Cách định cấu hình hành vi nhắc nhở UAC của Windows cho quản trị viên và người dùng

Microsoft đã giới thiệu Kiểm soát tài khoản người dùng trong Windows Vista theo cách khiến nhiều người dùng hệ thống lo lắng vì số lượng lời nhắc tuyệt đối mà người dùng hệ điều hành đã bị bắn phá. Hành vi UAC đã được cải thiện kể từ đó; số lượng lời nhắc mà người dùng nhận được khi họ làm việc với hệ thống máy tính đã giảm đáng kể.

Các hành vi không được tối ưu hóa quá mức mặc dù. Chẳng hạn, bạn nhận được lời nhắc UAC ngay cả khi bạn đã đăng nhập bằng tài khoản quản trị viên mà những người dùng có kinh nghiệm biết họ đang làm gì có thể không thích chút nào.

Điều mà nhiều người dùng Windows không biết là có thể sửa đổi hành vi Kiểm soát tài khoản người dùng mặc định. Windows Registry giữ hai khóa xác định hành vi UAC cho quản trị viên và người dùng chuẩn.

Bạn cần mở Windows Registry trước để kiểm tra cách các phím được cấu hình trên hệ thống của bạn:

  1. Sử dụng Windows-R để hiển thị hộp chạy trên hệ thống. Nhập regedit và nhấn phím enter để tải Registry. Bạn sẽ nhận được một lời nhắc UAC mà bạn cần chấp nhận.
  2. Điều hướng đến đường dẫn sau bằng cấu trúc thư mục thanh bên: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Chính sách \ Hệ thống

ConsentPromptBehaviorAdmin

Khóa này xác định hành vi Kiểm soát tài khoản người dùng cho quản trị viên hệ thống. Giá trị mặc định được đặt thành dấu nhắc nhưng không yêu cầu thông tin đăng nhập. Dưới đây là tất cả các giá trị có thể:

  • 0 : Giá trị 0 cho phép quản trị viên thực hiện các thao tác yêu cầu độ cao mà không cần sự đồng ý (nghĩa là lời nhắc) hoặc thông tin xác thực (nghĩa là xác thực).
  • 1 : Giá trị 1 yêu cầu quản trị viên nhập tên người dùng và mật khẩu khi các hoạt động yêu cầu đặc quyền nâng cao trên máy tính để bàn an toàn.
  • 2 : Giá trị của 2 hiển thị lời nhắc UAC cần được cho phép hoặc từ chối trên máy tính để bàn an toàn. Không cần xác thực.
  • 3 : Giá trị của 3 lời nhắc cho thông tin đăng nhập.
  • 4 : Giá trị của 4 lời nhắc để được chấp thuận bằng cách hiển thị lời nhắc UAC.
  • 5 : Giá trị mặc định của 5 lời nhắc chấp thuận cho các nhị phân không phải của Windows.

ConsentPromptBehaviorUser

  • 0 : Giá trị 0 sẽ tự động từ chối mọi hoạt động yêu cầu đặc quyền nâng cao nếu được thực hiện bởi người dùng chuẩn.
  • 1 : Giá trị của 1 sẽ hiển thị lời nhắc nhập tên người dùng và mật khẩu của quản trị viên để chạy hoạt động với các đặc quyền nâng cao trên màn hình an toàn.
  • 3 : Giá trị mặc định của 3 lời nhắc cho thông tin đăng nhập trên máy tính để bàn an toàn.

Những thay đổi sẽ có hiệu lực ngay lập tức. Chẳng hạn, bạn có thể đặt hành vi quản trị viên thành 0 để không có lời nhắc nào được hiển thị và hành vi người dùng thành 0 cũng như để ngăn họ chạy các hoạt động yêu cầu đặc quyền nâng cao.

Các khóa bổ sung có sẵn, đây là tổng quan nhanh về chúng:

  • EnableInstallerDetection được đặt thành 1 trên tất cả các phiên bản Windows ngoại trừ Enterprise nơi được đặt thành 0. Nó xác định xem lời nhắc cài đặt ứng dụng cho độ cao (0 bị tắt, bật 1).
  • PromptOnSecureDesktop xác định xem lời nhắc UAC có được hiển thị trên màn hình nền an toàn (1, mặc định) hay không (0). Điều này được loại bỏ dấu nhắc toàn màn hình khi bị vô hiệu hóa.
  • FilterAd AdministratorToken bị tắt theo mặc định (0) nhưng có thể được đặt thành (1) thay vào đó sẽ yêu cầu người dùng phê duyệt các hoạt động yêu cầu nâng cao đặc quyền.
  • EnableUIADesktopToggle bị tắt theo mặc định (0). Nó xác định xem các ứng dụng UIAccess có thể nhắc về độ cao mà không cần máy tính để bàn an toàn hay không. Các ứng dụng UIAccess được ký điện tử và chỉ chạy từ các đường dẫn được bảo vệ (tệp chương trình, tệp chương trình (x86) và system32). Đặt nó thành (1) cho phép nó.
  • EnableSecureUIAPath được bật theo mặc định (1). Nếu bị tắt (0), sẽ cho phép thực thi các ứng dụng UIAccess từ các vị trí không an toàn.
  • Theo mặc định, ValidateAdminCodeSignatures bị tắt (0). Khi được bật (1), thực thi xác thực đường dẫn chứng nhận PKI cho các tệp thực thi trước khi chúng được phép chạy.
  • EnableLUA được bật theo mặc định (1). Nếu bị tắt (0), sẽ tắt chế độ phê duyệt của quản trị viên và tất cả các cài đặt chính sách UAC liên quan.
  • EnableVirtualization được bật (1) theo mặc định sẽ chuyển hướng các lỗi ghi ứng dụng vào thời gian chạy đến các vị trí người dùng được xác định. Các ứng dụng ghi dữ liệu vào các vị trí được bảo vệ sẽ thất bại nếu bị tắt (0.

Thông tin bổ sung về từng cài đặt cũng như cài đặt Chính sách nhóm tương ứng của chúng có sẵn trên trang web Technet của Microsoft.