Навіщо ви придумали цей User Account Control? Кому він взагалі потрібен? А чи можна зовсім відключити цю набридливу штуку?
Досить часто колеги ставлять мені подібні питання. Я підозрюю що нерозуміння того як працює UAC і як їм потрібно управляти виникає з банальної необізнаності. Тому я постарався зібрати в цьому пості якомога більше цікавої документації різного ступеня детальності, про те як саме працює UAC.
До Windows Vista користувач при вході в систему отримував тільки один токен безпеки. І на основі цього токена система вирішувала до яких ресурсів надавати доступ, включаючи можливість повного доступу до всіх ресурсів системи. Подібна модель контролю доступу не могла перевірити чи дійсно користувач бажає виконати ті чи інші дії вимагають підвищених привілеїв. В результаті цього зловмисне ПО могло встановлюватися в так званому "мовчазній" режимі і працювати в рамках сеансу не привертаючи уваги користувача. Зараження довкілля єдиний користувач було неприємним, але не таким вже й критичним.
Ситуація ставала набагато гірше, якщо шкідливе ПО потрапляло в систему під час сеансу користувача володіє адміністративними правами. В цьому випадку з'являлася можливість змінювати системні файли ОС. А це в свою чергу давало можливість зловмисного ПЗ повністю захопити контроль над системою і зробити процес знезараження трудомістким, а в деяких випадках близьким до неможливого.
Варто зазначити що повсякденна робота під обліковим записом з адміністративними повноваженнями була і залишається досить поширеним явищем в середовищі домашніх і офісних користувачів. Почасти це було викликано тим, що подібний підхід спрощує роботу з системою і позбавляє від необхідності знати і використовувати команду "Run As". Другим приводом до такого способу життя служило те, що відразу ж після установки Windows XP все новостворювані користувачі за замовчуванням отримували права локальних адміністраторів.
Коли користувач або програма намагається виконати дію яка потребує підвищених привілеїв, система відображає запрошення UAC. Якщо користувач є адміністратором або у відповідь на запит ввів логін і пароль адміністратора, і потім схвалив запит на підвищення привілеїв, дія виконується.
Таким чином використання UAC повністю виключає можливість непомітною установки в систему шкідливого коду і здійснення цим кодом будь-яких адміністративних дій. Що багаторазово підвищує захищеність системи.
Як бачите, все досить логічно і просто. Робота в системі від імені стандартного користувача це дійсно благо.
Якщо вам хочеться докладніше дізнатися про архітектуру і механізмах роботи UAC рекомендуємо прочитати наступні документи:
Andrey Beshkov says:
На жаль антивірус вас може захистити тільки від відомих загроз, тобто від шкідливого коду який вже потрапив в руки антивірусної лабораторії і досконально препарований. Сліпо сподіватися на евристичні технології виявляють різні штами одного вірусу, теж не варто - вони не досконалі і помилковими срабативаніяі можуть лякати і дратувати користувача.
У разі ж якщо троян або вірус поки не відомі виробнику антивіруса, вас антивірус не врятує.
Тепер розглянемо інший сценарій. Уявіть собі що у будь-якого сервісу або програми працює з підвищеними привілеями виявлена уразливість яку можна задіяти віддалено. Оновлення закриває вразливість поки що ні випущено. Атакуючий використовує уразливість і тим або іншим чином виконує свій код у вашій системі. Антивірус в даному випадку так само марний і при відключенні UAC ви взагалі нічого не побачите. Якщо ж UAC буде включений ви як мінімум насторожити, а як максимум не дасте дозвіл на виконання цього коду.
Антивірус не панацея від всіх бід, чим раніше ви зрозумієте це тим менше інцидентів з безпекою вас чекає в майбутньому.
Як завжди, дуже корисний пост.
Олег Солдатов says:
Коли доводиться налаштовувати користувачам їх свіжокупленими комп'ютери з попередньо встановленою Windows Vista, то UAC намагаюся залишати, хоча в більшості випадків це починає дратувати користувачів. Особливо тих, хто часто встановлює іграшки (найчастіше діти, нерви їх шкода). Попросили прибрати одного разу UAC. Прибрав. Через два тижні виклик від цих клієнтів - проник троян. Заважає працювати, грати. Прибрав трояна, повернув UAC. Вже котрий місяць більше не викликають. Висновок однозначний - хочете менше витрачатися на виклик фахівців щодо усунення неполадок, - не нехтуйте безпекою, і зокрема User Account Control. Рятує однозначно, а незручності ... хм, це краще, ніж потім нервувати через вірусів, троянів і черв'яків.
Висновок однозначний - хочете менше витрачатися на виклик фахівців щодо усунення неполадок, - не нехтуйте безпекою, і зокрема User Account Control. Рятує однозначно, а незручності ... хм, це краще, ніж потім нервувати через вірусів, троянів і черв'яків.
висновок інший, постав нормальний антивірус.
Яків Байтін says:
Сталася у мене майже біда і майже не вчасно. UAC перестав пускати в мій же ноутбук. Як Адмін можу, а як я сам - виключено! Причому, знущається: якщо пишу неправильний пароль, то отримую червоний хрест; якщо правильний, то пише ціле пояснення про Службу контролю ... І паролі міняв і все доступне перепробував ...
Є у мене талановитий учень, який швидко не впорався (працює від зорі до зорі ...). Я за 2 дні теж, але я теорії не знаю: шукаю підказки і намагаюся застосувати практично. Звичайно, підказки мені зрозумілі.
Тому ризикну запитати, чи є достатньо простий варіант ліквідації моєї проблеми? І чи можете Ви припустити причину її виникнення?
Цікаво, що поки писав, захист повідомила, що видалила Трояна. Лякає ...
До речі, чи не поставити Windows 7, і не заберуться чи попутно мої проблеми?
З повагою, Яків Байтін. Ніяк не запам'ятаю про URL ...
P.S. Або хтось інший мені підкаже? Якщо ситуація буде комусь цікава, то можу подробиці повідомити в асьці: 456134879. Тільки не треба мене нікуди додавати, а просто напишіть.