Контроль облікових записів користувачів (User Account Control, UAC) - це механізм, який попереджає користувача про те, що для виконуваних дій потрібні повноваження адміністратора. Він призначений в першу чергу для захисту вашого комп'ютера від шкідливого ПО, оскільки дозволить вчасно помітити, що невідома програма намагається внести зміни в конфігурацію системи.

В попередніх версіях (наприклад в Windows XP), увійшовши в систему під обліковим записом з адміністративними правами ви отримували повний доступ до системи. Це цілком прийнятно, якщо використовувати адміністративні повноваження тільки для дій, пов'язаних з адмініструванням, а весь інший час працювати під обліковим записом з правами звичайного користувача.Проте багато користувачів, не бажаючи зайвий раз вводити облікові дані, схильні використовувати адміністративні облікові записи як робочу силу, що досить зручно, але вкрай небажано в плані безпеки.

Варто пам'ятати про те, що будь-яка програма, запущена користувачем з правами адміністратора, отримує все його повноваження і може вносити зміни в систему.UAC вирішує цю проблему, і навіть член локальної групи адміністраторів постійно працює з правами звичайного користувача і отримує підвищені повноваження лише на час виконання певного завдання. Робота UAC заснована на трьох поняттях:

Підвищення повноважень (privilege elevation)

Всі користувачі Windows 7 працюють з правами стандартного користувача.При спробі виконати дію, яка потребує адміністративних повноважень, наприклад установка додатки, його повноваження повинні бути підвищені до прав користувача-адміністратора. Ця дія і називається підвищення повноважень. Воно здійснюється тільки для конкретного завдання, кожна нова задача генерує власне повідомлення UAC.

Режим схвалення адміністратора (admin approval mode)

Він діє в тому випадку, коли адміністратор повинен схвалити підвищення за допомогою повідомлення UAC. Для цього в повідомленні потрібно натиснути на кнопку ТАК (запит згоди) або ввести ім'я користувача і пароль (запит облікових даних).

Безпечний робочий стіл (secure desktop)

Призначений для того, щоб шкідливе ПО не змогло змінити або приховати відображення повідомлень UAC. При виведеному повідомленні UAC робочий стіл стає недоступний і щоб продовжити роботу треба відреагувати на повідомлення про втрату чинності.При цьому всі процеси припиняються і створюється знімок робочого столу на поточний момент. Якщо немає реакції на повідомлення протягом 150 секунд, запит автоматично відхиляється і повертається стандартний робочий стіл.

Налаштування рівня повідомлень UAC проводиться в діалоговому вікні «Параметри управління обліковими даними користувачів».Відкрити його можна різними способами, наприклад з меню Пуск -> Панель управління -> Облікові записи користувачів -> Зміна параметрів контролю облікових записів, або набравши (можна не цілком) в рядку пошуку "Зміна параметрів контролю облікових записів" (Change user account control settings ).Також можна натиснути клавіші Win + R і виконати команду UserAccountControlSettings.exe.

Рівень повідомлень регулюється становищем бігунка, який має 4 положення:

Завжди повідомляти - ви отримуєте повідомлення при будь-яких спробах внести зміни в комп'ютер.При цьому відбувається затемнення робочого столу і висновок повідомлення, на яке необхідно відреагувати. При відсутності реакції на повідомлення запит автоматично відхиляється;
Повідомляти тільки при спробах програм внести зміни в комп'ютер - повідомлення видається тільки коли зміни в налаштування комп'ютера вносяться програмами.При виведенні повідомлення використовується безпечний робочий стіл, при відсутності реакції відбувається автоматичне відхилення запиту;
Повідомляти тільки при спробах програм внести зміни в комп'ютер (не затемняється робочий стіл) - повідомлення виводиться тільки при спробі змінити налаштування програмою, яка не входить до складу Windows , при цьому робочий стіл не затемнюється.Якщо ви самі вносите зміни в налаштування за допомогою програм з комплекту Windows, то повідомлення виводиться не буде;
Ніколи не повідомляти - якщо ви увійшли в якості адміністратора, то повідомлення виводитися не буде. Якщо як стандартний користувач, то будь-які дії вимагають адміністративних повноважень автоматично відхиляються.Фактично це означає відключення UAC.

Щоб убезпечити себе від шкідливих програм цілком достатньо залишити за замовчуванням. Навіть якщо при цьому працювати під обліковим записом адміністратора, ризик значно зменшується, при цьому для виконання адміністративних завдань досить одного кліка мишкою.

Контроль облікових даних також можна налаштувати за допомогою групових політик. Про це читаємо у 2-ї частини статті.