Перейти до вмісту

User Account Control

Матеріал з Вікіпедії — вільної енциклопедії.

User Account Control (UAC) (укр. служба захисту користувачів) — компонент та технологія безпеки Microsoft Windows, що вперше з'явився в Windows Vista та Windows Server 2008[1], більш послаблена версія якого присутня в Windows 7, Windows Server 2008 R2, Windows 8 та Windows Server 2012. Він намагається покращити безпеку Windows обмежуючи права програм до прав стандартного користувача і надаючи їм збільшені привілеї тільки після дозволу адміністратора. Таким чином лише програми яким користувач довіряє отримують адміністративні привілеї, а шкідливе програмне забезпечення ізолюється від системи. Іншими словами, навіть якщо користувач є адміністратором, програми які він запускає запускаються зі звичайними правами, якщо тільки користувач явно не надасть їм такі права. Адміністратор комп'ютера може відключити UAC у панелі керування.

Щоб зменшити можливість програмам з нижчими привілеями комунікувати з програмами з вищими привілеями, в поєднанні з технологією UAC використовується технологія User Privilege Isolation.[2] Одним з найвідоміших використань цієї технології є захищений режим в Internet Explorer 7. [3]

Історія

[ред. | ред. код]

Операційні системи мейнфреймів та серверів відрізняли суперкористувачів та звичайних користувачів десятиліттями. Це запобігало випадковим змінам налаштувань системи користувачами.

Ранні операційні системи для домашнього використання від Microsoft (такі як MS-DOS, Windows 95, Windows 98 та Windows ME) не мали поняття різних аккаунтів користувачів, тому всі програми насолоджувались співмірними (в Windows 95, Windows 98 та Windows ME) чи точно такими ж правами (MS-DOS, Windows 1.0-3.11) як і операційна система. У Windows NT було впроваджено різні аккаунти для користувачів, але на практиці більшість користувачів використовували для роботи права адміністратора. Більше того, деякі програми вимагали прав адміністратора, аби деякі чи всі їх функції працювали.[4]

Можливості

[ред. | ред. код]

Захищений режим Internet Explorer 7, використовує UAC щоб працювати з "низьким" рівнем інтеграції (токен звичайного користувача має "середній" рівень інтеграції, а адміністратора "високий"). Таким чином він працює в пісочниці, не маючи можливості робити запис в більшість частин системи, окрім директорії з тимчасовими файлами для IE, без запитування підвищених повноважень.[5][6] Так як панелі інструментів та компоненти ActiveX працюють всередині процесу Internet Explorer, вони будуть запущеними також з низькими правами, і сильно обмеженені в розмірі шкоди що вони можуть зробити системі.[7]

Керування

[ред. | ред. код]

Щоб вимкнути цю функцію потрібно змінити запис в реєстрі Windows та перезавантажити систему. Це можна зробити за допомогою наступних Powershell команд:

New-ItemProperty -Path HKLM:Software\Microsoft\Windows\CurrentVersion\policies\system -Name EnableLUA -PropertyType DWord -Value 0 -Force
Restart-Computer

Критика

[ред. | ред. код]

На UAC скаржились що вона сповільнює виконання різних задач, наприклад початкову інсталяцію програмного забезпечення на Windows Vista.[8] Можна під час встановлення програм тимчасово вимкнути UAC, а потім увімкнути назад. Проте це не рекомендується, оскільки віртуалізація файлів та реєстру активна лише коли UAC увімкнений, файли конфігурації можуть бути встановленими в іншому місці (в системну директорію замість директорії користувача).[9] Також, захищений режим в Internet Explorer 7 не функціонуватиме коли UAC вимкнений, бо він від нього залежить.[6]

Аналітик Ендрю Жаквінт стверджував що "хоча нова система безпеки виглядає багатообіцяюючою, вона надто балакуча та надокучлива".[10] Але це твердження було зроблене за шість місяців до того як Vista була випущена. На момент випуску Windows Vista в листопаді 2006-го, Microsoft значно зменшила кількість системних задач що викликали запити дозволів, та додали віртуалізацію файлів та реєстру щоб зменшити кількість старіших програм що провокують спрацьовування UAC.[4] Щоправда, Девід Кросс, менеджер продукту в Microsoft, під час RSA Conference 2008 сказал що UAC був спроектований щоб "дратувати користувачів" і змушувати незалежних розробників програмного забезпечення робити свої програми безпечнішими щоб UAC не спрацьовував.[11] Автор рубрики Gadgetwise в New York Times, Стівен Вільямс сказав: "Одним з рекомендованих способів додати більше швидкості до Vista, є вимкнути надмірно турботливий User Account Control чиї спливаючі вікна нагадують маму яка зазирає із-за вашого плеча, поки ви працюєте.[12]

Програмне забезпечення написане для Windows XP як і багато периферійних пристроїв не працюватимуть в Windows Vista чи Windows 7, через обширні зміни зроблені при впровадженні UAC. Опції сумісності також були не достатніми. У відповідь на цю критику, Microsoft змінила активність UAC в Windows 7. Наприклад в користувачів не запитується підтвердження прав на виконання певних дій, якщо ці дії були ініційовані одною лише мишею та клавіатурою, як наприклад аплети панелі керування.

Див. також

[ред. | ред. код]

Примітки

[ред. | ред. код]
  1. Windows 7 Feature Focus: User Account Control [Архівовано 4 травня 2014 у Wayback Machine.] (англ.), огляд UAC в Windows 7 Пола Туро
  2. The Windows Vista and Windows Server 2008 Developer Story: Windows Vista Application Development Requirements for User Account Control (UAC). The Windows Vista and Windows Server 2008 Developer Story Series. Microsoft. April 2007. Архів оригіналу за 23 серпня 2011. Процитовано 8 жовтня 2007.
  3. Marc Silbey, Peter Brundrett (January 2006). Understanding and Working in Protected Mode Internet Explorer. Microsoft. Архів оригіналу за 7 вересня 2008. Процитовано 8 грудня 2007.
  4. а б Torre, Charles (5 березня 2007). UAC - What. How. Why. Архів оригіналу (video) за 8 березня 2007. Процитовано 31 травня 2014.
  5. Kerr, Kenny (29 вересня 2006). Windows Vista for Developers – Part 4 – User Account Control. Архів оригіналу за 29 березня 2007. Процитовано 15 березня 2007.
  6. а б Russinovich, Mark (June 2007). Inside Windows Vista User Account Control. TechNet Magazine. Microsoft. Архів оригіналу за 18 листопада 2008. Процитовано 8 грудня 2007.
  7. Friedman, Mike. Protected Mode in Vista IE7. IEBlog. Архів оригіналу за 23 січня 2010. Процитовано 31 травня 2014.
  8. Disabling the UAC feature. 10 березня 2007. Архів оригіналу за 14 вересня 2011. Процитовано 31 травня 2014. [Архівовано 2011-09-14 у Wayback Machine.]
  9. Bott, Ed (2 лютого 2007). Why you need to be discriminating with those Vista tips. Ed Bott's Windows Expertise. Архів оригіналу за 23 лютого 2008. Процитовано 5 липня 2007.
  10. Evers, Joris (7 травня 2006). Report: Vista to hit anti-spyware, firewall markets. ZDNet News. CNet. Архів оригіналу за 10 грудня 2006. Процитовано 21 січня 2007. [Архівовано 2006-12-10 у Wayback Machine.]
  11. Microsoft: Vista feature designed to 'annoy users' [Архівовано 13 грудня 2014 у Wayback Machine.]| Cnet
  12. Gadgetwise, New York Times, May 14, 2008.

Посилання

[ред. | ред. код]