Немного об UAC (Контроль Учетных Записей)

Все об администрировании рабочих станций Windows 95/98/NT/2000/XP/7/8. То, чего не найдешь в бескрайних просторах Интернета. Решения тех проблем, которые не решаются типовыми ответами, которые можно получить в техподдержке Майкрософта - а именно: переустановить продукт или купить какой-ть другой лицензионный диск.


Модератор: UncleFather

Аватара пользователя
UncleFather
Site Admin
Сообщения: 1503
Зарегистрирован: 17 авг 2004 16:20, Вт
Контактная информация:

Немного об UAC (Контроль Учетных Записей)

Сообщение UncleFather »

Для настройки службы контроля учетных записей существуют 10 параметров групповой политики. В приведенной ниже таблице перечислены значения по умолчанию для каждого из параметров политики, а в следующих разделах дано описание различных параметров политики контроля учетных записей пользователей с рекомендациями по применению. Эти параметры политики находятся в разделе «Параметры безопасности» -> «Локальные политики» -> «Параметры безопасности» оснастки «Локальная политика безопасности». Разделы реестра находятся в ветви HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.

Параметры групповой политики

Параметр групповой политики

Значение по умолчанию

Раздел реестра

Параметры реестра

Контроль учетных записей пользователей: режим одобрения администратором для встроенной учетной записи администратора

Отключен

FilterAdministratorToken

0 (по умолчанию)=отключено. 1=включено

Контроль учетных записей пользователей: разрешать UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол

Отключен

EnableUIADesktopToggle

0 (по умолчанию)=отключено. 1=включено

Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором

Запрос согласия для двоичных данных не из Windows

ConsentPromptBehaviorAdmin

0=повышение без запроса. 1=запрос учетных данных на безопасном рабочем столе. 2=запрос согласия на безопасном рабочем столе. 3=запрос учетных данных. 4=запрос согласия. 5 (по умолчанию)=запрос согласия для двоичных данных не из Windows

Контроль учетных записей пользователей: поведение запроса на повышение прав для обычных пользователей

Запрос учетных данных на безопасном рабочем столе

ConsentPromptBehaviorUser

0=автоматически отклонять запросы на повышение прав. 1=запрос учетных данных на безопасном рабочем столе. 3 (по умолчанию)=запрос учетных данных на безопасном рабочем столе

Контроль учетных записей пользователей: обнаружение установки приложений и запрос на повышение прав

Включен (по умолчанию для домашнего использования). Отключен (по умолчанию для организаций)

EnableInstallerDetection

1=включено (по умолчанию для домашнего использования). 0=отключено (по умолчанию для организаций)

Контроль учетных записей пользователей: повышение прав только для подписанных и проверенных исполняемых файлов

Отключен

ValidateAdminCodeSignatures

0 (по умолчанию)=отключено. 1=включено

Контроль учетных записей пользователей: повышать права для UIAccess-приложений только при установке в безопасных местах

Включен

EnableSecureUIAPaths

0=отключено. 1 (по умолчанию)=включено

Контроль учетных записей пользователей: все администраторы работают в режиме одобрения администратором

Включен

EnableLUA

0=отключено. 1 (по умолчанию)=включено

Контроль учетных записей пользователей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав

Включен

PromptOnSecureDesktop

0=отключено. 1 (по умолчанию)=включено

Контроль учетных записей пользователей: при сбоях записи в файл или реестр виртуализация в размещение пользователя

Включен

EnableVirtualization

0=отключено. 1 (по умолчанию)=включено


  1. Контроль учетных записей пользователей: режим одобрения администратором для встроенной учетной записи администратора

    Параметр политики Контроль учетных записей пользователей: режим одобрения администратором для встроенной учетной записи администратора определяет поведение режима одобрения администратором для встроенной учетной записи администратора.
    Возможны следующие значения:

    • Включено. Встроенная учетная запись администратора использует режим одобрения администратором. По умолчанию все операции, требующие повышения прав, должны запрашивать у пользователя одобрение операции.

    • Отключено. (По умолчанию.) Встроенная учетная запись администратора запускает все приложения с полными правами администратора.


  2. Контроль учетных записей пользователей: разрешать UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол

    Параметр политики Контроль учетных записей пользователей: разрешать UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол определяет, могут ли программы User Interface Accessibility (UIAccess или UIA) автоматически отключать безопасный рабочий стол для запросов на повышение прав, поданных обычному пользователю.

    Возможны следующие значения:

    • Включено. UIA-программы, в том числе удаленный помощник Windows, автоматически отключают безопасный рабочий стол для запросов на повышение прав. Если параметр политики Контроль учетных записей пользователей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав не будет отключен, запросы будут появляться на интерактивном рабочем столе вместо безопасного рабочего стола.

    • Отключено. (По умолчанию.) Безопасный рабочий стол может быть отключен только пользователем интерактивного рабочего стола или путем отключения параметра политики Контроль учетных записей пользователей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав.

    UIA-программы разработаны так, что должны иметь возможность взаимодействовать с Windows и приложениями от лица пользователя. Этот параметр политики позволяет UIA-программам обойти безопасный рабочий стол для повышения удобства в определенных случаях, однако разрешение запросам на повышение прав появляться на интерактивном рабочем столе вместо безопасного рабочего стола повышает угрозу безопасности.

    UIA-программы должны иметь цифровую подпись, потому что они должны иметь возможность отвечать на запросы, касающиеся безопасности, например запрос на повышение прав в службе контроля учетных записей пользователей. По умолчанию UIA-программы можно запускать только из следующих защищенных расположений:

    • …\Program Files (и вложенные папки)

    • …\Program Files (x86) (и вложенные папки, только в 64-разрядных версиях Windows)

    • …\Windows\System32

    Параметр политики Контроль учетных записей пользователей: повышать права для UIAccess-приложений только при установке в безопасных местах[/b][/i] отменяет требование запуска из защищенных расположений.

    Этот параметр политики применим к любым UIA-программам, но основное его применение — в определенных сценариях удаленной помощи, в том числе в программе «Удаленный помощник Windows» в Windows 7.

    Если пользователь запрашивает удаленную помощь от администратора и создан сеанс удаленного помощника, то все запросы на повышение прав появляются на безопасном рабочем столе интерактивного пользователя, а удаленный сеанс администратора приостанавливается. Чтобы избежать приостановки удаленного сеанса администратора во время запросов на повышение прав, пользователь может установить флажок Разрешать ИТ-специалисту отвечать на запросы службы контроля учетных записей при настройке сеанса удаленного помощника. Однако установка этого флажка требует, чтобы интерактивный пользователь отвечал на запросы на повышение прав на безопасном рабочем столе. Если интерактивный пользователь является обычным пользователем, у него нет необходимых учетных данных, чтобы разрешить повышение прав.

    Если включить этот параметр, то запросы на повышение прав будут автоматически передаваться на интерактивный, а не на безопасный рабочий стол, а также отображаться в представлении рабочего стола удаленного администратора во время сеанса удаленного помощника. В этом случае удаленный администратор может предоставить учетные данные, необходимые для повышения прав.

    Этот параметр политики не изменяет поведение запроса на повышение прав службы контроля учетных записей для администраторов.

    Если планируется включить этот параметр, следует также проанализировать действие параметра политики Контроль учетных записей пользователей: поведение запроса на повышение прав для обычных пользователей. Если для него задано значение Автоматически отклонять запросы на повышение прав, то запросы на повышение прав не будут переданы пользователю.


  3. Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором

    Параметр политики Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором определяет поведение запроса на повышение прав для администраторов.

    Возможны следующие значения:

    • Повышение без запроса. Привилегированным учетным записям разрешено выполнение операций, требующих повышения прав, без подтверждения согласия или ввода учетных данных.
      Примечание: Этот вариант должен использоваться только в средах с максимальными ограничениями.

    • Запрос учетных данных на безопасном рабочем столе. Для любой операции, требующей повышения прав, на безопасном рабочем столе выводится приглашение ввести имя и пароль привилегированного пользователя. Если вводятся правильные учетные данные, операция будет продолжена с максимальными доступными привилегиями пользователя.

    • Запрос согласия на безопасном рабочем столе. Для любой операции, требующей повышения прав, на безопасном рабочем столе выводится приглашение выбрать: Разрешить или Запретить. Если пользователь выбирает Разрешить, операция будет продолжена с максимальными доступными привилегиями пользователя.

    • Запрос учетных данных. Для любой операции, требующей повышения прав, выводится приглашение ввести имя пользователя и пароль учетной записи администратора. Если пользователь вводит правильные учетные данные, операция будет продолжена с соответствующими привилегиями.

    • Запрос согласия. Для любой операции, требующей повышения прав, пользователю предлагается выбрать: Разрешить или Запретить. Если пользователь выбирает Разрешить, операция будет продолжена с максимальными доступными привилегиями пользователя.

    • Запрос согласия для двоичных данных не из Windows. (По умолчанию.) Когда операция для приложения стороннего (не Майкрософт) производителя требует повышения прав, на безопасном рабочем столе выводится приглашение выбрать: Разрешить или Запретить. Если пользователь выбирает Разрешить, операция будет продолжена с максимальными доступными привилегиями пользователя.


  4. Контроль учетных записей пользователей: поведение запроса на повышение прав для обычных пользователей

    Параметр политики Контроль учетных записей пользователей: поведение запроса на повышение прав для обычных пользователей определяет поведение запроса на повышение прав для обычных пользователей.

    Возможны следующие значения:

    • Автоматически отклонять запросы на повышение прав. Для любой операции, требующей повышения прав, отображается настраиваемое сообщение об ошибке отказа в доступе. Этот вариант применяется в организациях, где пользователи работают в режиме обычного пользователя, для уменьшения числа обращений за поддержкой.

    • Запрос учетных данных на безопасном рабочем столе. (По умолчанию.) Для любой операции, требующей повышения прав, на безопасном рабочем столе выводится приглашение ввести другие имя и пароль пользователя. Если пользователь вводит правильные учетные данные, операция будет продолжена с соответствующими привилегиями.

    • Запрос учетных данных. Для любой операции, требующей повышения прав, выводится приглашение ввести имя пользователя и пароль учетной записи администратора. Если пользователь вводит правильные учетные данные, операция будет продолжена с соответствующими привилегиями.


  5. Контроль учетных записей пользователей: обнаружение установки приложений и запрос на повышение прав

    Параметр политики Контроль учетных записей пользователей: обнаружение установки приложений и запрос на повышение прав определяет поведение функции обнаружения установки приложений на компьютер.

    Возможны следующие значения:

    • Включено. (По умолчанию для дома.) Когда обнаруживается установочный пакет приложения, для которого требуется повышение прав, пользователю предлагается ввести имя пользователя и пароль учетной записи администратора. Если пользователь вводит правильные учетные данные, операция будет продолжена с соответствующими привилегиями.

    • Отключено. (По умолчанию для организаций.) Установочные пакеты приложений не обнаруживаются, и запрос на повышение прав не выдается. В организациях, где пользователи работают в режиме обычного пользователя и используются технологии делегированной установки, такие как GPSI (Group Policy Software Installation) или SMS (Systems Management Server), этот параметр политики следует отключить. В этом случае обнаружение установщика не требуется.


  6. Контроль учетных записей пользователей: повышение прав только для подписанных и проверенных исполняемых файлов

    Параметр политики Контроль учетных записей пользователей: повышение прав только для подписанных и проверенных исполняемых файлов задает проверку подписей PKI (инфраструктуры открытых ключей) для любых интерактивных приложений, требующих повышения прав. Администраторы организации могут управлять списком разрешенных приложений, размещая сертификаты в хранилище сертификатов доверенных издателей на локальных компьютерах.

    Возможны следующие значения:

    • Включено. Принудительная проверка пути сертификации PKI перед разрешением выполнения данного исполняемого файла.

    • Отключено. (По умолчанию.) Проверка пути сертификации PKI перед разрешением выполнения данного исполняемого файла не производится.


  7. Контроль учетных записей пользователей: повышать права для UIAccess-приложений только при установке в безопасных местах

    Параметр политики Контроль учетных записей пользователей: повышать права для UIAccess-приложений только при установке в безопасных местах определяет, должны ли приложения, запрашивающие выполнение на уровне целостности UIAccess, находиться в безопасном расположении файловой системы. Безопасными считаются только следующие расположения:

    • …\Program Files (и вложенные папки)

    • …\Windows\system32

    • …\Program Files (x86) (и вложенные папки, только в 64-разрядных версиях Windows)

    Примечание: Windows принудительно проводит обязательную проверку подписей PKI для любого интерактивного приложения, запрашивающего выполнение на уровне целостности UIAccess, вне зависимости от состояния данного параметра безопасности.

    Возможны следующие значения:

    • Включено. (По умолчанию.) Приложение будет запускаться с уровнем целостности UIAccess только в том случае, если оно находится в безопасном расположении файловой системы.

    • Отключено. Приложение будет запускаться с уровнем целостности UIAccess, даже если оно не находится в безопасном расположении файловой системы.


  8. Контроль учетных записей пользователей: все администраторы работают в режиме одобрения администратором

    Параметр политики Контроль учетных записей пользователей: все администраторы работают в режиме одобрения администратором определяет поведение всех параметров политики службы контроля учетных записей пользователей для данного компьютера. Если вы измените значение этого параметра политики, будет необходимо перезагрузить компьютер.

    Возможны следующие значения:

    • Включено. (По умолчанию.) Режим одобрения администратором включен. Чтобы встроенная учетная запись администратора и другие пользователи, являющиеся членами группы Администраторы, могли работать в режиме одобрения администратором, необходимо включить эту политику и правильно настроить соответствующие параметры политики службы контроля учетных записей пользователей.

    • Отключено. Режим одобрения администратором и связанные с ним параметры политики контроля учетных записей отключены.

    Примечание: Если этот параметр политики будет отключен, центр обеспечения безопасности выдаст уведомление о том, что общий уровень безопасности операционной системы понизился.


  9. Контроль учетных записей пользователей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав

    Параметр политики Контроль учетных записей пользователей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав определяет, куда должны выводиться запросы на повышение прав — на интерактивный рабочий стол пользователя или на безопасный рабочий стол.

    Возможны следующие значения:

    • Включено. (По умолчанию.) Все запросы на повышение прав выводятся на безопасный рабочий стол независимо от параметров политики, определяющих поведение приглашения, для администраторов и обычных пользователей.

    • Отключено. Все запросы на повышение прав выводятся на интерактивный рабочий стол пользователя. Используются параметры политики запросов, установленные для администраторов и обычных пользователей.

    Если этот параметр политики включен, действие параметра Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором отменяется. В приведенной ниже таблице описано поведение запросов на повышение прав для каждого параметра политики для администратора для случаев, когда параметр политики Контроль учетных записей пользователей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав включен или отключен.

    Параметр политики для администратора

    Включен

    Отключен

    Запрос учетных данных на безопасном рабочем столе

    Запрос выводится на безопасный рабочий стол.

    Запрос выводится на безопасный рабочий стол.

    Запрос согласия на безопасном рабочем столе

    Запрос выводится на безопасный рабочий стол.

    Запрос выводится на безопасный рабочий стол.*

    Запрос учетных данных

    Запрос выводится на безопасный рабочий стол.

    Запрос выводится на интерактивный рабочий стол пользователя.

    Запрос согласия

    Запрос выводится на безопасный рабочий стол.

    Запрос выводится на интерактивный рабочий стол пользователя.

    Запрос согласия для двоичных данных не из Windows

    Запрос выводится на безопасный рабочий стол.

    Запрос выводится на интерактивный рабочий стол пользователя.

    Если этот параметр политики включен, действие параметра Контроль учетных записей пользователей: поведение запроса на повышение прав для обычных пользователей отменяется. В приведенной ниже таблице описано поведение запросов на повышение прав для каждого параметра политики для обычного пользователя для случаев, когда параметр политики Контроль учетных записей пользователей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав включен или отключен.

    Параметр политики для обычного пользователя

    Включен

    Отключен

    Автоматически отклонять запросы на повышение прав

    Нет запроса. Запрос автоматически отклоняется.

    Нет запроса. Запрос автоматически отклоняется.

    Запрос учетных данных на безопасном рабочем столе

    Запрос выводится на безопасный рабочий стол.

    Запрос выводится на безопасный рабочий стол.

    Запрос учетных данных

    Запрос выводится на безопасный рабочий стол.

    Запрос выводится на интерактивный рабочий стол пользователя.


  10. Контроль учетных записей пользователей: при сбоях записи в файл или реестр виртуализация в размещение пользователя

    Параметр политики Контроль учетных записей пользователей: при сбоях записи в файл или реестр виртуализация в размещение пользователя определяет перенаправление операций записи, выполняемых приложениями, в случае сбоя в определенные расположения в реестре и файловой системе. Этот параметр политики позволяет уменьшить опасность для приложений, которые выполняются от имени администратора и во время выполнения записывают данные в папку %ProgramFiles%, %Windir%, %Windir%\system32 или HKLM\Software.

    Возможны следующие значения:

    • Включено. (По умолчанию.) Операции записи, выполняемые приложениями, при сбое перенаправляются во время выполнения в определенные пользователем расположения в файловой системе и реестре.

    • Отключено. Выполнение приложений, записывающих данные в безопасные расположения, завершается с ошибкой.

Дополнительные материалы по теме:


Alexander A. Manaeff©

Понравилась статья? Будем крайне признательны за репосты в соцсетях! Материально поддержать проект можно здесь

Мои странички:
ВКонтакте
Одноклассники
Youtube
Facebook
Instagram

Изображение
Изображение
Изображение
Изображение