UAC — распространение настроек через GPO

Вкратце о технологии UAC

Контроль Учётных записей (User Account Control) – технология, помогающая предотвратить несанкционированный запуск вредоносного кода. Когда UAC включен, все приложения запускаются в контексте не привилегированного пользователя, даже если пользователь, запускающий эти приложения является локальным администратором в системе.

Применимо к Windows 10, 8.1, 8, 7, Windows Server 2016, 2012 R2, 2012, 2008 R2. UAC

Когда приложению требуется выполнить что-то с повышенными привелегиями пользователь получает запрос на подтверждение действий. Таким образом предотавращается скрытое выполнение неавторизованных пользователем изменений в системе.

Всё это значительно повышает безопасность конечной системы, но иногда “продвинутые пользователи” с правами локального администратора отключают UAC. Встаёт задача по возвращению требуемых настроек через групповые политики. К тому же, в Windows 10 при отключенном UAC перестают работать Univeral Windows Platform приложения. Значения UAC по умолчанию:

Параметр Значение по умолчанию
User Account Control: Admin Approval Mode for the built-in Administrator account Disabled
User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop Disabled
User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode Prompt for consent for non-Windows binaries
User Account Control: Behavior of the elevation prompt for standard users Prompt for credentials on the secure desktop
User Account Control: Detect application installations and prompt for elevation Enabled (default for home)
Disabled (default for enterprise)
User Account Control: Only elevate executables that are signed and validated Disabled
User Account Control: Only elevate UIAccess applications that are installed in secure locations Enabled
User Account Control: Run all administrators in Admin Approval Mode Enabled
User Account Control: Switch to the secure desktop when prompting for elevation Enabled
User Account Control: Virtualize file and registry write failures to per-user locations Enabled

В редакторе групповой политики выставим значения в соответствии с требуемыми настройками, либо соответственно настройкам по умолчанию. Computer configuration — Policies — Windows Settings — Security Settings — Local Policies — Security Optionsuac gpo

Значения по умолчанию соответствуют среднему положению регулятора настроек UAC в панели управления.

Добавить комментарий