Microsoft je u sustavu Windows Vista predstavio novi mehanizam koji pruža dodatni sloj zaštite sustava od neovlaštenih promjena UAC (Kontrola korisničkih računa ili kontrola računa). U sustavu Windows 7 (i noviji), UAC je dobio klizač postavki (nazvan preko upravljačke ploče ili datoteke UserAccountControlSettings.exe), s kojim možete odabrati jedan od četiri stupnja zaštite UAC.
Postoje 4 unaprijed definirane razine zaštite korisničkih računa definirane klizačem:
- Razina 4 - uvijek obavijestite - Uvijek obavijesti (UAC maksimalna razina zaštite)
- Razina 3 - obavijestiti samo kada programi probati u make promjene u moj računalo (zadano) - Obavijesti samo kada program pokuša izvršiti promjene na mom računalu (standardna razina zaštite)
- Razina 2 - obavijestiti samo kada programi probati u make promjene u moj računalo (učiniti nije zamagliti moj desktop) - isto kao i prethodna razina, ali bez prelaska na Sigurni radni stol s zaključavanjem radne površine
- Razina 1 - Nikad se nemojte prijavljivati - Nikad se ne prijaviti (UAC je onemogućen)
Windows prema zadanim postavkama koristi 3. razina UAC zaštita.
Upravljanje postavkama UAC-a moguće je i pomoću klizača i pomoću grupnih pravila. Ali u uređivaču grupnih politika ne postoji niti jedno pravilo koje vam omogućuje odabir jedne od 4 razine zaštite (koja odgovara položaju klizača UAC-a). Umjesto toga, predlaže se podešavanje UAC 10 postavki s različitim pravilima. Ta se pravila nalaze u odjeljku:
Konfiguracija računala -> Pravila -> Postavke sustava Windows -> Sigurnosne postavke -> Lokalna pravila -> Sigurnosne mogućnosti (Konfiguracija računala -> Konfiguracija sustava Windows -> Sigurnosne postavke -> Lokalna pravila). Nazivi pravila vezanih uz UAC počinju s korisnik račun Kontrola (Kontrola korisničkih računa).
Sljedeća tablica navodi UAC pravila i njihove odgovarajuće ključeve registra. UAC postavke pohranjuju se u podružnicu registra HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
Naziv pravila | Ključ registra prilagođenog pravilu | |
Kontrola korisničkih računa: Način odobrenja administratora za ugrađeni račun administratora | Kontrola korisničkih računa: Koristite način odobrenja administratora za ugrađeni račun administratora | FilterAdministratorToken |
Kontrola korisničkih računa: Dopustite UIAccess aplikacijama da traže visinu bez korištenja sigurne radne površine | Korisnička kontrola: dopustite aplikacijama UIAccess da zahtijevaju visinu bez korištenja sigurne radne površine | EnableUIADesktopToggle |
Kontrola korisničkih računa: Ponašanje upita o povišenju za administratore u načinu odobrenja administratora | Korisnička kontrola: ponašanje zahtjeva za povišenje za administratore u načinu odobrenja administratora | ConsentPromptBehaviorAdmin |
Kontrola korisničkih računa: Ponašanje upita o povišenju za standardne korisnike | Korisnička kontrola: ponašanje zahtjeva za povišenje za redovne korisnike | ConsentPromptBehaviorUser |
Kontrola korisničkih računa: Otkrivanje instalacija aplikacija i brzina visine | Kontrola korisničkih računa: Otkrivanje instalacije aplikacije i zahtjev za povišenje | EnableInstallerDetection |
Kontrola korisničkih računa: Povišajte samo izvršne datoteke koje su potpisane i potvrđene | Kontrola korisničkih računa: povećanje prava samo za potpisane i ovjerene izvršne datoteke | ValidateAdminCodeSignatures |
Kontrola korisničkih računa: Povišajte samo UIAccess programe instalirane na sigurnim mjestima | Kontrola korisničkih računa: Povišajte samo privilegije za UIAccess aplikacije instalirane na sigurnom mjestu | EnableSecureUIAPaths |
Kontrola korisničkih računa: pokrenite sve administratore u načinu odobrenja administratora | Kontrola korisničkih računa: Omogućavanje odobrenja administratora | EnableLUA |
Kontrola korisničkih računa: Kad zatražite povišicu, prebacite se na sigurnu radnu površinu | Kontrola korisničkih računa: Prebacivanje na sigurnu radnu površinu prilikom izvršavanja zahtjeva za nadmorsku visinu | PromptOnSecureDesktop |
Kontrola korisničkih računa: virtualizirajte pogreške u upisivanju datoteka i registra na lokacije pojedinog korisnika | Kontrola korisničkih računa: kada pisanje u datoteku ili registar ne uspije, virtualizacija na korisnikovom mjestu | EnableVirtualization |
U slučaju da želite postaviti UAC parametre putem GPO-a, možete koristiti korespondenciju između postavki i četiri razine UAC-a opisanih u nastavku:
UAC Razina 1
Način odobrenja administratora za ugrađeni račun administratora = Disabled
Dopusti UIAccess aplikacijama da traže visinu bez korištenja sigurne radne površine = Disabled
Ponašanje upita o povišenju za administratore u načinu odobrenja administratora = Povišenje bez zahtjeva
Ponašanje upita o povišenju za standardne korisnike = Zatraži vjerodajnice
Otkrivanje instalacija aplikacija i prompt za nadmorsku vrijednost = Omogućeno
Samo uzdižite izvršne datoteke koje su potpisane i potvrđene = Onemogućeno
Uzdižite samo UIAccess programe instalirane na sigurnim lokacijama = Omogućeno
Pokrenite sve administratore u načinu odobrenja administratora = Onemogućeno
Kad se zatraži da se nadmorske visine prebacite na sigurnu radnu površinu = onemogućeno
Virtualizirajte pogreške u pisanju datoteka i registra na lokacije korisnika = Omogućeno
Dopusti UIAccess aplikacijama da traže visinu bez korištenja sigurne radne površine = Disabled
Ponašanje upita o povišenju za administratore u načinu odobrenja administratora = Zatraži pristanak za binarne datoteke koje nisu Windows
Ponašanje upita o povišenju za standardne korisnike = Zatraži vjerodajnice
Otkrivanje instalacija aplikacija i prompt za nadmorsku vrijednost = Omogućeno
Samo uzdižite izvršne datoteke koje su potpisane i potvrđene = Onemogućeno
Uzdižite samo UIAccess programe instalirane na sigurnim lokacijama = Omogućeno
Pokrenite sve administratore u načinu odobrenja administratora = Omogućeno
Kad se zatraži da se nadmorske visine prebacite na sigurnu radnu površinu = onemogućeno
Virtualizirajte pogreške u pisanju datoteka i registra na lokacije korisnika = OmogućenoUAC nivo 3 (na zadani) U zagradama su standardne vrijednosti ključa registra koji odgovaraju pravilima. Način odobrenja administratora za ugrađeni račun administratora = onemogućen (vrijednost ključa registra FilterAdministratorToken je 0)
Dopusti UIAccess aplikacijama da traže visinu bez korištenja sigurne radne površine = Disabled (vrijednost registracijskog ključa EnableUIADesktopToggle je 0)
Ponašanje upita o povišenju za administratore u načinu odobrenja administratora = Zatraži pristanak za binarne datoteke koje nisu Windows (ključna vrijednost registra ConsentPromptBehaviorAdmin je 5)
Ponašanje upita o povišenju za standardne korisnike = Odziv za vjerodajnice (vrijednost ključa registra ConsentPromptBehaviorUser- 3)
Otkrivanje instalacija aplikacija i brzina za elevaciju = Omogućeno (vrijednost ključa registra EnableInstallerDetection- 0 za računala u domeni, 1 - za radne grupe)
Povišite samo izvršne datoteke koje su potpisane i potvrđene = Onemogućeno (vrijednost ključa registra ValidateAdminCodeSignatures- 0)
Povišajte samo UIAccess programe instalirane na sigurnim lokacijama = Omogućeno (EnableSecureUIAPaths - 1 vrijednost ključa registra)
Pokrenite sve administratore u načinu odobrenja administratora = Omogućeno (vrijednost OmogućiLUA-1 registra ključ)
Prebacite se na sigurnu radnu površinu kada se traži povišenje = Omogućeno (vrijednost ključa registra PromptOnSecureDesktop-1)
Virtualizirajte pogreške u upisu datoteka i registra na lokacije pojedinog korisnika = Omogućeno (vrijednost ključa registra EnableVirtualization- 1)UAC nivo 4Način odobrenja administratora za ugrađeni račun administratora = Disabled
Dopusti UIAccess aplikacijama da traže visinu bez korištenja sigurne radne površine = Disabled
Ponašanje upita o nadmorskoj visini za administratore u načinu odobrenja administratora = Zatraži pristanak na sigurnoj radnoj površini
Ponašanje upita o povišenju za standardne korisnike = Zatraži vjerodajnice
Otkrivanje instalacija aplikacija i prompt za nadmorsku vrijednost = Omogućeno
Samo uzdižite izvršne datoteke koje su potpisane i potvrđene = Onemogućeno
Uzdižite samo UIAccess programe instalirane na sigurnim lokacijama = Omogućeno
Pokrenite sve administratore u načinu odobrenja administratora = Omogućeno
Prebacite se na sigurnu radnu površinu kada zatražite povišenje = Omogućeno
Virtualizirajte pogreške u pisanju datoteka i registra na lokacije korisnika = Omogućeno
Ako želite dopustiti daljnjim korisnicima da sami prilagođavaju postavke UAC-a, standardne postavke na računalima domene mogu se postaviti instaliranjem ključeva registra preko GPP-a s jednom uporabom (Primijeni jednom i ne prijavi se ponovo).