Налаштування параметрів групових політик контролю облікових записів за замовчуванням:
Параметр групової політики
Значення за замовчуванням
Служба захисту користувачів: включення режиму адміністративного підтвердження
Служба захисту користувачів: виявлення установки додатків і запит на підвищення прав
Служба захисту користувачів: переключення до безпечного робочого столу при виконанні запиту на підвищення прав
Служба захисту користувачів: поведінка запиту на підвищення прав для адміністраторів в режимі адміністративного
Запит згоди для двійкових даних не з Windows
Служба захисту користувачів: поведінка запиту на підвищення прав для звичайних користувачів
Запит облікових даних
Служба захисту користувачів: підвищувати права тільки для UIAccess-додатків, встановлених в безпечному розташування
Служба захисту користувачів: підвищення прав тільки для підписаних і перевірених виконуваних файлів
Служба захисту користувачів: при збоях записи в файл або реєстр віртуалізація в розміщення користувача
Служба захисту користувачів: дозволяти UIAccess-додатків запитувати підвищення прав, не використовуючи безпечний робочий стіл
Служба захисту користувачів: використання режиму адміністративного підтвердження для вбудованої облікового запису адміністратора
Параметри групових політик, які мають відношення до контролю облікових записів користувачів (UAC) детально розглянуті нижче:
Всі адміністратори працюють в режимі адміністративного
Цей параметр політики визначає характеристики всіх політик контролю облікових записів для комп'ютера. Від даного параметра залежить, чи будуть облікові записи адміністраторів запускатися в «режимі адміністративного», тобто чи будуть відображатися діалоги із запитом на підвищення повноважень. Відключення цієї настройки, грубо кажучи, повністю відключає функціонал контролю облікових записів користувачів. При зміні цього параметра політики необхідно перезавантажити комп'ютер. Значення за замовчуванням - включено.
Можливі значення параметра:
- Включено. Режим адміністративного підтвердження включений для того, щоб дозволити вбудованої облікового запису адміністратора і всім іншим користувачам, які є членами групи "Адміністратори". працювати в режимі адміністративного.
- Відключено. Режим схвалення адміністратором і всі відповідні параметри політики контролю облікових записів будуть відключені.
Налаштування поточної політики за допомогою реєстру:
Виявлення установки додатків і запит на підвищення прав
Ця установка визначає характеристики виявлення установки додатків для комп'ютера, перевіряючи чи підписані програми, які застосовуються для розгортання додатків чи ні. За замовчуванням, якщо користувач входить в робочу групу, вона включена.
Можливі значення параметра:
- Включено (за замовчуванням для будинку). У тому випадку, якщо програма установки додатків виявляє необхідність підвищення повноважень, користувачеві пропонується ввести ім'я користувача і пароль облікового запису адміністратора. Якщо користувач вводить правильні облікові дані, операція триває з відповідними правами. Вид запиту залежить від того, до якої групи належить користувач.
- Відключено (за замовчуванням для організації). Якщо це буде вибрано, виявлення програми установки додатків не видає запит на підвищення повноважень. Зазвичай ця настройка застосовується в організаціях, комп'ютери і користувачі якої входять до складу домену і для розгортання додатків використовуються технології делегованої установки (Group Policy Software Install - GPSI). Відповідно, необхідність у виявленні установника відпадає.
Налаштування поточної політики за допомогою реєстру:
Перемикання до безпечного робочого столу при виконанні запиту на підвищення прав
Даний параметр політики визначає, чи будуть запити на підвищення повноважень виводитися на інтерактивний робочий стіл користувача або на безпечний робочий стіл при ініціюванні UAC-запиту. Значення за замовчуванням - включено. При зміні цього параметра політики необхідно перезавантажити комп'ютер.
Можливі значення параметри:
- Включено. Всі запити на підвищення прав виводяться на безпечний робочий стіл незалежно від параметрів політики поведінки запрошення для адміністраторів і звичайних користувачів.
- Відключено. Всі запити на підвищення прав виводяться на інтерактивний робочий стіл користувача.
Налаштування поточної політики за допомогою реєстру:
Поведінка запиту на підвищення прав для адміністраторів в режимі адміністративного
Поточна настройка дозволяє визначити дії користувача, який входить до групи «Адміністратори» при виконанні операції, що вимагає підвищення прав. Значення за замовчуванням встановлено «Запит згоди для сторонніх довічних файлів (НЕ Windows)».Можливі значення параметра:
Налаштування поточної політики за допомогою реєстру:
Поведінка запиту на підвищення прав для звичайних користувачів
Даний параметр політики визначає їх дії при взаємодії звичайного користувача з додатками, які вимагають підвищення прав. Значення за замовчуванням - «Запит облікових даних на безпечному робочому столі».
Можливі значення параметра:
- Запит облікових даних. Використовуючи цей параметр, звичайному користувачеві пропонується вибрати обліковий запис адміністратора і ввести пароль для виконання наступних дій. Операція буде продовжена тільки в тому випадку, якщо облікові дані введені правильно.
- Автоматично заборонити запити на підвищення прав. При виборі цього параметра, для звичайного користувача буде показано повідомлення про помилку в зв'язку з забороною на доступ в разі виконання операції, що вимагає підвищення повноважень. Організації, настільні комп'ютери яких використовуються звичайними користувачами, можуть вибрати цей параметр політики для зменшення кількості звернень до служби підтримки.
- Запит облікових даних на безпечному робочому столі. Вибравши цей параметр, звичайному користувачеві пропонується вибрати обліковий запис адміністратора і ввести пароль для виконання наступних дій тільки на безпечному робочому столі. Операція буде продовжена тільки в тому випадку, якщо облікові дані введені правильно.
Налаштування поточної політики за допомогою реєстру:
Підвищувати права для UIAccess-додатків тільки при установці в безпечних місцях
Поточний параметр політики дозволяє управляти дозволом на місцезнаходження додатків, які запитують виконання на рівні цілісності, що визначається атрибутом призначеного для користувача інтерфейсу доступу (User Interface of Access - UIAccess) в безпечному місці файлової системи. За замовчуванням, ця настройка включена і у програм із особливими можливостями, для атрибута UIAccess в маніфесті встановлюється значення True для управління вікна запиту підвищення превелегій. Якщо у додатків значення false, тобто якщо атрибут опущений або відсутній маніфест для збірки, додаток не зможе отримати доступ до захищеного призначеному для користувача інтерфейсу. Безпечними вважаються тільки такі папки:
... # 92; Program Files # 92 ;, включаючи вкладені папки
... # 92; Program Files (x86) # 92 ;, включаючи вкладені папки для 64-розрядних версій Windows
Можливі значення параметра:
- Включено. Додаток буде запускатися з рівнем цілісності UIAccess тільки в тому випадку, якщо воно знаходиться в безпечній папці файлової системи.
- Відключено. Додаток буде запускатися з рівнем цілісності UIAccess, навіть якщо воно не знаходиться в безпечній папці файлової системи.
Налаштування поточної політики за допомогою реєстру:
Підвищення прав тільки для підписаних і перевірених виконуваних файлів
Можливі значення параметра:
- Включено. Примусово ініціюється перевірка шляху PKI-сертифікатів, перш ніж запускається на виконання даний файл. В основному, це налаштування використовується в організаціях з доменом, в тому випадку якщо адміністратор помістив PKI-сертифікати в сховищі надійних видавців.
- Відключено. При установці цього параметра, контроль облікових записів не ініціює перевірку ланцюжка верифікації PKI-сертифікатів, перш ніж дозволити виконання даного файлу.
Налаштування поточної політики за допомогою реєстру:
При збої записи в файл або реєстр віртуалізація в місце розміщення користувача
Цей параметр керує перенаправленням збоїв записи додатків в певні розташування в реєстрі і файлової системи. У разі, якщо ця настройка включена, для застарілих додатків, які намагаються зчитувати або записувати інформацію, використовуючи захищені області системи, контроль облікових записів виртуализирует реєстр і файлову систему. Завдяки цьому налаштуванні, UAC дозволяє зменшити небезпеку застарілих додатків, які виконуються від імені адміністратора і під час виконання записують дані в папку% ProgramFiles%,% Windir%; % Windir% # 92; system32 або в розділ системного реєстру HKLM # 92; Software # 92 ;. Значення за замовчуванням - включено.
Можливі значення параметра:
- Включено. Збої записи додатків перенаправляються під час виконання у визначені користувачем розташування в файлової системі і реєстрі.
- Відключено. Виконання програм, які записують дані в безпечні розташування, закінчується помилкою, і не буде виконуватися.
Налаштування поточної політики за допомогою реєстру:
Дозволити UIAccess-додатків запитувати підвищення прав, не використовуючи безпечний робочий стіл
Можливі значення параметра:
- Включено. Якщо це буде вибрано, UIAccess-програми, в тому числі віддалений помічник Windows, автоматично відключають безпечний робочий стіл для запитів на підвищення повноважень. Якщо параметр політики «Служба захисту користувачів: переключення до безпечного робочого столу при виконанні запиту на підвищення прав» включений, то пропозиція з'явиться на інтерактивному робочому столі користувача, а не на безпечному робочому столі.
- Відключено. При виборі цього параметра, безпечний робочий стіл може бути відключений тільки користувачем інтерактивного робочого столу або вимкнувши параметр політики «Служба захисту користувачів: переключення до безпечного робочого столу при виконанні запиту на підвищення прав».
Налаштування поточної політики за допомогою реєстру:
Режим схвалення адміністратором для вбудованої облікового запису адміністратора
Можливі значення параметра:
Налаштування поточної політики за допомогою реєстру:
висновок
У цій статті розповідається про всі можливі налаштуваннях контролю облікових записів користувачів. Розглянуто всі десять параметрів політики безпеки, які відповідають за всі можливі дії, пов'язані з UAC. Крім настройки керування обліковими записами за допомогою групової політики, також розглянуті еквівалентні їм твіки реєстру.
Проясніть будь ласка, чим відрізняється безпечний робочий стіл від інтерактивного крім візуальних ознак (затемнення). Якщо у них завдання одне - підтвердження згоди або облікових даних, навіщо їх розділили? У чому плюси і мінуси, і коли краще використовувати один, а коли інший. Якщо можна в прикладах.
Заздалегідь вдячний.
адміни, поправте перший скрін конфігурації в статті. в ньому вказано що "Служба захисту користувачів: переключення до безпечного робочого столу при виконанні запиту на підвищення прав - відключений"
він повинен бути включений!
@sed_ats, скріншот не є керівництвом до дії, це просто ілюстрація