Контроль учетных записей пользователя. Включение и отключение UAC в Windows

Узнать, как отключить UAC в Windows 7, пользователю может потребоваться в тех случаях, когда он хочет избавиться от постоянно появляющихся при запуске программ сообщений.

В предыдущих версиях операционной системы от Microsoft таких оповещений не было, однако для уменьшения уязвимости компьютеров и вероятности кражи конфиденциальной информации, седьмое поколение ОС дополнили инструментом контроля учётных записей (UAC), избавив администраторов сети от необходимости настроек доступа на каждом компьютере.

Особенности использования UAC

Задачей службы UAC является предотвращение несанкционированного вмешательства в работу системных файлов компьютера .

Поэтому перед запуском приложений, имеющих потенциальную опасность для системы, инструмент запрашивает подтверждение действия пользователя или, в особых случаях, даже пароль администратора.

Для того чтобы защита действовала даже на компьютере, которым пользуется один человек, не рекомендуется входить в систему как администратор.

Достаточно будет учётной записи пользователя, которая ограничит выполнение опасных для системы программ , дав возможность свободно работать с основными приложениями – пакетом MS Office, браузерами, большинством игр и игровых клиентов.

При использовании пользовательской записи при каждом запуске подозрительной, с точки зрения системы, программы будет появляться определённое UAC-сообщение, с которым желательно ознакомиться и принять соответствующие меры.

Варианты контроля запуска приложений

Проверка программы перед её запуском приводит при работающем режиме UAC к появлению следующих сообщений от системы:

• Просьба разрешить продолжить работу программы. Оповещение свидетельствует о попытке системной программы или функции Виндовс внести изменения в работу всей операционной системы.
  При появлении этой надписи желательно убедиться, ту ли программу вы запускаете.
• Требование разрешение продолжить работу уже от программы, не имеющей отношения к Windows. При этом приложение имеет соответствующую цифровую подпись от издателя, однако его действия всё равно необходимо контролировать.
  В основном такие программы не наносят никакого вреда, а сообщение появляется при запуске почти всех игр и даже полезных утилит;
• Оповещение о попытке изменить работу системы со стороны неопознанного приложения. Этот вариант несёт максимальную опасность для компьютера , так как именно подобным способом распространяются вирусы.
  Более того, иногда сообщение о вносящей изменения программе появляются, даже если пользователь ничего не запускал.
  Самостоятельное включение приложения, неизвестный издатель и источник появления приложения должны заставить пользователя нажать «нет» (если, конечно, он точно не уверен в надёжности файла) и запустить проверку на вирусы.

• Информация о блокировке. Запуск приложения не разрешён администратором системы.
  Скорее всего, это не вирус, а какая-то определённая программа типа браузера (если запрещён выход в сеть), игрового клиента или даже мультимедиа проигрывателя. Обычно такие запреты устанавливают на рабочих местах в офисах.

Опции настройки UAC

При запуске настройки UAC можно провести настройку режима уведомлений (только в том случае, если пользователь является администратором системы), в результате чего они будут появляться значительно реже. Windows предусматривает 4 варианта:

• Постоянное уведомление (верхнее положение ползунка на шкале).
  Сообщения появляются на экране в любом случае – и, когда стандартные программы стараются внести изменения в систему или в реестр, и при загрузке программного обеспечения, необходимого для работы Windows.
  Этот режим позволяет максимально контролировать все процессы, происходящие в системе, но при частом использовании компьютера и установке новых приложений может показаться слишком назойливым;
• Уведомление о действиях только программ. При внесении изменений Windows в свои системные файлы пользователь не получает оповещений. Чаще всего, эта опция стоит по умолчанию – то есть не требует настройки в начале работы с компьютером.
  Однако запуск игр по-прежнему будет затемнять экран, и приводить к выводу окна UAC;

• Предупреждение о серьёзных действиях (включая изменение системных файлов) приложений без затемнения экрана.
  Вариант настройки рекомендуется для устаревших и сравнительно маломощных компьютеров, затемнение рабочего стола на которых занимает много времени;
• Отсутствие уведомлений. Сообщения от UAC не будут появляться ни при установке новых приложений, ни при изменении параметров Windows. Фактически этот пункт означает выключение режима Контроля учётных записей – и именно его выбор приводит к прекращению появления назойливых сообщений.
  Выбирать его рекомендуется только в случае постоянного использования программ, не сертифицированных для использования Windows 7.

Отключение UAC

Необходимость в отключении UAC может появиться, в первую очередь, из-за нежелания пользователя мириться с постоянными оповещениями.

Запуская в день по 10–50 программ, и подтверждая каждое действие для них, можно потратить совершенно нелишнее время на непонятные и не всегда нужные действия.

Постоянные запросы начинают раздражать, и пользователь решает лучше рискнуть остаться почти без защиты, чем продолжать работать с UAC.

Тем более что отключение режима вовсе не означает полную беззащитность системы.

Сама утилита вызывается путём ввода в окно выполнения команды cmd. Для изменения параметров UAC используется команда

C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /.

При необходимости отключить оповещения полностью после этого текста следует дописать d 0 /f, а если требуется вернуть режим обратно, то d 1 /f.

Естественно, после всех изменений требуется перезагружать компьютер.

Выводы

Занимаясь отключением UAC в Виндовс 7, не забывайте использовать антивирусные программы.

Особенно это касается архивов.rar и.zip, а также исполняемых файлов.exe.

Последние способны запускаться самостоятельно и при отсутствии защиты отрицательно влиять на работу системы.

Видео:

Отключение UAC контроля в Windows 7

Как отключить UAC в Windows 7 - 3 способа

В каждой версии Windows (начиная с Vista) есть стандартный компонент UAC (User Account Control). Он включен по умолчанию и не дает пользователю «выстрелить себе в ногу», запустив какую-нибудь малварь с правами админа. В этой статье мы расскажем, как использовать «контроль учетных записей» в своих целях - например, запустить любой код с правами администратора или даже как системный процесс.

WARNING

Вся информация приводится исключительно в ознакомительных целях! Microsoft рекомендует патчить винду вовремя, не работать в админской учетке без реальной необходимости, не обходить UAC и не донимать техподдержку сообщениями об уязвимостях.

Методы обхода UAC продолжают находить и сейчас, модифицируя старые приемы и открывая новые. Самое сложное - подобрать подходящие способы для конкретной атакуемой системы. Концептуально разных приемов известно с десяток, а если считать их вместе с модификациями и гибридными способами, то наберется больше двадцати. Прочитать о них подробнее и посмотреть соответствующие примеры кода на GitHub можно по ссылкам в этой статье.

UAC как огромный баг

В хакерской философии многое заимствовано из боевых искусств. Например, мастер айкидо практически не атакует сам. Он лишь подмечает ошибки соперника и обращает его усилия против него самого. Так же и просчеты в защитных системах позволяют превратить их в хакерский инструмент. Сейчас мы разберем несколько способов обхода UAC и даже его использования для запуска своего кода с повышенными привилегиями. Многие из этих методов уже реализованы в троянах и позволяют им скрытно внедряться в систему.

Белый список для черных шляп

Во всех версиях Windows для UAC существует так называемый белый список - набор системных компонентов, для которых не применяются ограничивающие правила. Поэтому один из самых распространенных методов атаки сводится к попытке найти любые приложения из белого списка и попытаться внедрить в них свою *.dll. Провести атаку типа DLL hijack сравнительно просто, хотя и здесь не обходится без подводных камней. Они свои в каждой версии ОС, а также зависят от настроек, учетной записи, разрядности ОС, установленных компонентов и патчей. Например, в Windows 7/8 (но не 8.1) можно использовать штатную программу подготовки системы к развертыванию sysprep.exe , чтобы подгрузить свою версию cryptbase.dll или другой библиотеки. Для этого достаточно поместить ее рядом с экзешником, поскольку он начинает искать и подгружать DLL’ки из своего каталога. Однако при попытке просто скопировать свой файл в каталог %systemroot%/system32/sysprep/ мы получим сообщение об ошибке.
Доступ в \system32\ запрещен У пользователя нет прав доступа на запись в системный каталог, а администратор должен подтвердить это действие через UAC. Чтобы наш код получил необходимые права без лишних вопросов, используем другой трюк - с автономным установщиком обновлений Windows. Поместим cryptbase.dll в архив CAB. Не будем останавливаться на том, как сделать эту элементарную операцию. Она подробно описана на сайте Microsoft . Пусть наша библиотека называется evil.dll и находится в каталоге \FCKUAC на диске C:\ . Тогда следующей командой мы сделаем «заряженный» архив: makecab C:\FCKUAC\evil.dll C:\FCKUAC\evil.cab
Архив с нашей библиотекой Скормим этот архив автономному установщику обновлений (Windows Update Standalone Installer). wusa C:\FCKUAC\evil.cab /quite /extract:%systemroot%\system32\sysprep\ Он распакует его в \system32\sysprep\ , а «контроль учетных записей» будет молчать.
Утилита sysprep как встроенный бэкдор Если умеешь программировать, то можешь запустить sysprep.exe скрыто - например, через CreateProcess() с флагом StartupInfo.wShowWindow = SW_HIDE . На скрытые окна сегодня ругаются эвристические анализаторы многих антивирусов, но сейчас мы говорим только про UAC - ему все равно. После такого запуска sysprep.exe попытается загрузить и выполнить библиотеку CRYPTBASE.dll , но на ее месте окажется наша, уже содержащая нужную нам функциональность. Она совершенно легально поднимет права нашему коду, и UAC примет это как должное. Это происходит потому, что wusa и sysprep находятся в белом списке, а все приложения из этого списка могут поднимать себе права без участия UAC. Наш же код из подгружаемой установщиком библиотеки унаследует права родительского процесса sysprep.exe и также будет считаться доверенным.
Использование sysprep для обхода UAC Рассмотренный выше трюк совместного использования wusa и sysprep представляет собой модифицированный метод Лео Дэвидсона (Leo Davidson). Исходный вариант был применим только к непропатченной Windows 7 и был описан еще в 2009 году в рассылке компьютерного сообщества Оксфордского университета. Копия приводится , который из-за обилия подобного кода внесен в списки потенциально опасных. Метод Дэвидсона в различных модификациях уже много лет используется для внедрения троянов, особенно семейства . Пик эпидемии пришелся на осень 2011 года, но способ до сих пор работает в следующем типичном сценарии: действия выполняются в 32-битной версии Windows 7/8 под учетной записью администратора при включенном UAC с настройками по умолчанию. Простому пользователю нельзя запускать wusa.exe , но многие до сих пор сидят под админом без реальной необходимости. Просто им лень создавать пользовательские учетки и управлять правами доступа даже через встроенные средства. Мэтт Грэбер (Matt Graeber) уточняет, что данный метод не работает «как есть» в Windows 8.1/10, поскольку в этих ОС изменены как sysprep.exe , так и сам UAC. Теперь программа подготовки системы к развертыванию загружает DLL только из %windir%\system32\ .

Автоматическое повышение привилегий

Если по каким-то причинам доступа к установщику обновлений нет, то можно использовать другой вариант - копирование файла в системный каталог методом IFileOperation . Суть метода в том, что для обхода UAC в нашей библиотеке создается COM-объект IFileOperation . Он позволяет скопировать файл куда угодно (в том числе в системную директорию \system32\ и ее подкаталоги), автоматически повышая для этого привилегии, так как функция будет иметь флаг auto-elevate . Вот пример использования объекта IFileOperation для копирования файла в системный каталог. Метод внедрения своей библиотеки в процесс explorer.exe рассматривается в этом примере . Список приложений из белого списка можно . Также его можно сгенерировать самому, просто найдя в системном каталоге Windows экзешники, содержащие строку autoelevate .
Создаем список программ из белого списка UAC В зависимости от используемой программы из белого списка и версии Windows можно подменить ту или иную библиотеку (см. таблицу).
Стандартные компоненты и подменяемые библиотеки Методы перебора этих вариантов собраны в одну PowerShell-утилиту .

ISecurityEditor

Удивительно, что большинство методов обхода «контроля учетных записей» были умышленно заложены самими разработчиками Windows. Провал «Висты» маркетологи связали с неудобным поведением нового компонента, и в «семерке» UAC постарались сделать менее назойливым. Для этого пришлось делать костыли из белого списка и метода автоматического повышения привилегий (без подтверждения пользователем) у сорока с лишним системных программ. К функции autoElevate были написаны COM-интерфейсы: документированный IFileOperation (который разбирался выше) и недокументированный ISecurityEditor, об использовании которого мы поговорим сейчас. Благодаря встроенным в UAC бэкдорам компьютеры с Windows 7 заражались незаметно для пользователя. Они становились полигоном для малвари и частенько попадали в ботнеты. Один из них (под названием Simda) успешно развивался на протяжении пяти лет, используя для внедрения кода интерфейс ISecurityEditor. В Microsoft проблему частично устранили лишь в 2015 году. Исправленный ISecurityEditor стал работать только с объектами файловой системы, указанными в константе SE_FILE_OBJECT . Непропатченные системы встречаются до сих пор. Пример обхода UAC с использованием уязвимой версии ISecurityEditor .

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «сайт», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score!

UAC (Контроль учетных записей) – служба, которая уведомляет пользователя про совершение действий, требующих прав Администратора. Если вы уверены во всем ПО, которое устанавливаете на ПК, можете ее деактивировать. Как отключить UAC в Windows 10 или включить ее на ПК вы узнаете в этой статье.

Что такое UAC в Windows 10

UAC — это элемент системы безопасности, который запрашивает разрешение пользователя на внесение каких-либо изменений в ОС.

Защищает пользователя Windows 10 от установки и запуска ПО, которое может нанести вред ОС, а также от потенциально опасных действий. Эта служба активирована автоматически, поэтому всегда требует запрос для выполнения любых операций, которые могут повлиять на работоспособность ОС.

Причины отключения

Мы не рекомендуем отключать Контроль учетных записей. Единственная ситуация, в которой юзер может пойти на такой шаг – служба мешает быстрой работе при одновременном использовании большого количества файлов и программ.

В остальных случаях не стоит деактивировать службу, потому что она дополнительно защищает ПК.

Как отключить UAC Windows 10

Отключить UAC в Windows 10 можно несколькими способами:

• через панель управления;
• через командную строку;
• в редакторе реестра.

Рассмотрим подробнее, как отключить каждым из способов.

Панель управления

1. ПКМ по меню Пуск → → установите Просмотр: мелкие значки → Учетные записи пользователей.
   
2. Нажмите «Изменить параметры контроля учетных записей» → откроется окно, в котором выполните настройку уведомления об изменении параметров компьютера, установив ползунок в одно из четырех предложенных положений:
   • Всегда уведомлять;
   • Уведомлять при попытках приложений изменить параметры (значения по умолчанию);
   • Уведомлять без затемнения экрана;
   • Никогда не уведомлять.

Полезно! Альтернативный способ открыть параметры управления учетной записью: нажмите Win+R и введите:
UserAccountControlSettings

Командная строка

Эта команда вносит соответствующие изменения в редактор реестра Windows.

Редактор реестра

Чтобы задать определенное значение UAC, используйте таблицу для подбора нужных параметров DWORD.

	ConsentPromptBehaviorAdmin	EnableLUA	PromptOnSecureDesktop
Никогда не уведомлять	0	1	0
Уведомлять без затемнения экрана	5	1	0
Уведомлять при попытках приложений изменить параметры	5	1	1
Всегда уведомлять	2	1	1

Как включить?

Включение Контроля учетных записей выполняется таким же образом, как и отключение. Только необходимо выбрать любое значение, кроме «Отключить UAC».

При использовании командной строки:

Видео

На видео наглядно показано, как отключить UAC в Windows 10.

Недавно мы обсуждали то, что такое . Напоминаю, что UAC это компонент Windows который следит и уведомляет пользователя обо всех попытках внести изменения в систему. Но постоянное всплывание окна UAC может немного поднадоесть некоторым пользователям. Поэтому разработчики Windows ввели возможность настройки работы данного компонента, вплоть до полного его отключения. Для настройки работы UAC можно использовать два инструмента: либо Панель управления, либо локальные политики. В данной статье мы рассмотрим то как включить UAC или как отключить UAC, а другими словами мы займемся настройкой UAC с помощью Панели управления.

Настройка UAC через Панель управления

Все доступные настройки UAC находятся в окне Параметры управления учётными данными пользователей , попасть в которую можно последовательно перейдя по следующим окнам и кнопкам:

1. Панель управления
2. Учетные записи и Семейная безопасность
3. Учетные записи пользователей
4. Изменение параметров контроля учетных записей

Если у Вас некоторые сложности с интерфейсом(например, у Вас другая операционная система), то Вы можете запустить файл

C:\Windows\System32\UserAccountControlSettings.exe

Независимо от того, какой путь Вы выберете, результат будет одинаков - перед Вами откроется окно UAC с ползунком на 4 позиции, в перемещении которого и состоит вся возможность настройки UAC через Панель управления. Далее я приведу список этих самых 4 позиций и их функционал:

1. Всегда уведомлять . При выборе данного пункта, UAC будет уведомлять пользователя о любых действиях, будь то внесение изменений в систему или запуск стороннего приложения. Уведомления высвечиваются на безопасном рабочем столе.
2. Уведомлять только при попытках программ внести изменения в компьютер . Уведомляет пользователя только при запуске стороннего программного обеспечения. Уведомление высвечиваются на безопасном рабочем столе.
3. Уведомлять только при попытках программ внести изменения в компьютер(не затемнять рабочий стол) . Данный пункт полностью схож с предыдущим. Отличие состоит только в том, что безопасный рабочий стол не используется.
4. Никогда не уведомлять . Если Вы хотите отключить UAC, то Вам необходимо выбрать именно этот пункт. Для того же чтобы включить UAC Вы можете выбрать любой из первых трех пунктов.

В приведенном выше списке есть одно новое для Вас понятие - безопасный рабочий стол. Наверное, многие догадались что это значит. Если уведомления UAC высвечиваются на безопасном рабочем столе, то это значит что пользователь не может переключиться на другое приложение или сделать какое-нибудь другое действие. Единственным активным окном в безопасном рабочем столе остается окно уведомления UAC, остальная же часть рабочего стола затемняется. Безопасный рабочий стол отключается сразу после того как пользователь ответит на уведомление UAC. Безопасный рабочий стол гарантирует то, что вредоносное ПО не сможет подделать окно UAC, чтобы получить от Вас необходимое разрешение. Безопасный рабочий стол остается активным 150 секунд, после чего автоматически отвергает просьбу на внесение изменений.

Вот таким образом настраивается работа компонента User Account Control. Но здесь перечислен функционал только Панели управления, который грубо говоря позволяет только включить или отключить User Account Control в Windows. Редактор локальной групповой политики предоставляет большие возможности по .

В этой статье мы попробуем разобрать что же такое «Контроль учетных записей (сокращенно UAC)». Для чего он нужен, как его отключить или изменить уровень зашиты. Более подробно разберем его дополнительные настройки.

Контроль учетных записей один из важнейших инструментов современной операционной системы. Который, как вы наверное помните, появился еще с выходом Windows Vista и вызвал не однозначную реакцию со стороны многих пользователей. Основные претензии, это не эффективность как средство безопасности и его «докучливость».

На самом деле, такой контроль призван не предотвращать различные вторжения вредоносного кода (за это у нас отвечает брандмауэр и антивирусное ПО), а снизить наносимый им ущерб — ограничить его влияние правами обычного пользователя. Проще говоря, контроль учетных записей предназначен не для безопасности операционной системы, а для ее устойчивости к несанкционированному доступу.

Перед тем как приступить к отключению UAC помните о снижении общего уровня защиты компьютера и его уязвимости к несанкционированному доступу.

Для полного отключения контроля учетных записей или изменения уровня защиты воспользуемся наиболее простым способом посредством «Панели управления»

Настройка и отключение UAC в ОС Windows 7

Несколько слов о настройке UAC . Вначале перейдем к самой панели управления. Это можно сделать наиболее простым способом; Пуск? в окне поиска набрать аббревиатуру «UAC».

Щелкаем по ссылке «Изменение параметров контроля учетных записей» и попадаем в окно настройки уведомлений. Перед вами ползунок, перемещая который, выберете свой уровень предупреждений UAC. Всего четыре уровня защиты которые описаны в правой части экрана.

Для полного отключения UAC переместите ползунок на нижний уровень т.е «Никогда не уведомлять» . Для сохранения настроек перезагрузите компьютер.

После того как UAC отключен позаботьтесь о надежном антивирусным ПО. Надеюсь эта статья была для вас полезна и вы нашли то что искали. Удачи!!