Параметры и конфигурация контроля учетных записей

• Применяется к:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Список параметров контроля учетных записей пользователей

В следующей таблице перечислены доступные параметры для настройки поведения UAC и их значения по умолчанию.

Имя параметра	Описание
Администратор режим утверждения для встроенной учетной записи администратора	Управляет поведением режима утверждения Администратор для встроенной учетной записи администратора. Включено: встроенная учетная запись администратора использует режим утверждения Администратор. По умолчанию любая операция, требующая повышения привилегий, предлагает пользователю утвердить операцию. Отключено (по умолчанию): встроенная учетная запись администратора запускает все приложения с полными правами администратора.
Разрешить приложениям UIAccess запрашивать повышение прав без использования безопасного рабочего стола	Определяет, могут ли программы специальных возможностей пользовательского интерфейса (UIAccess или UIA) автоматически отключать защищенный рабочий стол для запросов на повышение прав, используемых обычным пользователем. Включено: программы UIA, включая удаленный помощник, автоматически отключают защищенный рабочий стол для запросов на повышение прав. Если не отключить параметр политики Переключение на безопасный рабочий стол при запросе повышения прав , запросы отображаются на интерактивном рабочем столе пользователя, а не на защищенном рабочем столе. Этот параметр позволяет удаленному администратору предоставить соответствующие учетные данные для повышения прав. Этот параметр политики не изменяет поведение запроса на повышение прав учетных записей учетных записей для администраторов. Если вы планируете включить этот параметр политики, следует также проверить влияние параметра политики Поведение запроса на повышение прав для стандартных пользователей : если он настроен как Автоматически отклонять запросы на повышение прав, запросы на повышение прав не отображаются пользователю. Отключено (по умолчанию): безопасный рабочий стол может быть отключен только пользователем интерактивного рабочего стола или путем отключения параметра политики Переключение на безопасный рабочий стол при запросе на повышение прав .
Поведение запроса повышения прав для администраторов в режиме утверждения Администратор	Управляет поведением запроса на повышение прав для администраторов. Повышение уровня без запроса. Позволяет привилегированным учетным записям выполнять операцию, требующую повышения прав, не требуя согласия или учетных данных. Используйте этот параметр только в средах с самыми ограниченными ограничениями. Запрос учетных данных на защищенном рабочем столе. Если для операции требуется повышение привилегий, пользователю на защищенном рабочем столе будет предложено ввести привилегированное имя пользователя и пароль. Если пользователь вводит допустимые учетные данные, операция продолжается с наивысшими доступными привилегиями пользователя. Запрос согласия на безопасном рабочем столе. Если для операции требуется повышение привилегий, пользователю на защищенном рабочем столе будет предложено выбрать разрешение или запретить. Если пользователь выбирает Разрешение, операция продолжается с наивысшими доступными привилегиями пользователя. Запрос учетных данных. Если операция требует повышения привилегий, пользователю будет предложено ввести имя пользователя и пароль администратора. Если пользователь вводит допустимые учетные данные, операция продолжается с соответствующими привилегиями. Запрос на согласие. Если для операции требуется повышение привилегий, пользователю предлагается выбрать разрешить или запретить. Если пользователь выбирает Разрешение, операция продолжается с наивысшими доступными привилегиями пользователя. Запрос согласия для двоичных файлов, отличных от Windows (по умолчанию): если для операции для приложения, отличного от Майкрософт, требуется повышение привилегий, пользователю на защищенном рабочем столе будет предложено выбрать разрешение или Запрет. Если пользователь выбирает Разрешение, операция продолжается с наивысшими доступными привилегиями пользователя.
Поведение запроса на повышение прав для обычных пользователей	Управляет поведением запроса на повышение прав для обычных пользователей. Запрос учетных данных (по умолчанию): если для операции требуется повышение привилегий, пользователю будет предложено ввести имя пользователя и пароль администратора. Если пользователь вводит допустимые учетные данные, операция продолжается с соответствующими привилегиями. Автоматическое отклонение запросов на повышение прав. Если для операции требуется повышение привилегий, отображается сообщение об ошибке с настраиваемым доступом об отказе. Предприятие, использующее настольные компьютеры в качестве стандартного пользователя, может выбрать этот параметр, чтобы сократить количество обращений в службу поддержки. Запрос учетных данных на безопасном рабочем столе Если для операции требуется повышение прав, пользователю на безопасном рабочем столе предлагается ввести другое имя пользователя и пароль. Если пользователь вводит допустимые учетные данные, операция продолжается с соответствующими привилегиями.
Обнаружение установок приложений и запрос на повышение прав	Управляет поведением обнаружения установки приложения для компьютера. Включено (по умолчанию): при обнаружении пакета установки приложения, требующего повышения привилегий, пользователю предлагается ввести имя пользователя и пароль администратора. Если пользователь вводит допустимые учетные данные, операция продолжается с соответствующими привилегиями. Отключено: пакеты установки приложений не обнаруживаются и не запрашиваются повышение прав. Предприятия, использующие стандартные рабочие столы пользователей и использующие делегированные технологии установки, такие как Microsoft Intune, должны отключить этот параметр политики. В этом случае обнаружение установщика не требуется.
Повышение прав только для подписанных и проверенных исполняемых файлов	Принудительно проверяет сигнатуры для всех интерактивных приложений, которые запрашивают повышение привилегий. ИТ-администраторы могут контролировать, какие приложения разрешено запускать, добавляя сертификаты в хранилище сертификатов доверенных издателей на локальных устройствах. Включено: принудительно проверяет путь сертификации сертификата для заданного исполняемого файла, прежде чем он будет разрешен к запуску. Отключено (по умолчанию): не применяет проверку пути сертификации сертификата перед запуском данного исполняемого файла.
Повышение привилегий только для приложений UIAccess, установленных в безопасных расположениях	Определяет, должны ли приложения, запрашивающие запуск с уровнем целостности пользовательского интерфейса (UIAccess), находиться в безопасном расположении в файловой системе. Безопасные расположения ограничены следующими папками: - %ProgramFiles%, включая вложенные папки - %SystemRoot%\system32\ - %ProgramFiles(x86)%, включая вложенные папки Включено (по умолчанию): если приложение находится в безопасном расположении в файловой системе, оно выполняется только с целостностью UIAccess. Отключено: приложение выполняется с целостностью UIAccess, даже если оно не находится в безопасном расположении в файловой системе. Примечание: Windows применяет цифровую подпись проверка во всех интерактивных приложениях, которые запрашивают выполнение с уровнем целостности UIAccess независимо от состояния этого параметра.
Запуск всех администраторов в режиме утверждения Администратор	Управляет поведением всех параметров политики контроля учетных записей. Включено (по умолчанию): режим утверждения Администратор включен. Эта политика должна быть включена и настроены соответствующие параметры контроля учетных записей. Политика позволяет встроенной учетной записи администратора и членам группы администраторов работать в режиме утверждения Администратор. Отключено: Администратор режим утверждения и все связанные параметры политики контроля учетных записей отключены. Примечание. Если этот параметр политики отключен, Безопасность Windows уведомляет вас о снижении общей безопасности операционной системы.
Переключение на защищенный рабочий стол при запросе повышения прав	Этот параметр политики определяет, будет ли запрос на повышение прав отображаться на рабочем столе интерактивного пользователя или на защищенном рабочем столе. Включено (по умолчанию): все запросы на повышение прав отправляются на безопасный рабочий стол независимо от параметров политики поведения запроса для администраторов и стандартных пользователей. Отключено: все запросы на повышение прав переходят на рабочий стол интерактивного пользователя. Используются параметры политики поведения запроса для администраторов и обычных пользователей.
Сбои виртуализации файлов и реестра для каждого пользователя	Определяет, перенаправляются ли сбои записи приложений в определенные расположения реестра и файловой системы. Этот параметр устраняет проблемы с приложениями, которые выполняются от имени администратора и записывают данные приложения во время выполнения в %ProgramFiles%, %Windir%, %Windir%\system32или HKLM\Software. Включено (по умолчанию): ошибки записи приложений перенаправляются во время выполнения в определенные расположения пользователей для файловой системы и реестра. Отключено. Приложения, записывющие данные в защищенные расположения, завершаются сбоем.

Настройка контроля учетных записей пользователей

Чтобы настроить контроль учетных записей, можно использовать:

• Microsoft Intune/MDM
• Групповая политика
• Реестр

Ниже приведены инструкции по настройке устройств. Выберите вариант, который лучше всего соответствует вашим потребностям.

Intune/CSP

Настройка UAC с помощью политики каталога параметров

Чтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте параметры, перечисленные в категории Local Policies Security Options:

Назначьте политику группе безопасности, содержащей в качестве участников устройства или пользователей, которые требуется настроить.

Кроме того, можно настроить устройства с помощью настраиваемой политики с помощью CSP политики LocalPoliciesSecurityOptions.
Параметры политики находятся в разделе . ./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions

Параметр
Имя параметра: Администратор режим утверждения для встроенной учетной записи администратора Имя поставщика служб CSP политики: UserAccountControl_UseAdminApprovalMode
Имя параметра: разрешить приложениям UIAccess запрашивать повышение прав без использования безопасного рабочего стола Имя поставщика служб CSP политики: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
Имя параметра: поведение запроса на повышение прав для администраторов в режиме утверждения Администратор Имя поставщика служб CSP политики: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
Имя параметра: поведение запроса на повышение прав для обычных пользователей Имя поставщика служб CSP политики: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
Имя параметра: Обнаружение установок приложений и запрос на повышение прав Имя поставщика служб CSP политики: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
Имя параметра: повышение прав только для подписанных и проверенных исполняемых файлов Имя поставщика служб CSP политики: UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated
Имя параметра: повышение привилегий только для приложений UIAccess, установленных в безопасных расположениях Имя поставщика служб CSP политики: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
Имя параметра: запуск всех администраторов в режиме утверждения Администратор Имя поставщика служб CSP политики: UserAccountControl_RunAllAdministratorsInAdminApprovalMode
Имя параметра: переключение на защищенный рабочий стол при запросе повышения прав Имя поставщика служб CSP политики: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
Имя параметра: Сбои при записи файлов и реестра в виртуализировать в расположениях для каждого пользователя Имя поставщика служб CSP политики: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

Объект групповой политики

Можно использовать политики безопасности, чтобы настроить работу контроля учетных записей в вашей организации. Политики можно настроить локально с помощью оснастки "Локальная политика безопасности" (secpol.msc) или настроить для домена, подразделения или определенных групп по групповой политике.

Параметры политики находятся в разделе . Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Параметр групповой политики	Значение по умолчанию
Контроль учетных записей пользователей: режим утверждения Администратор для встроенной учетной записи администратора	Отключено
Контроль учетных записей пользователей: разрешать UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол	Отключено
Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором	Запрос согласия для двоичных файлов, отличных от Windows
Контроль учетных записей пользователей: поведение запроса на повышение прав для обычных пользователей	Запрос учетных данных
Контроль учетных записей пользователей: обнаружение установки приложений и запрос на повышение прав	Включено (по умолчанию только для домашнего выпуска) Отключено (по умолчанию)
Контроль учетных записей пользователей: повышение прав только для подписанных и проверенных исполняемых файлов	Отключено
Контроль учетных записей пользователей: повышать права для UIAccess-приложений только при установке в безопасных местах	Enabled
Контроль учетных записей пользователей: все администраторы работают в режиме одобрения администратором	Enabled
Контроль учетных записей пользователей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав	Enabled
Контроль учетных записей: виртуализация сбоев записи в файл или реестр на основании расположений пользователя	Enabled

Реестр

Разделы реестра находятся в разделе : HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.

Имя параметра	Имя раздела реестра	Значение
Администратор режим утверждения для встроенной учетной записи администратора	FilterAdministratorToken	0 (по умолчанию) = отключено 1 = включено
Разрешить приложениям UIAccess запрашивать повышение прав без использования безопасного рабочего стола	EnableUIADesktopToggle	0 (по умолчанию) = отключено 1 = включено
Поведение запроса повышения прав для администраторов в режиме утверждения Администратор	ConsentPromptBehaviorAdmin	0 = повышение уровня без запроса 1 = запрос учетных данных на защищенном рабочем столе 2 = запрос согласия на безопасном рабочем столе 3 = запрос учетных данных 4 = запрос на согласие 5 (по умолчанию) = запрос на согласие для двоичных файлов, отличных от Windows
Поведение запроса на повышение прав для обычных пользователей	ConsentPromptBehaviorUser	0 = автоматически отклонять запросы на повышение прав 1 = запрос учетных данных на защищенном рабочем столе 3 (по умолчанию) = запрос учетных данных
Обнаружение установок приложений и запрос на повышение прав	EnableInstallerDetection	1 = включено (по умолчанию только для дома) 0 = отключено (по умолчанию)
Повышение прав только для подписанных и проверенных исполняемых файлов	ValidateAdminCodeSignatures	0 (по умолчанию) = отключено 1 = включено
Повышение привилегий только для приложений UIAccess, установленных в безопасных расположениях	EnableSecureUIAPaths	0 = отключено 1 (по умолчанию) = включено
Запуск всех администраторов в режиме утверждения Администратор	EnableLUA	0 = отключено 1 (по умолчанию) = включено
Переключение на защищенный рабочий стол при запросе повышения прав	PromptOnSecureDesktop	0 = отключено 1 (по умолчанию) = включено
Сбои виртуализации файлов и реестра в расположениях для отдельных пользователей	EnableVirtualization	0 = отключено 1 (по умолчанию) = включено