UAC ( User Account Control или контроль учетных записей ) важный компонент системы защиты Windows. При запуске любого приложения или процесса, который требует прав администратора, пытается изменить системные настройки, ветки реестра или файлы, компонент контроля учетных записей UAC переключает рабочий стол в защищенный режим и запрашивает подтверждение этих действий у администратора. Тем самым UAC позволяет предотвратить запуск процессов и вредоносных программ, которые потенциально могут нанести вред вашему компьютеру.
На скриншоте ниже показано, что при запуске редактора реестра ( regedit.exe
) в Windows 10 появляется окно подтверждения UAC:
Контроль учетных записей_x000D_Разрешить этому приложению вносить изменения на вашем устройстве?
User Account Control_x000D_Do you want to allow this app to make changes to your device?_x000D_
В этой статье мы рассмотрим, как управлять настройками UAC на отдельном компьютере, или на множестве компьютеров в домене с помощью групповых политик.
В Windows 7 (и выше) настройки UAC на компьютере управляются с помощью специального ползунка (вызывается через панель управления или файлом UserAccountControlSettings.exe
). С помощью ползунка вы можете выбрать один из четырех предопределенных уровней защиты UAC.
По умолчанию в Windows 10 выбран 3 уровень защиты UAC, который выводит уведомление только при попытке изменить системные файлы или параметры.
Вы можете отключить UAC с помощью групповой политики. На отдельном компьютере можно использовать редактор локальный групповой политики gpedit.msc
. Если нужно распространить политику на компьютеры в домене, нужно использовать консоль Group Policy Management Console — gpmc.msc
(рассмотрим этот вариант).
Elevate without prompting
; Disabled
; Disabled
; Disabled
. Также можно точечно отключать UAC только для некоторых пользователей/компьютеров через реестр, а настройки распространить через Group Policy Preferences .
Создайте новый параметр реестра в ветке GPO Computer Configuration -> Preferences -> Windows Settings -> Registry со следующими настройками:
Затем перейдите на вкладку Common и включите опции:
Нажмите на кнопку Targeting и укажите компьютеры, или доменные группы, на которые должна применяться политика отключения UAC.
Вы можете управлять настройками UAC через реестр. Параметры, отвечающие за поведение контроля учетных записей, находятся в ветке реестра HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem .
Когда вы меняете значение ползунка UAC в панели управления, Windows меняет значение параметров реестра из этой ветки следующим образом (ниже приведены готовые REG файлы для разных уровней ползунка User Account Control:
UAC уровень 4 (Always notify):
Windows Registry Editor Version 5.00_x000D_[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem]_x000D_"ConsentPromptBehaviorAdmin"=dword:00000002_x000D_"ConsentPromptBehaviorUser"=dword:00000003_x000D_"EnableInstallerDetection"=dword:00000001_x000D_"EnableLUA"=dword:00000001_x000D_"EnableVirtualization"=dword:00000001_x000D_"PromptOnSecureDesktop"=dword:00000001_x000D_"ValidateAdminCodeSignatures"=dword:00000000_x000D_"FilterAdministratorToken"=dword:00000000
UAC уровень 3 (Notify only when programs try to make changes to my computer):
"ConsentPromptBehaviorAdmin"=dword:00000005_x000D_"ConsentPromptBehaviorUser"=dword:00000003_x000D_"EnableInstallerDetection"=dword:00000001_x000D_"EnableLUA"=dword:00000001_x000D_"EnableVirtualization"=dword:00000001_x000D_"PromptOnSecureDesktop"=dword:00000001_x000D_"ValidateAdminCodeSignatures"=dword:00000000_x000D_"FilterAdministratorToken"=dword:00000000
UAC уровень 2:
"ConsentPromptBehaviorAdmin"=dword:00000005_x000D_"ConsentPromptBehaviorUser"=dword:00000003_x000D_"EnableInstallerDetection"=dword:00000001_x000D_"EnableLUA"=dword:00000001_x000D_"EnableVirtualization"=dword:00000001_x000D_"PromptOnSecureDesktop"=dword:00000000_x000D_"ValidateAdminCodeSignatures"=dword:00000000_x000D_"FilterAdministratorToken"=dword:00000000
UAC уровень 1 (Never notify — UAC отключен):
"ConsentPromptBehaviorAdmin"=dword:00000000_x000D_"ConsentPromptBehaviorUser"=dword:00000003_x000D_"EnableInstallerDetection"=dword:00000001_x000D_"EnableLUA"=dword:00000001_x000D_"EnableVirtualization"=dword:00000001_x000D_"PromptOnSecureDesktop"=dword:00000000_x000D_"ValidateAdminCodeSignatures"=dword:00000000_x000D_"FilterAdministratorToken"=dword:00000000
Вы можете изменить значение любого параметра из редактора реестра или из командной строки. Например, чтобы отключить UAC на компьютере (потребуется перезагрузка) можно выполнить команду:
reg.exe ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem /v EnableLUA /t REG_DWORD /d 0 /f.
Или аналогичная команда на PowerShell:
New-ItemProperty -Path HKLM:SoftwareMicrosoftWindowsCurrentVersionpoliciessystem -Name EnableLUA -PropertyType DWord -Value 0 -Force
User Account Control в Windows Server работает и управляется так же как в дектопных редакциях Windows.
Допустимо полностью отключать UAC в Windows Server 2016/209, если выполняются следующие условия.
При включенном UAC Windows Server запрещает удаленное подключение под локальными аккаунтами (через net use, winrm , Powershell Remoting ). Токен такого пользователя будет отфильтрован включенным параметром UAC LocalAccountTokenFilterPolicy
(об этом рассказано в предыдущей секции).
Вы можете управлять настройками UAC как с помощью ползунка, так и с помощью групповых политик. Но в редакторе групповых политик отсутствует единый параметр, позволяющий выбрать один из 4 уровней защиты (соответствующий положению ползунка UAC). Вместо этого предлагается регулировать настройки UAC 10 различными политиками. Как мы уже говорили выше, эти политики находятся в разделе:
Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options (Конфигурация компьютера –> Конфигурация Windows –> Параметры безопасности –> Локальные политики). Имена политик, относящихся к UAC, начинаются с User Account Control (Контроль учетных записей) .
В следующей таблице представлен список политик UAC, и соответствующие им параметры реестра.
Имя политики | Ключ реестра, настраиваемый политикой | |
User Account Control: Admin Approval Mode for the Built-in Administrator account | Контроль учетных записей: использование режима одобрения администратором для встроенной учетной записи администратора | FilterAdministratorToken |
User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop | Контроль учетных записей: разрешать UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол | EnableUIADesktopToggle |
User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode | Контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором | ConsentPromptBehaviorAdmin |
User Account Control: Behavior of the elevation prompt for standard users | Контроль учетных записей: поведение запроса на повышение прав для обычных пользователей | ConsentPromptBehaviorUser |
User Account Control: Detect application installations and prompt for elevation | Контроль учетных записей: обнаружение установки приложений и запрос на повышение прав | EnableInstallerDetection |
User Account Control: Only elevate executables that are signed and validated | Контроль учетных записей: повышение прав только для подписанных и проверенных исполняемых файлов | ValidateAdminCodeSignatures |
User Account Control: Only elevate UIAccess applications that are installed in secure locations | Контроль учетных записей: повышать права только для UIAccess-приложений, установленных в безопасном местоположении | EnableSecureUIAPaths |
User Account Control: Run all administrators in Admin Approval Mode | Контроль учетных записей: включение режима одобрения администратором | EnableLUA |
User Account Control: Switch to the secure desktop when prompting for elevation | Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав | PromptOnSecureDesktop |
User Account Control: Virtualize file and registry write failures to per-user locations | Контроль учетных записей: при сбоях записи в файл или реестр виртуализация в размещение пользователя | EnableVirtualization |
По умолчанию для стандартных настроек UAC (уровень 3) используются следующие настройки групповых политик:
UAC Уровень 3 (по умолчанию)
Disabled
Disabled
Prompt for consent for non-Windows binaries
Prompt for credentials on the secure desktop
Enabled
для рабочих групп, Disabled
для домена Disabled
Enabled
Enabled
Enabled
Enabled
Как менялся логотип Apple на протяжении многих лет. Логотип Apple — это не просто символ,…
Security Boot Fail при загрузке Acer — решение проблемы При загрузке ноутбука Acer с флешки,…
Ноутбук не включается — варианты решения Если при попытке включить ноутбук вы обнаруживаете, что он…
The AC power adapter wattage and type cannot be determined — причины и решение При…
Свистит или звенит блок питания компьютера — причины и решения Некоторые владельцы ПК могут обратить…
Мигает Caps Lock на ноутбуке HP — почему и что делать? При включении ноутбука HP…