Ползунок User Account Control и настройки групповых политик | Windows для системных администраторов

Ползунок User Account Control и настройки групповых политик

Microsoft в Windows Vista внедрила новый механизм, обеспечивающий дополнительный уровень защиты системы от несанкционированных изменений  под названием UAC (User Account Control или контроль учетный записей). В Windows 7 (и выше) UAC обзавелся ползунком настройки (вызывается через панель управления или файлом UserAccountControlSettings.exe), с помощью которого можно выбрать один из четырех уровней защиты UAC.

Доступны 4 предопределенных уровня защиты User Account Control, задаваемых ползунком:

  • Уровень 4 — Always notify —  Всегда уведомлять (максимальный уровень защиты UAC)
  • Уровень 3 — Notify only when programs try to make changes to my computer (default) – Уведомить только когда программа пытается внести изменения в мой компьютер (стандартный уровень защиты)
  • Уровень 2 — Notify only when programs try to make changes to my computer (do not dim my desktop) – то же что и предыдущий уровень, но без переключения на Secure Desktop с блокировкой рабочего стола
  • Уровень 1 — Never notify – Никогда не уведомлять (UAC отключен)

Ползунок настроек UAC По умолчанию в Windows используется 3 уровень защиты UAC.

Управление настройками UAC возможно как с помощью ползунка, так и с помощью групповых политик. Но в редакторе групповых политик отсутствует единая политика, позволяющая выбрать один из 4 уровней защиты (соответствующие положению ползунка UAC). Вместо этого предлагается регулировать настройки UAC 10 различными политиками. Эти политики находятся в разделе:

Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options (Конфигурация компьютера –> Конфигурация Windows –> Параметры безопасности –> Локальные политики). Имена политик, относящихся к UAC начинаются с User Account Control (Контроль учетных записей).

Групповые политики натсройки User Account ControlВ следующей таблице представлен список политик UAC,  и соответствующие им ключи реестра. Параметры настроек UAC хранятся в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Имя политики   Ключ реестра, настраиваемый политикой
User Account Control: Admin Approval Mode for the Built-in Administrator account Контроль учетных записей: использование режима одобрения администратором для встроенной учетной записи администратора FilterAdministratorToken
User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop Контроль учетных записей: разрешать UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол EnableUIADesktopToggle
User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode Контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором ConsentPromptBehaviorAdmin
User Account Control: Behavior of the elevation prompt for standard users Контроль учетных записей: поведение запроса на повышение прав для обычных пользователей ConsentPromptBehaviorUser
User Account Control: Detect application installations and prompt for elevation Контроль учетных записей: обнаружение установки приложений и запрос на повышение прав EnableInstallerDetection
User Account Control: Only elevate executables that are signed and validated Контроль учетных записей: повышение прав только для подписанных и проверенных исполняемых файлов ValidateAdminCodeSignatures
User Account Control: Only elevate UIAccess applications that are installed in secure locations Контроль учетных записей: повышать права только для UIAccess-приложений, установленных в безопасном местоположении EnableSecureUIAPaths
User Account Control: Run all administrators in Admin Approval Mode Контроль учетных записей: включение режима одобрения администратором EnableLUA
User Account Control: Switch to the secure desktop when prompting for elevation Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав PromptOnSecureDesktop
User Account Control: Virtualize file and registry write failures to per-user locations Контроль учетных записей: при сбоях записи в файл или реестр виртуализация в размещение пользователя EnableVirtualization

Настройка UAC через реестрВ том случае, если требуется установить параметры UAC через GPO, можно воспользоваться соответствиями между настройками и четырьмя уровням UAC описанными ниже:

UAC Уровень 1

Admin Approval Mode for the Built-in Administrator account = Disabled
Allow UIAccess applications to prompt for elevation without using the secure desktop = Disabled
Behavior of the elevation prompt for administrators in Admin Approval Mode = Elevate without prompting
Behavior of the elevation prompt for standard users = Prompt for credentials
Detect application installations and prompt for elevation = Enabled
Only elevate executables that are signed and validated = Disabled
Only elevate UIAccess applications that are installed in secure locations = Enabled
Run all administrators in Admin Approval Mode = Disabled
Switch to the secure desktop when prompting for elevation = Disabled
Virtualize file and registry write failures to per-user locations = Enabled

UAC Уровень 2Admin Approval Mode for the Built-in Administrator account = Disabled
Allow UIAccess applications to prompt for elevation without using the secure desktop = Disabled
Behavior of the elevation prompt for administrators in Admin Approval Mode = Prompt for consent for non-Windows binaries
Behavior of the elevation prompt for standard users = Prompt for credentials
Detect application installations and prompt for elevation = Enabled
Only elevate executables that are signed and validated = Disabled
Only elevate UIAccess applications that are installed in secure locations = Enabled
Run all administrators in Admin Approval Mode = Enabled
Switch to the secure desktop when prompting for elevation = Disabled
Virtualize file and registry write failures to per-user locations = Enabled

UAC Уровень 3 (по умолчанию) В скобках указаны стандартные значения ключей реестра, соответствующие политикам.Admin Approval Mode for the Built-in Administrator account = Disabled (значение ключа реестра FilterAdministratorToken – 0)
Allow UIAccess applications to prompt for elevation without using the secure desktop = Disabled (значение ключа реестра EnableUIADesktopToggle – 0)
Behavior of the elevation prompt for administrators in Admin Approval Mode = Prompt for consent for non-Windows binaries (значение ключа реестра ConsentPromptBehaviorAdmin – 5)
Behavior of the elevation prompt for standard users = Prompt for credentials (значение ключа реестра ConsentPromptBehaviorUser– 3)
Detect application installations and prompt for elevation = Enabled (значение ключа реестра EnableInstallerDetection– 0 для компьютеров в домене, 1 – для рабочих групп)
Only elevate executables that are signed and validated = Disabled (значение ключа реестра ValidateAdminCodeSignatures– 0)
Only elevate UIAccess applications that are installed in secure locations = Enabled (значение ключа реестра EnableSecureUIAPaths– 1)
Run all administrators in Admin Approval Mode = Enabled (значение ключа реестра EnableLUA– 1)
Switch to the secure desktop when prompting for elevation = Enabled (значение ключа реестра PromptOnSecureDesktop– 1)
Virtualize file and registry write failures to per-user locations = Enabled (значение ключа реестра EnableVirtualization– 1)

UAC Уровень 4Admin Approval Mode for the Built-in Administrator account = Disabled
Allow UIAccess applications to prompt for elevation without using the secure desktop = Disabled
Behavior of the elevation prompt for administrators in Admin Approval Mode = Prompt for consent on the secure desktop
Behavior of the elevation prompt for standard users = Prompt for credentials
Detect application installations and prompt for elevation = Enabled
Only elevate executables that are signed and validated = Disabled
Only elevate UIAccess applications that are installed in secure locations = Enabled
Run all administrators in Admin Approval Mode = Enabled
Switch to the secure desktop when prompting for elevation = Enabled
Virtualize file and registry write failures to per-user locations = Enabled

Если нужно разрешить в дальнейшем пользователям самим регулировать настройки UAC, стандартные настройки на компьютерах домена можно задать установкой ключей реестра через GPP с однократным применением (Apply once and do not reapply).

Еще записи по теме: Windows 10, Windows 7, Windows 8
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.25MB/0.00122 sec