В Панели управления Windows пользователь может выбирать, как часто вас будет донимать UAC. На выбор даётся четыре варианта:
Всегда уведомлять
Уведомлять только при попытках приложений изменить параметры, использовать защищённый рабочий стол
Уведомлять только при попытках приложений изменить параметры, не использовать защищённый рабочий стол
Никогда не уведомлять
Хотя кажется, что настроек четыре, по сути их только две:
Всегда уведомлять
«Ну и ладно»
Почему все остальные позиции превращаются в «Ну и ладно»? Потому что опция «Уведомлять только когда приложения меняют настройки» элементарно обходится — любое приложение может внедрить свой поток в Проводник (Explorer) и сделать всю грязную работу там. А Проводнику в этом режиме разрешено эскалировать права без лишнего шума, так что любая программа с правами «medium integrity» (а это почти всё подряд) может тихо получить повышение прав через внедрение потока.
Иными словами, «Уведомлять только когда приложения меняют настройки» — это как пробить дырку в герметичной переборке и надеяться, что всё будет ок.
Если промежуточные положения по сути равны «Никогда не уведомлять», то зачем вообще эти уровни существуют?
Потому что люди хотят.
В Windows Vista у UAC было всего два варианта: «Всегда уведомлять» (по умолчанию включено) и «Никогда не уведомлять» (выключено) — потому что это единственные реально значимые значения. Но пользователи начали орать, что «Всегда уведомлять» их смертельно раздражает.¹ В итоге, в Windows 7 добавили два промежуточных положения ползунка, хотя смысла в них, с точки зрения безопасности, столько же, сколько в дырявом скафандре, потому что любое приложение с мозгами обойдёт эти уведомления.
Как отметил Ларри Остерман, UAC — это не про безопасность. Это про удобство, такой «мотиватор» для разработчиков ПО, чтобы они наконец начали писать софт как положено.
Помню, как в 2009-м раздули скандал из-за «дыры в безопасности» UAC, потому что через панель управления можно было поменять настройки UAC без запроса, если стояла опция «Уведомлять только когда приложения меняют настройки».
Ну да, логично:
Вы сами настроили UAC так, чтобы он спрашивал только если приложение меняет системные параметры, если только это не делает сама Панель управления. Но вы же меняете настройки через Панель управления. Вуаля — никаких запросов!
Тем не менее, нашлись желающие, которым показалось мало уведомлений — и команда UAC добавила ещё одно. «Я думал, люди жалуются, что уведомлений слишком много, а потом, когда они сами убавляют количество запросов, начинают требовать больше запросов? Вы уж определитесь, чего хотите, а?»
¹ Лично меня это не напрягает. Я ведь не провожу весь день, тыкаясь в системные настройки. Более того, я специально не состою в группе администраторов, так что меня спрашивают вообще обо всём, а когда мне надо повысить права, я захожу под локальным админом, а не собой. В итоге, командная строка с правами администратора не видит доменную сеть (потому что доступ к домену был у моей доменной учётки), а доменная учётка не имеет админских прав.² Такое «разделение властей» помогает не наломать дров: если какая-то злая команда и накосячит, то только на локальной машине, а не по всей сети.
² Удивительно, сколько программ ломается, когда сталкивается с таким раскладом.
