Slik deaktiverer du brukerkontokontroll (UAC) på Windows Server
- 09.08.2020
- 8 minutter å lese
-
- D
- s
Denne artikkelen introduserer hvordan du deaktiverer UAC (User Account Control) på Windows Server.
Opprinnelig produktversjon: Windows Server 2012 R2
Original KB-nummer: 2526083
Sammendrag
Under visse begrensede omstendigheter kan deaktivering av UAC på Windows Server være en akseptabel og anbefalt praksis. Disse omstendighetene oppstår bare når alle følgende betingelser er oppfylt:
- Bare administratorer har lov til å logge på den Windows-baserte serveren interaktivt på konsollen eller ved å bruke Remote Desktop Services.
- Administratorer logger på den Windows-baserte serveren bare for å utføre legitime systemadministrative funksjoner på serveren.
Hvis en av disse betingelsene ikke stemmer, bør UAC forbli aktivert. For for eksempel, hvis serveren aktiverer Remote Desktop Services-rollen slik at ikke-administrative brukere kan logge på serveren for å kjøre applikasjoner, bør UAC forbli aktivert. På samme måte bør UAC forbli aktivert hvis administratorer kjører risikable applikasjoner på serveren, for eksempel nettlesere, e-post klienter, eller direktemeldingsklienter, eller hvis administratorer utfører andre operasjoner som skal gjøres fra et klientoperativsystem som Windows 7.
Merk
- Denne veiledningen gjelder bare Windows Server-operativsystemer.
- UAC er alltid d er aktivert på Server Core-utgavene av Windows Server 2008 R2 og nyere versjoner.
Mer informasjon
UAC ble designet for å hjelpe Windows-brukere å gå mot bruk av standard brukerrettigheter som standard. UAC inkluderer flere teknologier for å oppnå dette. Disse teknologiene inkluderer følgende:
- Virtualisering av filer og registre: Når et eldre program prøver å skrive til beskyttede områder i filsystemet eller registeret, omdirigerer Windows lyd og gjennomsikt tilgang til en del av filsystemet eller registeret som brukeren har lov til å endre. Dette gjør at mange applikasjoner som krevde administrative rettigheter på tidligere versjoner av Windows, kan kjøres med bare brukerrettigheter på Windows Server 2008 og nyere versjoner.
- Samme skrivebordshøyde: Når en autorisert bruker kjører og løfter et program , den resulterende prosessen er gitt kraftigere rettigheter enn den til den interaktive stasjonære brukeren. Ved å kombinere høyde med UACs Filtered Token-funksjon (se følgende punkt), kan administratorer kjøre programmer med standard brukerrettigheter og deretter bare heve de programmene som krever administrative rettigheter med samme brukerkonto. (Denne funksjonen for samme brukerhøyde er også kjent som administrasjonsgodkjenningsmodus.) Programmer kan også startes med forhøyede rettigheter ved å bruke en annen brukerkonto, slik at en administrator kan utføre administrative oppgaver på skrivebordet til en standardbruker.
- Filtrert token: Når en bruker som har administrative eller andre kraftige privilegier eller gruppemedlemskap logger seg på, oppretter Windows to tilgangstokener for å representere brukerkontoen. Det ufiltrerte tokenet har alle brukerens gruppemedlemskap og privilegier, mens det filtrerte tokenet representerer brukeren som tilsvarer standard brukerrettigheter. Som standard brukes dette filtrerte token til å kjøre brukerens programmer. Det ufiltrerte tokenet er bare knyttet til forhøyede programmer. En konto som er medlem av administratorgruppen og som mottar et filtrert token når brukeren logger på, kalles en beskyttet administratorkonto.
- UIPI (User Interface Privilege Isolation): UIPI forhindrer et program med lavere privilegium fra å sende vindumeldinger som syntetiske mus- eller tastaturhendelser til et vindu som tilhører en prosess med høyere rettigheter og ved å gjøre dette for å kontrollere den høyere privilegerte prosessen.
- Protected Mode Internet Explorer (PMIE): PMIE er en grundig forsvarsfunksjon der Windows Internet Explorer fungerer i beskyttet modus med lite privilegium og ikke kan skrive til de fleste områder av filsystemet eller registeret. Som standard er beskyttet modus aktivert når en bruker blar gjennom nettsteder i Internett eller soner med begrensede nettsteder. PMIE gjør det vanskeligere for skadelig programvare som infiserer en løpende forekomst av Internet Explorer å endre brukerens innstillinger, for eksempel ved å konfigurere seg selv til å starte hver gang brukeren logger på. PMIE er faktisk ikke en del av UAC. Det avhenger imidlertid av UAC-funksjoner som UIPI.
- Oppdagelse av installatør: Når en ny prosess skal startes uten administrative rettigheter, bruker Windows heuristikk for å avgjøre om den nye prosessen sannsynligvis vil være en eldre installasjon. program. Windows antar at eldre installasjonsprogrammer sannsynligvis vil mislykkes uten administrative rettigheter.Derfor ber Windows proaktivt den interaktive brukeren om høyde. Hvis brukeren ikke har administratorinformasjon, kan ikke brukeren kjøre programmet.
Hvis du deaktiverer brukerkontokontrollen: Kjør alle administratorer i policyinnstillingen for administrasjonsgodkjenningsmodus, deaktiverer alt UAC-funksjoner som er beskrevet i dette avsnittet. Denne policyinnstillingen er tilgjengelig via datamaskinens lokale sikkerhetspolicy, sikkerhetsinnstillinger, lokale policyer og deretter sikkerhetsalternativer. Eldre applikasjoner som har standard brukerrettigheter som forventer å skrive til beskyttede mapper eller registernøkler mislykkes. Filtrerte tokens blir ikke opprettet, og alle programmer kjøres med full rettighet for brukeren som er logget på datamaskinen. Dette inkluderer Internet Explorer fordi beskyttet modus er deaktivert for alle sikkerhetssoner.
En av vanlige misforståelser om UAC og spesielt Same-desktop Elevation er at det forhindrer at malware blir installert eller fra å få administrative rettigheter. For det første kan malware skrives for ikke å kreve administrative rettigheter, og malware kan skrives for å skrive bare til områder i brukerens profil. Viktigere, Same-Desktop Elevation in UAC er ikke en sikkerhetsgrense og kan kapres av uprivilegert programvare som kjører på samme desktop. Samme desktop Elevation bør betraktes som en praktisk funksjon, og fra et sikkerhetsperspektiv bør Protected Administrator vurderes Tilsvarende administrator. Derimot innebærer bruk av hurtig brukerbytte for å logge på en annen økt ved hjelp av en administratorkonto en sikkerhetsgrense mellom administratorkontoen og standardbrukerøkten.
For en Windows-basert server der den eneste grunnen for interaktiv pålogging er å administrere systemet, er målet om færre høydeanvisninger ikke mulig eller ønskelig. Systemadministrative verktøy krever legitimt administrative rettigheter. Når alle administrative brukeroppgaver krever administrative rettigheter, og hver oppgave kan utløse en høydeprompt, er instruksjonene bare til hinder for produktiviteten. I denne sammenhengen kan slike instruksjoner ikke fremme målet om å oppmuntre til utvikling av applikasjoner som krever standard brukerrettigheter. Slike instruksjoner forbedrer ikke sikkerhetsstillingen. I stedet oppfordrer disse instruksjonene brukerne til å klikke seg gjennom dialogbokser uten å lese dem.
Denne veiledningen gjelder bare veladministrerte servere der bare administrative brukere kan logge på interaktivt eller via Remote Desktop-tjenester, og bare til utføre legitime administrative funksjoner. Hvis administratorer kjører risikofylte applikasjoner som nettlesere, e-postklienter eller direktemeldingsklienter eller utfører andre operasjoner som skal utføres fra et klientoperativsystem, bør serveren betraktes som tilsvarende et klientsystem. I dette tilfellet bør UAC forbli aktivert som et grundig forsvarstiltak.
Også, hvis standardbrukere logger på serveren på konsollen eller via Remote Desktop-tjenester for å kjøre applikasjoner, spesielt nettlesere, UAC skal forbli aktivert for å støtte fil- og registervirtualisering og også Protected Mode Internet Explorer.
Et annet alternativ for å unngå høydeprompter uten å deaktivere UAC, er å sette brukerkontokontroll: Oppførsel til høydeprompten for administratorer i Admin Godkjenningsmodus sikkerhetspolicy til å heve uten å spørre. Ved å bruke denne innstillingen godkjennes høydeforespørsler stille hvis brukeren er medlem av administratorgruppen. Dette alternativet lar også PMIE og andre UAC-funksjoner være aktivert. Imidlertid ber ikke alle operasjoner som krever administrative rettigheter om forhøyelse. Bruk av denne innstillingen kan føre til at noen av brukerens programmer blir forhøyet og andre ikke, uten noen måte å skille mellom dem. For eksempel forventer de fleste konsollverktøy som krever administrative rettigheter, å bli startet ved en ledetekst eller et annet program som er Slike verktøy mislykkes bare når de startes ved en ledetekst som ikke er forhøyet.
Ytterligere effekter av å deaktivere UAC
- Hvis du prøver å bruke Windows Utforsker til bla til en katalog der du ikke har lestillatelser, vil Explorer tilby å endre katalogens tillatelser for å gi brukerkontoen din tilgang til den permanent. Resultatene avhenger av om UAC er aktivert. For mer informasjon, se Når du klikk Fortsett for mappetilgang i Windows Utforsker, brukerkontoen din legges til ACL for mappen.
- Hvis UAC er deaktivert, fortsetter Windows Utforsker å vise UAC-skjoldikoner for elementer som krever høyde og for å inkludere Kjør som administrator i kontekstmenyer for applikasjoner og applikasjonsgenveier. Fordi UAC-høydemekanismen er deaktivert, har disse kommandoene ingen effekt, og applikasjoner kjører i samme sikkerhetskontekst som brukeren som er logget på.
- Hvis UAC er aktivert, når konsollverktøyet Runas.exe brukes til å starte et program ved å bruke en brukerkonto som er underlagt tokenfiltrering, programmet kjører med brukerens filtrerte token. Hvis UAC er deaktivert, kjører programmet som startes med brukerens fulle token.
- Hvis UAC er aktivert, kan lokale kontoer som er underlagt tokenfiltrering ikke brukes til ekstern administrasjon over andre nettverksgrensesnitt enn eksternt skrivebord (for eksempel via NET USE eller WinRM). En lokal konto som autentiserer over et slikt grensesnitt får bare rettighetene som tildeles kontoens filtrerte token. Hvis UAC er deaktivert, fjernes denne begrensningen. (Begrensningen kan også fjernes ved å bruke
LocalAccountTokenFilterPolicy
-innstillingen som er beskrevet i KB951016.) Hvis du fjerner denne begrensningen, kan du øke risikoen for systemkompromiss i et miljø der mange systemer har en administrativ lokal konto som har samme brukernavn og passord. Vi anbefaler at du sørger for at andre begrensninger brukes mot denne risikoen. For mer informasjon om anbefalte begrensninger, se Mitigating Attack-the-Hash (PtH) -angrep og annet legitimasjonstyveri, versjon 1 og 2. - PsExec, brukerkontokontroll og sikkerhetsgrenser
- Når du velger Fortsett for mappetilgang i Windows Utforsker, blir brukerkontoen din lagt til ACL for mappen (KB 950934)