用户帐户控制: 标准用户的提升权限提示行为
介绍了有关“用户帐户控制: 标准用户的提升权限提示行为”安全策略设置的最佳做法、位置、值、策略管理和安全注意事项。
参考
此策略设置确定标准用户的提升权限提示行为。
可能值
自动拒绝提升请求
在标准用户尝试执行要求提升权限的操作时,此选项会返回“拒绝访问”错误消息。以标准用户身份运行桌面的大多数组织会配置此策略以减少支持人员呼叫次数。
在安全桌面上提示凭据
这是默认设置。当某个操作需要提升权限时,将在安全桌面上提示用户输入其他用户名和密码。如果用户输入有效凭据,该操作将在适用的权限下继续进行。
提示凭据
要求提升权限的操作提示用户键入管理用户名和密码。如果用户输入有效凭据,该操作将在适用的权限下继续进行。
最佳做法
将“用户帐户控制: 标准用户的提升权限提示行为”配置为“自动拒绝提升请求”****。此设置要求用户登录管理帐户以运行要求提升权限的程序。
作为安全的最佳做法,标准用户不应知道管理密码。但是,如果你的用户同时拥有标准帐户和管理员级别的帐户,请设置“提示凭据”以便用户不用选择始终登录管理员帐户,并且他们可以转变行为以使用标准用户帐户。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
下表列出此策略的实际和有效默认值。策略的属性页中还列出了默认值。
| 服务器类型或 GPO | 默认值 |
|---|---|
默认域策略 |
未定义 |
默认域控制器策略 |
未定义 |
独立服务器默认设置 |
在安全桌面上的凭据提示 |
DC 有效默认设置 |
在安全桌面上的凭据提示 |
成员服务器有效默认设置 |
在安全桌面上的凭据提示 |
客户端计算机有效默认设置 |
在安全桌面上提示凭据 |
策略管理
本部分介绍可用于帮助管理此策略的功能和工具。
重启要求
无。当以本地方式保存或通过组策略分发对本策略的更改时,无需重启计算机即可使这些更改生效。
组策略
所有审核工具都集成在组策略中。你可以在组策略管理控制台 (GPMC) 或者域、站点或组织单位 (OU) 的本地安全策略管理单元中配置、部署和管理这些设置。
安全注意事项
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
漏洞
UAC 功能尝试减轻的风险之一是恶意程序在用户或管理员未意识到其活动状态时在提升凭据下运行的风险。此设置会使用户意识到程序要求使用提升的权限操作,并且它要求用户提供用于运行程序的管理凭据。
对策
将“用户帐户控制: 标准用户的提升权限提示行为”****配置为“自动拒绝提升请求”。此设置要求用户登录管理帐户以运行要求提升权限的程序。作为安全最佳做法,标准用户不应知道管理密码。但是,如果你的用户同时拥有标准帐户和管理员级别的帐户,我们建议设置“提示凭据”****以便用户不用选择始终登录管理员帐户,并且他们可以转变行为以使用标准用户帐户。
潜在影响
用户必须提供管理密码才能在提升的权限下运行程序。这会在标识受影响程序和修改标准操作步骤以支持最低权限操作时,增加 IT 人员的负担。