امیر مقدم
کارشناس ارشد سرویس های مبتنی بر شبکه مایکروسافت

UAC چیست؟ بررسی و آشنایی با User Account Control ویندوز

برای (UAC)، ده نوع تنظیمات وجو دارد که می توان آنها را تنظیم و اشتفاده کرد. در جدول زیر تنظیمات پیش فرض هر یک از آنها لیست شده است و در ادامه به توضیح هر بخش خواهیم پرداخت، تنظیمات پالیسی هایی که به آنها خواهیم پرداخت در ای مسیر می باشد: (Security Settings\Local Policies\Security Options).

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
وب سایت توسینسو

User Account Control: Admin Approval Mode for the built-in Administrator account

User Account Control: Admin Approval Mode for the built-in Administrator account وضعیت حالت تایید کاربران Administrator را برای کاربران Built-in Administrator کنترل می کند، که ویزگیهایش عبارتند از:

  • Enabled: کاربران built-in Administrator از حالت تاییدیه مدیران استفاده می کنند. به صورت پیش فرض، هر عملکردی که نیاز به دسترسی بالا دارد، کاربر را برای تایید عملکرد به سرعت آماده خواهد کرد.
  • Disabled: کاربر built-in Administrator تمامی App ها را با دسترسی بالا اجرا می کند.

User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop:

User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop کنترل می کند برای اینکه آیا دسترسی رابط کاربری می تواند برنامه ها را برای کاربران استاندار به سرعت از حالت پس زمینه امن غرفعال کند.

ویژگیها

  • Enabled: برنامه های User Interface Accessibility، از جمله Windows Remote Assistance به طور خودکار پس زمینه امن را با تسریع بالا غیرفعال می کند. اگر User Account Control: Switch to the secure desktop when prompting for elevation را غیر فعال نکنیم، به جای پس زمینه امن، پس زمینه در حال تعامل کاربر با آن جایگزین می شود.
  • Disabled: پس زمینه امن می تواند با پس زمینه تعاملی کاربر غیر فعال شود یا با غیرفعال کردن User Account Control: Switch to the secure desktop when prompting for elevation.

برنامه های UIA برای تعامل با ویندوز و APP ها طراحی شده اند. این تنظیمات این اجازه را می دهد تا برنامه های UIA، پس زمینه امن را برای افزایش توان استفاده در موارد خاص بای پس کنند. با این حال، اجازه درخواست های بالا برای ظاهر شدن در پس زمینه تعاملی به جای پس زمینه امن می تواند ریسک امنیت را افزایش دهد. برنامه هی UIA باید امضا دیجیتالی باشند زیرا پاسخگوی مسائل مربوط به امنیت هستند. به طور پیش فرض برنامه های UAI از مسیر های محافظت شده زیر در حال اجرا شدن هستند:

…\Program Files, including subfolders

…\Program Files (x86), including subfolders for 64-bit versions of Windows

…\Windows\System32

User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode:

User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode وضعیت بالای مدیران را کنترل می کند، و ویژگی هایش به شرح زیر می باشند:

  • Elevate without prompting: اجازه می دهد تا کاربران سطح بالا یا ممتاز یک عملکرد را بدون نیاز به رضایت و یا اعتبار انجام دهند.

(نکته: از این ویژگی تنها در محیط های بسیار محدود استفاده کنید)

  • Prompt for credentials on the secure desktop: زمانیکه عملکردی به سطح بالایی نیاز دارد، کاربر را در پس زمینه امن وادار به وارد کردن نام کاربری و رمز عبور یک کاربر دیگر می کند و اگر اعتبار سنجی موفق بود عملکرد مذکور با بالاترین سطح ادامه می یابد.
  • Prompt for consent on the secure desktop: زمانیکه عملکردی به سطح بالایی نیاز دارد، کاربر را در پس زمینه امن وادار به انتخاب Permit یا Deny می کند و اگر کاربر Permit را انتخاب کند آن عملکرد با سطح بالای موجود ادامه می یابد.
  • Prompt for credentials: زمانیکه عملکردی به سطح بالایی نیاز دارد، کاربر را وادار به وارد کردن نام کاربری و رمز عبور یک کاربر دیگر می کند و اگر اعتبار سنجی موفق بود عمکرد مذکور با بالاترین سطح ادامه می یابد.
  • Prompt for consent: زمانیکه عملکردی به سطح بالایی نیاز دارد، کاربر را وادار به انتخاب Permit یا Deny می کند و اگر کاربر Permit را انتخاب کند آن عملکرد با سطح بالای موجود ادامه می یابد.
  • Prompt for consent for non-Windows binaries: زمانیکه عملکردی برای غیر از ویژگیهای غیر مایکروسافت به سطح بالایی نیاز دارد، کاربر را در پس زمینه امن وادار به انتخاب Permit یا Deny می کند و اگر کاربر Permit را انتخاب کند آن عملکرد با سطح بالای موجود ادامه می یابد.

User Account Control: Behavior of the elevation prompt for standard users:

User Account Control: Behavior of the elevation prompt for standard users وضعیت دسترسی ممتاز را برای کاربران استاندارد کنترل می کند، ویزگی ها:

  • Automatically deny elevation requests: زمانیکه عملکردی به سطح بالایی نیاز دارد، یک پیغام عدم دسترسی قابل تنظیم نشان داده می شود.
  • Prompt for credentials on the secure desktop: زمانیکه عملکردی به سطح بالایی نیاز دارد، کاربر را در پس زمینه امن وادار به وارد کردن نام کاربری و رمز عبور یک کاربر دیگر می کند و اگر اعتبار سنجی موفق بود عملکرد مذکور با بالاترین سطح ادامه می یابد.
  • Prompt for credentials: زمانیکه عملکردی به سطح بالایی نیاز دارد، کاربر را در پس زمینه امن وادار به وارد کردن نام کاربری و رمز عبور یک کاربر ادمین می کند و اگر اعتبار سنجی موفق بود عملکرد مذکور با بالاترین سطح ادامه می یابد.

User Account Control: Detect application installations and prompt for elevation:

User Account Control: Detect application installations and prompt for elevation رفتار تشخیص نصب و راه اندازی نرم افزار برای کامپیوتر را کنترل می کند، ویژگی ها:

  • Enabled: زمانیکه پکیج نصبی یک برنامه تشخیص داده می شود که نیاز به یک دسترسی ممتاز دارد، کاربران موظف به وارد کردن نام کاربری و رمز عبود ادمین می شوند. و اگر اعتبار سنجی موفق بود عملکرد مذکور با بالاترین سطح ادامه می یابد.
  • Disabled: پکیج نصبی یک برنامه تشخیص داده نمی شود، و از این زمانی استفاده می کنیم که نصب و راه اندازی به Group Policy Software Installation و یا Systems Management Server واگذار شده باشد.

User Account Control: Only elevate executables that are signed and validated:

User Account Control: Only elevate executables that are signed and validatedا PKI را برای هر برنامه های کاربردی تعاملی که درخواست دسترسی بالا را می دهد اجرا می کند. مدیران برجسته می توانند کنترل کنند کدام برنامه ها اجازه اجرا شدن را دارند با اضافه کردن گواهینامه در Trusted Publishers certificate بر روی سیستم. قابلیت ها:

  • Enabled: اجرا اعتبار مسیر صدور گواهینامه PKI برای فایل اجرایی داده شد، قبل از صدور اجازه اجرای آن.
  • Disabled: اجرا نکردن اعتبار مسیر صدور گواهینامه PKI برای فایل اجرایی داده شد، قبل از صدور اجازه اجرای آن.

User Account Control: Only elevate UIAccess applications that are installed in secure locations:

User Account Control: Only elevate UIAccess applications that are installed in secure locations کنترل می کند که آیا App هایی که درخواست اجرا با یک User Interface Accessibility را می دهند، سطح یکپارچگی در یک محل امن در فایل سیستم مقیم است. و مسیر های امن به این ادرس ها منتهی می شوند:

…\Program Files, including subfolders

…\Windows\system32

…\Program Files (x86), including subfolders for 64-bit versions of Windows
  • Enabled: اگر برنامه ای در محل امنی در فایل سیستم قرار داشته باشد، تنها با دسترسی یکپارچه UIA اجرا می شود.
  • Disabled: گر برنامه ای در محل امنی در فایل سیستم قرار نداشته باشد، با دسترسی یکپارچه UIA اجرا می شود.

User Account Control: Run all administrators in Admin Approval Mode:

User Account Control: Run all administrators in Admin Approval Mode تمام وضعیت UAC برای کامپیوتر را کنترل می کند و اگر تنظیمات آنرا تغییر دهیم سیستم باید یکبار Restart شود. ویژگی ها:

  • Enabled: این پالیسی باید فعال باشد و تنظیمات پالیسی مرتبط به UAC نیز باید مناسب تنظیم شود تا به کاربر built-in Administrator و کاربرانی که عضو گروه ادمین هستند اجازه دهد در حالت Admin Approval اجرا شوند.
  • Disabled: حالت Admin Approval و هر پالیسی مرتبط به UAC نیز غیر فعال می شوند.

User Account Control: Switch to the secure desktop when prompting for elevation:

User Account Control: Switch to the secure desktop when prompting for elevation کنترل می کند که آیا درخواست سطح ممتاز در پس زمینه تعاملی یا پس زمینه امن نشان داده می شود. که ویژگی هایش عبارتند از:

  • Enabled: تمامی درخواست ها برای تمامی کاربران به پس زمینه امن منتهی می شود.
  • Disabled: تمامی درخواست ها برای تمامی کاربران به پس زمینه تعاملی کاربر منتهی می شود.

وقتی که پالیسی فوق فعال است User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode را لغو می کند. در جدول زیر خواهیم دید رفتار سطوح بالا برای تنظیمات پالیسی برای ادمین ها با فعال بودن یا نبودن پالیسی User Account Control: Switch to the secure desktop when prompting for elevation policy setting is enabled or disabled.

وب سایت توسینسو

همچنین زمانیکه این پالیسی فعال است User Account Control: Behavior of the elevation prompt for standard users را لغو می کند. در جدول زیر خواهیم دید رفتار سطوح بالا برای تنظیمات پالیسی برای کاربران استاندارد با فعال بودن یا نبودن پالیسی User Account Control: Switch to the secure desktop when prompting for elevation.

وب سایت توسینسو

User Account Control: Virtualize file and registry write failures to per-user locations:

User Account Control: Virtualize file and registry write failures to per-user locations کنترل می کند، آیا شکست های برنامه نوشتن به رجیستری و فایل سیستم مکان های تعریف شده هدایت می شوند. تنظیم این پالیسی برنامه های کاربردی که به عنوان مدیر اجرا می شوند و زمان اجرای داده های برنامه را به (%ProgramFiles%, %Windir%, %Windir%\system32) و یا HKLM\Software کاهش می دهد. ویژگی ها:

  • Enabled: شکست برنامه نوشتن در زمان اجرا به مکان های تعریف شده کاربر برای هر دو، سیستم فایل و رجیستری هدایت می شوند.
  • Disabled: برنامه های کاربردی که ارسال داده هایشان به مکان های محافظت از شکست است.

امیدوارم که مورد توجه دوستان قرار گرفته باشد.

نویسنده : امیر مقدم

منبع : انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد


امیر مقدم
امیر مقدم

کارشناس ارشد سرویس های مبتنی بر شبکه مایکروسافت

نظرات