Microsoft pada Windows Vista telah memperkenalkan mekanisme baru yang menyediakan lapisan tambahan perlindungan sistem terhadap perubahan tidak sah yang disebut Uac (Kontrol akun pengguna atau kontrol akun). Di Windows 7 (dan lebih tinggi), UAC mendapat slider pengaturan (dipanggil melalui panel kontrol atau file UserAccountControlSettings.exe), yang dengannya Anda dapat memilih satu dari empat tingkat perlindungan UAC.
Ada 4 level yang telah ditentukan dari perlindungan Kontrol Akun Pengguna yang ditentukan oleh slider:
- Level 4 - Selalu beri tahu - Selalu Beritahukan (Tingkat Keamanan Maksimum UAC)
- Level 3 - Beri tahu hanya kapan program coba untuk membuat perubahan untuk saya komputer (default) - Beri tahu hanya ketika program mencoba membuat perubahan pada komputer saya (tingkat perlindungan standar)
- Level 2 - Beri tahu hanya kapan program coba untuk membuat perubahan untuk saya komputer (lakukan tidak redup saya desktop) - sama dengan level sebelumnya, tetapi tanpa beralih ke Secure Desktop dengan kunci desktop
- Level 1 - Jangan pernah memberi tahu - Jangan pernah memberi tahu (UAC dinonaktifkan)
Secara default, Windows menggunakan Tingkat 3 Perlindungan UAC.
Mengelola pengaturan UAC dimungkinkan dengan bantuan slider dan dengan bantuan kebijakan grup. Tetapi di Editor Kebijakan Grup tidak ada kebijakan tunggal yang memungkinkan Anda untuk memilih salah satu dari 4 level perlindungan (sesuai dengan posisi slider UAC). Sebagai gantinya, diusulkan untuk menyesuaikan pengaturan UAC 10 dengan berbagai kebijakan. Kebijakan ini terletak di bagian:
Konfigurasi Komputer -> Kebijakan -> Pengaturan Windows -> Pengaturan Keamanan -> Kebijakan Lokal -> Opsi Keamanan (Konfigurasi Komputer -> Konfigurasi Windows -> Pengaturan Keamanan -> Kebijakan Lokal). Nama kebijakan terkait UAC dimulai dengan Pengguna Akun Kontrol (Kontrol Akun Pengguna).
Tabel berikut mencantumkan kebijakan UAC dan kunci registri terkait. Pengaturan UAC disimpan di cabang registri HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
| Nama Kebijakan | Kunci registri khusus kebijakan | |
| Kontrol Akun Pengguna: Mode Persetujuan Admin untuk akun Administrator Bawaan | Kontrol Akun Pengguna: Gunakan Mode Persetujuan Admin untuk Akun Administrator Internal | FilterAdministratorToken |
| Kontrol Akun Pengguna: Izinkan aplikasi UIAccess meminta peningkatan tanpa menggunakan desktop yang aman | Kontrol pengguna: izinkan aplikasi UIAccess meminta peningkatan tanpa menggunakan desktop yang aman | Aktifkan UIADesktopToggle |
| Kontrol Akun Pengguna: Perilaku prompt elevasi untuk administrator dalam Mode Persetujuan Admin | Kontrol pengguna: perilaku permintaan elevasi untuk administrator dalam mode persetujuan administrator | ConsentPromptBehaviorAdmin |
| Kontrol Akun Pengguna: Perilaku prompt elevasi untuk pengguna standar | Kontrol pengguna: perilaku permintaan elevasi untuk pengguna biasa | ConsentPromptBehaviorUser |
| Kontrol Akun Pengguna: Mendeteksi instalasi aplikasi dan meminta peningkatan | Kontrol Akun Pengguna: Deteksi Instalasi Aplikasi dan Permintaan Peningkatan | EnableInstallerDetection |
| Kontrol Akun Pengguna: Hanya meninggikan executable yang ditandatangani dan divalidasi | Kontrol Akun Pengguna: peningkatan hak hanya untuk file yang dapat dieksekusi yang ditandatangani dan diverifikasi | ValidasikanAdminCodeSignatures |
| Kontrol Akun Pengguna: Hanya meninggikan aplikasi UIAccess yang diinstal di lokasi yang aman | Kontrol Akun Pengguna: Hanya meningkatkan hak istimewa untuk aplikasi UIAccess yang dipasang di lokasi yang aman | AktifkanSecureUIAPaths |
| Kontrol Akun Pengguna: Jalankan semua administrator dalam Mode Persetujuan Admin | Kontrol Akun Pengguna: Mengaktifkan Persetujuan Admin | EnableLUA |
| Kontrol Akun Pengguna: Beralih ke desktop yang aman saat meminta elevasi | Kontrol Akun Pengguna: Beralih ke desktop yang aman saat menjalankan permintaan elevasi | PromptOnSecureDesktop |
| Kontrol Akun Pengguna: Virtualisasi kegagalan penulisan file dan registri ke lokasi per pengguna | Kontrol Akun Pengguna: ketika penulisan ke file atau registri gagal, virtualisasi ke lokasi pengguna | EnableVirtualization |
Jika Anda ingin mengatur parameter UAC melalui GPO, Anda dapat menggunakan korespondensi antara pengaturan dan empat level UAC yang dijelaskan di bawah ini:
Uac Level 1
Mode Persetujuan Admin untuk akun Administrator Bawaan = Dinonaktifkan
Izinkan aplikasi UIAccess untuk meminta elevasi tanpa menggunakan desktop aman = Dinonaktifkan
Perilaku prompt elevasi untuk administrator dalam Mode Persetujuan Admin = Tinggikan tanpa diminta
Perilaku prompt elevasi untuk pengguna standar = Prompt for credentials
Deteksi instalasi aplikasi dan prompt untuk elevasi = Diaktifkan
Hanya meninggikan executable yang ditandatangani dan divalidasi = Dinonaktifkan
Hanya meninggikan aplikasi UIAccess yang diinstal di lokasi aman = Diaktifkan
Jalankan semua administrator dalam Mode Persetujuan Admin = Dinonaktifkan
Beralih ke desktop yang aman saat meminta elevasi = Dinonaktifkan
Virtualisasikan kegagalan penulisan file dan registri ke lokasi per pengguna = Diaktifkan
Izinkan aplikasi UIAccess untuk meminta elevasi tanpa menggunakan desktop aman = Dinonaktifkan
Perilaku prompt elevasi untuk administrator dalam Mode Persetujuan Admin = Meminta persetujuan untuk binari non-Windows
Perilaku prompt elevasi untuk pengguna standar = Prompt for credentials
Deteksi instalasi aplikasi dan prompt untuk elevasi = Diaktifkan
Hanya meninggikan executable yang ditandatangani dan divalidasi = Dinonaktifkan
Hanya meninggikan aplikasi UIAccess yang diinstal di lokasi aman = Diaktifkan
Jalankan semua administrator dalam Mode Persetujuan Admin = Diaktifkan
Beralih ke desktop yang aman saat meminta elevasi = Dinonaktifkan
Virtualisasikan kegagalan penulisan file dan registri ke lokasi per pengguna = DiaktifkanUac Level 3 (oleh standar) Dalam tanda kurung adalah nilai kunci registri standar yang sesuai dengan kebijakan. Mode Persetujuan Admin untuk akun Administrator Bawaan = Nonaktif (Nilai kunci registri FilterAdministratorToken adalah 0)
Izinkan aplikasi UIAccess untuk meminta elevasi tanpa menggunakan desktop aman = Dinonaktifkan (nilai kunci registri EnableUIADesktopToggle adalah 0)
Perilaku prompt elevasi untuk administrator dalam Mode Persetujuan Admin = Prompt untuk persetujuan untuk binari non-Windows (nilai kunci registri ConsentPromptBehaviorAdmin adalah 5)
Perilaku prompt elevasi untuk pengguna standar = Prompt for credentials (nilai kunci registri ConsentPromptBehaviorUser- 3)
Mendeteksi instalasi aplikasi dan prompt untuk elevasi = Diaktifkan (nilai kunci registri EnableInstallerDetection- 0 untuk komputer dalam domain, 1 - untuk workgroups)
Hanya meninggikan executable yang ditandatangani dan divalidasi = Dinonaktifkan (nilai kunci registri ValidateAdminCodeSignatures- 0)
Hanya meninggikan aplikasi UIAccess yang diinstal di lokasi aman = Diaktifkan (EnableSecureUIAPaths- 1 nilai kunci registri)
Jalankan semua administrator dalam Mode Persetujuan Admin = Diaktifkan (Nilai kunci registri EnableLUA-1)
Beralih ke desktop yang aman ketika meminta elevasi = Diaktifkan (nilai kunci registri PromptOnSecure-1)
Virtualisasi kegagalan penulisan file dan registri ke lokasi per pengguna = Diaktifkan (nilai kunci registri EnableVirtualization- 1)Uac Level 4Mode Persetujuan Admin untuk akun Administrator Bawaan = Dinonaktifkan
Izinkan aplikasi UIAccess untuk meminta elevasi tanpa menggunakan desktop aman = Dinonaktifkan
Perilaku prompt elevasi untuk administrator dalam Mode Persetujuan Admin = Meminta persetujuan pada desktop yang aman
Perilaku prompt elevasi untuk pengguna standar = Prompt for credentials
Deteksi instalasi aplikasi dan prompt untuk elevasi = Diaktifkan
Hanya meninggikan executable yang ditandatangani dan divalidasi = Dinonaktifkan
Hanya meninggikan aplikasi UIAccess yang diinstal di lokasi aman = Diaktifkan
Jalankan semua administrator dalam Mode Persetujuan Admin = Diaktifkan
Beralih ke desktop yang aman ketika meminta elevasi = Diaktifkan
Virtualisasikan kegagalan penulisan file dan registri ke lokasi per pengguna = Diaktifkan
Jika Anda ingin memperbolehkan pengguna lebih lanjut untuk menyesuaikan pengaturan UAC sendiri, pengaturan standar pada komputer domain dapat diatur dengan menginstal kunci registri melalui GPP dengan sekali pakai (Terapkan sekali dan jangan mengajukan kembali).
