Značajke i kako konfigurirati GPO UAC u sustavu Windows 10

Sadržaj

Windows operativni sustavi uključuju niz praktičnih opcija koje nam pomažu poboljšati sigurnost unutar njega i njegovih aplikacija.

Jedna od ovih sigurnosnih mjera je dobro poznati UAC (kontrola korisničkog računa) jer su one razvijene kako bi se spriječilo unošenje virusa ili zlonamjernog softvera u sustav što utječe na njegovu operativnost i rad, a danas će Solvetic napraviti potpunu analizu načina na koji UAC radi u Windows 10 i kako ga možemo konfigurirati kako bismo izvukli maksimum iz njega.

Što je UACKontrola korisničkog računa ili UAC, funkcionalnost je sustava Windows 10 koja nam pomaže u sprječavanju instaliranja određene vrste zlonamjernog softvera na računalo, utječući na njegov rad i pritom doprinosi organizacijama koje imaju mogućnost implementacije radne površine. poboljšanja administracije i upravljanja.

Zahvaljujući UAC -u, aplikacije i zadaci uvijek će se izvršavati u sigurnom okruženju pomoću administratorskog računa.

S UAC -om bit će moguće blokirati automatsku instalaciju neovlaštenih aplikacija i izbjeći nenamjerne promjene u konfiguraciji sustava jer sve prijetnje koje zlonamjerni softver ima u svom kodu mogu doći kako bi uništile, ukrale ili promijenile ponašanje sustava.

Implementacijom UAC -a korisnicima možemo omogućiti da se prijave na svoja računala sa standardnim korisničkim računom, što im olakšava izvršavanje zadataka s pravima pristupa povezanim sa standardnim računom.

Kako UAC radiKada koristite UAC u sustavu Windows 10, svaka aplikacija koja mora koristiti token pristupa administratora mora zahtijevati vaše odobrenje ili instalacija neće biti moguća.

Windows 10 štiti sistemske procese, označavajući njihovu razinu integriteta. Razine integriteta mjere su povjerenja koje se provode radi optimizacije sigurnosti prilikom instaliranja određenog programa.

Aplikacija ocijenjena "visokim" integritetom je ona koja izvršava zadatke koji uključuju izmjenu podataka sustava, kao što su aplikacija za particiju diska, aplikacije za upravljanje memorijom RAM -a itd., Dok je aplikacija s "niskim" integritetom ona koja ispunjava zadatke koji u nekim slučajevima točka može utjecati na operativni sustav, poput web preglednika, na primjer.

Aplikacije klasificirane s nižom razinom integriteta ne mogu mijenjati podatke u aplikacijama s višom razinom integriteta. Kada standardni korisnik pokuša pokrenuti aplikaciju koja zahtijeva token administratorskog pristupa, UAC zahtijeva od korisnika da dostavi valjane administratorske vjerodajnice kako bi mu omogućila izvršavanje zadatka, zato prilikom pokretanja aplikacije moramo potvrditi odgovarajuće dopuštenje.

Proces prijave u UAC -uKada je UAC implementiran u sustavu Windows 10, prema zadanim postavkama svi korisnici i administratori koji su u standardnoj grupi imat će pristup resursima i mogućnost pokretanja aplikacija u sigurnosnom kontekstu standardnih korisnika, što je ograničeno.

Sada kada se korisnik prijavi na računalo, sustav automatski stvara pristupni token za tog određenog korisnika, ovaj pristupni token uključuje informacije o razini pristupa koja je odobrena korisniku, uključujući posebne sigurnosne identifikatore (SID) i definirane privilegije za Windows za svaku razinu korisnika i odgovarajuće će se dopuštenje dodijeliti ili ne.

Nasuprot tome, kada se administrator prijavi u sustav Windows 10, za tog će se korisnika stvoriti dva odvojena pristupna tokena: standardni korisnički token za pristup i administratorski pristupni token.

Sa standardnim korisničkim tokenom za pristup bit će iste informacije specifične za korisnika kao i tokeni za administratorski pristup, ali će se ukloniti administratorske privilegije sustava Windows i pridruženi SID-ovi.

Standardni token pristupa korisniku koristi se za izvršavanje aplikacija koje ne izvršavaju administrativne zadatke (standardne korisničke aplikacije), a time i svih aplikacija koje se izvode kao standardni korisnici, osim ako korisnik ne da pristanak ili vjerodajnice za odobrenje aplikacije koja može korištenje tokena za potpuni administrativni pristup.

Na taj će se način korisnik koji pripada grupi administratora moći prijaviti, surfati internetom i čitati e -poštu dok koristi standardni token za pristup korisnika i kada administrator mora obaviti zadatak koji zahtijeva token. Administratorski pristup, Windows 10 automatski će zatražiti od korisnika odobrenje, stoga ćemo, kada pokušamo pokrenuti aplikaciju, vidjeti poruku o odobrenju ili ne toj aplikaciji.

Korisničko iskustvo UAC -aKada se implementira UAC, korisničko iskustvo za standardnog korisnika razlikuje se od iskustva administratora u načinu odobrenja administratora, što može utjecati na izvršavanje različitih aplikacija.

Pristup sustavu kao standardnom korisniku pomoći će maksimiziranju sigurnosti upravljanog okruženja jer ćemo znati da takav korisnik neće imati ovlaštenje instalirati neovlašteni softver.

S komponentom povišenja UAC -a ugrađenom u Windows 10, standardni korisnici moći će jednostavno izvršiti administrativni zadatak unošenjem valjanih vjerodajnica za račun lokalnog administratora. Ugrađena komponenta povišenja UAC-a za standardne korisnike pokazatelj je vjerodostojnosti koja pomaže u upravljanju dopuštenjima pri pokretanju aplikacija.

S omogućenim UAC -om u sustavu Windows 10, kad god pokušamo pokrenuti aplikaciju, zatražit će se autorizacija ili će se zatražiti vjerodajnice valjanog računa lokalnog administratora prije pokretanja programa ili zadatka koji zahtijeva potpuni token pristupa administratoru.

Ova nas obavijest uvjerava da se zlonamjeran softver ne može instalirati tiho.

Obavijesti o visini UAC -aOdzivnici nadmorske visine u UAC-u označeni su bojom kako bi bili specifični za aplikaciju, što nam omogućuje da odmah identificiramo sigurnosni rizik aplikacije.

Kada se aplikacija pokuša pokrenuti s tokenom potpunog administratorskog pristupa, Windows 10 prvo analizira izvršnu datoteku kako bi odredio svog izdavača i prema tome, ako je valjana, odobrava odgovarajući pristup njoj. Windows 10 koristi tri kategorije prema izdavaču:

  • Windows 10
  • Provjereni izdavač (potpisan)
  • Izdavač nije potvrđen (bez potpisa)
Kodiranje boja zahtjeva za nadmorsku visinu u sustavu Windows 10 je sljedeće:
  • Crvena pozadina s crvenom ikonom štita: Pokazuje da je ova aplikacija blokirana pravilima grupe ili je od blokiranog izdavača.
  • Plava pozadina s plavo -zlatnom ikonom štita: Označava da je aplikacija administrativna aplikacija za Windows 10, na primjer stavka upravljačke ploče.
  • Plava pozadina s plavom ikonom štita - Odnosi se na činjenicu da je ova aplikacija potpisana pomoću autentičnog koda i da je pouzdana na lokalnom računalu.
  • Žuta pozadina sa žutom ikonom štita: Ova aplikacija nije potpisana ili potpisana, ali lokalno računalo još ne vjeruje.

Ikona štitaNeki elementi upravljačke ploče u sustavu Windows 10, na primjer, svojstva datuma i vremena, imaju kombinaciju administratorskih i standardnih korisničkih operacija, tamo standardni korisnici mogu vidjeti sat i promijeniti vremensku zonu, ali za promjenu ima potpuni pristupnički token lokalno sistemsko vrijeme.

Iz tog razloga na gumbu ćemo vidjeti sljedeći štit Promijenite datum i vrijeme u navedenoj opciji:

To ukazuje na to da proces zahtijeva potpuni token pristupa administratoru i da će prikazati indikator visine UAC -a kada se klikne.

UAC arhitekturaNa sljedećem dijagramu možemo vidjeti kako je UAC strukturiran u sustavu Windows 10.

Komponente ove sheme su:

Korisnička razina

  • Korisnik izvodi operaciju koja zahtijeva privilegiju - Korisnik izvodi operaciju koja zahtijeva privilegiju: U tom slučaju, ako operacija promijeni datotečni sustav ili registar, poziva se virtualizacija. Sve ostale operacije zovu ShellExecute.
  • ShellExecute: ShellExecute traži pogrešku ERROR_ELEVATION_REQUIRED od CreateProcess. Ako primite pogrešku, ShellExecute poziva informacijsku službu aplikacije da pokuša izvesti traženi zadatak s podignutim simbolom.
  • CreateProcess: Ako aplikacija zahtijeva povišenje, CreateProcess odbija poziv s ERROR_ELEVATION_REQUIRED.

Razina sustava

  • Informacijska usluga za prijavu: Informacijska usluga aplikacija pomaže pri pokretanju aplikacija koje zahtijevaju jednu ili više povišenih privilegija ili korisničkih prava za pokretanje stvaranjem novog procesa za aplikaciju s administrativnim korisničkim tokenom potpunog pristupa kada je potrebno povišenje.
  • Povišenje ActiveX instalacije - Povišenje ActiveX instalacije: Ako ActiveX nije instaliran, sustav provjerava razinu UAC klizača. Ako je instaliran ActiveX, odabire se postavka pravila grupe Kontrola korisničkog računa: Prebacite se na sigurnu radnu površinu kada zatražite povišenje.
  • Provjerite razinu klizača UAC - Provjerite razinu UAC -a: UAC ima četiri razine obavijesti na izboru i klizač za odabir razine obavijesti: Visoka, Srednja, Niska ili Bez obavijesti.

Korisničko iskustvo UAC -aPostavke sigurnosnih pravila kontrole korisničkog računa
U sustavu Windows 10 možemo koristiti sigurnosna pravila za konfiguriranje rada kontrole korisničkih računa u našoj tvrtki.

Oni se mogu konfigurirati lokalno pomoću dodatka za lokalnu sigurnosnu politiku (secpol.msc) ili konfigurirati za domenu, organizacijsku jedinicu ili određene grupe pomoću pravila grupe. Neka od dostupnih pravila su:

Način odobrenja administratorskog nadzora korisničkog računa za ugrađeni administratorski računOvim pravilima kontroliramo ponašanje načina odobrenja administratora za integrirani administratorski račun, a opcije su sljedeće:

  • Omogućeno: Kad je ovo pravilo omogućeno, ugrađeni administratorski račun koristi način odobrenja administratora. Prema zadanim postavkama, svaka operacija koja zahtijeva povećanje privilegija potaknut će korisnika da odobri operaciju.
  • Onemogućeno: To je zadana opcija i s njom ugrađeni administratorski račun pokreće sve aplikacije s punim administrativnim ovlastima.

Kontrola korisničkog računa - Omogućuje aplikaciji UIAccess zahtjev za uzdizanje bez upotrebe sigurne radne površineZahvaljujući ovim pravilima, bit će moguće kontrolirati mogu li programi pristupačnosti korisničkog sučelja (UIAccess ili UIA) automatski onemogućiti sigurnu radnu površinu za poruke o visinama koje koristi standardni korisnik. Vaše mogućnosti su:

  • Omogućeno: Ova opcija automatski onemogućuje sigurnu radnu površinu za upite o visini.
  • Onemogućeno: Zaštitnu radnu površinu može onemogućiti samo korisnik interaktivne radne površine ili onemogućivanje postavke pravila "Kontrola korisničkog računa: Prebaci na sigurnu radnu površinu na zahtjev za visinu".

Kontrola korisničkog računa - Ponašanje poruka o visini za administratore u načinu odobrenja administratoraU ovim ćemo pravilima kontrolirati ponašanje pokazivača nadmorske visine za administratore. Dostupne opcije su:

  • Podignite bez pitanja: Omogućuje privilegiranim računima izvođenje operacije koja zahtijeva podizanje bez potrebe za pristankom korisnika ili vjerodajnicama.
  • Zatražite vjerodajnice na sigurnoj radnoj površini: Kad operacija zahtijeva povećanje privilegija, od korisnika se traži da unese privilegirano korisničko ime i lozinku na sigurnu radnu površinu.
  • Zahtjev za pristanak na sigurnoj radnoj površini: Kada operacija zahtijeva povećanje privilegija, od korisnika se traži da odabere Dopusti ili Odbij radnju na sigurnoj radnoj površini.
  • Zatražite vjerodajnice: Kada operacija zahtijeva povećanje privilegija, od korisnika se traži da unese administrativno korisničko ime i lozinku.
  • Zahtjev za pristanak: Kada operacija zahtijeva povećanje privilegija, od korisnika se traži da odabere Dopusti ili Odbij.
  • Zahtjev za pristanak za binarne datoteke koje nisu Windows (zadano): Kad operacija za aplikaciju koja nije Microsoftova zahtijeva povećanje privilegija, od korisnika se traži da na dopuštenoj radnoj površini odabere Dopusti ili Odbij.

Kontrola korisničkog računa: Ponašanje pokazatelja nadmorske visine za standardne korisnikeZahvaljujući ovoj politici možemo kontrolirati ponašanje pokazivača nadmorske visine za standardne korisnike. Opcije su sljedeće:

  • Zatražite vjerodajnice (zadano): Kada operacija zahtijeva povećanje privilegija, od korisnika se traži da unese administrativno korisničko ime i lozinku.
  • Automatski odbija zahtjeve za podizanje: Kad operacija zahtijeva povećanje privilegija, prikazuje se poruka o grešci pristupa koja se može konfigurirati.
  • Zatražite vjerodajnice na sigurnoj radnoj površini: Kada operacija zahtijeva povećanje privilegija, od korisnika se traži da unese drugačije korisničko ime i lozinku na sigurnu radnu površinu.

Kontrola korisničkog računa - otkrijte instalacije aplikacije i zatražite podizanjeS ovim pravilima moći ćemo kontrolirati ponašanje otkrivanja instalacije aplikacije za računalo.
Vaše mogućnosti su:

  • Omogućeno (zadano): Kad se otkrije instalacijski paket aplikacije koji zahtijeva povećanje privilegija, od korisnika će se tražiti da unese administrativno korisničko ime i lozinku.
  • Onemogućeno: Paketi za onemogućenu instalaciju aplikacije nisu otkriveni i traže se uzvisine. Tvrtke koje pokreću standardna korisnička stolna računala i koriste delegirane instalacijske tehnologije, kao što su pravila grupe ili Upravitelj konfiguracije sustava centra, trebale bi onemogućiti ovu postavku pravila.

Kontrola korisničkog računa: prenesite samo izvršne datoteke koje su potpisane i provjerene
Pomoću ovih pravila definirate provjere potpisivanja infrastrukture javnog ključa (PKI) za bilo koju interaktivnu aplikaciju koja traži povećanje privilegija.

IT administratori mogu kontrolirati koje se aplikacije mogu pokrenuti dodavanjem certifikata u spremište certifikata Trusted Publishers na lokalnim računalima. Vaše mogućnosti su:

  • Omogućeno: Promiče provjeru valjanosti puta certifikacije certifikata za datu izvršnu datoteku prije nego što se dopusti njeno pokretanje.
  • Onemogućeno: Ne provodi provjeru valjanosti puta certifikata certifikata prije nego što se dozvoli pokretanje određene izvršne datoteke.

Kontrola korisničkog računa: podižite samo aplikacije UIAccess koje su instalirane na sigurnim mjestimaOvim će se pravilima moći kontrolirati moraju li aplikacije koje zahtijevaju pokretanje s razinom integriteta pristupačnosti korisničkog sučelja (UIAccess) morati biti na sigurnom mjestu u datotečnom sustavu. Sigurne lokacije ograničene su na sljedeće rute:

 \ Program Files \, \ Windows \ system32 \, \ Program Files (x86) \. 
Vaše mogućnosti su:
  • Omogućeno: Ako se aplikacija nalazi na sigurnom mjestu u datotečnom sustavu, radi samo s integritetom UIAccess -a.
  • Onemogućeno: Aplikacija radi s integritetom UIAccess čak i ako nije na sigurnom mjestu u datotečnom sustavu.

Kontrola korisničkog računa - Omogućite način odobrenja administratoraImplementacijom ovih pravila moći ćemo kontrolirati ponašanje svih postavki politike kontrole korisničkog računa (UAC) za računalo. Ako promijenite ovu postavku pravila, morate ponovno pokrenuti računalo. Dostupne opcije su:

  • Omogućeno: Dopušta ugrađenom administratorskom računu i svim ostalim korisnicima koji su članovi grupe administratora da rade u načinu odobrenja administratora.
  • Onemogućeno: Ako je ova postavka pravila onemogućena, Centar za sigurnost obavijestit će vas da je ukupna sigurnost operacijskog sustava smanjena.

Kontrola korisničkog računa - prebacite se na sigurnu radnu površinu kada podignete zahtjevOvim će se pravilima moći kontrolirati prikazuje li se poruka o zahtjevu za podizanje na interaktivnoj korisničkoj radnoj površini ili na sigurnoj radnoj površini. Tu možemo ustanoviti sljedeće:

  • Omogućeno: Svi zahtjevi za podizanje idu na sigurnu radnu površinu, bez obzira na postavke pravila o ponašanju obavijesti za administratore i standardne korisnike.
  • Onemogućeno: Svi zahtjevi za podizanje idu na interaktivnu radnu površinu korisnika. Koriste se standardne postavke politike ponašanja korisnika i administratora.
  • Sve ove opcije nalaze se pomoću kombinacije tipki + R i izvršavanjem naredbe secpol.msc
U prikazanom prozoru ići ćemo na rutu Lokalne politike / sigurnosne opcije.

Konfiguracija ključeva registraKljučevi registratora UAC -a mogu se pronaći na sljedećoj stazi uređivača registra kojoj pristupamo pomoću ključeva i izvršavanjem regedit:

 HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
Dostupni zapisi su:

FilterAdministratorTokenopcije su:

 0 (zadano) = onemogućeno 1 = omogućeno

OmogućiUIADesktopToggleVaše mogućnosti su:

 0 (zadano) = onemogućeno 1 = omogućeno

ConsentPromptBehaviorAdminVaše mogućnosti su:

 0 = Podignite bez upita 1 = Zatražite vjerodajnice na sigurnoj radnoj površini 2 = Zatražite pristanak na sigurnoj radnoj površini 3 = Zatražite vjerodajnice 4 = Zatražite pristanak 5 (zadano) = Zatražite pristanak za binarne datoteke koje nisu Windows

ConsentPromptBehaviorUserVaše mogućnosti su:

 0 = Automatski odbij zahtjeve nadmorske visine 1 = Zatraži vjerodajnice na sigurnoj radnoj površini 3 (zadano) = Zatraži vjerodajnice

EnableInstallerDetectionVaše mogućnosti su:

 1 = Omogućeno (zadano za kućna izdanja) 0 = Onemogućeno (zadano za Enterprise izdanja)

ValidateAdminCodeSignaturesVaše mogućnosti su:

 0 (zadano) = onemogućeno 1 = omogućeno

OmogućiSecureUIAPathsVaše mogućnosti su:

 0 = Onemogućeno 1 (zadano) = Omogućeno

OmogućiLUAVaše mogućnosti su:

 0 = Onemogućeno 1 (zadano) = Omogućeno

Kako smo shvatili, UAC je razvijen kako bi nam pomogao da imamo bolju kontrolu nad procesima koji se izvode u sustavu Windows 10, uvijek razmišljajući o sigurnosti i privatnosti svakog korisnika.

wave wave wave wave wave