Spoločnosť Microsoft v systéme Windows Vista zaviedla nový mechanizmus, ktorý poskytuje ďalšiu vrstvu systémovej ochrany proti nepovoleným zmenám UAC (Kontrola používateľského účtu alebo kontrola účtu). V systéme Windows 7 (a vyššie) dostal UAC jazdca nastavení (vyvolaný prostredníctvom ovládacieho panela alebo súboru UserAccountControlSettings.exe), pomocou ktorej si môžete vybrať jednu zo štyroch úrovní ochrany UAC.
Posuvník definuje 4 preddefinované úrovne ochrany riadenia používateľských účtov:
- Úroveň 4 - Vždy upozorniť - Vždy upozorniť (maximálna úroveň zabezpečenia UAC)
- Úroveň 3 - oznámiť iba keď relácie vyskúšať na make zmeny na môj počítač (default) - Upozorniť iba v prípade, že sa program pokúša vykonať zmeny v mojom počítači (štandardná úroveň ochrany)
- Úroveň 2 - oznámiť iba keď relácie vyskúšať na make zmeny na môj počítač (robiť nie stlmiť môj desktop) - rovnaké ako predchádzajúca úroveň, ale bez prepnutia na zabezpečenú pracovnú plochu so zámkom pracovnej plochy
- Úroveň 1 - Nikdy neoznámiť - Nikdy upozorniť (UAC je zakázané)
Systém Windows predvolene používa 3. úroveň Ochrana UAC.
Spravovanie nastavení UAC je možné pomocou posúvača aj pomocou skupinových politík. V Editore skupinovej politiky však neexistuje žiadna jediná politika, ktorá vám umožní zvoliť jednu zo 4 úrovní ochrany (zodpovedajúcich pozícii posúvača UAC). Namiesto toho sa navrhuje upraviť nastavenia UAC 10 pomocou rôznych politík. Tieto pravidlá sa nachádzajú v časti:
Konfigurácia počítača -> Politiky -> Nastavenia systému Windows -> Nastavenia zabezpečenia -> Miestne politiky -> Možnosti zabezpečenia (Konfigurácia počítača -> Konfigurácia systému Windows -> Nastavenia zabezpečenia -> Miestne politiky). Názvy politík týkajúcich sa UAC začínajú užívateľ účet Kontrola (Kontrola používateľského účtu).
V nasledujúcej tabuľke sú uvedené politiky UAC a ich príslušné kľúče registra. Nastavenia UAC sú uložené vo vetve registra HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
| Názov politiky | Kľúč vlastného registra databázy | |
| Kontrola používateľských účtov: Režim schválenia správcu pre zabudovaný účet správcu | Kontrola používateľského účtu: Pre vstavaný účet správcu použite režim schválenia správcu | FilterAdministratorToken |
| Kontrola používateľských účtov: Umožnite aplikáciám UIAccess vyzvať na zvýšenie bez použitia zabezpečenej pracovnej plochy | Užívateľské ovládanie: umožňuje aplikáciám UIAccess požadovať zvýšenie bez použitia zabezpečenej pracovnej plochy | EnableUIADesktopToggle |
| Kontrola používateľských účtov: Správanie výzvy na zvýšenie výšky pre správcov v režime schválenia správcu | Kontrola používateľov: Správanie žiadostí o nadmorskú výšku pre správcov v režime schválenia správcom | ConsentPromptBehaviorAdmin |
| Kontrola používateľských účtov: Správanie výzvy na zvýšenie výšky pre štandardných používateľov | Kontrola používateľov: Správanie požiadaviek na výšku pre bežných používateľov | ConsentPromptBehaviorUser |
| Kontrola používateľských účtov: Zistite inštalácie aplikácií a požiadajte o zvýšenie | Kontrola používateľských účtov: Detekcia inštalácie aplikácie a požiadavka na zvýšenie | EnableInstallerDetection |
| Kontrola používateľských účtov: Zvýšte iba spustiteľné súbory, ktoré sú podpísané a overené | Kontrola používateľských účtov: zvýšenie práv iba na podpísané a overené spustiteľné súbory | ValidateAdminCodeSignatures |
| Kontrola používateľských účtov: Zdvíhajte iba aplikácie UIAccess, ktoré sú nainštalované na bezpečných miestach | Kontrola používateľských účtov: Zvýšte oprávnenia iba pre aplikácie UIAccess nainštalované na bezpečnom mieste | EnableSecureUIAPaths |
| Kontrola používateľských účtov: Spustite všetkých správcov v režime schválenia správcu | Kontrola používateľského účtu: Povolenie schválenia správcom | EnableLUA |
| Kontrola používateľských účtov: Pri výzve na zvýšenie výšky prepnite na zabezpečenú plochu | Kontrola používateľských účtov: Prepnutie na zabezpečenú pracovnú plochu pri vykonávaní požiadavky na výšku | PromptOnSecureDesktop |
| Kontrola používateľských účtov: Virtualizujte zlyhania zápisu súborov a registrov do umiestnení podľa jednotlivých používateľov | Kontrola používateľských účtov: keď zlyhá zápis do súboru alebo registra, virtualizácia na miesto používateľa | EnableVirtualization |
V prípade, že chcete nastaviť parametre UAC prostredníctvom GPO, môžete použiť korešpondenciu medzi nastaveniami a štyrmi úrovňami UAC opísanými nižšie:
UAC Úroveň 1
Režim schválenia správcu pre zabudovaný účet správcu = zakázané
Povoliť aplikáciám UIAccess vyzvať na zvýšenie bez použitia zabezpečenej pracovnej plochy = Zakázané
Správanie výzvy na zvýšenie výšky pre správcov v režime schválenia správcu = zdvih bez výzvy
Správanie výzvy na zvýšenie výšky pre štandardných používateľov = Výzva na zadanie poverení
Zistiť inštalácie aplikácií a výzvu na zvýšenie = Povolené
Iba povýšiteľné spustiteľné súbory, ktoré sú podpísané a overené = Zakázané
Zvýšiť iba aplikácie UIAccess, ktoré sú nainštalované na bezpečných miestach = povolené
Spustite všetkých správcov v režime schválenia správcu = zakázané
Pri zobrazení výzvy na prepnutie na zabezpečenú pracovnú plochu = Vypnuté
Virtualizovať zlyhania zapisovania do súborov a registrov na miesta jednotlivých používateľov = povolené
Povoliť aplikáciám UIAccess vyzvať na zvýšenie bez použitia zabezpečenej pracovnej plochy = Zakázané
Správanie výzvy na nadmorskú výšku pre správcov v režime schválenia správcu = Výzva na udelenie súhlasu pre binárne súbory mimo systému Windows
Správanie výzvy na zvýšenie výšky pre štandardných používateľov = Výzva na zadanie poverení
Zistiť inštalácie aplikácií a výzvu na zvýšenie = Povolené
Iba povýšiteľné spustiteľné súbory, ktoré sú podpísané a overené = Zakázané
Zvýšiť iba aplikácie UIAccess, ktoré sú nainštalované na bezpečných miestach = povolené
Spustite všetkých správcov v režime schválenia správcu = povolené
Pri zobrazení výzvy na prepnutie na zabezpečenú pracovnú plochu = Vypnuté
Virtualizovať zlyhania zapisovania do súborov a registrov na miesta jednotlivých používateľov = povolenéUAC hladina 3 (na štandardné) V zátvorkách sú štandardné hodnoty kľúčov registra, ktoré zodpovedajú politikám. Režim schválenia administrátora pre vstavaný účet správcu = vypnutý (hodnota kľúča filtra FilterAdministratorToken je 0)
Povoliť aplikáciám UIAccess vyzvať na zvýšenie bez použitia zabezpečenej pracovnej plochy = Zakázané (hodnota kľúča databázy EnableUIADesktopToggle je 0)
Správanie výzvy na zvýšenie výšky pre správcov v režime schválenia správcu = Výzva na udelenie súhlasu pre binárne súbory mimo systému Windows (hodnota kľúča databázy Registry ConsentPromptBehaviorAdmin je 5)
Správanie výzvy na zvýšenie výšky pre štandardných používateľov = Výzva na zadanie poverení (hodnota kľúča databázy Registry ConsentPromptBehaviorUser- 3)
Zistiť inštalácie aplikácií a výzvu na zvýšenie = Povolené (hodnota kľúča databázy Registry EnableInstallerDetection-0 pre počítače v doméne, 1 - pre pracovné skupiny)
Iba zvýšené spustiteľné súbory, ktoré sú podpísané a overené = Zakázané (hodnota kľúča databázy Registry ValidateAdminCodeSignatures- 0)
Zvýšiť iba aplikácie UIAccess, ktoré sú nainštalované na bezpečných miestach = povolené, (hodnota kľúča databázy EnableSecureUIAPaths- 1)
Spustite všetkých správcov v režime schválenia správcu = povolené (EnableLUA-1 hodnota kľúča databázy Registry)
Keď sa zobrazí výzva na zvýšenie = prepnutá, prepnite na zabezpečenú plochu (hodnota kľúča databázy PromptOnSecureDesktop-1)
Virtualizovať zlyhania zápisu súborov a registrov do umiestnení podľa jednotlivých používateľov = povolené (hodnota kľúča databázy Registry EnableVirtualization- 1)UAC hladina 4Režim schválenia správcu pre zabudovaný účet správcu = zakázané
Povoliť aplikáciám UIAccess vyzvať na zvýšenie bez použitia zabezpečenej pracovnej plochy = Zakázané
Správanie výzvy na zvýšenie výšky pre správcov v režime schválenia správcu = Výzva na súhlas na zabezpečenej pracovnej ploche
Správanie výzvy na zvýšenie výšky pre štandardných používateľov = Výzva na zadanie poverení
Zistiť inštalácie aplikácií a výzvu na zvýšenie = Povolené
Iba povýšiteľné spustiteľné súbory, ktoré sú podpísané a overené = Zakázané
Zvýšiť iba aplikácie UIAccess, ktoré sú nainštalované na bezpečných miestach = povolené
Spustite všetkých správcov v režime schválenia správcu = povolené
Keď sa zobrazí výzva na zvýšenie, prepnite na zabezpečenú pracovnú plochu = Povolené
Virtualizovať zlyhania zapisovania do súborov a registrov na miesta jednotlivých používateľov = povolené
Ak chcete povoliť ďalším používateľom, aby sami upravovali nastavenia UAC, štandardné nastavenia v doménových počítačoch je možné nastaviť inštaláciou kľúčov registra prostredníctvom GPP s jednorazovým použitím (Použiť raz a znovu neaplikovať).
