Виртуализация uac что это

В Windows 7 встроено множество средств защиты пользователей от угроз, не все эти средства понятны пользователя, что в итоге приводит к отключению. Самой первой моей статьей в этом блоге была настройка брандмауера Windows Vista, а не так давно я писал про отключение UAC для определенных приложений. Исследуя аппаратную виртуализацию в Windows 7(известная как XP Mode) я натолкнулся на упоминание о UAC виртуализации. Оказалось, что это простое решение для программ, которые требуют администраторских привилегий.

Причины несовместимости

Что-бы понять в чем заключается виртуализация, нужно сначала понять в чем проблема,зачем программам уровень администратора.

• Установщики – с этим типом программ все понятно, при установке программа записывает данные о себе в реестр, в служебные папки и другие защищенные места
• Вирусы – когда вы плаваете в нете или вставляете флешку, а у вас выскакивает окно UAC то это самый верный признак враждебных действий. Скорее всего какой-то зловредный код хочется прописать себя в автозагрузку, или заразить важные файлы. Стоит учитывать, что UAC от вирусов самостоятельно не спасет, но лишней не является
• Системные настройки – Для домашних пользователей это скорее наказание, чем благо. Для админов это настоящая манна небесная, теперь блондинки из бухгалтерии не смогут сломать компьютеры так легко.
• Утилиты – К этой категории можно отнести всяческие программки, которые хотят работать напрямую с ОС. Например это могут быть мониторы сервисов(в статье про отключение UAC для приложений я использовал вкачестве примера как раз такую утилиту – консоль администрирования FTP сервера), либо утилиты разгона и мониторинга железа.
• Кривой софт – это программы, которые писались не смотря на просьбы Microsoft хранить исполняемые и пользовательские файлы отдельно. Например Disciples 3 хранит сохранения игры рядом со своим ехе-шником в папке Program-Files, а Zombie Driver при каждом запуске выводит программу настройки экрана, которая хочет писать файлик рядом с ехе-шником.

Собственно именно для такого «кривого софта» Microsoft реализовало виртуализацию UAC. В описании на сайте майкрософта написано, что разработчикам не следует во всем полагаться на виртуализацию, а писать свой софт правильно, да кто-ж их слушает.

Суть работы

Все сводится к тому, что UAC перехватывает запросы на запись в защищенные папки (C:Windows,C:Program Files) и реестр, а вместо этого записывает эти данные в папки пользователя. Софту кажется, что запись и чтение ведется из одного места, а на самом деле работа происходит в каталоге пользователя.

Метод действенный, но не стоит его использовать для действительно важного софта. Запись производиться в свободную для записи область жесткого диска, а значит теоретически вирус может повредить или инфицировать эти файлы, а UAC этого даже не заметит.

Как включить UAC виртуализацию

Сначала нужно зайти в диспетчер задач и зайти в меню выбора столбцов. Нас тут интересует пункт «Виртуализация контроля учетных записей»

Теперь находим нужный процесс и нажимаем на нем правой кнопкой мыши. В появившемся окне нужно выбрать «Виртуализация UAC«

Контроль учётных записей пользователей (англ. User Account Control , UAC) — компонент операционных систем Microsoft Windows, впервые появившийся в Windows Vista. Этот компонент запрашивает подтверждение действий, требующих прав администратора, в целях защиты от несанкционированного использования компьютера. Администратор компьютера может отключить Контроль учётных записей пользователей в Панели управления.

Содержание

Предпосылки создания [ править | править код ]

Ограничение прав, с которыми выполняются приложения (например, различение между «суперпользователем» и «обычными пользователями»), в течение десятилетий было обычным явлением в операционных системах для серверов и мейнфреймов. Домашние же операционные системы Майкрософт (такие, как MS-DOS, Windows 3.x и Windows 9x) не имели разделения прав: программа могла выполнить на компьютере любое действие. По этой причине компьютеры общего пользования быстро подвергались заражению вредоносными программами.

Несмотря на появление разделения прав в Windows NT, пользователи по привычке и для удобства использовали для работы учётную запись с правами администратора, нарушая принцип «запускать любую программу с минимально возможными правами». К тому же многие программы, написанные для Windows 9x или протестированные только с правами суперпользователя, не работали с урезанными правами — например, хранили конфигурационные файлы в каталоге с программой или в общей для всех пользователей ветке реестра.

Получается замкнутый круг: разработчики делают программное обеспечение, которому требуются широкие права пользователей, потому что пользователи «сидят под администраторами»; пользователи ведут же повседневную работу с правами администраторов, потому что этого требует программное обеспечение. Поэтому, несмотря на то, что ОС линейки Windows 9x уже много лет не производятся, на большинстве компьютеров с Windows 2000 и более поздними система разграничения доступа простаивает, а вредоносные программы получают администраторские права. Пропаганда Microsoft, призывавшая делать программы совместимыми с разграничением доступа, действовала, но медленно — многие программы (особенно небольшие утилиты, написанные одиночками) продолжали исполнять операции с повышенными привилегиями. Для того, чтобы склонить разработчиков писать более «безопасные» программы, и был разработан Контроль учётных записей пользователей.

Принцип работы [ править | править код ]

В случае, если программа запрашивает действие, требующее прав администратора, выполнение программы приостанавливается и система выдает запрос пользователю. Окно с запросом размещается на защищённом рабочем столе, чтобы предотвратить «нажатие» программой кнопки разрешения.

Так, выдаются запросы при попытке изменения системного времени, установки программы, редактирования реестра, изменения меню «Пуск».

Также действует «виртуализация каталогов и реестра»: программа, которая пробует записать что-либо в каталог %PROGRAMFILES%ПапкаПример.ini , записывает этот файл в каталог %USERPROFILE%AppDataLocalVirtualStoreProgram FilesПапкаПример.ini . Это обеспечивает совместимость старых программ с разграничением доступа.

Список действий, вызывающих срабатывание [ править | править код ]

Вот (неполный) список действий, вызывающих срабатывание Контроля учётных записей пользователей [1] :

• Изменения в каталогах %SYSTEMROOT% и %PROGRAMFILES% — в частности, установка/удаление программы, драйверов и компонентов ActiveX; изменение меню «Пуск» для всех пользователей.
• Установка обновлений Windows, конфигурирование Windows Update.
• Перенастройка брандмауэра Windows.
• Перенастройка самого Контроля учётных записей пользователей.
• Добавление/удаление учётных записей.
• Перенастройка родительских запретов.
• Настройка планировщика задач.
• Восстановление системных файлов Windows из резервной копии.
• Любые действия в каталогах других пользователей.
• Изменение текущего времени (изменение часового пояса не вызывает срабатывания Контроля учётных записей пользователей).
• Вызов Редактора реестра.
• Установка некоторых программ

Есть три способа написать программу, совместимую с Контролем учётных записей пользователей.

1. Указать в манифест-ресурсе уровень доступа программы: asInvoker , highestAvailable или requireAdministrator . Все три отключают виртуализацию каталогов, но asInvoker будет иметь пользовательские права, а остальные два — уже при запуске запросят повышение прав.
2. Сделать функции, требующие повышенных прав, отдельным .EXE -файлом с правами highestAvailable или requireAdministrator или запускать его при помощи ShellExecute с lpOperation , равным runas .
3. Сделать функции, требующие повышенных прав, доступными через COM-объект. При этом COM-сервером должен быть .EXE -файл с правами highestAvailable или requireAdministrator .

По рекомендациям Microsoft, на элементах интерфейса, которые требуют прохождения Контроля учётных записей пользователей, должна быть нарисована иконка щита.

Недостатки [ править | править код ]

• Многие программы, разработанные до появления Windows Vista, либо полностью несовместимы, либо требуют принятия специальных мер при установке и настройке. На самом деле данный недостаток относится скорее к устаревшим версиям программного обеспечения либо к устаревшим программам.
• Окно с запросом не предоставляет пользователю достаточной информации для идентификации программы и действия, на которое потребовались дополнительные права.
• Необходимость перезапуска программы для выполнения некоторых её функций. Например, Microsoft Visual Studio требует перезапуска с правами администратора при попытке открытия дамп-файла и некоторых других операциях.
• В Windows 7 жестко записаны многие приложения, идущие в комплекте, как доверенные, а потому код, который приводит к срабатыванию для других приложений, для них не работает при настройке по умолчанию, что делает их потенциальными посредниками для выполнения опасных действий сторонними программами в обход Контроля учётных записей пользователей [2] .
• С включенным UAC многие программы могут не запуститься с правами пользователя, если эти программы потребуют повышения прав, хотя их можно запустить с правами пользователя в учётной записи «Обычный доступ» с выключенным UAC. Даже если попытаться запустить их от имени учётной записи «Обычный доступ», UAC все равно появится (если включен), и если в окне "Разрешить следующей программе внести изменения на этом компьютере?" нажать кнопку «Да» – программе будут выданы повышенные права. Если нажать кнопку "Нет" – программа либо будет запущена с пониженными правами, либо завершит работу.

Настройка [ править | править код ]

В Windows Vista контроль учётных записей можно отключить в апплете Панели управления «Учетные записи пользователей», однако уровень обеспечения конфиденциальности и целостности программ и данных существенно снизится.

В Windows 7 Контроль учётных записей пользователей был доработан, в частности, в панели управления вместо единственной настройки, либо включавшей его, либо выключавшей, появились четыре режима работы:

• «Всегда уведомлять».
• «Уведомлять только при попытках программ внести изменения в компьютер».
• «Уведомлять только при попытках программ внести изменения в компьютер (не затемнять рабочий стол)».
• «Никогда не уведомлять» (UAC будет отключен только после перезагрузки Windows).

Что такое UAC знают не все пользователи Windows, однако сталкиваться с ним приходится постоянно. Вообще аббревиатура расшифровывается как User Account Control или, если говорить по-русски, контроль учетных записей.

Как заявляют разработчики, UAC контролирует загрузку приложений в операционной системе и препятствует запуску вредоносных приложений, ну а помогает ему супер экран, снабженный искусственным интеллектом, под названием Smart Screen и Windows Defender. Несмотря на все похвалы со стороны Microsoft’a, у меня есть несколько доводов, чтобы отключить все эти агрегаты.

Почему стоит отключить User Account Control?

• Во-первых, он всем надоедает. Бесконечно вылезают окна с вопросом, хотим ли мы запустить то или иное приложение, а бывают даже такие ситуации, когда для запуска софта приходится кликать по одинаковым окнам несколько раз, что жутко бесит. Мало того, при включенном UAC программы выполняются с ограниченным доступом и если нам по мере использования понадобятся права администратора, то софтину придется перезапускать.
• Во-вторых, он бесполезен, хотя бы потому, что когда вылезает окно с запросом, пользователи в автоматическом режиме нажимают ”ДА”, даже не читая, что там написано. Эти тупые окна до того всем надоели, что никто уже в принципе не смотрит на эти предупреждения. Это происходит интуитивно на подсознательном уровне и даже если там будет такой вопрос: ”Форматировать все диски и перезагрузить компьютер?” – юзер нажмет ”ДА”.
• В-третьих, пользы от этих запросов вообще никакой. Разработчики троянов и различной малвари уже давно научились обходить стандартные средства защиты Windows, сколько бы они не обновлялись. И вообще, Microsoft – это не антивирусная лаборатория, поэтому ни о какой хорошей защите не может идти и речи. Весь этот UAC, Smart Screen и Windows Defender это всего лишь игрушки, которые сделаны для того, чтобы операционная система не загнулась сразу же после первого подключения к Интернету.

Как отключить UAC?

Если вы читаете эту статью, значит UAC вас достал, а значит нужно его отключить. Дабы вы не напрягались и не искали эту информацию, выкладываю простую инструкцию.

Инструкция по отключению UAC

Вообще в панели управления есть опция отключения, но с ее помощью не получится полностью вырубить эту субстанцию. На скриншоте как раз она.

Для полного отключения нам понадобится вызвать редактор реестра. Итак, нажимаем клавиши Win + R и в появившееся окно вводим regedit. Далее переходим в этот раздел

где находим параметр EnableLUA и меняем его значение на 0. В центре уведомлений сразу же появится запрос на перезагрузку компьютера и мы конечно же перезагружаемся. После такой операции запросы на запуск программ от UAC не будут нас беспокоить.

Инструкция по отключению Smart Screen

Однако Smart Screen будет нас по-прежнему доставать, поэтому мы отключим и его. Запускаем редактор реестра, как написано выше, и переходим по этому пути

В этом разделе создаем параметр DWORD (32 бита), причем для ОС с любой разрядностью. Параметру задаем имя EnableSmartScreen и присваиваем ему значение 0.

Далее открываем панель управления и нажимаем ”Свойства браузера”. Переходим на вкладку Безопасность -> Другой. Тут ищем следующие пункты ”запуск программ и небезопасных файлов”, ”использование фильтра Smart Screen”, первое включаем, а второе отключаем. Опять перезагружаем машину.

После выполнения всех процедур все всплывающие окна с запросами о разрешении запуска программ или запроса прав администратора исчезнут. По поводу Windows Defender беспокоиться не стоит – он, осознав свою бесполезность, отключится сам, когда вы установите любую антивирусную программу.

Что еще нужно сделать?

Отключив все это, не забудьте установить себе на компьютер хороший, а лучше всего коммерческий антивирус. Наша редакция рекомендует использовать комбайны от ведущих антивирусных вендоров – DrWeb или Kaspersky.