Caracteristici și cum se configurează GPO UAC în Windows 10

Caracteristici și cum se configurează GPO UAC în Windows 10
Cuprins

Sistemele de operare Windows includ o serie de opțiuni practice care ne ajută să îmbunătățim securitatea în cadrul acestuia și al aplicațiilor sale.

Una dintre aceste măsuri de securitate este binecunoscutul UAC (User Account Control), deoarece acestea au fost dezvoltate pentru a preveni introducerea virușilor sau malware-ului în sistem care afectează operabilitatea și funcționarea acestuia și astăzi Solvetic va face o analiză completă a modului în care funcționează UAC în Windows 10 și modul în care îl putem configura pentru a profita la maximum de el.

Ce este UACControlul contului de utilizator sau UAC, este o funcționalitate a Windows 10 care ne ajută să prevenim instalarea unui anumit tip de malware pe computer, afectând funcționarea acestuia și, în acest proces, contribuie la organizațiile care au capacitatea de a implementa un desktop. îmbunătățiri de administrare și gestionare.

Datorită UAC, aplicațiile și sarcinile vor fi întotdeauna executate într-un mediu sigur folosind un cont de administrator.

Cu UAC va fi posibilă blocarea instalării automate a aplicațiilor neautorizate și evitarea modificărilor accidentale în configurația sistemului, deoarece toate amenințările pe care le are un malware în codul său pot veni pentru a distruge, fura sau modifica comportamentul sistemului.

Prin implementarea UAC, putem permite utilizatorilor să se conecteze la computerele lor cu un cont de utilizator standard, facilitându-le îndeplinirea sarcinilor cu drepturile de acces asociate unui cont standard.

Cum funcționează UACCând utilizați UAC în Windows 10, fiecare aplicație care trebuie să utilizeze jetonul de acces al administratorului trebuie să solicite aprobarea sau instalarea dvs. va fi imposibilă.

Windows 10 protejează procesele de sistem, marcându-le nivelurile de integritate. Nivelurile de integritate sunt măsuri de încredere care sunt implementate pentru a optimiza securitatea la instalarea unui anumit program.

O aplicație cu o integritate „ridicată” este una care îndeplinește sarcini care includ modificarea datelor de sistem, cum ar fi o aplicație de partiție de disc, aplicații de gestionare a memoriei RAM etc., în timp ce o aplicație cu integritate „scăzută” este una. punct poate afecta sistemul de operare, cum ar fi un browser Web, de exemplu.

Aplicațiile clasificate cu niveluri de integritate mai mici nu pot modifica datele în aplicații cu niveluri de integritate mai ridicate. Când un utilizator standard încearcă să ruleze o aplicație care necesită un jeton de acces administrator, UAC cere utilizatorului să furnizeze acreditări de administrator valide pentru a-i permite să îndeplinească sarcina, de aceea, atunci când rulăm o aplicație, trebuie să confirmăm permisiunea respectivă.

Proces de autentificare în UACCând UAC este implementat în Windows 10, în mod implicit, toți utilizatorii și administratorii care fac parte din grupul standard vor avea acces la resurse și vor avea capacitatea de a rula aplicații în contextul de securitate al utilizatorilor standard, ceea ce este limitat.

Acum, atunci când un utilizator se conectează la un computer, sistemul creează automat un jeton de acces pentru acel utilizator, acest jeton de acces include informații despre nivelul de acces care este acordat utilizatorului, inclusiv identificatori de securitate specifici (SID) și privilegiile Windows definite pentru fiecare nivel de utilizator și permisiunea respectivă va fi acordată sau nu.

În schimb, atunci când un administrator se conectează la Windows 10, vor fi create două jetoane de acces separate pentru acest utilizator: un jeton de acces de utilizator standard și un jeton de acces de administrator.

Cu jetonul standard de acces utilizator, vor exista aceleași informații specifice utilizatorului ca jetonul de acces administrator, dar privilegiile administrative Windows și SID-urile asociate vor fi eliminate.

Jetonul de acces standard al utilizatorului este utilizat pentru executarea aplicațiilor care nu îndeplinesc sarcini administrative (aplicații standard ale utilizatorului) și astfel, toate aplicațiile care sunt executate ca utilizator standard, cu excepția cazului în care un utilizator oferă consimțământ sau acreditări pentru a aproba o cerere care poate face utilizarea unui token de acces administrativ complet.

În acest fel, un utilizator care aparține grupului Administratori va putea să se conecteze, să navigheze pe web și să citească e-mailuri în timp ce folosește un token standard de acces utilizator și când administratorul trebuie să efectueze o sarcină care necesită tokenul. 10 va cere automat aprobarea utilizatorului, de aceea, atunci când încercăm să rulăm o aplicație, vom vedea mesajul de aprobare sau nu pentru respectiva aplicație.

Experiența utilizatorului UACCând UAC este implementat, experiența utilizatorului pentru un utilizator standard este diferită de cea a administratorilor în modul de aprobare a administratorului, ceea ce poate afecta executarea diferitelor aplicații.

Accesarea sistemului ca utilizator standard va ajuta la maximizarea securității unui mediu gestionat, deoarece vom ști că acest utilizator nu va avea autoritatea de a instala software neautorizat.

Cu componenta de ridicare UAC încorporată în Windows 10, utilizatorii standard vor putea efectua cu ușurință o sarcină administrativă introducând acreditări valide pentru un cont de administrator local. Componenta încorporată UAC elevation pentru utilizatorii standard este indicatorul de acreditare care ajută la gestionarea permisiunilor atunci când rulează aplicații.

Cu UAC activat în Windows 10, ori de câte ori încercăm să rulăm o aplicație, va fi solicitată autorizarea sau acreditările unui cont de administrator local valid vor fi solicitate înainte de a începe un program sau o sarcină care necesită un token de acces complet al administratorului.

Această notificare ne asigură că niciun software rău intenționat nu poate fi instalat în liniște.

Notificări privind ridicarea UACSolicitările de ridicare în UAC sunt codificate în culori pentru a fi specifice aplicației, permițându-ne să identificăm imediat riscul de securitate al unei aplicații.

Când o aplicație încearcă să ruleze cu un token de acces complet al administratorului, Windows 10 analizează mai întâi fișierul executabil pentru a-și determina editorul și astfel, dacă este valid, autorizează accesul respectiv la acesta. Windows 10 utilizează trei categorii în funcție de editor:

  • Windows 10
  • Editor verificat (semnat)
  • Editorul nu a fost verificat (nesemnat)
Codificarea culorilor cererii de înălțime în Windows 10 este după cum urmează:
  • Fundal roșu cu pictogramă scut roșu: indică faptul că această aplicație este blocată de politica de grup sau este de la un editor blocat.
  • Fundal albastru cu pictogramă ecran albastru și auriu: indică faptul că aplicația este o aplicație administrativă Windows 10, de exemplu un element din panoul de control.
  • Fundal albastru cu pictogramă ecran albastru - Se referă la faptul că această aplicație este semnată folosind Authenticode și este de încredere pe computerul local.
  • Fundal galben cu pictogramă scut galben: Această aplicație este nesemnată sau semnată, dar nu este încă de încredere de computerul local.

Pictogramă scutUnele elemente ale Panoului de control din Windows 10, de exemplu, proprietățile datei și orei, au o combinație de operațiuni de administrator și de utilizator standard, acolo utilizatorii standard pot vedea ceasul și pot schimba fusul orar, dar un token de acces complet al administratorului pentru a schimba ora sistemului local.

Din acest motiv, vom vedea următorul scut pe buton Schimbați data și ora în opțiunea menționată:

Acest lucru indică faptul că procesul necesită un jeton de acces complet al administratorului și va afișa un indicator UAC elevation atunci când faceți clic.

Arhitectura UACÎn următoarea diagramă putem vedea cum este structurat UAC în Windows 10.

Componentele acestei scheme sunt:

Nivel utilizator

  • Utilizatorul efectuează o operație care necesită privilegiu - Utilizatorul efectuează o operație care necesită privilegiu: În acest caz, dacă operațiunea modifică sistemul de fișiere sau registrul, se apelează la virtualizare. Toate celelalte operații apelează ShellExecute.
  • ShellExecute: ShellExecute caută eroarea ERROR_ELEVATION_REQUIRED din CreateProcess. Dacă primiți eroarea, ShellExecute apelează serviciul de informații despre aplicație pentru a încerca să efectueze sarcina solicitată cu simbolul ridicat.
  • CreateProcess: Dacă aplicația necesită creștere, CreateProcess respinge apelul cu ERROR_ELEVATION_REQUIRED.

Nivelul sistemului

  • Serviciul de informații despre aplicații: Serviciul de informații despre aplicație ajută la pornirea aplicațiilor care necesită unul sau mai multe privilegii ridicate sau drepturi de utilizator pentru a rula prin crearea unui nou proces pentru aplicație cu un jeton de acces complet de utilizator administrativ atunci când este necesară ridicarea.
  • Ridicarea unei instalări ActiveX - Ridicarea unei instalări ActiveX: Dacă ActiveX nu este instalat, sistemul verifică nivelul glisorului UAC. Dacă este instalat ActiveX, este selectată setarea de politică a grupului de control al contului de utilizator: Comutați pe desktop securizat atunci când solicitați elevare.
  • Verificați nivelul glisor UAC - Verificați nivelul UAC: UAC are patru niveluri de notificare pentru a alege și un glisor pentru a selecta nivelul de notificare: ridicat, mediu, scăzut sau fără notificare.

Experiența utilizatorului UACSetările politicii de securitate Control cont utilizator
În Windows 10 putem folosi politicile de securitate pentru a configura funcționarea controlului contului de utilizator în cadrul companiei noastre.

Acestea pot fi configurate local utilizând snap-in-ul Politică de securitate locală (secpol.msc) sau configurate pentru domeniu, unitate organizațională sau grupuri specifice utilizând politica de grup. Unele dintre politicile disponibile sunt:

Control cont utilizator Mod aprobare administrator pentru cont de administrator încorporatCu această politică controlăm comportamentul modului de aprobare a administratorului pentru contul de administrator integrat și opțiunile sunt:

  • Activat: Când această politică este activată, contul de administrator încorporat folosește modul de aprobare a administratorului. În mod implicit, orice operațiune care necesită creșterea privilegiului va solicita utilizatorului să aprobe operațiunea.
  • Dezactivat: Este opțiunea implicită și, odată cu aceasta, contul de administrator încorporat rulează toate aplicațiile cu privilegii administrative complete.

Control cont utilizator - Permite aplicației UIAccess să solicite elevare fără a utiliza desktopul securizatDatorită acestei politici, va fi posibil să se controleze dacă programele de accesibilitate a interfeței cu utilizatorul (UIAccess sau UIA) pot dezactiva automat desktopul securizat pentru mesajele de elevare utilizate de un utilizator standard. Opțiunile dvs. sunt:

  • Activat: Această opțiune dezactivează automat desktopul securizat pentru solicitări de ridicare.
  • Dezactivat: Desktopul securizat poate fi dezactivat numai de către utilizatorul desktop interactiv sau dezactivând setarea politicii „Control cont utilizator: comutați pe desktopul securizat la cerere de înălțare”.

Controlul contului de utilizator - Comportamentul mesajului de creștere pentru administratori în modul de aprobare a administratoruluiÎn această politică vom controla comportamentul indicatorului de cota pentru administratori. Opțiunile disponibile sunt:

  • Ridicați fără să întrebați: Permite conturilor privilegiate să efectueze o operațiune care necesită elevare fără a fi nevoie de consimțământul utilizatorului sau acreditări.
  • Solicitați acreditări pe desktopul securizat: Când o operațiune necesită creșterea privilegiului, utilizatorul este solicitat să introducă un nume de utilizator și o parolă privilegiate pe desktopul securizat.
  • Cerere de consimțământ pe desktopul securizat: Atunci când o operațiune necesită o creștere a privilegiului, utilizatorul este solicitat să selecteze Permite sau Refuză acțiunea pe desktopul securizat.
  • Solicitați acreditări: Când o operațiune necesită creșterea privilegiului, utilizatorul este solicitat să introducă un nume de utilizator și o parolă administrativă.
  • Cerere de consimțământ: Atunci când o operațiune necesită creșterea privilegiului, utilizatorul este solicitat să selecteze Permite sau Refuză.
  • Cerere de consimțământ pentru binare care nu sunt Windows (implicit): Atunci când o operațiune pentru o aplicație care nu este Microsoft necesită o creștere a privilegiului, utilizatorul este solicitat să selecteze Permite sau Refuză pe desktopul securizat.

Controlul contului utilizatorului: Comportamentul indicatorului de înălțime pentru utilizatorii standardDatorită acestei politici putem controla comportamentul indicatorului de altitudine pentru utilizatorii standard. Opțiunile sunt:

  • Solicitați acreditări (implicit): Când o operațiune necesită creșterea privilegiului, utilizatorul este solicitat să introducă un nume de utilizator și o parolă administrativă.
  • Refuzați automat solicitările de ridicare: Când o operațiune necesită creșterea privilegiului, este afișat un mesaj de eroare acces acces configurabil.
  • Solicitați acreditări pe desktopul securizat: Când o operațiune necesită creșterea privilegiului, utilizatorul este solicitat să introducă un alt nume de utilizator și o parolă diferită pe desktopul securizat.

Control cont utilizator - detectați instalările aplicației și solicitați creștereaCu această politică vom putea controla comportamentul detectării instalării aplicației pentru computer.
Opțiunile dvs. sunt:

  • Activat (implicit): Când este detectat un pachet de instalare a aplicației care necesită privilegii ridicate, utilizatorul va fi solicitat să introducă un nume de utilizator și o parolă administrativă.
  • Dezactivat: Pachetele de instalare a aplicației dezactivate nu sunt detectate și sunt solicitate cote. Companiile care rulează desktopuri standard pentru utilizatori și utilizează tehnologii de instalare delegate, cum ar fi Group Policy sau System Center Configuration Manager, ar trebui să dezactiveze această setare de politică.

Control cont utilizator: încărcați numai fișiere executabile semnate și validate
Folosind această politică, definiți infrastructura cheii publice (PKI) semnând verificări pentru orice aplicație interactivă care solicită creșterea privilegiului.

Administratorii IT pot controla ce aplicații pot rula adăugând certificate la magazinul de certificate Trusted Publishers de pe computerele locale. Opțiunile dvs. sunt:

  • Activat: Promovează validarea căii de certificare a certificatului pentru un anumit fișier executabil înainte de a fi permis să ruleze.
  • Dezactivat: Nu impune validarea căii de certificare a certificatului înainte ca un anumit fișier executabil să poată rula.

Control cont utilizator: creșteți numai aplicațiile UIAccess care sunt instalate în locații sigureCu această politică va fi posibil să se controleze dacă aplicațiile care solicită să ruleze cu un nivel de integritate a accesibilității interfeței utilizator (UIAccess) trebuie să se afle într-o locație sigură a sistemului de fișiere. Locațiile sigure sunt limitate la următoarele rute: 

 \ Program Files \, \ Windows \ system32 \, \ Program Files (x86) \.
Opțiunile dvs. sunt:
  • Activat: Dacă o aplicație se află într-o locație sigură pe sistemul de fișiere, aceasta rulează numai cu integritatea UIAccess.
  • Dezactivat: O aplicație rulează cu integritatea UIAccess chiar dacă nu se află într-o locație sigură pe sistemul de fișiere.

Control cont utilizator - Activați modul de aprobare a administratoruluiPrin implementarea acestei politici, vom putea controla comportamentul tuturor setărilor politicii de control al contului de utilizator (UAC) pentru computer. Dacă modificați această setare de politică, trebuie să reporniți computerul. Opțiunile disponibile sunt:

  • Activat: Permite contului de administrator încorporat și tuturor celorlalți utilizatori care sunt membri ai grupului Administratori să ruleze în modul de aprobare a administratorului.
  • Dezactivat: Dacă această setare de politică este dezactivată, Centrul de securitate vă va notifica că securitatea generală a sistemului de operare a fost redusă.

Control cont utilizator - comutați pe desktopul securizat atunci când solicitați creștereaCu această politică va fi posibil să se controleze dacă mesajul de solicitare a ridicării este afișat pe desktopul utilizatorului interactiv sau pe desktopul securizat. Acolo putem stabili următoarele:

  • Activat: Toate cererile de ridicare merg pe desktopul securizat, indiferent de setările politicii de comportament de notificare pentru administratori și utilizatori standard.
  • Dezactivat: Toate solicitările de ridicare merg pe desktopul utilizatorului interactiv. Sunt utilizate setările standard ale politicii de comportament ale utilizatorului și administratorului.
  • Toate aceste opțiuni se găsesc folosind combinația de taste + R și executând comanda secpol.msc
În fereastra afișată vom merge la traseu Politici locale / Opțiuni de securitate.

Configurarea cheilor de registruCheile de registry UAC pot fi găsite în următoarea cale a editorului de registru la care accesăm folosind cheile și executând regedit: 

 HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
Înregistrările disponibile sunt:

FilterAdministratorTokenopțiunile sunt: 

 0 (implicit) = Dezactivat 1 = Activat

EnableUIADesktopToggleOpțiunile dvs. sunt: 

 0 (implicit) = Dezactivat 1 = Activat

ConsentPromptBehaviorAdminOpțiunile dvs. sunt: 

 0 = Ridicați fără a solicita 1 = Solicitați acreditări pe desktop securizat 2 = Solicitați consimțământ pe desktop securizat 3 = Solicitați acreditări 4 = Solicitați consimțământ 5 (Implicit) = Solicitați consimțământ pentru binare non-Windows

ConsentPromptBehaviorUserPosibilitățile dvs. sunt: 

 0 = Respingere automată a cererilor de ridicare 1 = Solicitare acreditări pe desktop securizat 3 (Implicit) = Solicitare acreditări

EnableInstallerDetectionOpțiunile dvs. sunt: 

 1 = Activat (implicit pentru edițiile Home) 0 = Dezactivat (implicit pentru edițiile Enterprise)

ValidateAdminCodeSignaturesOpțiunile dvs. sunt: 

 0 (implicit) = Dezactivat 1 = Activat

EnableSecureUIAPathsOpțiunile dvs. sunt: 

 0 = Dezactivat 1 (Implicit) = Activat

EnableLUAOpțiunile dvs. sunt: 

 0 = Dezactivat 1 (Implicit) = Activat

După cum am înțeles, UAC a fost dezvoltat pentru a ne ajuta să avem un control mai bun asupra proceselor care sunt executate în Windows 10, gândindu-ne întotdeauna la securitatea și confidențialitatea fiecărui utilizator.

Vei ajuta la dezvoltarea site-ului, partajarea pagina cu prietenii

wave wave wave wave wave

Posturi Populare

wave
1
post-title
Cum se instalează Ubuntu Studio
2
post-title
Suprafață: noua tabletă Microsoft
3
post-title
▷ Cum se înregistrează ecranul Samsung Galaxy S21, S21 Plus și S21 Ultra
4
post-title
Funcții stocate în MySQL
5
post-title
Cum se activează sau se dezactivează datele mobile Xiaomi Redmi S2

Recomandat

wave
- Sponsored Ad -

Alegerea Editorului

wave
- Sponsored Ad -