用户帐户控制: 管理员批准模式中管理员的提升权限提示的行为
介绍了有关“用户帐户控制: 管理员批准模式中管理员的提升权限提示的行为”安全策略设置的最佳做法、位置、值、策略管理和安全注意事项。
此策略设置针对具有管理凭据的帐户确定提升权限提示行为。
不提示,直接提升
假定管理员允许要求提升权限的操作,而不要求额外的许可或凭据。
注意
选择“不提示,直接提升”将最大程度地降低 UAC 提供的保护。我们不建议选择此值,除非管理员帐户受到严格控制,并且操作环境高度安全。
在安全桌面上的凭据提示
当某个操作需要提升权限时,将在安全桌面上提示用户输入有权限的用户名和密码。如果用户输入有效凭据,则该操作将使用用户的最高可用权限继续进行。
在安全桌面上的同意提示
当某个操作需要提升权限时,将在安全桌面上提示用户选择“允许”或“拒绝”****。如果用户选择“允许”,该操作将在用户的最高可用权限下继续进行。
提示凭据
要求提升权限的操作提示管理员键入用户名和密码。如果管理员输入有效凭据,该操作将在适用的权限下继续进行。
同意提示
要求提升权限的操作提示管理员选择“允许”或“拒绝”****。如果管理员选择“允许”,该操作将在管理员的最高可用权限下继续进行。
非 Windows 二进制文件的同意提示
这是默认设置。当某个非 Microsoft 应用程序的操作需要提升权限时,将在安全桌面上提示用户选择“允许”或“拒绝”****。如果用户选择“允许”,该操作将在用户的最高可用权限下继续进行。
- 选择选项“不提示,直接提升”****将最大程度地降低 UAC 提供的保护。我们不建议选择此值,除非管理员帐户受到严格控制,并且操作环境高度安全。
计算机配置\Windows 设置\安全设置\本地策略\安全选项
下表列出此策略的实际和有效默认值。策略的属性页中还列出了默认值。
| 服务器类型或 GPO | 默认值 |
|---|---|
默认域策略 |
未定义 |
默认域控制器策略 |
未定义 |
独立服务器默认设置 |
非 Windows 二进制文件的同意提示 |
DC 有效默认设置 |
非 Windows 二进制文件的同意提示 |
成员服务器有效默认设置 |
非 Windows 二进制文件的同意提示 |
客户端计算机有效默认设置 |
非 Windows 二进制文件的同意提示 |
本部分介绍可用于帮助管理此策略的功能和工具。
无。当以本地方式保存或通过组策略分发对本策略的更改时,无需重启计算机即可使这些更改生效。
所有审核工具都集成在组策略中。你可以在组策略管理控制台 (GPMC) 或者域、站点或组织单位 (OU) 的本地安全策略管理单元中配置、部署和管理这些设置。
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
UAC 功能尝试减轻的风险之一是恶意软件在用户或管理员未意识到其活动状态时在提升凭据下运行的风险。此设置会使管理员注意到提升的权限操作,并且它允许管理员在恶意程序尝试提升其权限时阻止该程序执行此操作。
将“用户帐户控制: 管理员批准模式中管理员的提升权限提示行为”设置配置为“同意提示”****。
管理员应注意在所有二进制文件尝试运行时,他们会收到同意该操作的提示。