Довольно частыми являются ситуации, когда одним компьютером пользуются несколько человек. При этом может потребоваться разрешить одним пользователям одно, а другим другое. Например, одним пользователям можно разрешить устанавливать программы на компьютер, а другим не разрешить. Кроме того, можно одним пользователям разрешить пользоваться какой-либо программой или файлом, а другим запретить. И, наконец, можно сделать так, чтобы у каждого пользователя компьютера были свои настройки и оформление Рабочего стола, окон, да и Windows в целом.
Чтобы все это было возможно, необходимо каждого из предполагаемых пользователей зарегистрировать в системе – завести на него учетную запись. Это как учетная карточка в отделе кадров.
При загрузке системы в окне приветствия отображается список зарегистрированных пользователей, которым разрешен вход в систему. Чтобы продолжить работу, вы должны будете указать, под каким пользователем вы собираетесь работать, и ввести соответствующий пароль. После этого система окончательно загрузится, причем с учетом индивидуальных настроек пользователя.
Создание учетной записи
Для создания новой учетной записи необходимо перейти на Панель управления (Пуск Панель управления) и щелкнуть по значку
Учетные записи пользователей. В результате на экране появится одноименное диалоговое окно (см. рис. 5.1), в котором вы сможете производить различные операции над вашей собственной учетной записью, под которой вы работаете в системе в данный момент. Редактировать учетные записи мы научимся в следующем разделе, а сейчас же давайте выясним, как создается новая учетная запись.
Рис. 5.1. Диалоговое окно «Учетные записи пользователей»
После этого перейдите в другое окно, показанное на рис. 5.2. Это окно является наиболее общим и позволяет перейти к редактированию не только вашей, но и других учетных записей. Однако нас сейчас интересует ссылка Создание учетной записи. Щелкните по ней мышкой. Первое, что от вас потребуется указать, – это тип создаваемой учетной записи, то есть права доступа, которыми должен будет обладать владелец создаваемой учетной записи (рис. 5.3). При этом возможны два значения:
Рис. 5.2. Существующие учетные записи в системе
Администратор – в этом случае пользователь с данной учетной записью будет обладать администраторскими правами. Он получит полный контроль над ресурсами системы и сможет изменять любые настройки и выполнять все возможные действия.
Обычный доступ – в этом случае права пользователя- обладателя данной учетной записи будут существенно урезаны. Он не будет иметь доступа к основным настройкам системы, а также не сможет пользоваться некоторыми программами. Также он не сможет устанавливать большинство программ.
Кроме того, вам нужно ввести имя новой учетной записи в расположенном сверху поле. Чтобы создать учетную запись, нажмите на кнопку Создать учетную запись. После этого учетная запись будет создана и появится в окне Учетные записи пользователей (рис. 5.3).
Рис. 5.3. Создание новой учетной записи – задаем права доступа и имя
Остается теперь настроить ее (по умолчанию она не имеет своего пароля).
Настройка и редактирование учетной записи
Чтобынастроитьучетнуюзапись,необходимосначалащелкнутыюней в окне Учетные записи пользователей (рис. 5.2). После этого перед вами предстанет список возможных настроек и операций, которые можно произвести с данной учетной записью (рис. 5.4):
Изменение имени.
Создание пароля (или Изменение пароля).
Изменение рисунка.
Изменение типа учетной записи.
Удаление учетной записи.
Установка родительского контроля
Рис. 5.4. Редактирование учетной записи
Задание пароля для учетной записи
В дальнейшем вы можете произвести любые из указанных действий, но сразу после создания новой учетной записи перво-наперво необходимо для нее задать пароль. Поэтому нажмите на ссылку Создание пароля и в появившемся окне (рис. 5.5) дважды введите пароль, v а внизу – наводящую подсказку. Однако подсказку можно и не вводить.
По окончании нажмите на кнопку Создать пароль.
Изменение картинки учетной записи
Нелишним может быть изменить картинку, служащую для обозначения учетной записи. Для этого, после того как вы в окне Учетные записи пользователей (рис. 5.2) выберете учетную запись, следует щелкнуть мышкой по ссылке Изменение рисунка.
Рис. 5.5. Создание пароля
Рис. 5.6. Задаем новую картинку для учетной записи
В результате этих «сверхсложных» действий перед вами на экране появится набор рисунков, которые можно присвоить учетной записи (рис. 5.6). Выберите понравившийся и нажмите на кнопку Изменить рисунок. Если никакой из предлагаемых стандартных рисунков вас не прельстил, вы можете указать свой рисунок. Для этого следует щелкнуть мышкой по ссылке Поиск других рисунков и указать, что за рисунок вы хотите использовать.
Удаление учетной записи
ДляудаленияучетнойзаписиследуетвыбратьеесначалавокнеУчетные записипользователей(рис.5.2),апотомвокнесвойствучетнойзаписи (см. рис. 5.4) щелкнуть мышкой по ссылке Удаление учетной записи. После этого вам будет задан вопрос, а хотите ли вы сохранить личные файлы, принадлежащие пользователю с удаляемой учетной записью (рис. 5.7). Если вы согласитесь удалить, то будут удалены папки Документы, Изображения и т.д., а значит, и все, что в эти папки помещалось, когда на компьютере работал пользователь с данной учетной записью.
Рис. 5.7. Удаление учетной записи
Что такое учётная запись пользователя? Какие типы учётных записей бывают и как они настраиваются? Об этом и о преимуществах подключения учётной записи Microsoft в Windows 7 расскажем в этой статье.
Учётные записи в ОС Windows – это штатный функционал, который призван обеспечить нескольким пользователям одного компьютера комфортную работу с ним.
Персональная учётная запись — это своего рода личное пространство человека, где он может наиболее удобно для себя организовать работу с настройками системы, файлами и программами в рамках полномочий типа учётной записи, тем самым не мешая точно такому же процессу работы с компьютером другому его пользователю.
Так, в рамках отдельной записи каждый из пользователей может выбрать себе тему оформления, настроить расположение иконок на рабочем столе, задать положение плиток на начальном экране (в случае с Windows 8.1) настроить работу браузера, медиа-проигрывателей или приложений социальных ресурсов. Если у разных пользователей компьютера есть секреты друг от друга, они могут свои учётные записи защитить паролем.
Какие типы учётных записей бывают?
Администратор – тип этой учётной записи предназначается для пользователей, которые имеют право вносить изменения в работу операционной системы (отдельными своими действиями или посредством программного обеспечения). Администраторы имеют доступ ко всем файлам компьютера, ко всем системным службам и установленным программам, а также ко всем имеющимся учётным записям системы.
Это первая учётная запись, которая появляется после установки Windows. Учётная запись администратора в организациях используется, как правило, только IT-специалистами для обслуживания компьютера и принятия мер безопасности для неразглашения коммерческой тайны, в то время когда работник, использующий вверенный ему компьютер, выполняет свои обязанности, используя стандартную учётную запись пользователя. Часто IT-специалисты по указу руководства используют учётную запись администратора для блокировки на компьютерах работников организации игр или возможности посещения социальных сетей, чтобы те не использовали рабочее время для развлечений.
Стандартная – это персонифицированная учётная запись пользователя, которая предусматривает полноценное использование компьютера, за исключением возможности вносить изменения в операционную систему, менять её какие-то настройки или удалять важные файлы. Пользователь может назвать такую учётную запись своим именем, установить своё фото в качестве аватарки, а также защитить запись паролем.
Пользователи домашних компьютеров и ноутбуков часто пользуются единой учётной записью администратора, даже не подозревая, что для отдельных членов семьи можно создать разные учётные записи. Лишь немногие пользователи создают на домашнем компьютере для детей отдельные учётные записи с некоторыми ограничениями – например, с использованием таймера выключения, если истекло дозволенное родителями время работы с компьютером, или с ограничениями доступа к вредным для детей сайтам. Отдельную стандартную учётную запись также лучше создать, если вы доверяете своё компьютерное устройство взрослому, но неопытному пользователю. Это минимизирует риски внесения в систему нежелательных изменений.
Гостевая – это не персонифицированная учётная запись. Она является самой ограниченной по функциональности и предусматривает временную работу пользователя с компьютером. Вы можете перевести компьютер на гостевую учётную запись, если воспользоваться им вас попросили посторонние люди – нагрянувшие в честь праздника гости или милые сотрудники из соседнего отдела организации. Они смогут посидеть в Интернете, поработать с какой-то установленной программой, посмотреть видео или послушать музыку. И не более – ничего устанавливать или удалять гости без вашего ведома не смогут.
Где находятся системные настройки учётных записей?
Изменить настройки существующей записи, создать новую или удалить неиспользуемую в случае с Windows 7 вы сможете через меню «Пуск». Вам нужно попасть в раздел панели инструментов «Учётные записи пользователей и семейная безопасность».
Если у вас установлена Windows 8/8.1, вы можете воспользоваться возможностями нового интерфейса: необходимо вызвать всплывающую справа панель, выбрать «Параметры», затем – «Изменение параметров компьютера – Учётные записи».
Преимущества учётной записи Windows 8.1
В предыдущих версиях ОС Windows – по 7-ю включительно — привязка к учётной записи Microsoft не была такой жёсткой. При установке системы вам предлагается зарегистрироваться на интернет-ресурсе софтверного гиганта, но это действо можно пропустить и продолжить установку системы под локальной учётной записью компьютера. При этом отсутствие учётной записи Microsoft на полноценную работу с системами Windows XP, Vista или 7 особо никак не повлияет.
В Windows 8 и её эволюционном продолжении – версии 8.1 — вы, в принципе, также можете пропустить шаг регистрации или входа в уже существующую учётную запись Microsoft. Но вот в дальнейшем с использованием только локальной учётной записи компьютера активно использовать функционал Metro-интерфейса у вас не получится. Учётная запись Microsoft понадобится вам для работы с некоторыми штатными Metro-приложениями («Почта», «Календарь», «Люди», «Сообщения») и магазином Windows 8/8.1.
Если шаг подключения учётной записи Microsoft пропущен при установке Windows 8/8.1, к нему можно вернуться в любой момент. Для этого вам необходимо перейти по вышеупомянутому пути Metro-настроек «Параметры – Изменение параметров компьютера – Учётные записи».
В чём преимущества подключения учётной записи Microsoft в ОС Windows 8/8.1?
Единый вход в интернет-сервисы Microsoft
Учётная запись Microsoft – это единый ключ для использования интернет-ресурсов софтверного гиганта, в числе которых: почтовый сервис Outlook.Com, облачное хранилище OneDrive, сервис мобильной ОС Windows Phone, игровой и мультимедийный сервис Xbox LIVE. Ну и, конечно же, вышеупомянутый магазин Metro-приложений для Windows 8/8.1. Для регистрации учётной записи Microsoft понадобится электронный почтовый ящик, который и будет в дальнейшем логином для входа.
Синхронизация данных и настроек Windows 8/8.1
При переустановке или при использовании этой системы на другом устройстве, подключение учётной записи Microsoft и синхронизация данных даёт вам уже настроенную ранее систему – с параметрами обновления, с сетевыми настройками, с выбранной темой оформления, с языковыми настройками и т.п.
Пакетная установка приложений из магазина Windows
Помимо синхронизации некоторых штатных приложений, в магазине Windows в отдельном разделе «Учётная запись» будет отображаться список приложений, которые ранее вами устанавливались. Из этого списка можно выбрать все или часть из них и активировать их пакетную установку на компьютер. Учитывая, что приложения устанавливаются быстро, восстановить желаемое состояние можно очень быстро.
В данной статье расскажем о "Контроле учетных записей пользователей", в основе которого был заложен принцип наименее привилегированного пользователя. По сравнению с Windows Vista и Server 2008 в системах Windows 7 и Server 2008 R 2 появились несколько улучшений в его функционале. Также подробно расскажем о маркерах доступа и процессе входа в систему.
Большинство проблем, связанных с безопасностью в последних версиях Windows были вызваны одной главной причиной: большинство пользователей запускали Windows, обладая правами администратора. Администраторы могут делать все что угодно с компьютером, работающим под управлением Windows: инсталлироватьпрограммы, добавлять устройства, обновлять драйвера, инсталлировать обновления, изменять параметры реестра, запускать служебные программы, а также создавать и модифицировать учетные записи пользователей. Несмотря на то, что это очень удобно, наличие этих прав приводит к возникновению огромной проблемы: любая шпионская программа, внедрившаяся в систему, тоже сможет работать, имея права администратора, и, таким образом, может нанести огромный урон, как самому компьютеру, так и всему, что к нему подключено.
В Windows XP эту проблему пытались решить путем создания второго уровня учетных записей, называемых ограниченными пользователями, которые обладали только самыми необходимыми разрешениями, но имели ряд недостатков. В Windows Vista снова попытались устранить эту проблему. Это решение называется "Контроль учетных записей пользователей", в основе которого был заложен принцип наименее привилегированного пользователя.
Идея заключается в том, чтобы создать уровень учетной записи, который бы имел прав не больше, чем ему требовалось. Под такими учетными записями невозможно вносить изменения в реестр и выполнять другие административные задачи. Контроль учетных записей используется для уведомления пользователя перед внесением изменений, требующих прав администратора.
С появлением UAC модель управления доступом изменилась таким образом, чтобы можно было помочь смягчить последствия вносимые вредоносными программами. Когда пользователь пытается запустить определенные компоненты системы или службы, появляется диалог контроля учетными записями, который дает пользователю право выбора: продолжать ли действие для получения административных привилегий или нет. Если пользователь не обладает правами администратора, то он должен в соответствующем диалоге предоставить данные учетной записи администратора для запуска необходимой ему программы.
Для применения установок UAC требует только одобрение администратора, в связи с этим несанкционированные приложения не смогут устанавливаться без явного согласия администратора. В этой статье подробно расписан принципе работы "Контроля учетных записей пользователей" в операционной системе Windows 7
По сравнению с Windows Vista и Windows Server 2008 в операционных системах Windows 7 и Windows Server 2008 R2 появились следующие улучшения в функционале контроля учетных записей пользователей:
Увеличилось количество задач, которые может выполнять обычный пользователь без запроса подтверждения администратором;
Пользователю с правами администратора разрешается настраивать уровень UAC из "Панели Управления";
Существуют дополнительные настройки локальной политики безопасности, которые позволяют локальным администраторам изменять поведение сообщений UAC для локальных администраторов в режиме одобрения администратором;
Существуют дополнительные настройки локальной политики безопасности, которые позволяют локальным администраторам изменять поведение сообщений UAC для обычных пользователей.
Большинству пользователей не нужен настолько высокий уровень доступа к компьютеру и операционной системе. Чаще всего пользователи не подозревают, что они вошли в систему как администраторы, когда они проверяют электронную почту, занимаются веб-серфингом или запускают программное обеспечение. Вредоносная программа, установленная администратором, может повредить систему и воздействовать на всех пользователей. В связи с тем, что UAC требует одобрение администратором применение установки, несанкционированные приложения не смогут быть установленными автоматически без явного согласия администратором системы.
В связи с тем, что UAC позволяет пользователям запускать приложения как обычные пользователи:
ИТ-отделы могут быть уверены в целостности их окружающей среды, включая системные файлы, журналы аудита, а также настройки системы;
Администраторам больше не приходится тратить много времени на определение разрешений для задач на отдельных компьютерах;
Администраторам предоставляется более эффективный контроль над лицензированием программного обеспечения, поскольку они могут обеспечить установку только авторизованных приложений. Им больше не придется беспокоиться о возможных угрозах их сетей из-за нелицензионного или вредоносного программного обеспечения.
Спецификации UAC
Маркер доступа. Маркеры доступа содержат информацию безопасности сеанса входа, определяющую пользователя, группы пользователей и привилегии. Операционная система использует маркер доступа дляконтроля доступа к защищаемым объектам и контролирует возможность выполнения пользователем различных связанных с системой операций на локальном компьютере. Маркеры доступа UAC - это особый вид маркеров доступа, определяющих минимальные привилегии, необходимые для работы - привилегии интерактивного доступа по умолчанию для пользователя Windows в системе с включенной функцией UAC. Второй маркер, маркер полного доступа администратора, имеет максимальные привилегии, разрешенные для учетной записи администратора. Когда пользователь входит в систему, то для этого пользователя создается маркер доступа. Маркер доступа содержит информацию об уровне доступа, который выдается пользователю, в том числе идентификаторы безопасности (SID).
Режим одобрения администратором. Режим одобрения администратором - это конфигурация управления учетными записями пользователей, в которой для администратора создается пользовательский маркер комбинированного доступа. Когда администратор входит в компьютер с ОС Windows, ему назначаются два отдельных маркера доступа. Если режим одобрения администратором не используется, администратор получает только один маркер доступа, предоставляющий ему доступ ко всем ресурсам Windows.
Запрос согласия. Запрос согласия отображается в том случае, когда пользователь пытается выполнить задачу, которая требует права администратора. Пользователь дает согласие или отказывается, нажимая на кнопку "Да" или "Нет".
Запрос учетных данных. Запрос учетных данных отображается для обычных пользователей в том случае, когда они пытаются выполнить задачу, для которой необходим доступ администратора. Пользователь должен указать имя и пароль учетной записи, которая входит в группу локальных администраторов.
Принцип работы UAC
Контроль учетных записей пользователей (UAC) помогает предотвращать заражение компьютера от вредоносных программ, помогая организациям более эффективно разворачивать настольные приложения.
С использованием UAC, приложения и задачи всегда запускаются в безопасной области от неадминистраторской учетной записи, если администратор дает права для административного доступа в системе.
Панель управления UAC позволяет выбрать один из четырех вариантов:
Уведомлять при каждом изменении, вносимом в систему: такое поведение присутствует в Vista - диалог UAC появляется каждый раз, когда пользователь пытается внести любое изменение в систему (настройка Windows, установка приложений и т.д.);
Уведомлять только тогда, когда приложения пытаются внести изменения в систему: в этом случае уведомление не появится при внесении изменений в Windows, например, через панель управления и оснастки;
Уведомлять только тогда, когда приложения пытаются внести изменения в систему, без использования безопасного рабочего стола: то же самое, что и пункт 2, за исключением того, что диалог UAC появляется в виде традиционного диалога, а не в режиме безопасного рабочего стола. Несмотря на то, что это может оказаться удобным в случае использования определенных графических драйверов, затрудняющих переключение между рабочими столами, этот режим является барьером на пути приложений, имитирующих поведение UAC;
Никогда не уведомлять: данная настройка полностью отключает UAC.
Процесс входа в систему в Windows 7
На следующем рисунке показано как отличается процесс входа в систему администратора от стандартного пользователя.
Для обеспечения безопасности, по умолчанию, доступ к системным ресурсам и приложениям, обычным пользователям и администраторам предоставляется в режиме обычного пользователя. Когда пользователь входит в систему, то для него создается маркер доступа. Маркер доступа содержит информацию об уровне доступа, который задается пользователю, в том числе и идентификаторы безопасности (SID).
Когда администратор входит в систему, создается два отдельных пользовательских маркера: маркер доступа стандартного пользователя и маркер полного доступа администратора. В стандартном пользовательском доступе содержится та же пользовательская информация, что и в маркере полного доступа администратора, но без административных привилегий и SID. Маркер доступа стандартного пользователя используется для запуска приложений, которые не выполняют административные задачи. Доступ стандартного пользователя используется только для отображения рабочего стола (explorer.exe). Explorer.exe является родительским процессом, из-под которого пользователь может запускать другие процессы, наследуемые своим маркером доступа. В результате все приложения запускаются от имени обычного пользователя, кроме тех случаев, когда приложения требует использования административного доступа.
Пользователь, который является членом группы "Администраторы" может войти в систему для просмотра веб-страниц и чтения сообщений электронной почты при использовании стандартного маркера пользовательского доступа. Когда администратору необходимо выполнить задачу, которая требует от него маркер административного пользователя, Windows 7 автоматически покажет уведомление для использования административных прав. Это уведомление называется запросом учетных данных, а его поведение может быть настроено при помощи оснастки локальной политики безопасности (Secpol.msc) или групповых политик.
Каждое приложение, которое требует маркер доступа администратора должно запускаться с согласием администратора. Исключением является взаимосвязь между родительским и дочерним процессами. Дочерние процессы наследуют маркер доступа пользователей из родительского процесса. Оба процесса родителя и ребенка должны иметь одинаковый уровень интеграции.
Windows 7 защищает процессы при помощи маркировки уровней интеграции. Уровни интеграции измеряются доверием. Приложения с "высокой" интеграцией - это приложения, выполняющие задачи, которые могут изменять системные данные. А приложения с "низкой" интеграцией - это выполняемые задачи, которые потенциально могут нанести ущерб операционной системе. Приложения с более низким уровнем интеграции не могут изменять данные в приложениях с высоким уровнем интеграции.
Когда обычный пользователь пытается запустить приложение, которое требует маркер доступа администратора, UAC требует пользователя предоставить данные администратора.
Пользовательские возможности UAC
При включенном UAC, пользовательские возможности отличаются от возможностей администратора в режиме одобрения администратором. Существует еще более безопасный метод входа в систему Windows 7 - создание основной учетной записи с правами обычного пользователя. Работа в качестве обычного пользователя позволяет максимально повысить степень безопасности. Благодаря встроенному в UAC компоненту полномочий обычные пользователи могут легко выполнять административные задачи путем ввода данных локальной учетной записи администратора.
Альтернативный вариант запуска приложений обычным пользователем является запуск приложений с повышенными правами администратора. С помощью встроенного в UAC компонента учетных данных, члены локальной группы Администраторы могут легко выполнять административные задачи путем предоставления утверждающих данных. По умолчанию, встроенный компонент учетных данных для учетной записи администратора в режиме одобрения называется запросом согласий. Запрос учетных данных UAC может быть настроен при помощи оснастки локальной политики безопасности (Secpol.msc) или групповых политик.
С включенным UAC, Windows 7 запрашивает согласие или учетные данные записи локального администратора, перед запуском программы или задания, которое требует маркер полного доступа администратора. Этот запрос не гарантирует того, что шпионские программы могут быть установлены в тихом режиме.
Запрос согласия отображается в том случае, когда пользователь пытается выполнить задачу, которая требует маркер доступа администратора. Ниже приведен скриншот с запросом согласия UAC.
Запрос учетных данных отображается в том случае, когда обычный пользователь пытается запустить задачу, которая требует маркер доступа администратора. Этот запрос для обычного пользователя может быть настроен при помощи оснастки локальной политикибезопасности (Secpol.msc) или групповых политик. Запрос учетных данных также может быть настроен для администраторов при помощи изменения политики Контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором со значением Запрос учетных данных.
На следующем скриншоте отображен пример запроса полномочия UAC.
Запросы на повышение прав UAC
Запросы на повышение прав UAC имеют цветовую маркировку для конкретных приложений, позволяя немедленно идентифицировать потенциальный риск безопасности. Когда приложение пытается запуститься с маркером полного доступа администратора, Windows 7 сначала анализирует исполняемый файл для определения издателя. Прежде всего, приложения делятся на 3 категории издателей исполняемого файла: Windows 7, проверенный издатель (подписанный), не проверенный издатель (не подписанный). На следующем изображении отображается то, как Windows 7 определяет какой цвет запроса повышения отображать пользователю.
Цветовая маркировка запросов на повышение прав следующая:
На красном фоне отображен значок щита: приложение блокируется при помощи групповой политики или блокируется из-за неизвестного издателя.
На синем фоне отображен золотистый значок щита: приложение является административным приложением Windows 7, таким как "Панель управления".
На голубом фоне отображается синий значок щита: приложение подписано и является доверенным на локальном компьютере.
На желтом фоне отображается желтый значок щита: приложение не подписано или подписано, но не является доверенным на локальном компьютере.
Запросы на повышение прав используют ту же цветовую маркировку, что и диалоговые окна в Windows Internet Explorer 8.
Значок щита
Некоторые элементы "Панели управления", такие как "Дата и время" содержат комбинацию операций администратора и обычных пользователей. Обычные пользователи могут видеть время и изменять часовой пояс, маркер полного доступа администратора требуется для изменения даты и времени системы. Ниже приведен скриншот диалога "Дата и время" панели управления.
Значок щита на кнопке "Изменить дату и время" указывает на то, что этот процесс требует маркер полного доступа администратора и отобразит запрос на повышения прав UAC .
Обеспечение запроса на повышение прав
Процесс повышения прав обеспечивает прямые запросы для защиты рабочего стола. Запросы согласия и учетных данных отображаются по умолчанию в Windows 7 для обеспечения безопасности системы. Только системные процессы могут получить полный доступ к безопасной рабочей среде. Для достижения более высокого уровня безопасности рекомендуется включить групповую политику Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав.
Когда исполняемые файлы просят повышения прав, интерактивный рабочий стол, называемый также рабочим столом, переключается на безопасный рабочий стол. Безопасный рабочий стол затемняет пользовательский и отображает запрос на повышение прав, в котором пользователь должен принять решение для продолжения выполнения задачи. Когда пользователь нажимает на кнопку "Да" или "Нет", рабочий стол снова переключается на пользовательский.
Вредоносное программное обеспечение может имитировать безопасный рабочий стол, но при включенной политике Контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором со значением "Запрос согласия" вредоносная программа не сможет получить повышенные права, если даже пользователь нажмет на кнопку "Да". Если параметр политики имеет значение "Запрос учетных данных", то вредоносное программное обеспечение сможет собирать учетные данные пользователей.
