User Account Control

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до: навігація, пошук

User Account Control (UAC) (укр. cлужба захисту користувачів) — компонент та технологія безпеки Microsoft Windows, що вперше з'явився в Windows Vista та Windows Server 2008[1], більш послаблена версія якого присутня в Windows 7, Windows Server 2008 R2, Windows 8 та Windows Server 2012. Він намагається покращити безпеку Windows обмежуючи права програм до прав стандартного користувача і надаючи їм збільшені привілегії тільки після дозволу адміністратора. Таким чином лише програми яким користувач довіряє отримують адміністративні привілегії, а шкідливе програмне забезпечення ізолюється від системи. Іншими словами, навіть якщо користувач є адміністратором, програми які він запускає запускаються зі звичайними правами, якщо тільки користувач явно не надасть їм такі права. Адміністратор комп'ютера може відключити UAC у панелі керування.

Щоб зменшити можливість програмам з нижчими привілегіями комунікувати з програмами з вищими привілегіями, в поєднанні з технологією UAC використовується технологія User Privilege Isolation.[2] Одним з найвідоміших використань цієї технології є захищений режим в Internet Explorer 7. [3]

Історія[ред.ред. код]

Операційні системи мейнфреймів та серверів відрізняли суперкористувачів та звичайних користувачів десятиліттями. Це запобігало випадковим змінам налаштувань системи користувачами.

Ранні операційні системи для домашнього використання від Microsoft (такі як MS-DOS, Windows 95, Windows 98 та Windows ME) не мали поняття різних аккаунтів користувачів, тому всі програми насолоджувались співмірними (в Windows 95, Windows 98 та Windows ME) чи точно такими ж правами (MS-DOS, Windows 1.0-3.11) як і операційна система. У Windows NT було впроваджено різні аккаунти для користувачів, але на практиці більшість користувачів використовували для роботи права адміністратора. Більше того, деякі програми вимагали прав адміністратора, аби деякі чи всі їх функцї працювали.[4]

Можливості[ред.ред. код]

Захищений режим Internet Explorer 7, використовує UAC щоб працювати з "низьким" рівнем інтеграції (токен звичайного користувача має "середній" рівень інтеграції, а адміністратора "високий"). Таким чином він працює в пісочниці, не маючи можливості робити запис в більшість частин системи, окрім директорії з тимчасовими файлами для IE, без запитування підвищених повноважень.[5][6] Так як панелі інструментів та компоненти ActiveX працюють всередині процесу Internet Explorer, вони будуть запущеними також з низькими правами, і сильно обмженені в розмірі шкоди що вони можуть зробити системі.[7]

Керування[ред.ред. код]

Щоб вимкнути цю функцію потрібно змінити запис в реєстрі Windows та перезавантажити систему. Це можна зробити за допомогою наступних Powershell команд:

New-ItemProperty -Path HKLM:Software\Microsoft\Windows\CurrentVersion\policies\system -Name EnableLUA -PropertyType DWord -Value 0 -Force
Restart-Computer

Критика[ред.ред. код]

На UAC скаржились що вона сповільнює виконання різних задач, наприклад початкову інсталяцію програмного забезпечення на Windows Vista.[8] Можна під час встановлення програм тимчасово вимкнути UAC, а потім увімкнути назад. Проте це не рекомендується, тому що, так як віртуалізація файлів та реєстру активна лише коли UAC увімкнений, файли конфігурації можуть бути встановленими в іншому місці (в системну директорію замість директорії користувача).[9] Також, захищений режим в Internet Explorer 7 не функціонуватиме коли UAC вимкнений, бо він від нього залежить.[6]

Аналітик Ендрю Жаквінт ствержував що "хоча нова система безпеки виглядає багатообіцяюючою, вона надто балакуча та надокучлива". [10] Але це твердження було зроблене за шість місяців до того як Vista була випущена. На момент випуску Windows Vista в листопаді 2006-го, Microsoft значно зменшила кількість системних задач що викликали запити дозволів, та додали віртуалізацію файлів та реєстру щоб зменшити кількість старіших програм що провокують спрацьовування UAC.[4] Щоправда, Девід Кросс, менеджер продукту в Microsoft, під час RSA Conference 2008 сказал що UAC був спроектований щоб "дратувати користувачів" і змушувати незалежних розробників програмного забезпечення робити свої програми безпечнішими щоб UAC не спрацьовував. [11] Автор рубрики Gadgetwise в New York Times, Стівен Вільямс сказав: "Одним з рекомендованих способів додати більше швидкості до Vista, є вимкнути надмірно турботливий User Account Control чиї спливаючі вікна нагадують маму яка зазирає із за вашого плеча, поки ви працюєте.[12]

Програмне забезпечення написане для Windows XP як і багато периферійних пристроїв не працюватимуть в Windows Vista чи Windows 7, через обширні зміни зроблені при впровадженні UAC. Опції сумісності також були не достатніми. У відповідь на цю критику, Microsoft змінила активність UAC в Windows 7. Наприклад в користувачів не запитується підтвердження прав на виконання певних дій, якщо ці дії були ініційовані одною лише мишею та клавіатурою, як наприклад аплети панелі керування.

Див. також[ред.ред. код]

Зноски[ред.ред. код]

  1. Windows 7 Feature Focus: User Account Control (англ.), огляд UAC в Windows 7 Пола Туро
  2. «The Windows Vista and Windows Server 2008 Developer Story: Windows Vista Application Development Requirements for User Account Control (UAC)». The Windows Vista and Windows Server 2008 Developer Story Series. Microsoft. April 2007. Процитовано 2007-10-08. 
  3. Marc Silbey, Peter Brundrett (January 2006). «Understanding and Working in Protected Mode Internet Explorer». Microsoft. Процитовано 2007-12-08. 
  4. а б Torre, Charles (March 5, 2007). «UAC - What. How. Why.» (video). Процитовано 2014-05-31. 
  5. Помилка цитування: Неправильний виклик <ref>: для виносок kennykerr не вказаний текст
  6. а б Russinovich, Mark (June 2007). «Inside Windows Vista User Account Control». TechNet Magazine. Microsoft. Процитовано 2007-12-08. 
  7. Friedman, Mike. «Protected Mode in Vista IE7». IEBlog. 
  8. «Disabling the UAC feature». 2007-03-10. Процитовано 2014-05-31. 
  9. Bott, Ed (2007-02-02). «Why you need to be discriminating with those Vista tips». Ed Bott's Windows Expertise. Процитовано 2007-07-05. 
  10. Evers, Joris (2006-05-07). «Report: Vista to hit anti-spyware, firewall markets». ZDNet News. CNet. Архів оригіналу за 2006-12-10. Процитовано 2007-01-21. 
  11. [http://news.cnet.com/Microsoft-Vista-feature-designed-to-annoy-users/2100-1016_3-6237191.html Microsoft: Vista feature designed to 'annoy users' | Cnet
  12. Gadgetwise, New York Times, May 14, 2008.

Посилання[ред.ред. код]