для программы через реестр

В Windows 10/8.1/7 вы можете включить флаг совместимости RUNASINVOKER через реестр. Флаг совместимости приложения можно выставить для одного пользователя или для всех пользователей компьютера:

Например, для regedit нужно в ветке реестра HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers создать новый строковый параметр (REG_SZ) вида:

• Value name: C:\windows\regedit.exe
• Value data: RunAsInvoker

Если нужно включить режим совместимости приложения для всех пользователей компьютера, этот параметр нужно создать в ветке реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers.

В домене можно распространить эти настройки реестра пользователям через GPO.

Видео: как отключается контроль учётных записей в Windows 10

Если вы хотите поподробнее познакомиться с отключением и настройкой UAC в Windows 10, можете ознакомиться с видеороликом, в котором рассказывается, как это делается.

Правильно установленные настройки контроля учётных записей позволяют обеспечить желаемый уровень безопасности ПК. Главное — помнить, что UAC является способом защиты вашей системы и поддержания её в безопасности. Контроль активировали, чтобы защищать от вирусов, вредоносного программного обеспечения; его всегда можно включить обратно, и тогда беспокоиться о вашей системе не придётся.

• Автор: Руги Деме
• Распечатать

Меня зовут Руги. И на сегодняшний день мне всего 20 лет. Поступала на специальность Экономическая кибернетика. Но планирую работать в другой сфере. Оцените статью:

1. 5
2. 4
3. 3
4. 2
5. 1

(10 голосов, среднее: 2.8 из 5)
Поделитесь с друзьями!

Отключение контроля учетных записей (UAC) в панели управления

Первый способ — использовать соответствующий пункт в панели управления Windows 10 для изменения настроек контроля учетных записей. Кликните правой кнопкой мыши по меню Пуск и в контекстном меню выберите пункт «Панель управления».

В панели управления вверху справа в поле «Просмотр» поставьте «Значки» (не Категории) и выберите пункт «Учетные записи пользователей».

В следующем окне нажмите по пункту «Изменить параметры контроля учетных записей» (для этого действия требуются права администратора). (Также можно попасть в нужное окно быстрее — нажать клавиши Win+R и ввести UserAccountControlSettings в окно «Выполнить», после чего нажать Enter).

Теперь вы можете вручную настроить работу контроля учетных записей или отключить UAC Windows 10, чтобы в дальнейшем не получать каких-либо уведомлений от него. Просто выберите один из вариантов настроек работы UAC, которых здесь присутствует четыре.

1. Всегда уведомлять, когда приложения пытаются установить программное обеспечение или при изменении параметров компьютера — самый безопасный вариант, при любом своем действии, которое может что-то изменить, а также при действиях сторонних программ вы будете получать уведомление об этом. Обычные пользователи (не администраторы) должны будут ввести пароль для подтверждения действия.
2. Уведомлять только при попытках приложений внести изменения в компьютер — этот параметр установлен в Windows 10 по умолчанию. Он означает, что контролируются только действия программ, но не действия пользователя.
3. Уведомлять только при попытках приложений внести изменения в компьютер (не затемнять рабочий стол). Отличие от предыдущего пункта в том, что рабочий стол не затемняется и не блокируется, что в некоторых случаях (вирусы, трояны) может быть угрозой безопасности.
4. Не уведомлять меня — UAC отключен и не уведомляет о каких-либо изменениях в параметрах компьютера, инициированных вами или программами.

Если вы решили отключить UAC, что является совсем не безопасной практикой, в дальнейшем следует быть очень внимательным, поскольку все программы будут иметь к системе тот же доступ, что и вы, в то время как контроль учетных записей не сообщит, если какая-то из них «слишком много на себя берет». Иными словами, если причина отключения UAC только в том, что он «мешает», я настойчиво рекомендую включить его обратно.

Настройка UAC

В Windows 7 появилась возможность настройки уровня предупреждений для UAC. Экран настройки UAC выглядит следующим образом:

Рис. 1. Настройка UAC в Windows 7.

Всего доступно четыре уровня предупреждений UAC:

1. Самый высокий уровень
   – предупреждения при любых попытках модифицировать системные настройки и файлы, а так же при установке программного обеспечения
2. Второй уровень
   – предупреждения только при попытках внести изменения в системную конфигурацию и настройки пользователя
3. Третий уровень
   – предупреждения только при попытках внести изменения в системную конфигурацию
4. Четвертый уровень
   – полное отключение UAC.

Но куда более важными, на мой взгляд, являются дополнительные настройки UAC в политиках безопасности (рис. 2):

Рис. 2. Настройки UAC в политиках безопасности.

Рассмотрим более подробно некоторые из политик UAC:

1. Behavior of the elevation prompt for administrators
   – позволяет задать режим поведения окна валидации при повышении администраторских прав. К примеру, можно включить подтверждение прав с помощью пароля (prompt for credentials) или оставить подтверждение прав только с помощью нажатия OK (prompt for consent).
2. Behavior of the elevation prompt for users
   – аналогично первому пункту, но для учетных записей в режиме пользователя.
3. Switch to the secure desktop when prompting for elevation
   – переключению рабочего стола в безопасный режим при прохождении валидации. Для пользователя включение данной политики отражается в виде затенения рабочего стола при прохождении проверки. В дествительности роль данной политики в изоляции процедуры валидации от других работающих программ с целью предотвратить перехват окна UAC программными способами.
4. Virtualizes file and registry write failures to per-user locations
   – виртуализация файлов и реестра. Позволяет работать с программами в режиме виртуализации с целью исключить повреждения файловой системы и реестра (режим песочницы).

Рекомендации по настройке UAC:

Лично я использую самые высокие настройки безопасности UAC, включая необходимость ввода пароля при валидации. Это дает мне полную защиту системных файлов, реестра и служб Windows. Как правило, программное обеспечение использует системные файлы и реестр только для чтения. Исключения здесь могут представлять только системные утилиты, где подтверждения прав доступа к системе вполне оправдано. Использования пароля обусловлено тем, что под моей учетной записью иногда работаю не только я, поэтому, только нажатия кнопки Yes не является достаточным условием безопасности.

Групповые политики

Ещё один метод взаимодействия с Account Control — редактор групповой политики. Этот способ подойдёт не для всех версий операционной системы. Только для Профессиональной, Максимальной и Корпоративной Windows.

1. Перейдите в «Пуск — Выполнить» или нажмите Win+R.
2. Напишите в поле для ввода «secpol.msc» без кавычек и кликните на «OK».
3. Раскройте иерархию «Локальные политики — Параметры безопасности».
4. В списке справа найдите пункты «Контроль учётных записей». Там их несколько.
5. Вам нужен тот, который заканчивается словами «Все администраторы работают в режиме одобрения». Дважды щёлкните по нему.
6. На вкладке «Параметры безопасности» поставьте маркер рядом с пунктом «Отключение».
7. Нажмите «Применить», закройте редактор и перезагрузите компьютер.

Как процессы получают полные права

Попробуйте запустить командую строку от имени администратора с ползунком UAC в нижнем положении. В заголовке окна написано «Администратор», но при запуске запрос не появляется. В этом примере вы сами указываете желаемые права, но иногда за вас это делает приложение.

Установщики подавляющего большинства программ прописывают в манифесте уровень highestAvailable. В этом случае у администраторов установщик запускается с полными правами сразу, поэтому запись в системные расположения (Program Files) ведется без подтверждений.

В этом и заключается недостаток работы с отключенными уведомлениями UAC. Вы никак не контролируете запуск процессов с полными правами.

Как выключить UAC в Windows 8, 8.1, 10

Все более менее новые системы от Microsoft учат работать с поисковой строкой, поэтому многие элементы уже не доступны по путям, предоставленным в более ранних версиях. Действия подобны и тем, что нужно выполнить в предыдущей версии системы, разница заключается в методе поиска нужного окна управления.

1. Нажмите Win + Q или перейдите к поисковой строке через чудо кнопки;

2. В строке поиска задайте ключевое слово UAC;

3. Выберите пункт, соответствующий данной записи «Изменение параметров контроля учетных записей»;

4. Установите ползунок, в нужное положение.

Приложение разработано для борьбы с такими, весьма распространенными угрозами как: троянские программы, черви, шпионские приложения и тому подобные уязвимости системы.

Большинство хороших антивирусных защит, естественно, платны, но существуют и такие, которые не предусматривают обязательную оплату. Возможно, вам подойдет демо режим, какой-либо известной компании разработчика или вы можете воспользоваться вовсе бесплатными вариантами. В случае, если вы выбрали бесплатные программы, вы должны осознавать, что уровень их технической поддержки на порядок ниже, в связи с чем, далеко не всегда вы получаете новейшую защиту.

Если у Вас остались вопросы по теме “Что такое UAC и как его отключить в Windows 7,8 и 10?”, то можете задать их в комментариях

Оцените материал

Рейтинг статьи 5 / 5. Голосов: 4

Пока нет голосов! Будьте первым, кто оценит этот пост.

Поделитесь в социальных сетях!

Почему стоит отключить User Account Control?

• Во-первых, он всем надоедает. Бесконечно вылезают окна с вопросом, хотим ли мы запустить то или иное приложение, а бывают даже такие ситуации, когда для запуска софта приходится кликать по одинаковым окнам несколько раз, что жутко бесит. Мало того, при включенном UAC программы выполняются с ограниченным доступом и если нам по мере использования понадобятся права администратора, то софтину придется перезапускать.
• Во-вторых, он бесполезен, хотя бы потому, что когда вылезает окно с запросом, пользователи в автоматическом режиме нажимают \”ДА\”, даже не читая, что там написано. Эти тупые окна до того всем надоели, что никто уже в принципе не смотрит на эти предупреждения. Это происходит интуитивно на подсознательном уровне и даже если там будет такой вопрос: \”Форматировать все диски и перезагрузить компьютер?\” – юзер нажмет \”ДА\”.
• В-третьих, пользы от этих запросов вообще никакой. Разработчики троянов и различной малвари уже давно научились обходить стандартные средства защиты Windows, сколько бы они не обновлялись. И вообще, Microsoft – это не антивирусная лаборатория, поэтому ни о какой хорошей защите не может идти и речи. Весь этот UAC, Smart Screen и Windows Defender это всего лишь игрушки, которые сделаны для того, чтобы операционная система не загнулась сразу же после первого подключения к Интернету.

Уязвимости Windows

Так уж сложилось, что большинство пользователей Windows работают под учетной записью администратора со всеми вытекающими отсюда последствиями. Так как администратор практически не ограничен в своих правах, этим активно пользуют вирусописатели для распространения своего кода. Можно выделить несколько наиболее важных целей, на которые приходятся вирусные атаки:

1. Файловая система (как правило: заражение исполняемых файлов)
2. Службы Windows
3. Реестр

И вот здесь возникает вопрос, как изолировать пользователя от системы даже при работе под администратором. Для этих целей и служит UAC.

Как изменить или отключить UAC?

Знаете ли вы, что вы можете изменить настройки контроля учетных записей (UAC) , чтобы изменить уровень безопасности в Windows 10? Хотя большинство пользователей практически не знают о его существовании, контроль учетных записей (UAC) в Windows 10 является основной функцией безопасности, которая предотвращает несанкционированные изменения приложений на вашем компьютере или устройстве. Прочтите это руководство, чтобы узнать, как изменить уровни уведомлений UAC и решить, как часто вы получаете «Хотите ли вы, чтобы это приложение могло вносить изменения в ваш ПК?» подскажите в Windows 10.

Перво-наперво: об управлении учетными записями пользователей в Windows 10

Контроль учетных записей (UAC) является частью системы безопасности Windows начиная с Windows Vista. Первоначально считается слишком раздражающим, но с тех пор был улучшен. В результате получается более спокойная версия UAC, с которой вы сталкиваетесь в Windows 10. Контроль учетных записей пользователей Windows 10 появляется, когда вы запускаете настольное приложение, для работы которого требуются разрешения администратора или меняются важные системные параметры, требующие одобрения администратора.

Задачи, для которых требуются права администратора и которые могут вызывать приглашение UAC, например «Запуск от имени администратора», отмечены желтым и синим значком защитного экрана.

Если вы все еще хотите изменить его настройки впоследствии, имейте в виду, что вам нужны административные разрешения для изменения уровня безопасности контроля учетных записей.

Как получить доступ к настройкам контроля учетных записей в Windows 10

Чтобы изменить способ работы UAC , вам необходимо открыть окно «Настройки контроля учетных записей». Самый простой способ сделать это, набрав «uac» в поле поиска на панели задач. Затем нажмите или нажмите «Изменить настройки контроля учетных записей» или опцию «Открыть» справа.

Откроется окно «Настройки контроля учетных записей», которое можно использовать для изменения уровня безопасности в Windows 10.

Вы можете попасть в то же место, открыв Панель управления и открыв: «Система и безопасность -> Безопасность и обслуживание -> Изменить настройки контроля учетных записей».

Какой уровень уведомлений UAC используется по умолчанию?

«User Account Settings Control» окно имеет только один слайдер, и вы можете использовать его для настройки «когда получать уведомления об изменениях в своем компьютере». По умолчанию для Windows 10 Контроль учетных записей устанавливается на «Уведомить меня только тогда, когда приложения пытаются внести изменения в мой компьютер» уровень безопасности.

Все еще безопасный, хотя и не самый строгий вариант, который вы можете использовать, выбор этого уровня безопасности по умолчанию гарантирует, что UAC уведомит вас только до того, как программы внесут изменения, требующие административных разрешений. Если вы вручную внесете изменения в Windows, вы не получите приглашение UAC.

Поскольку UAC появляется только в том случае, если приложение или файл хочет внести изменения, этот параметр менее раздражает и менее безопасен, чем верхний и самый строгий уровень безопасности, «Всегда уведомлять», что также вызывает вмешательство UAC для подтверждения действий пользователя.

Как изменить уровень контроля учетных записей в Windows 10

На ползунке в окне «Настройки контроля учетных записей» доступны четыре параметра. Чтобы изменить уровень безопасности, предоставляемый UAC в Windows 10, просто переместите ползунок в соответствующую позицию, щелкнув или нажав на нужный уровень. Вы также можете щелкнуть или нажать на ползунок и перетащить его на параметр, который вы хотите использовать.

Проверьте панель справа для краткого описания того, как каждый параметр влияет на ваши уведомления безопасности Windows 10. Мы подробно рассмотрели различия между четырьмя уровнями безопасности в разделе «Что такое UAC (контроль учетных записей)» и почему вы никогда не должны его отключать. Сделайте свой выбор, а затем нажмите OK.

Вы можете получить запрос контроля учетной записи пользователя с просьбой подтвердить это изменение.

ВАЖНО: Вам необходимо перезагрузить компьютер или устройство с Windows 10, прежде чем будут применены новые настройки контроля учетных записей.

Отключить UAC или Какой уровень UAC обеспечивает самый низкий уровень безопасности?

Если вы перешли наше руководство, настаивая на том, чтобы не отключать UAC, и все еще решили его отключить, переместите ползунок в нижнюю опцию Никогда не уведомлять , самый низкий уровень безопасности. Это отключает контроль учетных записей , что позволяет вредоносным программам заражать и контролировать компьютер или устройство под управлением Windows 10. С другой стороны, надоедливые уведомления прекращаются, так как все приложения могут делать все, что пожелают, без вашего разрешения.

Какой уровень UAC вы используете и почему?

В то время как многие находят уведомления раздражающими, контроль учетных записей пользователей Windows 10 важен для безопасности вашей системы. Мы всегда поддерживаем UAC на рекомендованном (по умолчанию) уровне, чтобы предотвратить нежелательное вредоносное ПО. А как насчет вас? Вы повысили или понизили уровень безопасности? Прежде чем закрыть это руководство, не стесняйтесь поделиться с нами тем, какой уровень UAC вы используете в настоящее время и почему, в комментариях ниже.

Как включить или отключить контроль учетных записей пользователей в Windows 10

Контроль учетных записей (UAC) в Windows предназначено быть подстраховкой чтобы приложения не вносили нежелательные изменения в систему. Хотя это может быть полезно для начинающих пользователей, это также может сильно раздражать опытных пользователей, поэтому многие стремятся отключить его на своих компьютерах. Так что, если вы находите всплывающие окна надоедливыми и хотите отключить предупреждения контроля учетных записей (UAC) на вашем компьютере с Windows 10, читайте дальше. Потому что здесь мы покажем вам, как изменить, отключить или включить сообщения контроля учетных записей (UAC) в Windows 10.

Включение или отключение контроля учетных записей пользователей в Windows 10

В этом руководстве мы опишем четыре различных способа изменения или отключения управления учетными записями пользователей на вашем компьютере с Windows 10, в том числе с помощью панели управления, редактора реестра, редактора локальной групповой политики и командной строки (командной строки). Мы также расскажем вам, что такое UAC, и аргументы за и против его отключения на вашем ПК. Итак, без лишних слов, давайте посмотрим, как вы можете изменить или отключить запросы контроля учетных записей (UAC) на вашем ПК с Windows 10.

Что такое контроль учетных записей (UAC) в Windows?

Контроль учетных записей пользователей — это компонент системы безопасности Windows. Он предназначен для предотвращения потенциальных атак вредоносных программ, не позволяя приложениям вносить нежелательные изменения на компьютер. Когда программное обеспечение пытается внести изменения в файловую систему или реестр Windows, Windows 10 показывает диалоговое окно подтверждения UAC.

Эта функция обеспечивает специальную среду безопасности с ограниченными правами доступа для вашей учетной записи, но любой конкретный процесс (например, установка приложения или изменение настроек) может быть повышен до полного доступа в каждом конкретном случае. Контроль учетных записей пользователей включен по умолчанию, но пользователи могут отключить его с помощью нескольких простых щелчков мыши.

Почему следует отключить контроль учетных записей пользователей (UAC)?

Хотя UAC обеспечивает дополнительный уровень безопасности для начинающих пользователей, постоянное ворчание и предупреждения в самые неподходящие моменты часто могут затруднять рабочий процесс для опытных пользователей. Даже в этом случае для большинства пользователей настройки по умолчанию лучше не трогать. Однако многим людям проще отключить всплывающие сообщения на своем компьютере, чтобы они могли нормально работать.

Метод 1: через панель управления

• Откройте панель управления (найдите «Управление» в строке поиска Windows). В правом верхнем углу измените вид на «Маленькие значки» и нажмите «Безопасность и обслуживание».

• На следующей странице нажмите «Изменить настройки контроля учетных записей пользователей».

Примечание. Вы также можете попасть сюда напрямую, выполнив поиск по запросу «uac» (без кавычек) на панели поиска Windows.

• На странице настроек UAC переместите ползунок вниз (Never Notify). Нажмите «ОК» и подтвердите, когда его спросят.

Это самый простой способ изменить настройки контроля учетных записей (UAC) на вашем компьютере с Windows 10.

Метод 2: через редактор реестра (Regedit)

Вы также можете легко включить или отключить (включить или выключить) контроль учетных записей пользователей с помощью редактора реестра Windows (Regedit). Вот как это сделать:

• Откройте редактор реестра Windows. Для этого найдите «regedit» в строке поиска Windows и щелкните первый результат.

• Используя левую панель окна редактора реестра, перейдите к следующему разделу: HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Policies System. На правой панели найдите «EnableLUA». Щелкните его правой кнопкой мыши и выберите «Изменить».

• Наконец, измените значение DWORD на 0. Перезагрузите компьютер.

Примечание. Возможно, вам придется создать значение DWORD, если его еще нет.

Вот и все. Теперь вы знаете, как отключить контроль учетных записей (UAC) на компьютере с Windows 10 с помощью Regedit.

Метод 3: через редактор локальной групповой политики

Вы также можете включить или отключить предупреждения учетной записи пользователя в Windows 10 с помощью редактора локальной групповой политики. Вот как это сделать:

Примечание. Редактор локальной групповой политики доступен только в выпусках Windows 10 Pro, Enterprise и Education.

• Откройте редактор локальной групповой политики на своем компьютере. Для этого сначала найдите «Выполнить» на панели поиска Windows и выберите в результатах вариант «Выполнить».

• В поле «Выполнить» введите gpedit.msc и нажмите Enter или нажмите «OK», чтобы открыть редактор локальной групповой политики.

• В окне редактора групповой политики перейдите к Конфигурация компьютера> Параметры Windows> Параметры безопасности> Локальные политики> Параметры безопасности, используя левую панель. Теперь прокрутите вниз и найдите следующую запись: «Контроль учетных записей пользователей: запускать всех администраторов в режиме утверждения администратором».

• Дважды щелкните по нему и во всплывающем окне выберите «Отключено». Наконец, нажмите «ОК» внизу.

Теперь вы можете легко включить или отключить (включить или выключить) контроль учетных записей (UAC) в Windows 10 с помощью редактора групповой политики.

Метод 4: через командную строку

Вы также можете включить или отключить политику учетных записей пользователей в Windows 10 с помощью командной строки (командная строка). Вот как это сделать:

• Откройте командную строку от имени администратора. Для этого найдите «cmd» на панели поиска Windows и нажмите «Запуск от имени администратора», как показано ниже.

• Теперь введите следующую команду и нажмите Enter: reg.exe ADD HKLM SOFTWARE Microsoft Windows CurrentVersion Policies System / v EnableLUA / t REG_DWORD / d 0 / f. Перезагрузите компьютер.

Вот и все. Теперь вы знаете, как отключить контроль учетных записей (UAC) на компьютере с Windows 10 с помощью командной строки.

Примечание. Щелкните ссылку, чтобы узнать больше советов по использованию командной строки в Windows 10.

Избавьтесь от надоедливых предупреждений на своем ПК, чтобы улучшить рабочий процесс

Хотя избавление от предупреждений UAC, безусловно, снижает раздражение, это может быть потенциально опасно для некоторых пользователей. Поэтому, если вы не знаете, что делаете, лучше оставить настройку по умолчанию. Однако, если вы решили внести изменения, теперь вы знаете не один или два, а четыре способа отключить контроль учетных записей пользователей на вашем ПК с Windows 10. Между тем, поскольку вы являетесь пользователем Windows 10, вам также следует ознакомиться с некоторыми интересными советами и приемами Windows 10, как использовать режим Бога в Windows 10 и как использовать PowerToys в Windows 10, чтобы максимально эффективно использовать свой компьютер.

Page not found | Официальная служба поддержки Avast

For the best Support Center experience, JavaScript must be turned on in your browser settings

При совершении покупок в магазине Avast вы можете получить уведомление о том, что вам необходимо разрешить использование JavaScript и/или файлов cookie в своем браузере. Это связано с тем, что магазин Avast не может загружаться и правильно работать без включения этих настроек.

Чтобы разрешить использование JavaScript и/или файлов cookie, обратитесь к информации в соответствующем разделе ниже в зависимости от вашего браузера.

Google Chrome

Разрешение использования JavaScript

Инструкции по разрешению использования JavaScript на всех сайтах, которые вы посещаете с помощью Google Chrome, приведены в разделе Шаг 1. Включите JavaScript справочной статьи Google Chrome, приведенной ниже.

Если вы хотите включить JavaScript только для веб-страниц домена avast.com, выполните следующие действия.

1. Откройте ⋮ Меню (три точки) ▸ Настройки.
2. Нажмите Конфиденциальность и безопасность ▸ Настройки сайта.
3. В меню Содержимое нажмите JavaScript.
4. Щелкните кнопку Добавить рядом с элементом Разрешить сайтам использовать JavaScript.
5. Введите [*.]avast.com и нажмите Добавить.

Пункт [*. ]avast.com появится в вашем списке Разрешить сайтам использовать JavaScript. Это означает, что для всех веб-страниц с адресом, начинающимся с avast.com (например, www.avast.com/store), будут разрешено использование JavaScript.

Разрешение использования файлов cookie

Инструкции по управлению настройками файлов cookie в Google Chrome приведены в разделе Как изменить настройки файлов cookie справочной статьи Google Chrome, приведенной ниже.

Mozilla Firefox

Разрешение использования JavaScript

По умолчанию использование JavaScript разрешено в Mozilla Firefox для всех сайтов. Если вы отключили JavaScript с помощью расширения браузера, которое позволяет настраивать параметры JavaScript, вам необходимо повторно включить JavaScript с помощью этого расширения. Более детальную информацию о настройках JavaScript в Mozilla Firefox можно найти в статье из поддержки Mozilla ниже.

Разрешение использования файлов cookie

Инструкции по управлению общими настройками файлов cookie для всех сайтов, которые вы посещаете с помощью Mozilla Firefox, приведены в статье поддержки Mozilla, указанной ниже.

Если вы хотите разрешить файлы cookie только для веб-страниц домена avast.com, выполните следующие шаги.

1. Откройте любую страницу домена avast.com в окне своего браузера (любой URL-адрес, который начинается с avast.com).
2. Нажмите значок щита слева от адресной строки.
3. Нажмите синий (ВКЛ.) ползунок рядом с элементом Улучшенная защита от отслеживания на этом сайте ВКЛЮЧЕНА, чтобы он стал серым (ВЫКЛ.)

Файлы cookie будут разрешены для всех веб-страниц домена avast.com.

Safari

Разрешение использования JavaScript

По умолчанию использование JavaScript разрешено в Safari для всех сайтов. Если вы самостоятельно отключили JavaScript, выполните следующие действия для включения этой функции.

1. Убедитесь, что окно Safari открыто и активно.
2. Нажмите Safari ▸ Настройки… в левой части строки меню Apple.
3. Выберите панель Безопасность и убедитесь, что рядом с элементом Разрешить JavaScript установлен флажок.

Использование JavaScript будет разрешено для всех сайтов, которые вы посещаете с помощью Safari.

Разрешение использования файлов cookie

В Safari нет возможности разрешить использование файлов cookie для определенных сайтов. Однако вы можете управлять общими настройками файлов cookie, которые применяются ко всем сайтам, посещаемым вами с помощью Safari. Более детальную информацию о доступных вариантах можно найти в статье поддержки Apple, приведенной ниже.

Microsoft Edge

Информация ниже применима к новой версии Microsoft Edge (версия 79.0.309 или новее).

Разрешение использования JavaScript

Чтобы включить JavaScript для всего домена avast.com, выполните следующие действия.

1. Откройте ... Меню (три точки) ▸ Настройки.
2. Нажмите ☰ Настройки в левом верхнем углу.
3. Выберите Файлы cookie и разрешения сайтов ▸ JavaScript.
4. Щелкните кнопку Добавить рядом с элементом Разрешить.
5. Введите [*.]avast.com и нажмите Добавить.

Пункт [*.]avast.com появится в вашем списке разрешений. Это означает, что для всех веб-страниц с адресом, начинающимся с avast.com (например, www.avast.com/store), будут разрешено использование JavaScript.

Разрешение использования файлов cookie

Инструкции по управлению общими настройками файлов cookie, применимыми ко всем сайтам, которые вы посещаете с помощью Microsoft Edge, приведены в справочной статье Microsoft, указанной ниже.

Если вы хотите разрешить файлы cookie только для домена avast.com, выполните следующие шаги.

1. Откройте ... Меню (три точки) ▸ Настройки.
2. Нажмите ☰ Настройки в левом верхнем углу.
3. Выберите Файлы cookie и разрешения сайтов ▸ Файлы cookie и данные сайта.
4. Щелкните кнопку Добавить рядом с элементом Разрешить.
5. Введите [*.]avast.com и нажмите Добавить.

Пункт [*.]avast.com появится в вашем списке разрешений. Это означает, что для всех веб-страниц с адресом, начинающимся с avast.com (например, www.avast.com/store), будут разрешено использование файлов cookie.

Avast Secure Browser

Разрешение использования JavaScript

Чтобы включить JavaScript для всего домена avast.com, выполните следующие действия.

1. Откройте ⋮ Меню (три точки) ▸ Настройки.
2. Откройте меню Конфиденциальность и безопасность ▸ Настройки сайта.
3. В меню Содержимое нажмите JavaScript.
4. Нажмите Добавить рядом с элементом Разрешать.
5. Введите [*.]avast.com и нажмите Добавить.

Пункт [*.]avast.com появится в вашем списке Разрешать. Это означает, что для всех веб-страниц с адресом, начинающимся с avast.com (например, www.avast.com/store), будут разрешено использование JavaScript.

Разрешение использования файлов cookie

Чтобы разрешить использование файлов cookie для всего домена avast.com, выполните следующие действия.

1. Откройте ⋮ Меню (три точки) ▸ Настройки.
2. Откройте меню Конфиденциальность и безопасность ▸ Настройки сайта.
3. В меню Содержимое нажмите Файлы cookie и данные сайтов.
4. Нажмите Добавить рядом с пунктом Сайты, которые всегда могут использовать файлы cookie.
5. Введите [*.]avast.com и нажмите Добавить.

Пункт [*.]avast.com будет отображаться в вашем списке сайтов, которые всегда могут использовать файлы cookie. Это означает, что для всех веб-страниц с адресом, начинающимся с avast.com (например, www.avast.com/store), будут разрешено использование файлов cookie.

Opera

Разрешение использования JavaScript

Чтобы разрешить использование JavaScript на всех сайтах, которые вы посещаете с помощью браузера Opera, обратитесь к инструкциям в разделе Управление JavaScript на страницах в статье справки Opera, приведенной ниже.

Если вы хотите разрешить JavaScript только для домена avast.com, выполните следующие шаги.

1. Откройте Меню (значок O) ▸ Настройки ▸ Дополнительно.
2. Нажмите Конфиденциальность и безопасность ▸ Настройки сайта.
3. В меню Содержимое нажмите JavaScript.
4. Щелкните кнопку Добавить рядом с элементом Разрешить.
5. Введите [*.]avast.com и нажмите Добавить.

Пункт [*.]avast.com появится в вашем списке разрешений. Это означает, что для всех веб-страниц с адресом, начинающимся с avast.com (например, www.avast.com/store), будут разрешено использование JavaScript.

Разрешение использования файлов cookie

Чтобы разрешить использование файлов cookie на всех сайтах, которые вы посещаете с помощью браузера Opera, обратитесь к инструкциям в разделе Управление файлами cookie на страницах в статье справки Opera, приведенной ниже.

Если вы хотите разрешить файлы cookie только для домена avast.com, выполните следующие шаги.

1. Откройте Меню (значок O) ▸ Настройки ▸ Дополнительно.
2. Нажмите Конфиденциальность и безопасность ▸ Настройки сайта.
3. В меню Содержимое нажмите Файлы cookie и данные сайта.
4. Нажмите кнопку Добавить рядом с элементом Сайты, которые всегда могут использовать файлы cookie.
5. Введите [*.]avast.com и нажмите Добавить.

Пункт [*.]avast.com будет отображаться в вашем списке сайтов, которые всегда могут использовать файлы cookie. Это означает, что для всех веб-страниц с адресом, начинающимся с avast.com (например, www.avast.com/store), будут разрешено использование файлов cookie.

• Все платные продукты Avast в сегменте потребительских решений

• Microsoft Windows 10 Home / Pro / Enterprise / Education — 32- или 64-разрядная версия
• Microsoft Windows 8.1 / Pro / Enterprise — 32- или 64-разрядная версия
• Microsoft Windows 8 / Pro / Enterprise — 32- или 64-разрядная версия
• Microsoft Windows 7 Home Basic / Home Premium / Professional / Enterprise / Ultimate — SP 1, 32- или 64-разрядная версия

Контроль учетных записей пользователей (Windows) — безопасность Windows

• 05.10.2021
• 2 минуты на чтение

В этой статье

Относится к

• Windows 10
• Windows 11
• Windows Server 2016 и выше

Контроль учетных записей пользователей (UAC) помогает предотвратить повреждение ПК вредоносными программами и помогает организациям развернуть настольный компьютер с улучшенным управлением.При использовании UAC приложения и задачи всегда запускаются в контексте безопасности учетной записи, не являющейся администратором, если только администратор специально не разрешает доступ к системе на уровне администратора. UAC может блокировать автоматическую установку неавторизованных приложений и предотвращать непреднамеренное изменение системных настроек.

UAC позволяет всем пользователям входить на свои компьютеры, используя стандартную учетную запись пользователя. Процессы, запущенные с использованием токена стандартного пользователя, могут выполнять задачи, используя права доступа, предоставленные стандартному пользователю.Например, проводник Windows автоматически наследует разрешения уровня стандартного пользователя. Кроме того, любые приложения, запускаемые с помощью проводника Windows (например, двойным щелчком по ярлыку), также запускаются со стандартным набором разрешений пользователя. Многие приложения, в том числе те, которые входят в состав самой операционной системы, предназначены для правильной работы таким образом.

Другие приложения, особенно те, которые не были специально разработаны с учетом настроек безопасности, часто требуют дополнительных разрешений для успешной работы.Эти типы приложений называются устаревшими. Кроме того, такие действия, как установка нового программного обеспечения и внесение изменений в конфигурацию брандмауэра Windows, требуют большего количества разрешений, чем то, что доступно для стандартной учетной записи пользователя.

Когда приложение должно запускаться с более чем стандартными правами пользователя, UAC позволяет пользователям запускать приложения со своим маркером администратора (с административными группами и привилегиями) вместо стандартного маркера доступа пользователя по умолчанию. Пользователи продолжают работать в стандартном пользовательском контексте безопасности, позволяя при необходимости запускать определенные приложения с повышенными привилегиями.

Практическое применение

Режим одобрения администратором в UAC помогает предотвратить установку вредоносных программ без ведома администратора. Это также помогает защитить от непреднамеренных общесистемных изменений. Наконец, его можно использовать для обеспечения более высокого уровня соответствия, когда администраторы должны активно давать согласие или предоставлять учетные данные для каждого административного процесса.

В разделе

Как изменить уровень контроля учетных записей (UAC) в Windows 10

Знаете ли вы, что можно изменить настройки Контроль учетных записей (UAC) , чтобы изменить уровень безопасности в Windows 10? Хотя большинство пользователей едва ли осведомлены о его существовании, Windows 10 User Account Control (UAC) — это основная функция безопасности, которая предотвращает внесение приложениями несанкционированных изменений в ваш компьютер или устройство.Прочтите это руководство, чтобы узнать, как изменить уровни уведомлений UAC и решить, как часто вы будете получать «Вы хотите разрешить этому приложению вносить изменения в ваш компьютер?» Подсказка в Windows 10:

Перво-наперво: об управлении учетными записями пользователей в Windows 10

Контроль учетных записей пользователей (UAC) является частью системы безопасности Windows со времен Windows Vista. Первоначально он считался слишком утомительным, но с тех пор был улучшен.Результатом является более удобная версия UAC , с которой вы сталкиваетесь в Windows 10. Windows 10 User Account Control появляется, когда вы запускаете настольное приложение, для работы которого требуются разрешения администратора, или при изменении важных системных параметров, требующих утверждения администратора. .

Задачи, которые требуют прав администратора и могут вызвать запрос UAC , например Запуск от имени администратора, отмечены желто-синим значком щита безопасности.

Прежде чем изменять уровень безопасности UAC в Windows 10, мы рекомендуем узнать больше о User Account Control , его роли и почему важно держать его включенным, прочитав: Что такое UAC (User Account Control) и почему его никогда не следует выключать.

Если вы все еще хотите изменить его настройки после этого, имейте в виду, что вам потребуются права администратора для изменения уровня безопасности Контроль учетных записей пользователей .

Как получить доступ к настройкам управления учетными записями пользователей в Windows 10

Чтобы изменить способ работы UAC , вам необходимо получить доступ к окну «Настройки контроля учетных записей пользователей» . Самый простой способ сделать это — ввести «uac» в поле поиска на панели задач. Затем нажмите или коснитесь «Изменить настройки управления учетными записями пользователей» или опцию Открыть справа.

Откроется окно «Настройки контроля учетных записей пользователей» , которое можно использовать для изменения уровня безопасности в Windows 10.

Вы можете попасть в то же место, открыв Панель управления и выбрав: «Система и безопасность -> Безопасность и обслуживание -> Изменить настройки контроля учетных записей пользователей».

Какой уровень уведомлений UAC установлен по умолчанию?

Окно «Настройки управления учетными записями пользователей» имеет только один ползунок, и вы можете использовать его для настройки «, когда нужно получать уведомления об изменениях в вашем компьютере . « По умолчанию для управления учетными записями пользователей Windows 10 установлено значение » Уведомлять меня, только когда приложения пытаются внести изменения в мой компьютер « уровень безопасности.

По-прежнему безопасный, хотя и не самый строгий вариант, который вы можете использовать, выбор этого уровня безопасности по умолчанию гарантирует, что UAC уведомит вас только до того, как программы внесут изменения, требующие административных разрешений. Если вы вручную вносите изменения в Windows, вы не получите приглашение UAC .

Поскольку UAC появляется только в том случае, если приложение или файл хочет внести изменения, этот параметр менее раздражает и менее безопасен, чем верхний и самый строгий уровень безопасности, «Всегда уведомлять» , который также запускает вмешательство UAC в подтвердить действия пользователя.

Как изменить уровень контроля учетных записей в Windows 10

На ползунке в окне «Настройки управления учетными записями пользователей» доступны четыре параметра. Чтобы изменить уровень безопасности, обеспечиваемый UAC в Windows 10, просто переместите ползунок в соответствующее положение, щелкнув или нажав на желаемый уровень.Вы также можете щелкнуть или коснуться ползунка и перетащить его к нужному параметру.

Проверьте панель справа, чтобы получить краткое описание того, как каждый параметр влияет на уведомления безопасности Windows 10. Мы подробно рассмотрели различия между четырьмя уровнями безопасности в статье Что такое UAC (Контроль учетных записей пользователей) и почему вы никогда не должны его отключать. Сделайте свой выбор, а затем щелкните или коснитесь ОК .

Вы можете получить запрос Контроль учетных записей пользователей с просьбой подтвердить это изменение.

ВАЖНО: Вам необходимо перезагрузить компьютер или устройство с Windows 10, прежде чем будут применены новые параметры Контроль учетных записей .

Отключить UAC или Какой уровень UAC обеспечивает самый низкий уровень безопасности?

Если вы просмотрели наше руководство, в котором настаивают на том, чтобы не отключать UAC, и вы по-прежнему полны решимости отключить его, переместите ползунок вниз. Никогда не уведомлять параметр , самый низкий уровень безопасности.Это отключает Контроль учетных записей пользователей , что упрощает заражение вредоносными программами и получение контроля над вашим компьютером или устройством с Windows 10. С другой стороны, надоедливые уведомления прекращаются, поскольку всем приложениям разрешено делать все, что они хотят, без вашего разрешения.

СОВЕТ: Если вы отключаете UAC , потому что те же приложения или средства запуска игр продолжают запускать его, рассмотрите возможность использования планировщика задач Windows для запуска приложений без запросов UAC и прав администратора.

Какой уровень UAC вы используете и почему?

Хотя многие считают уведомления раздражающими, контроль учетных записей пользователей Windows 10 необходим для безопасности вашей системы. Мы всегда оставляем UAC включенным на рекомендованном (по умолчанию) уровне, чтобы предотвратить любые нежелательные вредоносные программы. А вы? Вы повысили или понизили уровень безопасности? Прежде чем закрыть это руководство, не стесняйтесь сообщить нам, какой уровень UAC вы используете в настоящее время и почему, в комментариях ниже.

Как отключить контроль учетных записей (UAC) на ПК с Windows 10

Это руководство по Windows 10 покажет вам, как отключить контроль учетных записей пользователей, более известный как UAC, на вашем компьютере.

Управление учетными записями пользователей Windows 10 является частью системы безопасности, которая по умолчанию уведомляет вас и запрещает приложениям вносить изменения в ваш компьютер или ноутбук без вашего разрешения.

Это может быть очень неприятно через некоторое время, когда вы постоянно получаете всплывающие уведомления о том, что вы либо в настоящее время устанавливаете новое программное обеспечение на свой компьютер, приложения вносят изменения в ваш компьютер, либо вы вносите изменения в настройки Windows.

Вы можете либо увеличить количество уведомлений, либо полностью отключить их.

Просто помните, что вы можете легко снова включить UAC.

1.Щелкните правой кнопкой мыши значок меню «Пуск» в Windows (в нижнем левом углу) > Настройки

2. В поле поиска «Найти настройку» введите «UAC», затем нажмите Enter> Теперь нажмите «Изменить настройки управления учетными записями пользователей».

3. В настройках управления учетными записями пользователей выберите, о чем вы хотите получать уведомления при использовании ПК, перетащив ползунок вверх или вниз> Когда вы будете довольны своими изменениями, нажмите OK.

Это другие параметры, которые вы будете иметь в настройках управления учетными записями пользователей:

— Всегда уведомлять меня, когда:
Приложения пытаются установить программное обеспечение или внести изменения в мой компьютер.
Вношу изменения в настройки Windows.

— Уведомлять меня только тогда, когда:
Приложения пытаются внести изменения в мой компьютер (по умолчанию)
Не уведомлять меня, когда я вношу изменения в настройки Windows.

— Уведомлять меня только тогда, когда:
Приложения пытаются внести изменения в мой компьютер (не затемнять мой рабочий стол)
Не уведомлять меня, когда я вношу изменения в настройки Windows.

— Никогда не уведомлять меня, когда:
Приложения пытаются установить программное обеспечение или внести изменения в мой компьютер.
Вношу изменения в настройки Windows.

Последний вариант — это выбор, если вы хотите отключить UAC и никогда не получать уведомления. Если вы хотите снова включить UAC, тогда по умолчанию будет использоваться второй вариант, который будет уведомлять вас, когда приложения вносят изменения, но не изменяют настройки Windows.

**** Верхний совет ****
Полностью отключив уведомления системы безопасности, вы можете подвергнуться риску того, что какое-то программное обеспечение внесет изменения в вашу систему без вашего ведома.

Ознакомьтесь с видеоуроком ниже о том, как отключить UAC в руководстве для ПК с Windows 10, если вы застряли:

Как отключить или изменить настройки контроля учетных записей (UAC) в Windows

Вас раздражает Контроль учетных записей? Вы можете изменить настройки, чтобы UAC был менее навязчивым, или полностью отключить его (что мы не рекомендуем).

За исключением нового пользовательского интерфейса (UI), с тех пор, как мы впервые объяснили, как настроить UAC в Windows 7, мало что изменилось. Тем не менее, вот краткое освежение от Windows 7 — Windows 10.

Доступ к UAC немного отличается в Windows 7, 8 и 10. Однако сегодня мы покажем вам простой способ, который является общим для всех трех версий Windows. В нашем примере мы использовали Windows 10, но процедура работает одинаково в Windows 7 и 8.

Нажмите клавишу Windows и начните вводить «контроль учетных записей пользователей».”Результаты поиска начинают отображаться по мере ввода. Когда вы увидите параметр Изменить параметры управления учетными записями пользователей на панели управления в разделе Лучшее совпадение , щелкните по нему.

Вы можете отключить UAC, переместив ползунок вниз до Никогда не уведомлять . Однако мы не рекомендуем этого делать. На это есть причина, и ваш компьютер будет менее защищен с отключенным UAC.

Опция Всегда уведомлять вверху заставляет Windows всегда просить вас подтвердить каждый раз, когда вы устанавливаете программу, которая вносит изменения в ваш компьютер, или когда вы вносите изменения в настройки Windows.Диалоговое окно UAC всегда отображается на затемненном рабочем столе.

Две средние настройки ползунка аналогичны. Они оба уведомляют вас с помощью диалогового окна UAC только тогда, когда программы пытаются внести изменения в ваш компьютер, но не когда вы меняете настройки Windows. Разница между этими двумя настройками заключается в том, что более высокий затемняет экран во время уведомления, а более низкий — нет. Когда экран затемнен, вы не можете получить доступ ни к чему, кроме приглашения UAC. Вы можете получить доступ к своему рабочему столу и выполнять другие действия, не затемняя, прежде чем отвечать на приглашение UAC.

Нажмите ОК после того, как сделаете выбор.

Диалоговое окно Контроль учетных записей пользователей отображается с предыдущим уровнем сжатия. Выбранный вами уровень вступит в силу в следующий раз, когда вы сделаете что-то, требующее проверки для внесения изменений в ваш компьютер.

Вы можете временно отключить UAC, если устанавливаете несколько доверенных программ за один присест. Однако не забудьте снова включить UAC, чтобы обеспечить дополнительную защиту.

Какую настройку UAC вы используете чаще всего? Вы нашли UAC полезным или раздражающим? Пожалуйста, поделитесь с нами своими мыслями и впечатлениями в комментариях.

Изменение, включение, отключение параметров контроля учетных записей (UAC)

Microsoft сделала реализацию параметров Контроль учетных записей намного удобнее в Windows 11/10. Получив отзывы о том, что в Windows Vista подсказки управления учетными записями пользователей или UAC часто раздражали пользователей из-за их частого появления, Microsoft уменьшила появление запросов UAC и доработала и улучшила пользовательский интерфейс UAC в Windows 10. / 8.

Контроль учетных записей пользователей (UAC) в Windows 11/10

Контроль учетных записей пользователей в основном уведомляет вас перед внесением изменений в ваш компьютер — не все изменения, а только те, для которых требуются разрешения уровня администратора. Эти изменения могли быть инициированы пользователем, операционной системой, подлинным программным обеспечением или даже вредоносным ПО! Каждый раз, когда инициируется такое изменение на уровне администратора, Windows UAC будет запрашивать у пользователя утверждение или отказ. Если пользователь одобряет изменение, изменение вносится; Нет, в систему не вносятся никакие изменения.До того момента, как появится UAC, экран может потемнеть.

В общих чертах, следующие действия могут вызвать запрос UAC:

• Установка или удаление приложений
• Изменение настроек брандмауэра
• Установка драйверов и элементов управления ActiveX
• Установка / настройка Центра обновления Windows
• Добавление / Удаление / изменение учетных записей / типов пользователей
• Доступ, просмотр или изменение файлов и папок другого пользователя
• Настройка родительского контроля
• Запуск планировщика заданий
• Восстановление системных файлов резервных копий
• И даже при изменении настроек UAC

Его настройки по умолчанию являются:

Уведомлять меня, только когда приложения пытаются внести изменения в мой компьютер

Всякий раз, когда появляется UAC Consent Prompt и запрашивает ваше разрешение, вы могли заметить, что он затемняет экран и временно отключает интерфейс Aero — и оказывается без прозрачности.Это называется Secure Desktop и является функцией безопасности в Windows. Запрос учетных данных отображается, когда стандартный пользователь пытается выполнить задачу, для которой требуется маркер доступа администратора.

Запросы на повышение уровня UAC имеют цветовую кодировку, чтобы соответствовать конкретному приложению, что позволяет немедленно идентифицировать потенциальную угрозу безопасности приложения.

Изменить настройки управления учетными записями пользователей

При желании вы можете изменить настройки управления учетными записями пользователей в Windows 8.Вы можете изменить его поведение и решить, как часто или когда все UAC будет уведомлять вас.

Для этого откройте Панель управления и выберите Учетные записи пользователей.

Нажмите Изменить настройки управления учетными записями пользователей . Откроется окно настроек.

Используйте вертикальный ползунок для изменения настроек. Вносимые вами изменения повлияют на ваши настройки безопасности, поэтому, хотя лучше оставить настройки контроля учетных записей пользователей по умолчанию, вы должны знать, как изменения в настройках UAC повлияют на безопасность вашего ПК с Windows.

Если вы используете устройство специальных возможностей, например программу чтения с экрана, Microsoft рекомендует выбрать вариант «Всегда уведомлять» или «По умолчанию — уведомлять меня, только когда программы пытаются внести изменения в настройку UAC на моем компьютере», поскольку вспомогательные технологии лучше всего работают с этими двумя настройками.

Отключить UAC с помощью реестра Windows

Для этого откройте regedit и перейдите к следующему ключу:

 HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System 

Измените значение ключа EnableLUA , со значения по умолчанию 1 на значение 0. Это отключит UAC.

Подробнее обо всех параметрах групповой политики UAC и параметрах реестра можно прочитать здесь, в TechNet.

Отключить контроль учетных записей только для определенных приложений

Хотя вам не следует отключать запросы UAC для всего компьютера, вы можете отключить его для определенных приложений.Используя набор средств обеспечения совместимости приложений Microsoft и следуя приведенным ниже инструкциям, вы можете отключить запросы UAC для одного или нескольких конкретных приложений, которым вы доверяете. Это НЕ отключит функцию контроля учетных записей пользователей для всего компьютера.

1. Сначала создайте точку восстановления системы.
2. Загрузите и установите Microsoft Application Compatibility Toolkit 5.0.
3. В меню «Пуск» найдите новую папку. Найдите ярлык для администратора совместимости.Щелкните его правой кнопкой мыши и выберите Запуск от имени администратора.
4. На левой панели щелкните правой кнопкой мыши базу данных в разделе «Пользовательские базы данных», выберите «Создать» и выберите «Исправление приложения».
5. Введите имя и другие сведения о приложении, поведение которого вы хотите изменить, а затем перейдите к нему, чтобы выбрать его. Нажмите «Далее.
6. Нажимайте «Далее», пока не попадете на экран «Исправления совместимости».
7. На экране «Исправления совместимости» найдите элемент RunAsInvoker и проверьте его.
8. Нажмите «Далее», а затем «Готово».
9. Выберите «Файл» и «Сохранить как». Сохраните файл как файл типа filename.SDB в каталоге, который вы легко найдете.
10. Скопируйте файл .sdb на компьютер Vista, на котором вы хотите изменить поведение запроса на повышение прав.
11. Откройте командную строку от имени администратора.
12. Выполните команду: sdbinst <путь> \ <имя файла> .sdb
13. Например, если вы сохранили файл .SDB как abc.sdb в папке c: \ Windows, команда должна быть такой: sdbinst c: \ windows \ abc.sdb
14. Должен появиться запрос: Установка завершена.

Удачного дня!

Установите этот флажок, если вы не можете изменить настройки контроля учетных записей (UAC).

Контроль учетных записей пользователей — Обзор и использование

Автор: Ширан Гринберг

Введение

Что такое UAC

Контроль учетных записей пользователей, обычно сокращенно UAC, представляет собой компонент безопасности Windows, представленный в Windows Vista и Windows Server 2008.UAC максимально ограничивает доступ процессов к ресурсам и операциям уровня администратора (привилегированным), если они явно не предоставлены пользователем.

Рисунок 1: Подсказка UAC, предлагающая пользователю явно предоставить права администратора программе

Зачем это нужно

На протяжении десятилетий в операционных системах было принято различать административных пользователей (также известных как суперпользователи). , root или супервизоры), способные вносить обширные общесистемные изменения — и стандартные пользователи, которые в основном будут использовать машину для выполнения работы, не внося в нее существенных изменений ^[1] .Это разделение обеспечивает соблюдение принципа наименьших привилегий (PoLP) , согласно которому процессы, программы и пользователи должны иметь возможность доступа только к минимальному массиву ресурсов, необходимых для их законной работы в любой момент.

Однако в ранних операционных системах Microsoft PC этот принцип не использовался — по крайней мере, в отношении прав пользователей. Например, в первых версиях Windows все приложения имели права, эквивалентные привилегиям самой ОС!

Все это подошло к концу с появлением Windows NT, поскольку Microsoft наконец-то создала несколько уровней безопасности учетных записей, отделяя администраторов от обычных пользователей.Но пользователям по-прежнему предлагалось использовать встроенную учетную запись администратора ^[2] , и многие программы уже были разработаны для работы в контексте безопасности администратора, полагаясь на высокоуровневые привилегии для работы (часто излишне или непреднамеренно).

Целью UAC было восполнить этот пробел — ограничить доступ к ресурсам с высоким уровнем привилегий и при этом не поставить под угрозу функциональность программного обеспечения, устаревшую поддержку и удобство работы пользователей.

Как это работает

Взаимодействие с пользователем

Что касается пользователя, UAC довольно прост.Когда программе или процессу необходимо повысить свои привилегии, то есть для выполнения определенной операции требуется доступ администратора, пользователю будет предложено дать согласие. Если текущий пользователь является стандартным пользователем, как описано выше, для продолжения также потребуются учетные данные администратора.

Исключением из правила согласия пользователя UAC являются отношения между родительскими и дочерними процессами. Дочерние процессы могут наследовать статус доступа своих родителей, предоставляя им автоматический доступ к высокоуровневым операциям, как будет более подробно описано ниже.

UAC имеет 4 различных конфигурации уровня безопасности:

• Всегда уведомлять : все попытки повышения привилегий уведомляются UAC
• Уведомлять меня, только когда программы пытаются внести изменения в мой компьютер : уведомляются обо всех попытках повышения привилегий от UAC, за исключением попыток изменения настроек Windows
• Уведомлять меня, только когда программы пытаются внести изменения в мой компьютер (не затемнять рабочий стол) : идентично предыдущему уровню, но UAC не будет использовать безопасный рабочий стол для запроса
• Никогда не уведомлять : UAC отключен

За кулисами

Когда пользователь успешно входит в систему Windows, ОС создает маркер доступа , который является объектом, отображающим личность и привилегии пользователя.Этот токен прикреплен к начальному процессу, созданному в пользовательском сеансе, и будет унаследован дочерними процессами, запущенными в пользовательском сеансе.

Всякий раз, когда процесс пытается выполнить привилегированные системные задачи или взаимодействовать с защищаемыми объектами (объектами с дескриптором безопасности, что в широком смысле означает политику контроля доступа), ОС проверяет свой токен, чтобы проверить его уровень целостности.

Но что, если процесс пытается сделать что-то вне контекста безопасности, установленного в его присоединенном токене? Когда это происходит, пользователь может повысить свои привилегии, предоставив ему токен уровня администратора.Обычно все программы запускаются со стандартным токеном доступа, даже если это сеанс администратора. Когда требуется токен уровня администратора, UAC предложит пользователю действие. Если текущий пользователь является администратором, появится запрос согласия с просьбой разрешить программе, о которой идет речь, вносить изменения в машину. Если пользователь не является администратором, появится запрос учетных данных с просьбой предоставить учетные данные администратора.

Стоит отметить, что в режиме по умолчанию UAC позволит некоторым программам автоматически повышать их привилегии без запроса согласия пользователя.Это программы Исполняемые файлы Windows — определенные исполняемые файлы, которые поставляются с ОС, подписаны издателем Windows и расположены в защищенных каталогах, которые обычные пользователи не могут изменять. Логика автоматического повышения прав заключается в том, что встроенные исполняемые файлы, поставляемые вместе с ОС, безопасны, и запрос пользователя на согласие на повышение их привилегий является неприятностью.

Имейте в виду, что для повышения прав требуются права администратора — обычные пользователи не могут предоставлять программам права высокого уровня.Однако в корпоративных средах подавляющее большинство пользователей не будет иметь прав администратора, что может нарушить функциональность приложений, не совместимых с UAC. Это наиболее часто встречается, когда устаревшие приложения пытаются выполнить запись в защищенную папку (например, % ProgramFiles% ) или изменить некоторые значения реестра. Чтобы избежать этого, Windows передает программе собственную виртуализированную версию необходимого ресурса, которая сохраняется в профиле пользователя. Таким образом, приложение может продолжать работать без ущерба для ресурсов с высокими привилегиями.

Некоторые действия, требующие повышения привилегий:

• Изменение файлов и папок с ограниченным доступом (например, % SystemRoot% и % ProgramFiles% )
• Установка драйверов устройств
• Изменение значений реестра компьютера
• Подтверждение общесистемной изменения

На поверхностном уровне UAC кажется довольно хорошим механизмом защиты от злонамеренных действий: он сводит на нет способность вредоносных программ использовать ресурсы с высокой степенью целостности и изменять состояние машины, а также контролирует бывшую нейтральную зону пользователя. привилегии.Тем не менее, примерно за десять лет с момента его появления были обнаружены бесчисленные методы обхода UAC и бэкдоры (MITER T1548.002: Bypass User Access Control) , позволяющие злоумышленникам получить права администратора без согласия жертвы. Некоторые были исправлены, но многие все еще работают. Фактически, проект с открытым исходным кодом UACME реализует десятки таких обходов, из которых колоссальная 21 еще предстоит исправить.

В защиту Microsoft, UAC не должен был быть мерой защиты от вредоносных программ как таковой, а скорее функциональным инструментом, предназначенным для предотвращения несанкционированных пользователей и плохо написанных программ от компрометации состояния конечной точки.Как мы увидим ниже, многие обходные пути UAC основаны на выборе конструкции, направленной на улучшение функциональности и удобства работы пользователей за счет защиты от вредоносных программ. Тем не менее, можно утверждать, что компонент может дать пользователям ложное ощущение безопасности, искажая их суждения о программах, которые они выбирают для загрузки и выполнения.

Обходные методы можно разделить на две основные разновидности. В оставшейся части этой главы мы обсудим эти методы, а затем продемонстрируем их использование на практике.

Auto-Elevation

Как обсуждалось выше, UAC позволяет некоторым исполняемым файлам Windows автоматически повышать свои привилегии, когда администратор входит в систему. Это в основном предназначено для упрощения взаимодействия с пользователем и предотвращения чрезмерных запросов на повышение прав в кажущейся безопасной среде поставляемых исполняемых файлов с ОС.

Увы, злоумышленники могут воспользоваться этим предостережением и механизмами, позволяющими обмануть ОС для автоматического повышения уровня вредоносных процессов.

Перехват DLL

Помните, как процессы могут наследовать статус доступа или токен своих родителей? Злоумышленники могут воспользоваться этой функцией, обманом заставив процесс с высокой степенью целостности порождать свой вредоносный код.Один из способов реализовать это — DLL Hijacking . Хакер внедрит процесс автоматического повышения с вредоносным файлом DLL. Как только библиотека DLL запущена и пытается выполнить задачи с высоким уровнем привилегий, UAC разрешит это, поскольку она выполняется в процессе автоматического повышения.

Но как вообще можно внедрить DLL? Один из распространенных способов — использовать способ загрузки программ библиотек DLL (MITER T1574.001: Перехват порядка поиска DLL) . Когда программе требуется загрузить определенную DLL, она будет искать ее в нескольких местах, включая: реестр (если путь к нему хранится как значение реестра), каталог System , каталог Windows и текущий каталог.Злоумышленники могут предоставить вредоносную DLL вместо оригинальной и заставить программу запустить ее. Но, как упоминалось ранее, запись в эти каталоги требует повышенных привилегий!

К сожалению, существует множество обходных путей. Например, автономный установщик Центра обновления Windows (wusa.exe) можно использовать для распаковки файлов CAB в безопасные каталоги. WUSA может это сделать, потому что, как вы уже догадались, это исполняемый файл с автоматическим повышением уровня. Кроме того, COM-объект IFileOperation может использоваться для перемещения библиотеки DLL в желаемый защищенный каталог.Этот объект использует API статуса процесса (PSAPI) для распознавания контекста безопасности, в котором он работает. Но очевидно, что процесс может получить доступ к своему собственному дескриптору и изменить флаг, который PSAPI использует для оценки своего уровня целостности! Таким образом, поток атаки может быть следующим:

Рисунок 2: Возможный поток атаки обхода DLL Injection

В настоящее время существует как минимум 5 известных нефиксированных обходов UAC для перехвата DLL.

Манипуляции с ключами реестра

Аналогично тому, как можно использовать поиск DLL для внедрения вредоносных DLL в исполняемые файлы с автоматическим повышением прав, значения реестра могут быть изменены для запуска вредоносного кода (MITER T1112: Modify Registry) .Например, было обнаружено, что при создании исполняемого файла fodhelper.exe Windows он ищет несколько несуществующих значений реестра в пользовательском кусте. И не просто значениями, а строками, представляющими команды для выполнения! Соответствующие ключи:

• HKCU: \ Software \ Classes \ ms-settings \ shell \ open \ command
• HKCU: \ Software \ Classes \ ms-settings \ shell \ open \ command \ DelegateExecute
• HKCU: \ Software \ Classes \ ms-settings \ shell \ open \ command \ (по умолчанию)

Имейте в виду, что для редактирования значений реестра пользовательского куста требуются только стандартные привилегии, но команда будет выполняться в контексте автоматического повышения процесс.В настоящее время существует по крайней мере 5 известных способов обхода нефиксированных манипуляций с ключами UAC.

Отключение UAC

Вместо того, чтобы обходить UAC с помощью механизмов автоматического повышения прав, некоторые эксплойты позволяют злоумышленникам отключать UAC либо полностью, либо для определенного пользователя или сеанса. Одна из известных уязвимостей этого типа — CVE-2019-19894 .

Эксплойт использует уязвимость в EasyInstall, также известном как IXP, который представляет собой инструмент управления удаленным рабочим столом, используемый для управления конечными точками и установки программного обеспечения в больших сетях.Обычно центральный сервер EasyInstall контролирует агенты, установленные на конечных точках сети.

В уязвимых версиях агент EasyInstall запускается с правами администратора, но некоторые из его папок не защищены от записи. Проверенные злоумышленники могут изменять файлы программного обеспечения и потенциально скомпрометировать машину жертвы. В частности, в файле конфигурации « IXPAS.IXP » указано, должен ли агент включать или отключать UAC. Поскольку папки не были защищены от записи, файл можно было заменить модифицированной версией, помеченной агентом, чтобы отключить UAC.После перезагрузки компьютера UAC будет отключен для всех пользователей, пока компьютер не будет перезагружен еще раз.

В этой демонстрации мы покажем два способа обойти UAC на машине жертвы с Windows, используя Metasploit и MsfVenom на машине Kali Linux в качестве злоумышленника.

Рисунок 3: Схема демонстрационной сети

Шаг 1 — Начальная настройка

Во-первых, мы должны иметь возможность установить сеанс Meterpreter с целевой машиной. Один из подходов к начальному доступу с помощью Meterpreter был продемонстрирован в нашей статье о макро-атаках на Office.

Шаг 2 — Невозможность повышения привилегий

После того, как сеанс установлен, мы выполним getsystem , чтобы попытаться повысить привилегии полезной нагрузки:

Рисунок 4: Неудачная попытка повысить уровень сеанса meterpreter

Команда не выполнена , что означает, что привилегии не могут быть повышены. После очередного сбоя мы переместили сеанс в фоновый режим и выполнили поиск обходов UAC, что дало много результатов:

Рисунок 5: Поиск обходов UAC

Шаг 3 — Обход UAC с помощью отражающей инъекции DLL

Теперь мы будем продемонстрируйте использование двух разных байпасов.Сначала мы использовали эксплойт bypassuac_injection , который работает аналогично описанному выше методу внедрения DLL. Эта полезная нагрузка, однако, использует отражающую инъекцию DLL, чтобы минимизировать занимаемое ею место. Полезная нагрузка используется для повышения уровня нашего фонового сеанса.

Рисунок 6. Настройка эксплойта «bypassuac_injection»

Обратите внимание на использование set target , set session и set payload для правильной настройки эксплойта.Теперь мы можем запустить его:

Рисунок 7. Запуск эксплойта «bypassuac_injection». Обратите внимание на успешную работу «getsystem».

Шаг 4 — Обход UAC для манипуляций с реестром (

Очень похожим образом мы можем использовать эксплойт bypassuac_fodhelper . Эксплойт будет управлять некоторыми из значений реестра fodhelper , как описано выше, в результате чего процесс автоматического повышения создает экземпляр сеанса командной оболочки с повышенными правами (эксплойт был прикреплен к новому сеансу meterpreter, сеанс 1):

Рисунок 8: Настройка эксплойта «bypassuac_fodhelper»

И после выполнения:

Рисунок 9: Выполнение «bypassuac_fodhelper».Сеанс командной оболочки был открыт

• Управление привилегированными учетными записями — программы могут повышать или автоматически повышать уровень только в контексте сеанса пользователя с правами администратора. Если админ авторизован — ему будет предложено согласие. Если в систему вошел стандартный пользователь — для повышения уровня требуются учетные данные администратора. Следовательно, количество пользователей с правами администратора должно быть сведено к минимуму.
• Конфигурация контроля учетных записей пользователей — в режиме по умолчанию UAC позволяет исполняемым файлам Windows автоматически повышаться.Однако установка значения Always Notify значительно снижает поверхность атаки.
• Обновления программного обеспечения — Обходы UAC исправляются регулярно, поэтому ОС следует поддерживать в актуальном состоянии.
• Обнаружение — поскольку многие обходы полагаются на предсказуемое поведение, такое как определенные модификации реестра и внедрение DLL, они могут быть обнаружены и заморожены.

1. MITER T1548.002: Обход контроля доступа пользователей
2. Механизм контроля над повышением уровня злоупотреблений: Обход контроля доступа пользователей
3. UACME — GitHub
4. Microsoft Docs
   1. Microsoft Docs — Контроль учетных записей пользователей
   Windows 7
   2. Контроль учетных записей пользователей
   3. The COM Elevation Moniker
   4. Как работает контроль учетных записей пользователей
   5. Токены доступа
5. https: // en.wikipedia.org/wiki/Access_token
6. https://en.wikipedia.org/wiki/User_Account_Control
7. https://www.fuzzysecurity.com/tutorials/27.html
8. https://cqureacademy.com/cqure -labs / cqlabs-how-uac-bypass-methods-really-work-by-adrian-denkiewicz

1. https://en.wikipedia.org/wiki/Superuser
2. https://docs.microsoft.com /en-us/previous-versions/technet-magazine/cc138019(v=msdn.10)

windows-itpro-docs / how-user-account-control-works.md общедоступно · MicrosoftDocs / windows-itpro-docs · GitHub

Относится к

• Windows 10
• Windows 11
• Windows Server 2016 и выше

Контроль учетных записей пользователей (UAC) является фундаментальным компонентом общего видения безопасности Microsoft.UAC помогает снизить воздействие вредоносных программ.

UAC процесс и взаимодействие

Каждое приложение, которому требуется маркер доступа администратора, должно запрашивать согласие. Единственное исключение — отношения, существующие между родительскими и дочерними процессами. Дочерние процессы наследуют токен доступа пользователя от родительского процесса. Однако и родительский, и дочерний процессы должны иметь одинаковый уровень целостности. Windows защищает процессы, отмечая их уровни целостности. Уровни честности — это мерило доверия.Приложение с «высокой» целостностью — это приложение, которое выполняет задачи, изменяющие системные данные, например, приложение для разделения диска, а приложение с «низкой» целостностью — это приложение, которое выполняет задачи, которые потенциально могут поставить под угрозу операционную систему, например, веб-браузер. Приложения с более низким уровнем целостности не могут изменять данные в приложениях с более высоким уровнем целостности. Когда стандартный пользователь пытается запустить приложение, для которого требуется маркер доступа администратора, UAC требует, чтобы пользователь предоставил действительные учетные данные администратора.

Чтобы лучше понять, как происходит этот процесс, давайте посмотрим на процесс входа в Windows.

Процесс входа в систему

Ниже показано, чем процесс входа в систему для администратора отличается от процесса входа в систему для стандартного пользователя.

По умолчанию стандартные пользователи и администраторы получают доступ к ресурсам и запускают приложения в контексте безопасности обычных пользователей. Когда пользователь входит в систему на компьютере, система создает маркер доступа для этого пользователя. Маркер доступа содержит информацию об уровне доступа, который предоставлен пользователю, включая определенные идентификаторы безопасности (SID) и привилегии Windows.

Когда администратор входит в систему, для пользователя создаются два отдельных маркера доступа: маркер доступа стандартного пользователя и маркер доступа администратора. Маркер доступа стандартного пользователя содержит ту же информацию о пользователе, что и маркер доступа администратора, но административные привилегии Windows и идентификаторы безопасности удалены. Маркер доступа стандартного пользователя используется для запуска приложений, которые не выполняют административные задачи (стандартные пользовательские приложения). Затем маркер доступа стандартного пользователя используется для отображения рабочего стола (explorer.исполняемый). Explorer.exe — это родительский процесс, от которого все остальные процессы, инициированные пользователем, наследуют свой токен доступа. В результате все приложения запускаются от имени обычного пользователя, если пользователь не предоставит согласие или учетные данные для утверждения приложения для использования маркера полного административного доступа.

Пользователь, который является членом группы администраторов, может входить в систему, просматривать веб-страницы и читать электронную почту, используя стандартный токен доступа пользователя. Когда администратору необходимо выполнить задачу, для которой требуется маркер доступа администратора, Windows 10 или Windows 11 автоматически запрашивает у пользователя утверждение.Это приглашение называется запросом на повышение прав, и его поведение можно настроить с помощью оснастки локальной политики безопасности (Secpol.msc) или групповой политики. Дополнительные сведения см. В разделе Параметры политики безопасности контроля учетных записей пользователей.

Пользовательский опыт UAC

Когда включен UAC, взаимодействие с пользователем для стандартных пользователей отличается от работы администраторов в режиме одобрения администратором. Рекомендуемый и более безопасный метод запуска Windows 10 или Windows 11 — сделать вашу основную учетную запись пользователя стандартной.Работа в качестве обычного пользователя помогает максимально повысить безопасность управляемой среды. Благодаря встроенному компоненту повышения прав UAC обычные пользователи могут легко выполнять административную задачу, вводя действительные учетные данные для учетной записи локального администратора. По умолчанию встроенный компонент повышения прав UAC для стандартных пользователей — это запрос учетных данных.

Альтернативой работе от имени обычного пользователя является запуск от имени администратора в режиме одобрения администратором. Благодаря встроенному компоненту повышения прав UAC члены локальной группы администраторов могут легко выполнять административную задачу, предоставляя разрешение.Встроенный по умолчанию компонент повышения прав UAC для учетной записи администратора в режиме утверждения администратором называется запросом согласия.

Запрос на согласие и учетные данные

При включенном UAC Windows 10 или Windows 11 запрашивает согласие или запрашивает учетные данные действующей учетной записи локального администратора перед запуском программы или задачи, для которых требуется маркер полного доступа администратора. Этот запрос гарантирует, что никакое вредоносное программное обеспечение не может быть установлено в автоматическом режиме.

Запрос согласия

Запрос согласия отображается, когда пользователь пытается выполнить задачу, для которой требуется маркер административного доступа пользователя.Ниже приведен пример запроса согласия UAC.

Запрос учетных данных

Запрос учетных данных отображается, когда стандартный пользователь пытается выполнить задачу, для которой требуется маркер доступа администратора. От администраторов также может потребоваться предоставить свои учетные данные, установив для параметра Управление учетными записями пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором значение параметра политики равным Запрашивать учетные данные .

Ниже приведен пример запроса учетных данных UAC.

Подсказки о повышении UAC

Запросы на повышение прав UAC имеют цветовую кодировку для разных приложений, что позволяет немедленно определить потенциальную угрозу безопасности приложения. Когда приложение пытается запустить с токеном полного доступа администратора, Windows 10 или Windows 11 сначала анализирует исполняемый файл, чтобы определить его издателя. Сначала приложения делятся на три категории в зависимости от издателя файла: Windows 10 или Windows 11, издатель подтвержден (подписан) и издатель не проверен (неподписан).На следующей диаграмме показано, как Windows определяет, какой запрос на повышение уровня цвета представить пользователю.

Цветовая кодировка подсказки о высоте следующая:

• Красный фон со значком красного щита: приложение заблокировано групповой политикой или получено от заблокированного издателя.
• Синий фон с сине-золотым значком щита: приложение является административным приложением Windows 10 и Windows 11, например элементом панели управления.
• Синий фон с синим значком щита: приложение подписано с помощью Authenticode и является доверенным на локальном компьютере.
• Желтый фон со значком желтого щита: приложение не подписано или подписано, но еще не является доверенным для локального компьютера.

Значок щита

Некоторые элементы панели управления, такие как Свойства даты и времени , содержат комбинацию административных и стандартных пользовательских операций. Стандартные пользователи могут просматривать часы и изменять часовой пояс, но для изменения локального системного времени требуется маркер полного доступа администратора. Ниже приведен снимок экрана элемента панели управления Свойства даты и времени .

Значок щита на кнопке Изменить дату и время указывает, что для процесса требуется маркер полного доступа администратора, и отобразится запрос на повышение прав UAC.

Обеспечение подсказки о повышении

Процесс повышения прав дополнительно защищен путем направления запроса на защищенный рабочий стол. Запросы согласия и учетных данных по умолчанию отображаются на безопасном рабочем столе в Windows 10 и Windows 11. Только процессы Windows могут получить доступ к защищенному рабочему столу.Для более высокого уровня безопасности мы рекомендуем оставить Контроль учетных записей пользователей: переключиться на безопасный рабочий стол при включенном запросе на повышение прав .

Когда исполняемый файл запрашивает повышение прав, интерактивный рабочий стол, также называемый рабочим столом пользователя, переключается на безопасный рабочий стол. Защищенный рабочий стол затемняет рабочий стол пользователя и отображает запрос на повышение прав, на который необходимо ответить, прежде чем продолжить. Когда пользователь нажимает Да или Нет , рабочий стол снова переключается на рабочий стол пользователя.

Вредоносное ПО может имитировать безопасный рабочий стол, но когда Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором для параметра политики установлено значение Запрос согласия , вредоносное ПО не получает повышения прав, если пользователь нажимает Да на имитации. Если для параметра политики задано значение Запрашивать учетные данные , вредоносная программа, имитирующая запрос учетных данных, может получить учетные данные от пользователя.Однако вредоносная программа не получает повышенных привилегий, и в системе предусмотрены другие средства защиты, которые препятствуют тому, чтобы вредоносное ПО могло получить контроль над пользовательским интерфейсом даже с помощью собранного пароля.

Хотя вредоносная программа может представлять собой имитацию защищенного рабочего стола, эта проблема не может возникнуть, если пользователь предварительно не установил вредоносную программу на ПК. Поскольку процессы, для которых требуется маркер доступа администратора, не могут устанавливаться в автоматическом режиме при включенном UAC, пользователь должен явно предоставить согласие, щелкнув Да или предоставив учетные данные администратора.Конкретное поведение запроса на повышение прав UAC зависит от групповой политики.

Архитектура UAC

На следующей схеме представлена ​​архитектура UAC.

Чтобы лучше понять каждый компонент, просмотрите таблицу ниже:

Ползунок никогда не выключит UAC полностью. Если вы установите для него значение Никогда не уведомлять , он будет:

• Не отключать службу UAC.
• Вызывает автоматическое одобрение всех запросов на повышение прав, инициированных администраторами, без отображения запроса UAC.
• Автоматически отклонять все запросы на повышение уровня для обычных пользователей.

[! ВАЖНО] Чтобы полностью отключить UAC, необходимо отключить политику Контроль учетных записей пользователей: запустить всех администраторов в режиме одобрения администратором .

[! ВНИМАНИЕ] Некоторые приложения универсальной платформы Windows могут не работать, когда UAC отключен.

Виртуализация

Поскольку системные администраторы в корпоративных средах пытаются защитить системы, многие бизнес-приложения разработаны для использования только стандартного токена доступа пользователя.В результате вам не нужно заменять большинство приложений при включенном UAC.

Windows 10 и Windows 11 включают технологию виртуализации файлов и реестра для приложений, не совместимых с UAC и требующих маркера доступа администратора для правильной работы. Когда административные приложения, не совместимые с UAC, пытаются записать в защищенную папку, такую ​​как Program Files, UAC предоставляет приложению собственное виртуализированное представление ресурса, которое оно пытается изменить. Виртуализированная копия сохраняется в профиле пользователя.Эта стратегия создает отдельную копию виртуализированного файла для каждого пользователя, который запускает несовместимое приложение.

Большинство задач приложения работают правильно за счет использования функций виртуализации. Хотя виртуализация позволяет запускать большинство приложений, это краткосрочное решение, а не долгосрочное решение. Разработчики приложений должны как можно скорее изменить свои приложения, чтобы они соответствовали требованиям, а не полагаться на виртуализацию файлов, папок и реестра.

Виртуализация не подходит в следующих сценариях:

• Виртуализация не применяется к приложениям с повышенными правами и запускаемым с маркером полного административного доступа.

• Виртуализация поддерживает только 32-разрядные приложения. 64-разрядные приложения без повышенных прав просто получают сообщение об отказе в доступе при попытке получить дескриптор (уникальный идентификатор) объекта Windows. Родные 64-разрядные приложения Windows должны быть совместимы с UAC и записывать данные в правильные места.

• Виртуализация отключена, если приложение включает манифест приложения с запрошенным атрибутом уровня выполнения.

Уровни выполнения запроса

Манифест приложения — это XML-файл, который описывает и идентифицирует совместно используемые и частные параллельные сборки, к которым приложение должно привязаться во время выполнения.Манифест приложения включает записи для совместимости приложений UAC. Административные приложения, которые включают запись в манифест приложения, запрашивают у пользователя разрешение на доступ к токену доступа пользователя. Несмотря на отсутствие записи в манифесте приложения, большинство административных приложений можно запускать без изменений с помощью исправлений совместимости приложений. Исправления совместимости приложений — это записи в базе данных, которые позволяют приложениям, не поддерживающим UAC, работать должным образом.

Все приложения, совместимые с UAC, должны иметь запрошенный уровень выполнения, добавленный в манифест приложения.Если приложению требуется административный доступ к системе, то пометка приложения с запрошенным уровнем выполнения «требуется администратор» гарантирует, что система идентифицирует эту программу как административное приложение и выполнит необходимые шаги по повышению прав. Запрошенные уровни выполнения определяют права, необходимые для приложения.

Установщик техники обнаружения

Программы установки — это приложения, предназначенные для развертывания программного обеспечения. Большинство программ установки записывают данные в системные каталоги и разделы реестра.Эти защищенные системные папки обычно доступны для записи только администратором в технологии обнаружения установщика, что означает, что обычные пользователи не имеют достаточного доступа для установки программ. Windows 10 и Windows 11 эвристически обнаруживают программы установки и запрашивают учетные данные администратора или одобрение от пользователя-администратора для запуска с правами доступа. Windows 10 и Windows 11 также эвристически обнаруживают обновления и программы, удаляющие приложения. Одна из целей разработки UAC — предотвратить запуск установки без ведома и согласия пользователя, поскольку программы установки записывают данные в защищенные области файловой системы и реестра.

Обнаружение установщика применимо только к:

• 32-битные исполняемые файлы.
• Приложения без запрошенного атрибута уровня выполнения.
• Интерактивные процессы, запущенные от имени обычного пользователя с включенным UAC.

Перед созданием 32-разрядного процесса проверяются следующие атрибуты, чтобы определить, является ли он установщиком:

• Имя файла включает такие ключевые слова, как «установка», «настройка» или «обновление».
Поля ресурса управления версиями
• содержат следующие ключевые слова: поставщик, название компании, название продукта, описание файла, исходное имя файла, внутреннее имя и имя экспорта.
• Ключевые слова в параллельном манифесте встроены в исполняемый файл.
• Ключевые слова в определенных записях StringTable связаны в исполняемом файле.
• Ключевые атрибуты в данных сценария ресурсов связаны в исполняемом файле.
• В исполняемом файле есть целевые последовательности байтов.

[! ПРИМЕЧАНИЕ] Ключевые слова и последовательности байтов были получены из общих характеристик, наблюдаемых при использовании различных технологий установки.

[! ПРИМЕЧАНИЕ] Контроль учетных записей пользователей: обнаружение установок приложений и запрос параметра политики повышения прав должны быть включены, чтобы установщик обнаруживал программы установки.

No related posts.