Оболочка Windows 10 с ограничением доступа

Обновлено: 02.07.2024

Контроль учетных записей пользователей (UAC) — это фундаментальный компонент общей концепции безопасности Microsoft. UAC помогает смягчить воздействие вредоносного ПО.

Процесс и взаимодействие UAC

Каждое приложение, которому требуется токен доступа администратора, должно запрашивать согласие. Единственным исключением являются отношения, существующие между родительским и дочерним процессами. Дочерние процессы наследуют маркер доступа пользователя от родительского процесса. Однако и родительский, и дочерний процессы должны иметь одинаковый уровень целостности. Windows защищает процессы, помечая их уровни целостности. Уровни честности являются мерой доверия. Приложение с «высокой» целостностью — это приложение, которое выполняет задачи, изменяющие системные данные, например приложение для создания разделов диска, а приложение с «низкой» целостностью — это приложение, выполняющее задачи, которые потенциально могут скомпрометировать операционную систему, например веб-браузер. Приложения с более низким уровнем целостности не могут изменять данные в приложениях с более высоким уровнем целостности. Когда обычный пользователь пытается запустить приложение, для которого требуется токен доступа администратора, UAC требует, чтобы пользователь предоставил действительные учетные данные администратора.

Чтобы лучше понять, как происходит этот процесс, давайте рассмотрим процесс входа в систему Windows.

Процесс входа

Ниже показано, чем процесс входа в систему для администратора отличается от процесса входа в систему для обычного пользователя.

По умолчанию обычные пользователи и администраторы получают доступ к ресурсам и запускают приложения в контексте безопасности обычных пользователей. Когда пользователь входит в систему на компьютере, система создает маркер доступа для этого пользователя. Маркер доступа содержит информацию об уровне доступа, предоставленном пользователю, включая определенные идентификаторы безопасности (SID) и привилегии Windows.

Когда администратор входит в систему, для пользователя создаются два отдельных маркера доступа: стандартный маркер доступа пользователя и маркер доступа администратора. Маркер доступа стандартного пользователя содержит ту же информацию о пользователе, что и маркер доступа администратора, но административные привилегии Windows и SID удалены. Маркер доступа стандартного пользователя используется для запуска приложений, которые не выполняют административные задачи (стандартные пользовательские приложения). Затем маркер доступа стандартного пользователя используется для отображения рабочего стола (explorer.exe). Explorer.exe — это родительский процесс, от которого все другие инициированные пользователем процессы наследуют свои маркеры доступа. В результате все приложения запускаются от имени обычного пользователя, если пользователь не предоставит согласие или учетные данные для утверждения приложения для использования маркера полного административного доступа.

Пользователь, являющийся членом группы администраторов, может входить в систему, просматривать веб-страницы и читать электронную почту, используя маркер доступа стандартного пользователя. Когда администратору необходимо выполнить задачу, для которой требуется маркер доступа администратора, Windows 10 или Windows 11 автоматически запрашивает у пользователя подтверждение. Этот запрос называется запросом на повышение прав, и его поведение можно настроить с помощью оснастки «Локальная политика безопасности» (Secpol.msc) или групповой политики. Дополнительные сведения см. в разделе Параметры политики безопасности контроля учетных записей.

Пользовательский интерфейс UAC

Когда контроль учетных записей включен, взаимодействие с обычными пользователями отличается от взаимодействия с администраторами в режиме одобрения администратором. Рекомендуемый и более безопасный метод запуска Windows 10 или Windows 11 — сделать вашу основную учетную запись пользователя стандартной учетной записью пользователя. Запуск от имени обычного пользователя помогает максимально повысить безопасность управляемой среды. Благодаря встроенному компоненту повышения прав UAC обычные пользователи могут легко выполнять административные задачи, вводя действительные учетные данные для учетной записи локального администратора. По умолчанию встроенным компонентом повышения прав UAC для обычных пользователей является запрос учетных данных.

Альтернативой запуску от имени обычного пользователя является запуск от имени администратора в режиме одобрения администратором. Благодаря встроенному компоненту повышения прав UAC члены локальной группы администраторов могут легко выполнять административные задачи, предоставив одобрение. Встроенный по умолчанию компонент повышения прав UAC для учетной записи администратора в режиме одобрения администратором называется запросом согласия.

Запросы согласия и учетных данных

При включенном UAC Windows 10 или Windows 11 запрашивает согласие или запрашивает учетные данные действительной учетной записи локального администратора перед запуском программы или задачи, требующей маркера полного доступа администратора. Это приглашение гарантирует, что никакое вредоносное программное обеспечение не может быть установлено без вывода сообщений.

Запрос согласия

Запрос согласия отображается, когда пользователь пытается выполнить задачу, для которой требуется маркер административного доступа пользователя. Ниже приведен пример запроса согласия UAC.

Запрос учетных данных

Запрос учетных данных отображается, когда обычный пользователь пытается выполнить задачу, для которой требуется маркер административного доступа пользователя.От администраторов также может потребоваться предоставить свои учетные данные, установив для параметра политики Контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором значение Запрашивать учетные данные.

Ниже приведен пример запроса учетных данных UAC.

Запросы на повышение прав UAC

Запросы на повышение прав UAC имеют цветовую кодировку для конкретных приложений, что позволяет сразу определить потенциальную угрозу безопасности приложения. Когда приложение пытается запуститься с маркером полного доступа администратора, Windows 10 или Windows 11 сначала анализирует исполняемый файл, чтобы определить его издателя. Сначала приложения делятся на три категории в зависимости от издателя файла: Windows 10 или Windows 11, проверенный издатель (подписанный) и непроверенный издатель (неподписанный). На следующей диаграмме показано, как Windows определяет, какой запрос на повышение прав цвета будет отображаться для пользователя.

Цветовая кодировка подсказки о высоте выглядит следующим образом:

  • Красный фон с красным значком щита: приложение заблокировано групповой политикой или принадлежит заблокированному издателю.
  • Синий фон с сине-золотым значком щита. Приложение представляет собой административное приложение для Windows 10 и Windows 11, например элемент панели управления.
  • Синий фон со значком синего щита: приложение подписано с использованием Authenticode и является доверенным для локального компьютера.
  • Желтый фон с желтым значком щита: приложение не подписано или подписано, но еще не является доверенным для локального компьютера.

Значок щита

Некоторые элементы панели управления, такие как свойства даты и времени, содержат комбинацию действий администратора и стандартных пользователей. Обычные пользователи могут просматривать часы и изменять часовой пояс, но для изменения локального системного времени требуется маркер полного доступа администратора. Ниже приведен снимок экрана элемента панели управления «Свойства даты и времени».

Значок щита на кнопке "Изменить дату и время" указывает на то, что для процесса требуется токен полного доступа администратора, и будет отображаться запрос на повышение прав UAC.

Защита запроса на повышение прав

Процесс повышения прав дополнительно защищен за счет направления приглашения на безопасный рабочий стол. Запросы согласия и учетных данных отображаются на защищенном рабочем столе по умолчанию в Windows 10 и Windows 11. Только процессы Windows могут получить доступ к защищенному рабочему столу. Для более высокого уровня безопасности мы рекомендуем оставить включенным контроль учетных записей: переключаться на безопасный рабочий стол при запросе параметра политики повышения прав.

Когда исполняемый файл запрашивает повышение прав, интерактивный рабочий стол, также называемый рабочим столом пользователя, переключается на безопасный рабочий стол. Защищенный рабочий стол затемняет рабочий стол пользователя и отображает запрос на повышение прав, на который необходимо ответить, прежде чем продолжить. Когда пользователь нажимает «Да» или «Нет», рабочий стол снова переключается на рабочий стол пользователя.

Вредоносное ПО может имитировать защищенный рабочий стол, но если для параметра политики Контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором задано значение Запрашивать согласие, вредоносное ПО не получает повышение прав, если пользователь щелкает Да на подражание. Если для параметра политики задано значение Запрашивать учетные данные, вредоносное ПО, имитирующее запрос учетных данных, может получить учетные данные от пользователя. Однако вредоносная программа не получает повышенных привилегий, а в системе есть другие средства защиты, которые не позволяют вредоносным программам получить контроль над пользовательским интерфейсом даже с помощью собранного пароля.

Хотя вредоносное ПО может имитировать безопасный рабочий стол, эта проблема не может возникнуть, если пользователь предварительно не установил вредоносное ПО на ПК. Поскольку процессы, требующие маркера доступа администратора, не могут устанавливаться автоматически, когда включен контроль учетных записей, пользователь должен явным образом дать согласие, нажав Да или предоставив учетные данные администратора. Конкретное поведение запроса на повышение прав UAC зависит от групповой политики.

Групповой доступ в Центре администрирования Windows не поддерживается в средах рабочих групп или в доменах, не являющихся доверенными.

Определения ролей доступа к шлюзу

Существует две роли для доступа к службе шлюза центра администрирования Windows:

Пользователи шлюза могут подключаться к службе шлюза Центра администрирования Windows для управления серверами через этот шлюз, но они не могут изменять права доступа или механизм проверки подлинности, используемый для аутентификации на шлюзе.

Администраторы шлюза могут указать, кто будет получать доступ, а также как пользователи будут проходить аутентификацию на шлюзе. Только администраторы шлюза могут просматривать и настраивать параметры доступа в Windows Admin Center. Локальные администраторы на компьютере шлюза всегда являются администраторами службы шлюза Центра администрирования Windows.

Существует также дополнительная роль, связанная с управлением CredSSP:

Администраторы CredSSP Центра администрирования Windows зарегистрированы в конечной точке CredSSP Центра администрирования Windows и имеют разрешения на выполнение предопределенных операций CredSSP. Эта группа особенно полезна для установки Центра администрирования Windows в режиме рабочего стола, когда эти разрешения по умолчанию предоставляются только учетной записи пользователя, установившего Центр администрирования Windows.

Доступ к шлюзу не означает доступ к управляемым серверам, видимым шлюзом. Для управления целевым сервером подключающийся пользователь должен использовать учетные данные (либо с помощью переданных учетных данных Windows, либо с помощью учетных данных, предоставленных в сеансе центра администрирования Windows с помощью действия «Управление как»), которые имеют административный доступ к этому целевому серверу.

Active Directory или группы локальных компьютеров

По умолчанию Active Directory или локальные группы компьютеров используются для управления доступом к шлюзу. Если у вас есть домен Active Directory, вы можете управлять доступом пользователей и администраторов шлюза из интерфейса Windows Admin Center.

На вкладке "Пользователи" вы можете указать, кто может получить доступ к Центру администрирования Windows в качестве пользователя шлюза. По умолчанию, и если вы не укажете группу безопасности, любой пользователь, обращающийся к URL-адресу шлюза, имеет доступ. После того как вы добавите одну или несколько групп безопасности в список пользователей, доступ будет ограничен членами этих групп.

Если вы не используете домен Active Directory в своей среде, доступ контролируется локальными группами пользователей и администраторов на компьютере шлюза Windows Admin Center.

Аутентификация с помощью смарт-карты

Вы можете применить проверку подлинности с помощью смарт-карт, указав дополнительную обязательную группу для групп безопасности на основе смарт-карт. После добавления группы безопасности на основе смарт-карт пользователь может получить доступ к службе Центра администрирования Windows, только если он является членом какой-либо группы безопасности И группы смарт-карт, включенной в список пользователей.

На вкладке "Администраторы" вы можете указать, кто может получить доступ к Центру администрирования Windows в качестве администратора шлюза. Группа локальных администраторов на компьютере всегда будет иметь полный доступ администратора и не может быть удалена из списка. Добавляя группы безопасности, вы даете членам этих групп право изменять параметры шлюза Windows Admin Center. Список администраторов поддерживает аутентификацию с помощью смарт-карт так же, как и список пользователей: с условием И для группы безопасности и группы смарт-карт.

Azure Active Directory

Если ваша организация использует Azure Active Directory (Azure AD), вы можете добавить дополнительный уровень безопасности в Центр администрирования Windows, требуя проверки подлинности Azure AD для доступа к шлюзу. Чтобы получить доступ к центру администрирования Windows, учетная запись Windows пользователя также должна иметь доступ к серверу шлюза (даже если используется проверка подлинности Azure AD). При использовании Azure AD вы будете управлять разрешениями на доступ пользователей и администраторов Центра администрирования Windows с портала Azure, а не из пользовательского интерфейса Центра администрирования Windows.

Доступ к Центру администрирования Windows при включенной проверке подлинности Azure AD

В зависимости от используемого браузера некоторые пользователи, получающие доступ к Центру администрирования Windows с настроенной проверкой подлинности Azure AD, получат дополнительный запрос от браузера, в котором им необходимо указать учетные данные своей учетной записи Windows для компьютера, на котором установлен Центр администрирования Windows. После ввода этой информации пользователи получат дополнительный запрос проверки подлинности Azure Active Directory, для которого требуются учетные данные учетной записи Azure, которой предоставлен доступ в приложении Azure AD в Azure.

Пользователям, чьи учетные записи Windows имеют права администратора на компьютере шлюза, не будет предлагаться пройти аутентификацию Azure AD.

Настройка проверки подлинности Azure Active Directory для Windows Admin Center Preview

Перейдите в раздел "Параметры центра администрирования Windows" > "Доступ" и с помощью переключателя включите параметр "Использовать Azure Active Directory для добавления уровня безопасности к шлюзу". Если вы не зарегистрировали шлюз в Azure, вам будет предложено сделать это сейчас.

По умолчанию все члены арендатора Azure AD имеют пользовательский доступ к службе шлюза Windows Admin Center. Только локальные администраторы на компьютере шлюза имеют административный доступ к шлюзу центра администрирования Windows. Обратите внимание, что права локальных администраторов на компьютере шлюза не могут быть ограничены — локальные администраторы могут делать все, что угодно, независимо от того, используется ли Azure AD для аутентификации.

Если вы хотите предоставить определенным пользователям или группам Azure AD пользователю шлюза или администратору шлюза доступ к службе Центра администрирования Windows, необходимо сделать следующее:

  1. Перейдите в приложение Azure AD центра администрирования Windows на портале Azure, используя гиперссылку, указанную в параметрах доступа. Обратите внимание, что эта гиперссылка доступна, только если включена проверка подлинности Azure Active Directory.
    • Вы также можете найти свое приложение на портале Azure, выбрав Azure Active Directory > Корпоративные приложения > Все приложения и выполнив поиск WindowsAdminCenter (приложение Azure AD будет называться WindowsAdminCenter-). Если вы не получили никаких результатов поиска, убедитесь, что для параметра «Показать» установлено значение «Все приложения», а для состояния приложения установлено значение «Любое», и выберите «Применить», а затем попробуйте выполнить поиск. Найдя приложение, перейдите в раздел Пользователи и группы.
  2. На вкладке "Свойства" установите для параметра "Требуется назначение пользователя" значение "Да". После этого только участники, указанные на вкладке "Пользователи и группы", смогут получить доступ к шлюзу центра администрирования Windows.
  3. На вкладке "Пользователи и группы" выберите "Добавить пользователя". Вы должны назначить роль пользователя или администратора шлюза для каждого добавленного пользователя/группы.

После включения проверки подлинности Azure AD служба шлюза перезапускается, и вам необходимо обновить браузер. Вы можете обновить доступ пользователей к приложению Azure AD для малого и среднего бизнеса на портале Azure в любое время.

Пользователям будет предложено войти в систему, используя свою учетную запись Azure Active Directory, когда они попытаются получить доступ к URL-адресу шлюза центра администрирования Windows. Помните, что для доступа к Центру администрирования Windows пользователи также должны быть членами локальной группы пользователей на сервере шлюза.

Пользователи и администраторы могут просматривать свою текущую учетную запись, вошедшую в систему, а также выходить из этой учетной записи Azure AD на вкладке «Учетная запись» в настройках центра администрирования Windows.

Настройка аутентификации Azure Active Directory для Windows Admin Center

Чтобы настроить аутентификацию Azure AD, сначала необходимо зарегистрировать шлюз в Azure (это нужно сделать только один раз для шлюза Windows Admin Center). На этом шаге создается приложение Azure AD, из которого можно управлять доступом пользователей и администраторов шлюза.

Если вы хотите предоставить определенным пользователям или группам Azure AD пользователю шлюза или администратору шлюза доступ к службе Центра администрирования Windows, необходимо сделать следующее:

  1. Перейдите к приложению Azure AD для малого и среднего бизнеса на портале Azure.
    • Когда вы выбираете Изменить контроль доступа, а затем выбираете Azure Active Directory в параметрах доступа Windows Admin Center, вы можете использовать гиперссылку, предоставленную в пользовательском интерфейсе, для доступа к вашему приложению Azure AD на портале Azure. Эта гиперссылка также доступна в настройках доступа после того, как вы нажмете «Сохранить» и выберете Azure AD в качестве поставщика удостоверений управления доступом.
    • Вы также можете найти свое приложение на портале Azure, выбрав Azure Active Directory > Корпоративные приложения > Все приложения и выполнив поиск SME (приложение Azure AD будет называться SME-). Если вы не получили никаких результатов поиска, убедитесь, что для параметра «Показать» установлено значение «Все приложения», а для состояния приложения установлено значение «Любое», и выберите «Применить», а затем попробуйте выполнить поиск. Найдя приложение, перейдите в раздел Пользователи и группы.
  2. На вкладке "Свойства" установите для параметра "Требуется назначение пользователя" значение "Да". После этого только участники, указанные на вкладке "Пользователи и группы", смогут получить доступ к шлюзу центра администрирования Windows.
  3. На вкладке "Пользователи и группы" выберите "Добавить пользователя". Вы должны назначить роль пользователя или администратора шлюза для каждого добавленного пользователя/группы.

После сохранения элемента управления доступом Azure AD на панели "Изменить контроль доступа" служба шлюза перезапускается, и вам необходимо обновить браузер. Вы можете в любое время обновить доступ пользователей к приложению Windows Admin Center Azure AD на портале Azure.

Пользователям будет предложено войти в систему, используя свою учетную запись Azure Active Directory, когда они попытаются получить доступ к URL-адресу шлюза центра администрирования Windows. Помните, что для доступа к Центру администрирования Windows пользователи также должны быть членами локальной группы пользователей на сервере шлюза.

Используя вкладку Azure общих настроек Центра администрирования Windows, пользователи и администраторы могут просматривать текущую учетную запись, вошедшую в систему, а также выходить из этой учетной записи Azure AD.

Условный доступ и многофакторная аутентификация

Одним из преимуществ использования Azure AD в качестве дополнительного уровня безопасности для управления доступом к шлюзу центра администрирования Windows является то, что вы можете использовать мощные функции безопасности Azure AD, такие как условный доступ и многофакторная проверка подлинности.

Настроить единый вход

Единый вход при развертывании в качестве службы на Windows Server

При установке Центра администрирования Windows в Windows 10 он готов к использованию единого входа. Однако если вы собираетесь использовать Windows Admin Center на Windows Server, вам необходимо настроить некоторую форму делегирования Kerberos в вашей среде, прежде чем вы сможете использовать единый вход. Делегирование настраивает компьютер шлюза как доверенный для делегирования целевому узлу.

Чтобы удалить эту связь, запустите следующий командлет:

Управление доступом на основе ролей (RBAC)

Управление доступом на основе ролей позволяет предоставлять пользователям ограниченный доступ к компьютеру вместо того, чтобы делать их полноправными локальными администраторами.Узнайте больше об управлении доступом на основе ролей и доступных ролях.

Настройка RBAC состоит из двух шагов: включение поддержки на целевых компьютерах и назначение пользователям соответствующих ролей.

Убедитесь, что у вас есть права локального администратора на компьютерах, на которых вы настраиваете поддержку управления доступом на основе ролей.

Применить управление доступом на основе ролей к одному компьютеру

Модель развертывания с одним компьютером идеально подходит для простых сред с несколькими компьютерами для управления. Настройка машины с поддержкой управления доступом на основе ролей приведет к следующим изменениям:

  • Модули PowerShell с функциями, необходимыми для Центра администрирования Windows, будут установлены на системный диск в папку C:\Program Files\WindowsPowerShell\Modules. Все модули будут начинаться с Microsoft.Sme
  • Desired State Configuration запустит однократную настройку для настройки конечной точки Just Enough Administration на компьютере с именем Microsoft.Sme.PowerShell. Эта конечная точка определяет три роли, используемые Windows Admin Center, и будет работать как временный локальный администратор, когда пользователь подключается к ней.
  • Будут созданы три новые локальные группы для управления доступом пользователей к тем или иным ролям:
    • Администраторы центра администрирования Windows
    • Администраторы Hyper-V Центра администрирования Windows
    • Читатели Центра администрирования Windows

    Управление доступом на основе ролей не поддерживается для управления кластером (т. е. функции, зависящие от RBAC, такие как CredSSP, не будут работать).

    Чтобы включить поддержку управления доступом на основе ролей на одном компьютере, выполните следующие действия:

    1. Откройте Центр администрирования Windows и подключитесь к компьютеру, который вы хотите настроить с помощью управления доступом на основе ролей, используя учетную запись с правами локального администратора на целевом компьютере.
    2. В инструменте «Обзор» выберите «Настройки» > «Управление доступом на основе ролей».
    3. Нажмите «Применить» внизу страницы, чтобы включить поддержку управления доступом на основе ролей на целевом компьютере. Процесс приложения включает копирование сценариев PowerShell и вызов конфигурации (с использованием конфигурации желаемого состояния PowerShell) на целевой машине. Это может занять до 10 минут и приведет к перезапуску WinRM. Это временно отключит пользователей Центра администрирования Windows, PowerShell и WMI.
    4. Обновите страницу, чтобы проверить статус управления доступом на основе ролей. Когда он будет готов к использованию, его статус изменится на Применено.

    После применения конфигурации вы можете назначить пользователям роли:

    1. Откройте инструмент "Локальные пользователи и группы" и перейдите на вкладку "Группы".
    2. Выберите группу читателей Центра администрирования Windows.
    3. На панели сведений внизу выберите Добавить пользователя и введите имя пользователя или группы безопасности, которые должны иметь доступ только для чтения к серверу через Центр администрирования Windows. Пользователи и группы могут находиться на локальном компьютере или в вашем домене Active Directory.
    4. Повторите шаги 2–3 для групп администраторов Windows Admin Center Hyper-V и администраторов Windows Admin Center.

    Вы также можете единообразно заполнить эти группы в своем домене, настроив объект групповой политики с параметром политики групп с ограниченным доступом.

    Применить управление доступом на основе ролей к нескольким компьютерам

    В крупном предприятии вы можете использовать имеющиеся у вас инструменты автоматизации, чтобы внедрить функцию управления доступом на основе ролей на свои компьютеры, загрузив пакет конфигурации со шлюза Windows Admin Center. Пакет конфигурации предназначен для использования с PowerShell Desired State Configuration, но вы можете адаптировать его для работы с вашим предпочтительным решением для автоматизации.

    Загрузить конфигурацию управления доступом на основе ролей

    Чтобы загрузить пакет конфигурации управления доступом на основе ролей, вам потребуется доступ к центру администрирования Windows и командная строка PowerShell.

    Если вы используете шлюз Центра администрирования Windows в сервисном режиме на Windows Server, используйте следующую команду для загрузки пакета конфигурации. Обязательно обновите адрес шлюза, указав правильный для вашей среды.

    Если вы используете шлюз Центра администрирования Windows на компьютере с Windows 10, вместо этого выполните следующую команду:

    • InstallJeaFeatures.ps1
    • JustEnoughAdministration (каталог)
    • Модули (каталог)
      • Microsoft.SME.* (каталоги)
      • WindowsAdminCenter.Jea (каталог)

      Чтобы настроить поддержку управления доступом на основе ролей на узле, необходимо выполнить следующие действия:

      1. Скопируйте модули JustEnoughAdministration, Microsoft.SME.* и WindowsAdminCenter.Jea в каталог модулей PowerShell на целевом компьютере. Обычно он находится в папке C:\Program Files\WindowsPowerShell\Modules .
      2. Обновите InstallJeaFeature.ps1 в соответствии с желаемой конфигурацией конечной точки RBAC.
      3. Запустите InstallJeaFeature.ps1, чтобы скомпилировать ресурс DSC.
      4. Разверните конфигурацию DSC на всех своих компьютерах, чтобы применить конфигурацию.

      В следующем разделе объясняется, как это сделать с помощью PowerShell Remoting.

      Развертывание на нескольких компьютерах

      Чтобы развернуть загруженную конфигурацию на несколько компьютеров, вам потребуется обновить сценарий InstallJeaFeatures.ps1, включив в него соответствующие группы безопасности для вашей среды, скопировать файлы на каждый из ваших компьютеров и вызвать сценарии конфигурации. Для этого вы можете использовать предпочитаемые инструменты автоматизации, однако в этой статье основное внимание будет уделено чистому подходу на основе PowerShell.

      По умолчанию сценарий конфигурации создает локальные группы безопасности на компьютере для управления доступом к каждой из ролей. Это подходит для компьютеров, присоединенных к рабочей группе и домену, но если вы развертываете в среде только для домена, вы можете захотеть напрямую связать группу безопасности домена с каждой ролью. Чтобы обновить конфигурацию для использования групп безопасности домена, откройте InstallJeaFeatures.ps1 и внесите следующие изменения:

      1. Удалите 3 ресурса группы из файла:
        1. "Группа MS-Readers-Группа"
        2. "Группа MS-Hyper-V-Administrators-Group"
        3. "Группа MS-Администраторы-Группа"
          1. "[Группа]MS-Readers-Группа"
          2. "[Группа]MS-Hyper-V-Administrators-Group"
          3. "[Группа]MS-Администраторы-Группа"
            1. '$env:COMPUTERNAME\Администраторы центра администрирования Windows'
            2. '$env:COMPUTERNAME\Windows Admin Center Hyper-V Administrators'
            3. '$env:COMPUTERNAME\Windows Admin Center Readers'

            Обязательно используйте уникальные группы безопасности для каждой роли. Конфигурация завершится ошибкой, если одна и та же группа безопасности назначена нескольким ролям.

            Вы можете использовать Shell Launcher, чтобы заменить стандартную оболочку Windows 10 пользовательской оболочкой. В качестве пользовательской оболочки можно использовать практически любое приложение или исполняемый файл, например командное окно или специализированное приложение.

            Вы также можете настроить Shell Launcher для запуска разных приложений оболочки для разных пользователей или групп пользователей.

            Есть несколько исключений для приложений и исполняемых файлов, которые можно использовать в качестве пользовательской оболочки:

            • Вы не можете использовать следующий исполняемый файл в качестве пользовательской оболочки: C:\\Windows\\System32\\Eshell.exe . Использование Eshell.exe в качестве оболочки по умолчанию приведет к пустому экрану после входа пользователя в систему.
            • Вы не можете использовать универсальное приложение для Windows в качестве настраиваемой оболочки.
            • Вы не можете использовать пользовательскую оболочку для запуска универсальных приложений Windows, например приложения "Параметры".
            • Вы не можете использовать приложение, которое запускает другой процесс и завершает работу как настраиваемая оболочка. Например, вы не можете указать write.exe в средстве запуска оболочки. Shell Launcher запускает пользовательскую оболочку и отслеживает процесс, чтобы определить, когда пользовательская оболочка выходит. Write.exe создает 32-разрядный процесс wordpad.exe и завершает работу. Поскольку Shell Launcher не знает о вновь созданном процессе wordpad.exe, Shell Launcher выполнит действие на основе кода выхода Write.exe и перезапустит пользовательскую оболочку.
            • Вы не можете предотвратить отключение системы. Для Shell Launcher V1 и V2 вы не можете заблокировать завершение сеанса, возвращая FALSE при получении сообщения WM_QUERYENDSESSION в графическом приложении или возвращая FALSE в подпрограмме обработчика, которая добавляется через функцию SetConsoleCtrlHandler в консольном приложении.

            Вы не можете одновременно настроить Shell Launcher и назначенный доступ в одной и той же системе.

            Используя Shell Launcher V2, вы можете указать универсальное приложение для Windows в качестве настраиваемой оболочки. Установите флажок Использовать средство запуска оболочки для создания киоска Windows 10, чтобы узнать о различиях между средством запуска оболочки v1 и средством запуска оболочки v2.

            Shell Launcher обрабатывает ключи реестра Run и RunOnce перед запуском пользовательской оболочки, поэтому вашей пользовательской оболочке не нужно обрабатывать автоматический запуск других приложений и служб.

            Shell Launcher также обрабатывает поведение системы при выходе из пользовательской оболочки. Вы можете настроить поведение выхода из оболочки, если поведение по умолчанию не соответствует вашим потребностям.

            Требования

            Windows 10 Корпоративная или Windows 10 для образовательных учреждений.

            Терминология

            Включить средство запуска оболочки

            Shell Launcher является необязательным компонентом и не включен по умолчанию в Windows 10. Его необходимо включить перед настройкой. Вы можете включить и настроить Shell Launcher в пользовательском образе Windows 10 (.wim), если Microsoft Windows не была установлена. Если Windows уже установлена ​​и вы применяете пакет подготовки для настройки средства запуска оболочки, необходимо сначала включить средство запуска оболочки, чтобы пакет обеспечения успешно применялся.

            Включить средство запуска оболочки с помощью панели управления

            1. В поле "Поиск в Интернете и Windows" введите "Программы и компоненты" и либо нажмите Enter, либо коснитесь или щелкните "Программы и компоненты", чтобы открыть его.
            2. В окне "Программы и компоненты" нажмите "Включение или отключение компонентов Windows".
            3. В окне "Компоненты Windows" разверните узел "Блокировка устройства", установите или снимите флажок "Запуск оболочки" и нажмите "ОК".
            4. В окне «Компоненты Windows» указано, что Windows ищет необходимые файлы, и отображается индикатор выполнения. После обнаружения окно указывает, что Windows применяет изменения. По завершении в окне будет указано, что запрошенные изменения завершены.
            5. Нажмите "Закрыть", чтобы закрыть окно компонентов Windows.

            Включение Shell Launcher не требует перезагрузки устройства.

            Включите средство запуска оболочки, вызвав WESL_UserSetting

            1. Включите или отключите средство запуска оболочки, вызвав функцию WESL_UserSetting.SetEnabled в классе WESL_UserSetting инструментария управления Windows (WMI).
            2. Если вы включите или отключите средство запуска оболочки с помощью WESL_UserSetting, изменения не повлияют на сеансы, в которые в данный момент выполнен вход; вы должны выйти и снова войти.

            В этом примере используется образ Windows с именем install.wim, но вы можете использовать ту же процедуру для применения пакета подготовки (дополнительную информацию о DISM см. в разделе Что такое обслуживание образов развертывания и управление ими.

            Включить средство запуска оболочки с помощью DISM

            Откройте командную строку с правами администратора.

            Скопируйте install.wim во временную папку на жестком диске (в следующих шагах предполагается, что она называется C:\wim).

            Создайте новый каталог.

            Смонтировать образ.

            Включить функцию.

            Зафиксировать изменение.

            Включить средство запуска оболочки с помощью конструктора конфигураций Windows

            Параметры средства запуска оболочки также доступны в качестве параметров подготовки Windows, поэтому вы можете настроить эти параметры для применения во время выполнения образа. Вы можете установить один или все параметры средства запуска оболочки, создав пакет подготовки с помощью конструктора конфигураций Windows, а затем применив пакет подготовки во время развертывания образа или во время выполнения. Если Windows не была установлена ​​и вы используете конструктор конфигураций Windows для создания установочного носителя с параметрами средства запуска оболочки, включенными в образ, или вы применяете пакет подготовки во время установки, необходимо включить средство запуска оболочки на установочном носителе с помощью DISM, чтобы пакет подготовки для успешного применения.

            Выполните следующие действия, чтобы создать пакет подготовки, содержащий настройки ShellLauncher.

            1. Создайте пакет подготовки в конструкторе конфигураций Windows, следуя инструкциям в разделе Создание пакета подготовки для Windows 10.
            2. На странице "Доступные настройки" выберите "Параметры среды выполнения" > "SMISettings" > "ShellLauncher".
            3. Установите для параметра Включить значение ВКЛЮЧИТЬ. Появятся дополнительные параметры для настройки Shell Launcher, и вы можете установить нужные значения.
            4. После того как вы закончите настройку параметров и создадите пакет подготовки, вы можете применить пакет к среде развертывания или выполнения образа. Дополнительную информацию см. в разделе Применение пакета подготовки. Обратите внимание, что процесс применения пакета к образу Windows 10 Enterprise такой же.

            Настроить средство запуска оболочки

            Существует два способа настройки Shell Launcher:

            1. В Windows 10 версии 1803 вы можете настроить Shell Launcher с помощью узла ShellLauncher поставщика услуг настройки ограниченного доступа (CSP). Дополнительные сведения см. в разделе CSP AssignedAccess. Настройка Shell Launcher с использованием этого метода также автоматически активирует Shell Launcher на устройстве, если устройство его поддерживает.
            2. Используйте поставщики WMI для запуска оболочки непосредственно в скрипте или приложении PowerShell.

            Вы можете настроить следующие параметры для Shell Launcher:

            • Включить или отключить средство запуска оболочки.
            • Укажите конфигурацию оболочки для определенного пользователя или группы.
            • Удалить конфигурацию оболочки для определенного пользователя или группы.
            • Изменить конфигурацию оболочки по умолчанию.
            • Получить информацию о конфигурации оболочки для определенного пользователя или группы.

            Любые изменения не вступают в силу, пока пользователь не войдет в систему.

            Запускать разные оболочки для разных учетных записей пользователей

            По умолчанию Shell Launcher запускает оболочку по умолчанию, которая указывается при создании образа ОС во время разработки. Оболочкой по умолчанию является Cmd.exe, но вы можете указать любой исполняемый файл в качестве оболочки по умолчанию.

            Вы можете настроить Shell Launcher для запуска другой оболочки для определенных пользователей или групп, если вы не хотите запускать оболочку по умолчанию.Например, вы можете настроить устройство для запуска пользовательской оболочки приложения для гостевых учетных записей, но запускать стандартную оболочку Windows Explorer для учетных записей администратора для обслуживания устройства.

            Если вы используете поставщиков WMI для настройки средства запуска оболочки для пользователя или группы во время выполнения, вы должны использовать идентификатор безопасности (SID) для этого пользователя или группы; вы не можете использовать имя пользователя или имя группы.

            Дополнительную информацию об общих идентификаторах безопасности см. в разделе Общеизвестные SID.

            Если текущая вошедшая учетная запись принадлежит к двум или более группам, для каждой из которых определены разные конфигурации, Shell Launcher использует первую найденную конфигурацию. Порядок поиска не определен, поэтому мы рекомендуем не назначать пользователя в несколько групп с разными конфигурациями средства запуска оболочки.

            Выполнить действие при выходе из оболочки

            При выходе из пользовательской оболочки Shell Launcher может выполнить одно из четырех действий:

            < /th>
            Действие Описание
            0 Перезапустите оболочку.
            1 Перезагрузите устройство.
            2 Выключите устройство.
            3 Ничего не делать.

            Убедитесь, что ваше приложение оболочки не завершается автоматически и не закрывается автоматически какими-либо функциями, такими как фильтр диалоговых окон, так как это может привести к бесконечному циклу выхода и перезапуска, если для действия кода возврата не задано ничего не делать.

            Действие кода возврата по умолчанию

            Вы можете определить действие кода возврата по умолчанию для средства запуска оболочки с помощью параметра DefaultReturnCodeAction. Если вы не измените начальное значение, действие кода возврата по умолчанию будет установлено на 0 (ноль), что означает, что Shell Launcher перезапускает оболочку при выходе из оболочки.

            Сопоставьте код выхода с действием Shell Launcher

            Shell Launcher может выполнить определенное действие на основе кода выхода, возвращенного оболочкой. Для любого заданного кода выхода, возвращаемого оболочкой, можно настроить действие, которое выполняет средство запуска оболочки, сопоставив этот код выхода с одним из действий выхода из оболочки.

            Если код выхода не соответствует определенному значению, Shell Launcher выполняет действие с кодом возврата по умолчанию.

            Например, ваша оболочка может возвращать значения кода выхода -1, 0, 1 или 255 в зависимости от того, как оболочка завершается. Вы можете настроить Shell Launcher для:

            • перезапустите устройство (1), когда оболочка вернет код выхода со значением -1
            • перезапустить оболочку (0), когда оболочка возвращает код выхода со значением 0
            • ничего не делать (3), когда оболочка возвращает код выхода со значением 1
            • выключить устройство (2), когда оболочка вернет код выхода со значением 255

            Сопоставление действий с пользовательским кодом возврата будет выглядеть следующим образом:

            < td>1 (перезагрузить устройство)
            Код выхода Действие
            -1
            0 0 (перезапустить оболочку)
            1 3 (ничего не делать)
            255 2 (выключить устройство)

            Установите собственную оболочку

            Измените следующий сценарий PowerShell соответствующим образом и запустите его на устройстве.

            Приведенный выше сценарий включает в себя примеры нескольких параметров конфигурации, включая удаление пользовательской оболочки и отключение средства запуска оболочки. Он не предназначен для запуска как есть.

            Права пользователя Shell Launcher

            Настраиваемая оболочка запускается с тем же уровнем прав пользователя, что и учетная запись, в которую выполнен вход. Это означает, что пользователь с правами администратора может выполнять любые системные действия, требующие прав администратора, включая запуск других приложений с правами администратора, в то время как пользователь без прав администратора не может.

            Если для вашего приложения-оболочки требуются права администратора и его необходимо повысить, а на вашем устройстве присутствует контроль учетных записей (UAC), вы должны отключить UAC, чтобы Shell Launcher мог запустить приложение-оболочку.

            Отключить PowerShell можно, и в этом руководстве мы покажем три способа выполнения этой задачи в Windows 10.

            Windows 10 отключить PowerShell

            Источник: Windows Central

            В Windows 10 PowerShell — это мощный кроссплатформенный инструмент, который позволяет запускать сценарии и команды для изменения системных настроек, управления функциями, устранения неполадок и автоматизации задач.

            Несмотря на то, что это полезная оболочка командной строки, в некоторых ситуациях вам может потребоваться отключить ее, чтобы пользователи не вносили нежелательные изменения и не выполняли сценарии с вредоносными командами. А в других случаях вам может потребоваться ограничить доступ к PowerShell в соответствии с политиками компании.

            Какой бы ни была причина, Windows 10 предлагает несколько способов отключить доступ к встроенной версии PowerShell или автономной версии инструмента PowerShell 7.

            В этом руководстве по Windows 10 мы расскажем вам о трех различных способах отключения доступа к PowerShell, включая PowerShell 7.

            Как заблокировать доступ к PowerShell с помощью групповой политики

            Если вы используете Windows 10 Pro (или Enterprise), проще всего отключить доступ к PowerShell с помощью редактора локальной групповой политики.

            Чтобы отключить PowerShell в Windows 10, выполните следующие действия:

            1. Откройте Пуск.
            2. Выполните поиск gpedit.msc и выберите верхний результат, чтобы открыть редактор локальной групповой политики.

            Пройдите по следующему пути:

            Конфигурация пользователя > Административные шаблоны > Система

            Справа дважды щелкните политику "Не запускать указанные приложения Windows".

            System Don

            Источник: Windows Central

            В разделе "Параметры" нажмите кнопку "Показать".

            Настроить Don

            Источник: Windows Central

            В столбце "Значение" введите powershell.exe, чтобы отключить PowerShell.

            Групповая политика отключает PowerShell

            Источник: Windows Central

            После выполнения этих шагов пользователи больше не смогут запускать и использовать PowerShell.

            Если вы передумаете, вы можете откатить предыдущие настройки, используя те же инструкции, но на шаге № 5 выберите вариант «Не настроено».

            В этом руководстве основное внимание уделяется отключению PowerShell для всех пользователей, но с помощью этих инструкций вы также можете ограничить доступ к оболочке для определенных пользователей.

            Как заблокировать доступ к PowerShell с помощью политики безопасности

            Кроме того, вы можете добиться того же эффекта с помощью консоли Local Security Policy.

            Чтобы запретить пользователям запускать настройки PowerShell для локальной политики безопасности, выполните следующие действия:

            1. Откройте Пуск.
            2. Найдите локальную групповую политику и нажмите на верхний результат, чтобы открыть приложение.
            3. Дважды щелкните, чтобы развернуть ветвь «Политики ограниченного использования программ».

            Нажмите правой кнопкой мыши категорию "Дополнительные правила" и выберите параметр "Новое правило хеширования".

            Политика безопасности Новое правило хэширования

            Источник: Windows Central

            Совет. Если категория недоступна, щелкните правой кнопкой мыши ветку "Политики ограниченного использования программ" и выберите параметр "Новые политики ограниченного использования программ".

            Нажмите кнопку "Обзор".

            Настроить новое хэш-правило

            Источник: Windows Central

            Скопируйте и вставьте следующий путь в адресную строку, чтобы найти 32-разрядную версию PowerShell, и нажмите Enter:

            Выберите исполняемый файл powershell.exe.

            Отключить PowerShell с политикой безопасности

            Источник: Windows Central

            Скопируйте и вставьте следующий путь в адресную строку, чтобы найти 64-разрядную версию PowerShell, и нажмите Enter:

            Совет. Если вы хотите отключить доступ к PowerShell версии 7, вы можете создать еще одно хеш-правило со следующим путем: "%SystemRoot%\Program Files\PowerShell\7\pwsh.exe . Или удалить приложение с помощью шаги ниже.

            Выберите исполняемый файл powershell.exe.

            Отключить 64-разрядную версию Powershell в Windows 10

            Источник: Windows Central

            После выполнения этих шагов пользователи больше не смогут запускать 32-разрядную или 64-разрядную версию PowerShell.

            Отключить доступ к PowerShell ISE

            Несмотря на то, что описанные выше шаги могут ограничить доступ к инструменту командной строки, пользователи могут обойти это ограничение с помощью интерфейса PowerShell ISE. Однако вы также можете отключить доступ к этому инструменту с помощью приложения «Локальная политика безопасности».

            Чтобы отключить доступ к PowerShell ISE, выполните следующие действия:

            1. Откройте Пуск.
            2. Найдите локальную групповую политику и нажмите на верхний результат, чтобы открыть приложение.
            3. Дважды щелкните, чтобы развернуть ветвь «Политики ограниченного использования программ».

            Нажмите правой кнопкой мыши категорию "Дополнительные правила" и выберите параметр "Новое правило хеширования".

            Политика безопасности Новое правило хэширования

            Источник: Windows Central

            Нажмите кнопку "Обзор".

            Настроить новое хэш-правило

            Источник: Windows Central

            Скопируйте и вставьте следующий путь в адресную строку, чтобы найти 32-разрядную версию PowerShell ISE, и нажмите Enter:

            Выберите исполняемый файл powershell_ise.exe.

            Отключить 32-разрядную версию Powershell ISE

            Источник: Windows Central

            Скопируйте и вставьте следующий путь в адресную строку, чтобы найти 64-разрядную версию PowerShell, и нажмите Enter:

            Выберите исполняемый файл powershell_ise.exe.

            Отключить 64-разрядную версию PowerShell

            Источник: Windows Central

            После выполнения этих шагов встроенная версия PowerShell ISE больше не будет доступна.

            Если вы хотите отменить изменения, вы можете использовать те же инструкции, описанные выше, но на шаге 4 щелкните правой кнопкой мыши каждое созданное правило хэширования, выберите параметр "Удалить" и перезагрузите компьютер.

            Как заблокировать доступ PowerShell 7 для удаления приложения

            Если на устройстве также есть PowerShell 7, вы можете ограничить доступ, удалив приложение из Windows 10.

            Чтобы удалить PowerShell 7, выполните следующие действия:

            1. Откройте настройки.
            2. Нажмите "Приложения".
            3. Нажмите "Приложения и функции".
            4. В разделе "Приложения и функции" выберите приложение PowerShell.

            Нажмите кнопку "Удалить".

            Windows 10 блокирует PowerShell 7 путем удаления

            Источник: Windows Central

            После выполнения этих шагов ни у кого не будет доступа к PowerShell версии 7, так как он больше не установлен на устройстве. Конечно, вы всегда можете снова загрузить и установить приложение.

            Если вы пытаетесь запретить пользователям вносить нежелательные изменения в систему, помимо ограничения доступа к PowerShell, вы также можете отключить командную строку, диспетчер задач и реестр. Кроме того, вы даже можете попробовать переключить тип учетной записи на «Стандартный пользователь», чтобы пользователи не могли вносить системные изменения и сделать учетную запись более безопасной. Однако пользователи по-прежнему будут иметь доступ к PowerShell, командной строке и диспетчеру задач для выполнения некоторых распространенных задач.

            Дополнительные ресурсы по Windows 10

            Для получения дополнительных полезных статей, обзоров и ответов на распространенные вопросы о Windows 10 посетите следующие ресурсы:

            Найдена древняя пасхалка Windows 1.0 с Гейбом Ньюэллом

            Обнаружено древнее пасхальное яйцо Windows 1.0 с участием Гейба Ньюэлла

            Как раз в тот момент, когда вы думали, что хранилища знаний старой Windows 1.0 исчерпаны, появляется новая запись. И это становится еще более захватывающим: этот конкретный самородок знаний содержит отсылку ни к кому иному, как к самому Гейбу Ньюэллу из Valve.

            Присоединяйтесь к нам в прямом эфире для Windows Central Video Podcast сегодня в 13:30 по восточному времени

            Сегодня в 13:30 по восточному времени мы в прямом эфире с подкастом Windows Central Video, обязательно будьте там!

            Обзор: Stranger of Paradise просто не подходит

            Обзор: «Незнакомец из рая» не совсем правильно понял

            Stranger of Paradise: Final Fantasy Origin – это игра, набитая возмутительными персонажами и потрясающими мемами, но этого недостаточно, чтобы передать общее впечатление.

            Познакомьтесь с этими обязательными приложениями Windows для Суперкубка LVI

            Ознакомьтесь с этими обязательными приложениями Windows для Суперкубка LVI

            Суперкубок LVI наконец-то здесь. Чтобы получить наилучшие впечатления от большой игры, обязательно скачайте эти приложения для Windows 11 и Windows 10.

            Читайте также: