Ползунок User Account Control и настройки групповых политик

Microsoft в Windows Vista внедрила новый механизм, обеспечивающий дополнительный уровень защиты системы от несанкционированных изменений  под названием UAC (User Account Control или контроль учетный записей). В Windows 7 (и выше) UAC обзавелся ползунком настройки (вызывается через панель управления или файлом UserAccountControlSettings.exe), с помощью которого можно выбрать один из четырех уровней защиты UAC.

Доступны 4 предопределенных уровня защиты User Account Control, задаваемых ползунком:

  • Уровень 4 — Always notify —  Всегда уведомлять (максимальный уровень защиты UAC)
  • Уровень 3 — Notify only when programs try to make changes to my computer (default) – Уведомить только когда программа пытается внести изменения в мой компьютер (стандартный уровень защиты)
  • Уровень 2 — Notify only when programs try to make changes to my computer (do not dim my desktop) – то же что и предыдущий уровень, но без переключения на Secure Desktop с блокировкой рабочего стола
  • Уровень 1 — Never notify – Никогда не уведомлять (UAC отключен)

Ползунок настроек UAC По умолчанию в Windows используется 3 уровень защиты UAC.

Управление настройками UAC возможно как с помощью ползунка, так и с помощью групповых политик. Но в редакторе групповых политик отсутствует единая политика, позволяющая выбрать один из 4 уровней защиты (соответствующие положению ползунка UAC). Вместо этого предлагается регулировать настройки UAC 10 различными политиками. Эти политики находятся в разделе:

Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options (Конфигурация компьютера –> Конфигурация Windows –> Параметры безопасности –> Локальные политики). Имена политик, относящихся к UAC начинаются с User Account Control (Контроль учетных записей).

Групповые политики натсройки User Account ControlВ следующей таблице представлен список политик UAC,  и соответствующие им ключи реестра. Параметры настроек UAC хранятся в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Имя политики Ключ реестра, настраиваемый политикой
User Account Control: Admin Approval Mode for the Built-in Administrator accountКонтроль учетных записей: использование режима одобрения администратором для встроенной учетной записи администратораFilterAdministratorToken
User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktopКонтроль учетных записей: разрешать UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий столEnableUIADesktopToggle
User Account Control: Behavior of the elevation prompt for administrators in Admin Approval ModeКонтроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администраторомConsentPromptBehaviorAdmin
User Account Control: Behavior of the elevation prompt for standard usersКонтроль учетных записей: поведение запроса на повышение прав для обычных пользователейConsentPromptBehaviorUser
User Account Control: Detect application installations and prompt for elevationКонтроль учетных записей: обнаружение установки приложений и запрос на повышение правEnableInstallerDetection
User Account Control: Only elevate executables that are signed and validatedКонтроль учетных записей: повышение прав только для подписанных и проверенных исполняемых файловValidateAdminCodeSignatures
User Account Control: Only elevate UIAccess applications that are installed in secure locationsКонтроль учетных записей: повышать права только для UIAccess-приложений, установленных в безопасном местоположенииEnableSecureUIAPaths
User Account Control: Run all administrators in Admin Approval ModeКонтроль учетных записей: включение режима одобрения администраторомEnableLUA
User Account Control: Switch to the secure desktop when prompting for elevationКонтроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение правPromptOnSecureDesktop
User Account Control: Virtualize file and registry write failures to per-user locationsКонтроль учетных записей: при сбоях записи в файл или реестр виртуализация в размещение пользователяEnableVirtualization

Настройка UAC через реестрВ том случае, если требуется установить параметры UAC через GPO, можно воспользоваться соответствиями между настройками и четырьмя уровням UAC описанными ниже:

UAC Уровень 1

Admin Approval Mode for the Built-in Administrator account = Disabled
Allow UIAccess applications to prompt for elevation without using the secure desktop = Disabled
Behavior of the elevation prompt for administrators in Admin Approval Mode = Elevate without prompting
Behavior of the elevation prompt for standard users = Prompt for credentials
Detect application installations and prompt for elevation = Enabled
Only elevate executables that are signed and validated = Disabled
Only elevate UIAccess applications that are installed in secure locations = Enabled
Run all administrators in Admin Approval Mode = Disabled
Switch to the secure desktop when prompting for elevation = Disabled
Virtualize file and registry write failures to per-user locations = Enabled

UAC Уровень 2Admin Approval Mode for the Built-in Administrator account = Disabled
Allow UIAccess applications to prompt for elevation without using the secure desktop = Disabled
Behavior of the elevation prompt for administrators in Admin Approval Mode = Prompt for consent for non-Windows binaries
Behavior of the elevation prompt for standard users = Prompt for credentials
Detect application installations and prompt for elevation = Enabled
Only elevate executables that are signed and validated = Disabled
Only elevate UIAccess applications that are installed in secure locations = Enabled
Run all administrators in Admin Approval Mode = Enabled
Switch to the secure desktop when prompting for elevation = Disabled
Virtualize file and registry write failures to per-user locations = Enabled

UAC Уровень 3 (по умолчанию) В скобках указаны стандартные значения ключей реестра, соответствующие политикам.Admin Approval Mode for the Built-in Administrator account = Disabled (значение ключа реестра FilterAdministratorToken – 0)
Allow UIAccess applications to prompt for elevation without using the secure desktop = Disabled (значение ключа реестра EnableUIADesktopToggle – 0)
Behavior of the elevation prompt for administrators in Admin Approval Mode = Prompt for consent for non-Windows binaries (значение ключа реестра ConsentPromptBehaviorAdmin – 5)
Behavior of the elevation prompt for standard users = Prompt for credentials (значение ключа реестра ConsentPromptBehaviorUser– 3)
Detect application installations and prompt for elevation = Enabled (значение ключа реестра EnableInstallerDetection– 0 для компьютеров в домене, 1 – для рабочих групп)
Only elevate executables that are signed and validated = Disabled (значение ключа реестра ValidateAdminCodeSignatures– 0)
Only elevate UIAccess applications that are installed in secure locations = Enabled (значение ключа реестра EnableSecureUIAPaths– 1)
Run all administrators in Admin Approval Mode = Enabled (значение ключа реестра EnableLUA– 1)
Switch to the secure desktop when prompting for elevation = Enabled (значение ключа реестра PromptOnSecureDesktop– 1)
Virtualize file and registry write failures to per-user locations = Enabled (значение ключа реестра EnableVirtualization– 1)

UAC Уровень 4Admin Approval Mode for the Built-in Administrator account = Disabled
Allow UIAccess applications to prompt for elevation without using the secure desktop = Disabled
Behavior of the elevation prompt for administrators in Admin Approval Mode = Prompt for consent on the secure desktop
Behavior of the elevation prompt for standard users = Prompt for credentials
Detect application installations and prompt for elevation = Enabled
Only elevate executables that are signed and validated = Disabled
Only elevate UIAccess applications that are installed in secure locations = Enabled
Run all administrators in Admin Approval Mode = Enabled
Switch to the secure desktop when prompting for elevation = Enabled
Virtualize file and registry write failures to per-user locations = Enabled

Если нужно разрешить в дальнейшем пользователям самим регулировать настройки UAC, стандартные настройки на компьютерах домена можно задать установкой ключей реестра через GPP с однократным применением (Apply once and do not reapply).


Предыдущая статья Следующая статья

Комментариев: 2 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)