Come disabilitare il controllo dellaccount utente (UAC) su Windows Server

• 09/08/2020
• 8 minuti per la lettura
• • D
  • s

Questo articolo spiega come disabilitare il controllo dellaccount utente (UAC) su Windows Server.

Versione del prodotto originale: Windows Server 2012 R2
Numero KB originale: 2526083

Riepilogo

In determinate circostanze limitate, disabilitare lUAC su Windows Server può essere una pratica accettabile e consigliata. Queste circostanze si verificano solo quando tutte le seguenti condizioni sono vere:

• Solo gli amministratori possono accedere al server basato su Windows in modo interattivo dalla console o utilizzando Servizi Desktop remoto.
• Gli amministratori accedono al server basato su Windows solo per eseguire funzioni amministrative di sistema legittime sul server.

Se una di queste condizioni non è vera, lUAC deve rimanere abilitato. Per Ad esempio, se il server abilita il ruolo Servizi Desktop remoto in modo che gli utenti non amministratori possano accedere al server per eseguire le applicazioni, lUAC dovrebbe rimanere abilitato. Allo stesso modo, lUAC dovrebbe rimanere abilitato se gli amministratori eseguono applicazioni rischiose sul server come browser web, posta elettronica client o client di messaggistica istantanea o se gli amministratori eseguono altre operazioni che dovrebbero essere eseguite da un sistema operativo client come Windows 7.

Ulteriori informazioni

UAC è stato progettato per aiutare gli utenti Windows a passare alluso dello standard diritti utente per impostazione predefinita. UAC include diverse tecnologie per raggiungere questo obiettivo. Queste tecnologie includono quanto segue:

• Virtualizzazione di file e registro: quando unapplicazione legacy tenta di scrivere in aree protette del file system o del registro, Windows reindirizza in modo silenzioso e trasparente laccesso a una parte del file system o del registro che lutente può modificare. Ciò consente a molte applicazioni che richiedevano diritti amministrativi nelle versioni precedenti di Windows di essere eseguite correttamente con i soli diritti utente standard su Windows Server 2008 e versioni successive.
• Elevazione dello stesso desktop: quando un utente autorizzato esegue ed eleva un programma , al processo risultante vengono concessi diritti più potenti di quelli dellutente desktop interattivo. Combinando lelevazione con la funzione Token filtrato dellUAC (vedere il seguente punto elenco), gli amministratori possono eseguire programmi con diritti utente standard e quindi elevare solo i programmi che richiedono diritti amministrativi con lo stesso account utente. (Questa funzione di elevazione dello stesso utente è noto anche come modalità di approvazione dellamministratore). I programmi possono anche essere avviati con diritti elevati utilizzando un account utente diverso in modo che un amministratore possa eseguire attività amministrative sul desktop di un utente standard.
• Token filtrato: quando un Lutente che dispone di privilegi amministrativi o di altri potenti o di appartenenze a gruppi accede, Windows crea due token di accesso per rappresentare laccount utente. Il token non filtrato ha tutti i privilegi e le appartenenze ai gruppi dellutente, mentre il token filtrato rappresenta lutente con lequivalente dei diritti utente standard. Per impostazione predefinita, questo token filtrato viene utilizzato per eseguire i programmi dellutente. Il token non filtrato è associato solo a programmi con privilegi elevati. Un account che è un membro del gruppo Administrators e che riceve un token filtrato quando lutente accede è denominato account di amministratore protetto.
• Isolamento dei privilegi dellinterfaccia utente (UIPI): UIPI impedisce un programma con privilegi inferiori dallinvio di messaggi di finestre come eventi sintetici del mouse o della tastiera a una finestra che appartiene a un processo con privilegi più elevati e in questo modo controllando il processo con privilegi più elevati.
• Modalità protetta Internet Explorer (PMIE): PMIE è una funzione di difesa in profondità in cui Windows Internet Explorer opera in modalità protetta con privilegi ridotti e non può scrivere nella maggior parte delle aree del file system o del registro. Per impostazione predefinita, la modalità protetta è abilitata quando un utente esplora i siti nel Zone Internet o Siti con restrizioni PMIE rende più difficile per il malware che infetta unistanza in esecuzione di Internet Explorer modificare le impostazioni dellutente, ad esempio configurandosi per lavvio ogni volta che lutente accede. PMIE non fa effettivamente parte dellUAC. Tuttavia, dipende dalle funzionalità dellUAC come UIPI.
• Rilevamento del programma di installazione: quando un nuovo processo sta per essere avviato senza diritti amministrativi, Windows applica leuristica per determinare se è probabile che il nuovo processo sia uninstallazione legacy programma. Windows presume che i programmi di installazione legacy potrebbero non riuscire senza diritti amministrativi.Pertanto, Windows richiede in modo proattivo lelevazione dellutente interattivo. Se lutente non dispone di credenziali amministrative, non può eseguire il programma.

Se si disabilita limpostazione del criterio Controllo account utente: Esegui tutti gli amministratori in modalità Approvazione amministratore, vengono disabilitati tutti i Funzionalità del controllo dellaccount utente descritte in questa sezione Questa impostazione di criterio è disponibile tramite Criteri di protezione locali, Impostazioni di protezione, Criteri locali e Opzioni di protezione del computer. Le applicazioni legacy che dispongono di diritti utente standard che prevedono di scrivere su cartelle protette o chiavi di registro non funzioneranno. I token filtrati non vengono creati e tutti i programmi vengono eseguiti con i diritti completi dellutente che ha eseguito laccesso al computer. Ciò include Internet Explorer perché la modalità protetta è disabilitata per tutte le zone di sicurezza.

Uno dei idee sbagliate comuni su UAC e su Same-desktop Elevation in particolare è che impedisce linstallazione di malware o lacquisizione di diritti amministrativi. Innanzitutto, il malware può essere scritto per non richiedere diritti amministrativi e il malware può essere scritto per scrivere solo nelle aree del profilo dellutente. Ancora più importante, lelevazione dello stesso desktop in UAC non è “un limite di sicurezza e può essere dirottata da software non privilegiato che viene eseguito sullo stesso desktop. Lelevazione dello stesso desktop dovrebbe essere considerata una funzionalità di convenienza e, dal punto di vista della sicurezza, dovrebbe essere considerato lamministratore protetto. lequivalente dellamministratore. Al contrario, lutilizzo del Cambio rapido utente per accedere a una sessione diversa utilizzando un account amministratore comporta un limite di sicurezza tra laccount amministratore e la sessione utente standard.

Per un utente basato su Windows server su cui lunico motivo per laccesso interattivo è amministrare il sistema, lobiettivo di un minor numero di richieste di elevazione non è fattibile o desiderabile. Gli strumenti di amministrazione del sistema richiedono legittimamente diritti amministrativi. Quando tutte le attività dellutente amministrativo richiedono diritti amministrativi e ciascuna attività potrebbe attivare una richiesta di elevazione, le richieste sono solo un ostacolo alla produttività. In questo contesto, tali richieste non promuovono e non possono promuovere lobiettivo di incoraggiare lo sviluppo di applicazioni che richiedono diritti utente standard. Inoltre, tali prompt non migliorano la posizione di sicurezza. Invece, questi messaggi incoraggiano gli utenti a fare clic sulle finestre di dialogo senza leggerle.

Questa guida si applica solo ai server ben gestiti su cui solo gli utenti amministratori possono accedere in modo interattivo o tramite i servizi di Desktop remoto e solo a svolgere funzioni amministrative legittime. Se gli amministratori eseguono applicazioni rischiose come browser Web, client di posta elettronica o client di messaggistica istantanea o eseguono altre operazioni che dovrebbero essere eseguite da un sistema operativo client, il server deve essere considerato equivalente a un sistema client. In questo caso, lUAC dovrebbe rimanere abilitato come misura di difesa in profondità.

Inoltre, se gli utenti standard accedono al server dalla console o tramite i servizi di Desktop remoto per eseguire applicazioni, in particolare browser web, Il controllo dellaccount utente deve rimanere abilitato per supportare la virtualizzazione di file e registro e anche la modalità protetta di Internet Explorer.

Unaltra opzione per evitare richieste di elevazione senza disabilitare lUAC consiste nellimpostare il controllo dellaccount utente: comportamento della richiesta di elevazione per gli amministratori in Admin Criterio di sicurezza della modalità di approvazione per elevare senza chiedere conferma. Utilizzando questa impostazione, le richieste di elevazione vengono approvate in modo invisibile allutente se lutente è un membro del gruppo Administrators. Questa opzione lascia anche PMIE e altre funzionalità UAC abilitate. Tuttavia, non tutte le operazioni che richiedono diritti amministrativi richiedono lelevazione. Luso di questa impostazione può comportare lelevazione di alcuni programmi dellutente e altri no, senza alcun modo per distinguerli. Ad esempio, la maggior parte delle utilità della console che richiedono diritti amministrativi si aspettano di essere avviate da un prompt dei comandi o da un altro programma già elevato. Tali utilità semplicemente non riescono quando vengono avviate da un prompt dei comandi che non è elevato.

Ulteriori effetti della disabilitazione dellUAC

• Se provi a utilizzare Windows Explorer per individuare una directory in cui non si dispone delle autorizzazioni di lettura, Explorer proporrà di modificare le autorizzazioni della directory per concedere al proprio account utente laccesso in modo permanente. I risultati dipendono dallattivazione del controllo dellaccount utente. Per ulteriori informazioni, vedere Quando fai clic su Continua per accedere alla cartella in Esplora risorse, il tuo account utente viene aggiunto allACL della cartella.
• Se lUAC è disabilitato, Esplora risorse continua a visualizzare le icone dello scudo dellUAC per gli elementi che richiedono lelevazione e per includere Esegui come amministratore in menu contestuali delle applicazioni e scorciatoie delle applicazioni. Poiché il meccanismo di elevazione dellUAC è disabilitato, questi comandi non hanno effetto e le applicazioni vengono eseguite nello stesso contesto di sicurezza dellutente che ha effettuato laccesso.
• Se lUAC è abilitato, quando lutilità della console Runas.exe viene utilizzato per avviare un programma utilizzando un account utente soggetto al filtro dei token, il programma viene eseguito con il token filtrato dellutente. Se lUAC è disabilitato, il programma avviato viene eseguito con il token completo dellutente.
• Se lUAC è abilitato, gli account locali soggetti al filtraggio dei token non possono essere utilizzati per lamministrazione remota su interfacce di rete diverse da Desktop remoto (ad esempio, tramite NET USE o WinRM). Un account locale che autentica su tale interfaccia ottiene solo i privilegi concessi al token filtrato dellaccount. Se lUAC è disabilitato, questa restrizione viene rimossa. (La restrizione può essere rimossa anche utilizzando limpostazione LocalAccountTokenFilterPolicy descritta in KB951016.) La rimozione di questa restrizione può aumentare il rischio di compromissione del sistema in un ambiente in cui molti sistemi hanno un locale amministrativo account con lo stesso nome utente e password. Ti consigliamo di assicurarti che vengano impiegate altre mitigazioni contro questo rischio. Per ulteriori informazioni sulle mitigazioni consigliate, consulta Mitigazione degli attacchi Pass-the-Hash (PtH) e altri furti di credenziali, versione 1 e 2.
• PsExec, Controllo dellaccount utente e limiti di sicurezza
• Quando selezioni Continua per laccesso alla cartella in Esplora risorse, il tuo account utente viene aggiunto allACL per la cartella (KB 950934)