Характеристики и как да конфигурирате GPO UAC в Windows 10

Операционните системи Windows включват поредица от практически опции, които ни помагат да подобрим сигурността в нея и нейните приложения.

Една от тези мерки за сигурност е добре познатият UAC (Контрол на потребителските акаунти), тъй като те са разработени, за да предотвратят въвеждането на вируси или злонамерен софтуер в системата, което оказва влияние върху нейната работоспособност и работа и днес Solvetic ще направи пълен анализ на това как UAC работи в Windows 10 и как можем да го конфигурираме, за да извлечем максимума от него.

Какво е UACКонтрол на потребителски акаунти или UAC, е функционалност на Windows 10, която ни помага да предотвратим инсталирането на определен вид злонамерен софтуер на компютъра, засягайки работата му и в процеса, той допринася за организациите, които имат възможност да внедрят десктоп. административни и управленски подобрения.

Благодарение на UAC приложенията и задачите винаги ще се изпълняват в защитена среда с помощта на администраторски акаунт.

С UAC ще бъде възможно да се блокира автоматичната инсталация на неоторизирани приложения и да се избегнат неволни промени в конфигурацията на системата, тъй като всички заплахи, които злонамерен софтуер има в кода си, могат да дойдат, за да унищожат, откраднат или променят поведението на системата.

Чрез внедряване на UAC можем да позволим на потребителите да влизат в компютрите си със стандартен потребителски акаунт, което улеснява изпълнението на задачи с права за достъп, свързани със стандартен акаунт.

Как работи UACКогато използвате UAC в Windows 10, всяко приложение, което трябва да използва маркера за достъп на администратор, трябва да поиска вашето одобрение или инсталирането ще бъде невъзможно.

Windows 10 защитава системните процеси, маркирайки нивата на тяхната цялост. Нивата на цялостност са мерки за доверие, които се прилагат за оптимизиране на сигурността при инсталиране на определена програма.

Приложение с оценка „висока“ цялостност е това, което изпълнява задачи, които включват промяна на системни данни, като например приложение за дисково дялово пространство, приложения за управление на RAM паметта и т.н., докато едно приложение с „ниска“ цялостност е такова, което изпълнява задачи, които при някои точка може да засегне операционната система, като например уеб браузър.

Приложения, класифицирани с по -ниски нива на цялостност, не могат да променят данните в приложения с по -високи нива на цялостност. Когато стандартен потребител се опитва да стартира приложение, което изисква маркер за администраторски достъп, UAC изисква от потребителя да предостави валидни идентификационни данни на администратора, за да му позволи да изпълни задачата, затова, когато стартираме приложение, трябва да потвърдим съответното разрешение.

Процес на влизане в UACКогато UAC е внедрен в Windows 10, по подразбиране всички потребители и администратори, които са в стандартната група, ще имат достъп до ресурси и ще имат възможност да изпълняват приложения в контекста на защита на стандартните потребители, което е ограничено.

Сега, когато потребител влезе в компютър, системата автоматично създава маркер за достъп за този конкретен потребител, този маркер за достъп включва информация за нивото на достъп, което е предоставено на потребителя, включително специфични идентификатори за сигурност (SID) и дефинирани привилегии на Windows за всяко ниво на потребител и съответното разрешение ще бъде предоставено или не.

За разлика от това, когато администратор влезе в Windows 10, два отделни маркера за достъп ще бъдат създадени за този потребител: стандартен маркер за достъп на потребител и маркер за достъп на администратор.

Със стандартния маркер за потребителски достъп ще има същата специфична за потребителя информация като маркера за достъп на администратор, но административните права на Windows и свързаните SID ще бъдат премахнати.

Стандартният маркер за потребителски достъп се използва за изпълнение на приложения, които не изпълняват административни задачи (стандартни потребителски приложения) и по този начин, всички приложения, които се изпълняват като стандартен потребител, освен ако потребителят не дава съгласие или идентификационни данни за одобряване на приложение, което може да направи използване на маркер за пълен административен достъп.

По този начин потребител, който принадлежи към групата „Администратори“, ще може да влиза, да сърфира в мрежата и да чете имейли, докато използва стандартен маркер за потребителски достъп и когато администраторът трябва да изпълни задача, която изисква маркера. Администраторски достъп, Windows 10 автоматично ще поиска от потребителя одобрение, затова, когато се опитаме да стартираме приложение, ще видим съобщението за одобрение или не към споменатото приложение.

UAC потребителско изживяванеКогато се прилага UAC, потребителският опит за стандартен потребител е различен от този на администраторите в режим на одобрение на администратор, което може да повлияе на изпълнението на различни приложения.

Достъпът до системата като стандартен потребител ще помогне за максимална сигурност на управляваната среда, тъй като ще знаем, че такъв потребител няма да има правомощия да инсталира неоторизиран софтуер.

С компонента за издигане на UAC, вграден в Windows 10, стандартните потребители ще могат лесно да изпълняват административна задача, като въведат валидни идентификационни данни за локален администраторски акаунт. Вграденият компонент за издигане на UAC за стандартни потребители е показателят за идентификационни данни, който помага за управление на разрешенията при стартиране на приложения.

При активиран UAC в Windows 10, когато се опитваме да стартираме приложение, ще бъде поискано упълномощаване или ще бъдат поискани идентификационни данни на валиден локален администраторски акаунт, преди да стартирате програма или задача, която изисква пълен маркер за достъп на администратор.

Това известие ни уверява, че никакъв злонамерен софтуер не може да бъде инсталиран безшумно.

Известия за височината на UACПодканите за надморска височина в UAC са цветно кодирани, за да бъдат специфични за приложението, което ни позволява незабавно да идентифицираме риска за сигурността на приложението.

Когато дадено приложение се опита да работи с пълен маркер за администраторски достъп, Windows 10 първо анализира изпълнимия файл, за да определи своя издател и по този начин, ако е валиден, разрешава съответния достъп до него. Windows 10 използва три категории според издателя:

• Windows 10

• Проверен издател (подписан)

• Издателят не е потвърден (без подпис)

Цветовото кодиране на заявката за кота в Windows 10 е следното:

• Червен фон с червена икона на щит: Показва, че това приложение е блокирано от груповите правила или е от блокиран издател.

• Син фон със синя и златна икона на щит: Показва, че приложението е административно приложение за Windows 10, например елемент от контролния панел.

• Син фон със синя икона на щит - Отнася се до факта, че това приложение е подписано с помощта на Authenticode и има доверие на локалния компютър.

• Жълт фон с жълта икона на щит: Това приложение е без подпис или подпис, но все още не се доверява на локалния компютър.

Икона на щитНякои елементи на контролния панел в Windows 10, например свойствата на датата и часа, имат комбинация от администраторски и стандартни потребителски операции, там стандартните потребители могат да виждат часовника и да променят часовата зона, но пълен маркер за достъп на администратор за промяна локално системно време.

Поради тази причина ще видим следния щит на бутона Променете датата и часа в споменатия вариант:

Това показва, че процесът изисква пълен маркер за достъп на администратор и при показване ще покаже индикатор за височина на UAC.

UAC архитектураВ следната диаграма можем да видим как UAC е структуриран в Windows 10.

Компонентите на тази схема са:

Потребителско ниво

• Потребителят извършва операция, изискваща привилегии - Потребителят извършва операция, изискваща привилегия: В този случай, ако операцията промени файловата система или системния регистър, се извиква виртуализация. Всички други операции се обаждат на ShellExecute.

• ShellExecute: ShellExecute търси грешката ERROR_ELEVATION_REQUIRED от CreateProcess. Ако получите грешката, ShellExecute извиква информационната услуга на приложението, за да се опита да изпълни исканата задача с повдигнатия символ.

• CreateProcess: Ако приложението изисква издигане, CreateProcess отхвърля повикването с ERROR_ELEVATION_REQUIRED.

Системно ниво

• Информационна услуга за приложение: Информационната услуга за приложения помага при стартиране на приложения, които изискват едно или повече повишени привилегии или потребителски права за изпълнение, като създава нов процес за приложението с административен потребителски маркер за пълен достъп, когато се изисква надморска височина.

• Повдигане на инсталация на ActiveX - Издигане на инсталация на ActiveX: Ако ActiveX не е инсталиран, системата проверява нивото на плъзгача на UAC. Ако е инсталиран ActiveX, се избира настройката на груповата политика за контрол на потребителските акаунти: Преминете към защитен работен плот, когато поискате издигане.

• Проверете нивото на плъзгача на UAC - Проверете нивото на UAC: UAC има четири нива на известия, от които да избирате, и плъзгач за избор на ниво на известие: Високо, Средно, Ниско или Без известие.

Потребителско изживяване на UACНастройки на политиката за сигурност на Контрола на потребителските акаунти
В Windows 10 можем да използваме политики за сигурност, за да конфигурираме работата на Контрола на потребителските акаунти в нашата компания.

Те могат да бъдат конфигурирани локално с помощта на приставката за локална политика за сигурност (secpol.msc) или да бъдат конфигурирани за домейна, организационното звено или конкретни групи, използвайки групови правила. Някои от наличните политики са:

Контрол на потребителски акаунт Режим на одобрение на администратор за вграден администраторски акаунтС тази политика ние контролираме поведението на режима на одобрение на администратор за интегрирания администраторски акаунт и опциите са:

• Активирано: Когато това правило е активирано, вграденият администраторски акаунт използва режима на одобрение на администратора. По подразбиране всяка операция, която изисква повишаване на привилегиите, ще подкани потребителя да одобри операцията.

• Хора с увреждания: Това е опцията по подразбиране и с нея вграденият администраторски акаунт изпълнява всички приложения с пълни административни права.

Контрол на потребителските акаунти - Позволява на приложението UIAccess да изисква издигане, без да използва защитения работен плотБлагодарение на тази политика ще бъде възможно да се контролира дали програмите за достъпност на потребителския интерфейс (UIAccess или UIA) могат автоматично да деактивират защитения работен плот за съобщенията за кота, използвани от стандартен потребител. Вашите опции са:

• Активирано: Тази опция автоматично деактивира защитения работен плот за подкани за надморска височина.

• Хора с увреждания: Защитеният работен плот може да бъде деактивиран само от потребителя на интерактивен работен плот или чрез деактивиране на настройката на политиката „Контрол на потребителския акаунт: Превключване към защитен работен плот при заявка за надморска височина“.

Контрол на потребителския акаунт - Поведение на съобщение за надморска височина за администраторите в режим на одобрение от администраторВ тази политика ще контролираме поведението на индикатора за надморска височина за администраторите. Наличните опции са:

• Повдигнете, без да питате: Позволява на привилегированите акаунти да извършват операция, която изисква издигане, без да е необходимо съгласието на потребителя или идентификационните данни.

• Заявете идентификационни данни на защитения работен плот: Когато дадена операция изисква повишаване на привилегиите, потребителят е подканен да въведе привилегировано потребителско име и парола на защитения работен плот.

• Искане за съгласие на защитения работен плот: Когато дадена операция изисква повишаване на привилегиите, потребителят е подканен да избере Разреши или Откажи действието на защитения работен плот.

• Искане на идентификационни данни: Когато дадена операция изисква повишаване на привилегиите, потребителят е подканен да въведе административно потребителско име и парола.

• Искане за съгласие: Когато дадена операция изисква повишаване на привилегиите, потребителят е подканен да избере Разреши или Откажи.

• Искане за съгласие за двоични файлове, различни от Windows (по подразбиране): Когато операция за приложение, различно от Microsoft, изисква повишаване на привилегиите, потребителят е подканен да избере Разреши или Откажи на защитения работен плот.

Контрол на потребителските акаунти: Поведение на индикатора за надморска височина за стандартни потребителиБлагодарение на тази политика можем да контролираме поведението на индикатора за надморска височина за стандартните потребители. Вариантите са:

• Искане на идентификационни данни (по подразбиране): Когато дадена операция изисква повишаване на привилегиите, потребителят е подканен да въведе административно потребителско име и парола.

• Автоматично отхвърляне на заявки за повдигане: Когато дадена операция изисква повишаване на привилегиите, се показва конфигурируемо съобщение за грешка при достъпа до достъп.

• Заявете идентификационни данни на защитения работен плот: Когато дадена операция изисква повишаване на привилегиите, потребителят е подканен да въведе различно потребителско име и парола на защитения работен плот.

Контрол на потребителските акаунти - открийте инсталациите на приложения и поискайте повишаванеС тази политика ще можем да контролираме поведението на откриването на инсталацията на приложението за компютъра.
Вашите опции са:

• Активирано (по подразбиране): Когато бъде открит инсталационен пакет на приложение, който изисква повишаване на привилегиите, потребителят ще бъде подканен да въведе административно потребителско име и парола.

• Хора с увреждания: Деактивираните пакети за инсталиране на приложения не се откриват и се искат надморски височини. Компаниите, които изпълняват стандартни потребителски настолни компютри и използват делегирани инсталационни технологии, като групови правила или System Center Configuration Manager, трябва да деактивират тази настройка на правилата.

Контрол на потребителските акаунти: качвайте само изпълними файлове, които са подписани и валидирани
Използвайки тази политика, вие дефинирате проверки за подписване на инфраструктура на публичен ключ (PKI) за всяко интерактивно приложение, което изисква повишаване на привилегиите.

ИТ администраторите могат да контролират кои приложения да работят, като добавят сертификати към хранилището за сертификати на Trusted Publishers на локални компютри. Вашите опции са:

• Активирано: Насърчава валидирането на пътя за сертифициране на сертификат за даден изпълним файл, преди да бъде разрешен за изпълнение.

• Хора с увреждания: Не налага валидиране на пътя за сертифициране на сертификат, преди да бъде разрешено да се изпълнява определен изпълним файл.

Контрол на потребителските акаунти: издига само приложенията на UIAccess, които са инсталирани на защитени местаС тази политика ще бъде възможно да се контролира дали приложенията, които искат да се изпълняват с ниво на цялостност на достъпността на потребителския интерфейс (UIAccess), трябва да се намират на сигурно място във файловата система. Безопасните места са ограничени до следните маршрути:

 \ Program Files \, \ Windows \ system32 \, \ Program Files (x86) \. 

Вашите опции са:

• Активирано: Ако дадено приложение се намира на сигурно място във файловата система, то работи само с целостта на UIAccess.

• Хора с увреждания: Приложението работи с целостта на UIAccess, дори ако не е на безопасно място във файловата система.

Контрол на потребителските акаунти - Активирайте режима на одобрение от администратораПрилагайки тази политика, ние ще можем да контролираме поведението на всички настройки на политиката за контрол на потребителските акаунти (UAC) за компютъра. Ако промените тази настройка на правилата, трябва да рестартирате компютъра. Наличните опции са:

• Активирано: Позволява на вградения администраторски акаунт и всички други потребители, които са членове на групата „Администратори“, да работят в режим на одобрение на администратор.

• Хора с увреждания: Ако тази настройка на правилата е деактивирана, Центърът за сигурност ще ви уведоми, че общата сигурност на операционната система е намалена.

Контрол на потребителските акаунти - превключете към защитен работен плот при повишаване на заявкатаС тази политика ще бъде възможно да се контролира дали съобщението за заявка за повдигане да се показва на интерактивния потребителски десктоп или на защитения работен плот. Там можем да установим следното:

• Активирано: Всички заявки за повдигане отиват на защитения работен плот, независимо от настройките на политиката за поведение при известия за администратори и стандартни потребители.

• Хора с увреждания: Всички заявки за повдигане отиват на интерактивния работен плот на потребителя. Използват се стандартни настройки на политиката за поведение на потребители и администратори.

• Всички тези опции се намират с помощта на клавишната комбинация + R и изпълнението на командата secpol.msc

В показания прозорец ще преминем към маршрута Местни политики / Опции за сигурност.

Конфигурация на ключовете на системния регистърКлючовете на системния регистър на UAC могат да бъдат намерени в следния път на редактора на системния регистър, до който имаме достъп, като използваме ключовете и изпълняваме regedit:

 HKEY_LOCAL_MACHINE \ СОФТУЕР \ Microsoft \ Windows \ CurrentVersion \ Политики \ Система

Наличните записи са:

FilterAdministratorTokenопциите са:

 0 (по подразбиране) = забранено 1 = разрешено

EnableUIADesktopToggleВашите опции са:

 0 (по подразбиране) = забранено 1 = разрешено

ConsentPromptBehaviorAdminВашите опции са:

 0 = Повишаване без подкана 1 = Поискане на идентификационни данни на защитен работен плот 2 = Поискане на съгласие на защитен работен плот 3 = Поискане на идентификационни данни 4 = Поискане на съгласие 5 (по подразбиране) = Поискане на съгласие за двоични файлове, различни от Windows

ConsentPromptBehaviorUserВашите възможности са:

 0 = Автоматично отказване на заявки за издигане

EnableInstallerDetectionВашите опции са:

 1 = Разрешено (по подразбиране за издания за дома) 0 = Деактивирано (по подразбиране за издания за предприятия)

Потвърдете AdminCodeSignaturesВашите опции са:

 0 (по подразбиране) = забранено 1 = разрешено

EnableSecureUIAPathsВашите опции са:

 0 = Деактивирано 1 (По подразбиране) = Разрешено

Активиране на LUAВашите опции са:

 0 = Деактивирано 1 (По подразбиране) = Разрешено

Както разбрахме, UAC е разработен, за да ни помогне да имаме по -добър контрол върху процесите, които се изпълняват в Windows 10, като винаги мислим за сигурността и поверителността на всеки потребител.