Suwak Kontrola konta użytkownika i ustawienia zasad grupy

Microsoft w Windows Vista wprowadził nowy mechanizm, który zapewnia dodatkową warstwę ochrony systemu przed wywołanymi nieautoryzowanymi zmianami Uac (Kontrola konta użytkownika lub kontrola konta). W systemie Windows 7 (i nowszym) UAC ma suwak ustawień (wywoływany z panelu sterowania lub pliku UserAccountControlSettings.exe), za pomocą którego możesz wybrać jeden z czterech poziomów ochrony UAC.

Suwak ma 4 wstępnie zdefiniowane poziomy ochrony Kontrola konta użytkownika:

  • Poziom 4 - Zawsze powiadamiaj -  Zawsze powiadamiaj (maksymalny poziom bezpieczeństwa UAC)
  • Poziom 3 - Powiadom tylko kiedy programy spróbuj do zrobić zmiany do mój komputer (domyślnie) - Powiadom tylko wtedy, gdy program próbuje wprowadzić zmiany na moim komputerze (standardowy poziom ochrony)
  • Poziom 2 - Powiadom tylko kiedy programy spróbuj do zrobić zmiany do mój komputer (zrobić nie przyciemniony mój komputer stacjonarny) - taki sam jak poprzedni poziom, ale bez przełączania na Bezpieczny pulpit z blokadą pulpitu
  • Poziom 1 - Nigdy nie powiadamiaj - Nigdy nie powiadamiaj (Kontrola konta użytkownika jest wyłączona)

Domyślnie Windows używa 3. poziom Ochrona UAC.

Zarządzanie ustawieniami kontroli konta jest możliwe zarówno za pomocą suwaka, jak i za pomocą zasad grupy. Ale w Edytorze zasad grupy nie ma jednej zasady, która pozwala wybrać jeden z 4 poziomów ochrony (odpowiadających pozycji suwaka UAC). Zamiast tego proponuje się dostosowanie ustawień UAC 10 za pomocą różnych zasad. Te zasady znajdują się w sekcji:

Konfiguracja komputera -> Zasady -> Ustawienia systemu Windows -> Ustawienia zabezpieczeń -> Zasady lokalne -> Opcje bezpieczeństwa (Konfiguracja komputera -> Konfiguracja systemu Windows -> Ustawienia zabezpieczeń -> Zasady lokalne). Nazwy zasad związanych z UAC zaczynają się od Użytkownik Konto Kontrola (Kontrola konta użytkownika).

W poniższej tabeli wymieniono zasady UAC i odpowiadające im klucze rejestru. Ustawienia UAC są przechowywane w gałęzi rejestru HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System

Nazwa zasadyNiestandardowy klucz rejestru zasad
Kontrola konta użytkownika: tryb zatwierdzania przez administratora dla wbudowanego konta administratoraKontrola konta użytkownika: Użyj trybu zatwierdzania przez administratora dla wbudowanego konta administratoraFilterAdministratorToken
Kontrola konta użytkownika: Zezwól aplikacjom UIAccess na monitowanie o podniesienie uprawnień bez korzystania z bezpiecznego pulpituKontrola użytkownika: zezwól aplikacjom UIAccess na żądanie podniesienia uprawnień bez korzystania z bezpiecznego pulpituEnableUIADesktopToggle
Kontrola konta użytkownika: zachowanie monitu o podniesienie uprawnień dla administratorów w trybie zatwierdzania przez administratoraKontrola użytkownika: zachowanie żądania podniesienia uprawnień dla administratorów w trybie zatwierdzania przez administratoraConsentPromptBehaviorAdmin
Kontrola konta użytkownika: Zachowanie monitu o podniesienie uprawnień dla standardowych użytkownikówKontrola użytkownika: zachowanie żądania podniesienia uprawnień dla zwykłych użytkownikówConsentPromptBehaviorUser
Kontrola konta użytkownika: wykrywanie instalacji aplikacji i monit o podniesienie uprawnieńKontrola konta użytkownika: wykrywanie instalacji aplikacji i żądanie podniesienia uprawnieńEnableInstallerDetection
Kontrola konta użytkownika: podniesienie poziomu tylko plików wykonywalnych, które są podpisane i zatwierdzoneKontrola konta użytkownika: podniesienie uprawnień tylko dla podpisanych i zweryfikowanych plików wykonywalnychValidateAdminCodeSignatures
Kontrola konta użytkownika: podnieś tylko aplikacje UIAccess, które są zainstalowane w bezpiecznych lokalizacjachKontrola konta użytkownika: podnieś tylko uprawnienia aplikacji UIAccess zainstalowanych w bezpiecznej lokalizacjiEnableSecureUIAPaths
Kontrola konta użytkownika: uruchom wszystkich administratorów w trybie zatwierdzania przez administratoraKontrola konta użytkownika: Włączanie zatwierdzania przez administratoraEnableLUA
Kontrola konta użytkownika: Przełącz się na bezpieczny pulpit, gdy pojawi się monit o podniesienie uprawnieńKontrola konta użytkownika: Przełączanie na bezpieczny pulpit podczas wykonywania żądania podniesienia uprawnieńPromptOnSecureDesktop
Kontrola konta użytkownika: zwirtualizuj błędy zapisu plików i rejestru w lokalizacjach poszczególnych użytkownikówKontrola konta użytkownika: w przypadku niepowodzenia zapisu do pliku lub rejestru wirtualizacja do lokalizacji użytkownikaWłącz wirtualizację

W przypadku, gdy chcesz ustawić parametry UAC poprzez GPO, możesz użyć zależności między ustawieniami a czterema poziomami UAC opisanymi poniżej:

Uac Poziom 1

Tryb zatwierdzania przez administratora dla wbudowanego konta administratora = wyłączone
Zezwól aplikacjom UIAccess na monitowanie o podniesienie uprawnień bez użycia bezpiecznego pulpitu = Wyłączone
Zachowanie monitu o podniesienie uprawnień dla administratorów w trybie zatwierdzania przez administratora = Podniesienie bez monitowania
Zachowanie monitu o podniesienie uprawnień dla standardowych użytkowników = Monituj o poświadczenia
Wykryj instalacje aplikacji i monituj o podniesienie uprawnień = włączone
Podwyższ tylko pliki wykonywalne, które są podpisane i zatwierdzone = Wyłączone
Podnoś tylko aplikacje UIAccess, które są zainstalowane w bezpiecznych lokalizacjach = włączone
Uruchom wszystkich administratorów w trybie zatwierdzania przez administratora = wyłączone
Przełącz się na bezpieczny pulpit, gdy pojawi się monit o podniesienie uprawnień = wyłączone
Wirtualizacja błędów zapisu plików i rejestru w lokalizacjach dla poszczególnych użytkowników = Włączone

Uac Poziom 2)Tryb zatwierdzania przez administratora dla wbudowanego konta administratora = wyłączone
Zezwól aplikacjom UIAccess na monitowanie o podniesienie uprawnień bez użycia bezpiecznego pulpitu = Wyłączone
Zachowanie monitu o podniesienie uprawnień dla administratorów w trybie zatwierdzania przez administratora = Monituj o zgodę na pliki binarne inne niż Windows
Zachowanie monitu o podniesienie uprawnień dla standardowych użytkowników = Monituj o poświadczenia
Wykryj instalacje aplikacji i monituj o podniesienie uprawnień = włączone
Podwyższ tylko pliki wykonywalne, które są podpisane i zatwierdzone = Wyłączone
Podnoś tylko aplikacje UIAccess, które są zainstalowane w bezpiecznych lokalizacjach = włączone
Uruchom wszystkich administratorów w trybie zatwierdzania przez administratora = włączone
Przełącz się na bezpieczny pulpit, gdy pojawi się monit o podniesienie uprawnień = wyłączone
Wirtualizacja błędów zapisu plików i rejestru w lokalizacjach dla poszczególnych użytkowników = Włączone

Uac Poziom 3 (przez domyślne) W nawiasach podano standardowe wartości kluczy rejestru odpowiadające zasadom Tryb zatwierdzania przez administratora dla wbudowanego konta administratora = Wyłączony (wartość klucza rejestru FilterAdministratorToken wynosi 0)
Zezwalaj aplikacjom UIAccess na monitowanie o podniesienie uprawnień bez użycia bezpiecznego pulpitu = Wyłączone (wartość klucza rejestru EnableUIADesktopToggle wynosi 0)
Zachowanie monitu o podniesienie uprawnień dla administratorów w trybie zatwierdzania przez administratora = Monituj o zgodę na pliki binarne inne niż Windows (wartość klucza rejestru ConsentPromptBehaviorAdmin to 5)
Zachowanie monitu o podniesienie uprawnień dla standardowych użytkowników = Monituj o poświadczenia (wartość klucza rejestru ConsentPromptBehaviorUser-3)
Wykryj instalacje aplikacji i monit o podniesienie uprawnień = Włączone (wartość klucza rejestru EnableInstallerDetection - 0 dla komputerów w domenie, 1 - dla grup roboczych)
Podwyższ tylko pliki wykonywalne, które są podpisane i zatwierdzone = Wyłączone (wartość klucza rejestru ValidateAdminCodeSignatures- 0)
Podnieś tylko aplikacje UIAccess, które są zainstalowane w bezpiecznych lokalizacjach = Włączone (wartość klucza rejestru EnableSecureUIAPaths-1)
Uruchom wszystkich administratorów w trybie zatwierdzania przez administratora = włączone (wartość klucza rejestru EnableLUA-1)
Przełącz się na bezpieczny pulpit, gdy pojawi się monit o podniesienie uprawnień = włączone (wartość klucza rejestru PromptOnSecureDesktop-1)
Wirtualizacja błędów zapisu plików i rejestru w lokalizacjach poszczególnych użytkowników = Włączone (wartość klucza rejestru EnableVirtualization- 1)

Uac Poziom 4Tryb zatwierdzania przez administratora dla wbudowanego konta administratora = wyłączone
Zezwól aplikacjom UIAccess na monitowanie o podniesienie uprawnień bez użycia bezpiecznego pulpitu = Wyłączone
Zachowanie monitu o podniesienie uprawnień dla administratorów w trybie zatwierdzania przez administratora = Monituj o zgodę na bezpiecznym pulpicie
Zachowanie monitu o podniesienie uprawnień dla standardowych użytkowników = Monituj o poświadczenia
Wykryj instalacje aplikacji i monituj o podniesienie uprawnień = włączone
Podwyższ tylko pliki wykonywalne, które są podpisane i zatwierdzone = Wyłączone
Podnoś tylko aplikacje UIAccess, które są zainstalowane w bezpiecznych lokalizacjach = włączone
Uruchom wszystkich administratorów w trybie zatwierdzania przez administratora = włączone
Przełącz się na bezpieczny pulpit, gdy pojawi się monit o podniesienie uprawnień = włączone
Wirtualizacja błędów zapisu plików i rejestru w lokalizacjach dla poszczególnych użytkowników = Włączone

Jeśli chcesz zezwolić innym użytkownikom na samodzielne dostosowywanie ustawień UAC, możesz ustawić standardowe ustawienia na komputerach domeny, instalując klucze rejestru za pomocą GPP za jednym razem (Złóż wniosek raz i nie aplikuj ponownie).