Functies en hoe GPO UAC te configureren in Windows 10

Functies en hoe GPO UAC te configureren in Windows 10
Inhoudsopgave

Windows-besturingssystemen bevatten een reeks praktische opties die ons helpen de beveiliging ervan en de toepassingen ervan te verbeteren.

Een van deze beveiligingsmaatregelen is de bekende UAC (User Account Control), aangezien deze zijn ontwikkeld om te voorkomen dat virussen of malware in het systeem worden geïntroduceerd en de werking en werking ervan beïnvloeden. Solvetic zal vandaag een volledige analyse maken van hoe UAC werkt in Windows 10 en hoe we het kunnen configureren om er het maximale uit te halen.

Wat is UACGebruikersaccountbeheer of UAC, is een functionaliteit van Windows 10 die ons helpt te voorkomen dat een bepaald type malware op de computer wordt geïnstalleerd, waardoor de werking wordt beïnvloed en draagt ​​bij aan organisaties die de mogelijkheid hebben om een ​​desktop te implementeren. administratie en managementverbeteringen.

Dankzij UAC worden applicaties en taken altijd uitgevoerd in een beveiligde omgeving met een beheerdersaccount.

Met UAC is het mogelijk om de automatische installatie van niet-geautoriseerde applicaties te blokkeren en onbedoelde wijzigingen in de systeemconfiguratie te voorkomen, aangezien alle bedreigingen die malware in zijn code heeft kunnen komen om het systeem te vernietigen, te stelen of het gedrag van het systeem te veranderen.

Door UAC te implementeren, kunnen we gebruikers toestaan ​​​​in te loggen op hun computers met een standaard gebruikersaccount, waardoor ze gemakkelijker taken kunnen uitvoeren met de toegangsrechten die aan een standaardaccount zijn gekoppeld.

Hoe UAC werktBij gebruik van UAC in Windows 10 moet elke toepassing die gebruik moet maken van het beheerderstoegangstoken uw goedkeuring vragen, anders is installatie onmogelijk.

Windows 10 beschermt systeemprocessen en markeert hun integriteitsniveaus. Integriteitsniveaus zijn betrouwbaarheidsmaatregelen die worden geïmplementeerd om de beveiliging te optimaliseren bij het installeren van een bepaald programma.

Een toepassing met de classificatie "hoge" integriteit is een toepassing die taken uitvoert die het wijzigen van systeemgegevens omvatten, zoals een toepassing voor schijfpartities, toepassingen voor RAM-geheugenbeheer, enz., terwijl een toepassing met een "lage" integriteit er een is die taken vervult die op een bepaald moment punt kan het besturingssysteem beïnvloeden, zoals bijvoorbeeld een webbrowser.

Toepassingen die zijn geclassificeerd met lagere integriteitsniveaus kunnen de gegevens in toepassingen met hogere integriteitsniveaus niet wijzigen. Wanneer een standaardgebruiker een applicatie probeert uit te voeren waarvoor een beheerderstoegangstoken vereist is, vereist UAC dat de gebruiker geldige beheerdersreferenties verstrekt om de taak uit te voeren. Daarom moeten we bij het uitvoeren van een applicatie de respectieve toestemming bevestigen.

Inlogproces in UACWanneer UAC is geïmplementeerd in Windows 10, hebben standaard alle gebruikers en beheerders die deel uitmaken van de standaardgroep toegang tot bronnen en hebben ze de mogelijkheid om applicaties uit te voeren in de beveiligingscontext van standaardgebruikers, die beperkt is.

Wanneer een gebruiker nu inlogt op een computer, maakt het systeem automatisch een toegangstoken voor die specifieke gebruiker. Dit toegangstoken bevat informatie over het toegangsniveau dat aan de gebruiker wordt verleend, inclusief specifieke beveiligings-ID's (SID) en de gedefinieerde Windows-privileges voor elk gebruikersniveau en de respectieve toestemming zal worden verleend of niet.

Wanneer een beheerder daarentegen inlogt bij Windows 10, worden er twee afzonderlijke toegangstokens voor deze gebruiker gemaakt: een standaard gebruikerstoegangstoken en een beheerderstoegangstoken.

Met het standaard gebruikerstoegangstoken is er dezelfde gebruikersspecifieke informatie als het beheerderstoegangstoken, maar de Windows-beheerdersrechten en bijbehorende SID's worden verwijderd.

Het standaard gebruikerstoegangstoken wordt gebruikt voor het uitvoeren van applicaties die geen administratieve taken uitvoeren (standaard gebruikersapplicaties) en dus alle applicaties die worden uitgevoerd als een standaardgebruiker, tenzij een gebruiker toestemming of referenties geeft om een ​​applicatie goed te keuren die gebruik van een volledig beheerderstoegangstoken.

Op deze manier kan een gebruiker die tot de groep Administrators behoort, inloggen, op internet surfen en e-mail lezen terwijl hij een standaard gebruikerstoegangstoken gebruikt en wanneer de beheerder een taak moet uitvoeren waarvoor de token vereist is. 10 zal de gebruiker automatisch om goedkeuring vragen, daarom zullen we, wanneer we een applicatie proberen uit te voeren, het bericht van goedkeuring of niet voor die applicatie zien.

Gebruikerservaring UACWanneer UAC is geïmplementeerd, is de gebruikerservaring voor een standaardgebruiker anders dan die van beheerders in de goedkeuringsmodus van de beheerder, wat de uitvoering van verschillende applicaties kan beïnvloeden.

Toegang tot het systeem als een standaardgebruiker helpt de veiligheid van een beheerde omgeving te maximaliseren, aangezien we weten dat een dergelijke gebruiker niet de bevoegdheid heeft om ongeautoriseerde software te installeren.

Met de UAC-elevatiecomponent ingebouwd in Windows 10, kunnen standaardgebruikers eenvoudig een administratieve taak uitvoeren door geldige referenties in te voeren voor een lokaal beheerdersaccount. De ingebouwde UAC-verhogingscomponent voor standaardgebruikers is de referentie-indicator die helpt bij het beheren van machtigingen bij het uitvoeren van applicaties.

Met UAC ingeschakeld in Windows 10, wanneer we een toepassing proberen uit te voeren, wordt autorisatie gevraagd of worden de inloggegevens van een geldig lokaal beheerdersaccount gevraagd voordat een programma of taak wordt gestart waarvoor een volledige beheerderstoegangstoken nodig is.

Deze kennisgeving verzekert ons dat er geen schadelijke software stil kan worden geïnstalleerd.

UAC-hoogtemeldingenHoogte-prompts in UAC hebben een kleurcodering om toepassingsspecifiek te zijn, waardoor we het beveiligingsrisico van een toepassing onmiddellijk kunnen identificeren.

Wanneer een toepassing probeert te draaien met een volledig beheerderstoegangstoken, analyseert Windows 10 eerst het uitvoerbare bestand om de uitgever ervan te bepalen en autoriseert dus, indien geldig, de respectieve toegang ertoe. Windows 10 maakt volgens de uitgever gebruik van drie categorieën:

  • Windows 10
  • Geverifieerde uitgever (ondertekend)
  • Uitgever niet geverifieerd (niet ondertekend)
De kleurcodering van het verzoek om hoogte in Windows 10 is als volgt:
  • Rode achtergrond met een rood schildpictogram: geeft aan dat deze applicatie wordt geblokkeerd door Groepsbeleid of afkomstig is van een geblokkeerde uitgever.
  • Blauwe achtergrond met een blauw-gouden schildpictogram: geeft aan dat de toepassing een beheertoepassing voor Windows 10 is, bijvoorbeeld een item in het Configuratiescherm.
  • Blauwe achtergrond met een blauw schildpictogram - verwijst naar het feit dat deze toepassing is ondertekend met Authenticode en wordt vertrouwd op de lokale computer.
  • Gele achtergrond met een geel schildpictogram: deze app is niet ondertekend of ondertekend, maar wordt nog niet vertrouwd door de lokale computer.

Schild icoonSommige elementen van het Configuratiescherm in Windows 10, bijvoorbeeld de datum- en tijdeigenschappen, hebben een combinatie van beheerders- en standaardgebruikersbewerkingen, daar kunnen standaardgebruikers de klok zien en de tijdzone wijzigen, maar een volledige beheerderstoegangstoken om te wijzigen lokale systeemtijd.

Om deze reden zullen we het volgende schild op de knop zien: Datum en tijd wijzigen in genoemde optie:

Dit geeft aan dat het proces een volledige beheerderstoegangstoken vereist en dat er een UAC-verhogingsindicator wordt weergegeven wanneer erop wordt geklikt.

UAC-architectuurIn het volgende diagram kunnen we zien hoe UAC is gestructureerd in Windows 10.

De onderdelen van dit schema zijn:

Gebruikers level

  • Gebruiker voert een bewerking uit waarvoor privileges vereist zijn - De gebruiker voert een bewerking uit waarvoor privileges vereist zijn: In dit geval, als de bewerking het bestandssysteem of register verandert, wordt virtualisatie aangeroepen. Alle andere bewerkingen roepen ShellExecute aan.
  • ShellUitvoeren: ShellExecute zoekt naar de fout ERROR_ELEVATION_REQUIRED van CreateProcess. Als u de fout ontvangt, roept ShellExecute de toepassingsinformatieservice aan om te proberen de gevraagde taak uit te voeren met het verhoogde symbool.
  • CreërenProces: Als de toepassing verhoging vereist, weigert CreateProcess de oproep met ERROR_ELEVATION_REQUIRED.

Systeemniveau

  • Applicatie Informatieservice: De applicatie-informatieservice helpt bij het starten van applicaties waarvoor een of meer verhoogde bevoegdheden of gebruikersrechten nodig zijn, door een nieuw proces voor de applicatie te maken met een token voor volledige toegang van de beheerdersgebruiker wanneer verhoging vereist is.
  • Een ActiveX-installatie verhogen - Een ActiveX-installatie verhogen: Als ActiveX niet is geïnstalleerd, controleert het systeem het niveau van de UAC-schuifregelaar. Als ActiveX is geïnstalleerd, is de groepsbeleidsinstelling Gebruikersaccountbeheer geselecteerd: Schakel over naar beveiligd bureaublad bij het aanvragen van verhoging.
  • Controleer het niveau van de UAC-schuifregelaar - Controleer het UAC-niveau: UAC heeft vier meldingsniveaus om uit te kiezen en een schuifregelaar om het meldingsniveau te selecteren: Hoog, Gemiddeld, Laag of Geen melding.

Gebruikerservaring UACInstellingen voor gebruikersaccountbeheer beveiligingsbeleid
In Windows 10 kunnen we gebruik maken van beveiligingsbeleid om de werking van Gebruikersaccountbeheer binnen ons bedrijf te configureren.

Deze kunnen lokaal worden geconfigureerd met behulp van de module Lokaal beveiligingsbeleid (secpol.msc) of worden geconfigureerd voor het domein, de organisatie-eenheid of specifieke groepen met behulp van Groepsbeleid. Enkele van de beschikbare polissen zijn:

Gebruikersaccountbeheer Goedkeuringsmodus beheerder voor ingebouwde beheerdersaccountMet dit beleid regelen we het gedrag van de beheerdersgoedkeuringsmodus voor het geïntegreerde beheerdersaccount en de opties zijn:

  • Ingeschakeld: Wanneer dit beleid is ingeschakeld, maakt het ingebouwde beheerdersaccount gebruik van de goedkeuringsmodus van de beheerder. Standaard wordt de gebruiker gevraagd om de bewerking goed te keuren voor elke bewerking waarvoor machtiging vereist is.
  • Gehandicapt: Het is de standaardoptie en daarmee voert het ingebouwde beheerdersaccount alle toepassingen uit met volledige beheerdersrechten.

Gebruikersaccountbeheer - Hiermee kan de UIAccess-app om verhoging vragen zonder het beveiligde bureaublad te gebruikenDankzij dit beleid zal het mogelijk zijn om te controleren of de toegankelijkheidsprogramma's voor de gebruikersinterface (UIAccess of UIA) de beveiligde desktop automatisch kunnen uitschakelen voor de elevatieberichten die door een standaardgebruiker worden gebruikt. Uw opties zijn:

  • Ingeschakeld: Met deze optie wordt het beveiligde bureaublad automatisch uitgeschakeld voor prompts voor verhoging.
  • Gehandicapt: De beveiligde desktop kan alleen worden uitgeschakeld door de gebruiker van de interactieve desktop of door de beleidsinstelling "Gebruikersaccountbeheer: overschakelen naar beveiligde desktop op verzoek om toegang" uit te schakelen.

Gebruikersaccountbeheer - Gedrag van verhoogde berichten voor beheerders in de goedkeuringsmodus voor beheerdersIn dit beleid zullen we het gedrag van de hoogte-indicator voor beheerders controleren. De beschikbare opties zijn:

  • Verhoog zonder te vragen: Hiermee kunnen geprivilegieerde accounts een bewerking uitvoeren waarvoor verhoging vereist is zonder dat de gebruiker toestemming of referenties nodig heeft.
  • Inloggegevens aanvragen op de beveiligde desktop: Wanneer voor een bewerking verhoging van bevoegdheden is vereist, wordt de gebruiker gevraagd een bevoorrechte gebruikersnaam en wachtwoord in te voeren op het beveiligde bureaublad.
  • Toestemmingsverzoek op de beveiligde desktop: Wanneer een bewerking een verhoging van bevoegdheden vereist, wordt de gebruiker gevraagd om de actie toestaan ​​of weigeren te selecteren op het beveiligde bureaublad.
  • Inloggegevens aanvragen: Wanneer voor een bewerking uitbreiding van bevoegdheden is vereist, wordt de gebruiker gevraagd een beheerdersgebruikersnaam en -wachtwoord in te voeren.
  • Toestemmingsverzoek: Wanneer voor een bewerking uitbreiding van bevoegdheden is vereist, wordt de gebruiker gevraagd om Toestaan ​​of Weigeren te selecteren.
  • Toestemmingsverzoek voor niet-Windows binaire bestanden (standaard): Wanneer een bewerking voor een niet-Microsoft-toepassing uitbreiding van bevoegdheden vereist, wordt de gebruiker gevraagd om Toestaan ​​of Weigeren te selecteren op het beveiligde bureaublad.

Gebruikersaccountbeheer: gedrag van hoogte-indicatoren voor standaardgebruikersDankzij dit beleid kunnen we het gedrag van de hoogte-indicator voor standaardgebruikers controleren. De opties zijn:

  • Inloggegevens aanvragen (standaard): Wanneer voor een bewerking uitbreiding van bevoegdheden is vereist, wordt de gebruiker gevraagd een beheerdersgebruikersnaam en -wachtwoord in te voeren.
  • Liftverzoeken automatisch weigeren: Wanneer voor een bewerking vergroting van bevoegdheden is vereist, wordt een configureerbare toegangstoegangsfoutmelding weergegeven.
  • Inloggegevens aanvragen op de beveiligde desktop: Wanneer voor een bewerking verhoging van bevoegdheden is vereist, wordt de gebruiker gevraagd een andere gebruikersnaam en wachtwoord in te voeren op het beveiligde bureaublad.

Gebruikersaccountbeheer - app-installaties detecteren en verhoging aanvragenMet dit beleid kunnen we het gedrag van de applicatie-installatiedetectie voor de computer controleren.
Uw opties zijn:

  • Ingeschakeld (standaard): Wanneer een installatiepakket voor een toepassing wordt gedetecteerd waarvoor uitbreiding van bevoegdheden vereist is, wordt de gebruiker gevraagd een beheerdersgebruikersnaam en -wachtwoord in te voeren.
  • Gehandicapt: Uitgeschakelde app-installatiepakketten worden niet gedetecteerd en er wordt verzocht om verhogingen. Bedrijven die standaard gebruikersdesktops gebruiken en gedelegeerde installatietechnologieën gebruiken, zoals Groepsbeleid of System Center Configuration Manager, moeten deze beleidsinstelling uitschakelen.

Gebruikersaccountbeheer: upload alleen uitvoerbare bestanden die zijn ondertekend en gevalideerd
Met dit beleid definieert u PKI-ondertekeningscontroles (Public Key Infrastructure) voor elke interactieve toepassing die om verhoging van bevoegdheden vraagt.

IT-beheerders kunnen bepalen welke applicaties kunnen worden uitgevoerd door certificaten toe te voegen aan het Trusted Publishers-certificaatarchief op lokale computers. Uw opties zijn:

  • Ingeschakeld: Bevordert de validatie van het certificaatcertificeringspad voor een bepaald uitvoerbaar bestand voordat het mag worden uitgevoerd.
  • Gehandicapt: De validatie van het certificaatcertificeringspad wordt niet afgedwongen voordat een bepaald uitvoerbaar bestand mag worden uitgevoerd.

Gebruikersaccountbeheer: verhoog alleen UIAccess-toepassingen die op beveiligde locaties zijn geïnstalleerdMet dit beleid wordt het mogelijk om te controleren of toepassingen die verzoeken om te worden uitgevoerd met een gebruikersinterface-toegankelijkheidsintegriteitsniveau (UIAccess) zich op een veilige locatie op het bestandssysteem moeten bevinden. Veilige locaties zijn beperkt tot de volgende routes: 

 \ Program Files \, \ Windows \ system32 \, \ Program Files (x86) \.
Uw opties zijn:
  • Ingeschakeld: Als een toepassing zich op een veilige locatie op het bestandssysteem bevindt, wordt deze alleen uitgevoerd met UIAccess-integriteit.
  • Gehandicapt: Een toepassing wordt uitgevoerd met UIAccess-integriteit, zelfs als deze zich niet op een veilige locatie op het bestandssysteem bevindt.

Gebruikersaccountbeheer - Goedkeuringsmodus door beheerder inschakelenDoor dit beleid te implementeren, kunnen we het gedrag van alle gebruikersaccountbeheer (UAC)-beleidsinstellingen voor de computer controleren. Als u deze beleidsinstelling wijzigt, moet u uw computer opnieuw opstarten. De beschikbare opties zijn:

  • Ingeschakeld: Hiermee kunnen de ingebouwde beheerdersaccount en alle andere gebruikers die lid zijn van de groep Administrators worden uitgevoerd in de goedkeuringsmodus van de beheerder.
  • Gehandicapt: Als deze beleidsinstelling is uitgeschakeld, laat Security Center u weten dat de algehele beveiliging van het besturingssysteem is verminderd.

Gebruikersaccountbeheer - schakel over naar een beveiligd bureaublad bij verzoek om verhogingMet dit beleid wordt het mogelijk om te controleren of het bericht over het verzoek om een ​​lift wordt weergegeven op de interactieve desktop van de gebruiker of op de beveiligde desktop. Daar kunnen we het volgende vaststellen:

  • Ingeschakeld: Alle liftverzoeken gaan naar de beveiligde desktop, ongeacht de beleidsinstellingen voor meldingsgedrag voor beheerders en standaardgebruikers.
  • Gehandicapt: Alle liftverzoeken gaan naar het bureaublad van de interactieve gebruiker. Er worden standaard beleidsinstellingen voor gebruikers- en beheerdersgedrag gebruikt.
  • Al deze opties zijn te vinden met behulp van de toetsencombinatie + R en het uitvoeren van de opdracht secpol.msc
In het weergegeven venster gaan we naar de route Lokaal beleid / beveiligingsopties.

Configuratie van registersleutelsDe UAC-registersleutels zijn te vinden in het volgende pad van de register-editor waartoe we toegang hebben met behulp van de sleutels en uitvoeren: regedit: 

 HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
De beschikbare records zijn:

FilterBeheerderTokende opties zijn: 

 0 (Standaard) = Uitgeschakeld 1 = Ingeschakeld

EnableUIADektopToggleUw opties zijn: 

 0 (Standaard) = Uitgeschakeld 1 = Ingeschakeld

ToestemmingPromptGedragAdminUw opties zijn: 

 0 = Opheffen zonder te vragen 1 = Vragen om inloggegevens op beveiligde desktop 2 = Vragen om toestemming op beveiligde desktop 3 = Vragen om inloggegevens 4 = Vragen om toestemming 5 (Standaard) = Vragen om toestemming voor niet-Windows binaire bestanden

ToestemmingPromptGedragGebruikerUw mogelijkheden zijn: 

 0 = Automatisch verzoeken om toegang weigeren 1 = Vragen om inloggegevens op beveiligde desktop 3 (Standaard) = Vragen om inloggegevens

Installatiedetectie inschakelenUw opties zijn: 

 1 = Ingeschakeld (standaard voor Home-edities) 0 = Uitgeschakeld (standaard voor Enterprise-edities)

ValiderenAdminCodeHandtekeningenUw opties zijn: 

 0 (Standaard) = Uitgeschakeld 1 = Ingeschakeld

VeiligeUIA-paden inschakelenUw opties zijn: 

 0 = Uitgeschakeld 1 (Standaard) = Ingeschakeld

LUA inschakelenUw opties zijn: 

 0 = Uitgeschakeld 1 (Standaard) = Ingeschakeld

Zoals we hebben begrepen, is UAC ontwikkeld om ons te helpen een betere controle te hebben over de processen die worden uitgevoerd in Windows 10, waarbij we altijd rekening houden met de veiligheid en privacy van elke gebruiker.

U zal helpen de ontwikkeling van de site, het delen van de pagina met je vrienden

wave wave wave wave wave

Populaire Berichten

wave
1
post-title
▷ Hoe de signaalfoto in de galerij op te slaan
2
post-title
Back-up maken in Linux met Schijf naar Schijf
3
post-title
Maak kennis met Google Cleanup: de nieuwe antivirusfunctie van Chrome
4
post-title
Hoe autocorrector op Xiaomi Redmi S2 te verwijderen
5
post-title
Hoe te verwijderen en te verwijderen op Android

Aanbevolen

wave
- Sponsored Ad -

Editor'S Choice

wave
- Sponsored Ad -