Как включить или отключить Контроль учетных записей UAC в Windows 10

Контроль учетных записей (сокращение UAC) — это встроенный инструмент в системе Виндовс, показывающий уведомления о внесении изменений в систему приложением или программой, а также самим пользователем, тем самым предупреждая и защищая систему от проникновения вредоносного ПО.

Данный инструмент был внедрен в Windows Vista и присутствует, как в Виндовс 8, 8.1, а также в Виндовс 7 и 10. По умолчанию контроль учетных записей в системах включен. Но если он отключен по какой-либо причине, вам поможет любой из описанных ниже способов его включить или настроить.

Как включить контроль учетных записей на Windows 8

Что такое UAC

Эту функцию можно считать информационной. Она уведомляет пользователя при выполнении действия для которого нужны права Администратора системы. При этом на экране появляется сообщение характера: “Разрешить следующей программе внести изменения на этом компьютере?”. Можно подтвердить или запретить эту манипуляцию.

Для чего используется

Контроль учетных записей внедрили для защиты ОС от запуска вредоносного кода. Благодаря ему пользователь в курсе важных событий в отношении программ: установки, удалении, модификации. Обратная сторона медали: не каждый разберется, что именно запрашивает UAC. Новичков это сбивает с толку.

Включение UAC в Windows 7

Вместе с включением функции обеспечения безопасности активация UAC подразумевает постоянное появление окна подтверждения выполнения действия, как правило, запуска программы/установщика. Благодаря этому многие вредоносные приложения в фоне не смогут запустить важные системные компоненты или «тихую» инсталляцию, поскольку UAC запросит подтверждение на эти действия. Стоит понимать, что этот способ вовсе не убегает юзера на 100% от угроз, но в комплексе будет полезным средством.

Способ 1: «Панель управления»

Через «Панель управления» можно быстро попасть в настройку необходимого параметра. Следуйте инструкции ниже:

1. Откройте «Панель управления» через меню «Пуск».

Перейдите в раздел «Учетные записи пользователей».

На этой странице нажмите по ссылке «Изменение параметров контроля учетных записей».

Вы увидите шкалу частоты выдачи уведомлений о вносимых изменениях в Windows. По умолчанию регулятор находится в самом низу. Тяните его вверх до указанных меток.

• Как отключить Контроль учётных записей пользователей (UAC) в Windows 7

Каждая метка присваивает разную степень реагирования UAC, поэтому обязательно читайте информацию правее: там указано, в каких случаях вы будете получать уведомления и какой именно выбор в какой ситуации рекомендуется.

Система выдаст уведомление о необходимости перезагрузки компьютера для активации UAC.

Обратите внимание, если вы хотите настроить уровень поведения UAC еще выше (например, с вводом данных от администраторской учетной записи) или отключение затемненного фона рабочего стола, сделать это через данное окно не получится. Воспользуйтесь рекомендациями из Причины 4, что находится в конце этой статьи. Там рассказывается о том, как более детально редактировать поведение окна UAC через системное приложение «Локальная политика безопасности».

Способ 2: Меню «Пуск»

Гораздо быстрее можно попасть в окно, указанное в шаге 3 предыдущего способа, если открыть «Пуск» и нажать левой кнопкой мыши по картинке с вашим профилем.

После этого останется перейти по ссылке «Изменение параметров контроля учетных записей» и выполнить те же манипуляции, что указаны в шагах 4-6 Способа 1.

Способ 3: «Выполнить»

Через окно «Выполнить» также можно быстро перейти сразу же к окну редактирования уровня оповещений UAC.

1. Комбинацией клавиш Win + R запустите окно «Выполнить». Напишите в нем команду UserAccountControlSettings.exe и нажмите «ОК» либо Enter на клавиатуре.
2. Вы увидите окно, в котором следует перемещением регулятора включить и установить частоту оповещений. Подробнее об этом написано в шагах 4-5 Способа 1.

После выполнения этих действий перезапустите компьютер.

Способ 4: «Конфигурация системы»

Через стандартную утилиту «Конфигурация системы» также можно включить UAC, однако здесь нельзя будет выбрать уровень работы этой функции. По умолчанию будет назначена самая высокая степень реагирования.

1. Нажмите сочетание клавиш Win + R и напишите в окне msconfig. Кликните на «ОК».
2. Переключитесь на вкладку «Сервис», выделите одинарным кликом мыши средство «Настройка контроля учетных записей пользователей», нажмите «Запуск», а затем «ОК».

Перезапустите ПК.

• Отключение контроля учетных записей для конкретного приложения в Win 7-10

Способ 5: «Командная строка»

Пользователям, привыкшим работать с CMD, пригодится этот способ.

1. Откройте консоль, развернув меню, найдя через поиск приложение «Командная строка» и запустив его от имени администратора. Вы также можете запустить ее, вызвав окно «Выполнить» клавишами Win + R и написав cmd в соответствующем поле.
2. Впишите команду C:WindowsSystem32cmd.exe /k %windir%System32reg.exe ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem /v EnableLUA /t REG_DWORD /d 1 /f и нажмите Enter.
3. Появится уведомление об успешном включении.

Останется перезагрузить систему.

Способ 6: «Редактор реестра»

Утилита «Редактор реестра» позволяет выполнять практически любые манипуляции с операционной системой, поэтому пользоваться ей следует очень осторожно. Однако включить UAC через нее не составит труда, и именно этот способ будет эффективнее остальных в случае блокировки включения этой функции вирусами.

Отключение UAC Windows 10 в Панели управления

Способ отключить или изменить UAC самый быстрый и не требующий запуска каких-либо команд. Чтобы им воспользоваться, необходим открыть Панель управления. Сделать это можно, нажав правой кнопкой мыши на Пуск и выбрав Панель управления.

Пуск — Панель управления

В Панели управления находим раздел Учетные записи пользователей.

Учетные записи пользователей

Далее открываем подраздел с таким же названием.

Учетные записи пользователей

Следующее окно — страница Управления Вашей учетной записью. Нажимаем на ссылку Изменить параметры контроля учетных записей.

Изменить параметры контроля учетных записей

Теперь самое главное. Чтобы полностью отключить UAC тащим бегунок левой кнопкой мыши в самый низ и нажимаем OK.

Отключение UAC

Но я от себя рекомендую не делать этого, а попробовать для начала поставить бенунок хотя бы на один уровень выше. Это позволит оставить защиту компьютера включенной и работающей пусть даже не так эффективно как в верхнем положении.

Рекомендуемый уровень UAC

Зачем отключать UAC?

Отключать стоит в том случае, если надоели постоянные запросы об изменениях в системе. Это касается неопытных пользователей, которым все равно трудно каждый раз оценивать адекватность запроса, они и так не разберутся, будет совершаться рутинное действие или это вирус “ломает” ОС.

В исключительных случаях Контроль учётной записи деактивируют, чтобы избавиться от сбоев конкретной программы. При таких обстоятельствах после устранения неполадки с проблемным приложением UAC активируют опять.

Что такое UAC

Начиная с Vista, в Windows появляется новый механизм защиты под названием UAC или контроль учетных записей. Зачем же нужен UAC и как он работает? По сути это функция, которая позволяет предотвращать самопроизвольное выполнение исполняемых файлов в системе, запрашивая у администратора разрешение на операции, способные внести более или менее существенные изменения в работу системы, программ или учетных записей других пользователей. В данный момент этот механизм защиты используется во всех последних версиях Windows.

• Как отключить UAC? И стоит ли отключать? В» Поддержка пользователей Windows 7-XP

Внешне работа контроля учетных записей в Windows 7/10 проявляется в том, что в момент запуска процесса появляется окошко с просьбой подтвердить требующее права администратора действие.

При этом рабочий стол переключается в защищенный режим, не позволяя пользователю взаимодействовать с другими приложениями. Исключение делается только для встроенной учетной записи Администратора, не ограничиваемой UAC, но она по умолчанию отключена.

Польза UAC очевидна – если бы его не было, при работе пользователя в учетной записи администратора запуститься с более высокими правами мог бы любой вирус. Конечно, UAC не является панацеей, но остановить такой несанкционированный запуск исполняемого файла он вполне способен. Тем не менее, многие пользователи не жалуют UAС, и главная тому причина – его назойливость. Поэтому неудивительно, что у рядовых юзеров часто возникает вопрос, как отключить контроль учетных записей пользователей в Windows 7/10.

Видео: как отключить UAC

Отключение режима User Account Control может привести к тому, что вы случайно запустите процесс, который внесёт изменения в работу системы и приведёт к её поломке. Поэтому, если отключите UAC, будьте предельно осторожны в своих действиях: не запускайте программы, которые кажутся подозрительными и не редактируйте безрассудно различные папки и файлы, находящиеся на диске с операционной системой.

• Автор: Денис Долгополов
• Распечатать

Оцените статью:

1. 5
2. 4
3. 3
4. 2
5. 1

(2 голоса, среднее: 2.5 из 5)
Поделитесь с друзьями!

Способы отключения UAC

UAC Windows 10 отключить можно многими способами, как в седьмой или восьмой версии. Разберем их по отдельности от простых к более сложным.

Используем панель управления

На примере десятой версии Виндовс все выполняется так:

• клик правой кнопкой мышки на Пуск, выбор в контекстном меню строки “Панель управления”;
• в верхней части появившегося окна в блоке “Просмотр” установите “Значки”, а “Категории”;
• в основной части окна отыщите и зайдите в “Учетные записи пользователей”;
• клик на строке “Изменить параметры контроля” – она находится в нижней части окна;
• в новом окне передвиньте ползунок на самую нижнюю позицию и сохраните изменения нажатием на “ОК”;
• система спросит, нужно ли выполнить запись новых настроек – подтвердите действие.

Есть быстрый способ попасть в необходимое меню Панели управления. Для этого:

• зажмите комбинацию Win+R;
• скопируйте команду UserAccountControlSettings;
• подтвердите запуск нажатием на Enter.

Итог – откроется окно “Параметры управления учетными …”.

Как отключить службу при помощи командной строки

Чтобы UAC Windows 7 отключить, действуйте по следующему алгоритму:

• зажмите комбинацию Win+R, скопируйте в окошко команду cmd, запустите ее нажатием на Enter;
• запустите его нажатием на Enter;
• перезагрузите компьютер, чтобы настройки вступили в силу.

Отключение UAC в Windows 10 через реестр

Для этого делайте такие шаги:

• зажмите комбинацию Win+R, введите команду regedit и нажмите Enter – запустится Редактор реестра;
• в левой панели Редактора следуйте по пути HKEY_LOCAL_MACHINE => SOFTWARE => Microsoft => Windows => CurrentVersion => Policies => System;
• двойным кликом измените значения следующих параметров в правой панели Редактора: PromptOnSecureDesktop, EnableLUA, ConsentPromptBehaviorAdmin, а требуемые новые параметры следовательно: 0, 1, 0;
• после каждого изменения параметра сохраняйте изменения кликом на “ОК”;
• чтобы настройки активировались перегрузите компьютер.

Как отключить UAC для определенной программы в Windows 10? Есть способ, для которого нужно править реестр. Итог – программа будет запускаться и/или изменять системные настройки без оповещений со стороны UAC, хотя он не будет отключен в рамках всей системы. Действовать нужно в такой последовательности:

1. В Редакторе реестра перейдите в следующую ветку: HKEY_CURRENT_USER => SOFTWARE => Microsoft => Windows NT => CurrentVersion => AppCompatFlags => Layers.
2. В правой части окна клик правой кнопкой мышки на пустом пространстве: “Создать” => “Строковый параметр”. У этого параметра должно быть название, которое совпадает с путем к исполняемому файлу. Например, для Скайпа это будет C:Program FilesCPUIDSkypeSkype.exe. В каждом случае нужно заходить в папку с установленным приложением и копировать содержимое адресной строки.
3. После создания параметра кликнуть правой кнопкой мышки => “Изменить”. Откроется окно и в строку “Значение” скопируйте RunAsInvoker, сохраните изменения нажатием на “ОК”. Теперь UAC не станет надоедать при открытии этого приложения.

Если нужно отключить Контроль для нескольких приложений, то процедуру можно упростить. Для этого:

• создаете текстовый документ;
• копируете в негоWindows Registry Editor Version 5.00[HKEY_CURRENT_USERSOFTWAREMicrosoftWindows NTCurrentVersionAppCompatFlagsLayers]“C:\Program Files\Skype\Skype.exe”=”RUNASINVOKER”
• в этом примере “C:\Program Files\Skype\Skype.exe” замените на путь к исполняемому файлу, в отношении которого отключается UAC;
• обратите внимание, что используются двойные наклонные черточки;
• изменяете расширение файла на .reg;
• двойной клик на этом файле и подтвердите внесение изменений нажатием на “Да”.

Отключение UAC в Windows 10 с помощью сторонних утилит

Подойдет утилита UAC Tweak. Запустите ее после скачивания и установки. Если возникнет ошибка, то зайдите в свойства исполняемого файла и активируйте режим совместимости с Windows Vista. После старта UAC Tweak появится окно, подобное настройкам Контроля учетных записей в Панели управления, но в более лаконичной форме. Нужно только поставить отметку напротив нижней строчки.

Панель управления

Отключение UAC Windows 7 выглядит так:

1. Пуск ­— Панель управления.
2. «Учётные записи пользователей».
3. «Изменение параметров учётных записей».
4. Откроется окно с описаниями и ползунком. Передвигайте его, чтобы задать желаемые настройки. С правой стороны будет пояснение к выбранной опции.
5. Там есть четыре о означает, что диалоговое окно-предупреждение будет всплывать при запуске абсолютно любой программы.
6. Если вам нужно полностью отключить UAC, передвиньте «каретку» на нижнее деление «Никогда не уведомлять». Но тогда риск заражения вирусными программами увеличится, и Windows будет под угрозой.
7. Лучше оставить ползунок где-то посередине. Чтобы контроль учётных записей уведомлял вас, только когда приложение пытается что-то поменять в системе. Если поставите прямоугольник на третью позицию, при появлении сообщения картинка на мониторе будет темнеть. Если поставите на второе деление, дисплей темнеть не будет.

Настройте, в каких случаях показывать уведомления

Войти в это меню и отключить UAC можно и быстрее.

1. Нажмите «Пуск».
2. Кликните на изображение вашей учётной записи наверху.

В Windows Vista такого ползунка нет. Соответственно, детальная настройка функции невозможна. Доступно только включение и отключение режима.

Изменение параметров UAC в редакторе реестра

Отключение UAC и выбор любого из четырех вариантов работы контроля учетных записей Windows 10 возможен и с помощью редактора реестра (чтобы запустить его нажмите Win+R на клавиатуре и введите regedit).

Параметры работы UAC определяются тремя ключами реестра, находящимися в разделе HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Policies System

Перейдите в этот раздел и найдите следующие параметры DWORD в правой части окна: PromptOnSecureDesktop, EnableLUA, ConsentPromptBehaviorAdmin. изменять их значения можно по двойному клику. Далее привожу значения каждого из ключей в том порядке, как они указаны для разных вариантов оповещений контроля учетных записей.

1. Всегда уведомлять — 1, 1, 2 соответственно.
2. Уведомлять при попытках приложений изменить параметры (значения по умолчанию) — 1, 1, 5.
3. Уведомлять без затемнения экрана — 0, 1, 5.
4. Отключить UAC и не уведомлять — 0, 1, 0.

Думаю, тот, кому можно посоветовать отключение UAC при определенных обстоятельствах, сможет разобраться что к чему, это не сложно.

Как и почему может появиться окно UAC

Есть несколько возможных сценариев, которые могут привести к появлению окна UAC:

• При попытке установки/удаления программ
• При попытке открыть системную утилиту, такую как MSConfig или Regedit (редактор реестра)
• Любой вид программ, которые пытаются получить доступ к системным компонентам, или проверить наличие обновлений для сторонних инструментов, или изменить системное время
• При попытке удалить/добавить каталоги в папке «Program Files» или в системном каталоге (обычно C:\Windows)
• Последнее, но не менее важное. Окно UAC показывается только тогда, когда вы инициируете процесс, такой как установка/обновление/удаление программного обеспечения, драйверов, плагинов или в некоторых случаях при запуске программ (например, играх), а так же при установки обновлений Windows. И это все. Если окно UAC появляется тогда, когда вы ничего не сделали, то вероятно в вашей системе присутствует вредоносная программа.

Примечание: Тем не менее, в зависимости от настроек, окна UAC могут и не показываться. Например, если вы настроили запрет на повышение прав для обычных пользователей. Но, об этом далее.

Способы отключения

Для менее распространенных версий ОС Windows полностью отключить Контроль можно по подобному алгоритму, что и для более популярных Виндовс.

Windows Server 2012

Чтобы в Windows Server 2012 UAC отключить Windows выполняйте следующее:

• Зайдите в “Панель управления”, “Учетные записи …”, “Изменение параметров …”.
• В новом окне клик на “Включение или отключение …” => “Продолжить”.
• Снимите отметку с “Использовать контроль учетных …”, сохраните изменения кликом на “ОК”.
• Система сделает запрос на перезагрузку. Если уже сейчас нужно деактивировать UAC, то выберите пункт “Перезапустить потом”.

Windows Vista

1. Зажмите комбинацию Windows+R, введите в окне msconfig, запустите нажатием на Enter.
2. В возникшем окне перейдите на вкладку “Сервис”.
3. В списке найдите пункт “Отключить контроль учетных записей …”.

Все способы отключения UAC

Ну а теперь вернемся к тому, как отключить UAC в Windows 7/10. Самый очевидный способ – через интерфейс. Получить доступ к нужным настройкам можно через апплет «Учетные записи пользователей» в Панели управления, но, чтобы далеко не ходить, можно выполнить в окошке Run (Win+R) команду UserAccountControlSettings (она работает в Windows 7, 8, 8.1 и 10).

Доступны четыре режима работы UAC:

• Первый режим производит отключение контроля учетных записей, запросы при выполнении любых действий не появляются.
• При работе во втором режиме система запрашивает разрешение на запуск программ, но рабочий стол не затемняется.
• Третий режим установлен по умолчанию. Запрашивается разрешение на выполнение программ с переводом рабочего стола в безопасный режим.
• Четвертый режим включает максимальный уровень защиты, механизм срабатывает не только в случае запуска программ, но и при попытке внесения изменений в настройки самим администратором.

Чтобы отключить UAC, перетащите ползунок в самый низ и нажмите «ОК». Если система того потребует, перезагрузите компьютер.

Отключение UAC через реестр

Откройте редактор реестра командой regedit и разверните эту ветку:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System

Отыщите в правой колонке параметр EnableLUA и измените его значение с 1 на 0, сохраните настройки и перезагрузитесь.

Обратите также внимание на параметры PromptOnSecureDesktop (0 отключает только затемнение) и ConsentPromptBehaviorAdmin (1 включает максимальный уровень защиты с требованием пароля).

Использование командной строки

Те же самые действия можно выполнить с помощью запущенной от имени администратора командной строки. В данном примере команда полного отключения UAC будет такой:

C:/Windows/System32/cmd.exe /k %windir%/System32/reg.exe ADD HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System /v EnableLUA /t REG_DWORD /d 0 /f

Первая часть команды – это путь к файлу управления реестром, вторая – редактируемый ключ, EnableLUA – отвечающий за отключение UAC параметр, 0 – его новое значение. Подставив на место параметра и его значения иные данные, вы можете изменить настройки других режимов UAC (смотрите выше). Как и в случае внесения изменений через реестр, понадобится перезагрузка компьютера.

Локальные групповые политики

Отключить UAC можно также с помощью редактора локальных групповых политик. Запустите его командой gpedit.msc и перейдите по пути Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Локальные политики – Параметры безопасности.

В правой колонке есть много политик управления параметрами контроля учетных записей, но для отключения UAC вам нужен только один – все администраторы работают в режиме одобрения администратором. Кликните по нему дважды и установите радиокнопку в диалоговом окошке в положение «Отключен», а затем перезагрузите компьютер.

Руководство по контролю учетных записей пользователей (UAC)

Контроль учетных записей (User Account Control), вероятно, является самой недооцененной и, возможно, даже самой ненавистной многими функцией, которая дебютировала в Висте и стала частью всех последующих версий Windows. По большей части поток ненависти, который пользователи выплескивают на User Account Control, я считаю незаслуженным, поскольку функция несет реальную пользу. Я полностью согласен, что иногда контроль учетных записей (далее по тексту просто UAC) может быть весьма раздражающим, но он был внедрен в Windows с определенной целью. Нет, не для того чтобы мешать пользователям, а чтобы способствовать плавному переходу от стандартного (ограниченного) аккаунта к учетной записи администратора.

В этой статье я расскажу, что такое UAC, как он работает, почему он необходим и как его настроить. Я не имею никакого намерения давать вам наставления, почему вы должны использовать UAC, а лишь проинформирую о том, чего вы лишаетесь, отключая эту функцию.

Немного предыстории и информация об учетных записях

Как вы должны знать, Windows работает с так называемыми учетными записями. Они бывают двух видов: администраторские и стандартные (ограниченные).

Учетная запись администратора дает пользователю полный доступ ко всем функциям операционной системы, т.е. пользователь может делать все, что он хочет. Пользователь стандартной учетной записи располагает пониженными правами, а потому ему позволены лишь некоторые вещи. Это, как правило, все то, что влияет только на текущего пользователя. Например: смена обоев на рабочем столе, настройки мыши, изменение звуковой схемы и т.д. В общем, все, что касается конкретного пользователя и не применяется ко всей системе, доступно в стандартной учетной записи. Для всего, что может повлиять на систему в целом, необходим администраторский доступ.

Одна из задач, возложенных на эти учетные записи, заключается в защите от вредоносного кода. Общая идея здесь выражена в том, чтобы обычную работу пользователь выполнял под ограниченной учетной записью и переключался на аккаунт администратора, только когда этого требует действие. Как это ни парадоксально, но вредоносные программы получают тот же уровень прав, с которым пользователь произвел вход в систему.

В Windows 2000 и Windows XP выполнение действий от имени администратора реализовано не достаточно гибко, а потому работать под ограниченной учетной записью было не очень удобно. Один из способов выполнить администраторское действие в этих версиях системы выглядит так: выход из ограниченной учетной записи (или быстрое переключение, если использовалась Windows XP) -> вход в аккаунт администратора -> выполнение действия -> выход из учетки администратора (или быстрое переключение, если использовалась Windows XP) -> возврат в ограниченную учетную запись.

Другой вариант заключается в использовании контекстного меню и опции «Запустить от имени другого пользователя», которая открывает окно, в котором необходимо указать соответствующий администраторский аккаунт и пароль, чтобы запустить файл от имени администратора. Это достаточно быстрый способ переключения с одной учетки на другую, но он не применим к любой ситуации, требующей административных привилегий. Еще одна проблема этого метода заключается в том, что учетная запись администратора должна иметь пароль, иначе выполнение завершится неудачей.

Вот почему в Windows Vista была внедрена функция User Account Control, а в Windows 7 была доведена почти до совершенства.

Что такое UAC

UAC – это функция в Windows Vista, 7, 8, 8.1 и 10, которая имеет цель сделать переход из ограниченной среды в администраторскую максимально гладким и беспроблемным, устраняя необходимость запускать файлы с правами администратора вручную или переключаться между учетными записями. Кроме того, UAC – это дополнительный слой защиты, который не требует почти никаких усилий со стороны пользователя, но способен предотвратить серьезный ущерб.

Как работает UAC

При входе пользователя в свою учетную запись Windows создает так называемый user access token, который содержит определенные сведения о данной учетной записи и главным образом различные идентификаторы безопасности, которые операционная система использует для управления возможностями доступа этого аккаунта. Другими словами, этот token является своего рода личным документом (как паспорт, например). Это относится ко всем версиям Windows на основе ядра NT: NT, 2000, XP, Vista, 7, 8 и 10.

Когда пользователь входит в стандартную учетную запись (ограниченную), создается standard user token с ограниченными правами. Когда пользователь входит в администраторский аккаунт, создается т.н. administrator token с полным доступом. Логично.

Однако в Windows Vista, 7, 8 и 10, если UAC включен и пользователь входит в учетную запись администратора, Windows создает два token’а. Администраторский остается на заднем плане, а стандартный используется для запуска Explorer.exe. То есть Explorer.exe запускается с ограниченными правами. При этом все запущенные после этого процессы становятся субпроцессами Explorer.exe с унаследованными ограниченными привилегиями основного процесса. Если процессу требуются права администратора, он запрашивает администраторский token, а Windows в свою очередь спрашивает разрешения пользователя предоставить процессу этот token в виде специального диалогового окна.

Это диалоговое окно содержит так называемый безопасный рабочий стол (secure desktop), доступ к которому имеет только операционная система. Он выглядит как затемненный снимок реального рабочего стола и содержит только окно подтверждения администраторских прав и, возможно, языковую панель (если активировано более одного языка).

Если пользователь не согласится и нажмет «Нет», Windows откажет процессу в администраторском token’е. А если согласится и выберет «Да», операционная система предоставит процессу необходимые ему привилегии, а именно, администраторский token.

Если процесс уже запущен с пониженными правами, он будет перезапущен с таковыми повышенными (администраторскими). Процесс не может быть «понижен» или «повышен» напрямую. После того как процесс был запущен с одним token’ном, он не сможет получить других прав до тех пор, пока снова не будет запущен с новыми правами. В качестве примера можно привести Диспетчер задач, который всегда запускается с ограниченными правами. Если вы нажмете кнопку «Отображать процессы всех пользователей», Task Manager будет закрыт и снова запущен, но уже с правами администратора.

При использовании стандартной учетной записи UAC просит указать конкретный администраторский аккаунт и ввести пароль:

Как UAC защищает пользователя

Сам по себе UAC не обеспечивает особую защиту. Он всего лишь облегчает переход из ограниченной среды в таковую администраторскую. Так что более правильная постановка вопроса, следовательно, такова: как ограниченная учетная запись препятствует пользователю. Под ограниченным профилем пользователя процессы не могут получить доступ к определенным системным зонам:

• основной раздел диска;
• пользовательские папки других пользователей в папке \Users\;
• папка Program Files;
• папка Windows и все ее подпапки;
• разделы других учетных записей в системном реестре
• раздел HKEY_LOCAL_MACHINE в системном реестре.

Любой процесс (или вредоносный код) без прав администратора не может влезть глубоко в систему, не имея доступа к необходимым папкам и ключам реестра, а потому не может нанести серьезный ущерб системе.

Может ли UAC помешать работе старых программ, которые официально не совместимы с Vista/7/8/10

Не должен. Когда UAC включен, также включена и виртуализация. Некоторые старые и/или просто небрежно написанные программы не используют правильные папки для хранения своих файлов (настройки, журналы и т.д.). Правильные папки – это папки в каталоге AppData, которые есть у каждой учетной записи и где каждая программа может создать папку для хранения там всего, что пожелает.

Некоторые программы пытаются сохранить свои файлы в Program Files и/или Windows. Если программа запускается с правами администратора, это не будет проблемой. Однако если программа выполняется с ограниченными разрешениями – она не сможет внести изменения в файлы/папки в Program Files и/или Windows. Операционная система просто не позволит ей этого.

Дабы предотвратить проблемы с такими программами, Windows предлагает виртуализацию папок и ключей реестра, к которым программы с ограниченными правами не имеют доступа в принципе. Когда подобная программа пытается создать файл в защищенной папке, то операционная система перенаправляет ее в специальную папку VirtualStore, которая находится в X:\Users\<�имя-вашего-профиля>\AppData\Local\ (где X: это системный раздел, обычно – C:). Т.е. глазами самой программы все в порядке. Она не сталкивается с препятствиями и считает, что создает файлы/папки точно там, где хочет. VirtualStore обычно содержит вложенные папки Program Files и Windows. Вот скриншот Program Files в моей папке VirtualStore:

А вот, что находится в папке SopCast, например:

Т.е. если бы UAC был остановлен, или программа всегда запускалась с правами администратора, эти файлы/папки были бы созданы в C:\Program Files\SopCast. В Windows XP эти файлы и папки были бы созданы без проблем, потому что в ней все программы имеют права администратора по умолчанию.

Это, конечно, не должно рассматриваться разработчиками в качестве постоянного решения. Обязанность каждого автора заключается в создании полностью совместимого с актуальными операционными системами софта.

Диалоговые окна UAC

Вы могли заметить, что существует всего три различных диалоговых окна UAC. Тут мы рассмотрим таковые в Windows 7, 8.x и 10. В Vista диалоги несколько отличаются, но мы не будем на них останавливаться.

Первый тип окна имеет темно-синюю полоску в верхней части и иконку в виде щита в левом верхнем углу, которая разделена на 2 синие и 2 желтые секции. Это окно появляется, когда требуется подтверждение для процесса с цифровой подписью, которая принадлежит операционной системе – т.н. Windows binaries. О них поговорим ниже.

Второй тип окна тоже с темно-синей лентой, но икона щита полностью синяя и с вопросительным знаком. Это окно появляется, когда требуется подтверждение для процесса с цифровой подписью, но процесс/файл не принадлежит операционной системе.

Третье окно оформлено оранжевой полосой, щит также оранжевый, но с восклицательным знаком. Этот диалог появляется, когда требуется подтверждение для процесса без цифровой подписи.

Настройки UAC

Настройки (режимы работы) контроля учетных записей находятся в Панель управления -> Система и безопасность -> Изменение параметров контроля учетных записей. Их всего 4:

Всегда уведомлять – самый высокий уровень. Этот режим эквивалентен способу работы UAC в Windows Vista. В этом режиме система всегда требует подтверждения прав администратора, независимо от процесса и что он требует.

Второй уровень используется по умолчанию в Windows 7, 8.x и 10. В этот режиме Windows не выводит окно UAC, когда дело доходит до так называемых Windows binaries. Т.е. если файл/процесс, который требует прав администратора, отвечает следующим 3 условиям, операционная система наделит его ими автоматически, без подтверждения со стороны пользователя:

• файл обладает встроенным или в виде отдельного файла манифестом (manifest), который указывает на автоматическое повышение прав;
• файл находится в папке Windows (или в любой из ее подпапок);
• файл подписан действительной цифровой подписью Windows.

Третий режим такой же, как второй (предыдущий), но с той разницей, что при нем не используется безопасный рабочий стол. То есть экран не затемняется, а диалоговое окно UAC появляется как и любое другое. Майкрософт не рекомендует использовать этот вариант, а почему – я объясню позже.

Не уведомлять меня – четвертый и последний уровень. Фактически это означает полное отключение UAC.

Здесь уместно сделать два замечания:

• цифровая подпись Windows относится конкретно к операционной системе. Я говорю это, потому что существуют и файлы, которые были подписаны цифровой подписью Microsoft. Это две отдельные подписи, при этом UAC признает только цифровую подпись Windows, поскольку она выступает в качестве доказательства, что файл не только от Microsoft, но и является частью операционной системы.
• не все файлы Windows располагают манифестом для автоматического повышения прав. Есть файлы, которые намеренно лишены этого. Например, regedit.exe и cmd.exe. Понятно, что второй лишен автоматического повышения, потому что очень часто используется для запуска других процессов, а как уже упоминалось – каждый новый процесс наследует права процесса, который его запустил. Это означает, что каждый мог бы использовать командную строку для беспроблемного запуска любых процессов с правами администратора. К счастью, в Microsoft не дураки сидят.

Почему важно использовать безопасный рабочий стол

Безопасный рабочий стол предотвращает любые возможные помехи и влияния других процессов. Как уже упоминалось выше, доступ к нему есть только у операционной системы и с ним она принимает только базовые команды со стороны пользователя, то есть нажатие кнопки «Да» или «Нет».

Если вы не используете безопасный рабочий стол, злоумышленник может сымитировать окно UAC, чтобы ввести вас в заблуждение и запустить свой вредоносный файл с правами администратора.

Когда нужны права администратора? Когда появляется окно UAC?

Вообще есть три случая, при которых UAC обращается к пользователю:

• при изменении системных (не пользовательских) настроек, хотя на самом деле это относится только к максимальному уровню UAC;
• при установке или удалении программы/драйвера;
• когда приложение/процесс требует привилегии администратора, чтобы внести изменения в системные файлы/папки или разделы системного реестра.

Почему важно не отключать UAC

Контроль учетных записей пользователей обеспечивает высокий уровень защиты, а взамен не требует практически ничего. То есть коэффициент полезного действия UAC очень высок. Я не понимаю, почему он так раздражает людей. В повседневной работе среднестатистический пользователь видит окно UAC 1-2 раза в день. Может быть, даже 0. Это так много?

Среднестатистический пользователь редко изменяет параметры системы, а когда изменяет, UAC не беспокоит своими вопросами, если работает с настройками по умолчанию.

Среднестатистический пользователь не устанавливает драйверы и программы каждый день. Все драйверы и большинство необходимых программ устанавливаются один раз – после установки Windows. То есть это основной процент запросов UAC. После этого UAC вмешивается только при обновлении, однако новые версии программ выходят далеко не каждый день, не говоря уже о драйверах. Более того, многие вообще не обновляют ни программы, ни драйверы, что дополнительно снижает вопросы UAC.

Очень немногим программам нужны права администратора для выполнения своей работы. Это в основном дефрагментаторы, инструменты для очистки и оптимизации, некоторые программы для диагностики (AIDA64, HWMonitor, SpeedFan и др.) и настройки системы (Process Explorer и Autoruns, например, но только если нужно выполнить что-то специфичное – скажем, отключить драйвер/службу или стартующую с Windows программу). И все это программы, которые либо можно не использовать вообще, либо в редких случаях. Все часто используемые приложения работают с UAC абсолютно нормально и не задают никаких вопросов:

• мультимедийные плееры (аудио и/или видео);
• конвертеры видео/аудио;
• программы для обработки изображений/видео/аудио;
• программы для захвата скриншотов рабочего стола или видеозаписи на нем;
• программы для просмотра изображений;
• веб-браузеры;
• загрузчики файлов (download-менеджеры и клиенты P2P-сетей);
• FTP-клиенты;
• мессенджеры или программы для голосовой/видео связи;
• программы для записи дисков;
• архиваторы;
• текстовые редакторы;
• PDF-ридеры;
• виртуальные машины;
• и др.

Даже установка обновлений Windows не задействует окно UAC.

Есть люди, которые готовы пожертвовать 1-2 и более минут в день, чтобы «оптимизировать» систему некоторыми криво написанными программами, которые не делают ничего полезного, но не готовы потратить несколько секунд в день, чтобы ответить на запросы UAC.

Различных заявлений вроде «Я опытный пользователь и знаю, как защититься» не достаточно, потому что никто не застрахован и исход определенных ситуаций не всегда зависит от пользователя. Более того, людям свойственно ошибаться, это случается с каждым.

Позвольте мне привести один пример: предположим, вы используете программу, которая имеет уязвимости, и в один прекрасный день вы оказались на сайте, который использует эти уязвимости. Если контроль учетных записей включен и программа работает с ограниченными правами, злоумышленник не сможет наделать много бед. В противном случае ущерб системе может быть колоссальным.

И это лишь один из множества примеров.

Запуск приложений вместе с Windows с правами администратора

Я допускаю, что возможно есть пользователи, которые выключают UAC просто для того, чтобы иметь возможность запускать программы вместе с Windows и с правами администратора. Обычным способом это невозможно, потому что UAC не может отправить запрос пользователю до тех пор, пока не будет загружен рабочий стол. Тем не менее, есть способ, благодаря которому вы можете оставить UAC включенным. Вот он:

• откройте Планировщик заданий;
• нажмите Создать задачу;
• в поле Имя введите что-нибудь по своему усмотрению, а в нижней части окна включите параметр Выполнять с наивысшими правами;
• перейдите на вкладку Триггеры и нажмите Создать;
• в выпадающем меню сверху выберите При входе в систему; если вы хотите создать задачу для конкретного пользователя, выберите вариант Пользователь, а затем нажмите Сменить пользователя; введите имя пользователя и подтвердите нажатием кнопки OK;
• перейдите на вкладку Действия и нажмите Создать;
• нажмите Обзор, укажите соответствующее приложение и подтвердите свой выбор;
• перейдите на вкладку Условия и отключите параметр Запускать только при питании от электросети;
• на вкладке Параметры отключите параметр Останавливать задачу, выполняемую дольше;
• подтвердите, нажав OK.

Готово. Задача добавлена, так что теперь приложение будет загружаться автоматически с правами администратора. Здесь, однако, есть одна небольшая загвоздка: все подобные задачи выполняются с приоритетом ниже, чем нормальный – below normal (ниже нормы). Если вас это устраивает, то все в порядке. Если нет, тогда вам придется потрудиться немного больше:

• запустите Планировщик заданий, если вы уже закрыли его;
• выберите Библиотека планировщика заданий;
• отметьте вашу задачу, нажмите Экспорт и сохраните ее в формате .xml;
• откройте .xml файл в текстовом редакторе;
• найдите раздел 7, который должен быть в конце файла и измените семерку (7) между открывающим и закрывающим тегами на пятерку (5);
• сохраните файл;
• в Планировщике заданий снова выделите свою задачу, нажмите Удалить и подтвердите удаление;
• теперь нажмите Импортировать задачу, укажите только что сохраненный файл и нажмите кнопку OK.

На этом все. Использовать UAC или нет, решать только вам, но очень важно знать, что вы теряете, когда отключаете эту функцию, как и быть осведомленным о рисках. Спасибо за внимание!

Как удалить имеющиеся обновления в десятке?

Случается, что при отключенном UAC устанавливаются апдейты ОС, которые вызывают нестабильность системы. Устранить это можно за счет их удаления следующим образом:

• Зажмите комбинацию Win+I и перейдите в меню “Обновление и безопасность”.
• В новом окне следуйте по пути: “Центр обновления Windows” => “Журнал обновлений” => “Удалить обновления”.
• Отобразится перечень проинсталлированных обновлений. Выделяйте нужное и сверху жмите “Удалить”. Если нужно выделить и очистить все – зажмите комбинацию клавиш Ctrl+A.

Очистка старых файлов после обновления Windows

1. Введите в системном поиске запрос “Очистка диска” и запустите соответствующую утилиту.
2. В новом окне укажите локальный диск, где установлена ОС.
3. Клик на “Очистить системные файлы”.
4. Снова укажите диск с Виндовс.
5. Поставьте отметку в списке напротив строчки “Предыдущие установки Windows”.
6. Запустите процесс нажатием на “ОК” внизу окна.

Принцип работы

О способах отключения контроля поговорим позже, а пока заглянем в механизм работы UAC немного глубже. Когда пользователь входит в учетную запись, ему выдается два токена или проще списка разрешений. Первый токен – пользовательский, второй – администраторский. Из этого можно заключить, что администратор ПК пользуется разрешениями второго списка, но это не совсем так. Он с ним просто работает, но сам токен «принадлежит» механизму UAC, поэтому даже если вы запускаете приложения с правами администратора, вам все равно потребуется разрешение контроля учетных записей.

Возможно, это не самая точная формулировка описания работы UAC. Контроль, скорее, можно представить как некое промежуточное звено между пользовательским и администраторским списками прав. Рассмотрим более детально то, что происходит в ходе установки/запуска программы при включенном контроле учетных записей. Когда пользователь запускает инсталлятор, функция ShellExecute вызывает другую функцию CreateProcess, которая в свою очередь запускает системы AppCompat, Fusion и Installer Detection, проверяющие, нужны ли программе повышенные привилегии. Если нужны, функция CreateProcess возвращает ошибку ERROR_ELEVATION_REQUIRED, а функция ShellExecute запускает диалоговое окошко UAC.

Вот примерно такая складывается цепочка. Но на этом полномочия UAC не заканчиваются. Участвует он также и в других механизмах, например, в виртуализации файловой системы и реестра, перенаправляя запись не имеющих администраторских прав программ в специально отведенные места, вместо того чтобы записывать их данные непосредственно в защищенные каталоги и ветви реестра.

Администратор или обычный пользователь — плюсы и минусы

Большинству обычных пользователь привычнее всегда входить в систему с правами администратора, так проще устанавливать/удалять программы, драйверы, игра и прочее. Минусом запуска с правами администратора является то, что вредоносным программам, таким как вирусы и руткиты, намного легче нанести вред вашей системе. Существует так же большая вероятность, что вы можете случайно повредить вашу систему, в следствии легкого доступа к системным инструментам, таким как реестр Windows (Regedit) и конфигурация системы (MSConfig). Если же вы будете входить в систему в качестве стандартного пользователя, то ваш доступ будет ограничен, но вы сможете выполнять большинство действий, за исключением внесения общесистемных изменений и добавления/удаления программ.

Благодаря UAC, вы можете выполнять действия администратора, даже если вы обычный пользователь. Вы можете продолжать заходить как администратор, и при этом настроить UAC на запрос пароля для административных действий (об этом далее).

Примечание: Чтобы включить запрос пароля UAC, необходимо войти под учетной записью администратора, так как потребуется запуск системного редактора настроек локальной политики (secpol.msc).

Небольшой трюк.

Чтобы включить, по умолчанию скрытую, запись супер-администратора, под которой абсолютно все программы будут запускаться от имени администратора без окна UAC, необходимо открыть командную строку с правами администратора и ввести следующий текст:

• net user administrator /active:yes (для русской Windows: net user Администратор /active:yes)

Включение и настройка КУЗ в Windows 10

Самый простой способ включения UAC через Панель управления. Необходимо добраться до окна “Параметры управления учетными …” и поднять ползунок из самого нижнего уровня. Подробная инструкция по открытию соответствующего окна находится в этом блоке статьи. Разберем детальнее параметры, которые устанавливаются при помощи ползунка в окне от самого нижнего до верхнего:

1. Контроль полностью отключен. Никаких оповещений о запросе выполнения действий с правами Администратора возникать не будет.
2. Уведомление появляется, но экран не затемняется. UAC включен и при его срабатывании появляется информационное сообщение с запросом на выполнение действий, но рабочая область дисплея не блокируется.
3. Уведомление появляется, экран затемняется.
4. Уведомления возникают не только при изменении системных настроек, но и при выполнении действий любыми инсталляторами.

Используемые источники:

• https://gamesqa.ru/kompyutery/chto-takoe-uac-i-kak-ego-otklyuchit-v-windows-7-8-10-i-server-2012-12335/
• https://lumpics.ru/how-to-enable-uac-in-windows-7/
• https://viarum.ru/uac-windows/
• https://remontka.pro/uac-disable-windows-10/

Ползунок User Account Control

В Windows 7 (и выше) настройки UAC на компьютере управляются с помощью специального ползунка (вызывается через панель управления или файлом UserAccountControlSettings.exe ). С помощью ползунка вы можете выбрать один из четырех предопределенных уровней защиты UAC.

• Уровень 4 — Always notify — Всегда уведомлять (максимальный уровень защиты UAC);
• Уровень 3 — Notify only when programs try to make changes to my computer (default) – Уведомить только когда программа пытается внести изменения в мой компьютер (стандартный уровень защиты);
• Уровень 2 — Notify only when programs try to make changes to my computer (do not dim my desktop) – то же что и предыдущий уровень, но без переключения на Secure Desktop с блокировкой рабочего стола;
• Уровень 1 — Never notify – Никогда не уведомлять (UAC отключен).

По умолчанию в Windows 10 выбран 3 уровень защиты UAC, который выводит уведомление только при попытке изменить системные файлы или параметры.