Виртуализация UAC, что такое Windows 10

Обновлено: 21.11.2024

В 2007 г. в Microsoft Windows Vista была представлена ​​новая функция безопасности под названием "Контроль учетных записей пользователей" (UAC). После его выпуска людям было что сказать. Этот важный компонент безопасности Windows создает уровень абстракции. Это защитит ваш компьютер от вредоносных программ. Это также уменьшает количество несанкционированных изменений в операционной системе. В целом, это добавляет вашему устройству дополнительный уровень безопасности.

При этом многие пользователи отключают UAC по разным причинам. Это подвергает их устройства угрозам безопасности. Уведомления UAC также могут быть навязчивыми. Вот почему многие люди считают UAC помехой, а не функцией безопасности. Чтобы прояснить ситуацию с UAC, мы подробно рассмотрим, что такое виртуализация UAC. Затем мы увидим, как он защищает ваши устройства, и, наконец, его потенциальные недостатки.

Как всегда, начнем с основ. Я начну с объяснения терминов «UAC» и «виртуализация». После этого я перейду к виртуализации UAC.

Что такое контроль учетных записей (UAC)?

UAC — это сокращение от «Контроль учетных записей пользователей». Это предотвращает несанкционированный доступ или изменение основных компонентов операционной системы Windows. В Windows Vista и более поздних версиях UAC автоматически становится привилегией администратора. Это означает, что только учетные записи с наивысшими привилегиями могут разрешить внесение изменений в основные компоненты Windows.

Как пользователь, вы столкнетесь с UAC в следующих трех случаях:

1. Установка новых программ

Видели ли вы всплывающие уведомления Windows при установке программного обеспечения? Как правило, эти уведомления предупреждают вас о том, что новая программа пытается внести изменения в вашу систему Windows. Вы должны явным образом одобрить эту установку, чтобы новое программное обеспечение установилось и работало на вашем устройстве.

2. Доступ к закрытым каталогам

Вы также увидите UAC при доступе к каталогам с ограниченным доступом, таким как %ProgramFiles%, %Windir%, %Windir%\system32 и т. д. Здесь для доступа необходимо ввести пароль администратора или PIN-код .

3. Изменение переменных реестра

Изменение значения любой переменной реестра влияет на вашу среду Windows. Вот почему Windows отправляет уведомление и запрашивает у вас явное разрешение, прежде чем продолжить.

Во всех этих сценариях UAC вы будете получать уведомления с запросом явного подтверждения . Хотя это кажется навязчивым, цель состоит в том, чтобы защитить ваше устройство и компоненты Windows.

Если вы являетесь администратором, вы должны явным образом одобрить действие. Для этого вам часто придется нажимать кнопку «Да». Другие пользователи должны ввести четырехзначный PIN-код или пароль администратора, чтобы продолжить.

Всплывающее окно UAC.

Что такое виртуализация

Виртуализация – это процесс создания уровня абстракции для защиты критически важных ресурсов. Это также помогает платформе более эффективно использовать существующие ресурсы. Мы обычно видим виртуализацию, когда аппаратные элементы компьютера разделены на множество виртуальных единиц. Эти единицы являются виртуальными машинами (ВМ). Каждая виртуальная машина имеет часть аппаратных элементов компьютера. Он также работает независимо от других виртуальных машин. Помимо эффективного использования ресурсов, виртуализация также сокращает время простоя, улучшает выделение ресурсов и упрощает управление.

Теперь вы знаете, что такое UAC и виртуализация, давайте соединим их вместе.

Виртуализация повышает плавность работы.

Что такое виртуализация UAC?

UAC стал предметом ажиотажа, когда Microsoft выпустила операционную систему Windows Vista. Это был новый компонент безопасности для этой ОС. Это означает, что компьютеры со старыми операционными системами не имеют встроенного UAC. Приложения, разработанные для старых систем, также не имеют этой функции. Итак, что произойдет, если у вас более старое устройство? А как насчет приложений, написанных до выпуска Vista? Как будет работать UAC?

Ответ – виртуализация контроля учетных записей. Здесь виртуальная машина работает поверх исходной операционной системы Windows. Это обеспечивает все необходимые ресурсы для работы программного обеспечения в Windows. Эта виртуализация также гарантирует, что программное обеспечение не переписывает и не изменяет основные компоненты операционной системы Windows. Это означает, что изменения, вносимые программным обеспечением, отражаются только на виртуальной машине. Они не отражают саму физическую операционную систему. Например, приложение может думать, что пишет в C:\Program Files\. Тем не менее, приложение записывает только в %LOCALAPPDATA%\Files\. Таким образом, это изменение применяется только к этой учетной записи пользователя.Это не глобальное изменение. Если вам интересно, почему у него есть такое сопоставление между папками, оно должно позволить работать старым программам или операционным системам.

Роль виртуализации UAC очень специфична, поэтому она применима только в следующих трех случаях:

  1. Новое программное обеспечение устанавливается или используется только из учетной записи пользователя. Кроме того, эта учетная запись должна иметь права на запись в каталог Program File.
  2. Виртуализация контроля учетных записей включена на хост-устройстве.
  3. Устройство работает под управлением 32-разрядной операционной системы, поскольку 64-разрядные компьютеры не нуждаются в виртуализации UAC.

Во всех этих случаях на хост-устройстве должна быть включена функция UAC. Как же тогда этого добиться?

Включение виртуализации UAC в Windows 10

Выполните следующие 4 шага, чтобы узнать, включена ли виртуализация UAC в Windows 10:

  1. Выберите "Выполнить" (Windows + R) и введите secpol.msc.
  2. Нажмите "ОК". Откроется окно локальной политики безопасности.
  3. Разверните Локальные политики на левой панели и нажмите Параметры безопасности.
  4. Перейдите к элементу управления учетными записями пользователей: виртуализируйте сбои записи файлов и реестра в расположения для каждого пользователя на центральной панели.

Если этот параметр включен, на вашем устройстве настроена виртуализация UAC. Если это не так, вы можете выполнить следующие 3 шага, чтобы включить виртуализацию UAC:

  1. Дважды щелкните Контроль учетных записей: виртуализация ошибок записи файлов и реестра в расположения для каждого пользователя . Откроется всплывающее окно.
  2. Выберите переключатель "Включено".
  3. Нажмите OK, чтобы закрыть всплывающее окно. Это активирует виртуализацию UAC на вашем устройстве.

После настройки виртуализации UAC вы также можете управлять ее поведением и настраивать ее в соответствии со своими предпочтениями. Читайте дальше, чтобы узнать, как это сделать!

Управление контролем учетных записей пользователей

Чтобы изменить настройки и предпочтения UAC, перейдите в меню "Пуск" Windows > "Настройки" . В поле поиска введите Контроль учетных записей и выберите нужный вариант.

Объясните по буквам: контроль учетных записей пользователей.

Откроются настройки управления UAC, и вы увидите ползунок слева . Перемещайте ползунок вверх и вниз, чтобы выбрать один из 4 параметров настройки .

Четыре варианта UAC.

Давайте более подробно рассмотрим 4 варианта:

1. Всегда уведомлять

Это самая строгая настройка. Вы должны предоставить явное разрешение, когда вы или программное обеспечение пытаетесь установить, обновить или изменить настройки Windows. Все остальные задачи в системе зависнут, пока вы не ответите через всплывающее уведомление. Этот параметр идеально подходит для устройств, которые часто устанавливают программное обеспечение для тестирования.

2. Уведомлять меня только тогда, когда программы пытаются внести изменения в мой компьютер

Это второй по строгости вариант. Это также настройка UAC по умолчанию. Здесь компьютер будет уведомлять, когда программа пытается установить или изменить настройки Windows. Как и в предыдущем варианте, он замораживает все задачи до тех пор, пока вы не ответите. Тем не менее, эта опция не будет генерировать уведомления, когда вы вручную меняете какие-либо настройки.

3. Уведомлять меня только тогда, когда программы пытаются внести изменения в мой компьютер (не затемнять мой рабочий стол)

Как следует из названия, этот параметр не является навязчивым и не приостанавливает выполнение других задач. Он также уведомит вас, когда вы вручную вносите изменения в систему Windows. Излишне говорить, что это вариант с более низким уровнем безопасности по сравнению с двумя предыдущими. В идеале выбирайте этот вариант только в том случае, если вы являетесь единственным пользователем, а процесс уведомлений достаточно медленный, чтобы снизить вашу производительность.

4. Никогда не уведомлять

Этот параметр отключает виртуализацию UAC, что может создать серьезную угрозу безопасности вашего устройства. Мы рекомендуем никогда не использовать эту опцию, даже если она кажется удобной. Все эти параметры относятся к установке программного обеспечения и изменению системы Windows, особенно каталогов с ограниченным доступом. Тем не менее, что происходит, когда вы или программа пытаетесь изменить переменные реестра? Как создается абстракция?

Виртуализация реестра

Виртуализация реестра — это когда вы применяете виртуализацию UAC к системному реестру. Эта виртуализация создает уровень абстракции. Таким образом, он может заблокировать доступ к глобальным переменным реестра, не влияя на программное обеспечение, которое их использует. Как и виртуализация UAC, она также перенаправляет действия записи в ключи реестра учетной записи пользователя. Таким образом, глобальные ключи остаются неизменными. Таким образом, это и есть виртуализация UAC/реестра. Но, как и у любого программного обеспечения, у него есть и свои недостатки.

Оборотная сторона виртуализации

  • Работает только в 32-разрядных приложениях. Это связано с тем, что все программы, совместимые с AMD64, появились после внедрения UAC.
  • Неэффективно, если у вас нет разрешения на запись пути к файлу или переменной реестра. Этот сценарий может вызывать ошибки, а программное обеспечение может даже иногда давать сбой.
  • Работает только с учетными записями пользователей без прав администратора.
  • Отключено по умолчанию. Вы должны включить его самостоятельно.

В целом, виртуализация UAC — это удобная функция безопасности, особенно если вы используете старый компьютер. Тем не менее, его использование, вероятно, сократится в ближайшие несколько лет. Это связано с тем, что большинство современных приложений предназначены для 64-разрядных систем.

Заключительные мысли

Виртуализация UAC необходима, чтобы программные приложения могли работать в операционных системах до Windows Vista. По сути, виртуализация контроля учетных записей создает уровень абстракции для предотвращения внесения неавторизованным программным обеспечением и пользователями изменений в основные компоненты Windows. Этот уровень записывает данные в учетные записи пользователей, а не в основные компоненты и глобальные переменные реестра. Это снижает воздействие вредоносных программ. Это также предотвращает последствия других несанкционированных изменений.

При этом эффективность и потребность в виртуализации UAC в ближайшие годы будут снижаться по мере сокращения числа старых систем . У него также есть много недостатков, которые сделают его несуществующим к концу этого десятилетия. Чтобы назвать несколько, ему нужны права на запись и учетные записи без прав администратора. Он также устареет, поскольку может работать только с 32-разрядными приложениями.

Часто задаваемые вопросы

Должен ли я включить виртуализацию UAC?

Да, вы должны. Виртуализация UAC защищает ваш компьютер от вредоносных программ и других вредоносных программ. Это очень важно, потому что эти программы вмешиваются в основные компоненты безопасности вашей операционной системы. Когда вы включаете виртуализацию UAC, она создает уровень абстракции. Это не позволяет любому программному обеспечению вносить изменения в основные компоненты. Он также позволяет запускать программы.

Каковы побочные эффекты отключения моей виртуализации UAC?

Отключение виртуализации контроля учетных записей имеет множество побочных эффектов. Когда вы отключаете виртуализацию UAC, вы делаете свой компьютер более уязвимым для вредоносных программ, таких как вредоносные программы. Вот почему отключение виртуализации UAC представляет собой серьезную угрозу безопасности. Мы также настоятельно не рекомендуем вам отключать виртуализацию UAC .

Влияет ли виртуализация UAC на производительность моей системы?

Нет, виртуализация UAC не влияет на производительность вашей системы. Это потому, что он не потребляет дополнительных ресурсов. Тем не менее, уведомления могут заморозить все ваши задачи, пока вы не ответите на них. Обратите внимание, что это вмешательство необходимо для безопасности вашего компьютера.

Виртуализация UAC все еще актуальна?

На данный момент да . Это связано с тем, что многие системы по-прежнему работают на операционных системах, выпущенных до Windows Vista. Со временем использование этих систем становится все меньше и меньше. Это означает, что преимущества виртуализации UAC также снижаются. Это означает, что UAC станет неактуальным, когда исчезнут операционные системы до Vista.

Есть ли у виртуализации контроля учетных записей какие-либо преимущества?

Да, виртуализация контроля учетных записей дает много преимуществ. Они помогают предотвратить нанесение вреда вашему компьютеру несанкционированными программами, ограничивают доступ к конфиденциальным каталогам и запрещают изменение значений переменных реестра. В общем, это еще один уровень безопасности для вашего ПК.

Ресурсы

Узнайте, как защитить свои пароли Windows, здесь.

Узнайте больше о том, как UAC работает в Windows Vista и Windows 7, здесь.

Из этой статьи вы узнаете, как управлять привилегированным доступом в опасном мире.

Из этой статьи вы узнаете о способах и средствах повышения безопасности с помощью методов с минимальными привилегиями.

Контроль учетных записей (UAC) — это больше, чем просто подсказка

Большинство пользователей Windows видели запросы на выполнение контроля учетных записей (UAC), которые просят пользователя подтвердить, действительно ли они хотят предоставить часть программного обеспечения с привилегированными разрешениями:

Microsoft представила UAC в Windows Vista (и Server 2008), чтобы ограничить изменения системного уровня только привилегированными административными учетными записями. Вообще говоря, программному обеспечению не требуется доступ для записи к системным путям во время нормальной работы, поэтому Windows явно ограничивает их запуск только в контексте пользователя, что значительно повышает безопасность по сравнению с предыдущими операционными системами, такими как Windows XP. Без авторизации администратора программный вызов для записи в системный путь завершится ошибкой, и программа не сможет выполниться.Если такой доступ требуется (например, для установки обновления), запрос UAC запрашивает у пользователя согласие на внесение изменений в систему.

Это отличное новшество как с точки зрения безопасности, так и с точки зрения управления данными. Если бы программное обеспечение могло записывать в любое место без необходимости авторизации, оно могло бы повредить файлы или данные, обойти работу других программ и установить или изменить что угодно, и все это без надзора и без возможности для пользователя узнать, что его компьютер потенциально был захвачен и контролируется мошенническим приложением. Пользовательские данные также потенциально были разбросаны повсюду в малоизвестных подкаталогах в путях приложений до того, как Microsoft принудительно прекратила такое некачественное управление данными.

UAC ломает устаревшее программное обеспечение, поэтому Microsoft находит обходной путь

Изменение, внесенное Microsoft, остановило приложения от записи в системные файлы и папки без проверки, в том числе %ProgramFiles%, %Windir%, %Windir%system32 и путь реестра HKEY_LOCAL_MACHINESoftware. Программы могут вносить изменения в путь приложения (для установки и обновления) после подтверждения пользователем запроса UAC, но пользовательские настройки и данные должны храниться в профиле пользователя. Программы не должны вызывать подсказку UAC при каждом запуске (хотя и сегодня есть несколько ужасных примеров). Даже глобальные настройки должны храниться либо в общем редактируемом программном пространстве (%programdata%), либо в соответствующем пользовательском кусте в реестре Windows — ничего, связанное с пользователем, нельзя записывать в пути к приложению или папкам Windows.

Однако Microsoft осознавала, что то, что они делали с Vista, было новым и относительно неожиданным — правильно это или неправильно, разработчики приложений годами писали программное обеспечение, основываясь на некоторых довольно фундаментальных предположениях, и UAC собирался сломать некоторые вещи — вещи. многие компании зависели от того, чтобы не разориться. Как и в случае с большинством крупных изменений, определенный переход был неизбежен.

Хотя этот новый способ ограничения того, как программное обеспечение может изменять важные системные файлы, был отличной идеей, Microsoft теперь столкнулась с проблемой поддержки устаревших приложений — программного обеспечения, которое было написано до эпохи Просвещения, в темные века, когда разработчики программного обеспечения записывать пользовательские данные в пути к приложению (что-то, что они должны были прекратить делать после того, как Windows 2000 представила папку «Документы и настройки», с логически организованными и сегментированными пользовательскими данными в пределах одного корневого пути). Никакое принятие желаемого за действительное не могло переписать тысячи критически важных бизнес-приложений, созданных в 90-х, или исправить плохие методы написания кода, которые сохранялись вплоть до запуска Vista в конце 2006 года (и даже позже, в некоторых случаях, но не будем на этом останавливаться).

Если устаревшее программное обеспечение не сможет работать в этой новой, строго контролируемой среде UAC, а это программное обеспечение будет важным, пользователи будут либо запускать все с правами администратора (теряя все улучшения, которые UAC привносит на стол — действительно, запуск всего с правами администратора). прав администратора на самом деле было бы хуже ситуация, чем у нас была с XP) или вообще отключить UAC (не менее плохой результат).

Добро пожаловать на сцену: виртуализация UAC

Поэтому Microsoft придумала виртуализацию UAC (или виртуализацию UAC, для тех из нас, кто говорит по-английски). Поскольку ожидается, что эти приложения смогут записывать в путь к программному файлу, виртуализация UAC скрывает истинный путь к целевой папке для приложения и представляет его с доступным для записи контейнером в пользовательском пути (аналогично символической ссылке или соединению). Что касается приложения, то оно имеет доступ на запись к тому, что ему нужно, но на самом деле вместо записи в C:Program Files оно фактически записывает в %LOCALAPPDATA%VirtualStore (где Windows делает копию всех файлов путей программы в первый раз). приложение пытается писать в них).

Интересно, что если у программы есть возможность открыть браузер файлов, который она может предоставить пользователю, вы обнаружите, что она по-прежнему думает, что файлы, с которыми она работает, находятся именно там, где она ожидает их видеть. – в дереве каталогов C:Program Files. Но за пределами приложения вы можете видеть, что оно на самом деле манипулирует файлами в виртуальном магазине — никакие действия из виртуализированной программы не позволят вам увидеть истинный путь.

Виртуализация UAC работает только в определенных обстоятельствах

Есть несколько предостережений, о которых следует помнить, чтобы убедиться, что виртуализация UAC работает:

  1. Только для 32-разрядных приложений. Все совместимые с AMD64 приложения были созданы после того, как были приняты эти фундаментальные дизайнерские решения, и по самой своей природе они не могут быть написаны для обращения к системным файлам «старым способом», для которого была создана виртуализация UAC. (Приложения IA64 имеют свой особый набор проблем.)
  2. У пользователя должен быть доступ на запись к файлам по исходному пути к файлу. Попытка записи в любые файлы с правами только на чтение приведет к краху всего карточного домика (т. е. вызовет сбой приложения с кодом ошибки).
  3. Виртуализация UAC не может применяться к приложениям, работающим от имени администратора или иным образом с повышенными правами — она должна работать в контексте стандартного пользователя.
  4. Виртуализация UAC отключена по умолчанию — ее нужно включить явным образом.

Виртуализация реестра?

Виртуализация реестра — это более конкретный термин для виртуализации UAC, применяемый специально для вызовов реестра. В этом случае виртуализация реестра завершается ошибкой, если администратор не может записать в вызываемый ключ(и) (аналогично требованию «B» выше).

Правильный манифест приложения гарантирует, что виртуализация UAC не применяется

UAC также использует XML-файл манифеста приложения. Это строка в файле манифеста, которая сообщает Windows, на каком уровне доступа должно работать приложение при выполнении. Варианты

  • "asInvoker" (тот же токен доступа, что и у родительского процесса, т. е. текущий пользовательский контекст)
  • 'highestAvailable' (самые высокие привилегии, которые может получить текущий пользователь)
  • requireAdministrator (может работать только от имени администратора — это флаг, который вызывает запрос UAC, который нам всем так нравится)

Если ни один из них не присутствует, Windows автоматически виртуализирует приложение (при условии, что такое поведение включено).

Виртуализация UAC молча обеспечила, чтобы все работало

Виртуализация UAC была создана, чтобы позволить устаревшим приложениям продолжать функционировать в новом мире UAC, имея возможность автоматически перенаправлять запросы на доступ к файлам со старого (неправильного) целевого пути программы на путь пользовательских данных, полностью прозрачный как пользователю, так и приложению. Как и все хорошие ИТ-решения — элегантные, совершенно невидимые и почти наверняка неизвестные, возможно, сотням тысяч людей, которые полагались бы на них каждый день в течение нескольких лет.

Не функция Windows 10! (и не полагайтесь на то, что он зависнет)

Некоторые ошибочно полагают, что виртуализация UAC — это функция Windows 10, но это не так. Он все еще существует, точно так же, как бесчисленные устаревшие функции продолжают развиваться и поддерживаться для небольшого количества крайних случаев, которые все еще нуждаются в них. Но эта функция была создана полтора десятилетия назад для решения проблемы, которая в большинстве случаев уже давно решена. Microsoft всегда заявляла, что это временная «промежуточная технология совместимости приложений», которая в конечном итоге будет удалена — она существует для того, чтобы позволить работать несовместимым устаревшим приложениям, но только в качестве временной меры, и разработчики в течение многих лет рекомендуется переводить свои программы в совместимое состояние (т. е. обновлять или заменять их чем-то, что больше не пытается записывать в важные системные области).

Активация виртуализации UAC выполняется в рамках групповой политики. Перейдите к разделу «Конфигурация компьютера», «Политики», «Параметры Windows», «Параметры безопасности», «Локальные политики» и «Параметры безопасности». Прокрутите вправо до нижней части окна политики параметров безопасности. Последняя политика называется «Контроль учетных записей пользователей: виртуализация ошибок записи файлов и реестра в местоположения для каждого пользователя»:

Установите флажок "Определить этот параметр политики" и измените переключатель на "Включено":

Не пытайтесь повторить это дома

Конечно, вам никогда не необходимо это делать. Если вы никогда не слышали об этой функции раньше, это потому, что вы никогда не сталкивались с устаревшим приложением, которое нуждалось в ней, и маловероятно, что это изменится в вашей будущей карьере. Но не помешает узнать, что это было и почему это было необходимо, хотя бы для того, чтобы понять, что такие слова, как «виртуализация», могут означать совершенно разные вещи в разных контекстах. Это, а также то, как одно, казалось бы, безобидное изменение в групповой политике может вызвать столь элегантное и сложное изменение в том, как Windows обрабатывает запущенные приложения и может перехватывать и перенаправлять их вызовы файлов на лету под капотом. Заставляет задуматься, чего еще вы не знали об этих пятидесяти миллионах строк кода… Например, App-V.

Заключение

Виртуализация UAC была, по сути, обходным путем, позволяющим устаревшим программам, которые должны были хранить и изменять пользовательские данные в пути к папке приложения, продолжать работать в новых, более безопасных и лучше организованных структурах данных, представленных в Windows Vista наряду с пользовательскими. Функции безопасности контроля учетных записей. Это относилось как к файлам, так и к целям реестра и было достигнуто за счет динамического перенаправления вызовов доступа к файлам с путей приложений на пути пользовательских данных таким образом, который был полностью прозрачным для программного обеспечения. Термин «виртуализация» здесь относится к папкам и данным, которые появляются только в ожидаемом месте «виртуально», тогда как на самом деле они находятся в совершенно другом месте.

Имеете ли вы практический опыт работы с виртуализацией UAC? Дайте нам знать в разделе комментариев ниже.

UAC означает «Контроль учетных записей пользователей». Это область управления программным обеспечением, которая изолирует основные компоненты операционной системы от потенциально опасных изменений. Это уровень доступа, который в Unix-подобных системах называется «root», а в системах Windows известен как привилегии администратора.

Пользователи Windows чаще всего сталкиваются с UAC, когда пытаются установить новое программное обеспечение. Это всплывающее сообщение с запросом на авторизацию для разрешения установки является общедоступным лицом UAC.

Подробнее о UAC

Контроль учетных записей пользователей был интегрирован в Windows, начиная с Windows Vista в 2006 году, и был включен в Windows Server, начиная с версии 2008.

Система UAC позволяет программному обеспечению, установленному пользователем, работать в пользовательской области диска, и только программное обеспечение, установленное под учетной записью администратора, получает доступ к системным ресурсам. Программное обеспечение, установленное администратором, может запускаться пользователями без доступа к системным ресурсам или запускаться администратором для получения доступа к системе.

Цель UAC – повысить безопасность системы. Предполагается, что администратор в безопасной бизнес-среде доступен только ИТ-специалисту, который будет устанавливать только авторизованное и проверенное программное обеспечение. С другой стороны, пользователи не всегда могут быть уверены в том, что они будут принимать меры предосторожности в отношении того, что они загружают.

Пользователей легко обманом заставить загрузить вредоносное ПО, встроенное в изображение или файл PDF. Без прав администратора программное обеспечение, получающее доступ к конечной точке через учетную запись пользователя, не сможет получить доступ к важным службам.

Области диска, которые заблокированы для учетных записей пользователей, включают каталоги %ProgramFiles%, %Windir%, %Windir%\system32. Служба UAC также блокирует доступ для записи к пути реестра HKEY_LOCAL_MACHINE\Software\.

Всплывающее окно UAC

Это всплывающее окно с разрешениями является ключевой частью UAC. Он запускает настройку в операционной системе, чтобы либо облегчить действия в конфиденциальных каталогах ОС с разрешения, либо заблокировать такой доступ, если в разрешении отказано.

Доступ к системе необходим только во время установки и обновления программного обеспечения. Рабочие переменные, временное хранилище и данные сеанса должны храниться в папках, принадлежащих пользователю. Системные настройки следует записывать только в общую редактируемую папку, например %programdata%.

Жесткая организация данных и настроек выгодна для всех пользователей. Если один пользователь на устройстве может настраивать программное обеспечение, эти личные настройки не влияют на других пользователей на этом компьютере.

Виртуализация

Существует несколько типов виртуализации. Общая цель этой стратегии – использовать программное обеспечение для создания среды, имитирующей реальный ресурс, например, отдельный сервер или аппаратное обеспечение ПК.

Одним из наиболее широко применяемых типов виртуализации является «виртуальная машина» или ВМ. Это отдельная операционная система, которая плавает поверх настоящей ОС. Он предоставляет службы, которые требуются программному обеспечению от операционной системы, не позволяя этому программному обеспечению получить реальный прямой доступ к фактической ОС.

Виртуальная машина является посредником между программным обеспечением и операционной системой. В некоторых случаях эта конфигурация позволяет запускать программное обеспечение, написанное для одной операционной системы, на компьютере, на котором эта операционная система фактически не установлена. Например, можно запускать программное обеспечение, написанное для Linux, на компьютере с операционной системой Windows. Если виртуальная среда доступна для интерпретации Linux-совместимых требований программного обеспечения в запросы, которые Windows может понять, это похоже на интерпретатор.

Виртуализация UAC

В случае виртуализации UAC виртуальная машина работает под управлением Windows и работает поверх Windows. Целью двойной операционной системы является не обеспечение совместимости в ОС, а обслуживание проверенного устаревшего программного обеспечения, которому действительно требуется доступ к этим системным областям при запуске пользователями.

Вместо того, чтобы быть посредником между двумя разными операционными системами, виртуализация UAC предоставляет службы, которые необходимы программному обеспечению для запуска в учетной записи пользователя, не нарушая строгой системной изоляции UAC. Доступ к папкам, которые нужны программе, заблокирован, и это может привести к зависанию или падению программы.

Внедрение виртуализации контроля учетных записей было необходимым шагом для перехода к внедрению контроля доступа пользователей. Без этой временной меры большая часть программного обеспечения, созданного для работы в Windows, перестала бы функционировать. Хотя производители программного обеспечения со временем должны были написать новые версии своих продуктов, полное переписывание, которое требовалось UAC, потребовало бы времени. Такие серьезные изменения обычно зарезервированы для новых выпусков и не считаются обновлениями.

Компании-разработчики программного обеспечения, специализирующиеся на продуктах для Windows, не могли позволить себе списать инвестиции, уже сделанные в их продукты. Когда выпускаются новые издания, поставщики рассчитывают для них срок службы и ждут, пока все затраты не будут возмещены, прежде чем писать новые версии.

Виртуализация UAC сопоставляет требования к системным папкам устаревшего программного обеспечения и папкам, принадлежащим пользователям, которые Windows теперь ожидает, что программное обеспечение будет использовать при запуске из учетных записей пользователей.

Манифест приложения

Не всему программному обеспечению потребуется доступ к защищенным системным областям. Некоторые программы загружаются в виде исполняемых файлов и запускаются из любого места на компьютере. Основной вопрос о том, должна ли программа записывать файлы в зарезервированные каталоги, сводится к организации потребностей в доступе к папкам.

Установщик сообщает операционной системе, какой доступ к папке ожидает программа как для установки, так и всякий раз, когда она запускается через записи в манифесте приложения. Это XML-документ, сопровождающий программы в установочном пакете.

  • asInvoker Запускать с тем же токеном доступа, что и родительский процесс.
  • highestAvailable Получить самые высокие привилегии, которые может получить текущий пользователь.
  • requireAdministrator Эта программа может работать только от имени администратора.

Windows всегда будет использовать виртуализацию UAC для программного обеспечения, которое помечено как требующее доступа администратора. Этот тип программного обеспечения всегда будет провоцировать появление всплывающего окна разрешения UAC при каждом запуске. Этот статус установлен по умолчанию. Таким образом, если манифест приложения отсутствует или отсутствует требуемое разрешение на выполнение, программное обеспечение автоматически получает статус requireAdministrator и всегда будет виртуализировано.

При вызове виртуализации UAC

Виртуализация UAC — это механизм в Windows, его нельзя применять по желанию. В обращении нет пакета гипервизора UAC. Это не утилита в среде разработчика, и для нее нет API. Короче говоря, вы не можете использовать виртуализацию UAC.

Процесс виртуализации UAC применим не ко всему программному обеспечению. Вот некоторые обстоятельства, которые следует учитывать при выборе того, будет ли виртуализация UAC использоваться для приложения:

  1. Виртуализация UAC вызывается только для программного обеспечения, когда оно запускается из учетной записи пользователя. Приложениям, работающим от имени администратора, это не нужно.
  2. Виртуализация UAC должна быть включена и активна на хосте.
  3. Программы, работающие в 64-разрядной среде, не нуждаются в виртуализации контроля учетных записей. Это относится только к 32-разрядному программному обеспечению.
  4. Учетная запись пользователя должна иметь доступ на запись к файлам по исходному пути к файлу.

Управление контролем учетных записей пользователей

Поведение контроля учетных записей пользователей можно изменить на каждом компьютере под управлением Windows. Этот параметр доступен в меню «Настройки», и вы можете перейти к нему, щелкнув значок шестеренки «Настройки» в меню «Пуск», а затем введя «Контроль учетных записей пользователей» в строке поиска «Настройки».

  • Всегда уведомлять
  • Уведомлять меня только тогда, когда программы пытаются внести изменения в мой компьютер
  • Уведомлять меня только тогда, когда программы пытаются внести изменения в мой компьютер (не затемнять мой рабочий стол)
  • Никогда не уведомлять

Ниже вы найдете более подробную информацию о каждом из этих вариантов.

Всегда уведомлять

Это самая жесткая настройка. Он вызывает всплывающее окно с уведомлением, когда программа собирается быть установленной или обновленной, а также когда вы или любые программы пытаетесь изменить настройки Windows. Все задачи на компьютере будут заморожены до тех пор, пока вы не ответите.

Этот вариант рекомендуется для компьютеров, на которых часто устанавливается новое программное обеспечение, и для людей, которые посещают незнакомые веб-сайты.

Уведомлять меня только тогда, когда программы пытаются внести изменения в мой компьютер

Это значение по умолчанию для UAC. Он будет уведомлять пользователя компьютера, когда программы пытаются установить программное обеспечение или внести изменения в ваш компьютер. Он не будет отображать всплывающее окно с разрешением, когда вы самостоятельно вносите изменения в настройки своего компьютера. Все задачи на компьютере будут заморожены до тех пор, пока вы не ответите.

Этот вариант рекомендуется тем, кто часто устанавливает новое программное обеспечение и посещает незнакомые веб-сайты, но не хочет получать уведомления о своих действиях, которые изменяют настройки Windows.

Уведомлять меня только тогда, когда программы пытаются внести изменения в мой компьютер (не затемнять мой рабочий стол)

Этот параметр вызывает всплывающее окно с разрешениями, когда программы пытаются установить программное обеспечение или внести изменения в компьютер, но не уведомляет тех пользователей, которые вносят изменения в настройки Windows вручную. В отличие от двух предыдущих вариантов, этот параметр не замораживает другие задачи и не ждет ответа.

Этот вариант рекомендуется только в том случае, если по какой-то причине процесс уведомления на компьютере работает настолько медленно, что становится серьезным неудобством для пользователя.

Никогда не уведомлять

Этот параметр отключает контроль доступа пользователей. Вы не получите всплывающее окно с разрешениями ни при каких обстоятельствах.

Этот параметр создает угрозу безопасности.

Виртуализация реестра

Виртуализация реестра — это применение виртуализации UAC к системному реестру. Цель этой функции — заблокировать доступ к глобальным записям реестра, в то же время позволяя программному обеспечению, которому требуется такой доступ, продолжать функционировать. Поскольку UAC интерпретирует доступ к папкам и перенаправляет действия записи в каталоги, контролируемые пользователем, виртуализация реестра переключает попытки записи в глобальные переменные в более безопасные ключи реестра учетных записей пользователей.

Как и в случае виртуализации контроля учетных записей на основе файлов, программное обеспечение выполняет все предварительно написанные процедуры, создавая и обновляя значения ключей реестра, не нанося вреда этим глобальным областям реестра.

Виртуализация реестра реализована только для того, чтобы позволить устаревшим системам продолжать работу. Потребность в этой услуге, вероятно, к настоящему времени почти полностью исчезла. Любое программное обеспечение, написанное после 2006 года, не нуждается в службе виртуализации реестра, поскольку оно должно было быть написано в соответствии с рекомендациями разработчиков Microsoft. В этих рекомендациях объясняется разница между использованием записи глобального реестра и ключами реестра, доступными для учетных записей пользователей.

Будущее виртуализации UAC

Виртуализация UAC была создана для обеспечения обратной совместимости, когда Microsoft запустила свою новую архитектуру. Это метод предотвращения сбоев устаревшего программного обеспечения, поскольку им больше не разрешено записывать файлы, пути и имена которых жестко запрограммированы.

Это показывает, что у виртуализации UAC нет будущего — все в прошлом. Со временем система виртуализации UAC становится все более избыточной. Поскольку UAC входит в состав Windows с 2006 года, на протяжении 25 лет он является экологически безопасным. Шансы на то, что программное обеспечение, написанное более 25 лет назад, все еще активно без каких-либо новых версий или обновлений, невелики. Во-первых, старое программное обеспечение очень подвержено атакам хакеров. Сканеры уязвимостей особенно ищут старое программное обеспечение при проверке компьютеров и сетей в поисках пути проникновения.

Виртуализация UAC в Windows 10

Если вы используете Windows 10, вы можете поискать настройки виртуализации UAC и посмотреть, включена ли эта функция.

Для этого:

  1. Нажмите кнопку Windows и клавишу "R", чтобы открыть окно "Выполнить".
  2. Введите secpol.msc и нажмите «ОК», чтобы открыть приложение «Локальная политика безопасности».
  3. В окне «Локальная политика безопасности» разверните «Локальные политики» и нажмите «Параметры безопасности» на левой панели.
  4. Прокрутите список политик на главной панели вниз, пока не дойдете до элемента Контроль учетных записей: виртуализация ошибок записи файлов и реестра в расположения для каждого пользователя.

Статус этого параметра должен быть включен. Если это не так:

  1. Дважды щелкните строку контроля учетных записей пользователей. Появится всплывающее окно.
  2. Нажмите переключатель "Включено".
  3. Нажмите "ОК", чтобы закрыть всплывающее окно.

Другие методы защиты системы

Обычному пользователю Windows не нужно беспокоиться о виртуализации UAC, а разработчику программного обеспечения, предназначенного для использования в Windows, также не нужно беспокоиться о виртуализации UAC, поскольку современные методы программирования Windows делают эту услугу ненужной.

Существует комплексная система безопасности Windows, которая защищает устройства от несанкционированного доступа, и есть несколько настроек, которые вы можете посмотреть в Windows, чтобы улучшить защиту системы.

Первое, на что вы можете обратить внимание, — это защита от несанкционированного доступа, которая не позволяет вредоносным программам вмешиваться в антивирусные настройки вашего устройства и изменять их. Чтобы убедиться, что это включено:

  1. Введите Безопасность Windows в поле поиска меню "Пуск".
  2. Выберите в результатах приложение для обеспечения безопасности Windows.
  3. Нажмите "Защита от вирусов и угроз".
  4. Посмотрите в нижнюю часть главной панели на этом экране и нажмите "Управление настройками".
  5. Защита от несанкционированного доступа — четвертый параметр на этом экране. Убедитесь, что он включен.

Необходимо также убедиться, что включены Защита в режиме реального времени, Защита в облаке и Автоматическая отправка образцов.

Другой важной заменой защиты виртуализации UAC является система контролируемого доступа к папкам. Это не позволяет вредоносным программам изменять расширения файлов, чтобы скрыть их, или изменять имена системных папок. Доступ к этому также можно получить с экрана настроек защиты от вирусов и угроз, где вы включили защиту от несанкционированного доступа.

  1. На экране настроек защиты от вирусов и угроз. Прокрутите вниз до пункта «Управление контролируемым доступом к папкам» и нажмите на него.
  2. На следующем экране, посвященном защите от программ-вымогателей, переместите ползунок для Контролируемого доступа к папкам в положение Вкл.
  3. Вы попадете во всплывающее окно разрешения контроля учетных записей. Нажмите Да, чтобы принять изменение.

Заключение

Виртуализация UAC была временной мерой, позволившей продолжить работу большой библиотеки программного обеспечения, доступного для Windows. Без этого решения большое количество приложений, доступных для Windows, перестало бы работать, когда была представлена ​​Windows Vista.

С течением времени виртуализация UAC становится все более ненужной. Однако, как вы видели, он все еще есть в Windows 10, и вы, вероятно, увидите, что он включен на вашем компьютере.

Решение виртуализации для UAC было продуманным, и его методы оказались полезными для любого сценария защиты системы. На самом деле многие системы безопасности работают на виртуализации, классифицируя их как «виртуальные устройства». Изоляция операционной системы и приложений работает в обе стороны. Это также может помешать хакерам проникнуть в программное обеспечение и изменить его, заблокировав маршрут доступа через операционную систему.

Часто задаваемые вопросы о виртуализации UAC

Должен ли я отключить виртуализацию UAC?

Виртуализация UAC — это фундаментальный элемент стратегии безопасности Micorosft для Windows. Отключение контроля учетных записей лишает вас преимуществ встроенных процедур безопасности.

Как сделать исполняемый файл не подлежащим виртуализации UAC?

Существует два способа исключения исполняемого файла из виртуализации контроля учетных записей. Первый заключается в разработке программного обеспечения в виде переносимого пакета, который не нужно устанавливать, но который будет работать как файл в том месте, где он был загружен. Другой способ избежать запуска виртуализации UAC при запуске программы. Другой способ — включить манифест приложения вместе с его установщиком. Он должен содержать запись для запрашиваемогоExecutionLevel со значением asInvoker или максимально доступным.

В этом посте вы узнаете, как проверить, запущен ли процесс от имени администратора в Windows 10. Существуют определенные процессы, которые необходимо запускать с правами администратора или повышенными привилегиями для выполнения задач. Если вы попытаетесь запустить такие приложения или процессы без прав администратора, может появиться сообщение об ошибке «Отказано в доступе», «Нет разрешения» или запрос на согласие с контролем учетных записей (UAC) для использования полного доступа администратора. Чтобы оптимизировать ошибку, если вы узнаете, какие приложения или процессы должны иметь права администратора, которые было бы легко правильно выполнить.

Проверить, запущен ли процесс от имени администратора

Давайте выполним следующие шаги, чтобы узнать, запущен ли процесс от имени администратора (с повышенными правами) в Windows 10.

  • В Windows 10 откройте диспетчер задач и нажмите «Подробнее», чтобы развернуть отображаемую информацию.

Как проверить, запущен ли процесс от имени администратора в Windows 10

  • Перейдите на вкладку "Подробности".Чтобы добавить виртуализацию UAC с повышенными правами, щелкните правой кнопкой мыши имя столбца и выберите "Выбрать столбцы".

Как проверить, запущен ли процесс от имени администратора в Windows 10

Как проверить, запущен ли процесс от имени администратора в Windows 10

  • В Диспетчере задач из всех запущенных процессов вы можете легко увидеть, какой процесс запущен с правами администратора/повышенными привилегиями в колонке Elevated, виртуализация UAC.

В столбце с повышенными привилегиями вы получите два результата Да или Нет. Да означает, что определенный процесс выполняется с повышенными привилегиями. Нет указывает, что конкретный процесс запущен без прав администратора

В столбце UAC Virtualization вы получите один из следующих результатов:

Как проверить, запущен ли процесс от имени администратора в Windows 10

Читайте также: