обнаруживать попытки установки приложений и запросы повышения привилегий

Обнаруживать попытки установки приложений и запросы повышения привилегий

Сообщения: 12426
Благодарности: 2328

» width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″>

Сообщения: 16711
Благодарности: 3214

fpm_start("true");

Сообщения: 16711
Благодарности: 3214

Возможные значения.

• Включено (по умолчанию для дома). Когда установочный пакет приложения обнаруживает необходимость повышения прав, пользователю предлагается ввести имя пользователя и пароль учетной записи администратора. Если пользователь вводит правильные учетные данные, операция продолжается с соответствующими правами.

• Отключено (по умолчанию для организации). Установочный пакет приложения не обнаруживает необходимость повышения прав и не выдает запрос пользователю. В организациях, использующих стандартные пользовательские настольные компьютеры и технологии делегированной установки, такие как GPSI (Group Policy Software Install) или SMS, этот параметр политики следует отключить. В этом случае обнаружение установщика является ненужным.

Источник

Обнаруживать попытки установки приложений и запросы повышения привилегий

Сообщения: 12426
Благодарности: 2328

» width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″>

Сообщения: 16711
Благодарности: 3214

» width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″>

Сообщения: 16711
Благодарности: 3214

Возможные значения.

• Включено (по умолчанию для дома). Когда установочный пакет приложения обнаруживает необходимость повышения прав, пользователю предлагается ввести имя пользователя и пароль учетной записи администратора. Если пользователь вводит правильные учетные данные, операция продолжается с соответствующими правами.

• Отключено (по умолчанию для организации). Установочный пакет приложения не обнаруживает необходимость повышения прав и не выдает запрос пользователю. В организациях, использующих стандартные пользовательские настольные компьютеры и технологии делегированной установки, такие как GPSI (Group Policy Software Install) или SMS, этот параметр политики следует отключить. В этом случае обнаружение установщика является ненужным.

Источник

Контроль учетных записей пользователей: обнаружение установки приложений и запрос на повышение прав

Относится к:

Описывает передовую практику, расположение, значения, управление политикой и соображения безопасности для управления учетной записью пользователя: обнаружение установок приложений и запрос на параметры политики безопасности высоты.

Справочники

Этот параметр политики определяет поведение обнаружения установки приложений для всей системы. Некоторые программы могут пытаться установить себя после получения разрешения на запуск. Пользователь может разрешить запуск программы, так как ей доверяют. Затем пользователю предложено установить неизвестный компонент. Эта политика безопасности предоставляет еще один способ идентификации и остановки этих попыток установки программного обеспечения, прежде чем они смогут нанести ущерб.

Возможные значения

Включено

Обнаруживаются пакеты установки приложений, которые требуют повышения привилегий для установки, и пользователю предложены административные учетные данные.

Отключено

Пакеты установки приложений, для установки в которые требуется повышение привилегий, не обнаруживаются, и пользователю не требуются административные учетные данные.

Рекомендации

Местонахождение

Конфигурация компьютера\Windows Параметры\Security Параметры\Local Policies\Security Options

Значения по умолчанию

В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.

Тип сервера или объект групповой политики	Значение по умолчанию
Default Domain Policy	Не определено
Политика контроллера домена по умолчанию	Не определено
Параметры по умолчанию для автономного сервера	Включено
Dc Effective Default Параметры	Включено
Действующие параметры по умолчанию для рядового сервера	Включено
Действующие параметры по умолчанию для клиентского компьютера	Включено

Управление политикой

В этом разделе описываются функции и средства, доступные для управления этой политикой.

Необходимость перезапуска

Нет. Изменения в этой политике становятся эффективными без перезапуска устройства при локальном сбережении или распространении через групповую политику.

Вопросы безопасности

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.

Уязвимость

Некоторые вредоносные программы могут попытаться установить себя после получения разрешения на запуск, например, вредоносного программного обеспечения с доверенным оболочкой приложения. Пользователь может разрешить запуск программы, так как ей доверяют. Затем пользователю предложено установить неизвестный компонент. Эта политика предоставляет еще один способ ловушки программного обеспечения, прежде чем он может нанести ущерб.

Противодействие

Включить управление учетной записью пользователя: обнаружение установок приложений и запрос на параметр высоты.

Возможное влияние

Пользователи должны предоставить административные пароли для установки программ.

Источник

Основы повышения привилегий в Windows

Решил для себя и для тех, кому будет полезно, собрать все что знаю, но не помню по теме, в этой статье. Делитесь советами. Основным источником этой статьи является эта.

Я вольно перевел и добавил немного от себя, того, что насобирал и узнал из других источников.

В общем, тут представлены способы, которые помогут нам достигнуть цели повышения привилегий.

Отправной точкой для этой небольшой статьи является непривилегированная оболочка (учетная запись). Возможно, мы использовали эксплойт или провели атаку и получили эту оболочку.

В принципе, в начальный момент времени мы не понимаем машину: что она делает, к чему она подключена, какой уровень привилегий у нас есть или даже какая это операционная система.

Сначала нам нужно получить нужную нам информацию, чтобы понять, где мы вообще находимся и что имеем:

Эта команда позволяет определить, как из нее видно, Название и версию ОС. Можно выполнить ее и без параметров, тогда вывод команды будет более полным, но нам достаточно и этого.

Далее важно узнать имя машины и имя пользователя, под которым мы подключились.

Сначала глянем на имеющиеся интерфейсы и таблицу маршрутизации.

где
/query — Вывод данных о всех запланированных задачах,
/fo LIST — Вывод в список.
/v — Вывод подробных сведений о задании.

Следующая команда связывает запущенные процессы с запущенными службами.

где,
/SVC — Отображение служб для каждого процесса.

Также посмотрим список запущенных служб Windows.

Полезно также посмотреть информацию о драйверах скомпрометированной системы.

Далее хочется упомянуть о, наверное, самой полезной команде Windows — wmic. Команда WMIC (Windows Management Instrumentation Command) используется для получения сведений об оборудовании и системе, управления процессами и их компонентами, а также изменения настроек с использованием возможностей инструментария управления Windows (Windows Management Instrumentation или WMI). Хорошее описание.

К сожалению, некоторые конфигурации Windows по умолчанию не разрешают доступ к WMIC, если пользователь не входит в группу Администраторов (что действительно хорошая идея). Любая версия XP не позволяла доступ к WMIC с непривилегированной учетной записи.

Напротив, Windows 7 Professional и Windows 8 Enterprise по умолчанию позволяли пользователям с низкими привилегиями использовать WMIC.

По обычаю — параметры программы:

Прежде чем идти дальше стоит пробежаться по собранной информации. Также стоит обратить внимание на установленные в системе патчи, так как любая информация о дырах в системе даст нам дополнительную опору для повышения своих привилегий. По номеру HotFix можно поискать уязвимости по повышению привилегий.

Далее мы рассмотрим автоматическую установку. Если существует необходимость установки и настройки большого парка машин, то как правило, технический персонал не будет перемещаться от машины к машине для настройки персонального каждой. Существует несколько решений для автоматической установки. Для нас не так важно, что это за методы и как они работают, а важно то, что они оставляют конфигурационные файлы, которые используются для процесса установки, содержащие много конфиденциальной информации, такой как ключ продукта операционной системы и пароль администратора. Что нас больше всего интересует, так это пароль администратора, который мы можем использовать для повышения наших привилегий.

Как правило, это следующие каталоги:

Данные файлы содержат пароли в открытом виде или кодировке BASE64.
Примеры:

Sysprep.inf — пароль в открытом виде.

«

Sysprep.xml — пароль в кодировке base64.

«

Unattended.xml — пароль в кодировке base64.

Также для хостов, подключенных к домену можно поискать файл Group.xml, который содержит зашифрованный AES256 пароль, но который можно расшифровать, т.к. ключ выложен на msdn (https://msdn.microsoft.com/en-us/library/cc422924.aspx) и других источниках. Но это в случае, если используется политика создания локальных пользователей на хостах или, например, задании пароля локальному Администратору.

Например, у меня лежит тут:

Открыв его, ищем параметр “cpassword”.

Далее нужно расшифровать данную последовательность. Используем, например, CrypTool. Сначала раскодируем Base64.
Особенности Base64 в том, что его длина должна быть кратна 4. Поэтому считаем блоки по 4, и если в последнем блоке не хватает символов, то недостающие дописываем символами «=».
У меня вышло 2 «=».

Далее расшифруем. Применяя тот ключ, что выше.

Убираем лишние точки, разделяющие знаки и получаем пароль.

В дополнение к Group.xml вот несколько других файлов предпочтений политики, которые могут иметь дополнительный набор атрибутов «cPassword”:

Для того, чтобы иметь возможность использовать это, мы должны проверить, что оба раздела реестра установлены, и если это так, мы можем получить SYSTEM shell. Проверим:

В состав Metasploit входит специальный модуль exploit/windows/local/always_install_elevated, который создает MSI-файл со встроенным в него специальным исполняемым файлом, который извлекается и выполняется установщиком с привилегиями системы. После его выполнения msi-файл прекращает установку, чтобы предотвратить регистрацию действия в системе. К тому же если запустить установку с ключом /quiet, то даже не выведется ошибка.

Ну и немного полезных команд по поиску по системе:

Команда ниже будет искать в файловой системе имена файлов, содержащие определенные ключевые слова. Вы можете указать любое количество ключевых слов.

Поиск определенных типов файлов по ключевому слову, эта команда может генерировать много выходных данных.

Аналогично две команды ниже могут быть использованы для grep реестра по ключевым словам, в данном случае „password“.

На данный момент у нас уже есть достаточно, чтобы получить системный шел. Но есть еще пара направленbй атаки для получения желаемого результата: мы рассмотрим службы Windows и разрешения для файлов и папок. Наша цель здесь — использовать слабые разрешения для повышения привилегий сеанса.

Мы будем проверять много прав доступа, в этом нам поможет accesschk.exe, который является инструментом от Microsoft Sysinternals Suite. Microsoft Sysinternals содержит много отличных инструментов. Пакет можно загрузить с сайта Microsoft technet (https://docs.microsoft.com/ru-ru/sysinternals/downloads/sysinternals-suite).

Мы можем проверить необходимый уровень привилегий для каждой службы с помощью accesschk.

Мы можем видеть разрешения, которые имеет каждый уровень пользователя.

Accesschk может автоматически проверять, есть ли у нас доступ на запись к службе Windows с определенным уровнем пользователя. Как правило, как пользователь с низкими привилегиями, мы хотим проверить „Пользователей“. Удостоверьтесь, что проверили, к каким группам пользователей вы принадлежите.

-c В качестве имени указана служба Windows, например ssdpsrv (укажите “*” для вывода на экран всех служб)
-d Обрабатывать только каталоги
-e Выводить только явным образом заданные уровни целостности (только для ОС Windows Vista)
-k В качестве имени указан раздел реестра, например hklm\software
-n Выводить только объекты, не имеющие правил доступа
-p В качестве имени указано имя или идентификатор процесса (PID), например cmd.exe (укажите в качестве имени “*”, чтобы вывести на экран все процессы)
-q Опустить заголовок
-r Выводить только объекты, к которым есть право доступа на чтение
-s Рекурсивная обработка
-v Выводить подробную информацию
-w Выводить только объекты, к которым есть право доступа на запись

Также есть еще одна интересная команда:

Позволяет найти запись в реестре о файле, который запускался автоматически, но сейчас уже отсутствует в системе. Запись могла остаться, если например, сервис был неправильно удален. При каждом запуске система безуспешно пытается запустить этот файл. Этой ситуацией также можно воспользоваться для расширения своих полномочий. Просто на место этого файла можно подставить наш.

Далее рассмотрим две уязвимости:

Первая: реплицируем результаты поста, написанного Parvez из GreyHatHacker; „Elevating privileges by exploiting weak folder permissions“ (http://www.greyhathacker.net/?p=738).

Этот пример является частным случаем угона dll. Программы обычно не могут функционировать сами по себе, у них есть много ресурсов, которые им нужно подключить (в основном dll, но и собственные файлы). Если программа или служба загружает файл из каталога, к которому у нас есть доступ на запись, мы можем злоупотребить этим, чтобы запустить оболочку с привилегиями, под которыми работает программа.

Как правило, приложение Windows будет использовать предопределенные пути поиска, чтобы найти dll, и он будет проверять эти пути в определенном порядке. Dll угон обычно происходит путем размещения вредоносных dll по одному из этих путей. Эта проблема может быть устранена путем указания приложению абсолютных путей к необходимой dll.

Порядок поиска dll:

Так как dll не существует, мы в конечном итоге прохождения всех путей поиска. Как пользователь с низким уровнем привилегий у нас немного шансов положить вредоносный dll в п. 1-4, 5. Но если у нас есть доступ на запись в любой из каталогов, то наши шансы на победу велики.

Давайте посмотрим, как это работает на практике, для нашего примера мы будем использовать IKEEXT (модули ключей IPSec IKE и AuthIP) сервис, который пытается загрузить wlbsctrl.dll.

Любой каталог в „C:\“ даст доступ на запись для аутентифицированных пользователей, это дает нам шанс.

F — полный доступ.
(OI) — наследование объектами.
(CI) — наследование контейнерами.
(IO) — только наследование.
(NP) — запрет на распространение наследования.
(I)- наследование разрешений от родительского контейнера.

Прежде чем перейти к действию, необходимо проверить состояние службы IKEEXT. В этом случае мы можем увидеть, что он установлен на „AUTO_START“!

Теперь мы знаем, что у нас есть необходимые условия, и мы можем создать вредоносную dll и перехвата оболочки!

После передачи evil.dll на наш целевой компьютер все, что нам нужно сделать, это переименовать его в wlbsctrl.dll и переместить в „C:\Python27“. Как только это будет сделано, нам нужно терпеливо ждать перезагрузки машины (или мы можем попытаться принудительно перезагрузить), и мы получим системную оболочку.

После этого осталось только дождаться перезагрузки системы.

Для нашего последнего примера мы рассмотрим запланированные задачи. Опишу принцип, т.к. у всех могут быть разные случаи.

Находим процесс, службу, приложение запускаемое планировщиком задач от SYSTEM.
Проверяем права доступа на папку, где находится наша цель.

Ясно, что это серьезная проблема конфигурации, но еще хуже тот факт, что любой прошедший проверку Пользователь (аутентифицированный пользователь) имеет доступ на запись в эту папку. В этом примере мы можем просто перезаписать двоичный исполняемый файл файлом, сгенерированным в metasploit.

Можно закодировать дополнительно.

Теперь остается только загрузить вредоносный исполняемый файл и перезаписать его в папку выполняемого файла. Как только это будет сделано, мы можем спокойно идти спать и рано с утра получить системный шел.

Эти два примера должны дать нам представление об уязвимостях, которые необходимо искать при рассмотрении разрешений для файлов и папок. Потребуется время, чтобы изучить все пути binpath для служб windows, запланированные задачи и задачи автозапуска.

Напоследок пара советов по использованию accesschk.exe.

Найти все слабые разрешения для папок на диске.

Найти все слабые разрешения для файлов на диске.

Источник

Групповая политика контроля учетных записей и параметры раздела реестра

Относится к:

Параметры групповой политики

Существует 10 параметров групповой политики, которые можно настроить для управления учетной записью пользователя (UAC). В таблице перечислены значения по умолчанию для каждого из параметров политики, а в следующих разделах объясняются различные параметры политики UAC и перечислены рекомендации. Эти параметры политики расположены в службе безопасности Параметры\Local Policies\Security Options в локальной политике безопасности. Дополнительные сведения о каждом из параметров групповой политики см. в описании групповой политики. Сведения о параметрах ключевых параметров реестра см. в записи параметров ключей реестра.

Параметр групповой политики	Раздел реестра	По умолчанию
Управление учетной записью пользователя: режим утверждения администратора встроенной учетной записи администратора	FilterAdministratorToken	Отключено
Контроль учетных записей пользователей: разрешать UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол	EnableUIADesktopToggle	Отключено
Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором	ConsentPromptBehaviorAdmin	Запрос на согласие для Windows разных Windows
Контроль учетных записей пользователей: поведение запроса на повышение прав для обычных пользователей	ConsentPromptBehaviorUser	Запрос на учетные данные
Контроль учетных записей пользователей: обнаружение установки приложений и запрос на повышение прав	EnableInstallerDetection	Включено (по умолчанию для дома) Отключено (по умолчанию для предприятия)
Контроль учетных записей пользователей: повышение прав только для подписанных и проверенных исполняемых файлов	ValidateAdminCodeSignatures	Отключено
Контроль учетных записей пользователей: повышать права для UIAccess-приложений только при установке в безопасных местах	EnableSecureUIAPaths	Включено
Контроль учетных записей пользователей: все администраторы работают в режиме одобрения администратором	EnableLUA	Включено
Контроль учетных записей пользователей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав	PromptOnSecureDesktop	Включено
Контроль учетных записей: виртуализация сбоев записи в файл или реестр на основании расположений пользователя	EnableVirtualization	Включено

Управление учетной записью пользователя: режим утверждения администратора встроенной учетной записи администратора

Управление учетной записью пользователя. Режим утверждения администратора для параметра встроенной политики учетной записи администратора контролирует поведение режима утверждения администратора для встроенной учетной записи администратора.

Ниже перечислены возможные варианты.

Контроль учетных записей пользователей: разрешать UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол

Управление учетной записью пользователя. Разрешить приложениям UIAccess подсказать высоту без использования параметра безопасной политики рабочего стола, контролирует, могут ли программы доступности пользовательского интерфейса (UIAccess или UIA) автоматически отключить безопасный рабочий стол для подсказок высоты, используемых стандартным пользователем.

Ниже перечислены возможные варианты.

Программы UIA предназначены для взаимодействия с Windows и приложениями от имени пользователя. Этот параметр политики позволяет программам UIA обходить безопасный рабочий стол, чтобы в некоторых случаях повысить доступность использования; Однако разрешение запросов на высоту на интерактивном рабочем столе вместо безопасного рабочего стола может повысить риск безопасности.

Программы UIA должны быть подписаны в цифровом формате, так как они должны иметь возможность отвечать на запросы, касающиеся проблем безопасности, таких как запрос о повышении UAC. По умолчанию программы UIA запускаются только по следующим защищенным путям:

Управление учетной записью пользователя. Только повышение уровня приложений UIAccess, установленных в параметре политики безопасных местоположений, отключает требование о запуске с защищенного пути.

Хотя этот параметр политики применяется к любой программе UIA, он используется в основном в некоторых сценариях удаленной помощи, в том числе Windows удаленной помощи в Windows 7.

Если пользователь запрашивает удаленную помощь от администратора и устанавливается сеанс удаленной помощи, на защищенном рабочем столе интерактивного пользователя отображаются любые подсказки о повышении, а удаленный сеанс администратора приостановлен. Чтобы избежать приозерки сеанса удаленного администратора во время **** запросов на повышение, пользователь может выбрать разрешить ИТ-эксперту отвечать на запросы управления учетной записью пользователя при настройке сеанса удаленной помощи. Однако для выбора этого контрольного окна необходимо, чтобы интерактивный пользователь отвечал на запрос о повышении на безопасном рабочем столе. Если интерактивный пользователь является стандартным пользователем, у него нет необходимых учетных данных для допуска высоты.

Если включить этот параметр политики, запросы на повышение автоматически отправляются на интерактивный рабочий стол (а не на безопасный рабочий стол), а также отображаются в представлении удаленного администратора рабочего стола во время сеанса удаленной помощи. Это позволяет удаленному администратору предоставлять соответствующие учетные данные для высоты.

Этот параметр политики не меняет поведение запроса высоты UAC для администраторов.

Если вы планируете включить этот параметр политики, вы также должны просмотреть эффект управления учетной записью пользователя: поведение запроса высоты для стандартных параметров политики пользователей. Если он настроен как автоматические отказыв запросах на повышение, запросы на повышение не будут представлены пользователю.

Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором

Управление учетной записью пользователя. Поведение запроса на повышение для администраторов в параметре политики утверждения администратора контролирует поведение запроса высоты для администраторов.

Ниже перечислены возможные варианты.

Повышение без запроса. Позволяет привилегированным учетным записям выполнять операцию, требующую повышения без согласия или учетных данных.

Примечание Используйте этот параметр только в наиболее ограниченных средах.

Запрос учетных данных на безопасном рабочем столе. Если для операции требуется повышение привилегий, пользователю на безопасном рабочем столе будет предложено ввести привилегированное имя пользователя и пароль. Если пользователь вводит допустимые учетные данные, операция продолжается с наивысшей доступной привилегией пользователя.

Запрос на согласие на безопасном рабочем столе. Если для операции требуется повышение привилегий, пользователю на безопасном рабочем столе будет предложено выбрать разрешение или отказ. Если пользователь выбирает Разрешение, операция продолжается с наивысшей доступной привилегией пользователя.

Запрос на учетные данные. Если для операции требуется повышение привилегий, пользователю будет предложено ввести административное имя пользователя и пароль. Если пользователь вводит допустимые учетные данные, операция продолжается с применимой привилегией.

Запрос на согласие. Если для операции требуется повышение привилегий, пользователю предложено выбрать разрешение или отказ. Если пользователь выбирает Разрешение, операция продолжается с наивысшей доступной привилегией пользователя.

Запрос на согласие для Windows разных сеянов. (По умолчанию) Если для операции для неиммиграционного приложения требуется повышение привилегий, пользователю на безопасном рабочем столе будет предложено выбрать разрешение или отказ. Если пользователь выбирает Разрешение, операция продолжается с наивысшей доступной привилегией пользователя.

Контроль учетных записей пользователей: поведение запроса на повышение прав для обычных пользователей

Управление учетной записью пользователя. Поведение запроса высоты для стандартных параметров политики пользователей контролирует поведение запроса высоты для стандартных пользователей.

Ниже перечислены возможные варианты.

Контроль учетных записей пользователей: обнаружение установки приложений и запрос на повышение прав

Управление учетной записью пользователя. Обнаружение установок приложений и запрос на установку политики высоты контролируют поведение обнаружения установки приложений для компьютера.

Ниже перечислены возможные варианты.

Контроль учетных записей пользователей: повышение прав только для подписанных и проверенных исполняемых файлов

Управление учетной записью пользователя. Только повышение исполняемых данных, подписанных и проверенных параметров политики, обеспечивает проверку подписей инфраструктуры общедоступных ключей (PKI) для любых интерактивных приложений, которые запрашивают повышение привилегий. Enterprise администраторы могут контролировать, какие приложения разрешено запускать, добавляя сертификаты в хранилище сертификатов Доверенные издатели на локальных компьютерах.

Ниже перечислены возможные варианты.

Контроль учетных записей пользователей: повышать права для UIAccess-приложений только при установке в безопасных местах

Элемент Управления учетной записью пользователя. Только приложения UIAccess, установленные в параметре политики безопасных расположений, контролируют, должны ли приложения, которые запрашивают работать с уровнем целостности пользовательского интерфейса (UIAccess), находиться в безопасном расположении в файловой системе. Безопасные расположения ограничиваются следующими:

Обратите Windows проверку подписи PKI для любого интерактивного приложения, запрашиваемого для выполнения с уровнем целостности UIAccess независимо от состояния этого параметра безопасности.

Ниже перечислены возможные варианты.

Контроль учетных записей пользователей: все администраторы работают в режиме одобрения администратором

Элемент Управления учетной записью пользователя. Настройка политики администрирования для всех администраторов в режиме утверждения управляет поведением всех параметров политики UAC для компьютера. Если вы измените этот параметр политики, необходимо перезапустить компьютер.

Ниже перечислены возможные варианты.

Примечание Если этот параметр политики отключен, Центр безопасности сообщает, что общая безопасность операционной системы снижена.

Контроль учетных записей пользователей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав

Элемент управления учетной записью пользователя. Переключатель на безопасный рабочий стол при запросе на параметры политики высоты контролирует, отображается ли запрос на высоту на рабочем столе интерактивного пользователя или на безопасном рабочем столе.

Ниже перечислены возможные варианты.

Когда этот параметр политики включен, он переопределяет управление учетной записью пользователя: поведение запроса на повышение для администраторов в параметре Политики утверждения администратора. В следующей таблице описывается поведение запроса на повышение для каждого из параметров политики администратора при включении или отключении управления учетной записью пользователя.

Параметр политики администратора	Enabled	Отключено
Запрос на учетные данные на безопасном рабочем столе	Запрос отображается на безопасном рабочем столе.	Запрос отображается на безопасном рабочем столе.
Запрос на согласие на безопасном рабочем столе	Запрос отображается на безопасном рабочем столе.	Запрос отображается на безопасном рабочем столе.
Запрос на учетные данные	Запрос отображается на безопасном рабочем столе.	Запрос отображается на рабочем столе интерактивного пользователя.
Запрос на согласие	Запрос отображается на безопасном рабочем столе.	Запрос отображается на рабочем столе интерактивного пользователя.
Запрос на согласие для Windows разных Windows	Запрос отображается на безопасном рабочем столе.	Запрос отображается на рабочем столе интерактивного пользователя.

Когда этот параметр политики включен, он переопределит управление учетной записью пользователя: поведение запроса высоты для стандартных параметров политики пользователей. В следующей таблице описывается поведение запроса на повышение для каждого из стандартных параметров политики пользователя при включении или отключении управления учетной записью пользователя.

Стандартный параметр политики	Enabled	Отключено
Автоматически отключать запросы на повышение	Нет запроса. Запрос автоматически отказано.	Нет запроса. Запрос автоматически отказано.
Запрос на учетные данные на безопасном рабочем столе	Запрос отображается на безопасном рабочем столе.	Запрос отображается на безопасном рабочем столе.
Запрос на учетные данные	Запрос отображается на безопасном рабочем столе.	Запрос отображается на рабочем столе интерактивного пользователя.

Контроль учетных записей: виртуализация сбоев записи в файл или реестр на основании расположений пользователя

Управление учетной записью пользователя. Виртуализация сбоев записи файлов и реестров в параметре политики расположения каждого пользователя определяет, перенаправляются ли сбои записи приложений в определенные расположения реестра и файловой системы. Этот параметр политики смягчает приложения, которые работают в качестве администратора и записывают данные о приложениях с временем запуска до %ProgramFiles%, %Windir%, %Windir%\system32 или HKLM\Software.

Ниже перечислены возможные варианты.

Параметры ключей реестра

Ключи реестра находятся в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System. Сведения о каждом из ключей реестра см. в описании связанной групповой политики.

Источник