“Thuần hóa” UAC của Microsoft Windows Vista
Liệu có tính năng nào của Microsoft Windows Vista gây bực tức
trên toàn cầu hơn User Account Control, tức UAC viết rút gọn, hay
không? Trong điều kiện cần thiết nó vô cùng hữu ích nhưng khi
ngược lại nó trở thành sự bất tiện không thể chịu nổi. Giải pháp hấp
dẫn ở đây là tắt UAC đi và xem như xong, nhưng đây không phải là
giải pháp xác đáng. Sẽ có những lần bạn muốn sự bảo vệ của UAC và có nhiều cách bạn
biến UAC thân thiện hơn là xâm chiếm. Hợp tác với nó hơn là chống lại nó, và bạn sẽ
thấy ngạc nhiên thú vị là nó dễ điều khiển đến mức nào. Sau đây là 7 cách khiến UAC
của Vista ít xâm phạm hơn mà vẫn tránh xa được hiểm nguy an ninh.
Liệu có tính năng nào của Microsoft Windows Vista gây bực tức trên toàn cầu hơn User
Account Control, tức UAC viết rút gọn, hay không? Trong điều kiện cần thiết nó vô cùng
hữu ích nhưng khi ngược lại nó trở thành sự bất tiện không thể chịu nổi.

Hay nhìn theo một quan điểm ôn hòa hơn, nó là một tính năng đôi lúc cũng tối cần thiết
với Windows – một cách để kiểm soát quyền truy cập tài khoản người dùng quản trị để
những chương trình không có quyền truy cập quản trị không nhận được nó.

Chúng tôi theo quan điểm thứ 2, ngoài việc phá vỡ nhiều thói quen làm việc hiện hành,
cũng có nhiều câu hỏi xung quanh cách hoạt động, hoặc phải hoạt động như thế nào, của
nhiều chương trình dưới sự điều khiển của UAC.

Giải pháp hấp dẫn ở đây là tắt UAC đi và xem như xong, nhưng đây không phải là giải
pháp xác đáng. Sẽ có những lần bạn muốn sự bảo vệ của UAC và có nhiều cách bạn biến
UAC thân thiện hơn là xâm chiếm. Hợp tác với nó hơn là chống lại nó, và bạn sẽ thấy
ngạc nhiên thú vị là nó dễ điều khiển đến mức nào.

1. Xung đột quyền quản trị

Điều quan trọng đầu tiên cần được nói đến là trong trường hợp nào hộp thoại của UAC
nên và không nên xuất hiện. Nhiều người than phiền rằng UAC quấy rầy họ ngay khi đó

dường như chỉ là một hành động hệ thống hoàn toàn bình thường, như mở một file hoặc
copy một thứ gì đó sang một nơi khác. Đây không phải là cách làm việc hợp lý của UAC,
vì vậy sau đây là bài phân tích nhanh khi nào bạn nên và không nên nhận những câu lệnh
của UAC.

UAC có thể khởi động không cần thiết nếu các điều khoản
của bạn được thiết lập không chính xác.
Đầu tiên, UAC nên khởi sự bất cứ khi nào bạn click vào một biểu tượng hoặc hộp thoại
Windows có biểu tượng hình cái khiên (shield). Logo này được tạo ra làm lời chú thích
bằng hình ảnh rằng bất cứ hành động có liên quan đến nó sẽ phải có sự chấp thuận của
UAC, một dạng cảnh báo trước cho người dùng. Những hành động này bao gồm những
thứ như bộ cài đặt ứng dụng, thứ rõ ràng cần phải có sự cho phép của quản trị (admin) để
hoạt động. Có lẽ giờ bạn sẽ thấy các biểu tượng cài đặt ứng dụng sẽ được trang trí thêm
biểu tượng hình khiên; đó chính là chỉ thị cần sự chấp thuận của UAC để chạy chúng.

UAC không nên bật ra khi bạn mở những tài liệu trong thư mục người dùng, khi truy cập
vào những tài liệu trên một ổ đĩa khác mà bạn biết là của mình, hoặc khi chạy những
chương trình bình thường như Office hoặc Firefox mà không cần quyền quản trị để hoạt
động đúng. Nếu điều này xảy ra, có khả năng cao là điều khiển sự cho phép trên những
file đó bị hỏng hoặc thiết lập sai.

Trường hợp này thường xảy ra khi làm việc với những file trên ổ cứng được di chuyển từ
một máy tính khác, ví dụ như máy chạy Windows phiên bản trước đó. Một ổ cứng định
dạng FAT hoặc FAT32 thường không hiển thị những vấn đề đó vì những hệ thống file
này không cần đến sự cho phép, nhưng ổ cứng định dạng NTFS có thể có quyền sở hữu
trên file và thư mục thuộc về một user nào đó chứ không phải hệ thống hiện tại của bạn.
Kết quả là, bất kỳ hoạt động file nào trên ổ đấy cũng phải thực hiện dưới chế độ admin,
mà có khi vẫn thất bại.

Giải pháp: thu lại quyền sở hữu


Giải pháp ở đây là lấy lại quyền sở hữu tất cả mọi thứ trên ổ, dù bạn là user hiện tại hay
là một quản trị viên. Điều này có thể được thực hiện thông qua GUI, nhưng thường sẽ
nhanh hơn và linh hoạt hơn nếu thực hiện thông qua cửa sổ lệnh. Nếu ổ E: là ổ có vấn đề,
bạn có thể dùng lệnh ICACLS, ví dụ như:
Icacls e:\* /setowner Administrators /T /C
Nên nhớ rằng lệnh này mất một lúc mới hoàn tất, vì nó lặp đi lặp lại trên từng đối tượng
trong hệ thống file và áp dụng thay đổi về bảo mật. Có thể bạn cũng sẽ muốn tự động gỡ
bỏ Recycle Bin ra khỏi ổ này sau khi thực hiện xong, vì nó sẽ không hoạt động chính xác
sau khi thay đổi các điều khoản hoặc quyền sở hữu. Điều này cũng thực hiện được từ cửa
sổ lệnh:
attrib -s -h e:\RECYCLER
rd /s e:\RECYCLER
(vẫn giả định thực hiện trên ổ e:)
Recycle Bin của ổ này sẽ được tái tạo tự động lần kế tiếp bạn khởi động lại hệ thống. Có
thể bạn cần phải gán các điều khoảncho ổ đĩa này để có thể truy cập vào tất cả mọi thứ
trong nó, nhưng quyền sở hữu đã là mức cao nhất.

2. Sử dụng Process Explorer

Bây giờ đến câu hỏi kế tiếp: Liệu có thể khởi động những chương trình nhất định mà
không phải đối phó với các lệnh UAC không? Câu trả lời ngắn gọn là có, mặc dù có
“nhiều con đường dẫn đến thành Rome”. Con đường chính xác mà bạn sẽ đi tùy thuộc
vào thói quen làm việc và bạn muốn chỉnh sửa nó đến mức nào.

Chạy Process Explorer với quyền admin sẽ cho phép bạn khởi chạy
những chương trình khác với đặc quyền quản trị
Cách tránh UAC của chúng tôi là chạy chương trình Process Explorer của
Sysinternals.com thay thế cho Task Manager. Khi bạn dùng PE với tùy chọn dòng lệnh
/T, nó sẽ tự khởi động chương trình với tư cách Administrator. Đặt shortcut tới PE trong

trong nhóm Startup và sau khi đăng nhập bạn sẽ gặp nhắc nhở của UAC để chạy chương
trình với quyền quản trị.

Vậy giải pháp nằm ở đâu? Khi PE khởi động với quyền admin, một trong những điều bạn
có thể thực hiện là dùng nó để mở những chương trình khác cũng với quyền admin. Hãy
thực hiệnđiều này thông qua hộp thoại File/Run của chương trình, nó cũng có chức năng
History và có thể được sử dụng để lưu những nhiệm vụ admin phổ biến, như mở một
phiên CMD hoặc chạy
COMPMGMT.MSC /S (bảng điều khiển Computer
Management). Tất cả những chương trình đó sẽ chạy với quyền admin mà không vướng
hộp thoại của UAC.

Dĩ nhiên PE không phải là chương trình duy nhất có thể sử dụng theo hướng này để khởi
chạy các chương trình khác cũng với quyền admin, mà nó là một trong những chương
trình tốt hơn vì nhiều lý do – chí ít nó đã được viết để thay thế cho một thành phần của hệ
thống, chính vì vậy nó là một phần mã tin cậy mà không ảnh hưởng gì đến bạn.

Phương pháp này có một số hạn chế, phần lớn trong số này là những gì liên quan đến sự
thoải mái cho người dùng. Hạn chế lớn nhất là tốn nhiều công sức: muốn khởi chạy PE
bạn cần phải mở nó từ khay hệ thống (hoặc bằng cách nhấn
Ctrl – Shift – Esc), sau đó
mở menu Run (Ctrl – R) và gõ thứ bạn đang tìm kiếm hoặc kéo xuống để tìm. Nó sẽ tốt
đẹp nếu (a) bạn để PE chạy liên tục; (b) bạn cần phải chạy một chương trình với quyền
admin.

Chính vì vậy bạn có thể cảm thấy hẳn phải có một cách tốt hơn để thực hiện điều này, và
thực sự là có vài cách.

3. Lên lịch cho một nhiệm vụ chạy với quyền quản trị


Cách duy nhất để tránh UAC là khởi động một chương trình với quyền admin thông qua
Task Scheduler. Vì bạn không thể khởi động Task Scheduler và thêm vào một nhiệm vụ
quyền admin nếu không phải là admin (và không phải thông qua UAC) ngay từ ban đầu,
tuy nhiên điều này không phải là lỗ hổng. Những thông tin admin cần thiết được lưu cùng
với bản thân nhiệm vụ.

Khi được thiết lập, nó có thể được dùng để chạy những nhiệm vụ riêng lẻ (an toàn hơn)
hoặc như một framework để khởi chạy những nhiệm vụ quản trị (hơi ít an toàn hơn,
nhưng tiện lợi hơn).

Sau đây là một ví dụ cách tạo một nhắc lệnh quản trị theo cách này.

Task Manager có thể tránh UAC. Chỉ cần chọn “Run with highest privileges”