Да, знаю, у многих отключен :) А зачем? Раздражает? Чтоб быстрее было? Слышал :) Но вы реально-то пробовали поработать с включенным контролем хоть пару недель подряд? Когда система настроена и программы установлены, окон UAC почти нет. Времени немного экономится, а между тем, вы не в курсе того, что происходит с системой.
Командная строка запущена с правами обычного пользователя и администратора
Вы ведь не знаете, для каких задач требуются права администратора, а для каких нет. При этом вы не только лишаетесь возможности работать фактически под пользователем, т.е. в намного более безопасной среде, но и упускаете шанс лучше разобраться в работе системы. Это особенно важно, если вы работаете под суперадмином. А вы настоящий суперадмин?
У меня в блоге и на OSZone много материалов по UAC, объясняющих, что с ним можно работать без особых проблем для нервной системы
- Упрощаем запуск приложений в Windows 7 от имени администратора без отключения UAC
- Так ли страшен контроль учетных записей?
- Как открыть командную строку от имени администратора в нужной папке
- Настройки групповых политик контроля учетных записей в Windows 7
- Принцип работы «Контроля учетных записей пользователей» в Windows 7 (техн.)
Понятно, что все сразу не осилить, поэтому предлагаю вам, попробовать поработать с UAC, чтобы реальные вопросы появились. Тогда материалы помогут оптимизировать процесс.
Если вы столкнулись с задачей, выполнению которой реально мешает UAC, хотелось бы услышать об этом подробнее. Разница между UAC в Vista и 7 довольно большая с точки зрения количества запросов, т.е. глас клиентов и народа был услышан. Мы можем попробовать сделать контроль учетных записей в следующей ОС Windows еще лучше, чтобы нам же было удобнее впоследствии :)
Посмотреть текущий расклад в опросе и даже проголосовать можно на форуме.
Вадим, у меня ещё со времён выхода Vista был отключён UAC, о чём я ни разу не пожалел… :)
Я всегда знаю что и зачем я делаю на своём ПК, и у меня установлены самые последние обновления ОС, стороннего ПО, а также хорошая антивирусная защита…
Зачем мне этот UAC ещё включать, если с 2006 года (кажется тогда Vista вышла? :) )он мне ни разу не пригодился? Я имею ввиду, что я ни разу не имел проблем с безопасностью на своём ПК.
Конечно же, я это всё говорю только по отношению к себе, может быть менее опытному пользователю ОС Vista/7 UAC и в правду нужен… ;)
Виктор, у тебя получается, что чем опытнее пользователь, тем меньше ему нужен UAC? Скажи мне, положа руку на сердце, ты меня считаешь опытным пользователем? :)) У меня вот 10 лет проблем не было, а UAC включен.
Нет, не получается, я делал выводы исключительно из собственного опыта, и действительны они лишь для себя-любимого :)
Это ведь риторический вопрос, верно? :) (конечно же да :) )
Не могу похвастаться тем же, так как когда-то мы все «были молоды и совершали ошибки» :) но всё же…
Как там в пословице, «бережёного Бог бережёт»?
Но я для себя предпочитаю немного другую: «кто не рискует, у того включён UAC» ;)
UAC включен, с момента его появления. Считаю что эта фича просто Must Have. Да, есть кривой софт, который неможет с ней работать. Проблема решается просто — софт убирается и ставится его более правильный аналог. Еще бы MS взяла себя в руки и убрала бы этот гребаный autorun… Сейчас практически любая флешка попадающая в руки имеет на себе следы вирусов или вирусы с автораном.
А мне можно поучаствовать в опросе, да? :)
У меня UAC включён для администраторов на запрос всех действий (как в Vista) с запросом пароля (вместо простого подтверждения) и через Secure Channel (перед вводом пароля надо нажать Ctrl+Alt+Del и переключиться на Secure Desktop).
Для пользователей запросы UAC выкючены, любые попытки просто молча отклоняются (как было в ХР и ниже).
Так ведь уже взяла и убрала :) Автозапуска нет, есть только автовоспроизведение. Так что такие вирусы владельцам 7 не страшны. См. http://bit.ly/eAClu1
artem, тебе просто необходимо поучаствовать. Именно потому, что это дает всю ширину спектра — от беззаботности и самоуверенности, до маниакального стремления обеспечить максимальную безопасность всеми доступными в системе средствами :)
У меня UAC отключен. Ну не нужны мне права администратора для выполнения моих обычных задач. Однако, ряд утилит у меня запускается с повышенными привилегиями, это утилиты SysInternals. Process Explorer висит в автозагрузке, а запрос UAC я подавляю своим же Evelated Shortcut, который, как известно, автоматизирует и исключает возню с планировщиком
Что лучше UAC или отдельный пользователь?
Андрей, вопрос непонятен. Что значит «отдельный пользователь»? На вопрос, с какими правами работать, я отвечал тут. Ознакомьтесь и попробуйте переформулировать вопрос.
hb860, видимо, ты хотел сказать, что UAC включен, судя по остальному содержимому комментария.
Артем, вообще, целевая аудитория опроса — домашние пользователи. Но в контексте твоего комментария есть вопрос. Учитывая столь жесткие ограничения, я полагаю, что твои пользователи не обременены работой со старым ПО. Если в организации такое ПО есть, как ты решал вопрос? Ведь для работы приложения в режиме совместимости, как правило, требуются полные права.
Vadim Sterkin, как Вы считаете целесообразно ли на домашнем компьютере создавать отдельного пользователя с ограниченными правами? При UAC для продолжения работы кнопка «Да», а с отдельным ограниченным пользователем — ввод пароля администратора. Это единственное отличие?
На счет опроса, UAC никогда не отключаю. Замечаю что большинство его отключают совершенно не понимая зачем, а на вопрос про безопасность и возможное проникновения вредоносных программ отвечают: «Мне легче переставить ОС».
В контексте обсуждаемой проблемы выскажу свое мнение по данному вопросу.
Фактически мы имеем два типа пользователей (без уточнений).
Это пользователи и администраторы. (классификация для простоты)
К первым относятся пользователи не имеющие достаточной квалификации и не всегда уверенные в своих действиях и их последствиях — это категория бесспорных пользователей UAK
Вторые — администраторы, продвинутые пользователи и т.д.
Эти уже отвечают за последствия своих действий, или в крайнем случае способны признать свои ошибки. Данная категория способна решать самостоятельно использовать ли им UAK или нет.
Лично я не использую UAK.
Но моя семья вся его использует принудительно.
Да, так и есть. При стандартных настройках. С помощью политик можно настроить запрос пароля на любые действия и для администратора.
Возможны варианты. Администратору компьютера удобнее пользоваться административной учетной записью. Да, серьезные эксперты будут рекомендовать работу с правами обычного пользователя, но при включенном UAC я не вижу в этом смысла, ибо это затрудняет работу. Если в системе один пользователь, скорее всего он уже работает с правами админа. Надо включить UAC и все. А для других членов семьи создаются ограниченные учетные записи. Тем самым вы полностью контролируете пользовательскую среду.
andrew71, вы считаете себя достаточно продвинутым, чтобы обходиться без UAC. А я считаю вас недостаточно продвинутым, потому что вы игнорируете встроенные возможности для создания более безопасной среды :) Ничего личного, конечно.
Vadim Sterkin Простите, но в заголовке статьи есть определённая тематика, не предусматривающая обсуждение или осуждение конкретных личностей.
Жаль, когда здоровое обсуждение в силу различных условий жизни, эксплуатации и взглядов переходит в плоскость банального тщеславиия и мелких оскорблений. :)
Конечно-же ничего личного.
Эта проблема наблюдается на многих форумах (К сожалению).
> Если в организации такое ПО есть, как ты решал вопрос? Ведь для работы приложения в режиме совместимости, как правило, требуются полные права.
Берём Process Monitor и смотрим, куда именно приложению не хватает прав. Например, бывает, что программа считает, что ей позарез необходима возможность записывать свои временные файлы в каталог установки самой программы. Что же, если это нельзя исправить, а программа действительно нужна — даём пользователям права записи в этот каталог.
Надо понимать, что при использовании AppLocker/SRP это может представлять дополнительный риск. Речь идёт о ситуации, когда пользователям разрешено однорвеменно записывать что-то в каталог и запускать из него что угодно. В этой ситуации прихоидтся выдавать более гранулированные разрешения — например, запускать не что попало, а только подписанное определённым сертификатом.
andrew71, вы напрасно обижаетесь. Это была шутка, там даже смайлик стоял :) Не говоря уж о присутствии «ничего личного». Вы ведь первый начали делить пользователей на опытных и неопытных. Я поставил вам простую ловушку, и вы сразу же ринулись в нее с головой :)
Смотрите… Артем, закрутивший гайки по полной, тоже может считать меня недостаточно продвинутым пользователем. Я же не использую всех возможностей UAC по обеспечению безопасной среды. В конечном итоге каждый сам определяет для себя соотношение «безопасность/комфорт». Вы сделали свой выбор, значит, вам так лучше.
Однако между этими двумя сравнениями есть большая разница. Мои настройки UAC соответствуют рекомендациям Microsoft, а ваши — нет. Можно купить новую машину, воткнуть вторую передачу и ловко гонять на ней все время, чувствовать себя асом вождения и бибикать чайникам. Но когда сломается машина, вина в этом будет только ваша, потому что вы не следовали рекомендациям производителя.
Надеюсь, вы понимаете разницу и не обижаетесь на меня :)
Вадим, не очень хороший пример… :)
Машина от этого не сломается, для этого нужно приложить чуть больше усилий :)
Понятно, спасибо. В принципе, об этом же я писал в «Так ли страшен контроль…». Однако я думаю, что в данном случае, прежде чем пускаться во все тяжкие с правами, стоит попробовать RunAsInvoker, правкой реестра или с помощью Microsoft Application Compatibility Toolkit. При этом должна сработать виртуализация файлов, которая перенаправит запись в профиль.
Насчет сертификатов интересный момент на заметку админам :)
Виктор, ок, пусть не очень хороший пример, коробка не сломается, просто движок будет убиваться. Я написал первое, что пришло мне в голову. Суть в том, что большинство проблем как раз от того, что люди не следуют минимальным рекомендациям Microsoft. Потому считают себя «умнее Билла Гейтса» или по другой причине — неважно. Здесь проходит граница между уверенностью и самоуверенностью, это мы обсуждали с тобой вчера в мессенджере, а ты косвенно подтвердил это в форуме, использовав именно это слово — самоуверенность.
на висте был отключен
на 7ке даже не трогаю.
При включённом UAC исчезает возможность использовать «drag’n’drop» для приложений, запущенных с правами администратора. Например, захотелось мне отредактировать какой-то конфиг в Program Files — придётся запускать Блокнот с правами админа, лезть в «Файл — Открыть…»; и всё это вместо того, чтобы спокойно использовать двойной клик мышью прямо в проводнике (или как минимум — запустить с правами администратора и просто перетащить файл в окно приложения).
В своё время нарвался: наслушавшись советов, включил UAC. Вырубил сразу после того, как захотел послушать музыку. Поскольку «Foobar2000» у меня настроен на хранение файлов конфигурации в папке приложения, пришлось запускать его с правами админа. Сразу наступил большой облом, т. к. не удалось даже закинуть пару песен в плейлист.
Приложения не должны хранить свои конфигурации в Program Files. Для этого есть %APPDATA%. Именно об этом я писал… UAC — это пинок разработчикам в верном направлении. Причины ведь на поверхности — у пользователей нет прав на запись + несколько пользователей могут работать с одним приложением и иметь собственные настройки.
А зачем он у вас так настроен? Если есть возможность хранить настройки в профиле, храните их там. Если нет, храните портативные приложения в отдельной папке в профиле, я так и делаю (и foobar у меня там и лежит).
Читайте Так ли страшен контроль учетных записей?
Не должны, но хранят. А искать замену пусть старым, но исправно работающим приложениям, только из-за того, что их разработчики не следовали рекомендациям MS — бессмысленно.
А мне так удобно.
К тому же основа претензии в том, что
Честное слово, не понимаю почему. Приложение и так уже запущенно с правами администратора, и так уже может творить с системой всё, что пожелает.
Pferd, а я не говорю, что надо искать замену. У меня это же приложение работает прекрасно из профиля, причем с ограниченными правами. А говорить о том, что вам удобно запускать медиаплеер с правами администратора… гм… Не могу взять в толк, зачем плееру права админа. Можете пояснить? Ведь лишнюю дыру в системе создаете — это вы понимаете, я надеюсь.
По поводу «drag-n-drop» на примере конкретного приложения нужно говорить — озвучьте, пожалуйста.
Мне удобно хранить конфигурационные файлы в папке приложения (один профиль — много пользователей, и не надо возится с Default User). Если для этого нужны права админа — что ж, будут права админа.
У любого приложения, запущенного с правами администратора при включённом UAC, перестаёт работать «drag-n-drop». Это может быть Блокнот (как вариант AkelPad), плеер, файловый менеджер типа Total Commander, обёртка для консольного кодировщика FLACFrontend. Плеер и Total Commander ещё можно настроить на использование %AppData% для хранения настроек; у AkelPad’а проблемы появляются, когда нужно
(другой пример: отредактировать файл hosts — его точно в профиль пользователя не перенесёшь); проблема появляется вне зависимости от того, где хранит настройки AkelPad. FLACFrontend создаёт в папке где он находится, bat’ник с командами для flac.exe.
Да можно перенастроить плеер и Total Commander, в Program Files и Windows просто не лазить, FLACFrontend поставить в профиль пользователя или еще куда запихнуть. Но зачем заниматся ерундой ради плюшевой защиты — у меня в конце-концов firewall стоит, котой мониторит активность приложений и выдаёт осмысленные запросы типа: разрешить ли приложению DDE взаимодействие.
Когда-то читал на форуме OSzone ваш пост про Microsoft Security Essentials, в конце был вывод:
Вот по такому же принципу, я и отключаю UAC.
Теперь я понял, о чем речь. Я думал, что вообще перестает работать :) Тут есть нюанс, и я думаю, вы не совсем верно описали проблему. Перетаскивание не работает из приложения, запущенного с обычными правами, в приложение, запущенное с полными правами. А если, скажем, хочется перетащить файл hosts из Total Commmander в Блокнот и отредактировать, то оба приложения должны быть запущены с полными правами, иначе сохранить не удастся (некоторые пользователи TC сразу запускают его от имени админа, а оттуда уже все запускается с полными правами).
Понятно почему так происходит — в противном случае любой ограниченный процесс может перерасти в полноправный. Я полностью согласен, что это недоработка МСФТ — нужно было предусмотреть запрос на повышение прав при перетаскивании. И я был удивлен, когда вопрос не решили в 7, ведь тянется еще с Vista.
По этой же причине становится бесполезной для правки системных файлов интеграция текстовых редакторов в контекстное меню оболочки, т.к. редактор запускается с обычными правами (хотя можно самому интегрировать его с повышением — я планирую рассказать, как это сделать :).
Это отдельный случай форсирования настроек, полностью лишающий пользователя возможности персонализации.
Я смотрю, вы внимательно читаете меня :) Да, я говорил такое. Но я, полагаясь на голову, тем не менее не отключаю UAC :) И, между прочим, обхожусь без стороннего фаервола и его [многочисленных] уведомлений и предупреждений.
Спасибо за внятные отзывы о проблемах UAC. Их особенно приятно видеть в блоге, поскольку в форуме ничего подобного не наблюдается :)
Thanks. Теперь понятно, в чём проблема.
Пишите. Возможно, после определённой доработки напильником UAC станет вполне юзабелен :)
А я думаю вариантов не должно быть. Пользователь должен работать только с правами пользователя. Это и Microsoft рекомендует даже в справке Windows. UAC не заменить разграничения прав.
rpv, вы имеете в виду всех пользователей, включая администраторов? Майкрософт рекомендует, я в курсе, и даже пишу об этом. Читали?
А на чем же тогда по-вашему основана его работа?
Честно говоря, даже то, что UAC довели до ума в Windows 7, не отменяет его главный недостаток — если дать пользователю права Администратора и включить UAC, то постепенно пользователь привыкнет, что в ответ на UAC нужно нажимать «Да» и не будет задумываться о том, что он делает. А на мой взгляд нужно как раз и учить пользователей различиям в правах и правильному способу выполнения административных действий (я имею ввиду не тупое жамканье «ДА» в UAC, а сознательный логин под административной учеткой). Хотя для домашних пользователей это сомнительно — кто ж их этому учить то будет, если они даже справку Windows не читают.
PS: не умаляю достоинства UAC, но нисколько не желаю завышать их
ЗЫЫ: у меня и дома и на работе и AppLocker включен )
Что значит «дать»? Я же для домашних пользователей пишу, они сами себе хозяева. Не будут они работать с ограниченными правами (вы же сами сомневаетесь в их способностях к этому), и поэтому я не буду им советовать то, что они не будут делать :)
Но если я научу несколько человек работать с UAC, а остальных своих домашних загнать в ограниченные учетки, уже будет неплохо.
На тему разного восприятия статьи админами и домашними пользователями мы долго дискутировали тут (когда сайт поднимется :)
Я под админ. учетной записи работаю всегда, после переустановки, удаляю ненужные учетки в том числе и ту, что создал и в какую вошел (пользователя) так что проблем не имел, потому как опыт )
Вадим, если я уже больше года пользуюсь учеткой с отключенным UAC
то если я включу и перезагружусь все будет работать как надо?
просто отдельным приложениям нужно будет настроить запуск с правами администратора?
aka_SmILe, если вы пользуетесь встроенной учетной записью Администратор, то на нее UAC не распространяется. В этом случае нужно либо включить политику, либо создать новую учетную запись и использовать средство переноса данных для воссоздания привычной среды (рекомендую второй вариант).
Я не могу этого гарантировать, потому что не знаю, что значит «все». На работе системы это никак не отразится. Что же касается программ, то приложения, полностью совместимые с Windows 7, выводят запрос UAC при необходимости. К остальным может потребоваться индвидуальный подход, например, запуск в режиме совместимости или от имени администратора.
Вадим, вы правы. С момента перехода на Win 7я ни разу не работал с отключенным UAC.
А я не пользуюсь этим преимуществом UAC т.е. бегунок настройки поднят до самого верха. При работе окно запроса UAC появляется у меня примерно 5-10 раз в неделю. UAC ничуть не мешает работать мне в системе. Потому что я редко настраиваю ОС и устанавливаю программы. Почти все мои знакомые работают с отключенным UAC и пытаются завладеть полными правами на системные файлы. Приходя ко мне они меня спрашивают: — Как ты терпишь, этот UAC?
Я UAC отключил, потому что очень часто устанавливаю/сношу программы, залезаю в настройки системы, в общем у меня он отнимал бы слишком много времени. К тому же есть программы, которые записывают данные в program files, им UAC не даёт этого делать (слышал, быть может в 7 такого нет), в общем, без него мне проще.
Нет, у меня отключен. Потому что часто попадаются программы Portable и с автоустановкой (обычно такие бывают на пиратских дисках вроде Loner XP или DNA 7), при установке которых Windows «выносит» мозг, своими запросами на разрешение доступа, к чему-то.
Из-за этого частенько возникает желание разбить клавиатуру об голову Стива Балмера, который как-раз и придумал этот ужас.
Ну и также из-за того, что Microsoft по-умолчанию считает своих пользвователей полными идиотами, которые не видят, что запускают.
А так, вполне неплохая фишка для начинающих пользователей, которые пока что с компьютером «на вы», ну и для корпораций/фирм/ВУЗов.
P.S На аргументы вроде UAC повышает надежность системы отвечу следующее:
1) Надо ставить нормальный антивирус и не забывать обновяться.
2) Надо внимательно смотреть и читать описание того, что скачиваешь, а также обращать внимание на адрес сайта в браузере, ну и смотреть отзывы, комментарии других пользователей.
3) Обращать внимание на размер программ — если программа современная и достаточно сереьзная, например, офисный пакет, или графический редактор, то она по определению не может «весить» 5-10 МБ, что часто бывает в лохотронных exe-файлах, требующих отправить смс.
Сам пользуюсь MS Windows Vista x86 SP2 на ноутбуке, отключен UAC, стоит NOD 32, с последними обновлениями, ничего не тормозит и не глючит :)
Просто руки прямые.
А так, UAC думаю будет полезен и для бабушек, которые только начали осваивать компьютер.
UAC в первую очередь повышает ваше понимание работы ОС. Хотя в Vista он доставляет больше неудобств, чем в 7.
Что касается тихой установки, то все ПО можно установить из CMD или скриптом, запущенными от имени админа. Для этого не надо отключать UAC.
А так, мне уже набила оскомину ваша похвальба своими прямыми руками в каждом комментарии. Мы ведь уже уже видели, что вы не знаете некоторых элементарных вещей.
Да и любой эксперт по безопасности сразу поставит под сомнение ваши советы по защите компьютера, особенно с учетом того, что вы качаете чужие сборки программ или берете старье с пиратских дисков.
А все таки, что плохого в Program Files ?
Ведь приложение, установленное в Program Files, гораздо проще найти и тем более, смотреть его настройки и пр, а вот что касается установки в %APPDATA%, то хочется «блевать» от этого.
Например, мне понадобилось переустановить Windows и я решил скопировать на другой раздел папку с браузером (чтобы сохранились настройки, расширения, закладки и т.д).
Потратил полдня, прежде, чем найти папку с Google Chrome — и то,
через Total Commander, т.к папка была скрытой.
Честно говоря, раздражает такая «забота» о пользователях — мол, нажмите на значок и не думайте ни о чем.
Артур, понимание принципов работы ОС нейтрализует тошноту.
Установленные в Program Files приложения могут и должны хранить данные в AppData. Плохого в хранении данных в Program Files вот что:
• Однопользовательская среда. Когда у вас несколько учетных записей, каждая имеет право на свои настройки. См. [подкаст] 7 причин использовать отдельные учетные записи для каждого члена семьи.
• Невозможность перемещения и миграции профилей в организации. Не забывайте, что деньги основные деньги МСФТ зарабатывает на огранизациях, а не на домашних пользователях.
• Невозможность записывать в папку без прав админа. В этом случае при включенном UAC виртуализация сработает, но если он отключен, обычный пользователь работать с программой не сможет.
Артур,
-Нажать на ярлык. выбрать «»расположение файла». Я искал так ;)
Как сделать чтоб на дом.компе запрашивал пароль перед установкой программ.?
Оставив при этом текущего пользователя «админа»
Поведение запроса на повышение прав для администраторов в режиме одобрения администратором — Запрос учетных данных.
Вадим, заново перечитывая ваш блог, наткнулся на ссылку на статью Русиновича — http://technet.microsoft.com/ru-ru/magazine/2007.06.uac.aspx. , которая заставила меня задуматься.
Вот цитата из этой статьи:
Важно понимать, что повышения прав UAC — это дополнительные удобства, а не новые рубежи безопасности. Рубеж безопасности — когда некоторая политика безопасности диктует, что может проходить через некоторую границу, а что не может. Учетные записи пользователей — это пример рубежей безопасности в Windows, поскольку один пользователь не может обратиться к данным, принадлежащим другому пользователю, не имея на то разрешения пользователя-владельца.
Поскольку повышения прав не устанавливают рубежей безопасности, нет никакой гарантии, что вредоносная программа, работающая в системе с правами обычного пользователя, не сможет нарушить безопасность процесса с повышенными правами и получить административные права.
Это справедливо не только для Висты, но и для Windows 7?
Вот этот диалог и вышеуказанная статья ввела меня в смущение. Так кто же прав?
Олег, Руссинович прав, конечно. Но и я тоже :)
Речь о том, что если у вас обычные права (и UAC отключен или отсутствует), у вас нет никакой возможности выполнить что-либо с правами администратора. Это просто блокируется — отказано в доступе, например.
Когда UAC включен, вы тоже работаете с обычными правами. Но UAC позволяет вам выполнять задачи с полными правами после ввода соотв. учетных данных. Представьте, что разграничение между правами — это глубокое ущелье, а UAC — мостик через него. Мостик охраняет часовой, т.е. человек, со всеми вытекающими слабостями :)
Вадим, спасибо. Теперь стало понятно, что имел в виду Руссинович.