Microsoft w Windows Vista wprowadził nowy mechanizm, który zapewnia dodatkową warstwę ochrony systemu przed wywołanymi nieautoryzowanymi zmianami Uac (Kontrola konta użytkownika lub kontrola konta). W systemie Windows 7 (i nowszym) UAC ma suwak ustawień (wywoływany z panelu sterowania lub pliku UserAccountControlSettings.exe), za pomocą którego możesz wybrać jeden z czterech poziomów ochrony UAC.
Suwak ma 4 wstępnie zdefiniowane poziomy ochrony Kontrola konta użytkownika:
- Poziom 4 - Zawsze powiadamiaj - Zawsze powiadamiaj (maksymalny poziom bezpieczeństwa UAC)
- Poziom 3 - Powiadom tylko kiedy programy spróbuj do zrobić zmiany do mój komputer (domyślnie) - Powiadom tylko wtedy, gdy program próbuje wprowadzić zmiany na moim komputerze (standardowy poziom ochrony)
- Poziom 2 - Powiadom tylko kiedy programy spróbuj do zrobić zmiany do mój komputer (zrobić nie przyciemniony mój komputer stacjonarny) - taki sam jak poprzedni poziom, ale bez przełączania na Bezpieczny pulpit z blokadą pulpitu
- Poziom 1 - Nigdy nie powiadamiaj - Nigdy nie powiadamiaj (Kontrola konta użytkownika jest wyłączona)
Domyślnie Windows używa 3. poziom Ochrona UAC.
Zarządzanie ustawieniami kontroli konta jest możliwe zarówno za pomocą suwaka, jak i za pomocą zasad grupy. Ale w Edytorze zasad grupy nie ma jednej zasady, która pozwala wybrać jeden z 4 poziomów ochrony (odpowiadających pozycji suwaka UAC). Zamiast tego proponuje się dostosowanie ustawień UAC 10 za pomocą różnych zasad. Te zasady znajdują się w sekcji:
Konfiguracja komputera -> Zasady -> Ustawienia systemu Windows -> Ustawienia zabezpieczeń -> Zasady lokalne -> Opcje bezpieczeństwa (Konfiguracja komputera -> Konfiguracja systemu Windows -> Ustawienia zabezpieczeń -> Zasady lokalne). Nazwy zasad związanych z UAC zaczynają się od Użytkownik Konto Kontrola (Kontrola konta użytkownika).
W poniższej tabeli wymieniono zasady UAC i odpowiadające im klucze rejestru. Ustawienia UAC są przechowywane w gałęzi rejestru HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
Nazwa zasady | Niestandardowy klucz rejestru zasad | |
Kontrola konta użytkownika: tryb zatwierdzania przez administratora dla wbudowanego konta administratora | Kontrola konta użytkownika: Użyj trybu zatwierdzania przez administratora dla wbudowanego konta administratora | FilterAdministratorToken |
Kontrola konta użytkownika: Zezwól aplikacjom UIAccess na monitowanie o podniesienie uprawnień bez korzystania z bezpiecznego pulpitu | Kontrola użytkownika: zezwól aplikacjom UIAccess na żądanie podniesienia uprawnień bez korzystania z bezpiecznego pulpitu | EnableUIADesktopToggle |
Kontrola konta użytkownika: zachowanie monitu o podniesienie uprawnień dla administratorów w trybie zatwierdzania przez administratora | Kontrola użytkownika: zachowanie żądania podniesienia uprawnień dla administratorów w trybie zatwierdzania przez administratora | ConsentPromptBehaviorAdmin |
Kontrola konta użytkownika: Zachowanie monitu o podniesienie uprawnień dla standardowych użytkowników | Kontrola użytkownika: zachowanie żądania podniesienia uprawnień dla zwykłych użytkowników | ConsentPromptBehaviorUser |
Kontrola konta użytkownika: wykrywanie instalacji aplikacji i monit o podniesienie uprawnień | Kontrola konta użytkownika: wykrywanie instalacji aplikacji i żądanie podniesienia uprawnień | EnableInstallerDetection |
Kontrola konta użytkownika: podniesienie poziomu tylko plików wykonywalnych, które są podpisane i zatwierdzone | Kontrola konta użytkownika: podniesienie uprawnień tylko dla podpisanych i zweryfikowanych plików wykonywalnych | ValidateAdminCodeSignatures |
Kontrola konta użytkownika: podnieś tylko aplikacje UIAccess, które są zainstalowane w bezpiecznych lokalizacjach | Kontrola konta użytkownika: podnieś tylko uprawnienia aplikacji UIAccess zainstalowanych w bezpiecznej lokalizacji | EnableSecureUIAPaths |
Kontrola konta użytkownika: uruchom wszystkich administratorów w trybie zatwierdzania przez administratora | Kontrola konta użytkownika: Włączanie zatwierdzania przez administratora | EnableLUA |
Kontrola konta użytkownika: Przełącz się na bezpieczny pulpit, gdy pojawi się monit o podniesienie uprawnień | Kontrola konta użytkownika: Przełączanie na bezpieczny pulpit podczas wykonywania żądania podniesienia uprawnień | PromptOnSecureDesktop |
Kontrola konta użytkownika: zwirtualizuj błędy zapisu plików i rejestru w lokalizacjach poszczególnych użytkowników | Kontrola konta użytkownika: w przypadku niepowodzenia zapisu do pliku lub rejestru wirtualizacja do lokalizacji użytkownika | Włącz wirtualizację |
W przypadku, gdy chcesz ustawić parametry UAC poprzez GPO, możesz użyć zależności między ustawieniami a czterema poziomami UAC opisanymi poniżej:
Uac Poziom 1
Tryb zatwierdzania przez administratora dla wbudowanego konta administratora = wyłączone
Zezwól aplikacjom UIAccess na monitowanie o podniesienie uprawnień bez użycia bezpiecznego pulpitu = Wyłączone
Zachowanie monitu o podniesienie uprawnień dla administratorów w trybie zatwierdzania przez administratora = Podniesienie bez monitowania
Zachowanie monitu o podniesienie uprawnień dla standardowych użytkowników = Monituj o poświadczenia
Wykryj instalacje aplikacji i monituj o podniesienie uprawnień = włączone
Podwyższ tylko pliki wykonywalne, które są podpisane i zatwierdzone = Wyłączone
Podnoś tylko aplikacje UIAccess, które są zainstalowane w bezpiecznych lokalizacjach = włączone
Uruchom wszystkich administratorów w trybie zatwierdzania przez administratora = wyłączone
Przełącz się na bezpieczny pulpit, gdy pojawi się monit o podniesienie uprawnień = wyłączone
Wirtualizacja błędów zapisu plików i rejestru w lokalizacjach dla poszczególnych użytkowników = Włączone
Zezwól aplikacjom UIAccess na monitowanie o podniesienie uprawnień bez użycia bezpiecznego pulpitu = Wyłączone
Zachowanie monitu o podniesienie uprawnień dla administratorów w trybie zatwierdzania przez administratora = Monituj o zgodę na pliki binarne inne niż Windows
Zachowanie monitu o podniesienie uprawnień dla standardowych użytkowników = Monituj o poświadczenia
Wykryj instalacje aplikacji i monituj o podniesienie uprawnień = włączone
Podwyższ tylko pliki wykonywalne, które są podpisane i zatwierdzone = Wyłączone
Podnoś tylko aplikacje UIAccess, które są zainstalowane w bezpiecznych lokalizacjach = włączone
Uruchom wszystkich administratorów w trybie zatwierdzania przez administratora = włączone
Przełącz się na bezpieczny pulpit, gdy pojawi się monit o podniesienie uprawnień = wyłączone
Wirtualizacja błędów zapisu plików i rejestru w lokalizacjach dla poszczególnych użytkowników = WłączoneUac Poziom 3 (przez domyślne) W nawiasach podano standardowe wartości kluczy rejestru odpowiadające zasadom Tryb zatwierdzania przez administratora dla wbudowanego konta administratora = Wyłączony (wartość klucza rejestru FilterAdministratorToken wynosi 0)
Zezwalaj aplikacjom UIAccess na monitowanie o podniesienie uprawnień bez użycia bezpiecznego pulpitu = Wyłączone (wartość klucza rejestru EnableUIADesktopToggle wynosi 0)
Zachowanie monitu o podniesienie uprawnień dla administratorów w trybie zatwierdzania przez administratora = Monituj o zgodę na pliki binarne inne niż Windows (wartość klucza rejestru ConsentPromptBehaviorAdmin to 5)
Zachowanie monitu o podniesienie uprawnień dla standardowych użytkowników = Monituj o poświadczenia (wartość klucza rejestru ConsentPromptBehaviorUser-3)
Wykryj instalacje aplikacji i monit o podniesienie uprawnień = Włączone (wartość klucza rejestru EnableInstallerDetection - 0 dla komputerów w domenie, 1 - dla grup roboczych)
Podwyższ tylko pliki wykonywalne, które są podpisane i zatwierdzone = Wyłączone (wartość klucza rejestru ValidateAdminCodeSignatures- 0)
Podnieś tylko aplikacje UIAccess, które są zainstalowane w bezpiecznych lokalizacjach = Włączone (wartość klucza rejestru EnableSecureUIAPaths-1)
Uruchom wszystkich administratorów w trybie zatwierdzania przez administratora = włączone (wartość klucza rejestru EnableLUA-1)
Przełącz się na bezpieczny pulpit, gdy pojawi się monit o podniesienie uprawnień = włączone (wartość klucza rejestru PromptOnSecureDesktop-1)
Wirtualizacja błędów zapisu plików i rejestru w lokalizacjach poszczególnych użytkowników = Włączone (wartość klucza rejestru EnableVirtualization- 1)Uac Poziom 4Tryb zatwierdzania przez administratora dla wbudowanego konta administratora = wyłączone
Zezwól aplikacjom UIAccess na monitowanie o podniesienie uprawnień bez użycia bezpiecznego pulpitu = Wyłączone
Zachowanie monitu o podniesienie uprawnień dla administratorów w trybie zatwierdzania przez administratora = Monituj o zgodę na bezpiecznym pulpicie
Zachowanie monitu o podniesienie uprawnień dla standardowych użytkowników = Monituj o poświadczenia
Wykryj instalacje aplikacji i monituj o podniesienie uprawnień = włączone
Podwyższ tylko pliki wykonywalne, które są podpisane i zatwierdzone = Wyłączone
Podnoś tylko aplikacje UIAccess, które są zainstalowane w bezpiecznych lokalizacjach = włączone
Uruchom wszystkich administratorów w trybie zatwierdzania przez administratora = włączone
Przełącz się na bezpieczny pulpit, gdy pojawi się monit o podniesienie uprawnień = włączone
Wirtualizacja błędów zapisu plików i rejestru w lokalizacjach dla poszczególnych użytkowników = Włączone
Jeśli chcesz zezwolić innym użytkownikom na samodzielne dostosowywanie ustawień UAC, możesz ustawić standardowe ustawienia na komputerach domeny, instalując klucze rejestru za pomocą GPP za jednym razem (Złóż wniosek raz i nie aplikuj ponownie).