Меню Рубрики

Установка контроля учетных записей пользователей

Включение и отключение UAC в Windows

Для того чтобы ответить на вопрос, как включить или отключить контроль учётных записей в Windows, нужно понять, что это такое. UAC — это защитная опция операционной системы, поддерживаемая всеми последними версиями Windows (Vista, 7, 8, 10). Независимо от того, какую учётную запись использует пользователь, система выдаёт запрос о разрешении запускаемому приложению внести изменения.

Порядок включения и отключения UAC в Windows 10 имеет свои отличия.

Если владелец ПК Администратор, то он может разрешить или нет этой программе войти в ОС и изменить параметры, лишь нажав кнопки «Да» или «Нет». В ином случае придётся вводить пароль. Причины для отключения контроля учётных данных могут быть разные, но иногда это действительно необходимо.

На что нужно обратить внимание при появлении консоли

При загрузке приложения в появившемся окне уведомления 10 ОС имеется информация об имени программы, её издателе и источнике файла. Всё это даёт полную картину о запускаемом софте. Поэтому, когда приложение не имеет названия, у пользователей должен возникнуть вопрос о его «добропорядочности». Таким образом, вместе с установочным файлом очень часто проникают и вирусы. Если же программа проверена или вы полагаетесь на антивирус, в любом случае есть возможность отключить защиту.

Отключение контрольной функции

Способ 1.

Чтобы вызвать уведомление контроля в Windows 10, можно попробовать загрузить установочный файл любой простой программки, например, Media Player. Для этого у пользователей должен быть доступ к записи Администратором. В нижнем правом углу появившегося сообщения щёлкнуть по «Настройке выдачи таких уведомлений». Отредактировать функцию по своему усмотрению.

Способ 2.

В меню «Пуск» ввести слово «UAC». Далее выбрать «Изменение параметров контроля учётных записей». В настройках сообщения установить селектор на нижний уровень «Никогда не уведомлять».

Способ 3.

В меню «Пуск» найти вкладку «Панель управления». В правой части окна открыть «маленькие значки» и выбрать строчку «Учётные записи пользователей». Затем нажать на пункт «Изменить параметры контроля учётных записей». Также настроить работу опции или вовсе отключить её.

Способ 4.

На клавиатуре набрать Win+R. В открывшейся консоли прописать «UserAccountControlSetting» и ввод. В появившихся параметрах произвести отключение опции.

Способ 5.

Кликнуть по клавишам Win+R. В окне «Выполнить» ввести слово «regedit» и «ок». В левой части редактора реестра найти «Sistem». В открывшейся правой консоли кликнуть двойным нажатием мыши по надписи «EnableLUA». В появившемся окошке поменять значение «1» на «0» и «ок». Для сохранения изменений выскочит уведомление о перезагрузке компьютера.

Для того чтобы включить контрольную защиту в ОС Windows 10, в его настройках следует вернуть селектор в исходное положение. Также можно настроить функцию под свои параметры, где наилучшим вариантом может считаться второе положение селектора сверху.

Что означают 4 положения UAC

  1. Всегда уведомлять — самый безопасный и оптимальный вариант. То есть любое несанкционированное действие программы будет вызывать появление окна с уведомлением.
  2. Уведомлять при попытке приложения внести изменения (по умолчанию). Обычно включается при загрузке программы.
  3. Уведомлять о внесении изменений без затемнения и блокировки экрана. Такое положение не препятствует вторжению троянов.
  4. Не уведомлять никогда, то есть полное отключение функции.

Если всё же было решено отключить защитную опцию в Windows 10, следует быть готовым к атакам вредоносного ПО. В этом случае нужно быть особо внимательным к запускаемым приложениям, так как они имеют такой же доступ к информации на компьютере, как и у пользователей с правами Администратора. Поэтому, если вы отключили UAC только для того, чтобы он не мешал, то это очень неправильная тактика. В этом случае лучше установить защитную функцию по умолчанию.

источник

Как работает контроль учетных записей How User Account Control works

Область применения Applies to

Контроль учетных записей (UAC) является основополагающим компонентом общей концепции безопасности корпорации Microsoft. User Account Control (UAC) is a fundamental component of Microsoft’s overall security vision. UAC помогает уменьшить воздействие вредоносных программ. UAC helps mitigate the impact of malware.

Процесс UAC и взаимодействие UAC process and interactions

Каждое приложение, которому требуется маркер доступа администратора, должно запросить согласие. Each app that requires the administrator access token must prompt for consent. Единственным исключением является существующая связь между родительскими и дочерними процессами. The one exception is the relationship that exists between parent and child processes. Дочерние процессы наследуют маркер доступа пользователя от родительского процесса. Child processes inherit the user’s access token from the parent process. Однако как родительские, так и дочерние процессы должны иметь одинаковый уровень целостности. Both the parent and child processes, however, must have the same integrity level. Windows10 защищает процессы, помечая их уровни целостности. Windows10 protects processes by marking their integrity levels. Уровни целостности — это измерения доверия. Integrity levels are measurements of trust. Приложение для проверки целостности — это средство, выполняющее задачи, которые изменяют системные данные, такие как приложение для разбиения дисков на разделы, в то время как приложение для обеспечения целостности — это средство, выполняющее задачи, которые могут потенциально повредить операционную систему, например веб-браузер. A «high» integrity application is one that performs tasks that modify system data, such as a disk partitioning application, while a «low» integrity application is one that performs tasks that could potentially compromise the operating system, such as a Web browser. Приложения с более низким уровнем целостности не могут изменять данные в приложениях с более высокими уровнями целостности. Apps with lower integrity levels cannot modify data in applications with higher integrity levels. Если стандартный пользователь попытается запустить приложение, для которого требуется маркер доступа администратора, UAC требует, чтобы пользователь предоставил действительные учетные данные администратора. When a standard user attempts to run an app that requires an administrator access token, UAC requires that the user provide valid administrator credentials.

Чтобы лучше понять, как происходит этот процесс, давайте взглянем на процесс входа в Windows. In order to better understand how this process happens, let’s look at the Windows logon process.

Процесс входа Logon process

Ниже показано, как процесс входа в систему для администратора отличается от процесса входа для обычного пользователя. The following shows how the logon process for an administrator differs from the logon process for a standard user.

По умолчанию стандартные пользователи и администраторы могут получать доступ к ресурсам и запускать приложения в контексте безопасности обычных пользователей. By default, standard users and administrators access resources and run apps in the security context of standard users. Когда пользователь входит в систему на компьютере, система создает маркер доступа для этого пользователя. When a user logs on to a computer, the system creates an access token for that user. Маркер доступа содержит сведения об уровне доступа, предоставленного пользователю, включая определенные идентификаторы безопасности (SID) и привилегии Windows. The access token contains information about the level of access that the user is granted, including specific security identifiers (SIDs) and Windows privileges.

Если администратор входит в систему, для пользователя создается два отдельных маркера доступа: маркер доступа обычного пользователя и маркер доступа администратора. When an administrator logs on, two separate access tokens are created for the user: a standard user access token and an administrator access token. Маркер доступа Standard User имеет те же сведения о пользователе, что и маркер доступа администратора, но права администратора Windows и SID удалены. The standard user access token contains the same user-specific information as the administrator access token, but the administrative Windows privileges and SIDs are removed. Маркер доступа Standard User используется для запуска приложений, которые не выполняют административные задачи (стандартные пользовательские приложения). The standard user access token is used to start apps that do not perform administrative tasks (standard user apps). Затем маркер доступа Standard User (проводник. exe) используется для отображения рабочего стола. The standard user access token is then used to display the desktop (explorer.exe). Explorer. exe — это родительский процесс, из которого все другие процессы, инициированные пользователем, наследуют маркер доступа. Explorer.exe is the parent process from which all other user-initiated processes inherit their access token. В результате все приложения выполняются как обычные пользователи, если пользователь не предоставляет разрешение или учетные данные для утверждения приложения на использование полного маркера административного доступа. As a result, all apps run as a standard user unless a user provides consent or credentials to approve an app to use a full administrative access token.

Пользователь, который является членом группы «Администраторы», может входить в систему, просматривать веб-страницы и читать электронную почту, используя стандартный маркер доступа пользователя. A user that is a member of the Administrators group can log on, browse the Web, and read e-mail while using a standard user access token. Если администратору нужно выполнить задачу, требующую маркер доступа администратора, Windows10 автоматически запросит пользователя на утверждение. When the administrator needs to perform a task that requires the administrator access token, Windows10 automatically prompts the user for approval. Этот запрос называется запросом на повышение прав, и его поведение можно настроить с помощью оснастки локальной политики безопасности (secpol. msc) или групповой политики. This prompt is called an elevation prompt, and its behavior can be configured by using the Local Security Policy snap-in (Secpol.msc) or Group Policy. Дополнительные сведения можно найти в разделе Параметры политики безопасности управления учетными записями пользователей. For more info, see User Account Control security policy settings.

Пользовательский интерфейс UAC The UAC User Experience

Если включен контроль учетных записей, взаимодействие с пользователем для обычных пользователей отличается от администратора в режиме одобрения администратором. When UAC is enabled, the user experience for standard users is different from that of administrators in Admin Approval Mode. Рекомендуемый и более безопасный способ запуска Windows10 — сделать основную учетную запись пользователя стандартной. The recommended and more secure method of running Windows10 is to make your primary user account a standard user account. Работа в качестве стандартного пользователя обеспечивает максимальную безопасность управляемой среды. Running as a standard user helps to maximize security for a managed environment. С помощью встроенного компонента повышения прав UAC стандартные пользователи могут легко выполнять административную задачу, вводя допустимые учетные данные для учетной записи локального администратора. With the built-in UAC elevation component, standard users can easily perform an administrative task by entering valid credentials for a local administrator account. По умолчанию встроенным компонентом повышения прав UAC для обычных пользователей является запрос учетных данных. The default, built-in UAC elevation component for standard users is the credential prompt.

Читайте также:  Установка подъемника для инвалидов электрический

Альтернативой запуск в качестве стандартного пользователя является администратором в режиме одобрения администратором. The alternative to running as a standard user is to run as an administrator in Admin Approval Mode. С помощью встроенного компонента повышения прав UAC члены локальной группы администраторов могут легко выполнять административную задачу, предоставляя утверждение. With the built-in UAC elevation component, members of the local Administrators group can easily perform an administrative task by providing approval. По умолчанию встроенным компонентом повышения прав UAC для учетной записи администратора в режиме одобрения администратором является запрос согласия. The default, built-in UAC elevation component for an administrator account in Admin Approval Mode is called the consent prompt.

Запрос согласия и учетных данных The consent and credential prompts

При включенном контроле учетных записей Windows10 предложит разрешение или запрос учетных данных действительной учетной записи локального администратора, прежде чем запускать программу или задачу, требующую маркер полного доступа администратора. With UAC enabled, Windows10 prompts for consent or prompts for credentials of a valid local administrator account before starting a program or task that requires a full administrator access token. Это сообщение гарантирует, что вредоносные программы не будут установлены автоматически. This prompt ensures that no malicious software can be silently installed.

Запрос согласия The consent prompt

Запрос согласия предоставляется, когда пользователь пытается выполнить задачу, требующую наличия пользовательского маркера административного доступа. The consent prompt is presented when a user attempts to perform a task that requires a user’s administrative access token. Ниже приведен пример запроса на согласие на контроль учетных записей. The following is an example of the UAC consent prompt.

Запрос учетных данных The credential prompt

Запрос учетных данных представлен в том случае, если стандартный пользователь попытается выполнить задачу, требующую наличия пользовательского маркера административного доступа. The credential prompt is presented when a standard user attempts to perform a task that requires a user’s administrative access token. Администраторам также может потребоваться предоставить свои учетные данные, установив контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором , чтобы запрашивать учетные данные. Administrators can also be required to provide their credentials by setting the User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode policy setting value to Prompt for credentials.

Ниже приведен пример запроса учетных данных UAC. The following is an example of the UAC credential prompt.

Запросы на повышение прав UAC UAC elevation prompts

Запросы на повышение прав UAC зависят от цвета, чтобы они были специфическими для приложения, что позволяет немедленно идентифицировать потенциальный риск для системы безопасности. The UAC elevation prompts are color-coded to be app-specific, enabling for immediate identification of an application’s potential security risk. Если приложение пытается выполниться с маркером полного доступа администратора, Windows10 сначала анализирует исполняемый файл, чтобы определить его издателя. When an app attempts to run with an administrator’s full access token, Windows10 first analyzes the executable file to determine its publisher. Приложения сначала делятся на три категории, основанные на издателе файла: Windows10, Publisher проверил (подписано) и Publisher не прошел проверку (без подписи). Apps are first separated into three categories based on the file’s publisher: Windows10, publisher verified (signed), and publisher not verified (unsigned). На следующей схеме показано, как Windows10 определяет, какой запрос о повышении цвета будет предоставляться пользователю. The following diagram illustrates how Windows10 determines which color elevation prompt to present to the user.

Цветовая кодировка запросов на повышение прав показана ниже. The elevation prompt color-coding is as follows:

  • Красный фон с красным значком щита: приложение заблокировано групповой политикой или относится к заблокированному издателю. Red background with a red shield icon: The app is blocked by Group Policy or is from a publisher that is blocked.
  • Синий фон со значком щита синего цвета и золотистого цвета: это приложение Windows10 для администрирования, например элемент панели управления. Blue background with a blue and gold shield icon: The application is a Windows10 administrative app, such as a Control Panel item.
  • Синий фон со значком синего щита: приложение подписано с помощью Authenticode и является надежным на локальном компьютере. Blue background with a blue shield icon: The application is signed by using Authenticode and is trusted by the local computer.
  • Желтый фон со желтым значком щита: приложение не подписано или подписано, но еще не является доверенным для локального компьютера. Yellow background with a yellow shield icon: The application is unsigned or signed but is not yet trusted by the local computer.

Значок щита Shield icon

Некоторые элементы панели управления, такие как Свойства даты и времени, содержат сочетание операций администратора и стандартных пользователей. Some Control Panel items, such as Date and Time Properties, contain a combination of administrator and standard user operations. Обычные пользователи могут просматривать часы и менять часовой пояс, но для изменения локального системного времени требуется маркер полного доступа администратора. Standard users can view the clock and change the time zone, but a full administrator access token is required to change the local system time. Ниже приведен снимок экрана: свойство даты и времени элемента панели управления. The following is a screen shot of the Date and Time Properties Control Panel item.

Значок щита на кнопке » изменить дату и время » указывает на то, что процессу требуется маркер полного доступа администратора, и отобразится запрос на повышение прав UAC. The shield icon on the Change date and time button indicates that the process requires a full administrator access token and will display a UAC elevation prompt.

Защита запроса на повышение прав Securing the elevation prompt

Процесс повышения прав обеспечивается за счет направления запроса на безопасный рабочий стол. The elevation process is further secured by directing the prompt to the secure desktop. Запросы на разрешение и учетные данные отображаются на безопасном рабочем столе по умолчанию в Windows10. The consent and credential prompts are displayed on the secure desktop by default in Windows10. Доступ к защищенному рабочему столу возможен только для процессов Windows. Only Windows processes can access the secure desktop. Для более высоких уровней безопасности рекомендуется поддерживать контроль учетных записей пользователей: переключение на безопасный рабочий стол при запросе параметра политики повышения прав . For higher levels of security, we recommend keeping the User Account Control: Switch to the secure desktop when prompting for elevation policy setting enabled.

Когда исполняемый файл запрашивает повышение прав, интерактивный рабочий стол, также называемый пользовательским классом пользователя, переключается на безопасный рабочий стол. When an executable file requests elevation, the interactive desktop, also called the user desktop, is switched to the secure desktop. Безопасный Настольный компьютер становится недоступным для пользователей и отображает запрос на повышение прав, на который необходимо ответить, прежде чем продолжить. The secure desktop dims the user desktop and displays an elevation prompt that must be responded to before continuing. Когда пользователь нажимает кнопку «Да» или « нет«, Рабочий стол переключается на Рабочий стол пользователя. When the user clicks Yes or No, the desktop switches back to the user desktop.

Вредоносные программы могут представлять собой имитацию защищенного рабочего стола, но при использовании параметра «запрос на повышение прав» для администраторов в режиме одобрения администраторомзапрашивать согласиена то, что вредоносные программы не смогут получить повышенные права. Если пользователь нажмет кнопку «Да» для имитации. Malware can present an imitation of the secure desktop, but when the User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode policy setting is set to Prompt for consent, the malware does not gain elevation if the user clicks Yes on the imitation. Если для параметра политики задано значение » запрашивать учетные данные«, вредоносные программы, имитация запроса учетных данных, могут получить учетные данные пользователя. If the policy setting is set to Prompt for credentials, malware imitating the credential prompt may be able to gather the credentials from the user. Тем не менее, вредоносные программы не получают повышенный уровень привилегий, и система имеет другие меры, которые снижают защиту от вредоносных программ, даже с помощью собранного пароля. However, the malware does not gain elevated privilege and the system has other protections that mitigate malware from taking control of the user interface even with a harvested password.

Несмотря на то, что вредоносные программы могут представлять собой имитацию защищенного рабочего стола, эта проблема не может возникнуть, если пользователь ранее не установил вредоносную программу на компьютере. While malware could present an imitation of the secure desktop, this issue cannot occur unless a user previously installed the malware on the PC. Так как процессы, требующие маркера доступа администратора, не могут устанавливаться автоматически при включенном контроле учетных записей, пользователь должен явным образом предоставить согласие, щелкнув Да или указав учетные данные администратора. Because processes requiring an administrator access token cannot silently install when UAC is enabled, the user must explicitly provide consent by clicking Yes or by providing administrator credentials. Конкретное поведение запроса на повышение прав UAC зависит от групповой политики. The specific behavior of the UAC elevation prompt is dependent upon Group Policy.

Читайте также:  Установка раковины на панели пвх для

Архитектура UAC UAC Architecture

На приведенной ниже схеме показано, как архитектура UAC является подробной. The following diagram details the UAC architecture.

Чтобы лучше понять каждый компонент, ознакомьтесь с приведенной ниже таблицей. To better understand each component, review the table below:

Пользовательская операция, требующая привилегий User performs operation requiring privilege

Если операция изменяет файловую систему или реестр, вызывается виртуализация. If the operation changes the file system or registry, Virtualization is called. Все остальные операции вызывают ShellExecute. All other operations call ShellExecute.

ShellExecute вызывает CreateProcess. ShellExecute calls CreateProcess. ShellExecute выполняет поиск ошибки ERROR_ELEVATION_REQUIRED в CreateProcess. ShellExecute looks for the ERROR_ELEVATION_REQUIRED error from CreateProcess. Если сообщение об ошибке появляется, программа ShellExecute вызывает службу сведений о приложении, чтобы попытаться выполнить запрошенную задачу с запросом с повышенными привилегиями. If it receives the error, ShellExecute calls the Application Information service to attempt to perform the requested task with the elevated prompt.

Если для приложения требуется повышение прав, то CreateProcess отклоняет вызов с помощью ERROR_ELEVATION_REQUIRED. If the application requires elevation, CreateProcess rejects the call with ERROR_ELEVATION_REQUIRED.

Служба сведений о приложении Application Information service

Системная служба, помогающая запускать приложения, для выполнения которых требуется один или несколько повышенных привилегий или прав пользователя, таких как локальные задачи администрирования, и приложения, которым требуются более высокие уровни целостности. A system service that helps start apps that require one or more elevated privileges or user rights to run, such as local administrative tasks, and apps that require higher integrity levels. Служба «сведения о приложении» помогает запускать такие приложения, создавая новый процесс для приложения с правами администратора’s маркер полного доступа, если требуется разрешение, и (в зависимости от групповой политики), которое пользователь может сделать. The Application Information service helps start such apps by creating a new process for the application with an administrative user’s full access token when elevation is required and (depending on Group Policy) consent is given by the user to do so.

Повышение уровня установки ActiveX Elevating an ActiveX install

Если элемент ActiveX не установлен, система проверяет уровень ползунка UAC. If ActiveX is not installed, the system checks the UAC slider level. Если вы установили ActiveX, контроль учетных записей: переключение на безопасный рабочий стол при запросе параметра групповой политики с запросом на повышение прав. If ActiveX is installed, the User Account Control: Switch to the secure desktop when prompting for elevation Group Policy setting is checked.

Проверка уровня ползунка UAC Check UAC slider level

Контроль учетных записей имеет ползунок для выбора четырех уровней уведомления. UAC has a slider to select from four levels of notification.

Уведомления всегда будут: Always notify will:

  • Уведомлять, когда программы пытаются установить программное обеспечение или внести изменения на компьютере. Notify you when programs try to install software or make changes to your computer.
  • Уведомлять о внесении изменений в параметры Windows. Notify you when you make changes to Windows settings.
  • Закрепите другие задачи, пока не ответите. Freeze other tasks until you respond.

Рекомендуется в случае частой установки нового программного обеспечения или посещения незнакомых веб-сайтов. Recommended if you often install new software or visit unfamiliar websites.

Уведомлять только в том случае, если программы пытаются внести изменения на компьютере: Notify me only when programs try to make changes to my computer will:

  • Уведомлять, когда программы пытаются установить программное обеспечение или внести изменения на компьютере. Notify you when programs try to install software or make changes to your computer.
  • Не уведомлять о внесении изменений в параметры Windows. Not notify you when you make changes to Windows settings.
  • Закрепите другие задачи, пока не ответите. Freeze other tasks until you respond.

Рекомендуется, если вы не устанавливаете приложения часто или не посещаете незнакомых веб-сайтов. Recommended if you do not often install apps or visit unfamiliar websites.

Уведомлять только в том случае, если программы пытаются внести изменения на компьютере (не затемнять на рабочем столе) : Notify me only when programs try to make changes to my computer (do not dim my desktop) will:

  • Уведомлять, когда программы пытаются установить программное обеспечение или внести изменения на компьютере. Notify you when programs try to install software or make changes to your computer.
  • Не уведомлять о внесении изменений в параметры Windows. Not notify you when you make changes to Windows settings.
  • Не закрепите другие задачи, пока не будет выполнена реакция. Not freeze other tasks until you respond.

Не рекомендуется. Not recommended. Выбирайте этот вариант, только если на компьютере не будет превышена настольное приложение. Choose this only if it takes a long time to dim the desktop on your computer.

Никогда не уведомлять (отключить запросы UAC ) будет: Never notify (Disable UAC prompts) will:

  • Не уведомлять, когда программы пытаются установить программное обеспечение или внести изменения на компьютере. Not notify you when programs try to install software or make changes to your computer.
  • Не уведомлять о внесении изменений в параметры Windows. Not notify you when you make changes to Windows settings.
  • Не закрепите другие задачи, пока не будет выполнена реакция. Not freeze other tasks until you respond.

Не рекомендуется из-за проблем с безопасностью. Not recommended due to security concerns.

Безопасный Настольный компьютер включен Secure desktop enabled

Контроль учетных записей: переключение к безопасному рабочему столу при запросе параметра политики повышения прав. The User Account Control: Switch to the secure desktop when prompting for elevation policy setting is checked:

Если включен безопасный классическое приложение, все запросы на повышение прав переходят на безопасный рабочий стол независимо от параметров политики поведения запросов для администраторов и стандартных пользователей. If the secure desktop is enabled, all elevation requests go to the secure desktop regardless of prompt behavior policy settings for administrators and standard users.

Если безопасный классическое подключение к рабочему столу не разрешено, все запросы на повышение прав выводятся на Рабочий стол’s и используются индивидуальные параметры для администраторов и стандартных пользователей. If the secure desktop is not enabled, all elevation requests go to the interactive user’s desktop, and the per-user settings for administrators and standard users are used.

Функция CreateProcess вызывает AppCompat, Fusion и обнаружение установщика для оценки того, требует ли приложение повышение прав. CreateProcess calls AppCompat, Fusion, and Installer detection to assess if the app requires elevation. Затем файл проверяется, чтобы определить требуемый уровень выполнения, который хранится в манифесте приложения для файла. The file is then inspected to determine its requested execution level, which is stored in the application manifest for the file. Сбой CreateProcess, если запрошенный уровень выполнения, указанный в манифесте, не соответствует маркеру доступа и возвращает ошибку (ERROR_ELEVATION_REQUIRED) для ShellExecute. CreateProcess fails if the requested execution level specified in the manifest does not match the access token and returns an error (ERROR_ELEVATION_REQUIRED) to ShellExecute.

База данных AppCompat хранит сведения в элементах исправления совместимости приложения для приложения. The AppCompat database stores information in the application compatibility fix entries for an application.

В базе данных Fusion хранятся сведения о манифестах приложений, описывающих приложения. The Fusion database stores information from application manifests that describe the applications. Схема манифеста обновится, чтобы добавить новое поле требуемого уровня выполнения. The manifest schema is updated to add a new requested execution level field.

Обнаружение установщика Installer detection

Обнаружение установщика обнаруживает установочные файлы, что помогает предотвратить выполнение установки, если пользователь не’знания и разрешения. Installer detection detects setup files, which helps prevent installations from being run without the user’s knowledge and consent.

Технология виртуализации обеспечивает невозможность автоматического запуска или сбоя приложений, не отвечающих требованиям, которые не могут быть обнаружены. Virtualization technology ensures that non-compliant apps do not silently fail to run or fail in a way that the cause cannot be determined. Управление учетными записями также обеспечивает виртуализацию файлов и реестра и ведение журнала для приложений, которые записываются в защищенные области. UAC also provides file and registry virtualization and logging for applications that write to protected areas.

Файловая система и реестр File system and registry

Виртуализация файлов и реестра для пользователей перенаправляет реестр для компьютера и запросы на запись файлов в соответствующие места для каждого пользователя. The per-user file and registry virtualization redirects per-computer registry and file write requests to equivalent per-user locations. Запросы на чтение перенаправляются в виртуализированное расположение для каждого пользователя, а затем — на расположение компьютера. Read requests are redirected to the virtualized per-user location first and to the per-computer location second.

Компонент Component Описание Description

Ползунок не будет полностью переключаться за контроль учетных записей. The slider will never turn UAC completely off. Если вы отправите параметр Never(не уведомлять), он будет: If you set it to Never notify, it will:

  • Не забудьте, что служба UAC не работает. Keep the UAC service running.
  • Все запросы на повышение прав, инициированные администраторами, будут автоматически утверждены без отображения запроса контроля учетных записей. Cause all elevation request initiated by administrators to be auto-approved without showing a UAC prompt.
  • Автоматическое отклонение всех запросов на повышение прав для обычных пользователей. Automatically deny all elevation requests for standard users.

Внимание! Чтобы полностью отключить UAC, необходимо отключить контроль учетной записи политики: запуск всех администраторов в режиме одобрения администратором. Important: In order to fully disable UAC you must disable the policy User Account Control: Run all administrators in Admin Approval Mode.

Предупреждение: Универсальные приложения для Windows не работают, если отключено управление учетными записями. Warning: Universal Windows apps will not work when UAC is disabled.

Читайте также:  Установка интернета в сети vista

Виртуализация Virtualization

Поскольку системные администраторы в корпоративных средах пытаются обезопасить системы, многие приложения для работы с бизнес-приложениями предназначены для использования только стандартных маркеров доступа пользователей. Because system administrators in enterprise environments attempt to secure systems, many line-of-business (LOB) applications are designed to use only a standard user access token. Поэтому вам не нужно заменять большинство приложений, когда включена функция UAC. As a result, you do not need to replace the majority of apps when UAC is turned on.

Windows10 включает технологию виртуализации файлов и реестра для приложений, которые не соответствуют требованиям UAC и которым требуется маркер доступа администратора для правильной работы. Windows10 includes file and registry virtualization technology for apps that are not UAC-compliant and that require an administrator’s access token to run correctly. Если административные приложения, которые не соответствуют UAC, пытаются записать в защищенную папку, например программные файлы, контроль учетных записей предоставит приложению собственное виртуальное представление ресурса, который он пытается изменить. When an administrative apps that is not UAC-compliant attempts to write to a protected folder, such as Program Files, UAC gives the app its own virtualized view of the resource it is attempting to change. Виртуализированная копия сохраняется в профиле пользователя. The virtualized copy is maintained in the user’s profile. Эта стратегия создает отдельную копию виртуализированного файла для каждого пользователя, который запускает приложение, не соответствующее требованиям. This strategy creates a separate copy of the virtualized file for each user that runs the non-compliant app.

Большинство задач приложения правильно работают с помощью функций виртуализации. Most app tasks operate properly by using virtualization features. Несмотря на то, что виртуализация позволяет запускать большинство приложений, оно является коротким решением и не является долгосрочным. Although virtualization allows a majority of applications to run, it is a short-term fix and not a long-term solution. Разработчики приложений должны изменить свои приложения так, чтобы они были доступны как можно скорее, вместо того, чтобы полагаться на виртуализацию файлов, папок и реестра. App developers should modify their apps to be compliant as soon as possible, rather than relying on file, folder, and registry virtualization.

Виртуализация не является вариантом в следующих случаях: Virtualization is not an option in the following scenarios:

  • Виртуализация не применяется к приложениям, которые имеют полный маркер административного доступа, и выполняются с его помощью. Virtualization does not apply to apps that are elevated and run with a full administrative access token.
  • Виртуализация поддерживает только 32-разрядные приложения. Virtualization supports only 32-bit apps. 64-разрядные приложения без повышенного уровня просто получают сообщение об отказе в доступе при попытке получить дескриптор (уникальный идентификатор) для объекта Windows. Non-elevated 64-bit apps simply receive an access denied message when they attempt to acquire a handle (a unique identifier) to a Windows object. Встроенные приложения для Windows 64-bit должны быть совместимы с UAC и записывать данные в нужные расположения. Native Windows 64-bit apps are required to be compatible with UAC and to write data into the correct locations.
  • Виртуализация отключается, если приложение содержит манифест приложения с требуемым атрибутом уровня выполнения. Virtualization is disabled if the app includes an app manifest with a requested execution level attribute.

Запросы уровней выполнения Request execution levels

Манифест приложения — это XML-файл, который описывает и определяет общие и частные параллельные сборки, к которым приложение должно привязаться во время выполнения. An app manifest is an XML file that describes and identifies the shared and private side-by-side assemblies that an app should bind to at run time. Манифест приложения включает записи для обеспечения совместимости с приложениями UAC. The app manifest includes entries for UAC app compatibility purposes. Административные приложения, которые включают запись в манифесте приложения, запрашивают у пользователя разрешение на доступ к маркеру доступа пользователя. Administrative apps that include an entry in the app manifest prompt the user for permission to access the user’s access token. Несмотря на то, что у них отсутствует запись в манифесте приложения, большая часть административного приложения может выполняться без изменений с помощью исправлений совместимости приложений. Although they lack an entry in the app manifest, most administrative app can run without modification by using app compatibility fixes. Исправления совместимости приложений — это записи базы данных, которые позволяют приложениям, которые не соответствуют требованиям UAC, работать правильно. App compatibility fixes are database entries that enable applications that are not UAC-compliant to work properly.

Все приложения, совместимые с UAC, должны иметь запрошенный уровень выполнения, добавленный в манифест приложения. All UAC-compliant apps should have a requested execution level added to the application manifest. Если приложению требуется административный доступ к системе, то пометка приложения с помощью запрошенного уровня выполнения «требуется администратор» гарантирует, что система идентифицирует эту программу как административное приложение и выполняет необходимые действия по повышению прав. If the application requires administrative access to the system, then marking the app with a requested execution level of «require administrator» ensures that the system identifies this program as an administrative app and performs the necessary elevation steps. Запрошенные уровни выполнения определяют полномочия, необходимые для приложения. Requested execution levels specify the privileges required for an app.

Технология обнаружения установщика Installer detection technology

Программы установки — это приложения, разработанные для развертывания программного обеспечения. Installation programs are apps designed to deploy software. Большинство программ установки записываются в системные каталоги и разделы реестра. Most installation programs write to system directories and registry keys. Эти защищенные системные расположения обычно записываются только администратором в технологии обнаружения установщика, что означает, что у стандартных пользователей недостаточно прав для установки программ. These protected system locations are typically writeable only by an administrator in Installer detection technology, which means that standard users do not have sufficient access to install programs. Windows10 эвристическо обнаруживает программы установки и запрашивает учетные данные администратора или утверждение от администратора, чтобы работать с правами доступа. Windows10 heuristically detects installation programs and requests administrator credentials or approval from the administrator user in order to run with access privileges. Windows10 также эвристическо обнаруживает обновления и программы, удаляющие приложения. Windows10 also heuristically detects updates and programs that uninstall applications. Одной из целей разработки UAC является предотвращение выполнения установки без знания и согласия пользователя, так как программы установки записываются в защищенные области файловой системы и реестра. One of the design goals of UAC is to prevent installations from being run without the user’s knowledge and consent because installation programs write to protected areas of the file system and registry.

Обнаружение установщика применимо только к: Installer detection only applies to:

  • 32 — битовые исполняемые файлы. 32-bit executable files.
  • Приложения без требуемого атрибута уровня выполнения. Applications without a requested execution level attribute.
  • Интерактивные процессы, выполняемые в качестве стандартного пользователя с включенным контролем учетных записей. Interactive processes running as a standard user with UAC enabled.

Перед созданием 32-разрядного процесса проверяются следующие атрибуты, чтобы определить, является ли они установщиком. Before a 32-bit process is created, the following attributes are checked to determine whether it is an installer:

  • В имени файла есть ключевые слова, такие как «установить», «Настройка» или «Обновить». The file name includes keywords such as «install,» «setup,» or «update.»
  • Поля ресурсов для управления версиями содержат указанные ниже ключевые слова: поставщик, название компании, название продукта, описание файла, имя исходного файла, внутренний логин и имя для экспорта. Versioning Resource fields contain the following keywords: Vendor, Company Name, Product Name, File Description, Original Filename, Internal Name, and Export Name.
  • Ключевые слова в параллельном манифесте встраиваются в исполняемый файл. Keywords in the side-by-side manifest are embedded in the executable file.
  • Ключевые слова в определенных операциях StringTable связаны с исполняемым файлом. Keywords in specific StringTable entries are linked in the executable file.
  • Ключевые атрибуты в данных сценария ресурсов связаны с исполняемым файлом. Key attributes in the resource script data are linked in the executable file.
  • Существуют целевые последовательности байтов в исполняемом файле. There are targeted sequences of bytes within the executable file.

Примечание. Ключевые слова и последовательности байтов были получены из общих характеристик, обнаруженных различными технологиями установщика. Note: The keywords and sequences of bytes were derived from common characteristics observed from various installer technologies.

Примечание. Управление учетными записями пользователей: обнаружение установки приложений и запрос на включение политики повышения прав для обнаружения установщиков для определения программ установки. Note: The User Account Control: Detect application installations and prompt for elevation policy setting must be enabled for installer detection to detect installation programs. Дополнительные сведения можно найти в разделе Параметры политики безопасности управления учетными записями пользователей. For more info, see User Account Control security policy settings.

источник

Добавить комментарий