Недавно я писал в Telegram и ВК о том, что Microsoft не тестирует Windows 10 с отключенным контролем учетных записей. Вдогонку я сделал опрос, где поинтересовался, включен ли UAC у читателей. В варианте для Telegram было три варианта ответа «Да», но только один вариант «Нет».
А следовало бы сделать два варианта, чтобы выяснить, какая доля от 17% выбравших пункт «Нет» пребывает в ложной уверенности ;)
Начиная с Windows 8, перемещение ползунка в нижнее положение в диалоге настройки UAC не отключает контроль учетных записей. Строго говоря, написанное на экране этого и не обещает. Причем в Windows 8 из информационного блока убрали фразу о том, что этот уровень имеет смысл использовать только в том случае, если приложения не поддерживают работу с UAC.
В этом положении отключаются только запросы UAC с вопросом Да/Нет.
Точно ли работает UAC?
В работе контроля учетных записей легко убедиться, сдвинув ползунок вниз и выполнив простые действия для проверки. Например, запустите cmd — в заголовке окна не будет написано "Администратор". Для полноты картины посмотрите в Process Explorer уровень целостности процесса — он будет средним.
Или скопируйте какой-нибудь файл в System32 в проводнике или стороннем файловом менеджере. Появится диалог, где будет кнопка со щитом, ведущая к успеху. Занятно, что запроса UAC вроде как нет, но все-таки от вас требуют подтвердить операцию правами администратора.
Это происходит потому, что по возможности используется токен обычного пользователя, а административный выдается только при запросе процессом полных прав. Когда вы копируете файлы, используются обычные права, но их не хватает для записи в системную папку. Поэтому Windows запрашивает полные права, а файловый менеджер делегирует решение вам.
Виртуализация UAC
Виртуализация UAC тоже работает при отключении уведомлений. У меня самурайский менеджер буфера обмена Charu установлен в Program Files, там же он пытается создавать папки для пользователей и писать данные в них. Но виртуализация UAC перенаправляет все в профиль вне зависимости от положения ползунка.
Как процессы получают полные права
Попробуйте запустить командую строку от имени администратора с ползунком UAC в нижнем положении. В заголовке окна написано "Администратор", но при запуске запрос не появляется. В этом примере вы сами указываете желаемые права, но иногда за вас это делает приложение.
Установщики подавляющего большинства программ прописывают в манифесте уровень highestAvailable. В этом случае у администраторов установщик запускается с полными правами сразу, поэтому запись в системные расположения (Program Files) ведется без подтверждений.
В этом и заключается недостаток работы с отключенными уведомлениями UAC. Вы никак не контролируете запуск процессов с полными правами.
Резюме
Microsoft нашла баланс между комфортом пользователей и совместимостью приложений – старых и современных.
Именно магазинные приложения в Windows 8 подтолкнули к этому изменению!
С реально выключенным контролем учетных записей они не работали, и компания явно не хотела, чтобы ненависть к уведомлениям UAC блокировала встроенныe в ОС приложения и весь магазин. При этом в Microsoft предусмотрели вариант обновления со старой ОС, где единственный пользователь — встроенный администратор.
UAC отключается, конечно, но только политикой или в реестре. (При этом магазинные приложения в Windows 10 все равно запускаются, но виртуализация UAC отключена, конечно.) Однако дома никакого смысла в этом нет. Тем более, что Microsoft даже не рассматривает такой вариант работы.
Этому изменению в Windows уже 6 лет, и я подумывал написать о нем каждый раз, когда видел в форумах людей, пребывающих в ложной уверенности, что контроль учетных записей у них полностью отключен. Вот увидел в очередной раз и написал :) В комментариях хотелось бы услышать тех, кто:
- сдвинул ползунок вниз, думая, что отключает UAC – вам комфортно работается?
- отключает UAC полностью – какую цель вы преследуете?
Небольшое объявление для тех, кто не зарегистрирован в Telegram / ВК / Twitter, но все-таки хочет читать, что я там пишу. Я добавил два источника контента — ленту RSS постов Telegram и Яндекс.Дзен.
Не отключаю, так как визуально видно, что куда лезет и контролируется достаточно просто. Это не должно «надоедать».
Новый билд Office 365 не ставится, если UAC выключен. Судя по окну, которое выкидывает установщик, проверка встроена на уровне манифеста, поэтому фанатам выключенного UAC остается только Resource Hacker и аналоги.
Я не использую UAC на серверах, потому что очень часто в некоторые системные папки не могу зайти от имени администратора, и когда я жму на ОК в окне UAC, эта падшая женщина явно добавляет учетку администратора в ACL. Потом администратор (т.е. я, например) увольняется, учетка удаляется и в ACL висят тонны орфанов.
Не использую UAC на тестовых машинах, но только не тогда, когда надо протестировать сам UAC ;)
На рабочей машине UAC последнее время тоже выключен (некоторая специфика работы), но использую раздельные учетные записи (обычный юзер для всего, админ для повышения).
Последнее время с грустью наблюдаю, как МС навязывает свое видение работы в ОС. И обязательный UAC малая часть этого. Заявления в стиле «Мы это не тестируем» смотрятся смешно на фоне выхода, например, 1809. Хочется ответить «Можно подумать, что вы с включенным UAC что-то тестируете…»
Да, это проблема. В принципе, решается запуском от имени адмнистратора, но сторонних ФМ на серверах не держат, а с проводником это неудобно.
Есть еще способ блокнот (или так, кто не в ТГ) для разовых задач. Но раз ты ходишь в системные папки часто, тоже не очень удобно.
Есть же PowerShell, ну или cmd, на худой конец.
Интересности начинаются при доступе по smb. Сразу получаешь наивысшие привилегии, которые у тебя есть.
Отключаю UAC ползунком вниз. Этого мне достаточно, чтобы не появлялись каждый раз окна с уведомлениями, которые мне мешают.
Отключены уведомления, юак включен.
Есть ещё те, кто отключают UAC. Странно. UAC позволяет точно знать, нужны запускаемому приложению повышенные привилегии, или нет.
Вне зависимости ОСи отключено всё, брандмауэр, защитник виндовс ну и uac естественно
Надеюсь, курсивом выделен сарказм.
Странно для читателя этого блога
Ничего странного. Моё железо исключительно для работы с (прогами-репаками) и тому подобного…
мешать не должно ничего.
Дня выхода в интернет, авторизации на разных ресурсах, написания комментариев оно не используется? Ну, ок:)
Вадим, имею в работе два системника и два ноутбука))
Так вот и непонятно, у вас везде отключены защитные механизмы или только на одном. Если на одном, то почему вы именно его выпятили в первом комментарии (без пояснений специфики). Если на всех, то к чему тогда рассказы про специфику…
В общем, излагайте внятно сразу, и вас будет намного проще понять.
А можно ли создать «белый список» программ, для которых не будут всплывать уведомления UAC?
Например, Total Commander мне часто нужен и от него мне каждый раз надоедает их гасить…
http://www.oszone.net/10594#400
Мерсис…
О, Вадим ещё живой.
Пришлось таки пересесть на эту десятку, UAC естественно не трогал, вполне нормальный механизм. А вот встроенный антивирус не нужон, вырубил. И конечно же редакция LTSC, в ней раза в три меньше хлама )
Поздравляю с прогрессом лол
Еще стоит накатить батник от ВестЛайфа (WestLife).
Вот кстати без комментариев к старым статьям и не написать, что статья https://www.outsidethebox.ms/14267/ устарела, и пакета Inbox Apps Bundle Insider Preview на сайте майкрософт больше нет, да его нигде нет.
Виталий, есть другие способы написать, и даже получить ответ.
И да, к предыдущей сборке набор был.
Спасибо за тему !!! Многим говорю надо… , а они раз ползунок вниз и «кака» на компьютере..
За год раз 7-8 реально спасало…
Не знаю, баг это или фича, но некоторое время назад полтора-два года назад на Windows 10 не устанавливались драйвера Nvidia на видеокарту с выключенными запросами UAC. Просто посреди установки драйверов вываливалась ошибка — не удалось установить (без каких либо подробностей). При том установка драйверов всегда запускалась с правами администратора. Длилось это как миниум в течении 2х или 3х билдов Windows 10 и штук 5-6 версий драйверов. Может и сейчас так, просто не отключаю уведомления с год-полтора…
Возможно, в Nvidia тоже не тестируют с отключенным UAC :)
UAC — адское изобретение майкрософт, ничего, кроме потери времени не приносящее системным администраторам.
Зато по таким заявлениям можно сразу определить, знает администратор матчасть или нет. Ликбез в связанных статьях.
Я ни разу не системный администратор, но ОС и весь софт на свой компьютер ставлю сам. Работаю с видео (After effects, Premiere …) по 10-12 часов в сутки. Система должна работать так же бесперебойно как и я.
UAC всегда включен, переключатель в рекомендуемом положении. Вообще все переключатели в ОС предпочитаю оставлять в рекомендуемом положении; если инженеры в МС за меня подумали, то нафига мне тратить мозг на тоже самое? Я прислушаюсь и оставлю себе время для основной работы.
По первой, когда увидел работу UAC, все эти уведомления мешали. Но научился с ними жить, и даже помогает, сразу видно, что кто-то в компьютере хочет совершить какую-то пакость. Сейчас набор запускаемых программ ограничен (не программно, а только моими потребностями), и уведомлений UAC почти не вижу. Иногда вдруг вспоминаю про них, пугаюсь, и лезу проверять, «включен ли UAC, что-то давно не было его видно.»
Вообще у меня паранойя развилась до такой степени, что, покупая на ebay, я из всплывающего окна оплаты paypal копирую URL в блокнот и исследую посимвольно…
Ринат, да, согласен, что если не ковырять систему каждый день, то UAC почти не виден. Это не совсем мой случай, но в таком режиме я тоже работаю иногда.
UAC отключаю. Во-первых, я привык к некоторым программам, которым нет замены или они просты и легки, в отличии от современных аналогов. Например это программка Scroll, позволяющая скроллить мышкой то окно, над которым находится курсор. Во-вторых, не доверяю M$ и лучше пусть за доступом к значимым областям ОС следит HIPS Comodo. Свидетелем огромного количества заражений я уже был, когда UAC включённый на компьютерах доменной политикой, пропускал пакостные вирусы и зловреды. Кстати, на то время у нас в сети использовался майкрософтовский антивирь. В-третьих, приходится создавать мульти-загрузочные флешки. И вот с UAC такие программы работают некорректно. В частности xBoot зависал на пол пути создания флешки и Qemu из его состава работал не пойми как.
Вы не поверите, но в Windows 10 это есть из коробки :)
Обожаю такие комментарии от пользователей Windows :)
UAC не предназначен для защиты от вирусов и зловредов, и списывать на него прорехи в системе безопасности вашей инфраструктуры некорректно, равно как и на «майкрософтовский антивирь».
Что же это за поделки, если они даже от имени администратора не могут…