Cómo deshabilitar el Control de cuentas de usuario (UAC) en Windows Server

• 08/09/2020
• 8 minutos de lectura
• • D
  • s

Este artículo presenta cómo deshabilitar el Control de cuentas de usuario (UAC) en Windows Server.

Versión original del producto: Windows Server 2012 R2
Número de KB original: 2526083

Resumen

Bajo ciertas circunstancias limitadas, deshabilitar UAC en Windows Server puede ser una práctica aceptable y recomendada. Estas circunstancias ocurren solo cuando se cumplen todas las condiciones siguientes:

• Solo los administradores pueden iniciar sesión en el servidor basado en Windows de forma interactiva en la consola o mediante el uso de Servicios de escritorio remoto.
• Los administradores inician sesión en el servidor basado en Windows solo para realizar funciones administrativas legítimas del sistema en el servidor.

Si alguna de estas condiciones no es verdadera, UAC debe permanecer habilitado. Por ejemplo, si el servidor habilita la función de Servicios de escritorio remoto para que los usuarios no administrativos puedan iniciar sesión en el servidor para ejecutar aplicaciones, UAC debe permanecer habilitado. De manera similar, UAC debe permanecer habilitado si los administradores ejecutan aplicaciones peligrosas en el servidor, como navegadores web, clientes o clientes de mensajería instantánea, o si los administradores realizan otras operaciones que deberían realizarse desde un sistema operativo cliente como Windows 7.

Más información

UAC fue diseñado para ayudar a los usuarios de Windows a avanzar hacia el uso estándar derechos de usuario por defecto. UAC incluye varias tecnologías para lograrlo. Estas tecnologías incluyen lo siguiente:

• Virtualización de archivos y registros: cuando una aplicación heredada intenta escribir en áreas protegidas del sistema de archivos o del registro, Windows redirige de manera silenciosa y transparente el acceso a una parte del sistema de archivos o del registro que el usuario puede cambiar. Esto permite que muchas aplicaciones que requerían derechos administrativos en versiones anteriores de Windows se ejecuten correctamente con solo derechos de usuario estándar en Windows Server 2008 y versiones posteriores.
• Elevación del mismo escritorio: cuando un usuario autorizado ejecuta y eleva un programa , al proceso resultante se le otorgan derechos más poderosos que los del usuario de escritorio interactivo. Al combinar la elevación con la función de Token filtrado de UAC (consulte el siguiente punto), los administradores pueden ejecutar programas con derechos de usuario estándar y luego elevar solo aquellos programas que requieren derechos administrativos con la misma cuenta de usuario. (Esta función de elevación del mismo usuario es también conocido como modo de aprobación de administrador.) Los programas también se pueden iniciar con derechos elevados mediante el uso de una cuenta de usuario diferente para que un administrador pueda realizar tareas administrativas en el escritorio de un usuario estándar.
• Token filtrado: cuando un usuario que tiene privilegios administrativos u otros poderosos privilegios o membresía de grupo inicia sesión, Windows crea dos tokens de acceso para representar la cuenta de usuario. El token sin filtrar tiene todas las membresías y privilegios de grupo del usuario, mientras que el token filtrado representa al usuario con el equivalente a los derechos de usuario estándar. Por defecto, este token filtrado se usa para ejecutar los programas del usuario. El token sin filtrar está asociado solo con programas elevados. Una cuenta que es miembro del grupo de administradores y que recibe un token filtrado cuando el usuario inicia sesión se denomina cuenta de administrador protegida.
• Aislamiento de privilegios de interfaz de usuario (UIPI): UIPI evita un programa con privilegios inferiores enviar mensajes de ventana como eventos de mouse o teclado sintéticos a una ventana que pertenece a un proceso con mayores privilegios y, al hacerlo, controlar el proceso con mayores privilegios.
• Modo protegido Internet Explorer (PMIE): PMIE es una función de defensa en profundidad en la que Windows Internet Explorer opera en modo protegido con pocos privilegios y no puede escribir en la mayoría de las áreas del sistema de archivos o del registro. De forma predeterminada, el modo protegido está habilitado cuando un usuario navega por sitios en el Zonas de Internet o sitios restringidos. PMIE dificulta que el malware que infecta una instancia en ejecución de Internet Explorer cambie la configuración del usuario, por ejemplo, configurándose para iniciarse cada vez que el usuario inicia sesión. El PMIE no forma parte de UAC. Sin embargo, depende de las características de UAC como UIPI.
• Detección del instalador: cuando un nuevo proceso está a punto de iniciarse sin derechos administrativos, Windows aplica heurística para determinar si es probable que el nuevo proceso sea una instalación heredada programa. Windows asume que es probable que los programas de instalación heredados fallen sin derechos administrativos.Por lo tanto, Windows solicita de forma proactiva al usuario interactivo la elevación. Si el usuario no tiene credenciales administrativas, el usuario no puede ejecutar el programa.

Si deshabilita el Control de cuentas de usuario: Ejecutar todos los administradores en la configuración de política del Modo de aprobación de administrador, esto deshabilita todos los Características de UAC que se describen en esta sección. Esta configuración de directiva está disponible a través de la directiva de seguridad local, la configuración de seguridad, las directivas locales y luego las opciones de seguridad del equipo. Las aplicaciones heredadas que tienen derechos de usuario estándar que esperan escribir en carpetas protegidas o claves de registro fallarán. Los tokens filtrados no se crean y todos los programas se ejecutan con todos los derechos del usuario que está conectado a la computadora. Esto incluye Internet Explorer porque el Modo protegido está deshabilitado para todas las zonas de seguridad.

Uno de los Los conceptos erróneos más comunes sobre UAC y sobre la elevación del mismo escritorio en particular es que evita que se instale malware o que obtenga derechos administrativos. Primero, el malware se puede escribir para no requerir derechos administrativos, y el malware se puede escribir para escribir solo en áreas perfil del usuario. Más importante aún, la elevación del mismo escritorio en UAC no es un límite de seguridad y puede ser secuestrada por software sin privilegios que se ejecuta en el mismo escritorio. La elevación del mismo escritorio debe considerarse una característica conveniente, y desde una perspectiva de seguridad, debe considerarse un administrador protegido el equivalente de Administrador. Por el contrario, el uso de Cambio rápido de usuario para iniciar sesión en una sesión diferente utilizando una cuenta de administrador implica un límite de seguridad entre la cuenta de administrador y la sesión de usuario estándar.

Para una sesión basada en Windows servidor en el que la única razón para el inicio de sesión interactivo es administrar el sistema, el objetivo de menos avisos de elevación no es factible ni deseable. Las herramientas administrativas del sistema requieren legítimamente derechos administrativos. Cuando todas las tareas del usuario administrativo requieren derechos administrativos y cada tarea puede desencadenar una solicitud de elevación, las solicitudes son solo un obstáculo para la productividad. En este contexto, dichas solicitudes no «ni pueden» promover el objetivo de fomentar el desarrollo de aplicaciones. que requieren derechos de usuario estándar. Además, estos avisos no mejoran la postura de seguridad. En su lugar, estos mensajes solo animan a los usuarios a hacer clic en los cuadros de diálogo sin leerlos.

Esta guía se aplica solo a servidores bien administrados en los que solo los usuarios administrativos pueden iniciar sesión de forma interactiva o mediante servicios de Escritorio remoto, y solo para realizar funciones administrativas legítimas. Si los administradores ejecutan aplicaciones de riesgo, como navegadores web, clientes de correo electrónico o clientes de mensajería instantánea, o realizan otras operaciones que deben realizarse desde un sistema operativo cliente, el servidor debe considerarse equivalente a un sistema cliente. En este caso, UAC debe permanecer habilitado como medida de defensa en profundidad.

Además, si los usuarios estándar inician sesión en el servidor en la consola o mediante los servicios de Escritorio remoto para ejecutar aplicaciones, especialmente navegadores web, UAC debe permanecer habilitado para admitir la virtualización de archivos y registros y también Internet Explorer en modo protegido.

Otra opción para evitar mensajes de elevación sin deshabilitar UAC es configurar el Control de cuentas de usuario: comportamiento del mensaje de elevación para administradores en Admin Política de seguridad del modo de aprobación para elevar sin preguntar. Al usar esta configuración, las solicitudes de elevación se aprueban silenciosamente si el usuario es miembro del grupo de administradores. Esta opción también deja PMIE y otras funciones de UAC habilitadas. Sin embargo, no todas las operaciones que requieren derechos administrativos solicitan elevación. El uso de esta configuración puede provocar que algunos de los programas del usuario se eleven y otros no, sin que exista ninguna forma de distinguirlos. Por ejemplo, la mayoría de las utilidades de consola que requieren derechos administrativos esperan iniciarse en un símbolo del sistema u otro programa que sea ya elevado. Tales utilidades simplemente fallan cuando se inician en un símbolo del sistema que no está elevado.

Efectos adicionales de deshabilitar UAC

• Si intenta utilizar el Explorador de Windows para navegue a un directorio en el que no tiene permisos de lectura, Explorer ofrecerá cambiar los permisos del directorio para otorgarle a su cuenta de usuario acceso a él de forma permanente. Los resultados dependen de si UAC está habilitado. Para obtener más información, consulte Cuándo haga clic en Continuar para acceder a la carpeta en el Explorador de Windows, su cuenta de usuario se agrega a la ACL de la carpeta.
• Si UAC está deshabilitado, el Explorador de Windows continúa mostrando los iconos del escudo UAC para los elementos que requieren elevación y para incluir Ejecutar como administrador en el menús contextuales de aplicaciones y accesos directos a aplicaciones. Debido a que el mecanismo de elevación de UAC está deshabilitado, estos comandos no tienen efecto y las aplicaciones se ejecutan en el mismo contexto de seguridad que el usuario que inició sesión.
• Si UAC está habilitado, cuando la utilidad de consola Runas.exe se utiliza para iniciar un programa mediante el uso de una cuenta de usuario que está sujeta a filtrado de tokens, el programa se ejecuta con el token filtrado del usuario. Si UAC está deshabilitado, el programa que se inicia se ejecuta con el token completo del usuario.
• Si UAC está habilitado, las cuentas locales que están sujetas al filtrado de tokens no se pueden usar para la administración remota a través de interfaces de red que no sean Escritorio remoto (por ejemplo, a través de NET USE o WinRM). Una cuenta local que autentica a través de dicha interfaz obtiene solo los privilegios que se otorgan al token filtrado de la cuenta. Si UAC está deshabilitado, esta restricción se elimina. (La restricción también se puede eliminar mediante la configuración LocalAccountTokenFilterPolicy que se describe en KB951016). La eliminación de esta restricción puede aumentar el riesgo de que el sistema se vea comprometido en un entorno donde muchos sistemas tienen un administrador local cuenta que tiene el mismo nombre de usuario y contraseña. Le recomendamos que se asegure de que se empleen otras mitigaciones contra este riesgo. Para obtener más información sobre las mitigaciones recomendadas, consulte Mitigación de ataques Pass-the-Hash (PtH) y otros robos de credenciales, Versión 1 y 2.
• PsExec, Control de cuentas de usuario y límites de seguridad
• Cuando selecciona Continuar para acceder a la carpeta en el Explorador de Windows, su cuenta de usuario se agrega a la ACL de la carpeta (KB 950934)