- Забезпечте безпеку вашого комп'ютера без нав'язливих повідомлень системи Контролю облікових записів....
- Виконуйте вхід в систему від імені непривилегированного користувача
- Створіть спеціальну адміністративну командний рядок
- Вимкніть тільки частина UAC
Забезпечте безпеку вашого комп'ютера без нав'язливих повідомлень системи Контролю облікових записів.
Без сумніву, самої дратівної особливістю Windows Vista є Контроль облікових записів (User Account control, або скорочено UAC). Якби Windows Vista питала б наше дозвіл тільки при установці програмного забезпечення, це було б ще можна стерпіти. Але UAC не зупиняється на цьому! Тільки спробуйте додати, видалити, або перейменувати будь-яку папку меню Пуск, або змінити час на комп'ютері! Будь-яка спроба виконати різні щоденні і відносно безпечні дії змусять ваш екран потемніти, з подальшим завжди несподіваним вискакуванні вікна зі страшним питанням, вимагаючи додаткового клацання миші! Відомі також випадки відмов системи при інсталяції додатків, зокрема 1С, при включеній системі UAC.
Перше, що спадає на думку, повністю відключити UAC, що власне і робить переважна більшість користувачів. Для цього всього лише потрібно вибрати Пуск, Панель керування, клацнути на облікових записів користувачів і вибрати в відобразилися результатах Облікові записи користувачів. Потім клацнути на включення або відключення контролю облікових записів (UAC), після чого відповісти Продовжити (що ще можна було б очікувати?) На запит самої ж UAC. Тепер залишається тільки зняти галочку з "Використовуйте контроль облікових записів (UAC) для захисту комп'ютера", погодитися з необхідністю перезавантажити комп'ютер і вас більше не турбуватимуть попередження UAC.
На жаль, цей найпростіший метод піддасть ваш комп'ютер набагато більшому ризику, особливо, якщо ви працюєте під обліковим записом адміністратора, ніж ризик нервового зриву від нав'язливих віконець UAC. У цій статті ми обрисуємо в загальних рисах деякі способи тримати UAC під контролем (контролювати Контроль облікових записів!) І при цьому продовжувати залишатися захищеним.
Тримайте UAC включеним, тільки коли це необхідно
Перший спосіб полягає в тому, щоб залишити UAC функціонуючим в звичайному повсякденному режимі роботи і відключати його, коли потрібно внести зміни в систему за допомогою аплетів панелі управління або при установці нового обладнання. Вимкнення за допомогою Панелі управління вимагає декількох кроків, але можна спростити процес, створивши командні файли, один для відключення UAC, а інший для його включення. На жаль, перемикання все-таки вимагає перезавантаження комп'ютера, але, по крайней мере, велика частина дій буде виконана з командного файлу.
Відкрийте блокнот або інший ваш улюблений текстовий редактор і в першому рядку надрукуйте
% windir% \ System32 \ reg.exe ADD HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System / v EnableLUA / t REG_DWORD / d 0 / f
натисніть Enter. Цей рядок відключає UAC.
У наступному рядку наберіть
shutdown / r / t 20 / c "Restarting your system in 20 seconds. To cancel, choose Start, type shutdown / a and press Enter"
і натисніть Enter знову. Цей рядок перезавантажує комп'ютер через 20 секунд і виводить інструкцію, як при необхідності скасувати перезавантаження. Якщо ви побажаєте, щоб повідомлення було російською мовою, не забудьте перед збереженням тексту вибрати кодування CP866. Ви можете вибрати інше значення часу затримки до перезавантаження, відмінне від 20 секунд. Після чого виберіть Файл, Зберегти як, вкажіть папку збереження, наберіть ім'я файлу з розширенням .cmd.
Тепер створіть ярлик на файл, який ви тільки що створили. Для цього в Провіднику перейдіть до місцезнаходження файлу, перетягніть піктограму файлу правою кнопкою миші в бажане місце розташування, після того, як відпустіть кнопку миші з контекстного меню виберіть Створити ярлики. Клацніть правою кнопкою на створеному ярлику і виберіть Властивості, у вікні на закладці Ярлик натисніть кнопку Додатково. Виберіть Запуск від імені адміністратора і двічі натисніть OK. Згодом, коли ви будете запускати командний файл за допомогою цього ярлика, UAC буде видавати попередження (тому що в той час він буде в занедбаному стані), однак після підтвердження у вас вже буде досить привілеїв для виконання команд.
Для створення командного файлу по поверненню UAC в робочий стан переключіться знову в Блокнот і виберіть Файл, Створити. Надрукуйте
% windir% \ System32 \ reg.exe ADD HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System / v EnableLUA / t REG_DWORD / d 1 / f
і натисніть Enter. У другому рядку повторіть команду з попереднього файлу виключення UAC, щоб додати функцію перезавантаження. Збережіть файл з розширенням cmd. Оскільки ви будете виконувати цей файл при вимкненому UAC, немає необхідності створювати ярлик і призначати йому запуск з привілеями адміністратора. Для включення UAC тепер досить запустити цей командний файл і дозволити йому перезавантажити комп'ютер.
Оскільки обидва командних файлу перезавантажують систему, рекомендується перед тим, як їх запускати, зберігати роботу в інших відкритих додатках. Зазвичай додатки самі пропонують зберегти роботу перед перезавантаженням, однак ніщо не заважає про всяк випадок зробити це вручну заздалегідь.
Виконуйте вхід в систему від імені непривилегированного користувача
Якщо ви дійсно не можете терпіти сусідство з UAC, розгляньте варіант входу в систему від особи не адміністратора, обмежте в правах обліковий запис, в якій ви щодня працюєте. Чим менше привілейований профіль ви використовуєте, тим вища безпека системи. Необхідно відзначити, що робота в unix-системах, надійність і безпеку яких завжди вважалися еталонними, ведеться від імені звичайного користувача, і лише іноді при необхідності виконання команд і додатків проводиться від імені root (адміністратора системи).
Один із способів знизити в привілеях обліковий запис - це скористатися консоллю адміністрування Локальні користувачі та групи (локально), виконавши lusrmgr.msc.
Однак цей інструмент є тільки в редакціях Windows Vista Business і Windows Vista Ultimate, і відсутня в редакціях в Windows Vista Home Basic і Windows Vista Home Premium, якими комплектуються більшість сучасних ноутбуків і комп'ютерів. В цьому випадку можна вибрати Пуск, Панель керування, клацнути на облікових записів користувачів і вибрати в відобразилися результатах Облікові записи користувачів. Потім клацнути на Управління обліковими записами користувачів. Тут потрібно буде знову підтвердити свої дії в черговому попередженні UAC. А тепер, перш ніж продовжити, переконайтеся, що після процедури зниження привілеїв в системі залишиться ще хоча б одна обліковий запис з правами адміністратора під якою ви можете увійти в систему! Виберіть інший обліковий запис адміністратора, яку ви хочете знизити, натисніть Зміна типу облікового запису, виберіть Звичайний доступ і натисніть Зміна типу облікового запису.
З цього моменту використовуйте цю обліковий запис для повсякденної роботи. Коли ж виникне необхідність інсталювати програму або запустити його з правами адміністратора, клацніть правою кнопкою миші на exe-файлі додатки або його ярлику і виберіть Запуск від імені адміністратора. Після цього вам буде запропоновано вибрати обліковий запис адміністратора (якщо їх декілька) і ввести пароль. Працюючи з привілеями стандартного користувача, ви не тільки підсилите безпеку вашого комп'ютера (зокрема убезпечите систему від зараження різного роду троянськими програмами), але і не зможете зробити речі, які викликають інтерес з боку UAC.
Ви можете комбінувати цей спосіб і наступний для виконання додатків з привілеями адміністратора без виходу з системи поточної, обмеженою в привілеях, облікового запису.
Створіть спеціальну адміністративну командний рядок
Інший підхід - тримати UAC включеним, але мати спеціальну командний рядок з підвищеними привілеями, якщо вам належить виконати непоодинокі дії з обслуговування системи. Такий спосіб дозволяє виконувати програми та команди з підвищеними привілеями, відповівши на запит UAC лише одного разу при запуску самого адміністративного вікна командного рядка.
По-перше, створіть ярлик до командного рядка: Пуск, Пошук і введіть cmd.exe, перетягніть піктограму файлу правою кнопкою миші в бажане місце розташування, після того, як відпустіть кнопку миші з контекстного меню виберіть Створити ярлики. Клацніть правою кнопкою на створеному ярлику і виберіть Властивості, у вікні на закладці Ярлик натисніть кнопку Додатково. Виберіть Запуск від імені адміністратора і двічі натисніть OK.
Оскільки команди з цього вікна будуть виконуватися в привілеями адміністратора без попередження Контролю облікових записів, доброю думкою є змінити колір вікна на відмінний від стандартного з Властивостей ярлика на закладці Кольори.
Зміна кольорів у обраного ярлика в деяких випадках може змінити кольори і у основного ярлика в меню Пуск, який виконується з звичайними привілеями. В цьому випадку поверніть стандартні кольори основного ярлику - проблема не повинна повторитися.
Вимкніть тільки частина UAC
Доступний і більш вибірковий підхід до вимикання Контролю облікових записів. Хоча аплет панелі керування Облікові записи користувачів не дає можливість налаштувати UAC, можна скористатися Адміністративної консоллю Редактора локальної групової політики: клацніть Пуск, наберіть gpedit.msc і натисніть Enter. Підтвердіть ваші дії UAC. У дереві в лівій частині Редактора локальної групової політики переміститеся в гілку: Політика "Локальний комп'ютер" \ Конфігурація комп'ютера \ Конфігурація Windows \ параметри безпеки \ Локальні політики \ Параметри безпеки. У правій частині з'явиться список параметрів, що настроюються в алфавітному порядку, серед яких буде ряд налаштувань Управління обліковими записами користувачів. Ці установки можуть бути не зовсім зрозумілі, але деякі корисні речі з їх допомогою зробити все-таки можна. Наприклад, ви не заперечуєте проти запитів UAC при виконанні більшості завдань, але в не в силах терпіти його попередження при установці додатків, клацніть два рази на Управління обліковими записами користувачів: виявлення установки додатків і запит на підвищення прав, виберіть Відключений і натисніть ОК. Перезавантажте комп'ютер, щоб зміни вступили в силу.
Інший спосіб: залишити включеним UAC і налаштувати його так, щоб він не видавав повідомлення. На відміну від повного виключення UAC, режим придушення запитів в критичних випадках все одно переведе Internet Explorer в так званий захищений режим. Звичайно, такий режим UAC менш безпечний, ніж налаштований за замовчуванням, але він все-таки краще, ніж вимикання UAC в цілому. Щоб реалізувати такий підхід, зробіть подвійне клацання на Управління обліковими записами користувачів: поведінка запиту на підвищення прав для адміністраторів в режимі адміністративного. Виберіть із списку Підвищення без запиту і натисніть ОК. Що з'явилося повідомлення попередить вас про відключений UAC, можете його проігнорувати.
Слід також зауважити, що Редактор локальної групової політики є тільки в редакціях Windows Vista Business і Windows Vista Ultimate. У Windows Vista Home Basic і Windows Vista Home Premium, якими комплектуються більшість сучасних ноутбуків і комп'ютерів, вам доведеться редагувати системний реєстр. Перед внесенням змін до реєстру, як завжди попереджаємо про необхідність попереднього створення резервної копії , До якої можна повернутися в разі невдачі, тому що деякі зміни в реєстрі можуть зробити вашу систему повністю непрацездатною.
Після створення резервної копії, натисніть кнопку Пуск, надрукуйте в рядку пошуку regedit і натисніть Enter. У дереві реєстру в лівій частині Редактора реєстру знайдіть вузол
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System.
і подвійним клацанням на ключі ConsentPromptBehaviorAdmin в правій частині змініть його значення на 0. Після чого натисніть OK. Перезавантаження не потрібно, зміни вступлять в силу негайно.
У висновку хочеться відзначити, що розробники Microsoft врахували побажання користувачів щодо поведінки UAC, і в очікуваної наступної версії Microsoft Windows 7 система Контролю облікових записів може бути тонко налаштована для досягнення гармонії між безпеки системи і комфортом користувача!
Посилання по темі
О ще можна було б очікувати?