Назад | Перейти на главную страницу

Можно ли программно отключить уровни UAC ниже максимального?

Мне недавно сказали, что если ваш уровень UAC меньше максимального (всегда уведомлять), то вредоносные программы могут программно понижать ваши настройки UAC, тем самым делая UAC бесполезным.

Я помню, что это была проблема в бета-версии Windows 7, но она была исправлена ​​в RC:

С этими отзывами и многим другим мы собираемся предоставить два изменения Release Candidate что мы все увидим. Во-первых, Панель управления UAC будет работать в высокая честность обработать, что требует возвышения. Это уже было в разработке до этого обсуждения, и это предотвращает работу всех механизмов, связанных с SendKeys и т.п. Во-вторых, изменение уровня UAC также запросит подтверждение. (источник)

Итак, кто из нас устарел? Это я не уловил новые доступные руткиты, или это другой парень, который не обратил внимания на то, что исправляется в RC?

Есть ли рабочий способ понизить уровни UAC без подсказки UAC?

В стандартной системе Windows 7 ответ будет отрицательным, но с парой «но».

Панель управления UAC - это Процесс высокой честности и MS сказал в сообщении блога, которое вы цитируете, что интерфейс UAC всегда будет требовать повышения прав, но ...

  1. Если вы используете встроенную учетную запись администратора, которая по умолчанию отключена в большинстве установок, все процессы и рабочий стол работают с высокой степенью целостности, поэтому запросы UAC отсутствуют. Он был разработан для установки и обновления системы, но позволять вашим клиентам работать изо дня в день в этом режиме - ПЛОХАЯ практика. По сути, это похоже на запуск Windows XP от имени администратора, в этом сценарии злоумышленнику не нужно будет изменять UAC, поскольку он никогда не появится.
  2. Даже с внесенными MS изменениями злоумышленник может написать программу, способную обойти UAC. На уровне UAC по умолчанию ОС исключает многие двоичные файлы, подписанные Microsoft, и злоумышленник может создавать вредоносные программы, которые обманывают ОС, заставляя думать, что им доверяют. Если для UAC выбрано значение «всегда уведомлять», будут запрашиваться все административные действия независимо от того, подписано приложение или нет.