Все разделы сайта DANILIDI.RU
Оптимизация Виндовс 7
UAC в Windows 7
Люди, купившие себе компьютеры с предустановленной Vista, как правило радостнее тех, кто проапгрейдился с XP (особенно если апгрейд шел не по плану мастера обновления). То же самое можно сказать и о Windows 7.
Подробнее о безопасности в Windows 7
Даже выполнив все советы мастера обновления при апгрейде с Vista, мне все-таки пришлось плясать с бубном, чтобы восстановить свое подключение к сети PCMag.
Однако, даже большие фанаты Vista, которые никогда не испытывали каких-либо проблем с апгрейдом, должны признать, что UAC может быть очень раздражительным.
К счастью, уже разрабатывая Windows 7, Microsoft внесла в UAC значительные улучшения.
UAC Windows Vista
Vista разрабатывалась так, чтобы быть значительно безопаснее XP. И UAC стал краеугольным камнем схемы безопасности Vista. Целью UAC является запрет всех изменений системного уровня без разрешения администратора.
И даже если вы работает под аккаунтом администратора, все ваши действия выполняются на мало-привилегированном "Стандартном" уровне.
В результате, еще до того, как какой-нибудь мерзкий вирус (или даже полезное приложение) сможет сделать что-нибудь потенциальное опасное, вроде записи в папку Windows, ему придется получить на это разрешение.
Почему UAC
Всплывающие окна UAC в Виста особенно шокируют из-за так называемого "режима безопасности рабочего стола". Экран быстро темнеет, и все на нем за исключением окна UAC становится тусклым.
Более того, до тех пор пока вы не ответите на запрос UAC, все, что вы до его появления делали, является неактивным. Да, это может стать препятствием для вредоносных программ, однако это также может стать неприятным шоком и для вас.
Менее отпугивающим, но почти таким же раздражительным является сценарий "Я же тебе только что говорил!".
Каждый испытывал ТАКИЕ НЕПРИЯТНОСТИ:
Вы запускаете программу, и UAC незамедлительно задает вам вопрос, о том хотите ли вы запустить ее. Черт! Конечно, вы хотите! От таких вопросов пользователи могут действительно впадать в бешенство, и даже администраторам приходится постоянно кликать "Да".
А теперь представьте негодование стандартного пользователя, которому при этом приходится еще и вводить пароль администратора или, что еще хуже, идти искать администратора, чтобы тот ввел свой пароль.
В одном случае из тысячи всплывшее окно UAC действительно может предотвратить запуск вредоносной программы (и то, если пользователь нажмет "Нет"), однако в оставшихся 999 случаях оно вызывает лишь чувство раздражения.
В инженерном блоге Windows 7, Microsoft повторяла одну и туже фразу о том, что требование подтверждения UAC для каждого действия является необходимым, ведь оно заставляет вредоносную или плохо написанную программу обнаружить себя.
Такой же подход раньше использовался в файрволлах, которые наводняли нас непостижимыми очередями всплывающих окон - тьфу!
В действительности, дизайнеры Microsoft признали, что UAC не способен реально предотвратить работу вредоносной программы, т.к. пользователи не обладают достаточными знаниями, чтобы давать верные ответы на вопросы.
Большинство пользователей на все запросы UAC всегда отвечают Да и тем самым позволяют программе делать то, что она собиралась.
Цифры самой Microsoft показывают, что пользователи кликают Да в 90% случаев. Обычно этот ответ правильный, хотя в большинстве случаев пользователи не могут отличить крик UAC о правильной программе от вопля о вредоносной.
Большие идеи
В блоге Windows 7 инженеры Microsoft поздравили сами себя за то, что UAC заставил разработчиков программ использовать функционал, который не всегда требует привилегий администратора.
Однако, они признали наличие проблем и в самом UAC. Так, например, их исследования показали, что сама Windows является причиной примерно 40% запросов UAC. Нет, правда!
Компоненты Windows пытаются сделать что-либо важное, но UAC останавливает этот процесс, выбивая из пользователя согласие. В то же время разработчики Windows 7 заявили, что они ожидают меньшего числа запросов UAC от компонентов Windows.
В частности, цели они себе поставили такие:
Уменьшить число ненужных и чрезмерных запросов UAC
Дать пользователям уверенность в том, что все под контролем
Сделать запросы UAC более информативными
Предложить улучшенный и очевидный контроль над UAC
В результате, уже бета-версия Windows 7 показала улучшения UAC по этим целям. Все стало еще лучше в Windows 7 RC. Финальная же версия Windows 7 получила значительно менее раздражающий UAC, чем в Vista.
Ясный выбор
Там где запрос UAC в Vista просто сообщает, что "Windows нуждается в вашем разрешении на продолжение", Windows 7 может спросить, "Вы хотите разрешить следующей программе внести изменения на этот компьютер?" или "Для переименования этой папки вам необходимо предоставить разрешение администратора".
По словам Microsoft, ее исследования показали, что модифицированные таким образом запросы UAC легче понимаются пользователями.
У пользователей Vista была возможность отключить UAC. В то же время Windows 7 предлагает небольшую альтернативу полному отключению UAC.
Передвигая ползунок, пользователи могут настраивать UAC на четыре различных уровня уведомлений.
От самого раздражительного до самого простого (см. рисунок "зловещий uac"):
Уровень 4. Всегда уведомлять в следующих случаях: попытки программ установить ПО или внести изменения в компьютер; изменение параметров Windows пользователем.
Уровень 3. Уведомлять только при попытках программ внести изменения в компьютер. Не уведомлять при изменении параметров Windows пользователем.
Уровень 2. Уведомлять только при попытках программ внести изменения в компьютер (не затемнять рабочий стол). Не уведомлять при изменении параметров Windows пользователем.
Уровень 1. Никогда не уведомлять в следующих случаях: попытки программ установить ПО или внести изменения в компьютер; изменение параметров Windows пользователем.
По умолчанию устанавливается уровень 3. На этом уровне внесение изменений, инициированное программой, вызывает появлений запроса UAC.
Однако изменения, вносимые пользователем, запроса не вызывают. Увеличьте уровень до отметки 4 и тогда даже ваши изменения будут вызывать UAC, как в Vista. Уровень 2 это то же, что и уровень 3, за исключением того, что запрос UAC не вызывает затемнения рабочего стола.
Это делает запрос менее шокирующим, однако это также дает дополнительные шансы вредоносной программе на выживание.
Отключить uac в win 7
Я думал, что уровень 1 означает полное отключение UAC. Однако, Помощь сообщила мне, что на первом уровне отключаются лишь всплывающие окна UAC.
Под администратором все программы - плохие они или хорошие - могут вносить изменения в систему без всяких препятствий.
В то же время под стандартным пользователем любое действие, которое вызовет всплывающее окно UAC, всего лишь тихонечко потерпит неудачу. Ой!
Исследование Microsoft показало, что пользователи, которые получили более одного запроса UAC в ходе сессии в Windows, вероятнее всего назовут UAC раздражительным.
Оно также показало, что какой-либо ощутимой разницы в защите от вредоносных программ между уровнями 3 и 4 нет. Вот почему компания выбрала менее строгий третий уровень как уровень по умолчанию. И вот почему вам не стоит изменять его.
Сопротивление поддельным нажатиям клавиш
Ранее в этом году, эксперты по безопасности сообщили, что настройки диалога UAC в Windows 7 Beta уязвимы к атакам.
Если уровень UAC был установлен на максимум, то пользовательская программа могла полностью отключить UAC с помощью отправки поддельных нажатий клавиш в диалог управления UAC.
По данным блоггера Лари Сельтзера (Larry Seltzer), данная атака работала только при работе в режиме администратора. UAC же, как считалось, должен был заставить всех работать под стандартным пользователем.
Сельтзер тогда продолжил, заявив, что подобная атака может нанести гораздо больший урон, если ее применить к другим апплетам панели управления Windows.
В то же время Microsoft не стала игнорировать эту проблему, а наоборот исправила ее, заставив диалог UAC работать как "высоко-интегрированный" процесс, который, по ее словам, "не дает работать всем средства обхода SendKeys и т.п.".
И, кажется, Microsoft говорила правду. Диалог настройки UAC теперь полностью игнорировал все небольшие, написанные мною программы, которые посылали к нему поддельные нажатия клавиш и клики мыши.
Хотя, я был бы более счастлив, если бы каждая попытка понижения уровня UAC приводила бы к появлению уведомления UAC с потемневшим рабочим столом - для хакеров это стало бы проблемой.
Мой список пожеланий по UAC
Microsoft, определенно, улучшила UAC в Windows 7. Но все-таки кое-что в нем меня раздражает. Так, например, я не считаю, что UAC должен выводить свои запросы на разрешение поднятия привилегий для известной, проверенной программы, как и для любого компонента Windows.
Многие разработчики программ безопасности используют так называемые "белые списки", в которых перечислены миллионы проверенных ими программ.
Я уверен, что Microsoft обладает всем необходимым, чтобы сделать то же самое. Если же программа не известна, то UAC должен ее тестировать, а не просто опираться на факт, что она требует поднятия уровня привилегий.
В результате же UAC должен принимать по программе обдуманное решение о том, стоит ли разрешить ей работу, или ее стоит блокировать. Не надо перекладывать ответственность за программы на пользователя! Лишь в этом случае UAC станет действительно хорошим средством защиты.
Контроль учетных записей пользователей
Контроль учетных записей пользователей впервые появился в Windows Vista. Он представляет собой набор технологий, который позволяет устаревшим приложениям работать с правами обычных пользователей, а также помогает поставщикам программ приспосабливать свои программы так, чтобы они работали с правами обычных пользователей.
Также про Контроль учетных записей можно посмотреть в обзоре Windows 7
При внедрении контроля учетных записей платформа Windows была в значительной мере переработана с тем, чтобы такие часто используемые действия, как смена часового пояса, можно было осуществлять с правами обычного пользователя, с виртуализацией файлов и реестра, с пакетами совместимости приложений и с запросами о расширении прав.
Управление количеством запросов при контроле
учетных записей пользователей
При этом если приложению требуется выполнить действие, для которого необходимы права администратора, например установку драйвера принтера, открытие портов в брандмауэре или установку приложений в папку Program Files, то система Windows запросит у пользователя подтверждение расширения прав.
И нередко подобные запросы, чего греха таить, быстро надоедали пользователям.
В Windows 7 число подобных запросов уменьшено, зато все оставшиеся запросы приобретают большее значение для пользователей.
Теперь с помощью новой панели управления пользователь может выбрать один из четырех уровней контроля учетных записей, причем доступ к параметрам контроля учетных записей упрощен, а сами параметры более понятны.
================
=================
Теперь по умолчанию средства контроля учетных записей запрашивают подтверждение пользователя при попытке запуска программы, поэтому вопросы контроля учетных записей отображаются реже, чем раньше.
Кроме того, часто выполняемые пользователями операции в Windows были изменены так, что для их работы больше не требуются права администратора.
Зловещий UAC
UAC, или «Контроль учетных записей» - это система безопасности, появившаяся в Windows Vista, чьи предупреждения почему-то страшно раздражали пользователей.
Очень многие норовили UAC отключить, тем самым добровольно отказываясь от одного из главных преимуществ Vista перед ХР (чтобы не быть голословным, сошлюсь на мнение известного хакера и специалиста по безопасности Джоанны Руткоаски, назвавшей UAC «важным шагом к безопасным пользовательским ОС»).
Хотя в реальности эти сообщения надоедают только на этапе настройки операционки и установки программ, а в повседневной работе появляются в худшем случае раз-два в день - в Windows 7 и того реже.
Суть «Контроля учетных записей» в следующем. В системах Microsoft до Windows NT юзер по умолчанию получал права администратора, который может делать асе что угодно, чем и пользовались всевозможные вредители.
В NT (а дальше и в ХР) появилась возможность ранжировать операторов компьютера по правам: в идеале устанавливать программы, менять настройки и содержимое системных папок следовало из учетной записи администратора, а работать - «под юзером».
Однако мало кто на домашнем компьютере занимался этими фокусами, в результате чего де-факто ситуация с обеспечением безопасности не поменялась.
В Windows 7 UAC обзавелся аж четырьмя режимами дабы не тревожить особо нервных пользователей без отключения всех процессов и затемнения экрана.
Почему так и не появилось возможности запоминать настройки безопасности для конкретных программ, как в Norton UAC, никому не ведомо.
Некоторые старые приложения, а также системные утилиты требуют административных прав, которых UAC им не дает.
Их можно запустить от имени администратора (в случае утилит запустить надо командную строку) - соответствующая опция есть в контекстном меню, также работает сочетание клавиш Ctrl + Shift + Enter.
С появлением UAC пользователю, даже если он состоит в группе «Администраторы», по умолчанию административные права не выдаются. Если ему требуется поменять какие-то важные настройки, установить или запустить программу, которая собирается делать что-то небезопасное, выдается предупреждение о «повышении статуса» - тот самый раздражитель.
Цвет предупреждения указывает на его серьезность. Таким образом, если пользователь сознательно запустил что-то, что требует административных прав, он спокойно разрешает повысить свой статус, а если изменения в реестре собирается сделать «Калькулятор» или предупреждение появляется ни с того ни с сего, то тут уже юзеру стоит призадуматься.
К недостаткам UAC наряду с его назойливостью также относят обязательное повышение статуса до администратора при установке любых программ, что, по идее, может быть использовано вредителями.
Т. е. если установщик безобидного на первый взгляд скрин-сейвера вознамерится также обогатить список драйверов, владелец ПК об этом не узнает.
Учитывая, что для определения программы-установщика UAC применяет продвинутый эвристический анализ, обойти это, как правило, не получается. Тем не менее «Контроль учетных записей» отключать настоятельно не рекомендуется.
Тем более что в Windows 7 он стал менее навязчив и приобрел не только кнопку выключения, но и еще две опции, одна из которых отменяет предупреждения при изменении настроек пользователем, а другая позволяет их демонстрировать.
Узнать Windows 7 + все нюансы уроки обучение работе на компьютере
Все секреты и тонкости Windows 7
Обзор и работа в Windows Seven
Две встроенные утилиты в Windows 7
Будут cтарые программы работать под Windows 7 ?
Поделитесь с друзьями или поставьте закладку на эту страницу,
если планируете зайти на нее попозже ... (Отключить uac windows 7
оптимизация vista | UAC Безопасность Windows )
