Zmiana uprawnień użytkownika Windows Vista i 7

Microsoft w systemach Windows Vista i 7 znacznie poprawił bezpieczeństwo korzystania z komputera, wprowadzając pracę wszystkich kont na prawach limitowanych, ale z możliwością ich podwyższenia w razie potrzeby. Zmiany te są często krytykowane przez użytkowników, ale bardzo podnoszą bezpieczeństwo komputera i zmniejszając ilość infekcji przez malware (oczywiście jeżeli użytkownik sam świadomie nie przepuści syfu do systemu klikając Tak lub Zezwalam).

—————————————————————–

Bazowy poradnik:
Zmiana uprawnień użytkownika Windows XP

Powiązany z uprawnieniami wpis: Odmowa dostępu: usuwanie plików i folderów bez uprawnień

Microsoft w Windows Vista wprowadził nową funkcję podnoszącą bezpieczeństwo nazwaną UAC (User Account Control), czy KKU (kontrola konta użytkownika). Polega ona na tym, że administrator po zalogowaniu pracuje z tymi samymi uprawnieniami, co użytkownik standardowy ( każda aplikacja uruchamia się z prawami zwykłego użytkownika, nie ma praw do zmiany ustawień w systemie). W momencie, gdy aplikacja wymaga podniesienia uprawnień automatycznie wyświetla się monit proszący o zatwierdzenie wykonania operacji.

Konta użytkowników

Systemy Windows Vista i 7 mają trzy podstawowe konta:

• Konto administratora – ukryte, nieaktywne wbudowane konto administratora pozwalające wykonać wszelkie czynności na komputerze. Konto to ma wyłączony mechanizm UAC i jest identyczne do konta administratora z Windows XP.
• Grupa administratorów – członkowie mają uprawnienia standardowego użytkownika, ale w razie potrzeby można je podnieść poprzez zatwierdzenie monitu w oknie dialogowym. Użytkownicy tej grupy w momencie logowania otrzymują dwa tzw. access token – „Full administrator access token”, który w dalszej fazie logowania jest ukrywany i “Standard user access token”, w kontekście którego uruchamiana jest powłoka explorer.exe.
• Grupa użytkowników standardowych – członkowie mają najmniejsze uprawnienia, ale podobnie jak w grupie administratorów mogą je w razie potrzeby podnieść. Różnicą jest, że wymagane jest hasło administratora do wykonania operacji (jest to domyślna akcja, w opcjach można ustawić Automatycznie odrzucaj żądania podniesienia – monity nie są wyświetlane a akcja zostanie przerwana). Użytkownicy tej grupy w momencie logowania otrzymują jeden tzw. access token – “Standard user access token”

Sposoby tworzenia kont użytkowników są podobne jak w systemie Windows XP i opisane we wpisie na temat tego systemu. W Windows 7 „Zaawansowany panel konta użytkownika” można wywołać także komendą „netplwiz” wpisywaną w funkcje Uruchom (klawisze Win+R). lub wyszukiwarkę menu Start.

Okno Konta użytkowników w Panelu sterowania Windows 7:

Wyłączenie UAC powoduje, że system nie monitoruje zmian dokonanych w systemie ani przez użytkownika, ani przez programy. Powrócimy wówczas do sytuacji zabezpieczeń z Windows XP. Nie jest to zalecane ustawienie, ale w niektórych przypadkach może być jedynym sposobem na niedające się zainstalować programy. UAC może być trochę upierdliwe, ale będziemy powiadamiani o każdej próbie dokonania zmian w systemie.

Podwyższanie uprawnień

1. Systemowy mechanizm UAC
Windows Vista/7 w momencie uruchomienia aplikacji wymagającej większych uprawnień, automatycznie wyświetli okno dialogowe.
Jeżeli jesteśmy członkiem grupy administratorów wyświetli się okienko wymagające potwierdzenia wykonania operacji:

W przypadku korzystania z konta standardowego użytkownika, okienko oprócz zatwierdzenia wykonania operacji wymaga dodatkowo podania hasła administratora:

W Windows 7 mamy możliwość konfiguracji UAC: w wyszukiwarkę menu start wpisujemy „kontrola” i wybieramy „Zmień ustawienia Kontrola konta użytkownika”. Można też przez okno Konta użytkowników w Panelu sterowania.
Plikiem odpowiedzialnym za uruchomienie okna jest

C:WindowsSystem32UserAccountControlSettings.exe

W okienku za pomocą suwaka ustawiamy poziom:

• Zawsze powiadamiaj: najwyższy poziom (domyślny w Vista), wymaga podniesienia uprawnień w przypadku zmiany konfiguracji systemu oraz zmiany ustawień i instalowania aplikacji. Liczba komunikatów jest duża, ale mamy bardzo bezpieczny system.
• Domyślnie: wymaga podniesienia uprawnień tylko w przypadku zmiany ustawień przez aplikacje oraz ich instalacji
• Nie przyciemniaj pulpitu: jak wyżej, ale bez aktywacji tzw. bezpiecznego pulpitu (do czasu wyrażenia zgody na wykonanie operacji nie można przeprowadzać w systemie żadnych czynności)
• Nigdy nie powiadamiaj: wyłączenie UAC (stan zabezpieczeń jak w Windows XP)

Mamy również możliwość edycji Zasad kontroli konta użytkownika poprzez przystawkę Zasady zabezpieczeń lokalnych: W menu Start wpisujemy secpol.msc, węzeł Ustawienia zabezpieczeń / Zasady lokalne / Opcje zabezpieczeń.

TweakUAC

Licencja: freeware
Platforma: Windows Vista/7 (32-bit i 64-bit)

aplikacja umożliwia szybkie włączenie / wyłączenie mechanizmu UAC. Przydatne dla systemu Windows Vista, który nie posiada opcji kontroli UAC takiej jak w Windows 7. Po uruchomieniu mamy trzy opcje do wyboru:
– Turn UAC off now: całkowite wyłączeniu UAC
– Switch UAC to the quiet mode: tryb cichy. UAC jest włączone, ale nie wyświetlają się komunikaty. Działa to tylko dla kont grupy administratorów.
– Leave UAC on: włączenie UAC

Download: najnowsza wersja, TweakUAC.zip

Alternatywa: UACController

Jak szybko wyłączyć UAC Windows Vista/7 przez edycję rejestru?
Uruchamiamy edytor rejestru (Uruchom jako administrator) >>> w wyszukiwarkę menu start wpisujemy „regedit”.
Lokalizujemy klucz:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem

W kluczu szukamy wartości DWORD: EnableLUA i edytujemy:
0 – mechanizm UAC jest wyłączony
1 – mechanizm UAC jest włączony

2. Uruchamianie aplikacji z pominięciem UAC
Aby uruchamiać dane programy z najwyższymi uprawnieniami wraz z pominięciem komunikatów UAC możemy skorzystać z funkcji Harmonogramu zadań. Opcje te nie będą działać na koncie standardowym.

• Utworzenie zadania

1. W wyszukiwarkę menu Start wpisujemy: taskschd.msc
2. Wybieramy „Biblioteka Harmonogramu zadań” z lewej strony, a następnie „Utwórz zadanie” z prawej strony.
3. W karcie Ogólne wpisujemy nazwę dla zadania oraz zaznaczamy opcję „Uruchom z najwyższymi uprawnieniami”. Zmieniamy również system w sekcji „Konfiguruj dla” na Windows 7 (jest to tryb zgodności; jeżeli program jest starszy możemy ustawić np. Windows XP).
4. W karcie Akcje klikamy „Nowa” i wskazujemy plik programu.
5. Jeżeli zadanie jest tworzone na laptopie, w karcie Warunki w sekcji Zasilanie odznaczamy Zatrzymaj, jeżeli komputer przełączy się na zasilanie bateryjne, a następnie odznaczamy Uruchom zadanie tylko wtedy, gdy komputer jest na zasilaniu sieciowym.
6. Jeżeli zadanie ma być uruchamiane cyklicznie ustawiamy to w karcie Wyzwalacze, wybierając odstęp czasowy czy przy logowaniu itd. Dodatkowo w karcie Ustawienia zaznaczamy Po błędzie uruchom ponownie co X minut oraz spróbuj uruchomić nie więcej niż X razy.

• Utworzenie skrótu

1. Klikamy prawym przyciskiem myszy (PPM)na pustym obszarze >>> Nowy >>> Skrót.
2. Wpisujemy polecenie o składni:

schtasks /run /tn NazwaZadania

Pamiętajmy, że jeżeli nazwa zawiera spację musimy ją otoczyć cudzysłowem (np. „kopia rejestru”).
3. Wpisujemy nazwę dla skrótu.
4. Opcjonalnie możemy zmienić ikonę: klikamy PPM na skrócie >>> Właściwości >>> karta Skrót >>> Zmień ikonę. Wskazujemy plik exe aplikacji.

Startup Program Unblocker

Licencja: freeware
Platforma: Windows Vista/7

aplikacja umożliwia uruchamianie w autostarcie programów wymagających potwierdzenia monitu UAC. Mozna ustawić trzy tryby: Normal (UAC), Run as admin, Don’t start (wyłączenie startu).

Download: startupunblocker.zip

3. Systemowa funkcja „Uruchom jako”
Polecenie „Uruchom jako” w XP jest używane najczęściej do uruchamiania aplikacji wymagających wyższych uprawnień. Dlatego w systemach Windows Vista i 7 zostało zastąpione funkcją „Uruchom jako administrator”. Jeżeli chcemy uruchomić jakiś program z uprawnieniami administratora to możemy kliknąć prawym przyciskiem myszy na pliku i wybrać „Uruchom jako administrator”:

Jednak przytrzymując klawisz Shift podczas klikania PPM na pliku uwidoczni się ukryty wpis w menu kontekstowym „Uruchom jako inny użytkownik”. Aby odkryć tą pozycję na stałe dodajemy wpis do rejestru: Run_as_Different_User.zip

Dodanie wpisu „Uruchom jako administrator” do danego typu plików.
1. Otwieramy edytor rejestru. W kluczu HKEY_CLASSES_ROOT szukamy danego rozszerzenia plików np. zip >>> HKEY_CLASSES_ROOT.zip
2. Z prawej strony odczytujemy wartość Domyślna, która informuje w jakiej aplikacji otwierany jest dany typ pików np. 7-Zip.zip
3. Szukamy danego klucza poniżej i eksportujemy podklucz np. HKEY_CLASSES_ROOT7-Zip.zipshellopencommand
4. Teraz otwieramy wyeksportowany plik rejestru w Notatniku i zmieniamy „open” na „runas”. Klikamy dwukrotnie plik, aby wprowadzić informacje do rejestru.
Przykład:

[HKEY_CLASSES_ROOT7-Zip.rarshellrunascommand]
@=""C:Program Files7-Zip7zFM.exe" "%1""

Wpis dodający „Uruchom jako administrator” dla plików MSI: MSI_Run_as_administrator.zip

4. Alternatywy na „Uruchom jako”
Można skorzystać z aplikacji Advanced Run – opis we wpisie o uprawnieniach Windows XP.

ShellRunas

Licencja: freeware
Platforma: Windows XP i wyżej

Opis
aplikacja to GUI dla konsolowej wersji narzędzia „runas”, dodające wpis ” Run as different user…”w menu kontekstowym umożliwiający uruchamianie jako inny użytkownik. Fajne rozwiązanie dla Vista / 7, chociaż może być stosowane również w XP, jako alternatywa na natywna opcję „Uruchom jako”.
Aby skorzystać z funkcji kopiujemy aplikacje do folderu C:windows, uruchamiamy wiersz polecenia, rejestrujemy moduł wpisując komendę:
shellrunas /reg ( /unreg aby wyrejestrować).

Oczywiście można również wykorzystywać aplikację z Wiersza poleceń wpisując komendę:
shellrunas „ścieżka do aplikacji”

Download: najnowsza wersja

Zrzut ekranu:

5. Konsolowe narzędzie „runas” i jego udoskonalenia
Podobnie jak w Windows XP mozna skorzystać z narzędzi runas do uruchamiania jako inny użytkownik.

Uwaga: wszystkie opisane tam aplikacje będące alternatywą na runas (łącznie z systemowym narzędziem) nie pozwalają na uruchamianie w ten sposób programów wymagających potwierdzenia monitu UAC z ograniczonego konta np. użytkownik standardowy nie uruchomi w ten sposób edytora rejestru, ale można uruchomić notatnik. Wyjątkiem jest RUNASSPC, która jest zgodna z UAC. Rozwiązaniem może być zastosowanie jako admina wbudowane konta Administrator, które nie ma aktywnej funkcji UAC.
W Steel RunAs konieczne jest dodatkowo wskazanie w Working directory np. C:.

6. Aplikacja SuRun – alternatywa na mechanizm UAC
Aplikacja SuRun może być alternatywą na UAC – po wyłączeniu systemowej funkcji instalujemy SuRun. Opis we wpisie o uprawnieniach Windows XP.

7. Aktywacja konta Administrator
Uruchamiamy Wiersz polecenia (dodatkowo wybieramy Uruchom jako Administrator) i wpisujemy polecenie:
– aktywacja: net user administrator /active:yes
– deaktywacja:: net user administrator /active:no
– ustawienie hasła: net user administrator hasło

Po aktywacji na ekranie logowania ukaże się nowe konto Administrator, które ma największe uprawnienia. Praktycznie nie różni się od konta z Grupy administratorów, które ma wyłączony mechanizm UAC. Ale ostrzegam, praca na tym koncie jest niebezpieczna, choć wygodna – konto nie różni się od konta administratora z Windows XP, nie ma monitów UAC, szkodliwe oprogramowanie uruchomione na tym koncie spowoduje duże szkody na komputerze.

Można jednak takie konto wykorzystać jako konto roota na wzór systemów Linux – tworzymy konta o limitowanych uprawnieniach, a w momencie podnoszenia uprawnień padnie pytanie o hasło do konta roota.

Aktywacja konta Administrator z poziomu WinRE
1. Uruchamiamy komputer za pomocą WinRE. Alternatywnie możemy uruchomić komputer z dysku instalacyjnego i na ekranie wyboru języka czy instalacji systemu wybrać Shift + F10 – uruchomi się wiersz polecenia. Jeszcze inną możliwością jest start do trybu awaryjnego z wierszem polecenia.
2. W wiersz poleceń wpisujemy regedit i uruchamiamy edytor rejestru.
3. Wybieramy HKEY_LOCALE_MACHINE, następnie menu Plik i wybrać opcję Załaduj gałąź Rejestru (load hive). Lokalizujemy partycję z systemem i przechodzimy do katalogu np. X:WindowsSystem32config. Wybieramy plik SAM.
4. Otwieramy plik i montujemy wpisując nazwę klucza np. REM_SAM
5. Przechodzimy do klucza HKEY_LOCAL_MACHINEREM_SAMSAMDomainsAccountsUsers00001F4 i dwukrotnie klikamy łańcuch F z prawej strony.

6. Otworzy się tabela w trybie szesnastkowym. Lokalizujemy liczbę 11 (8 linia, 1 kolumna), klikamy z prawej jej strony i klawiszem BACKSPACE kasujemy ją i wpisujemy 10.

7. Zamykamy regedit i restartujemy komputer. Na ekranie logowania ukarze się konto Administrator.