Felhasználói fiókok vezérlése csúszka és csoportszabályok beállításai

A Microsoft a Windows Vista rendszerben bevezetett egy új mechanizmust, amely egy további rendszerszintű védelmet nyújt a jogosulatlan változások ellen UAC (Felhasználói fiókok ellenőrzése vagy számlavezérlés). Windows 7 (és újabb) esetén az UAC beállító csúszkát kapott (a vezérlőpulton vagy a fájlon keresztül hívható) UserAccountControlSettings.exe), amellyel kiválaszthatja az UAC négy szintű védelmét.

A csúszka meghatározza a felhasználói fiókok ellenőrzésének 4 előre meghatározott szintjét:

  • 4. szint - mindig értesítse -  Mindig értesítsen (UAC maximális biztonsági szint)
  • 3. szint - értesít csak amikor programok megpróbál hogy make változások hogy én számítógép (alapértelmezett) - Csak akkor értesítsen, amikor a program változtatásokat próbál megtenni a számítógépemen (általános védelmi szint)
  • 2. szint - értesít csak amikor programok megpróbál hogy make változások hogy én számítógép (csinál nem homályos én desktop) - ugyanaz, mint az előző szint, de anélkül, hogy átkapcsolnánk a Biztonságos Asztalra asztali zárral
  • 1. szint - Soha ne értesítsen - Soha ne értesítsen (az UAC le van tiltva)

Alapértelmezés szerint a Windows használja 3. szint UAC védelem.

Az UAC-beállítások kezelése csúszka és csoportszabályok segítségével egyaránt lehetséges. A csoportházirend-szerkesztőben azonban nincs egyetlen házirend, amely lehetővé teszi a 4 védelmi szint egyikének kiválasztását (amely megfelel az UAC csúszka helyzetének). Ehelyett javasolt az UAC 10 beállításainak módosítása különféle házirendekkel. Ezek az irányelvek a következő szakaszban találhatók:

Számítógép konfigurálása -> Házirendek -> Windows beállítások -> Biztonsági beállítások -> Helyi házirendek -> Biztonsági beállítások (Számítógép konfigurálása -> Windows konfiguráció -> Biztonsági beállítások -> Helyi házirendek). Az UAC-val kapcsolatos házirendek neve kezdődik használó számla Vezérlés (Felhasználói fiókok ellenőrzése).

Az alábbi táblázat felsorolja az UAC házirendeket és a hozzájuk tartozó rendszerleíró kulcsot. Az UAC-beállításokat a rendszerleíró fiókban tárolják HKEY_LOCAL_MACHINE \ SZOFTVER \ Microsoft \ Windows \ CurrentVersion \ Irányelvek \ Rendszer

Irányelv neveSzabályzat egyedi regisztrációs kulcs
Felhasználói fiókok ellenőrzése: Rendszergazda jóváhagyási mód a beépített rendszergazdai fiókhozFelhasználói fiókok vezérlése: Használja a rendszergazdai jóváhagyási módot a beépített rendszergazdai fiókhozFilterAdministratorToken
Felhasználói fiókok ellenőrzése: Hagyja, hogy az UIAccess alkalmazások a biztonságos asztal használata nélkül kérjenek magasságotFelhasználói vezérlés: engedélyezheti, hogy az UIAccess alkalmazások magasságot kérjenek biztonságos asztal használata nélkülEnableUIADesktopToggle
Felhasználói fiókok ellenőrzése: Az adminisztrátorok jóváhagyási módjában az adminisztrátorok számára a magassági felszólítás viselkedéseFelhasználói vezérlés: magassági kérés viselkedése a rendszergazdák számára rendszergazdai jóváhagyási módbanConsentPromptBehaviorAdmin
Felhasználói fiókok ellenőrzése: A magassági parancs viselkedése a szokásos felhasználók számáraFelhasználói vezérlés: magassági igény viselkedése a rendszeres felhasználók számáraConsentPromptBehaviorUser
Felhasználói fiókok vezérlése: Az alkalmazás telepítésének észlelése és a felszólítás felszólításaFelhasználói fiókok ellenőrzése: Az alkalmazás telepítésének észlelése és a magassági igényEnableInstallerDetection
Felhasználói fiókok ellenőrzése: Csak az aláírt és érvényesített végrehajtható fájlokat emelje felFelhasználói fiókok ellenőrzése: a jogok kiterjesztése csak aláírt és ellenőrzött végrehajtható fájlokraValidateAdminCodeSignatures
Felhasználói fiókok ellenőrzése: Csak a biztonságos helyre telepített UIAccess alkalmazásokat emelje felFelhasználói fiókok vezérlése: Csak a biztonságos helyre telepített UIAccess alkalmazások jogosultságait emelje felEnableSecureUIAPaths
Felhasználói fiókok vezérlése: Az összes adminisztrátor futtatása rendszergazdai jóváhagyási módbanFelhasználói fiókok ellenőrzése: Az adminisztrátor jóváhagyásának engedélyezéseEnableLUA
Felhasználói fiókok vezérlése: Váltás a biztonságos asztalra, amikor a megemelést kériFelhasználói fiókok vezérlése: Váltás biztonságos asztalra egy magassági igény végrehajtásakorPromptOnSecureDesktop
Felhasználói fiókok vezérlése: A fájl- és rendszerleíró adatbázis hibáinak virtualizálása felhasználói helyekreFelhasználói fiókok ellenőrzése: amikor a fájlba vagy a rendszerleíró adatbázisba történő írás meghiúsul, akkor a virtualizáció a felhasználó helyére történikEnableVirtualization

Abban az esetben, ha az UAC paramétereket a GPO-n keresztül kívánja beállítani, használhatja a beállítások és az alábbiakban ismertetett négy UAC-szint közötti megfelelést:

UAC 1. szint

Rendszergazda jóváhagyási mód a beépített rendszergazdai fiókhoz = letiltva
Hagyja, hogy az UIAccess alkalmazások a biztonságos asztal használata nélkül kérjen magasságot = Letiltva
Az adminisztrátorok magassági parancsának viselkedése rendszergazdai jóváhagyási módban = Emelje felszólítás nélkül
A magassági parancs viselkedése normál felhasználók számára = Kérdés a hitelesítő adatok megadására
Az alkalmazás telepítésének észlelése és a megemelés kérése = Engedélyezve
Csak az aláírt és érvényesített végrehajtható fájlokat emelje fel = letiltva
Csak a biztonságos helyre telepített UIAccess alkalmazásokat emelje fel = Engedélyezve
Futtassa az összes rendszergazdát a Rendszergazda jóváhagyási módban = Letiltva
Váltás a biztonságos asztalra, amikor a magasság felszólítását kérjük = Letiltva
A fájlok és a rendszerleíró adatok írási hibáinak virtualizálása felhasználói helyekre = Engedélyezve

UAC szint 2Rendszergazda jóváhagyási mód a beépített rendszergazdai fiókhoz = letiltva
Hagyja, hogy az UIAccess alkalmazások a biztonságos asztal használata nélkül kérjen magasságot = Letiltva
Az adminisztrátorok magassági parancsának viselkedése adminisztrátori jóváhagyási módban = Kérjen jóváhagyást a nem Windows bináris fájlokhoz
A magassági parancs viselkedése normál felhasználók számára = Kérdés a hitelesítő adatok megadására
Az alkalmazás telepítésének észlelése és a megemelés kérése = Engedélyezve
Csak az aláírt és érvényesített végrehajtható fájlokat emelje fel = letiltva
Csak a biztonságos helyre telepített UIAccess alkalmazásokat emelje fel = Engedélyezve
Futtassa az összes rendszergazdát a Rendszergazda jóváhagyási módban = Engedélyezve
Váltás a biztonságos asztalra, amikor a magasság felszólítását kérjük = Letiltva
A fájlok és a rendszerleíró adatok írási hibáinak virtualizálása felhasználói helyekre = Engedélyezve

UAC szint 3 (tovább alapértelmezett) A zárójelben a házirendeknek megfelelő szabványos rendszerleíró kulcs értékek vannak: A beépített rendszergazdai fiók adminisztrátori jóváhagyási módja = Letiltva (a FilterAdministratorToken beállításkulcs értéke 0)
Hagyja, hogy az UIAccess alkalmazások kérjenek emelkedést a biztonságos asztal használata nélkül = Letiltva (az EnableUIADesktopToggle beállításkulcs értéke 0)
Az adminisztrátorok magassági parancsának viselkedése rendszergazdai jóváhagyási módban = Nem Windows bináris fájlok jóváhagyásának kérése (a ConsentPromptBehaviorAdmin rendszerleíró kulcsának értéke 5)
A magassági parancs viselkedése a szokásos felhasználók számára = Hitelesítő adatok kérése (regisztrációs kulcs értéke ConsentPromptBehaviorUser-3)
Az alkalmazás telepítésének észlelése és a megemelés kérése = Engedélyezve (az EnableInstallerDetection beállításkulcs értéke - 0 a tartományban lévő számítógépeknél, 1 - munkacsoportok számára)
Csak az aláírt és érvényesített végrehajtható fájlokat emeli = Letiltva (a rendszerleíró kulcs értéke ValidateAdminCodeSignatures - 0)
Csak a biztonságos helyekre telepített UIAccess alkalmazásokat emelje fel = Engedélyezve (EnableSecureUIAPaths - 1 beállításkulcs értéke)
Az összes rendszergazda futtatása Rendszergazda jóváhagyási módban = Engedélyezve (EnableLUA-1 beállításkulcs értéke)
Váltás a biztonságos asztalra, amikor a megemelést kér = Engedélyezve (PromptOnSecureDesktop-1 beállításkulcs értéke)
A fájlok és a rendszerleíró adatbázis írási hibáinak virtualizálása felhasználói helyekre = Engedélyezve (a beállításkulcs értéke EnableVirtualization- 1)

UAC szint 4Rendszergazda jóváhagyási mód a beépített rendszergazdai fiókhoz = letiltva
Hagyja, hogy az UIAccess alkalmazások a biztonságos asztal használata nélkül kérjen magasságot = Letiltva
Az adminisztrátorok magassági parancsának viselkedése rendszergazdai jóváhagyási módban = Engedélyt kér a biztonságos asztalon
A magassági parancs viselkedése normál felhasználók számára = Kérdés a hitelesítő adatok megadására
Az alkalmazás telepítésének észlelése és a megemelés kérése = Engedélyezve
Csak az aláírt és érvényesített végrehajtható fájlokat emelje fel = letiltva
Csak a biztonságos helyre telepített UIAccess alkalmazásokat emelje fel = Engedélyezve
Futtassa az összes rendszergazdát a Rendszergazda jóváhagyási módban = Engedélyezve
Váltson a biztonságos asztalra, amikor felszólítást ad az emelésre = Engedélyezve
A fájlok és a rendszerleíró adatok írási hibáinak virtualizálása felhasználói helyekre = Engedélyezve

Ha azt szeretné, hogy további felhasználók maguk állítsák be az UAC-beállításokat, akkor a tartományi számítógépek általános beállításai úgy állíthatók be, hogy a rendszerleíró kulcsot GPP-n keresztül egyszer használatban telepítik (egyszeri alkalmazás, és nem jelentkezik újra).