Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Windows 7 Обзор Рассмотрение Microsoft Windows 7 User Account Control (UAC) RSS

Рассмотрение Microsoft Windows 7 User Account Control (UAC)

Текущий рейтинг: 3.32 (проголосовало 104)
 Посетителей: 22779 | Просмотров: 28272 (сегодня 0)  Шрифт: - +

Если вы еще не слышали о технологии User Account Control (UAC), то вам нужно провести немного времени в архивах и на блогах, посвященных Windows Vista и 7. UAC была впервые представлена в Windows Vista и с тех пор была подвержена множеству горячих споров, и является одной из самых противоречивых технологий, относящихся к ОС после Windows XP. Для администраторов UAC является одной из основных причин, по которой Windows Vista не используется в качестве ОС стационарных компьютеров. Для конечных пользователей UAC не соответствовала тем рыночным требованиям и потенциалу, который изначально планировался компанией Microsoft относительно данной технологии. Теперь, когда практически полный цикл Windows Vista завершен (да уж, он был относительно короткий и не совсем удачный), следующее поколение ОС Windows 7, тестируется, оценивается и критикуется за применение в ней технологии UAC. Здесь мы рассмотрим старую и новую технологию UAC, а также определим, стоит ли брать на вооружение Windows 7 и UAC.

UAC, для чего она создана

Изначально предполагалось, что UAC решит проблему, связанную с приложениями, требующими привилегий администратора, заставляя конечных пользователей использовать учетную запись локальных администраторов. В самом начале, UAC называлась LUA (пользовательский доступ с минимальными привилегиями - Least Privilege User Access), но вскоре это название было изменено в силу того, что технология оказалась далека от решения проблемы.

В конечном продукте UAC представляет собой технологию безопасности, созданную для защиты файлов операционной системы и системного реестра от вредоносного ПО, вирусов и кода, пытающихся изменить защищенные области компьютера. Это вредоносное ПО пытается добавить, изменить или удалить ключевые части операционной системы в попытке завладеть контролем над компьютером и при этом остаться незамеченным.

Как работает UAC

UAC (в Windows Vista, равно как и в 7) работает примерно одинаково. Однако есть некоторые изменения в Windows 7, отсутствовавшие в Windows Vista, но мы рассмотрим их немного позже. UAC попросту лишает приложения, задачи, функции или действия, выполняемые пользователем во время ежедневной работы, всей власти «администрирования». На самом деле есть два режима применения UAC, для пользователей, принадлежащих к группе локальных администраторов, и для пользователей, которые не принадлежат к этой группе.

Если рассматривать, как работает Windows Vista UAC, мы впоследствии сможем сравнить принцип ее работы с Windows 7 UAC. Нам нужно рассмотреть оба режима работы, чтобы познакомится с принципом работы каждого. Сначала рассмотрим ситуацию, когда в систему входит пользователь, не принадлежащий к группе локальных администраторов. В этом случае пользователь не имеет мандатов администратора при входе, поэтому любое приложение, задача или функция работать не будет, если требует административных привилегий. Когда UAC включена (по умолчанию запрашивает согласия), появляется диалоговое окно, в котором пользователю предоставляется возможность ввести имя пользователя и пароль учетной записи с привилегиями администратора. Если мандаты введены, то только те приложения, задачи или функции, которые отмечены UAC и на выполнение которых запрошено подтверждение, получат привилегии администрирования. На рисунке 1 показан запрос на подтверждение UAC.

*

Рисунок 1: Диалоговое окно UAC с запросом подтверждения для стандартного пользователя

Далее, нам нужно расследовать UAC в Windows Vista для ситуации, когда в систему входит администратор. В ситуации, когда входящий в систему пользователь имеет привилегии администратора, UAC, по сути, убирает административные привилегии до тех пор, пока они не потребуются заданию. Это делается с тем, чтобы фоновые приложения, вирусы, вредоносный код, черви и т.д. не смогли изменить файлы ОС или системный реестр, используя мандаты вошедшего в систему пользователя. Если мы взглянем на ключ аутентификации пользовательской учетной записи с принадлежностью к группе администраторов домена, становится видно, что ‘административные привилегии’ были убраны. На рисунке 2 четко видно, как SID группы Domain Admins имеет значение ‘DENY’ (запретить) для ключа.

*

Рисунок 2: UAC устанавливает SID группы Domain Admins на запрещение разрешений (Deny permissions) для ключа

Это самый важный аспект UAC для ситуации, когда в систему входит администратор. Поскольку практически все виды вредоносных приложений написаны таким образом, чтобы использовать текущие мандаты, они не смогут выполняться! Конечно, отрицательным моментом в такой ситуации является то, что когда ЛЮБОЕ приложение, даже то, которое хорошо известно и запускается очень часто, запускается, всегда будет появляться запрос на подтверждение выполнения этого приложения. Этот запрос показан на рисунке 3.

*

Рисунок 3: UAC может запрашивать у пользователей подтверждения, если у них есть администраторские привилегии

Это может быть очень раздражающим фактором, когда вы запускаете приложение в десятый раз, и уверены, что оно безопасно. Однако безопасность никогда не была простой и четкой. Преимуществом является то, что если вредоносные приложения пытаются внедриться в защищенные файлы или записи реестра, появится оповещение, говорящее о том, что в фоновом режиме происходит что-то, инициатором чего вы не являетесь.

Такое поведение используется для администраторов и стандартных пользователей и является наиболее безопасным режимом, который вызывает оповещение для любой задачи, требующей привилегий администратора. Что-то менее жесткое, чем этот уровень безопасности, не защитит компьютер от вредоносных приложений или вирусов, поскольку фоновая активность останется незамеченной и позволит вносить изменения в систему.

Опции UAC в Windows 7

Способ функционирования UAC в Windows Vista был причиной, по которой многие администраторы и компании (без администраторов) старались держаться от Vista подальше. В силу такого положения компания Microsoft была вынуждена вернуться к чертежам с целью исправления этих «назойливых» всплывающих окон, которые связаны с UAC. Решением, которое компания Microsoft применила в Windows 7, является ползунок UAC.

Ползунок управления позволяет администратору компьютера управлять уровнем оповещений UAC, и уровнем безопасности, который будет применен. Ползунок контролирует то, какие типы приложений будут вызвать оповещение, и какие приложения будут получать администраторские привилегии без запроса подтверждения. Есть четыре положения ползунка, которые показаны на рисунке 4.

*

Рисунок 4: UAC ползунок в Windows 7

Различные уровни определяются следующим образом:

  1. Всегда оповещать при каждом изменении системы. Это поведение было в Vista ‘ оповещение UAC появлялось всякий раз, когда вносились изменения на системном уровне (параметры Windows, установка ПО и т.д.)
  2. Оповещать, только когда программа пытается внести изменения в мой компьютер. Это оповещение не появляется, когда вы вносите изменения в настройки Windows, такие как панель управления или задачи администрирования.
  3. Оповещать, только когда программа пытается внести изменения в мой компьютер, не используя Secure Desktop. Это то же самое, что и №2, но подсказки UAC появляются на нормальном рабочем столе, а не на заблокированном (Secure Desktop). Хотя это полезно для определенных видео драйверов, которые слишком медленно переключают режим, обратите внимание на то, что Secure Desktop является преградой для ПО, которое может попытаться подделать ваш ответ.
  4. Никогда не оповещать. Эта опция полностью отключает UAC.

Большинство людей, с которыми я беседовал по этому поводу, сказали, что все эти опции, кроме первого, самого безопасного уровня, будут отличной альтернативой. Но самый безопасный первый уровень был взломан! Я не хочу вдаваться в подробности этого взлома, компания Microsoft опубликовала эту информацию здесь, и вы можете прочитать ее, перейдя по этой ссылке.

Итак, в Windows 7 у вас будет ползунок для управления поведением UAC. Самый безопасный уровень является самым раздражающим, но и самым надежным. Опция без оповещения практически превращает ваш компьютер Windows 7 в Windows XP, вследствие чего возникает вопрос’ зачем вообще переходить на эту ОС, если вам плевать на безопасность!?

Заключение

Windows Vista более безопасна, чем Windows XP в силу того, что использует UAC. Если вы не используете оповещения или отключаете UAC, компьютер становится столь же небезопасен, как и под управлением Windows XP. Если вы используете любой уровень безопасности UAC кроме первого в Windows 7, то вам приходится обходиться той же безопасностью, которой обладала Windows XP. Безопасность никогда не была простой или удобной. Если вы решите отключить замечательную функцию безопасности UAC или опустить ползунок на уровень ниже, вы тем самым отказываетесь от той безопасности, которую предлагают сегодняшние ОС Windows. Если безопасность не представляет проблем, то зачем переходить на новую ОС?? Экономьте деньги до тех пор, пока новая версия червя ConFlicker атакует ваш компьютер, они вам обязательно понадобятся!

Автор: Дерек Мелбер  •  Иcточник: winsecurity.ru  •  Опубликована: 23.04.2009
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:   UAC, Windows 7.


Оценить статью:
Вверх
Комментарии посетителей
24.04.2009/03:55  Admiral

Лично мне в UAC реализации Висты не понравилось то, что нельзя отключать затенения http://forum.oszone.net/post-733381.html#post733381, это то что в Севен можно включать по do not dim my desktop
Хотя вот в этом видео туторуале по Висте нет никаких затенений. http://videos.trainsignal.com/windows-vista-training-video-tutorial/vistasamp.html
Вот здесь "рассмотрим ситуацию, когда в систему входит пользователь, не принадлежащий к группе локальных администраторов" как раз не мешало рассказать про ситуацию при выключенном UAC и работе под ограниченной учётной записью. Это может понадобится, когда необходимо скрыть от пользователя то что он не админ, да и вообще, он может быть не в курсе таких дел. А UAC запрос пароля с логином админа говорит ему кто его ограничил. :)
После отключение UAC кажется что ограниченную учётную запись подымаю до админа. Без запроса можно войти туда, где раньше был парольный доступ, но предпринять всё же ничего нельзя. Но отключение с такой целью, да и вообще отключение UAC, не совсем правильно. А как можно запретить показывать окно с запросом пароля под ограниченной учётной записью? Отключение и остановка службы Secondary Logon от появления данных запросов под ограниченной учёткой не избавило.
Да ещё, я знаю что материал переводился на другом ресурсе, по правилах копирайте нельзя его изменять, но ошибки перевода можно было указать рунетовскому второисточнику.
Я про "все эти опции, кроме первого, самого женского уровня, будут отличной альтернативой.", не женского а жесткого или "наиболее безлопастного".
Вот оригинал с английского первоисточника "all but the most secure setting of level 1, is a good alternative."
http://www.windowsecurity.com/articles/Exposing-Microsoft-Windows-7-User-Account-Control-UAC.html
25.04.2009/18:42  lesha111

На своих личных компьютерах я отключаю UAC и постоянную защиту антивируса - я же не запускаю что попало. И само ничего не запускается т.к. я не пользуюсь уязвимыми приложениями IE, Outlook (Express),WMP, Acrobat Reader у меня на 100% отключен авторан и доступ в интернет через роутер с файерволом. Сложно тестировать например загрузочные флешки, если каждый раз при перезаписи загрузочного сектора или форматировании потребуется жать «продолжить».
Но если я ставлю систему кому-то, кроме себя, лучше не рассчитывать на грмотность пользователя и придерживаться официальных рекомендаций. Я даже иногда ставлю запрет записи на папки (разделы реестра) с автозагрузкой. Кстати уровень безовасности XP не так уж плох, только заплаток нужно в разы больше и работать без прав админа в xp и 2000 действительно жутко неудобно
27.04.2009/11:06  DenSha

Отталкиваясь от статьи: "...Опция без оповещения практически превращает ваш компьютер Windows 7 в Windows XP...", безопасность Vista и 7 с включенным UAC не отличается от таковой у ХР при работе от непривелегированного пользователя и использовании "run as", а при снижении полномочий встроенной группы администраторов ХР - и привелегированного.
"Если безопасность не представляет проблем, то зачем переходить на новую ОС??" ... действительно... может из-за прекращения продаж ХР?... "...Экономьте деньги до тех пор, пока новая версия червя ConFlicker" -например, заточенного под Vista? - "... атакует ваш компьютер, они вам обязательно понадобятся!"
10.12.2009/20:26  AlexCool

Конечно, отрицательным моментом в такой ситуации является то, что когда ЛЮБОЕ приложение, даже то, которое хорошо известно и запускается очень часто, запускается, всегда будет появляться запрос на подтверждение выполнения этого приложения.

А почему бы не предоставить пользователю механизм добавления доверенных приложений в исключения UAC, например через адм. политики?
Комментарии отключены. С вопросами по статьям обращайтесь в форум.