Společnost Microsoft v systému Windows Vista zavedla nový mechanismus, který poskytuje další vrstvu ochrany systému před nepovolenými změnami Uac (Řízení uživatelského účtu nebo kontrola účtu). Ve Windows 7 (a vyšší), UAC dostal posuvník nastavení (volán přes ovládací panel nebo soubor UserAccountControlSettings.exe), se kterým si můžete vybrat jednu ze čtyř úrovní ochrany UAC.
Posuvníkem jsou definovány 4 předdefinované úrovně ochrany uživatelských účtů:
- Úroveň 4 - Vždy informujte - Vždy upozornit (maximální úroveň zabezpečení UAC)
- Úroveň 3 - Upozornit pouze kdy programy zkuste to do udělat změny do můj počítač (výchozí) - Upozornit pouze v případě, že se program pokusí provést změny v mém počítači (standardní úroveň ochrany)
- Úroveň 2 - Upozornit pouze kdy programy zkuste to do udělat změny do můj počítač (ano ne dim můj desktop) - stejné jako předchozí úroveň, ale bez přepnutí na zabezpečenou plochu pomocí zámku plochy
- Úroveň 1 - Nikdy neoznámit - Nikdy upozornit (UAC je zakázáno)
Ve výchozím nastavení systém Windows používá 3. úroveň Ochrana UAC.
Správa nastavení UAC je možná jak pomocí posuvníku, tak pomocí skupinových zásad. V Editoru zásad skupiny však neexistuje žádná jediná zásada, která by vám umožňovala zvolit jednu ze 4 úrovní ochrany (odpovídající poloze posuvníku UAC). Místo toho se navrhuje upravit nastavení UAC 10 pomocí různých zásad. Tyto zásady jsou uvedeny v sekci:
Konfigurace počítače -> Zásady -> Nastavení systému Windows -> Nastavení zabezpečení -> Místní zásady -> Možnosti zabezpečení (Konfigurace počítače -> Konfigurace Windows -> Nastavení zabezpečení -> Místní zásady). Názvy zásad souvisejících s UAC začínají Uživatel Účet Ovládání (Řízení uživatelských účtů).
Následující tabulka uvádí zásady UAC a jejich odpovídající klíče registru. Nastavení UAC jsou uložena ve větvi registru HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
| Název zásady | Klíč vlastního registru zásad | |
| Řízení uživatelských účtů: Režim schválení administrátora pro zabudovaný účet správce | Řízení uživatelských účtů: Pro vestavěný účet správce použijte režim schválení správce | FilterAdministratorToken |
| Řízení uživatelských účtů: Umožněte aplikacím UIAccess vyzvat ke zvýšení bez použití zabezpečené plochy | Uživatelské ovládání: umožňuje aplikacím UIAccess požadovat zvýšení bez použití zabezpečené plochy | EnableUIADesktopToggle |
| Řízení uživatelských účtů: Chování výzvy pro zvýšení úrovně pro správce v režimu schválení správce | Řízení uživatelů: chování žádosti o zvýšení pro správce v režimu schválení správce | ConsentPromptBehaviorAdmin |
| Řízení uživatelských účtů: Chování výzvy pro zvýšení úrovně pro standardní uživatele | Řízení uživatelů: chování požadavku na výšku pro běžné uživatele | ConsentPromptBehaviorUser |
| Řízení uživatelských účtů: Zjistí instalace aplikací a zobrazí výzvu ke zvýšení | Řízení uživatelských účtů: Detekce instalace aplikace a požadavek na zvýšení | EnableInstallerDetection |
| Řízení uživatelských účtů: Pouze zvyšujte spustitelné soubory, které jsou podepsány a ověřeny | Řízení uživatelských účtů: zvýšení práv pouze pro podepsané a ověřené spustitelné soubory | ValidateAdminCodeSignatures |
| Řízení uživatelských účtů: Zvýšete pouze aplikace UIAccess, které jsou nainstalovány na zabezpečených místech | Řízení uživatelských účtů: Zvýšení oprávnění pouze pro aplikace UIAccess nainstalované na bezpečném místě | EnableSecureUIAPaths |
| Řízení uživatelských účtů: Spusťte všechny správce v režimu schválení správce | Řízení uživatelských účtů: Povolení schválení správce | EnableLUA |
| Řízení uživatelských účtů: Při zobrazení výzvy k přepnutí na zabezpečenou plochu | Řízení uživatelských účtů: Přepnutí na zabezpečenou plochu při provádění žádosti o zvýšení | PromptOnSecureDesktop |
| Řízení uživatelských účtů: Virtualizujte selhání zápisu souborů a registrů do umístění na uživatele | Řízení uživatelských účtů: při zápisu do souboru nebo registru selže virtualizace na místo uživatele | EnableVirtualization |
V případě, že chcete nastavit parametry UAC pomocí GPO, můžete použít korelaci mezi nastavením a čtyřmi úrovněmi UAC popsanými níže:
Uac Úroveň 1
Režim schválení správce pro zabudovaný účet správce = Zakázáno
Povolit aplikacím UIAccess vyzvat ke zvýšení bez použití zabezpečené plochy = Zakázáno
Chování výzvy pro zvýšení úrovně pro správce v režimu schválení správce = Zvýšit bez výzvy
Chování výzvy pro zvýšení úrovně pro standardní uživatele = Výzva k zadání pověření
Zjistit instalace aplikací a výzvu pro zvýšení = Povoleno
Pouze povýšit spustitelné soubory, které jsou podepsány a ověřeny = Zakázáno
Zvýšit pouze aplikace UIAccess, které jsou nainstalovány na zabezpečených místech = povoleno
Spusťte všechny administrátory v Admin Approval Mode = Disabled
Při zobrazení výzvy k přepnutí na zabezpečenou plochu = Vypnuto
Virtualizace selhání zápisu souborů a registrů do umístění jednotlivých uživatelů = Povoleno
Povolit aplikacím UIAccess vyzvat ke zvýšení bez použití zabezpečené plochy = Zakázáno
Chování výzvy pro zvýšení úrovně pro správce v režimu schválení správce = Výzva ke schválení pro binární soubory mimo Windows
Chování výzvy pro zvýšení úrovně pro standardní uživatele = Výzva k zadání pověření
Zjistit instalace aplikací a výzvu pro zvýšení = Povoleno
Pouze povýšit spustitelné soubory, které jsou podepsány a ověřeny = Zakázáno
Zvýšit pouze aplikace UIAccess, které jsou nainstalovány na zabezpečených místech = povoleno
Spusťte všechny administrátory v Admin Approval Mode = Enabled
Při zobrazení výzvy k přepnutí na zabezpečenou plochu = Vypnuto
Virtualizace selhání zápisu souborů a registrů do umístění jednotlivých uživatelů = PovolenoUac Úroveň 3 (od výchozí) V závorkách jsou uvedeny standardní hodnoty klíče registru, které odpovídají zásadám. Režim schválení správce pro zabudovaný účet správce = Zakázáno (hodnota klíče registru FilterAdministratorToken je 0)
Povolit aplikacím UIAccess vyzvat ke zvýšení bez použití zabezpečené plochy = Zakázáno (hodnota klíče registru EnableUIADesktopToggle je 0)
Chování výzvy pro zvýšení úrovně pro správce v režimu schválení správce = Výzva ke schválení pro binární soubory mimo Windows (hodnota klíče registru v ConsentPromptBehaviorAdmin je 5)
Chování výzvy pro zvýšení úrovně pro standardní uživatele = Výzva k zadání pověření (hodnota klíče registru ConsentPromptBehaviorUser- 3)
Zjistit instalace aplikací a výzvu pro elevation = Enabled (hodnota klíče registru EnableInstallerDetection-0 pro počítače v doméně, 1 - pro pracovní skupiny)
Pouze povýšit spustitelné soubory, které jsou podepsány a ověřeny = Zakázáno (hodnota klíče registru ValidateAdminCodeSignatures- 0)
Pouze zvyšovat aplikace UIAccess, které jsou nainstalovány v zabezpečených umístěních = povoleno (hodnota klíče registru EnableSecureUIAPaths- 1)
Spusťte všechny administrátory v Admin Approval Mode = Enabled (EnableLUA-1 key key value)
Přepnout na zabezpečenou plochu při zobrazení výzvy pro elevation = Enabled (hodnota klíče registru PromptOnSecureDesktop-1)
Virtualizace selhání zápisu souborů a registrů do umístění jednotlivých uživatelů = Povoleno (hodnota klíče registru EnableVirtualization- 1)Uac Úroveň 4Režim schválení správce pro zabudovaný účet správce = Zakázáno
Povolit aplikacím UIAccess vyzvat ke zvýšení bez použití zabezpečené plochy = Zakázáno
Chování výzvy pro zvýšení úrovně pro správce v režimu schválení správce = Výzva ke schválení na zabezpečené ploše
Chování výzvy pro zvýšení úrovně pro standardní uživatele = Výzva k zadání pověření
Zjistit instalace aplikací a výzvu pro zvýšení = Povoleno
Pouze povýšit spustitelné soubory, které jsou podepsány a ověřeny = Zakázáno
Zvýšit pouze aplikace UIAccess, které jsou nainstalovány na zabezpečených místech = povoleno
Spusťte všechny administrátory v Admin Approval Mode = Enabled
Při zobrazení výzvy k přepnutí na zabezpečenou plochu přepněte na = Povoleno
Virtualizace selhání zápisu souborů a registrů do umístění jednotlivých uživatelů = Povoleno
Pokud chcete povolit dalším uživatelům, aby sami upravili nastavení UAC, lze standardní nastavení v počítačích domény nastavit instalací klíčů registru pomocí GPP s jediným použitím (Použít jednou a znovu nepoužívat).
