Sådan deaktiveres UAC (User Account Control) på Windows Server
- 09/08/2020
- 8 minutter at læse
-
- D
- s
Denne artikel introducerer, hvordan du deaktiverer UAC (User Account Control) på Windows Server.
Originalproduktversion: Windows Server 2012 R2
Original KB-nummer: 2526083
Oversigt
Under visse begrænsede omstændigheder kan deaktivering af UAC på Windows Server være en acceptabel og anbefalet fremgangsmåde. Disse omstændigheder forekommer kun, når alle følgende betingelser er opfyldt:
- Kun administratorer har tilladelse til at logge ind på den Windows-baserede server interaktivt ved konsollen eller ved hjælp af Remote Desktop Services.
- Administratorer logger kun på den Windows-baserede server for at udføre legitime systemadministrationsfunktioner på serveren.
Hvis en af disse betingelser ikke er rigtige, skal UAC forblive aktiveret. For Eksempel: hvis serveren aktiverer Remote Desktop Services-rollen, så ikkeadministrative brugere kan logge ind på serveren for at køre applikationer, skal UAC forblive aktiveret. Tilsvarende bør UAC forblive aktiveret, hvis administratorer kører risikable applikationer på serveren, såsom webbrowsere, e-mail klienter eller instant messaging-klienter, eller hvis administratorer udfører andre handlinger, der skal udføres fra et klientoperativsystem, f.eks. Windows 7.
Bemærk
- Denne vejledning gælder kun for Windows Server-operativsystemer.
- UAC er altid d er aktiveret på Server Core-udgaverne af Windows Server 2008 R2 og nyere versioner.
Flere oplysninger
UAC blev designet til at hjælpe Windows-brugere med at komme i retning af at bruge standard brugerrettigheder som standard. UAC inkluderer flere teknologier for at opnå dette. Disse teknologier inkluderer følgende:
- Virtualisering af filer og registreringsdatabaser: Når en ældre applikation forsøger at skrive til beskyttede områder i filsystemet eller i registreringsdatabasen, omdirigerer Windows lydløst og gennemsigtigt adgangen til en del af filsystemet eller af registreringsdatabasen, som brugeren har tilladelse til at ændre. Dette gør det muligt for mange applikationer, der krævede administrative rettigheder til tidligere versioner af Windows, at køre med succes med kun standardbrugerrettigheder på Windows Server 2008 og senere versioner.
- Samme desktop-elevation: Når en autoriseret bruger kører og hæver et program , den resulterende proces tildeles stærkere rettigheder end den interaktive desktop-brugeres. Ved at kombinere elevation med UACs Filtered Token-funktion (se følgende punkt) kan administratorer køre programmer med standardbrugerrettigheder og derefter kun hæve de programmer, der kræver administrative rettigheder med den samme brugerkonto. (Denne samme bruger elevationsfunktion er også kendt som Admin Approval Mode.) Programmer kan også startes med forhøjede rettigheder ved at bruge en anden brugerkonto, så en administrator kan udføre administrative opgaver på en standard brugers skrivebord.
- Filtreret token: Når en bruger, der har administrative eller andre magtfulde privilegier eller gruppemedlemskaber logger på, opretter Windows to adgangstokener til at repræsentere brugerkontoen. Det ufiltrerede token har alle brugerens gruppemedlemskaber og privilegier, mens det filtrerede token repræsenterer brugeren svarende til standardbrugerrettigheder. Som standard bruges dette filtrerede token til at køre brugerens programmer. Det ufiltrerede token er kun forbundet med forhøjede programmer. En konto, der er medlem af gruppen Administratorer, og som modtager et filtreret token, når brugeren logger på, kaldes en beskyttet administratorkonto.
- UIPI (User Interface Privilege Isolation): UIPI forhindrer et program med lavere privilegium fra at sende vinduemeddelelser som f.eks. syntetiske mus- eller tastaturbegivenheder til et vindue, der hører til en højere privilegeret proces, og ved at gøre dette til at kontrollere den højere privilegerede proces.
- Beskyttet tilstand Internet Explorer (PMIE): PMIE er en dybdegående forsvarsfunktion, hvor Windows Internet Explorer fungerer i beskyttet tilstand med lav privilegium og ikke kan skrive til de fleste områder i filsystemet eller i registreringsdatabasen. Som standard er Beskyttet tilstand aktiveret, når en bruger gennemsøger websteder i Internet- eller Restricted Sites-zoner. PMIE gør det vanskeligere for malware, der inficerer en kørende instans af Internet Explorer, at ændre brugerens indstillinger, f.eks. Ved at konfigurere sig selv til at starte hver gang brugeren logger på. PMIE er faktisk ikke en del af UAC. Det afhænger dog af UAC-funktioner såsom UIPI.
- Registrering af installationsprogram: Når en ny proces er ved at blive startet uden administrative rettigheder, anvender Windows heuristik for at afgøre, om den nye proces sandsynligvis vil være en ældre installation program. Windows antager, at ældre installationsprogrammer sandsynligvis mislykkes uden administrative rettigheder.Derfor beder Windows den interaktive bruger om forhøjelse proaktivt. Hvis brugeren ikke har administrative legitimationsoplysninger, kan brugeren ikke køre programmet.
Hvis du deaktiverer brugerkontokontrol: Kør alle administratorer i politikindstillingen Admin-godkendelsestilstand, deaktiverer alt UAC-funktioner, der er beskrevet i dette afsnit. Denne politikindstilling er tilgængelig via computerens lokale sikkerhedspolitik, sikkerhedsindstillinger, lokale politikker og derefter sikkerhedsindstillinger. Ældre applikationer, der har standardbrugerrettigheder, der forventer at skrive til beskyttede mapper eller registreringsdatabasenøgler, mislykkes. Filtrerede tokens oprettes ikke, og alle programmer kører med de fulde rettigheder for den bruger, der er logget på computeren. Dette inkluderer Internet Explorer, fordi Beskyttet tilstand er deaktiveret for alle sikkerhedszoner.
En af de almindelige misforståelser om UAC og især Same-desktop Elevation er, at det forhindrer malware i at blive installeret eller i at få administrative rettigheder. For det første kan malware skrives for ikke at kræve administrative rettigheder, og malware kan skrives til at skrive bare til områder i brugerens profil. Mere vigtigt, at Same-desktop Elevation i UAC ikke er en sikkerhedsgrænse og kan kapres af uprivilegeret software, der kører på det samme desktop. Samme desktop Elevation bør betragtes som en bekvemhedsfunktion, og fra et sikkerhedsperspektiv bør Protected Administrator overvejes svarende til administrator. Derimod indebærer brug af hurtig brugerskift til at logge på en anden session ved hjælp af en administratorkonto en sikkerhedsgrænse mellem administratorkontoen og standardbruger sessionen.
For en Windows-baseret server, hvor den eneste grund til interaktiv logon er at administrere systemet, er målet om færre højdeprompter ikke muligt eller ønskeligt. Systemadministrative værktøjer kræver legitimt administrative rettigheder. Når alle de administrative brugers opgaver kræver administrative rettigheder, og hver opgave kunne udløse en højdeprompt, er meddelelserne kun en hindring for produktiviteten. I denne sammenhæng kan sådanne opfordringer ikke fremme og kan ikke fremme målet om at tilskynde til udvikling af applikationer der kræver standardbrugerrettigheder. Sådanne meddelelser forbedrer ikke sikkerhedsstillingen. I stedet opfordrer disse meddelelser kun brugere til at klikke gennem dialogbokse uden at læse dem.
Denne vejledning gælder kun for veladministrerede servere, hvor kun administrative brugere kan logge på interaktivt eller via Remote Desktop-tjenester og kun til udføre legitime administrative funktioner. Hvis administratorer kører risikable applikationer såsom webbrowsere, e-mail-klienter eller instant messaging-klienter eller udfører andre handlinger, der skal udføres fra et klientoperativsystem, skal serveren betragtes som svarende til et klientsystem. I dette tilfælde skal UAC forblive aktiveret som en dybdegående forsvarsmåling.
Også hvis standardbrugere logger ind på serveren på konsollen eller via Remote Desktop-tjenester for at køre applikationer, især webbrowsere, UAC skal forblive aktiveret til at understøtte fil- og registreringsdatabasevirtualisering og også Beskyttet tilstand Internet Explorer.
En anden mulighed for at undgå højdeprompter uden at deaktivere UAC er at indstille kontrol af brugerkonti: Opførelse af højdeprompten for administratorer i Admin Godkendelsessikkerhedspolitik til Elevate uden at spørge. Ved at bruge denne indstilling godkendes højdeanmodninger lydløst, hvis brugeren er medlem af gruppen Administratorer. Denne indstilling efterlader også PMIE og andre UAC-funktioner aktiveret. Dog ikke alle operationer, der kræver administrative rettigheder, anmoder om forhøjelse. Brug af denne indstilling kan resultere i, at nogle af brugerens programmer hæves, og andre ikke uden nogen måde at skelne mellem dem. For eksempel forventer de fleste konsolværktøjer, der kræver administrative rettigheder, at blive startet ved en kommandoprompt eller et andet program, der er Sådanne hjælpeprogrammer fejler blot, når de startes ved en kommandoprompt, der ikke er hævet.
Yderligere effekter af deaktivering af UAC
- Hvis du prøver at bruge Windows Stifinder til gå til et bibliotek, hvor du ikke har læsetilladelser, Explorer vil tilbyde at ændre katalogets tilladelser for at give din brugerkonto adgang til det permanent. Resultaterne afhænger af, om UAC er aktiveret. For mere information, se Hvornår du klik på Fortsæt for at få adgang til mapper i Windows Stifinder, din brugerkonto føjes til ACL for mappen.
- Hvis UAC er deaktiveret, fortsætter Windows Stifinder med at vise UAC-skjoldikoner for emner, der kræver elevation, og for at inkludere Kør som administrator i kontekstmenuer af applikationer og programgenveje. Fordi UAC-elevationsmekanismen er deaktiveret, har disse kommandoer ingen effekt, og applikationer kører i samme sikkerhedskontekst som den bruger, der er logget ind på.
- Hvis UAC er aktiveret, når konsolværktøjet Runas.exe bruges til at starte et program ved hjælp af en brugerkonto, der er underlagt tokenfiltrering, programmet kører med brugerens filtrerede token. Hvis UAC er deaktiveret, kører det program, der startes, med brugerens fulde token.
- Hvis UAC er aktiveret, kan lokale konti, der er underlagt tokenfiltrering, ikke bruges til fjernadministration via andre netværksgrænseflader end Remote Desktop (f.eks. via NET USE eller WinRM). En lokal konto, der godkender over en sådan grænseflade opnås kun de rettigheder, der tildeles kontofiltreret token. Hvis UAC er deaktiveret, fjernes denne begrænsning. (Begrænsningen kan også fjernes ved hjælp af indstillingen
LocalAccountTokenFilterPolicy
, der er beskrevet i KB951016). Fjernelse af denne begrænsning kan øge risikoen for systemkompromis i et miljø, hvor mange systemer har en administrativ lokal konto, der har samme brugernavn og adgangskode. Vi anbefaler, at du sørger for, at der anvendes andre afbødninger mod denne risiko. Se Mitigating Pass-the-Hash (PtH) -angreb og andet legitimationstyveri, version 1 og 2. for at få flere oplysninger om anbefalede afbrydelser. - PsExec, brugerkontokontrol og sikkerhedsgrænser
- Når du vælger Fortsæt for mappeadgang i Windows Stifinder, føjes din brugerkonto til ACL for mappen (KB 950934)