Funkcje i jak skonfigurować GPO UAC w Windows 10

Spisie treści

Systemy operacyjne Windows zawierają szereg praktycznych opcji, które pomagają nam poprawić bezpieczeństwo w nim i jego aplikacjach.

Jednym z tych środków bezpieczeństwa jest dobrze znany UAC (Kontrola konta użytkownika), ponieważ zostały one opracowane w celu zapobiegania wprowadzaniu wirusów lub złośliwego oprogramowania do systemu, wpływających na jego działanie i działanie, a dziś Solvetic przeprowadzi pełną analizę działania UAC w Windows 10 i jak możemy go skonfigurować, aby jak najlepiej go wykorzystać.

Co to jest ZAKKontrola konta użytkownika lub UAC, to funkcja systemu Windows 10, która pomaga nam zapobiegać instalowaniu określonego rodzaju złośliwego oprogramowania na komputerze, wpływając na jego działanie, a tym samym przyczynia się do tego, że organizacje mają możliwość wdrożenia pulpitu. usprawnienia administracji i zarządzania.

Dzięki UAC aplikacje i zadania będą zawsze wykonywane w bezpiecznym środowisku przy użyciu konta administratora.

Dzięki UAC możliwe będzie zablokowanie automatycznej instalacji nieautoryzowanych aplikacji i uniknięcie nieumyślnych zmian w konfiguracji systemu, ponieważ wszystkie zagrożenia, które złośliwe oprogramowanie ma w swoim kodzie, mogą pojawić się w celu zniszczenia, kradzieży lub zmiany zachowania systemu.

Wdrażając UAC, możemy umożliwić użytkownikom logowanie się do swoich komputerów za pomocą standardowego konta użytkownika, ułatwiając im wykonywanie zadań z prawami dostępu powiązanymi ze standardowym kontem.

Jak działa Kontrola konta użytkownikaW przypadku korzystania z UAC w systemie Windows 10 każda aplikacja, która musi korzystać z tokena dostępu administratora, musi poprosić o zgodę lub instalacja będzie niemożliwa.

Windows 10 chroni procesy systemowe, oznaczając ich poziomy integralności. Poziomy integralności to miary zaufania, które są wdrażane w celu optymalizacji bezpieczeństwa podczas instalowania określonego programu.

Aplikacja o „wysokiej” integralności to taka, która wykonuje zadania, które obejmują modyfikowanie danych systemowych, takich jak aplikacje do partycjonowania dysku, aplikacje do zarządzania pamięcią RAM itp., podczas gdy aplikacja o „niskiej” integralności to taka, która wykonuje zadania, które w niektórych punkt może mieć wpływ na system operacyjny, taki jak na przykład przeglądarka internetowa.

Aplikacje sklasyfikowane z niższymi poziomami integralności nie mogą modyfikować danych w aplikacjach o wyższych poziomach integralności. Gdy standardowy użytkownik próbuje uruchomić aplikację, która wymaga tokena dostępu administratora, UAC wymaga od użytkownika podania prawidłowych poświadczeń administratora, aby umożliwić mu wykonanie zadania, dlatego uruchamiając aplikację musimy potwierdzić odpowiednie uprawnienia.

Proces logowania w UACGdy UAC jest zaimplementowany w systemie Windows 10, domyślnie wszyscy użytkownicy i administratorzy należący do grupy standardowej będą mieli dostęp do zasobów i możliwość uruchamiania aplikacji w kontekście bezpieczeństwa użytkowników standardowych, co jest ograniczone.

Teraz, gdy użytkownik loguje się do komputera, system automatycznie tworzy token dostępu dla tego konkretnego użytkownika, ten token dostępu zawiera informacje o poziomie dostępu przyznanego użytkownikowi, w tym określone identyfikatory zabezpieczeń (SID) i zdefiniowane uprawnienia systemu Windows dla każdego poziomu użytkownika i odpowiednie uprawnienia zostaną przyznane lub nie.

W przeciwieństwie do tego, gdy administrator zaloguje się do systemu Windows 10, dla tego użytkownika zostaną utworzone dwa oddzielne tokeny dostępu: standardowy token dostępu użytkownika i token dostępu administratora.

W przypadku standardowego tokena dostępu użytkownika będą dostępne te same informacje specyficzne dla użytkownika, co token dostępu administratora, ale uprawnienia administracyjne systemu Windows i powiązane identyfikatory SID zostaną usunięte.

Token dostępu użytkownika standardowego jest używany do wykonywania aplikacji, które nie wykonują zadań administracyjnych (aplikacje użytkownika standardowego), a zatem wszystkich aplikacji, które są wykonywane jako użytkownik standardowy, chyba że użytkownik dostarczy zgody lub poświadczeń w celu zatwierdzenia aplikacji, która może dokonać korzystanie z pełnego tokena dostępu administracyjnego.

W ten sposób użytkownik należący do grupy Administratorzy będzie mógł logować się, surfować po sieci i czytać pocztę, korzystając ze standardowego tokena dostępu użytkownika oraz gdy administrator musi wykonać zadanie wymagające tego tokena. 10 automatycznie poprosi użytkownika o zatwierdzenie, dlatego przy próbie uruchomienia aplikacji zobaczymy komunikat o zatwierdzeniu lub nie do wspomnianej aplikacji.

Doświadczenie użytkownika UACPo wdrożeniu kontroli konta użytkownika środowisko użytkownika dla standardowego użytkownika różni się od doświadczenia administratorów w trybie zatwierdzania przez administratora, co może wpływać na wykonywanie różnych aplikacji.

Dostęp do systemu jako standardowy użytkownik pomoże zmaksymalizować bezpieczeństwo zarządzanego środowiska, ponieważ będziemy wiedzieć, że taki użytkownik nie będzie miał uprawnień do instalowania nieautoryzowanego oprogramowania.

Dzięki składnikowi podniesienia uprawnień UAC wbudowanemu w system Windows 10, standardowi użytkownicy będą mogli łatwo wykonać zadanie administracyjne, wprowadzając prawidłowe poświadczenia dla lokalnego konta administratora. Wbudowany składnik podniesienia uprawnień UAC dla standardowych użytkowników to wskaźnik poświadczeń, który pomaga zarządzać uprawnieniami podczas uruchamiania aplikacji.

Po włączeniu funkcji UAC w systemie Windows 10 za każdym razem, gdy próbujemy uruchomić aplikację, przed uruchomieniem programu lub zadania wymagającego tokena pełnego dostępu administratora zostanie poproszona o autoryzacja lub poświadczenia prawidłowego konta administratora lokalnego.

Ta informacja zapewnia nas, że nie można zainstalować złośliwego oprogramowania po cichu.

Zawiadomienia o podniesieniu ZAKKomunikaty o podniesieniu w UAC są oznaczone kolorami, aby były specyficzne dla aplikacji, co pozwala nam natychmiast zidentyfikować zagrożenie bezpieczeństwa aplikacji.

Gdy aplikacja próbuje uruchomić się z pełnym tokenem dostępu administratora, system Windows 10 najpierw analizuje plik wykonywalny, aby określić jego wydawcę, a zatem, jeśli jest prawidłowy, autoryzuje odpowiedni dostęp do niego. Windows 10 wykorzystuje według wydawcy trzy kategorie:

  • Okna 10
  • Zweryfikowany wydawca (podpisany)
  • Wydawca niezweryfikowany (niepodpisany)
Kodowanie kolorów żądania podniesienia w systemie Windows 10 jest następujące:
  • Czerwone tło z czerwoną ikoną tarczy: wskazuje, że ta aplikacja jest zablokowana przez zasady grupy lub pochodzi od zablokowanego wydawcy.
  • Niebieskie tło z niebieską i złotą ikoną tarczy: wskazuje, że aplikacja jest aplikacją administracyjną systemu Windows 10, na przykład elementem Panelu sterowania.
  • Niebieskie tło z niebieską ikoną tarczy - odnosi się do faktu, że ta aplikacja jest podpisana przy użyciu funkcji Authenticode i jest zaufana na komputerze lokalnym.
  • Żółte tło z żółtą ikoną tarczy: ta aplikacja jest niepodpisana lub podpisana, ale nie jest jeszcze zaufana na lokalnym komputerze.

Ikona tarczyNiektóre elementy Panelu sterowania w systemie Windows 10, na przykład właściwości daty i godziny, mają kombinację operacji administratora i standardowych operacji użytkownika, tam zwykli użytkownicy mogą zobaczyć zegar i zmienić strefę czasową, ale pełny token dostępu administratora do zmiany lokalny czas systemowy.

Z tego powodu na przycisku zobaczymy następującą tarczę Zmień datę i godzinę we wspomnianej opcji:

Oznacza to, że proces wymaga tokenu pełnego dostępu administratora i po kliknięciu wyświetli wskaźnik podniesienia uprawnień użytkownika.

Architektura UACNa poniższym diagramie widzimy strukturę UAC w systemie Windows 10.

Składnikami tego schematu są:

Poziom użytkownika

  • Użytkownik wykonuje operację wymagającą uprawnień - Użytkownik wykonuje operację wymagającą uprawnień: W takim przypadku, jeśli operacja zmienia system plików lub rejestr, wywoływana jest wirtualizacja. Wszystkie inne operacje wywołują ShellExecute.
  • Wykonanie powłoki: ShellExecute szuka błędu ERROR_ELEVATION_REQUIRED z CreateProcess. Jeśli pojawi się błąd, ShellExecute wywołuje usługę informacyjną aplikacji, aby spróbować wykonać żądane zadanie z podniesionym symbolem.
  • Proces tworzenia: Jeśli aplikacja wymaga podniesienia uprawnień, CreateProcess odrzuca wywołanie z ERROR_ELEVATION_REQUIRED.

Poziom systemu

  • Serwis informacyjny aplikacji: Usługa informacji o aplikacji ułatwia uruchamianie aplikacji, które wymagają co najmniej jednego podwyższonego poziomu uprawnień lub praw użytkownika, tworząc nowy proces dla aplikacji z tokenem pełnego dostępu użytkownika administracyjnego, gdy wymagane jest podniesienie uprawnień.
  • Podnoszenie instalacji ActiveX - Podnoszenie instalacji ActiveX: Jeśli ActiveX nie jest zainstalowany, system sprawdza poziom suwaka UAC. Jeśli zainstalowano ActiveX, wybrane jest ustawienie zasad grupy Kontrola konta użytkownika: Przełącz na bezpieczny pulpit podczas żądania podniesienia uprawnień.
  • Sprawdź poziom suwaka UAC - Sprawdź poziom UAC: UAC ma cztery poziomy powiadomień do wyboru i suwak do wyboru poziomu powiadomień: Wysoki, Średni, Niski lub Brak powiadomienia.

Doświadczenie użytkownika UACUstawienia polityki bezpieczeństwa Kontrola konta użytkownika
W systemie Windows 10 możemy skorzystać z polityk bezpieczeństwa, aby skonfigurować działanie Kontroli konta użytkownika w naszej firmie.

Można je skonfigurować lokalnie za pomocą przystawki Zasady zabezpieczeń lokalnych (secpol.msc) lub skonfigurować dla domeny, jednostki organizacyjnej lub określonych grup za pomocą zasad grupy. Niektóre z dostępnych zasad to:

Kontrola konta użytkownika Tryb zatwierdzania przez administratora dla wbudowanego konta administratoraZa pomocą tej polityki kontrolujemy zachowanie trybu zatwierdzania administratora dla zintegrowanego konta administratora, a opcje to:

  • Włączony: Gdy ta zasada jest włączona, wbudowane konto administratora korzysta z trybu zatwierdzania przez administratora. Domyślnie każda operacja wymagająca podniesienia uprawnień będzie monitować użytkownika o zatwierdzenie operacji.
  • Niepełnosprawny: Jest to opcja domyślna i wraz z nią wbudowane konto administratora uruchamia wszystkie aplikacje z pełnymi uprawnieniami administracyjnymi.

Kontrola konta użytkownika - umożliwia aplikacji UIAccess żądanie podniesienia uprawnień bez korzystania z bezpiecznego pulpituDzięki tej polityce będzie możliwe kontrolowanie, czy programy ułatwiające dostęp do interfejsu użytkownika (UIAccess lub UIA) mogą automatycznie wyłączyć bezpieczny pulpit dla komunikatów podniesienia używanych przez standardowego użytkownika. Twoje opcje to:

  • Włączony: Ta opcja automatycznie wyłącza bezpieczny pulpit dla monitów o podniesienie uprawnień.
  • Niepełnosprawny: Bezpieczny pulpit może zostać wyłączony tylko przez użytkownika interaktywnego pulpitu lub przez wyłączenie ustawienia zasad „Kontrola konta użytkownika: Przełącz na bezpieczny pulpit po żądaniu podniesienia”.

Kontrola konta użytkownika - zachowanie wiadomości o podniesieniu uprawnień dla administratorów w trybie zatwierdzania przez administratoraW tej polityce będziemy kontrolować zachowanie wskaźnika podniesienia uprawnień dla administratorów. Dostępne opcje to:

  • Podnieś bez pytania: Umożliwia kontom uprzywilejowanym wykonywanie operacji, która wymaga podniesienia uprawnień, bez konieczności uzyskania zgody użytkownika lub poświadczeń.
  • Poproś o poświadczenia na bezpiecznym pulpicie: Gdy operacja wymaga podniesienia uprawnień, użytkownik jest proszony o wprowadzenie uprzywilejowanej nazwy użytkownika i hasła na bezpiecznym pulpicie.
  • Prośba o zgodę na bezpiecznym pulpicie: Gdy operacja wymaga podniesienia uprawnień, użytkownik jest proszony o wybranie opcji Zezwól lub Odrzuć akcję na bezpiecznym pulpicie.
  • Poproś o poświadczenia: Gdy operacja wymaga podniesienia uprawnień, użytkownik jest proszony o wprowadzenie nazwy użytkownika i hasła administratora.
  • Prośba o zgodę: Gdy operacja wymaga podniesienia uprawnień, użytkownik jest proszony o wybranie opcji Zezwól lub Odmów.
  • Prośba o zgodę dla plików binarnych innych niż Windows (domyślnie): Gdy operacja dla aplikacji innej niż Microsoft wymaga podniesienia uprawnień, użytkownik jest proszony o wybranie opcji Zezwól lub Odmów na bezpiecznym pulpicie.

Kontrola konta użytkownika: zachowanie wskaźnika wysokości dla standardowych użytkownikówDzięki tej polityce możemy kontrolować zachowanie wskaźnika elewacji dla standardowych użytkowników. Dostępne opcje to:

  • Poproś o poświadczenia (domyślnie): Gdy operacja wymaga podniesienia uprawnień, użytkownik jest proszony o wprowadzenie nazwy użytkownika i hasła administratora.
  • Automatycznie odrzucaj żądania podnoszenia: Gdy operacja wymaga podniesienia uprawnień, wyświetlany jest komunikat o błędzie dostępu do konfiguracji.
  • Poproś o poświadczenia na bezpiecznym pulpicie: Gdy operacja wymaga podniesienia uprawnień, użytkownik jest proszony o wprowadzenie innej nazwy użytkownika i hasła na bezpiecznym pulpicie.

Kontrola konta użytkownika - wykrywaj instalacje aplikacji i żądaj podwyższenia poziomuDzięki tej polityce będziemy mogli kontrolować zachowanie wykrywania instalacji aplikacji na komputerze.
Twoje opcje to:

  • Włączony (domyślnie): Po wykryciu pakietu instalacyjnego aplikacji wymagającego podniesienia uprawnień użytkownik zostanie poproszony o wprowadzenie nazwy użytkownika i hasła administratora.
  • Niepełnosprawny: Wyłączone pakiety instalacyjne aplikacji nie są wykrywane i wymagane są podniesienia uprawnień. Firmy korzystające ze standardowych pulpitów użytkowników i korzystające z technologii instalacji delegowanych, takich jak zasady grupy lub System Center Configuration Manager, powinny wyłączyć to ustawienie zasad.

Kontrola konta użytkownika: przesyłaj tylko pliki wykonywalne, które są podpisane i zweryfikowane
Korzystając z tej zasady, definiujesz kontrole podpisywania infrastruktury klucza publicznego (PKI) dla dowolnej aplikacji interaktywnej, która żąda podniesienia uprawnień.

Administratorzy IT mogą kontrolować, które aplikacje mogą być uruchamiane, dodając certyfikaty do magazynu certyfikatów Zaufani wydawcy na komputerach lokalnych. Twoje opcje to:

  • Włączony: Promuje weryfikację ścieżki certyfikacji certyfikatu dla danego pliku wykonywalnego przed zezwoleniem na jego uruchomienie.
  • Niepełnosprawny: Nie wymusza walidacji ścieżki certyfikacji certyfikatu przed zezwoleniem na uruchomienie określonego pliku wykonywalnego.

Kontrola konta użytkownika: podnoś tylko aplikacje UIAccess, które są zainstalowane w bezpiecznych lokalizacjachDzięki tej zasadzie będzie można kontrolować, czy aplikacje żądające uruchomienia z poziomem integralności dostępu interfejsu użytkownika (UIAccess) muszą znajdować się w bezpiecznej lokalizacji w systemie plików. Bezpieczne lokalizacje są ograniczone do następujących tras:

 \ Program Files \, \ Windows \ system32 \, \ Program Files (x86) \. 
Twoje opcje to:
  • Włączony: Jeśli aplikacja znajduje się w bezpiecznej lokalizacji w systemie plików, działa tylko z integralnością UIAccess.
  • Niepełnosprawny: Aplikacja działa z integralnością UIAccess, nawet jeśli nie znajduje się w bezpiecznej lokalizacji w systemie plików.

Kontrola konta użytkownika - Włącz tryb zatwierdzania administratoraWdrażając tę ​​zasadę, będziemy mogli kontrolować zachowanie wszystkich ustawień zasad Kontroli konta użytkownika (UAC) na komputerze. Jeśli zmienisz to ustawienie zasad, musisz ponownie uruchomić komputer. Dostępne opcje to:

  • Włączony: Umożliwia wbudowanemu kontu administratora i wszystkim innym użytkownikom, którzy są członkami grupy Administratorzy, działanie w trybie zatwierdzania przez administratora.
  • Niepełnosprawny: Jeśli to ustawienie zasad jest wyłączone, Centrum zabezpieczeń powiadomi Cię, że ogólne bezpieczeństwo systemu operacyjnego zostało zmniejszone.

Kontrola konta użytkownika - przełącz się na bezpieczny pulpit, gdy zażądasz podwyższenia poziomuDzięki tej polityce będzie możliwe kontrolowanie, czy komunikat żądania podniesienia jest wyświetlany na interaktywnym pulpicie użytkownika, czy na bezpiecznym pulpicie. Tam możemy ustalić:

  • Włączony: Wszystkie żądania windy trafiają na bezpieczny pulpit, niezależnie od ustawień zasad zachowania powiadomień dla administratorów i standardowych użytkowników.
  • Niepełnosprawny: Wszystkie żądania windy trafiają do interaktywnego pulpitu użytkownika. Używane są standardowe ustawienia zasad zachowania użytkowników i administratorów.
  • Wszystkie te opcje znajdują się za pomocą kombinacji klawiszy + R i wykonania polecenia secpol.msc
W wyświetlonym oknie przejdziemy do trasy Zasady lokalne / Opcje bezpieczeństwa.

Konfiguracja kluczy rejestruKlucze rejestru UAC można znaleźć w następującej ścieżce edytora rejestru, do którego uzyskujemy dostęp za pomocą kluczy i wykonywania regedit:

 HKEY_LOCAL_MACHINE \ OPROGRAMOWANIE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
Dostępne rekordy to:

FilterAdministratorTokendostępne opcje to:

 0 (domyślnie) = wyłączone 1 = włączone

Włącz UIADesktopToggleTwoje opcje to:

 0 (domyślnie) = wyłączone 1 = włączone

ZgodaMonit ZachowanieAdministratorTwoje opcje to:

 0 = Podnieś bez pytania 1 = Pytaj o poświadczenia na bezpiecznym pulpicie 2 = Pytaj o zgodę na bezpiecznym pulpicie 3 = Pytaj o poświadczenia 4 = Pytaj o zgodę 5 (domyślnie) = Pytaj o zgodę dla plików binarnych innych niż Windows

ZgodaPromptZachowanieUżytkownikTwoje możliwości to:

 0 = Automatycznie odrzucaj żądania podniesienia uprawnień 1 = Pytaj o poświadczenia na bezpiecznym pulpicie 3 (domyślnie) = Pytaj o poświadczenia

Włącz wykrywanie instalatoraTwoje opcje to:

 1 = włączone (domyślnie dla wersji Home) 0 = wyłączone (domyślnie dla wersji Enterprise)

Weryfikuj podpisy kodu administratoraTwoje opcje to:

 0 (domyślnie) = wyłączone 1 = włączone

Włącz bezpieczne UIPathsTwoje opcje to:

 0 = wyłączone 1 (domyślnie) = włączone

Włącz LUATwoje opcje to:

 0 = wyłączone 1 (domyślnie) = włączone

Jak zrozumieliśmy, UAC został opracowany, aby pomóc nam mieć lepszą kontrolę nad procesami wykonywanymi w systemie Windows 10, zawsze mając na uwadze bezpieczeństwo i prywatność każdego użytkownika.

wave wave wave wave wave