Uac в windows 7 і windows server 2008 r2

Навколо UAC в Windows Vista було зламано чимало списів. Тому не дивно, що в Windows 7 відбулися поліпшення, не тільки змінили поведінку контролю облікових записів, а й дозволяють більш гнучко налаштувати UAC. У Windows 7 і Windows Server 2008 R2 контроль облікових записів поліпшений за рахунок того, що:

зменшено кількість запитів в різних ситуаціях
збільшено число операцій, які звичайний користувач може виконувати без підвищення прав
додані нові параметри UAC
введені нові політики безпеки, що дозволяють налаштувати UAC для локальних адміністраторів і звичайних користувачів

Microsoft приділяє велику увагу тому, щоб роз`яснити призначення контролю облікових записів в своїх новітніх ОС, тому логічно почати саме з цього питання.

Призначення контролю облікових записів

Коли контроль облікових записів був вперше представлений в Windows Vista, його часто позиціонували як засіб підвищення безпеки операційної системи, хоча пряме призначення UAC полягає не в цьому. Згодом незалежні експерти неодноразово демонстрували можливості обходу UAC, що тільки сипало сіль на рани найбільше критикують технології Windows Vista. Коли в Microsoft прийшов Марк Руссинович (Mark Russinovich), на нього, схоже, була покладена задача по реабілітації UAC, і він почав методично пояснювати справжнє призначення контролю облікових записів. Він ввів поняття "межа захищеної зони" (security boundary) і всіма доступними йому засобами (Technet, конференції, блог) роз`яснював, що UAC такої кордоном не є. Наприклад, саме цій темі був присвячений один з його доповідей на конференції Платформа 2008 року в Москві.

Насправді контроль облікових записів був створений для того, щоб в системі можна було повноцінно працювати без прав адміністратора. Цю масштабну задачу необхідно було вирішувати тому, що в Windows 2000 / XP робота з адміністративної обліковим записом стала повсякденною практикою. В цьому випадку проникнення шкідливого коду в систему веде до плачевних наслідків. Ситуація ускладнювалася тим, що багато розробників програм абсолютно не дбали про обмежені облікові записи, цілком покладаючись на те, що установка їх продуктів і робота з ними вестимуться з правами адміністратора. Виходило зачароване коло, яке належало розірвати. Творці UAC змінили модель контролю доступу, в результаті чого була не тільки змінена робота облікових записів, а й реалізована віртуалізація файлової системи і реєстру (докладний опис технології опубліковано в журналі Technet Magazine).

Для кінцевих же користувачів контроль облікових записів фактично звівся до настільки нелюбимим запитам UAC. Основне їх призначення в тому, щоб повідомити користувача, що працює з правами адміністратора, про спроби додатки внести в систему зміни, що вимагають повного адміністративного доступу. Звичайному користувачеві, який не має прав на вчинення дії, тут же пропонується ввести облікові дані адміністратора. Зрозуміло, що розробники повинні планувати програми таким чином, щоб для роботи з програмою не було потрібно адміністративних прав. А якщо все програмне забезпечення в системі може працювати в контексті звичайного користувача, то вже немає необхідності в рутинній роботі з повними правами адміністратора. Налаштування системи можна проводити від імені адміністратора або під його обліковим записом, але це не щоденна завдання. І навіть якщо ви працюєте з правами адміністратора, UAC контролює виконання завдань, що вимагають повних адміністративних повноважень - він повідомляє вас в тих випадках, коли потрібне підтвердження прав.

Таким чином, контроль облікових записів покликаний не запобігти проникненню шкідливого коду (для цього є брандмауер і антивірусне / анти-шпигунське ПЗ), а знизити наноситься їм шкоду - обмежити його вплив правами звичайного користувача. Строго кажучи, підвищується не безпека операційної системи, а її стійкість до несанкціонованого доступу.

До речі, значок щита в цьому розділі статті не випадковий - саме його ви бачите на кнопках, поруч з посиланнями і в пунктах меню операційної системи в тому випадку, якщо потрібно підвищення прав. Іншими словами, якщо контроль облікових записів включений, звернення до елементу інтерфейсу, позначеному щитом, супроводжується запитом UAC. Колірна гамма щита змінилося в порівнянні з Windows Vista, але це далеко не єдина зміна в інтерфейсі.

Зміни в інтерфейсі

Доступ до параметрів контролю облікових записів спростився - їх можна відкрити з елементів панелі управління "Центр підтримки" і "Облікові записи користувачів", а також з командного рядка, запустивши UserAccountControlSettings.exe.

UAC в Windows 7 і Windows Server 2008 R2

Малюнок 1 - Параметри контролю облікових записів

В налаштуваннях UAC замість двох можливостей контролю (включений / виключений) з`явилося чотири рівні:

"Повідомляти при установці програм або спробі внесення ними змін, а також при зміні параметрів Windows користувачем". Це максимальний рівень контролю облікових записів.
"Повідомляти при установці програм або спробі внесення ними змін". Цей рівень використовується за умовчанням.
"Повідомляти при спробі встановлення програм або спробі внесення ними змін, але не затемнює робочий стіл". Затемнення робочого столу (так званий безпечний робочий стіл, Secure Desktop) - це свого роду підтвердження автентичності вікна UAC, що дозволяє візуально відрізнити підроблені запити UAC від справжніх.
"Чи не повідомляти ні при установці програм або спробі внесення ними змін, ні при зміні параметрів Windows користувачем". Служба захисту користувачів відключений.

Крім вікна налаштувань, змінилися також і діалогові вікна контролю облікових записів. Зміни спрямовані на те, щоб користувачам було зрозуміліше суть запиту.

Малюнок 2 - Звичайний користувач запускає командний рядок від імені адміністратора

Тепер, в основному, використовуються тільки два кольори:

синій - для компонентів, що мають цифровий підпис
жовтий - для компонентів, які не мають цифрового підпису

Червоний колір використовується тільки в тих рідкісних випадках, коли програма або компонент заблоковані адміністратором. Крім того, в запитах жирним шрифтом виділяється видавець програми. Для користувачів, спантеличених появою запиту, в діалоговому вікні є посилання "Допомога в ухваленні рішення".

Зміни в роботі

Безумовно, в Windows 7 і Windows Server 2008 R2 робота цілеспрямовано велася в сторону зменшення кількості запитів UAC - саме цей аспект викликав найбільше невдоволення користувачів Windows Vista серед усіх претензій до операційної системи.

Зменшено кількість запитів

Яка буде використовуватися під рівень контролю - це абсолютно нова можливість Windows 7 і Windows Server 2008 R2. Такий рівень неможливо було налаштувати в Windows Vista за допомогою призначеного для користувача інтерфейсу, політики безпеки або реєстру. Робота операційної системи була змінена, щоб, не знижуючи її безпеку, реалізувати автоматичне підвищення прав для виконання поширених адміністративних завдань, які викликали б близько половини запитів UAC. Це мало сенс зробити тому, що за статистикою 9 з 10 таких запитів користувачі все одно схвалювали.

Що ж стосується рівня, що дозволяє відключити безпечний робочий стіл, то його поява в інтерфейсі обумовлено бажанням наочно продемонструвати максимальну сумісність UAC з апаратними конфігураціями. У деяких з них затемнення робочого столу призводило до затримок в роботі ОС, чому міг бути причиною, наприклад, драйвер відеокарти. У Windows Vista була політика, яка дозволяє відключити безпечний робочий стіл, проте більшість користувачів про її існування навіть не підозрювали.

Якщо порівнювати кількість запитів UAC в Windows 7 і Windows Vista, то навіть при максимальному рівні контролю облікових записів, кількість запитів в новій ОС зменшилася. A рівень контролю, який використовується тепер за замовчуванням, ще більше повинен сприяти досягненню такого необхідного балансу між безпекою та нав`язливою турботою операційної системи. У таблиці порівнюється кількість запитів двох верхніх рівнів контролю облікових записів в нових ОС Microsoft і Windows Vista SP1.

Таблиця 1 - Кількість запитів в Windows 7 і Windows Server 2008 R2 в порівнянні з Windows Vista SP1

Дія	Рівень контролю облікових записів Windows 7 і Windows Server 2008 R2
Повідомляти при установці програм або спробі внесення ними змін	завжди повідомляти
персоналізація інтерфейсу Відео: How to Dual Boot Windows 7 & Server 2008R2 directly from .VHDs (Part 1)	немає запитів	менше запитів
Управління параметрами робочого столу	немає запитів	менше запитів
Налагодження та діагностика мережі	немає запитів	менше запитів
Використання засобу перенесення файлів і параметрів	менше запитів	Стільки ж запитів
Установка елементів управління ActiveX з IE	менше запитів	менше запитів
підключення пристроїв	немає запитів	Немає запитів при використанні Windows Update або стандартних драйверів ОС Стільки ж запитів у всіх інших випадках
Робота з центром поновлення Windows	немає запитів	немає запитів
Налаштування резервного копіювання	немає запитів	Стільки ж запитів
Установка або видалення програм	немає запитів	менше запитів

Змінено робота компонентів ОС

Багато компонентів нових операційних систем були перероблені, щоб зменшити кількість запитів UAC і забезпечити користувачам більш комфортну роботу. Позитивні зміни відбулися як в роботі звичайних облікових записів, так і локальних адміністраторів.

Таблиця 2 - Запити UAC для звичайного користувача і адміністратора

Користувач

дії

звичайний

запити відсутні при:

установці оновлень з центру оновлень Windows
установці драйверів, завантажених з центру оновлень Windows або входять до складу ОС
перегляді системних параметрів, включаючи багато елементів панелі управління (хоча при зміні параметрів запит виводиться)
зв`язку пристроїв Bluetooth
скиданні параметрів мережевого адаптера, а також діагностиці та відновленні мережевих параметрів
виконанні типових задач при роботі з пристроями за допомогою нового елемента панелі керування "Пристрої та принтери" (раніше єдиною можливістю взаємодії був диспетчер пристроїв, який вимагав підвищених прав)

Адміністратор

кількість запитів скорочено при:

операціях з файлами. Наприклад, при копіюванні файлів в системну папку виводиться тільки один запит незалежно від кількості копійованих файлів / папок (втім, ці зміни відбулися ще в Vista SP1)
установці додатків і компонентів ActiveX з Internet Explorer. Раніше в цьому випадку з`являлося два запити - один від Attachment Execution Services (AES), за яким слідував другий - від UAC. Тепер запит AES не відображається в разі, якщо повинен з`явитися запит UAC.

Вбудована обліковий запис "Адміністратор" і інші адміністративні облікові записи

Зміни, що торкнулися вбудовану обліковий запис "Адміністратор", стосуються, в основному, входу в безпечний режим. Однак перш ніж перейти до них, я б хотів поговорити про відмінності між вбудованою і іншими адміністративними обліковими записами.

Відповідно до одного з поширених помилок про контроль облікових записів, вбудований обліковий запис "Адміністратор" має більше прав, ніж звичайна. Це не так. Насправді відмінність лише в тому, що права вбудованої облікового запису автоматично підвищуються до максимальних при виконанні всіх завдань, тому запит UAC їй не виводиться.

Малюнок 3 - Вбудований адміністратор запускає задачу з повними правами

Всі інші адміністративні облікові записи працюють в режимі адміністративного (Admin Approval Mode) - контроль облікових записів запитує підтвердження дій, якщо потрібно підвищення прав. А якщо не потрібно, завдання виконуються з правами звичайного користувача!

Нерозуміння цієї тонкощі нерідко збиває користувачів з пантелику. Наприклад, запуск командного рядка адміністратором виконується з правами звичайного користувача, оскільки саме по собі ця дія не має на увазі внесення важливих змін в систему. Для того щоб виконати завдання з повними правами, необхідно запустити її від імені адміністратора - відповідний пункт є в контекстному меню провідника. В цьому випадку Вам буде запропоновано UAC.

Малюнок 4 - Адміністратор запускає командний рядок від імені адміністратора

Оскільки запуск здійснений адміністратором, облікові дані вводити не потрібно - потрібно лише підтвердити дію. Крім того, поряд з пропозицією допомоги в прийняття рішення, для адміністраторів в діалоговому вікні є посилання "Змінити при появі цього повідомлення", що відкриває параметри контролю облікових записів. Продовжуючи приклад з командним рядком, легко визначити, з якими правами вона була запущена.

Малюнок 5 - Командний рядок запущена з повними адміністративними правами

Можна налаштувати політику безпеки таким чином, щоб у адміністративних облікових записів відбувалося підвищення прав без запиту UAC - досить буде лише запустити задачу від імені адміністратора. Тому немає ніякої необхідності в повсякденній роботі з вбудованою обліковим записом "Адміністратор".

На відміну від Windows Server 2008 R2, вбудована адміністративна обліковий запис в Windows 7 відключена. Якщо це єдина активна обліковий запис в групі "Адміністратори" при оновленні Windows XP до Windows 7, вона переводиться в режим схвалення.

Відео: How to Disable UAC in Windows Server 2008.avi

Зміни, що стосуються роботи відключеною облікового запису "Адміністратор" в безпечному режимі, відображені в таблиці.

Таблиця 3 - Можливість входу в безпечний режим відключеною облікового запису Адміністратор

комп`ютер	Вхід в безпечний режим
Входить в домен	Відключена обліковий запис "Адміністратор" ні за яких обставин не може увійти в безпечний режим. Якщо інший адміністративної облікового запису в системі немає, її можна створити, виконавши вхід з правами облікового запису, що входить до групи "Адміністратори домену".
Чи не входить в домен	Відключена обліковий запис "Адміністратор" може увійти в безпечний режим тільки в тому випадку, якщо в системі немає інших активних адміністративних облікових записів (наприклад, вони відключені або видалені).

Налаштування контролю облікових записів за допомогою політик безпеки

Маючи права локального адміністратора, ви можете управляти параметрами контролю облікових записів за допомогою локальної політики безпеки. Політики UAC можна задати як в оснащенні "Локальна політика безпеки" (secpol.msc) В вузлі "Локальні політики" - "Параметри безпеки", так і в розділі системного реєстру HKLM SOFTWARE Microsoft Windows CurrentVersion Policies System.

Малюнок 6 - Політики безпеки керування обліковими записами

Основна політика, яка визначає стан контролю облікових записів і всіх інших його політик, не змінилася.

Таблиця 4 - Політика "Служба захисту користувачів: все адміністратори працюють в режимі адміністративного"

значення політики	пояснення	Значення параметра EnableLUA
відключена	Служба захисту користувачів відключений, і інші політики UAC не застосовуються. У центрі підтримки панелі управління виводиться повідомлення про те, що безпека системи знижена.	0x00000000
включена	Служба захисту користувачів включений - працює режим адміністративного підтвердження, і всі інші політики UAC застосовуються. Це значення використовується за умовчанням.	0x00000001

Зміни ж торкнулися двох політик, що визначають поведінку запитів керування обліковими записами для локальних адміністраторів і звичайних користувачів. Поряд з існуючими раніше варіантами, тепер ви можете вказати, чи буде використовуватися безпечний робочий стіл, якщо для продовження роботи UAC вимагає підтвердити дію або ввести облікові дані.

Таблиця 5 - Політика "Служба захисту користувачів: поведінка запиту на підвищення прав для адміністраторів в режимі адміністративного"

значення політики	пояснення	Значення параметра ConsentPromptBehaviorAdmin
Підвищення без запиту	При діях, що вимагають повних адміністративних прав (наприклад, запуск завдань від імені адміністратора), відбувається їх автоматичне підвищення без запиту UAC. Однак дії, які не потребують підвищених прав, виконуються в контексті звичайного користувача.	0x00000000
Запит облікових даних на безпечному робочому столі	Запит UAC, що відображається на тлі затемненого робочого столу, вимагає від користувача ввести облікові дані для продовження дії. Це найбільш суворе поводження контролю облікових записів.	0x00000001
Запит згоди на безпечному робочому столі	Запит UAC, що відображається на тлі затемненого робочого столу, пропонує заборонити або дозволити дію. Якщо дія дозволено, воно виконується з найвищими правами, наявними у користувача.	0x00000002
Запит облікових даних	Аналогічно значенням "Запит облікових даних на безпечному робочому столі" з тією лише різницею, що затемнення робочого столу не відбувається.	0x00000003
запит згоди	Аналогічно значенням "Запит згоди на безпечному робочому столі" з тією лише різницею, що затемнення робочого столу не відбувається.	0x00000004
Запит згоди для двійкових даних не з Windows	Аналогічно значенням "Запит згоди на безпечному робочому столі", однак запит виводиться тільки для сторонніх програм, тобто не мають цифрового підпису Microsoft. Це значення використовується за умовчанням.	0x00000005

Таблиця 6 - Значення політики "Служба захисту користувачів: поведінка запиту на підвищення прав для звичайних користувачів"

значення	пояснення	Значення параметра ConsentPromptBehaviorUser
Автоматично відхиляти запити на підвищення прав	Якщо дія користувача вимагає підвищення прав, виводиться повідомлення про відмову в доступі, яке можна налаштувати. Використання цього значення допоможе знизити кількість звернень в техпідтримку організації.	0x00000000
Запит облікових даних на безпечному робочому столі	Запит UAC, що відображається на тлі затемненого робочого столу, вимагає від користувача ввести адміністративні облікові дані для продовження дії. Це значення використовується за умовчанням.	0x00000001
Запит облікових даних	Аналогічно значенням "Запит облікових даних на безпечному робочому столі" з тією лише різницею, що затемнення робочого столу не відбувається.	0x00000003

Крім перерахованих вище політик безпеки, є й інші, що дозволяють вам більш гнучко налаштувати роботу контролю облікових записів. З їх призначенням можна ознайомитися у властивостях політики на вкладці "Пояснення", а відповідні їм параметри реєстру документовані в MSDN.

висновок

Служба захисту користувачів у Windows 7 і Windows Server 2008 R2 піддався істотній переробці. В першу чергу знизилася кількість запитів UAC, зайва нав`язливість яких викликала справедливу критику користувачів Windows Vista. Поліпшити роботу UAC вдалося за рахунок змін в роботі нових операційних систем поряд з введенням нового рівня контролю облікових записів. Цей рівень, який використовується за умовчанням, здійснює автоматичне підвищення прав при виконанні найбільш поширених адміністративних дій. Оформлення запитів контролю облікових записів також змінилося - тони пом`якшилися, а інформація подається чіткіше. Ці нововведення мають сприяти більш прихильному сприйняттю UAC кінцевими користувачами.

Доступ до параметрів контролю облікових записів спростився за рахунок розміщення посилань на нього в різних елементах панелі управління. Всі доступні параметри UAC можна також налаштувати за допомогою локальних політик безпеки або відповідних їм параметрів системного реєстру. Крім того, політики безпеки надають в розпорядження системних адміністраторів можливості більш тонкої настройки поведінки запитів UAC для адміністративних і звичайних облікових записів.

Поділися в соц мережах: