Uac virtualization что это
Uac virtualization что это
В Windows 7 встроено множество средств защиты пользователей от угроз, не все эти средства понятны пользователя, что в итоге приводит к отключению. Самой первой моей статьей в этом блоге была настройка брандмауера Windows Vista, а не так давно я писал про отключение UAC для определенных приложений. Исследуя аппаратную виртуализацию в Windows 7(известная как XP Mode) я натолкнулся на упоминание о UAC виртуализации. Оказалось, что это простое решение для программ, которые требуют администраторских привилегий.
Причины несовместимости
Что-бы понять в чем заключается виртуализация, нужно сначала понять в чем проблема,зачем программам уровень администратора.
Собственно именно для такого «кривого софта» Microsoft реализовало виртуализацию UAC. В описании на сайте майкрософта написано, что разработчикам не следует во всем полагаться на виртуализацию, а писать свой софт правильно, да кто-ж их слушает.
Суть работы
Все сводится к тому, что UAC перехватывает запросы на запись в защищенные папки (C:\Windows,C:\Program Files\) и реестр, а вместо этого записывает эти данные в папки пользователя. Софту кажется, что запись и чтение ведется из одного места, а на самом деле работа происходит в каталоге пользователя.
Метод действенный, но не стоит его использовать для действительно важного софта. Запись производиться в свободную для записи область жесткого диска, а значит теоретически вирус может повредить или инфицировать эти файлы, а UAC этого даже не заметит.
Как включить UAC виртуализацию
Сначала нужно зайти в диспетчер задач и зайти в меню выбора столбцов. Нас тут интересует пункт «Виртуализация контроля учетных записей»
Теперь находим нужный процесс и нажимаем на нем правой кнопкой мыши. В появившемся окне нужно выбрать «Виртуализация UAC«
UAC немного деталей
Здравствуйте уважаемые! Хотелось бы рассказать немного про один из механизмов защиты ОС.
Наверняка многие не по наслышке знаю что это такое, но надеюсь так же многие подчеркнут для себя что то новое из этого топика, и так приступим!
UAC (User Account Control) — это средство контроля пользовательских учетных записей, впервые появившийся в Windows Vista.
Главная задача UAC была — заставить всех работать как обычный стандартный системный пользователь, т.к. работа с правами администратора очень не безопасна. Все мы прекрасно знаем, что многие приложения с которыми мы работаем могут содержать «уязвимости» и их же часто используют злоумышленники. Соответственно работая это приложение с правами администратора (хотя за частую приложениям не требуются права такого уровня), может писать в системные папки абсолютно прозрачно для пользователя, чего нам собственно и не нужно. Для воизбежания подобных ситуаций собственно и был призван на помощь UAC.
Он не только защищает вас от злонамеренного кода, а так же в какой то мере оказывает совместимость со «старыми» приложениями. Он позволяет писать «старым» приложения в системные папки, а если быть точнее эти приложения просто так думают что пишут в системные папки, но на самом деле пишут в виртуализированные папки, в следствии чего приложения работают вполне корректно.
Собственно когда вы заходите в систему, создаются 2а маркера доступа: административный и обычный.
Административный лежит в загашнике, а вы работаете под обычным аккаунтом. Далее если вам потребуется повышение привилегий, возникает защищенный рабочий стол и внутри этой сессии вы делаете выбор «Да, я согласен» или «Отмена». Это сделано для предотвращения спуфинг атак. Если в систему заходит обычный пользователь, то для него административный маркер не создается, а только обычный. Затем если ему нужно повысить свои привилегии, снова появляется защищенный рабочий стол в котором запрашивается пароль административной учетной записи. После чего для приложения формируется административный маркер доступа. По завершению приложения, административный маркер доступа удаляется.
Виртуализация UAC
Хочу напомнить, что отключая user account control вы подвергаете всю систему опасности и превращаете вашу ОС в windows XP, а не просто отключаете надоедливые окошки.
При этом отключая UAC вы выключаете windows resource protection, который собирает все необходимые для «жизни» файлы в хранилище, что бы после критического сбоя восстановить поврежденные файлы.
Виртуализация осуществятся в режиме ядра.
* Файловая система: драйвером luafv.sys.
* Реестр: встроенными средствами.
Перенаправляемые каталоги системы:
\Program Files, \Windows, \Windows\System32.
Исключения: Системные *.exe и *.dll.
Перенаправляемые разделы реестра:
HKLM\Software
Исключения: Некоторые ключе подраздела Microsoft.
Приложение работающее с обычными правами, перенаправляет в:
* Запись:
\Users\\AppData\Local\Virtual Store
HKCU\Software\Classes\VirtualStore
Что совершенно прозрачно происходит для самого приложения, т.е. приложение продолжает думать что оно пишет к примеру в \Program Files.
* Чтение:
Сначала используется зона пользователя, затем глобальное расположение.
Повышение привилегий для определенного приложения:
* В свойствах ярлыка поставить галочку «Запускать от имени администратора».
* Эвристическим инсталлятором.
* Явным запросом пользователя.
* В манифесте.
Ну и в довершение неполный список действий, вызывающих сообщение User Account Control:
* Изменения в каталогах %SystemRoot% и %ProgramFiles% — в частности, инсталляция/деинсталляция ПО, драйверов и компонентов ActiveX; изменение меню «Пуск» для всех пользователей.
* Установка обновлений Windows, конфигурирование Windows Update.
* Перенастройка брандмауэра Windows.
* Перенастройка UAC.
* Добавление/удаление учётных записей.
* Перенастройка родительских запретов.
* Настройка планировщика задач.
* Восстановление системных файлов Windows из резервной копии.
* Любые действия в каталогах других пользователей.
* Изменение текущего времени (впрочем, изменение часового пояса UAC не вызывает).
Почему нужно отключить UAC в Windows 10?
Что такое UAC знают не все пользователи Windows, однако сталкиваться с ним приходится постоянно. Вообще аббревиатура расшифровывается как User Account Control или, если говорить по-русски, контроль учетных записей.
Как заявляют разработчики, UAC контролирует загрузку приложений в операционной системе и препятствует запуску вредоносных приложений, ну а помогает ему супер экран, снабженный искусственным интеллектом, под названием Smart Screen и Windows Defender. Несмотря на все похвалы со стороны Microsoft\’a, у меня есть несколько доводов, чтобы отключить все эти агрегаты.
Почему стоит отключить User Account Control?
Как отключить UAC?
Если вы читаете эту статью, значит UAC вас достал, а значит нужно его отключить. Дабы вы не напрягались и не искали эту информацию, выкладываю простую инструкцию.
Инструкция по отключению UAC
Вообще в панели управления есть опция отключения, но с ее помощью не получится полностью вырубить эту субстанцию. На скриншоте как раз она.
Для полного отключения нам понадобится вызвать редактор реестра. Итак, нажимаем клавиши Win + R и в появившееся окно вводим regedit. Далее переходим в этот раздел
где находим параметр EnableLUA и меняем его значение на 0. В центре уведомлений сразу же появится запрос на перезагрузку компьютера и мы конечно же перезагружаемся. После такой операции запросы на запуск программ от UAC не будут нас беспокоить.
Инструкция по отключению Smart Screen
Однако Smart Screen будет нас по-прежнему доставать, поэтому мы отключим и его. Запускаем редактор реестра, как написано выше, и переходим по этому пути
В этом разделе создаем параметр DWORD (32 бита), причем для ОС с любой разрядностью. Параметру задаем имя EnableSmartScreen и присваиваем ему значение 0.
После выполнения всех процедур все всплывающие окна с запросами о разрешении запуска программ или запроса прав администратора исчезнут. По поводу Windows Defender беспокоиться не стоит – он, осознав свою бесполезность, отключится сам, когда вы установите любую антивирусную программу.
Что еще нужно сделать?
Отключив все это, не забудьте установить себе на компьютер хороший, а лучше всего коммерческий антивирус. Наша редакция рекомендует использовать комбайны от ведущих антивирусных вендоров – DrWeb или Kaspersky.
Спасибо, хорошая статья.
Плохая статья, автор немало лаптей тебя проклянет. Можно оключить Дефендер, даже нужно, Смартскрин хай с ним, польза от него есть небольшая,вреда нет, жрет копейки. Юзер Аккаунт отключить лучший способ добиться глюков и последующей переустановки оси. Выбор антивирусов тоже не ахти. Самый честный и реально что-то делающий Нортон, при использовании вместо затычки – заткнуть пасть Дефендеру если нет желания долго и настырно отрубать это уныло-тормозное детище мелкософт лучше всего Есет, толку от Есета нет, но легкий, шустрый и отключается без танцев с бубном.
Никогда не делайте так! Работаю на windows 10 с момента её выхода без дополнительного антивируса и ни разу не имел проблем, тьфу-тьфу. Всегда читайте с чем соглашаетесь прежде чем жать кнопки.
Все держатся за мелкомягкую хрень ибо игрушки им поиграть лялечкам хочется. Контру там или колл.оф.дутый. А для дела хватит и простого немощного компа с простой видимокартой и небольшим жестоким диском. Поставьте мебе Линукс Минт 19.1 на сегодня актуальный и гавно минус. А хорошая система плюс. Поддержите минтов. У них есть трудости. Тот же гейтс душит за то, что хорошего конкурента создали.
UAC, давай дружить!
Технология UAC — не лишний компонент безопасности ОС Windows последних версий и пользователи приходят к этой мысли, борясь с malware и вирусами. Программистам, в свою очередь, стоит грамотно подходить к написанию приложений и принимать во внимание наличие такого «обстоятельства».
На хабре и вообще в сети много статей на тему «Как отключить UAC», «Как обойти UAC» и др. Но зачем отключать, функция ведь полезная? Зачем обходить, мы ведь не злоумышленники?
Ниже я расскажу как это делать в Вашем приложении.
Манифест
Для начала рассмотрим самый простой и некрасивый, по моему мнению, вариант — редактирование манифеста. Чем он плох? Тем, что подходит только для тех приложений, которым всегда нужно иметь привелегии администратора. Как это будет выглядеть? Пользователь при запуске вашего приложения получить знакомое окошко, в котором ему нужно будет подтвердить разрешение на выполнение программой действий с привилегиями администратора. И так каждый раз при запуске программы. В принципе, вариант приемлим для программ, которые запускаются нечасто и в одном экземпляре.
Сразу нужно сказать, что в автозапуск (не уверен, что всеми способами, но по крайней мере, через реестр) такие приложения помещать нельзя. Windows их просто прихлопнет на старте, не показав никакого окна UAC. Может быть, в этом случае есть смысл использовать технологии служб Windows.
Итак, реализация (взято отсюда)
Другие решения
Проверка на наличе прав
В первую очередь после запуска приложения или в тех местах, где это требуется, нужно проверить не запущены ли мы уже с правами администратора (вдруг юзер уже отключил UAC). Если это так, то большинства последующих манипуляций можно будет избежать. Проверка делается просто (да, кстати, код здесь и дальше на C#):
Запуск процесса с запросом прав
Допустим, нет у нас прав. Что же дальше? Приложение, запущенное с какими-либо правами, не может их изменить в процессе своей работы. Для выполнения действий с повышенными привилегиями необходимо запускать новый процесс с запросом прав. Как вообще это сделать:
2. Запуск собственного дополнительного приложения с параметрами. Допустим, вам ну очень нравится использовать WinAPI и не хочется разбиратся с системными утилитами или ваша задача не столь банальна, как приведенная выше. В таком случае вы можете написать маленькую консольную утилиту, которая будет выполнять нужные вам действия. Но это и лишние затраты времени, и необходимость поддержки дополнительной утилиты, интерфейсов взаимодействия и т.д.
2а. Дополнительное приложение может запускатся только один раз и продолжать висеть в памяти. Организовав общение с ним из основного приложения, вы можете выполнять нужные вам административные задачи без последующих запросов прав. Но это еще более сложный вариант. Опять же таки, в этом случае есть смысл посмотреть в сторону служб Windows в качетсве дополнительного приложения, которые по-умолчанию запускаются с привилегиями администратора.
3. Запуск еще одного экземпляра основного приложения с параметрами. Допустим, у вас есть пять простых действий, которые нужно выполнять с правами администратора. Забейте для них параметры командной строки вашего же приложения и на запуске проверяйте их наличие. Получив какой-либо из этих параметров, выполните соответствующее действие и завершите работу. Данный вариант, судя по StackOverflow является самым распространенным, по скольку код остается в рамках одного приложения, да и реализуется все просто.
4. Введение двух режимов работы приложения. Если приложению права администратора необходимы редко, то стоит ввести два режима работы: обычный и привилегированый. В обычном режиме (а мы это определяем с помощью указанной выше функции IsAdmin()) операции, требующие права администратора, остаются заблокированными, но у пользователя появляется возможность перезапустить приложение с правами админа и получить доступ к забокированному функционалу. В привилегированном режиме (IsAdmin() возвращает true) мы не блокируем функционал.
Таким образом, запрос появляется перед пользователем только один раз и в процессе подальшей работы с приложением больше не будет отвлекать. Если же пользователь отключил UAC, то об «обычном» режиме он даже не узнает.
Данный подход требует немного усилий на начальном этапе, но дальше позволяет писать приложение без каких-либо ограничений и вынесений кода в другие программы и блоки. Небольшой пример будет рассмотрен ниже.
Оформление приложений
Всем нам хочется писать стильные и красивые оконные приложения и в вопросах использования UAC без фирменного щитка на контролах ну никак не обойтись.
Такой щит размещается на кнопках, link-label’ах или других элементах управления, после нажатия на которые пользователь увидит запрос от UAC. К счастью, нам не придется таскать повсюду картинку, поскольку в системе, как ни странно, она уже есть и ее можно получить.
Для WinForms-приложений можно указать системе разместить иконку щита на кнопке.
Для тех, кто уже отказался от WinForms и перешел к разработке приложений с помощью WPF, также есть решение. Для того, чтобы получить ImageSource иконки и указать ее в каком-либо контроле, можно использовать следующий код.
Пример
Рассмотрим теперь маленький пример, реализующий изложенные выше принципы.
В приложении имеется кнопка, которая должна выполнять действия с правами администратора (у меня она просто отображает MessageBox). Если приложение уже запущено с правами, то мы оставляем ее доступной. Если же нет, кнопку блокируем и отображаем панельку с предупреждением и другой кнопкой, позволяющей перезапустить приложение в привилегированном режиме. На кнопке отображаем православную иконку щита.
Кроме того, окно приложения после перезапуска отображается в том же месте и с теми же размерами благодаря передаче контекста через командную строку.
Конечно, пример простейший, но он в общих чертах демонстрирует самый близкий мне подход к решению проблемы взаимодействия с UAC. Код примера на github.
Буду рад услышать ваши замечания, коментарии и пожелания.
Что такое виртуализация учетных записей пользователей?
Виртуализация пользователей относится к независимому управлению всеми аспектами работы пользователя в среде рабочего стола. Виртуализация пользователей отделяет профиль, настройки и данные пользователя от операционной системы и сохраняет эту информацию в централизованном общем хранилище данных в центре обработки данных или в облаке.
Стоит ли включать виртуализацию UAC?
Но если вы включите виртуализацию UAC, это поможет вам перенаправить записи в местоположение пользователя в профиле пользователя. Поэтому, если вы отключите виртуализацию UAC, это может привести к тому, что некоторые приложения не будут работать со стандартным пользователем.
Что такое виртуализация UAC?
Вкратце, виртуализация UAC — это краткосрочное решение для обратной совместимости со старым программным обеспечением, которое не поддерживает UAC, без принуждения пользователя к предоставлению прав администратора приложения; в случае отказа отказа в доступе при попытке ввода-вывода в системные каталоги или кусты реестра вместо этого получаются …
Что означает запрещенная виртуализация UAC?
Виртуализация UAC не позволяет пользователям устанавливать приложения, которые вносят изменения в эти ресурсы; пользователям все равно потребуется предоставить учетные данные администратора для выполнения установки. Когда исполняемый файл имеет запрошенный манифест уровня выполнения, Windows автоматически отключает виртуализацию UAC.
Что такое виртуализация UAC в Windows 10?
Виртуализация UAC помогает предотвратить запись приложений в защищенные местоположения системных ресурсов, перенаправляя «Записи» в местоположение, к которому у пользователя есть доступ, то есть в его личный профиль.
Почему появляется Контроль учетных записей пользователей?
По умолчанию контроль учетных записей пользователей всплывает, когда приложение или программа пытается внести изменения в ваш компьютер. Если вы не используете учетную запись администратора, UAC также предложит вам ввести пароль администратора, прежде чем разрешить приложению / программе вносить изменения.
Как включить запрещенную виртуализацию UAC?
Вот как включить или отключить контроль учетных записей (UAC) в Windows 10:
Повышает ли виртуализация UAC производительность?
Если вы действительно запускаете виртуальную машину, то да, она будет использовать те ресурсы, которые вы ей выделяете. С другой стороны, если вы просто «активируете» виртуализацию в BIOS своей системы, но на самом деле не используете ее ни для чего, тогда ответ будет отрицательным, это не повлияет на производительность вашей машины.
Что означает UAC?
| Акроним | Определение |
|---|---|
| ОАК | Контроль учетных записей пользователей |
| ОАК | Верхний районный контроль (авиация) |
| ОАК | Union Aerospace Corporation (серия Doom) |
| ОАК | Объединенная авиастроительная корпорация (Россия) |
Как отключить контроль учетных записей пользователей?
Чтобы выключить UAC:
Безопасно ли отключать UAC?
Хотя мы объясняли, как отключить UAC в прошлом, вы не должны отключать его — это помогает защитить ваш компьютер. Если вы инстинктивно отключаете UAC при настройке компьютера, вам следует попробовать еще раз — UAC и экосистема программного обеспечения Windows прошли долгий путь с момента появления UAC в Windows Vista.
Как включить виртуализацию?
Нажмите клавишу F2 при запуске BIOS Setup. Нажмите клавишу со стрелкой вправо, чтобы перейти на вкладку «Дополнительно», выберите «Виртуализация» и нажмите клавишу «Ввод». Выберите Enabled и нажмите клавишу Enter. Нажмите клавишу F10, выберите «Да» и нажмите клавишу «Ввод», чтобы сохранить изменения и выполнить перезагрузку в Windows.
Что означает виртуализация в диспетчере задач?
Похоже, это ссылка на виртуализацию UAC, которая представляет собой процедуру совместимости, которую UAC использует для старых программ, которые пытаются записывать в Program Files и другие ограниченные места.
Как включить диспетчер задач?
Семь способов открыть диспетчер задач Windows
Как повысить приоритет в Windows 10?
Как установить высокий приоритет в диспетчере задач в Windows 10?
Что такое виртуализация машин?
Виртуализация использует программное обеспечение для создания уровня абстракции над компьютерным оборудованием, который позволяет разделить аппаратные элементы одного компьютера — процессоры, память, хранилище и многое другое на несколько виртуальных компьютеров, обычно называемых виртуальными машинами (ВМ).