UAC — распространение настроек через GPO

Вкратце о технологии UAC

Контроль Учётных записей (User Account Control) – технология, помогающая предотвратить несанкционированный запуск вредоносного кода. Когда UAC включен, все приложения запускаются в контексте не привилегированного пользователя, даже если пользователь, запускающий эти приложения является локальным администратором в системе.

Применимо к Windows 10, 8.1, 8, 7, Windows Server 2016, 2012 R2, 2012, 2008 R2. UAC

Когда приложению требуется выполнить что-то с повышенными привелегиями пользователь получает запрос на подтверждение действий. Таким образом предотавращается скрытое выполнение неавторизованных пользователем изменений в системе.

Всё это значительно повышает безопасность конечной системы, но иногда “продвинутые пользователи” с правами локального администратора отключают UAC. Встаёт задача по возвращению требуемых настроек через групповые политики. К тому же, в Windows 10 при отключенном UAC перестают работать Univeral Windows Platform приложения. Значения UAC по умолчанию:

ПараметрЗначение по умолчанию
User Account Control: Admin Approval Mode for the built-in Administrator accountDisabled
User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktopDisabled
User Account Control: Behavior of the elevation prompt for administrators in Admin Approval ModePrompt for consent for non-Windows binaries
User Account Control: Behavior of the elevation prompt for standard usersPrompt for credentials on the secure desktop
User Account Control: Detect application installations and prompt for elevationEnabled (default for home)
Disabled (default for enterprise)
User Account Control: Only elevate executables that are signed and validatedDisabled
User Account Control: Only elevate UIAccess applications that are installed in secure locationsEnabled
User Account Control: Run all administrators in Admin Approval ModeEnabled
User Account Control: Switch to the secure desktop when prompting for elevationEnabled
User Account Control: Virtualize file and registry write failures to per-user locationsEnabled

В редакторе групповой политики выставим значения в соответствии с требуемыми настройками, либо соответственно настройкам по умолчанию. Computer configuration — Policies — Windows Settings — Security Settings — Local Policies — Security Options

uac gpo

Значения по умолчанию соответствуют среднему положению регулятора настроек UAC в панели управления.

Добавить комментарий