Funkcijos ir kaip sukonfigūruoti GPO UAC sistemoje „Windows 10“

Turinys

„Windows“ operacinės sistemos apima daugybę praktinių galimybių, padedančių mums pagerinti jos ir jos programų saugumą.

Viena iš šių saugumo priemonių yra gerai žinoma UAC (User Account Control), nes jos buvo sukurtos siekiant užkirsti kelią virusų ar kenkėjiškų programų patekimui į sistemą, turinčią įtakos jos veikimui ir veikimui, ir šiandien „Solvetic“ atliks išsamią UAC veikimo analizę. „Windows 10“ ir kaip mes galime ją sukonfigūruoti, kad gautume kuo daugiau naudos.

Kas yra UAC„User Account Control“ arba „UAC“ yra „Windows 10“ funkcija, padedanti užkirsti kelią tam tikros rūšies kenkėjiškų programų įdiegimui kompiuteryje, turinčiai įtakos jos veikimui ir procesui, ji padeda organizacijoms turėti galimybę įdiegti darbalaukį. administravimo ir valdymo patobulinimai.

UAC dėka programos ir užduotys visada bus vykdomos saugioje aplinkoje, naudojant administratoriaus paskyrą.

Naudojant UAC bus galima blokuoti automatinį neteisėtų programų diegimą ir išvengti netyčinių sistemos konfigūracijos pakeitimų, nes visos grėsmės, kurias kenkėjiška programa turi savo kode, gali kilti siekiant sunaikinti, pavogti ar pakeisti sistemos elgesį.

Įdiegę UAC, galime leisti vartotojams prisijungti prie savo kompiuterių naudojant standartinę vartotojo paskyrą, kad jiems būtų lengviau atlikti užduotis su prieigos teisėmis, susietomis su standartine paskyra.

Kaip veikia UACKai naudojate UAC sistemoje „Windows 10“, kiekviena programa, kuriai reikia naudoti administratoriaus prieigos raktą, turi paprašyti jūsų patvirtinimo arba bus neįmanoma įdiegti.

„Windows 10“ apsaugo sistemos procesus, pažymėdama jų vientisumo lygius. Sąžiningumo lygiai yra pasitikėjimo priemonės, įgyvendinamos siekiant optimizuoti saugumą diegiant tam tikrą programą.

„Aukšto“ vientisumo programa yra tokia, kuri atlieka užduotis, apimančias sistemos duomenų keitimą, pvz., Disko skaidinio programa, RAM atminties valdymo programos ir kt., O „mažo“ vientisumo programa yra tokia, kuri atlieka tam tikras užduotis. taškas gali turėti įtakos operacinei sistemai, pvz., žiniatinklio naršyklei.

Programos, klasifikuojamos su žemesniu vientisumo lygiu, negali modifikuoti duomenų tose programose, kuriose yra aukštesnis vientisumo lygis. Kai standartinis vartotojas bando paleisti programą, kuriai reikalingas administratoriaus prieigos raktas, UAC reikalauja, kad vartotojas pateiktų galiojančius administratoriaus kredencialus, kad galėtų atlikti užduotį, todėl paleisdami programą turime patvirtinti atitinkamą leidimą.

Prisijungimo procesas UACKai UAC įdiegta sistemoje „Windows 10“, pagal numatytuosius nustatymus visi vartotojai ir administratoriai, priklausantys standartinei grupei, turės prieigą prie išteklių ir galės paleisti programas standartinių vartotojų saugumo kontekste, kuris yra ribotas.

Dabar, kai vartotojas prisijungia prie kompiuterio, sistema automatiškai sukuria tam konkrečiam vartotojui prieigos raktą, šis prieigos raktas apima informaciją apie naudotojui suteiktą prieigos lygį, įskaitant konkrečius saugos identifikatorius (SID) ir apibrėžtas „Windows“ privilegijas kiekvienam vartotojo lygiui ir atitinkamas leidimas bus suteiktas.

Priešingai, kai administratorius prisijungia prie „Windows 10“, šiam vartotojui bus sukurti du atskiri prieigos žetonai: standartinis vartotojo prieigos raktas ir administratoriaus prieigos raktas.

Naudojant standartinį vartotojo prieigos raktą, bus ta pati informacija, skirta konkrečiam vartotojui, kaip ir administratoriaus prieigos raktas, tačiau „Windows“ administravimo privilegijos ir susiję SID bus pašalinti.

Standartinis vartotojo prieigos raktas naudojamas vykdant programas, kurios neatlieka administracinių užduočių (standartinės vartotojo programos), taigi ir visas programas, kurios vykdomos kaip standartinis vartotojas, nebent vartotojas pateikia sutikimą ar įgaliojimus patvirtinti programą, kuri gali naudoti visą administravimo prieigos raktą.

Tokiu būdu vartotojas, priklausantis administratorių grupei, galės prisijungti, naršyti internete ir skaityti el. Laiškus naudodamas standartinį vartotojo prieigos raktą ir kai administratoriui reikia atlikti užduotį, kuriai reikalingas prieigos raktas. Administratoriaus prieiga, „Windows“ 10 automatiškai paprašys vartotojo patvirtinimo, todėl bandydami paleisti programą pamatysime patvirtinimo pranešimą arba ne.

UAC vartotojo patirtisĮdiegus UAC, standartinio vartotojo naudotojų patirtis skiriasi nuo administratorių, naudojančių administratoriaus patvirtinimo režimą, o tai gali turėti įtakos įvairių programų vykdymui.

Prieiga prie sistemos kaip standartinis vartotojas padės padidinti valdomos aplinkos saugumą, nes žinosime, kad toks vartotojas neturės teisės įdiegti neleistinos programinės įrangos.

Įdiegę „Windows 10“ UAC pakėlimo komponentą, standartiniai vartotojai galės lengvai atlikti administracinę užduotį įvesdami galiojančius vietinio administratoriaus paskyros kredencialus. Standartiniams vartotojams skirtas integruotas UAC aukščio komponentas yra kredencialų rodiklis, padedantis valdyti leidimus paleidžiant programas.

Kai UAC įjungta sistemoje „Windows 10“, kiekvieną kartą, kai bandome paleisti programą, prieš pradedant programą ar užduotį, kuriai reikalingas visas administratoriaus prieigos raktas, bus prašoma autorizacijos arba galiojančios vietinės administratoriaus paskyros kredencialų.

Šis pranešimas mus patikina, kad jokia kenkėjiška programinė įranga negali būti įdiegta tyliai.

UAC aukščio pranešimaiUAC aukščio raginimai yra spalvoti, kad būtų pritaikyti konkrečiai programai, todėl galime nedelsdami nustatyti programos saugos riziką.

Kai programa bando paleisti su visišku administratoriaus prieigos raktu, „Windows 10“ pirmiausia išanalizuoja vykdomąjį failą, kad nustatytų jo leidėją, taigi, jei jis galioja, suteikia atitinkamą prieigą prie jo. „Windows 10“ naudoja tris kategorijas, atsižvelgiant į leidėją:

  • „Windows 10“
  • Patvirtintas leidėjas (pasirašytas)
  • Leidėjas nepatvirtintas (nepasirašytas)
„Windows 10“ aukščio užklausos spalvų kodavimas yra toks:
  • Raudonas fonas su raudono skydo piktograma: rodo, kad ši programa užblokuota pagal grupės politiką arba yra užblokuoto leidėjo.
  • Mėlynas fonas su mėlynos ir auksinės skydo piktograma: rodo, kad programa yra „Windows 10“ administracinė programa, pavyzdžiui, valdymo skydo elementas.
  • Mėlynas fonas su mėlyna skydo piktograma - nurodo, kad ši programa yra pasirašyta naudojant „Authenticode“ ir yra patikima vietiniame kompiuteryje.
  • Geltonas fonas su geltono skydo piktograma: ši programa nėra pasirašyta arba pasirašyta, tačiau vietinis kompiuteris dar nepasitiki.

Skydo piktogramaKai kurie „Windows 10“ valdymo skydo elementai, pavyzdžiui, datos ir laiko ypatybės, turi administratoriaus ir standartinių vartotojo operacijų derinį, ten standartiniai vartotojai gali matyti laikrodį ir pakeisti laiko juostą, tačiau norint pakeisti visą administratoriaus prieigos raktą vietos sistemos laikas.

Dėl šios priežasties ant mygtuko pamatysime šį skydą Pakeiskite datą ir laiką minėtame variante:

Tai rodo, kad procesui reikalingas visas administratoriaus prieigos raktas ir spustelėjus bus rodomas UAC pakilimo indikatorius.

UAC architektūraŠioje diagramoje matome, kaip UAC yra struktūrizuota „Windows 10“.

Šios schemos komponentai yra šie:

Vartotojo lygis

  • Vartotojas atlieka operaciją, kuriai reikia privilegijų - Vartotojas atlieka operaciją, kuriai reikia privilegijų: Tokiu atveju, jei operacija pakeičia failų sistemą ar registrą, iškviečiama virtualizacija. Visos kitos operacijos vadinamos „ShellExecute“.
  • „ShellExecute“: „ShellExecute“ ieško klaidos ERROR_ELEVATION_REQUIRED iš „CreateProcess“. Jei gausite klaidą, „ShellExecute“ paskambins į programos informacijos tarnybą, kad pabandytų atlikti prašomą užduotį su pakeltu simboliu.
  • „CreateProcess“: Jei programą reikia pakelti, „CreateProcess“ atmeta skambutį, nurodydamas ERROR_ELEVATION_REQUIRED.

Sistemos lygis

  • Programos informacijos paslauga: Programos informacijos paslauga padeda paleisti programas, kurioms vykdyti reikia vienos ar daugiau padidintų privilegijų ar vartotojo teisių, sukuriant naują programos procesą su administravimo naudotojo visos prieigos raktu, kai reikia pakilimo.
  • „ActiveX“ diegimo pakėlimas - „ActiveX“ diegimo pakėlimas: Jei „ActiveX“ neįdiegta, sistema patikrina UAC slankiklio lygį. Jei įdiegta „ActiveX“, pasirinktas „User Account Control“ grupės politikos nustatymas: perjunkite į saugų darbalaukį, kai prašote pakėlimo.
  • Patikrinkite UAC slankiklio lygį - patikrinkite UAC lygį: UAC gali pasirinkti keturis pranešimų lygius ir slankiklį, kad pasirinktų pranešimo lygį: aukštas, vidutinis, žemas arba jokio pranešimo.

UAC vartotojo patirtisVartotojo abonemento valdymo saugos politikos nustatymai
Sistemoje „Windows 10“ galime naudoti saugos politiką, kad sukonfigūruotume vartotojo paskyros valdymo veikimą mūsų įmonėje.

Jie gali būti sukonfigūruoti vietoje naudojant vietinės saugos politikos papildinį (secpol.msc) arba sukonfigūruoti domenui, organizacijos padaliniui ar konkrečioms grupėms naudojant grupės politiką. Kai kurios galimos politikos nuostatos yra šios:

Vartotojo abonemento valdymo administratoriaus patvirtinimo režimas, skirtas integruotai administratoriaus paskyraiPagal šią politiką mes kontroliuojame integruotos administratoriaus paskyros administratoriaus patvirtinimo režimo veikimą ir yra šios parinktys:

  • Įjungtas: Kai ši politika įgalinta, vidinė administratoriaus paskyra naudoja administratoriaus patvirtinimo režimą. Pagal numatytuosius nustatymus bet kuri operacija, kuriai reikia suteikti daugiau privilegijų, paragins vartotoją patvirtinti operaciją.
  • Išjungta: Tai yra numatytoji parinktis, o kartu su ja integruota administratoriaus paskyra paleidžia visas programas su visomis administratoriaus teisėmis.

Vartotojo abonemento valdymas - leidžia programai „UIAccess“ prašyti aukščio nenaudojant saugaus darbalaukioŠios politikos dėka bus galima valdyti, ar vartotojo sąsajos pritaikymo neįgaliesiems programos (UIAccess ar UIA) gali automatiškai išjungti saugų darbalaukį, skirtą standartinio vartotojo naudojamiems aukščio pranešimams. Jūsų pasirinkimai yra šie:

  • Įjungtas: Ši parinktis automatiškai išjungia saugų darbalaukį, kad būtų rodomi aukščio raginimai.
  • Išjungta: Saugų darbalaukį gali išjungti tik interaktyvaus darbalaukio naudotojas arba išjungęs politikos nustatymą „Vartotojo abonemento valdymas: perjunkite į saugų darbalaukį, kai pateikiama aukščio užklausa“.

Vartotojo abonemento valdymas - aukščio pranešimų elgesys administratoriams administratoriaus patvirtinimo režimuŠioje politikoje mes valdysime administratorių aukščio rodiklio elgseną. Galimos šios parinktys:

  • Pakelkite neklausdami: Leidžia privilegijuotoms paskyroms atlikti operaciją, kurią reikia pakelti be vartotojo sutikimo ar prisijungimo duomenų.
  • Prašykite prisijungimo duomenų saugiame darbalaukyje: Kai operacijai reikia suteikti daugiau privilegijų, vartotojas raginamas saugiame darbalaukyje įvesti privilegijuotą vartotojo vardą ir slaptažodį.
  • Sutikimo užklausa saugiame darbalaukyje: Kai operacijai reikia padidinti privilegijas, vartotojas raginamas saugiame darbalaukyje pasirinkti Leisti arba Atmesti veiksmą.
  • Prašyti kredencialų: Kai operacijai reikia suteikti daugiau privilegijų, vartotojas raginamas įvesti administracinį vartotojo vardą ir slaptažodį.
  • Sutikimo prašymas: Kai operacijai reikia suteikti daugiau privilegijų, vartotojas raginamas pasirinkti Leisti arba Atmesti.
  • Ne „Windows“ dvejetainių failų sutikimo užklausa (numatytoji): Kai ne „Microsoft“ programos operacijai reikia suteikti daugiau privilegijų, vartotojas raginamas saugiame darbalaukyje pasirinkti Leisti arba Neleisti.

Vartotojo abonemento valdymas: aukščio rodiklio elgesys standartiniams vartotojamsŠios politikos dėka galime kontroliuoti standartinių naudotojų aukščio rodiklio elgseną. Parinktys yra šios:

  • Prašyti kredencialų (numatytasis): Kai operacijai reikia suteikti daugiau privilegijų, vartotojas raginamas įvesti administracinį vartotojo vardą ir slaptažodį.
  • Automatiškai atmesti populiarinimo užklausas: Kai operacijai reikia suteikti daugiau privilegijų, rodomas konfigūruojamas prieigos prieigos klaidos pranešimas.
  • Prašykite prisijungimo duomenų saugiame darbalaukyje: Kai operacijai reikia suteikti daugiau privilegijų, vartotojas raginamas saugiame darbalaukyje įvesti kitą vartotojo vardą ir slaptažodį.

Vartotojo abonemento valdymas - aptikti programų diegimus ir pateikti užklausą dėl padidėjimoNaudodami šią politiką galėsime valdyti kompiuterio programos diegimo aptikimo veiksmus.
Jūsų pasirinkimai yra šie:

  • Įgalinta (numatytoji): Aptikus programos diegimo paketą, kuriam reikia suteikti daugiau privilegijų, vartotojas bus paragintas įvesti administracinį vartotojo vardą ir slaptažodį.
  • Išjungta: Neįgalūs programų diegimo paketai neaptinkami ir reikalaujama pakilimų. Įmonės, kurios naudoja standartinius naudotojų stalinius kompiuterius ir naudoja įgaliotas diegimo technologijas, pvz., Grupės strategiją ar „System Center Configuration Manager“, turėtų išjungti šį politikos nustatymą.

Vartotojo abonemento valdymas: įkelkite tik pasirašytus ir patvirtintus vykdomuosius failus
Naudodami šią politiką, jūs apibrėžiate viešojo rakto infrastruktūros (PKI) pasirašymo patikrinimus bet kuriai interaktyviai programai, kuri prašo suteikti daugiau privilegijų.

IT administratoriai gali valdyti, kurios programos gali veikti, pridėdami sertifikatus prie patikimų leidėjų sertifikatų saugyklos vietiniuose kompiuteriuose. Jūsų pasirinkimai yra šie:

  • Įjungtas: Skatina tam tikro vykdomojo failo sertifikato kelio patvirtinimą prieš leidžiant jį vykdyti.
  • Išjungta: Netaiko sertifikato sertifikavimo kelio patvirtinimo prieš leidžiant paleisti tam tikrą vykdomąjį failą.

Vartotojo abonemento valdymas: pakelkite tik UIAccess programas, įdiegtas saugiose vietoseNaudojant šią politiką bus galima kontroliuoti, ar programos, kurios prašo veikti su vartotojo sąsajos prieinamumo vientisumo lygiu (UIAccess), turi būti saugioje failų sistemos vietoje. Saugios vietos ribojamos šiais maršrutais:

 \ Program Files \, \ Windows \ system32 \, \ Program Files (x86) \. 
Jūsų pasirinkimai yra šie:
  • Įjungtas: Jei programa yra saugioje failų sistemos vietoje, ji veikia tik su UIAccess vientisumu.
  • Išjungta: Programa veikia su „UIAccess“ vientisumu, net jei ji nėra saugioje failų sistemos vietoje.

Vartotojo abonemento valdymas - įjunkite administratoriaus patvirtinimo režimąĮgyvendinę šią politiką, galėsime valdyti visų kompiuterio vartotojo abonemento valdymo (UAC) politikos nustatymų elgseną. Jei pakeisite šį politikos nustatymą, turite iš naujo paleisti kompiuterį. Galimos šios parinktys:

  • Įjungtas: Leidžia integruotai administratoriaus paskyrai ir visiems kitiems administratorių grupės nariams veikti administratoriaus patvirtinimo režimu.
  • Išjungta: Jei šis politikos nustatymas išjungtas, saugos centras jums praneš, kad sumažėjo bendras operacinės sistemos saugumas.

Vartotojo abonemento valdymas - perjunkite į saugų darbalaukį, kai prašoma pakeltiNaudojant šią politiką bus galima valdyti, ar padidinimo užklausos pranešimas bus rodomas interaktyvaus vartotojo darbalaukyje, ar saugiame darbalaukyje. Ten galime nustatyti:

  • Įjungtas: Visos populiarinimo užklausos nukreipiamos į saugų darbalaukį, neatsižvelgiant į administratorių ir standartinių naudotojų pranešimų elgsenos politikos nustatymus.
  • Išjungta: Visos populiarinimo užklausos nukreipiamos į interaktyvaus naudotojo darbalaukį. Naudojami standartiniai vartotojo ir administratoriaus elgesio politikos nustatymai.
  • Visos šios parinktys randamos naudojant klavišų kombinaciją + R ir vykdant komandą sekpol.msc
Rodomame lange eisime į maršrutą Vietos politika / saugos parinktys.

Registro raktų konfigūracijaUAC registro raktus galima rasti sekančiame registro redaktoriaus kelyje, kurį pasiekiame naudodami raktus ir vykdydami regedit:

 HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
Galimi šie įrašai:

FiltrasAdministratorTokenvariantai yra šie:

 0 (numatytasis) = Išjungta 1 = Įjungta

Įgalinti „UIADesktopToggle“Jūsų pasirinkimai yra šie:

 0 (numatytasis) = Išjungta 1 = Įjungta

„ConsentPromptBehaviorAdmin“Jūsų pasirinkimai yra šie:

 0 = pakelti neprašius 1 = raginimas gauti kredencialus saugiame darbalaukyje 2 = raginimas duoti sutikimą saugiame darbalaukyje 3 = raginimas gauti kredencialus 4 = raginimas duoti sutikimą 5 (numatytasis) = prašymas duoti sutikimą ne „Windows“ dvejetainiams failams

„ConsentPromptBehaviorUser“Jūsų galimybės yra šios:

 0 = automatiškai atmesti aukščio užklausas

EnableInstallerDetectionJūsų pasirinkimai yra šie:

 1 = įjungta (numatytasis namų leidimams) 0 = išjungta (numatytasis „Enterprise“ leidimams)

PatvirtinkiteAdminCodeSignaturesJūsų pasirinkimai yra šie:

 0 (numatytasis) = Išjungta 1 = Įjungta

EnableSecureUIAPathsJūsų pasirinkimai yra šie:

 0 = išjungta 1 (numatytoji) = įjungta

ĮgalintiLUAJūsų pasirinkimai yra šie:

 0 = išjungta 1 (numatytoji) = įjungta

Kaip supratome, UAC buvo sukurtas tam, kad padėtų mums geriau kontroliuoti procesus, kurie vykdomi sistemoje „Windows 10“, visada galvojant apie kiekvieno vartotojo saugumą ir privatumą.

wave wave wave wave wave