Funkcijas un kā konfigurēt GPO UAC operētājsistēmā Windows 10

Satura rādītājs

Windows operētājsistēmas ietver virkni praktisku iespēju, kas palīdz mums uzlabot tās un tās lietojumprogrammu drošību.

Viens no šiem drošības pasākumiem ir plaši pazīstamais UAC (User Account Control), jo tie ir izstrādāti, lai novērstu vīrusu vai ļaunprātīgas programmatūras iekļūšanu sistēmā, kas ietekmē tās darbību un darbību, un šodien Solvetic veiks pilnīgu analīzi par to, kā UAC darbojas Windows 10 un kā mēs to varam konfigurēt, lai gūtu maksimālu labumu.

Kas ir UACLietotāja konta kontrole jeb UAC ir Windows 10 funkcionalitāte, kas palīdz mums novērst noteikta veida ļaunprātīgas programmatūras instalēšanu datorā, ietekmējot tā darbību un procesu, kā arī palīdz organizācijām ieviest darbvirsmu. administrācijas un vadības uzlabojumi.

Pateicoties UAC, lietojumprogrammas un uzdevumi vienmēr tiks izpildīti drošā vidē, izmantojot administratora kontu.

Izmantojot UAC, būs iespējams bloķēt neatļautu lietojumprogrammu automātisku instalēšanu un izvairīties no nejaušām izmaiņām sistēmas konfigurācijā, jo visi draudi, kas ļaunprātīgai programmatūrai ir kodā, var rasties, lai iznīcinātu, nozagtu vai mainītu sistēmas darbību.

Ieviešot UAC, mēs varam ļaut lietotājiem pieteikties savos datoros, izmantojot standarta lietotāja kontu, atvieglojot tiem uzdevumu veikšanu ar piekļuves tiesībām, kas saistītas ar standarta kontu.

Kā darbojas UACLietojot UAC operētājsistēmā Windows 10, katrai lietojumprogrammai, kurai jāizmanto administratora piekļuves pilnvara, ir jāpieprasa jūsu apstiprinājums, vai instalēšana būs neiespējama.

Windows 10 aizsargā sistēmas procesus, atzīmējot to integritātes līmeņus. Integritātes līmeņi ir uzticamības pasākumi, kas tiek īstenoti, lai optimizētu drošību, instalējot noteiktu programmu.

Lietojumprogramma ar augstu integritātes pakāpi ir tā, kas veic uzdevumus, kas ietver sistēmas datu modificēšanu, piemēram, diska nodalījuma lietojumprogramma, RAM atmiņas pārvaldības lietojumprogrammas utt., Savukārt lietojumprogramma ar zemu integritāti ir tāda, kas veic uzdevumus, kas dažos gadījumos punkts var ietekmēt operētājsistēmu, piemēram, tīmekļa pārlūkprogrammu.

Lietojumprogrammas, kas klasificētas ar zemāku integritātes līmeni, nevar mainīt datus lietojumprogrammās ar augstāku integritātes līmeni. Kad standarta lietotājs mēģina palaist lietojumprogrammu, kurai nepieciešams administratora piekļuves pilnvara, UAC pieprasa lietotājam sniegt derīgus administratora akreditācijas datus, lai tas varētu veikt uzdevumu, tāpēc, palaižot lietojumprogrammu, mums ir jāapstiprina attiecīgā atļauja.

Pieteikšanās process UACKad UAC tiek ieviests operētājsistēmā Windows 10, pēc noklusējuma visiem standarta grupas lietotājiem un administratoriem būs piekļuve resursiem un iespēja palaist lietojumprogrammas standarta lietotāju drošības kontekstā, kas ir ierobežots.

Tagad, kad lietotājs piesakās datorā, sistēma automātiski izveido piekļuves pilnvaru šim konkrētajam lietotājam, šis piekļuves marķieris ietver informāciju par lietotājam piešķirto piekļuves līmeni, tostarp īpašus drošības identifikatorus (SID) un noteiktās Windows privilēģijas katram lietotāja līmenim un attiecīgā atļauja tiks piešķirta vai nē.

Turpretī, administratoram piesakoties sistēmā Windows 10, šim lietotājam tiks izveidoti divi atsevišķi piekļuves marķieri: standarta lietotāja piekļuves pilnvara un administratora piekļuves pilnvara.

Izmantojot standarta lietotāja piekļuves pilnvaru, būs tāda pati lietotāja informācija kā administratora piekļuves pilnā, taču Windows administratora privilēģijas un saistītie SID tiks noņemti.

Standarta lietotāja piekļuves pilnvaru izmanto, lai izpildītu lietojumprogrammas, kas neveic administratīvus uzdevumus (standarta lietotņu lietojumprogrammas), un līdz ar to visas lietojumprogrammas, kas tiek izpildītas kā standarta lietotājs, ja vien lietotājs nesniedz piekrišanu vai akreditācijas datus, lai apstiprinātu lietojumprogrammu, kas var izveidot pilnas administratīvās piekļuves pilnvaras izmantošana.

Šādā veidā lietotājs, kas pieder grupai Administratori, varēs pieteikties, sērfot tīmeklī un lasīt e -pastus, izmantojot standarta lietotāja piekļuves pilnvaru un kad administratoram jāveic uzdevums, kuram nepieciešama pilnvara. Administratora piekļuve, Windows 10 automātiski lūgs lietotājam apstiprinājumu, tāpēc, mēģinot palaist lietojumprogrammu, mēs redzēsim apstiprinājuma ziņojumu vai nē šai lietojumprogrammai.

UAC lietotāju pieredzeKad tiek ieviesta UAC, standarta lietotāja pieredze atšķiras no administratora pieredzes administratora apstiprināšanas režīmā, kas var ietekmēt dažādu lietojumprogrammu izpildi.

Piekļuve sistēmai kā standarta lietotājam palīdzēs palielināt pārvaldītas vides drošību, jo mēs zināsim, ka šādam lietotājam nebūs tiesību instalēt neatļautu programmatūru.

Ar Windows 10 iebūvēto UAC pacēluma komponentu standarta lietotāji varēs viegli veikt administratīvo uzdevumu, ievadot derīgus vietējā administratora konta akreditācijas datus. Iebūvētais UAC paaugstinājuma komponents standarta lietotājiem ir akreditācijas datu indikators, kas palīdz pārvaldīt atļaujas, palaižot lietojumprogrammas.

Ja UAC ir iespējota operētājsistēmā Windows 10, ikreiz, kad mēs mēģinām palaist lietojumprogrammu, pirms programmas vai uzdevuma uzsākšanas, kam nepieciešama pilna administratora piekļuves pilnvara, tiks pieprasīta autorizācija vai derīga vietējā administratora konta akreditācijas dati.

Šis paziņojums mums apliecina, ka ļaunprātīgu programmatūru nevar instalēt klusi.

Paziņojumi par UAC augstumuPaaugstinājuma norādījumi UAC ir krāsu kodēti, lai tie būtu piemēroti lietojumprogrammai, ļaujot mums nekavējoties noteikt lietojumprogrammas drošības risku.

Kad lietojumprogramma mēģina darboties ar pilnu administratora piekļuves pilnvaru, sistēma Windows 10 vispirms analizē izpildāmo failu, lai noteiktu tā izdevēju, un tādējādi, ja tas ir derīgs, autorizē attiecīgo piekļuvi tam. Saskaņā ar izdevēju Windows 10 izmanto trīs kategorijas:

  • Windows 10
  • Verificēts izdevējs (parakstīts)
  • Izdevējs nav verificēts (neparakstīts)
Paaugstinājuma pieprasījuma krāsu kodēšana sistēmā Windows 10 ir šāda:
  • Sarkans fons ar sarkanu vairoga ikonu: norāda, ka šī lietojumprogramma ir bloķēta ar grupas politiku vai ir no bloķēta izdevēja.
  • Zils fons ar zilu un zelta vairoga ikonu: norāda, ka lietojumprogramma ir Windows 10 administratīvā lietojumprogramma, piemēram, vadības paneļa vienums.
  • Zils fons ar zilu vairoga ikonu - attiecas uz to, ka šī lietojumprogramma ir parakstīta, izmantojot autentifikācijas kodu un ir uzticama vietējā datorā.
  • Dzeltens fons ar dzeltenu vairoga ikonu: šī lietotne nav parakstīta vai parakstīta, bet vietējais dators tam vēl neuzticas.

Vairoga ikonaDažiem Windows 10 vadības paneļa elementiem, piemēram, datuma un laika rekvizītiem, ir administratora un standarta lietotāja darbību kombinācija, tur standarta lietotāji var redzēt pulksteni un mainīt laika joslu, bet mainīt pilnu administratora piekļuves pilnvaru vietējais sistēmas laiks.

Šī iemesla dēļ uz pogas redzēsim šādu vairogu Mainiet datumu un laiku minētajā variantā:

Tas norāda, ka procesam ir nepieciešama pilna administratora piekļuves pilnvara, un, noklikšķinot uz tā, tiks parādīts UAC paaugstinājuma indikators.

UAC arhitektūraNākamajā diagrammā mēs varam redzēt, kā UAC ir strukturēts operētājsistēmā Windows 10.

Šīs shēmas sastāvdaļas ir:

Lietotāja līmenis

  • Lietotājs veic darbību, kurai nepieciešama privilēģija - lietotājs veic darbību, kurai nepieciešama privilēģija: Šādā gadījumā, ja darbība maina failu sistēmu vai reģistru, tiek izsaukta virtualizācija. Visas pārējās darbības izsauc ShellExecute.
  • ShellExecute: ShellExecute meklē kļūdu ERROR_ELEVATION_REQUIRED no CreateProcess. Ja saņemat kļūdu, ShellExecute izsauc lietojumprogrammas informācijas pakalpojumu, lai mēģinātu izpildīt pieprasīto uzdevumu ar pacelto simbolu.
  • CreateProcess: Ja lietojumprogrammai ir nepieciešams paaugstinājums, CreateProcess noraida zvanu, izmantojot ERROR_ELEVATION_REQUIRED.

Sistēmas līmenis

  • Lietojumprogrammas informācijas pakalpojums: Lietojumprogrammu informācijas pakalpojums palīdz palaist lietojumprogrammas, kuru izpildei ir vajadzīgas vienas vai vairākas paaugstinātas privilēģijas vai lietotāja tiesības, izveidojot lietojumprogrammai jaunu procesu ar administratīvā lietotāja pilnas piekļuves pilnvaru, ja ir nepieciešams paaugstinājums.
  • ActiveX instalēšanas paaugstināšana - ActiveX instalācijas paaugstināšana: Ja ActiveX nav instalēts, sistēma pārbauda UAC slīdņa līmeni. Ja ir instalēts ActiveX, tiek atlasīts politikas iestatījums Lietotāja konta kontrole: Pārslēdzot uz drošu darbvirsmu, pieprasot paaugstinājumu.
  • Pārbaudiet UAC slīdņa līmeni - pārbaudiet UAC līmeni: UAC ir četri paziņojumu līmeņi, no kuriem izvēlēties, un slīdnis, lai atlasītu paziņojumu līmeni: augsts, vidējs, zems vai bez paziņojuma.

UAC lietotāju pieredzeLietotāja konta kontroles drošības politikas iestatījumi
Operētājsistēmā Windows 10 mēs varam izmantot drošības politikas, lai konfigurētu lietotāja konta kontroles darbību mūsu uzņēmumā.

Tos var konfigurēt lokāli, izmantojot vietējās drošības politikas papildinājumu (secpol.msc), vai konfigurēt domēnam, organizācijas vienībai vai noteiktām grupām, izmantojot grupas politiku. Dažas no pieejamajām politikām ir šādas:

Lietotāja konta kontroles administratora apstiprinājuma režīms iebūvētam administratora kontamIzmantojot šo politiku, mēs kontrolējam administratora apstiprinājuma režīma darbību integrētajam administratora kontam, un ir pieejamas šādas iespējas:

  • Iespējots: Ja šī politika ir iespējota, iebūvētais administratora konts izmanto administratora apstiprināšanas režīmu. Pēc noklusējuma jebkura darbība, kurai nepieciešama privilēģiju palielināšana, liks lietotājam apstiprināt darbību.
  • Atspējots: Tā ir noklusējuma opcija, un līdz ar to iebūvētais administratora konts vada visas lietojumprogrammas ar pilnām administratora tiesībām.

Lietotāja konta kontrole - ļauj lietotnei UIAccess pieprasīt paaugstinājumu, neizmantojot drošu darbvirsmuPateicoties šai politikai, būs iespējams kontrolēt, vai lietotāja saskarnes pieejamības programmas (UIAccess vai UIA) var automātiski atspējot drošo darbvirsmu standarta lietotāja izmantotajiem paaugstinājuma ziņojumiem. Jūsu iespējas ir šādas:

  • Iespējots: Šī opcija automātiski atspējo drošu darbvirsmu, lai saņemtu norādījumus par pacēlumu.
  • Atspējots: Drošu darbvirsmu var atspējot tikai interaktīvā darbvirsmas lietotājs vai atspējojot politikas iestatījumu “Lietotāja konta kontrole: pārslēdzieties uz drošu darbvirsmu augstuma pieprasījumā”.

Lietotāja konta kontrole - augstuma ziņojumu uzvedība administratoriem administratora apstiprināšanas režīmāŠajā politikā mēs kontrolēsim administratoru paaugstinājuma indikatora darbību. Pieejamās iespējas ir šādas:

  • Paceliet, nejautājot: Ļauj priviliģētiem kontiem veikt darbību, kurai nepieciešams paaugstinājums, bez lietotāja piekrišanas vai akreditācijas datiem.
  • Pieprasiet akreditācijas datus drošā darbvirsmā: Ja darbībai ir vajadzīgas privilēģijas, lietotājs tiek aicināts drošā darbvirsmā ievadīt priviliģētu lietotājvārdu un paroli.
  • Piekrišanas pieprasījums drošā darbvirsmā: Ja darbībai ir vajadzīgas privilēģijas, lietotājs tiek aicināts drošā darbvirsmā atlasīt Atļaut vai Noraidīt darbību.
  • Pieprasīt akreditācijas datus: Ja darbībai ir vajadzīgas privilēģijas, lietotājam tiek prasīts ievadīt administratīvo lietotājvārdu un paroli.
  • Piekrišanas pieprasījums: Ja darbībai ir vajadzīgas privilēģijas, lietotājam tiek piedāvāts izvēlēties Atļaut vai Noraidīt.
  • Piekrišanas pieprasījums binārajiem failiem, kas nav Windows (noklusējums): Ja darbībai ar lietojumprogrammu, kas nav Microsoft lietojumprogramma, ir jāpaaugstina privilēģijas, lietotājs tiek aicināts drošā darbvirsmā atlasīt Atļaut vai Noraidīt.

Lietotāja konta kontrole: Paaugstinājuma indikatora uzvedība standarta lietotājiemPateicoties šai politikai, mēs varam kontrolēt standarta lietotāju augstuma rādītāja darbību. Iespējas ir šādas:

  • Pieprasīt akreditācijas datus (noklusējums): Ja darbībai ir vajadzīgas privilēģijas, lietotājam tiek prasīts ievadīt administratīvo lietotājvārdu un paroli.
  • Automātiski noraidīt popularizēšanas pieprasījumus: Ja darbībai ir vajadzīgas privilēģijas, tiek parādīts konfigurējams piekļuves kļūdas ziņojums.
  • Pieprasiet akreditācijas datus drošā darbvirsmā: Ja darbībai ir vajadzīgas privilēģijas, lietotājam tiek piedāvāts ievadīt citu lietotājvārdu un paroli drošajā darbvirsmā.

Lietotāja konta kontrole - noteikt lietotņu instalācijas un pieprasīt paaugstinājumuIzmantojot šo politiku, mēs varēsim kontrolēt datora lietojumprogrammu instalēšanas noteikšanas darbību.
Jūsu iespējas ir šādas:

  • Iespējots (noklusējums): Ja tiek atklāta lietojumprogrammas instalēšanas pakotne, kurai ir jāpaaugstina privilēģijas, lietotājam tiks piedāvāts ievadīt administratīvo lietotājvārdu un paroli.
  • Atspējots: Atspējotās lietotņu instalēšanas pakotnes netiek atklātas un tiek pieprasīts paaugstinājums. Uzņēmumiem, kas izmanto standarta lietotāju galddatorus un izmanto deleģētās instalācijas tehnoloģijas, piemēram, grupas politiku vai System Center Configuration Manager, vajadzētu atspējot šo politikas iestatījumu.

Lietotāja konta kontrole: augšupielādējiet tikai parakstītus un apstiprinātus izpildāmos failus
Izmantojot šo politiku, jūs definējat publiskās atslēgas infrastruktūras (PKI) parakstīšanas pārbaudes jebkurai interaktīvai lietojumprogrammai, kas pieprasa privilēģiju palielināšanu.

IT administratori var kontrolēt, kuras programmas var darboties, pievienojot sertifikātus uzticamo izdevēju sertifikātu krātuvei vietējos datoros. Jūsu iespējas ir šādas:

  • Iespējots: Veicina konkrēta izpildāmā faila sertifikāta sertifikācijas ceļa validāciju, pirms tas ir atļauts palaist.
  • Atspējots: Neievieš sertifikāta sertifikācijas ceļa validāciju, pirms tiek atļauts palaist konkrētu izpildāmo failu.

Lietotāja konta kontrole: paaugstiniet tikai tās UIAccess lietojumprogrammas, kas ir instalētas drošās vietāsIzmantojot šo politiku, būs iespējams kontrolēt, vai lietojumprogrammām, kas pieprasa darboties ar lietotāja saskarnes pieejamības integritātes līmeni (UIAccess), jāatrodas drošā vietā failu sistēmā. Drošas atrašanās vietas ir ierobežotas šādos maršrutos:

 \ Program Files \, \ Windows \ system32 \, \ Program Files (x86) \. 
Jūsu iespējas ir šādas:
  • Iespējots: Ja lietojumprogramma atrodas drošā vietā failu sistēmā, tā darbojas tikai ar UIAccess integritāti.
  • Atspējots: Lietojumprogramma darbojas ar UIAccess integritāti, pat ja tā neatrodas drošā vietā failu sistēmā.

Lietotāja konta kontrole - iespējojiet administratora apstiprināšanas režīmuĪstenojot šo politiku, mēs varēsim kontrolēt visu lietotāja kontu kontroles (UAC) politikas iestatījumu darbību datorā. Ja maināt šo politikas iestatījumu, jums ir jārestartē dators. Pieejamās iespējas ir šādas:

  • Iespējots: Ļauj iebūvētajam administratora kontam un visiem citiem lietotājiem, kas ir administratoru grupas dalībnieki, darboties administratora apstiprināšanas režīmā.
  • Atspējots: Ja šis politikas iestatījums ir atspējots, Drošības centrs jums paziņos, ka vispārējā operētājsistēmas drošība ir samazināta.

Lietotāja konta kontrole - pārslēdzieties uz drošu darbvirsmu, kad tiek pieprasīts paaugstinājumsIzmantojot šo politiku, būs iespējams kontrolēt, vai paziņojums par pieprasījuma palielināšanu tiek parādīts interaktīvā lietotāja darbvirsmā vai drošajā darbvirsmā. Tur mēs varam noteikt sekojošo:

  • Iespējots: Visi popularizēšanas pieprasījumi tiek novirzīti uz drošu darbvirsmu neatkarīgi no paziņojumu uzvedības politikas iestatījumiem administratoriem un standarta lietotājiem.
  • Atspējots: Visi popularizēšanas pieprasījumi tiek novirzīti uz interaktīvā lietotāja darbvirsmu. Tiek izmantoti standarta lietotāja un administratora uzvedības politikas iestatījumi.
  • Visas šīs iespējas tiek atrastas, izmantojot taustiņu kombināciju + R un izpildot komandu secpol.msc
Parādītajā logā mēs dosimies uz maršrutu Vietējās politikas / drošības iespējas.

Reģistra atslēgu konfigurācijaUAC reģistra atslēgas var atrast reģistra redaktora šādā ceļā, kuram mēs piekļūstam, izmantojot atslēgas un izpildot regedit:

 HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
Pieejamie ieraksti ir:

FilterAdministratorTokeniespējas ir šādas:

 0 (noklusējums) = atspējots 1 = iespējots

IespējotUIADesktopToggleJūsu iespējas ir šādas:

 0 (noklusējums) = atspējots 1 = iespējots

PiekrišanaPromptBehaviorAdminJūsu iespējas ir šādas:

 0 = paaugstināt, neprasot 1 = pieprasīt akreditācijas datus drošā darbvirsmā

ConsentPromptBehaviorUserJūsu iespējas ir šādas:

 0 = automātiski noraidīt paaugstinājuma pieprasījumus 1 = pieprasīt akreditācijas datus drošā darbvirsmā 3 (noklusējums) = pieprasīt akreditācijas datus

EnableInstallerDetectionJūsu iespējas ir šādas:

 1 = iespējots (noklusējums mājas izdevumiem) 0 = atspējots (noklusējums uzņēmuma izdevumiem)

ValidateAdminCodeSignaturesJūsu iespējas ir šādas:

 0 (noklusējums) = atspējots 1 = iespējots

EnableSecureUIAPathsJūsu iespējas ir šādas:

 0 = atspējots 1 (noklusējums) = iespējots

IespējotLUAJūsu iespējas ir šādas:

 0 = atspējots 1 (noklusējums) = iespējots

Kā mēs esam sapratuši, UAC ir izstrādāts, lai palīdzētu mums labāk kontrolēt procesus, kas tiek veikti sistēmā Windows 10, vienmēr domājot par katra lietotāja drošību un privātumu.

wave wave wave wave wave