A Microsoft a Windows Vista rendszerben bevezetett egy új mechanizmust, amely egy további rendszerszintű védelmet nyújt a jogosulatlan változások ellen UAC (Felhasználói fiókok ellenőrzése vagy számlavezérlés). Windows 7 (és újabb) esetén az UAC beállító csúszkát kapott (a vezérlőpulton vagy a fájlon keresztül hívható) UserAccountControlSettings.exe), amellyel kiválaszthatja az UAC négy szintű védelmét.
A csúszka meghatározza a felhasználói fiókok ellenőrzésének 4 előre meghatározott szintjét:
- 4. szint - mindig értesítse - Mindig értesítsen (UAC maximális biztonsági szint)
- 3. szint - értesít csak amikor programok megpróbál hogy make változások hogy én számítógép (alapértelmezett) - Csak akkor értesítsen, amikor a program változtatásokat próbál megtenni a számítógépemen (általános védelmi szint)
- 2. szint - értesít csak amikor programok megpróbál hogy make változások hogy én számítógép (csinál nem homályos én desktop) - ugyanaz, mint az előző szint, de anélkül, hogy átkapcsolnánk a Biztonságos Asztalra asztali zárral
- 1. szint - Soha ne értesítsen - Soha ne értesítsen (az UAC le van tiltva)
Alapértelmezés szerint a Windows használja 3. szint UAC védelem.
Az UAC-beállítások kezelése csúszka és csoportszabályok segítségével egyaránt lehetséges. A csoportházirend-szerkesztőben azonban nincs egyetlen házirend, amely lehetővé teszi a 4 védelmi szint egyikének kiválasztását (amely megfelel az UAC csúszka helyzetének). Ehelyett javasolt az UAC 10 beállításainak módosítása különféle házirendekkel. Ezek az irányelvek a következő szakaszban találhatók:
Számítógép konfigurálása -> Házirendek -> Windows beállítások -> Biztonsági beállítások -> Helyi házirendek -> Biztonsági beállítások (Számítógép konfigurálása -> Windows konfiguráció -> Biztonsági beállítások -> Helyi házirendek). Az UAC-val kapcsolatos házirendek neve kezdődik használó számla Vezérlés (Felhasználói fiókok ellenőrzése).
Az alábbi táblázat felsorolja az UAC házirendeket és a hozzájuk tartozó rendszerleíró kulcsot. Az UAC-beállításokat a rendszerleíró fiókban tárolják HKEY_LOCAL_MACHINE \ SZOFTVER \ Microsoft \ Windows \ CurrentVersion \ Irányelvek \ Rendszer
Irányelv neve | Szabályzat egyedi regisztrációs kulcs | |
Felhasználói fiókok ellenőrzése: Rendszergazda jóváhagyási mód a beépített rendszergazdai fiókhoz | Felhasználói fiókok vezérlése: Használja a rendszergazdai jóváhagyási módot a beépített rendszergazdai fiókhoz | FilterAdministratorToken |
Felhasználói fiókok ellenőrzése: Hagyja, hogy az UIAccess alkalmazások a biztonságos asztal használata nélkül kérjenek magasságot | Felhasználói vezérlés: engedélyezheti, hogy az UIAccess alkalmazások magasságot kérjenek biztonságos asztal használata nélkül | EnableUIADesktopToggle |
Felhasználói fiókok ellenőrzése: Az adminisztrátorok jóváhagyási módjában az adminisztrátorok számára a magassági felszólítás viselkedése | Felhasználói vezérlés: magassági kérés viselkedése a rendszergazdák számára rendszergazdai jóváhagyási módban | ConsentPromptBehaviorAdmin |
Felhasználói fiókok ellenőrzése: A magassági parancs viselkedése a szokásos felhasználók számára | Felhasználói vezérlés: magassági igény viselkedése a rendszeres felhasználók számára | ConsentPromptBehaviorUser |
Felhasználói fiókok vezérlése: Az alkalmazás telepítésének észlelése és a felszólítás felszólítása | Felhasználói fiókok ellenőrzése: Az alkalmazás telepítésének észlelése és a magassági igény | EnableInstallerDetection |
Felhasználói fiókok ellenőrzése: Csak az aláírt és érvényesített végrehajtható fájlokat emelje fel | Felhasználói fiókok ellenőrzése: a jogok kiterjesztése csak aláírt és ellenőrzött végrehajtható fájlokra | ValidateAdminCodeSignatures |
Felhasználói fiókok ellenőrzése: Csak a biztonságos helyre telepített UIAccess alkalmazásokat emelje fel | Felhasználói fiókok vezérlése: Csak a biztonságos helyre telepített UIAccess alkalmazások jogosultságait emelje fel | EnableSecureUIAPaths |
Felhasználói fiókok vezérlése: Az összes adminisztrátor futtatása rendszergazdai jóváhagyási módban | Felhasználói fiókok ellenőrzése: Az adminisztrátor jóváhagyásának engedélyezése | EnableLUA |
Felhasználói fiókok vezérlése: Váltás a biztonságos asztalra, amikor a megemelést kéri | Felhasználói fiókok vezérlése: Váltás biztonságos asztalra egy magassági igény végrehajtásakor | PromptOnSecureDesktop |
Felhasználói fiókok vezérlése: A fájl- és rendszerleíró adatbázis hibáinak virtualizálása felhasználói helyekre | Felhasználói fiókok ellenőrzése: amikor a fájlba vagy a rendszerleíró adatbázisba történő írás meghiúsul, akkor a virtualizáció a felhasználó helyére történik | EnableVirtualization |
Abban az esetben, ha az UAC paramétereket a GPO-n keresztül kívánja beállítani, használhatja a beállítások és az alábbiakban ismertetett négy UAC-szint közötti megfelelést:
UAC 1. szint
Rendszergazda jóváhagyási mód a beépített rendszergazdai fiókhoz = letiltva
Hagyja, hogy az UIAccess alkalmazások a biztonságos asztal használata nélkül kérjen magasságot = Letiltva
Az adminisztrátorok magassági parancsának viselkedése rendszergazdai jóváhagyási módban = Emelje felszólítás nélkül
A magassági parancs viselkedése normál felhasználók számára = Kérdés a hitelesítő adatok megadására
Az alkalmazás telepítésének észlelése és a megemelés kérése = Engedélyezve
Csak az aláírt és érvényesített végrehajtható fájlokat emelje fel = letiltva
Csak a biztonságos helyre telepített UIAccess alkalmazásokat emelje fel = Engedélyezve
Futtassa az összes rendszergazdát a Rendszergazda jóváhagyási módban = Letiltva
Váltás a biztonságos asztalra, amikor a magasság felszólítását kérjük = Letiltva
A fájlok és a rendszerleíró adatok írási hibáinak virtualizálása felhasználói helyekre = Engedélyezve
Hagyja, hogy az UIAccess alkalmazások a biztonságos asztal használata nélkül kérjen magasságot = Letiltva
Az adminisztrátorok magassági parancsának viselkedése adminisztrátori jóváhagyási módban = Kérjen jóváhagyást a nem Windows bináris fájlokhoz
A magassági parancs viselkedése normál felhasználók számára = Kérdés a hitelesítő adatok megadására
Az alkalmazás telepítésének észlelése és a megemelés kérése = Engedélyezve
Csak az aláírt és érvényesített végrehajtható fájlokat emelje fel = letiltva
Csak a biztonságos helyre telepített UIAccess alkalmazásokat emelje fel = Engedélyezve
Futtassa az összes rendszergazdát a Rendszergazda jóváhagyási módban = Engedélyezve
Váltás a biztonságos asztalra, amikor a magasság felszólítását kérjük = Letiltva
A fájlok és a rendszerleíró adatok írási hibáinak virtualizálása felhasználói helyekre = EngedélyezveUAC szint 3 (tovább alapértelmezett) A zárójelben a házirendeknek megfelelő szabványos rendszerleíró kulcs értékek vannak: A beépített rendszergazdai fiók adminisztrátori jóváhagyási módja = Letiltva (a FilterAdministratorToken beállításkulcs értéke 0)
Hagyja, hogy az UIAccess alkalmazások kérjenek emelkedést a biztonságos asztal használata nélkül = Letiltva (az EnableUIADesktopToggle beállításkulcs értéke 0)
Az adminisztrátorok magassági parancsának viselkedése rendszergazdai jóváhagyási módban = Nem Windows bináris fájlok jóváhagyásának kérése (a ConsentPromptBehaviorAdmin rendszerleíró kulcsának értéke 5)
A magassági parancs viselkedése a szokásos felhasználók számára = Hitelesítő adatok kérése (regisztrációs kulcs értéke ConsentPromptBehaviorUser-3)
Az alkalmazás telepítésének észlelése és a megemelés kérése = Engedélyezve (az EnableInstallerDetection beállításkulcs értéke - 0 a tartományban lévő számítógépeknél, 1 - munkacsoportok számára)
Csak az aláírt és érvényesített végrehajtható fájlokat emeli = Letiltva (a rendszerleíró kulcs értéke ValidateAdminCodeSignatures - 0)
Csak a biztonságos helyekre telepített UIAccess alkalmazásokat emelje fel = Engedélyezve (EnableSecureUIAPaths - 1 beállításkulcs értéke)
Az összes rendszergazda futtatása Rendszergazda jóváhagyási módban = Engedélyezve (EnableLUA-1 beállításkulcs értéke)
Váltás a biztonságos asztalra, amikor a megemelést kér = Engedélyezve (PromptOnSecureDesktop-1 beállításkulcs értéke)
A fájlok és a rendszerleíró adatbázis írási hibáinak virtualizálása felhasználói helyekre = Engedélyezve (a beállításkulcs értéke EnableVirtualization- 1)UAC szint 4Rendszergazda jóváhagyási mód a beépített rendszergazdai fiókhoz = letiltva
Hagyja, hogy az UIAccess alkalmazások a biztonságos asztal használata nélkül kérjen magasságot = Letiltva
Az adminisztrátorok magassági parancsának viselkedése rendszergazdai jóváhagyási módban = Engedélyt kér a biztonságos asztalon
A magassági parancs viselkedése normál felhasználók számára = Kérdés a hitelesítő adatok megadására
Az alkalmazás telepítésének észlelése és a megemelés kérése = Engedélyezve
Csak az aláírt és érvényesített végrehajtható fájlokat emelje fel = letiltva
Csak a biztonságos helyre telepített UIAccess alkalmazásokat emelje fel = Engedélyezve
Futtassa az összes rendszergazdát a Rendszergazda jóváhagyási módban = Engedélyezve
Váltson a biztonságos asztalra, amikor felszólítást ad az emelésre = Engedélyezve
A fájlok és a rendszerleíró adatok írási hibáinak virtualizálása felhasználói helyekre = Engedélyezve
Ha azt szeretné, hogy további felhasználók maguk állítsák be az UAC-beállításokat, akkor a tartományi számítógépek általános beállításai úgy állíthatók be, hogy a rendszerleíró kulcsot GPP-n keresztül egyszer használatban telepítik (egyszeri alkalmazás, és nem jelentkezik újra).