Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав
Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав.
Справочные материалы
Этот параметр политики определяет, отображаются ли запросы на повышение прав на интерактивном рабочем столе текущего пользователя или на безопасном рабочем столе.
Безопасный рабочий стол представляет пользовательский интерфейс входа в систему и ограничивает функции системы и доступ к ней до тех пор, пока не будут выполнены требования к параметрам входа в систему.
Основное отличие безопасного рабочего стола от рабочего стола пользователя заключается в том, что на нем могут выполняться только доверенные процессы SYSTEM (то есть никакие процессы не выполняются на уровне привилегий пользователя). Путь для перехода к безопасному рабочему столу с рабочего стола пользователя также должен быть доверенным на протяжении всей цепочки.
Возможные значения
Включено
Все запросы на повышение уровня прав по умолчанию выполняются на безопасном рабочем столе.
Отключено
Все запросы на повышение уровня прав выполняются на рабочем столе текущего пользователя.
Рекомендации
- Активируйте параметр Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав. Безопасный рабочий стол обеспечивает защиту от спуфинга входящего и исходящего трафика с помощью диалогового окна учетных данных в защищенном разделе памяти, доступном только для доверенных системных процессов.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Включено |
Действующие параметры контроллера домена по умолчанию |
Включено |
Действующие параметры рядового сервера по умолчанию |
Включено |
Действующие параметры клиентского компьютера по умолчанию |
Включено |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Групповая политика
Все функции аудита встроены в групповую политику. Вы можете настраивать, развертывать и контролировать эти параметры в консоли управления групповыми политиками (GPMC) или в оснастке "Локальная политика безопасности" для домена, сайта или подразделения.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Возможен спуфинг диалоговых окон запроса на повышение уровня прав, в результате чего вредоносные программы получат доступ к паролям пользователей. Спуфинг курсора мыши осуществляется путем скрытия реального курсора и его замены на курсор, в действительности указывающий на кнопку Разрешить.
Меры противодействия
Активируйте параметр Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав. Безопасный рабочий стол обеспечивает защиту от спуфинга входящего и исходящего трафика с помощью диалогового окна учетных данных в защищенном разделе памяти, доступном только для доверенных системных процессов.
Возможные последствия
Нет. Это конфигурация по умолчанию.