(Kiểm soát tài khoản người dùng) là một thành phần quan trọng của bảo mật Windows. Khi bạn chạy bất kỳ ứng dụng hoặc quy trình nào yêu cầu đặc quyền của quản trị viên, cố gắng thay đổi cài đặt hệ thống, khóa đăng ký được bảo vệ hoặc tệp hệ thống, thành phần UAC sẽ chuyển màn hình sang chế độ được bảo vệ (Secure Desktop) và yêu cầu quản trị viên xác nhận các hành động này. Bằng cách này, UAC giúp ngăn chặn việc khởi chạy các quy trình và phần mềm độc hại có khả năng gây hại cho máy tính của bạn.
Ảnh chụp màn hình bên dưới cho thấy điều đó khi bạn cố gắng chạy Registry Editor (regedit.exe
) trên Windows 10, cửa sổ xác nhận UAC xuất hiện:
User Account Control Do you want to allow this app to make changes to your device?
UAC không được bật cho tài khoản quản trị viên tích hợp sẵn, tài khoản này bị tắt theo mặc định trong Windows 10.
Trong bài viết này, chúng ta sẽ xem xét cách quản lý cài đặt UAC trên một máy tính hoặc nhiều máy tính trong miền bằng Chính sách nhóm.
Cấp thanh trượt kiểm soát tài khoản người dùng trên Windows 10
Trong Windows 7 (và mới hơn), cài đặt UAC trên máy tính được quản lý bằng thanh trượt đặc biệt (được gọi thông qua bảng điều khiển hoặc UserAccountControlSettings.exe
tập tin). Sử dụng thanh trượt, bạn có thể chọn một trong bốn cấp độ bảo vệ Kiểm soát tài khoản người dùng được xác định trước.
- Cấp độ 4 - Luôn thông báo - mức bảo vệ UAC cao nhất;
- Cấp độ 3 - Chỉ thông báo khi các chương trình cố gắng thực hiện các thay đổi đối với máy tính của tôi (mặc định) - mức bảo vệ mặc định;
- Cấp độ 2 - Chỉ thông báo khi các chương trình cố gắng thực hiện các thay đổi đối với máy tính của tôi (không làm mờ màn hình của tôi) - gần giống như cấp trước nhưng không cần chuyển sang Màn hình an toàn với tính năng khóa màn hình;
- Cấp độ 1 - Không bao giờ thông báo - UAC đã bị tắt.
Theo mặc định trong Windows 10, bảo vệ UAC Mức 3 được sử dụng, chỉ hiển thị thông báo khi bạn cố gắng thay đổi các tệp hoặc cài đặt hệ thống.
Làm cách nào để tắt kiểm soát tài khoản người dùng trong Windows bằng GPO?
Trong hầu hết các trường hợp, không nên tắt hoàn toàn UAC. User Account Control là một công cụ bảo mật Windows đơn giản nhưng hiệu quả. Trong thực tế của tôi, tôi không bao giờ tắt UAC trên máy tính của người dùng mà không đảm bảo rằng UAC chặn một số chức năng nhất định. Ngay cả trong những trường hợp này, vẫn có những cách giải quyết đơn giản để tắt UAC cho một ứng dụng cụ thể hoặc chạy ứng dụng mà không có quyền quản trị viên và chặn lời nhắc UAC.
Bạn có thể tắt UAC bằng Chính sách Nhóm. Trên một máy tính độc lập, bạn có thể sử dụng Local Group Policy Editor gpedit.msc
. Nếu bạn cần triển khai chính sách cho các máy tính trong miền, bạn cần sử dụng Bảng điều khiển quản lý chính sách nhóm - gpmc.msc
(hãy xem xét tùy chọn này).
- Trong Bảng điều khiển quản lý GPO miền, nhấp vào đơn vị tổ chức có máy tính mà bạn muốn tắt UAC và tạo đối tượng chính sách mới;
- Chỉnh sửa chính sách và chuyển đến phần Cấu hình máy tính -> Chính sách -> Cài đặt Windows -> Cài đặt bảo mật -> Chính sách cục bộ -> Tùy chọn bảo mật ;
- Phần này có một số tùy chọn kiểm soát cài đặt UAC. Tên của các thông số này bắt đầu bằng Kiểm soát tài khoản người dùng ;
- Để tắt hoàn toàn UAC, hãy đặt các giá trị tham số sau:
- Kiểm soát Tài khoản Người dùng:Hành vi của lời nhắc nâng cao dành cho quản trị viên trong Chế độ phê duyệt của quản trị viên =
Elevate without prompting
; - Kiểm soát Tài khoản Người dùng:Phát hiện cài đặt ứng dụng và nhắc nâng cao =
Disabled
; - Kiểm soát tài khoản người dùng:Chạy tất cả quản trị viên trong Chế độ phê duyệt của quản trị viên =
Disabled
; - Kiểm soát Tài khoản Người dùng:Chỉ nâng cấp các ứng dụng UIAccess được cài đặt ở các vị trí an toàn =
Disabled
.
- Kiểm soát Tài khoản Người dùng:Hành vi của lời nhắc nâng cao dành cho quản trị viên trong Chế độ phê duyệt của quản trị viên =
- Bạn cần khởi động lại máy khách để cập nhật cài đặt Chính sách Nhóm và tắt UAC. Sau khi khởi động lại, UAC sẽ chuyển sang chế độ “Không bao giờ thông báo”.
Bạn cũng có thể tắt UAC chỉ cho một số người dùng / máy tính thông qua sổ đăng ký và triển khai cài đặt thông qua Tùy chọn chính sách nhóm.
Tạo tham số đăng ký mới trong phần GPO Cấu hình máy tính -> Tùy chọn -> Cài đặt Windows -> Đăng ký với các cài đặt sau:
- Hành động:Thay thế
- Hive:HKEY_LOCAL_MACHINE
- Đường dẫn chính:SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
- Tên giá trị: EnableLUA
- Loại giá trị:REG_DWORD
- Dữ liệu giá trị:0
Sau đó, chuyển đến Chung và bật các tùy chọn:
- Xóa mục này khi nó không còn được áp dụng nữa
- Nhắm mục tiêu theo cấp độ mặt hàng
Nhấp vào Nhắm mục tiêu và chỉ định máy tính hoặc nhóm bảo mật miền mà bạn muốn áp dụng chính sách vô hiệu hóa UAC.
Ngay cả khi UAC bị tắt, một số ứng dụng có thể bị chặn khởi chạy với thông báo Ứng dụng này đã bị chặn để bảo vệ bạn.Cài đặt khóa đăng ký UAC
Bạn có thể quản lý cài đặt UAC thông qua sổ đăng ký. Các tham số chịu trách nhiệm về hành vi của Kiểm soát tài khoản người dùng nằm trong khóa đăng ký HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System .
Khi bạn thay đổi giá trị của thanh trượt UAC trong Control Panel, Windows sẽ thay đổi giá trị của cài đặt đăng ký từ khóa reg này như sau (bên dưới là các tệp REG sẵn sàng cho các cấp khác nhau của thanh trượt User Account Control):
UAC cấp 4 (Luôn thông báo):
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] "ConsentPromptBehaviorAdmin"=dword:00000002 "ConsentPromptBehaviorUser"=dword:00000003 "EnableInstallerDetection"=dword:00000001 "EnableLUA"=dword:00000001 "EnableVirtualization"=dword:00000001 "PromptOnSecureDesktop"=dword:00000001 "ValidateAdminCodeSignatures"=dword:00000000 "FilterAdministratorToken"=dword:00000000
UAC cấp 3 (Chỉ thông báo khi các chương trình cố gắng thực hiện thay đổi đối với máy tính của tôi):
"ConsentPromptBehaviorAdmin"=dword:00000005 "ConsentPromptBehaviorUser"=dword:00000003 "EnableInstallerDetection"=dword:00000001 "EnableLUA"=dword:00000001 "EnableVirtualization"=dword:00000001 "PromptOnSecureDesktop"=dword:00000001 "ValidateAdminCodeSignatures"=dword:00000000 "FilterAdministratorToken"=dword:00000000
UAC cấp 2:
"ConsentPromptBehaviorAdmin"=dword:00000005 "ConsentPromptBehaviorUser"=dword:00000003 "EnableInstallerDetection"=dword:00000001 "EnableLUA"=dword:00000001 "EnableVirtualization"=dword:00000001 "PromptOnSecureDesktop"=dword:00000000 "ValidateAdminCodeSignatures"=dword:00000000 "FilterAdministratorToken"=dword:00000000
UAC cấp 1 (Không bao giờ thông báo - tắt hoàn toàn UAC):
"ConsentPromptBehaviorAdmin"=dword:00000000 "ConsentPromptBehaviorUser"=dword:00000003 "EnableInstallerDetection"=dword:00000001 "EnableLUA"=dword:00000001 "EnableVirtualization"=dword:00000001 "PromptOnSecureDesktop"=dword:00000000 "ValidateAdminCodeSignatures"=dword:00000000 "FilterAdministratorToken"=dword:00000000
Bạn có thể thay đổi giá trị của bất kỳ tham số nào bằng cách sử dụng GUI của Registry Editor hoặc từ dấu nhắc lệnh. Ví dụ:để tắt UAC trên máy tính (bắt buộc phải khởi động lại), bạn có thể chạy lệnh:
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f.
Hoặc lệnh PowerShell tương tự:
New-ItemProperty -Path HKLM:Software\Microsoft\Windows\CurrentVersion\policies\system -Name EnableLUA -PropertyType DWord -Value 0 -Force
Kiểm soát Tài khoản Người dùng trên Máy chủ Windows
Kiểm soát Tài khoản Người dùng trong Windows Server hoạt động và được quản lý theo cách tương tự như trên các phiên bản Windows dành cho máy tính để bàn.
Có thể chấp nhận tắt hoàn toàn UAC trong Windows Server 2016/2019 nếu các điều kiện sau là đúng:
- Chỉ quản trị viên mới có quyền truy cập từ xa vào màn hình máy chủ (quyền truy cập RDP vào máy chủ đối với người dùng không phải là quản trị viên phải bị tắt). Trên máy chủ RDS, hãy bật UAC;
- Quản trị viên chỉ nên sử dụng Windows Server cho các tác vụ quản lý hành chính. Quản trị viên chỉ nên làm việc với các tài liệu văn phòng, trình nhắn tin, trình duyệt web trên máy trạm với tài khoản người dùng không có đặc quyền đã bật UAC chứ không phải trên các máy chủ lưu trữ (xem bài viết về các phương pháp hay nhất để bảo mật tài khoản quản trị viên).
Khi bật UAC, Windows Server không cho phép kết nối từ xa với tài khoản máy tính cục bộ (thông qua sử dụng mạng, winrm, Powershell Remoting). Mã thông báo của người dùng sẽ được lọc theo UAC LocalAccountTokenFilterPolicy
được bật tham số (đã thảo luận trong phần trước).
Thanh trượt UAC và Cài đặt chính sách nhóm
Bạn có thể quản lý cài đặt UAC bằng cả thanh trượt và GPO. Nhưng không có một tham số Group Policy nào cho phép chọn một trong bốn mức bảo vệ UAC (tương ứng với vị trí của thanh trượt UAC). Thay vào đó, bạn nên quản lý cài đặt UAC bằng cách sử dụng 10 thông số GPO khác nhau. Các chính sách này nằm trong phần sau của trình soạn thảo GPO: Cấu hình máy tính -> Chính sách -> Cài đặt Windows -> Cài đặt bảo mật -> Chính sách cục bộ -> Tùy chọn bảo mật . Các tham số Chính sách nhóm liên quan đến UAC bắt đầu bằng Kiểm soát tài khoản người dùng .
Bảng sau đây hiển thị danh sách các tham số Chính sách Nhóm UAC và các khóa đăng ký tương ứng của chúng.
Tên chính sách | Thông số đăng ký do chính sách đặt |
Kiểm soát Tài khoản Người dùng:Chế độ Phê duyệt Quản trị viên cho tài khoản Quản trị viên Tích hợp sẵn | FilterAdministratorToken |
Kiểm soát Tài khoản Người dùng:Cho phép các ứng dụng UIAccess nhắc độ cao mà không cần sử dụng màn hình bảo mật | BậtUIADesktopToggle |
Kiểm soát tài khoản người dùng:Hành vi của lời nhắc nâng cao dành cho quản trị viên trong Chế độ phê duyệt của quản trị viên | ConsentPromptBehaviorAdmin |
Kiểm soát Tài khoản Người dùng:Hành vi của lời nhắc nâng cao cho người dùng tiêu chuẩn | ConsentPromptBehaviorUser |
Kiểm soát Tài khoản Người dùng:Phát hiện cài đặt ứng dụng và nhắc nâng cao | EnableInstallerDetection |
Kiểm soát Tài khoản Người dùng:Chỉ nâng cấp các tệp thực thi đã được ký và xác thực | ValidateAdminCodeSignatures |
Kiểm soát Tài khoản Người dùng:Chỉ nâng cấp các ứng dụng UIAccess được cài đặt ở các vị trí an toàn | EnableSecureUIAPaths |
Kiểm soát Tài khoản Người dùng:Chạy tất cả quản trị viên ở Chế độ Phê duyệt Quản trị viên | EnableLUA |
Kiểm soát Tài khoản Người dùng:Chuyển sang màn hình bảo mật khi nhắc nâng cao | PromptOnSecureDesktop |
Kiểm soát Tài khoản Người dùng:Ảo hóa tệp và lỗi ghi sổ đăng ký vào các vị trí của mỗi người dùng | EnableVirtualization |
Theo mặc định, UAC Cấp 3 sử dụng cài đặt Chính sách Nhóm sau:
UAC Cấp 3 (mặc định)
Chế độ phê duyệt quản trị viên cho tài khoản quản trị viên tích hợp =Disabled
Cho phép các ứng dụng UIAccess nhắc độ cao mà không cần sử dụng màn hình bảo mật =
Disabled
Hành vi của lời nhắc nâng cao dành cho quản trị viên trong Chế độ phê duyệt của quản trị viên =
Prompt for consent for non-Windows binaries
Hành vi của lời nhắc nâng cao cho người dùng tiêu chuẩn =
Prompt for credentials on the secure desktop
Phát hiện cài đặt ứng dụng và nhắc độ cao =
Enabled
(dành cho Nhóm làm việc), Disabled
(đối với thiết bị Windows được tham gia miền) Chỉ nâng cấp các tệp thi hành đã được ký và xác thực =
Disabled
Chỉ nâng cấp các ứng dụng UIAccess được cài đặt ở các vị trí an toàn =
Enabled
Chạy tất cả quản trị viên trong Chế độ phê duyệt của quản trị viên =
Enabled
Chuyển sang màn hình nền an toàn khi nhắc độ cao =
Enabled
Lỗi ảo hóa tệp và ghi sổ đăng ký vào các vị trí của mỗi người dùng =
Enabled