Як перевіряти та контролювати дозволи програм у Windows 11

  • Windows 11 включає елементи керування дозволами в «мобільному стилі» для моніторингу доступу програм до конфіденційних ресурсів.
  • Розділ «Конфіденційність та безпека» централізовано керує дозволами, такими як камера, мікрофон, місцезнаходження тощо.
  • У корпоративному середовищі Microsoft Entra дозволяє перевіряти, які програми мають дозволи API та хто їх надав.
  • Поєднання дозволів програм, NTFS та добре керованих прав адміністратора значно посилює безпеку.
Joaquin Romero

15 хвилин

Як керувати дозволами у Windows 11

Контроль над тим, що програми можуть робити на вашому комп’ютері, більше не є необов’язковим: це ключ до збереження вашої конфіденційності, безпеки та навіть продуктивності Windows 11. Кожна програма, яку ви встановлюєте, може запитувати доступ до вашої камери, мікрофона, файлів, місцезнаходження або навіть намагатися змінити системні налаштування без вашого відома, тому розумно пильно стежити за всім цим.

Крім того, з останніми змінами Microsoft, Windows 11 стає все більше схожою на мобільний телефон з точки зору... керування дозволами, сповіщення в режимі реального часу та розширені засоби контролю безпекиЯкщо ви знаєте, де шукати і що перевіряти, Ви можете перевірити, які дозволи має кожна програма., спостерігати, що відбувається «за лаштунками», та припиняти будь-яку дивну чи підозрілу поведінку в зародку.

Що таке дозволи програм у Windows 11 і чому вони важливі?

У Windows 11 кожна програма може запитувати доступ до різних системних ресурсів: місцезнаходження, камера, мікрофон, сповіщення, файли, контакти або критично важливі системні функціїБез цих дозволів багато програм не працювали б належним чином, але проблема виникає, коли програма запитує більше, ніж їй потрібно, або продовжує мати доступ, коли він вам більше не потрібен.

Microsoft впроваджує модель дозволів, дуже схожу на ту, що використовується в мобільних пристроях, на комп’ютерах: тепер Windows може явно запитувати вас, коли програма хоче отримати доступ до конфіденційних ресурсів або встановити додаткове програмне забезпеченняІдея полягає в тому, що ви маєте чітке розуміння того, що відбувається, і можете сказати «ні», коли щось не підходить.

Такий підхід впливає не лише на класичні програми, які ви встановлюєте на свій ПК, але й на хмарні інтеграції, програми, що використовують Microsoft Entra ID (раніше Azure AD) А тепер нові агенти штучного інтелекту взаємодіють з вашими даними та сервісами. Все це тепер ретельніше відстежується, реєструється та контролюється.

Як видалити старі драйвери
Пов'язана стаття:
Як змінити назву групи у Windows без втрати дозволів

Як переглядати та керувати дозволами програм у налаштуваннях Windows 11

Найпростіший спосіб для більшості користувачів переглянути дозволи – це скористатися програмою «Налаштування». Звідти ви можете контролювати, які програми мають доступ до вашої камери, мікрофона, місцезнаходження та інших ресурсів, не відкриваючи кожну програму окремо.

Доступ до панелі конфіденційності та безпеки

Щоб розпочати аудит дозволів із самого інтерфейсу Windows 11, виконайте такі загальні дії:

  1. Натисніть на Значок налаштувань (шестерня) у меню «Пуск»або натисніть комбінацію клавіш Windows + I.
  2. У лівому стовпці введіть розділ "Конфіденційність та безпека".
  3. Прокрутіть униз, поки не знайдете блок під назвою "Дозволи програми".

У цьому розділі ви побачите кілька категорій дозволів (Місцезнаходження, Камера, Мікрофон, Сповіщення тощо). Кожна категорія дозволяє вам вирішити, чи Windows дозволяє програмам використовувати цей ресурса також які саме програми можуть це зробити.

Розуміння того, чому ви не бачите всі програми з кожним дозволом

Що часто бентежить багатьох користувачів, так це те, що в межах категорії дозволів, Не всі встановлені програми відображаютьсяЦе не обов'язково означає, що щось не так.

Windows 11 показує лише кожен тип дозволів програми, які фактично запитували або можуть запитувати цей доступНаприклад, цілком нормально бачити більше програм у списку розташування, ніж у списку камер, або ж програма взагалі не відображається, оскільки вона взагалі не використовує цей ресурс.

Наприклад, у реальній команді досить часто можна зустріти щось подібне:

  • У розділі «Місцезнаходження» перелічено кілька програм, що використовують геолокацію (браузери, погодні програми, карти тощо).
  • У розділі «Камера» відображаються лише програми, які можуть знімати відео або зображення (Teams, Zoom, програми для відеодзвінків тощо).

Той факт, що програма не відображається в певному дозволі, зазвичай просто вказує на те, що не використовує цей тип доступуЯкщо ви вважаєте, що певний додаток має відображатися, але ви його не бачите, спочатку переконайтеся, що ви використовували його хоча б один раз у контексті, де має сенс запитувати дозволи (наприклад, розпочати відеодзвінок, щоб він запитував доступ до камери).

Увімкнення або вимкнення дозволів за типом ресурсу

У кожній категорії дозволів програм ви можете приймати два типи рішень: увімкнути або вимкнути ресурс глобально та контролювати, які саме програми його використовують. Шаблон дуже схожий майже в усіх розділах:

  1. Перейдіть до розділу «Конфіденційність і безпека» > «Дозволи програм» і виберіть, наприклад, "Камера".
  2. Угорі ви побачите головний перемикач, щоб дозволити програми отримують доступ до камери на цьому пристроїЯкщо ви вимкнете його, жодна програма не зможе його використовувати.
  3. Нижче наведено список програм з окремим перемикачем для кожної з них. Ви можете дозволити або заборонити доступ додатку окремо.

Ця ж закономірність повторюється в Що робити, якщо Windows 11 не розпізнає мікрофон«Місцезнаходження», «Контакти» та решта категорій. Цікаво те, що все, що ви тут змінюєте, оборотний у будь-який часТож ви можете тестувати без побоювань: якщо програма перестає працювати, бо ви видалили дозвіл, просто поверніть його.

Керування дозволами з розділу «Програми»

Інший поширений спосіб – це вхід через такий шлях: клацніть правою кнопкою миші на кнопці «Пуск» > Налаштування> ПрограмиЗвідти ви побачите список встановлених програм і зможете отримати доступ до певних опцій для кожної з них.

Слід уточнити, що в більшості випадків, Конфіденційні дозволи не керуються в розділі "Налаштування > Програми"а радше з розділу «Конфіденційність і безпека», як ми вже бачили. У розділі програм ви знайдете більш загальні налаштування програми (видалення, додаткові параметри тощо), не так доступ до камери, місцезнаходження тощо.

Тому, якщо ви шукаєте, де керувати місцезнаходженням, камерою чи мікрофоном для певної програми, вам зазвичай доведеться перейти до "Конфіденційність і безпека > Дозволи програм" а не до окремого списку програм у розділі «Програми».

Нові елементи керування дозволами у Windows 11: модель у «мобільному стилі»

Microsoft оголосила про значне посилення моделі безпеки Windows 11, що відповідає її ініціативі. Ініціатива «Безпечне майбутнє».Одним з ключових елементів цієї зміни є впровадження елементи керування дозволами дуже схожі на ті, що на мобільних пристроях.

Причина проста: було виявлено, що багато настільних програм Вони змінюють конфігурації, встановлюють небажане програмне забезпечення або змінюють критично важливі функції системи, не питаючи дозволу користувача.Щоб обмежити таку поведінку, Windows почне запитувати явну авторизацію в ситуаціях, коли раніше все відбувалося «непомітно».

Явні дозволи для конфіденційних дій

Завдяки цим новим елементам керування, коли програма намагається, наприклад, встановити іншу програму, отримати доступ до певних типів конфіденційних файлів або змінити важливі системні налаштуванняWindows відобразить сповіщення із запитом на вашу згоду. Ви вирішуєте, чи авторизувати її, чи відхилити, чи спочатку перевірити, що відбувається.

Крім того, це підкріплює ідею про те, що Ви можете скасувати дозвіл навіть після того, як ви його видали.Якщо програма поводиться дивно або ви більше їй не довіряєте, ви можете видалити її доступ у налаштуваннях, не видаляючи її.

Захист цілісності виконання

Ще однією особливістю нової моделі є те, що Windows активується за замовчуванням. захист цілісності виконанняНа практиці це означає, що буде дозволено запускати лише належним чином підписані програми, служби та драйвери, які відповідають певним вимогам безпеки.

У складних середовищах або обґрунтованих випадках адміністратори (а в деяких випадках і самі користувачі) зможуть за винятком конкретних застосувань цих захистівЦе корисно, коли вам потрібно запускати спеціалізовані інструменти, застарілі драйвери або внутрішнє програмне забезпечення компанії, яке ще не відповідає всім сучасним вимогам до підписів.

Поступове розгортання та суворіші вимоги до додатків і штучного інтелекту

Ці зміни будуть активовані поступово, за підтримки Microsoft коригування поведінки на основі відгуків розробників, компаній та кінцевих користувачівМета полягає в тому, щоб уникнути непотрібних блокувань, але водночас значно підвищити загальний рівень безпеки.

У рамках цієї ширшої стратегії впроваджуються інші відповідні заходи:

  • Підсилення Ідентифікатор входу Microsoft проти атак впровадження скриптів.
  • Вимкнення всіх елементів керування ActiveX у Microsoft 365 та Office 2024 для Windows.
  • Оновлення налаштувань безпеки Microsoft 365 за замовчуванням для Блокування доступу до файлів SharePoint, OneDrive та Office за допомогою застарілих протоколів вважається небезпечним.

Крім того, Microsoft попереджає, що програми, і особливо Агенти штучного інтелекту повинні будуть відповідати вищим стандартам прозоростіВони будуть зобов'язані надавати кращу інформацію про те, які дані вони використовують, які дозволи їм потрібні та як вони взаємодіють із системою, щоб користувач мав чіткіше уявлення та міг приймати обґрунтовані рішення.

Аудит та перевірка дозволів в організаційних програмах за допомогою Microsoft Enter

Дозволи Windows 11

Коли ми говоримо про корпоративне або організаційне середовище, дозволи більше не обмежуються камерою чи мікрофоном ПК. На перший план виходять інші фактори. Microsoft Entra ID, хмарна платформа для ідентифікації та доступу, яка централізує управління додатками та їх авторизаціями стосовно API та корпоративних даних.

У цьому контексті «аудит дозволів» означає перевірку того, які програми мають доступ до яких ресурсів через Дозволи API (делеговані або програми)хто надав ці дозволи та чи вони досі відповідають політиці компанії.

Що таке вхід Microsoft і які типи дозволів він обробляє?

Microsoft Entra дозволяє вашій організації реєструвати програми (внутрішні або сторонні) та призначати їм різні типи доступу:

  • Делеговані дозволиДодаток діє від імені користувача, використовуючи його особу та привілеї.
  • Дозволи програми (лише програми)Додаток працює самостійно, без інтерактивного користувача, і зазвичай має ширший доступ до даних і послуг.

Ці дозволи є критично важливими, оскільки вони контролюють такі речі, як читання електронних листів через Microsoft Graph, отримувати доступ до файлів OneDrive або SharePoint, переглядати дані користувачів або керувати іншими хмарними ресурсамиОсь чому важливо регулярно перевіряти, чи все, що було надано, все ще має сенс.

Перегляд журналів активності та аудитів дозволів для всіх програм

Microsoft Entra реєструє багато подій, пов’язаних із наданням та скасуванням дозволів. Для глобального перегляду Що відбувається з дозволами програм у вашому каталозі?Щоб це зробити, виконайте такі дії з центру адміністрування:

  1. Увійдіть у Вхід до центру адміністрування Microsoft з обліковим записом, який має принаймні одну з цих ролей: Читач звітів, Читач безпеки, Адміністратор безпеки або Глобальний читач.
  2. Перейдіть до Ідентифікатор входу > Бізнес-додатки.
  3. На лівій панелі, в розділі «Активність», перейдіть до розділу "Аудиторські записи".
  4. Використовуйте фільтри, щоб відображати лише події, що стосуються активність дозволів програм (надання та скасування дозволів API).
  5. У розділі «Керування поданням» на верхній панелі команд ви можете вибрати, які стовпці переглядати (включно з датою) щоб краще проаналізувати кожен запис.
Атрибути файлів Linux
Пов'язана стаття:
Як керувати атрибутами файлів у Linux з терміналу

Таким чином, ви можете виявити, наприклад, коли програмі було надано потужний дозвіл, хто його авторизував або чи нещодавно було скасовано будь-які важливі привілеї.

Дозволи API аудиту для певної програми-ресурсів

В інших випадках вам буде цікаво дізнатися більше про застосування конкретного ресурсу, як-от Microsoft Graph, щоб побачити, які інші програми мають на нього дозволи. Це особливо корисно для моніторингу доступу до конфіденційних даних.

Процес буде приблизно таким:

  1. Отримайте доступ до Центру адміністрування Microsoft. Увійдіть у систему з роллю, яка має принаймні права на читання звітів.
  2. Перейти до Ідентифікатор входу > Бізнес-додатки.
  3. Знайдіть потрібну вам програму ресурсів. Наприклад, якщо ви хочете знайти ресурси за останні 30 днів Які програми отримали дозвіл Mail.Read від Microsoft Graph?Знайдіть запис «Microsoft Graph».
  4. На лівій панелі, в розділі «Активність», поверніться до "Аудиторські записи".
  5. Фільтруйте журнали відповідно до полів, зазначених у документації аудиту, щоб вибрати лише події, пов’язані з дозволами API.
  6. Налаштуйте вигляд за допомогою функції «Керування виглядом», щоб додати такі стовпці, як побачення або актор та мати змогу побачити деталі про те, хто надав або скасував дозвіл.

За допомогою цієї інформації ви можете перевірити, чи відповідає поточний доступ внутрішнім політикам, чи є програми з більшими привілеями, ніж їм потрібно, або чи відбулися якісь ризиковані поступки, які вам слід дослідити.

Відповідні аудиторські події та обмеження

Журнали аудиту Entra відображають різні сценарії, пов’язані з наданням та скасуванням дозволів. Деякі з найважливіших подій, про які вам слід знати:

  • Надання доступу до програми лише для неїСлужба аудиту «Основний каталог» реєструє дію, подібну до «Додавання призначення ролі програми принципалу служби» в категорії «Керування програмами». Контекст – це користувач, який надає доступ.
  • Скасування ексклюзивного доступу до програмиПодія, така як «Видалити призначення ролі програми з принципала служби», також генерується в основному каталозі > Керування програмами.
  • Делегований доступЦе відображається як щось подібне до «Додати надання делегованих дозволів», що вказує на те, що програма тепер може діяти від імені користувача.
  • Згода користувача на застосування: з’являється подія «Згода програми», яка показує, що користувач погодився дозволити програмі використовувати певні дозволи.

Кожен із цих записів має свій власний Обмеження та технічні деталіАле разом вони дозволяють вам відтворити, хто надав доступ, до чого та коли. Це основа серйозного аудиту дозволів у корпоративному середовищі.

Керування дозволами на доступ до файлів і папок у Windows 11

Дозволи впливають не лише на програми абстрактно; вони також важливі для користувачів. Дозволи NTFS для файлів і папокТипова помилка у Windows 11 полягає в тому, що файл не вдається відкрити (наприклад, документ Word, отриманий через WhatsApp), оскільки дозволи папки неправильні або файл пошкоджений.

Перевірте, чи пов'язана проблема з дозволами чи пошкодженням

Якщо під час відкриття файлу з локального диска у Word відображається помилка, є дві основні можливості:

  • Що Недостатньо дозволів NTFS для папки або файлу для вашого поточного користувача.
  • Що файл є пошкоджено, наприклад, під час передачі через WhatsApp або іншими засобами.

Перш ніж звинувачувати програму, бажано перевірити дозволи, і якщо все гаразд, а вона все одно не відкривається, припустити, що файл, ймовірно, пошкоджений, і вам доведеться запросити його ще раз або звернутися до служби підтримки, яка його передала.

Як надати повні дозволи для папки всім користувачам

У деяких випадках, особливо в домашніх умовах, вас може зацікавити усі користувачі команди мають повний контроль над певною папкою Щоб уникнути проблем із доступом (наприклад, спільна папка зі спільними документами), основна процедура буде такою:

  1. Знайдіть папку, де знаходиться проблемний файл, клацніть на ній правою кнопкою миші та виберіть «Властивості».
  2. Перейдіть на вкладку "Безпека"Ви побачите список користувачів і груп, яким визначено дозволи.
  3. Клацніть на кнопку «Редагувати…» щоб змінити дозволи.
  4. Натисніть на «Додати…», а потім у розділі "Додатково".
  5. Внизу рамки напишіть всі як назву об'єкта для вибору, підтвердження та прийняття.
  6. Повернувшись у вікно дозволів, поставте прапорець, щоб надати дозволи «Усім». повний контроль над папкоюта застосуйте зміни.

Після цього будь-який локальний користувач має мати змогу відкрити файл без обмежень дозволів. Якщо Word все ще не може відкрити документ, найімовірніше, це тому, що він пошкоджений, і з боку Windows нічого не можна зробитиТому вам потрібно звернутися до служби підтримки WhatsApp або попросити їх повторно надіслати файл.

Запускати програми з підвищеними привілеями контрольованим чином

Ще один дуже делікатний тип «дозволу» – це запустити програму з правами адміністратораНадання програмі прав адміністратора рівносильне дозволу на внесення майже будь-яких змін до системи, тому нею потрібно керувати з надзвичайною обережністю.

У Windows 11 стандартний обліковий запис не повинен мати змогу запускати програми від імені адміністратора без проходження Контроль облікових записів користувачів (UAC)що вимагає імені користувача та пароля адміністратора. Однак існує розширений спосіб налаштування цього за допомогою Планувальника завдань.

Використання планувальника завдань для запуску програми з правами адміністратора

Для дуже специфічного сценарію, такого як дозвіл звичайному користувачеві запускати певну гру або програму з правами адміністратора без введення облікових даних щоразу, можна вдатися до Планувальник завдань:

  1. Знайдіть «Планувальник завдань» у меню «Пуск» Windows 11 та відкрийте його.
  2. У правій колонці натисніть на "Створити просте завдання...".
  3. Дайте завдання описова назва та, якщо хочете, описПродовжуйте, натискаючи кнопку «Далі».
  4. Як тригер виберіть «Коли ви входите в систему»Якщо ви хочете, щоб воно запускалося автоматично після входу в систему, натисніть кнопку «Далі».
  5. У розділі «Дія» виберіть «Запустити програму» і поверніться до пункту «Далі».
  6. Скористайтеся кнопкою перегляду, щоб знайти виконуваний файл (.exe) гри або програми, зазвичай у папці встановлення. Прийміть налаштування та натисніть «Далі».
  7. Перегляньте короткий зміст і натисніть на "Завершити".

Якщо ви налаштуєте завдання на запуск з опцією «Запускати з найвищими привілеями» (це можна налаштувати в розширених властивостях завдання), ця програма запускатиметься з правами адміністратора щоразу, коли завдання буде запущено.

Створіть ярлик, який запускає завдання

Якщо ви не хочете, щоб програма запускалася автоматично після входу в систему, ви можете створити ярлик, який просто запускає завдання, коли ви його відкриваєте:

  1. Клацніть правою кнопкою миші на робочому столі та виберіть "Новий > Ярлик".
  2. У полі «Введіть місцезнаходження елемента» введіть команду:
    schtasks /run /tn "NombreDeLaTarea"
    заміна «НазваЗавдання» для точної назви завдання які ви створили в Планувальнику завдань.
  3. Натисніть «Далі», потім клацніть на ярлик така ж назва, як і гра або програмаІ асистент закінчує.

З цього моменту, щоразу, коли користувач двічі клацає ярлик, завдання запускатиметься. запустить програму з правами адміністратора без повторного запиту на підтвердження особи.

Ризики збільшення кількості дозволів таким чином

Цей метод слід використовувати з особливою обережністю. Постійний запуск програми з підвищеними привілеями означає, що якщо ця програма має вразливості або її компрометовано, Зловмисник може скористатися цим, щоб отримати контроль над усією системою.

Утиліта Mac Disk
Пов'язана стаття:
Як відновити дозволи на Mac простим способом

Ось чому важливо використовувати його лише з програмним забезпеченням, якому ви повністю довіряєте, оновлювати його та періодично перевіряти, чи воно все ще необхідне. Пам’ятайте, що з точки зору безпеки, Чим менше програм запускається від імені адміністратора, тим краще..

Поєднуючи правильне використання розділу «Конфіденційність і безпека» в налаштуваннях, регулярний перегляд дозволів у Microsoft Enterprise, ретельне керування дозволами NTFS та дуже виміряне використання підвищених привілеїв виконання, ви матимете набагато вищий рівень контролю над своїми програмами у Windows 11, ніж зазвичай, та значно зменшите неприємні сюрпризи, пов’язані з несанкціонованим доступом або неочікуваною поведінкою. Поширте інформацію, щоб більше людей дізналися про цю тему.