Käyttäjätilien valvonnan (UAC) poistaminen käytöstä Windows Serverissä

  • 09/08/2020
  • 8 minuuttia aikaa lukea
    • D
    • s

Tässä artikkelissa kerrotaan, kuinka käyttäjätilien hallinta (UAC) poistetaan käytöstä Windows Serverissä.

Alkuperäinen tuoteversio: Windows Server 2012 R2
Alkuperäinen KB-numero: 2526083

Yhteenveto

Tietyissä rajoitetuissa olosuhteissa UAC: n poistaminen käytöstä Windows Serverissä voi olla hyväksyttävä ja suositeltava käytäntö. Nämä olosuhteet tapahtuvat vain, kun kaikki seuraavat ehdot täyttyvät:

  • Vain järjestelmänvalvojat saavat kirjautua Windows-pohjaiseen palvelimeen vuorovaikutteisesti konsolilla tai käyttämällä etätyöpöytäpalveluja.
  • Järjestelmänvalvojat kirjautuvat Windows-pohjaiseen palvelimeen vain laillisten järjestelmänvalvontatoimintojen suorittamiseksi palvelimella.

Jos jompikumpi näistä ehdoista ei ole totta, UAC: n tulisi pysyä käytössä. Esimerkki: jos palvelin ottaa käyttöön Etätyöpöytäpalvelut-roolin, jotta muut kuin hallinnolliset käyttäjät voivat kirjautua palvelimeen sovellusten suorittamiseksi, UAC: n tulisi pysyä käytössä. Vastaavasti UAC: n tulisi olla edelleen käytössä, jos järjestelmänvalvojat suorittavat palvelimella riskialttiita sovelluksia, kuten verkkoselaimet, sähköposti asiakkaita tai pikaviestiohjelmia tai jos järjestelmänvalvojat suorittavat muita toimintoja, jotka tulisi tehdä asiakkaan käyttöjärjestelmästä, kuten Windows 7: stä.

Huomautus

  • Tämä opas koskee vain Windows Server -käyttöjärjestelmiä.
  • UAC on aina d on käytössä Windows Server 2008 R2: n ja sitä uudempien versioiden Server Core -versioissa.

Lisätietoja

UAC on suunniteltu auttamaan Windows-käyttäjiä siirtymään kohti standardin käyttöä käyttäjän oikeudet oletusarvoisesti. UAC sisältää useita tekniikoita tämän saavuttamiseksi. Näitä tekniikoita ovat seuraavat:

  • Tiedostojen ja rekisterien virtualisointi: Kun vanha sovellus yrittää kirjoittaa tiedostojärjestelmän tai rekisterin suojatuille alueille, Windows ohjaa äänettömästi ja avoimesti osan pääsyn tiedostojärjestelmän tai rekisterin, jota käyttäjän sallitaan muuttaa. Tämän ansiosta monet sovellukset, jotka vaativat järjestelmänvalvojan oikeuksia aiemmissa Windows-versioissa, voivat toimia onnistuneesti vain Windows Server 2008: n ja sitä uudempien versioiden vakio-käyttöoikeuksilla.
  • Saman työpöydän korkeus: Kun valtuutettu käyttäjä suorittaa ja nostaa ohjelmaa , tuloksena olevalle prosessille myönnetään tehokkaammat oikeudet kuin vuorovaikutteisen työpöydän käyttäjälle. Yhdistämällä korkeuden UAC: n Filtered Token -ominaisuuteen (katso seuraava luetelmakohta) järjestelmänvalvojat voivat suorittaa ohjelmia vakio-käyttöoikeuksilla ja korottaa sitten vain ne ohjelmat, jotka edellyttävät järjestelmänvalvojan oikeuksia samalla käyttäjätilillä. (Tämä saman käyttäjän korkeusominaisuus on tunnetaan myös nimellä järjestelmänvalvojan hyväksymistila.) Ohjelmat voidaan käynnistää myös korotetuilla oikeuksilla käyttämällä eri käyttäjätiliä, jotta järjestelmänvalvoja voi suorittaa hallinnollisia tehtäviä tavallisen käyttäjän työpöydällä.
  • Suodatettu tunnus: Kun Käyttäjä, jolla on järjestelmänvalvojan tai muita tehokkaita etuoikeuksia tai ryhmäjäsenyyksiä, kirjautuu sisään, Windows luo kaksi käyttäjätunnusta edustamaan käyttäjätilejä. Suodattamattomalla tunnuksella on kaikki käyttäjän ryhmään kuulumiset ja käyttöoikeudet, kun taas suodatettu tunniste edustaa käyttäjää vastaavalla tavalla kuin tavalliset käyttäjäoikeudet. Oletusarvoisesti tätä suodatettua tunnusta käytetään käyttäjän ohjelmien suorittamiseen. Suodattamaton tunnus liittyy vain kohotettuihin ohjelmiin. Tiliä, joka on Järjestelmänvalvojat-ryhmän jäsen ja joka saa suodatetun tunnuksen, kun käyttäjä kirjautuu sisään, kutsutaan suojatuksi järjestelmänvalvojan tiliksi.
  • Käyttöliittymän käyttöoikeuksien eristäminen (UIPI): UIPI estää alemman etuoikeuden omaavan ohjelman lähettämällä ikkunaviestejä, kuten synteettisiä hiiri- tai näppäimistötapahtumia, ikkunaan, joka kuuluu korkeamman etuoikeuden omaavaan prosessiin, ja näin ohjaamalla korkeamman etuoikeuden mukaista prosessia.
  • Suojattu tila Internet Explorer (PMIE): PMIE on perusteellinen puolustusominaisuus, jossa Windows Internet Explorer toimii heikosti suojatussa tilassa eikä voi kirjoittaa useimmille tiedostojärjestelmän tai rekisterin alueille. Suojattu tila on oletusarvoisesti käytössä, kun käyttäjä selaa sivustoja Internet- tai Rajoitetut sivustot -alueet: PMIE vaikeuttaa käynnissä olevan Internet Explorer -instanssin infektoivien haittaohjelmien muuttamista käyttäjän asetuksissa, esimerkiksi määrittämällä itsensä käynnistymään aina, kun käyttäjä kirjautuu sisään. PMIE ei itse asiassa ole osa UAC: ta. Se riippuu kuitenkin UAC: n ominaisuuksista, kuten UIPI.
  • Asentajan tunnistus: Kun uusi prosessi on alkamassa ilman järjestelmänvalvojan oikeuksia, Windows käyttää heuristiikkaa selvittääkseen, onko uusi prosessi todennäköisesti vanha asennus ohjelmoida. Windows olettaa, että vanhat asennusohjelmat todennäköisesti epäonnistuvat ilman järjestelmänvalvojan oikeuksia.Siksi Windows kehottaa interaktiivista käyttäjää ennakoivasti nousemaan. Jos käyttäjällä ei ole järjestelmänvalvojan kirjautumistietoja, käyttäjä ei voi suorittaa ohjelmaa.

Jos poistat käyttäjätilin valvonnan käytöstä: Suorita kaikki järjestelmänvalvojat järjestelmänvalvojan hyväksymistilan käytäntöasetuksessa, tämä poistaa kaikki Tässä osassa kuvatut UAC-ominaisuudet. Tämä käytäntöasetus on käytettävissä tietokoneen paikallisessa tietoturvakäytännössä, suojausasetuksissa, paikallisissa käytännöissä ja sitten suojausasetuksissa. Vanhat sovellukset, joilla on vakio-käyttöoikeudet ja jotka odottavat kirjoittavan suojattuihin kansioihin tai rekisteriavaimiin, epäonnistuvat. Suodatettuja tunnuksia ei luoda, ja kaikki ohjelmat suoritetaan tietokoneelle kirjautuneen käyttäjän kaikilla oikeuksilla. Tämä sisältää Internet Explorerin, koska suojattu tila on poistettu käytöstä kaikilta suojausvyöhykkeiltä.

Yksi Yleinen väärinkäsitys UAC: sta ja erityisesti Same-desktop Elevationista on, että se estää haittaohjelmien asentamisen tai järjestelmänvalvojan oikeuksien saamisen. Ensinnäkin haittaohjelmat voidaan kirjoittaa vaatimatta järjestelmänvalvojan oikeuksia ja haittaohjelmat voidaan kirjoittaa kirjoittamaan vain alueille käyttäjän profiili. Tärkeämpää on, että UAC: n sama työpöydän korkeus ei ole tietoturvaraja, ja samalla työpöydällä toimiva etuoikeutettu ohjelmisto voi kaapata sen. Saman työpöydän korkeutta tulisi pitää mukavuusominaisuutena, ja suojauksen näkökulmasta suojattua järjestelmänvalvojaa tulisi harkita. vastaavasti järjestelmänvalvoja. Sitä vastoin nopeaan käyttäjänvaihtoon kirjautuminen eri istuntoon järjestelmänvalvojan tilillä edellyttää suojarajaa järjestelmänvalvojan tilin ja tavallisen käyttäjäistunnon välillä.

Windows-pohjainen palvelimella, jolla ainoa syy interaktiiviseen sisäänkirjautumiseen on järjestelmän ylläpito, tavoite vähentää korkeuskehotteita ei ole toteutettavissa tai toivottava. Järjestelmän hallintatyökalut edellyttävät laillisesti järjestelmänvalvojan oikeuksia. Kun kaikki järjestelmänvalvojan käyttäjän tehtävät edellyttävät järjestelmänvalvojan oikeuksia ja jokainen tehtävä voi laukaista korkeuskehotuksen, kehotteet ovat vain este tuottavuudelle. Tässä yhteydessä tällaiset kehotteet eivät voi edistää tavoitetta kannustaa sovellusten kehittämistä jotka vaativat tavallisia käyttäjän oikeuksia. Tällaiset kehotteet eivät myöskään paranna turvallisuusasentoa. Sen sijaan nämä kehotteet vain kannustavat käyttäjiä napsauttamaan valintaikkunoita lukematta niitä.

Tämä opas koskee vain hyvin hallittuja palvelimia, joihin vain järjestelmänvalvojat voivat kirjautua sisään vuorovaikutteisesti tai etätyöpöytäpalvelujen kautta, ja vain suorittaa laillisia hallinnollisia tehtäviä. Jos järjestelmänvalvojat käyttävät riskialttiita sovelluksia, kuten verkkoselaimia, sähköpostiohjelmia tai pikaviestiohjelmia, tai suorittavat muita toimintoja, jotka tulisi suorittaa asiakkaan käyttöjärjestelmästä, palvelimen on katsottava vastaavan asiakasjärjestelmää. Tällöin UAC: n tulisi pysyä käytössä syvällisenä puolustuksena.

Jos vakiokäyttäjät kirjautuvat palvelimelle konsolissa tai etätyöpöydän palveluiden kautta sovellusten, erityisesti verkkoselainten, suorittamiseksi, UAC: n tulisi edelleen olla käytettävissä tukemaan tiedostojen ja rekisterien virtualisointia ja myös Protected Mode Internet Exploreria.

Toinen vaihtoehto välttää korkeuskehotteita poistamatta UAC: ta on asettaa Käyttäjätilien hallinta: Järjestelmänvalvojien korkeuskehotteen toiminta Hyväksyntätilan tietoturvakäytäntö kohottaa ilman kehotusta. Tämän asetuksen avulla korkeuspyynnöt hyväksytään hiljaa, jos käyttäjä on Järjestelmänvalvojat-ryhmän jäsen. Tämä vaihtoehto jättää myös PMIE: n ja muut UAC-ominaisuudet käyttöön. Kaikki hallinnollisia oikeuksia vaativat toiminnot eivät kuitenkaan pyydä korotuksia. Tämän asetuksen käyttäminen voi johtaa siihen, että jotkut käyttäjän ohjelmista ovat korotettuja ja jotkut eivät, ilman mitään tapaa tehdä eroa niiden välillä. Esimerkiksi useimmat järjestelmänvalvojan oikeuksia edellyttävät konsoliohjelmat odottavat käynnistyvän komentokehotteessa tai muussa Tällaiset apuohjelmat vain epäonnistuvat, kun ne käynnistetään komentokehotteessa, jota ei ole korotettu.

UAC: n poistamisen lisävaikutukset

  • Jos yrität käyttää Windowsin Resurssienhallintaa selaa hakemistoon, jossa sinulla ei ole lukuoikeuksia, Explorer tarjoaa mahdollisuuden muuttaa hakemiston käyttöoikeuksia, jotta käyttäjätilillesi voidaan antaa pysyvä käyttöoikeus. Tulokset riippuvat siitä, onko UAC käytössä. Lisätietoja on kohdassa Kun Napsauta Jatka saadaksesi kansion käyttöoikeudet Resurssienhallinnassa, käyttäjätilisi lisätään kansion ACL-luetteloon.
  • Jos UAC on poistettu käytöstä, Windows Explorer näyttää edelleen UAC-kilpikuvakkeet kohteille, jotka vaativat korkeutta ja sisältävät Suorita järjestelmänvalvojana sovellusten kontekstivalikot ja sovellusten pikavalinnat. Koska UAC-korkeusmekanismi on poistettu käytöstä, näillä komennoilla ei ole vaikutusta, ja sovellukset toimivat samassa suojauskontekstissa kuin käyttäjä, jolle kirjautunut on.
  • Jos UAC on käytössä, kun konsoli-apuohjelma Runas.exe-ohjelmaa käytetään ohjelman käynnistämiseen käyttämällä käyttäjätunnusta, joka kuuluu tunnussuodatukseen, ohjelma toimii käyttäjän suodattaman tunnuksen kanssa. Jos UAC on poistettu käytöstä, käynnistetty ohjelma toimii käyttäjän täydellä tunnuksella.
  • Jos UAC on käytössä, tunnussuodatuksen kohteena olevia paikallisia tilejä ei voida käyttää etähallintaan muiden verkkoliitäntöjen kuin etätyöpöydän kautta (esimerkiksi NET USE: n tai WinRM: n kautta). Paikallinen tili, joka todentaa Tällaisen käyttöliittymän kautta saa vain oikeudet, jotka myönnetään tilin suodatetulle tunnukselle. Jos UAC poistetaan käytöstä, tämä rajoitus poistetaan. (Rajoitus voidaan poistaa myös käyttämällä tiedostossa KB951016 kuvattua LocalAccountTokenFilterPolicy -asetusta.) Tämän rajoituksen poistaminen voi lisätä järjestelmän vaarantumisriskiä ympäristössä, jossa monilla järjestelmillä on hallinnollinen paikallinen tili, jolla on sama käyttäjänimi ja salasana. Suosittelemme, että varmistat, että muita riskinhallintatoimenpiteitä käytetään. Lisätietoja suositelluista lievennyksistä on ohjeaiheessa Pass-the-Hash (PtH) -hyökkäysten ja muiden tunnistetietovarkauksien lieventäminen, versiot 1 ja 2.
  • PsExec, käyttäjätilien hallinta ja suojauksen rajat
  • Kun valitset Jatka kansion käyttöä varten Resurssienhallinnassa, käyttäjätilisi lisätään kansion ACL-luetteloon (KB 950934)

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *