Postavke klizača za kontrolu korisničkih računa i pravila grupe

Microsoft je u sustavu Windows Vista predstavio novi mehanizam koji pruža dodatni sloj zaštite sustava od neovlaštenih promjena UAC (Kontrola korisničkih računa ili kontrola računa). U sustavu Windows 7 (i noviji), UAC je dobio klizač postavki (nazvan preko upravljačke ploče ili datoteke UserAccountControlSettings.exe), s kojim možete odabrati jedan od četiri stupnja zaštite UAC.

Postoje 4 unaprijed definirane razine zaštite korisničkih računa definirane klizačem:

  • Razina 4 - uvijek obavijestite -  Uvijek obavijesti (UAC maksimalna razina zaštite)
  • Razina 3 - obavijestiti samo kada programi probati u make promjene u moj računalo (zadano) - Obavijesti samo kada program pokuša izvršiti promjene na mom računalu (standardna razina zaštite)
  • Razina 2 - obavijestiti samo kada programi probati u make promjene u moj računalo (učiniti nije zamagliti moj desktop) - isto kao i prethodna razina, ali bez prelaska na Sigurni radni stol s zaključavanjem radne površine
  • Razina 1 - Nikad se nemojte prijavljivati - Nikad se ne prijaviti (UAC je onemogućen)

Windows prema zadanim postavkama koristi 3. razina UAC zaštita.

Upravljanje postavkama UAC-a moguće je i pomoću klizača i pomoću grupnih pravila. Ali u uređivaču grupnih politika ne postoji niti jedno pravilo koje vam omogućuje odabir jedne od 4 razine zaštite (koja odgovara položaju klizača UAC-a). Umjesto toga, predlaže se podešavanje UAC 10 postavki s različitim pravilima. Ta se pravila nalaze u odjeljku:

Konfiguracija računala -> Pravila -> Postavke sustava Windows -> Sigurnosne postavke -> Lokalna pravila -> Sigurnosne mogućnosti (Konfiguracija računala -> Konfiguracija sustava Windows -> Sigurnosne postavke -> Lokalna pravila). Nazivi pravila vezanih uz UAC počinju s korisnik račun Kontrola (Kontrola korisničkih računa).

Sljedeća tablica navodi UAC pravila i njihove odgovarajuće ključeve registra. UAC postavke pohranjuju se u podružnicu registra HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System

Naziv pravilaKljuč registra prilagođenog pravilu
Kontrola korisničkih računa: Način odobrenja administratora za ugrađeni račun administratoraKontrola korisničkih računa: Koristite način odobrenja administratora za ugrađeni račun administratoraFilterAdministratorToken
Kontrola korisničkih računa: Dopustite UIAccess aplikacijama da traže visinu bez korištenja sigurne radne površineKorisnička kontrola: dopustite aplikacijama UIAccess da zahtijevaju visinu bez korištenja sigurne radne površineEnableUIADesktopToggle
Kontrola korisničkih računa: Ponašanje upita o povišenju za administratore u načinu odobrenja administratoraKorisnička kontrola: ponašanje zahtjeva za povišenje za administratore u načinu odobrenja administratoraConsentPromptBehaviorAdmin
Kontrola korisničkih računa: Ponašanje upita o povišenju za standardne korisnikeKorisnička kontrola: ponašanje zahtjeva za povišenje za redovne korisnikeConsentPromptBehaviorUser
Kontrola korisničkih računa: Otkrivanje instalacija aplikacija i brzina visineKontrola korisničkih računa: Otkrivanje instalacije aplikacije i zahtjev za povišenjeEnableInstallerDetection
Kontrola korisničkih računa: Povišajte samo izvršne datoteke koje su potpisane i potvrđeneKontrola korisničkih računa: povećanje prava samo za potpisane i ovjerene izvršne datotekeValidateAdminCodeSignatures
Kontrola korisničkih računa: Povišajte samo UIAccess programe instalirane na sigurnim mjestimaKontrola korisničkih računa: Povišajte samo privilegije za UIAccess aplikacije instalirane na sigurnom mjestuEnableSecureUIAPaths
Kontrola korisničkih računa: pokrenite sve administratore u načinu odobrenja administratoraKontrola korisničkih računa: Omogućavanje odobrenja administratoraEnableLUA
Kontrola korisničkih računa: Kad zatražite povišicu, prebacite se na sigurnu radnu površinuKontrola korisničkih računa: Prebacivanje na sigurnu radnu površinu prilikom izvršavanja zahtjeva za nadmorsku visinuPromptOnSecureDesktop
Kontrola korisničkih računa: virtualizirajte pogreške u upisivanju datoteka i registra na lokacije pojedinog korisnikaKontrola korisničkih računa: kada pisanje u datoteku ili registar ne uspije, virtualizacija na korisnikovom mjestuEnableVirtualization

U slučaju da želite postaviti UAC parametre putem GPO-a, možete koristiti korespondenciju između postavki i četiri razine UAC-a opisanih u nastavku:

UAC Razina 1

Način odobrenja administratora za ugrađeni račun administratora = Disabled
Dopusti UIAccess aplikacijama da traže visinu bez korištenja sigurne radne površine = Disabled
Ponašanje upita o povišenju za administratore u načinu odobrenja administratora = Povišenje bez zahtjeva
Ponašanje upita o povišenju za standardne korisnike = Zatraži vjerodajnice
Otkrivanje instalacija aplikacija i prompt za nadmorsku vrijednost = Omogućeno
Samo uzdižite izvršne datoteke koje su potpisane i potvrđene = Onemogućeno
Uzdižite samo UIAccess programe instalirane na sigurnim lokacijama = Omogućeno
Pokrenite sve administratore u načinu odobrenja administratora = Onemogućeno
Kad se zatraži da se nadmorske visine prebacite na sigurnu radnu površinu = onemogućeno
Virtualizirajte pogreške u pisanju datoteka i registra na lokacije korisnika = Omogućeno

UAC nivo 2Način odobrenja administratora za ugrađeni račun administratora = Disabled
Dopusti UIAccess aplikacijama da traže visinu bez korištenja sigurne radne površine = Disabled
Ponašanje upita o povišenju za administratore u načinu odobrenja administratora = Zatraži pristanak za binarne datoteke koje nisu Windows
Ponašanje upita o povišenju za standardne korisnike = Zatraži vjerodajnice
Otkrivanje instalacija aplikacija i prompt za nadmorsku vrijednost = Omogućeno
Samo uzdižite izvršne datoteke koje su potpisane i potvrđene = Onemogućeno
Uzdižite samo UIAccess programe instalirane na sigurnim lokacijama = Omogućeno
Pokrenite sve administratore u načinu odobrenja administratora = Omogućeno
Kad se zatraži da se nadmorske visine prebacite na sigurnu radnu površinu = onemogućeno
Virtualizirajte pogreške u pisanju datoteka i registra na lokacije korisnika = Omogućeno

UAC nivo 3 (na zadani) U zagradama su standardne vrijednosti ključa registra koji odgovaraju pravilima. Način odobrenja administratora za ugrađeni račun administratora = onemogućen (vrijednost ključa registra FilterAdministratorToken je 0)
Dopusti UIAccess aplikacijama da traže visinu bez korištenja sigurne radne površine = Disabled (vrijednost registracijskog ključa EnableUIADesktopToggle je 0)
Ponašanje upita o povišenju za administratore u načinu odobrenja administratora = Zatraži pristanak za binarne datoteke koje nisu Windows (ključna vrijednost registra ConsentPromptBehaviorAdmin je 5)
Ponašanje upita o povišenju za standardne korisnike = Odziv za vjerodajnice (vrijednost ključa registra ConsentPromptBehaviorUser- 3)
Otkrivanje instalacija aplikacija i brzina za elevaciju = Omogućeno (vrijednost ključa registra EnableInstallerDetection- 0 za računala u domeni, 1 - za radne grupe)
Povišite samo izvršne datoteke koje su potpisane i potvrđene = Onemogućeno (vrijednost ključa registra ValidateAdminCodeSignatures- 0)
Povišajte samo UIAccess programe instalirane na sigurnim lokacijama = Omogućeno (EnableSecureUIAPaths - 1 vrijednost ključa registra)
Pokrenite sve administratore u načinu odobrenja administratora = Omogućeno (vrijednost OmogućiLUA-1 registra ključ)
Prebacite se na sigurnu radnu površinu kada se traži povišenje = Omogućeno (vrijednost ključa registra PromptOnSecureDesktop-1)
Virtualizirajte pogreške u upisu datoteka i registra na lokacije pojedinog korisnika = Omogućeno (vrijednost ključa registra EnableVirtualization- 1)

UAC nivo 4Način odobrenja administratora za ugrađeni račun administratora = Disabled
Dopusti UIAccess aplikacijama da traže visinu bez korištenja sigurne radne površine = Disabled
Ponašanje upita o nadmorskoj visini za administratore u načinu odobrenja administratora = Zatraži pristanak na sigurnoj radnoj površini
Ponašanje upita o povišenju za standardne korisnike = Zatraži vjerodajnice
Otkrivanje instalacija aplikacija i prompt za nadmorsku vrijednost = Omogućeno
Samo uzdižite izvršne datoteke koje su potpisane i potvrđene = Onemogućeno
Uzdižite samo UIAccess programe instalirane na sigurnim lokacijama = Omogućeno
Pokrenite sve administratore u načinu odobrenja administratora = Omogućeno
Prebacite se na sigurnu radnu površinu kada zatražite povišenje = Omogućeno
Virtualizirajte pogreške u pisanju datoteka i registra na lokacije korisnika = Omogućeno

Ako želite dopustiti daljnjim korisnicima da sami prilagođavaju postavke UAC-a, standardne postavke na računalima domene mogu se postaviti instaliranjem ključeva registra preko GPP-a s jednom uporabom (Primijeni jednom i ne prijavi se ponovo).