Как обойти контроль учетных записей

Как отключить контроль учетных записей UAC Windows 10

Контроль учетных записей или UAC в Windows 10 уведомляет вас при запуске программ или выполнении действий, которые требуют права администратора на компьютере (что обычно означает, что программа или действие приведет к изменению системных настроек или файлов). Сделано это с целью защитить вас от потенциально опасных действий и запуска ПО, которое может нанести вред компьютеру.

• Отключение контроля учетных записей в панели управления Windows 10
• Изменение параметров UAC в редакторе реестра
• Отключение UAC в командной строке
• Как отключить контроль учетных записей в редакторе локальной групповой политики
• Видео инструкция

Как отключить контроль учетных записей в панели управления Windows 10

1. Откройте панель управления, для этого можно использовать поиск в панели задач или нажать клавиши Win+R, ввести control и нажать Enter. А можно сразу перейти к 4-му шагу, нажав Win+R и введя UserAccountControlSettings
2. В панели управления вверху справа в поле «Просмотр» вместо «Категории» установите «Значки», а затем откройте пункт «Учетные записи пользователей».
3. В следующем окне нажмите «Изменить параметры контроля учетных записей».
4. Далее вы можете вручную задать параметры UAC или отключить контроль учетных записей Windows 10, достаточно выбрать один из вариантов настроек работы UAC, каждый из которых пояснён далее.

Возможные варианты настроек контроля учетных записей в панели управления от верхнего к нижнему:

• Всегда уведомлять, когда приложения пытаются установить программное обеспечение или при изменении параметров компьютера — самый безопасный вариант, при любом своем действии, которое может что-то изменить, а также при действиях сторонних программ вы будете получать уведомление об этом. Обычные пользователи (не администраторы) должны будут ввести пароль для подтверждения действия.
• Уведомлять только при попытках приложений внести изменения в компьютер — этот параметр установлен в Windows 10 по умолчанию. Он означает, что контролируются только действия программ, но не действия пользователя.
• Уведомлять только при попытках приложений внести изменения в компьютер (не затемнять рабочий стол). Отличие от предыдущего пункта в том, что рабочий стол не затемняется и не блокируется, что в некоторых случаях (вирусы, трояны) может быть угрозой безопасности.
• Не уведомлять меня — UAC отключен и не уведомляет о каких-либо изменениях в параметрах компьютера, инициированных вами или программами.

Если вы решили отключить контроль учетных записей Windows 10, что является совсем не безопасной практикой, в дальнейшем следует быть очень внимательным, поскольку все программы будут иметь к системе тот же доступ, что и вы, в то время как контроль учетных записей не сообщит, если какая-то из них может повлиять на работу системы. Иными словами, если причина отключения UAC только в том, что он «мешает», я настойчиво рекомендую включить его обратно.

Изменение параметров контроля учетных записей в редакторе реестра

Отключение UAC и выбор любого из четырех вариантов работы контроля учетных записей Windows 10 возможен и с помощью редактора реестра (чтобы запустить его нажмите Win+R на клавиатуре и введите regedit).

Параметры работы UAC определяются тремя ключами реестра, находящимися в разделе

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Перейдите в этот раздел и найдите следующие параметры DWORD в правой части окна: PromptOnSecureDesktop, EnableLUA, ConsentPromptBehaviorAdmin. Для полного отключения контроля учетных записей достаточно изменить значение параметра EnableLUA на 0 (ноль), закрыть редактор реестра и перезагрузить компьютер.

Однако, когда вы меняете параметры UAC в панели управления, сама Windows 10 оперирует тремя параметрами одновременно и делает это несколько иначе (хотя предыдущий метод проще и быстрее). Далее привожу значения каждого из ключей PromptOnSecureDesktop, EnableLUA, ConsentPromptBehaviorAdmin в том порядке, как они указаны для разных вариантов оповещений контроля учетных записей.

1. Всегда уведомлять — 1, 1, 2 соответственно.
2. Уведомлять при попытках приложений изменить параметры (значения по умолчанию) — 1, 1, 5.
3. Уведомлять без затемнения экрана — 0, 1, 5.
4. Отключить UAC и не уведомлять — 0, 1, 0.

Отключение UAC в командной строке

Быстрый способ полностью отключить контроль учетных записей — использовать командную строку, для этого:

1. Запустите командную строку от имени администратора, в Windows 10 для этого можно начать вводить «Командная строка» в поиск на панели задач, а когда найдется нужный результат — либо нажать по нему правой кнопкой мыши и выбрать нужный пункт меню, либо выбрать «Запуск от имени администратора» в панели справа.
2. Введите команду (нажав Enter после ввода)

reg ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f

По своей сути этот метод является вариантом способа с редактором реестра, который описан выше: просто нужный параметр изменяется с помощью указанной команды.

Как отключить контроль учетных записей UAC в редакторе локальной групповой политики Windows 10

Этот метод подойдёт для Windows 10 Pro и Enterprise, где присутствует редактор локальной групповой политики. Шаги будут следующими:

1. Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter.
2. В редакторе перейдите к разделу «Конфигурация компьютера» — «Конфигурация Windows» — «Параметры Безопасности» — «Локальные политики» — «Параметры безопасности».
3. В правой панели найдите параметр «Контроль учетных записей: все администраторы работают в режиме одобрения администратором» и дважды нажмите по нему.
4. Установите параметр в значение «Отключен» и нажмите «Ок».

Перезагрузка компьютера обычно не требуется.

Видео

В завершение еще раз напомню: я не рекомендую отключать контроль учетных записей ни в Windows 10 ни в других версиях ОС, если только вы абсолютно точно не знаете, для чего вам это нужно, а также являетесь достаточно опытным пользователем.

А вдруг и это будет интересно:

• Лучшие бесплатные программы для Windows
• Как открыть Свойства системы Windows 11 и 10
• Как отключить или удалить Связь с телефоном в Windows 11 и 10
• Ошибка 0xc000001d при запуске игры или программы — как исправить?
• Ключ восстановления BitLocker в Windows — способы посмотреть
• User OOBE Broker — что это за процесс в Windows 11 и 10

• Windows 11
• Windows 10
• Android
• Загрузочная флешка
• Лечение вирусов
• Восстановление данных
• Установка с флешки
• Настройка роутера
• Всё про Windows
• В контакте
• Одноклассники

Fedor 20.03.2020 в 11:44

• Dmitry 20.03.2020 в 15:37

Нет. Но есть такой способ обхода: создаем задание в планировщике заданий для выполнения этой программы с наивысшими правами, а потом создаем ярлык для запуска этого задания по имени:

schtasks /run /tn "Имя задания"

• Илья 24.10.2021 в 11:19

schtasks /run /tn "Имя задания"

• Dmitry 20.12.2020 в 10:11

• Игорь Николаевич 24.12.2020 в 02:04

• Dmitry 24.12.2020 в 09:56

• Dmitry 13.10.2021 в 11:14

• Илья 24.10.2021 в 10:40

• Dmitry 24.10.2021 в 12:53

Здравствуйте. Можно попробовать такой метод: позволяет запустить приложение, требующее права админа от имени обычного пользователя (но как оно при этом работать будет — неизвестно).
Создаем bat файл:

cmd /min /C "set __COMPAT_LAYER=RUNASINVOKER && start "" полный_путь_к_программе"

• Илья 24.10.2021 в 13:50

В моём случае было достаточно:

Windows Registry Editor Version 5.00 ; Контроль учетных записей [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Policies\System] "ConsentPromptBehaviorAdmin"=dword:00000000 "PromptOnSecureDesktop"=dword:00000000

• Dmitry 22.06.2022 в 20:22

• Артём 22.06.2022 в 21:22

• Артём 08.07.2022 в 18:51

• Живые обои на рабочий стол Windows 11 и Windows 10
• Лучшие бесплатные программы на каждый день
• Как скачать Windows 10 64-бит и 32-бит оригинальный ISO
• Как смотреть ТВ онлайн бесплатно
• Бесплатные программы для восстановления данных
• Лучшие бесплатные антивирусы
• Средства удаления вредоносных программ (которых не видит ваш антивирус)
• Встроенные системные утилиты Windows 10, 8 и 7, о которых многие не знают
• Бесплатные программы удаленного управления компьютером
• Запуск Windows 10 с флешки без установки
• Лучший антивирус для Windows 10
• Бесплатные программы для ремонта флешек
• Что делать, если сильно греется и выключается ноутбук
• Программы для очистки компьютера от ненужных файлов
• Лучший браузер для Windows
• Бесплатный офис для Windows
• Запуск Android игр и программ в Windows (Эмуляторы Android)
• Что делать, если компьютер не видит флешку
• Управление Android с компьютера

• Как открыть Свойства системы Windows 11 и 10
• Как отключить или удалить Связь с телефоном в Windows 11 и 10
• Ошибка 0xc000001d при запуске игры или программы — как исправить?
• Ключ восстановления BitLocker в Windows — способы посмотреть
• User OOBE Broker — что это за процесс в Windows 11 и 10
• Ошибка 0x803F8001 в Microsoft Store, играх и приложениях — как исправить?
• Как использовать режим ожидания на iPhone
• GlideX — смартфон или планшет в качестве второго монитора и другие возможности
• Как открыть Управление компьютером в Windows 11 и 10
• Консоль управления MMC не может создать оснастку — варианты решения
• Appcopier — утилита резервного копирования настроек Windows 11 и 10
• Средство просмотра фотографий не может отобразить изображение — варианты решения
• Как определить тип файла без расширения или с неправильным расширением
• Api-ms-win-core-com-l1-1-0.dll отсутствует на компьютере — как исправить?
• Автоматическое обслуживание Windows 11 — как отключить или настроить

• Windows
• Android
• iPhone, iPad и Mac
• Программы
• Загрузочная флешка
• Лечение вирусов
• Восстановление данных
• Ноутбуки
• Wi-Fi и настройка роутера
• Интернет и браузеры
• Для начинающих
• Безопасность
• Ремонт компьютеров

• Windows
• Android
• iPhone, iPad и Mac
• Программы
• Загрузочная флешка
• Лечение вирусов
• Восстановление данных
• Ноутбуки
• Wi-Fi и настройка роутера
• Интернет и браузеры
• Для начинающих
• Безопасность
• Ремонт компьютеров

UAC Bypass и вариации на тему детектирования. Часть 1

Сегодня мы хотим рассказать о возможных вариантах обхода контроля учётных записей пользователей (UAC) и способах их детектирования.

Если коротко, UAC (User Account Control) – механизм, поддерживаемый всеми последними версиями Windows, который призван предотвратить несанкционированные административные действия, потенциально опасные для системы. UAC Bypass является достаточно распространённой атакой среди вредоносного ПО. Из последних ярких примеров – червь Raspberry Robin, который использует утилиту fodhelper.exe. Малварь, обнаруженная Microsoft, может обходить User Account Control (UAC) в зараженных системах с помощью легитимных инструментов Windows. Поэтому мы решили не проходить UAC Bypass стороной, а подробно его изучить.

В данном цикле статей мы проведем подробный разбор большого числа рабочих способов по обходу UAC и классифицируем их в категории, которые наиболее точно отражают возможный вариант выполнения атаки. После чего рассмотрим потенциальные способы детекта UAC Bypass.

Но для начала предлагаем ознакомиться с самим механизмом работы UAC немного глубже. Если для вас UAC не нуждается в представлении, то можете сразу переходить к разделу Способы обхода UAC.

Что такое UAC

User Account Control (UAC) – контроль учётных записей пользователей, который является одним из механизмов безопасности ОС Windows.
При отсутствии данного механизма, если пользователь запустит вредоносное программное обеспечение из-под своей сессии, то оно получит административные привилегии. В тоже время, при наличии включенного UAC в системе, пользователь по-прежнему будет обладать административными привилегиями, но его основной токен будет пользовательским. Поэтому все процессы, включая вредоносное ПО, запустятся с токеном обычного пользователя. По крайней мере в теории это выглядит так.

Единственный, по изначальной задумке разработчиков, способ получить административный токен – выполнить функцию «Запустить от имени администратора», а затем во всплывающем окне подтвердить необходимость выполнения действия или действий с административными привилегиями нажатием на кнопку «Да». Либо ввести учетные данные пользователя, обладающего административными привилегиями. При этом выполнить данную операцию пользователь может только интерактивно.

Данный механизм впервые появился в Windows Vista, как способ смягчить переход от подхода «Чтобы пользоваться ПК, нужно быть администратором» к подходу «Чтобы пользоваться ПК, можно быть обычным пользователем». До этого момента практически любому пользователю для комфортной работы в ОС Windows необходимо было обладать правами администратора. И, как следствие, зачастую это приводило к быстрой компрометации ОС, так как не соблюдалось базовое правило ИБ – принцип минимальных привилегий. Поэтому разработчики ОС Windows взяли курс на упрощение работы из-под обычного пользователя.

Настройки UAC

После выпуска ОС Windows Vista многие пользователи остались недовольны лишними действиями, которые им нужно было совершать, поэтому Microsoft решила добавить 2 дополнительные опции в настройках UAC, сильно снижающие его защиту:

1. Always notify / Всегда уведомлять

2. Notify only when apps try to change settings, use the secure desktop (Новая опция) / Уведомлять только при попытках приложений изменять настройки, использовать secure desktop

3. Notify only when apps try to change settings, don’t use the secure desktop (Новая опция) / Уведомлять только при попытках приложений изменять настройки, не использовать secure desktop

4. Never notify / Никогда не уведомлять

Опция №2 по умолчанию включена в настройках системы. Несмотря на обилие опций на практике следует рассматривать только два варианта: всегда включена, либо не работает. Более подробно о работе опций можно узнать здесь.

Также были добавлены программы и функции, которые могут повышать свои привилегии при запуске, но без открытия окна UAC Prompt. Они содержат специальное свойство auto-elevate, которое применяется только если не включена опция Always notify. Но стоит отметить, что это справедливо не для всех программ, так как существуют и те, что работают даже если UAC включён в Always notify.

Способы обхода UAC

Обход UAC или UAC Bypass – это запуск процесса с полным административным токеном без необходимости выполнять подтверждение в интерактивном окне. Зачастую обход UAC используется вредоносным ПО, так как у последнего чаще всего отсутствует интерактивный доступ к машине.

Существуют несколько основных способов для обхода UAC, которые как по отдельности, так и в комбинации формируют методы обхода. Далее рассмотрим основные из этих способов.

Исполняемые файлы со свойством Auto-Elevate

Как было сказано ранее, у некоторых программ есть свойство auto — elevate. Оно позволяет выполнить запуск с полными правами администратора без необходимости спрашивать разрешения у пользователя. Свойство указывается в файле manifest.xml и оно присутствует у достаточно большого количества стандартных программ Microsoft. Здесь есть интересный момент: иногда в процесс выполнения кода можно вмешаться и без административных прав. Например, исполняемый файл msconfig.exe имеет встроенный функционал запуска других программ, которые будут наследовать его высокие привилегии.

На картинке выше показано, что с помощью msconfig.exe можно перейти во вкладку Tools и выбрать запуск cmd.exe. Запущенный от msconfig.exe, cmd.exe будет иметь полные административные права, хотя сам msconfig.exe запускался из-под процесса с низкими правами.

Проверить наличие свойства можно с помощью утилиты sigcheck из стандартного набора SysInternals. Помимо явного запуска исполняемых файлов, также используются DLL Hijacking, подмена переменных, аргументов и другие способы, чтобы выполнить произвольный код от имени исполняемых файлов такого рода.

COM-интерфейсы со свойством Auto-Elevate

Второй способ, позволяющий повысить права до административных – COM-интерфейсы. Для каждого интерфейса в реестре содержится запись: может ли он автоматически повышать права до административных.

Каждый COM-интерфейс имеет уникальный CLSID. На рисунке выше мы видим запись в реестре для интерфейса IFileOperation. Наличие записи Enabled со значением 1 в ключе Elevation подсказывает нам, что такой COM-интерфейс может запускаться с административными правами даже без UAC Prompt.

Комбинируя несколько COM-интерфейсов с разным функционалом, мы можем выполнять действия как администратор. Например, перемещать файлы в системные директории. Это предоставит нам возможность выполнить в дальнейшем DLL Hijacking и автоматически повысить свои привилегии.

Отметим, что не каждый процесс способен повысить свои права через COM-интерфейс: ОС выполняет проверку Command Line процесса, который вызывает этот интерфейс и повышает привилегии, только если он является доверенным. Тем не менее, данный момент достаточно легко обойти, если процесс решит изменить собственную переменную и представиться, например, explorer.exe. Для этого используется способ под названием Masquerade PEB, который олицетворяет изменение PEB (Process Environment Block) структуры, содержащий информацию о процессе.

Модификация реестра

Еще одна возможность внедрения в процесс исполнения кода auto-elevate программ заключается в модификации веток реестра, доступных для записи обычному пользователю. Некоторые из которых могут проверяться на наличие в них записей динамически подгружаемых библиотек, необходимых для импорта.

Возьмём fodhelper.exe. Исполняемый файл проверяет при запуске следующие ветки реестра:

• HKCU\Software\Classes\ms-settings\shell\open\command
• HKCR\ms-settings\shell\open\command

Как можно увидеть, HKCR\ms-settings\shell\open\command содержит ссылку на другую ветку реестра:

А она уже содержит путь до DLL, которая будет подгружена fodhelper.exe.

Так как у пользователя есть права на запись первой (HKCU) ветки реестра, то можно подделать запись, которая ведёт на другую ветку и заставить fodhelper.exe загрузить зловредную DLL.

Заметим, что в текущем примере можно увидеть, что модификация реестра является промежуточным этапом для выполнения атаки DLL Hijacking. Эту ситуацию можно и нужно детектировать с помощью событий, отражающих изменение реестра. Но существуют способы, которые не опираются ни на что кроме подмены библиотек.

Категории для детектирования UAC Bypass

После проведенного анализа большого числа рабочих методов UAC Bypass мы выделили следующие категории с точки зрения их характера атаки и последующего детектирования:

1. Подмена DLL (DLL Hijacking)
2. Использование COM интерфейсов (COM)
3. Модификация реестра (Registry)

В качестве базы для анализа методов нами был использован ресурс UACMe, который содержит информацию по 70+ методам обхода UAC. Многие из которых комбинируют несколько способов обхода, поэтому могут входить в две группы. Чтобы легче было разобраться приведем визуальную картинку в виде диаграммы по количеству методов в разных или смежных группах:

Проводя классификацию, мы постарались обобщить все методы, присутствующие в UACMe. Однако, 3 из них – являются исключениями и не попадают ни в одну из обозначенных групп. Это методы – 38 (APPINFO command line spoofing), 55 (UIPI bypass with token modification), 59 (AppInfo LRPC). Подробнее про них будет рассказано в следующей статье.

Разобрав способы обхода UAC и классифицировав методы, перейдем к процессу детектирования UAC Bypass. Для этого рассмотрим какие возможности для детектирования существуют.

Возможные варианты детектирование UAC Bypass

Источники для детектирования

Для возможного детектирования UAC Bypass в качестве источника детекта мы будем рассматривать:

• Журналы Windows и System Access Control List (SACL)
• Sysmon
• Event Tracing for Windows (ETW)

У каждого из этих источников есть особенности, выражающиеся как в плюсах, так и в минусах. Рассмотрим подробнее:

Журналы Windows и SACL

Windows (EventLog) является стандартным механизмом аудита в ОС Windows и относительно прост в настройке. Некоторые методы обхода UAC можно детектировать с его помощью почти также эффективно, как и другими источниками. Еще с помощью EventLog можно и нужно проверять события, которые поступают от Sysmon. Нам это понадобиться для детектирования использования Masquerade PEB.

System Access Control List (SACL) – это права, которые могут быть выставлены на любой объект ОС с целью фиксирования попытки обращения к защищаемому объекту. При подготовке правил детектирования на основе EventLog мы будем использовать SACL на файлы и ветки реестра. Здесь стоит уточнить важное «НО»: данный источник событий очень часто бывает ненадёжен. По двум причинам:

• Во-первых, событие 4663 (An attempt was made to access an object) можно обойти, если использовать системные вызовы (SysCalls). Например, создать файл с помощью функции NtCreateFile. Тогда в событиях будут присутствовать только события 4656 (A handle to an object was requested).
• Во-вторых, ОС Windows не применяет наследованные права автоматически, если новый файл перемещён в папку. Так как SACL – тоже права доступа, то они не будут применены автоматически. Это значит, что если мы выставим SACL на директорию С: \Windows\System32\ и на все подпапки и файлы, а после атакующий внесет туда свою DLL, то нужных нам событий мы не получим.

Sysmon

Sysmon (System Monitor) отлично работает с тем, чтобы детектировать DLL Hijacking и изменения, выполняемые в реестре. При логировании импорта DLL файлов событие с Event ID 7 предоставляет информацию о подписи этих самых DLL файлов. Таким образом, это будет основой для детектирования многих способов из группы DLL Hijacking, так как при штатной работе системы атакуемый исполняемый файл импортирует подписанные DLL.
При этом перемещение файлов – это на самом деле не только проблема SACL. Sysmon также не показывает данные действия, потому что у него отсутствует данный тип событий для логирования.

Вспомним еще тот факт, что остается трюк с Masquerade PEB: подменой собственных переменных в процессе, который мы рассматривали в разделе про COM-интерфейсы. Если процесс представится explorer.exe, то его действия будут фиксироваться так же, как действия explorer.exe, что отобразиться в логах Sysmon. Однако, у событий из EventLog нет подобного недостатка, поэтому мы будем использовать их для проверки такого рода логов.
Еще отметим, что Sysmon практически ничего не показывает в отношении вызовов COM-интерфейсов.

ETW

ETW (Event Tracing for Windows) лучше всего использовать для детектирования вызова COM-интерфейсов, так как провайдер CombaseTraceLoggingProvider фиксирует вызовы вместе с процессом, который этот вызов совершает.

У ETW есть один минус: технологию почти никто не использует в рамках детектирования на SIEM. Это делает настройку сложной и персонализированной, так как мало вендоров включают эти логи в свои продукты. Но если разработчики не увидят в этом проблемы, то ETW станет прекрасным средством, чтобы детектировать атаки, связанные с COM- интерфейсами.

Детектирование UAC Bypass для COM-объектов

Учитывая все плюсы и минусы описанных выше источников событий, мы предлагаем свой подход к детектированию обхода UAC для COM-объектов.

Эта категория была выбрана нами не случайно. В отличие от других способов UAC Bypass, COM-объекты являются одними из корневых объектов системы и применяются практически везде. В свою очередь методы UAC Bypass опирающиеся на COM-интерфейсы так же имеют общие черты указывающие на атаку. Таким образом, при логировании вызовов COM- объектов можно найти и выделить универсальную логику возможного детектирования, применимую ко всем методов из группы COM.

Итак, при запросе на использование COM-интерфейса, исполняемый файл обычно выполняет запрос к реестру, используя путь HKCR\CLSID\ для определения местоположения динамической библиотеки (DLL). Библиотека содержит информацию о COM-интерфейсе и другие вспомогательные данные. Зная этот факт, мы можем выявить COM-интерфейс, который собирается вызвать исполняемый файл через наблюдения за обращениями к реестру.

Заметим, что атакующий не сможет исключить обращение к легитимной DLL, которая содержит нужный COM-интерфейс. Например, с помощью предварительной загрузки DLL в собственную память. В таком случае не будет автоматического повышения привилегий с помощью DllHost.exe (суррогатного хост-процесса для COM-объектов).

При обычной работе системы с возможностью auto-elevate COM-интерфейсы вызываются либо легитимными приложениями, либо при выдаче разрешения со стороны пользователя (UAC Prompt). Информацию о вызове легитимного приложения можно проверить с помощью информации из события 4688 (A new process has been created), в котором будут отражены данные об его месторасположении. А вот при участии пользователя не все так просто, но выход тем не менее есть. Мы можем детектировать наличие вызова окна UAC Promt, так как при атаке оно не вызывается. В этом нам может помочь consent.exe: он отвечает за вызов UAC Prompt, и при его отрисовке он импортирует C:\Windows\System32\credui.dll, который содержит в себе функции для конфигурации и вызова Credential UI.

Импорт происходит только в случае вызова UAC Prompt, что может косвенно подтвердить нам, имел ли пользователь возможность выдать разрешения или нет.

Правило детектирования

Выше мы описали маркеры, на основании которых теперь мы составим правило для возможного детектирования всех методов из группы COM. В данный момент используется ограниченный список COM-интерфейсов для обхода UAC. Именно поэтому только они будут фигурировать в правиле:

• ColorDataProxy: D2E7041B-2927-42fb-8E9F-7CE93B6DC937
• CMSTPLUA: 3E5FC7F9-9A51-4367-9063-A120244FBEC7
• FwCplLua: 752438CB-E941-433F-BCB4-8B7D2329F0C8
• FileOperation: 3AD05575-8857-4850-9277-11B85BDB8E09
• ShellSecurityEditor: 4D111E08-CBF7-4f12-A926-2C7920AF52FC
• EditionUpgradeManager: 17CCA47D-DAE5-4E4A-AC42-CC54E28F334A
• IEAAddonInstaller: BDB57FF2-79B9-4205-9447-F5FE85F37312
• SecurityCenter: E9495B87-D950-4AB5-87A5-FF6D70BF3E90

Также в правиле мы будем опираться на два факта:

• Запрос CLSID интерфейса любым приложением
• Отсутствие импорта credui.dll с последующим запуском dllhost.exe с повышенными привилегиями

Таким образом мы можем выяснить, какой исполняемый файл использовал COM-интерфейс для повышения привилегий и при этом не вызвал UAC Prompt. При атаке правило должно сработать при наличии:

• События запроса к ключу реестра и события запуска dllhost.exe с повышенными привилегиями
• (Опционально) События импорта credui.dll выполняются только при условии согласия пользователя на повышение привилегий и служат маркером легитимных действий

(Process_Name!="C:\\Windows\\System32\\* " (Object_Name="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\CLSID\\" OR Object_Name="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\CLSID\\" OR Object_Name="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\CLSID\\" OR Object_Name="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\CLSID\\" OR Object_Name="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\CLSID\\" OR Object_Name="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\CLSID\\" OR Object_Name="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\CLSID\\" OR Object_Name="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\CLSID\\")) OR (EventCode=4565 Process_Name="C:\\Windows\\System32\\consent.exe" Object_Name=C:\\Windows\\System32\\credui.dll) OR (EventCode=4688 New_Process_Name="C:\\Windows\\System32\\dllhost.exe" Token_Elevation_Type="%%1937")

Детектирование изменений системной переменной WINDIR

Большое число методов для обхода UAC вносят изменения в системную переменную %windir%, поэтому логично держать ситуацию на контроле. Изменения можно выполнить с помощью модификации ветки реестра HCU\Environment\: например, переименовать HCU\Environment\, создать собственную ветку HCU\Environment\ с поддельным ключом windir, а потом вернуть все в исходное состояние. Такое поведение должно вызывать подозрение, не только при UAC Bypass, но и в целом, так как оно не характерно при обычной работе ОС.

Изменения системной переменной на практике можно отследить с помощью событий Sysmon 13 (RegistryEvent: Value Set) и 14 (RegistryEvent: Key and Value Rename), а также Security 4663, при настроенном SACL.

Анализ атрибутов безопасности

В одном из постов в твиттере James Forshaw подсветил характерные для auto-elevate процессов атрибуты:

Tiraniddo: Not seen these before. Token security attributes which indicate if a process has be UAC auto elevated (LUA://HdAutoAp) and whether it’s descended from an auto elevated app (LUA://DecHdAutoAp). Might be useful for detecting the results of UAC bypasses in the wild.The second attribute is automatically inherited to children. So it’d show up if a someone injects a dll into an auto elevate process then immediately spawns a new process.

Первый атрибут появляется у процессов, которые автоматически повышают права, а второй наследуется дочерними процессами с такими же правами. Это может быть полезно для того, чтобы не составлять список всех возможных дочерних процессов для каждого auto-elevate исполняемого файла.

Машинное обучение

Еще одним помощником в обнаружении может стать поведенческий анализ, механизмы которого используются в специализированных платформах для выявления аномальных активностей.

Основная проблема UAC Bypass заключается в борьбе с ложными срабатываниями, появляющимися при легитимной работе auto-elevate исполняемых файлов. Использование машинного обучения удобно для того, чтобы показать полную картину того, насколько часто процессы, требующие повышенных привилегий, запускались в системе. И, следовательно, при наличии отклонения формировать соответствующее оповещение.

В этой статье мы рассмотрели примеры UAC Bypass, привели категории методов и выявили возможные способы обхода UAC и его детектирования. В следующем материале мы попробуем сделать более углубленный разбор нескольких, выбранных нами методов обхода UAC и предложить свой возможный вариант их детектирования.

Если у вас появились вопросы по статье, пишите нам в комментариях!

Отключение контроля учетных записей пользователей Windows – все методы

Контроль учетных записей пользователей Windows, также известный как UAC, является интегрированной функцией во всех операционных системах Microsoft, которая позволяет вам контролировать компьютер, запрашивая разрешение, прежде чем вносить изменения, требующие прав администратора.

Прежде чем объяснять, как отключить контроль учетных записей Windows, следует сказать, что UAC всегда должен быть активным, поскольку он может предотвращать и блокировать несанкционированные изменения, которые могут поставить под угрозу безопасность компьютера.

Контроль учетных записей можно отключить несколькими способами: в настройках UAC, в системном реестре или в командной строке.

Отключить контроль учетных записей Windows в настройках

1. Нажмите на клавиатуре компьютера клавиши Win (это клавиша с логотипом Windows) и R одновременно. Откроется окно «Выполнить».
2. В поле Открыть: введите useraccountcontrolsettings и нажмите кнопку ОК .
3. Откроется окно настроек контроля учетных записей Windows.
4. Теперь переведите селектор до «Никогда не уведомлять».
5. Нажмите ОК .

Чтобы завершить процедуру и отключить контроль учетных записей Windows, вы должны перезагрузить компьютер.

Отключить контроль учетных записей Windows в реестре

Чтобы отключить UAC, мы можем использовать редактор реестра Windows (→ что такое реестр Windows).

Важно: редактор реестра может быть запущен только с учетной записью администратора.

1. Нажмите на клавиатуре компьютера клавиши Win (это клавиша с логотипом Windows) и R одновременно. Откроется окно «Выполнить».
2. В поле Открыть: введите regedit и нажмите ОК . Откроется редактор реестра. Перед изменением реестра рекомендуется создать резервную копию (→ как сделать резервную копию реестра Windows) или точку восстановления, которую можно использовать в случае проблем (→ как создать точку восстановления Windows).
3. На левой панели найдите этот ключ: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
4. На правой панели найдите элемент EnableLUA и дважды кликните по нему.
5. Откроется окно «Изменение параметра DWORD».
6. В поле Значение: поменяйте 1 на 0.
7. Нажмите ОК .
8. Закройте редактор реестра.

Чтобы завершить процедуру и отключить контроль учетных записей Windows, необходимо перезагрузить компьютер.

Отключите контроль учетных записей с помощью командной строки

1. Откройте командную строку Windows от имени администратора.
2. Скопируйте и вставьте следующую команду в командную строку: C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
3. Нажмите Enter на клавиатуре компьютера.

Чтобы завершить процедуру и отключить контроль учетных записей Windows, вы должны перезагрузить компьютер.

Что произойдет, если отключить контроль учетных записей

В заключение руководства мы объясним, что произойдет, если вы решили отключить контроль учетных записей Windows.

• Вы больше не будете получать никаких уведомлений о том, нужно ли разрешить или запретить изменения, требующие административных прав.
• Если вы используете стандартную учетную запись пользователя, вы не сможете вносить изменения, требующие авторизации администратора, поскольку они будут автоматически заблокированы.
• Если вы используете учетную запись администратора, некоторые программы могут вносить изменения в компьютер без предварительного разрешения.

Важное замечание: единственный пользователь Windows, на которого не распространяется UAC, – это Супер Администратор, который по соображениям безопасности отключен по умолчанию (→ что такое учетная запись Супер Администратора и как её включить).

Как отключить контроль учетных записей UAC в Windows 11

Среди самых частых вопросов пользователей Windows всех версий — отключение контроля учетных записей в системе: системной функции, призванной обеспечить повышенную безопасность при запуске программ, требующих прав администратора и способных выполнить изменения в системе. При выполнении таких программ появляется окно «Разрешить этому приложению вносить изменения на вашем устройстве?», затемняется экран, а доступ сторонних программ к затемненному экрану ограничен.

Отключение контроля учётных записей в Панели управления

Отключение контроля учетных записей — не самая безопасная практика: если вы делаете это только из-за того, что вам не нравятся окна вида «Разрешить этому приложению вносить изменения на вашем устройстве?», возможно, следует отказаться от отключения UAC. Также учитывайте, что для отключения требуется иметь права администратора на компьютере.

Первый способ отключить UAC в Windows 11 — использование элемента настройки параметров контроли учётных записей Панели управления. Учитывайте, что для выполнения описанных действий необходимо иметь права администратора. Шаги выглядят следующим образом:

1. Откройте окно настроек контроля учетных записей одним из следующих способов (есть и другие, но, уверен, должно хватить указанных 3-х):
   • В поиске на панели задач или меню пуск Windows 11 начните вводить «Контроль учетных записей», когда будет найден пункт «Изменение параметров контроля учетных записей», откройте его.
   • Если по какой-то причине поиском воспользоваться не удается, нажмите клавиши Win+R на клавиатуре (или нажмите правой кнопкой мыши по кнопке «Пуск» и выберите пункт «Выполнить»), введите UserAccountControlSettings.exe и нажмите Enter.
   • Откройте панель управления, перейдите в «Центр безопасности и обслуживания», а затем, слева выберите «Изменение параметров контроля учетных записей». Также в панели управления можно открыть «Учетные записи пользователей», а в следующем окне — нажать по ссылке «Изменить параметры контроля учетных записей».
2. Откроется окно настроек параметров контроля учетных записей.
3. Для полного отключения контроля учетных записей, переместите переключатель слева в нижнее положение — «Никогда не уведомлять» и примените настройки. Указанные действия полностью отключат контроль учетных записей.
4. Если выбрать второй снизу пункт — то отдельные уведомления UAC будут появляться (при запуске сторонних программ, которые могут менять что-либо на уровне системы), но экран затемняться не будет. Это оптимальный выбор, если ваша задача — убрать уведомления контроля учетных записей при изменении настроек Windows 11 в «Параметрах» или «Панели управления».

В случае, если вы отключали контроль учетных записей для какого-либо однократного действия, рекомендую снова включить его после того, как действие было выполнено.

Отключение UAC в редакторе реестра и редакторе локальной групповой политики

Ещё одна возможность — использовать редактор реестра или редактор локальной групповой политики для отключения контроля учетных записей. Учитывайте, что редактор локальной групповой политики доступен только в Windows 11 Pro и Enterprise.

Для отключения с помощью редактора реестра выполните следующие действия:

1. Нажмите клавиши Win+R (Win — клавиша с эмблемой Windows), введите regedit и нажмите Enter.
2. В редакторе реестра перейдите к разделу (можно скопировать путь и вставить в строке вверху окна)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

В правой панели дважды нажмите по параметру с именем EnableLUA и установите значение 0 (ноль) для него. Примените сделанные настройки и закройте редактор реестра.

Перезагрузите компьютер самостоятельно или подтвердите перезагрузку в появившемся уведомлении.

Для отключения с помощью редактора локальной групповой политики (напоминаю, в Windows 11 «Домашняя» утилита недоступна):

1. Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter.
2. Перейдите к разделу «Конфигурация компьютера» — «Конфигурация Windows» — «Параметры безопасности» — «Локальные политики» — «Параметры безопасности».
3. В правой панели найдите политику с именем «Контроль учетных записей: все администраторы работают в режиме одобрения администратором», установите значение «Отключен» и примените настройки.
4. Перезагрузите компьютер.

В большинстве случаев, предложенных способов оказывается достаточно для отключения UAC. Дополнительно можно отметить, что многие сторонние программы настройки Windows также имеют опцию включения и отключения контроля учетных записей.

А вдруг и это будет интересно:

• Лучшие бесплатные программы для Windows
• Как открыть Свойства системы Windows 11 и 10
• Как отключить или удалить Связь с телефоном в Windows 11 и 10
• Ошибка 0xc000001d при запуске игры или программы — как исправить?
• Ключ восстановления BitLocker в Windows — способы посмотреть
• User OOBE Broker — что это за процесс в Windows 11 и 10

• Windows 11
• Windows 10
• Android
• Загрузочная флешка
• Лечение вирусов
• Восстановление данных
• Установка с флешки
• Настройка роутера
• Всё про Windows
• В контакте
• Одноклассники