Controlul contului utilizatorului

Controlul contului utilizatorului ( în engleză User  Account Control , UAC ) este o componentă a sistemelor de operare Microsoft Windows care a apărut pentru prima dată în Windows Vista . Această componentă solicită confirmarea acțiunilor care necesită drepturi administrative pentru a proteja împotriva utilizării neautorizate a computerului. Administratorul computerului poate dezactiva Controlul contului utilizator din Panoul de control .

Condiții preliminare pentru creare

Restricționarea drepturilor sub care rulează aplicațiile (cum ar fi distincția între „ superutilizator ” și „utilizatori normali”) a fost obișnuită în sistemele de operare server și mainframe de zeci de ani . Sistemele de operare de acasă ale Microsoft (cum ar fi MS-DOS , Windows 3.x și Windows 9x ) nu aveau separarea drepturilor: programul putea efectua orice acțiune pe computer. Din acest motiv, computerele publice au fost rapid infectate cu malware .

În ciuda apariției separării drepturilor în Windows NT , utilizatorii, din obișnuință și pentru comoditate, au folosit un cont cu drepturi de administrator pentru a lucra , încălcând principiul „rulează orice program cu cele mai mici drepturi posibile”. În plus, multe programe scrise pentru Windows 9x sau testate numai cu drepturi de superutilizator nu au funcționat cu drepturi reduse - de exemplu, au stocat fișiere de configurare în directorul cu programul sau într-o ramură de registry comună tuturor utilizatorilor .

Se dovedește un cerc vicios : dezvoltatorii fac software care necesită drepturi extinse de utilizator, deoarece utilizatorii „stau ca administratori”; utilizatorii își fac munca zilnică cu drepturi de administrator, deoarece software-ul o cere. Prin urmare, în ciuda faptului că linia de sisteme de operare Windows 9x nu a fost produsă de mulți ani, pe majoritatea computerelor cu Windows 2000 și versiuni ulterioare, sistemul de control al accesului este inactiv, iar programele rău intenționate primesc drepturi de administrator. Propaganda Microsoft care a cerut ca programele să fie compatibile cu controlul accesului a funcționat, dar încet – multe programe (în special utilități mici scrise de persoane singure) au continuat să efectueze operațiuni cu privilegii ridicate. Pentru a convinge dezvoltatorii să scrie mai multe programe „securizate”, a fost dezvoltat Controlul contului utilizatorului.

Cum funcționează

Dacă programul solicită o acțiune care necesită drepturi de administrator, execuția programului este suspendată și sistemul emite o solicitare utilizatorului. Fereastra promptă este plasată pe un desktop securizat pentru a împiedica programul să „apăseze” butonul de permisiune.

Deci, solicitările sunt emise atunci când se încearcă modificarea orei sistemului, instalarea unui program, editarea registrului, schimbarea meniului Start .

Există și „virtualizarea directorului și a registrului”: un program care încearcă să scrie ceva în director %PROGRAMFILES%\Папка\Пример.iniscrie acel fișier în director %USERPROFILE%\AppData\Local\VirtualStore\Program Files\Папка\Пример.ini. Acest lucru asigură compatibilitatea programelor mai vechi cu controlul accesului.

Lista acțiunilor de declanșare

Iată o listă (parțială) de acțiuni care declanșează Controlul contului de utilizator [1] :

• Modificări ale directoarelor %SYSTEMROOT%și %PROGRAMFILES% - în special, instalarea /eliminarea programului, driverelor și componentelor ActiveX ; modificați meniul de pornire pentru toți utilizatorii.
• Instalarea actualizărilor Windows , configurarea Windows Update .
• Reconfigurarea paravanului de protecție Windows .
• Reconfigurarea controlului contului utilizatorului în sine.
• Adăugarea/ștergerea conturilor.
• Reconfigurarea restricțiilor parentale .
• Configurarea programatorului de sarcini .
• Restaurarea fișierelor de sistem Windows dintr-o copie de rezervă.
• Orice acțiuni în directoarele altor utilizatori.
• Modificarea orei curente (modificarea fusului orar nu declanșează Controlul contului de utilizator).
• Apelați Editorul Registrului .
• Instalarea unor programe

Există trei moduri de a scrie un program care este compatibil cu User Account Control.

1. Specificați nivelul de acces al aplicației în resursa manifestasInvoker : , highestAvailablesau requireAdministrator. Toate trei dezactivează virtualizarea directoarelor, dar asInvokervor avea drepturi de utilizator, iar restul de două vor cere o elevație la pornire.
2. Faceți funcțiile care necesită privilegii ridicate un fișier separat .EXEcu privilegii highestAvailablesau requireAdministratorrulați-l cu ShellExecute cu lpOperationegal cu runas.
3. Faceți disponibile funcțiile care necesită privilegii ridicate prin obiectul COM . În acest caz, serverul COM.EXE trebuie să fie un fișier cu drepturi highestAvailablesau requireAdministrator.

Conform recomandărilor Microsoft , elementele de interfață care necesită controlul contului utilizatorului trebuie să aibă o pictogramă de scut.

Dezavantaje

• Multe programe dezvoltate înainte de Windows Vista sunt fie complet incompatibile, fie necesită îngrijire specială în timpul instalării și configurării. De fapt, acest dezavantaj se referă mai mult la versiuni de software învechite sau la programe învechite.
• Fereastra promptă nu oferă utilizatorului suficiente informații pentru a identifica programul și acțiunea pentru care sunt necesare drepturi suplimentare.
• Necesitatea de a reporni programul pentru a îndeplini unele dintre funcțiile acestuia. De exemplu, Microsoft Visual Studio necesită o repornire a administratorului atunci când încearcă să deschidă un fișier dump și alte operațiuni.
• Windows 7 codifică multe aplicații grupate ca fiind de încredere, astfel încât codul care declanșează alte aplicații nu funcționează pentru ele în setarea implicită, făcându-le intermediari potențiali pentru programele terțe pentru a efectua acțiuni periculoase ocolind conturile de utilizator Control [2] .
• Cu UAC activat, multe programe care necesită elevare pot să nu ruleze cu drepturi de utilizator, deși funcționează cu succes cu drepturi de utilizator atunci când UAC este dezactivat într-un cont Standard Access (în Windows 7) sau Standard (în Windows 10). Chiar dacă încercați să le rulați sub contul „Normal” sau „Standard”, UAC va apărea în continuare (dacă este activat), iar dacă fereastra „Permite următorului program să facă modificări pe acest computer?” apăsați butonul „Da” - programul poate fi lansat cu drepturi ridicate (drepturile pot fi vizualizate, de exemplu, în programul Anvir Task Manager). Când faceți clic pe butonul „Da”, nu toate programele vor rula cu drepturi ridicate, unele pot rula cu drepturi limitate. Dacă faceți clic pe butonul „Nu”, programul fie va fi lansat cu drepturi limitate, fie va ieși.

Dezavantajul UAC în acest caz este că utilizatorul nu poate ști cu ce drepturi va fi lansat programul dacă este apăsat butonul „Da” - cu limitat sau ridicat (complet).

Personalizare

În Windows Vista , Controlul contului utilizatorului poate fi dezactivat în aplicația Panoul de control al conturilor utilizatorului , dar nivelul de confidențialitate și integritate al programelor și datelor va fi redus semnificativ.

În Windows 7, Controlul contului de utilizator a fost îmbunătățit, în special, în panoul de control, în loc de o singură setare care fie a activat, fie a dezactivat-o, au apărut patru moduri de funcționare:

• „Anunțați întotdeauna”.
• „Anunțați-mă numai când programele încearcă să facă modificări în computerul meu”.
• „Anunțați-mă numai când programele încearcă să facă modificări în computerul meu (nu întuneca desktopul).”
• „Nu notifica niciodată” (UAC va fi dezactivat numai după o repornire a Windows).

Note

1. ↑ Ce declanșează solicitările de control al contului de utilizator? (link indisponibil) . Consultat la 5 septembrie 2008. Arhivat din original la 15 octombrie 2007. (nedefinit) 
2. ↑ Lista albă UAC Windows 7: Problemă de injectare de cod (și multe altele) Arhivată 25 aprilie 2012 la Wayback Machine  

Link -uri

• Chris Corio. Lucrul cu Controlul contului de utilizator în aplicațiile Windows Vista