Funktioner och hur du konfigurerar GPO UAC i Windows 10

Innehållsförteckning

Windows operativsystem innehåller en rad praktiska alternativ som hjälper oss att förbättra säkerheten i det och dess applikationer.

En av dessa säkerhetsåtgärder är den välkända UAC (User Account Control) eftersom dessa har utvecklats för att förhindra att virus eller skadlig kod introduceras i systemet som påverkar dess funktionalitet och drift och idag kommer Solvetic att göra en fullständig analys av hur UAC fungerar i Windows 10 och hur vi kan konfigurera det för att få ut det mesta av det.

Vad är UACAnvändarkontokontroll eller UAC, är en funktionalitet i Windows 10 som hjälper oss att förhindra att en viss typ av skadlig kod installeras på datorn, vilket påverkar dess funktion och i processen bidrar det till att organisationer har möjlighet att implementera ett skrivbord. Med administration och ledningsförbättringar.

Tack vare UAC kommer applikationer och uppgif.webpter alltid att köras i en säker miljö med ett administratörskonto.

Med UAC kommer det att vara möjligt att blockera automatisk installation av obehöriga applikationer och undvika oavsiktliga ändringar i systemkonfigurationen eftersom alla hot som en skadlig kod har i koden kan komma för att förstöra, stjäla eller ändra systemets beteende.

Genom att implementera UAC kan vi tillåta användare att logga in på sina datorer med ett vanligt användarkonto, vilket gör det lättare för dem att utföra uppgif.webpter med åtkomsträttigheter kopplade till ett standardkonto.

Hur UAC fungerarNär du använder UAC i Windows 10 måste varje program som behöver använda administratörs åtkomsttoken begära ditt godkännande eller installation är omöjligt.

Windows 10 skyddar systemprocesser och markerar deras integritetsnivåer. Integritetsnivåer är förtroendeåtgärder som implementeras för att optimera säkerheten vid installation av ett visst program.

En applikation med "hög" integritet är en som utför uppgif.webpter som inkluderar modifiering av systemdata, till exempel en diskpartitionsapplikation, RAM -minneshanteringsprogram, etc., medan en applikation med "låg" integritet är en. Som uppfyller uppgif.webpter som vid vissa punkt kan påverka operativsystemet, till exempel en webbläsare.

Program som klassificeras med lägre integritetsnivåer kan inte ändra data i applikationer med högre integritetsnivåer. När en standardanvändare försöker köra ett program som kräver en administratörsbehörighetstoken, kräver UAC att användaren tillhandahåller giltiga administratörsuppgif.webpter för att den ska kunna utföra uppgif.webpten, det är därför som vi måste bekräfta respektive behörighet när vi kör ett program.

Inloggningsprocessen i UACNär UAC är implementerat i Windows 10 har alla användare och administratörer som ingår i standardgruppen som standard tillgång till resurser och har möjlighet att köra applikationer i säkerhetskontext för standardanvändare, vilket är begränsat.

När en användare nu loggar in på en dator skapar systemet automatiskt en åtkomsttoken för den specifika användaren, denna åtkomsttoken innehåller information om åtkomstnivån som tilldelas användaren, inklusive specifika säkerhetsidentifierare (SID) och definierade Windows -behörigheter för varje användarnivå och respektive tillstånd kommer att beviljas eller inte.

När en administratör loggar in på Windows 10 skapas däremot två separata åtkomsttoken för den här användaren: en standard användaråtkomsttoken och en administratörsbehörighetstoken.

Med den vanliga användartillgångstoken kommer det att finnas samma användarspecifika information som administratörsbehörighetstoken, men Windows administratörsbehörighet och tillhörande SID kommer att tas bort.

Standardanvändaråtkomsttoken används för körning av applikationer som inte utför administrativa uppgif.webpter (standardanvändarapplikationer) och därmed alla applikationer som körs som en standardanvändare, såvida inte en användare tillhandahåller samtycke eller referenser för att godkänna en applikation som kan göra användning av en fullständig administrativ åtkomsttoken.

På så sätt kommer en användare som tillhör gruppen Administratörer att kunna logga in, surfa på webben och läsa e -postmeddelanden när han använder en vanlig användaråtkomsttoken och när administratören behöver utföra en uppgif.webpt som kräver token. Administratörsbehörighet, Windows 10 kommer automatiskt att be användaren om godkännande, det är därför som vi försöker köra ett program när vi försöker köra en applikation eller inte till den nämnda applikationen.

UAC -användarupplevelseNär UAC implementeras skiljer sig användarupplevelsen för en standardanvändare från administratörerna i administratörsgodkännande -läge, vilket kan påverka utförandet av olika applikationer.

Att få tillgång till systemet som en standardanvändare hjälper till att maximera säkerheten för en hanterad miljö eftersom vi vet att en sådan användare inte kommer att ha behörighet att installera obehörig programvara.

Med UAC -höjdkomponenten inbyggd i Windows 10 kan standardanvändare enkelt utföra en administrativ uppgif.webpt genom att ange giltiga referenser för ett lokalt administratörskonto. Den inbyggda UAC-höjdkomponenten för standardanvändare är referensindikatorn som hjälper till att hantera behörigheter när du kör applikationer.

Med UAC aktiverat i Windows 10, när vi försöker köra ett program, begärs behörighet eller begäran om ett giltigt lokalt administratörskonto innan ett program eller en uppgif.webpt startas som kräver en fullständig administratörs åtkomsttoken.

Detta meddelande försäkrar oss om att ingen skadlig programvara kan installeras tyst.

UAC höjdmeddelandenHöjdmeddelanden i UAC är färgkodade för att vara applikationsspecifika, så att vi omedelbart kan identifiera en applikations säkerhetsrisk.

När ett program försöker köra med en fullständig administratörs åtkomsttoken, analyserar Windows 10 först den körbara filen för att bestämma dess utgivare och godkänner därmed, om den är giltig, respektive åtkomst till den. Windows 10 använder tre kategorier enligt utgivaren:

  • Windows 10
  • Verifierad utgivare (signerad)
  • Utgivaren är inte verifierad (osignerad)
Färgkodningen för höjdförfrågan i Windows 10 är följande:
  • Röd bakgrund med en röd sköldikon: Indikerar att denna applikation är blockerad av grupprincip eller är från en blockerad utgivare.
  • Blå bakgrund med en blå och guldsköldikon: Anger att programmet är ett administrativt program i Windows 10, till exempel ett kontrollpanelobjekt.
  • Blå bakgrund med en blå sköldikon - Avser att denna applikation är signerad med Authenticode och är betrodd på den lokala datorn.
  • Gul bakgrund med en gul sköldikon: Denna app är osignerad eller signerad men ännu inte betrodd av den lokala datorn.

SköldikonVissa delar av kontrollpanelen i Windows 10, till exempel datum- och tidegenskaperna, har en kombination av administratörs- och standardanvändaroperationer, där kan standardanvändare se klockan och ändra tidszonen, men en fullständig administratörsåtkomst för att ändra lokal systemtid.

Av denna anledning kommer vi att se följande skärm på knappen Ändra datum och tid i nämnda alternativ:

Detta indikerar att processen kräver en fullständig administratörs åtkomsttoken och kommer att visa en UAC -höjdindikator när den klickas.

UAC -arkitekturI följande diagram kan vi se hur UAC är uppbyggt i Windows 10.

Komponenterna i detta schema är:

Användarnivå

  • Användaren utför en åtgärd som kräver behörighet - Användaren utför en åtgärd som kräver behörighet: I det här fallet, om operationen ändrar filsystemet eller registret, kallas virtualisering. Alla andra operationer anropar ShellExecute.
  • ShellExecute: ShellExecute söker efter ERROR_ELEVATION_REQUIRED -felet från CreateProcess. Om du får felet ringer ShellExecute applikationstjänsten för att försöka utföra den begärda uppgif.webpten med den upphöjda symbolen.
  • CreateProcess: Om programmet kräver höjning avvisar CreateProcess samtalet med ERROR_ELEVATION_REQUIRED.

Systemnivå

  • Serviceinformationstjänst: Programinformationstjänsten hjälper till att starta applikationer som kräver en eller flera förhöjda behörigheter eller användarrättigheter för att köra genom att skapa en ny process för programmet med en administrativ användare full åtkomsttoken när höjd krävs.
  • Höjning av en ActiveX -installation - Höjning av en ActiveX -installation: Om ActiveX inte är installerat kontrollerar systemet UAC -reglernivån. Om ActiveX är installerat väljs grupppolicyinställningen för användarkontokontroll: Byt till ett säkert skrivbord när du begär höjning.
  • Kontrollera UAC -reglernivån - Kontrollera UAC -nivån: UAC har fyra aviseringsnivåer att välja mellan och ett reglage för att välja aviseringsnivå: Hög, Medium, Låg eller Ingen avisering.

UAC -användarupplevelseSäkerhetspolicyinställningar för användarkontokontroll
I Windows 10 kan vi använda säkerhetspolicyer för att konfigurera användarkontokontroll i vårt företag.

Dessa kan konfigureras lokalt med snapin-modulen för lokal säkerhetspolicy (secpol.msc) eller konfigureras för domänen, organisationsenheten eller specifika grupper med grupprincip. Några av de tillgängliga policyerna är:

Användarkontokontroll Administratörsgodkännande för inbyggt administratörskontoMed den här policyn kontrollerar vi beteendet för administratörsgodkännandeläget för det integrerade administratörskontot och alternativen är:

  • Aktiverad: När den här policyn är aktiverad använder det inbyggda administratörskontot läget för administratörsgodkännande. Som standard kommer varje operation som kräver höjning av behörigheten att uppmana användaren att godkänna operationen.
  • Inaktiverad: Det är standardalternativet och med det inbyggda administratörskontot körs alla applikationer med fullständiga administrativa behörigheter.

Användarkontokontroll - Tillåter UIAccess -appen att begära höjning utan att använda det säkra skrivbordetTack vare denna policy kommer det att vara möjligt att kontrollera om användargränssnittets tillgänglighetsprogram (UIAccess eller UIA) automatiskt kan inaktivera det säkra skrivbordet för höjdmeddelanden som används av en standardanvändare. Dina alternativ är:

  • Aktiverad: Det här alternativet inaktiverar automatiskt det säkra skrivbordet för höjdmeddelanden.
  • Inaktiverad: Det säkra skrivbordet kan endast inaktiveras av den interaktiva skrivbordsanvändaren eller genom att inaktivera policyinställningen "Användarkontokontroll: Byt till säker skrivbord vid höjdförfrågan".

Användarkontokontroll - höjdmeddelandets beteende för administratörer i administratörsgodkännande -lägeI denna policy kommer vi att kontrollera beteendet hos höjdindikatorn för administratörer. De tillgängliga alternativen är:

  • Höj utan att fråga: Tillåter privilegierade konton att utföra en operation som kräver höjning utan att användarens samtycke eller referenser krävs.
  • Begär autentiseringsuppgif.webpter på det säkra skrivbordet: När en operation kräver höjning av behörigheten uppmanas användaren att ange ett privilegierat användarnamn och lösenord på det säkra skrivbordet.
  • Samtyckebegäran på det säkra skrivbordet: När en operation kräver en höjning av behörigheten uppmanas användaren att välja Tillåt eller Neka åtgärden på det säkra skrivbordet.
  • Begär referenser: När en operation kräver höjning av behörigheten uppmanas användaren att ange ett administrativt användarnamn och lösenord.
  • Samtycke: När en operation kräver höjning av behörigheten uppmanas användaren att välja Tillåt eller Neka.
  • Samtycksbegäran för binärer som inte är Windows (standard): När en operation för en icke-Microsoft-applikation kräver höjning av behörighet uppmanas användaren att välja Tillåt eller Neka på det säkra skrivbordet.

Användarkontokontroll: höjdindikatorbeteende för standardanvändareTack vare denna policy kan vi kontrollera beteendet hos höjdindikatorn för vanliga användare. Alternativen är:

  • Begär autentiseringsuppgif.webpter (standard): När en operation kräver höjning av behörigheten uppmanas användaren att ange ett administrativt användarnamn och lösenord.
  • Avvisa hissbegäranden automatiskt: När en operation kräver höjning av privilegiet visas ett konfigurerbart åtkomstfelmeddelande.
  • Begär autentiseringsuppgif.webpter på det säkra skrivbordet: När en operation kräver höjning av privilegiet uppmanas användaren att ange ett annat användarnamn och lösenord på det säkra skrivbordet.

Användarkontokontroll - upptäck appinstallationer och begär höjningMed denna policy kommer vi att kunna kontrollera beteendet för applikationsinstallationsdetekteringen för datorn.
Dina alternativ är:

  • Aktiverad (standard): När ett programinstallationspaket som kräver höjning av behörigheten upptäcks kommer användaren att uppmanas att ange ett administrativt användarnamn och lösenord.
  • Inaktiverad: Inaktiverade appinstallationspaket upptäcks inte och höjningar krävs. Företag som kör standardanvändardatorer och använder delegerade installationstekniker, till exempel Group Policy eller System Center Configuration Manager, bör inaktivera denna policyinställning.

Användarkontokontroll: ladda bara upp körbara filer som är signerade och validerade
Med denna policy definierar du signeringskontroller för offentlig nyckelinfrastruktur (PKI) för alla interaktiva applikationer som kräver förhöjning av behörighet.

IT -administratörer kan styra vilka program som kan köras genom att lägga till certifikat i certifikatlagret Trusted Publishers på lokala datorer. Dina alternativ är:

  • Aktiverad: Främjar validering av certifikatcertifieringsvägen för en given körbar fil innan den får köras.
  • Inaktiverad: Verkställer inte certifikatcertifieringsvägsvalidering innan en viss körbar fil får köras.

Användarkontokontroll: höj bara UIAccess -program som är installerade på säkra platserMed den här policyn kommer det att vara möjligt att kontrollera om program som begär att köras med användargränssnittets tillgänglighetsintegritetsnivå (UIAccess) måste finnas på en säker plats i filsystemet. Säkra platser är begränsade till följande rutter:

 \ Program Files \, \ Windows \ system32 \, \ Program Files (x86) \. 
Dina alternativ är:
  • Aktiverad: Om ett program finns på en säker plats i filsystemet körs det bara med UIAccess -integritet.
  • Inaktiverad: Ett program körs med UIAccess -integritet även om det inte finns på en säker plats i filsystemet.

Användarkontokontroll - Aktivera administratörsgodkännandelägeGenom att implementera denna policy kommer vi att kunna kontrollera beteendet hos alla policyinställningar för användarkontokontroll (UAC) för datorn. Om du ändrar denna policyinställning måste du starta om datorn. De tillgängliga alternativen är:

  • Aktiverad: Tillåter att det inbyggda administratörskontot och alla andra användare som är medlemmar i gruppen Administratörer körs i administratörsgodkännande-läge.
  • Inaktiverad: Om denna policyinställning är inaktiverad kommer Security Center att meddela dig att operativsystemets övergripande säkerhet har minskat.

Användarkontokontroll - växla till säkert skrivbord när begäran höjsMed denna policy kommer det att vara möjligt att kontrollera om meddelandet om hissbegäran visas på den interaktiva användarens skrivbord eller på det säkra skrivbordet. Där kan vi fastställa följande:

  • Aktiverad: Alla lyftförfrågningar går till det säkra skrivbordet, oavsett inställningar för aviseringsbeteende för administratörer och standardanvändare.
  • Inaktiverad: Alla lyftförfrågningar går till den interaktiva användarens skrivbord. Standardinställningar för användar- och administratörsbeteende används.
  • Alla dessa alternativ finns med tangentkombinationen + R och kör kommandot secpol.msc
I fönstret som visas kommer vi att gå till rutten Lokala policyer / säkerhetsalternativ.

Konfiguration av registernycklarUAC -registernycklarna finns i följande sökväg till registerredigeraren som vi får åtkomst till med hjälp av nycklarna och körning regedit:

 HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
De tillgängliga posterna är:

FilterAdministratorTokenalternativen är:

 0 (Standard) = Inaktiverad 1 = Aktiverad

EnableUIADesktopToggleDina alternativ är:

 0 (Standard) = Inaktiverad 1 = Aktiverad

ConsentPromptBehaviorAdminDina alternativ är:

 0 = Höj utan att fråga 1 = Fråga om autentiseringsuppgif.webpter på säkert skrivbord 2 = Fråga om samtycke på säkert skrivbord 3 = Fråga om behörighetsuppgif.webpter 4 = Fråga om samtycke 5 (standard) = Fråga om samtycke för binärer som inte är Windows

ConsentPromptBehaviorUserDina möjligheter är:

 0 = Neka automatiskt förhöjningsbegäranden 1 = Fråga efter referenser på säkert skrivbord 3 (standard) = Fråga efter referenser

EnableInstallerDetectionDina alternativ är:

 1 = Aktiverad (standard för hemversioner) 0 = Inaktiverad (standard för företagsversioner)

ValidateAdminCodeSignaturesDina alternativ är:

 0 (Standard) = Inaktiverad 1 = Aktiverad

EnableSecureUIAPathsDina alternativ är:

 0 = Inaktiverad 1 (Standard) = Aktiverad

EnableLUADina alternativ är:

 0 = Inaktiverad 1 (Standard) = Aktiverad

Som vi har förstått har UAC utvecklats för att hjälpa oss att få bättre kontroll över de processer som körs i Windows 10, alltid med tanke på säkerheten och integriteten för varje användare.

wave wave wave wave wave