Funkce a způsob konfigurace GPO UAC v systému Windows 10

Funkce a způsob konfigurace GPO UAC v systému Windows 10
Obsah

Operační systémy Windows obsahují řadu praktických možností, které nám pomáhají zlepšit zabezpečení v něm i v jeho aplikacích.

Jedním z těchto bezpečnostních opatření je dobře známý UAC (User Account Control), protože byl vyvinut tak, aby zabránil zavádění virů nebo malwaru do systému, což má vliv na jeho provozuschopnost a provoz, a dnes Solvetic provede kompletní analýzu toho, jak UAC funguje v Windows 10 a jak jej můžeme nakonfigurovat, abychom z něj vytěžili maximum.

Co je UACŘízení uživatelských účtů nebo UAC je funkce systému Windows 10, která nám pomáhá zabránit tomu, aby se do počítače instaloval určitý typ malwaru, což ovlivňuje jeho provoz a v tomto procesu přispívá organizacím, které mají schopnost implementovat desktop. vylepšení správy a řízení.

Díky UAC budou aplikace a úkoly vždy prováděny v zabezpečeném prostředí pomocí účtu správce.

S UAC bude možné zablokovat automatickou instalaci neautorizovaných aplikací a vyhnout se nechtěným změnám v konfiguraci systému, protože všechny hrozby, které malware v kódu může přijít, mohou zničit, ukrást nebo změnit chování systému.

Implementací UAC můžeme uživatelům umožnit přihlášení ke svým počítačům pomocí standardního uživatelského účtu, což jim usnadní provádění úkolů s přístupovými právy spojenými se standardním účtem.

Jak funguje UACPři používání UAC v systému Windows 10 musí každá aplikace, která potřebuje použít přístupový token správce, požádat o vaše schválení, jinak nebude instalace možná.

Windows 10 chrání systémové procesy a označuje jejich úroveň integrity. Úrovně integrity jsou opatření spolehlivosti, která jsou implementována za účelem optimalizace zabezpečení při instalaci určitého programu.

Aplikace s hodnocením „vysoká“ integrita je ta, která provádí úkoly, které zahrnují úpravu systémových dat, jako je aplikace diskových oblastí, aplikace pro správu paměti RAM atd., Zatímco aplikace s „nízkou“ integritou je aplikace, která splňuje úkoly, které v některých případech point může ovlivnit operační systém, například webový prohlížeč.

Aplikace zařazené do nižších úrovní integrity nemohou upravovat data v aplikacích s vyššími úrovněmi integrity. Když se standardní uživatel pokusí spustit aplikaci, která vyžaduje přístupový token správce, UAC vyžaduje, aby uživatel poskytl platná pověření správce, která mu umožní provést úkol, proto při spuštění aplikace musíme potvrdit příslušné oprávnění.

Přihlašovací proces v UACKdyž je UAC implementován v systému Windows 10, ve výchozím nastavení budou mít všichni uživatelé a správci, kteří jsou ve standardní skupině, přístup k prostředkům a budou moci spouštět aplikace v kontextu zabezpečení standardních uživatelů, což je omezené.

Když se nyní uživatel přihlásí do počítače, systém automaticky vytvoří přístupový token pro tohoto konkrétního uživatele. Tento přístupový token obsahuje informace o úrovni přístupu, který je uživateli udělen, včetně konkrétních identifikátorů zabezpečení (SID) a definovaných oprávnění systému Windows. pro každou úroveň uživatele a příslušné povolení bude uděleno nebo ne.

Naproti tomu když se správce přihlásí do systému Windows 10, budou pro tohoto uživatele vytvořeny dva samostatné přístupové tokeny: standardní přístupový token uživatele a přístupový token správce.

Se standardním přístupovým tokenem uživatele budou existovat stejné informace specifické pro uživatele jako přístupový token administrátora, ale budou odebrána oprávnění správce systému Windows a související SID.

Standardní přístupový token uživatele se používá k provádění aplikací, které neprovádějí úlohy správy (standardní uživatelské aplikace), a tedy všech aplikací, které jsou prováděny jako standardní uživatel, pokud uživatel neposkytne souhlas nebo přihlašovací údaje ke schválení aplikace, která může použití úplného přístupového tokenu pro správu.

Tímto způsobem se uživatel, který patří do skupiny Administrators, bude moci přihlašovat, procházet web a číst e -maily pomocí standardního přístupového tokenu uživatele a když administrátor potřebuje provést úkol, který token vyžaduje. Přístup správce, Windows 10 automaticky požádá uživatele o schválení, a proto když se pokusíme spustit aplikaci, uvidíme zprávu o schválení nebo ne o uvedené aplikaci.

Uživatelská zkušenost s UACKdyž je implementován UAC, uživatelské prostředí pro standardního uživatele se liší od uživatelského prostředí administrátorů v režimu schválení administrátora, což může ovlivnit provádění různých aplikací.

Přístup k systému jako standardní uživatel pomůže maximalizovat zabezpečení spravovaného prostředí, protože budeme vědět, že takový uživatel nebude mít oprávnění instalovat neautorizovaný software.

Díky komponentě pro zvýšení úrovně UAC integrované v systému Windows 10 budou moci standardní uživatelé snadno provádět administrativní úlohy zadáním platných přihlašovacích údajů pro účet místního správce. Vestavěná komponenta zvýšení úrovně UAC pro standardní uživatele je indikátor pověření, který pomáhá spravovat oprávnění při spouštění aplikací.

Když je v systému Windows 10 povolen UAC, pokaždé, když se pokusíme spustit aplikaci, bude před spuštěním programu nebo úkolu vyžadujícího přístupový token úplného administrátora vyžadována autorizace nebo budou vyžadovány přihlašovací údaje platného účtu místního správce.

Toto oznámení nás ujišťuje, že nelze bez potíží instalovat žádný škodlivý software.

Oznámení o nadmořské výšce UACVýškové výzvy v UAC jsou barevně odlišeny, aby byly specifické pro konkrétní aplikaci, což nám umožňuje okamžitě identifikovat bezpečnostní riziko aplikace.

Když se aplikace pokusí spustit s plným přístupovým tokenem pro správce, Windows 10 nejprve analyzuje spustitelný soubor, aby určil jeho vydavatele, a pokud je platný, autorizuje příslušný přístup k němu. Windows 10 využívá tři kategorie podle vydavatele:

  • Windows 10
  • Ověřený vydavatel (podepsaný)
  • Vydavatel není ověřen (bez znaménka)
Barevné kódování požadavku na nadmořskou výšku v systému Windows 10 je následující:
  • Červené pozadí s ikonou červeného štítu: Označuje, že tato aplikace je blokována zásadami skupiny nebo pochází od blokovaného vydavatele.
  • Modré pozadí s modrou a zlatou ikonou štítu: Označuje, že je aplikace pro správu Windows 10, například položka Ovládací panely.
  • Modré pozadí s ikonou modrého štítu - odkazuje na skutečnost, že tato aplikace je podepsána pomocí Authenticode a je důvěryhodná v místním počítači.
  • Žluté pozadí se žlutou ikonou štítu: Tato aplikace není podepsána ani podepsána, ale místnímu počítači zatím nedůvěřuje.

Ikona štítuNěkteré prvky ovládacího panelu v systému Windows 10, například vlastnosti data a času, mají kombinaci administrátorských a standardních uživatelských operací, tam standardní uživatelé vidí hodiny a mění časové pásmo, ale token úplného administrátorského přístupu pro změnu místní systémový čas.

Z tohoto důvodu uvidíme na tlačítku následující štít Změňte datum a čas v uvedené možnosti:

To znamená, že proces vyžaduje plný přístupový token pro správce a po kliknutí se zobrazí indikátor zvýšení UAC.

Architektura UACV následujícím diagramu vidíme, jak je UAC strukturován ve Windows 10.

Součásti tohoto schématu jsou:

Uživatelská úroveň

  • Uživatel provádí operaci vyžadující oprávnění - Uživatel provádí operaci vyžadující oprávnění: V tomto případě, pokud operace změní systém souborů nebo registr, je volána virtualizace. Všechny ostatní operace volají ShellExecute.
  • ShellExecute: ShellExecute hledá chybu ERROR_ELEVATION_REQUIRED z CreateProcess. Pokud se zobrazí chyba, ShellExecute zavolá informační službu aplikace, aby se pokusila provést požadovaný úkol se zvýšeným symbolem.
  • CreateProcess: Pokud aplikace vyžaduje zvýšení úrovně, CreateProcess odmítne volání pomocí ERROR_ELEVATION_REQUIRED.

Systémová úroveň

  • Informační služba aplikace: Informační služba o aplikacích pomáhá spouštět aplikace, které ke spuštění vyžadují jedno nebo více zvýšených oprávnění nebo uživatelských práv, vytvořením nového procesu pro aplikaci s tokenem plného přístupu administrativního uživatele v případě, že je vyžadována zvýšená úroveň.
  • Zvýšení instalace ActiveX - Zvýšení instalace ActiveX: Pokud ActiveX není nainstalován, systém zkontroluje úroveň posuvníku UAC. Pokud je nainstalován ActiveX, je vybráno nastavení zásad skupiny Řízení uživatelských účtů: Při požadavku na zvýšení úrovně přepnout na zabezpečenou plochu.
  • Zkontrolujte úroveň posuvníku UAC - Zkontrolujte úroveň UAC: UAC má na výběr čtyři úrovně oznámení a posuvník pro výběr úrovně oznámení: Vysoká, Střední, Nízká nebo Žádné oznámení.

Uživatelská zkušenost s UACNastavení zásad zabezpečení Řízení uživatelských účtů
V systému Windows 10 můžeme pomocí zásad zabezpečení konfigurovat provoz Řízení uživatelských účtů v naší společnosti.

Ty lze konfigurovat lokálně pomocí modulu snap-in Local Security Policy (secpol.msc) nebo konfigurovat pro doménu, organizační jednotku nebo konkrétní skupiny pomocí zásad skupiny. Některé z dostupných zásad jsou:

Řízení uživatelských účtů Režim schválení správce pro vestavěný účet správceDíky těmto zásadám řídíme chování režimu schválení administrátora pro integrovaný účet správce a možnosti jsou:

  • Povoleno: Když je tato zásada povolena, vestavěný účet správce využívá režim schválení správce. Ve výchozím nastavení každá operace, která vyžaduje zvýšení oprávnění, vyzve uživatele ke schválení operace.
  • Zakázáno: Je to výchozí možnost a s ním vestavěný účet správce spouští všechny aplikace s úplnými oprávněními správce.

Řízení uživatelských účtů - Umožňuje aplikaci UIAccess požádat o zvýšení úrovně bez použití zabezpečené plochyDíky této zásadě bude možné řídit, zda programy přístupnosti uživatelského rozhraní (UIAccess nebo UIA) mohou automaticky deaktivovat zabezpečenou plochu pro zprávy o nadmořské výšce používané standardním uživatelem. Vaše možnosti jsou:

  • Povoleno: Tato možnost automaticky deaktivuje zabezpečenou plochu pro výzvy k převýšení.
  • Zakázáno: Zabezpečenou plochu lze deaktivovat pouze uživatelem interaktivní plochy nebo deaktivací nastavení zásad „Řízení uživatelských účtů: Přepnout na zabezpečenou plochu při požadavku na nadmořskou výšku“.

Řízení uživatelských účtů - chování zprávy o nadmořské výšce pro správce v režimu schválení správceV těchto zásadách budeme řídit chování indikátoru nadmořské výšky pro správce. Dostupné možnosti jsou:

  • Zvedněte bez ptaní: Umožňuje privilegovaným účtům provést operaci, která vyžaduje zvýšení úrovně bez nutnosti souhlasu uživatele nebo přihlašovacích údajů.
  • Vyžádat pověření na zabezpečené ploše: Pokud operace vyžaduje zvýšení oprávnění, je uživatel vyzván k zadání privilegovaného uživatelského jména a hesla na zabezpečené ploše.
  • Žádost o souhlas na zabezpečené ploše: Když operace vyžaduje zvýšení oprávnění, je uživatel vyzván, aby na zabezpečené ploše vybral Povolit nebo Odepřít akci.
  • Vyžádat pověření: Pokud operace vyžaduje zvýšení oprávnění, je uživatel vyzván k zadání uživatelského jména a hesla pro správu.
  • Žádost o souhlas: Pokud operace vyžaduje zvýšení oprávnění, je uživatel vyzván, aby vybral Povolit nebo Odepřít.
  • Žádost o souhlas pro binární soubory jiné než Windows (výchozí): Pokud operace pro aplikaci od jiného výrobce než Microsoft vyžaduje zvýšení oprávnění, je uživatel vyzván, aby na zabezpečené ploše vybral Povolit nebo Odepřít.

Řízení uživatelských účtů: Chování indikátoru nadmořské výšky pro standardní uživateleDíky této zásadě můžeme kontrolovat chování indikátoru nadmořské výšky pro standardní uživatele. Možnosti jsou:

  • Vyžádat pověření (výchozí): Pokud operace vyžaduje zvýšení oprávnění, je uživatel vyzván k zadání uživatelského jména a hesla pro správu.
  • Automaticky zamítnout žádosti o zvednutí: Pokud operace vyžaduje zvýšení oprávnění, zobrazí se chybová zpráva konfigurovatelného přístupu.
  • Vyžádat pověření na zabezpečené ploše: Pokud operace vyžaduje zvýšení oprávnění, je uživatel vyzván k zadání jiného uživatelského jména a hesla na zabezpečené ploše.

Řízení uživatelských účtů - detekuje instalace aplikací a požaduje zvýšení úrovněDíky těmto zásadám budeme moci řídit chování detekce instalace aplikace pro počítač.
Vaše možnosti jsou:

  • Povoleno (výchozí): Když je detekován instalační balíček aplikace, který vyžaduje zvýšení oprávnění, bude uživatel vyzván k zadání uživatelského jména a hesla pro správu.
  • Zakázáno: Zakázané balíky instalace aplikace nejsou detekovány a jsou požadována zvýšení. Společnosti, které provozují standardní uživatelské plochy a používají delegované instalační technologie, jako jsou Zásady skupiny nebo System Center Správce konfigurace, by měly toto nastavení zásad zakázat.

Řízení uživatelských účtů: nahrajte pouze spustitelné soubory, které jsou podepsané a ověřené
Pomocí této zásady definujete kontroly podpisu infrastruktury veřejných klíčů (PKI) pro všechny interaktivní aplikace, které vyžadují zvýšení oprávnění.

Správci IT mohou řídit, které aplikace lze spouštět, přidáním certifikátů do úložiště certifikátů Trusted Publishers v místních počítačích. Vaše možnosti jsou:

  • Povoleno: Podporuje ověření cesty certifikace certifikátu pro daný spustitelný soubor před jeho spuštěním.
  • Zakázáno: Nevynucuje ověření certifikační cesty certifikátu, než je možné spustit konkrétní spustitelný soubor.

Řízení uživatelských účtů: povyšujte pouze aplikace UIAccess, které jsou nainstalovány na zabezpečených místechDíky těmto zásadám bude možné řídit, zda aplikace, které vyžadují spuštění s úrovní integrity přístupnosti uživatelského rozhraní (UIAccess), musí být umístěny na zabezpečeném místě v systému souborů. Bezpečná místa jsou omezena na následující trasy: 

 \ Program Files \, \ Windows \ system32 \, \ Program Files (x86) \.
Vaše možnosti jsou:
  • Povoleno: Pokud se aplikace nachází v zabezpečeném umístění v systému souborů, běží pouze s integritou UIAccess.
  • Zakázáno: Aplikace běží s integritou UIAccess, i když není na bezpečném místě v systému souborů.

Řízení uživatelských účtů - Povolte režim schválení administrátoremImplementací těchto zásad budeme moci řídit chování všech nastavení zásad Řízení uživatelských účtů (UAC) pro počítač. Pokud toto nastavení zásad změníte, musíte restartovat počítač. Dostupné možnosti jsou:

  • Povoleno: Umožňuje vestavěnému účtu správce a všem ostatním uživatelům, kteří jsou členy skupiny Administrators, spouštění v režimu schválení správce.
  • Zakázáno: Pokud je toto nastavení zásad deaktivováno, Centrum zabezpečení vás upozorní, že bylo sníženo celkové zabezpečení operačního systému.

Řízení uživatelských účtů - při požadavku na zvýšení úrovně přepněte na zabezpečenou plochuDíky těmto zásadám bude možné řídit, zda se zpráva s požadavkem na zvednutí zobrazí na ploše interaktivního uživatele nebo na zabezpečené ploše. Tam můžeme stanovit následující:

  • Povoleno: Všechny požadavky na odebrání jdou na zabezpečenou plochu, bez ohledu na nastavení zásad chování oznámení pro správce a standardní uživatele.
  • Zakázáno: Všechny požadavky na výtah jdou na interaktivní plochu uživatele. Používá se standardní nastavení zásad chování uživatele a správce.
  • Všechny tyto možnosti se nacházejí pomocí kombinace kláves + R a provedení příkazu secpol.msc
V zobrazeném okně přejdeme na trasu Místní zásady / možnosti zabezpečení.

Konfigurace klíčů registruKlíče registru UAC lze nalézt v následující cestě editoru registru, ke kterému přistupujeme pomocí klíčů a provádění regedit: 

 HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
Dostupné záznamy jsou:

FilterAdministratorTokenmožnosti jsou: 

 0 (výchozí) = zakázáno 1 = povoleno

EnableUIADesktopToggleVaše možnosti jsou: 

 0 (výchozí) = zakázáno 1 = povoleno

ConsentPromptBehaviorAdminVaše možnosti jsou: 

 0 = Zvýšení bez výzvy 1 = Výzva k zadání pověření na zabezpečené ploše 2 = Výzva k souhlasu na zabezpečené ploše 3 = Výzva k zadání pověření 4 = Výzva k udělení souhlasu 5 (Výchozí) = Výzva k udělení souhlasu pro binární soubory mimo Windows

ConsentPromptBehaviorUserVaše možnosti jsou: 

 0 = Automaticky zamítnout požadavky na zvýšení úrovně 1 = Výzva k zadání pověření na zabezpečené ploše 3 (Výchozí) = Výzva k zadání pověření

EnableInstallerDetectionVaše možnosti jsou: 

 1 = Povoleno (výchozí pro edice Home) 0 = Zakázáno (výchozí pro edice Enterprise)

ValidateAdminCodeSignaturesVaše možnosti jsou: 

 0 (výchozí) = zakázáno 1 = povoleno

EnableSecureUIAPathsVaše možnosti jsou: 

 0 = Zakázáno 1 (Výchozí) = Povoleno

EnableLUAVaše možnosti jsou: 

 0 = Zakázáno 1 (Výchozí) = Povoleno

Jak jsme pochopili, UAC byl vyvinut, aby nám pomohl mít lepší kontrolu nad procesy, které jsou prováděny ve Windows 10, vždy s ohledem na bezpečnost a soukromí každého uživatele.

Vám pomůže rozvoji místa, sdílet stránku s přáteli

wave wave wave wave wave

Populární Příspěvky

wave
1
post-title
Galaxy S5 vs Galaxy S5 Mini
2
post-title
Výpis paměti Windows 10 - POVOLIT, Diagnostikovat a opravit chybu modré obrazovky
3
post-title
Bezplatné programy pro připojení ISO na Windows, Mac nebo Linux
4
post-title
Jak vložit nebo odebrat Apple Watch 4 v úsporném režimu
5
post-title
Firefox 59 přináší změny v oznámeních, poloze, fotoaparátu a mikrofonu

Doporučená

wave
- Sponsored Ad -

Redakce Choice

wave
- Sponsored Ad -