Параметры политики безопасности контроля учетных записей
Можно использовать политики безопасности, чтобы настроить работу контроля учетных записей в вашей организации. Эти политики можно настроить локально, воспользовавшись оснасткой "Локальная политика безопасности" (secpol.msc), или для домена, подразделения или конкретных групп, воспользовавшись групповой политикой.
Контроль учетных записей: использование режима одобрения администратором для встроенной учетной записи администратора
Этот параметр политики определяет характеристики режима одобрения администратором для встроенной учетной записи администратора.
Включено. Для встроенной учетной записи администратора используется режим одобрения администратором. По умолчанию любая операция, требующая повышения уровня предоставляемых прав, предлагает пользователю подтвердить операцию.
Отключено (значение по умолчанию). Встроенная учетная запись администратора выполняет все приложения с полными правами администратора.
Контроль учетных записей. Разрешать UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол
Этот параметр политики определяет, могут ли UIAccess-приложения (UIA-программы) автоматически отключать безопасный рабочий стол для запросов на повышение прав, используемых обычным пользователем.
Включено. UIA-программы, в том числе удаленный помощник Windows, автоматически отключают безопасный рабочий стол для запросов на повышение прав. Если не отключен параметр политики "Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав", приглашение появится на интерактивном рабочем столе пользователя, а не на безопасном рабочем столе.
Отключено (значение по умолчанию). Безопасный рабочий стол может быть отключен только пользователем интерактивного рабочего стола или путем отключения параметра политики "Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав".
Контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором
Этот параметр политики контролирует поведение запроса на повышение прав для администраторов.
Повышение без запроса. Позволяет привилегированным учетным записям выполнить операцию, требующую повышения прав, без подтверждения согласия или ввода учетных данных.
Примечание Этот вариант должен использоваться только в средах с максимальными ограничениями.
Запрос учетных данных на безопасном рабочем столе. Для любой операции, требующей повышения прав, на безопасном рабочем столе выводится приглашение ввести имя и пароль привилегированного пользователя. Если вводятся правильные учетные данные, операция будет продолжена с максимальными доступными привилегиями пользователя.
Запрос согласия на безопасном рабочем столе. Для любой операции, требующей повышения прав, на безопасном рабочем столе выводится приглашение выбрать: "Разрешить" или "Запретить". Если пользователь выбирает "Разрешить", операция будет продолжена с максимальными доступными привилегиями пользователя.
Запрос учетных данных. Для любой операции, требующей повышения прав, выводится приглашение ввести имя пользователя и пароль учетной записи администратора. Если вводятся правильные учетные данные, операция будет продолжена с соответствующими привилегиями.
Запрос согласия. Для любой операции, требующей повышения прав, пользователю предлагается выбрать: "Разрешить" или "Запретить". Если пользователь выбирает "Разрешить", операция будет продолжена с максимальными доступными привилегиями пользователя.
Запрос согласия для исполняемых файлов не из Windows (значение по умолчанию). Когда операция для приложения стороннего (не от Майкрософт) производителя требует повышения прав, на безопасном рабочем столе выводится приглашение выбрать: "Разрешить" или "Запретить". Если пользователь выбирает "Разрешить", операция будет продолжена с максимальными доступными привилегиями пользователя.
Контроль учетных записей: поведение запроса на повышение прав для обычных пользователей
Этот параметр политики контролирует поведение запроса на повышение прав для обычных пользователей.
Запрос учетных данных (значение по умолчанию). Для любой операции, требующей повышения прав, выводится приглашение ввести имя пользователя и пароль учетной записи администратора. Если вводятся правильные учетные данные, операция будет продолжена с соответствующими привилегиями.
Автоматически отклонять запросы на повышение прав. Когда операция требует повышения привилегий, отображается настраиваемое сообщение об ошибке отказа в доступе. Организации, настольные компьютеры которых используются обычными пользователями, могут выбрать этот параметр политики для уменьшения числа обращений в службу поддержки.
Запрос учетных данных на безопасном рабочем столе. Для любой операции, требующей повышения прав, на безопасном рабочем столе выводится приглашение ввести имя и пароль другого пользователя. Если вводятся правильные учетные данные, операция будет продолжена с соответствующими привилегиями.
Контроль учетных записей: обнаружение установки приложений и запрос на повышение прав
Этот параметр политики определяет характеристики обнаружения установки приложений для компьютера.
- Включено (значение по умолчанию). Когда обнаруживается установочный пакет приложения, которому необходимо повышение привилегий, пользователю предлагается ввести имя пользователя и пароль учетной записи администратора. Если вводятся правильные учетные данные, операция будет продолжена с соответствующими привилегиями.
- Отключено. Для установочных пакетов приложений не выполняется мониторинг на необходимость повышения прав и запросы не отображаются. Организациям, в которых используются настольные компьютеры с учетными записями обычных пользователей и технологии делегированной установки (групповая политика или System Center Configuration Manager), следует отключить этот параметр политики. В этом случае обнаружение установщиков нецелесообразно.
Контроль учетных записей: повышение прав только для подписанных и проверенных исполняемых файлов
Этот параметр политики задает проверку подписей инфраструктуры открытых ключей (PKI) для любых интерактивных приложений, требующих повышения прав. Администраторы организации могут управлять списком разрешенных приложений, размещая сертификаты в хранилище доверенных издателей локальных компьютеров.
Включено. Принудительно выполняет проверку пути сертификации сертификата для конкретного исполняемого файла, прежде чем будет разрешен его запуск.
Отключено (значение по умолчанию). Не выполняет принудительно проверку пути сертификации сертификата для конкретного исполняемого файла, прежде чем будет разрешен его запуск.
Контроль учетных записей: повышать права для UIAccess-приложений только при установке в безопасных местах
Этот параметр политики управляет тем, должны ли приложения, запрашивающие выполнение на уровне целостности UIAccess, находиться в безопасной папке файловой системы. Безопасными считаются только следующие папки. - …\Program Files\, включая вложенные папки. - …\Windows\system32\. - …\Program Files (x86)\, включая вложенные папки для 64-разрядных версий Windows.
Примечание
Windows принудительно проводит обязательную проверку цифровых подписей для любого интерактивного приложения, запрашивающего выполнение на уровне целостности UIAccess, вне зависимости от состояния данного параметра безопасности.
Включено (значение по умолчанию). Приложение будет запускаться с уровнем целостности UIAccess только в том случае, если оно находится в безопасной папке файловой системы.
Отключено. Приложение будет запускаться с уровнем целостности UIAccess, даже если оно не находится в безопасной папке файловой системы.
Контроль учетных записей: включение режима одобрения администратором
Этот параметр политики определяет характеристики всех параметров политики контроля учетных записей для компьютера. При изменении этого параметра политики необходимо перезагрузить компьютер.
Включено (значение по умолчанию). Режим одобрения администратором включен. Чтобы разрешить встроенной учетной записи администратора и всем остальным пользователям, являющимся членами группы "Администраторы", работать в режиме одобрения администратором, эта политика должна быть включена, а все связанные политики управления учетными записями также должны быть настроены соответствующим образом.
Отключено. Режим одобрения администратором и все соответствующие параметры политики контроля учетных записей будут отключены. Примечание. Если этот параметр политики отключен, Центр безопасности уведомляет, что общая безопасность операционной системы снижена.
Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав
Этот параметр политики контролирует, отображается ли запрос на повышение прав на интерактивном рабочем столе текущего пользователя или на безопасном рабочем столе.
Включено (значение по умолчанию). Все запросы на повышение прав выводятся на безопасный рабочий стол независимо от параметров политики поведения отображения приглашений для администраторов и обычных пользователей.
Отключено. Все запросы на повышение прав выводятся на интерактивный рабочий стол пользователя. Параметры политики поведения отображения приглашений для администраторов и обычных пользователей используются.
Контроль учетных записей: виртуализация сбоев записи в файл или реестр на основании расположений пользователя
Этот параметр политики управляет перенаправлением сбоев записи приложений в определенные расположения в реестре и файловой системе. Этот параметр политики позволяет уменьшить опасность приложений, которые выполняются от имени администратора и во время выполнения записывают данные в расположения %ProgramFiles%, %Windir%; %Windir%\system32 или HKLM\Software.
Включено (значение по умолчанию). Сбои записи приложений перенаправляются во время выполнения в определенные пользователем расположения в файловой системе и реестре.
Отключено. Выполнение приложений, записывающих данные в безопасные расположения, заканчивается ошибкой.