Как читатель TechSpot вы наверняка открывали программное обеспечение в качестве администратора в Windows раньше — возможно, совсем недавно, — так что эта функция, вероятно, вам не чужда. Однако нам было любопытно узнать больше о том, что происходит под капотом Windows, когда вы говорите операционной системе запустить программу от имени администратора, и почему этот процесс вообще необходим.
Те из вас, кто перешел с Windows XP на Vista, вероятно, помнят введение » контроля доступа пользователей » (UAC) или » обязательного контроля целостности » (MIC). Функция безопасности выдает подсказку, когда программное обеспечение пытается внести изменения в вашу систему, и решает, почему приложениям иногда требуется «повышенный» доступ. UAC остается фундаментальным компонентом безопасности Windows 10 для смягчения воздействия вредоносных программ, хотя в последующих выпусках общий опыт был смягчен и улучшен.
Когда вы входите в Windows, вашей учетной записи назначается токен, который содержит идентифицирующую информацию, включая ваши группы пользователей и привилегии, такие как разрешения на чтение, запись и выполнение.
Среди информации в этом токене есть уровень целостности, который используется операционной системой для определения надежности таких объектов, как файлы, ключи реестра, с целью информирования пользователей о запуске установок, а также для изоляции процессов от ненужного доступа к системным файлам.
Механизм обязательного контроля целостности Windows (MIC) имеет как минимум шесть различных уровней целостности: ненадежный, низкий, средний, высокий, системный и надежный установщик. По умолчанию стандартная учетная запись пользователя имеет средний уровень целостности, который является максимальным уровнем, доступным для процесса, который может быть создан при открытии исполняемого файла без предоставления повышенного доступа через учетные данные администратора.
Когда вы щелкаете правой кнопкой мыши файл или программу и выбираете «Запуск от имени администратора», этот процесс (и только этот процесс) запускается с токеном администратора, тем самым обеспечивая высокий уровень допуска для функций, которым может потребоваться дополнительный доступ к вашим файлам Windows. и т.п.
Различные уровни целостности Windows
- Недоверенная целостность: предоставляется анонимным процессам.
- Низкая целостность: обычно используется для веб-приложений, таких как браузеры.
- Средняя целостность: применяется к стандартным пользователям и используется для большинства объектов.
- Высокая целостность: доступ на уровне администратора, как правило, требует повышения прав.
- Целостность системы: зарезервировано для ядра Windows и основных служб.
- Надежный установщик: используется для обновлений Windows и системных компонентов.
Процессы, запускаемые с открытия исполняемого файла из учетной записи Windows со средним уровнем доступа, будут иметь этот уровень целостности, если для исполняемого файла не установлен низкий уровень доступа, и разработчикам рекомендуется использовать минимально возможный доступ, в идеале избегая случаев, когда программное обеспечение будет требовать высокой целостности для предотвращения несанкционированного доступа. код (вредоносное ПО) от укоренения.
Практика «минимальных привилегий» применяется к собственным учетным записям администраторов Windows, которые получают как стандартные токены, так и маркеры уровня администратора при входе в систему, используя стандартный / средний доступ целостности, когда это возможно, вместо высокого.
Хотя Microsoft рекомендует не запускать программы от имени администратора и предоставлять им доступ с высокой степенью целостности без уважительной причины, новые данные должны быть записаны в Program Files для установки приложения, которое всегда будет требовать доступа администратора с включенным UAC, в то время как программное обеспечение, такое как сценарии AutoHotkey часто требуется повышенный статус для правильного функционирования.
Вот все способы, которые мы могли бы найти для открытия исполняемых файлов с доступом администратора (высокая целостность) в Windows 10, включая некоторые методы, которые позволят настроить программное обеспечение на постоянное открытие с повышенным доступом:
Способы запустить программу от имени администратора в Windows
Начнем с самого очевидного: вы можете запустить программу от имени администратора, щелкнув правой кнопкой мыши исполняемый файл и выбрав «Запуск от имени администратора».
В качестве ярлыка, удерживая Shift + Ctrl при двойном щелчке по файлу, вы также запускаете программу от имени администратора.
Отдельно, если удерживать только Shift, когда вы щелкаете правой кнопкой мыши по файлу, вы добавляете «Запуск от имени другого пользователя…» в контекстное меню, которое открывает экран, на котором вы можете ввести учетные данные другого пользователя, включая учетную запись администратора (имя пользователя Администратор и может не иметь пароля, если вы его не применили).
Также есть ярлыки для доступа администратора
Меню «Пуск» : щелкните правой кнопкой мыши исполняемый файл, как и в любом другом месте, чтобы запустить программу от имени администратора.
Панель задач: щелкните программу на панели задач, чтобы открыть список переходов, затем щелкните правой кнопкой мыши исполняемый файл в этом меню для выбора параметра администратора.
Проводник: выберите файл в проводнике> щелкните » Управление» в меню ленты вверху> выберите «Запуск от имени администратора».
Запрос на запуск: введите эту строку в «Выполнить» (клавиша Windows + R): RunAs.exe / пользователь: администратор » cmd.exe »
Командная строка: в командной строке введите это с указанием местоположения вашего файла: runas / user: administrator «C: \ Users \ TechSpot \ Desktop \ file.exe »
Диспетчер задач: нажмите » Файл» > » Запустить новую задачу» > установите флажок «Создать эту задачу с правами администратора» > введите местоположение вашего файла (например: C: \ Users \ TechSpot \ Desktop \ file.exe ).
Планировщик заданий: при создании новой задачи («Действие»> «Создать задачу») включите эти параметры на вкладке «Общие»: «Запускать независимо от того, вошел ли пользователь в систему или нет» и «Запускать с наивысшими привилегиями».
Обратите внимание, что метод командной строки не работал, пока мы не включили учетную запись администратора и не изменили другой параметр, позволяющий вводить команду без пароля:
- Выполните поиск Start или Run для msc> перейдите в раздел » Локальные пользователи и группы«> «Пользователи»> дважды щелкните «Администратор» и снимите флажок «Учетная запись отключена».
- Найдите Start или Run для msc> перейдите в Конфигурация компьютера> Параметры Windows> Локальные политики> Параметры безопасности> Дважды щелкните параметр Учетные записи: ограничить использование локальной учетной записи пустых паролей для входа в консоль онлайн и выберите Отключить
Кроме того, в том же разделе редактора групповой политики (gpedit.msc), который мы только что упомянули, есть ряд параметров для точной настройки параметров контроля учетных записей Windows (прокрутите до конца).
Как настроить программы, чтобы они всегда запускались от имени администратора
Учитывая философию Microsoft, заключающуюся в предоставлении программам с минимальным объемом доступа, настройка приложения, чтобы оно всегда запускалось от имени администратора, обычно не рекомендуется, но иногда удобно, когда программное обеспечение всегда требует повышения прав, поэтому вам не нужно каждый раз прыгать через эти обручи.
Вот несколько способов добиться этого:
Всегда запускать от имени администратора с помощью ярлыка: щелкните правой кнопкой мыши файл ярлыка> вкладка Ярлык> Дополнительно> Установите флажок «Запуск от имени администратора».
Обратите внимание, что вы можете создать файл ярлыка, щелкнув правой кнопкой мыши основной исполняемый файл, и что если вы скопируете ярлык в C: \ Users \ TechSpot \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup, программа запустится автоматически. с Windows при входе в систему.
Всегда запускайте от имени администратора через свойства совместимости: щелкните правой кнопкой мыши exe> Свойства> вкладка «Совместимость»> установите флажок «Запускать эту программу от имени администратора».
Всегда запускайте от имени администратора через редактор реестра :
- Перейдите в: HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ AppCompatFlags \ Layers
- Если «Layers» отсутствует, щелкните правой кнопкой мыши AppCompatFlagsи добавьте новый ключ с именем
- Щелкните правой кнопкой мыши слои (в папке или на правой панели) и создайте новое строковое значение.
- Задайте имя значения как полный путь к exe-файлу
- Установить данные значения как ~ RUNASADMIN
Бонусные подсказки
# 1
Стороннее программное обеспечение, такое как MicEnum, может создавать список файлов / папок Windows и уровней их целостности, включая возможность устанавливать новый уровень целостности, а также просматривать как папки, так и представления реестра.
Process Explorer (изображенный во вступлении к этой статье) также имеет возможность отображать уровни целостности, если вы щелкните правой кнопкой мыши горизонтальную полосу с CPU, Private Bytes и т. Д. И откроете свойства. Затем установите флажок рядом с уровнями целостности.
# 2
При новой установке Windows первая созданная учетная запись пользователя является учетной записью локального администратора, а последующие учетные записи — обычными пользователями. По умолчанию встроенная учетная запись администратора отключена.
Вы можете включить учетную запись, чтобы она была доступна при входе в Windows, введя эту строку в командной строке (используйте «нет», чтобы снова отключить ее): net user administrator / active: yes
# 3
У Microsoft есть различные утилиты, такие как Elevation PowerToys и PsExec, которые также можно использовать для получения доступа администратора, но они выходят за рамки этого руководства.
