Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

UAC w Windows 7 - dodajemy wyjątki

UAC - czyli Kontrola konta użytkownika (User Account Control) - każdy użytkownik Siódemki (oraz Visty) na pewno widział podobny obrazek:

Mimo pewnych kontrowersji związanych z możliwością obejścia tego zabezpieczenia (chodzi o metodę 'DLL injection'), trzeba przyznać, że UAC bardzo zmniejsza szanse na nieautoryzowane przez nas (użytkowników) zmiany w systemie. Niestety, często nasze zaufane aplikacje, które uruchamiamy celowo aktywują mechanizm kontroli konta użytkownika przez co jesteśmy zmuszeni do częstego klikania co w dłuższym okresie czasu zwykle powoduje naszą irytację. I wtedy często, pod wpływem tej irytacji po prostu wyłączamy UAC...

Zamiast wyłączenia lub ograniczenia działania UAC, proponuję alternatywne podejście i dodanie takich (zaufanych) aplikacji do bazy wyjątków UAC

Jako przykład posłuży 'iPlus Manager' – aplikacja operatora sieci komórkowej Plus do zarządzania usługą bezprzewodowego dostępu do Internetu (plik wykonywalny, który uruchamia mechanizm UAC to "iPlusManager.exe").

Będzie nam potrzebny pakiet "ApplicationCompatibilityToolkitSetup.exe", który ściągamy ze stron producenta albo z dobrychprogramów:

Pobieramy i instalujemy ściągnięty pakiet:

Po zainstalowaniu pakietu uruchamiamy (z menu "start" i folderu "Microsoft Application Compatibility Toolkit") aplikację "Compatibility Administrator" (oczywiście jako administrator):

W oknie "Compatibility Administrator" zaznaczmy "New Database(1) [Untitled_1]", klikamy drugim klawiszem myszki, z podręcznego menu wybieramy "Create New" a potem "Application Fix..." (zamiast używać menu podręcznego można wcisnąć Ctrl+P):

W oknie "Create new Application Fix - Program information" wpisujemy nazwę aplikacji oraz lokalizację pliku, którą wybieramy z drzewa (klawisz "Browse..."). Klikamy "Dalej":

W oknie "Create new Application Fix - Compatibility Modes" zaznaczamy opcję "RunAsInvoker":

W oknie "Create new Application Fix - Compatibility Fixes" klikamy "Dalej" a w następnym oknie "Create new Application Fix - Matching Information" wybieramy "Zakończ".
Ponownie zaznaczmy "New Database(1) [Untitled_1]" i klikamy "Save" (ikona dyskietki). Wybieramy nazwę bazy, np "uac" i zapisujemy ją w wybranej lokalizacji, np głównym katalogu dysku C: (czyli: C:\). Potem wywołujemy menu podręczne (drugi klawisz myszki) i wybieramy "Install":

I to dodaje wyjątek do UAC. Zamykamy program. Plik bazy "C:\uac.sdb" możemy w dowolnym momencie później wczytać do "Compatibility Administrator", np po to aby dodać do tej bazy następny wyjątek:

W celu usunięcia programu z bazy wyjątków wczytujemy plik bazy "C:\uac.sdb" do "Compatibility Administrator", zaznaczamy aplikację, którą chcemy usunąć, wybieramy (drugi klawisz myszy) z menu podręcznego "Delete". Po usunięciu wpisu baza musi zostać ponownie zainstalowana ("Install" z menu podręcznego, na zaznaczonej nazwie bazy):

Powyższe dotyczy aplikacji 32-bitowych. Z aplikacjami 64-bitowymi postępujemy analogicznie ale używając "Compatibility Administrator (64-bit)". 

windows bezpieczeństwo porady

Komentarze

0 nowych
  #1 13.01.2012 19:33

Dobre, ale problem w tym, że nie jest zbyt wygodne tworzenie reguł w taki sposób.
Szkoda że nie ma nic co by bazowało na aktualnie aktywnych procesach.

gowain   18 #2 13.01.2012 21:34

U mnie jedną z pierwszych rzeczy po reinstalacji Windowsa jest wyłączenie UAC - kwestia odpowiedzialności za czyny. Jeśli coś instaluje to wiem co i po co.

Inna kwestia dla mniej zaawansowanych użytkowników, dla nich UAC jest przydatne, choć czasami uprzykrza życie, zwłaszcza właśnie przy instalacji na czysty system sterowników i programów... klikania co nie miara :)

Semtex   17 #3 13.01.2012 22:51

Dzięki za poradnik, poszedł w "ulubione", na forum sporo użytkowników pyta o możliwość dodania danego programu do wyjątków w UAC....

BTW> MI osobiście UAC nie przeszkadza, przyzwyczaiłem się do niego i jedno kliknięcie więcej nie jest dla mnie problemem ;)

4lpha   9 #4 13.01.2012 22:58

Uhm... Niezbyt "user-friendly" metoda.

tfl   8 #5 14.01.2012 00:07

sudo jest userfriendly.

Druedain   13 #6 14.01.2012 01:37

Jest, a patenty jak np. kdesu jeszcze bardziej.

  #7 14.01.2012 03:15

Warto wspomnieć o możliwości ustawienia aby UAC pytał o hasło administratora przy próbie instalacji programu / zmiany w systemie.

foreste   14 #8 14.01.2012 06:33

Ja to wyłączam jak najszybciej po reinstalacji systemu siostrze bo i tak jakiś syf ominie to w windows :)

sla17   7 #9 14.01.2012 08:32

Dobre, sam będę musiał posprawdzać o co pyta i dodać do wyjątków. Wyłączać nie chcę, bo mi się t nawet podoba i póki co aż RAZ pokazał jakąś nieznaną mi aplikację, że chce się sama otworzyć, Okazało się, że to był jakiś syf :P

  #10 14.01.2012 21:35

UAC jest nawet przydatny, ale żyjemy w dobie antywirusów, zapór ogniowych i innych tym podobnych programów, a dodawanie wyjątków jest męczące. Wydaje mi się, że szkoda na to zachodu, tym bardziej, że większość ludzi i tak odruchowo kliknie "Tak"

  #11 14.01.2012 22:46

Jak mam pakiet comodo to jaki sens miec właczony UAC?

Lookazz   5 #12 14.01.2012 22:51

Nawet nie wiedziałem, że takie coś istnieje. Faktycznie za dużo kombinowania trochę, ale to lepsze niż tysięczny raz zezwalać zaufanemu programowi na uruchomienie.

Szkoda, że nikt w Microsofcie nie pomyślał o możliwości zapamiętania czy zezwalamy danej aplikacji na uruchomienie. W okienku UAC przed zezwoleniem/zabronieniem zaznaczyłoby się odpowiednią opcję i poziom irytacji dużo mniejszy.

zielu84   4 #13 14.01.2012 22:51

Dzięki, fajne narzędzie, właśnie pierwsza aplikacja poszła do bazy :)

tores1977   8 #14 14.01.2012 23:50

Używam TC odpalanego jako administrator, już mnie trochę denerwowało codzienne klikanie "tak" przy odpalaniu programu,

xomo_pl   20 #15 15.01.2012 01:23

wyłączanie UAC, nawet jeśli "wiemy" co robimy to totalna głupota- UAC ma nas chronić przed nie pożądanymi akcjami w komputerze a nie tymi, które chcemy.
Dzięki UAC nic samo się w Windows nie zainstaluje oraz nie zmienią się ustawienia systemu (zaawansowane z narzędzi nie widocznych na pierwszy rzut oka) dlatego warto mieć go aktywnego na najwyższym poziomie (standardowo w 7 ustawienia są zbyt słabe, nie chronią operacji w systemie poza instalatorem).
W linuxach jest to od dawna i nikt nie narzeka, a na Windows ciągle narzekają bo trzeba na tak klinąć, ile to zajmuje? 2 sekundy? często coś instalujemy/ grzebiemy w systemie- raczej więc wyłączanie UAC jest bez sensu.
Fakt, MS mógłby dać więcej opcji do UAC ale i bez tego to najlepsze co wdrożyli od lat.
Kiedyś, z tego co pamiętam, jeszcze jak była Vista głównym OS symantec wymyślił coś w rodzaju "nie pytaj więcej" w oknach UAC. Nie pamiętam nazwy ani nie wiem czy to jeszcze jest dostępne do pobrania (była to aplikacja nie zależna od reszty oferty symanteca)

W/g mnie UAC dobrze spełnia swoją rolę, min. dzięki niemu nie potrzeba mi AV na co dzień a tylko skaner.

gowain   18 #16 15.01.2012 10:03

@zomo_prl

Od ponad 2 lat mam Win7 u siebie zainstalowany na PC i wyłączone UAC. Przez te dwa lata tylko raz go przeinstalowałem i to z mojej winy, bo skopałem pakiet Adobe, tak że się go nie dało przeinstalować ani odinstalować. W PC mieszam strasznie dużo (ciekawość i hobby od 17 lat) i jeszcze nigdy (w Viście, którą mam jeszcze dłużej tak samo) wyłączenie UAC nie spowodowało niczego złego, nic się nie zainstalowało, nic się nie pobrało.

Jeżeli ktoś ma włączone, to niech ma, nie moja sprawa i nie mi oceniać czy to głupota czy nie. Lubi klikać, niech klika. Ja jak reinstaluję system (zazwyczaj na laptopach innych osób) to po 5 minutach instalowania sterowników i podstawowych programów dostaję nerwicy. Pojawia się z 20 okienek z pytaniem czy jestem pewien, że chciałem ten program/sterownik zainstalować. Dlatego u siebie mam to wyłączone.

Dla mnie lepszym rozwiązaniem jest dobry AV i wyłączone UAC. Dobry AV (akurat w moim przypadku nod32) kosztuje mnie 105zł na 2 lata. Czyli tyle co nic (4,40zł/miesiąc :P), a głowę mam spokojną. Często "surfując" po zagranicznych lub rodzimych stronach/serwisach (i nie porno! :P) i wyskakuje alert, że na stronie jest zaszyty jakiś niebezpieczny skrypt, wtedy av blokuje daną stronę. UAC tego nie robi, jak i nie strzeże Cię przed wieloma innymi zagrożeniami, które nie potrzebują, żebyś klikał, że jesteś pewien.

adam9870   11 #17 15.01.2012 14:17

Akurat w Windows 7 UAC, w porównaniu do Visty, nawet na domyślnych ustawieniach niezbyt przeszkadza.

  #18 15.01.2012 14:30

żadne zabezpieczenia chocby nie wiem jak wymyślne nie zabezpiezą systemu ponieważ producenci oprogramowania nie dodają rzeczy podstawowej do swoich produktów pakietu "rozsądku i logicznego myślenia" .Tak na marginesie zastanawiam o ile wzrosło by bezpieczeństwo na systemach Microsoftu gdyby były na bierząco aktualizowane

xomo_pl   20 #19 15.01.2012 23:41

@ adam9870, bo w W7 MS zmniejszył domyślny zakres w którym pojawiają się pytania. Domyślnie pojawiają się praktycznie tylko gdy coś instalujemy (nie chroni narzędzi systemowych), odpowiednikiem ustawień z Visty jest poziom maxymalny ustawień UAC W7.

@kiedys, tak ale samo myślenie nie gwarantuje bezpieczeńtwa.

@ gowain,
każdy av ma 1 wadę- zmniejsza, jeden bardziej, jeden mniej ale zawsze wydajność systemu, zużywa łącze internetowe, skraca działanie pc na baterii (aktywny proces zużywa procesor a ten baterię) dlatego też min. nie lubię av i nie mam ich jako takich.
Czysty system jest szybki i wydajny. Nawet ostatnio zauważyłem (na laptopie znajomego), że NOD32/eset smart security w ostatniej wersji dość mocno zwolnił, o ile poprzednia była mega szybka to ostatnia muli, szczególnie przy starcie. Komputer, uprzedzając pytania dobry: i3/4GB RAM/W7/.


Ja też nie zamierzam oceniać wyłączania UAC przez innych, nie moja sprawa :)

Po formacie zawsze można wyłączyć na chwilę UAC, powgrywać wszystko i włączyć ponownie.

  #20 16.01.2012 16:29

@zomo_prl
Twierdzisz że samo myslenie nie gwarantuje bezpieczeństwa oraz że sam nie uzywasz av jako takich.Nie kumam polegasz tylko na UAC?

command-dos   17 #21 17.01.2012 09:18

Dobry wpis - pewnie się przyda. Mam tylko jedno pytanie: Jeśli dodamy aplikację do wyjątków, a ona się zaktualizuje (podniesiona zostanie wersja), czy nadal będzie traktowana jak wyjątek, czy może zostać potraktowana jako całkowicie inna aplikacja?

Do tych, co narzekają na UAC i wyłączając go robią z visty, czy 7, zwykłego xp'ka: Zalecam poczytać o UAC, bo jest to jedna z tych rzeczy, którą microsoft zrobił prawie dobrze. Dlaczego prawie? Bo dobrze było w viście, lecz w związku z tym, że użytkownicy są leniwi (i chyba głupi), UAC zmieniono w win7. Teraz mechanizm się nie pyta użytkownika o zgodę, gdy uruchamiana aplikacja jest podpisana, np. explorer.exe (jest podpisany przez microsoft). Problem w tym, że można takiego explorera wykorzystać, aby zrobił "co trzeba" w systemie i użytkownik tych zmian nie zobaczy - to znaczy zobaczy, ale wtedy będzie za późno ;) Microsoft cały czas balansuje na granicy użyteczność/bezpieczeństwo, dlatego nigdy nie wyzbędzie się dziadostwa i botnetów - nie kumam służb specjalnych, które włączają się do akcji likwidacji botnetów - przecież to wina twórców systemu. Mogą zrobić system bardziej bezpieczny, ale wtedy spadnie sprzedaż, bo ludzie będą narzekać... Nie wiem ilu użytkowników zdaje sobie sprawę z tego, że pracując w win7 na koncie admina, tak naprawdę odpalają aplikacje w tokenie zwykłego usera... Dopiero klikając prawym i dając "uruchom, jako administrator" podnosimy uprawnienia - wtedy aplikacja jest odpalona w tokenie admina - to tak po krótce.
BTW - spytajcie się byle użytkownika linucha, czemu nie pracuje na koncie (d)root'a - jego mina będzie bezcenna ;)

xomo_pl   20 #22 17.01.2012 16:18

@command-dos,
rozwinę trochę:
UAC powoduje, że program sam nie nada sobie najwyższych uprawnień (administratorskich), bez naszej zgody (kliknięcia na tak), gdy go wyłączymy programy się uruchamiają w jakim trybie i jak chcą oraz robią co chcą...
Standardowo wszystkie aplikacje są uruchamiane ze zwykłymi uprawnieniami (jalbyśmy ppracowali na zwykłym koncie), jeśli jakiś program próbuje mieć uprawnienia administratora to dostajemy monit UAC nas ekranie i możemy to zablokować...

"Teraz mechanizm się nie pyta użytkownika o zgodę, gdy uruchamiana aplikacja jest podpisana"

domyślnie nie, co też uważam za głupie, wystarczy przesunąć suwak ustawień UAC na maxa i już pytaj jak w Windows Vista..


@kiedys (niezalogowany) | 16.01.2012 16:29

nie tylko- mam jeszcze zaporę systemową i Defendera, którego nie czuć, że działa oraz a raczej przede wszystkim własny rozsądek.

  #23 17.01.2012 16:49

@zomo_pl
"nie tylko- mam jeszcze zaporę systemową i Defendera, którego nie czuć, że działa oraz a raczej przede wszystkim własny rozsądek."

No popatrz u mnie jak napisałeś myślenie nie gwarantuje bezpieczeństwa a u ciebie zdrowy rozsadek tak .No niech i tak bedzie ty masz racje a ja spokój

  #24 24.04.2013 15:08

Mam pytanie. Jak zastosować ten program do pliku typu msi

elzear   5 #25 24.04.2013 17:19

Jeżeli ten programik będzie działał z AD, tzn. jeśli admin domenowy doda wyjątek, i nie będzie pluło o uprawnienia podczas aktualizacji to jesteś wielki :)

Autor edytował komentarz.
elzear   5 #26 24.04.2013 17:38

@rommoc39@wp.pl

Nie chcę wprowadzać w błąd (jeśli się mylę to poprawcie), ale z tego co kojarzę to pliki z rozszerzeniem .msi są aplikacjami 64 bitowymi. Więc popatrz na ostatnie zdanie w artykule.

  #27 25.04.2013 09:06

Chciałem wyjaśnić mój poprzedni komentarz. Jestem tylko amatorem programistą i piszę w Visual Basic 2005.Kupiłem kiedyś Visual Studio 2005 wydanie akademickie. Ponieważ mam stronę internetową: cukrzycaseniora.szablon.pl , dlatego piszę programy dla cukrzyków i upowszechniam je darmowo. Programy te są jako pliki msi. Ale wyskakuje w ostanim okienku napis "Wydawca nieznany" mimo, że w pierwszym okienku jest napis kto jest dostawcą. Zresztą sami sprawdzie..

elzear   5 #28 25.04.2013 18:25

rommoc39@wp.pl
Sprawa wygląda tak, że Widnows 7 i 8 (może i wprowadzili to w XP, nie wiem), sprawdza podpis cyfrowy.
Twój podpis można by określić jako oznaczenie produktu, a podpis cyfrowy to dowód autentyczności danego oprogramowania.
Zdobyć taki certyfikat nie jest trudno, możesz go zakupić w wielu firmach, a następnie nim podpisywać programy. Nie wiem jak wygląda polityka, zaufanych urzędów certyfikacyjnych w Microsofcie, ale dobrze jest sprawdzić u nich na stronie jakie urzędy należą do zaufanych (możliwe jest również, że taki certyfikat można kupić jedynie w Microsofcie).

Ja bym nie pchał się jednak w podpisy cyfrowe bo koszta jednak są zbyt duże.

Jest sporo znanych programów które również nie mają podpisu albo mają podpis który Windows nie uważa za zaufane, np. 7zip.

rommoc39   1 #29 28.04.2013 11:13

Niestety moje programy można pobrać z mojej strony http://www.cukrzycasenioraszablon.pl tylko jako pliki msi. Próbowałem jako exe, ale niestety uruchamiały się z błędami. Na mojej stronie wyjasniłem, dlaczego jest napis "Nieznany wydawca". Jestem tylko emerytem (74 lat w czerwcu) i nie stać mnie na kupno podpisu. Ale jedno wiem, że moje programy służą chorym na cukrzycę.W tej chwili piszę program w C#.

  #30 20.12.2013 14:19

Dzięki przydało się, działa pod windows 8.1

  #31 28.02.2014 17:36

Tego szukałem, opis bardzo dobry - WIELKIE dzięki

  #32 05.05.2014 14:50

Niezłe rozwiązanie, ale wydaje mi się, że szybszym sposobem uniknięcia alertu UAC jest utworzenie nowego zadania z najwyższymi uprawnieniami w harmonogramie zadań.

dru8d   4 #33 26.06.2014 11:07

@januszek Kolego tam z początku opisu wkradł Ci się jeden błąd. Compatibility Administrator 32/64 bit uruchamia się normalnie - nie trzeba uruchamiać jako administrator, ponieważ po prostu nie trzeba tego robić, a screena wrzuciłeś jak uruchamiasz Application Compatibility Manager, który wymaga tych uprawnień. Nic wielkiego, ale wprowadza w błąd.

  #34 07.08.2014 08:02

Pięknie działa. Dziękuje.

  #35 02.12.2014 21:08

Bardzo użyteczna i działająca metoda.

kemyt   1 #36 28.07.2015 11:20

niestety nie działa...po dodaniu wyjątku komunikat znika o przyznanie uprawnień ale program nie uruchamia się z odpowiednimi uprawnieniami...wszystko zrobione wg instrukcji powyżej, z kilkoma różnymi programami i bez skutku... jakieś pomysły?

Autor edytował komentarz.
  #37 09.09.2015 17:34

Działa na win10.

  #38 28.09.2015 19:00

Nie działa.

  #39 18.10.2015 12:22

u mnie na win10 nie działa. chcę dodać ramdysk z autostartu i uac go blokuje mimo instalacji jak w artykule. no nic. żegnaj uac.