Статья Временное отключение Контроля учетных записей в Windows Vista

Саныч

Опытный участник
Сообщения
734
Реакции
741
Обнаружен способ временно отключить Контроль учетных записей пользователей (User Account Control, UAC) при выполнении задач, требующих многократного подтверждения UAC. Этот способ избавляет от необходимости бесконечно подтверждать вполне запланированные административные действия и в то же время не лишает систему постоянной защиты.

Настройки политики безопасности

Суть метода заключается в использовании специальных настроек политики безопасности «Управление учетными записями пользователей: поведение запроса на повышения прав для администратора в режиме одобрения администратором» (User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode). Они позволяют настроить поведение диалоговых окон UAC для административной учетной записи. Эти настройки доступны в консоли «Локальная политика безопасности» (Local Security Policy) в версиях Vista Business и Ultimate, но поскольку они привязаны к определенному разделу реестра, изменить их можно в любой версии Vista.

Данная политика предусматривает три уровня безопасности:

«Запрос согласия» (Prompt for Consent) — при выполнении в режиме одобрения администратором действий, требующих повышения прав, система выводит диалоговое окно с двумя кнопками «Продолжить» (Continue) и «Отмена» (Cancel). При нажатии кнопки «Продолжить» выполнение операции продолжается с высшими административными правами. Этот уровень безопасности выбран по умолчанию.
«Запрос учетных данных» (Prompt for Credentials) — при выполнении в режиме одобрения администратором действий, требующих повышения прав, система выводит диалоговое окно с предложением ввести имя пользователя и пароль. При вводе действительных учетных данных выполнение операции продолжается с соответствующими правами.
«Повышение без запроса» (Elevate without Prompting) — при выборе этой опции, администратор получает возможность выполнять в режиме одобрения администратором действия, требующие повышения прав, без подтверждения и ввода учетных данных.

По умолчанию, естественно, выбран первый уровень, а третий мы реализуем с помощью описанного в данной статье метода.
Прелесть этого способа заключается в том, что изменение параметров указанной политики безопасности не отключает Контроль учетных записей пользователей полностью и поэтому не требует перезагрузки системы.

Редактирование реестра

политика безопасности «Управление учетными записями пользователей: поведение запроса на повышения прав для администратора в режиме одобрения администратором» привязана к определенному разделу реестра, поэтому переключаться между различными уровнями безопасности UAC можно простым редактированием реестра.

Гораздо легче реализовать это с помощью двух специальных файлов «.reg» — один для опции «Повышение без запроса», а второй — для восстановления уровня безопасности «Запрос согласия». Давайте посмотрим, как создаются такие файлы.

Для начала нажмите кнопку «Пуск» (Start), введите «regedit» в строке поиска, нажмите [Enter] и подтвердите продолжение операции в диалоговом окне UAC. В открывшемся окне Редактора реестра (Registry Editor) найдите раздел «HKEY_LOCAL_Machine\Software\Microsoft\Windows\CurrentVersion\Policies\System», а в нем — параметр «ConsentPromptBehaviorAdmin».

Теперь откройте меню «Файл» (File) и выберите опцию «Экспорт» (Export). В диалоговом окне «Экспорт файла реестра» (Export Registry File) выберите любую удобную для вас папку, присвойте файлу имя «EnableUACPrompt» и нажмите кнопку «Сохранить» (рис. A). Редактор реестра вам больше не понадобится, так что можете его закрыть.


Рисунок A. Присвойте экспортируемому файлу реестра имя «EnableUACPrompt».

Теперь найдите сохраненный файл «EnableUACPrompt.reg», нажмите на нем правой кнопкой мыши и выберите опцию «Изменить» (Edit), чтобы открыть файл в Блокноте (Notepad). В файле сохранено все содержимое раздела «System», что вам совершенно без надобности. Удалите все лишнее, оставив только три строчки, показанные на рис. B, и сохраните изменения.


Рисунок B. Из файла «EnableUACPrompt.reg» можно удалить все, кроме этих трех строчек

Теперь измените последнюю цифру в третьей строчке на 0 и сохраните файл как «DisableUACPrompt.reg», выбрав опцию «Все файлы» (All Files) в меню «Тип файла» (Save As Type), как показано на рис. C


Рисунок C. Заменив последнюю цифру в третьей строке на 0, сохраните файл под именем «DisableUACPrompt.reg», выбрав опцию «Все файлы» в меню «Тип файла»


Использование файлов

Теперь, когда вам предстоит выполнять какие-то действия, требующие многократного ответа на запросы UAC, просто нажмите на файле «DisableUACPrompt.reg» правой кнопкой мыши и выберите пункт «Редактор реестра» из меню «Открыть с помощью» (Open With), если файлы «.reg» не связаны с Редактором реестра по умолчанию — в противном случае файл можно запустить двойным щелчком. В появившемся окне предупреждения нажмите «Да» (Yes). Появится сообщение об успешном изменении реестра, как показано на рис. D.


Рисунок D. При запуске файлов «.reg» Редактор реестра выводит показанные на рисунке сообщения.

После выполнения поставленной задачи нужно точно таким же образом применить изменения к реестру с помощью файла «EnableUACPrompt.reg». Появятся уже описанные сообщения, и Контроль учетных записей будет восстановлен.

Подводные камни

Когда диалоговые окна UAC отключены, в разделе «Другие параметры безопасности» (Other Security Settings) Центра безопасности Windows (Windows Security Center) появляется предупреждение о том, что Контроль учетных записей отключен, а значок щита в области уведомлений делается красным. После восстановления стандартного уровня безопасности эти предупреждения исчезают.



Источник
 
Назад
Сверху Снизу