Контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором

Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором.

Справочные материалы

Этот параметр политики задает поведение запроса на повышение уровня прав для учетных записей с правами администратора.

Возможные значения

  • Повышение без запроса

    Предполагается, что администратор разрешает выполнение операций, требующих повышения уровня прав, дополнительное согласие или ввод учетных данных не требуются.

    Примечание  

    При выборе параметра Повышение без запроса уровень защиты, обеспечиваемый UAC, минимален. Мы не рекомендуем выбирать это значение, за исключением тех случаев, когда операции с учетных записей администратора тщательно контролируются, а операционная среда характеризуется высоким уровнем безопасности.

     
  • Запрос учетных данных на безопасном рабочем столе

    Для любой операции, требующей повышения уровня прав, на безопасном рабочем столе выводится запрос имени и пароля привилегированного пользователя. Если вводятся правильные учетные данные, операция будет продолжена с максимальными доступными привилегиями пользователя.

  • Запрос согласия на безопасном рабочем столе

    Для любой операции, требующей повышения прав, на безопасном рабочем столе пользователю предлагается выбрать опцию: Разрешить или Запретить. При выборе опции Разрешить операция будет продолжена с максимальными доступными пользователю привилегиями.

  • Запрос учетных данных

    Для выполнения операции, требующей повышения уровня привилегий, администратору предлагается ввести имя пользователя и пароль. В случае ввода правильных учетных данных операция будет продолжена с соответствующими привилегиями.

  • Запрос согласия

    Для выполнения операции, требующей повышения уровня привилегий, администратору предлагается выбрать опцию Разрешить или Запретить. Если администратор выбирает опцию Разрешить, операция будет продолжена с максимальными доступными администратору привилегиями.

  • Запрос согласия для исполняемых файлов не из Windows

    Это значение по умолчанию. Когда операция для приложения стороннего (не Майкрософт) производителя требует повышения уровня привилегий, пользователю на безопасном рабочем столе предлагается выбрать опцию Разрешить или Запретить. При выборе опции Разрешить операция будет продолжена с максимальными доступными пользователю привилегиями.

Рекомендации

  • При выборе параметра Повышение без запроса уровень защиты, обеспечиваемый UAC, минимален. Мы не рекомендуем выбирать это значение, за исключением тех случаев, когда операции с учетных записей администратора тщательно контролируются, а операционная среда характеризуется высоким уровнем безопасности.

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности

Значения по умолчанию

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Не определено

Политика контроллера домена по умолчанию

Не определено

Параметры автономного сервера по умолчанию

Запрос согласия для исполняемых файлов не из Windows

Действующие параметры контроллера домена по умолчанию

Запрос согласия для исполняемых файлов не из Windows

Действующие параметры рядового сервера по умолчанию

Запрос согласия для исполняемых файлов не из Windows

Действующие параметры клиентского компьютера по умолчанию

Запрос согласия для исполняемых файлов не из Windows

 

Управление политикой

В данном разделе описываются компоненты и средства, доступные для управления этой политикой.

Необходимость перезагрузки

Нет. Изменения этой политики вступают в силу без перезагрузки компьютера после их локального сохранения или распространения через групповую политику.

Групповая политика

Все функции аудита встроены в групповую политику. Вы можете настраивать, развертывать и контролировать эти параметры в консоли управления групповыми политиками (GPMC) или в оснастке "Локальная политика безопасности" для домена, сайта или подразделения.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

Один из рисков, которые должна минимизировать функция UAC, связана с работой вредоносных программ под учетными данными с повышенным уровнем прав без уведомления об этом пользователя или администратора. Этот параметр позволяет более эффективно информировать администратора об операциях с повышенным уровнем привилегий и предотвращать повышение этого уровня вредоносными программами.

Меры противодействия

Установите для параметра Контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором значение Запрос согласия.

Возможные последствия

Администраторы должны быть осведомлены о запросе согласия при попытке запуска любого исполняемого файла.

Связанные разделы

Параметры безопасности

 

 

Показ: