คู่มือการควบคุมบัญชีผู้ใช้ (UAC)

การควบคุมบัญชีผู้ใช้น่าจะเป็นคุณลักษณะที่ประเมินต่ำที่สุดและอาจเป็นคุณลักษณะที่เกลียดชังมากที่สุดที่เปิดตัวใน Vista และเป็นส่วนหนึ่งของ Windows เวอร์ชันต่อ ๆ ไปทั้งหมด ในความคิดของฉัน ความเกลียดชังส่วนใหญ่ที่ผู้ใช้โยนให้กับการควบคุมบัญชีผู้ใช้นั้นเป็นสิ่งที่ไม่สมควรได้รับ เนื่องจากฟีเจอร์นี้ให้ประโยชน์อย่างแท้จริง ฉันเห็นด้วยอย่างยิ่งว่าการควบคุมบัญชีผู้ใช้ (UAC) อาจค่อนข้างน่ารำคาญในบางครั้ง แต่ก็มีการนำเข้าสู่ Windows เพื่อจุดประสงค์หนึ่ง ไม่ ไม่ใช่เพื่อรบกวนผู้ใช้ แต่เพื่ออำนวยความสะดวกในการเปลี่ยนจากบัญชีมาตรฐาน (จำกัด) ไปเป็นบัญชีผู้ดูแลระบบได้อย่างราบรื่น

ในบทความนี้ ฉันจะอธิบายว่า UAC คืออะไร ทำงานอย่างไร เหตุใดจึงจำเป็น และวิธีตั้งค่า ฉันไม่มีความตั้งใจที่จะบอกคุณว่าทำไมคุณจึงควรใช้ UAC แต่แจ้งให้คุณทราบถึงสิ่งที่คุณพลาดไปโดยการปิดการใช้งาน

ความเป็นมาและข้อมูลบัญชีเล็กน้อย

ดังที่คุณควรทราบ Windows ใช้งานได้กับบัญชีที่เรียกว่า มีสองประเภท: ผู้ดูแลระบบและมาตรฐาน (จำกัด)

บัญชีผู้ดูแลระบบช่วยให้ผู้ใช้สามารถเข้าถึงฟังก์ชันทั้งหมดของระบบปฏิบัติการได้อย่างเต็มที่ เช่น ผู้ใช้สามารถทำทุกอย่างที่เขาต้องการ ผู้ใช้บัญชีมาตรฐานมีสิทธิ์ลดลงและได้รับอนุญาตให้ทำบางสิ่งเท่านั้น ตามกฎแล้วนี่คือทั้งหมดที่ส่งผลต่อผู้ใช้ปัจจุบันเท่านั้น ตัวอย่างเช่น การเปลี่ยนวอลเปเปอร์บนเดสก์ท็อป การตั้งค่าเมาส์ การเปลี่ยนรูปแบบเสียง ฯลฯ โดยทั่วไป ทุกอย่างที่เป็นเฉพาะสำหรับผู้ใช้รายใดรายหนึ่งและไม่ใช้กับทั้งระบบจะมีอยู่ในบัญชีมาตรฐาน สิ่งใดก็ตามที่อาจส่งผลกระทบต่อระบบโดยรวมจำเป็นต้องได้รับสิทธิ์การเข้าถึงของผู้ดูแลระบบ

งานอย่างหนึ่งที่ได้รับมอบหมายให้กับบัญชีเหล่านี้คือการป้องกันโค้ดที่เป็นอันตราย แนวคิดทั่วไปที่นี่คือผู้ใช้ทำงานตามปกติภายใต้บัญชีที่จำกัด และสลับไปใช้บัญชีผู้ดูแลระบบเฉพาะเมื่อจำเป็นต้องดำเนินการเท่านั้น ในทางที่ผิด มัลแวร์จะได้รับสิทธิ์ในระดับเดียวกับที่ผู้ใช้เข้าสู่ระบบ

ใน Windows 2000 และ Windows XP การดำเนินการในฐานะผู้ดูแลระบบไม่ได้มีความยืดหยุ่นเพียงพอ ดังนั้นการทำงานภายใต้บัญชีที่จำกัดจึงไม่สะดวกนัก วิธีหนึ่งในการดำเนินการด้านการดูแลระบบในระบบเวอร์ชันเหล่านี้มีลักษณะดังนี้: ออกจากระบบบัญชีที่จำกัด (หรือสลับอย่างรวดเร็วหากคุณใช้ Windows XP) -> เข้าสู่ระบบบัญชีผู้ดูแลระบบ -> ดำเนินการ -> ออกจากระบบบัญชีผู้ดูแลระบบ (หรือสลับอย่างรวดเร็วหากใช้ Windows XP) -> กลับสู่บัญชีแบบจำกัด

อีกทางเลือกหนึ่งคือการใช้เมนูบริบทและตัวเลือก "เรียกใช้ในฐานะผู้ใช้อื่น" ซึ่งจะเปิดหน้าต่างขึ้นมาซึ่งคุณต้องระบุบัญชีผู้ดูแลระบบและรหัสผ่านที่เหมาะสมเพื่อเรียกใช้ไฟล์ในฐานะผู้ดูแลระบบ นี่เป็นวิธีที่รวดเร็วในการเปลี่ยนจากบัญชีหนึ่งไปยังอีกบัญชีหนึ่ง แต่ใช้ไม่ได้กับสถานการณ์ใดๆ ที่ต้องใช้สิทธิ์ระดับผู้ดูแลระบบ ปัญหาอีกประการหนึ่งของวิธีนี้คือบัญชีผู้ดูแลระบบต้องมีรหัสผ่าน มิฉะนั้นการดำเนินการจะล้มเหลว

นั่นเป็นเหตุผลว่าทำไม User Account Control จึงถูกนำมาใช้ใน Windows Vista และเกือบจะสมบูรณ์แบบใน Windows 7

ยูเอซีคืออะไร

UAC เป็นฟีเจอร์ใน Windows Vista, 7, 8, 8.1 และ 10 ที่มีจุดมุ่งหมายเพื่อทำให้การเปลี่ยนจากสภาพแวดล้อมแบบจำกัดไปเป็นสภาพแวดล้อมของผู้ดูแลระบบเป็นไปอย่างราบรื่นและไม่ยุ่งยากเท่าที่จะเป็นไปได้ โดยไม่จำเป็นต้องเรียกใช้ไฟล์ด้วยตนเองในฐานะผู้ดูแลระบบหรือสวิตช์ ระหว่างบัญชี นอกจากนี้ UAC ยังเป็นชั้นการป้องกันเพิ่มเติมที่ต้องใช้ความพยายามเพียงเล็กน้อยจากผู้ใช้ แต่สามารถป้องกันความเสียหายร้ายแรงได้

UAC ทำงานอย่างไร

เมื่อผู้ใช้เข้าสู่ระบบบัญชีของตน Windows จะสร้างสิ่งที่เรียกว่าโทเค็นการเข้าถึงของผู้ใช้ ซึ่งประกอบด้วยข้อมูลบางอย่างเกี่ยวกับบัญชีนั้นและตัวระบุความปลอดภัยต่างๆ ส่วนใหญ่ที่ระบบปฏิบัติการใช้เพื่อควบคุมความสามารถในการเข้าถึงของบัญชีนั้น กล่าวอีกนัยหนึ่ง โทเค็นนี้เป็นเอกสารส่วนตัวประเภทหนึ่ง (เช่น หนังสือเดินทาง เป็นต้น) สิ่งนี้ใช้ได้กับ Windows ทุกรุ่นที่ใช้เคอร์เนล NT: NT, 2000, XP, Vista, 7, 8 และ 10

เมื่อผู้ใช้เข้าสู่ระบบบัญชีมาตรฐาน (แบบจำกัด) โทเค็นผู้ใช้มาตรฐานที่มีสิทธิ์แบบจำกัดจะถูกสร้างขึ้น เมื่อผู้ใช้เข้าสู่บัญชีผู้ดูแลระบบสิ่งที่เรียกว่า โทเค็นผู้ดูแลระบบที่มีสิทธิ์เข้าถึงแบบเต็ม ตรรกะ

อย่างไรก็ตาม ใน Windows Vista, 7, 8 และ 10 หากเปิดใช้งาน UAC และผู้ใช้เข้าสู่ระบบบัญชีผู้ดูแลระบบ Windows จะสร้างโทเค็นสองรายการ ผู้ดูแลระบบจะยังคงอยู่ในพื้นหลัง และผู้ดูแลระบบจะใช้เพื่อเปิด Explorer.exe นั่นคือ Explorer.exe ทำงานโดยมีสิทธิ์ที่จำกัด ในกรณีนี้ กระบวนการทั้งหมดที่เปิดตัวหลังจากนี้จะกลายเป็นกระบวนการย่อยของ Explorer.exe พร้อมสิทธิ์ที่จำกัดที่สืบทอดมาจากกระบวนการหลัก หากกระบวนการต้องการสิทธิ์ผู้ดูแลระบบ กระบวนการนั้นจะร้องขอโทเค็นของผู้ดูแลระบบ และ Windows จะขออนุญาตจากผู้ใช้เพื่อจัดเตรียมกระบวนการด้วยโทเค็นนี้ในรูปแบบของกล่องโต้ตอบพิเศษ

กล่องโต้ตอบนี้มีสิ่งที่เรียกว่าเดสก์ท็อปที่ปลอดภัย ซึ่งสามารถเข้าถึงได้โดยระบบปฏิบัติการเท่านั้น ดูเหมือนภาพรวมของเดสก์ท็อปจริงจะมืดลง และมีเพียงหน้าต่างยืนยันของผู้ดูแลระบบและอาจมีแถบภาษา (หากเปิดใช้งานมากกว่าหนึ่งภาษา)

หากผู้ใช้ไม่เห็นด้วยและคลิก "ไม่" Windows จะปฏิเสธกระบวนการโทเค็นของผู้ดูแลระบบ และหากเขาตกลงและเลือก "ใช่" ระบบปฏิบัติการจะให้สิทธิ์แก่กระบวนการตามที่ต้องการ กล่าวคือ โทเค็นของผู้ดูแลระบบ

หากกระบวนการกำลังทำงานโดยมีสิทธิ์ลดลง กระบวนการจะเริ่มต้นใหม่ด้วยสิทธิ์ระดับสูง (ผู้ดูแลระบบ) กระบวนการไม่สามารถลดระดับหรือเลื่อนขั้นได้โดยตรง เมื่อกระบวนการเปิดตัวด้วยโทเค็นเดียว จะไม่สามารถรับสิทธิ์อื่นได้จนกว่าจะเปิดตัวอีกครั้งด้วยสิทธิ์ใหม่ ตัวอย่างคือ Task Manager ซึ่งจะทำงานโดยมีสิทธิ์ที่จำกัดเสมอ หากคุณคลิกปุ่ม "แสดงกระบวนการของผู้ใช้ทั้งหมด" ตัวจัดการงานจะถูกปิดและเปิดใช้งานอีกครั้ง แต่ด้วยสิทธิ์ของผู้ดูแลระบบ

เมื่อใช้บัญชีมาตรฐาน UAC จะขอให้คุณระบุบัญชีผู้ดูแลระบบเฉพาะและป้อนรหัสผ่าน:

UAC ปกป้องผู้ใช้อย่างไร

UAC เองไม่ได้ให้ความปลอดภัยมากนัก มันทำให้การเปลี่ยนจากสภาพแวดล้อมแบบจำกัดไปสู่สภาพแวดล้อมแบบผู้ดูแลระบบทำได้ง่ายขึ้น ดังนั้นวิธีที่ดีกว่าในการถามคำถามก็คือบัญชีที่ถูกจำกัดจะขัดขวางผู้ใช้อย่างไร ภายใต้โปรไฟล์ผู้ใช้ที่ถูกจำกัด กระบวนการไม่สามารถเข้าถึงพื้นที่ระบบบางส่วนได้:

  • พาร์ติชันดิสก์หลัก
  • โฟลเดอร์ผู้ใช้ของผู้ใช้รายอื่นในโฟลเดอร์ \Users\
  • โฟลเดอร์ไฟล์โปรแกรม
  • โฟลเดอร์ Windows และโฟลเดอร์ย่อยทั้งหมด
  • ส่วนของบัญชีอื่นๆ ในรีจิสทรีของระบบ
  • ส่วน HKEY_LOCAL_MACHINE ในรีจิสทรีของระบบ

กระบวนการใด ๆ (หรือโค้ดที่เป็นอันตราย) ที่ไม่มีสิทธิ์ของผู้ดูแลระบบจะไม่สามารถเจาะลึกเข้าไปในระบบได้ หากไม่มีการเข้าถึงโฟลเดอร์และรีจิสตรีคีย์ที่จำเป็น ดังนั้นจึงไม่สามารถสร้างความเสียหายร้ายแรงต่อระบบได้

UAC สามารถรบกวนโปรแกรมรุ่นเก่าที่ไม่รองรับ Vista/7/8/10 อย่างเป็นทางการได้หรือไม่

ไม่ควร. เมื่อเปิดใช้งาน UAC การจำลองเสมือนจะถูกเปิดใช้งานด้วย โปรแกรมเก่าและ/หรือเขียนไม่ดีบางโปรแกรมไม่ได้ใช้โฟลเดอร์ที่ถูกต้องในการจัดเก็บไฟล์ (การตั้งค่า บันทึก ฯลฯ) โฟลเดอร์ที่ถูกต้องคือโฟลเดอร์ในไดเร็กทอรี AppData ที่แต่ละบัญชีมี และตำแหน่งที่แต่ละโปรแกรมสามารถสร้างโฟลเดอร์เพื่อจัดเก็บสิ่งที่ต้องการได้

บางโปรแกรมพยายามบันทึกไฟล์ลงใน Program Files และ/หรือ Windows หากโปรแกรมทำงานด้วยสิทธิ์ของผู้ดูแลระบบ ก็จะไม่มีปัญหา อย่างไรก็ตาม หากโปรแกรมทำงานโดยมีสิทธิ์ที่จำกัด ก็จะไม่สามารถเปลี่ยนแปลงไฟล์/โฟลเดอร์ใน Program Files และ/หรือ Windows ได้ ระบบปฏิบัติการก็ไม่ยอมให้เป็นเช่นนั้น

เพื่อป้องกันปัญหากับโปรแกรมดังกล่าว Windows จึงเสนอการจำลองเสมือนของโฟลเดอร์และรีจิสตรีคีย์ซึ่งโปรแกรมที่มีสิทธิ์จำกัดไม่สามารถเข้าถึงได้ตามหลักการ เมื่อโปรแกรมดังกล่าวพยายามสร้างไฟล์ในโฟลเดอร์ที่ได้รับการป้องกัน ระบบปฏิบัติการจะเปลี่ยนเส้นทางไปยังโฟลเดอร์ VirtualStore พิเศษซึ่งอยู่ใน X:\ผู้ใช้\<имя-вашего-профиля>\AppData\ท้องถิ่น\(โดยที่ X: คือพาร์ติชันระบบ โดยปกติคือ C:) เหล่านั้น. จากมุมมองของตัวโปรแกรมเอง ทุกอย่างเรียบร้อยดี เธอไม่ต้องเผชิญกับอุปสรรคใด ๆ และรู้สึกเหมือนเธอสร้างไฟล์/โฟลเดอร์ในตำแหน่งที่เธอต้องการ โดยทั่วไป VirtualStore จะมีไฟล์โปรแกรมและโฟลเดอร์ย่อยของ Windows นี่คือภาพหน้าจอของ Program Files ในโฟลเดอร์ VirtualStore ของฉัน:

และนี่คือสิ่งที่อยู่ในโฟลเดอร์ SopCast เช่น:

เหล่านั้น. หาก UAC หยุดทำงาน หรือโปรแกรมทำงานในฐานะผู้ดูแลระบบอยู่เสมอ ไฟล์/โฟลเดอร์เหล่านี้จะถูกสร้างขึ้นใน C:\Program Files\SopCast ใน Windows XP ไฟล์และโฟลเดอร์เหล่านี้จะถูกสร้างขึ้นโดยไม่มีปัญหา เนื่องจากโปรแกรมทั้งหมดในนั้นมีสิทธิ์ของผู้ดูแลระบบตามค่าเริ่มต้น

แน่นอนว่านักพัฒนาไม่ควรพิจารณาสิ่งนี้ว่าเป็นวิธีแก้ปัญหาแบบถาวร ความรับผิดชอบของผู้เขียนแต่ละคนคือการสร้างซอฟต์แวร์ที่เข้ากันได้กับระบบปฏิบัติการปัจจุบันอย่างสมบูรณ์

กล่องโต้ตอบ UAC

คุณอาจสังเกตเห็นว่ามีกล่องโต้ตอบ UAC ที่แตกต่างกันเพียงสามกล่องเท่านั้น ที่นี่เราจะดูสิ่งเหล่านั้นใน Windows 7, 8.x และ 10 ใน Vista กล่องโต้ตอบจะแตกต่างกันบ้าง แต่เราจะไม่ยึดติดกับสิ่งเหล่านั้น

หน้าต่างประเภทแรกมีแถบสีน้ำเงินเข้มที่ด้านบนและมีไอคอนรูปโล่ที่มุมซ้ายบนซึ่งแบ่งออกเป็น 2 ส่วนสีน้ำเงินและ 2 ส่วนสีเหลือง หน้าต่างนี้จะปรากฏขึ้นเมื่อจำเป็นต้องมีการยืนยันสำหรับกระบวนการที่มีลายเซ็นดิจิทัลที่เป็นของระบบปฏิบัติการ - ที่เรียกว่า ไบนารีของ Windows เราจะพูดถึงพวกเขาด้านล่าง

หน้าต่างประเภทที่สองยังมีริบบิ้นสีน้ำเงินเข้ม แต่ไอคอนรูปโล่เป็นสีน้ำเงินทั้งหมดและมีเครื่องหมายคำถาม หน้าต่างนี้จะปรากฏขึ้นเมื่อจำเป็นต้องมีการยืนยันสำหรับกระบวนการที่เซ็นชื่อแบบดิจิทัล แต่ระบบปฏิบัติการไม่ได้เป็นเจ้าของกระบวนการ/ไฟล์

หน้าต่างที่สามตกแต่งด้วยแถบสีส้ม ส่วนโล่ก็เป็นสีส้มเช่นกัน แต่มีเครื่องหมายอัศเจรีย์ กล่องโต้ตอบนี้จะปรากฏขึ้นเมื่อจำเป็นต้องมีการยืนยันสำหรับกระบวนการที่ไม่มีลายเซ็นดิจิทัล

การตั้งค่า UAC

การตั้งค่าการควบคุมบัญชีผู้ใช้ (โหมดการทำงาน) อยู่ใน แผงควบคุม -> ระบบและความปลอดภัย -> เปลี่ยนการตั้งค่าการควบคุมบัญชีผู้ใช้. มีเพียง 4 คนเท่านั้น:

แจ้งเตือนเสมอเป็นระดับสูงสุด โหมดนี้เทียบเท่ากับวิธีการทำงานของ UAC ใน Windows Vista ในโหมดนี้ ระบบต้องการการยืนยันสิทธิ์ของผู้ดูแลระบบเสมอ โดยไม่คำนึงถึงกระบวนการและสิ่งที่ต้องการ

ระดับที่สองเป็นค่าเริ่มต้นใน Windows 7, 8.x และ 10 ในโหมดนี้ Windows จะไม่แสดงหน้าต่าง UAC เมื่อพูดถึงไบนารีของ Windows ที่เรียกว่า เหล่านั้น. หากไฟล์/กระบวนการที่ต้องใช้สิทธิ์ของผู้ดูแลระบบตรงตามเงื่อนไข 3 ข้อต่อไปนี้ ระบบปฏิบัติการจะอนุญาตโดยอัตโนมัติ โดยไม่ต้องได้รับการยืนยันจากผู้ใช้:

  • ไฟล์มีรายการในตัวหรือเป็นไฟล์แยกต่างหากซึ่งระบุการยกระดับสิทธิ์โดยอัตโนมัติ
  • ไฟล์อยู่ในโฟลเดอร์ Windows (หรือในโฟลเดอร์ย่อยใด ๆ )
  • ไฟล์ถูกเซ็นชื่อด้วยลายเซ็นดิจิทัลของ Windows ที่ถูกต้อง

โหมดที่สามจะเหมือนกับโหมดที่สอง (ก่อนหน้า) แต่มีความแตกต่างที่ไม่ได้ใช้เดสก์ท็อปที่ปลอดภัย นั่นคือหน้าจอไม่มืดลงและกล่องโต้ตอบ UAC จะปรากฏขึ้นเหมือนกัน Microsoft ไม่แนะนำให้ใช้ตัวเลือกนี้ และฉันจะอธิบายเหตุผลในภายหลัง

ไม่ต้องแจ้งให้ทราบเป็นระดับที่สี่และสุดท้าย นี่หมายถึงการปิดการใช้งาน UAC อย่างสมบูรณ์

มีข้อสังเกตสองประการดังนี้:

  • ลายเซ็นดิจิทัลของ Windows อ้างอิงถึงระบบปฏิบัติการโดยเฉพาะ ฉันพูดแบบนี้เพราะมีไฟล์ที่ Microsoft เซ็นชื่อแบบดิจิทัลด้วย ลายเซ็นเหล่านี้เป็นลายเซ็นสองแบบแยกกัน โดย UAC จะจดจำเฉพาะลายเซ็นดิจิทัลของ Windows เท่านั้น เนื่องจากทำหน้าที่เป็นข้อพิสูจน์ว่าไฟล์นั้นไม่ได้มาจาก Microsoft เท่านั้น แต่เป็นส่วนหนึ่งของระบบปฏิบัติการ
  • ไฟล์ Windows บางไฟล์ไม่มีรายการการยกระดับสิทธิ์โดยอัตโนมัติ มีไฟล์ที่จงใจขาดสิ่งนี้ ตัวอย่างเช่น regedit.exe และ cmd.exe เป็นที่ชัดเจนว่ากระบวนการที่สองปราศจากการเลื่อนระดับอัตโนมัติ เนื่องจากมักใช้เพื่อเริ่มกระบวนการอื่น ๆ และดังที่กล่าวไปแล้ว แต่ละกระบวนการใหม่สืบทอดสิทธิ์ของกระบวนการที่เปิดตัว ซึ่งหมายความว่าใครๆ ก็สามารถใช้ Command Prompt เพื่อรันกระบวนการใดๆ ได้อย่างราบรื่นด้วยสิทธิ์ของผู้ดูแลระบบ โชคดีที่ Microsoft ไม่ใช่คนโง่

เหตุใดการใช้เดสก์ท็อปที่ปลอดภัยจึงเป็นสิ่งสำคัญ

เดสก์ท็อปที่ปลอดภัยจะป้องกันการรบกวนและอิทธิพลที่อาจเกิดขึ้นจากกระบวนการอื่นๆ ดังที่ได้กล่าวไว้ข้างต้นมีเพียงระบบปฏิบัติการเท่านั้นที่สามารถเข้าถึงได้และยอมรับเฉพาะคำสั่งพื้นฐานจากผู้ใช้เท่านั้นนั่นคือการกดปุ่ม "ใช่" หรือ "ไม่"

หากคุณไม่ได้ใช้เดสก์ท็อปที่ปลอดภัย ผู้โจมตีอาจปลอมแปลงหน้าต่าง UAC เพื่อหลอกให้คุณเรียกใช้ไฟล์ที่เป็นอันตรายโดยใช้สิทธิ์ของผู้ดูแลระบบ

สิทธิ์ผู้ดูแลระบบจำเป็นเมื่อใด? หน้าต่าง UAC จะปรากฏขึ้นเมื่อใด

โดยทั่วไป มีสามกรณีที่ UAC จัดการกับผู้ใช้:

  • เมื่อเปลี่ยนการตั้งค่าระบบ (ไม่ใช่ผู้ใช้) แม้ว่าในความเป็นจริงจะใช้กับระดับ UAC สูงสุดเท่านั้น
  • เมื่อติดตั้งหรือถอนการติดตั้งโปรแกรม/ไดรเวอร์
  • เมื่อแอปพลิเคชัน/กระบวนการต้องการสิทธิ์ของผู้ดูแลระบบเพื่อทำการเปลี่ยนแปลงไฟล์/โฟลเดอร์ระบบหรือรีจิสตรีคีย์ของระบบ

เหตุใดการไม่ปิดการใช้งาน UAC จึงเป็นเรื่องสำคัญ

การควบคุมบัญชีผู้ใช้ให้การป้องกันในระดับสูง และแทบไม่ไม่ต้องการสิ่งใดตอบแทน นั่นคือประสิทธิภาพของ UAC นั้นสูงมาก ฉันไม่เข้าใจว่าทำไมเขาถึงทำให้ผู้คนรำคาญมาก ในการทำงานในแต่ละวัน ผู้ใช้โดยเฉลี่ยจะเห็นหน้าต่าง UAC 1-2 ครั้งต่อวัน อาจจะเป็น 0 ก็ได้ มากขนาดนั้นเลยเหรอ?

ผู้ใช้โดยเฉลี่ยไม่ค่อยเปลี่ยนการตั้งค่าระบบและเมื่อทำการเปลี่ยนแปลง UAC จะไม่ถามคำถามหากใช้งานได้กับการตั้งค่าเริ่มต้น

ผู้ใช้โดยเฉลี่ยไม่ได้ติดตั้งไดรเวอร์และโปรแกรมทุกวัน ไดรเวอร์ทั้งหมดและโปรแกรมที่จำเป็นส่วนใหญ่ได้รับการติดตั้งเพียงครั้งเดียว - หลังจากติดตั้ง Windows นั่นคือนี่คือเปอร์เซ็นต์หลักของคำขอ UAC หลังจากนี้ UAC จะเข้ามาแทรกแซงเฉพาะเมื่อมีการอัปเดต แต่โปรแกรมเวอร์ชันใหม่จะไม่ออกทุกวันไม่ต้องพูดถึงไดรเวอร์ ยิ่งไปกว่านั้น หลายๆ ตัวไม่ได้อัปเดตโปรแกรมหรือไดรเวอร์เลย ซึ่งช่วยลดปัญหา UAC ได้อีก

มีโปรแกรมเพียงไม่กี่โปรแกรมที่ต้องการสิทธิ์ผู้ดูแลระบบจึงจะทำงานได้ สิ่งเหล่านี้ส่วนใหญ่เป็นตัวจัดเรียงข้อมูลเครื่องมือทำความสะอาดและเพิ่มประสิทธิภาพบางโปรแกรมสำหรับการวินิจฉัย (AIDA64, HWMonitor, SpeedFan ฯลฯ ) และการตั้งค่าระบบ (เช่น Process Explorer และ Autoruns เป็นต้น แต่เฉพาะในกรณีที่คุณต้องการทำบางสิ่งเฉพาะ - พูดปิดการใช้งาน ไดรเวอร์ / บริการหรือโปรแกรมที่เริ่มต้นจาก Windows) และทั้งหมดนี้เป็นโปรแกรมที่ไม่จำเป็นต้องใช้เลยหรือในบางกรณีซึ่งพบไม่บ่อยนัก แอปพลิเคชันที่ใช้บ่อยทั้งหมดทำงานได้ดีกับ UAC อย่างแน่นอนและไม่ต้องถามคำถามใด ๆ :

  • เครื่องเล่นมัลติมีเดีย (เสียงและ/หรือวิดีโอ);
  • ตัวแปลงวิดีโอ/เสียง
  • โปรแกรมสำหรับการประมวลผลภาพ/วิดีโอ/เสียง
  • โปรแกรมสำหรับจับภาพหน้าจอเดสก์ท็อปหรือการบันทึกวิดีโอของคุณ
  • โปรแกรมดูภาพ
  • เว็บเบราว์เซอร์
  • ตัวดาวน์โหลดไฟล์ (ตัวจัดการการดาวน์โหลดและไคลเอนต์ของเครือข่าย P2P);
  • ไคลเอนต์ FTP;
  • โปรแกรมส่งข้อความหรือโปรแกรมสำหรับการสื่อสารด้วยเสียง/วิดีโอ
  • โปรแกรมเบิร์นแผ่นดิสก์
  • ผู้จัดเก็บ;
  • โปรแกรมแก้ไขข้อความ
  • โปรแกรมอ่าน PDF;
  • เครื่องเสมือน
  • และอื่น ๆ.

แม้แต่การติดตั้งการอัปเดต Windows ก็ไม่ได้ใช้หน้าต่าง UAC

มีคนที่เต็มใจสละเวลา 1-2 นาทีหรือมากกว่านั้นต่อวันเพื่อ "เพิ่มประสิทธิภาพ" ระบบด้วยโปรแกรมที่เขียนแบบคดโกงซึ่งไม่มีประโยชน์อะไรเลย แต่ไม่เต็มใจที่จะใช้เวลาสองสามวินาทีต่อวันเพื่อตอบสนองต่อคำขอ UAC

ข้อความต่างๆ เช่น “ฉันเป็นผู้ใช้ที่มีประสบการณ์และฉันรู้วิธีป้องกันตัวเอง” นั้นไม่เพียงพอ เนื่องจากไม่มีใครมีภูมิคุ้มกันและผลลัพธ์ของสถานการณ์บางอย่างไม่ได้ขึ้นอยู่กับผู้ใช้เสมอไป ยิ่งกว่านั้นผู้คนมักจะทำผิดพลาดซึ่งเกิดขึ้นได้กับทุกคน

ผมขอยกตัวอย่างหนึ่งให้คุณ: สมมติว่าคุณกำลังใช้โปรแกรมที่มีช่องโหว่ และวันหนึ่งคุณพบว่าตัวเองอยู่ในไซต์ที่ใช้ประโยชน์จากช่องโหว่เหล่านั้น หากเปิดใช้งานการควบคุมบัญชีผู้ใช้และโปรแกรมทำงานโดยมีสิทธิ์ที่จำกัด ผู้โจมตีจะไม่สามารถสร้างปัญหาได้มากนัก มิฉะนั้นความเสียหายต่อระบบอาจมีมหาศาล

และนี่เป็นเพียงหนึ่งในหลายตัวอย่าง

ใช้งานแอพพลิเคชั่นควบคู่ไปกับ Windows ด้วยสิทธิ์ของผู้ดูแลระบบ

ฉันยอมรับว่าอาจมีผู้ใช้ที่ปิด UAC เพียงเพื่อให้สามารถเรียกใช้โปรแกรมพร้อมกับ Windows และด้วยสิทธิ์ของผู้ดูแลระบบ สิ่งนี้ไม่สามารถทำได้ตามปกติเนื่องจาก UAC ไม่สามารถส่งคำขอไปยังผู้ใช้ได้จนกว่าเดสก์ท็อปจะโหลด อย่างไรก็ตาม มีวิธีที่คุณสามารถปล่อยให้ UAC เปิดใช้งานได้ เขาอยู่ที่นี่:

  • เปิด ตัวกำหนดเวลางาน;
  • คลิก สร้างงาน;
  • ในสนาม ชื่อป้อนสิ่งที่คุณต้องการและที่ด้านล่างของหน้าต่างให้เปิดตัวเลือก วิ่งด้วยสิทธิ์สูงสุด;
  • ไปที่แท็บ ทริกเกอร์และกด สร้าง;
  • เลือกจากเมนูแบบเลื่อนลงที่ด้านบน เมื่อคุณเข้าสู่ระบบ; หากคุณต้องการสร้างงานสำหรับผู้ใช้เฉพาะ ให้เลือกตัวเลือก ผู้ใช้แล้วคลิก เปลี่ยนผู้ใช้; กรอกชื่อผู้ใช้ของคุณและยืนยันโดยกดปุ่ม ตกลง;
  • ไปที่แท็บ การดำเนินการและกด สร้าง;
  • คลิก ทบทวนระบุแอปพลิเคชันที่เหมาะสมและยืนยันการเลือกของคุณ
  • ไปที่แท็บ เงื่อนไขและปิดการใช้งานตัวเลือก ทำงานโดยใช้ไฟหลักเท่านั้น;
  • บนแท็บ ตัวเลือกปิดการใช้งานตัวเลือกหยุดที่ใช้เวลานานกว่าจะเสร็จสมบูรณ์
  • ยืนยันโดยการกด ตกลง.

พร้อม. เพิ่มงานแล้วเพื่อให้แอปพลิเคชันโหลดโดยอัตโนมัติด้วยสิทธิ์ของผู้ดูแลระบบ อย่างไรก็ตาม มีข้อผิดพลาดเล็กๆ น้อยๆ อยู่ข้อหนึ่ง นั่นคือ งานดังกล่าวทั้งหมดจะดำเนินการโดยมีลำดับความสำคัญต่ำกว่าปกติ - ต่ำกว่าปกติ (ต่ำกว่าปกติ) ถ้าคุณโอเคกับเรื่องนั้นก็ไม่เป็นไร ถ้าไม่เช่นนั้น คุณจะต้องทำงานหนักขึ้นอีกเล็กน้อย:

  • วิ่ง ตัวกำหนดเวลางานหากคุณปิดไปแล้ว
  • เลือก ห้องสมุดตัวกำหนดเวลางาน;
  • ทำเครื่องหมายงานของคุณคลิก ส่งออกและบันทึกในรูปแบบ .xml
  • เปิดไฟล์ .xml ในโปรแกรมแก้ไขข้อความ
  • ค้นหาส่วน 7 ซึ่งควรอยู่ท้ายไฟล์และเปลี่ยนเจ็ด (7) ระหว่างแท็กเปิดและแท็กปิดเป็นห้า (5)
  • บันทึกไฟล์;
  • ใน Task Scheduler ให้เน้นงานของคุณอีกครั้ง คลิก ลบและยืนยันการลบ
  • ตอนนี้คลิก งานนำเข้าเลือกไฟล์ที่คุณเพิ่งบันทึกแล้วคลิกปุ่ม ตกลง.

นั่นคือทั้งหมดที่ ไม่ว่าคุณจะใช้ UAC หรือไม่นั้นก็ขึ้นอยู่กับคุณ แต่สิ่งสำคัญคือต้องรู้ว่าคุณจะสูญเสียอะไรไปบ้างเมื่อปิดใช้งาน รวมทั้งตระหนักถึงความเสี่ยงด้วย ขอขอบคุณสำหรับความสนใจของคุณ!

ขอให้มีวันที่ดี!