Включение контроля учетных записей в windows 10

Включение и отключение UAC в Windows

Для того чтобы ответить на вопрос, как включить или отключить контроль учётных записей в Windows, нужно понять, что это такое. UAC — это защитная опция операционной системы, поддерживаемая всеми последними версиями Windows (Vista, 7, 8, 10). Независимо от того, какую учётную запись использует пользователь, система выдаёт запрос о разрешении запускаемому приложению внести изменения.

Порядок включения и отключения UAC в Windows 10 имеет свои отличия.

Если владелец ПК Администратор, то он может разрешить или нет этой программе войти в ОС и изменить параметры, лишь нажав кнопки «Да» или «Нет». В ином случае придётся вводить пароль. Причины для отключения контроля учётных данных могут быть разные, но иногда это действительно необходимо.

На что нужно обратить внимание при появлении консоли

При загрузке приложения в появившемся окне уведомления 10 ОС имеется информация об имени программы, её издателе и источнике файла. Всё это даёт полную картину о запускаемом софте. Поэтому, когда приложение не имеет названия, у пользователей должен возникнуть вопрос о его «добропорядочности». Таким образом, вместе с установочным файлом очень часто проникают и вирусы. Если же программа проверена или вы полагаетесь на антивирус, в любом случае есть возможность отключить защиту.

Отключение контрольной функции

Способ 1.

Чтобы вызвать уведомление контроля в Windows 10, можно попробовать загрузить установочный файл любой простой программки, например, Media Player. Для этого у пользователей должен быть доступ к записи Администратором. В нижнем правом углу появившегося сообщения щёлкнуть по «Настройке выдачи таких уведомлений». Отредактировать функцию по своему усмотрению.

Способ 2.

В меню «Пуск» ввести слово «UAC». Далее выбрать «Изменение параметров контроля учётных записей». В настройках сообщения установить селектор на нижний уровень «Никогда не уведомлять».

Способ 3.

В меню «Пуск» найти вкладку «Панель управления». В правой части окна открыть «маленькие значки» и выбрать строчку «Учётные записи пользователей». Затем нажать на пункт «Изменить параметры контроля учётных записей». Также настроить работу опции или вовсе отключить её.

Способ 4.

На клавиатуре набрать Win+R. В открывшейся консоли прописать «UserAccountControlSetting» и ввод. В появившихся параметрах произвести отключение опции.

Способ 5.

Кликнуть по клавишам Win+R. В окне «Выполнить» ввести слово «regedit» и «ок». В левой части редактора реестра найти «Sistem». В открывшейся правой консоли кликнуть двойным нажатием мыши по надписи «EnableLUA». В появившемся окошке поменять значение «1» на «0» и «ок». Для сохранения изменений выскочит уведомление о перезагрузке компьютера.

Для того чтобы включить контрольную защиту в ОС Windows 10, в его настройках следует вернуть селектор в исходное положение. Также можно настроить функцию под свои параметры, где наилучшим вариантом может считаться второе положение селектора сверху.

Что означают 4 положения UAC

Если всё же было решено отключить защитную опцию в Windows 10, следует быть готовым к атакам вредоносного ПО. В этом случае нужно быть особо внимательным к запускаемым приложениям, так как они имеют такой же доступ к информации на компьютере, как и у пользователей с правами Администратора. Поэтому, если вы отключили UAC только для того, чтобы он не мешал, то это очень неправильная тактика. В этом случае лучше установить защитную функцию по умолчанию.

Источник

Изменить, включить, отключить настройки контроля учетных записей в Windows 10

Microsoft сделала настройку контроля учетных записей намного удобнее в Windows 8/10. После получения отзывов о том, что в Windows Vista запрос контроля учетных записей или UAC часто раздражал пользователей из-за его частого появления, Microsoft в Windows 7 уменьшала появление приглашений UAC, а также улучшала работу пользователей UAC в Windows. 10/8.

Контроль учетных записей в Windows 10

Контроль учетных записей в основном уведомляет вас о внесении изменений в ваш ПК – не все изменения, а только те, которые требуют разрешений уровня администратора. Эти изменения могли быть инициированы пользователем, операционной системой, подлинным программным обеспечением или даже вредоносным ПО! Каждый раз, когда инициируется такое изменение уровня администратора, Windows UAC будет запрашивать у пользователя подтверждение или отклонение. Если пользователь одобряет изменение, оно вносится; в нет, в систему не вносятся никакие изменения. До появления UAC экран может потемнеть.

В общих чертах, ниже приведены некоторые действия, которые могут вызвать приглашение UAC:

Его настройки по умолчанию:

Уведомлять меня только тогда, когда приложения пытаются внести изменения в мой компьютер

Всякий раз, когда появляется запрос согласия UAC и запрашивает ваше разрешение, вы, возможно, заметили, что он затемняет экран и временно отключает интерфейс Aero – и он отображается без прозрачности. Это называется Безопасный рабочий стол и является функцией безопасности в Windows. Запрос учетных данных отображается, когда обычный пользователь пытается выполнить задачу, для которой требуется токен административного доступа пользователя.

Подсказки повышения прав UAC имеют цветовую кодировку для конкретного приложения, что позволяет незамедлительно определить потенциальную угрозу безопасности приложения.

Изменить настройки контроля учетных записей

При желании вы можете изменить настройки контроля учетных записей в Windows 8. Вы можете изменить его поведение и решить, как часто или когда все, UAC должен уведомить вас.

Для этого откройте Панель управления и выберите Учетные записи пользователей.

Используйте вертикальный ползунок, чтобы изменить настройки. Изменения, которые вы сделаете, повлияют на ваши настройки безопасности, поэтому лучше оставить настройки контроля учетных записей по умолчанию, но вы должны знать, как изменения в настройке UAC повлияют на безопасность вашего ПК с Windows.

Если вы используете устройство с расширенными возможностями, такое как средство чтения с экрана, Microsoft рекомендует выбрать «Всегда уведомлять» или «По умолчанию» – уведомлять меня только тогда, когда программы пытаются внести изменения в настройки контроля учетных записей моего компьютера, поскольку вспомогательные технологии работают лучше всего. с этими двумя настройками.

Отключить UAC с помощью реестра Windows

Для этого откройте regedit и перейдите к следующей клавише:

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System

Измените значение ключа EnableLUA со значения по умолчанию 1 на Значение данных 0. Это отключит UAC.

Подробнее о всех параметрах групповой политики UAC и параметрах реестра вы можете прочитать здесь, на TechNet.

Отключить контроль учетных записей пользователей только для определенных приложений

Хотя вам не следует отключать запросы UAC для всего компьютера, вы можете отключить его для определенных приложений. Используя набор средств для обеспечения совместимости приложений Microsoft и выполнив следующие действия, вы можете отключить запросы UAC для одного или нескольких конкретных приложений, которым вы доверяете. Это НЕ отключит функцию контроля учетных записей для всего компьютера.

Отметьте это, если вы не можете изменить настройки контроля учетных записей (UAC).

Источник

Как отключить или изменить контроль учетных записей в Windows 10

Контроль учетных записей (UAC) помогает предотвратить повреждение компьютера вредоносным ПО и помогает организациям развернуть среду рабочего стола с лучшим управлением. При использовании UAC приложения и задачи всегда выполняются в контексте безопасности учетной записи, не являющейся администратором, если только администратор специально не разрешает доступ уровня администратора к системе. UAC может заблокировать автоматическую установку неавторизованных приложений и предотвратить непреднамеренное изменение настроек системы.

Если включен параметр «Всегда уведомлять или UAC по умолчанию», ваш рабочий стол будет переключен на защищенный рабочий стол с затемненным цветом, когда вы получите запрос на повышение прав в ответ на запрос контроля учетных записей (UAC).

UAC позволяет всем пользователям входить на свои компьютеры с использованием стандартной учетной записи пользователя. Процессы, запущенные с использованием токена стандартного пользователя, могут выполнять задачи с использованием прав доступа, предоставленных обычному пользователю. Например, File Explorer автоматически наследует стандартные разрешения уровня пользователя. Кроме того, любые приложения, запускаемые с помощью проводника (например, двойным щелчком по ярлыку), также запускаются со стандартным набором разрешений пользователей. Многие приложения, в том числе те, которые включены в саму операционную систему, предназначены для правильной работы таким образом.

Другие приложения, особенно те, которые не были специально разработаны с учетом параметров безопасности, часто требуют дополнительных разрешений для успешной работы. Эти типы приложений называются устаревшими приложениями. Кроме того, такие действия, как установка нового программного обеспечения и изменение конфигурации брандмауэра Windows, требуют больше разрешений, чем доступно для стандартной учетной записи пользователя.

Когда приложение должно запускаться с правами, превышающими стандартные, UAC может восстановить дополнительные группы пользователей в токен. Это позволяет пользователю иметь явный контроль над приложениями, которые вносят изменения на уровне системы на своем компьютере или устройстве.

Пользователь, который является членом АдминистраторовГруппа может войти в систему, просматривать веб-страницы и читать электронную почту, используя стандартный токен доступа пользователя. Когда администратору необходимо выполнить задачу, для которой требуется маркер доступа администратора, Windows 10 автоматически запрашивает у пользователя утверждение Y / N. Это приглашение называется приглашением повышения прав (UAC).

Когда UAC включен, пользовательский опыт для обычных пользователей отличается от администраторов в режиме одобрения администратором. Рекомендуемый и более безопасный способ запуска Windows 10 — сделать вашу учетную запись основного пользователя стандартной учетной записью. Работа в качестве обычного пользователя помогает максимально повысить безопасность управляемой среды. С помощью встроенного компонента повышения UAC обычные пользователи могут легко выполнить административную задачу, введя действительные учетные данные для учетной записи локального администратора. Встроенным компонентом повышения UAC по умолчанию для обычных пользователей является запрос учетных данных.

По умолчанию UAC настроен на уведомление вас всякий раз, когда приложения пытаются внести изменения в ваш ПК, но вы можете изменить частоту, с которой UAC уведомляет вас.

Вот так выглядит Контроль учетных записей в Windows 10

Из этой инструкции Вы узнаете, как отключить или изменить настройки контроля учетных записей (UAC), когда пользователи должны получать уведомления об изменениях на вашем компьютере в Windows 10.

Способ 1. Отключить или изменить контроль учётных записей через Панель управления

Если хотите отключить Контроль учетных записей windows 10, то переместите ползунок в самое нижнее положение — «Не уведомлять меня».

В этой таблице описаны все настройки UAC и их влияние на безопасность вашего ПК.

Источник

Как работает контроль учетных записей How User Account Control works

Область применения Applies to

Контроль учетных записей (UAC) является основополагающим компонентом общей концепции безопасности Майкрософт. User Account Control (UAC) is a fundamental component of Microsoft’s overall security vision. UAC помогает уменьшить воздействие вредоносных программ. UAC helps mitigate the impact of malware.

Процесс UAC и принципы взаимодействия UAC process and interactions

Каждое приложение, для которого требуется маркер доступа администратора, должно сделать запрос на продолжение. Each app that requires the administrator access token must prompt for consent. Существует только одно исключение — это взаимосвязь между родительским и дочерним процессами. The one exception is the relationship that exists between parent and child processes. Дочерние процессы наследуют маркер доступа пользователя от родительского процесса. Child processes inherit the user’s access token from the parent process. При этом как родительский, так и дочерний процессы должны иметь один и тот же уровень целостности. Both the parent and child processes, however, must have the same integrity level. Windows 10 защищает процессы, указывая их уровни целостности. Windows 10 protects processes by marking their integrity levels. Уровень целостности является мерой доверия. Integrity levels are measurements of trust. Приложение с высоким уровнем целостности — это приложение, в котором выполняются задачи по изменению системных данных, например приложение для разбивки диска на разделы. Приложение с низким уровнем целостности выполняет задачи, которые могут потенциально подвергать риску операционную систему (например, веб-браузер). A «high» integrity application is one that performs tasks that modify system data, such as a disk partitioning application, while a «low» integrity application is one that performs tasks that could potentially compromise the operating system, such as a Web browser. Приложения с более низким уровнем целостности не могут изменять данные в приложениях с более высоким уровнем целостности. Apps with lower integrity levels cannot modify data in applications with higher integrity levels. Когда обычный пользователь пытается запустить приложение, для которого требуется маркер доступа администратора, служба UAC требует, чтобы пользователь предоставил действительные учетные данные администратора. When a standard user attempts to run an app that requires an administrator access token, UAC requires that the user provide valid administrator credentials.

Для лучшего понимания этого процесса рассмотрим процесс входа в Windows. In order to better understand how this process happens, let’s look at the Windows logon process.

Процесс входа Logon process

На схеме ниже изображено, чем процесс входа для администратора отличается от процесса входа для обычного пользователя. The following shows how the logon process for an administrator differs from the logon process for a standard user.

По умолчанию как обычные пользователи, так и администраторы получают доступ к ресурсам и запускают приложения в контексте безопасности обычного пользователя. By default, standard users and administrators access resources and run apps in the security context of standard users. При входе пользователя в систему для него создается маркер доступа. When a user logs on to a computer, the system creates an access token for that user. Маркер доступа содержит сведения об уровне доступа, предоставленного пользователю, включая специальные идентификаторы безопасности (SID) и привилегии в Windows. The access token contains information about the level of access that the user is granted, including specific security identifiers (SIDs) and Windows privileges.

При входе администратора для него создаются два отдельных маркера доступа — маркер доступа обычного пользователя и маркер доступа администратора. When an administrator logs on, two separate access tokens are created for the user: a standard user access token and an administrator access token. Маркер доступа обычного пользователя содержит те же сведения о пользователе, что и маркер доступа администратора, но в нем отсутствуют привилегии администратора Windows и идентификаторы безопасности. The standard user access token contains the same user-specific information as the administrator access token, but the administrative Windows privileges and SIDs are removed. Маркер доступа обычного пользователя используется для запуска приложений, не выполняющих задач администрирования (обычные пользовательские приложения). The standard user access token is used to start apps that do not perform administrative tasks (standard user apps). Маркер доступа обычного пользователя используется для последующего отображения рабочего стола (explorer.exe). The standard user access token is then used to display the desktop (explorer.exe). Explorer.exe является родительским процессом, от которого все другие запускаемые пользователем процессы наследуют свой маркер доступа. Explorer.exe is the parent process from which all other user-initiated processes inherit their access token. В результате все приложения запускаются от имени обычного пользователя, если пользователь не предоставит согласие или учетные данные для подтверждения права использовать маркер полного доступа на уровне администратора для данного приложения. As a result, all apps run as a standard user unless a user provides consent or credentials to approve an app to use a full administrative access token.

Пользователь, который является членом группы «Администраторы», с помощью маркера доступа обычного пользователя может входить в систему, просматривать интернет-страницы и читать электронную почту. A user that is a member of the Administrators group can log on, browse the Web, and read e-mail while using a standard user access token. Если же администратору необходимо выполнить задачу, для которой требуется маркер доступа администратора, Windows 10 автоматически запрашивает согласие пользователя. When the administrator needs to perform a task that requires the administrator access token, Windows 10 automatically prompts the user for approval. Этот запрос называется запросом на повышение прав. Его работу можно настроить с помощью оснастки «Локальная политика безопасности» (Secpol.msc) или групповой политики. This prompt is called an elevation prompt, and its behavior can be configured by using the Local Security Policy snap-in (Secpol.msc) or Group Policy. Дополнительные сведения см. в разделе Параметры политики безопасности контроля учетных записей. For more info, see User Account Control security policy settings.

Пользовательский интерфейс UAC The UAC User Experience

При включенном UAC пользовательский интерфейс для обычных пользователей отличается от интерфейса для администраторов в режиме одобрения администратором. When UAC is enabled, the user experience for standard users is different from that of administrators in Admin Approval Mode. Рекомендуемый и более безопасный метод запуска Windows 10 – сделать учетную запись основного пользователя записью обычного пользователя. The recommended and more secure method of running Windows 10 is to make your primary user account a standard user account. Запуск от лица обычного пользователя позволяет максимально повысить уровень безопасности управляемой среды. Running as a standard user helps to maximize security for a managed environment. Используя встроенный компонент повышения прав UAC, обычный пользователь может без труда выполнять задачи администрирования путем ввода действительных учетных данных учетной записи локального администратора. With the built-in UAC elevation component, standard users can easily perform an administrative task by entering valid credentials for a local administrator account. По умолчанию встроенным компонентом повышения прав UAC для обычных пользователей является запрос на ввод учетных данных. The default, built-in UAC elevation component for standard users is the credential prompt.

Альтернативой запуску от лица обычного пользователя является запуск от лица администратора в режиме одобрения администратором. The alternative to running as a standard user is to run as an administrator in Admin Approval Mode. Благодаря встроенному компоненту повышения прав UAC члены локальной группы «Администраторы» могут без труда выполнять задачи администрирования, предоставив соответствующее подтверждение. With the built-in UAC elevation component, members of the local Administrators group can easily perform an administrative task by providing approval. По умолчанию встроенным компонентом повышения прав UAC для учетной записи администратора в режиме одобрения администратором является запрос на продолжение. The default, built-in UAC elevation component for an administrator account in Admin Approval Mode is called the consent prompt.

Запрос на продолжение и запрос на ввод учетных данных The consent and credential prompts

При включенном UAC Windows 10 делает запрос на продолжение или запрос на ввод учетных данных допустимой учетной записи локального администратора перед запуском программы или задачи, для которой требуется маркер полного доступа на уровне администратора. With UAC enabled, Windows 10 prompts for consent or prompts for credentials of a valid local administrator account before starting a program or task that requires a full administrator access token. Этот запрос гарантирует невозможность автоматической установки вредоносных программ. This prompt ensures that no malicious software can be silently installed.

Запрос на продолжение The consent prompt

Запрос на продолжение выводится при попытке пользователя выполнить задачу, для которой требуется маркер доступа на уровне администратора. The consent prompt is presented when a user attempts to perform a task that requires a user’s administrative access token. Ниже приведен пример запроса на продолжение UAC. The following is an example of the UAC consent prompt.

Запрос на ввод учетных данных The credential prompt

Запрос на ввод учетных данных выводится при попытке обычного пользователя выполнить задачу, для которой требуется маркер доступа на уровне администратора. The credential prompt is presented when a standard user attempts to perform a task that requires a user’s administrative access token. Ввод учетных данных администратора также может потребоваться в случае, если для параметра политики Контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором задано значение Запрос на ввод учетных данных. Administrators can also be required to provide their credentials by setting the User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode policy setting value to Prompt for credentials.

Ниже приведен пример запроса на ввод учетных данных UAC. The following is an example of the UAC credential prompt.

Запросы на повышение прав UAC UAC elevation prompts

Запросы на повышение прав UAC обозначаются цветом для каждого конкретного приложения, позволяя быстро оценить потенциальную угрозу для его безопасности. The UAC elevation prompts are color-coded to be app-specific, enabling for immediate identification of an application’s potential security risk. При попытке запустить приложение с маркером полного доступа на уровне администратора Windows 10 сначала анализирует исполняемый файл, чтобы определить его издателя. When an app attempts to run with an administrator’s full access token, Windows 10 first analyzes the executable file to determine its publisher. Сначала приложения разделяются на три категории в зависимости от издателя файла: Windows 10, подтвержденный издатель (подписанный) и неподтвержденный издатель (неподписанный). Apps are first separated into three categories based on the file’s publisher: Windows 10, publisher verified (signed), and publisher not verified (unsigned). На следующей схеме показано, как Windows 10 определяет, какой цвет запроса на повышение прав будет отображаться для пользователя. The following diagram illustrates how Windows 10 determines which color elevation prompt to present to the user.

Запросы на повышение прав обозначаются цветом следующим образом: The elevation prompt color-coding is as follows:

Значок щита Shield icon

Некоторые элементы панели управления, например Свойства даты и времени, выполняют как административные операции, так и операции обычного пользователя. Some Control Panel items, such as Date and Time Properties, contain a combination of administrator and standard user operations. Обычные пользователи могут просматривать время и изменять часовой пояс, но для изменения локального системного времени требуется маркер полного доступа на уровне администратора. Standard users can view the clock and change the time zone, but a full administrator access token is required to change the local system time. Ниже приводится снимок экрана элемента панели управления Свойства даты и времени. The following is a screen shot of the Date and Time Properties Control Panel item.

Значок щита на кнопке Изменить дату и время указывает на то, что процессу требуется маркер полного доступа на уровне администратора и что будет выведен запрос на повышение прав UAC. The shield icon on the Change date and time button indicates that the process requires a full administrator access token and will display a UAC elevation prompt.

Защита запроса на повышение прав Securing the elevation prompt

Процесс повышения прав дополнительно защищен тем, что запрос направляется на безопасный рабочий стол. The elevation process is further secured by directing the prompt to the secure desktop. Запрос на продолжение и запрос на ввод учетных данных по умолчанию отображаются в Windows 10 на безопасном рабочем столе. The consent and credential prompts are displayed on the secure desktop by default in Windows 10. Получить доступ к безопасному рабочему столу могут только процессы Windows. Only Windows processes can access the secure desktop. Для повышения уровня безопасности рекомендуется включить параметр политики Контроль учетных записей: переход на безопасный рабочий стол при выполнении запроса на повышение прав. For higher levels of security, we recommend keeping the User Account Control: Switch to the secure desktop when prompting for elevation policy setting enabled.

Когда исполняемый файл выполняет запрос на повышение прав, происходит переход с интерактивного рабочего стола (рабочего стола пользователя) на безопасный рабочий стол. When an executable file requests elevation, the interactive desktop, also called the user desktop, is switched to the secure desktop. При переходе на безопасный рабочий стол уменьшается яркость рабочего стола пользователя и выводится запрос на повышение прав. Дальнейшая работа может быть продолжена только после ответа на запрос. The secure desktop dims the user desktop and displays an elevation prompt that must be responded to before continuing. После нажатия кнопки Да или Нет происходит возвращение на рабочий стол пользователя. When the user clicks Yes or No, the desktop switches back to the user desktop.

Вредоносные программы могут имитировать безопасный рабочий стол, но если для параметра политики Контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором задано значение Запрос на продолжение, они не смогут получить повышение прав при нажатии пользователем кнопки Да во время имитации. Malware can present an imitation of the secure desktop, but when the User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode policy setting is set to Prompt for consent, the malware does not gain elevation if the user clicks Yes on the imitation. Если для параметра политики задано значение Запрос на ввод учетных данных, то вредоносные программы, имитирующие такой запрос, могут получить учетные данные от пользователя. If the policy setting is set to Prompt for credentials, malware imitating the credential prompt may be able to gather the credentials from the user. Однако при этом они не получают более высокий уровень привилегий, а система имеет другие средства защиты, которые не позволяют им взять на себя управление пользовательским интерфейсом даже при раскрытии пароля. However, the malware does not gain elevated privilege and the system has other protections that mitigate malware from taking control of the user interface even with a harvested password.

И хотя вредоносная программа может имитировать безопасный рабочий стол, эта проблема не возникнет, если пользователь ранее не установил вредоносную программу на компьютер. While malware could present an imitation of the secure desktop, this issue cannot occur unless a user previously installed the malware on the PC. Процессы, для которых требуется маркер доступа на уровне администратора, не могут быть установлены автоматически при включенном UAC, поэтому пользователь должен явно дать согласие нажатием кнопки Да или путем ввода учетных данных администратора. Because processes requiring an administrator access token cannot silently install when UAC is enabled, the user must explicitly provide consent by clicking Yes or by providing administrator credentials. Определенное поведение запроса на повышение прав UAC зависит от групповой политики. The specific behavior of the UAC elevation prompt is dependent upon Group Policy.

Архитектура UAC UAC Architecture

На приведенной ниже схеме показана архитектура UAC. The following diagram details the UAC architecture.

Чтобы лучше ознакомиться с каждым компонентом, просмотрите приведенную ниже таблицу. To better understand each component, review the table below:

Пользователь выполняет операцию, для которой нужны привилегии User performs operation requiring privilege

Если операция вносит изменения в файловую систему или реестр, вызывается виртуализация. If the operation changes the file system or registry, Virtualization is called. Все остальные операции вызывают ShellExecute. All other operations call ShellExecute.

ShellExecute вызывает CreateProcess. ShellExecute calls CreateProcess. ShellExecute проверяет, нет ли ошибки ERROR_ELEVATION_REQUIRED в CreateProcess. ShellExecute looks for the ERROR_ELEVATION_REQUIRED error from CreateProcess. Если ошибка обнаружена, ShellExecute вызывает службу сведений о приложениях для выполнения требуемой задачи с запросом на повышение прав. If it receives the error, ShellExecute calls the Application Information service to attempt to perform the requested task with the elevated prompt.

Если приложение требует повышения прав, CreateProcess отклоняет вызов с ошибкой ERROR_ELEVATION_REQUIRED. If the application requires elevation, CreateProcess rejects the call with ERROR_ELEVATION_REQUIRED.

Служба сведений о приложениях Application Information service

Системная служба, позволяющая запускать приложения, для выполнения которых требуется одна или несколько повышенных привилегий или прав пользователя, например, локальные задачи администрирования и приложения, требующие более высокого уровня целостности. A system service that helps start apps that require one or more elevated privileges or user rights to run, such as local administrative tasks, and apps that require higher integrity levels. Служба информации о приложениях помогает запускать такие приложения, создавая новый процесс для приложения с помощью маркера полного доступа на уровне пользователя с правами администратора при необходимости повышения прав и (в зависимости от групповой политики) в случае согласия пользователя. The Application Information service helps start such apps by creating a new process for the application with an administrative user’s full access token when elevation is required and (depending on Group Policy) consent is given by the user to do so.

Повышение прав для установки ActiveX Elevating an ActiveX install

Если технология ActiveX не установлена, система выбирает уровень ползунка UAC. If ActiveX is not installed, the system checks the UAC slider level. Если технология ActiveX установлена, будет выбран параметр групповой политики Контроль учетных записей: переход на безопасный рабочий стол при выполнении запроса на повышение прав. If ActiveX is installed, the User Account Control: Switch to the secure desktop when prompting for elevation Group Policy setting is checked.

Выбор уровня ползунка UAC Check UAC slider level

Ползунок UAC позволяет выбрать один из четырех уровней уведомления. UAC has a slider to select from four levels of notification.

Всегда уведомлять: Always notify will:

Рекомендуется, если вы часто устанавливаете новое программное обеспечение или посещаете незнакомые веб-сайты. Recommended if you often install new software or visit unfamiliar websites.

Уведомлять меня, только если программы пытаются внести изменения на моем компьютере: Notify me only when programs try to make changes to my computer will:

Рекомендуется, если вы не часто устанавливаете приложения или посещаете незнакомые веб-сайты. Recommended if you do not often install apps or visit unfamiliar websites.

Уведомлять меня, только если программы пытаются внести изменения на моем компьютере (не уменьшать яркость рабочего стола): Notify me only when programs try to make changes to my computer (do not dim my desktop) will:

Не рекомендуется. Not recommended. Выбирайте этот вариант, только если затемнение рабочего стола компьютера занимает много времени. Choose this only if it takes a long time to dim the desktop on your computer.

Никогда не уведомлять (отключить запросы UAC): Never notify (Disable UAC prompts) will:

Не рекомендуется по соображениям безопасности. Not recommended due to security concerns.

Безопасный рабочий стол включен Secure desktop enabled

Выбран параметр групповой политики Контроль учетных записей: переход на безопасный рабочий стол при выполнении запроса на повышение прав. The User Account Control: Switch to the secure desktop when prompting for elevation policy setting is checked:

Если включен безопасный рабочий стол, все запросы на повышение прав поступают на него независимо от параметров политики поведения запросов для администраторов и обычных пользователей. If the secure desktop is enabled, all elevation requests go to the secure desktop regardless of prompt behavior policy settings for administrators and standard users.

Если безопасный рабочий стол не включен, все запросы на повышение прав поступают на интерактивный рабочий стол пользователя. При этом используются индивидуальные параметры для администраторов и обычных пользователей. If the secure desktop is not enabled, all elevation requests go to the interactive user’s desktop, and the per-user settings for administrators and standard users are used.

CreateProcess вызывает AppCompat, Fusion и функцию обнаружения установщика, чтобы определить, не требуется ли приложению повышение прав. CreateProcess calls AppCompat, Fusion, and Installer detection to assess if the app requires elevation. Затем файл проверяется для определения запрошенного уровня выполнения, данные о котором хранятся в манифесте приложения для данного файла. The file is then inspected to determine its requested execution level, which is stored in the application manifest for the file. Выполнение CreateProcess завершается сбоем, если запрошенный уровень выполнения, указанный в манифесте, не соответствует маркеру доступа, и CreateProcess возвращает ошибку (ERROR_ELEVATION_REQUIRED) в ShellExecute. CreateProcess fails if the requested execution level specified in the manifest does not match the access token and returns an error (ERROR_ELEVATION_REQUIRED) to ShellExecute.

В базе данных совместимости приложений хранятся сведения в виде записей об исправлении совместимости для каждого приложения. The AppCompat database stores information in the application compatibility fix entries for an application.

В базе данных Fusion хранятся сведения из манифестов приложений, содержащие описание этих приложений. The Fusion database stores information from application manifests that describe the applications. Схема манифеста обновлена — в нее добавлено новое поле запрошенного уровня выполнения. The manifest schema is updated to add a new requested execution level field.

Обнаружение установщика Installer detection

Функция обнаружения установщика позволяет находить файлы установки, благодаря чему можно избежать выполнения установки без ведома и согласия пользователя. Installer detection detects setup files, which helps prevent installations from being run without the user’s knowledge and consent.

Технология виртуализации позволяет исключить ситуации, когда сбой несовместимых приложений остается незамеченным или когда сбой происходит по неизвестным причинам. Virtualization technology ensures that non-compliant apps do not silently fail to run or fail in a way that the cause cannot be determined. UAC также обеспечивает виртуализацию файлов и реестра и ведение журнала приложений, выполняющих запись в защищенные области. UAC also provides file and registry virtualization and logging for applications that write to protected areas.

Файловая система и реестр File system and registry

При виртуализации файлов и реестра для каждого пользователя происходит перенаправление запросов на запись в файлы и реестр для каждого компьютера в эквивалентные расположения пользователей. The per-user file and registry virtualization redirects per-computer registry and file write requests to equivalent per-user locations. Запросы на чтение перенаправляются сначала в виртуализированное расположение пользователя, а затем в расположение для компьютера. Read requests are redirected to the virtualized per-user location first and to the per-computer location second.

Чтобы полностью отключить UAC, необходимо отключить политику Контроль учетных записей: все администраторы работают в режиме одобрения администратором. In order to fully disable UAC you must disable the policy User Account Control: Run all administrators in Admin Approval Mode.

Некоторые приложения универсальной платформы Windows могут не работать при отключении UAC. Some Universal Windows Platform apps may not work when UAC is disabled.

Виртуализация Virtualization

Системные администраторы в среде предприятия стараются защитить системы, поэтому многие бизнес-приложения разработаны в расчете на использование только маркера доступа обычного пользователя. Because system administrators in enterprise environments attempt to secure systems, many line-of-business (LOB) applications are designed to use only a standard user access token. В результате вам не нужно заменять большую часть приложений в случае включения UAC. As a result, you do not need to replace the majority of apps when UAC is turned on.

Windows 10 включает технологию виртуализации файлов и реестра для несовместимых с UAC приложений, для правильной работы которых требуется маркер доступа администратора. Windows 10 includes file and registry virtualization technology for apps that are not UAC-compliant and that require an administrator’s access token to run correctly. При попытке несовместимого с UAC административного приложения выполнить запись в защищенную папку, например «Program Files», UAC предоставляет приложению собственное виртуализированное представление ресурса, который оно пытается изменить. When an administrative apps that is not UAC-compliant attempts to write to a protected folder, such as Program Files, UAC gives the app its own virtualized view of the resource it is attempting to change. Эта виртуализованная копия сохраняется в профиле пользователя. The virtualized copy is maintained in the user’s profile. Такая стратегия предполагает создание отдельной копии виртуализированного файла для каждого пользователя, запускающего несовместимое приложение. This strategy creates a separate copy of the virtualized file for each user that runs the non-compliant app.

Большинство задач приложения выполняются надлежащим образом благодаря применению функций виртуализации. Most app tasks operate properly by using virtualization features. Однако, несмотря на то что виртуализация позволяет работать большинству приложений, она является лишь временным решением проблемы. Although virtualization allows a majority of applications to run, it is a short-term fix and not a long-term solution. Разработчики приложений должны как можно скорее изменить свои приложения, обеспечив их совместимость, а не полагаться на виртуализацию файлов, папок и реестра. App developers should modify their apps to be compliant as soon as possible, rather than relying on file, folder, and registry virtualization.

Виртуализацию не следует применять в описанных ниже случаях. Virtualization is not an option in the following scenarios:

Виртуализация не применяется к приложениям с повышенными правами, которые выполняются с использованием маркера полного доступа на уровне администратора. Virtualization does not apply to apps that are elevated and run with a full administrative access token.

Виртуализация поддерживает только 32-разрядные приложения. Virtualization supports only 32-bit apps. 64-разрядные приложения без повышенных прав просто получают сообщение об отказе в доступе при попытке получения дескриптора (уникального идентификатора) для объекта Windows. Non-elevated 64-bit apps simply receive an access denied message when they attempt to acquire a handle (a unique identifier) to a Windows object. Собственные 64-разрядные приложения Windows должны быть совместимы с UAC и должны выполнять запись данных в соответствующие расположения. Native Windows 64-bit apps are required to be compatible with UAC and to write data into the correct locations.

Виртуализация отключается, если приложение содержит манифест приложения с атрибутом запрошенного уровня выполнения. Virtualization is disabled if the app includes an app manifest with a requested execution level attribute.

Уровни выполнения запросов Request execution levels

Манифест приложения представляет собой XML-файл, описывающий и определяющий общие и закрытые параллельные сборки, к которым приложение должно осуществить привязку во время выполнения. An app manifest is an XML file that describes and identifies the shared and private side-by-side assemblies that an app should bind to at run time. Манифест приложения включает записи для целей совместимости приложений UAC. The app manifest includes entries for UAC app compatibility purposes. Административные приложения, содержащие запись в манифесте приложения, запрашивают разрешение пользователя на доступ к маркеру доступа пользователя. Administrative apps that include an entry in the app manifest prompt the user for permission to access the user’s access token. Если запись в манифесте приложения отсутствует, большинство административных приложений могут работать без изменений с помощью исправлений совместимости приложений. Although they lack an entry in the app manifest, most administrative app can run without modification by using app compatibility fixes. Исправления совместимости приложений – это записи базы данных, обеспечивающие нормальную работу несовместимых с UAC приложений. App compatibility fixes are database entries that enable applications that are not UAC-compliant to work properly.

Для всех совместимых с UAC приложений следует добавить запрошенный уровень выполнения в манифест приложения. All UAC-compliant apps should have a requested execution level added to the application manifest. Если приложению требуется административный доступ к системе, указание запрошенного уровня выполнения «требуется администратор» для приложения гарантирует, что система определит эту программу как административное приложение и выполнит необходимые действия по повышению прав. If the application requires administrative access to the system, then marking the app with a requested execution level of «require administrator» ensures that the system identifies this program as an administrative app and performs the necessary elevation steps. Запрошенные уровни выполнения определяют привилегии, необходимые для приложения. Requested execution levels specify the privileges required for an app.

Технология обнаружения установщика Installer detection technology

Программы установки представляют собой приложения, разработанные для развертывания программного обеспечения. Installation programs are apps designed to deploy software. Большинство программ установки выполняют запись в системные папки и разделы реестра. Most installation programs write to system directories and registry keys. Как правило, выполнять запись в эти защищенные системные расположения может только администратор с помощью технологии обнаружения установщика, что означает, что обычные пользователи не имеют достаточных прав доступа для установки программ. These protected system locations are typically writeable only by an administrator in Installer detection technology, which means that standard users do not have sufficient access to install programs. Windows 10 эвристически определяет программы установки и запрашивает учетные данные администратора или согласие администратора для запуска с привилегиями доступа. Windows 10 heuristically detects installation programs and requests administrator credentials or approval from the administrator user in order to run with access privileges. Кроме того, Windows 10 эвристически определяет обновления и программы, которые выполняют удаление приложений. Windows 10 also heuristically detects updates and programs that uninstall applications. Одной из целей разработки UAC является предотвращение запуска установки незаметно для пользователя и без его согласия, так как программы установки выполняют запись в защищенные области файловой системы и реестра. One of the design goals of UAC is to prevent installations from being run without the user’s knowledge and consent because installation programs write to protected areas of the file system and registry.

Технология обнаружения установщика применяется только к: Installer detection only applies to:

Перед созданием 32-разрядного процесса следует определить, не является ли он программой установки. Для этого проверяются следующие атрибуты: Before a 32-bit process is created, the following attributes are checked to determine whether it is an installer:

Ключевые слова и последовательности байтов получены на основании изучения общих характеристик различных установщиков. The keywords and sequences of bytes were derived from common characteristics observed from various installer technologies.

Чтобы система обнаружения установщика могла определить программы установки, должен быть включен параметр политики «Контроль учетных записей: обнаружение установки приложений и запрос на повышение прав». The User Account Control: Detect application installations and prompt for elevation policy setting must be enabled for installer detection to detect installation programs. Дополнительные сведения см. в разделе Параметры политики безопасности контроля учетных записей. For more info, see User Account Control security policy settings.

Источник

• ← Включение компьютера с клавиатуры windows 10 как отключить
• Включение микрофона в windows 10 на ноутбуке →