Microsoft в Windows Vista представи нов механизъм, който осигурява допълнителен слой на защитата на системата срещу неразрешени промени, наречени UAC (Контрол на потребителския акаунт или контрол на акаунта). В Windows 7 (и по-нова версия) UAC получи плъзгач за настройки (извиква се през контролния панел или файл UserAccountControlSettings.exe), с който можете да изберете едно от четирите нива на защита UAC.
Има 4 предварително определени нива на защита на контрола на потребителските акаунти, дефинирани от плъзгача:
- Ниво 4 - Винаги уведомявайте - Винаги известявайте (UAC Максимално ниво на сигурност)
- Ниво 3 - Уведоми само когато програми опитвам за грим промени за мой компютър (по подразбиране) - Известявайте само когато програмата се опита да направи промени в моя компютър (стандартно ниво на защита)
- Ниво 2 - Уведоми само когато програми опитвам за грим промени за мой компютър (правя не блед мой десктоп) - същото като предишното ниво, но без да превключвате на Secure Desktop с заключване на работния плот
- Ниво 1 - Никога не уведомявайте - Никога не известявайте (UAC е деактивиран)
По подразбиране Windows използва 3-то ниво UAC защита.
Управлението на настройките на UAC е възможно както с помощта на плъзгач, така и с помощта на групови политики. Но в редактора на групови политики няма единна политика, която ви позволява да изберете едно от 4 нива на защита (съответстващо на позицията на плъзгача на UAC). Вместо това се предлага да коригирате настройките на UAC 10 с различни политики. Тези правила са разположени в раздела:
Конфигурация на компютъра -> Политики -> Настройки на Windows -> Настройки за защита -> Локални политики -> Опции за защита (Конфигурация на компютъра -> Конфигурация на Windows -> Настройки за защита -> Местни политики). Имената на политиките, свързани с UAC започват с потребител сметка Контрол (Контрол на потребителските акаунти).
Следващата таблица изброява политиките на UAC и съответните им ключове на системния регистър. Настройките на UAC се съхраняват в клона на системния регистър HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Политики \ Система
| Име на политиката | Политика на персонализиран регистър ключ | |
| Контрол на потребителски акаунт: Режим на одобрение на администратор за вградения акаунт на администратор | Контрол на потребителските акаунти: Използвайте режима за одобрение на администратора за вградения акаунт на администратор | FilterAdministratorToken |
| Контрол на потребителските акаунти: Разрешавайте на приложенията на UIAccess да подканят за кота, без да използвате защитения работен плот | Потребителски контрол: позволете на приложенията на UIAccess да изискват кота, без да използват защитен работен плот | EnableUIADesktopToggle |
| Контрол на потребителски акаунт: Поведение на подкана за повишаване на администраторите в режим на одобрение на администратор | Потребителски контрол: поведение на заявката за повишение на администраторите в режим на одобрение на администратора | ConsentPromptBehaviorAdmin |
| Контрол на потребителските акаунти: Поведение на подкана за надморска височина за стандартните потребители | Потребителски контрол: поведение на заявката за повдигане за редовни потребители | ConsentPromptBehaviorUser |
| Контрол на потребителски акаунт: Откриване на инсталации на приложения и подкана за кота | Контрол на потребителски акаунт: Откриване на инсталация на приложение и искане за височина | EnableInstallerDetection |
| Контрол на потребителските акаунти: Издигайте само изпълними файлове, които са подписани и утвърдени | Контрол на потребителските акаунти: повишаване на правата само за подписани и проверени изпълними файлове | ValidateAdminCodeSignatures |
| Контрол на потребителските акаунти: Повишавайте само приложения на UIAccess, които са инсталирани на сигурни места | Контрол на потребителските акаунти: Увеличете само привилегии за приложения на UIAccess, инсталирани на защитено място | EnableSecureUIAPaths |
| Контрол на потребителските акаунти: Стартирайте всички администратори в режим на одобрение на администратор | Контрол на потребителските акаунти: Разрешаване на одобрение на администратор | EnableLUA |
| Контрол на потребителските акаунти: Превключете към защитения работен плот при подкана за надморска височина | Контрол на потребителските акаунти: Превключване към защитен работен плот при изпълнение на заявка за издигане | PromptOnSecureDesktop |
| Контрол на потребителските акаунти: Виртуализиране на грешки при записване на файлове и регистър на местата на всеки потребител | Контрол на потребителските акаунти: при писане на файл или регистър не успее, виртуализация на местоположението на потребителя | EnableVirtualization |
В случай, че искате да зададете параметрите на UAC чрез GPO, можете да използвате съответствието между настройките и четирите нива на UAC, описани по-долу:
UAC Ниво 1
Режим на одобрение на администратор за вградения акаунт на администратор = Деактивиран
Позволете на приложенията на UIAccess да подканят за кота, без да използвате защитения десктоп = Disabled
Поведение на подкана за надморска височина за администраторите в режим на одобрение на администратора = Elevate без подкана
Поведение на подкана за надморска височина за стандартните потребители = Подкана за идентификационни данни
Откриване на инсталационните инсталации и подкана за кота = Активирана
Само повдигнете изпълними файлове, които са подписани и валидирани = Disabled
Повишавайте само приложения на UIAccess, които са инсталирани на сигурни места = Активирано
Изпълнете всички администратори в режим на одобрение на администратор = деактивиран
Превключете към защитен работен плот при подкана за надморска височина = Disabled
Виртуализиране на грешки при записване на файлове и регистър на местоположения на потребител = Активирано
Позволете на приложенията на UIAccess да подканят за кота, без да използвате защитения десктоп = Disabled
Поведение на подкана за надморска височина за администраторите в режим на одобрение на администратора = Подкана за съгласие за двоични файлове, различни от Windows
Поведение на подкана за надморска височина за стандартните потребители = Подкана за идентификационни данни
Откриване на инсталационните инсталации и подкана за кота = Активирана
Само повдигнете изпълними файлове, които са подписани и валидирани = Disabled
Повишавайте само приложения на UIAccess, които са инсталирани на сигурни места = Активирано
Изпълнете всички администратори в режим на одобрение на администратор = Активиран
Превключете към защитен работен плот при подкана за надморска височина = Disabled
Виртуализиране на грешки при записване на файлове и регистър на местоположения на потребител = АктивираноUAC ниво 3 (за по подразбиране) В скобите са стандартните стойности на ключовете в системния регистър, които съответстват на правилата. Режим на одобрение на администратор за вградения акаунт на администратор = Деактивиран (стойността на ключа за регистър FilterAdministratorToken е 0)
Позволете на приложенията на UIAccess да подканят за кота, без да използвате защитения работен плот = Disabled (стойността на регистърния ключ EnableUIADesktopToggle е 0)
Поведение на подкана за повишаване на администраторите в режим на одобрение на администратор = Подкана за съгласие за двоични файлове, различни от Windows (стойността на ключа на системния регистър на ConsentPromptBehaviorAdmin е 5)
Поведение на подкана за повишаване на стандартните потребители = Подкана за идентификационни данни (стойност на ключа на регистъра ConsentPromptBehaviorUser- 3)
Откриване на инсталационни приложения и подкана за повишаване = Активирано (стойност на ключа на системния регистър EnableInstallerDetection- 0 за компютри в домейна, 1 - за работни групи)
Само повдигнете изпълними файлове, които са подписани и валидирани = Disabled (стойност на ключа на системния регистър ValidateAdminCodeSignatures- 0)
Повишавайте само приложения на UIAccess, които са инсталирани на сигурни места = Активиран (EnableSecureUIAPaths - 1 ключ на ключа на регистъра)
Изпълнете всички администратори в режим на одобрение на администратор = Активиран (EnableLUA-1 ключ на системния регистър)
Превключете към защитен работен плот при подкана за надморска височина = Активиран (PromptOnSecureDesktop-1 ключ на системния регистър)
Виртуализиране на грешки при записване на файлове и регистър на местоположения на потребител = Разрешено (стойност на ключа на системния регистър EnableVirtualization- 1)UAC ниво 4Режим на одобрение на администратор за вградения акаунт на администратор = Деактивиран
Позволете на приложенията на UIAccess да подканят за кота, без да използвате защитения десктоп = Disabled
Поведение на подкана за повишаване на администраторите в режим на одобрение на администратора = Подкана за съгласие на защитен работен плот
Поведение на подкана за надморска височина за стандартните потребители = Подкана за идентификационни данни
Откриване на инсталационните инсталации и подкана за кота = Активирана
Само повдигнете изпълними файлове, които са подписани и валидирани = Disabled
Повишавайте само приложения на UIAccess, които са инсталирани на сигурни места = Активирано
Изпълнете всички администратори в режим на одобрение на администратор = Активиран
Превключете към защитен работен плот при подкана за кота = Активирана
Виртуализиране на грешки при записване на файлове и регистър на местоположения на потребител = Активирано
Ако искате да разрешите на други потребители сами да коригират настройките на UAC, стандартните настройки на компютрите с домейни могат да бъдат зададени чрез инсталиране на ключове на системния регистър чрез GPP с еднократна употреба (Прилагайте веднъж и не прилагайте отново).
