Контроль учетных записей: повышение прав только для подписанных и проверенных исполняемых файлов
Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Контроль учетных записей: повышение прав только для подписанных и проверенных исполняемых файлов.
Справочные материалы
Этот параметр политики задает проверку подписей инфраструктуры открытых ключей (PKI) для любых интерактивных приложений, требующих повышения прав. Вы можете управлять списком разрешенных приложений, заполняя сертификаты в хранилище доверенных издателей локальных компьютеров.
Доверенный издатель — это издатель сертификата, выбранный пользователем компьютера как доверенный, сведения сертификата которого были добавлены в хранилище доверенных издателей.
Windows хранит сертификаты в хранилищах сертификатов. Такие хранилища могут представлять собой контейнеры в файловой системе или реестре или на физических носителях, например смарт-картах. Хранилища сертификатов связаны с объектом-компьютером или принадлежат конкретному пользователю, имеющему на этом компьютере контекст безопасности и профиль. Кроме того, хранилища сертификатов могут принадлежать службам. Часто хранилища содержат множество сертификатов, которые могут быть выданы разными центрами сертификации (ЦС).
В случае инициирования обнаружения пути к сертификату Windows пытается найти ЦС, выдающий сертификаты, и создает путь к доверенному корневому сертификату. Промежуточные сертификаты включаются в протокол приложений или выбираются из групповой политики либо по URL-адресам, указанным в расширении доступа к информации о центрах сертификации (AIA). Когда путь сформирован, действие каждого сертификата в нем подтверждается по различным параметрам, таким как имя, время, подпись, состояние отзыва и другие ограничения.
Возможные значения
Включено
Принудительная проверка цепочки сертификатов PKI для конкретного исполняемого файла, прежде чем будет разрешен его запуск.
Отключено
Отсутствие принудительной проверки цепочки сертификатов PKI для конкретного исполняемого файла, прежде чем будет разрешен его запуск.
Рекомендации
- Рекомендации зависят от ваших политик безопасности и целей по производительности.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Отключено |
Действующие параметры контроллера домена по умолчанию |
Отключено |
Действующие параметры рядового сервера по умолчанию |
Отключено |
Действующие параметры клиентского компьютера по умолчанию |
Отключено |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки компьютера после их локального сохранения или распространения через групповую политику.
Групповая политика
Все функции аудита встроены в групповую политику. Вы можете настраивать, развертывать и контролировать эти параметры в консоли управления групповыми политиками (GPMC) или в оснастке "Локальная политика безопасности" для домена, сайта или подразделения.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Управление интеллектуальной собственностью, персональными данными и другой конфиденциальной информацией обычно осуществляется с помощью приложений на компьютере, и для доступа к такой информации необходимы учетные данные с повышенным уровнем прав. Пользователи и администраторы изначально доверяют приложениям, используемым для работы с этими источниками информации, и предоставляют свои учетные данные. Если одно из этих приложений заменено несанкционированным приложением, которые выглядит идентичным доверенному приложению, конфиденциальные данные, а также учетные данные администратора могут быть скомпрометированы.
Меры противодействия
Активируйте параметр Контроль учетных записей: повышение прав только для подписанных и проверенных исполняемых файлов.
Возможные последствия
Активация данного параметра требует наличия инфраструктуры PKI и добавления администраторами компании сертификатов разрешенных приложений в хранилище доверенных издателей. Некоторые устаревшие приложения не имеют подписи и не могут использоваться в среде, защищенной с помощью этого параметра. Перед активацией этого параметра следует тщательно протестировать приложения в специальной тестовой среде.
Управление приложениями, установленными на ПК и оборудовании, присоединенном к вашему домену, должно обеспечивать ту же степень защиты от уязвимости, что и данный параметр. Кроме того, уровень защиты, обеспечиваемый этим параметром, не гарантирует обнаружение всех несанкционированных приложений.