Виндовс оперативни системи укључују низ практичних опција које нам помажу да побољшамо безбедност у њему и његовим апликацијама.
Једна од ових безбедносних мера је добро познати УАЦ (контрола корисничког налога) јер су оне развијене да спрече уношење вируса или злонамерног софтвера у систем што утиче на његову оперативност и рад, а данас ће Солветиц урадити комплетну анализу начина на који УАЦ функционише у Виндовс 10 и како га можемо конфигурирати како бисмо извукли максимум из њега.
Шта је УАЦКонтрола корисничког налога или УАЦ је функционалност оперативног система Виндовс 10 која нам помаже да спречимо да се одређена врста злонамерног софтвера инсталира на рачунару, утичући на његов рад и притом доприноси организацијама које имају могућност примене радне површине. побољшања администрације и управљања.
Захваљујући УАЦ -у, апликације и задаци ће се увек извршавати у сигурном окружењу помоћу администраторског налога.
Помоћу УАЦ -а биће могуће блокирати аутоматску инсталацију неовлашћених апликација и избећи ненамерне промене у конфигурацији система јер све претње које злонамерни софтвер има у свом коду могу доћи како би уништиле, украле или промениле понашање система.
Применом УАЦ -а можемо омогућити корисницима да се пријаве на рачунаре са стандардним корисничким налогом, што им олакшава извршавање задатака са правима приступа повезаним са стандардним налогом.
Како УАЦ функционишеКада користите УАЦ у систему Виндовс 10, свака апликација која мора да користи токен приступа администратора мора да захтева ваше одобрење или инсталација неће бити могућа.
Виндовс 10 штити системске процесе, означавајући њихове нивое интегритета. Нивои интегритета су мере поверења које се примењују ради оптимизације безбедности приликом инсталирања одређеног програма.
Апликација са оценом „висок“ интегритет је она која обавља задатке који укључују измене системских података, као што су апликација за партицију диска, апликације за управљање меморијом РАМ -а итд., Док је апликација са „ниским“ интегритетом она која испуњава задатке који у неким случајевима поинт може утицати на оперативни систем, као што је веб прегледач, на пример.
Апликације класификоване са нижим нивоима интегритета не могу мењати податке у апликацијама са вишим нивоима интегритета. Када стандардни корисник покуша да покрене апликацију која захтева токен администраторског приступа, УАЦ захтева од корисника да обезбеди ваљане администраторске акредитиве како би му омогућила извршавање задатка, зато приликом покретања апликације морамо потврдити одговарајућу дозволу.
Процес пријављивања у УАЦКада се УАЦ имплементира у Виндовс 10, подразумевано ће сви корисници и администратори који су у стандардној групи имати приступ ресурсима и могућност покретања апликација у безбедносном контексту стандардних корисника, што је ограничено.
Сада када се корисник пријави на рачунар, систем аутоматски ствара приступни токен за тог одређеног корисника, овај приступни токен укључује информације о нивоу приступа који је одобрен кориснику, укључујући посебне безбедносне идентификаторе (СИД) и дефинисане привилегије за Виндовс за сваки ниво корисника и одговарајућа дозвола ће бити додељена или не.
Насупрот томе, када се администратор пријави у Виндовс 10, за овог корисника ће се створити два одвојена приступна токена: стандардни кориснички токен за приступ и токен приступа администратора.
Са стандардним корисничким токеном за приступ биће исте информације специфичне за корисника као и токени за администраторски приступ, али ће администраторске привилегије за Виндовс и повезани СИД-ови бити уклоњени.
Стандардни кориснички токен приступа користи се за извршавање апликација које не извршавају административне задатке (стандардне корисничке апликације), па тако и свих апликација које се извршавају као стандардни корисници, осим ако корисник не да сагласност или акредитиве за одобрење апликације која може коришћење токена за потпуни административни приступ.
На овај начин, корисник који припада групи администратора моћи ће да се пријави, сурфује вебом и чита е -пошту док користи стандардни токен за приступ корисника и када администратор треба да изврши задатак који захтева токен. Администраторски приступ, Виндовс 10 ће аутоматски затражити од корисника одобрење, па ћемо приликом покушаја покретања апликације видјети поруку о одобрењу или не за ту апликацију.
Корисничко искуство УАЦ -аКада се примени УАЦ, корисничко искуство за стандардног корисника разликује се од искуства администратора у режиму одобрења администратора, што може утицати на извршавање различитих апликација.
Приступ систему као стандардном кориснику помоћи ће максимизирању сигурности управљаног окружења јер ћемо знати да такав корисник неће имати овлаштења за инсталирање неовлаштеног софтвера.
Са компонентом елевације УАЦ -а уграђеном у Виндовс 10, стандардни корисници ће моћи лако да обављају административне задатке уношењем важећих акредитива за локални администраторски налог. Уграђена компонента елевације УАЦ-а за стандардне кориснике је индикатор акредитива који помаже у управљању дозволама при покретању апликација.
Са омогућеним УАЦ -ом у оперативном систему Виндовс 10, сваки пут када покушамо да покренемо апликацију, тражиће се овлашћење или ће се захтевати акредитиви важећег локалног администраторског налога пре покретања програма или задатка који захтева потпуни токен приступа администратору.
Ово обавештење нас уверава да се злонамерни софтвер не може инсталирати тихо.
Обавештења о висини УАЦ -аУпити о надморској висини у УАЦ-у су означени бојама како би били специфични за апликацију, што нам омогућава да одмах идентификујемо безбедносни ризик апликације.
Када апликација покуша да ради са пуним токеном администраторског приступа, Виндовс 10 прво анализира извршну датотеку како би одредио њеног издавача и на тај начин, ако је важећа, одобрава одговарајући приступ њој. Виндовс 10 користи три категорије према издавачу:
- Виндовс 10
- Верификовани издавач (потписан)
- Издавач није верификован (без потписа)
- Црвена позадина са црвеном иконом штита: Показује да је ова апликација блокирана смерницама групе или да је од блокираног издавача.
- Плава позадина са иконом плавог и златног штита: Означава да је апликација административна апликација за Виндовс 10, на пример ставка контролне табле.
- Плава позадина са плавом иконом штита - Односи се на чињеницу да је ова апликација потписана помоћу Аутхентицоде -а и да јој се верује на локалном рачунару.
- Жута позадина са жутом иконом штита: Ова апликација је непотписана или потписана, али локални рачунар још нема поверења у њу.
Икона штитаНеки елементи контролне табле у оперативном систему Виндовс 10, на пример, својства датума и времена, имају комбинацију администраторских и стандардних корисничких операција, тамо стандардни корисници могу видети сат и променити временску зону, али токен за потпуни приступ администратору може да промени локално системско време.
Из тог разлога на дугмету ћемо видети следећи штит Промените датум и време у наведеној опцији:
Ово указује на то да процес захтева потпуни токен приступа администратору и да ће приказати индикатор висине УАЦ -а када се кликне на њега.
УАЦ архитектураНа следећем дијаграму можемо видети како је УАЦ структуриран у систему Виндовс 10.
Компоненте ове шеме су:
Ниво корисника
- Корисник изводи операцију која захтева привилегију - Корисник изводи операцију која захтева привилегију: У овом случају, ако операција промени систем датотека или регистар, позива се виртуелизација. Све остале операције зову СхеллЕкецуте.
- СхеллЕкецуте: СхеллЕкецуте тражи грешку ЕРРОР_ЕЛЕВАТИОН_РЕКУИРЕД од ЦреатеПроцесс -а. Ако примите грешку, СхеллЕкецуте позива информациону службу апликације да покуша да изврши тражени задатак са подигнутим симболом.
- ЦреатеПроцесс: Ако апликација захтева надморску висину, ЦреатеПроцесс одбија позив са ЕРРОР_ЕЛЕВАТИОН_РЕКУИРЕД.
Ниво система
- Информација о апликацији: Информациони сервис о апликацијама помаже при покретању апликација које захтевају покретање једне или више привилегија или корисничких права стварањем новог процеса за апликацију са администраторским корисничким токеном за потпуни приступ када је потребно повишење.
- Подизање АцтивеКс инсталације - Подизање АцтивеКс инсталације: Ако АцтивеКс није инсталиран, систем проверава ниво УАЦ клизача. Ако је АцтивеКс инсталиран, изабрана је поставка смерница групе Усер Цонтрол Цонтрол (Контрола корисничког налога): Пребаците се на заштићену радну површину када тражите надморску висину.
- Проверите ниво клизача УАЦ - Проверите ниво УАЦ -а: УАЦ има четири нивоа обавештења за избор и клизач за избор нивоа обавештења: Висок, Средњи, Низак или Без обавештења.
Корисничко искуство УАЦ -аПоставке безбедносних смерница контроле корисничког налога
У оперативном систему Виндовс 10 можемо користити безбедносне политике за конфигурисање рада контроле корисничког налога у нашој компанији.
Они се могу конфигурисати локално помоћу додатка за локалну безбедносну политику (сецпол.мсц) или конфигурисати за домен, организациону јединицу или одређене групе помоћу смерница групе. Неке од доступних смерница су:
Контрола корисничког налога Режим одобрења администратора за уграђени администраторски налогОвим смерницама контролишемо понашање режима одобрења администратора за интегрисани администраторски налог, а опције су следеће:
- Омогућено: Када су ове смернице омогућене, уграђени администраторски налог користи режим одобрења администратора. Подразумевано, свака операција која захтева повећање привилегија тражиће од корисника да одобри операцију.
- Онемогућено: То је подразумевана опција и уз њу уграђени администраторски налог покреће све апликације са пуним административним привилегијама.
Контрола корисничког налога - Омогућава апликацији УИАццесс да захтева узвишење без употребе заштићене радне површинеЗахваљујући овој политици, биће могуће контролисати да ли програми приступачности корисничког интерфејса (УИАццесс или УИА) могу аутоматски онемогућити заштићену радну површину за поруке о висинама које користи стандардни корисник. Ваше опције су:
- Омогућено: Ова опција аутоматски онемогућава сигурну радну површину за упите надморске висине.
- Онемогућено: Заштитну радну површину може онемогућити само корисник интерактивне радне површине или онемогућавање поставке политике „Контрола корисничког налога: Пребаци на сигурну радну површину на захтев за надморску висину“.
Контрола корисничког налога - Понашање порука о висини за администраторе у режиму одобрења администратораУ овој политици ћемо контролисати понашање индикатора надморске висине за администраторе. Доступне опције су:
- Подигните без питања: Омогућава привилегованим налозима да изводе операцију која захтева подизање без потребе за пристанком корисника или акредитивима.
- Затражите акредитиве на безбедној радној површини: Када операција захтева повећање привилегија, од корисника се тражи да унесе привилеговано корисничко име и лозинку на сигурну радну површину.
- Захтев за пристанак на безбедној радној површини: Када операција захтева повећање привилегија, од корисника се тражи да изабере Дозволи или Одбиј радњу на заштићеној радној површини.
- Затражите акредитиве: Када операција захтева повећање привилегија, од корисника се тражи да унесе административно корисничко име и лозинку.
- Захтев за сагласност: Када операција захтева повећање привилегија, од корисника се тражи да изабере Дозволи или Одбиј.
- Захтев за сагласност за бинарне датотеке које нису у систему Виндовс (подразумевано): Када операција за апликацију која није Мицрософт захтева повећање привилегија, од корисника се тражи да на безбедној радној површини изабере Дозволи или Одбиј.
Контрола корисничког налога: Понашање индикатора надморске висине за стандардне корисникеЗахваљујући овој политици можемо контролисати понашање показивача надморске висине за стандардне кориснике. Опције су следеће:
- Захтевајте акредитиве (подразумевано): Када операција захтева повећање привилегија, од корисника се тражи да унесе административно корисничко име и лозинку.
- Аутоматски одбија захтеве за подизање: Када операција захтева повећање привилегија, приказује се порука о грешци приступа која се може конфигурисати.
- Затражите акредитиве на безбедној радној површини: Када операција захтева повећање привилегија, од корисника се тражи да унесе другачије корисничко име и лозинку на сигурну радну површину.
Контрола корисничког налога - откријте инсталирање апликације и затражите подизање висинеОвим смерницама моћи ћемо да контролишемо понашање откривања инсталације апликације за рачунар.
Ваше опције су:
- Омогућено (подразумевано): Када се открије инсталациони пакет апликације који захтева повећање привилегија, од корисника ће се тражити да унесе административно корисничко име и лозинку.
- Онемогућено: Онемогућени пакети за инсталирање апликација се не откривају и траже се узвишења. Предузећа која користе стандардне корисничке радне површине и користе делегиране инсталационе технологије, као што су смернице групе или Систем Центер Цонфигуратион Манагер, треба да онемогуће ову поставку смерница.
Контрола корисничког налога: учитавајте само извршне датотеке које су потписане и потврђене
Користећи ову политику, дефинишете потписивање чекова за потписивање инфраструктуре јавног кључа (ПКИ) за било коју интерактивну апликацију која захтева повећање привилегија.
ИТ администратори могу да контролишу које апликације могу да раде додавањем сертификата у складиште сертификата Трустед Публисхерс на локалним рачунарима. Ваше опције су:
- Омогућено: Промовише валидацију путање сертификације сертификата за дату извршну датотеку пре него што јој се дозволи покретање.
- Онемогућено: Не примењује проверу путање сертификације сертификата пре него што се дозволи покретање одређене извршне датотеке.
Контрола корисничког налога: подижите само апликације УИАццесс које су инсталиране на сигурним локацијамаОвим смерницама биће могуће контролисати да ли апликације које захтевају покретање са нивоом интегритета приступачности корисничког интерфејса (УИАццесс) морају да се налазе на сигурној локацији у систему датотека. Сигурне локације су ограничене на следеће руте:
\ Програм Филес \, \ Виндовс \ систем32 \, \ Програм Филес (к86) \.Ваше опције су:
- Омогућено: Ако се апликација налази на сигурној локацији у систему датотека, ради само са интегритетом УИАццесс.
- Онемогућено: Апликација ради са интегритетом УИАццесс чак и ако није на сигурном месту у систему датотека.
Контрола корисничког налога - Омогућите режим одобрења администратораПрименом ових смерница моћи ћемо да контролишемо понашање свих поставки смерница за контролу корисничког налога (УАЦ) за рачунар. Ако промените ову поставку смерница, морате поново покренути рачунар. Доступне опције су:
- Омогућено: Омогућава да уграђени администраторски налог и сви други корисници који су чланови групе администратора раде у режиму одобрења администратора.
- Онемогућено: Ако је ова поставка смерница онемогућена, Центар за безбедност ће вас обавестити да је укупна безбедност оперативног система смањена.
Контрола корисничког налога - пребаците се на сигурну радну површину када подигнете захтевОвим смерницама биће могуће контролисати да ли ће се порука о захтеву за подизање приказивати на интерактивној радној површини корисника или на заштићеној радној површини. Тамо можемо установити следеће:
- Омогућено: Сви захтеви за подизање иду на заштићену радну површину, без обзира на поставке смерница понашања обавештења за администраторе и стандардне кориснике.
- Онемогућено: Сви захтеви за подизање иду на интерактивну радну површину корисника. Користе се стандардне поставке политике понашања корисника и администратора.
- Све ове опције се налазе коришћењем комбинације тастера + Р и извршавањем наредбе сецпол.мсц
Конфигурација кључева регистратораКључеви регистратора УАЦ -а могу се пронаћи на следећој путањи уређивача регистра којој приступамо помоћу кључева и извршавањем регедит:
ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СОФТВЕР \ Мицрософт \ Виндовс \ ЦуррентВерсион \ Полициес \ СистемДоступни записи су:
ФилтерАдминистраторТокенопције су:
0 (подразумевано) = онемогућено 1 = омогућено
ЕнаблеУИАДесктопТогглеВаше опције су:
0 (подразумевано) = онемогућено 1 = омогућено
ЦонсентПромптБехавиорАдминВаше опције су:
0 = Подигните без упита 1 = Затражите акредитиве на сигурној радној површини 2 = Затражите сагласност на безбедној радној површини 3 = Затражите акредитиве 4 = Тражите сагласност 5 (подразумевано) = Захтевајте сагласност за бинарне датотеке које нису у систему Виндовс
ЦонсентПромптБехавиорУсерВаше могућности су:
0 = Аутоматски одбија захтеве за надморску висину 1 = Затражи акредитиве на сигурној радној површини 3 (подразумевано) = Захтевај акредитиве
ЕнаблеИнсталлерДетецтионВаше опције су:
1 = Омогућено (подразумевано за кућна издања) 0 = Онемогућено (подразумевано за издања за предузећа)
ВалидатеАдминЦодеСигнатуресВаше опције су:
0 (подразумевано) = онемогућено 1 = омогућено
ЕнаблеСецуреУИАПатхсВаше опције су:
0 = Онемогућено 1 (Подразумевано) = Омогућено
ЕнаблеЛУАВаше опције су:
0 = Онемогућено 1 (Подразумевано) = Омогућено
Као што смо разумели, УАЦ је развијен како би нам помогао да имамо бољу контролу над процесима који се извршавају у систему Виндовс 10, увек размишљајући о безбедности и приватности сваког корисника.