Локальные учетные записи

Безопасность

UAC — удобная функция; он не вводит границы безопасности и не предотвращает выполнение вредоносных программ .

Лео Дэвидсон обнаружил , что Microsoft ослабила контроль учетных записей в Windows 7 через освобождение от около 70 программ для Windows от отображающего UAC подсказки и представила доказательство концепции для повышения привилегий .

Стефан Кантак представил доказательство концепции повышения привилегий с помощью обнаружения установщика UAC и установщиков IExpress .

Стефан Кантак представил еще одно доказательство концепции выполнения произвольного кода, а также повышения привилегий с помощью автоматического повышения уровня UAC и установки двоичных файлов.

Как работает контроль учетных записей пользователей

В последних версиях Windows, стандартные приложения работают без разрешения администратора.

Они имеют уровень разрешения обычного пользователя – им не разрешается вносить изменения в систему.

Когда приложение хочет внести что-то новое, что влияют на других пользователей, изменения системных файлов и папок, установка новой программы, UAC запрашивает разрешение у пользователя.

Если пользователь выбирает нет, они не будут осуществляться. Если пользователь выбирает да, приложения получат разрешение от администратора и могут их внести в систему.

Это разрешение будет дано, пока приложение не будет остановлено или выключено пользователем

Что такое UAC

UAC – страж нашей компьютерной безопасности, эта функция не допускает несанкционированного запуска программного обеспечения в среде Windows, которое может выполнять значимые для работы операционной системы операции – изменять важные её настройки, получать доступ к важным системным и пользовательским данным. Таким образом UAC защищает нас от запуска вредоносного программного обеспечения. И также UAC защищает нас от неопытных или злонамеренных действий других пользователей компьютера. Будучи администратором компьютера, т.е. пользователем с учётной записью администратора, мы можем контролировать все значимые для безопасности компьютера и наших личных данных операции, выполняемые другими пользователями Windows, у которых нет прав администратора.

UAC работает методом запроса прав администратора при запуске важных системных утилит, консолей, приложений, а также сторонних программ, которые производят значимые изменения, это, например, менеджеры дисков, бэкаперы, утилиты обновления Windows, редакторы системного загрузчика, чистильщики-оптимизаторы, деинсталляторы, драйверы и установщики драйверов, а также прочие. Файлы запуска такого ПО содержат значок UAC.

Для сторонних программ UAC работает и при их установке в Windows, и каждый раз при запуске.

И мы сами можем применить UAC для любой программы или игры, даже если она сама не требует для запуска прав администратора. Для этого в свойствах файла запуска такой программы или игры необходимо установить активной опцию запуска от администратора.

При запуске системной или сторонней программы, подпадающей под проверку UAC, у нас каждый раз на затенённом экране будет появляться окно этой функции. И нам каждый раз нужно жать «Да», чтобы программа могла запуститься. Но это если мы работаем с учётной записи администратора.

У обычных пользователей Windows нет прав администратора. И в их учётных записях при запуске программ, контролируемых UAC, запрос этой функции содержит указание на администратора компьютера и поле ввода пароля от его учётной записи. Только после ввода пароля администратора программа может быть запущена.

Таким образом UAC может ещё и играть роль примитивного инструмента родительского контроля. Будучи администратором, мы можем в свойствах файла запуска любой программы или игры, даже абсолютно безопасной с точки зрения вмешательства в работу Windows, назначить её запуск от имени администратора, и тогда обычный пользователь без нашего пароля не запустит такую программу или игру.

Отключаем UAC

Давайте разберёмся, как отключить контроль учётных записей пользователей в среде Windows 7 следующими способами:

• посредством «Параметров управления учётными записями»;
• через командную строку;
• при помощи редактора групповой политики;
• прямым редактированием соответствующей записи реестра.

Итак, начнём с самого простого и понятного новичкам варианта отключения UAC.

Графический интерфейс

За настройку UAC отвечает файл «UserAccountControlSettings.exe», расположенный в каталоге «System32» для Windows любой разрядности. Вызвать его можно несколькими путями:

переходим в вышеназванную папку и запускаем файл «UserAccountControlSettings.exe» или вставляем в адресную строку «Проводника» следующую строчку: «%WINDIR%\SYSTEM32\UserAccountControlSettings.exe» и жмём Enter;

в появившемся окошке при следующей попытке что-либо изменить в системе или запустить программу кликаем «Настройка выдачи таких уведомлений»;

открываем окно командного интерпретатора посредством сочетания клавиш Win + R, вводим команду «UserAccountControlSettings.exe» и жмём Ввод;

Через «Панель управления»

В последнем случае выполняем следующую инструкцию.

1. Вызываем «Пуск» и кликаем по аватару учётной записи.

Здесь можно пойти и более сложным путём: открыть «Панель управления» и перейти по обведённому на скриншоте выше пути.

После подтверждения совершения действия перед нами появилось целевое окно со ссылкой на справочный раздел, вертикально расположенным ползунком и парой кнопок.

1. Здесь переносим ползунок в крайнее нижнее положение «Никогда не уведомлять».

1. Подтверждаем понижение уровня безопасности до минимального, кликнув «Да».

1. Перезагружаем ПК для вступления новых настроек в действие.

Локальная политика

Редактор локальной политики безопасности позволяет управлять всеми гранями безопасности Windows 7. Рассмотрим, как отключение UAC осуществляется при помощи данного инструмента.

1. Открываем командный интерпретатор при помощи клавиш Win + R или одноимённой кнопки в «Пуск».

1. Вводим в текстовую строку команду «secpol.msc» и кликаем «ОК».

1. Соглашаемся на выполнение операции.

1. Разворачиваем раздел «Локальные политики», кликнув по стрелке возле названия пункта или выделив его, нажав кнопку →, расположенную на курсорном блоке клавиатуры.

1. Идём в каталог «Параметры безопасности», где через контекстное меню записи «Контроль учетных записей: все администраторы работают в режиме одобрения…» вызываем её «Свойства».

1. Отключаем User Account Control путём переноса триггерного переключателя в положение «Отключён» и кликаем «ОК».

Редактор реестра

1. Открываем окно выполнения системных команд, вводим туда строку «regedit» и щёлкаем «ОК».

1. Подтверждаем выполнение операции, как и ранее, и идём в ветку «HKLM».

1. Перемещаемся в показанную на скриншоте папку.

1. Открываем «Свойства» ключа «EnableUA» через контекстное меню элемента или сочетанием клавиш Alt + Enter.

1. Вводим «0» и кликаем «ОК».

Командная строка

Быстрее всего отключение UAC осуществляется из командной строки.

1. Выполняем «cmd» в поисковой строке или окне командного интерпретатора.

1. Вводим следующий код и выполняем его:

%windir%\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f

Как видим, команда изменит значение ключа «EnableLUA» на ноль, а если параметр отсутствует, то создаст его. То же самое, что мы делали вручную в предыдущем методе.

Настройка инструмента UAC

Существует 4 основных состояния, в которых служба может работать:

• Постоянные уведомления – самый активный режим, в этом случае окно оповещения появляется поверх всех окон, и реагирует как на программы, так и на процессы. Без вашей реакции невозможно продолжить работу.
• Уведомления о действии программ – в этом режиме вы будете получать меньше оповещений, так как они будут приходить только от программ. Если вы самостоятельно вносите изменения, то оповещения не будет.
• Предупреждения только об изменениях в критических файлах – данный вариант является «программой минимум» для всех, так как оповещает об изменениях или о попытке внести изменения в критически важные системные файлы.
• Отсутствие уведомлений – отключение работы. Этот режим не рекомендуется, так как вы перестанете контролировать ситуацию со внесением изменений в работу вашего компьютера.

Всё это настраивается по клику на «Настройка выдачи таких уведомлений» в окошке, которое оповещает вас:

Также это можно настроить в «Конфигурация системы» через Панель управления, в разделе Сервис:

Здесь вам нужно найти параметр «Настройка контроля учётных записей», в этом же разделе производится и отключение службы. Далее перед вами откроется визуальный интерфейс, где вы должны передвинуть ползунок:

Обратите внимание, что это н просто настройка уведомлений, это настройка работы всего сервиса – то есть, если вы отключите уведомления, то вместе с этим отключится и защита. Поэтому, не отключайте уведомления, если вы не хотите остаться без надежного инструмента, который блокирует нежелательные процессы и предотвращает критические проблемы

Вы можете открыть это окно настроек вызвав команду UserAccountControlSettings.exe через интерфейс Выполнить. Для этого используйте комбинацию горячих клавиш WIN+R, а далее введите UserAccountControlSettings.exe и нажмите кнопку Enter. В результате у вас откроется тоже самое окно настроек.

Как отключить контроль учетных записей UAC в Windows 10

Пользователю в разделе контроля учетных записей доступны следующие настройки уведомления об изменения параметров компьютера. По умолчанию система уведомляет пользователя только при попытках приложений внести изменения в компьютер с затемнением рабочего стола.

• Всегда уведомлять: когда приложения пытаются установить программное обеспечение или изменить параметры компьютера; когда пользователь изменяет параметры Windows (Рекомендуется при частой установке нового программного обеспечения и посещении незнакомых веб-сайтов).
• Уведомлять только при попытках приложений внести изменения в компьютер (по умолчанию) — не уведомлять при изменении параметров Windows пользователем (Рекомендуется при использовании знакомых приложений и посещения знакомых веб-сайтов).
• Уведомлять только при попытках приложений внести изменения в компьютер (не затемнять рабочий стол) — не уведомлять, когда пользователь изменяет параметры Windows (Не рекомендуется. Выбирайте этот вариант, только если затемнение рабочего стола компьютера занимает много времени).
• Не уведомлять меня: когда приложения пытаются установить программное обеспечение или изменить параметры компьютера; когда пользователь вносит изменения в систему (Не рекомендуется).

Собственно для полного отключения контроля учетных записей пользователей достаточно отключить все уведомления при попытках внесения изменений со стороны сторонних приложений. Иначе пользователям будет выводиться уведомление о блокировке приложения в целях защиты Windows 10. Рекомендуем отключать UAC только, если Вы уверенны в источнике приложения.

Панель управления

Стандартная панель управления все ещё доступна в последних версиях операционной системы. Пользователям достаточно знать как найти панель управления в Windows 10.

1. Перейдите в Панель управления > Учетные записи пользователей > Параметры контроля учетных записей.
2. В открывшимся окне перетяните ползунок в самое нижнее значение Никогда не уведомлять.

Путем перетаскивания ползунка в окне управления учетными записями можно быстро отключать и включать контроль учетных записей пользователей

Обратите внимание, полностью отключать средство защиты не рекомендуется

А также попасть в окно параметров управления учетными записями пользователей можно с помощью поиска, набрав Изменения параметров контроля, и выбрав в результатах поиска Изменение параметров контроля учетных записей или выполнив команду UserAccountControlSettings в окне Win+R.

Редактор локальной групповой политики

1. Откройте редактор групповой политики выполнив команду gpedit.msc в окнеWin+R.
2. Перейдите по пути: Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности.
3. Находим политику Контроль учетных записей: все администраторы работают… и меняем её параметр на Отключен.

Редактор реестра

Для более опытных пользователей есть возможность отключить или включить UAC с помощью редактора реестра. Этот способ также подходит для пользователей предыдущих версий операционной системы. Перед внесением изменений рекомендуется создать резервную копию реестра Windows 10.

1. Откройте редактора реестра нажав Win+R, и в открывшемся окне выполните regedit.
2. Перейдем по пути: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Policies\ System.

Здесь мы увидим 3 параметра: ConsentPromptBehaviorAdmin, PromptOnSecureDesktop, EnableLUA значения которых мы и будем менять. Установите следующие значения для каждого уровня положения ползунка.

• Всегда уведомлять —
• Уведомлять при попытках приложений изменить параметры —
• Уведомлять без затемнения экрана — 
• Никогда не уведомлять —

Выводы

Несмотря на дополнительную защиту со стороны контроля учетных записей в некоторых ситуациях в пользователя не получается установить даже доверенные приложения. Если же Вы уверенны в достоверности источника приложения, можно на некоторое время полностью отключить контроль учетной записи. После установки нужного приложения, рекомендуем восстановить все значения по умолчанию.

Как отключить контроль учетных записей

Чтобы отключить контроль учётных записей в Windows 10, откройте поисковое окно (значок лупы рядом с меню Пуск) и введите в поле поиска сокращение UAC.

В результатах поиска выберите пункт «Изменение параметров контроля учетных записей»; Откроется Панель управления Windows, в разделе «Параметры управления учётными записями пользователей». По-умолчанию, в Windows 10 селектор установлен в положении «Всегда уведомлять». Если вы хотите полностью отключить UAC в Windows 10, установите селектор в крайнее нижнее положение «Никогда не уведомлять».

Включить контроль учетных записей

Если захотите включить контроль учетных записей, то селектор нужно переместить и установить его на втором с верху уровне «Не уведомлять, при изменении параметров Windows пользователям» (по умолчанию).

Связанные материалы:

Контроль учетных записей (UAC) помогает предотвратить повреждение компьютера вредоносным ПО и помогает организациям развернуть среду рабочего стола с лучшим управлением. При использовании UAC приложения и задачи всегда выполняются в контексте безопасности учетной записи, не являющейся администратором, если только администратор специально не разрешает доступ уровня администратора к системе. UAC может заблокировать автоматическую установку неавторизованных приложений и предотвратить непреднамеренное изменение настроек системы.

Если включен параметр «Всегда уведомлять или UAC по умолчанию», ваш рабочий стол будет переключен на защищенный рабочий стол с затемненным цветом, когда вы получите запрос на повышение прав в ответ на запрос контроля учетных записей (UAC).

UAC позволяет всем пользователям входить на свои компьютеры с использованием стандартной учетной записи пользователя. Процессы, запущенные с использованием токена стандартного пользователя, могут выполнять задачи с использованием прав доступа, предоставленных обычному пользователю. Например, File Explorer автоматически наследует стандартные разрешения уровня пользователя. Кроме того, любые приложения, запускаемые с помощью проводника (например, двойным щелчком по ярлыку), также запускаются со стандартным набором разрешений пользователей. Многие приложения, в том числе те, которые включены в саму операционную систему, предназначены для правильной работы таким образом.

Другие приложения, особенно те, которые не были специально разработаны с учетом параметров безопасности, часто требуют дополнительных разрешений для успешной работы. Эти типы приложений называются устаревшими приложениями. Кроме того, такие действия, как установка нового программного обеспечения и изменение конфигурации брандмауэра Windows, требуют больше разрешений, чем доступно для стандартной учетной записи пользователя.

Когда приложение должно запускаться с правами, превышающими стандартные, UAC может восстановить дополнительные группы пользователей в токен. Это позволяет пользователю иметь явный контроль над приложениями, которые вносят изменения на уровне системы на своем компьютере или устройстве.

Пользователь, который является членом АдминистраторовГруппа может войти в систему, просматривать веб-страницы и читать электронную почту, используя стандартный токен доступа пользователя. Когда администратору необходимо выполнить задачу, для которой требуется маркер доступа администратора, Windows 10 автоматически запрашивает у пользователя утверждение Y / N. Это приглашение называется приглашением повышения прав (UAC).

Когда UAC включен, пользовательский опыт для обычных пользователей отличается от администраторов в режиме одобрения администратором. Рекомендуемый и более безопасный способ запуска Windows 10 — сделать вашу учетную запись основного пользователя стандартной учетной записью. Работа в качестве обычного пользователя помогает максимально повысить безопасность управляемой среды. С помощью встроенного компонента повышения UAC обычные пользователи могут легко выполнить административную задачу, введя действительные учетные данные для учетной записи локального администратора. Встроенным компонентом повышения UAC по умолчанию для обычных пользователей является запрос учетных данных.

По умолчанию UAC настроен на уведомление вас всякий раз, когда приложения пытаются внести изменения в ваш ПК, но вы можете изменить частоту, с которой UAC уведомляет вас.

Вот так выглядит Контроль учетных записей в Windows 10

Из этой инструкции Вы узнаете, как отключить или изменить настройки контроля учетных записей (UAC), когда пользователи должны получать уведомления об изменениях на вашем компьютере в Windows 10.

Open User Account Control Settings

Opening the User Account Control settings is most easily accessed by searching for “uac“. Here’s how to open the User Account Control settings in Windows 10, 8, and 7.

Windows 10

In Windows 10, click either the “Cortana” or the “Search” button on the Taskbar and type “uac” in the box.

Click on “Change User Account Control settings” in the list of results.

Windows 8/8.1

On the Start screen in Windows 8, or 8.1, start typing “uac“. The Search box automatically populates with your search term and results start displaying.

Click on “Change User Account Control settings” in the list of results.

Windows 7

In Windows 7, the User Account Control settings are changed in the “Control Panel“. Click the “Start” button and type “uac” into the Search box on the Start menu. Click the “Change User Account Control settings” link under “Control Panel“.

typeof __ez_fad_position!=’undefined’&&__ez_fad_position(‘div-gpt-ad-trendblog_net-mobile-leaderboard-1-0’)Change User Account Control Settings In PC Settings Or Control Panel

The “User Account Control Settings” dialog box is the same in “PC Settings” (Windows 8 and 10) and the “Control Panel” (Windows 7).

The four levels of UAC security are indicated by ticks on either side of the slider bar. Move the slider on the bar to the top for the highest level of security and to the bottom to disable it. As we’ve said before, we do not recommend disabling it.

Always Notify

“Always Notify” is the most secure UAC level, and can be the most annoying. Every time an application or a user tries to make system-wide changes to Windows settings, the UAC prompt displays. You must click “Yes” or “No” on the UAC prompt before doing anything else on your computer.

If you’re working in a standard user account, you might need to provide the password from the built-in administrator account to grant the elevated privileges. This setting is like the original implementation of User Account Control in Windows Vista.

Drag the slider up to the top to select this level of security.

Notify Me Only When Apps Try To Make Changes To My Computer

The next level down is the default setting, and will notify you if any applications try to make changes to your computer. Every time an application tries to make system-wide changes, the UAC prompt displays. You must click “Yes” or “No” on the UAC prompt before doing anything else on your computer.

If you’re working in a standard user account, you might need to provide the password from the built-in administrator account to grant elevated privileges. When this level is chosen, you will not see the UAC prompt, if you make changes to Windows settings.

This level is less secure because malicious programs can attempt to change your system settings without your knowledge. However, if you take other precautions, such as running an anti-malware program, your system should be safe with this UAC level.

Drag the slider up to the second tick from the top to select this level.

Notify Me Only When Apps Try To Make Changes To My Computer (Do Not Dim My Desktop)

This level is the same as the one discussed above, but the desktop is not dimmed, and other programs can interact and interfere with the UAC prompt.

If you’re working in a standard user account, you might need to provide the password from the built-in administrator account to grant elevated privileges.

This is even less secure than the previous level because malicious applications can also interact and interfere with the UAC prompt and give themselves permission when you don’t want them to. If you want to set User Account Control to this level, make sure you’re running an anti-malware program.

Drag the slider up to the second tick from the bottom to select this level.

Never Notify Me

This level completely disables User Account Control and provides no protection against unauthorized changes to your system.

This is the most insecure security level. We DO NOT recommend setting this level. If you do not have a good security solution (anti-malware, anti-exploit, etc.), it’s very likely you’ll have security issues with your system.

Malicious programs can gain access to your system and make changes without your knowledge, infecting your system and possibly even taking control of it.

Even if you do have a good security solution in place, User Account Control can provide another level of security. No single security solution can provide complete protection. You can never be too careful.

If you feel you must select this level, drag the slider down to the bottom.

User Account Control (UAC) in Windows 10

The User Account Control basically notifies you before changes are made to your PC – not all changes, but only those which require Administrator level permissions. These changes could have been initiated by the user, by the operation system, by genuine software – or even malware! Every time such an administrator-level change is initiated, Windows UAC will prompt the user for approval or denial. If the user approves the change, the change is made; in not, no changes are made to the system. Till such a time that the UAC appears, the screen may go dark.

Broadly speaking, the following are some of the actions which may trigger a UAC prompt:

• Install or Uninstall of applications
• Changing Firewall settings
• Installing Drivers & ActiveX controls
• Installing/Configuring Windows Update
• Adding/Removing/Changing user accounts/types
• Accessing, Viewing or Changing another User’s files & folders
• Configuring Parental Controls
• Running the Task Scheduler
• Restoring backup system files
• And even while changing UAC settings

Its default settings are:

Whenever the UAC Consent Prompt appears and asks for your permission, you may have noticed that it darkens the screen and temporarily turns off the Aero interface – and it appears without the transparency. This is called Secure Desktop and is a security feature in Windows. The credential prompt is presented when a standard user attempts to perform a task that requires a user’s administrative access token.

The UAC elevation prompts are color-coded to be application-specific, enabling for immediate identification of an application’s potential security risk.

С чего начать

Чтобы начать лить трафик с UAC, потребуются:

• мобильные приложения, причем именно их содержание, качество, популярность играет ключевую роль;
• прокачанный аккаунт Google для публикации приложений (рекомендуемый стаж — не менее 1 месяца, желательно наличие уже нескольких запущенных в раздачу приложений, не получивших бан, в том числе перманентный);
• аккаунт Google Реклама, который обязательно нужно связать с Firebase (для базовой аналитики поведения пользователей мобильных приложений, без этого лить придется наугад).

Стоит учесть, что аккаунт Google Рекламы и Firebase связать удастся только при наличии прав владельца (проекта в Фаербейс) и администратора (в Google Реклама).

Синхронизация изначально включается именно в Firebase, а затем в настройках Google достаточно выдать подтверждение на обмен инфой (в «Связанных аккаунтах» в разделе настроек). И перед тем, как лить с Гугл ЮАК на приложения, обязательно следует проверять прилы на отсутствие контента, за который бан предусмотрен. Веб-программы использовать тоже можно, так что приложения от партнерок можно брать в оборот (если есть возможность).