Uac контроль учетных записей: Не удается найти страницу | Autodesk Knowledge Network

Не удается найти страницу | Autodesk Knowledge Network

(* {{l10n_strings.REQUIRED_FIELD}})

{{l10n_strings.CREATE_NEW_COLLECTION}}*

{{l10n_strings.ADD_COLLECTION_DESCRIPTION}}

{{l10n_strings.COLLECTION_DESCRIPTION}}
{{addToCollection.description.length}}/500

{{l10n_strings.TAGS}}
{{$item}}

{{l10n_strings.PRODUCTS}}

{{l10n_strings.DRAG_TEXT}}

 

{{l10n_strings.DRAG_TEXT_HELP}}

{{l10n_strings.LANGUAGE}}
{{$select.selected.display}}

{{article.content_lang.display}}

{{l10n_strings.AUTHOR}}

 

{{l10n_strings.AUTHOR_TOOLTIP_TEXT}}

{{$select.selected.display}}

{{l10n_strings. CREATE_AND_ADD_TO_COLLECTION_MODAL_BUTTON}}
{{l10n_strings.CREATE_A_COLLECTION_ERROR}}

Как отключить контроль учетных записей UAC Windows 10

&nbsp windows

Контроль учетных записей или UAC в Windows 10 уведомляет вас при запуске программ или выполнении действий, которые требуют права администратора на компьютере (что обычно означает, что программа или действие приведет к изменению системных настроек или файлов). Сделано это с целью защитить вас от потенциально опасных действий и запуска ПО, которое может нанести вред компьютеру.

По умолчанию UAC включен и требует подтверждения для любых действий, могущих оказать влияние на операционную систему, однако вы можете отключить UAC или настроить его уведомления удобным для себя способом. В конце инструкции также имеется видео, где показаны оба способа отключения контроля учетных записей Windows 10. Примечание: если даже при отключенном контроле учетных записей какая-то из программ не запускается с сообщением, что администратор заблокировал выполнение этого приложения, должна помочь эта инструкция: Приложение заблокировано в целях защиты в Windows 10.

Как отключить контроль учетных записей в панели управления Windows 10

Первый способ — использовать соответствующий пункт в панели управления Windows 10 для изменения настроек контроля учетных записей.

  1. Откройте панель управления, для этого можно использовать поиск в панели задач или нажать клавиши Win+R, ввести control и нажать Enter. А можно сразу перейти к 4-му шагу, нажав Win+R и введя UserAccountControlSettings
  2. В панели управления вверху справа в поле «Просмотр» вместо «Категории» установите «Значки», а затем откройте пункт «Учетные записи пользователей».
  3. В следующем окне нажмите «Изменить параметры контроля учетных записей».
  4. Далее вы можете вручную задать параметры UAC или отключить контроль учетных записей Windows 10, достаточно выбрать один из вариантов настроек работы UAC, каждый из которых пояснён далее.

Возможные варианты настроек контроля учетных записей в панели управления от верхнего к нижнему:

  • Всегда уведомлять, когда приложения пытаются установить программное обеспечение или при изменении параметров компьютера — самый безопасный вариант, при любом своем действии, которое может что-то изменить, а также при действиях сторонних программ вы будете получать уведомление об этом. Обычные пользователи (не администраторы) должны будут ввести пароль для подтверждения действия.
  • Уведомлять только при попытках приложений внести изменения в компьютер — этот параметр установлен в Windows 10 по умолчанию. Он означает, что контролируются только действия программ, но не действия пользователя.
  • Уведомлять только при попытках приложений внести изменения в компьютер (не затемнять рабочий стол). Отличие от предыдущего пункта в том, что рабочий стол не затемняется и не блокируется, что в некоторых случаях (вирусы, трояны) может быть угрозой безопасности.
  • Не уведомлять меня — UAC отключен и не уведомляет о каких-либо изменениях в параметрах компьютера, инициированных вами или программами.

Если вы решили отключить контроль учетных записей Windows 10, что является совсем не безопасной практикой, в дальнейшем следует быть очень внимательным, поскольку все программы будут иметь к системе тот же доступ, что и вы, в то время как контроль учетных записей не сообщит, если какая-то из них может повлиять на работу системы. Иными словами, если причина отключения UAC только в том, что он «мешает», я настойчиво рекомендую включить его обратно.

Изменение параметров контроля учетных записей в редакторе реестра

Отключение UAC и выбор любого из четырех вариантов работы контроля учетных записей Windows 10 возможен и с помощью редактора реестра (чтобы запустить его нажмите Win+R на клавиатуре и введите regedit).

Параметры работы UAC определяются тремя ключами реестра, находящимися в разделе

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Перейдите в этот раздел и найдите следующие параметры DWORD в правой части окна: PromptOnSecureDesktop, EnableLUA, ConsentPromptBehaviorAdmin. Для полного отключения контроля учетных записей достаточно изменить значение параметра EnableLUA на 0 (ноль), закрыть редактор реестра и перезагрузить компьютер.

Однако, когда вы меняете параметры UAC в панели управления, сама Windows 10 оперирует тремя параметрами одновременно и делает это несколько иначе (хотя предыдущий метод проще и быстрее). Далее привожу значения каждого из ключей PromptOnSecureDesktop, EnableLUA, ConsentPromptBehaviorAdmin в том порядке, как они указаны для разных вариантов оповещений контроля учетных записей.

  1. Всегда уведомлять — 1, 1, 2 соответственно.
  2. Уведомлять при попытках приложений изменить параметры (значения по умолчанию) — 1, 1, 5.
  3. Уведомлять без затемнения экрана — 0, 1, 5.
  4. Отключить UAC и не уведомлять — 0, 1, 0.

Отключение UAC в командной строке

Быстрый способ полностью отключить контроль учетных записей — использовать командную строку, для этого:

  1. Запустите командную строку от имени администратора, в Windows 10 для этого можно начать вводить «Командная строка» в поиск на панели задач, а когда найдется нужный результат — либо нажать по нему правой кнопкой мыши и выбрать нужный пункт меню, либо выбрать «Запуск от имени администратора» в панели справа.
  2. Введите команду (нажав Enter после ввода)
    reg ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
  3. Закройте командную строку и перезапустите компьютер или ноутбук.

По своей сути этот метод является вариантом способа с редактором реестра, который описан выше: просто нужный параметр изменяется с помощью указанной команды.

Как отключить контроль учетных записей UAC в редакторе локальной групповой политики Windows 10

Этот метод подойдёт для Windows 10 Pro и Enterprise, где присутствует редактор локальной групповой политики. Шаги будут следующими:

  1. Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter.
  2. В редакторе перейдите к разделу «Конфигурация компьютера» — «Конфигурация Windows» — «Параметры Безопасности» — «Локальные политики» — «Параметры безопасности».
  3. В правой панели найдите параметр «Контроль учетных записей: все администраторы работают в режиме одобрения администратором» и дважды нажмите по нему.
  4. Установите параметр в значение «Отключен» и нажмите «Ок».

Перезагрузка компьютера обычно не требуется.

Видео

В завершение еще раз напомню: я не рекомендую отключать контроль учетных записей ни в Windows 10 ни в других версиях ОС, если только вы абсолютно точно не знаете, для чего вам это нужно, а также являетесь достаточно опытным пользователем.

А вдруг и это будет интересно:

Как включить контроль учетных записей в Windows 10

Достаточно часто наши клиеты сталкиваются с проблемой запуска приложений в Windows 10 из-за отключенного контроля учетных записей. После обновления системы до Windows 10 невозможно открыть браузер Microsoft Edge. Возникают проблемы с активацией приложений: система выдает сообщение «Активация этого приложения невозможна при отключенном контроле учетных записей». Как это исправить?

Достаточно часто наши клиеты сталкиваются с проблемой запуска приложений в Windows 10 из-за отключенного контроля учетных записей. После обновления системы до Windows 10 невозможно открыть браузер Microsoft Edge. Возникают проблемы с активацией приложений: система выдает сообщение «Активация этого приложения невозможна при отключенном контроле учетных записей».


Компонент операционной системы «Контроль учётных записей пользователей» запрашивает подтверждение действий программы, требующих прав администратора, в целях защиты от несанкционированного использования компьютера. Окно с запросом появляется на рабочем столе, чтобы предотвратить «нажатие» кнопки разрешения самой программой. Запросы выдаются при попытке изменения системного времени, установки программ, редактирования реестра, изменения меню…


Как включить контроль учетных записей?

Один из способов включения контроля учетных записей – через Панель управления.


Правой кнопкой по меню Пуск ->Панель Управления ->Учетные Записи ->Изменить параметры контроля учетных записей.






При этом не всегда получается изменить контроль, при изменении уровня контроля и нажатия «ОК», выбор не сохраняется и остается на «Никогда не уведомлять».


Есть другой способ включения контроля учетных записей

Правой кнопкой по меню Пуск ->Выполнить.
В строке «Открыть» вводим secpol.msc, кнопка «ОК».
Выбираем Локальные политики -> Параметры безопасности.
Находим в правой части среди списка «Контроль учетных записей: все администраторы работают в режиме одобрения администратором». Кликаем на эту запись.
Выбираем — Включён. «ОК». 
Перезагружаем компьютер. 




Как отключить Контроль учетных записей (UAC) в Windows 10

Контроль учетных записей UAC — это мера безопасности выпущенная в Windows Vista, которая заключается в контроле программ запускаемых на ПК, чтобы они не вносили несанкционированных изменений в систему Windows 10 без согласия пользователя. Когда программа пытается внести изменения в системе на уровне администратора, то мы получим уведомление, которое раздражает многих пользователи, и они задаются вопросом, как отключить контроль учетных записей (UAC) в Windows 10 или внести в исключения одну программу или игру.

В каких сценариях срабатывает UAC?

  • Программы, которые пытаются запустить от имени администратора.
  • Попытки внести изменения в реестр Windows.
  • Установщики или программы пытаются внести изменения в папку Windows или Program Files.
  • Изменения в правах доступа пользователя или папки.
  • Изменения в функциях безопасности Windows.
  • Создание или удаление пользователей.
  • Расписание задач.
  • Восстановление или изменение системных файлов.
  • Установка драйверов.

Уровни безопасности UAC

В конфигурации UAC мы сможем найти различные уровни безопасности. Эти уровни позволят нам настроить уровень защиты, который мы хотим для нашей системы Windows 10.

  • Не уведомлять меня: Контроль учетных записей отключен. Он не предупредит, когда программы попытаются внести изменения в системе.
  • Уведомлять только при попытках приложений внести изменения в ПК (не затемнять рабочий стол): Рабочий стол не затемнен, поэтому предупреждение может остаться незамеченным.
  • Уведомлять только при попытках приложений внести изменения в ПК (по умолчанию): уведомляет нас, когда программы пытаются внести изменения на компьютере, но не когда они пытаются изменить конфигурацию. Это рекомендуемый параметр по умолчанию в Windows 10.
  • Всегда уведомлять:UAC будет появляться всякий раз, когда мы пытаемся что-то установить, или любая программа пытается внести изменения в конфигурацию оборудования. Это наивысший уровень безопасности и он рекомендуется при установке нового программного обеспечения и посещении неизвестных веб-сайтов.

Как отключить Контроль учетных записей в Windows 10

Нажмите сочетание кнопок на клавиатуре Win+R и введите UserAccountControlSettings, чтобы быстро открыть параметры UAC в Windows 10.

Перетяните ползунок в самый низ «Никогда не уведомлять», тем самым мы отключим контроль учетных записей в windows 10.

Скрытые параметры UAC для более точной настройки

Если вы являетесь администратором и пользуетесь редакцией Windows 10 PRO и выше, то можно настроить UAC под свои предпочтения. Нажмите сочетание кнопок Win+R и введите gpedit.msc, чтобы открыть групповые политики. Далее перейдите:

  • Конфигурация компьютера > Параметры безопасности > Локальные политики > Параметры безопасности.
  • С правой стороны мы увидим политики «Контроль учетных записей», где их больше, чем 4 предложенных по умолчанию.

Отключить UAC для конкретного приложения в Windows 10

Шаг 1. Если нет желания отключать контроль учетных записей для всех программ, то есть метод, который поможет отключить UAC для определенного приложения. Нажмите Win+R и введите control schedtasks, чтобы быстро открыть планировщик заданий.

  • Справа нажмите на «Создать задачу».
  • В новом окне во вкладке «Общие» задайте любое имя и установите снизу галочку «Выполнить с наивысшими правами».
  • Перейдите во вкладку «Условия» и снимите галочку «Запускать только при питании от элеткросети».

Перейдите во вкладку «Действия» и нужно будет добавить исполняемый exe файл программы, которую мы хотим добавить в исключения UAC.

  • Нажмите «Создать» > «Обзор» и выберите exe файл программы или игры.

Шаг 2. Для полного удобства создадим ярлык для запуска программы для которой контроль учетной записей не будет срабатывать.

  • Нажмите на пустом месте рабочего стола правой кнопкой мыши и «Создать»> «Ярлык».
  • Укажите путь schtasks /run /tn «myWEBpc», где myWEBpc это имя, которое мы задавали в планировщике заданий (шаг 1).
  • В следующим окне вы можете указать любое имя. Оно будет отображаться на рабочем столе.

У вас появится ярлык на рабочем столе, который будет запускаться без уведомления контроля учетных записей. В моем случае, будет запуск командной строки от имени администратора.



Загрузка комментариев

Как отключить UAC (контроль учетных записей) в Windows 10

Контроль учетных записей (UAC) – один из основных элементов общей системы безопасности в Windows 10, который помогает снизить воздействие вредоносных/потенциально опасных программ на ОС.

UAC работает следующим образом: если выполнение какого-либо действия (чаще всего, это внесение изменений в настройки системы) или открытие приложения требуют наличия администраторских прав у учетной записи, перед выполнением операции появится соответствующий запрос на ее подтверждение.

Контроль изначально активирован в “десятке” и настроен так, чтобы реагировать на любые изменения, вносимые программами в параметры операционной системы. Но это гибкий инструмент, и пользователь может настроить его по-своему: отключить или задать степень контроля. Давайте посмотрим, как это можно сделать.

Примечание: полностью отключать UAC не рекомендуется, т.к. все приложения получат доступ к системе, что может привести к крайне нежелательным последствиям.

Метод 1: настраиваем/отключаем UAC через Панель управления

Для изменения большинства настроек операционной системы используется Панель управления. Наша задача с помощью данного инструментам выполняется следующим образом:

  1. Запускаем Панель управления любым удобным способом, например, через строку Поиска.
  2. Настроив просмотр в виде крупных или мелких значков переходим в раздел “Учетные записи пользователей”.
  3. Щелкаем по надписи “Изменить параметры контроля учетных записей” (данное действие требует наличия прав администратора).
  4. В появившемся окне мы можем задать степень контроля путем сдвига соответствующего ползунка.Всего на выбор доступно 4 уровня:
    • “Всегда уведомлять”. Это самый высокий уровень контроля и, следовательно, безопасности. Пользователь всегда будет получать уведомления при попытке приложений установить ПО или внести изменения в параметры компьютера, а также, когда сам пользователь меняет настройки ОС.
    • Выбранный по умолчанию вариант – уведомления только в тех случаях, когда приложения пытаются внести изменения в настройки ПК или ноутбука.
    • Следующий, более низкий уровень, отличается от рассмотренного выше тем, что во время уведомлений рабочий стол затемняться не будет. В некоторых случаях, когда затемнение занимает много времени, это является плюсом. В остальных ситуациях выбор такого варианта нежелателен.
    • Отключению UAC соответствует метка “Никогда не уведомлять”.Примечание: получить доступ к данным настройками можно по-другому: с помощью комбинации Win+R запускаем окно “Выполнить”, в котором пишем команду “UserAccountControlSettings” и жмем OK (или Enter).
  5. Когда выбор сделан, остается только нажать кнопку OK.

Метод 2: управляем UAC через Редактор реестра

Данный метод предполагает внесение изменений в системный реестр посредством специального редактора. Вот как это делается:

  1. Запускаем Редактор реестра любым удобным способом. Проще всего это сделать через строку Поиска.
  2. В открывшемся окне идем по пути:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.
  3. В содержимом раздела “System” в правой части окна ищем параметры DWORD:
    • ConsentPromptBehaviorAdmin;
    • EnableLUA;
    • PromptOnSecureDesktop.
  4. Двойным щелчком поочередно открываем настройки данных параметров (в том порядке, в котором мы их перечислили выше), указываем для них требуемые значения ниже в зависимости от желаемого уровня контроля и жмем OK для сохранения изменений:
    • Всегда уведомлять: 2, 1, 1.
    • Уведомлять при изменениях, вносимых приложениями: 5, 1, 1.
    • Уведомлять без затемнения рабочего стола: 5, 1, 0.
    • Отключить UAC: 0, 1, 0.
  5. Редактор реестра можно закрывать. Изменения должны вступить в силу немедленно. Если вдруг этого по какой-то причине не произошло, возможно, понадобится перезагрузка компьютера.

Заключение

Таким образом, отключить или настроить контроль учетных записей (UAC) в Windows 10 можно достаточно легко, причем разными способами (через Панель управления или Редактор реестра). В завершение хотелось бы еще раз обратить внимание на то, что полностью отключать контроль не следует, т. к. компьютер в этом случае станет уязвим перед вредоносными программами.

Контроль учетных записей UAC

Контроль учетных записей UAC

В отличие от предыдущих версий Windows, все пользователи, независимо от того, являются они администраторами или нет, работают в системе в режиме обычной учетной записи. Это повышает общий уровень безопасности системы, так как потенциально опасные программы не могут совершить противоправных действий без ведома администратора.

В случаях когда требуется выполнение действий, которые влекут за собой изменения в настройках системы, требуется повышение прав пользователя до уровня администратора. Именно тогда и появляется окно контроля учетных записей пользователей, в котором вы должны подтвердить, что проводимые изменения действительно совершаются вами, администратором компьютера, а не вредоносной программой. Если вы вошли в систему под стандартной учетной записью, то при попытке выполнить административное действие появится окно UAC с запросом о введении пароля учетной записи администратора. Если он вам неизвестен, дальнейшее выполнение процедуры будет невозможно.

Многим пользователям повышенная «бдительность» контроля учетных записей в виде постоянно появляющихся окон подтверждений кажется надоедливой. Поэтому, если вы согласны с тем, чтобы уровень безопасности системы был несколько снижен, можете отключить UAC. Сделать это можно в окне управления учетными записями, щелкнув на ссылке Изменение параметров контроля учетных записей. Чтобы изменения вступили в силу, потребуется перезагрузка Windows. Как видите контроль ведетеся не только в программе Управление персоналом 1С, но и внутри Windows.

Центр поддержки и компоненты безопасности

В обеспечении безопасности компьютера участвуют специальные службы и программы. Важнейшие из них находятся под контролем Центра поддержки. Этот компонент Windows отслеживает стабильность работы средств защиты и в случае их отключения или изменений в настройках, не соответствующих норме, уведомляет пользователя о возникших проблемах и предлагает выполнить некоторые действия для восстановления нужного уровня защиты. Сообщения Центра поддержки появляются во всплывающих подсказках в области уведомлений. Их содержимое зависит от того, с каким из инструментов защиты возникли неполадки.

Чтобы открыть окно Центра поддержки и перейти к устранению проблемы, достаточно щелкнуть на всплывающей подсказке в области уведомлений (или выполнить двойной щелчок на значке в виде флажка с красным щитком, если всплывающей подсказки нет). Другой способ открыть окно Центра поддержки выполнить команду Пуск ► Панель управления ► Система и безопасность ► Центр поддержки.

В обеспечении безопасности компьютера участвуют следующие основные компоненты: брандмауэр, Центр обновления, антивирусная программа и встроенная антишпионская программа Защитник Windows, контроль учетных записей пользователей. Последний компонент мы рассмотрели ранее, поэтому в данном разделе поговорим о том, что такое брандмауэр, автоматическое обновление, уделим внимание вопросу защиты от вредоносных программ, а также способам включения, отключения компонентов защиты и системы оповещения.

Включение и отключение функции Контроль учетных записей пользователей (UAC) в Windows Vista

Включение и отключение функции «Контроль учетных записей пользователей (UAC)» в Windows Vista.


Требования.

Статья применима для Windows Vista.


Информация
   
Пользователи Windows Vista уже хорошо знакомы с назойливым
окошечком, которое появляется при каждом запуске исполняемых файлов (exe,
msi, bat и др.) и некоторых системных утилит (msconfig,
regedit,  control userpasswords2 и др. ).
Это окошечко вызывает функция «Контроль учетных записей пользователей» (англ. User Access Control),
сокращенно UAC. Эта функция призвана обеспечить дополнительною
безопасность. Смысл этого примерно такой: вы входите в систему с правами
локально администратора, но с неполными правами (для сравнения: в
Windows XP, локальный администратор может делать все
что душе его угодно).

    Проще говоря, зачем Вам права на установку программ, если Вы
не собираетесь устанавливать программу, зачем Вам права на смену
ip-адреса, если Вы не собираетесь менять
ip-адрес т.е. эти привилегии Вам даются по мере
необходимости.

    Например. Вы хотите установить программу и запускаете
установщик, Windows перехватывает этот запуск,
блокирует его и спрашивает у Вас разрешение на продолжение. Вы нажимаете кнопку
«Продолжить», система дает Вам права на установку программ и программа
благополучно устанавливается.



Мы не рекомендуем выключать эту
функцию, потому что она действительно повышает безопасность системы. Просто надо
привыкнуть к этому новшеству.

Но если эта функция Вас сильно раздражает, то ее можно отключить.



Включение и отключение контроля учетных записей через «Конфигурация системы».

1. В меню «Пуск» выберите пункт «Выполнить«;



2. В поле «Открыть» наберите команду
msconfig и нажмите кнопку «ОК»;
3. В окне «Конфигурация системы» перейдите на вкладку «Сервис«;

4. В столбце «Название средства» найдите «Отключить контроль учетных записей
(UAC)
«
и нажмите кнопку «Запуск«;




5. Должно выйти окно с сообщением «Операция
успешно завершена
«;




6. Перезагрузите компьютер.


Чтобы снова включить эту функцию, выполните пункты с 1 по 3 и запустите команду «Включить
контроль учетных записей (UAC)
» и перезагрузите компьютер



 



Включение и отключение контроля учетных записей через управление учетными записями.

1. В меню «Пуск» выберите пункт «Выполнить«;



2. В поле «Открыть» наберите команду
control panel и нажмите кнопку «ОК»;

3. В окне «Панель управления» перейдите к классическому виду, для
этого щелкните по «Классический вид«;




4. Найдите и запустите значок «Учетные
записи пользователей
«;




5. В окне «Учетные записи пользователей» щелкните на «Включение и отключение
контроля учетных записей (UAC)
«;




6. В открывшемся окне, снимите галочку «Используйте контроль учетных записей
(UAC) для защиты компьютера
«;

7. Нажмите кнопку «ОК» и перезагрузите компьютер.


Чтобы снова включить эту функцию, выполните пункты с 1 по 5 и поставьте галочку «Используйте контроль учетных записей
(UAC) для защиты компьютера
«, а затем перезагрузите компьютер

 



Включение и отключение контроля учетных записей через реестр.

1. В меню «Пуск» выберите пункт «Выполнить«;



2. В поле «Открыть» наберите команду
regedit и нажмите кнопку «ОК»;

3. В левой части
окна «Редактор реестра» 
последовательно раскрывайте указанные разделы до
подраздела «System«:

    HKEY_LOCAL_MACHINE\ Software\Microsoft\ Windows\CurrentVersion\ Policies\System



4. Щелкните левой кнопкой мыши на
подразделе System и в правой части окна
найдите параметр EnableLUA;

5. Щелкните правой кнопкой мыши на этом параметре и выберите пункт меню «Изменить
«;

6. В поле «Значение:» поставьте 0 и нажмите кнопку «ОК»;

7. Закройте все окна и перезагрузите компьютер;



Чтобы снова включить эту функцию, выполните пункты с 1 по 5 и в поле «Значение» параметра EnableLUA
поставьте 1, затем нажмите кнопку «ОК» и перезагрузите компьютер

Как работает контроль учетных записей (Windows 10) — Microsoft 365 Security

  • 14 минут на чтение

В этой статье

Относится к

Контроль учетных записей пользователей (UAC) является фундаментальным компонентом общего видения безопасности Microsoft. UAC помогает снизить влияние вредоносных программ.

UAC: процессы и взаимодействие

Каждое приложение, которому требуется маркер доступа администратора, должно запрашивать согласие.Единственное исключение — отношения, существующие между родительскими и дочерними процессами. Дочерние процессы наследуют токен доступа пользователя от родительского процесса. Однако и родительский, и дочерний процессы должны иметь одинаковый уровень целостности. Windows 10 защищает процессы, отмечая их уровни целостности. Уровни честности — это мерило доверия. Приложение с «высокой» целостностью — это приложение, которое выполняет задачи, изменяющие системные данные, например, приложение для разделения диска, а приложение с «низкой» целостностью — это приложение, которое выполняет задачи, которые потенциально могут поставить под угрозу операционную систему, например, веб-браузер.Приложения с более низким уровнем целостности не могут изменять данные в приложениях с более высоким уровнем целостности. Когда стандартный пользователь пытается запустить приложение, для которого требуется маркер доступа администратора, UAC требует, чтобы пользователь предоставил действительные учетные данные администратора.

Чтобы лучше понять, как происходит этот процесс, давайте посмотрим на процесс входа в Windows.

Процесс входа в систему

Ниже показано, чем процесс входа в систему для администратора отличается от процесса входа в систему для стандартного пользователя.

По умолчанию стандартные пользователи и администраторы получают доступ к ресурсам и запускают приложения в контексте безопасности обычных пользователей. Когда пользователь входит в систему на компьютере, система создает маркер доступа для этого пользователя. Маркер доступа содержит информацию об уровне доступа, который предоставлен пользователю, включая конкретные идентификаторы безопасности (SID) и привилегии Windows.

Когда администратор входит в систему, для пользователя создаются два отдельных маркера доступа: маркер доступа стандартного пользователя и маркер доступа администратора.Маркер доступа стандартного пользователя содержит ту же информацию о пользователе, что и маркер доступа администратора, но административные привилегии Windows и идентификаторы безопасности удалены. Маркер доступа стандартного пользователя используется для запуска приложений, которые не выполняют административные задачи (стандартные пользовательские приложения). Затем для отображения рабочего стола используется стандартный токен доступа пользователя (explorer. exe). Explorer.exe — это родительский процесс, от которого все остальные процессы, инициированные пользователем, наследуют свой токен доступа. В результате все приложения запускаются как стандартный пользователь, если пользователь не предоставит согласие или учетные данные для утверждения приложения для использования маркера полного административного доступа.

Пользователь, который является членом группы администраторов, может входить в систему, просматривать веб-страницы и читать электронную почту, используя стандартный токен доступа пользователя. Когда администратору необходимо выполнить задачу, для которой требуется маркер доступа администратора, Windows 10 автоматически запрашивает у пользователя подтверждение. Это приглашение называется запросом на повышение прав, и его поведение можно настроить с помощью оснастки локальной политики безопасности (Secpol.msc) или групповой политики. Дополнительные сведения см. В разделе Параметры политики безопасности контроля учетных записей пользователей.

Пользовательский опыт UAC

Когда включен UAC, взаимодействие с пользователем для стандартных пользователей отличается от работы администраторов в режиме одобрения администратором. Рекомендуемый и более безопасный метод запуска Windows 10 — сделать вашу основную учетную запись пользователя стандартной. Работа в качестве обычного пользователя помогает максимально повысить безопасность управляемой среды. Благодаря встроенному компоненту повышения прав UAC обычные пользователи могут легко выполнять административную задачу, вводя действительные учетные данные для учетной записи локального администратора.По умолчанию встроенный компонент повышения прав UAC для стандартных пользователей — это запрос учетных данных.

Альтернативой работе от имени обычного пользователя является запуск от имени администратора в режиме одобрения администратором. Благодаря встроенному компоненту повышения прав UAC члены локальной группы администраторов могут легко выполнять административную задачу, предоставляя разрешение. Встроенный по умолчанию компонент повышения прав UAC для учетной записи администратора в режиме утверждения администратором называется запросом согласия.

Запрос на согласие и учетные данные

При включенном UAC Windows 10 запрашивает согласие или запрашивает учетные данные действующей учетной записи локального администратора перед запуском программы или задачи, для которых требуется маркер полного доступа администратора.Этот запрос гарантирует, что никакое вредоносное программное обеспечение не может быть установлено в автоматическом режиме.

Запрос согласия

Запрос согласия отображается, когда пользователь пытается выполнить задачу, для которой требуется маркер административного доступа пользователя. Ниже приведен пример запроса согласия UAC.

Запрос учетных данных

Запрос учетных данных отображается, когда стандартный пользователь пытается выполнить задачу, для которой требуется маркер административного доступа пользователя. От администраторов также может потребоваться предоставить свои учетные данные, установив для параметра Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в параметре политики режима одобрения администратором значение Запрашивать учетные данные.

Ниже приведен пример запроса учетных данных UAC.

Подсказки о повышении уровня UAC

Запросы на повышение прав UAC имеют цветовую кодировку для разных приложений, что позволяет немедленно определить потенциальную угрозу безопасности приложения. Когда приложение пытается запустить с токеном полного доступа администратора, Windows 10 сначала анализирует исполняемый файл, чтобы определить его издателя. Сначала приложения делятся на три категории в зависимости от издателя файла: Windows 10, издатель подтвержден (подписан) и издатель не проверен (неподписан).На следующей диаграмме показано, как Windows 10 определяет, какой запрос на повышение уровня цвета представить пользователю.

Цветовая кодировка подсказки о высоте следующая:

  • Красный фон со значком красного щита: приложение заблокировано групповой политикой или получено от заблокированного издателя.
  • Синий фон с сине-золотым значком щита: приложение представляет собой административное приложение Windows 10, например элемент панели управления.
  • Синий фон с синим значком щита: приложение подписано с помощью Authenticode и является доверенным на локальном компьютере.
  • Желтый фон с желтым значком щита: приложение не подписано или подписано, но еще не является доверенным для локального компьютера.

Значок щита

Некоторые элементы панели управления, такие как «Свойства даты и времени», содержат комбинацию административных и стандартных пользовательских операций. Стандартные пользователи могут просматривать часы и изменять часовой пояс, но для изменения локального системного времени требуется маркер полного доступа администратора. Ниже приведен снимок экрана элемента панели управления «Свойства даты и времени».

Значок щита на кнопке «Изменить дату и время» указывает на то, что для процесса требуется маркер полного доступа администратора, и отобразится запрос на повышение прав UAC.

Обеспечение подсказки о повышении

Процесс повышения прав дополнительно защищен путем направления запроса на защищенный рабочий стол. Запросы согласия и учетных данных по умолчанию отображаются на безопасном рабочем столе в Windows 10. Только процессы Windows могут получить доступ к защищенному рабочему столу. Для более высокого уровня безопасности мы рекомендуем оставить контроль учетных записей пользователей: переключение на безопасный рабочий стол при включенном запросе настройки политики повышения прав.

Когда исполняемый файл запрашивает повышение прав, интерактивный рабочий стол, также называемый рабочим столом пользователя, переключается на безопасный рабочий стол. Защищенный рабочий стол затемняет рабочий стол пользователя и отображает запрос на повышение прав, на который необходимо ответить, прежде чем продолжить. Когда пользователь нажимает «Да» или «Нет», рабочий стол снова переключается на рабочий стол пользователя.

Вредоносное ПО может имитировать безопасный рабочий стол, но если для параметра Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в параметре политики режима одобрения администратором установлено значение Запрашивать согласие, вредоносное ПО не получает повышения прав, если пользователь нажимает Да на имитация.Если для параметра политики задано значение Запрашивать учетные данные, вредоносная программа, имитирующая запрос учетных данных, может получить учетные данные от пользователя. Однако вредоносная программа не получает повышенных привилегий, и в системе предусмотрены другие средства защиты, которые препятствуют тому, чтобы вредоносное ПО могло получить контроль над пользовательским интерфейсом даже с помощью собранного пароля.

Хотя вредоносная программа может представлять собой имитацию защищенного рабочего стола, эта проблема не может возникнуть, если пользователь предварительно не установил вредоносную программу на ПК. Поскольку процессы, для которых требуется маркер доступа администратора, не могут устанавливаться в автоматическом режиме при включенном UAC, пользователь должен явно предоставить согласие, щелкнув Да или предоставив учетные данные администратора.Конкретное поведение запроса на повышение прав UAC зависит от групповой политики.

Архитектура UAC

На следующей схеме представлена ​​архитектура UAC.

Чтобы лучше понять каждый компонент, просмотрите таблицу ниже:

Компонент Описание
Пользователь

Пользователь выполняет операцию, требующую привилегий

Если операция изменяет файловую систему или реестр, вызывается виртуализация.Все остальные операции вызывают ShellExecute.

ShellExecute

ShellExecute вызывает CreateProcess. ShellExecute ищет ошибку ERROR_ELEVATION_REQUIRED из CreateProcess. Если он получает сообщение об ошибке, ShellExecute вызывает службу информации о приложении, чтобы попытаться выполнить запрошенную задачу с повышенным запросом.

CreateProcess

Если приложению требуется повышение прав, CreateProcess отклоняет вызов с ERROR_ELEVATION_REQUIRED.

Система

Служба прикладной информации

Системная служба, которая помогает запускать приложения, требующие одного или нескольких повышенных привилегий или прав пользователя для запуска, например локальные административные задачи, и приложения, требующие более высоких уровней целостности. Служба информации о приложении помогает запускать такие приложения, создавая новый процесс для приложения с маркером полного доступа административного пользователя, когда требуется повышение прав и (в зависимости от групповой политики) пользователь дает на это согласие.

Повышение уровня установки ActiveX

Если ActiveX не установлен, система проверяет уровень ползунка UAC. Если установлен ActiveX, User Account Control: переключение на безопасный рабочий стол при запросе на повышение прав. Параметр групповой политики установлен.

Проверить уровень ползунка UAC

UAC имеет ползунок для выбора одного из четырех уровней уведомления.

  • Всегда уведомлять будет:

    • Сообщать вам, когда программы пытаются установить программное обеспечение или внести изменения в ваш компьютер.
    • Уведомляет вас, когда вы вносите изменения в настройки Windows.
    • Заморозьте другие задачи, пока не ответите.

    Рекомендуется, если вы часто устанавливаете новое программное обеспечение или посещаете незнакомые веб-сайты.

  • Уведомлять меня, только когда программы пытаются внести изменения в мой компьютер будет:

    • Сообщать вам, когда программы пытаются установить программное обеспечение или внести изменения в ваш компьютер.
    • Не уведомлять вас, когда вы вносите изменения в настройки Windows.
    • Заморозьте другие задачи, пока не ответите.

    Рекомендуется, если вы не часто устанавливаете приложения или посещаете незнакомые веб-сайты.

  • Уведомлять меня, только когда программы пытаются внести изменения в мой компьютер (не затемнять мой рабочий стол) будет:

    • Сообщать вам, когда программы пытаются установить программное обеспечение или внести изменения в ваш компьютер.
    • Не уведомлять вас, когда вы вносите изменения в настройки Windows.
    • Не приостанавливать выполнение других задач, пока вы не ответите.

    Не рекомендуется. Выбирайте этот вариант только в том случае, если уменьшение яркости рабочего стола на вашем компьютере занимает много времени.

  • Never notify (Отключить запросы UAC) будет:

    • Не уведомлять вас, когда программы пытаются установить программное обеспечение или внести изменения в ваш компьютер.
    • Не уведомлять вас, когда вы вносите изменения в настройки Windows.
    • Не приостанавливать выполнение других задач, пока вы не ответите.

    Не рекомендуется из соображений безопасности.

Безопасный рабочий стол включен

Контроль учетных записей пользователей : переключение на безопасный рабочий стол при запросе на повышение прав параметр политики установлен:

  • Если безопасный рабочий стол включен, все запросы на повышение прав направляются на защищенный рабочий стол, независимо от параметров политики поведения подсказок для администраторов и обычных пользователей.

  • Если безопасный рабочий стол не включен, все запросы на повышение прав направляются на рабочий стол интерактивного пользователя, и используются индивидуальные настройки для администраторов и обычных пользователей.

CreateProcess

CreateProcess вызывает обнаружение AppCompat, Fusion и Installer, чтобы оценить, требует ли приложение повышения прав. Затем файл проверяется для определения запрошенного уровня выполнения, который сохраняется в манифесте приложения для файла. CreateProcess завершается ошибкой, если запрошенный уровень выполнения, указанный в манифесте, не соответствует токену доступа и возвращает ошибку (ERROR_ELEVATION_REQUIRED) в ShellExecute.

AppCompat

База данных AppCompat хранит информацию в записях исправлений совместимости приложений для приложения.

Fusion

В базе данных Fusion хранится информация из манифестов приложений, которые описывают приложения. Схема манифеста обновляется, чтобы добавить новое поле запрошенного уровня выполнения.

Обнаружение установщика

Обнаружение установщика

обнаруживает установочные файлы, что помогает предотвратить запуск установки без ведома и согласия пользователя.

Ядро

Виртуализация

Технология виртуализации гарантирует, что несовместимые приложения не будут автоматически запускаться или давать сбой, причину которого невозможно определить. UAC также обеспечивает виртуализацию файлов и реестра и ведение журнала для приложений, которые записывают данные в защищенные области.

Файловая система и реестр

Виртуализация файлов и реестра для отдельных пользователей перенаправляет запросы на запись в реестр и файлы для отдельных компьютеров в эквивалентные расположения для каждого пользователя.Запросы на чтение сначала перенаправляются в виртуализированное расположение для каждого пользователя, а затем — в расположение для каждого компьютера.

Ползунок никогда не выключит UAC полностью. Если вы установите для него значение Никогда не уведомлять , он:

  • Не отключать службу UAC.
  • Вызывает автоматическое одобрение всех запросов на повышение прав, инициированных администраторами, без отображения запроса UAC.
  • Автоматически отклонять все запросы на повышение уровня для обычных пользователей.

Важно

Чтобы полностью отключить UAC, необходимо отключить политику Контроль учетных записей пользователей: запустить всех администраторов в режиме одобрения администратором.

Предупреждение

Некоторые приложения универсальной платформы Windows могут не работать, когда UAC отключен.

Виртуализация

Поскольку системные администраторы в корпоративных средах пытаются защитить системы, многие бизнес-приложения (LOB) предназначены для использования только стандартного токена доступа пользователя. В результате вам не нужно заменять большинство приложений при включенном UAC.

Windows 10 включает технологию виртуализации файлов и реестра для приложений, не совместимых с UAC и требующих маркера доступа администратора для правильной работы.Когда административные приложения, не совместимые с UAC, пытаются записать в защищенную папку, такую ​​как Program Files, UAC предоставляет приложению собственное виртуализированное представление ресурса, которое оно пытается изменить. Виртуализированная копия сохраняется в профиле пользователя. Эта стратегия создает отдельную копию виртуализированного файла для каждого пользователя, который запускает несовместимое приложение.

Большинство задач приложения работают правильно за счет использования функций виртуализации. Хотя виртуализация позволяет запускать большинство приложений, это краткосрочное решение, а не долгосрочное решение.Разработчики приложений должны как можно скорее изменить свои приложения, чтобы они соответствовали требованиям, а не полагаться на виртуализацию файлов, папок и реестра.

Виртуализация не подходит в следующих сценариях:

  • Виртуализация не применяется к приложениям с повышенными привилегиями и запускаемым с полным токеном административного доступа.

  • Виртуализация поддерживает только 32-разрядные приложения. 64-разрядные приложения без повышенных прав просто получают сообщение об отказе в доступе при попытке получить дескриптор (уникальный идентификатор) объекта Windows.Родные 64-разрядные приложения Windows должны быть совместимы с UAC и записывать данные в правильные места.

  • Виртуализация отключена, если приложение включает манифест приложения с запрошенным атрибутом уровня выполнения.

Уровни выполнения запроса

Манифест приложения — это XML-файл, который описывает и идентифицирует совместно используемые и частные параллельные сборки, к которым приложение должно привязаться во время выполнения. Манифест приложения включает записи для совместимости приложений UAC.Административные приложения, которые включают запись в манифест приложения, запрашивают у пользователя разрешение на доступ к токену доступа пользователя. Несмотря на отсутствие записи в манифесте приложения, большинство административных приложений можно запускать без изменений с помощью исправлений совместимости приложений. Исправления совместимости приложений — это записи в базе данных, которые позволяют приложениям, не поддерживающим UAC, работать должным образом.

Все приложения, совместимые с UAC, должны иметь запрошенный уровень выполнения, добавленный в манифест приложения. Если приложению требуется административный доступ к системе, то пометка приложения с запрошенным уровнем выполнения «требуется администратор» гарантирует, что система идентифицирует эту программу как административное приложение и выполнит необходимые шаги по повышению прав.Запрошенные уровни выполнения определяют права, необходимые для приложения.

Установщик техники обнаружения

Программы установки — это приложения, предназначенные для развертывания программного обеспечения. Большинство программ установки записывают данные в системные каталоги и разделы реестра. Эти защищенные системные папки обычно доступны для записи только администратором в технологии обнаружения установщика, что означает, что обычные пользователи не имеют достаточного доступа для установки программ. Windows 10 эвристически обнаруживает программы установки и запрашивает учетные данные администратора или одобрение у пользователя-администратора для запуска с правами доступа.Windows 10 также эвристически обнаруживает обновления и программы, удаляющие приложения. Одна из целей разработки UAC — предотвратить запуск установки без ведома и согласия пользователя, поскольку программы установки записывают данные в защищенные области файловой системы и реестра.

Обнаружение установщика применимо только к:

  • 32-битные исполняемые файлы.
  • Приложения без запрошенного атрибута уровня выполнения.
  • Интерактивные процессы, запущенные от имени обычного пользователя с включенным UAC.

Перед созданием 32-разрядного процесса проверяются следующие атрибуты, чтобы определить, является ли он установщиком:

  • Имя файла включает такие ключевые слова, как «установка», «установка» или «обновление».
  • Поля ресурса управления версиями

  • содержат следующие ключевые слова: поставщик, название компании, название продукта, описание файла, исходное имя файла, внутреннее имя и имя экспорта.
  • Ключевые слова в параллельном манифесте встроены в исполняемый файл.
  • Ключевые слова в определенных записях StringTable связаны в исполняемом файле.
  • Ключевые атрибуты в данных сценария ресурсов связаны в исполняемом файле.
  • В исполняемом файле есть целевые последовательности байтов.

Примечание

Ключевые слова и последовательности байтов были получены из общих характеристик, наблюдаемых при использовании различных технологий установки.

Примечание

Контроль учетных записей пользователей: обнаружение установок приложений и запрос параметра политики повышения прав должны быть включены, чтобы программа установки обнаруживала программы установки.Дополнительные сведения см. В разделе Параметры политики безопасности контроля учетных записей пользователей.

Что такое UAC (Контроль учетных записей) и почему его никогда не следует отключать

Когда была запущена Windows Vista, функция управления учетными записями пользователей (UAC) была наиболее критичной и непонятной функцией. Несмотря на то, что это важно для безопасности, многие люди решили отключить его и подвергнуть свои системы проблемам с безопасностью. Эта функция была улучшена в следующих версиях Windows, и, хотя она значительно повышает безопасность операционной системы, некоторые пользователи по-прежнему предпочитают ее отключать.Вот почему в этой статье мы разъясняем, что это за функция, как она работает и преимущества сохранения ее активности в любой версии Windows:

Что такое контроль учетных записей (UAC) в Windows?

User Account Control или UAC для краткости — это функция безопасности Windows, которая помогает предотвратить несанкционированные изменения в операционной системе. Эти изменения могут быть инициированы приложениями, пользователями, вирусами или другими вредоносными программами. Контроль учетных записей пользователей гарантирует, что определенные изменения вносятся только с одобрения администратора.Если изменения не одобрены администратором, они не выполняются, а Windows остается без изменений. Как будто ничего не произошло. UAC был впервые доступен для Windows Vista, и с тех пор он улучшался с каждой новой версией Windows.

Как выглядит запрос контроля учетных записей (UAC) и что он запрашивает?

Когда вы дважды щелкаете файл, параметр или приложение, которые собираются внести важные изменения в Windows, отображается запрос контроля учетных записей (UAC).Если ваша учетная запись пользователя является администратором, запрос будет выглядеть, как на снимке экрана ниже. Здесь вы можете увидеть приглашение UAC в Windows 10 (вверху), в Windows 7 (в центре) и Windows 8.1 (внизу).

UAC, Контроль учетных записей пользователей, Windows

В приглашении UAC отображается имя программы, которая собирается внести изменение в систему, требующее одобрения администратора, издателя этой программы и источника файла (если вы пытаетесь запустить файл). Все, что ему нужно от администратора, — это щелкнуть или коснуться Да, чтобы позволить программе или файлу внести необходимые изменения.

Если ваша учетная запись НЕ является администратором, запрос выглядит иначе. Например, в Windows 10 UAC запрашивает ПИН-код администратора (если он установлен) или пароль.

UAC, Контроль учетных записей пользователей, Windows

В Windows 7 и Windows 8.1 запрос UAC всегда запрашивает пароль администратора, как показано ниже.

UAC, Контроль учетных записей пользователей, Windows

В этом случае необходимо ввести ПИН-код или пароль администратора и нажать Да. Если не будут выполнены оба действия, запрошенные изменения не будут внесены.

В приглашении UAC также есть ссылка «Показать дополнительные сведения» (в Windows 10) или «Показать подробности» (в Windows 7 и Windows 8.1). Если вы нажмете на нее, вы увидите дополнительную информацию, включая точное местоположение на диске программы или файла и сертификат издателя, который покажет вам дополнительную информацию о том, кто создал то, что вы хотите запустить.

UAC, Контроль учетных записей пользователей, Windows

Как мне узнать, что файл или параметр вызовут запрос UAC?

Файлы, которые запускают запрос UAC при запуске, имеют символ UAC в правом нижнем углу значка файла, как показано на снимке экрана ниже.

UAC, Контроль учетных записей пользователей, Windows

Приложения и системные настройки, которые запускают запрос UAC, также имеют символ UAC рядом с их именем или на значке. Вы можете увидеть несколько выделенных ниже примеров, которые встречаются в Панели управления.

UAC, Контроль учетных записей пользователей, Windows

Запомните значок UAC, и каждый раз, когда вы его видите, вы заранее знаете, что вам понадобится одобрение администратора.

Как работает Контроль учетных записей (UAC)?

В Windows приложения запускаются по умолчанию без каких-либо административных разрешений.У них те же разрешения, что и у стандартной учетной записи пользователя: они не могут вносить какие-либо изменения в операционную систему, ее системные файлы или настройки реестра. Кроме того, они не могут изменять ничего, что принадлежит другим учетным записям пользователей. Приложения могут изменять только свои файлы и настройки реестра или файлы пользователя и настройки реестра.

Когда приложение хочет внести изменения в систему, такие как: изменения, которые влияют на другие учетные записи пользователей, изменения в системных файлах и папках Windows, установка нового программного обеспечения, отображается запрос UAC с запросом разрешения.Если пользователь щелкнет или коснется Нет, изменение не будет выполнено. Если пользователь щелкает или нажимает «Да» (и вводит пароль администратора, если требуется), приложение получает административные разрешения и может вносить необходимые изменения в систему. Эти разрешения предоставляются только до тех пор, пока приложение не прекратит работу или не будет закрыто пользователем. То же самое касается файлов, запускающих запрос UAC.

Для облегчения понимания алгоритм UAC поясняется на схеме ниже.

UAC, Контроль учетных записей пользователей, Windows

Какие изменения вызывают запрос UAC в Windows?

Есть много изменений, требующих прав администратора.В зависимости от того, как UAC настроен на вашем компьютере с Windows, они могут вызывать отображение запроса UAC и запроса разрешения. Это следующие:

  • Запуск приложения от имени администратора
  • Изменения общесистемных настроек или файлов в папках Windows или Program Files
  • Установка и удаление драйверов и приложений
  • Просмотр или изменение папок и файлов другого пользователя
  • Добавление или удаление учетных записей пользователей
  • Настройка Центра обновления Windows
  • Изменение настроек брандмауэра Windows
  • Изменение настроек UAC
  • Изменение типа учетной записи пользователя
  • Планировщик запущенных задач
  • Восстановление резервных копий системных файлов
  • Изменение системной даты и времени
  • Настройка родительского контроля или семейной безопасности
  • Установка элементов управления ActiveX (в Internet Explorer)

Чем отличаются уровни UAC в Windows?

В отличие от Windows Vista, где у вас было только два варианта: включен или выключен UAC, в более новых версиях Windows есть четыре уровня на выбор.Различия между ними следующие:

UAC, Контроль учетных записей пользователей, Windows

  • Всегда уведомлять — на этом уровне вы получаете уведомление, прежде чем приложения и пользователи внесут изменения, требующие административных разрешений. Когда появляется приглашение UAC, рабочий стол становится затемненным. Вы должны выбрать «Да» или «Нет», прежде чем сможете делать что-либо еще на компьютере. Воздействие на безопасность : это самая безопасная настройка и самая раздражающая. Если вам не нравится реализация UAC в Windows Vista, вам не понравится этот уровень.
  • Уведомлять меня только тогда, когда программы / приложения пытаются внести изменения в мой компьютер — это уровень по умолчанию, и UAC уведомляет вас только перед тем, как программы вносят изменения, требующие административных разрешений. Если вы вручную вносите изменения в Windows, запрос UAC не отображается. Этот уровень менее раздражает, поскольку он не мешает пользователю вносить изменения в систему, он показывает только подсказки, если приложение или файл хочет внести изменения. Когда отображается запрос UAC, рабочий стол становится затемненным, и вы должны выбрать «Да» или «Нет», прежде чем вы сможете делать что-либо еще на своем компьютере. Влияние на безопасность: этот параметр менее безопасен, чем первый параметр, поскольку могут быть созданы вредоносные программы для имитации нажатий клавиш или движений мыши, выполняемых пользователем, и изменения параметров Windows. Однако, если вы используете хорошее решение безопасности, таких ситуаций не должно быть.
  • Уведомлять меня только тогда, когда программы / приложения пытаются внести изменения в мой компьютер (не затемнять мой рабочий стол) — этот уровень идентичен предыдущему, за исключением того факта, что, когда отображается приглашение UAC, рабочий стол не затемняется, а другой рабочий стол приложения могут этому помешать. Влияние на безопасность: этот уровень еще менее безопасен, поскольку он упрощает для вредоносных программ имитацию нажатий клавиш или движений мыши, которые мешают работе UAC.
  • Никогда не уведомлять — на этом уровне UAC отключен и не обеспечивает никакой защиты от несанкционированных изменений системы. Влияние на безопасность : если у вас нет хорошего пакета безопасности, вы, скорее всего, столкнетесь с проблемами безопасности на вашем устройстве Windows. Когда UAC отключен, вредоносным программам намного проще заразить Windows и получить контроль.

Если вы хотите научиться переключаться между уровнями UAC, прочтите и следуйте этому руководству: Как изменить уровень контроля учетных записей (UAC) в Windows.

Должен ли я отключать UAC при установке настольных приложений и включать его после этого?

Больше всего пользователей раздражает, когда они устанавливают Windows и свои наиболее часто используемые настольные приложения. Во время этой процедуры отображается множество запросов UAC, и у вас может возникнуть соблазн временно отключить его, пока вы устанавливаете все приложения и снова включаете его, когда закончите.В некоторых ситуациях это может быть плохой идеей. Настольные приложения, которые вносят много изменений в систему, могут перестать работать после включения UAC после их установки. Однако они будут работать правильно, если вы установите их при включенном UAC. Когда UAC выключен, методы виртуализации, используемые UAC для всех приложений, неактивны. Это приводит к установке определенных пользовательских настроек и файлов в другое место. Они не будут работать при повторном включении UAC. Чтобы избежать таких проблем, лучше всегда включать контроль учетных записей (UAC).

Вы оставляете UAC включенным?

Теперь вы знаете все, что важно об управлении учетными записями пользователей (UAC) в Windows и его роли в защите вашей системы. Прежде чем закрыть эту статью, сообщите нам, решили ли вы оставить ее включенной или нет. Форма комментариев доступна ниже.

Что такое UAC в Windows 10 и как его отключить

Если у вас есть сеть компьютеров в вашем доме или на рабочем месте, одна из вещей, которые вам нужно контролировать, — это то, какие пользователи или приложения могут изменять вещи в этой системе.

Один из способов предотвратить несанкционированные изменения — назначить одного человека администратором сети. Однако недостаточно иметь одного человека, управляющего всем, и здесь на помощь приходит функция контроля доступа пользователей (UAC).

В этом руководстве объясняется, что такое UAC и как его отключить в Windows 10.

Что такое UAC?

UAC — это функция безопасности в Windows 10, которая предотвращает несанкционированные или непреднамеренные изменения операционной системы. Эта функция впервые была частью системы безопасности Windows Vista и с тех пор улучшалась с каждой новой версией Windows.

Такие изменения могут быть инициированы пользователями, вирусами, вредоносными программами или приложениями. Но если администратор не одобрит изменения, они не будут выполнены.

Среди изменений, требующих прав администратора:

Каждый раз, когда вы запускаете настольное приложение, требующее прав администратора, появляется UAC. Вы также увидите его, когда захотите изменить важные системные настройки, требующие одобрения администратора.

Любые пользователи в вашей сети могут входить в свои компьютеры, используя стандартную учетную запись пользователя, но любые процессы, которые они запускают, будут выполняться с использованием прав доступа, предоставленных стандартному пользователю.

Например, любые приложения, запускаемые с помощью проводника Windows, будут работать со стандартными разрешениями уровня пользователя. Сюда входят приложения, входящие в состав самой Windows 10.

Для устаревших приложений, которые не были разработаны с учетом требований безопасности, для успешной работы часто требуются дополнительные разрешения. Дополнительные разрешения требуются для таких действий, как установка нового программного обеспечения и изменение конфигурации брандмауэра Windows, поскольку для этого требуются разрешения уровня учетной записи администратора.

Если вам нужно запустить приложение, для которого требуется больше, чем права пользователя стандартной учетной записи, вы можете восстановить больше групп пользователей для маркера, чтобы управлять приложениями, которые вносят изменения на системном уровне в ваши компьютеры или устройства.

Для семей есть возможность создать отдельную дочернюю учетную запись с различными ограничениями и встроенными функциями родительского контроля и мониторинга. Узнайте больше в нашей учетной записи Microsoft Family и о том, как добавить члена семьи в свою учетную запись Microsoft.

Уровни ползунка UAC в Windows 10 и их значение

В Windows Vista было всего два варианта UAC: On или Off. Однако в Windows 10 есть четыре уровня UAC на выбор:

  • Всегда уведомлять: уведомляет вас перед тем, как пользователи и приложения вносят изменения, требующие прав администратора.Он также приостанавливает выполнение других задач, пока вы не ответите, и рекомендуется, если вы часто посещаете незнакомые веб-сайты или устанавливаете новое программное обеспечение.
  • Уведомлять меня, только когда программы / приложения пытаются внести изменения в мой компьютер: уведомляет вас, когда программы пытаются внести изменения в ваш компьютер или установить программное обеспечение. Этот уровень также приостанавливает выполнение других задач, пока вы не ответите, но не уведомляет вас, когда вы вносите изменения в настройки Windows.
  • Уведомлять меня, только когда программы / приложения пытаются внести изменения в мой компьютер (не затемнять мой рабочий стол): уведомляет вас, когда программа пытается внести изменения или установить программное обеспечение на ваш компьютер.Он не уведомляет вас, когда вы вносите изменения в настройки Windows, и не приостанавливает выполнение задач, пока вы не ответите. Выбирайте этот уровень только в том случае, если требуется много времени, чтобы затемнить рабочий стол вашего компьютера.
  • Никогда не уведомлять: не уведомляет вас, когда программа пытается внести изменения, установить программное обеспечение или когда вы измените настройки Windows. Этот параметр не рекомендуется, особенно если у вас нет хорошего пакета безопасности, поскольку вирусам и вредоносным программам гораздо проще заразить ваш компьютер, если UAC отключен.

Как отключить UAC в Windows 10

Примечание. Мы не рекомендуем отключать UAC на вашем компьютере, так как это упрощает заражение вашего компьютера вредоносными программами и управление им.Если есть приложения, которые продолжают запускать UAC, используйте планировщик задач Windows для запуска этих приложений без прав администратора и запросов UAC вместо того, чтобы полностью отключать UAC.

Если вы все еще хотите отключить UAC, вы можете сделать это через панель управления, групповую политику, редактор реестра или с помощью командной строки.

Как отключить UAC с помощью панели управления
  1. Откройте Панель управления и выберите Учетные записи пользователей.
  1. Снова выберите «Учетные записи пользователей».
  1. Затем выберите «Изменить настройки управления учетными записями пользователей».
  1. Если вы хотите полностью отключить UAC, перетащите ползунок на Никогда не уведомлять, чтобы отключить UAC, а затем нажмите OK.

Чтобы снова включить UAC, перетащите ползунок на нужный уровень безопасности и нажмите OK. Подтвердите свой выбор или введите пароль администратора, если будет предложено, а затем перезагрузите компьютер, чтобы сохранить изменения.

Как отключить UAC с помощью командной строки
  1. Для этого введите CMD в поле поиска и выберите Запуск от имени администратора.

В поле командной строки введите эту команду и нажмите Enter:

 reg.exe ДОБАВИТЬ HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System / v EnableLUA / t REG_DWORD / d 0 / f 
  1. Перезагрузите компьютер, чтобы изменения вступили в силу.

Если вы хотите снова включить или включить UAC, введите эту команду:

 reg.exe ДОБАВИТЬ HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System / v EnableLUA / t REG_DWORD / d 1 / f 
Как отключить UAC с помощью редактора групповой политики
  1. Для этого введите «Редактор политики» в поле поиска и выберите «Изменить групповую политику».
  1. Выберите Конфигурация компьютера> Параметры Windows, а затем выберите Параметры безопасности.
  1. Затем выберите «Локальные политики»> «Параметры безопасности».
  1. Прокрутите вниз и дважды щелкните Управление учетными записями пользователей: запускать всех администраторов в режиме утверждения администратором.
  1. Выберите Отключено> ОК.
Как отключить UAC с помощью реестра Windows

Вы также можете отключить UAC через реестр Windows.Однако перед этим обязательно создайте резервную копию реестра, чтобы избежать каких-либо системных проблем.

  1. Чтобы отключить UAC через реестр Windows, щелкните правой кнопкой мыши Пуск> Выполнить, введите regedit.exe и нажмите Enter на клавиатуре.
  2. Следуйте по пути: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
  1. Затем дважды щелкните по ключу EnableLUA и измените значение данных на 0.
  1. Сохраните изменения и перезагрузите компьютер.

Возьмите под свой контроль свои счета

UAC определяет разницу между учетными записями стандартных пользователей и учетными записями администратора. С помощью этой функции у вас есть базовый уровень безопасности системы, который помогает защитить вашу систему от вредоносных процессов даже при наличии пакета безопасности.

Удалось ли вам отключить UAC на вашем компьютере? Делитесь с нами в комментариях.

Мы не можем найти эту страницу

(* {{l10n_strings.REQUIRED_FIELD}})

{{l10n_strings.CREATE_NEW_COLLECTION}} *

{{l10n_strings.ADD_COLLECTION_DESCRIPTION}}

{{l10n_strings.COLLECTION_DESCRIPTION}}
{{addToCollection.description.length}} / 500

{{l10n_strings.TAGS}}
{{$ item}}

{{l10n_strings.ПРОДУКТЫ}}

{{l10n_strings.DRAG_TEXT}}

{{l10n_strings.DRAG_TEXT_HELP}}

{{l10n_strings.LANGUAGE}}
{{$ select.selected.display}}

{{article.content_lang.display}}

{{l10n_strings.AUTHOR}}

{{l10n_strings.AUTHOR_TOOLTIP_TEXT}}

{{$ select.selected.display}}

{{l10n_strings.CREATE_AND_ADD_TO_COLLECTION_MODAL_BUTTON}}
{{l10n_strings.CREATE_A_COLLECTION_ERROR}}

Контроль учетных записей пользователей — Обзор и использование

Введение

Что такое UAC

Контроль учетных записей пользователей, обычно сокращенно UAC, — это компонент безопасности Windows, представленный в Windows Vista и Windows Server 2008.UAC максимально ограничивает доступ процессов к ресурсам и операциям уровня администратора (привилегированным), если они явно не предоставлены пользователем.

Рисунок 1. Приглашение UAC, предлагающее пользователю явным образом предоставить права администратора программе

Зачем это нужно

На протяжении десятилетий в операционных системах было принято различать административных пользователей (также известных как суперпользователи, root или супервизоры), способные вносить обширные общесистемные изменения — и стандартные пользователи, которые в основном будут использовать машину для выполнения работы, не внося в нее существенных изменений [1] .Это разделение обеспечивает соблюдение принципа наименьших привилегий (PoLP), согласно которому процессы, программы и пользователи должны иметь доступ только к минимальному массиву ресурсов, необходимых для их законной работы в любой момент.

Однако в ранних операционных системах Microsoft PC этот принцип не использовался — по крайней мере, в отношении прав пользователей. Например, в первых версиях Windows все приложения имели права, эквивалентные привилегиям самой ОС!

Все это подошло к концу с появлением Windows NT, поскольку Microsoft наконец-то создала несколько уровней безопасности учетных записей, отделяя администраторов от обычных пользователей.Но пользователям по-прежнему предлагалось использовать встроенную учетную запись администратора [2] , и многие программы уже были разработаны для работы в контексте безопасности администратора, полагаясь на высокоуровневые привилегии для работы (часто излишне или непреднамеренно).

Целью UAC было восполнить этот пробел — ограничить доступ к ресурсам с высоким уровнем привилегий, стараясь не ставить под угрозу функциональность программного обеспечения, устаревшую поддержку и удобство использования.

Как это работает

Взаимодействие с пользователем

Что касается пользователя, UAC довольно прост.Когда программе или процессу необходимо повысить свои привилегии, то есть для выполнения определенной операции требуется доступ администратора, пользователю будет предложено дать согласие. Если текущий пользователь является стандартным пользователем, как описано выше, для продолжения также потребуются учетные данные администратора.

Исключением из правила согласия пользователя UAC являются отношения между родительскими и дочерними процессами. Дочерние процессы могут наследовать статус доступа своих родителей, предоставляя им автоматический доступ к высокоуровневым операциям, как будет более подробно описано ниже.

UAC имеет 4 различных конфигурации уровня безопасности:

  • Всегда уведомлять: все попытки повышения привилегий уведомляются UAC
  • Уведомлять меня, только когда программы пытаются внести изменения в мой компьютер: все попытки повышения привилегий уведомляются UAC, кроме для попыток изменить настройки Windows
  • Уведомлять меня, только когда программы пытаются внести изменения в мой компьютер (не затемнять рабочий стол): идентично предыдущему уровню, но UAC не будет использовать безопасный рабочий стол для запроса
  • Никогда не уведомлять : UAC отключен

За кулисами

Когда пользователь успешно входит в систему Windows, ОС создает маркер доступа, который представляет собой объект, отображающий личность и привилегии пользователя.Этот токен прикреплен к начальному процессу, созданному в пользовательском сеансе, и будет унаследован дочерними процессами, запущенными в пользовательском сеансе.

Каждый раз, когда процесс пытается выполнить привилегированные системные задачи или взаимодействовать с защищаемыми объектами (объектами с дескриптором безопасности, что в широком смысле означает политику контроля доступа), ОС проверяет свой токен, чтобы проверить его уровень целостности.

Но что, если процесс пытается сделать что-то вне контекста безопасности, установленного в его присоединенном токене? Когда это происходит, пользователь может повысить свои привилегии, предоставив ему токен уровня администратора.Обычно все программы запускаются со стандартным токеном доступа, даже если это сеанс администратора. Когда требуется токен уровня администратора, UAC предложит пользователю действие. Если текущий пользователь является администратором, появится запрос согласия с просьбой разрешить программе, о которой идет речь, вносить изменения в машину. Если пользователь не является администратором, появится запрос учетных данных с просьбой предоставить учетные данные администратора.

Стоит отметить, что в режиме по умолчанию UAC позволяет некоторым программам автоматически повышать свои привилегии без запроса согласия пользователя.Эти программы представляют собой исполняемые файлы Windows — определенные исполняемые файлы, которые поставляются с ОС, подписаны издателем Windows и находятся в защищенных каталогах, которые обычные пользователи не могут изменять. Логика автоматического повышения прав заключается в том, что встроенные исполняемые файлы, поставляемые с ОС, безопасны, и запрос пользователя на согласие на повышение их привилегий является неприятностью.

Имейте в виду, что для повышения прав требуются права администратора — обычные пользователи не могут предоставлять программам права высокого уровня. Однако в корпоративных средах подавляющее большинство пользователей не будет иметь прав администратора, что может нарушить функциональность приложений, не совместимых с UAC.Это наиболее часто встречается, когда устаревшие приложения пытаются выполнить запись в защищенную папку (например,% ProgramFiles%) или изменить некоторые значения реестра. Чтобы избежать этого, Windows передает программе собственную виртуализированную версию необходимого ресурса, которая сохраняется в профиле пользователя. Таким образом, приложение может продолжать работать без ущерба для ресурсов с высокими привилегиями.

Некоторые действия, требующие повышения привилегий:

  • Изменение файлов и папок с ограниченным доступом (например,% SystemRoot% и% ProgramFiles%)
  • Установка драйверов устройств
  • Редактирование значений реестра компьютера
  • Подтверждение общесистемных изменений

На поверхностном уровне UAC кажется довольно хорошим механизмом защиты от злонамеренных действий: он сводит на нет способность вредоносных программ использовать ресурсы с высокой степенью целостности и изменять состояние машины, а также контролирует бывшую нейтральную зону пользовательских привилегий.Тем не менее, примерно за десять лет с момента его появления были обнаружены бесчисленные методы обхода UAC и бэкдоры (MITER T1548.002: Bypass User Access Control), позволяющие злоумышленникам получить права администратора без согласия жертвы. Некоторые были исправлены, но многие все еще работают. Фактически, проект с открытым исходным кодом UACME реализует десятки таких обходов, из которых колоссальная 21 еще предстоит исправить.

В защиту Microsoft, UAC не должен был быть мерой защиты от вредоносных программ как таковой, а скорее функциональным инструментом, предназначенным для предотвращения того, чтобы забывчивые пользователи и плохо написанные программы скомпрометировали состояние конечной точки.Как мы увидим ниже, многие обходные пути UAC основаны на выборе конструкции, направленной на улучшение функциональности и удобства пользователей за счет защиты от вредоносных программ. Тем не менее, можно утверждать, что этот компонент может вызвать у пользователей ложное ощущение безопасности, искажая их суждения о программах, которые они выбирают для загрузки и выполнения.

Обходные методы можно разделить на две основные разновидности. В оставшейся части этой главы мы обсудим эти методы, а затем продемонстрируем их использование на практике.

Auto-Elevation

Как обсуждалось выше, UAC позволяет некоторым исполняемым файлам Windows автоматически повышать свои привилегии, когда администратор входит в систему. Это в основном предназначено для упрощения взаимодействия с пользователем и предотвращения чрезмерных запросов на повышение прав в кажущейся безопасной среде поставляемых исполняемых файлов с ОС.

Увы, злоумышленники могут воспользоваться этим предостережением и механизмами, позволяющими заставить ОС автоматически повышать уровень вредоносных процессов.

Перехват DLL

Помните, как процессы могут наследовать статус доступа или токен своих родителей? Злоумышленники могут воспользоваться этой функцией, обманом заставив процесс с высокой степенью целостности порождать свой вредоносный код.Один из способов реализовать это — перехват DLL. Хакер внедрит процесс автоматического повышения с вредоносным файлом DLL. Когда библиотека DLL запущена и пытается выполнить задачи с высоким уровнем привилегий, UAC разрешит это, поскольку она выполняется в процессе автоматического повышения.

Но как вообще можно внедрить DLL? Одним из распространенных способов является использование того, как программы загружают библиотеки DLL (MITER T1574.001: Перехват порядка поиска DLL). Когда программе необходимо загрузить определенную DLL, она будет искать ее в нескольких местах, включая: реестр (если путь к нему хранится как значение реестра), системный каталог, каталог Windows и текущий каталог.Злоумышленники могут предоставить вредоносную DLL вместо оригинальной и заставить программу запустить ее. Но, как упоминалось ранее, запись в эти каталоги требует повышенных привилегий!

К сожалению, существует множество обходных путей. Например, автономный установщик Центра обновления Windows (wusa.exe) можно использовать для распаковки файлов CAB в безопасные каталоги. WUSA может это сделать, потому что, как вы уже догадались, это исполняемый файл с автоматическим повышением уровня. Кроме того, COM-объект IFileOperation можно использовать для перемещения библиотеки DLL в желаемый защищенный каталог.Этот объект полагается на API статуса процесса (PSAPI) для определения контекста безопасности, в котором он работает. Но очевидно, что процесс может получить доступ к своему собственному дескриптору и изменить флаг, который PSAPI использует для оценки своего уровня целостности! Таким образом, поток атаки может быть следующим:

Рисунок 2: Возможный поток атаки обхода инъекции DLL

В настоящее время существует по крайней мере 5 известных нефиксированных обходов UAC для перехвата DLL.

Манипуляции с ключами реестра

Аналогично тому, как можно использовать поиск DLL для внедрения вредоносных библиотек DLL в исполняемые файлы с автоматическим повышением прав, значения реестра могут быть изменены для запуска вредоносного кода (MITER T1112: Modify Registry).Например, было обнаружено, что при создании исполняемого файла fodhelper.exe Windows он ищет несколько несуществующих значений реестра в пользовательском улье. И не просто значениями, а строками, представляющими команды для выполнения! Соответствующие ключи:

  • HKCU: \ Software \ Classes \ ms-settings \ shell \ open \ command
  • HKCU: \ Software \ Classes \ ms-settings \ shell \ open \ command \ DelegateExecute
  • HKCU: \ Software \ Classes \ ms-settings \ shell \ open \ command \ (по умолчанию)

Имейте в виду, что для редактирования значений реестра пользовательского куста требуются только стандартные привилегии, но команда будет выполняться в контексте автоматического повышения процесс.В настоящее время существует по крайней мере 5 известных способов обхода нефиксированных манипуляций с ключами UAC.

Отключение UAC

Вместо того, чтобы обходить UAC с помощью механизмов автоматического повышения прав, некоторые эксплойты позволяют злоумышленникам отключать UAC либо полностью, либо для определенного пользователя или сеанса. Одна из известных уязвимостей этого типа — CVE-2019-19894.

Эксплойт использует уязвимость в EasyInstall, также известном как IXP, который представляет собой инструмент управления удаленным рабочим столом, используемый для управления конечными точками и установки программного обеспечения в больших сетях.Обычно центральный сервер EasyInstall контролирует агенты, установленные на конечных точках сети.

В уязвимых версиях агент EasyInstall работает с правами администратора, но некоторые из его папок не защищены от записи. Проверенные злоумышленники могут изменять файлы программного обеспечения и потенциально скомпрометировать машину жертвы. В частности, файл конфигурации «IXPAS.IXP» указывал, должен ли агент включать или отключать UAC. Поскольку папки не были защищены от записи, файл можно было заменить модифицированной версией, помеченной агентом, чтобы отключить UAC.После перезагрузки компьютера UAC будет отключен для всех пользователей, пока компьютер не будет перезагружен еще раз.

В этой демонстрации мы покажем два способа обойти UAC на машине жертвы с Windows, используя Metasploit и MsfVenom на машине Kali Linux в качестве злоумышленника.

Рисунок 3: Схема демонстрационной сети

Шаг 1 — Начальная настройка

Во-первых, мы должны иметь возможность установить сеанс Meterpreter с целевой машиной. Один из подходов к начальному доступу с помощью Meterpreter был продемонстрирован в нашей статье о макро-атаках на Office.

Шаг 2 — Неспособность повысить привилегии

После того, как сеанс установлен, мы выполним getystem, чтобы попытаться повысить привилегии полезной нагрузки:

Рисунок 4: Неудачная попытка повысить уровень сеанса meterpreter

Команда завершилась неудачно, что означает привилегии не может быть поднят. После очередного сбоя мы переместили сеанс в фоновый режим и провели поиск обходов UAC, что привело к множеству результатов:

Рисунок 5: Поиск обходов UAC

Шаг 3 — Обход UAC с помощью отражающей инъекции DLL

Теперь мы продемонстрируем, как использование двух разных байпасов.Во-первых, мы использовали эксплойт bypassuac_injection, который работает аналогично описанному выше методу внедрения DLL. Эта полезная нагрузка, однако, использует отражающую инъекцию DLL, чтобы минимизировать занимаемое ею место. Полезная нагрузка используется для повышения уровня нашего фонового сеанса.

Рисунок 6. Настройка эксплойта «bypassuac_injection»

Обратите внимание на использование set target, set session и set payload для правильной настройки эксплойта. Теперь мы можем запустить его:

Рисунок 7: Запуск эксплойта «bypassuac_injection».Обратите внимание на успешную работу «getsystem».

Шаг 4 — Обход UAC при манипуляции с реестром (fodhelper.exe)

Очень похожим образом мы можем использовать эксплойт bypassuac_fodhelper. Эксплойт будет управлять некоторыми значениями реестра fodhelper, как описано выше, в результате чего процесс автоматического повышения создает экземпляр сеанса командной оболочки с повышенными правами (эксплойт был прикреплен к новому сеансу meterpreter, сеанс 1):

Рисунок 8: Настройка эксплойта «bypassuac_fodhelper»

И после выполнения:

Рисунок 9: Выполнение «bypassuac_fodhelper».Был открыт сеанс командной оболочки.

  • Управление привилегированными учетными записями — программы могут повышать или автоматически повышать права только в контексте сеанса пользователя с правами администратора. Если админ авторизован — ему будет предложено согласие. Если в систему вошел стандартный пользователь — для повышения уровня требуются учетные данные администратора. Следовательно, количество пользователей с правами администратора должно быть сведено к минимуму.
  • Конфигурация контроля учетных записей пользователей — в режиме по умолчанию UAC позволяет исполняемым файлам Windows автоматически повышаться.Однако установка значения «Всегда уведомлять» значительно снижает поверхность атаки.
  • Обновления программного обеспечения — обходы UAC исправляются регулярно, поэтому ОС следует поддерживать в актуальном состоянии.
  • Обнаружение — поскольку многие обходы полагаются на предсказуемое поведение, такое как определенные модификации реестра и внедрение DLL, они могут быть обнаружены и заморожены.
  1. MITER T1548.002: Обойти контроль доступа пользователей
  2. Механизм контроля над повышением уровня злоупотреблений: Обойти контроль доступа пользователей
  3. UACME — GitHub
  4. Microsoft Docs
    1. Microsoft Docs — Контроль учетных записей пользователей
    2. Windows 7
    3. Контроль учетных записей пользователей
    4. The COM Elevation Moniker
    5. Как работает контроль учетных записей пользователей
    6. Токены доступа
  5. https: // en.wikipedia.org/wiki/Access_token
  6. https://en.wikipedia.org/wiki/User_Account_Control
  7. https://www.fuzzysecurity.com/tutorials/27.html
  8. https://cqureacademy.com/cqure -labs / cqlabs-how-uac-bypass-methods-really-work-by-adrian-denkiewicz
  1. https://en.wikipedia.org/wiki/Superuser
  2. https://docs.microsoft.com /en-us/previous-versions/technet-magazine/cc138019(v=msdn.10)

Контроль учетных записей пользователей — обзор

Контроль учетных записей пользователей: режим утверждения администратором для встроенной учетной записи администратора Применяется только к встроенной учетной записи администратора, которая включает режим одобрения администратором UAC для нее, как и для других учетных записей администратора.Когда этот параметр отключен, встроенная учетная запись администратора в Vista действует как учетная запись администратора в XP, поэтому все процессы запускаются с правами администратора.

Управление учетными записями пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором По умолчанию установлено значение «Запрос согласия», этот параметр заставляет UAC запрашивать каждый раз, когда процессу требуется больше, чем стандартные права пользователя. Запрос учетных данных приводит к тому, что запросы UAC в режиме одобрения администратора ведут себя так же, как и обычный пользователь, при этом пользователь должен ввести пароль администратора, чтобы продолжить.Elevate без запроса снижает защиту UAC, автоматически предоставляя процессам административные привилегии.

Управление учетными записями пользователей: поведение запроса на повышение прав для стандартных пользователей В средах рабочих групп для этого параметра установлено значение Запрашивать учетные данные. Это заставляет UAC запрашивать у пользователя административное имя пользователя и пароль. В доменных средах Active Directory для этого параметра по умолчанию установлено значение Автоматически отклонять запросы на повышение прав, что отключает запрос UAC, поскольку обычные пользователи не должны знать имя пользователя и пароль администратора, и поэтому нет необходимости даже запрашивать их для этого.

Контроль учетных записей пользователей: обнаружение установок приложений и запрос на повышение прав Включен для сред рабочих групп и отключен в средах домена. Если этот параметр включен, UAC запрашивает учетные данные администратора каждый раз, когда пользователь пытается установить приложение, которое пытается внести изменения в защищенные части системы. Среды домена, которые используют установку программного обеспечения групповой политики (GPSI) или сервер управления системами (SMS), не должны требовать включения этого параметра.

Контроль учетных записей пользователей: повышать уровень только исполняемых файлов, которые подписаны и проверены. Отлично подходит для сред, в которых все приложения, включая внутренние программы, должны быть подписаны и проверены с помощью доверенного сертификата, повышающего безопасность. По умолчанию этот параметр отключен, что позволяет пользователям запускать любое приложение независимо от того, подписано оно или нет.

Контроль учетных записей пользователей: повышать права только для приложений UIAccess, которые установлены в безопасных местах. Включенный по умолчанию, этот параметр заставляет Windows Vista предоставлять доступ к пользовательскому интерфейсу только тем приложениям, которые выполняются из Program Files, каталога \ Windows \ System32. , или из одного из его подкаталогов.Этот параметр запрещает любому пользователю, не являющемуся администратором, загружать и запускать приложение. Это связано с тем, что у обычных пользователей не будет необходимых прав для копирования исполняемого файла в одно из этих мест.

Контроль учетных записей пользователей: запускать всех администраторов в режиме утверждения администратором. Включенный по умолчанию, этот параметр заставляет все учетные записи администраторов, за исключением встроенной учетной записи, использовать режим утверждения администратором.

Контроль учетных записей пользователей: переключение на безопасный рабочий стол при запросе на повышение прав. Включенный по умолчанию, этот параметр заставлял экран затемняться в фоновом режиме при появлении запроса UAC.Это затемнение мешает вредоносным программам эмулировать приглашение UAC.

Контроль учетных записей пользователей: виртуализировать сбои записи файлов и реестра для отдельных пользователей. Включенный по умолчанию, этот параметр улучшает совместимость со старыми приложениями, которые не были разработаны для UAC, путем перенаправления запросов на защищенные ресурсы.

Отключение контроля учетных записей пользователей (UAC) — онлайн-поддержка GFI FaxMaker

В этой статье подробно описано, как отключить контроль учетных записей пользователей (UAC) на серверах Microsoft Windows.

Microsoft Windows Server 2008

  1. Выберите Пуск> Панель управления.
  2. Выберите «Учетные записи пользователей»> «Включение или отключение контроля учетных записей пользователей».
  3. Снимите флажок «Использовать контроль учетных записей пользователей» (UAC) для защиты компьютера и нажмите «ОК».
  4. Перезагрузите компьютер, чтобы изменения вступили в силу.

Microsoft Windows Server 2008 R2

  1. Выберите Пуск> Панель управления.
  2. Выберите «Учетные записи пользователей»> «Изменить настройки управления учетными записями пользователей».