Özellikler ve Windows 10'da GPO UAC'nin nasıl yapılandırılacağı

İçindekiler

Windows işletim sistemleri, içinde ve uygulamalarında güvenliği artırmamıza yardımcı olan bir dizi pratik seçenek içerir.

Bu güvenlik önlemlerinden biri, iyi bilinen UAC'dir (Kullanıcı Hesabı Denetimi), çünkü bunlar, virüslerin veya kötü amaçlı yazılımların sisteme dahil edilmesini ve sistemin çalışabilirliğini ve çalışmasını etkilemesini önlemek için geliştirilmiştir ve bugün Solvetic, UAC'nin nasıl çalıştığına dair eksiksiz bir analiz yapacaktır. Windows 10 ve bundan en iyi şekilde yararlanmak için onu nasıl yapılandırabiliriz.

UAC nedirKullanıcı Hesabı Denetimi veya UAC, belirli bir tür kötü amaçlı yazılımın bilgisayara yüklenmesini, çalışmasını etkilemesini önlememize yardımcı olan Windows 10'un bir işlevidir ve bu süreçte, bir masaüstü uygulama yeteneğine sahip kuruluşlara katkıda bulunur. yönetim ve yönetim iyileştirmeleri.

UAC sayesinde uygulamalar ve görevler her zaman bir yönetici hesabı kullanılarak güvenli bir ortamda yürütülür.

UAC ile yetkisiz uygulamaların otomatik yüklenmesini engellemek ve sistem yapılandırmasında yanlışlıkla yapılan değişiklikleri önlemek mümkün olacaktır, çünkü bir kötü amaçlı yazılımın kodunda sahip olduğu tüm tehditler sistemin davranışını yok etmek, çalmak veya değiştirmek için gelebilir.

UAC'yi uygulayarak, kullanıcıların standart bir kullanıcı hesabıyla bilgisayarlarına giriş yapmalarına izin vererek, standart bir hesapla ilişkili erişim haklarına sahip görevleri gerçekleştirmelerini kolaylaştırabiliriz.

UAC nasıl çalışır?Windows 10'da UAC kullanırken, yönetici erişim belirtecini kullanması gereken her uygulamanın onayınızı istemesi gerekir veya kurulum imkansız olacaktır.

Windows 10, bütünlük düzeylerini işaretleyerek sistem işlemlerini korur. Bütünlük seviyeleri, belirli bir programı kurarken güvenliği optimize etmek için uygulanan güven önlemleridir.

"Yüksek" bütünlük dereceli bir uygulama, bir disk bölümü uygulaması, RAM bellek yönetimi uygulamaları vb. gibi sistem verilerini değiştirmeyi içeren görevleri gerçekleştiren bir uygulamadır, "düşük" bütünlüğe sahip bir uygulama ise, bazı durumlarda görevleri yerine getiren bir uygulamadır. nokta, örneğin bir Web tarayıcısı gibi işletim sistemini etkileyebilir.

Daha düşük bütünlük seviyeleriyle sınıflandırılan uygulamalar, daha yüksek bütünlük seviyelerine sahip uygulamalardaki verileri değiştiremez. Standart bir kullanıcı, yönetici erişim belirteci gerektiren bir uygulamayı çalıştırmaya çalıştığında, UAC, kullanıcının görevi gerçekleştirmesine izin vermek için geçerli yönetici kimlik bilgileri sağlamasını ister, bu nedenle bir uygulamayı çalıştırdığımızda ilgili izni onaylamamız gerekir.

UAC'de oturum açma işlemiUAC, Windows 10'da uygulandığında, varsayılan olarak, standart gruptaki tüm kullanıcılar ve yöneticiler, kaynaklara erişime sahip olacak ve sınırlı olan standart kullanıcıların güvenlik bağlamında uygulamaları çalıştırma becerisine sahip olacaktır.

Artık bir kullanıcı bir bilgisayarda oturum açtığında, sistem o belirli kullanıcı için otomatik olarak bir erişim belirteci oluşturur, bu erişim belirteci, belirli güvenlik tanımlayıcıları (SID) ve tanımlanan Windows ayrıcalıkları dahil olmak üzere kullanıcıya verilen erişim düzeyi hakkında bilgiler içerir. her kullanıcı seviyesi için ve ilgili izin verilecek veya verilmeyecektir.

Buna karşılık, bir yönetici Windows 10'da oturum açtığında, bu kullanıcı için iki ayrı erişim belirteci oluşturulur: standart bir kullanıcı erişim belirteci ve bir yönetici erişim belirteci.

Standart kullanıcı erişim belirteci ile, yönetici erişim belirteci ile aynı kullanıcıya özel bilgiler olacaktır, ancak Windows yönetici ayrıcalıkları ve ilişkili SID'ler kaldırılacaktır.

Standart kullanıcı erişim belirteci, yönetim görevlerini yerine getirmeyen uygulamaların (standart kullanıcı uygulamaları) ve dolayısıyla standart bir kullanıcı olarak yürütülen tüm uygulamaların yürütülmesi için kullanılır, bir kullanıcı, bir uygulamayı onaylamak için izin veya kimlik bilgileri sağlamadıkça, tam bir yönetici erişim belirtecinin kullanımı.

Bu şekilde, Administrators grubuna ait bir kullanıcı, standart bir kullanıcı erişim belirteci kullanırken ve yöneticinin belirteç gerektiren bir görevi gerçekleştirmesi gerektiğinde oturum açabilir, web'de gezinebilir ve e-posta okuyabilir. 10, kullanıcıdan otomatik olarak onay isteyecektir, bu nedenle bir uygulamayı çalıştırmaya çalıştığımızda, söz konusu uygulamaya onay veya onay mesajı göreceğiz.

UAC kullanıcı deneyimiUAC uygulandığında, standart bir kullanıcı için kullanıcı deneyimi, yönetici onay modundaki yöneticilerinkinden farklıdır ve bu, çeşitli uygulamaların yürütülmesini etkileyebilir.

Sisteme standart bir kullanıcı olarak erişmek, bu tür bir kullanıcının yetkisiz yazılım yükleme yetkisine sahip olmayacağını bileceğimiz için yönetilen bir ortamın güvenliğini en üst düzeye çıkarmaya yardımcı olacaktır.

Windows 10'da yerleşik olarak bulunan UAC yükseltme bileşeni ile standart kullanıcılar, yerel bir yönetici hesabı için geçerli kimlik bilgilerini girerek bir yönetim görevini kolayca gerçekleştirebilecekler. Standart kullanıcılar için yerleşik UAC yükseltme bileşeni, uygulamaları çalıştırırken izinlerin yönetilmesine yardımcı olan kimlik bilgisi göstergesidir.

Windows 10'da UAC etkinleştirildiğinde, bir uygulamayı çalıştırmayı denediğimizde, tam yönetici erişim belirteci gerektiren bir program veya görev başlatmadan önce yetkilendirme istenecek veya geçerli bir yerel yönetici hesabının kimlik bilgileri istenecektir.

Bu bildirim, hiçbir kötü amaçlı yazılımın sessizce yüklenemeyeceğini garanti eder.

UAC Yükseklik BildirimleriUAC'deki yükseltme istemleri, uygulamaya özel olacak şekilde renk kodludur ve bir uygulamanın güvenlik riskini anında belirlememize olanak tanır.

Bir uygulama tam yönetici erişim belirteci ile çalıştırmayı denediğinde, Windows 10, yayımcısını belirlemek için önce yürütülebilir dosyayı analiz eder ve böylece, geçerliyse, ilgili erişime yetki verir. Windows 10, yayıncıya göre üç kategoriden yararlanır:

  • Windows 10
  • Doğrulanmış yayıncı (imzalı)
  • Yayıncı doğrulanmadı (imzasız)
Windows 10'da yükseltme isteği renk kodlaması aşağıdaki gibidir:
  • Kırmızı kalkan simgeli kırmızı arka plan: Bu uygulamanın Grup İlkesi tarafından engellendiğini veya engellenen bir yayıncıdan geldiğini gösterir.
  • Mavi ve altın renkli kalkan simgeli mavi arka plan: Uygulamanın bir Windows 10 yönetim uygulaması, örneğin bir Denetim Masası öğesi olduğunu gösterir.
  • Mavi kalkan simgesiyle mavi arka plan - Bu uygulamanın Authenticode kullanılarak imzalandığını ve yerel bilgisayarda güvenilir olduğunu ifade eder.
  • Sarı bir kalkan simgesi olan sarı arka plan: Bu uygulama imzasız veya imzalanmış ancak yerel bilgisayar tarafından henüz güvenilir değil.

Kalkan simgesiWindows 10'daki Denetim Masası'nın bazı öğeleri, örneğin tarih ve saat özellikleri, yönetici ve standart kullanıcı işlemlerinin bir kombinasyonuna sahiptir, orada standart kullanıcılar saati görebilir ve saat dilimini değiştirebilir, ancak tam yönetici erişim belirtecini değiştirmek için yerel sistem saati.

Bu sebeple buton üzerinde aşağıdaki kalkanı göreceğiz. Tarih ve saati değiştir söz konusu seçenekte:

Bu, işlemin tam bir yönetici erişim belirteci gerektirdiğini ve tıklandığında bir UAC yükseklik göstergesi görüntüleyeceğini gösterir.

UAC mimarisiAşağıdaki şemada UAC'nin Windows 10'da nasıl yapılandırıldığını görebiliriz.

Bu şemanın bileşenleri şunlardır:

Kullanıcı seviyesi

  • Kullanıcı, ayrıcalık gerektiren bir işlem gerçekleştirir - Kullanıcı, ayrıcalık gerektiren bir işlem gerçekleştirir: Bu durumda işlem dosya sistemini veya kayıt defterini değiştirirse sanallaştırma denir. Diğer tüm işlemler ShellExecute'u çağırır.
  • KabukYürütme: ShellExecute, CreateProcess'teki ERROR_ELEVATION_REQUIRED hatasını arar. Hatayı alırsanız, ShellExecute, yükseltilmiş sembolle istenen görevi gerçekleştirmeyi denemek için uygulama bilgi hizmetini arar.
  • Süreci oluşturmak: Uygulama yükseltme gerektiriyorsa, CreateProcess çağrıyı ERROR_ELEVATION_REQUIRED ile reddeder.

Sistem seviyesi

  • Başvuru Bilgileri hizmeti: Uygulama bilgi hizmeti, yükseltme gerektiğinde bir yönetici kullanıcı tam erişim belirteciyle uygulama için yeni bir süreç oluşturarak, bir veya daha fazla yükseltilmiş ayrıcalık veya kullanıcı hakları gerektiren uygulamaların başlatılmasına yardımcı olur.
  • ActiveX kurulumunu yükseltme - ActiveX kurulumunu yükseltme: ActiveX kurulu değilse, sistem UAC kaydırıcı seviyesini kontrol eder. ActiveX kuruluysa, Kullanıcı Hesabı Denetimi grubu ilkesi ayarı seçilir: Yükseltme istenirken güvenli masaüstüne geçin.
  • UAC kaydırıcı seviyesini kontrol edin - UAC seviyesini kontrol edin: UAC'nin seçebileceğiniz dört bildirim düzeyi ve bildirim düzeyini seçmek için bir kaydırıcısı vardır: Yüksek, Orta, Düşük veya Bildirim Yok.

UAC kullanıcı deneyimiKullanıcı Hesabı Denetimi güvenlik ilkesi ayarları
Windows 10'da, şirketimizde Kullanıcı Hesabı Denetimi'nin çalışmasını yapılandırmak için güvenlik politikalarından yararlanabiliriz.

Bunlar, Yerel Güvenlik İlkesi ek bileşeni (secpol.msc) kullanılarak yerel olarak yapılandırılabilir veya etki alanı, Kuruluş Birimi veya Grup İlkesi kullanılarak belirli gruplar için yapılandırılabilir. Mevcut politikalardan bazıları şunlardır:

Yerleşik Yönetici hesabı için Kullanıcı Hesabı Denetimi Yönetici onay moduBu politika ile, entegre yönetici hesabı için yönetici onay modunun davranışını kontrol ediyoruz ve seçenekler şunlardır:

  • Etkinleştirilmiş: Bu politika etkinleştirildiğinde, yerleşik yönetici hesabı Yönetici Onay Modunu kullanır. Varsayılan olarak, ayrıcalık yükselmesi gerektiren herhangi bir işlem, kullanıcıdan işlemi onaylamasını ister.
  • Engelli: Bu varsayılan seçenektir ve bununla birlikte yerleşik yönetici hesabı tüm uygulamaları tam yönetici ayrıcalıklarıyla çalıştırır.

Kullanıcı Hesabı Denetimi - UIAccess uygulamasının güvenli masaüstünü kullanmadan yükseltme talep etmesine izin verirBu politika sayesinde, standart bir kullanıcı tarafından kullanılan yükseltme mesajları için kullanıcı arayüzü erişilebilirlik programlarının (UIAccess veya UIA) güvenli masaüstünü otomatik olarak devre dışı bırakıp bırakamayacağını kontrol etmek mümkün olacaktır. Seçenekleriniz:

  • Etkinleştirilmiş: Bu seçenek, yükseltme istemleri için güvenli masaüstünü otomatik olarak devre dışı bırakır.
  • Engelli: Güvenli masaüstü, yalnızca etkileşimli masaüstü kullanıcısı tarafından veya "Kullanıcı Hesabı Denetimi: Yükseltme isteğinde güvenli masaüstüne geç" ilke ayarı devre dışı bırakılarak devre dışı bırakılabilir.

Kullanıcı Hesabı Denetimi - Yönetici Onay Modunda Yöneticiler için Yükseklik Mesajı DavranışıBu politikada, yöneticiler için yükseklik göstergesinin davranışını kontrol edeceğiz. Mevcut seçenekler şunlardır:

  • Sormadan yükseltin: Ayrıcalıklı hesapların, kullanıcı izni veya kimlik bilgilerine gerek kalmadan yükseltme gerektiren bir işlemi gerçekleştirmesine izin verir.
  • Güvenli masaüstünde kimlik bilgilerini isteyin: Bir işlem ayrıcalık yükseltmesi gerektirdiğinde, kullanıcıdan güvenli masaüstünde ayrıcalıklı bir kullanıcı adı ve parola girmesi istenir.
  • Güvenli masaüstünde izin isteği: Bir işlem bir ayrıcalık yükselmesi gerektirdiğinde, kullanıcıdan güvenli masaüstünde Eyleme İzin Ver veya Reddet'i seçmesi istenir.
  • Kimlik bilgilerini isteyin: Bir işlem ayrıcalık yükseltmesi gerektirdiğinde, kullanıcıdan bir yönetici kullanıcı adı ve parola girmesi istenir.
  • İzin talebi: Bir işlem ayrıcalık yükseltmesi gerektirdiğinde, kullanıcıdan İzin Ver veya Reddet'i seçmesi istenir.
  • Windows olmayan ikili dosyalar için izin isteği (varsayılan): Microsoft'a ait olmayan bir uygulama için bir işlem ayrıcalık yükselmesi gerektirdiğinde, kullanıcıdan güvenli masaüstünde İzin Ver veya Reddet'i seçmesi istenir.

Kullanıcı Hesabı Denetimi: Standart Kullanıcılar için Yükseklik Göstergesi DavranışıBu politika sayesinde standart kullanıcılar için yükseklik göstergesinin davranışını kontrol edebiliyoruz. Seçenekler şunlardır:

  • Kimlik bilgilerini iste (Varsayılan): Bir işlem ayrıcalık yükseltmesi gerektirdiğinde, kullanıcıdan bir yönetici kullanıcı adı ve parolası girmesi istenir.
  • Kaldırma isteklerini otomatik olarak reddet: Bir işlem ayrıcalık yükseltmesi gerektirdiğinde, yapılandırılabilir bir erişim erişimi hata mesajı görüntülenir.
  • Güvenli masaüstünde kimlik bilgilerini isteyin: Bir işlem ayrıcalık yükseltmesi gerektirdiğinde, kullanıcıdan güvenli masaüstünde farklı bir kullanıcı adı ve parola girmesi istenir.

Kullanıcı Hesabı Denetimi - uygulama yüklemelerini tespit edin ve yükseltme talebinde bulununBu politika ile bilgisayar için uygulama yükleme algılamasının davranışını kontrol edebileceğiz.
Seçenekleriniz:

  • Etkin (varsayılan): Ayrıcalık yükselmesi gerektiren bir uygulama yükleme paketi algılandığında, kullanıcıdan bir yönetici kullanıcı adı ve parolası girmesi istenir.
  • Engelli: Devre dışı bırakılan uygulama yükleme paketleri algılanmaz ve yükseltme istenir. Standart kullanıcı masaüstlerini çalıştıran ve Grup İlkesi veya System Center Configuration Manager gibi temsilci yükleme teknolojilerini kullanan şirketler bu ilke ayarını devre dışı bırakmalıdır.

Kullanıcı Hesabı Denetimi: yalnızca imzalanmış ve doğrulanmış yürütülebilir dosyaları yükleyin
Bu ilkeyi kullanarak, ayrıcalık yükselmesi talep eden herhangi bir etkileşimli uygulama için ortak anahtar altyapısı (PKI) imzalama kontrollerini tanımlarsınız.

BT yöneticileri, yerel bilgisayarlardaki Güvenilir Yayıncılar sertifika deposuna sertifika ekleyerek hangi uygulamaların çalışabileceğini denetleyebilir. Seçenekleriniz:

  • Etkinleştirilmiş: Belirli bir yürütülebilir dosyanın çalıştırılmasına izin verilmeden önce sertifika sertifika yolunun doğrulanmasını destekler.
  • Engelli: Belirli bir yürütülebilir dosyanın çalışmasına izin verilmeden önce sertifika sertifika yolu doğrulamasını zorlamaz.

Kullanıcı Hesabı Denetimi: yalnızca güvenli konumlara yüklenen UIAccess uygulamalarını yükseltinBu politikayla, bir kullanıcı arabirimi erişilebilirlik bütünlük düzeyi (UIAccess) ile çalışmayı talep eden uygulamaların dosya sisteminde güvenli bir konumda bulunması gerekip gerekmediğini kontrol etmek mümkün olacaktır. Güvenli konumlar aşağıdaki rotalarla sınırlıdır:

 \ Program Dosyaları \, \ Windows \ system32 \, \ Program Dosyaları (x86) \. 
Seçenekleriniz:
  • Etkinleştirilmiş: Bir uygulama dosya sisteminde güvenli bir konumda bulunuyorsa, yalnızca UIAccess bütünlüğü ile çalışır.
  • Engelli: Bir uygulama, dosya sisteminde güvenli bir konumda olmasa bile UIAccess bütünlüğü ile çalışır.

Kullanıcı Hesabı Denetimi - Yönetici Onay Modunu EtkinleştirBu politikayı uygulayarak, bilgisayar için tüm Kullanıcı Hesabı Denetimi (UAC) politikası ayarlarının davranışını kontrol edebileceğiz. Bu ilke ayarını değiştirirseniz, bilgisayarınızı yeniden başlatmanız gerekir. Mevcut seçenekler şunlardır:

  • Etkinleştirilmiş: Yerleşik yönetici hesabının ve Yöneticiler grubunun üyesi olan diğer tüm kullanıcıların Yönetici Onay Modunda çalışmasına izin verir.
  • Engelli: Bu ilke ayarı devre dışı bırakılırsa Güvenlik Merkezi, genel işletim sistemi güvenliğinin azaltıldığını size bildirir.

Kullanıcı Hesabı Denetimi - yükseltme talep edildiğinde güvenli masaüstüne geçiş yapınBu politika ile, asansör talebi mesajının etkileşimli kullanıcının masaüstünde mi yoksa güvenli masaüstünde mi görüntüleneceğini kontrol etmek mümkün olacaktır. Orada aşağıdakileri kurabiliriz:

  • Etkinleştirilmiş: Yöneticiler ve standart kullanıcılar için bildirim davranışı ilkesi ayarlarından bağımsız olarak tüm kaldırma istekleri güvenli masaüstüne gider.
  • Engelli: Tüm artış istekleri, etkileşimli kullanıcının masaüstüne gider. Standart kullanıcı ve yönetici davranışı ilkesi ayarları kullanılır.
  • Tüm bu seçenekler, + R tuş kombinasyonunu kullanarak ve komutu yürüterek bulunur. secpol.msc
Görüntülenen pencerede rotaya gideceğiz Yerel Politikalar / Güvenlik Seçenekleri.

Kayıt Defteri Anahtarları YapılandırmasıUAC kayıt defteri anahtarları, anahtarları kullanarak ve çalıştırarak eriştiğimiz kayıt defteri düzenleyicisinin aşağıdaki yolunda bulunabilir. regedit:

 HKEY_LOCAL_MACHINE \ YAZILIM \ Microsoft \ Windows \ CurrentVersion \ İlkeler \ Sistem
Mevcut kayıtlar şunlardır:

FiltreYönetici Simgesiseçenekler şunlardır:

 0 (Varsayılan) = Devre Dışı 1 = Etkin

EnableUIADesktopDeğiştirSeçenekleriniz:

 0 (Varsayılan) = Devre Dışı 1 = Etkin

ConsentPromptBehaviorAdminSeçenekleriniz:

 0 = Sormadan yükselt 1 = Güvenli masaüstünde kimlik bilgileri iste 2 = Güvenli masaüstünde onay iste 3 = Kimlik iste 4 = İzin iste 5 (Varsayılan) = Windows olmayan ikili dosyalar için izin iste

ConsentPromptBehaviorKullanıcıOlasılıklarınız:

 0 = Yükseltme isteklerini otomatik olarak reddet 1 = Güvenli masaüstünde kimlik bilgilerini sor 3 (Varsayılan) = Kimlik bilgilerini sor

EnableInstallerDetectionSeçenekleriniz:

 1 = Etkin (Home sürümleri için varsayılan) 0 = Devre Dışı (Enterprise sürümleri için varsayılan)

ValidateAdminCodeİmzalarSeçenekleriniz:

 0 (Varsayılan) = Devre Dışı 1 = Etkin

EnableSecureUIAPyollarıSeçenekleriniz:

 0 = Devre Dışı 1 (Varsayılan) = Etkin

EtkinleştirLUASeçenekleriniz:

 0 = Devre Dışı 1 (Varsayılan) = Etkin

Anladığımız gibi, UAC, Windows 10'da yürütülen işlemler üzerinde daha iyi kontrol sahibi olmamıza yardımcı olmak için geliştirilmiştir ve her zaman her kullanıcının güvenliğini ve gizliliğini düşünür.

wave wave wave wave wave