Microsoft je v operacijskem sistemu Windows Vista predstavil nov mehanizem, ki zagotavlja dodatno plast zaščite sistema pred imenovanimi nepooblaščenimi spremembami Uac (Nadzor uporabniškega računa ali nadzor računa). V operacijskem sistemu Windows 7 (in novejši) je UAC dobil drsnik za nastavitve (klican prek nadzorne plošče ali datoteke UserAccountControlSettings.exe), s katero lahko izberete eno od štirih stopenj zaščite UAC.
Na drsniku so 4 vnaprej določene stopnje zaščite nadzora uporabniških računov:
- 4. stopnja - vedno obveščanje - Vedno obvesti (najvišja raven varnosti UAC)
- 3. stopnja - Obvesti samo kdaj programi poskusi do narediti spremembe do moj računalnik (privzeto) - Obvesti samo, ko program poskuša spremeniti računalnik (standardna raven zaščite)
- 2. stopnja - Obvesti samo kdaj programi poskusi do narediti spremembe do moj računalnik (stori ne zatemnjen moj namizje) - enako kot prejšnja raven, vendar brez preklopa na varno namizje z namizno ključavnico
- 1. stopnja - Nikoli ne obvestite - Nikoli ne obvestite (UAC je onemogočen)
Windows privzeto uporablja 3. stopnja UAC zaščita.
Upravljanje nastavitev UAC je možno s pomočjo drsnika in s pomočjo skupinskih pravilnikov. Toda v urejevalniku skupinskih pravil ni nobene enotne politike, ki omogoča izbiro ene od štirih ravni zaščite (ki ustreza položaju drsnika UAC). Namesto tega se predlaga prilagoditev nastavitev UAC 10 z različnimi pravilniki. Ti pravilniki se nahajajo v razdelku:
Konfiguracija računalnika -> Politike -> Nastavitve sistema Windows -> Varnostne nastavitve -> Lokalne politike -> Varnostne možnosti (Konfiguracija računalnika -> Konfiguracija sistema Windows -> Varnostne nastavitve -> Lokalne politike). Imena pravil, povezana z UAC, se začnejo z Uporabnik Račun Nadzor (Nadzor uporabniških računov).
Naslednja tabela prikazuje pravilnike UAC in ustrezne registrske ključe. Nastavitve UAC so shranjene v podružnici registra HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Politike \ Sistem
| Ime pravilnika | Ključ registra po meri politike | |
| Nadzor uporabniških računov: Način odobritve skrbnika za vgrajeni račun skrbnika | Nadzor uporabniškega računa: Uporabite način odobritve skrbnika za vgrajeni skrbniški račun | FilterAdministratorToken |
| Nadzor uporabniških računov: Dovoli, da aplikacije UIAccess zahtevajo dvig brez uporabe varnega namizja | Uporabniški nadzor: dovolite, da aplikacije UIAccess zahtevajo višino brez uporabe varnega namizja | OmogočiUIADesktopToggle |
| Nadzor uporabniškega računa: Obnašanje poziva za dvig za skrbnike v načinu odobritve skrbnika | Nadzor uporabnika: vedenje zahteve po višini za skrbnike v načinu odobritve skrbnika | ConsentPromptBehaviorAdmin |
| Nadzor uporabniških računov: obnašanje poziva za dvig za standardne uporabnike | Nadzor uporabnika: vedenje zahteve glede višine za redne uporabnike | ConsentPromptBehaviorUser |
| Nadzor uporabniških računov: zazna namestitve aplikacij in poziv na nadmorsko višino | Nadzor uporabniških računov: Zaznavanje namestitve aplikacije in zahteva po višini | EnableInstallerDetection |
| Nadzor uporabniških računov: povzdignite samo izvršljive datoteke, ki so podpisane in potrjene | Nadzor uporabniških računov: višanje pravic samo za podpisane in preverjene izvršljive datoteke | ValidateAdminCodeSignatures |
| Nadzor uporabniških računov: povzdignite samo aplikacije UIAccess, ki so nameščene na varnih lokacijah | Nadzor uporabniških računov: povečajte samo privilegije za aplikacije UIAccess, nameščene na varnem mestu | EnableSecureUIAPaths |
| Nadzor uporabniških računov: zaženite vse skrbnike v načinu odobritve skrbnika | Nadzor uporabniških računov: omogočanje odobritve skrbnika | OmogočiLUA |
| Nadzor uporabniških računov: ob pozivu za višino preklopite na varno namizje | Nadzor uporabniških računov: preklop na varno namizje pri izvajanju zahteve za dvig | PromptOnSecureDesktop |
| Nadzor uporabniških računov: virtualizirajte napake pri pisanju datotek in registra na lokacije uporabnika | Nadzor uporabniških računov: ko pisanje v datoteko ali register ne uspe, virtualizacija na lokaciji uporabnika | EnableVirtualization |
V primeru, da želite preko GPO nastaviti parametre UAC, lahko uporabite korespondenco med nastavitvami in štirimi nivoji UAC, opisanimi spodaj:
Uac 1. stopnja
Način odobritve skrbnika za vgrajeni račun skrbnika = onemogočen
Dovoli, da aplikacije UIAccess zahtevajo dvig brez uporabe varnega namizja = Onemogočeno
Obnašanje poziva za dvig za skrbnike v načinu odobritve skrbnika = Elevate brez pozivanja
Obnašanje poziva za dvig za standardne uporabnike = Poziv za poverilnice
Zaznajte namestitvene programe in poziv za dvig = Omogočeno
Samo povzdignite izvršljive datoteke, ki so podpisane in potrjene = Onemogočeno
Povišajte samo aplikacije UIAccess, ki so nameščene na varnih lokacijah = Omogočeno
Zaženite vse skrbnike v načinu odobritve skrbnika = onemogočeno
Preklopite na varno namizje, ko boste zahtevali višino = Onemogočeno
Virtualizirajte napake pri pisanju datotek in registrov na lokacije uporabnika = Omogočeno
Dovoli, da aplikacije UIAccess zahtevajo dvig brez uporabe varnega namizja = Onemogočeno
Obnašanje poziva za dvig za skrbnike v načinu odobritve skrbnika = poziv za soglasje za binarne datoteke, ki niso Windows
Obnašanje poziva za dvig za standardne uporabnike = Poziv za poverilnice
Zaznajte namestitvene programe in poziv za dvig = Omogočeno
Samo povzdignite izvršljive datoteke, ki so podpisane in potrjene = Onemogočeno
Povišajte samo aplikacije UIAccess, ki so nameščene na varnih lokacijah = Omogočeno
Zaženite vse skrbnike v načinu odobritve skrbnika = omogočeno
Preklopite na varno namizje, ko boste zahtevali višino = Onemogočeno
Virtualizirajte napake pri pisanju datotek in registrov na lokacije uporabnika = OmogočenoUac Raven 3 (z privzeto) V oklepajih so standardne vrednosti registrskega ključa, ki ustrezajo pravilnikom. Način odobritve skrbnika za vgrajeni račun skrbnika = onemogočen (vrednost registrskega ključa FilterAdministratorToken je 0)
Dovoli, da aplikacije UIAccess zahtevajo dvig brez uporabe varnega namizja = Onemogočeno (vrednost registra registracijskega ključa EnableUIADesktopToggle je 0)
Obnašanje poziva za dvig za skrbnike v načinu odobritve Administratorja = Poziv za soglasje za binarne datoteke, ki niso Windows (vrednost registrskega ključa ConsentPromptBehaviorAdmin je 5)
Obnašanje poziva za dvig za standardne uporabnike = Poziv za poverilnice (vrednost ključa registra ConsentPromptBehaviorUser- 3)
Zaznavanje namestitve aplikacij in poziv za dvig = Omogočeno (vrednost registrskega ključa EnableInstallerDetection- 0 za računalnike v domeni, 1 - za delovne skupine)
Povišate samo izvršljive datoteke, ki so podpisane in potrjene = Onemogočeno (vrednost registrskega ključa ValidateAdminCodeSignatures- 0)
Privzdignite samo aplikacije UIAccess, ki so nameščene na varnih lokacijah = Omogočeno (EnableSecureUIAPaths - vrednost registra ključa 1)
Zaženite vse skrbnike v načinu odobritve skrbnika = omogočeno (vrednost EnableLUA-1 registra ključa)
Preklopite na varno namizje ob pozivu za višino = omogočeno (vrednost ključa registra registra PromptOnSecureDesktop-1)
Virtualizirajte napake pri pisanju datotek in registra na lokacije uporabnika = Omogočeno (vrednost registrskega ključa EnableVirtualization- 1)Uac Raven 4Način odobritve skrbnika za vgrajeni račun skrbnika = onemogočen
Dovoli, da aplikacije UIAccess zahtevajo dvig brez uporabe varnega namizja = Onemogočeno
Obnašanje poziva za dvig za skrbnike v načinu odobritve skrbnika = Poziv za soglasje na varnem namizju
Obnašanje poziva za dvig za standardne uporabnike = Poziv za poverilnice
Zaznajte namestitvene programe in poziv za dvig = Omogočeno
Samo povzdignite izvršljive datoteke, ki so podpisane in potrjene = Onemogočeno
Povišajte samo aplikacije UIAccess, ki so nameščene na varnih lokacijah = Omogočeno
Zaženite vse skrbnike v načinu odobritve skrbnika = omogočeno
Pri pozivu za višino preklopite na varno namizje = Omogočeno
Virtualizirajte napake pri pisanju datotek in registrov na lokacije uporabnika = Omogočeno
Če želite drugim uporabnikom dovoliti, da sami prilagodijo nastavitve UAC-a, lahko standardne nastavitve v računalnikih domene nastavite tako, da z eno samo uporabo namestite registrske ključe prek GPP-ja (Uporabi se enkrat in ne znova uporabi).
