Jak zakázat kontrolu uživatelských účtů (UAC) na Windows Serveru

  • 09/08/2020
  • 8 minut na čtení
    • D
    • s

Tento článek uvádí, jak zakázat kontrolu uživatelských účtů (UAC) na Windows Serveru.

Původní verze produktu: Windows Server 2012 R2
Původní číslo KB: 2526083

Shrnutí

Za určitých omezených okolností může být zakázání UAC na Windows Server přijatelným a doporučeným postupem. Tyto okolnosti nastanou, pouze pokud jsou splněny všechny následující podmínky:

  • Pouze správci se mohou interaktivně přihlásit k serveru se systémem Windows v konzole nebo pomocí služby vzdálené plochy.
  • Správci se přihlašují k serveru se systémem Windows pouze za účelem provádění legitimních funkcí správy systému na serveru.

Pokud některá z těchto podmínek není pravdivá, UAC by měl zůstat povolený. příklad, pokud server povolí roli Služby vzdálené plochy, aby se mohli neadministrativní uživatelé přihlašovat k serveru a spouštět aplikace, UAC by měl zůstat povolený. Podobně by měl UAC zůstat povolený, pokud správci spouštějí na serveru rizikové aplikace, jako jsou webové prohlížeče, e-mail klienti nebo klienti pro rychlé zasílání zpráv, nebo pokud administrátoři provádějí jiné operace, které by měly být prováděny z klientského operačního systému, jako je Windows 7.

Poznámka

  • Tyto pokyny platí pouze pro operační systémy Windows Server.
  • UAC je vždy d je povoleno v edicích Server Core systému Windows Server 2008 R2 a novějších verzích.

Další informace

UAC bylo navrženo tak, aby pomohlo uživatelům Windows přejít k používání standardu uživatelská práva ve výchozím nastavení. UAC zahrnuje několik technologií k dosažení tohoto cíle. Mezi tyto technologie patří následující:

  • Virtualizace souborů a registrů: Když se starší aplikace pokusí zapisovat do chráněných oblastí souborového systému nebo registru, systém Windows tiše a transparentně přesměruje přístup k části systému souborů nebo registru, které může uživatel změnit. To umožňuje mnoha aplikacím, které vyžadovaly práva správce v dřívějších verzích systému Windows, úspěšně fungovat pouze se standardními uživatelskými právy v systému Windows Server 2008 a novějších verzích.
  • Stejná úroveň plochy: Když autorizovaný uživatel spustí a zvýší program , výslednému procesu jsou udělena výkonnější práva než právům uživatele interaktivní plochy. Kombinací zvýšení s funkcí filtrovaného tokenu UAC (viz následující odrážka) mohou správci spouštět programy se standardními uživatelskými právy a poté povýšit pouze ty programy, které vyžadují práva správce se stejným uživatelským účtem. (Tato funkce pro zvýšení úrovně stejného uživatele je Programy lze také spouštět se zvýšenými právy pomocí jiného uživatelského účtu, aby správce mohl provádět administrativní úkoly na ploše standardního uživatele.
  • Filtrovaný token: Když uživatel, který má oprávnění pro správu nebo jiná silná oprávnění nebo členství ve skupině, vytvoří systém Windows dva přístupové tokeny, které představují uživatelský účet. Nefiltrovaný token má všechna uživatelská členství a oprávnění skupiny, zatímco filtrovaný token představuje uživatele s ekvivalentem standardních uživatelských práv. Ve výchozím nastavení se tento filtrovaný token používá ke spouštění programů uživatele. Nefiltrovaný token je spojen pouze se zvýšenými programy. Účet, který je členem skupiny Administrators a který po přihlášení uživatele obdrží filtrovaný token, se nazývá účet chráněného správce.
  • Izolace oprávnění uživatelského rozhraní (UIPI): UIPI zabraňuje programu s nižšími oprávněními od odesílání okenních zpráv, jako jsou události syntetické myši nebo klávesnice, do okna, které patří do procesu s vyššími oprávněními, a tím, že ovládáte proces s vyššími oprávněními.
  • Chráněný režim Internet Explorer (PMIE): PMIE je funkce ochrany do hloubky, ve které Windows Internet Explorer pracuje v chráněném režimu s nízkými oprávněními a nemůže zapisovat do většiny oblastí souborového systému nebo registru. Ve výchozím nastavení je chráněný režim povolen, když uživatel prochází weby v Zóny Internetu nebo Zóna s omezeným přístupem. PMIE ztěžuje malwaru, který infikuje spuštěnou instanci aplikace Internet Explorer, změnit nastavení uživatele, například tak, že se nakonfiguruje tak, aby se spustil pokaždé, když se uživatel přihlásí. PMIE ve skutečnosti není součástí UAC. Záleží to však na funkcích UAC, jako je UIPI.
  • Detekce instalačního programu: Když se chystá zahájit nový proces bez práv správce, systém Windows použije heuristiku, aby určil, zda nový proces pravděpodobně bude starší instalací program. Windows předpokládají, že starší instalační programy pravděpodobně selžou bez práv správce.Proto Windows proaktivně vyzve interaktivního uživatele ke zvýšení úrovně. Pokud uživatel nemá pověření pro správu, nemůže tento program spustit.

Pokud zakážete kontrolu uživatelských účtů: Spustit všechny administrátory v nastavení zásad režimu Admin Approval Mode, tím zakážete všechny Funkce UAC, které jsou popsány v této části. Toto nastavení zásad je k dispozici prostřednictvím místních zásad zabezpečení počítače, nastavení zabezpečení, místních zásad a možností zabezpečení. Starší aplikace, které mají standardní uživatelská práva a které očekávají zápis do chráněných složek nebo klíčů registru, selžou. Filtrované tokeny nejsou vytvořeny a všechny programy běží s plnými právy uživatele, který je přihlášen k počítači. Patří sem i Internet Explorer, protože chráněný režim je zakázán pro všechny zóny zabezpečení.

Jeden z běžné mylné představy o UAC a o stejné výšce stolního počítače jsou zejména v tom, že brání instalaci malwaru nebo získání práv správce. Nejprve lze malware psát tak, aby nevyžadoval práva správce, a malware lze psát tak, aby psal jen do oblastí v profil uživatele. Ještě důležitější je, že stejná pracovní plocha v UAC není bezpečnostní hranicí a může být unesena neprivilegovaným softwarem, který běží na stejné pracovní ploše. Stejná pracovní plocha by měla být považována za pohodlnou funkci a z bezpečnostního hlediska by měl být považován za chráněného správce. ekvivalent správce. Naproti tomu použití rychlého přepínání uživatelů k přihlášení k jiné relaci pomocí účtu správce zahrnuje bezpečnostní hranici mezi účtem správce a standardní relací uživatele.

Pro systém Windows server, na kterém je jediným důvodem interaktivního přihlášení administrace systému, není cíl menšího počtu výzev k dosažení výšky proveditelný ani žádoucí. Nástroje pro správu systému legitimně vyžadují práva správce. Když všechny úkoly administrátora vyžadují práva administrátora a každý úkol může vyvolat výzvu ke zvýšení, jsou výzvy pouze překážkou produktivity. V této souvislosti takové výzvy nepředstavují a nemohou propagovat cíl podpory vývoje aplikací které vyžadují standardní uživatelská práva. Takové výzvy také nezlepšují pozici zabezpečení. Místo toho tyto výzvy pouze povzbuzují uživatele, aby klikali na dialogová okna, aniž by si je přečetli.

Tyto pokyny platí pouze pro dobře spravované servery, na které se mohou interaktivně nebo prostřednictvím služeb vzdálené plochy přihlásit pouze uživatelé s právy správce, a to pouze vykonávat legitimní administrativní funkce. Pokud správci spouští rizikové aplikace, jako jsou webové prohlížeče, e-mailoví klienti nebo klienti pro rychlé zasílání zpráv, nebo provádějí jiné operace, které by měly být prováděny z klientského operačního systému, měl by být server považován za ekvivalent klientského systému. V tomto případě by UAC mělo zůstat povoleno jako opatření hloubkové ochrany.

Rovněž pokud se standardní uživatelé přihlašují k serveru na konzole nebo prostřednictvím služeb vzdálené plochy pro spouštění aplikací, zejména webových prohlížečů, UAC by mělo zůstat povoleno, aby podporovalo virtualizaci souborů a registrů a také chráněný režim Internet Explorer.

Další možností, jak se vyhnout výzvám ke zvýšení bez deaktivace UAC, je nastavení kontroly uživatelských účtů: Chování výzvy ke zvýšení pro administrátory v administraci Zásady zabezpečení v režimu schválení Elevate bez výzvy. Pomocí tohoto nastavení jsou požadavky na zvýšení úrovně tiše schváleny, pokud je uživatel členem skupiny Administrators. Tato možnost také ponechává PMIE a další funkce UAC povoleny. Ne všechny operace, které vyžadují práva správce, však vyžadují zvýšení úrovně. Použití tohoto nastavení může vést k tomu, že některé programy uživatele budou povýšeny a některé ne, aniž by je bylo možné odlišit. Například většina nástrojů konzoly, které vyžadují práva správce, se očekává spuštění na příkazovém řádku nebo v jiném programu, který je již zvýšené. Takové nástroje pouze selžou, když jsou spuštěny na příkazovém řádku, který není zvýšený.

Další efekty deaktivace UAC

  • Pokud se pokusíte použít Průzkumníka Windows k přejděte do adresáře, ve kterém nemáte oprávnění ke čtení, Průzkumník nabídne změnu oprávnění adresáře, aby k němu trvale udělil přístup k vašemu uživatelskému účtu. Výsledky závisí na tom, zda je povolen UAC. Další informace najdete v části Když kliknutím na Pokračovat získáte přístup ke složce v Průzkumníkovi Windows, váš uživatelský účet bude přidán do seznamu ACL pro složku.
  • Pokud je UAC zakázáno, Průzkumník Windows bude nadále zobrazovat ikony štítu UAC pro položky, které vyžadují zvýšení a zahrnout Spustit jako správce v kontextové nabídky aplikací a zástupce aplikací. Protože je zakázán mechanismus zvýšení úrovně UAC, nemají tyto příkazy žádný účinek a aplikace běží ve stejném kontextu zabezpečení jako uživatel, ke kterému je přihlášen.
  • Pokud je povolen UAC, když je konzolový nástroj spuštěn.exe se používá ke spuštění programu pomocí uživatelského účtu, který podléhá filtrování tokenů, program běží s filtrovaným tokenem uživatele. Pokud je UAC zakázáno, spuštěný program běží s plným tokenem uživatele.
  • Pokud je povolen UAC, nelze místní účty, které podléhají filtrování tokenů, použít ke vzdálené správě přes jiná síťová rozhraní než Vzdálená plocha (například prostřednictvím NET USE nebo WinRM). Místní účet, který ověřuje přes takové rozhraní získá pouze oprávnění, která jsou udělena filtrovanému tokenu účtu. Pokud je UAC zakázáno, je toto omezení odstraněno. (Omezení lze také odstranit pomocí nastavení LocalAccountTokenFilterPolicy, které je popsáno v KB951016.) Odstranění tohoto omezení může zvýšit riziko kompromisu systému v prostředí, kde mnoho systémů má místní správu účet, který má stejné uživatelské jméno a heslo. Doporučujeme, abyste se ujistili, že jsou proti tomuto riziku použity další zmírnění. Další informace o doporučených zmírnění najdete v tématu zmírnění útoků typu Pass-the-Hash (PtH) a další krádeže pověření, verze 1 a 2.
  • PsExec, kontrola uživatelských účtů a hranice zabezpečení
  • Když v Průzkumníkovi Windows vyberete Pokračovat pro přístup ke složce, váš uživatelský účet bude přidán do seznamu ACL pro složku (KB 950934)

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *