Объявления
UAC в Windows 7, настройка. Управление контролем учетных записей (UAC) в Windows 7 при помощи групповых политик

Для  управления контролем учетных записей  (User Account Control) в Windows 7 можно использовать до 10 параметров групповых политик. В этом посте я хочу рассмотреть все эти настройки и рассказать  Вам как они влияют на работу пользователя и приложений в Windows 7.

Для начала разберем, что такое UAC и для чего он необходим.  Любой системный администратор знает, что самое важное правило для управления доступом к ресурсам является предоставление наименьшего уровня прав доступа, которые необходимы пользователю для выполнения его задач. Многие задачи, которые выполняют пользователи на своих домашних компьютерах или на рабочих компьютерах не требуют прав администратора. Тем не менее, во всех версиях Windows, за исключением  Windows Vista и Windows 7, по умолчанию  все учетные записи  создавались с правами  Администратора и такие пользователи  автоматически получали полный доступ ко всем ресурсам системы.  Права администратора давали возможность пользователю устанавливать не только легальные программы, но и вредоносные, намеренно или ненамеренно. Вредоносная программа, установленная администратором, может подвергнуть опасности работу компьютера и всех пользователей.  
Начиная с Windows Vista подход к созданию учетных записей в системе и выполнению действий пользователем на компьютере изменился – начиная с операционной системы Windows Vista появился User Account Control (UAC).  UAC – это компонент безопасности операционной системы Windows Vista или Windows 7, который обеспечивает контроль доступа к ресурсам системы и предоставляет пользователю запрос на подтверждение в случае необходимости выполнения  действий в системе  с правами администратора, например установка программного обеспечения, внесение изменений в системные файлы и папки или внесение записей в защищённые области реестра Windows.  
Для того, чтобы управлять UAC и производить его настройки необходимо рассмотреть более подробно сам процесс предоставления административных привилегий. 
В Windows 7, по умолчанию, обычные пользователи и администраторы получают доступ к ресурсам системы и запускают приложения в контексте безопасности обычных пользователей. Когда пользователь входит в компьютер, система создает маркер доступа (называемый токеном) для этого пользователя. Маркер доступа содержит сведения о уровень доступа, который предоставляется пользователю предоставляется, включая идентификаторы безопасности (SID) и привилегии Windows.  В случае если на компьютер входит администратор система создает два отдельных маркера доступа :  маркер доступа обычного пользователя и маркер доступа администратора. Маркер доступа обычного пользователя содержит те же сведения пользователя что и маркер доступа администратора, за исключением того что удалены привилегии администратора Windows и SIDs администратора. Маркер доступа обычного пользователя используется для запуска приложений и выполнения действий в системе, которые не требуют прав администратора.  Также маркер доступа обычного пользователя используется для запуска процесса Explorer.exe, который отображает рабочий стол пользователя.  Для всех приложений пользователя Explorer.exe является родительским процессом и они от него наследуют маркер доступа. В следствие этого все приложения запускаются от имени обычного пользователя до тех пор пока пользователь явно не подтвердит использование приложением маркера полного доступа администратора.  Все это проиллюстрировано на следующем рисунке:

 

 

 

Пользователь, который является членом группы администраторов может войти в систему и выполнять обычные действия пользователя (например просматривать Веб или читать почту) используя маркер доступа обычного пользователя. Когда администратор должен выполнить задачу, которая требует маркер доступа администратора, Windows 7 автоматически  предлагается пользователю изменить или "поднять" контекст безопасности от обычного пользователя до администратора, называемый режим одобрения администратором и запрашивает у пользователя подтверждение. Этот запрос называется запрос на повышение прав, и его поведение можно настроить с помощью локальной политики безопасности snap-in (Secpol.msc) или групповой политики. 
Каждое приложение, требующее маркер доступа администратора должен запросить администратора подтверждение. Единственным исключением является связь, которая существует между родительскими и дочерними процессами. Дочерний процесс наследует маркера доступа от родительского процесса. Родительские и дочерние процессы  должны иметь такой же уровень целостности. Windows 7 защищает процессы, помечая их уровнями целостности. Уровни целостности являются измерителями доверия. К приложениям "высокой" целостности, относят приложения выполняющие задачи, которые вносят изменения в систему, такие как,например, приложения управления разделами диска, в то время как к приложениям "низкой" целостности относят  приложения, выполняющие задачи, которые потенциально могут скомпрометировать операционную систему, например, такие как веб-браузер. Приложения с более низким уровнем целостности не могут вносить изменения в данные приложений с более высоким уровнем целостности. 
Если говорить вкратце, то вот таким образом обеспечивается контроль доступа к ресурсам системы со стороны пользователя. 
Теперь необходимо обсудить отличия UAC в Windows Vista и Windows 7.  Реализация UAC в Windows Vista предусматривала защиты на основе контроля учетных записей : UAC включен или отключен.  Стоить отметить, что из-за своей дотошности и надоедливости в Vista большинство пользователей его сразу после установки системы отключали. Было этой ошибкой или нет решать не мне, у каждого свое мнение по этому поводу и каждый отчасти прав. Поэтому перед выпуском Windows 7 UAC был значительно переработан и теперь есть масса изменений, которые делают UAC более дружественным по отношению к пользователю, что очень радует и позволяет его применять более эффективно. Изменения UAC в Windows 7 сразу видны, во-первых, по количеству уровней – теперь их четыре, а не два как в Windows Vista. Если Вы вошли в систему как локальный администратор, можно включить или отключить UAC-запросы или выбрать, когда получать уведомления об изменениях на компьютере. 
На выбор предлагаются четыре режима уведомления:

  • Никогда не уведомлять. Уведомления об изменениях в параметрах Windows и об установке ПО не выдаются;

UAC в Windows 7, настройка. Управление контролем учетных записей (UAC) в Windows 7 при помощи групповых политик

  • Уведомлять только при попытках программ внести изменения в компьютер. Уведомления не выдаются, если пользователь самостоятельно вносит изменения в параметры Windows, но если изменения вносятся программой, уведомления будут выдаваться;

UAC в Windows 7, настройка. Управление контролем учетных записей (UAC) в Windows 7 при помощи групповых политик

  • Всегда уведомлять. Уведомления выдаются независимо от того, кто вносит изменения в параметры Windows — пользователь или программа;

UAC в Windows 7, настройка. Управление контролем учетных записей (UAC) в Windows 7 при помощи групповых политик

  • Всегда уведомлять и ожидать ответа. Запросы выдаются при выполнении любых задач администратора на безопасном рабочем столе. Этот режим аналогичен текущему поведению Windows Vista.

UAC в Windows 7, настройка. Управление контролем учетных записей (UAC) в Windows 7 при помощи групповых политик

Для настройки контроля учетных записей в Windows 7 существует 10 параметров групповой политики. Параметры групповых политики для настройки контроля учетных записей находятся в оснастке «Локальная политика безопасности : Security SettingsLocal PoliciesSecurity Options.

UAC в Windows 7, настройка. Управление контролем учетных записей (UAC) в Windows 7 при помощи групповых политик
 
В таблице приведен список параметров групповой политики, соответствующий ему ключ реестра и его возможные значения и значение по умолчанию:
Ключи реестра, которые отвечают за настройки UAC расположены по следующему пути в реестре:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem

Параметр групповой политики

Ключ реестра

Значение по умолчанию

Возможные значения параметра политики и ключа реестра

User Account Control: Admin Approval Mode for the built-in Administrator account (Контроль учетных записей: режим одобрения администратором для встроенной учетной записи администратора)

FilterAdministratorToken

Disabled

0 (Default)
= Disabled
1 = Enabled

User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop (Контроль учетных записей: разрешить UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол)

EnableUIADesktopToggle

Disabled

0 (Default) 
= Disabled
1 = Enabled

User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode (Контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором)

ConsentPromptBehaviorAdmin

Prompt for consent for non-Windows binaries

0 = Elevate without prompting
1 = Prompt for credentials on the secure desktop
2 = Prompt for consent on the secure desktop
3 = Prompt for credentials
4 = Prompt for consent
5 (Default) = Prompt for consent for non-Windows binaries

User Account Control: Behavior of the elevation prompt for standard users (Контроль учетных записей: поведение запроса на повышение прав для обычных пользователей)

ConsentPromptBehaviorUser

Prompt for credentials on the secure desktop

0 = Automatically deny elevation requests
1 = Prompt for credentials on the secure desktop 
3 (Default) = Prompt for credentials on the secure desktop

User Account Control: Detect application installations and prompt for elevation (Контроль учетных записей: обнаружение установки приложений и запрос на повышение прав)

EnableInstallerDetection

Enabled (default
for home)

Disabled (default 
for enterprise)

1 = Enabled (default for home)
0 = Disabled (default for enterprise)

User Account Control: Only elevate executable that are signed and validated (Контроль учетных записей: повышать права только для подписанных и проверенных исполняемых файлов)

ValidateAdminCodeSignatures

Disabled

0 (Default)
  = Disabled
1 = Enabled

User Account Control: Only elevate UIAccess applications that are installed in secure locations (Контроль учетных записей: повышать права для UIAccess-приложений только при установке в безопасных местах)

EnableSecureUIAPaths

Enabled

0 = Disabled
1 (Default) 
= Enabled

User Account Control:Run all Administrators in Admin approval Mode (Контроль учетных записей: все администраторы работают в режиме одобрения администратором)

EnableLUA

Enabled

0 = Disabled
1 (Default)
= Enabled

User Account Control:Switch to the secure desktop when prompting for elevation (Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав)

PromptOnSecureDesktop

Enabled

0 = Disabled 
1 (Default) 
= Enabled

User Account Control: Virtualize file and registry write failures to per-user locations (Контроль учетных записей: при отказе в праве на запись использовать виртуализацию файловой системы и реестра для перенаправления в расположение пользователя)

EnableVirtualization

Enabled

 

0 = Disabled 
1 (Default) 
= Enabled

Теперь рассмотрим подробнее параметры групповой политики для управлением контролем учетных записей:
1. Контроль учетных записей: Режим одобрения администратором для встроенной учетной записи администратора (User Account Control : Admin Approval Mode for the built-in Administrator account) – этот параметр управляет поведением режима одобрения администратором для встроенной учетной записи администратора: если этот параметр включен (Enabled), то любое выполненное действие под встроенной учетной записью локального администратора, для выполнения которого необходимы права администратора, будет приводить к выдаче подтверждения выполнения этого действия. По умолчанию этот параметр Отключен (Disabled) и при выполнении  действий  под встроенной учетной записью локального администратора, требующих прав администратора,  подтверждения выполнения этих  действий не выдаются. Следует учитывать, что этот параметр групповой политики влияет на работу UAC только для встроенной учетной записи администратора.
2.  Контроль учетных записей: Поведение запроса на повышение прав для администраторов в режиме одобрения администратором (User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode) – этот параметр групповой политики влияет поведение UAC, когда администратор (помимо встроенной учетной записи администратора) запускает приложение требующее каких-либо административных прав. Возможные варианты настройки этого параметра следующие:
  • Повысить права без выдачи запроса (Elevate without prompting) – в случае установки этого параметра все приложения, для запуска которых нужны административные права,  будут автоматически получать эти права без запроса подтверждения или учетных данных; Этот параметр следует использовать очень осторожно и только в наиболее безопасной среде. Я бы лично порекомендовал не использовать этот вариант настройки по соображениям безопасности.
  • Запросить учетные данные на безопасном столе (Prompt for credentials on the secure desktop) – в случае необходимости выполнения операции, которая требует повышения привилегий, пользователю на безопасном рабочем столе выдается запрос на ввод учетных данных привилегированного пользователя. Если пользователь вводит правильные учетные данные, операция продолжается с повышением имеющихся привилегий пользователя. 
  • Запросить согласие на безопасном рабочем столе (Prompt for consent on the secure desktop) – в случае необходимости выполнения операции, которая требует повышения прав, пользователю на безопасном рабочем столе выводится  запрос на согласие : Разрешить (Permit) или запретить (Deny). Если пользователь подтверждает повышение прав, то операция выполняется с наивысшими правами данного пользователя. 
  • Запросить учетные данные (Prompt for credentials): в случае необходимости выполнения операции, которая требует повышения прав, пользователю  предлагается ввести имя пользователя и пароль учетной записи с административными правами. Если пользователь вводит верные учетные данные, операция продолжается с применимыми правами.
  • Запросить согласие (Prompt for consent) : в случае необходимости выполнения операции, которая требует повышения прав, пользователю выводится  запрос на согласие. Если пользователь разрешает выполнение операции,  то операция выполняется с наивысшими правами данного пользователя.
  • Запросить согласие для сторонних двоичных файлов (Prompt for consent for non-Windows binaries) :   в случае если операция для сторонних приложений (приложения не Microsoft) требует привилегий, то пользователю на безопасном рабочем столе выводится подтверждение на согласие : Разрешить (Permit) или запретить (Deny). Если пользователь подтверждает повышение прав, то операция выполняется с наивысшими правами данного пользователя. Этот вариант настройки параметра используется по умолчанию.
3.  Контроль учетных записей: Поведение запроса на повышение прав для обычных пользователей (User Account Control: Behavior of the elevation prompt for standard users ) – этот параметр групповой политики влияет поведение UAC, когда обычный пользователь запускает приложение (выполняет операции) требующее каких-либо административных прав. Возможные варианты настройки этого параметра следующие:
  • автоматически отклонять запросы на повышение прав (Automatically deny elevation requests) – в случае если  какая-либо операция (приложение) выполняемая пользователем требует повышения прав,  то запрос на повышение прав автоматически отклоняется. Также в этом случае отображается окно с сообщением об ошибке, которое можно настроить.
  • Запросить учетные данные на безопасном столе (Prompt for credentials on the secure desktop) – в случае необходимости выполнения операции, которая требует повышения привилегий, пользователю на безопасном рабочем столе выдается запрос на ввод учетных данных привилегированного пользователя. Если пользователь вводит правильные учетные данные, операция продолжается с применимыми правами. Этот вариант настройки параметра используется по умолчанию.
  • Запросить учетные данные (Prompt for credentials): в случае необходимости выполнения операции, которая требует повышения прав, пользователю  предлагается ввести имя пользователя и пароль учетной записи с административными правами. Если пользователь вводит верные учетные данные, операция продолжается с применимыми правами.

4.   Контроль учетных записей: Обнаружение установки приложений и запрос на повышение прав (User Account Control: Detect application installations and prompt for elevation) – этот параметр групповой политики влияет поведение UAC при обнаружении установки приложения, для выполнения которого необходимо повышение прав. Возможные варианты настройки этого параметра следующие:

  • Включен (по умолчанию, для работы дома) – в случае обнаружения установки приложения, которые требуется повышение прав для его выполнения, пользователю предлагается ввести имя пользователя с правами администратора и пароль. Если пользователь вводит правильные учетные данные, операция продолжается с применимыми правами.
  • Отключен  (по умолчанию для работы в сетях предприятий)  – Обнаружение пакетов установки приложений и запрос на повышения прав отключены и не выполняются.  В случае если в сети предприятия на компьютерах пользователи работают под учетными записями стандартных пользователей и для распространения приложений используется такие технологии как Group Policy Software Installation,   System Center Configuration Manager 2007 или Systems Management Server (SMS) этот параметр политики необходимо отключить.

5.  Контроль учетных записей: повышать права только для подписанных и проверенных исполняемых файлов (User Account Control: Only elevate executables that are signed and validated ) : этот параметр групповой политики позволяет разрешить запуск интерактивных приложений с повышенными привилегиями только в случае, если они  прошли проверку подписи с использованием инфраструктуры открытого ключа (PKI).  Возможные варианты настройки этого параметра следующие:

  • Включен  (Enabled) – приложение, которому необходимо повышение привилегий для выполнения, запускаются только в том случае, если они подписаны с использованием инфраструктуры открытого ключа (PKI) и сертификат добавлен в хранилище сертификатов доверенных издателей на локальных компьютерах.
  • Отключен (Disabled) – не предусматривается проверка пути сертификации PKI, прежде чем данный исполняемый файл разрешается выполнять. Этот вариант настройки параметра используется по умолчанию.

6. Контроль учетных записей: Запуск всех администраторов в режиме одобрения администратором (User Account Control: Run all administrators Admin Approval Mode) : этот параметр групповой политики управляет поведением всех политик UAC на компьютере. В случае изменения этого параметра необходимо перезагрузить компьютер.  Возможные варианты настройки этого параметра следующие:

  • Включен  (Enabled) – включен режим одобрения администратором. Эта политика должна быть включена и связанные параметры политики UAC также необходимо установить надлежащим образом для того, чтобы разрешить встроенной учетной записи администратора и всем другим пользователям, являющимся членами группы администраторов запуск приложений или выполнения операций в режиме одобрения администратором. Этот вариант настройки параметра используется по умолчанию.
  • Отключен (Disabled) – режим одобрения администратором и все соответствующие параметры политики UAC отключены. В этом случае  центр обеспечения безопасности будет уведомляет Вас о снижении общей безопасность операционной системы. КАК РАЗ ДЛЯ ТЕХ КТО ХОЧЕТ ПОЛНОСТЬЮ ОТКЛЮЧИТЬ UAC, чего я настоятельно не рекомендую.

7.  Контроль учетных записей: Переключение на безопасный рабочий стол в случае запроса на повышение прав (User Account Control: Switch to the secure desktop when prompting for elevation): этот параметр групповой политики в глобальном смысле определяет расположение запроса на повышение прав. Возможные варианты настройки этого параметра следующие:

  • Включен  (Enabled) – все запросы на повышение прав отображаются на безопасном рабочем столе, независимо от параметров политик поведение запроса на повышение прав для обычных пользователей  и администраторов. Этот вариант настройки параметра используется по умолчанию.
  • Отключен (Disabled) – все запросы на повышение прав – интерактивные. Поведение запроса на повышение прав для обычных пользователей  и администраторов используют параметры соответствующих вышеописанных политик.

8.  Контроль учетных записей: Разрешить UIAccess-приложениям запрашивать повышение прав без использования безопасного рабочего стола (User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop) : этот параметр групповой политики управляет в каком случае программы User Interface Accessibility (UIAccess or UIA), к числу которых относится  удаленный помощник Windows (Windows Remote Assistance), могут автоматически отключать безопасный рабочий стол для обеспечения возможности корректного отображения запроса на повышение прав и возможности ввода учетных данных.  Существует одна проблема, которая состоит в том, что в процессе использования функции Remote Assistance оказывающему помощь бывает необходимо ввести учетные данные в окне UAC, однако окно безопасного рабочего стола не отображается в Remote Assistance. Благодаря этому параметру  групповой политики, приложения User Interface Access (UIA), запускаемые из безопасных месторасположений, обходят защищенный рабочий стол, в результате чего удаленные администраторы получают возможность вводить нужные учетные данные от имени пользователя.  Возможные варианты настройки этого параметра следующие:

  • Включен  (Enabled) – программы UIA, включая  удаленный помощник Windows (Windows Remote Assistance) автоматически отключают безопасный рабочий стол для обеспечения возможности корректного отображения запроса на повышение прав и возможности ввода учетных данных.
  • Отключен (Disabled) – безопасный рабочий стол может быть отключен только пользователем интерактивного рабочего стола или в случае выключенной настройки параметра групповой политики User Account Control: Switch to the secure desktop when prompting for elevationЭтот вариант настройки параметра используется по умолчанию.

UIA-программы должны иметь цифровую подпись, так как они должны иметь возможность отвечать на запросы, касающиеся вопросов безопасности, такие, как запрос на повышение прав контроля учетных записей. По умолчанию UIA-программы выполняются только из защищенных месторасположений, которые находятся по следующим путям:

  • …Program Files, включая подпапки 
  • …Program Files (x86), including subfolders for 64-bit versions of Windows
  • …WindowsSystem32

    9.  Управление учетными записями пользователей: повышать привилегии только для UIAccess-приложений, установленных в безопасных месторасположениях (User Account Control: Only elevate UIAccess applications that are installed in secure locations ) – этот  параметр групповой политики определяет, обязано ли приложение, запрашивающее уровень целостности UIAccess, находиться в безопасном расположении файловой системы. Возможные варианты настройки этого параметра следующие:

    • Включен  (Enabled) – Если приложение находится в безопасном месте в файловой системе, тогда оно запускается с  целостности UIAccess . Этот вариант настройки параметра используется по умолчанию.
    • Отключен (Disabled) – Приложение запускается с целостности UIAccess, даже если он не находится в безопасном месте в файловой системе.

    10. Контроль учетных записей: при отказе в праве на запись использовать виртуализацию файловой системы и реестра для перенаправления в расположение пользователя (User Account Control: Virtualize file and registry write failures to per-user locations) – этот параметр групповой политики определяет, следует ли при отказе в праве на запись перенаправлять вывод в пользовательские месторасположения реестра и файловой системы.  Приложения, для которых в базе данных совместимости приложений отсутствует запись или в манифесте приложения отсутствует маркировка запрошенного уровня выполнения, не являются совместимыми с функцией контроля учетных записей. Приложения, не совместимые с функцией контроля учетных записей, пытаются выполнить запись в защищенные области, включая папки Program Files и %systemroot%. Если этим приложениям не удается завершить процесс записи, происходит сбой без вывода каких-либо сообщений об ошибках. Если этот параметр включен, операционной системе разрешено виртуализировать операции записи в файл и реестр в пользовательские местоположения, что позволяет приложению нормально функционировать. Приложения, совместимые с функцией контроля учетных записей не должны выполнять запись в защищенные местоположения и вызывать ошибки записи. Таким образом, в средах, использующих только приложения, совместимые с функцией контроля учетных записей, этот параметр следует отключить Возможные варианты настройки этого параметра следующие:

  • Включен  (Enabled) – в случае отказа приложению во время выполнения в праве на запись  данных по следующим путям %ProgramFiles%, %Windir%, %Windir%system32 или в ветки реестра HKLMSoftware,  для приложений используется перенаправление  записи в расположения пользователя. Этот вариант настройки параметра используется по умолчанию.
  • Отключен (Disabled) – приложения, которые записывают данные в защищенные месторасположения не используют виртуализацию файловой системы и реестра.

    На этом обзор параметров групповых политик для управления контролем учетных записей в Windwos 7 окончен,  smile  
    Надеюсь этот пост Вам поможет в правильной конфигурации User Account Control в ваше IT-инфраструктуре или дома и обеспечит должный уровень безопасности.

     

    Источник: http://olegferin.wordpress.com/

Поделитесь полезным материалом с друзьями:


Вам помог этот совет? Вы можете помочь проекту, пожертвовав на его развитие любую сумму по своему усмотрению. Например, 20 рублей. Или больше :)

Передать $пасибо! нашему сайту через систему Webmoney
Комментарий: imort31 января 2014 13:20
Почему у некоторых ПК при выполнении "Windows+R" ввод команды осуществляется с правами администратора, а у некоторых без? Вопрос возник потому, что все ПК находятся в домене.
Какие настройки нужно поменять, чтобы через окно "Выполнить" можно было вводить команды с административными правами?
Добавление комментария:
Ваше Имя:
Ваш E-Mail:

Полужирный Наклонный текст Подчёркнутый текст Зачёркнутый текст | Выравнивание по левому краю По центру Выравнивание по правому краю | Вставка смайликов Вставка ссылкиВставка защищённой ссылки Выбор цвета | Скрытый текст Вставка цитаты Преобразовать выбранный текст из транслитерации в кириллицу Вставка спойлера
Код:
Включите эту картинку для отображения кода безопасности
обновлять капчу