Контроль учётных записей пользователей

Контроль учётных записей пользователей (UAC) — функция безопасности Microsoft Windows, предотвращающая несанкционированные изменения операционной системы. UAC предлагает пользователям подтвердить действие или ввести учётные данные администратора, когда действие требует повышенных привилегий. Правильная настройка UAC снижает риск атак с повышением привилегий. Данная мера может быть реализована следующими способами: Включение UAC на уровне системы: - Убедитесь, что UAC включён через групповую политику: задайте значение `Включено` для параметра `Контроль учётных записей: запуск всех администраторов в режиме одобрения администратором`. Требование запроса учётных данных: - Используйте групповую политику для настройки UAC с запросом учётных данных администратора вместо простого подтверждения (`Контроль учётных записей: поведение запроса на повышение для администраторов`). Ограничение встроенной учётной записи администратора: Задайте значение `Включено` для параметра `Режим одобрения администратором` для встроенной учётной записи администратора в групповой политике. Защита запроса UAC: - Настраивайте отображение запросов UAC на защищённом рабочем столе (`Контроль учётных записей: переход в режим защищённого рабочего стола при запросе на повышение`). Предотвращение обхода UAC: - Блокируйте возможность ненадёжных приложений инициировать запросы UAC, настроив параметр `Контроль учётных записей: повышать только подписанные и проверенные исполняемые файлы`. - Используйте инструменты EDR для обнаружения и блокировки известных техник обхода UAC. Мониторинг событий, связанных с UAC: - Используйте просмотрщик событий Windows для мониторинга события с идентификатором 4688 (создание процесса) и выявления подозрительных процессов, пытающихся инициировать повышение привилегий через UAC. *Инструменты реализации* Встроенные инструменты Windows: - Редактор групповых политик: централизованная настройка параметров UAC для корпоративных сред. - Редактор реестра: прямое изменение параметров, связанных с UAC, таких как `EnableLUA` и `ConsentPromptBehaviorAdmin`. Решения безопасности конечных точек: - Microsoft Defender for Endpoint: обнаружение и блокировка техник обхода UAC. - Sysmon: регистрация создания процессов и мониторинг попыток повышения привилегий через UAC на предмет подозрительной активности. Сторонние инструменты безопасности: - Process Monitor (Sysinternals): отслеживание процессов в реальном времени, взаимодействующих с UAC. - EventSentry: мониторинг журналов событий Windows на предмет оповещений, связанных с UAC.