Какой бит может влиять на повышение привилегий
Обновлено: 28.06.2024
Описывает передовую практику, расположение, значения, управление политикой и соображения безопасности для управления учетной записью пользователя: поведение запроса высоты для стандартных параметров политики безопасности пользователей.
Справочники
Этот параметр политики определяет поведение запроса на повышение для стандартных пользователей.
Возможные значения
Автоматически отключать запросы на повышение
Запрос на учетные данные на безопасном рабочем столе
Это по умолчанию. Если для операции требуется повышение привилегий, пользователю на безопасном рабочем столе будет предложено ввести другое имя пользователя и пароль. Если пользователь вводит допустимые учетные данные, операция продолжается с применимой привилегией.
Запрос на учетные данные
Операция, которая требует повышения привилегий, побуждает пользователя вводить административное имя пользователя и пароль. Если пользователь вводит допустимые учетные данные, операция продолжается с применимой привилегией.
Рекомендации
- Настройка управления учетной записью пользователя: поведение запроса высоты для стандартных пользователей автоматически отказывать в запросах на высоту. Этот параметр требует от пользователя входа с административной учетной записью для запуска программ, которые требуют повышения привилегий.
- В качестве наилучшей практики безопасности стандартные пользователи не должны иметь знаний об административных паролях. Однако если у пользователей есть стандартные учетные **** записи и учетные записи на уровне администратора, установите Запрос для учетных данных на безопасном рабочем столе, чтобы пользователи не всегда включались в учетные записи администратора, и они перекладывли свое поведение на использование стандартной учетной записи пользователя.
Местонахождение
Конфигурация компьютера\Windows Параметры\Security Параметры\Local Policies\Security Options
Значения по умолчанию
В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
| Default Domain Policy | Не определено |
| Политика контроллера домена по умолчанию | Не определено |
| Параметры по умолчанию для автономного сервера | Запрос на учетные данные на безопасном рабочем столе |
| Dc Effective Default Параметры | Запрос на учетные данные на безопасном рабочем столе |
| Действующие параметры по умолчанию для рядового сервера | Запрос на учетные данные на безопасном рабочем столе |
| Действующие параметры по умолчанию для клиентского компьютера | Запрос на учетные данные на безопасном рабочем столе |
Управление политикой
В этом разделе описываются функции и средства, доступные для управления этой политикой.
Необходимость перезапуска
Нет. Изменения в этой политике становятся эффективными без перезапуска компьютера при локальном сбережении или распространении через групповую политику.
Групповая политика
Все возможности аудита интегрированы в групповую политику. Вы можете настроить, развернуть и управлять этими настройками в консоли управления групповой политикой (GPMC) или локальной политике безопасности для домена, сайта или организационного подразделения (OU).
Вопросы безопасности
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.
Уязвимость
Один из рисков, которые пытается смягчить функция UAC, — это вредоносные программы, работающие под повышенными учетными данными, без того, чтобы пользователь или администратор не знали об их активности. Этот параметр повышает осведомленность пользователя о том, что программа требует использования операций с повышенными привилегиями, а для запуска программы пользователю необходимо предоставить административные учетные данные.
Противодействие
Настройка управления учетной записью пользователя: поведение запроса высоты для стандартных пользователей автоматически отказывать в запросах на высоту. Этот параметр требует от пользователя входа с административной учетной записью для запуска программ, которые требуют повышения привилегий. В качестве наилучшей практики безопасности стандартные пользователи не должны иметь знаний об административных паролях. Однако если у пользователей есть как стандартные учетные **** записи, так и учетные записи на уровне администратора, рекомендуется установить запрос на учетные данные, чтобы пользователи не всегда включались в учетные записи администратора, и они перекладывли свое поведение на использование стандартной учетной записи пользователя.
Возможное влияние
Пользователи должны предоставить административные пароли для запуска программ с повышенными привилегиями. Это может привести к увеличению нагрузки на ИТ-персонал при выявлении затронутых программ и изменения стандартных операционных процедур для поддержки операций с наименьшими привилегиями.
Читайте также: