Контроль учетных записей: разрешить UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол
Содержит описание рекомендаций, расположения, значений и вопросов безопасности для параметра политики безопасности Контроль учетных записей: разрешить приложениям UIAccess запрашивать повышение прав, не используя безопасный рабочий стол.
Справочные материалы
Этот параметр безопасности определяет, могут ли UIAccess-приложения (UIA-программы) автоматически отключать безопасный рабочий стол для запросов на повышение уровня прав, используемых обычным пользователем.
Примечание
Этот параметр не влияет на поведение запроса на повышение уровня прав UAC для администраторов.
Общие сведения
Ограничение привилегий пользовательского интерфейса (UIPI) реализует ограничения в подсистеме Windows, не позволяющие приложениям с более низким уровнем привилегий отправлять сообщения или устанавливать обработчики в процессах с более высоким уровнем привилегий. Приложения с более высоким уровнем привилегий могут отправлять сообщения в процессы с более низким уровнем привилегий. Ограничение привилегий пользовательского интерфейса не может повлиять на поведение сообщений между приложениями на одном уровне привилегий (или целостности).
Модель автоматизации пользовательского интерфейса Майкрософт — это текущая модель поддержки требований специальных возможностей в операционных системах Windows. Приложения, созданные для поддержки доступных возможностей пользователей, определяют поведение других приложений Windows от имени пользователя. Когда все приложения на клиентском компьютере и сервере выполняются от имени обычного пользователя (т.е. на среднем уровне целостности), ограничения UIPI не оказывают влияния на модель автоматизации пользовательского интерфейса Майкрософт.
Однако в некоторых случаях администратор может запускать приложение с повышенным уровнем привилегий на основе UAC в режиме одобрения администратором. Модель автоматизации пользовательского интерфейса Майкрософт не может управлять графикой пользовательского интерфейса приложений с повышенным уровнем привилегий на рабочем столе без возможности обхода ограничений, налагаемых UIPI. Возможность обхода ограничений UIPI на всех уровнях привилегий доступна для программ автоматизации пользовательского интерфейса посредством UIAccess.
Если при запросе уровня привилегий приложение предоставляет атрибут UIAccess, это указывает на необходимость обхода ограничений UIPI для отправки сообщений между разными уровнями привилегий. Перед запуском приложения с привилегией UIAccess устройства выполняют следующие проверки политики.
Приложение должно использовать цифровую подпись, подлинность которой может быть подтверждена с использованием цифрового сертификата, привязанного к хранилищу «Доверенные корневые центры сертификации» на локальном компьютере.
Приложение должно быть установлено в локальной папке, запись в которую могут выполнять только администраторы, например в каталоге Program Files. Разрешенные каталоги для приложений автоматизации пользовательского интерфейса:
%ProgramFiles% и вложенные папки;
%WinDir% и вложенные папки, за исключением нескольких папок, к которым имеют доступ на запись обычные пользователи.
Итоговое поведение
Если этот параметр активирован, UIAccess-программы (в том числе удаленный помощник Windows) автоматически отключают безопасный рабочий стол для запросов на повышение уровня прав. Если запросы на повышение уровня прав также активированы, вместо безопасного рабочего стола запросы отображаются на рабочем столе текущего пользователя. Запросы также отображаются в представлении рабочего стола удаленного администратора во время сеанса удаленного помощника Windows, при этом удаленный администратор может предоставить соответствующие учетные данные для повышения уровня привилегий.
В случае деактивации этого параметра безопасный рабочий стол может быть отключен только пользователем интерактивного рабочего стола или путем отключения параметра Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение уровня прав, который активирован по умолчанию.
Возможные значения
Включено
UIA-программы могут автоматически отключать безопасный рабочий стол для запросов на повышение прав, и в тех случаях, когда запросы на повышение прав не отключены, вместо безопасного рабочего стола они отображаются на рабочем столе текущего пользователя. Запросы также будут отображаться в представлении рабочего стола удаленного администратора во время сеанса удаленного помощника Windows, при этом удаленный администратор может предоставить соответствующие учетные данные для повышения уровня привилегий.
Отключено
Безопасный рабочий стол может быть отключен только пользователем интерактивного рабочего стола или путем отключения параметра политики Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав.
Рекомендации
- Рекомендации зависят от ваших политик безопасности и требований к удаленным операциям.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В таблице ниже приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Отключено |
Действующие параметры контроллера домена по умолчанию |
Отключено |
Действующие параметры рядового сервера по умолчанию |
Отключено |
Действующие параметры клиентского компьютера по умолчанию |
Отключено |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки компьютера после их локального сохранения или распространения через групповую политику.
Групповая политика
Все функции аудита встроены в групповую политику. Вы можете настраивать, развертывать и контролировать эти параметры в консоли управления групповыми политиками (GPMC) или в оснастке "Локальная политика безопасности" для домена, сайта или подразделения.
Взаимодействия политик
Перед активацией данного параметра также необходимо учесть действие параметра Контроль учетных записей: поведение запроса на повышение прав для обычных пользователей. Если для этого параметра задано значение Автоматически отклонять запросы на повышение прав, то запросы на повышение прав для пользователя не отображаются. В случае деактивации этого параметра безопасный рабочий стол может быть отключен только пользователем интерактивного рабочего стола или путем отключения параметра Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение уровня прав, который активирован по умолчанию.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
UIA-программы предназначены для взаимодействия с Windows и приложениями от имени пользователя. Этот параметр позволяет таким программам обходить безопасный рабочий стол для увеличения удобства использования в некоторых случаях, однако его активация также приводит к отображению запросов на повышение уровня прав на обычном интерактивном рабочем столе вместо безопасного рабочего стола. Это повышает риск перехвата данных, передаваемых между пользовательским интерфейсом и приложением, вредоносными программами. Поскольку UIA-программы должны иметь возможность реагирования на запросы, связанные с безопасностью, например на запросы на повышение уровня прав контроля учетных записей, необходимо обеспечить высокий уровень надежности таких программ. Чтобы считаться доверенной, UIA-программа должна иметь цифровую подпись. По умолчанию UIA-программы можно запускать только из следующих защищенных расположений:
..\Program Files\ (и вложенные папки)
..\Program Files (x86)\ (и вложенные папки, только в 64-разрядных версиях Windows)
..\Windows\System32\
Требование защищенного расположения можно отключить с помощью параметра Контроль учетных записей: повышать права для UIAccess-приложений только при установке в безопасных местах. Хотя этот параметр применим к любой UIA-программе, он используется преимущественно в некоторых сценариях удаленного помощника Windows.
Меры противодействия
Деактивируйте параметр Контроль учетных записей: разрешить UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол.
Возможные последствия
Если пользователь запрашивает у администратора удаленную помощь и инициируется соответствующий сеанс, запросы на повышение уровня прав отображаются на безопасном рабочем столе текущего пользователя, а удаленный сеанс администратора приостанавливается. Во избежание приостановки удаленного сеанса администратора во время обработки запросов на повышение уровня прав пользователь может установить флажок «Разрешать ИТ-специалисту отвечать на запросы службы контроля учетных записей» при настройке сеанса удаленного помощника. Однако установка этого флажка предполагает, что текущий пользователь будет реагировать на запросы на повышение уровня прав на безопасном рабочем столе. Если текущий пользователь является обычным пользователем, то он не имеет необходимых учетных данных для подтверждения повышения уровня привилегий.