Description of User Account Control and remote restrictions in Windows Vista

This article describes User Account Control (UAC) and remote restrictions.

Original product version: В Windows Vista
Original KB number: В 951016

Introduction

User Account Control (UAC) is a new security component of Windows Vista. UAC enables users to perform common day-to-day tasks as non-administrators. These users are called standard users in Windows Vista. User accounts that are members of the local Administrators group will run most applications by using the principle of least privilege. In this scenario, least-privileged users have rights that resemble the rights of a standard user account. However, when a member of the local Administrators group has to perform a task that requires administrator rights, Windows Vista automatically prompts the user for approval.

How UAC remote restrictions work

To better protect those users who are members of the local Administrators group, we implement UAC restrictions on the network. This mechanism helps prevent against loopback attacks. This mechanism also helps prevent local malicious software from running remotely with administrative rights.

Local user accounts (Security Account Manager user account)

When a user who is a member of the local Administrators group on the target remote computer establishes a remote administrative connection by using the net use *\\remotecomputer\Share$ command, for example, they won’t connect as a full administrator. The user has no elevation potential on the remote computer, and the user cannot perform administrative tasks. If the user wants to administer the workstation with a Security Account Manager (SAM) account, the user must interactively log on to the computer that is to be administered with Remote Assistance or Remote Desktop, if these services are available.

Domain user accounts (Active Directory user account)

A user who has a domain user account logs on remotely to a Windows Vista computer. And, the domain user is a member of the Administrators group. In this case, the domain user will run with a full administrator access token on the remote computer, and UAC won’t be in effect.

This behavior is not different from the behavior in Windows XP.

How to disable UAC remote restrictions

This section, method, or task contains steps that tell you how to modify the registry. However, serious problems might occur if you modify the registry incorrectly. Therefore, make sure that you follow these steps carefully. For added protection, back up the registry before you modify it. Then, you can restore the registry if a problem occurs. For more information about how to back up and restore the registry, see How to back up and restore the registry in Windows.

To disable UAC remote restrictions, follow these steps:

Click Start, click Run, type regedit, and then press ENTER.

Locate and then click the following registry subkey:

If the LocalAccountTokenFilterPolicy registry entry doesn’t exist, follow these steps:

1. On the Edit menu, point to New, and then select DWORD Value.
2. Type LocalAccountTokenFilterPolicy, and then press ENTER.

Right-click LocalAccountTokenFilterPolicy, and then select Modify.

In the Value data box, type 1, and then select OK.

Exit Registry Editor.

Did this fix the problem

Check whether the problem is fixed. If the problem isn’t fixed, contact support.

UAC remote settings

The LocalAccountTokenFilterPolicy registry entry can have a value of 0 or 1. These values change the behavior of the registry entry to the one described in the following table.

Включение, настройка и отключение User Account Control (UAC)

В современных версиях Windows существует много инструментов, которые предназначены для обеспечения безопасности. Один из них — User Account Control, что в переводе означает «Контроль учётных записей». Он выдаёт окно с предупреждением, если какая-то программа или процесс пытается внести несанкционированные изменения в систему. И надо либо разрешить запуск утилиты, либо отменить его. Разберитесь, для чего нужен UAC Windows 7, как отключить его, как активировать и как настроить.

В этой статье мы расскажем, как включить UAC в Виндовс

Что такое UAC и зачем он нужен?

Многих пользователей раздражают такие уведомления. Ведь приходится каждый раз подтверждать, что вы согласны на установку нового приложения. Но контроль учётных записей служит для защиты от вредоносного ПО: вирусов, шпионов, рекламщиков. Он не заменит антивирус, сетевой экран или firewall. Но без этой функции Windows будет уязвима.

Если отключить UAC, компьютер окажется под угрозой. Не стоит деактивировать Account Control без причин. Иначе абсолютно любая программа сможет менять настройки системы, устанавливать свои дистрибутивы и запускать их. И всё это без ведома пользователя.

Контроль учётных записей можно настроить, чтобы он не был таким «надоедливым», и оповещение не выскакивало при запуске любой программы. Но рекомендуется оставить эту функцию в активном состоянии, чтобы защитить ПК.

Панель управления

Отключение UAC Windows 7 выглядит так:

1. Пуск ­— Панель управления.
2. «Учётные записи пользователей».
3. «Изменение параметров учётных записей».
4. Откроется окно с описаниями и ползунком. Передвигайте его, чтобы задать желаемые настройки. С правой стороны будет пояснение к выбранной опции.
5. Там есть четыре отметки. Верхняя «Всегда уведомлять» означает, что диалоговое окно-предупреждение будет всплывать при запуске абсолютно любой программы.
6. Если вам нужно полностью отключить UAC, передвиньте «каретку» на нижнее деление «Никогда не уведомлять». Но тогда риск заражения вирусными программами увеличится, и Windows будет под угрозой.
7. Лучше оставить ползунок где-то посередине. Чтобы контроль учётных записей уведомлял вас, только когда приложение пытается что-то поменять в системе. Если поставите прямоугольник на третью позицию, при появлении сообщения картинка на мониторе будет темнеть. Если поставите на второе деление, дисплей темнеть не будет.

Настройте, в каких случаях показывать уведомления

Войти в это меню и отключить UAC можно и быстрее.

1. Нажмите «Пуск».
2. Кликните на изображение вашей учётной записи наверху.

В Windows Vista такого ползунка нет. Соответственно, детальная настройка функции невозможна. Доступно только включение и отключение режима.

Групповые политики

Ещё один метод взаимодействия с Account Control — редактор групповой политики. Этот способ подойдёт не для всех версий операционной системы. Только для Профессиональной, Максимальной и Корпоративной Windows.

Чтобы отключить UAC:

1. Перейдите в «Пуск — Выполнить» или нажмите Win+R.
2. Напишите в поле для ввода «secpol.msc» без кавычек и кликните на «OK».
3. Раскройте иерархию «Локальные политики — Параметры безопасности».
4. В списке справа найдите пункты «Контроль учётных записей». Там их несколько.
5. Вам нужен тот, который заканчивается словами «Все администраторы работают в режиме одобрения». Дважды щёлкните по нему.
6. На вкладке «Параметры безопасности» поставьте маркер рядом с пунктом «Отключение».
7. Нажмите «Применить», закройте редактор и перезагрузите компьютер.

Запустите редактор групповой политики

Снова включить Account Control можно в том же меню.

Редактор реестра

Перед тем как что-то менять в реестре, надо сделать его резервную копию. Чтобы в случае возникновения неполадок его быстро восстановить.

1. Перейдите в «Пуск — Выполнить» или нажмите Win+R.
2. Введите «regedit» и нажмите «OK».
3. В появившемся окне откройте «Файл — Экспорт».
4. Укажите путь к папке, в которой надо сохранить бэкап.

Вот как в Windows 7 отключить контроль учётных записей UAC:

1. В редакторе реестра откройте «Правка — Найти».
2. Запустите поиск по запросу «EnableLUA».
3. В результатах выберите строчку с таким же названием. Дважды кликните по ней.
4. В поле «Значение» напишите цифру «0» (ноль), чтобы остановить работу службы.
5. Чтобы снова включить UAC, поменяйте «0» на «1» (единицу).
6. Нажмите «OK» и перезапустите ПК.

Командная строка

Отключение Account Control при помощи команд:

1. Пуск — Программы — Стандартные.
2. Кликните правой кнопкой мыши по «Командная строка».
3. Выберите «От имени администратора». Откроется окно с чёрным фоном и белым шрифтом.
4. Скопируйте в него команду «%windir%\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f» и нажмите
5. Она меняет параметры реестра. Через него можно вновь активировать режим.

Account Control — это необходимая мера безопасности. Отключайте её только в крайнем случае.

Расскажите, а у вас работает UAC, или вы обходитесь без него?

User Account Control: как включить и отключить в Windows?

Наверняка многие пользователи сталкивались с ситуацией, когда при попытке запуска файла установки какого-то программного обеспечения или при открытии исполняемого компонента уже установленных приложений на экране появляется запрос от службы контроля учетных записей пользователей по поводу выдачи разрешения на изменения, которые будут выполнены на данном компьютере. Это происходит потому, что в самой операционной системе имеется специальный компонент, называемый в английском варианте User Account Control (UAC), который находится в активном состоянии и является одной из составляющих всей системы безопасности последних версий Windows. Что это за служба, как ее настроить, и насколько целесообразно держать ее включенной, далее и будет разъяснено.

Что такое User Account Control в Windows?

Первым делом давайте рассмотрим, что это за элемент безопасности, и как он работает, а только потом будем принимать решение по поводу того, стоит ли его отключать или все-таки нет. То, что это действительно один из элементов защиты самой системы, сомневаться не приходиться.

Правда, в отличие от других подобных компонентов вроде SmartScreen, выполнение определенных действий или запуск программ, которые могут изменить системную конфигурацию или установленные параметры, он не блокирует, а всего лишь выдает запрос на согласие пользователя на предоставление программе прав для выполнения той или иной операции, то есть снимает с себя ответственность за пользовательские действия в случае согласия. По сути, несмотря на громкое название (User Account Control – это именно служба контроля действий, производимых при использовании зарегистрированного аккаунта или учетной записи администратора/суперадминистратора), все назначение этого компонента и сводится к тому, чтобы напомнить пользователю, что предоставление разрешений стороннему ПО на внесение изменений может негативно сказаться на работе операционной системы.

Для чего нужны ограничения на действия в системе?

Что же касается необходимости иметь такого «уведомителя» под рукой, многие считают, что эта служба столь же полезна, насколько и абсолютно не нужна. Единственное разумное объяснение присутствию этого компонента защиты в Windows — постоянное напоминание пользователю о появлении возможных критических последствий его необдуманных действий. Но так кажется только на первый взгляд.

На самом деле, особенно если взять в расчет тот факт, что многие компьютерные вирусы способны перехватывать использование зарегистрированных в системе пользовательских аккаунтов и воздействовать якобы от их имени, инструмент User Account Control просто необходим для предотвращения выполнения на компьютере сомнительных апплетов, когда пользователь какую-то программу самостоятельно не запускал. Таким образом, нетрудно сделать вывод, что полностью отключать защиту, осуществляемую при помощи этого компонента, полностью не стоит (в этом случае уведомления для тех же вирусных апплетов, работающих в фоновом режиме, при их самопроизвольном срабатывании выдаваться не будут).

Предпочитаемые настройки

Что же касается самих настроек инструментария контроля (User Account Control Settings), вариантов выдачи уведомлений всего четыре:

• для запуска любой программы (наивысшая безопасность);
• уведомление с затемнением экрана при запуске приложений самим пользователем;
• уведомление без затемнения экрана;
• полное отключение (отсутствие уведомлений вообще).

Второй и третий варианты установки параметров по степени безопасности абсолютно равнозначны, но различаются только наличием затемнения на мониторе. Правда, если компьютерная конфигурация достаточно слабая, а затемнение влечет за собой долгое ожидание (или просто раздражает), можно оставить третий вариант. Но устанавливать такой уровень рекомендуется только в тех случаях, когда вы полностью доверяете запускаемому программному обеспечению и твердо уверены в том, что на компьютере нет вирусов или шпионских приложений.

Как отключить User Account Control простейшим способом?

Теперь несколько слов непосредственно о выставлении нужных параметров. Получить к ним доступ можно через «Панель управления» в разделе пользовательских учетных записей, выбрав пункт изменения контроля.

В окне настроек слева будет показан специальный фейдер (ползунок), которым и выставляется необходимый уровень защиты. Как уже понятно, установка его в самое нижнее положение и отключает выдачу уведомлений службой User Account Control.

Примечание: в последних системах, где в меню пуска отображается логотип пользователя, перейти к изменению параметров контроля можно через него. Еще быстрее получить доступ можно путем ввода в поисковом поле сокращения UAC. «Панель управления» в системах восьмой версии и выше лучше всего вызывать через консоль «Выполнить» путем ввода команды control.

Настройка локальных политик

Это был самый простой вариант предпочитаемых действий, применяемых для настройки или отключения службы User Account Control. Однако можно воспользоваться и некоторыми другими системными инструментами. В частности, довольно просто необходимые параметры можно выставить в локальных политиках (secpol.msc).

Здесь нужно перейти к одноименному разделу, вызвать в нем подраздел безопасности и найти тот пункт контроля, в котором обозначено, что все администраторы работают в режиме одобрения. Двойным кликом вызовите редактирование параметра и на вкладке безопасности, которая откроется по умолчанию, выставьте отключенное значение. По завершении действий и после сохранения установленных опций выйдите из редактора и произведите полную перезагрузку компьютера.

Редактирование записей реестра

Аналогичные действия по настройке параметров службы контроля можно выполнить и в системном реестре (regedit). Только в этом случае, чтобы долго не переходить по веткам и подразделам, лучше сразу воспользоваться поиском, а в соответствующем поле ввести значение «EnableLUA» (без кавычек).

Опять же, через двойной клик следует войти в изменение параметра и для отключения службы сначала выставить ноль, сохранить изменения, а после этого, как и в прошлом примере, потребуется выполнить полный рестарт системы.

Примечание: произвести деактивацию контроля можно и через командную строку, но вводимая команда слишком велика и сложна для понимания рядовым пользователем и, по большому счету, просто дублирует действия в реестре относительно локальных политик, в значение ключа которого вносятся необходимые изменения. Включение службы во всех случаях производится путем применения обратных действий.