За годы работы в корпоративной безопасности я заметил одну закономерность: большинство серьёзных инцидентов начинаются не с изощрённых хакерских эксплойтов, а с простой просьбы коллег: «отключи это окно, оно постоянно мешает работать». Речь о контроле учётных записей (UAC). Сегодня я разберу одну системную политику, которая превращает ваш компьютер из открытой двери в систему с проверкой пропусков. Я объясню всё так, чтобы понял даже школьник, впервые открывший «Панель управления», но с той глубиной, которую ожидают инженеры и архитекторы. Никакой воды, только проверенная на живых инфраструктурах практика.
Как это работает на самом деле 🛡️
Представьте, что у учётной записи администратора есть два пропуска. Первый — обычный. Им можно открывать офисные программы, сохранять документы, работать в браузере. Второй — «все двери». Им можно менять настройки системы, устанавливать драйверы, трогать системные файлы. Когда вы включаете Admin Approval Mode, Windows по умолчанию выдаёт вам только первый пропуск (технически это называется Filtered Token). Как только программа пытается сделать что-то серьёзное, появляется окно на отдельном защищённом экране. Это не просто картинка — это изолированная зона (Secure Desktop), куда вирусы, кейлоггеры и скрипты автоматизации не доберутся. Вы либо подтверждаете действие, либо отказываете. Так работает нулевое доверие на вашем рабочем столе без установки дополнительного софта.
Как включить за 3 минуты (инструкция для новичков) 📘
Не бойтесь, ничего не сломается, если следовать шагам. Я провожу эту настройку на машинах сотрудников с нуля, и она работает безотказно.
Нажмите комбинацию Win + R (клавиша с логотипом Windows и английская R). Откроется маленькое окно «Выполнить».
Напишите gpedit.msc и нажмите Enter. Если система пишет «не найдено» — у вас Windows Домашняя версия, перейдите к альтернативе ниже.
В открывшемся окне слева идите по папкам последовательно: Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Параметры безопасности.
В правой панели прокрутите список вниз до строки: Контроль учётных записей: для всех администраторов использовать режим одобрения администратором.
Дважды кликните по ней. В открывшемся окне выберите Включить, нажмите Применить, затем ОК.
Обязательно перезагрузите компьютер. Без перезагрузки система продолжит работать по-старому, потому что токены безопасности генерируются только при новом входе.
💻 Команды для продвинутых (или если лень кликать):
Путь GPO: Computer Configuration → Windows Settings → Security Settings → Local Policies → Security Options
# PowerShell (запускать от имени администратора)
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" -Name "EnableLUA" -Value 1
Restart-Computer -Force
Для Windows Домашняя (через реестр):
Win + R → regedit → HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Параметр: EnableLUA (тип REG_DWORD) → Значение: 1 → Перезагрузка
Что может пойти не так и как я это решаю ⚙️
После включения иногда программы начинают «капризничать». Это нормально: система перестала давать всем права по умолчанию. Вот моя полевая шпаргалка, которую я держу под рукой при разборе инцидентов.
😟 Симптом | ❓ Почему так происходит | 🛠️ Как решаю на практике
🚫 Программа ругается на «нет доступа» при сохранении
📁 Она пытается писать в системные папки (Program Files, Windows), куда обычный пропуск не пускает
🔄 Не запускайте её постоянно «от администратора». Перенесите рабочие файлы в «Документы» или используйте инструмент совместимости Windows (Application Compatibility Administrator), чтобы система автоматически запрашивала права только для этой программы
⏰ Автоматические задачи не запускаются
🔧 UAC фильтрует токен службы, задача остаётся с обычными правами
✅ В свойствах задачи поставьте галочку «Выполнить с наивысшими правами». Убедитесь, что учётная запись имеет право на пакетный вход через secpol.msc
🔁 Бесконечные запросы подтверждений при запуске утилит
⌛ Программа старая, без цифровой подписи, или повреждён системный файл
🔍 Откройте Просмотр событий → Журналы Windows → Приложение, ищите ошибки 1001 или 4104. Запустите командную строку от администратора и выполните sfc /scannow для восстановления файлов
💻 Скрипты PowerShell «молча» не работают
📜 Политика выполнения скриптов + фильтрация токена
▶️ В интерактивном режиме используйте Start-Process -Verb RunAs. В автоматизации запускайте от имени SYSTEM с флагом -ExecutionPolicy Bypass
✅ ПОДПИСКА, ❤️ ЛАЙК, 🔄 РЕПОСТ друзьям, 💰 ДОНАТ на сбер по QR 👇
📌 2200 2803 3202 5362 💯 МТС-Банк *** СПАСИБО за Вашу поддержку ***
💰ДОНАТ НА ИССЛЕДОВАНИЯ И РАЗВИТИЕ💰
Как разработчикам и автоматизаторам работать с этим 🛠️
Если вы пишете софт, настраиваете сборку или управляете инфраструктурой, UAC — не враг, а союзник. Просто учтите его заранее, чтобы не бороться с системой постфактум.
🔹 Добавляйте «паспорт» в программу. В файле проекта (.csproj, .vcxproj) укажите уровень прав, который требуется приложению. Windows сразу поймёт это и попросит подтверждение один раз, а не будет ломать работу или выдавать ложные срабатывания антивирусов.
🔹 Автоматизация и сборочные машины. На Windows-нодах агенты CI/CD должны работать как системные службы, иначе UAC прервёт процесс деплоя. Используйте запуск от имени SYSTEM или настройте удалённое выполнение через winrm/psexec -s.
🔹 Контейнеры и WSL. Внутри Docker UAC не работает, но при вызове из Windows-сеанса права наследуются. Не используйте --user root в продакшене без необходимости. Настройте подтверждение через sudoers или корпоративную авторизацию.
🔹 Код как закон. Храните настройки UAC в скриптах конфигурации (DSC, Ansible). Тогда при развёртывании сотни машин вы будете уверены: везде одинаково, безопасно и предсказуемо. Я использую простой ресурс DSC, который проверяет и фиксирует значение EnableLUA при каждом прогоне.
Почему это важно для проверок и как следить за системой 📊
Аудиторы и регуляторы (CIS, NIST, ФСТЭК) требуют эту настройку не для галочки. Она закрывает базовое правило информационной безопасности: «никому не давать больше прав, чем нужно для работы». Чтобы проходить проверки без паники и держать руку на пульсе, я настраиваю три вещи:
- Логирование процессов. Включаю запись событий 4688 (создание процесса) и 4672 (выдача специальных привилегий). Это позволяет видеть, кто и когда запрашивал повышенные права.
- Правила оповещений. Настраиваю алерты, если пользователь массово запрашивает отладочные привилегии или пытается запустить подозрительные утилиты (fodhelper, eventvwr).
- Интеграция с защитой. Передаю логи в EDR/XDR-системы. Современные платформы автоматически блокируют аномальные паттерны, ещё до того, как код получит полный доступ к системе.
Я всегда говорю командам: безопасность — это не разовая настройка, а привычка. Если инфраструктура живёт в этом режиме постоянно, любой аудит проходит как формальность, а инциденты остаются на уровне предупреждений.
Итог 🎯
Admin Approval Mode — это не назойливое окно, а фундамент вашей цифровой гигиены. Я видел, как его отключение экономило пять минут на запуске утилиты и стоило компании недели восстановления после целевой атаки. Включайте его поэтапно, тестируйте на нескольких машинах, настраивайте исключения правильно — и ваша среда станет устойчивее без потери скорости работы.
Сталкивались ли вы с программами, которые «ломаются» после включения UAC? Как вы договариваетесь между удобством пользователей и требованиями безопасности в вашей компании? Пишите в комментариях — разберём ваши кейсы и соберём общую базу проверенных решений.
📌 Подписывайтесь на канал, чтобы получать простые, но глубокие разборы скрытых настроек Windows, готовые шаблоны для ИТ-инфраструктуры и честные гайды без «воды». Ставьте 👍, если инструкция сэкономила вам время, и расскажите, какие политики безопасности вы уже применяете. Ваши вопросы определяют темы следующих выпусков.
#Windows #безопасность #UAC #администрирование #InfoSec #системныйадминистратор #GPO #групповыеполитики #кибербезопасность #защитаданных #Windows10 #Windows11 #реестрWindows #PowerShell #аудитбезопасности #инцидентыИБ #эскалацияправ #безопасностьОС #настройкаWindows #соответствие #CISBenchmarks #Microsoft #ITинфраструктура #сисадмин #защитаотвирусов #управлениедоступом #безопасностьпредприятия #ITгайды #политикибезопасности #DevSecOps