Нюансы отключения UAC

29.10.2018 0 Автор akok

Начиная с Windows 8, перемещение ползунка в нижнее положение в диалоге настройки UAC не отключает контроль учетных записей. Строго говоря, написанное на экране этого и не обещает. Причем в Windows 8 из информационного блока убрали фразу о том, что этот уровень имеет смысл использовать только в том случае, если приложения не поддерживают работу с UAC.

UAC turn off

В этом положении отключаются только запросы UAC с вопросом Да/Нет.

Точно ли работает UAC?

В работе контроля учетных записей легко убедиться, сдвинув ползунок вниз и выполнив простые действия для проверки. Например, запустите cmd — в заголовке окна не будет написано “Администратор”. Для полноты картины посмотрите в Process Explorer уровень целостности процесса — он будет средним.

Или скопируйте какой-нибудь файл в System32 в проводнике или стороннем файловом менеджере. Появится диалог, где будет кнопка со щитом, ведущая к успеху. Занятно, что запроса UAC вроде как нет, но все-таки от вас требуют подтвердить операцию правами администратора.

UAC turn off

Это происходит потому, что по возможности используется токен обычного пользователя, а административный выдается только при запросе процессом полных прав. Когда вы копируете файлы, используются обычные права, но их не хватает для записи в системную папку. Поэтому Windows запрашивает полные права, а файловый менеджер делегирует решение вам.

Виртуализация UAC

Виртуализация UAC тоже работает при отключении уведомлений. У меня самурайский менеджер буфера обмена Charu установлен в Program Files, там же он пытается создавать папки для пользователей и писать данные в них. Но виртуализация UAC перенаправляет все в профиль вне зависимости от положения ползунка.

UAC turn off

Как процессы получают полные права

Попробуйте запустить командую строку от имени администратора с ползунком UAC в нижнем положении. В заголовке окна написано “Администратор”, но при запуске запрос не появляется. В этом примере вы сами указываете желаемые права, но иногда за вас это делает приложение.

Установщики подавляющего большинства программ прописывают в манифесте уровень highestAvailable. В этом случае у администраторов установщик запускается с полными правами сразу, поэтому запись в системные расположения (Program Files) ведется без подтверждений.

В этом и заключается недостаток работы с отключенными уведомлениями UAC. Вы никак не контролируете запуск процессов с полными правами.

Резюме

Microsoft нашла баланс между комфортом пользователей и совместимостью приложений – старых и современных.

Именно магазинные приложения в Windows 8 подтолкнули к этому изменению!

С реально выключенным контролем учетных записей они не работают, и компания явно не хотела, чтобы ненависть к уведомлениям UAC блокировала встроенныe в ОС приложения и весь магазин. При этом в Microsoft предусмотрели вариант обновления со старой ОС, где единственный пользователь — встроенный администратор.

UAC отключается, конечно, но только политикой или в реестре. Однако дома никакого смысла в этом нет. Тем более, что Microsoft даже не рассматривает такой вариант работы.

Этому изменению в Windows уже 6 лет, и я подумывал написать о нем каждый раз, когда видел в форумах людей, пребывающих в ложной уверенности, что контроль учетных записей у них полностью отключен. Вот увидел в очередной раз и написал :) В комментариях хотелось бы услышать тех, кто:

  • сдвинул ползунок вниз, думая, что отключает UAC – вам комфортно работается?
  • отключает UAC полностью – какую цель вы преследуете?

Источник: http://www.outsidethebox.ms/19079/