Funktioner og hvordan du konfigurerer GPO UAC i Windows 10

Indholdsfortegnelse

Windows -operativsystemer indeholder en række praktiske muligheder, der hjælper os med at forbedre sikkerheden i det og dets applikationer.

En af disse sikkerhedsforanstaltninger er den velkendte UAC (brugerkontokontrol), da disse er blevet udviklet for at forhindre, at vira eller malware indføres i systemet, hvilket påvirker dets funktionalitet og drift, og i dag vil Solvetic foretage en komplet analyse af, hvordan UAC fungerer i Windows 10 og hvordan vi kan konfigurere det til at få mest muligt ud af det.

Hvad er UACBrugerkontokontrol eller UAC, er en funktionalitet i Windows 10, som hjælper os med at forhindre, at en bestemt type malware installeres på computeren, påvirker dens drift og i processen bidrager det til, at organisationer har mulighed for at implementere et skrivebord. Med administration og ledelsesforbedringer.

Takket være UAC udføres applikationer og opgaver altid i et sikkert miljø ved hjælp af en administratorkonto.

Med UAC vil det være muligt at blokere den automatiske installation af uautoriserede applikationer og undgå utilsigtede ændringer i systemkonfigurationen, da alle de trusler, som en malware har i sin kode, kan komme for at ødelægge, stjæle eller ændre systemets adfærd.

Ved at implementere UAC kan vi give brugerne mulighed for at logge ind på deres computere med en standardbrugerkonto, hvilket gør det lettere for dem at udføre opgaver med adgangsrettigheder forbundet med en standardkonto.

Sådan fungerer UACNår du bruger UAC i Windows 10, skal hver applikation, der skal gøre brug af tokenet for administratoradgang, anmode om din godkendelse eller installation, vil være umulig.

Windows 10 beskytter systemprocesser og markerer deres integritetsniveauer. Integritetsniveauer er tillidsforanstaltninger, der implementeres for at optimere sikkerheden, når du installerer et bestemt program.

En applikation, der er klassificeret som "høj" integritet, er en, der udfører opgaver, der omfatter modificering af systemdata, såsom en diskpartitionsapplikation, RAM -hukommelsesstyringsprogrammer osv., Mens en applikation med "lav" integritet er en. Der opfylder opgaver, der på nogle punkt kan påvirke operativsystemet, f.eks. en webbrowser.

Applikationer klassificeret med lavere integritetsniveauer kan ikke ændre dataene i applikationer med højere integritetsniveauer. Når en standardbruger forsøger at køre et program, der kræver et administratoradgangstoken, kræver UAC, at brugeren angiver gyldige administratoroplysninger, så den kan udføre opgaven, derfor skal vi bekræfte den respektive tilladelse, når vi kører et program.

Loginproces i UACNår UAC er implementeret i Windows 10, har alle brugere og administratorer, der er i standardgruppen, som standard adgang til ressourcer og har mulighed for at køre applikationer i sikkerhedskonteksten for standardbrugere, hvilket er begrænset.

Når en bruger nu logger ind på en computer, opretter systemet automatisk et adgangstoken for den pågældende bruger, dette adgangstoken indeholder oplysninger om det adgangsniveau, der tildeles brugeren, herunder specifikke sikkerheds -id'er (SID) og de definerede Windows -rettigheder for hvert brugerniveau og den respektive tilladelse vil blive givet eller ej.

I modsætning hertil, når en administrator logger på Windows 10, oprettes to separate adgangstokener til denne bruger: et standardbrugeradgangstoken og et administratortilgangstoken.

Med standard brugeradgangstoken vil der være de samme brugerspecifikke oplysninger som administratortilgangstokenet, men Windows-administratorrettigheder og tilhørende SID'er vil blive fjernet.

Standardbrugeradgangstoken bruges til udførelse af applikationer, der ikke udfører administrative opgaver (standardbrugerprogrammer) og dermed alle applikationer, der udføres som en standardbruger, medmindre en bruger giver samtykke eller legitimationsoplysninger til at godkende et program, der kan foretage brug af et fuldt administrativt adgangstoken.

På denne måde vil en bruger, der tilhører gruppen Administratorer, kunne logge ind, surfe på internettet og læse e -mail, mens han bruger et standardbrugeradgangstoken, og når administratoren skal udføre en opgave, der kræver token. Administratoradgang, Windows 10 vil automatisk bede brugeren om godkendelse, det er derfor, når vi forsøger at køre en applikation, vil vi se meddelelsen om godkendelse eller ikke til den pågældende applikation.

UAC brugeroplevelseNår UAC er implementeret, er brugeroplevelsen for en standardbruger forskellig fra administratorer i tilstanden for godkendelse af administratorer, hvilket kan påvirke udførelsen af ​​forskellige applikationer.

Adgang til systemet som en standardbruger hjælper med at maksimere sikkerheden i et administreret miljø, da vi ved, at en sådan bruger ikke har autoritet til at installere uautoriseret software.

Med UAC -elevationskomponenten indbygget i Windows 10 vil standardbrugere let kunne udføre en administrativ opgave ved at indtaste gyldige legitimationsoplysninger for en lokal administratorkonto. Den indbyggede UAC-elevationskomponent til standardbrugere er legitimationsindikatoren, der hjælper med at administrere tilladelser, når du kører applikationer.

Med UAC aktiveret i Windows 10, når vi prøver at køre et program, vil der blive anmodet om autorisation, eller legitimationsoplysningerne for en gyldig lokal administratorkonto vil blive anmodet om, før du starter et program eller en opgave, der kræver et fuldt administratortilgangstoken.

Denne meddelelse forsikrer os om, at ingen ondsindet software kan installeres lydløst.

UAC Elevation NoticesHøjdeprompter i UAC er farvekodede til at være applikationsspecifikke, så vi umiddelbart kan identificere en applikations sikkerhedsrisiko.

Når et program forsøger at køre med et fuldt administratortilgangstoken, analyserer Windows 10 først den eksekverbare fil for at bestemme dens udgiver og autoriserer dermed, hvis den er gyldig, den respektive adgang til den. Windows 10 gør brug af tre kategorier ifølge udgiveren:

  • Windows 10
  • Verificeret udgiver (signeret)
  • Udgiver ikke verificeret (usigneret)
Farvekodningen i højdeforespørgslen i Windows 10 er som følger:
  • Rød baggrund med et rødt skjoldikon: Angiver, at denne applikation er blokeret af gruppepolitik eller er fra en blokeret udgiver.
  • Blå baggrund med et blå og guld -skjoldikon: Angiver, at programmet er et Windows 10 -administrationsprogram, f.eks. Et element i Kontrolpanel.
  • Blå baggrund med et blåt skjoldikon - Henviser til, at denne applikation er signeret ved hjælp af Authenticode og er betroet på den lokale computer.
  • Gul baggrund med et gult skjoldikon: Denne app er usigneret eller signeret, men den lokale computer har endnu ikke tillid til den.

SkjoldikonNogle elementer i kontrolpanelet i Windows 10, for eksempel dato og klokkegenskaber, har en kombination af administrator- og standardbrugeroperationer, der kan standardbrugere se uret og ændre tidszonen, men et fuldt administratortilgangstegn kan ændres lokal systemtid.

Af denne grund vil vi se følgende skjold på knappen Skift dato og klokkeslæt i den nævnte mulighed:

Dette indikerer, at processen kræver et fuldt administratoradgangstoken og viser en UAC -højdeindikator, når der klikkes på den.

UAC arkitekturI det følgende diagram kan vi se, hvordan UAC er struktureret i Windows 10.

Komponenterne i denne ordning er:

Brugerniveau

  • Bruger udfører handling, der kræver privilegium - Brugeren udfører en handling, der kræver privilegium: I dette tilfælde, hvis operationen ændrer filsystemet eller registreringsdatabasen, kaldes virtualisering. Alle andre operationer kalder ShellExecute.
  • ShellExecute: ShellExecute leder efter fejlen ERROR_ELEVATION_REQUIRED fra CreateProcess. Hvis du modtager fejlen, kalder ShellExecute applikationsoplysningstjenesten for at prøve at udføre den ønskede opgave med det hævede symbol.
  • CreateProcess: Hvis applikationen kræver forhøjelse, afviser CreateProcess opkaldet med ERROR_ELEVATION_REQUIRED.

Systemniveau

  • Serviceinformationstjeneste: Programinformationstjenesten hjælper med at starte applikationer, der kræver en eller flere forhøjede rettigheder eller brugerrettigheder for at køre, ved at oprette en ny proces til applikationen med en administrativ bruger fuld adgangstoken, når højde er påkrævet.
  • Forhøjelse af en ActiveX -installation - Forhøjelse af en ActiveX -installation: Hvis ActiveX ikke er installeret, kontrollerer systemet UAC -skydereniveauet. Hvis ActiveX er installeret, vælges gruppepolitikindstillingen Brugerkontokontrol: Skift til sikkert skrivebord, når du anmoder om forhøjelse.
  • Kontroller UAC -skydereniveau - Kontroller UAC -niveauet: UAC har fire notifikationsniveauer at vælge imellem og en skyder til at vælge notifikationsniveau: Høj, Medium, Lav eller Ingen underretning.

UAC brugeroplevelseSikkerhedspolitiske indstillinger for brugerkontokontrol
I Windows 10 kan vi gøre brug af sikkerhedspolitikker til at konfigurere driften af ​​brugerkontokontrol i vores virksomhed.

Disse kan konfigureres lokalt ved hjælp af snap-in'en for lokal sikkerhedspolitik (secpol.msc) eller konfigureres til domænet, organisationsenheden eller bestemte grupper ved hjælp af gruppepolitik. Nogle af de tilgængelige politikker er:

Brugerkontokontrol Administrator godkendelsestilstand for indbygget administratorkontoMed denne politik kontrollerer vi adfærden i administratorgodkendelsestilstanden for den integrerede administratorkonto, og mulighederne er:

  • Aktiveret: Når denne politik er aktiveret, gør den indbyggede administratorkonto brug af tilstanden Godkendelse af administrator. Som standard vil enhver handling, der kræver forhøjelse af privilegier, få brugeren til at godkende handlingen.
  • Handicappet: Det er standardindstillingen, og med den kører den indbyggede administratorkonto alle applikationer med fulde administrative rettigheder.

Brugerkontokontrol - Tillader UIAccess -applikationen at anmode om forhøjelse uden at bruge det sikre skrivebordTakket være denne politik vil det være muligt at kontrollere, om brugergrænsefladens tilgængelighedsprogrammer (UIAccess eller UIA) automatisk kan deaktivere det sikre skrivebord for elevationsmeddelelser, der bruges af en standardbruger. Dine muligheder er:

  • Aktiveret: Denne indstilling deaktiverer automatisk det sikre skrivebord for højdebeskeder.
  • Handicappet: Det sikre skrivebord kan kun deaktiveres af den interaktive desktop -bruger eller ved at deaktivere politikindstillingen "Brugerkontokontrol: Skift til sikker desktop ved højdeforespørgsel".

Brugerkontokontrol - Elevation -meddelelsesadfærd for administratorer i Admin -godkendelsestilstandI denne politik kontrollerer vi adfærden for højdeindikatoren for administratorer. De tilgængelige muligheder er:

  • Hæv uden at spørge: Tillader privilegerede konti at udføre en handling, der kræver forhøjelse uden brug af brugerens samtykke eller legitimationsoplysninger.
  • Anmod om legitimationsoplysninger på det sikre skrivebord: Når en handling kræver forhøjelse af privilegier, bliver brugeren bedt om at indtaste et privilegeret brugernavn og kodeord på det sikre skrivebord.
  • Samtykkeanmodning på det sikre skrivebord: Når en handling kræver en forhøjelse af privilegier, bliver brugeren bedt om at vælge Tillad eller Afvis handlingen på det sikre skrivebord.
  • Anmod om legitimationsoplysninger: Når en operation kræver forhøjelse af privilegier, bliver brugeren bedt om at indtaste et administrativt brugernavn og kodeord.
  • Samtykke anmodning: Når en handling kræver forhøjelse af privilegier, bliver brugeren bedt om at vælge Tillad eller Afvis.
  • Samtykkeanmodning til ikke-Windows-binære filer (standard): Når en operation for et ikke-Microsoft-program kræver forhøjelse af privilegier, bliver brugeren bedt om at vælge Tillad eller Afvis på det sikre skrivebord.

Brugerkontokontrol: Højdeindikatoradfærd for standardbrugereTakket være denne politik kan vi styre højdeindikatorens adfærd for standardbrugere. Mulighederne er:

  • Anmod om legitimationsoplysninger (standard): Når en operation kræver forhøjelse af privilegier, bliver brugeren bedt om at indtaste et administrativt brugernavn og kodeord.
  • Afvis automatisk anmodninger om løft: Når en handling kræver forhøjelse af rettigheder, vises en konfigurerbar adgangsfejlmeddelelse.
  • Anmod om legitimationsoplysninger på det sikre skrivebord: Når en handling kræver forhøjelse af privilegier, bliver brugeren bedt om at indtaste et andet brugernavn og en anden adgangskode på det sikre skrivebord.

Brugerkontokontrol - registrer appinstallationer og anmod om forhøjelseMed denne politik vil vi være i stand til at kontrollere opførslen af ​​applikationsinstallationsdetektering for computeren.
Dine muligheder er:

  • Aktiveret (standard): Når en applikationsinstallationspakke, der kræver forhøjelse af privilegier, opdages, bliver brugeren bedt om at indtaste et administrativt brugernavn og kodeord.
  • Handicappet: Deaktiverede appinstallationspakker registreres ikke, og der kræves stigninger. Virksomheder, der kører standardbruger -desktops og bruger delegerede installationsteknologier, f.eks. Gruppepolitik eller System Center Configuration Manager, bør deaktivere denne politikindstilling.

Brugerkontokontrol: Upload kun eksekverbare filer, der er signeret og valideret
Ved hjælp af denne politik definerer du offentlige nøgleinfrastruktur (PKI) signeringstjek for enhver interaktiv applikation, der anmoder om forhøjelse af privilegier.

IT -administratorer kan kontrollere, hvilke programmer der kan køre, ved at tilføje certifikater til Trusted Publishers -certifikatlageret på lokale computere. Dine muligheder er:

  • Aktiveret: Fremmer validering af certifikatcertificeringsstien for en given eksekverbar fil, før den får lov til at køre.
  • Handicappet: Håndhæver ikke validering af certifikatcertificeringssti, før en bestemt eksekverbar fil får lov til at køre.

Brugerkontokontrol: hæv kun UIAccess -programmer, der er installeret på sikre stederMed denne politik vil det være muligt at kontrollere, om applikationer, der anmoder om at køre med et brugergrænseflades tilgængelighedsintegritetsniveau (UIAccess), skal befinde sig på et sikkert sted i filsystemet. Sikre placeringer er begrænset til følgende ruter:

 \ Program Files \, \ Windows \ system32 \, \ Program Files (x86) \. 
Dine muligheder er:
  • Aktiveret: Hvis et program findes på et sikkert sted i filsystemet, kører det kun med UIAccess -integritet.
  • Handicappet: Et program kører med UIAccess -integritet, selvom det ikke er et sikkert sted i filsystemet.

Brugerkontokontrol - Aktiver administratorgodkendelsestilstandVed at implementere denne politik vil vi være i stand til at kontrollere adfærden for alle brugerkontokontrol (UAC) politikindstillinger for computeren. Hvis du ændrer denne politikindstilling, skal du genstarte din computer. De tilgængelige muligheder er:

  • Aktiveret: Tillader, at den indbyggede administratorkonto og alle andre brugere, der er medlemmer af gruppen Administratorer, kan køre i tilstanden Godkendelse af administrator.
  • Handicappet: Hvis denne politikindstilling er deaktiveret, giver Security Center dig besked om, at den overordnede operativsystemsikkerhed er reduceret.

Brugerkontokontrol - skift til sikkert skrivebord, når du anmoder om forhøjelseMed denne politik vil det være muligt at kontrollere, om meddelelsen om liftanmodning vises på den interaktive brugers skrivebord eller på det sikre skrivebord. Der kan vi etablere følgende:

  • Aktiveret: Alle løfteanmodninger går til det sikre skrivebord, uanset politikkens indstillinger for meddelelsesadfærd for administratorer og standardbrugere.
  • Handicappet: Alle løfteanmodninger går til den interaktive brugers skrivebord. Standardindstillinger for bruger- og administratoradfærd bruges.
  • Alle disse muligheder findes ved hjælp af tastekombinationen + R og udførelsen af ​​kommandoen secpol.msc
I det viste vindue går vi til ruten Lokale politikker / sikkerhedsindstillinger.

Registrering af nøgler til konfigurationUAC -registreringsnøglerne kan findes i den følgende sti i registreringseditoren, som vi får adgang til ved hjælp af nøglerne og udførelsen regedit:

 HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
De tilgængelige optegnelser er:

FilterAdministratorTokenmulighederne er:

 0 (standard) = Deaktiveret 1 = Aktiveret

EnableUIADesktopToggleDine muligheder er:

 0 (standard) = Deaktiveret 1 = Aktiveret

ConsentPromptBehaviorAdminDine muligheder er:

 0 = Hæv uden at spørge 1 = Spørg om legitimationsoplysninger på sikkert skrivebord 2 = Spørg om samtykke på sikkert skrivebord 3 = Spørg om legitimationsoplysninger 4 = Spørg om samtykke 5 (standard) = Spørg om samtykke til ikke-Windows-binære filer

ConsentPromptBehaviorUserDine muligheder er:

 0 = Nægt automatisk forhøjelsesanmodninger 1 = Spørg om legitimationsoplysninger på sikkert skrivebord 3 (standard) = Spørg om legitimationsoplysninger

EnableInstallerDetectionDine muligheder er:

 1 = Aktiveret (standard for Home -udgaver) 0 = Deaktiveret (standard for Enterprise -udgaver)

Valider AdminCodeSignaturesDine muligheder er:

 0 (standard) = Deaktiveret 1 = Aktiveret

EnableSecureUIAPathsDine muligheder er:

 0 = Deaktiveret 1 (standard) = Aktiveret

EnableLUADine muligheder er:

 0 = Deaktiveret 1 (standard) = Aktiveret

Som vi har forstået, er UAC blevet udviklet for at hjælpe os med at få bedre kontrol over de processer, der udføres i Windows 10, og altid tænke på hver brugers sikkerhed og privatliv.

wave wave wave wave wave