Контроль учетных записей: поведение запроса на повышение прав для обычных пользователей
Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Контроль учетных записей: поведение запроса на повышение прав для обычных пользователей.
Справочные материалы
Этот параметр политики определяет поведение запроса на повышение прав для обычных пользователей.
Возможные значения
Автоматически отклонять запросы на повышение прав
При выборе этого параметра для обычных пользователей при попытке выполнения операции, требующей повышения уровня прав, отображается сообщение об ошибке "Доступ запрещен". Большинство организаций, использующих настольные компьютеры для обычных пользователей, применяют эту политику для уменьшения количества обращений в службу поддержки.
Запрос учетных данных на безопасном рабочем столе
Это значение по умолчанию. Для любой операции, требующей повышения уровня прав, на безопасном рабочем столе выводится запрос другой комбинации имени пользователя и пароля. Если вводятся правильные учетные данные, операция будет продолжена с соответствующими привилегиями.
Запрос учетных данных
Для выполнения операции, требующей повышения уровня привилегий, пользователю предлагается ввести имя пользователя и пароль администратора. Если вводятся правильные учетные данные, операция будет продолжена с соответствующими привилегиями.
Рекомендации
Задайте для параметра Контроль учетных записей: поведение запроса на повышение прав для обычных пользователей значение Автоматически отклонять запросы на повышение прав. При выборе этого параметра для запуска программ, требующих повышения уровня прав, пользователь должен будет войти в систему как администратор.
По соображениям безопасности пароли администраторов не должны быть известны обычным пользователям. Однако если пользователи одновременно имеют учетные записи обычных пользователей и администратора, выберите значение Запрос учетных данных, чтобы пользователи не всегда выбирали вход в систему с учетными данными администратора и чаще использовали свои учетные записи обычных пользователей.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Запрос учетных данных на безопасном рабочем столе |
Действующие параметры контроллера домена по умолчанию |
Запрос учетных данных на безопасном рабочем столе |
Действующие параметры рядового сервера по умолчанию |
Запрос учетных данных на безопасном рабочем столе |
Действующие параметры клиентского компьютера по умолчанию |
Запрос учетных данных на безопасном рабочем столе |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки компьютера после их локального сохранения или распространения через групповую политику.
Групповая политика
Все функции аудита встроены в групповую политику. Вы можете настраивать, развертывать и контролировать эти параметры в консоли управления групповыми политиками (GPMC) или в оснастке "Локальная политика безопасности" для домена, сайта или подразделения.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Один из рисков, которые должна минимизировать функция UAC, связана с работой вредоносных программ под учетными данными с повышенным уровнем прав без уведомления об этом пользователя или администратора. Этот параметр позволяет более эффективно информировать пользователя о том, что программа предполагает выполнение операций с повышенным уровнем привилегий и для ее выполнения необходимо ввести учетные данные администратора.
Меры противодействия
Задайте для параметра Контроль учетных записей: поведение запроса на повышение прав для обычных пользователей значение Автоматически отклонять запросы на повышение прав. При выборе этого параметра для запуска программ, требующих повышения уровня прав, пользователь должен будет войти в систему как администратор. По соображениям безопасности пароли администраторов не должны быть известны обычным пользователям. Однако если пользователи одновременно имеют учетные записи обычных пользователей и администратора, рекомендуется использовать параметр Запрос учетных данных, чтобы пользователи не всегда выбирали вход в систему с учетными данными администратора и чаще использовали свои учетные записи обычных пользователей.
Возможные последствия
Для выполнения программ с повышенным уровнем привилегий пользователи должны будут ввести пароль администратора. Это может привести к повышению нагрузки на ИТ-специалистов, так как потребуется определить перечень задействованных программ и изменить стандартные рабочие процедуры для поддержки операций с минимальным уровнем привилегий.