UAC یا User Account Control چیست و تنظیمات آن چگونه است؟(بخش دوم)

در بخش قبلی مفصل در مورد UAC توضیح دادیم در این بخش میخواهم تنظیمات پیشرفته UAC را در 4 سطح دسترسی Default و همچنین Group Policy و رجیستری توضیح دهم پس با ما در itpro بمانید.

تنظیمات UAC در ویندوز


اما برای تنظیمات اولیه UAC شما باید به control panel بروید سپس Security and Maintenance را باز کنید و مطابق تصویر زیر گزینه change user account control setting را بزنید و یا در ویندوز 8 میتوانید مطابق تصویر زیر جستجو را در setting انجام دهید.

user account control چیست؟

تنظیمات امنیتی در ویندوز به نام uac

پس از اینکه uac را باز کردید ا تصویر زیر مواجه می شوید

تنظیمات UAC در ویندوز جهت امنیت بالاتر

همانطور که مشاهده میکنید این تنظیمات با یک Slider در خدمت شماست جهت تنظیمات مورد نظر من این تصویر را با چهار عدد نشانه گزاری کردم شماره 1 بالا ترین و شماره 4 پایین ترین لول امنیتی را برای شما دارد ، در ادامه این مراحل را به ترتیب توضیح خواهم داد :

حالت 1 Always Notify : سخت گیرانه ترین حالت امنیت در این گزینه ایت در این مرحله تمامی تغییرات سیستمی و عوض کردن تنظیمات سیستمی و حتی نصب انواع نرم افزار ها با UAC prompt روبرو خواهید شد ، در این لحظه Secure Desctop نیز برای این موارد فعال شده و Always Notify یعنی همیشه در همه حال از ما تایید میخواهد .

حالت 2 Notify me only when program try to make changes to my computer: همانگونه که میبینید شماره 2 کمی پر رنگ تر از حالت های دیگر است و این نشان دهنده این است که شماره دو به صورت By Default تنظیم شده است ، انتخاب شماره 2 بیانگر این است که نصب هر برنامه ای که باعث شود تنظیمات اصلی ویندوز تغییر کند با secure Desktop مواجه شوید و البته تغییر در Setting Windows فقط در مرحله یک پیش می آید.

حالت 3 (notify me only when program try to make change s to my computer(Do Not Dim Desktop: یادتان هست گفتیم موقع secure Desktop تصویر Background تاریک یا dim می شود ؟ شماره 3 این امکان را برا ما دارد که صفحه دسکتاپ dim نشود و ما بتوانیم با ویندوز کار کنیم و جواب پیام uac را ندهیم ، البته یک لول پایین تر از مرحله دو است و فقط dim نشدن برای مرحله سه تغییر میکند.

حالت 4 Never Notify: این سطح دسترسی برای یوزر های عادی میگوید هر تغییراتی که نیاز به افزایش سطح دسترسی داشته باشد آن در خواست رد می شود و برای مدیران اصلاً با UAC prompt مواجه نمی‌شوید. حالت Recommended در لول های 1 و 2 است ومراحل دیگر اصلاً پیشنهاد نمیشود.


تنظیمات UAC در Group Policy


تنظیمات UAC در همینجا ختم نمیشوند و تنظیمات پیشرفته تر در جایی به نام Group policy است برای این منظور در Run دستور gpedit.msc را وارد کنید تا به کنسول مدیریتی گروپ پالیسی وارد شوید سپس مطابق تصویر به آدرس Computer Configuration , Security Setting , Local policy , Security Options بروید ، در این پنجره 10 مورد آخر مربوط به تنظیمات پیشرفته UAC هست که مهمترین آنها را توضیح خواهم داد.

تنظیمات پیشرفته تر برای UAC

تنظیمات پیشرفته UAC در Group policy

ضمناً دیدن این تنظیمات علاوه بر Gpo یا Group policy در محیط دیگه ای هم قابل باز شدن هست و اونم توسط دستور secpol.msc که این دستور دقیقاً مشابه GPO رو باز میکنه با این تفاوت که فقط تنظیمات security Setting قابل نمایش هست و بسیاری از تنظیمات مهم امنیتی رو میتونید در این کنسول ببینید البته این کنسول فقط قسمتی از Group policy هست .

تنظیمات usc در GPO

البته بد نیست در اینجا نکته رو خدمت دوستان اضافه کنم اگر یادتون باشه قبلاً گفتیم که رجیستری قبل ویندوز هست و همه نوع عملیاتی رو میتونیم اونجا انجام بدیم ولی به علت سختی کار چیزی به نام Group Policy ایجاد شد که با ساختار منظمش به ما کمک میکنه برای تنظیمات دلخواهمون و در این قسمت میخوام بگم چطور تنظیمات UAC که در GPO هست رو در رجیستری تغییر بدیم ، برای این منظور ابتدا به RUN رفته و دستور regedit رو وارد کنید سپس به آدرس زیر در رجیستری برید:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies

در زیر منوی Policies قسمتی وجود دارد به نام system که اگر نبود میتوانید روی Policies راست کلیک کرده و New و Key را زده و یک پوشه به نام system ایجاد کنید ، البته معمولاً System وجود دارد ، پس از کلیک روی قسمت System به و سمت راست صفحه مطابق تصویر زیر راست کلیک کرده و New را بزنید و سپس نسبت به نوع 32 بیتی یا 64 بیتی بودن سیستم یک DWORD بسازید.

UAC یا User Account Control چیست و تنظیمات آن چگونه است؟(بخش دوم)

و اگر میخواهید تنظیمات Admin Approval Mode for the Built-in Administrator account را انجام دهید میتوانید نام این DWORD را FilterAdministratorToken قرار دهید و برای Enable کردن این خصوصیت مقدارش را 1 و برای Disable کردن مقدار Value را 0 قرار دهید البته این در شرایطی است که در System این مقادیر وجود نداشته باشد البته همانند نام فایل ها در یک مسیر دو فایل نمیتواند هم نام قرار گیرد اگر دقت کنید در تصویر زیر میبینید تمام تنظیمات UAC در این قسمت وجود دارد و نیازی به ساختن آنها نیست و فقط با 0 و 1 کردن مقادیر آنها میتماند اقدام به Disable و Enable کردن آن کنید تمام این تنظیمات مقدار 0 و 1 میپذیرند به جز Behavior of the elevation prompt for administrators in Admin Approval Mode که دارای سه مقدار هست که به ترتیب به این صورت عمل میکنه

Elevate without prompting - 0
Prompt for credentials - 1
Prompt for consent - 2

تنظیمات uac در رجیستری

در ادامه مهمترین تنظیمات UAC در گروپ پالیسی را با هم مرور میکنیم:

Run all administrators in Admin Approval Mode : تمام وضعیت UAC برای کامپیوتر را کنترل می کند و اگر تنظیمات آنرا تغییر دهیم سیستم باید یکبار Restart شود.

Enabled: این پالیسی باید فعال باشد و تنظیمات پالیسی مرتبط به UAC نیز باید مناسب تنظیم شود تا به کاربر built-in Administrator و کاربرانی که عضو گروه ادمین هستند اجازه دهد در حالت Admin Approval اجرا شوند.

Disabled: حالت Admin Approval و هر پالیسی مرتبط به UAC نیز غیر فعال می شوند.

Behavior of the elevation prompt for standard users : اگر خاطرتان باشد زمانی که یک یوزر limite که تنظیمات UAC آن بر روی Level دوم قرار گرقته و تنظیمات دیفالت روی حالتی است که اگر یوزر Limite بخواهد وارد جایی شود که نیاز به ادمین دارد ، در این صورت صفحه دسکتاپ dim میشه (Secure Desktop) و Admin Approval Mode ظاهر میشه که از شما میخواد پسورد یک یوزر ادمین رو وارد کنید و شما میخوایید Admin Approval Mode برای کاربر نیاد و کلاً Error بده به کاربر ، برای غیر فعال کردن این مورد باید Behavior of the elevation prompt for standard users را که به سه حالت تغییر میکند را به صورت Automatically deny elevation requests تغییر دهیم تا کاربر موقع نیاز به دسترسی بالاتر با ارور مواجه شود حالت های این گزینه به صورت زیر است:

Automatically deny elevation requests : هنگامی که نیاز به سطح دسترسی بالاتری دارید با Error متوقف میشوید و پیغام عدم دسترسی نمایش داده می شود.

Prompt for credentials on the secure desktop : هنگامی که نیاز به سطح دسترسی بالاتری دارید ، صفحه secure Desktop یا (DIM) میشود و تا زمانی که تکلیف این پنجره مشخص نشود سیستم به کاری دیگر مشغول نمیشود البته در این مقاله قبلاً توضیحات این موارد را مفصلاً بررسی کردیم .

Prompt for credentials: زمانی که Admin Approval Mode اجرا می شود و از شما user و پسورد ادمین را میخواهد دیگر صفحه secure desktop نمیشود و شما میتوانید از سیستم استفاده کنید

Switch to the secure desktop when prompting for elevation : البته اجرا شدن مورد آخر تنظیمات قبلی یعنی Prompt for credentials مستلزم تغییر در Switch to the secure desktop when prompting for elevation است که باید بر روی Disable تنظیم شود این تنظیم فقط مختص این است که صفحه secure Desctop شود یا خیر که با enable و disable تکلیفش مشخص میشود.

Behavior of the elevation prompt for administrators in Admin Approval Mode : این گزینه که پشفرض آن روی Prompt for consent on the secure desktop قرار دارد مختص administrator است که 6 حالت را در خود می پذیرد

Elevate without prompting برای ادمین ها elevate : کن بدون اینکه پیغامی صادر شود

Prompt for credentials on the secure desktop : با اینکه یوزر ادمین هست این گزینه باعث میشود تا secure desktop ایجاد شود و مجدداً پسورد ادمین را میخواهد.

Prompt for consent on the secure desktop : صفحه secure desktop می آید و از شما میخواهد با yes و no تکلیف پنجره و دسترسی بالا تر را روشن کنید.

Prompt for credentials : از ادمین پسورد میخواهد ولی صفحه secure desktop نمیشود

Prompt for consent : از ادمین تاییده میخواهد و این yes و no در صفحه secure desktop نمی باشند.

Prompt for consent for non-Windows binaries : برای محصولاتی که windows ای نیستند هشدار صادر شود و با yes و no از شما سوال میپرسد.

Admin Approval Mode for the built-in Administrator account : این تنظیم فقط و فقط برای یوزر administrator هست و نه یوزر هایی که عضو گروه administrators هستند و وضعیت حالت تایید کاربران Administrator را برای کاربران Built - in Administrator کنترل می کند، که دو حالت بیشتر ندارد

Enabled: کاربران built-in Administrator از حالت تاییدیه مدیران استفاده می کنند یعنی یوزر administrator نیز باید از uac استفاده کند .

Disabled: کاربر built-in Administrator تمامی App ها را با دسترسی بالا اجرا می کند و تنظیمات uac روی این یوزر عملیاتی نمیشوند.

Detect application installations and prompt for elevation : زمانی که نرم افزاری میخواهد نصب شود elevation اجرا شود

Enabled: هنگامی که میخواهید نرم افزاری را نصب کنید در این حالت اگر نیاز به دسترسی بالا بود از شما یوزر و پسورد ادمین را میخواهد

Disabled: هنگامی که میخواهید نرم افزاری را نصب کنید در این حالت اگر نیاز به دسترسی بالا بود از شما یوزر و پسورد ادمین را نمیخواهد و از این حالت زمانی استفاده میشود که نصب و راه اندازی نرم افزار ها به Group Policy Software Installation و یا Systems Management Server واگذار شده باشد.

Only elevate executables that are signed and validated : زمانی elevation رخ میدهد که نرم افزار ها signe شده باشند یعنی مورد تایید مایکروسافت شده باشند و گواهینامه در Trusted Publishers certificate داشته باشند این تنظیم بر روی دو حالت Enable و Disable است که در صورتی elevation رخ میدهد که Enable ّاشد

نکته: دقت کنید پس از هر تغییر در تنظیمات گروپ پالیسی اگر میخواهید آن تنظیمات سریعاً اعمال شوند یا سیستم را ریست کنید و یا در CMD دستور gpupdate /foce حتماً اجرا شود

نویسنده : فرهاد خانلری

منبع : جزیره سرویس های شبکه مایکروسافت وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

#وظیفه_uac_ابزار_امنیتی_ویندوز #admin_approval_mode_چیست؟ #تنظیمات_پیشرفته_در_uac_ویندوز #(user_access_control_(uac_چیست؟ #غیر_فعال_کردن_uac_توسط_کامنت #privilege_elevation_چیست؟ #تنظیمات_uac_در_رجیستری #تنظیمات_uac_در_group_policy #آشنایی_با_مفاهیم_uac #معرفی_uac
عنوان
1 UAC یا User Account Control چیست و تنظیمات آن چگونه است؟(بخش اول) رایگان
2 UAC یا User Account Control چیست و تنظیمات آن چگونه است؟(بخش دوم) رایگان
زمان و قیمت کل 0″ 0
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....