مطلوب زيادة في حقوق الوصول. رفع الامتيازات في نظام التشغيل Windows. سنذهب بطريقة مختلفة

ربما يكون رفع الامتيازات إحدى النقاط الرئيسية التي يعتمد عليها سيناريو المزيد من الاختراق أو الهجوم. في كثير من الأحيان، ينتهي كل شيء في هذه المرحلة إذا لم يكن من الممكن "توسيع صلاحياتك". لذلك، سنتحدث اليوم قليلاً عن الطرق التي تسمح للمستخدم بزيادة امتيازاته ليس فقط للمسؤول، ولكن أيضًا للنظام.

مقدمة

يختلف تصعيد الامتيازات قليلاً في نظامي التشغيل Windows وLinux. على الرغم من أن كلا نظامي التشغيل يحملان العدد المعتاد من نقاط الضعف، إلا أن الباحثين لاحظوا أن خادم Windows الذي تم تصحيحه بالكامل أكثر شيوعًا بكثير من خادم Linux الذي تم تحديثه إلى أحدث حالة. بالإضافة إلى ذلك، غالبًا ما يكون وقت إصدار تصحيحات Windows أقصر، مما يجعل زيادة الامتيازات على Windows مهمة مثيرة للاهتمام وطموحة إلى حد ما. لها سنخصص قصتنا.

خيارات

إذن ما هي الفرص المتاحة لنا للارتقاء في عالم Windows؟ أولاً، تم العثور مؤخرًا على ثغرات كافية تتعلق بتحليل الخطوط في نواة نظام التشغيل، مما يجعل عملية تصعيد الامتيازات بسيطة جدًا إذا كان لديك استغلال مناسب في متناول اليد. إذا كنت تستخدم Metasploit، فإن أمر واحد فقط يكفي للحصول على غلاف النظام. ومع ذلك، من المرجح أن يعمل كل هذا بنجاح فقط إذا لم يتم تصحيح النظام بالكامل. إذا تم تثبيت جميع التحديثات على الجهاز، فلن يكون من الممكن، على عكس Linux، العثور على ثنائيات SUID، وعادةً لا يتم تمرير متغيرات البيئة إلى الخدمات أو العمليات ذات الامتيازات الأعلى. ماذا بقي لنا نتيجة لذلك؟

من المسؤول إلى النظام، أو ما يعرفه الجميع

عادةً، عندما تفكر في تصعيد الامتيازات، فإن الطريقة التي تتبادر إلى ذهنك على الفور هي استخدام برنامج جدولة المهام. في نظام التشغيل Windows، يمكنك إضافة مهمة باستخدام أداتين مساعدتين: at وschtasks. والثاني سيقوم بتشغيل المهمة نيابة عن المستخدم الذي أضاف المهمة، بينما سيتم تشغيل الأول نيابة عن النظام. هناك خدعة قياسية ربما سمعت عنها والتي تتيح لك تشغيل وحدة التحكم بحقوق النظام:

الساعة 13:01 /cmd التفاعلي

الشيء الثاني الذي يتبادر إلى الذهن هو إضافة خدمة تقوم بتشغيل الملف المطلوب / تنفيذ الأمر:

@echo off @break off العنوان root Cls echo إنشاء الخدمة. sc create evil binpath= "cmd.exe /K start" type= own type=تفاعل > nul 2>&1 echo بدء الخدمة. sc start evil > nul 2>&1 echo في وضع الاستعداد... ping 127.0.0.1 -n 4 > nul 2>&1 echo إزالة الخدمة. صدى صوت. sc حذف الشر > nul 2>&1

الطريقة الثالثة هي استبدال الأداة المساعدة للنظام C:\windows\system32\sethc.exe، على سبيل المثال، cmd. إذا قمت بتسجيل الخروج بعد ذلك وقمت بالضغط على مفتاح Shift عدة مرات، فستظهر وحدة تحكم تتمتع بحقوق النظام.

أما بالنسبة للطرق الآلية، فإن Metasploit ونظام getsystem الخاص به يتبادران إلى الذهن على الفور. الخيار البديل هو PsExec من Sysinternals (psexec -i -s -d cmd.exe).

سنذهب بطريقة مختلفة

كل هذه الطرق لها عيب مشترك: امتيازات المسؤول مطلوبة. وهذا يعني أننا نقوم بتصعيد الامتيازات من حساب مميز. في معظم الحالات، عندما تحصل على حقوق المسؤول، يكون لديك مجموعة من الخيارات حول كيفية الارتقاء إلى مستوى أعلى. لذلك فهي ليست مهمة صعبة للغاية. سنتحدث اليوم عن طرق تصعيد الامتيازات التي لا تستخدم أي ثغرات 0day، على افتراض أن لدينا نظام عادي وحساب مستخدم عادي لا يتمتع بأي امتيازات.

البحث عن أوراق الاعتماد

إحدى الطرق الموثوقة والمستقرة لزيادة الامتيازات والحصول على موطئ قدم في النظام هي الحصول على كلمات المرور الخاصة بالمسؤولين أو المستخدمين ذوي الامتيازات الأعلى. والآن حان الوقت لتذكر التثبيت الآلي للبرامج. إذا كنت تدير نطاقًا يتضمن أسطولًا كبيرًا من الأجهزة، فمن المؤكد أنك لا تريد تثبيت البرامج على كل منها يدويًا. وسوف يستغرق الأمر الكثير من الوقت بحيث لن يكون هناك ما يكفي لأية مهام أخرى. لذلك، يتم استخدام عمليات التثبيت غير المراقبة، والتي تنشئ ملفات تحتوي على كلمات مرور المسؤول في أنقى صورها. وهو ببساطة كنز لكل من المخترقين والمهاجمين.

المنشآت غير المراقبة

في حالة التثبيت التلقائي، يظل الملف Unattending.xml، وهو أمر مثير للاهتمام للغاية بالنسبة لنا، على العميل، والذي يوجد عادةً إما في %WINDIR%\Panther\Unattend\ أو في %WINDIR%\Panther\ ويمكنه قم بتخزين كلمة مرور المسؤول بنص واضح. من ناحية أخرى، للحصول على هذا الملف من الخادم، لا تحتاج حتى إلى أي مصادقة. ما عليك سوى العثور على خادم "Windows Deployment Services". للقيام بذلك، يمكنك استخدام البرنامج النصي المساعد/scanner/dcerpc/windows_deployment _services من Metasploit. على الرغم من أن خدمات نشر Windows ليست الطريقة الوحيدة لإجراء عمليات التثبيت التلقائية، إلا أن الملف Unattending.xml يعتبر معيارًا، لذلك يمكن اعتبار اكتشافه ناجحًا.

جي بي بي

غالبًا ما تحتوي ملفات XML لتفضيلات نهج المجموعة على مجموعة من بيانات الاعتماد المشفرة التي يمكن استخدامها لإضافة مستخدمين جدد وإنشاء مشاركات وما إلى ذلك. ولحسن الحظ، فإن طريقة التشفير موثقة، بحيث يمكنك بسهولة الحصول على كلمات المرور في شكلها النقي. علاوة على ذلك، فقد قام فريق Metasploit بالفعل بكل شيء من أجلك - فقط استخدم الوحدة /post/windows/gather/credentials/gpp.rb. إذا كنت مهتمًا بالتفاصيل، فكل المعلومات الضرورية متوفرة على هذا الرابط.

حقوق المستخدم

في كثير من الأحيان، يكون تصعيد الامتيازات نتيجة لحقوق المستخدم التي تم تكوينها بشكل غير صحيح. على سبيل المثال، عندما يكون مستخدم المجال مسؤولاً محليًا (أو مستخدمًا قويًا) على المضيف. أو عندما يكون مستخدمو المجال (أو أعضاء مجموعات المجال) مسؤولين محليين على كافة المضيفين. في هذه الحالة، لن تضطر حقًا إلى فعل أي شيء. لكن مثل هذه الخيارات لا تأتي في كثير من الأحيان.

AlwaysInstallElevated

في بعض الأحيان يسمح المسؤولون للمستخدمين العاديين بتثبيت البرامج بأنفسهم، عادةً من خلال مفاتيح التسجيل التالية:

HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated

HKCU\SOFTWARE\Policies\Microsoft\Window s\Installer\AlwaysInstallElevated

يخبرون النظام أنه يجب تثبيت أي ملف MSI بامتيازات مرتفعة (NT AUTHORITY\SYSTEM). وبناء على ذلك، باستخدام ملف تم إنشاؤه خصيصًا، يمكنك مرة أخرى تنفيذ الإجراءات نيابة عن النظام وترقية امتيازاتك.

يتضمن Metasploit وحدة خاصة استغلال/windows/local/always_install_elevated، والتي تنشئ ملف MSI مع ملف خاص قابل للتنفيذ مضمن فيه، والذي يتم استخراجه وتنفيذه بواسطة المثبت بامتيازات النظام. بمجرد التنفيذ، يقوم ملف MSI بإحباط التثبيت (عن طريق استدعاء VBS غير صالح تم إعداده خصيصًا) لمنع تسجيل الإجراء على النظام. بالإضافة إلى ذلك، إذا بدأت التثبيت باستخدام المفتاح /quiet، فلن يرى المستخدم أي خطأ.

التشغيل التلقائي مفقود

غالبا ما يحدث أن يحتفظ النظام بسجل للملف الذي يجب تشغيله تلقائيا، حتى بعد أن يكون الملف نفسه قد غرق بالفعل في غياهب النسيان. ربما تمت إزالة بعض الخدمات بشكل غير صحيح - لا يوجد ملف قابل للتنفيذ، ولكن يبقى إدخال التسجيل، وفي كل مرة تبدأ فيها تشغيل النظام يحاول تشغيله دون جدوى، وملء سجل الأحداث برسائل حول الفشل. يمكن أيضًا استخدام هذا الموقف لتوسيع صلاحياتك. الخطوة الأولى هي العثور على كافة هذه السجلات المعزولة. على سبيل المثال، استخدام الأداة المساعدة autorunsc من Sysinternals.

Autorunsc.exe -a | findstr /n /R "الملف\ غير\ موجود"

وبعد ذلك، كما خمنت، كل ما تبقى هو وضع مرشحك بطريقة ما بدلاً من الملف المفقود.

سحر الاقتباسات

نعم، نعم، لا يمكن لعلامات الاقتباس أن تلعب فقط مزحة قاسية في استعلامات SQL، مما يسمح بالحقن، ولكنها تساعد أيضًا في رفع الامتيازات. المشكلة قديمة جدًا وكانت معروفة منذ زمن العهد الجديد. النقطة المهمة هي أن المسارات إلى الملفات القابلة للتنفيذ لبعض الخدمات ليست محاطة بعلامات اقتباس (على سبيل المثال، ImagePath=C:\Program Files\Common Files\Network Associates\McShield\McShield.exe)، وتوجد أحرف مسافات في الملف. طريق. في هذه الحالة، إذا قام المهاجم بإنشاء ملف يضيف مسؤولين جدد إلى النظام أو ينفذ بعض الإجراءات الأخرى، ويطلق عليه اسم C:\Program Files\common.exe، فسيكون شائعًا عند بدء الخدمة في المرة التالية. exe الذي سيتم تشغيله، وسيتم أخذ الجزء المتبقي من المسار كوسيطة (وسائط). من الواضح أن المستخدم الذي لا يتمتع بالامتيازات لن يتمكن من وضع أي شيء في ملفات البرنامج، ولكن قد يكون الملف القابل للتنفيذ للخدمة موجودًا في دليل آخر، أي أن المستخدم ستتاح له الفرصة للانزلاق في ملفه الخاص.

من أجل استخدام هذه التقنية، تحتاج إلى العثور على خدمة ضعيفة (والتي لن تستخدم علامات الاقتباس في المسار إلى ثنائيها). هذا يفعل كما يلي:

تحصل خدمة Wmic على الاسم واسم العرض واسم المسار ووضع التشغيل |findstr /i "auto" |findstr /i /v "c: \windows\\" |findstr /i /v """

صحيح أن هذا سيتطلب امتيازات المسؤول في نظام التشغيل XP، لذا من الأفضل استخدام الطريقة التالية هناك: احصل على قائمة الخدمات - استعلام sc، ثم انظر إلى المعلومات الخاصة بكل خدمة - sc qc Servicename .

كل ذلك حسب الخطة

هناك آلية أخرى يمكن أن تساعد في رفع الحقوق وعادةً ما يتم نسيانها وهي برنامج جدولة المهام. تتيح لك الأداة المساعدة schtasks تعيين المهام لأحداث معينة. الأكثر إثارة للاهتمام بالنسبة لنا هي ONIDLE وONLOGON وONSTART. كما تشير الأسماء، سيتم تنفيذ ONIDLE في كل مرة يكون فيها الكمبيوتر خاملاً، ONLOGON وONSTART - عندما يقوم المستخدم بتسجيل الدخول وعند بدء تشغيل النظام، على التوالي. وبالتالي، يمكن تعيين مهمة منفصلة لكل حدث. على سبيل المثال، عند بدء تشغيل النظام، انسخ برنامجًا ثنائيًا ضارًا/keylogger/... في مكان ما وقم بتشغيله. عندما يقوم المستخدمون بتسجيل الدخول، قم بتشغيل أداة تفريغ بطاقة الائتمان. باختصار، كل شيء يقتصر فقط على خيالك والمهمة التي بين يديك.

الحيل مع الأذونات

عادةً ما تكون أذونات الملفات هي الدفاع الأول الذي يمنعنا من تصعيد امتيازاتنا. قد يكون من المغري الكتابة فوق بعض ملفات النظام (على سبيل المثال، نفس ملف sethc.exe المذكور في بداية المقالة) والحصول على امتيازات النظام على الفور. لكن كل هذه مجرد أحلام، وفي الواقع ليس لدينا سوى الإذن بقراءتها، وهو ما لا يمنحنا شيئًا على الإطلاق. ومع ذلك، لا ينبغي أن تعلق أنفك، لأنه مع التصاريح، ليس كل شيء على نحو سلس للغاية - هنا، كما هو الحال في أي مكان آخر، هناك مزالق، ومعرفة ما يسمح لك بجعل المستحيل ممكنا.

يعد أحد أدلة النظام المحمية بهذه الآلية مثيرًا للاهتمام بشكل خاص من حيث تصعيد الامتيازات - ملفات البرنامج. يتم منع المستخدمين غير المميزين من الوصول إلى هناك. ومع ذلك، يحدث أحيانًا أنه أثناء عملية التثبيت، يقوم المثبتون بتعيين أذونات الملفات بشكل غير صحيح، مما يؤدي إلى منح جميع المستخدمين حق الوصول الكامل إلى الملفات القابلة للتنفيذ. ما يلي من هذا - لقد خمنت بالفعل.

هناك قيد آخر وهو أنه لا يُسمح للبشر العادي بالكتابة إلى جذر قرص النظام. ومع ذلك، على سبيل المثال، في نظام XP، عند إنشاء دليل جديد في جذر القرص، تتلقى مجموعة BUILTIN\Users أذونات FILE_APPEND_DATA وFILE_WRITE_DATA (حتى لو كان مالك المجلد مسؤولًا):

BUILTIN\Users:(OI)(CI)R BUILTIN\Users:(CI)(وصول خاص:) FILE_APPEND_DATA BUILTIN\Users:(CI)(وصول خاص:) FILE_WRITE_DATA

في "السبعة" يحدث نفس الشيء تقريبًا، فقط مجموعة المستخدمين المعتمدين هي التي تحصل على الإذن. كيف يمكن أن يصبح هذا السلوك مشكلة؟ كل ما في الأمر هو أن بعض التطبيقات تقوم بتثبيت نفسها خارج الأدلة المحمية، مما يجعل من السهل استبدال ملفاتها القابلة للتنفيذ. على سبيل المثال، حدث مثل هذا الحادث مع Metasploit Framework في حالة تثبيته متعدد المستخدمين. تم إصلاح هذا الخطأ في الإصدار 3.5.2، وتم نقل الأداة المساعدة إلى ملفات البرنامج.

كيفية البحث عن مثل هذه الدلائل/الملفات

إن العثور على دليل بأذونات غير صحيحة هو بالفعل نصف المعركة. ومع ذلك، يجب عليك أولا العثور عليه. للقيام بذلك، يمكنك استخدام الأداتين التاليتين: AccessChk وCacls/ICacls. للعثور على الدلائل "الضعيفة" باستخدام AccessChk، ستحتاج إلى هذه الأوامر:

Accesschk.exe -uwdqs users c:\ accesschk.exe -uwdqs "المستخدمون المعتمدون" c:\

للبحث عن الملفات ذات الأذونات "الضعيفة"، استخدم ما يلي:

Accesschk.exe -uwqs users c:\*.* accesschk.exe -uwqs "المستخدمون المعتمدون" c:\*.*

يمكن فعل الشيء نفسه باستخدام Cacls/ICacls:

Cacls "c:\ملفات البرنامج" /T | مستخدمو Findstr

الحيل مع الخدمات

هناك خيار آخر للارتقاء في النظام وهو الاستفادة من التكوينات الخاطئة وأخطاء الخدمة. كما تبين الممارسة، ليس فقط الملفات والمجلدات، ولكن أيضا الخدمات التي تعمل في النظام يمكن أن يكون لها أذونات غير صحيحة. لاكتشاف ذلك، يمكنك استخدام الأداة المساعدة AccessChk من Mark Russinovich المعروف:

Accesschk.exe –uwcqv *

سيكون من المشجع للغاية رؤية إذن SERVICE_ALL_ACCESS للمستخدمين المعتمدين أو المستخدمين المتميزين. ولكن يمكن أيضًا اعتبار ما يلي نجاحًا كبيرًا:

• SERVICE_CHANGE_CONFIG - يمكننا تغيير الملف القابل للتنفيذ للخدمة؛
• WRITE_DAC - يمكن تغيير الأذونات، مما يؤدي إلى الحصول على إذن SERVICE_CHANGE_CONFIG؛
• WRITE_OWNER - يمكنك أن تصبح المالك وتغيير الأذونات؛
• GENERIC_WRITE - يرث الأذونات SERVICE_CHANGE_CONFIG؛
• GENERIC_ALL - يكتسب أذونات SERVICE_CHANGE_CONFIG.

إذا وجدت أن واحدًا (أو أكثر) من هذه الأذونات قد تم تعيينه لمستخدمين لا يتمتعون بالامتيازات، فستزداد فرصك في تصعيد امتيازاتك بشكل كبير.

كيفية زيادة؟

لنفترض أنك وجدت خدمة مناسبة، وحان الوقت للعمل عليها. سوف تساعد الأداة المساعدة لوحدة التحكم sc في هذا الأمر. أولاً، نحصل على معلومات كاملة حول الخدمة التي نهتم بها، لنفترض أنها خدمة upnphost:

SC مراقبة الجودة upnphost

فلنقم بتكوينه باستخدام نفس الأداة المساعدة:

Sc config vulnsrv binpath= "net user john hello /add &&net localgroup Administrators john /add" type=تفاعل sc config upnphost obj= ".\LocalSystem" كلمة المرور=“”

كما ترون، في المرة التالية التي تبدأ فيها الخدمة، بدلاً من الملف القابل للتنفيذ، سيتم تنفيذ الأمر net user john hello /add && net localgroup Administrators john /add، مما يضيف مستخدمًا جديدًا john بكلمة المرور hello إلى النظام. كل ما تبقى هو إعادة تشغيل الخدمة يدويًا:

صافي توقف upnphost صافي بدء upnphost

هذا كل السحر.

ما هي النتيجة؟

ذات مرة، قرأت مقالًا في مجلة يوضح التقنيات الأساسية لتصعيد الامتيازات في Windows. لم أعلق عليها أهمية كبيرة في ذلك الوقت، لكن النظرية ظلت عالقة في رأسي وساعدتني كثيرًا ذات مرة. لذا، آمل أن تجد شيئًا جديدًا لنفسك في هذا المقال والذي سيساعدك يومًا ما في التغلب على حاجز آخر.

سنتحدث اليوم عن تصعيد امتيازات Windows. سوف تتعلم كيف يمكن للمهاجم تصعيد الامتيازات وكيفية حماية نفسك من ذلك.

جميع المعلومات هي لأغراض إعلامية فقط. ولا يتحمل محررو الموقع ولا كاتب المقال المسؤولية عن الاستخدام غير السليم له.

رفع الامتيازات مع BeRoot

ترتبط معظم طرق رفع الامتيازات بأخطاء في تكوين البرنامج المثبت، سواء كان ذلك المسار إلى الملف القابل للتنفيذ للخدمة، غير محاط بعلامات اقتباس ويحتوي على مسافة (يتم التعامل مع هذا الموقف بشكل مثير للاهتمام بواسطة Windows)، أو بشكل غير صحيح تعيين الحقوق إلى الدليل مع التطبيق.

الإنسان مخلوق كسول ولا يريد التحقق من كل هذا يدويًا في كل مرة. لذلك، عاجلاً أم آجلاً، كان لا بد من ظهور أداة تعمل على أتمتة هذا الروتين.

مقبض تسجيل الدخول الثانوي

هناك خدعة أخرى مثيرة للاهتمام تتضمن استخدام خدمة تسجيل الدخول الثانوي. تتيح لك هذه الخدمة تشغيل البرامج ووحدات تحكم إدارة Microsoft وعناصر لوحة التحكم كمسؤول، حتى لو كان المستخدم الحالي ينتمي فقط إلى مجموعة المستخدمين أو Power Users. النقطة المهمة هي أن هذه الخدمة لا تقوم بمسح المقابض عند إنشاء عمليات جديدة.

ما يهمنا هو أن جميع إصدارات Windows تقريبًا (x32 وx64) معرضة لهذه الثغرة الأمنية: من Vista إلى Windows 2012 Server. ولكن هناك أيضًا قيود: لتصعيد الامتيازات بنجاح، يجب أن يكون لدى النظام PowerShell 2.0 أو أعلى مثبتًا، بالإضافة إلى اثنين أو أكثر من مراكز وحدة المعالجة المركزية. يحتوي Metasploit Framework على وحدة خاصة للاستغلال/windows/local/ms16_032_ Secondary_logon_handle_privesc.

استخدامه يعني أن لدينا بالفعل جلسة مترجم، والتي يجب أن نحددها في المعلمات: ضبط الجلسة 1. حسنًا، في حالة الاستغلال الناجح، سيكون لدينا جلسة أخرى بامتيازات مرتفعة.

خاتمة

بغض النظر عن مدى صعوبة محاولتي دمج جميع الخيارات الممكنة لزيادة الامتيازات في مقال واحد، فمن غير المرجح أن ينجح هذا، أو ستنمو المقالة إلى أبعاد هائلة ولن تكون مثيرة للاهتمام بالنسبة لك. لذلك حان الوقت لنسميه اليوم. سنتحدث عن الحماية في مقال منفصل.

تتطلب العديد من البرامج رفع الحقوق عند بدء التشغيل (أيقونة الدرع بجوار الأيقونة)، ولكنها في الواقع لا تتطلب حقوق المسؤول لتشغيلها العادي (على سبيل المثال، قمت يدويًا بمنح الحقوق اللازمة للمستخدمين لدليل البرنامج في ProgramFiles و فروع التسجيل التي يستخدمها البرنامج). وفقًا لذلك، عند تشغيل مثل هذا البرنامج كمستخدم بسيط، إذا تم تمكين التحكم في حساب المستخدم على الكمبيوتر، فستظهر مطالبة UAC وسيُطلب من المستخدم إدخال كلمة مرور المسؤول. لتجاوز هذه الآلية، يقوم الكثيرون ببساطة بتعطيل UAC أو منح حقوق مسؤول المستخدم على الكمبيوتر عن طريق إضافته إلى مجموعة المسؤولين المحليين. وبطبيعة الحال، كلتا الطريقتين غير آمنتين.

لماذا قد يحتاج التطبيق العادي إلى حقوق المسؤول

قد يحتاج البرنامج إلى حقوق المسؤول لتعديل ملفات معينة (السجلات والتكوينات وما إلى ذلك) في المجلد الخاص به في C:\Program Files (x86)\SomeApp). بشكل افتراضي، ليس لدى المستخدمين حقوق لتحرير هذا الدليل؛ لذلك، للتشغيل العادي لمثل هذا البرنامج، تكون حقوق المسؤول مطلوبة. لحل هذه المشكلة، تحتاج إلى تعيين حقوق التغيير/الكتابة يدويًا للمستخدم (أو مجموعة المستخدمين) لمجلد البرنامج كمسؤول على مستوى NTFS.

ملحوظة. في الواقع، فإن ممارسة تخزين بيانات التطبيق المتغيرة في الدليل الخاص به ضمن ملفات C:\Program غير صحيحة. من الأصح تخزين بيانات التطبيق في ملف تعريف المستخدم. لكن هذه مسألة كسل وعدم كفاءة المطورين.

تشغيل برنامج يتطلب حقوق المسؤول من مستخدم قياسي

لقد وصفنا سابقًا كيف يمكنك استخدام معلمة RunAsInvocer. ومع ذلك، هذه الطريقة ليست مرنة بما فيه الكفاية. يمكنك أيضًا استخدامه مع حفظ كلمة مرور المسؤول /SAVECRED (غير آمن أيضًا). دعونا نفكر في طريقة أبسط لإجبار أي برنامج على التشغيل بدون حقوق المسؤول (وبدون إدخال كلمة مرور المسؤول) مع تمكين UAC (4.3 أو المستوى 2).

على سبيل المثال، لنأخذ أداة تحرير التسجيل - رجديت.exe(وهو موجود في الدليل C:\windows\system32). عند تشغيل regedit.exe، تظهر نافذة UAC، وما لم تؤكد رفع الامتيازات، فلن يبدأ محرر التسجيل.

لنقم بإنشاء ملف على سطح المكتب تشغيل كغير admin.batمع النص التالي:

cmd /min /C "set __COMPAT_LAYER=RUNASINVOKER && start "" %1"

الآن لإجبار التطبيق على التشغيل بدون حقوق المسؤول وقمع مطالبة UAC، ما عليك سوى سحب ملف exe المطلوب إلى ملف الخفافيش هذا على سطح المكتب.

بعد ذلك، يجب أن يبدأ محرر التسجيل دون ظهور مطالبة UAC. افتح مدير العمليات وأضف عمودًا مرتفعة(مع مستوى إذن أعلى)، سترى أن النظام لديه عملية regedit.exe بحالة غير مرتفعة (تعمل مع حقوق المستخدم).

حاول تحرير أي معلمة في فرع HKLM. كما ترون، تم رفض الوصول لتحرير التسجيل في هذا الفرع (هذا المستخدم ليس لديه حقوق الكتابة إلى فروع تسجيل النظام). ولكن يمكنك إضافة المفاتيح وتحريرها في فرع التسجيل الخاص بالمستخدم - HKCU.

وبنفس الطريقة، يمكنك تشغيل تطبيق معين من خلال ملف الخفافيش، فقط قم بتحديد المسار إلى الملف القابل للتنفيذ.

تشغيل التطبيق باسم غير admin.bat

تعيين مسار التطبيق = "C:\Program Files\MyApp\testapp.exe"
cmd /min /C "set __COMPAT_LAYER=RUNASINVOKER && start "" %ApplicationPath%"

يمكنك أيضًا إضافة قائمة سياقية، مما يضيف إمكانية تشغيل جميع التطبيقات بدون رفع. للقيام بذلك، قم بإنشاء ملف ريج التالي واستيراده إلى التسجيل.

محرر سجل ويندوز الإصدار 5.00

@="cmd /min /C \"set __COMPAT_LAYER=RUNASINVOKER && start \"\" \"%1\"\""

بعد ذلك، لتشغيل أي تطبيق دون حقوق المسؤول، ما عليك سوى تحديد العنصر "" في قائمة السياق.

__COMPAT_LAYER متغير البيئة ومعلمة RunAsInvocer

يتيح لك متغير البيئة __COMPAT_LAYER ضبط مستويات توافق مختلفة للتطبيقات (علامة التبويب التوافقفي خصائص ملف exe). باستخدام هذا المتغير، يمكنك تحديد إعدادات التوافق التي يجب تشغيل البرنامج بها. على سبيل المثال، لتشغيل التطبيق في وضع التوافق مع Windows 7 وبدقة 640 × 480، قم بتعيين:

اضبط __COMPAT_LAYER=Win7RTM 640x480

من بين خيارات المتغير __COMPAT_LAYER التي تهمنا، نسلط الضوء على المعلمات التالية:

• RunAsInvocer- إطلاق تطبيق بامتيازات العملية الأصلية دون طلب UAC.
• RunAsHighest- تشغيل التطبيق بالحد الأقصى من الحقوق المتاحة للمستخدم (يظهر طلب UAC إذا كان المستخدم لديه حقوق المسؤول).
• شغلها كمسؤول- قم بتشغيل التطبيق باستخدام حقوق المسؤول (تظهر مطالبة AUC دائمًا).

أولئك. لا توفر المعلمة RunAsInvocer حقوق المسؤول، ولكنها تحظر فقط مظهر نافذة UAC.

حسنًا، الفرق بين أحدهما والآخر هو فقط في كيفية تعيين معلمات التوافق، في الحالة الأولى - يدويًا، في الثانية - نفس الشيء، فقط من خلال المعالج. ولكن شكرا على أي حال على الإجابة التفصيلية))

شكرا، انا اعرف))))))))))))))))))

حسنًا، أنا مسؤول (ربما أكون أميًا بعض الشيء، لكني آمل أن أتمكن من اللحاق بالركب...) كيف يمكن السماح لي بتشغيل هذا التطبيق (وهذا فقط)؟ في الوقت نفسه، حتى لا يركض باستمرار إلى جهازه (لإدخال كلمة مرور المسؤول المحلي، التي لا ينبغي له أن يعرفها) عندما يحتاج إلى تشغيل هذا التطبيق.

وأنا ممتن جدًا لك على تذكيري بجزء من المحاضرة حول موضوع "أنظمة التشغيل". اسمحوا لي أن أقدم لكم مثالاً آخر، كلاسيكيًا الآن:

في بعض الأحيان يحتاج المستخدم إلى تغيير كلمة مرور تسجيل الدخول الخاصة به. ليس لدى المستخدم نفسه حقوق الوصول إلى قاعدة بيانات كلمات المرور. ومع ذلك، فإن البرنامج الذي يستخدمه لتغيير كلمة المرور يعمل بحقوق مرتفعة. مما يسمح له بتغيير كلمة المرور الخاصة به في النهاية.

لذلك، حالتي مماثلة. كيف "أخبر" النظام أن البرنامج يجب أن يعمل بحقوق مرتفعة؟ في هذه الحالة، سيتم تشغيله بواسطة مستخدم من مجموعة "المستخدم"/"المستخدم القوي".

يمكن فعل ذلك عن طريق تشغيل البرنامج كـ "مهمة مجدولة" كمستخدم مختلف. سيكون كل شيء على ما يرام - حتى أنه يبدأ، ولكن لا يتم عرض الواجهة الرسومية (نوافذ البرنامج) على سطح مكتب المستخدم...

تناقض مفهوم؟؟؟ لقد قدمت مثالاً أعلاه - المهمة قياسية تمامًا لأي نظام تشغيل. لا أريد حل المشكلة باستخدام أدوات الطرف الثالث (غير مضمنة في نظام التشغيل Windows Vista). لقد قمت بالفعل بتعطيل UAC - على أي حال، يعمل التطبيق بشكل صحيح فقط مع حقوق المسؤول، وهذا هو الأمر - محدد.... لا يبدو من الممكن تضمين هذا المستخدم في مجموعة "المسؤولين" المحلية لأسباب أمنية .

فيما يتعلق بالسيناريو - ل اهرب مثلهناك علامة تسمح لك بتذكر كلمة المرور، ولكن في هذه الحالة سيكون المستخدم قادرا على التشغيل أيالبرنامج مع حقوق المسؤول.

هذا يعني أنني لا أرغب في إطلاق برنامج لم ير أحد كود مصدره، ولا يُعرف أي شيء عن المورد، ويكون موقعه الإلكتروني "في أيدي الناس". وماذا عن المستخدمين - إيه، لو كان ذلك كافيًا، لما ظهرت هذه المناقشة في المنتدى ..... =(

أود أن أصدق أنه ليس كل شيء سيئًا للغاية.

يصف جزء من المقالة بالتفصيل مبدأ تشغيل التحكم في حساب المستخدم. سنتحدث في هذا الجزء عن إعداد UAC في حالة تشغيل جهاز الكمبيوتر الخاص بك بشكل مستقل، أي أنه ليس جزءًا من مجال Active Directory. لتكوين التحكم في حساب المستخدم، استخدم ميزة سياسة الأمان المحلية، والتي يمكن العثور عليها في محرر كائنات نهج المجموعة المحلي.

هناك 10 إعدادات لنهج المجموعة مسؤولة عن تكوين التحكم في حساب المستخدم. لتغيير إعدادات السياسة، تحتاج إلى فتح الأداة الإضافية "محرر نهج المجموعة المحلي"العقدة: تكوين الكمبيوتر\تكوين Windows\إعدادات الأمان\السياسات المحلية\إعدادات الأمان. ستوضح لك هذه المقالة أيضًا كيفية تكوين كل إعداد سياسة باستخدام سجل النظام. يوضح الجدول التالي القيم الافتراضية لكل إعداد سياسة.

إعدادات سياسة مجموعة التحكم في حساب المستخدم الافتراضية:

تتم مناقشة إعدادات نهج المجموعة المتعلقة بالتحكم في حساب المستخدم (UAC) بالتفصيل أدناه:

يعمل جميع المسؤولين في وضع موافقة المسؤول

يحدد إعداد النهج هذا خصائص جميع سياسات التحكم في حساب المستخدم للكمبيوتر. يحدد هذا الإعداد ما إذا كانت حسابات المسؤول سيتم تشغيلها في "وضع موافقة المسؤول"، أي ما إذا كان سيتم عرض مربعات حوار تطالب برفع الامتيازات. يؤدي تعطيل هذا الإعداد تقريبًا إلى تعطيل وظيفة التحكم في حساب المستخدم تمامًا. إذا قمت بتغيير إعداد النهج هذا، يجب عليك إعادة تشغيل الكمبيوتر. يتم تمكين القيمة الافتراضية.

قيم المعلمات المحتملة:

• متضمنة. يتم تمكين وضع موافقة المسؤول للسماح بحساب المسؤول المضمن وجميع المستخدمين الآخرين الأعضاء في المجموعة "المسؤولين"، العمل في وضع موافقة المسؤول.
• عاجز. سيتم تعطيل وضع موافقة المسؤول وجميع إعدادات سياسة التحكم في حساب المستخدم المرتبطة.

;تعطيل "EnableLUA"=dword:00000000

كشف تثبيت التطبيق والمطالبة بالارتفاع

يحدد هذا الإعداد خصائص الكشف عن تثبيت التطبيق لجهاز الكمبيوتر عن طريق التحقق مما إذا كانت البرامج المستخدمة لنشر التطبيقات موقعة أم لا. افتراضيًا، إذا كان المستخدم عضوًا في مجموعة عمل، فسيتم تمكينه.

قيم المعلمات المحتملة:

• ممكّن (الافتراضي للمنزل). إذا اكتشف مثبت التطبيق الحاجة إلى امتيازات مرتفعة، فسيُطلب من المستخدم إدخال اسم المستخدم وكلمة المرور لحساب المسؤول. إذا قام المستخدم بإدخال بيانات الاعتماد الصحيحة، فستستمر العملية بالحقوق المناسبة. يعتمد نوع الطلب على المجموعة التي ينتمي إليها المستخدم.
• معطل (الافتراضي للمؤسسة). عند تحديد هذا الإعداد، لا يطالبك اكتشاف مثبت التطبيق بالترقية. عادةً، يتم استخدام هذا الإعداد في المؤسسات التي تعد أجهزة الكمبيوتر والمستخدمين فيها جزءًا من مجال ويستخدمون تقنيات التثبيت المفوضة (تثبيت برامج نهج المجموعة - GPSI) لنشر التطبيقات. وبناء على ذلك، ليست هناك حاجة للكشف عن المثبت.

إعدادات السياسة الحالية باستخدام التسجيل:

;تعطيل "EnableInstallerDetection"=dword:00000000

قم بالتبديل إلى سطح المكتب الآمن عندما يُطلب منك الترقية

يحدد إعداد السياسة هذا ما إذا كانت مطالبات الرفع سيتم عرضها على سطح المكتب التفاعلي للمستخدم أو على سطح المكتب الآمن عند بدء مطالبة UAC. يتم تمكين القيمة الافتراضية. إذا قمت بتغيير إعداد النهج هذا، يجب عليك إعادة تشغيل الكمبيوتر.

قيم المعلمات المحتملة:

• متضمنة. يتم عرض جميع طلبات الترقية على سطح المكتب الآمن، بغض النظر عن إعدادات سياسة السلوك الفوري للمسؤولين والمستخدمين القياسيين.
• عاجز. يتم عرض جميع طلبات رفع الحقوق على سطح المكتب التفاعلي للمستخدم.

إعدادات السياسة الحالية باستخدام التسجيل:

;تعطيل "PromptOnSecureDesktop"=dword:00000000

سلوك مطالبة الترقية للمسؤولين في وضع موافقة المسؤول

يتيح لك الإعداد الحالي تحديد تصرفات المستخدم الذي هو عضو في المجموعة "المسؤولين"عند تنفيذ عملية تتطلب رفع الحقوق. تم تعيين القيمة الافتراضية "طلب الموافقة على ثنائيات الطرف الثالث (غير Windows)".

قيم المعلمات المحتملة:

• الترويج دون طلب. يسمح للحسابات المميزة بتنفيذ عملية تتطلب الترقية دون الحاجة إلى موافقة أو إدخال بيانات الاعتماد. يُنصح باستخدام هذا الخيار فقط في البيئات ذات الحد الأقصى من قيود المستخدم. عند تحديد هذا الإعداد، ستكون أذونات المستخدم مطابقة لحساب المسؤول المضمن.
• . بالنسبة لأي عملية تتطلب الترقية، سيطالبك سطح المكتب الآمن بإدخال اسم المستخدم الجذر وكلمة المرور. إذا تم إدخال بيانات الاعتماد الصحيحة، فستستمر العملية مع الحد الأقصى من حقوق المستخدم المتاحة.
• طلب الموافقة على سطح المكتب الآمن. بالنسبة لأي عملية تتطلب الترقية، سيطالبك سطح المكتب الآمن بتحديد: "يسمح"أو "يحظر". عند تحديد الخيار "يسمح"، ستستمر العملية مع الحد الأقصى من حقوق المستخدم المتاحة.
• طلب أوراق الاعتماد. بالنسبة لأي عملية تتطلب الترقية، سيُطلب منك إدخال اسم المستخدم وكلمة المرور لحساب المسؤول. إذا قمت بإدخال بيانات الاعتماد الصحيحة، فستستمر العملية بامتيازات مرتفعة.
• طلب الموافقة. عند تحديد هذا الخيار، لأي عملية تتطلب رفع الحقوق، سيُطلب من المستخدم تحديد زر: "يسمح"أو "يحظر". عندما تضغط على الزر "يسمح"
• طلب الموافقة على ثنائيات الطرف الثالث (غير Windows). عند تحديد هذا الخيار، سيتم عرض مطالبة التحديد على سطح المكتب الآمن: "يسمح"أو "يحظر"، في الحالة التي تتطلب فيها العملية لتطبيق جهة خارجية (غير تابعة لشركة Microsoft) رفع الحقوق. بنقرة زر واحدة "يسمح"، ستستمر العملية مع الحد الأقصى من الامتيازات المتاحة للمستخدم.

إعدادات السياسة الحالية باستخدام التسجيل:

;ترويج بدون مطالبة "ConsentPromptBehaviorAdmin"=dword:00000000 ;مطالبة ببيانات الاعتماد على سطح مكتب آمن؛ "ConsentPromptBehaviorAdmin"=dword:00000001 ;مطالبة بالموافقة على سطح مكتب آمن؛ "ConsentPromptBehaviorAdmin"=dword:00000002 ;مطالبة ببيانات الاعتماد؛ "موافقة مطالبة tBehaviorAdmin" =dword:00000003 ;طلب موافقة;"ConsentPromptBehaviorAdmin"=dword:00000004 ;طلب موافقة للبيانات الثنائية بخلاف Windows ;"ConsentPromptBehaviorAdmin"=dword:00000005

سلوك موجه الارتفاع للمستخدمين القياسيين

يحدد إعداد السياسة هذا الإجراءات التي يتم اتخاذها عندما يتفاعل مستخدم قياسي مع التطبيقات التي تتطلب امتيازات مرتفعة. القيمة الافتراضية - "المطالبة ببيانات الاعتماد على سطح المكتب الآمن".

قيم المعلمات المحتملة:

• طلب أوراق الاعتماد. باستخدام هذا الخيار، يُطلب من المستخدم القياسي تحديد حساب مسؤول وإدخال كلمة مرور لتنفيذ الإجراءات اللاحقة. ستستمر العملية فقط إذا تم إدخال بيانات الاعتماد بشكل صحيح.
• رفض طلبات الرفع تلقائيًا. إذا حددت هذا الخيار، فستظهر للمستخدم القياسي رسالة خطأ رفض الوصول عند إجراء عملية تتطلب امتيازات مرتفعة. يمكن للمؤسسات التي يستخدم المستخدمون العاديون أجهزة الكمبيوتر المكتبية الخاصة بها تحديد إعداد النهج هذا لتقليل عدد مكالمات الدعم.
• المطالبة ببيانات الاعتماد على سطح المكتب الآمن. من خلال تحديد هذا الخيار، يُطلب من المستخدم القياسي تحديد حساب مسؤول وإدخال كلمة مرور لتنفيذ الإجراءات اللاحقة فقط على سطح المكتب الآمن. ستستمر العملية فقط إذا تم إدخال بيانات الاعتماد بشكل صحيح.

إعدادات السياسة الحالية باستخدام التسجيل:

;رفض طلبات الرفع تلقائيًا "ConsentPromptBehaviorUser"=dword:00000000 ;المطالبة ببيانات الاعتماد على سطح المكتب الآمن "ConsentPromptBehaviorUser"=dword:00000001 ; المطالبة ببيانات الاعتماد "ConsentPromptBehaviorUser"=dword:00000003

قم برفع حقوق تطبيقات UIAccess فقط عند تثبيتها في مواقع آمنة

يسمح لك إعداد السياسة الحالي بالتحكم في إذن الموقع للتطبيقات التي تطلب التنفيذ على مستوى التكامل المحدد بواسطة سمة واجهة المستخدم للوصول (UIAccess) في موقع نظام ملفات آمن. افتراضيًا، يتم تمكين هذا الإعداد وبالنسبة للتطبيقات التي يمكن الوصول إليها، يتم تعيين سمة UIAccess في البيان على True للتحكم في نافذة طلب تصعيد الامتيازات. إذا تم تعيين التطبيقات على خطأ، أي إذا تم حذف السمة أو لم يكن هناك بيان للتجميع، فلن يتمكن التطبيق من الوصول إلى واجهة المستخدم المحمية. تعتبر المجلدات التالية فقط آمنة:

...\ملفات البرنامج\، بما في ذلك المجلدات الفرعية

…\ويندوز\system32\

...\Program Files (x86)\، بما في ذلك المجلدات الفرعية لإصدارات 64 بت من Windows

قيم المعلمات المحتملة:

• متضمنة. سيتم تشغيل التطبيق فقط بمستوى تكامل UIAccess إذا كان موجودًا في مجلد آمن على نظام الملفات.
• عاجز. سيتم تشغيل التطبيق بمستوى تكامل UIAccess حتى لو لم يكن موجودًا في مجلد نظام ملفات آمن.

إعدادات السياسة الحالية باستخدام التسجيل:

;تعطيل "EnableSecureUIAPaths"=dword:00000000

رفع الامتيازات فقط للملفات التنفيذية الموقعة والتي تم التحقق منها

يسمح لك إعداد نهج مجموعة التحكم في حساب المستخدم هذا بتحديد ما إذا كنت تريد مصادقة التوقيعات الخاصة بتطبيقات البنية التحتية للمفتاح العام التفاعلية (PKI) التي تتطلب رفع الامتيازات. الغرض من PKI هو تحديد سياسة إصدار الشهادات الرقمية وإصدارها وإلغائها وتخزين المعلومات اللازمة للتحقق اللاحق من صحة الشهادات. تشمل التطبيقات التي تدعم البنية التحتية للمفاتيح العمومية: البريد الإلكتروني الآمن، وبروتوكولات الدفع، والشيكات الإلكترونية، وتبادل المعلومات الإلكترونية، وأمن البيانات عبر شبكات IP، والنماذج الإلكترونية، والمستندات الموقعة إلكترونيًا. إذا تم تمكين هذا التحقق، تبدأ البرامج في التحقق من مسار الشهادة. القيمة الافتراضية لهذا الإعداد معطلة.

قيم المعلمات المحتملة:

• متضمنة. يتم فرض التحقق من المسار لشهادات PKI قبل تنفيذ الملف. يُستخدم هذا الإعداد بشكل أساسي في المؤسسات التي لديها مجال، إذا قام المسؤول بوضع شهادات PKI في متجر الناشرين الموثوق بهم.
• عاجز. عند تعيين هذا الخيار، لا يبدأ التحكم في حساب المستخدم في التحقق من سلسلة التحقق من شهادة PKI قبل السماح بتنفيذ ملف قابل للتنفيذ محدد.

إعدادات السياسة الحالية باستخدام التسجيل:

;تعطيل "ValidateAdminCodeSignatures"=dword:00000000

إذا فشلت الكتابة إلى ملف أو سجل، فقم بالمحاكاة الافتراضية لموقع المستخدم

يتحكم هذا الإعداد فيما إذا كان سيتم إعادة توجيه حالات فشل الكتابة في التطبيق إلى مواقع محددة في السجل ونظام الملفات. عند تمكين هذا الإعداد، بالنسبة للتطبيقات القديمة التي تحاول قراءة المعلومات أو كتابتها باستخدام المناطق المحمية في النظام، يقوم التحكم في حساب المستخدم بمحاكاة السجل ونظام الملفات بشكل افتراضي. بفضل هذا الإعداد، يتيح لك UAC تقليل خطر التطبيقات القديمة التي تعمل كمسؤول وكتابة البيانات إلى المجلد %ProgramFiles%، %Windir% أثناء التنفيذ؛ %Windir%\system32 أو إلى مفتاح تسجيل النظام HKLM\Software\. يتم تمكين القيمة الافتراضية.

قيم المعلمات المحتملة:

• متضمنة. تتم إعادة توجيه حالات فشل كتابة التطبيق في وقت التشغيل إلى مواقع محددة من قبل المستخدم في نظام الملفات والتسجيل.
• عاجز. ستفشل التطبيقات التي تكتب البيانات إلى مواقع آمنة ولن يتم تنفيذها.

إعدادات السياسة الحالية باستخدام التسجيل:

;تعطيل "EnableVirtualization"=dword:00000000

السماح لتطبيقات UIAccess بطلب الرفع دون استخدام سطح المكتب الآمن

يتحكم إعداد السياسة الجديد هذا، الذي تم تقديمه في Windows 7 وWindows Server 2008 R2، فيما إذا كان بإمكان تطبيقات UIAccess تعطيل سطح المكتب الآمن تلقائيًا لطلبات الرفع التي يستخدمها المستخدم القياسي. تم تعطيل القيمة الافتراضية.

قيم المعلمات المحتملة:

• متضمنة. عند تحديد هذا الإعداد، تقوم برامج UIAccess، بما في ذلك المساعدة عن بعد لـ Windows، بتعطيل Secure Desktop تلقائيًا لطلبات الترقية. إذا تم تمكين إعداد سياسة "التحكم في حساب المستخدم: التبديل إلى سطح المكتب الآمن عند المطالبة بالترقية"، فستظهر المطالبة على سطح المكتب التفاعلي للمستخدم بدلاً من سطح المكتب الآمن.
• عاجز. عند تحديد هذا الخيار، لا يمكن تعطيل سطح المكتب الآمن إلا بواسطة مستخدم سطح المكتب التفاعلي أو عن طريق تعطيل إعداد سياسة "التحكم في حساب المستخدم: التبديل إلى سطح المكتب الآمن عند مطالبتك بالترقية".

إعدادات السياسة الحالية باستخدام التسجيل:

;تعطيل "EnableUIADesktopToggle"=dword:00000000

وضع موافقة المسؤول لحساب المسؤول المضمن

يحدد هذا الإعداد ما إذا كان التحكم في حساب المستخدم يطبق وضع موافقة المسؤول على الحساب المدمج "مدير". يسمح هذا الحساب الافتراضي المدمج للمستخدم بتسجيل الدخول في وضع التوافق مع نظام التشغيل Windows XP، مما يسمح له بتشغيل أي تطبيق بحقوق المسؤول الكاملة. بشكل افتراضي، يتم تعطيل إعداد النهج هذا.

قيم المعلمات المحتملة:

• متضمنة. عند تحديد هذا الخيار، سيستخدم حساب المسؤول المضمن وضع موافقة المسؤول. في هذه الحالة، أي عملية تتطلب رفع الحقوق ستكون مصحوبة بطلب تأكيد العملية.
• عاجز. يقوم حساب المسؤول المدمج بتشغيل كافة التطبيقات بحقوق المسؤول الكاملة.

إعدادات السياسة الحالية باستخدام التسجيل:

;تعطيل "FilterAdministratorToken"=dword:00000000

خاتمة

تشرح هذه المقالة جميع إعدادات التحكم في حساب المستخدم الممكنة. يتم أخذ جميع إعدادات سياسة الأمان العشرة في الاعتبار، وهي المسؤولة عن جميع الإجراءات المحتملة المتعلقة بـ UAC. بالإضافة إلى إعداد التحكم في حساب المستخدم باستخدام "نهج المجموعة"، تتم أيضًا مناقشة تعديلات التسجيل المكافئة.