Юрий Зозуля - Windows Vista. Трюки и эффекты
1.2. Что такое UAC и как с ним бороться
Общие сведения об UAC
В Windows Vista имеется новое средство для предотвращения несанкционированного доступа к компьютеру – контроль учетных записей пользователей, или UAC (User Account Control). Основная задача UAC – предотвратить несанкционированный запуск вредоносных программ. Перед выполнением потенциально опасного действия служба контроля учетных записей запрашивает разрешение и пользователь должен подтвердить выполнение выбранного действия. Многим опытным пользователям такое поведение системы может показаться надоедливым, но это не позволит выполнять опасные действия без вашего явного разрешения.
В Windows Vista все учетные записи, относящиеся к группе Администраторы, по умолчанию работают с правами обычного пользователя. Если пользователь или приложение пытается выполнить действие, для которого требуются полномочия администратора, появляется окно UAC с требованием подтвердить или отметить выбранное действие (рис. 1.6). После подтверждения запроса система выполняет временное повышение прав до уровня администратора.
Рис. 1.6. Окно запроса UAC при использовании учетной записи с правами администратора
Внешний вид окна с запросом может быть различным, например на рис. 1.6 показан запрос UAC при попытке открыть окно Управление компьютером. В целях повышения безопасности при появлении окна UAC экран компьютера будет заблокирован и пользователь не сможет продолжить дальнейшую работу, пока не подтвердит или не отменит запрос UAC. Если пользователь использует обычную учетную запись, то в окне подтверждения UAC нужно выбрать одну из записей с правами администратора и ввести к ней пароль (рис. 1.7). Пользователи, которым неизвестен пароль одной из учетных записей с правами администратора, не смогут выполнять административные действия или запускать программы, требующие административных полномочий.
...Совет
Все действия, требующие полномочий администратора, обозначаются в панели управления и диалоговых окнах значком щита, и пользователи с обычными учетными записями могут сразу определить, какие действия им доступны, а какие – нет.
Рис. 1.7. Окно запроса UAC при использовании обычной учетной записи
Нужно ли отключать UAC
Появление в Windows Vista службы контроля учетных записей вызвало неоднозначную реакцию. Некоторые пользователи жалуются на излишнюю, на их взгляд, «надоедливость» UAC и отключают ее при первой же возможности, что существенно снижает защищенность компьютера. Частота появления запросов UAC зависит от характера использования компьютера, например при повседневном использовании прикладных программ UAC практически не будет вас беспокоить. Если же вы решили заняться тонкой настройкой системы, то запросы UAC будут появляться довольно часто и у вас может возникнуть желание отключить эту службу.
Полное отключение UAC не очень хорошая идея, вместо этого можно рекомендовать следующие приемы:
• временное отключение UAC;
• отключение UAC только для администраторов;
• запуск системных утилит в режиме администратора;
Рассмотрим эти варианты более подробно.
Отключение UAC
Для отключения UAC выполните следующие действия.
1. Откройте окно настройки учетных записей пользователей, выполнив команду Пуск → Панель управления и выбрав категорию Учетные записи пользователей.
2. Щелкните на ссылке Включение или отключение контроля учетных записей (UAC) и подтвердите ваши действия в окне UAC.
3. В появившемся окне снимите флажок Используйте контроль учетных записей (UAC) для защиты компьютера и нажмите ОК. Для применения изменений понадобится перезагрузка компьютера.
После отключения UAC будет появляться сообщение центра обеспечения безопасности о снижении защищенности компьютера. Поведение системы с отключенной службой UAC будет напоминать работу в Windows ХР, где администраторы могут выполнять почти все действия без дополнительных запросов, а пользователям с ограниченными учетными записями административные действия будут запрещены. Напомню, что отключать UAC рекомендуется временно. Включить UAC снова после завершения настройки компьютера можно лишь установив ранее снятый флажок.
Отключение UAC для администраторов
Вы можете использовать для повседневной работы учетные записи с правами обычного пользователя и с включенным UAC, а для настройки системы и экспериментов – учетную запись с правами администратора и отключенным UAC. Для реализации этого сценария выполните следующие действия.
1. Откройте меню Пуск, в строке поиска введите команду secpol.msc и подтвердите действия в окне UAC.
2. В дереве категорий откройте папку Локальные политики → Параметры безопасности.
3. Дважды щелкните на названии параметра Управление учетными записями пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором.
4. В появившемся окне выберите из раскрывающегося списка значение Повышение без запроса и закройте окно с помощью кнопки ОК.
5. Перезагрузите компьютер для применения изменений.
...Совет
В разделе Параметры безопасности имеется целый ряд параметров для настройки UAC, все они начинаются со слов Управление учетными записями пользователей. Чтобы узнать назначение любого параметра, щелкните на нем дважды и перейдите на вкладку Объяснение.
Если в вашей версии Windows Vista оснастка управления параметрами безопасности недоступна, вы можете отключить UAC для администраторов с помощью реестра. Для этого запустите Редактор реестра, откройте раздел hkey_local_machine SoftwareMicrosoftWindowsCurrentVersionPoliciesSystem и установите для параметра ConsentPromptBehaviorAdmin значение 2. Подробнее о редактировании реестра читайте в разд. 1.4.
...Внимание!
Для повышения безопасности системы используйте учетную запись с правами администратора и отключенной службой UAC только для настройки системы. Для повседневной работы вы можете включить UAC снова или же использовать обычные учетные записи.
Запуск системных утилит в режиме администратора
При комплексной настройке системы с включенным UAC окна этой службы будут появляться довольно часто, что может вывести из равновесия даже терпеливого пользователя. Выше был описан способ запуска командной строки от имени администратора, а все программы или утилиты, запущенные из сеанса командной строки в режиме администратора, автоматически получат права администратора, и вам не нужно будет каждый раз щелкать в окнах UAC.
Работа с командной строкой может показаться не очень удобной, но вы можете запускать от имени администратора другие утилиты, например файловый менеджер Total Commander. В этом случае для запуска программы также понадобится всего один щелчок в окне UAC, а все программы, запущенные из файлового менеджера, будут работать в режиме администратора автоматически. В случае использования Total Commander вы можете поступить следующим образом.
1. Создайте на Рабочем столе ярлык программы Total Commander, откройте с помощью контекстного меню окно его свойств, где нажмите кнопку Дополнительно и установите флажок Запуск от имени администратора. Закройте все окна с помощью кнопки ОК.
2. Запустите программу Total Commander с помощью ярлыка и подтвердите действия в окне UAC. После этого вы сможете выполнять файловые операции, выполнять команды и запускать утилиты в режиме администратора без каких-либо дополнительных подтверждений UAC.
...Внимание!
Из соображений безопасности системы не рекомендуется использовать файловые менеджеры и другие утилиты в режиме администратора для повседневной работы. Вы можете создать для подобных программ два ярлыка: один с привилегиями администратора, а второй – без них и выбирать их по мере необходимости.
1.3. Защита и восстановление системы
Как работает средство Восстановление системы
Средство Восстановление системы позволяет вернуть систему в одно из предыдущих состояний, благодаря чему можно устранить недавно возникшую ошибку.
Принцип работы этого средства основан на отслеживании и фиксировании изменений системных файлов. Перед изменением или удалением файла система сохраняет его исходную копию в специальной скрытой папке, а также ведет журнал выполняемых действий. На основе собранных данных периодически создаются контрольные точки восстановления, в которых зафиксировано состояние системы в определенный момент времени. Это позволяет при возникновении проблем в работе восстановить состояние компьютера на момент создания точки восстановления.
Точки восстановления создаются системой автоматически через каждые 24 часа работы компьютера, перед установкой некоторых программ и драйверов, при выполнении операций архивирования и восстановления системы. Кроме того, пользователь может в любой момент создать точку восстановления вручную.