Для среднестатистического пользователя механизм UAC – это надоедливые окошки, которые требуют подтверждения чуть ли не каждого действия. По привычке все «майкрософтовские» нововведения оцениваются весьма скептически, и пользователь ищет, как бы их полностью отключить. Но, возможно, стоит иногда терпеть небольшие неудобства ради безопасности?

В этом материале мы расскажем, зачем все-таки нужен UAC и как его настроить.

UAC – механизм контроля учетных записей

Управляя учетными записями, механизм UAC действительно эффективно защищает операционную систему.

Все попытки отключить такие механизмы, как UAC, получить для своей учетной записи на компьютере статус администратора, предпринимаются только для одного – полного контроля и обладания полными правами на своем собственном компьютере, не смотря на то, насколько опытен юзер. Но этим весьма активно пользуются те, кто создает вредоносное программное обеспечение, которое, проникнув на ваш компьютер, может пользоваться администраторскими правами – так же, как и вы.

Опасное содержимое атакует системный реестр, файловую систему и службы Windows. Именно поэтому, даже если вы пользуетесь администраторской учетной записью, обеспечив себе полные права, UAC все равно будет активно «мешать» пользователю в его попутках отварить все двери вирусам.

Если, конечно, он включен…

В этом случае UAC будет блокировать все обращения к файлам, которые имеют статус системных, а также в реестру и службам. В каждом из этих случаев появится характерное окно, описывающее, что и куда обращается и требующее вашего подтверждения.

Например, такое (при установке программы):

Параметры UAC

Настройка UAC довольно проста и наглядна. Для этого создали уровни защиты, всего их – 4.

Чтобы открыть окно настройки этого механизма и убедиться в его простоте, откройте «Пуск» и в поиске введите, например, такой запрос:

Нажмите на «Изменение параметров контроля учетных записей» и откроется окно нехитрой настройки механизма UAC.

Предлагается 4 уровня защиты – от самого высокого до полного отключения этого механизма. Каждый уровень подробно описан в области справа от шкалы.

Более глубокая настройка механизма UAC доступна в Политиках Безопасности.

Чтобы открыть эту службу, можно воспользоваться разными способами:

• Кнопка «Пуск» — ввести в окошке поиска запрос «Локальная политика безопасности». Найти нужный результат среди предложенных;
• Горячие клавиши «Win+R» — откроется окошко «Выполнить». К нем введите или скопируйте команду secpol.msc, подтвердите нажатием Ok.

1. Самый первый параметр влияет на все политики, определяя их характеристики на данном компьютере. Если включить этот параметр, то для всех пользователей, состоящих в группе «Администраторы», будет появляться диалог, запрашивающий повышенные полномочия (когда срабатывает UAC). Если отключить, то ограничения снимаются.
2. Этот параметр включен по умолчанию для рабочих групп. Если он включен, то у всех запускаемых программ проверяется цифровая подпись, выдаваемая Microsoft. Если подпись отсутствует, приложение не установится, а потребует повышение прав у пользователя рабочей группы. Тогда необходимо ввести имя и пароль администраторской учетки.
3. При включении данного параметра, все запросы UAC выводятся на безопасный рабочий стол, при отключении – на интерактивный.
4. Данный параметр для пользователей группы «Администраторы» задает вид запроса, появляющегося, когда требуется повышение прав.
   • Повышение без запроса. Ввод учетных данных и подтверждение согласия не запрашиваются. Если выбрать этот параметр, права становятся равными встроенной администраторской учетной записи.
   • Запрос учетных данных на безопасном рабочем столе. Если выводится запрос на повышение прав на безопасном рабочем столе, будет требоваться ввести логин и пароль пользователя с привилегиями для продолжения операции с самыми высокими правами пользователя.
   • Запрос согласия на безопасном рабочем столе. Пароль вводить не требуется, вместо этого предлагается разрешить или запретить повышение прав.
   • Запрос учетных данных. Ввод пароля для любых операций, требующих повышения прав.
   • Запрос согласия. Запрос разрешения на повышение прав для любых операций, требующих этого.
   • Запрос согласия для сторонних двоичных файлов. Для сторонних приложений (не Windows), требующих повышения прав, на безопасный рабочий стол будет выведен запрос на разрешение или запрет. В случае разрешения, операция продолжится с максимальными правами.
5. Определяет то, какие действия предпримет система при обращении пользователя, обладающего обычными правами, к приложениям, требующим повышения прав.
   • Запрос учетных данных на безопасном рабочем столе (установлено по умолчанию). Пользователю необходимо будет ввести учетные данные администратора (имя и пароль), при этом операция (если данные введены верно) будет проходить на безопасном рабочем столе.
   • Запрос учетных данных. Пользователю необходимо будет ввести учетные данные администратора (имя и пароль). Если данные введены верно, операция будет продолжена.
   • Автоматически запретить запросы на повышение прав. Выводит сообщение о запрете на повышение полномочий.
6. При включенном параметре, данные приложения будут запускаться, только если находятся в безопасных папках, при выключенном – в любом случае.
7. Параметр, который по умолчанию отключен, помогает определить, нужна ли проверка подписей для интерактивных приложений PKI (открытый ключ). Включать имеет смысл только в организациях, где данный контроль уместен.
8. Для устаревших приложений, пытающихся обращаться к защищенным областям системы. Если отключить, то эти приложения вовсе не будут исполняться, заканчиваясь ошибкой. Если включить (по умолчанию), то во время исполнения будут созданы перенаправления для сбоев определенные места в системе и реестре.
9. Параметр для обычных пользователей, который по умолчанию отключен.
10. Параметр, который также отключен по умолчанию. В этом случае, при использовании встроенной администраторской учетной записи, все приложения выполняются с максимальными правами. Если его включить, то для встроенной учетной записи все операции, требующие повышения прав, будут запрашивать подтверждение.

Какой уровень защиты использовать?

Это зависит исключительно от ваших личных предпочтений. Действительно, придется терпеть некоторые неудобства, которые связаны только с появлением надоедливого окошка подтверждения действия, связанного с использованием системных ресурсов.

Таким образом, можно создать учетную запись с ограниченными правами и пользоваться ей. При этом создать сложный пароль для администраторской учетной записи, не храня его на компьютере. При установке каких-либо приложений, требующих повышение прав – просто вводить имя и пароль администраторской учетной записи. Только так можно быть уверенным в защите системы от вредоносного ПО.

Точно так же можно защитить паролем с доступом Администратора и конкретные файлы. Для этого нужно просто урезать права к этим файлам для пользовательской учетной записи.

Если вы не считаете себя опытным пользователем Windows 7, при этом активно пользуетесь интернетом, часто обмениваетесь информацией, подключая к своему компьютеру сменные носители, наш совет: не отключайте UAC и уделите время для его вдумчивой настройки. Этот механизм способен успешно бороться со многими угрозами, не зависимо от антивирусного ПО.