Контроль учетных записей: использование режима одобрения администратором для встроенной учетной записи администратора
Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Контроль учетных записей: использование режима одобрения администратором для встроенной учетной записи администратора.
Справочные материалы
Этот параметр политики определяет поведение режима одобрения администратором для встроенной учетной записи администратора.
Когда режим одобрения администратором включен, локальная учетная запись администратора функционирует аналогично стандартной учетной записи пользователя, однако дает возможность повышения уровня привилегий без входа в систему под другой учетной записью. В этом режиме для любых операций, требующих повышения уровня привилегий, отображается запрос, позволяющий администратору разрешить или отклонить повышение уровня привилегий. Если режим одобрения администратором отключен, через встроенную учетную запись администратора осуществляется вход в систему в режиме Windows XP, и все приложения по умолчанию работают с полными правами администратора. По умолчанию для этого параметра задано значение Отключено.
Примечание
Если компьютер был обновлен с предыдущей версии операционной системы Windows, а учетная запись администратора является единственной на компьютере, встроенная учетная запись администратора остается активированной, как и этот параметр.
Возможные значения
Включено
Через встроенную учетную запись администратора выполняется вход в систему в режиме одобрения администратором; таким образом, для любой операции, требующей повышения уровня привилегий, отображается запрос, позволяющий администратору разрешить или отклонить повышение уровня привилегий.
Отключено
Через встроенную учетную запись администратора осуществляется вход в систему в режиме Windows XP, и все приложения по умолчанию работают с полными правами администратора.
Рекомендации
- Не активируйте встроенную учетную запись администратора на клиентском компьютере — вместо этого используйте стандартную учетную запись и контроль учетных записей (UAC).
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Отключено |
Действующие параметры контроллера домена по умолчанию |
Отключено |
Действующие параметры рядового сервера по умолчанию |
Отключено |
Действующие параметры клиентского компьютера по умолчанию |
Отключено |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Один из рисков, которые должна минимизировать функция контроля учетных записей (UAC), связана с устранением вредоносных программ под учетными данными с повышенным уровнем прав без уведомления об этом пользователя или администратора. Атаки вредоносных программ направлены на обнаружение пароля к учетной записи администратора, так как эта учетная запись пользователя создается для всех установок Windows. Для снижения этого риска встроенная учетная запись администратора отключена на компьютерах с ОС не ниже Windows Vista. На компьютерах с ОС не ниже Windows Server 2008 учетная запись администратора включена, и пароль необходимо сменить при первом входе в систему от имени администратора. При установке по умолчанию для компьютера с ОС не ниже Windows Vista учетные записи с возможностью администрирования компьютера изначально настраиваются одним из двух способов.
Если компьютер не подключен к домену, то первая созданная учетная запись пользователя будет иметь такие же полномочия, что и локальная учетная запись администратора.
Если компьютер подключен к домену, локальные учетные записи администратора не создаются. Администратор предприятия или домена должен выполнить вход в систему и создать на компьютере локальную учетную запись администратора, если это необходимо.
Меры противодействия
В случае активации встроенной учетной записи администратора активируйте параметр Контроль учетных записей: режим одобрения администратором для встроенной учетной записи администратора.
Возможные последствия
Для пользователей, выполнивших вход в систему с помощью локальной учетной записи администратора, при запросе программой повышения уровня привилегий отображается запрос согласия.