A felhasználói fiókok felügyeletének (UAC) letiltása a Windows Server rendszeren

  • 09/08/2020
  • 8 perc olvasási idő
    • D
    • s

Ez a cikk bemutatja a felhasználói fiókok felügyeletének (UAC) letiltását a Windows Server rendszeren.

Eredeti termékverzió: Windows Server 2012 R2
Eredeti KB-szám: 2526083

Összegzés

Bizonyos korlátozott körülmények között az UAC letiltása a Windows Server rendszeren elfogadható és ajánlott gyakorlat lehet. Ezek a körülmények csak akkor fordulnak elő, ha a következő feltételek mindegyike teljesül:

  • Csak a rendszergazdák léphetnek be interaktív módon a Windows-alapú szerverre a konzolon vagy a Távoli asztali szolgáltatások használatával.
  • Az adminisztrátorok csak azért lépnek be a Windows-alapú kiszolgálóra, hogy törvényes rendszergazdai funkciókat hajtsanak végre a szerveren.

Ha ezek a feltételek nem igazak, akkor az UAC-nak engedélyezve kell maradnia. Például, ha a kiszolgáló engedélyezi a Távoli asztali szolgáltatások szerepkört, hogy a nem adminisztratív felhasználók bejelentkezhessenek a kiszolgálóra alkalmazások futtatásához, akkor az UAC-nak engedélyezve kell maradnia. Hasonlóképpen, az UAC-nak továbbra is engedélyezettnek kell maradnia, ha az adminisztrátorok kockázatos alkalmazásokat futtatnak a szerveren, például webböngészők, e-mail kliensek, vagy azonnali üzenetküldő kliensek, vagy ha az adminisztrátorok más műveleteket hajtanak végre, amelyeket egy kliens operációs rendszerből, például a Windows 7-ből kell végrehajtani.

Megjegyzés

  • Ez az útmutató csak a Windows Server operációs rendszerekre vonatkozik.
  • Az UAC mindig d engedélyezve van a Windows Server 2008 R2 és újabb verzióinak Server Core kiadásain.

További információ

Az UAC-t arra tervezték, hogy segítse a Windows felhasználókat a szabványos használat felé. alapértelmezés szerint a felhasználói jogok. Az UAC számos technológiát tartalmaz ennek elérésére. Ezek a technológiák a következőket tartalmazzák:

  • Fájl- és rendszerleíró adatbázis-virtualizáció: Amikor egy régi alkalmazás megpróbál írni a fájlrendszer vagy a rendszerleíró adatbázis védett területeire, a Windows csendben és átláthatóan átirányítja az alkatrészhez való hozzáférést fájlrendszer vagy nyilvántartás, amelyet a felhasználó megváltoztathat. Ez lehetővé teszi, hogy számos olyan alkalmazás, amelyhez a Windows korábbi verzióin rendszergazdai jogosultságok voltak szükségesek, csak a Windows Server 2008 és újabb verzióiban érvényes szabványos felhasználói jogokkal fusson sikeresen.
  • Ugyanazon asztali szint: Ha egy jogosult felhasználó fut és emel egy programot , a kapott folyamat erősebb jogokat kap, mint az interaktív asztali felhasználó jogai. A magasság és az UAC Szűrt token szolgáltatásának kombinálásával (lásd a következő pontot) az adminisztrátorok szabványos felhasználói jogokkal futtathatnak programokat, majd csak azokat a programokat emelhetik fel, amelyek adminisztrátori jogokat igényelnek ugyanazzal a felhasználói fiókkal. (Ez az azonos felhasználói magasság funkció más néven rendszergazdai jóváhagyási mód.) A programokat emelt szintű jogokkal is elindíthatjuk egy másik felhasználói fiók használatával, hogy az adminisztrátor adminisztrációs feladatokat hajthasson végre egy szabványos felhasználói asztalon.
  • Szűrt token: Amikor egy A rendszergazdai vagy más hatékony jogosultságokkal vagy csoporttagságokkal rendelkező felhasználó bejelentkezik, a Windows két hozzáférési tokent hoz létre a felhasználói fiók képviseletére. A szűretlen token rendelkezik a felhasználó összes csoporttagságával és jogosultságával, míg a szűrt token a felhasználót a szokásos felhasználói jogokkal egyenértékű képviseli. Alapértelmezés szerint ezt a szűrt tokent használják a felhasználó programjainak futtatására. A szűretlen token csak emelt programokkal társul. A rendszergazdák csoportjába tartozó fiókot, amely szűrt tokent kap, amikor a felhasználó bejelentkezik, védett rendszergazdai fióknak hívják.
  • Felhasználói felület privilégiumainak elkülönítése (UIPI): Az UIPI megakadályozza az alacsonyabb jogosultságú programokat ablaküzenetek, például szintetikus egér vagy billentyűzet események küldésétől egy olyan ablakig, amely egy magasabb jogosultságú folyamathoz tartozik, és ezzel a magasabb kiváltságú folyamatot vezérli.
  • Védett módú Internet Explorer (PMIE): A PMIE mélyreható védelmi szolgáltatás, amelyben a Windows Internet Explorer alacsony kiváltságú védett módban működik, és nem írhat a fájlrendszer vagy a rendszerleíró adatbázis legtöbb területére. Alapértelmezés szerint a Védett mód engedélyezve van, ha a felhasználó böngészi a Internet vagy korlátozott helyek zónák: A PMIE megnehezíti az Internet Explorer futó példányát megfertőző rosszindulatú programok számára a felhasználó beállításainak módosítását, például úgy, hogy úgy konfigurálja magát, hogy minden alkalommal elinduljon, amikor a felhasználó bejelentkezik. A PMIE valójában nem része az UAC-nak. Ez azonban az UAC funkcióitól függ, például az UIPI-től.
  • Telepítő észlelése: Ha új folyamat indul adminisztrátori jogok nélkül, a Windows heurisztikát alkalmaz annak megállapítására, hogy az új folyamat valószínűleg régi telepítés-e. program. A Windows feltételezi, hogy a régi telepítő programok adminisztrátori jogok nélkül valószínűleg kudarcot vallanak.Ezért a Windows proaktív módon felszólítja az interaktív felhasználót a magasra. Ha a felhasználónak nincsenek rendszergazdai hitelesítő adatok, akkor a felhasználó nem tudja futtatni a programot.

Ha letiltja a Felhasználói fiókok felügyeletét: Futtassa az összes rendszergazdát az Adminisztrátori jóváhagyási mód házirend-beállítással, ez letiltja az összes Az ebben a szakaszban ismertetett UAC-szolgáltatások: Ez a házirend-beállítás a számítógép helyi biztonsági házirendjén, a Biztonsági beállítások, a Helyi házirendek, majd a Biztonsági beállítások oldalon érhető el. A hagyományos felhasználói jogokkal rendelkező, védett mappákba vagy rendszerleíró kulcsokba írni szándékozó alkalmazások nem fognak működni. A szűrt tokenek nem jönnek létre, és az összes program a számítógépre bejelentkezett felhasználó teljes jogaival fut. Ez magában foglalja az Internet Explorert is, mert a védett mód az összes biztonsági zónában le van tiltva.

Az egyik Az UAC-val és a Same-desktop Elevation kapcsán elterjedt tévhitek különösen az, hogy megakadályozzák a rosszindulatú programok telepítését vagy adminisztratív jogok megszerzését. Először is, a rosszindulatú programok írhatók úgy, hogy nem igényelnek rendszergazdai jogokat, és a rosszindulatú programok írhatók csak a felhasználó profilja. Ennél is fontosabb, hogy az UAC azonos szintű asztali magassága nem a biztonsági határ, és ugyanazon az asztalon futó kiváltságtalan szoftverek eltéríthetik. Az azonos asztali magasságot kényelmi szolgáltatásnak kell tekinteni, és biztonsági szempontból a Védett rendszergazdát kell figyelembe venni. Ezzel szemben a Gyors felhasználói váltás használata egy másik munkamenetbe való bejelentkezéshez rendszergazdai fiók használatával biztonsági határt jelent az adminisztrátori fiók és a szokásos felhasználói munkamenet között.

Windows-alapú esetén szerveren, amelyen az interaktív bejelentkezés egyetlen oka a rendszer adminisztrációja, a kevesebb magassági felszólítás célja nem megvalósítható vagy kívánatos. A rendszergazdai eszközök jogszerűen igényelnek adminisztrációs jogokat. Amikor az összes adminisztratív felhasználó feladata adminisztrátori jogokat igényel, és minden feladat magassági felszólítást indíthat el, a felszólítások csak akadályozzák a termelékenységet. Ebben az összefüggésben az ilyen felszólítások nem támogathatják és nem mozdíthatják elő az alkalmazások fejlesztésének ösztönzését. amelyek normál felhasználói jogokat igényelnek. Ezenkívül az ilyen felszólítások nem javítják a biztonsági testtartást. Ehelyett ezek a felszólítások csak arra ösztönzik a felhasználókat, hogy azok elolvasása nélkül válasszanak át párbeszédpaneleket.

Ez az útmutató csak azokra a jól felügyelt szerverekre vonatkozik, amelyekre csak az adminisztratív felhasználók léphetnek be interaktív módon vagy a Távoli asztal szolgáltatásain keresztül, és csak törvényes adminisztratív feladatokat lát el. Ha az adminisztrátorok kockázatos alkalmazásokat futtatnak, például webböngészőket, e-mail klienseket vagy azonnali üzenetküldő klienseket, vagy más műveleteket hajtanak végre, amelyeket kliens operációs rendszerből kell végrehajtani, akkor a szervert egyenértékűnek kell tekinteni az ügyfélrendszerrel. Ebben az esetben az UAC-nak továbbra is engedélyezve kell maradnia, mint mélyreható védekezés.

Ha a szokásos felhasználók bejelentkeznek a kiszolgálóra a konzolon vagy a Távoli asztal szolgáltatásain keresztül alkalmazások, különösen webböngészők futtatásához, Az UAC-nak továbbra is engedélyezettnek kell lennie a fájl- és nyilvántartási virtualizáció, valamint a Védett módú Internet Explorer támogatásához.

A magassági felszólítások elkerülésére az UAC letiltása nélkül egy másik lehetőség a Felhasználói fiókok felügyelete beállítása: A rendszergazdák rendszergazdai rendszergazdai magasságkérésének viselkedése A jóváhagyási mód biztonsági házirendje felszólítás nélkül emelhető. Ennek a beállításnak a használatával a magassági kérelmek csendben jóváhagyásra kerülnek, ha a felhasználó az Adminisztrátorok csoport tagja. Ez az opció a PMIE és más UAC funkciókat is engedélyezi. Azonban nem minden adminisztratív jogokat igénylő művelet igényel magasabb szintet. Ennek a beállításnak a használata azt eredményezheti, hogy a felhasználó némelyik programja megemelkedik, mások pedig nem, anélkül, hogy bármilyen módon meg tudnánk különböztetni őket. Például a legtöbb adminisztrátori jogokat igénylő konzol segédprogram várhatóan egy parancssorban vagy egy másik programban indul el. Az ilyen segédprogramok egyszerűen meghibásodnak, amikor egy nem emelt parancssorba indulnak.

Az UAC letiltásának további hatásai

  • Ha a Windows Intézővel próbálja keressen egy könyvtárba, amelyben nincs olvasási jogosultsága, az Intéző felajánlja a könyvtár engedélyeinek megváltoztatását, hogy a felhasználói fiókja véglegesen hozzáférjen hozzá. Az eredmények attól függenek, hogy az UAC engedélyezve van-e. További információ: Amikor kattintson a Folytatás gombra a mappa eléréséhez a Windows Intézőben, a felhasználói fiók hozzáadódik a mappa ACL-jéhez.
  • Ha az UAC le van tiltva, akkor a Windows Intéző továbbra is megjeleníti az UAC pajzsikonjait azoknak az elemeknek, amelyek magasságot igényelnek, és tartalmazza a Futtatást rendszergazdaként a az alkalmazások helyi menüi és az alkalmazásparancsok. Mivel az UAC magassági mechanizmusa le van tiltva, ezek a parancsok nincsenek hatással, és az alkalmazások ugyanabban a biztonsági környezetben futnak, mint a bejelentkezett felhasználó.
  • Ha az UAC engedélyezve van, akkor a konzol segédprogram fut.Az exe segítségével a program indítható egy tokenszűrés alá eső felhasználói fiók használatával, a program a felhasználó által szűrt tokennel fut. Ha az UAC le van tiltva, az elindított program a felhasználó teljes tokennel fut. / li>
  • Ha az UAC engedélyezve van, akkor a tokenszűrés alá eső helyi fiókokat nem lehet távoli adminisztrációhoz használni a Távoli asztalon kívüli hálózati felületeken keresztül (például NET USE vagy WinRM segítségével). egy ilyen interfészen keresztül csak azokat a jogosultságokat szerzi meg, amelyek a fiók által szűrt tokenekhez vannak megadva. Ha az UAC le van tiltva, ez a korlátozás megszűnik. (A korlátozás a KB951016 fájlban leírt LocalAccountTokenFilterPolicy beállítás használatával is megszüntethető.) A korlátozás eltávolítása növelheti a rendszer kompromisszumának kockázatát olyan környezetben, ahol sok rendszer rendelkezik adminisztratív helyi azonos felhasználói névvel és jelszóval rendelkező fiók. Javasoljuk, hogy győződjön meg arról, hogy más kockázatcsökkentéseket alkalmaznak e kockázat ellen. Az ajánlott mérséklésekről további információt az 1. és 2. verzióban található Pass-the-Hash (PtH) támadások és más hitelesítő adatok lopása mérséklés című részben talál.
  • PsExec, felhasználói fiókok felügyelete és biztonsági határok
  • Ha a Folytatás lehetőséget választja a mappa-hozzáféréshez a Windows Intézőben, a felhasználói fiók hozzáadódik a mappa ACL-jéhez (KB 950934)

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük