Обнаружен новый вариант обхода диспетчера учетных записей Windows 10 через «Приложения и функции»

У авторов вредоносных программ появилась новая технология обхода UAC (диспетчера учетных записей), которую они могут использовать для установки вредоносных приложений на устройства под управлением Windows 10. Открыл этот метод немецкий студент, известный под именем Кристиан Б., который в настоящее время пишет дипломную работу в магистратуре на тему методов обхода UAC. Техника, которую он придумал, — это вариация другого метода обхода Windows 10 UAC, обнаруженного исследователем безопасности Мэттом Нельсоном в августе 2016 года.

В то время как метод Нельсона использовал встроенную утилиту Event Viewer (eventvwr.exe), обход UAC Кристиана использует файл fodhelper.exe, расположенный по адресу C:\Windows\System32\fodhelper.exe

Если имя этого файла вам неизвестно — это окно, которое открывается при нажатии кнопки «Управление дополнительными функциями» на экране «Параметры и настройки» окна «Приложения и функции».

Оба метода работают одинаково и используют то, что называется «авто-возвышение (auto-elevation)». Оно представляет собой состояние, которое Microsoft назначает доверенным двоичным файлам (файлы, подписанные сертификатом Microsoft и расположенные в надежных местах, таких как C:\Windows\System32).

Так же, как eventvwr.exe, fodhelper.exe является доверенным бинарником, то есть Windows 10 не отображает окно UAC при его запуске и запуске дочерних процессов.

Обход UAC позволяет перехватывать резервные копии ключей реестра

Кристиан обнаружил, что во время выполнения двоичного файла fodhelper.exe Windows 10 проверяет два раздела реестра для выполнения дополнительных команд при запуске файла.

Редактированием значений одного из этих ключей реестра исследователь мог передавать пользовательские команды, которые выполнялись в повышенном контексте файла fodhelper.exe. Ключ реестра: HKCU:\Software\Classes\ms-settings\shell\open\command\(default)

Эта технология может быть использована, если вредоносное ПО закрепилось на компьютере пользователя. Вредоносная программа, используя сценарии для редактирования определенного раздела реестра, может запускать файл fodhelper.exe, который затем будет читать вредоносные команды, передаваемые в разделе реестра, и выполнять их за спиной пользователя. Так как файл fodhelper.exe является надежным двоичным файлом Windows 10, предупреждения UAC не последует.

23 апреля в 09:00, Екатеринбург, До 9500 ₽

Исследователь выпустил proof-of-concept на GitHub. Его метод не удаляет файлы с диска, исполняется только в памяти компьютера и не взламывает никаких DLL.

Как этого избежать?

Кристиан считает, что обход не является универсальным, поскольку пользователи должны быть частью группы администраторов операционной системы. Звучит как огромное ограничение, но на самом деле большинство пользователей Windows использует учетную запись администратора для управления своими ПК.

Чтобы предотвратить использование вредоносной программой этого метода обхода UAC, исследователь безопасности рекомендует пользователям прекратить использование учетных записей администратора по умолчанию и установить уровень UAC на «Всегда уведомлять», чтобы быть в безопасности.

И это на самом деле полезно. В отчете, опубликованном Avecto в феврале 2017 года, сообщается, что без права администратора пользователь смог бы избежать всех ошибок безопасности, обнаруженных в 2016 году в IE, Edge и Office.

Полное отключение UAC в WIndows 10

Автор: w10w · Опубликовано 20.03.2018 · Обновлено 19.01.2021

Отключение контроля учетных записей (UAC) в панели управления

Первый способ — использовать соответствующий пункт в панели управления Windows 10 для изменения настроек контроля учетных записей. Кликните правой кнопкой мыши по меню Пуск и в контекстном меню выберите пункт «Панель управления».

В панели управления вверху справа в поле «Просмотр» поставьте «Значки» (не Категории) и выберите пункт «Учетные записи пользователей».

В следующем окне нажмите по пункту «Изменить параметры контроля учетных записей» (для этого действия требуются права администратора). (Также можно попасть в нужное окно быстрее — нажать клавиши Win+R и ввести UserAccountControlSettings в окно «Выполнить», после чего нажать Enter).

Теперь вы можете вручную настроить работу контроля учетных записей или отключить UAC Windows 10, чтобы в дальнейшем не получать каких-либо уведомлений от него. Просто выберите один из вариантов настроек работы UAC, которых здесь присутствует четыре.

1. Всегда уведомлять, когда приложения пытаются установить программное обеспечение или при изменении параметров компьютера — самый безопасный вариант, при любом своем действии, которое может что-то изменить, а также при действиях сторонних программ вы будете получать уведомление об этом. Обычные пользователи (не администраторы) должны будут ввести пароль для подтверждения действия.
2. Уведомлять только при попытках приложений внести изменения в компьютер — этот параметр установлен в Windows 10 по умолчанию. Он означает, что контролируются только действия программ, но не действия пользователя.
3. Уведомлять только при попытках приложений внести изменения в компьютер (не затемнять рабочий стол). Отличие от предыдущего пункта в том, что рабочий стол не затемняется и не блокируется, что в некоторых случаях (вирусы, трояны) может быть угрозой безопасности.
4. Не уведомлять меня — UAC отключен и не уведомляет о каких-либо изменениях в параметрах компьютера, инициированных вами или программами.

Если вы решили отключить UAC, что является совсем не безопасной практикой, в дальнейшем следует быть очень внимательным, поскольку все программы будут иметь к системе тот же доступ, что и вы, в то время как контроль учетных записей не сообщит, если какая-то из них «слишком много на себя берет». Иными словами, если причина отключения UAC только в том, что он «мешает», я настойчиво рекомендую включить его обратно.

Изменение параметров UAC в редакторе реестра

Отключение UAC и выбор любого из четырех вариантов работы контроля учетных записей Windows 10 возможен и с помощью редактора реестра (чтобы запустить его нажмите Win+R на клавиатуре и введите regedit).

Параметры работы UAC определяются тремя ключами реестра, находящимися в разделе HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Policies\ System

Перейдите в этот раздел и найдите следующие параметры DWORD в правой части окна: PromptOnSecureDesktop, EnableLUA, ConsentPromptBehaviorAdmin. изменять их значения можно по двойному клику. Далее привожу значения каждого из ключей в том порядке, как они указаны для разных вариантов оповещений контроля учетных записей.

1. Всегда уведомлять — 1, 1, 2 соответственно.
2. Уведомлять при попытках приложений изменить параметры (значения по умолчанию) — 1, 1, 5.
3. Уведомлять без затемнения экрана — 0, 1, 5.
4. Отключить UAC и не уведомлять — 0, 1, 0.

Как отключить UAC в Windows 10? Три способа

Контроль учетных записей (UAC) — служба Windows, сообщающая пользователя о совершении действий, для которых требуются права администратора. Если вы достаточно квалифицированы и абсолютно уверены в программах, которые устанавливаете на свой ПК, без этой службы можно обойтись. Из этой статьи вы узнаете как отключить UAC в Windows 10.

Основное назначение UAC — защита операционной системы от установки и запуска вредоносного ПО. Также служба не позволяет совершить потенциально опасные действия (внести изменения в реестр, удалить или отредактировать системные файлы) без ввода пароля администратора. По умолчанию эта служба активна и все действия, имеющие возможность повлиять на работу Windows, не могут быть выполнены пользователями, не имеющих на это достаточно прав.

Зачем отключать UAC?

Служба замедляет работу пользователя при установке большого количества программ или внесении множества изменений в реестр или в системные файлы. Если ее отключить, перед каждым из таких действий Windows 10 перестанет выдавать запрос подтверждения прав администратора.

Отключение UAC снижает защиту операционной системы, поэтому не следует избавляться от этой службы без крайней нужды.

Есть три пути отключения службы контроля учетных записей:

1. Панель управления;
2. реестр Windows;
3. командная строка.

Независимо от выбранного способа, чтобы служба перестала работать, необходимо перезагрузить ПК после внесения изменений.

Отключение UAC через Панель управления в Windows 10

Использование «Панели управления» — самый наглядный способ отключения контроля учетных записей. Для этого откройте «Панель управления» в настройках ПК или выберите соответствующий пункт в контекстном меню, щелкнув на кнопке «Пуск» правой кнопкой мыши. Или введите в поиске «панель управления». Чтобы добраться к окну управления учетными записями, необходимо выбрать «Мелкие значки» в поле «Просмотр».

Далее следует выбрать пункт изменение параметров контроля учетных записей:

И установить там переключатель в нижнее положение, соответствующее полному отключению UAC. Там можно не просто отключить контроль, а настроить уровень защиты.

В соответствующий раздел «Панели управления» можно добраться быстрее, используя сочетание клавиш Win+R. Достаточно ввести «UserAccountControlSettings» в появившемся окне «Выполнить» и нажать клавишу ввода.

Отключаем сообщения UAC через реестр

Контроль учетных записей можно отключить, используя редактор реестра. Попасть в него можно, если нажать Win+R, ввести «regedit» в открывшемся окошке и нажать клавишу «Enter».

Параметры UAC хранятся в трех ключах, расположенных в ветке «HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Policies\ System»:

1. ConsentPromptBehaviorAdmin;
2. EnableLUA;
3. PromptOnSecureDesktop.

Изменить значения ключей можно, дважды кликнув на них. Разным вариантам работы UAC соответствуют различные значение ключей, которые приведены в таблице ниже.

Выберите для себя необходимый уровень защиты. Или полностью отключите функцию.

Через командную строку

Существует несколько вариантов запуска командной строки:

• щелкнуть мышью (правой кнопкой) на «Пуск» и выбрать «Командная строка»;
• через поиск начального экрана Windows найти пункт «Командная строка» и выбрать его;
• запустить файл cmd.exe.

Следует учесть, что для изменения параметров UAC нужно запускать командную строку от имени администратора.

Далее остается набрать команду:

C:\Windows\System32\cmd.exe /k C:\Windows\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f

Появится уведомление о необходимости перезагрузки ПК.

После новой загрузки служба контроля учетных записей будет отключена.

Как отключить контроль учетных записей UAC Windows 10

Контроль учетных записей или UAC в Windows 10 уведомляет вас при запуске программ или выполнении действий, которые требуют права администратора на компьютере (что обычно означает, что программа или действие приведет к изменению системных настроек или файлов). Сделано это с целью защитить вас от потенциально опасных действий и запуска ПО, которое может нанести вред компьютеру.

По умолчанию UAC включен и требует подтверждения для любых действий, могущих оказать влияние на операционную систему, однако вы можете отключить UAC или настроить его уведомления удобным для себя способом. В конце инструкции также имеется видео, где показаны оба способа отключения контроля учетных записей Windows 10. Примечание: если даже при отключенном контроле учетных записей какая-то из программ не запускается с сообщением, что администратор заблокировал выполнение этого приложения, должна помочь эта инструкция: Приложение заблокировано в целях защиты в Windows 10.

Как отключить контроль учетных записей в панели управления Windows 10

Первый способ — использовать соответствующий пункт в панели управления Windows 10 для изменения настроек контроля учетных записей.

1. Откройте панель управления, для этого можно использовать поиск в панели задач или нажать клавиши Win+R, ввести control и нажать Enter. А можно сразу перейти к 4-му шагу, нажав Win+R и введя UserAccountControlSettings
2. В панели управления вверху справа в поле «Просмотр» вместо «Категории» установите «Значки», а затем откройте пункт «Учетные записи пользователей».
3. В следующем окне нажмите «Изменить параметры контроля учетных записей».
4. Далее вы можете вручную задать параметры UAC или отключить контроль учетных записей Windows 10, достаточно выбрать один из вариантов настроек работы UAC, каждый из которых пояснён далее.

Возможные варианты настроек контроля учетных записей в панели управления от верхнего к нижнему:

• Всегда уведомлять, когда приложения пытаются установить программное обеспечение или при изменении параметров компьютера — самый безопасный вариант, при любом своем действии, которое может что-то изменить, а также при действиях сторонних программ вы будете получать уведомление об этом. Обычные пользователи (не администраторы) должны будут ввести пароль для подтверждения действия.
• Уведомлять только при попытках приложений внести изменения в компьютер — этот параметр установлен в Windows 10 по умолчанию. Он означает, что контролируются только действия программ, но не действия пользователя.
• Уведомлять только при попытках приложений внести изменения в компьютер (не затемнять рабочий стол). Отличие от предыдущего пункта в том, что рабочий стол не затемняется и не блокируется, что в некоторых случаях (вирусы, трояны) может быть угрозой безопасности.
• Не уведомлять меня — UAC отключен и не уведомляет о каких-либо изменениях в параметрах компьютера, инициированных вами или программами.

Если вы решили отключить контроль учетных записей Windows 10, что является совсем не безопасной практикой, в дальнейшем следует быть очень внимательным, поскольку все программы будут иметь к системе тот же доступ, что и вы, в то время как контроль учетных записей не сообщит, если какая-то из них может повлиять на работу системы. Иными словами, если причина отключения UAC только в том, что он «мешает», я настойчиво рекомендую включить его обратно.

Изменение параметров контроля учетных записей в редакторе реестра

Отключение UAC и выбор любого из четырех вариантов работы контроля учетных записей Windows 10 возможен и с помощью редактора реестра (чтобы запустить его нажмите Win+R на клавиатуре и введите regedit).

Параметры работы UAC определяются тремя ключами реестра, находящимися в разделе

Перейдите в этот раздел и найдите следующие параметры DWORD в правой части окна: PromptOnSecureDesktop, EnableLUA, ConsentPromptBehaviorAdmin. Для полного отключения контроля учетных записей достаточно изменить значение параметра EnableLUA на 0 (ноль), закрыть редактор реестра и перезагрузить компьютер.

Однако, когда вы меняете параметры UAC в панели управления, сама Windows 10 оперирует тремя параметрами одновременно и делает это несколько иначе (хотя предыдущий метод проще и быстрее). Далее привожу значения каждого из ключей PromptOnSecureDesktop, EnableLUA, ConsentPromptBehaviorAdmin в том порядке, как они указаны для разных вариантов оповещений контроля учетных записей.

1. Всегда уведомлять — 1, 1, 2 соответственно.
2. Уведомлять при попытках приложений изменить параметры (значения по умолчанию) — 1, 1, 5.
3. Уведомлять без затемнения экрана — 0, 1, 5.
4. Отключить UAC и не уведомлять — 0, 1, 0.

Отключение UAC в командной строке

Быстрый способ полностью отключить контроль учетных записей — использовать командную строку, для этого:

1. Запустите командную строку от имени администратора, в Windows 10 для этого можно начать вводить «Командная строка» в поиск на панели задач, а когда найдется нужный результат — либо нажать по нему правой кнопкой мыши и выбрать нужный пункт меню, либо выбрать «Запуск от имени администратора» в панели справа.
2. Введите команду (нажав Enter после ввода)
3. Закройте командную строку и перезапустите компьютер или ноутбук.

По своей сути этот метод является вариантом способа с редактором реестра, который описан выше: просто нужный параметр изменяется с помощью указанной команды.

Как отключить контроль учетных записей UAC в редакторе локальной групповой политики Windows 10

Этот метод подойдёт для Windows 10 Pro и Enterprise, где присутствует редактор локальной групповой политики. Шаги будут следующими:

1. Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter.
2. В редакторе перейдите к разделу «Конфигурация компьютера» — «Конфигурация Windows» — «Параметры Безопасности» — «Локальные политики» — «Параметры безопасности».
3. В правой панели найдите параметр «Контроль учетных записей: все администраторы работают в режиме одобрения администратором» и дважды нажмите по нему.
4. Установите параметр в значение «Отключен» и нажмите «Ок».

Перезагрузка компьютера обычно не требуется.

Видео

В завершение еще раз напомню: я не рекомендую отключать контроль учетных записей ни в Windows 10 ни в других версиях ОС, если только вы абсолютно точно не знаете, для чего вам это нужно, а также являетесь достаточно опытным пользователем.

А вдруг и это будет интересно:

Почему бы не подписаться?

Рассылка новых, иногда интересных и полезных, материалов сайта remontka.pro. Никакой рекламы и бесплатная компьютерная помощь подписчикам от автора. Другие способы подписки (ВК, Одноклассники, Телеграм, Facebook, Twitter, Youtube, Яндекс.Дзен)

20.03.2020 в 11:44

Можно ли добавить конкретные программы в исключения?

20.03.2020 в 15:37

Нет. Но есть такой способ обхода: создаем задание в планировщике заданий для выполнения этой программы с наивысшими правами, а потом создаем ярлык для запуска этого задания по имени:

И он будет срабатывать без запроса UAC

19.12.2020 в 21:50

W-10: постоянно перенастраиваю проги по умолчанию, но винда их автоматом переделывает под свои. Например, для киношек всё время ставит свой Media (чтоб он). И т.д. Есть ли способы заткнуть эту дуру, чтоб не выделывалась?

20.12.2020 в 10:11

То что вы описываете — ненормально для Windows. Поэтому мне лишь гадать почему вдруг так происходит. Одно из предположений — если вдруг у вас стоит какой-то софт, который чистит память, данные, реестр и прочее, то теоретически он может вычищать ненароком и такие настройки.
И, на всякий случай: сразу после изменения всех настроек как вам нужно, выполните перезагрузку компьютера (пуск — перезагрузка, а не через завершение работы), теоретически может повлиять (есть там механизмы, которые могут сбрасывать параметры на некоторых системах после завершения работы и включения).

24.12.2020 в 02:04

В принципе меня не очень колышет, т.к. я запускаю программы через Тотал Коммандер, а у него свои установки. Я уже перестал реагировать. Раньше как только я перенастрою скажем киношки на Пот-плеер, через некоторое время приходит сообщение, что с форматом МП4 проблемы, и его переключили на медиа-плеер. Я просто плюнул, и запускаю как мне надо с коммандера.
PS W-10 LTSC, ничего системного не стоит, только Corel, Adobe кое-что, Office и ещё по мелочам. Может Bulk Crap Uninstaller?