Параметры политики безопасности контроля учетных записей

Можно использовать политики безопасности, чтобы настроить работу контроля учетных записей в вашей организации. Эти политики можно настроить локально, воспользовавшись оснасткой "Локальная политика безопасности" (secpol.msc), или для домена, подразделения или конкретных групп, воспользовавшись групповой политикой.

Контроль учетных записей: использование режима одобрения администратором для встроенной учетной записи администратора

Этот параметр политики определяет характеристики режима одобрения администратором для встроенной учетной записи администратора.

  • Включено. Для встроенной учетной записи администратора используется режим одобрения администратором. По умолчанию любая операция, требующая повышения уровня предоставляемых прав, предлагает пользователю подтвердить операцию.

  • Отключено (значение по умолчанию). Встроенная учетная запись администратора выполняет все приложения с полными правами администратора.

Контроль учетных записей. Разрешать UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол

Этот параметр политики определяет, могут ли UIAccess-приложения (UIA-программы) автоматически отключать безопасный рабочий стол для запросов на повышение прав, используемых обычным пользователем.

  • Включено. UIA-программы, в том числе удаленный помощник Windows, автоматически отключают безопасный рабочий стол для запросов на повышение прав. Если не отключен параметр политики "Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав", приглашение появится на интерактивном рабочем столе пользователя, а не на безопасном рабочем столе.

  • Отключено (значение по умолчанию). Безопасный рабочий стол может быть отключен только пользователем интерактивного рабочего стола или путем отключения параметра политики "Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав".

Контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором

Этот параметр политики контролирует поведение запроса на повышение прав для администраторов.

  • Повышение без запроса. Позволяет привилегированным учетным записям выполнить операцию, требующую повышения прав, без подтверждения согласия или ввода учетных данных.

    Примечание  Этот вариант должен использоваться только в средах с максимальными ограничениями.
     
  • Запрос учетных данных на безопасном рабочем столе. Для любой операции, требующей повышения прав, на безопасном рабочем столе выводится приглашение ввести имя и пароль привилегированного пользователя. Если вводятся правильные учетные данные, операция будет продолжена с максимальными доступными привилегиями пользователя.

  • Запрос согласия на безопасном рабочем столе. Для любой операции, требующей повышения прав, на безопасном рабочем столе выводится приглашение выбрать: "Разрешить" или "Запретить". Если пользователь выбирает "Разрешить", операция будет продолжена с максимальными доступными привилегиями пользователя.

  • Запрос учетных данных. Для любой операции, требующей повышения прав, выводится приглашение ввести имя пользователя и пароль учетной записи администратора. Если вводятся правильные учетные данные, операция будет продолжена с соответствующими привилегиями.

  • Запрос согласия. Для любой операции, требующей повышения прав, пользователю предлагается выбрать: "Разрешить" или "Запретить". Если пользователь выбирает "Разрешить", операция будет продолжена с максимальными доступными привилегиями пользователя.

  • Запрос согласия для исполняемых файлов не из Windows (значение по умолчанию). Когда операция для приложения стороннего (не от Майкрософт) производителя требует повышения прав, на безопасном рабочем столе выводится приглашение выбрать: "Разрешить" или "Запретить". Если пользователь выбирает "Разрешить", операция будет продолжена с максимальными доступными привилегиями пользователя.

Контроль учетных записей: поведение запроса на повышение прав для обычных пользователей

Этот параметр политики контролирует поведение запроса на повышение прав для обычных пользователей.

  • Запрос учетных данных (значение по умолчанию). Для любой операции, требующей повышения прав, выводится приглашение ввести имя пользователя и пароль учетной записи администратора. Если вводятся правильные учетные данные, операция будет продолжена с соответствующими привилегиями.

  • Автоматически отклонять запросы на повышение прав. Когда операция требует повышения привилегий, отображается настраиваемое сообщение об ошибке отказа в доступе. Организации, настольные компьютеры которых используются обычными пользователями, могут выбрать этот параметр политики для уменьшения числа обращений в службу поддержки.

  • Запрос учетных данных на безопасном рабочем столе. Для любой операции, требующей повышения прав, на безопасном рабочем столе выводится приглашение ввести имя и пароль другого пользователя. Если вводятся правильные учетные данные, операция будет продолжена с соответствующими привилегиями.

Контроль учетных записей: обнаружение установки приложений и запрос на повышение прав

Этот параметр политики определяет характеристики обнаружения установки приложений для компьютера.

  • Включено (значение по умолчанию). Когда обнаруживается установочный пакет приложения, которому необходимо повышение привилегий, пользователю предлагается ввести имя пользователя и пароль учетной записи администратора. Если вводятся правильные учетные данные, операция будет продолжена с соответствующими привилегиями.

  • Отключено. Для установочных пакетов приложений не выполняется мониторинг на необходимость повышения прав и запросы не отображаются. Организациям, в которых используются настольные компьютеры с учетными записями обычных пользователей и технологии делегированной установки (групповая политика или System Center Configuration Manager), следует отключить этот параметр политики. В этом случае обнаружение установщиков нецелесообразно.

Контроль учетных записей: повышение прав только для подписанных и проверенных исполняемых файлов

Этот параметр политики задает проверку подписей инфраструктуры открытых ключей (PKI) для любых интерактивных приложений, требующих повышения прав. Администраторы организации могут управлять списком разрешенных приложений, размещая сертификаты в хранилище доверенных издателей локальных компьютеров.

  • Включено. Принудительно выполняет проверку пути сертификации сертификата для конкретного исполняемого файла, прежде чем будет разрешен его запуск.

  • Отключено (значение по умолчанию). Не выполняет принудительно проверку пути сертификации сертификата для конкретного исполняемого файла, прежде чем будет разрешен его запуск.

Контроль учетных записей: повышать права для UIAccess-приложений только при установке в безопасных местах

Этот параметр политики управляет тем, должны ли приложения, запрашивающие выполнение на уровне целостности UIAccess, находиться в безопасной папке файловой системы. Безопасными считаются только следующие папки. - …\Program Files\, включая вложенные папки. - …\Windows\system32\. - …\Program Files (x86)\, включая вложенные папки для 64-разрядных версий Windows.

Примечание  

Windows принудительно проводит обязательную проверку цифровых подписей для любого интерактивного приложения, запрашивающего выполнение на уровне целостности UIAccess, вне зависимости от состояния данного параметра безопасности.

 
  • Включено (значение по умолчанию). Приложение будет запускаться с уровнем целостности UIAccess только в том случае, если оно находится в безопасной папке файловой системы.

  • Отключено. Приложение будет запускаться с уровнем целостности UIAccess, даже если оно не находится в безопасной папке файловой системы.

Контроль учетных записей: включение режима одобрения администратором

Этот параметр политики определяет характеристики всех параметров политики контроля учетных записей для компьютера. При изменении этого параметра политики необходимо перезагрузить компьютер.

  • Включено (значение по умолчанию). Режим одобрения администратором включен. Чтобы разрешить встроенной учетной записи администратора и всем остальным пользователям, являющимся членами группы "Администраторы", работать в режиме одобрения администратором, эта политика должна быть включена, а все связанные политики управления учетными записями также должны быть настроены соответствующим образом.

  • Отключено. Режим одобрения администратором и все соответствующие параметры политики контроля учетных записей будут отключены. Примечание. Если этот параметр политики отключен, Центр безопасности уведомляет, что общая безопасность операционной системы снижена.

Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав

Этот параметр политики контролирует, отображается ли запрос на повышение прав на интерактивном рабочем столе текущего пользователя или на безопасном рабочем столе.

  • Включено (значение по умолчанию). Все запросы на повышение прав выводятся на безопасный рабочий стол независимо от параметров политики поведения отображения приглашений для администраторов и обычных пользователей.

  • Отключено. Все запросы на повышение прав выводятся на интерактивный рабочий стол пользователя. Параметры политики поведения отображения приглашений для администраторов и обычных пользователей используются.

Контроль учетных записей: виртуализация сбоев записи в файл или реестр на основании расположений пользователя

Этот параметр политики управляет перенаправлением сбоев записи приложений в определенные расположения в реестре и файловой системе. Этот параметр политики позволяет уменьшить опасность приложений, которые выполняются от имени администратора и во время выполнения записывают данные в расположения %ProgramFiles%, %Windir%; %Windir%\system32 или HKLM\Software.

  • Включено (значение по умолчанию). Сбои записи приложений перенаправляются во время выполнения в определенные пользователем расположения в файловой системе и реестре.

  • Отключено. Выполнение приложений, записывающих данные в безопасные расположения, заканчивается ошибкой.

 

 

Показ: