Механизм контроля учетных записей или UAC впервые появился в Vista, а немного позднее, в Windows 7 в интерфейс системы был добавлен специальный ползунок, позволяющий ими управлять.
Сейчас в Windows доступны четыре основных уровня защиты UAC. Первый уровень подразумевает отсутствие защиты UAC, второй – получение пользователем уведомлений при внесении приложениями изменений в систему без затемнения рабочего стола.
Третий уровень аналогичен второму, только на этот раз при попытках внесения приложениями изменений помимо уведомления выполняется характерное затемнение экрана с блокировкой рабочего стола. Этот режим является рекомендованным, установлен он по умолчанию. Четвертый, максимальный уровень защиты включает те же действия, что и третий, но при этом срабатывает механизм не только при запуске приложений, но и попытке внесения изменений в настройки самим пользователем компьютера.
Как уже было сказано, управление настройками UAC производится с помощью ползунка, но есть также и другой, более гибкий способ управления – через редактор локальных групповых политик. Таких политик в редакторе найдется целый десяток. Получить к ним доступ можно перейдя по цепочке Конфигурация компьютера – > Конфигурация Windows – > Параметры безопасности – >Локальные политики – > Параметры безопасности.
Каждая политика UAC начинается со слов «Контроль учетных записей», так что вы без труда их отыщите. Вот они.
- Виртуализация сбоев записи в файл или реестр на основании расположений пользователя.
Политика включает и отключает перенаправление ошибок записи приложений в реестре и файловой системе. По умолчанию эта политика включена, но так как она не является необходимой, в системах выше Vista ее можно отключить.
- Все администраторы работают в режиме одобрения администратором.
Политика, позволяющая всем находящимся в группе «Администраторы» пользователям работать в режиме одобрения администратором. Если вы используете UAC, отключать ее не следует.
- Режим одобрения администратором для встроенной учётной записи администратора
Будучи включенной, политика позволяет работающему под учетной записью встроенного администратора пользователю выполнять действия в режиме совместимости с ранними версиями Windows, а также запускать любые приложения с максимальными правами. По умолчанию политика не определена.
- Обнаружение установки приложений и запрос на повышение прав.
Дополнительная мера безопасности, направленная на предотвращение автоматической установки дополнительных компонентов определенными программами. Когда некая программа предпринимает подобное действие, у пользователя запрашивается имя и пароль учетной записи администратора.
- Переключение к безопасному рабочему столу при выполнении запроса на повышение прав.
Дополнительная политика, определяющая, должны ли запросы UAC на повышение прав выводиться на обычный или безопасный рабочий стол. В Microsoft рекомендуют держать эту политику включенной с целью для защиты от спуфинга трафика.
- Поведение запроса на повышение прав для администраторов.
Определяет поведение запросов на предоставление повышенных привилегий для администраторов. Может принимать несколько разных параметров. Особого интереса не представляет, политику лучше оставить с настройками по умолчанию.
- Поведение запроса на повышение прав для обычных пользователей.
Работает аналогично предыдущей, только для обычных пользователей. Имеет меньше параметров. Изменять настройки без нужды не следует.
- Повышение прав для UIAccess-приложений
Политика определяет, должны ли запрашивающие разрешение на исполнение приложения на уровне UIAccess находиться только в безопасных папках системы, коими являются System32 и Program Files. Политика должна оставаться включенной.
- Разрешение UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол.
Определяет, могут ли UIA-программы самостоятельно отключать безопасный рабочий стол при запросе на повышение прав. Политика должна быть отключена.
- Повышение прав только для подписанных исполняемых файлов
Определяет, нужно ли проверять подписи PKI для приложений, запрашивающих повышение прав. Обычные пользователи могут отключить эту политику.
