Recursos e como configurar GPO UAC no Windows 10

Índice

Os sistemas operacionais Windows incluem uma série de opções práticas que nos ajudam a melhorar a segurança dentro dele e de seus aplicativos.

Uma dessas medidas de segurança são os bem conhecidos UAC (User Account Control), uma vez que foram desenvolvidos para evitar que vírus ou malware sejam introduzidos no sistema afetando sua operabilidade e operação e hoje a Solvetic fará uma análise completa de como o UAC funciona em Windows 10 e como podemos configurá-lo para aproveitá-lo ao máximo.

O que é UACO Controle de Conta de Usuário ou UAC, é uma funcionalidade do Windows 10 que nos ajuda a evitar que um determinado tipo de malware seja instalado no computador, afetando seu funcionamento e, no processo, contribui para que as organizações tenham a capacidade de implementar um desktop. melhorias na administração e gestão.

Graças ao UAC, os aplicativos e tarefas sempre serão executados em um ambiente seguro usando uma conta de administrador.

Com o UAC será possível bloquear a instalação automática de aplicativos não autorizados e evitar alterações inadvertidas na configuração do sistema, já que todas as ameaças que um malware possui em seu código podem vir com o objetivo de destruir, roubar ou alterar o comportamento do sistema.

Ao implementar o UAC, podemos permitir que os usuários façam login em seus computadores com uma conta de usuário padrão, tornando mais fácil para eles realizar tarefas com os direitos de acesso associados a uma conta padrão.

Como funciona o UACAo usar o UAC no Windows 10, cada aplicativo que precisa fazer uso do token de acesso de administrador deve solicitar sua aprovação ou a instalação será impossível.

O Windows 10 protege os processos do sistema, marcando seus níveis de integridade. Os níveis de integridade são medidas de confiança implementadas para otimizar a segurança durante a instalação de um determinado programa.

Um aplicativo classificado como "alta" integridade é aquele que executa tarefas que incluem a modificação de dados do sistema, como um aplicativo de partição de disco, aplicativos de gerenciamento de memória RAM, etc., enquanto um aplicativo com "baixa" integridade é aquele. Que cumpre tarefas que em alguns ponto pode afetar o sistema operacional, como um navegador da Web, por exemplo.

Os aplicativos classificados com níveis de integridade mais baixos não podem modificar os dados em aplicativos com níveis de integridade mais altos. Quando um usuário padrão tenta executar um aplicativo que requer um token de acesso de administrador, o UAC exige que o usuário forneça credenciais de administrador válidas para permitir que ele execute a tarefa, por isso, quando executamos um aplicativo, devemos confirmar a respectiva permissão.

Processo de login no UACQuando o UAC é implementado no Windows 10, por padrão, todos os usuários e administradores que estão no grupo padrão terão acesso aos recursos e capacidade de executar aplicativos no contexto de segurança de usuários padrão, o que é limitado.

Agora, quando um usuário faz login em um computador, o sistema cria automaticamente um token de acesso para esse usuário específico, este token de acesso inclui informações sobre o nível de acesso que é concedido ao usuário, incluindo identificadores de segurança específicos (SID) e os privilégios do Windows definidos para cada nível de usuário e a respectiva permissão será concedida ou não.

Em contraste, quando um administrador faz logon no Windows 10, dois tokens de acesso separados serão criados para este usuário: um token de acesso de usuário padrão e um token de acesso de administrador.

Com o token de acesso do usuário padrão, haverá as mesmas informações específicas do usuário que o token de acesso do administrador, mas os privilégios administrativos do Windows e os SIDs associados serão removidos.

O token de acesso do usuário padrão é usado para a execução de aplicativos que não realizam tarefas administrativas (aplicativos de usuário padrão) e, portanto, todos os aplicativos que são executados como um usuário padrão, a menos que um usuário forneça consentimento ou credenciais para aprovar um aplicativo que pode fazer uso de um token de acesso administrativo completo.

Desta forma, um usuário que pertence ao grupo Administradores poderá fazer login, navegar na web e ler e-mails usando um token de acesso de usuário padrão e quando o administrador precisar executar uma tarefa que requer o token. Acesso de administrador, Windows 10 solicitará automaticamente a aprovação do usuário, por isso, ao tentarmos executar um aplicativo, veremos a mensagem de aprovação ou não do referido aplicativo.

Experiência do usuário UACQuando o UAC é implementado, a experiência do usuário para um usuário padrão é diferente da dos administradores no modo de aprovação do administrador, o que pode afetar a execução de vários aplicativos.

Acessar o sistema como um usuário padrão ajudará a maximizar a segurança de um ambiente gerenciado, pois saberemos que esse usuário não terá autoridade para instalar software não autorizado.

Com o componente de elevação UAC integrado ao Windows 10, os usuários padrão poderão realizar facilmente uma tarefa administrativa inserindo credenciais válidas para uma conta de administrador local. O componente de elevação integrado do UAC para usuários padrão é o indicador de credencial que ajuda a gerenciar permissões ao executar aplicativos.

Com o UAC habilitado no Windows 10, sempre que tentarmos executar um aplicativo, a autorização será solicitada ou as credenciais de uma conta de administrador local válida serão solicitadas antes de iniciar um programa ou tarefa que requer um token de acesso total de administrador.

Este aviso nos garante que nenhum software malicioso pode ser instalado silenciosamente.

Avisos de elevação UACOs prompts de elevação no UAC são codificados por cores para serem específicos do aplicativo, permitindo-nos identificar imediatamente o risco de segurança de um aplicativo.

Quando um aplicativo tenta ser executado com um token de acesso de administrador total, o Windows 10 primeiro analisa o arquivo executável para determinar seu editor e, portanto, se válido, autoriza o respectivo acesso a ele. O Windows 10 usa três categorias de acordo com o editor:

  • Windows 10
  • Editor verificado (assinado)
  • Editor não verificado (não assinado)
A codificação de cores da solicitação de elevação no Windows 10 é a seguinte:
  • Fundo vermelho com um ícone de escudo vermelho: indica que este aplicativo está bloqueado pela Política de Grupo ou é de um editor bloqueado.
  • Fundo azul com um ícone de escudo azul e dourado: indica que o aplicativo é um aplicativo administrativo do Windows 10, por exemplo, um item do Painel de Controle.
  • Plano de fundo azul com um ícone de escudo azul - refere-se ao fato de que este aplicativo é assinado usando Authenticode e é confiável no computador local.
  • Fundo amarelo com um ícone de escudo amarelo: este aplicativo não tem assinatura ou assinatura, mas ainda não é confiável para o computador local.

Ícone de escudoAlguns elementos do Painel de Controle do Windows 10, por exemplo, as propriedades de data e hora, têm uma combinação de operações de administrador e usuário padrão, onde os usuários padrão podem ver o relógio e alterar o fuso horário, mas um token de acesso total de administrador para alterar hora do sistema local.

Por este motivo, veremos o seguinte escudo no botão Mudar data e hora na referida opção:

Isso indica que o processo requer um token de acesso de administrador total e exibirá um indicador de elevação do UAC quando clicado.

Arquitetura UACNo diagrama a seguir, podemos ver como o UAC é estruturado no Windows 10.

Os componentes deste esquema são:

Nível de usuário

  • O usuário executa uma operação que requer privilégio - O usuário executa uma operação que requer privilégio: Nesse caso, se a operação alterar o sistema de arquivos ou registro, a virtualização é chamada. Todas as outras operações chamam ShellExecute.
  • ShellExecute: ShellExecute procura o erro ERROR_ELEVATION_REQUIRED de CreateProcess. Se você receber o erro, ShellExecute chama o serviço de informações do aplicativo para tentar executar a tarefa solicitada com o símbolo em destaque.
  • CreateProcess: Se o aplicativo requer elevação, CreateProcess rejeita a chamada com ERROR_ELEVATION_REQUIRED.

Nível do sistema

  • Serviço de informações de aplicativos: O serviço de informações do aplicativo ajuda a iniciar aplicativos que requerem um ou mais privilégios elevados ou direitos de usuário para serem executados, criando um novo processo para o aplicativo com um token de acesso total do usuário administrativo quando a elevação é necessária.
  • Elevando uma instalação ActiveX - Elevando uma instalação ActiveX: Se o ActiveX não estiver instalado, o sistema verifica o nível do controle deslizante do UAC. Se ActiveX estiver instalado, a configuração de política de grupo Controle de Conta de Usuário será selecionada: Alterne para a área de trabalho segura ao solicitar elevação.
  • Verifique o nível do controle deslizante do UAC - Verifique o nível do UAC: O UAC tem quatro níveis de notificação para escolher e um controle deslizante para selecionar o nível de notificação: Alto, Médio, Baixo ou Sem notificação.

Experiência do usuário UACConfigurações de política de segurança do Controle de Conta de Usuário
No Windows 10, podemos fazer uso de políticas de segurança para configurar a operação do Controle de Conta de Usuário em nossa empresa.

Eles podem ser configurados localmente usando o snap-in Política de Segurança Local (secpol.msc) ou configurados para o domínio, Unidade Organizacional ou grupos específicos usando Política de Grupo. Algumas das políticas disponíveis são:

Modo de aprovação do administrador de controle de conta de usuário para conta de administrador integradoCom esta política, controlamos o comportamento do modo de aprovação do administrador para a conta do administrador integrado e as opções são:

  • Habilitado: Quando esta política está ativada, a conta de administrador interna usa o Modo de aprovação do administrador. Por padrão, qualquer operação que requeira elevação de privilégio solicitará que o usuário aprove a operação.
  • Desabilitado: É a opção padrão e, com ela, a conta de administrador integrada executa todos os aplicativos com privilégios administrativos totais.

Controle de conta de usuário - permite que o aplicativo UIAccess solicite elevação sem usar a área de trabalho seguraGraças a esta política, será possível controlar se os programas de acessibilidade da interface do usuário (UIAccess ou UIA) podem desativar automaticamente a área de trabalho segura para as mensagens de elevação usadas por um usuário padrão. Suas opções são:

  • Habilitado: Esta opção desativa automaticamente a área de trabalho segura para prompts de elevação.
  • Desabilitado: A área de trabalho segura só pode ser desabilitada pelo usuário da área de trabalho interativa ou desabilitando a configuração de política "Controle de conta de usuário: Mudar para área de trabalho segura mediante solicitação de elevação".

Controle de conta de usuário - comportamento de mensagem de elevação para administradores no modo de aprovação de administradorNesta política, controlaremos o comportamento do indicador de elevação para administradores. As opções disponíveis são:

  • Levante sem perguntar: Permite que contas privilegiadas executem uma operação que requer elevação sem a necessidade de consentimento ou credenciais do usuário.
  • Solicite credenciais na área de trabalho segura: Quando uma operação requer elevação de privilégio, o usuário é solicitado a inserir um nome de usuário e senha privilegiados na área de trabalho segura.
  • Solicitação de consentimento no desktop seguro: Quando uma operação requer uma elevação de privilégio, o usuário é solicitado a selecionar Permitir ou Negar a ação na área de trabalho segura.
  • Solicite credenciais: Quando uma operação requer elevação de privilégio, o usuário é solicitado a inserir um nome de usuário administrativo e uma senha.
  • Pedido de consentimento: Quando uma operação requer elevação de privilégio, o usuário é solicitado a selecionar Permitir ou Negar.
  • Solicitação de consentimento para binários não Windows (padrão): Quando uma operação para um aplicativo não Microsoft requer elevação de privilégio, o usuário é solicitado a selecionar Permitir ou Negar na área de trabalho segura.

Controle de conta de usuário: comportamento do indicador de elevação para usuários padrãoGraças a esta política, podemos controlar o comportamento do indicador de elevação para usuários padrão. As opções são:

  • Solicitar credenciais (padrão): Quando uma operação requer elevação de privilégio, o usuário é solicitado a inserir um nome de usuário administrativo e uma senha.
  • Negar solicitações de aumento automaticamente: Quando uma operação requer elevação de privilégio, uma mensagem de erro de acesso configurável é exibida.
  • Solicite credenciais na área de trabalho segura: Quando uma operação requer elevação de privilégio, o usuário é solicitado a inserir um nome de usuário e uma senha diferentes na área de trabalho segura.

Controle de conta de usuário - detecta instalações de aplicativos e solicita elevaçãoCom esta política, poderemos controlar o comportamento da detecção de instalação do aplicativo para o computador.
Suas opções são:

  • Ativado (padrão): Quando um pacote de instalação de aplicativo que requer elevação de privilégio é detectado, o usuário será solicitado a inserir um nome de usuário administrativo e uma senha.
  • Desabilitado: Os pacotes de instalação de aplicativos desabilitados não são detectados e as elevações são solicitadas. As empresas que executam desktops de usuário padrão e usam tecnologias de instalação delegada, como Política de Grupo ou System Center Configuration Manager, devem desabilitar esta configuração de política.

Controle de conta de usuário: carregue apenas arquivos executáveis ​​assinados e validados
Usando esta política, você define verificações de assinatura de infraestrutura de chave pública (PKI) para qualquer aplicativo interativo que solicite elevação de privilégio.

Os administradores de TI podem controlar quais aplicativos podem ser executados adicionando certificados ao armazenamento de certificados de Editores confiáveis ​​em computadores locais. Suas opções são:

  • Habilitado: Promove a validação do caminho de certificação do certificado para um determinado arquivo executável antes que ele tenha permissão para ser executado.
  • Desabilitado: Não impõe a validação do caminho de certificação do certificado antes que um arquivo executável específico tenha permissão para ser executado.

Controle de conta de usuário: eleve apenas os aplicativos UIAccess instalados em locais segurosCom esta política, será possível controlar se os aplicativos que solicitam a execução com um nível de integridade de acessibilidade da interface do usuário (UIAccess) devem residir em um local seguro no sistema de arquivos. Os locais seguros são limitados às seguintes rotas:

 \ Arquivos de programas \, \ Windows \ system32 \, \ Arquivos de programas (x86) \. 
Suas opções são:
  • Habilitado: Se um aplicativo residir em um local seguro no sistema de arquivos, ele será executado apenas com integridade UIAccess.
  • Desabilitado: Um aplicativo é executado com integridade UIAccess mesmo se não estiver em um local seguro no sistema de arquivos.

Controle de conta de usuário - Habilitar modo de aprovação do administradorAo implementar esta política, seremos capazes de controlar o comportamento de todas as configurações de política de Controle de Conta de Usuário (UAC) para o computador. Se você alterar esta configuração de política, deverá reiniciar o computador. As opções disponíveis são:

  • Habilitado: Permite que a conta de administrador integrada e todos os outros usuários que são membros do grupo Administradores sejam executados no modo de aprovação de administrador.
  • Desabilitado: Se esta configuração de política for desabilitada, a Central de Segurança irá notificá-lo de que a segurança geral do sistema operacional foi reduzida.

Controle de conta de usuário - mude para área de trabalho segura quando solicitar elevaçãoCom esta política, será possível controlar se a mensagem de solicitação de levantamento é exibida na área de trabalho do usuário interativo ou na área de trabalho segura. Lá podemos estabelecer o seguinte:

  • Habilitado: Todas as solicitações de elevação vão para a área de trabalho segura, independentemente das configurações de política de comportamento de notificação para administradores e usuários padrão.
  • Desabilitado: Todas as solicitações de elevação vão para a área de trabalho do usuário interativo. São usadas configurações de política de comportamento de administrador e usuário padrão.
  • Todas essas opções são encontradas usando a combinação de teclas + R e executando o comando secpol.msc
Na janela exibida iremos para a rota Políticas locais / opções de segurança.

Configuração de chaves de registroAs chaves de registro do UAC podem ser encontradas no seguinte caminho do editor de registro que acessamos usando as chaves e executando regedit:

 HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
Os registros disponíveis são:

FilterAdministratorTokenas opções são:

 0 (padrão) = desabilitado 1 = habilitado

EnableUIADesktopToggleSuas opções são:

 0 (padrão) = desabilitado 1 = habilitado

ConsentPromptBehaviorAdminSuas opções são:

 0 = Levantar sem solicitar 1 = Solicitar credenciais na área de trabalho segura 2 = Solicitar consentimento na área de trabalho segura 3 = Solicitar credenciais 4 = Solicitar consentimento 5 (Padrão) = Solicitar consentimento para binários não Windows

ConsentPromptBehaviorUserSuas possibilidades são:

 0 = Negar automaticamente as solicitações de elevação 1 = Solicitar credenciais em uma área de trabalho segura 3 (Padrão) = Solicitar credenciais

EnableInstallerDetectionSuas opções são:

 1 = Ativado (padrão para edições Home) 0 = Desativado (padrão para edições Enterprise)

ValidateAdminCodeSignaturesSuas opções são:

 0 (padrão) = desabilitado 1 = habilitado

EnableSecureUIAPathsSuas opções são:

 0 = Desativado 1 (padrão) = Ativado

EnableLUASuas opções são:

 0 = Desativado 1 (padrão) = Ativado

Como vimos, o UAC foi desenvolvido para nos ajudar a ter um melhor controle sobre os processos que são executados no Windows 10, sempre pensando na segurança e privacidade de cada usuário.

wave wave wave wave wave