Gebruikersaccountbeheer (UAC) uitschakelen op Windows Server

  • 09/08/2020
  • 8 minuten om te lezen
    • D
    • s

Dit artikel introduceert hoe u Gebruikersaccountbeheer (UAC) op Windows Server uitschakelt.

Oorspronkelijke productversie: Windows Server 2012 R2
Oorspronkelijk KB-nummer: 2526083

Samenvatting

Onder bepaalde beperkte omstandigheden kan het uitschakelen van UAC op Windows Server een acceptabele en aanbevolen praktijk zijn. Deze omstandigheden doen zich alleen voor als aan alle volgende voorwaarden wordt voldaan:

  • Alleen beheerders mogen zich interactief aanmelden bij de Windows-server op de console of door Remote Desktop Services te gebruiken.
  • Beheerders loggen alleen in op de Windows-server om legitieme systeembeheerfuncties op de server uit te voeren.

Als een van deze voorwaarden niet waar is, moet UAC ingeschakeld blijven. Voor Als de server bijvoorbeeld de Remote Desktop Services-rol inschakelt zodat niet-beheerders zich kunnen aanmelden bij de server om toepassingen uit te voeren, moet UAC ingeschakeld blijven. Evenzo moet UAC ingeschakeld blijven als beheerders risicovolle toepassingen op de server uitvoeren, zoals webbrowsers, e-mail clients, of instant messaging-clients, of als beheerders andere bewerkingen uitvoeren die moeten worden uitgevoerd vanuit een clientbesturingssysteem zoals Windows 7.

Opmerking

  • Deze richtlijn is alleen van toepassing op Windows Server-besturingssystemen.
  • UAC is altijd d is ingeschakeld op de Server Core-edities van Windows Server 2008 R2 en latere versies.

Meer informatie

UAC is ontworpen om Windows-gebruikers te helpen bij het gebruik van standaard gebruikersrechten standaard. UAC bevat verschillende technologieën om dit te bereiken. Deze technologieën omvatten het volgende:

  • Bestands- en registervirtualisatie: wanneer een oude toepassing probeert te schrijven naar beschermde gebieden van het bestandssysteem of van het register, leidt Windows de toegang stil en transparant om naar een van het bestandssysteem of van het register dat de gebruiker mag wijzigen. Hierdoor kunnen veel toepassingen die beheerdersrechten nodig hebben op eerdere versies van Windows, succesvol worden uitgevoerd met alleen standaardgebruikersrechten op Windows Server 2008 en latere versies.
  • Zelfde desktop-verhoging: wanneer een geautoriseerde gebruiker een programma uitvoert en verbetert , krijgt het resulterende proces krachtigere rechten dan die van de interactieve desktopgebruiker. Door verhoging te combineren met de functie Filtered Token van UAC (zie het volgende opsommingsteken), kunnen beheerders programmas uitvoeren met standaardgebruikersrechten en vervolgens alleen die programmas verheffen die beheerdersrechten nodig hebben met hetzelfde gebruikersaccount. ook bekend als Admin Approval Mode.) Programmas kunnen ook worden gestart met verhoogde rechten door een ander gebruikersaccount te gebruiken, zodat een beheerder beheertaken kan uitvoeren op het bureaublad van een standaardgebruiker.
  • Gefilterd token: wanneer een gebruiker met beheerdersrechten of andere krachtige privileges of groepslidmaatschappen zich aanmeldt, maakt Windows twee toegangstokens om het gebruikersaccount te vertegenwoordigen. Het ongefilterde token heeft alle groepslidmaatschappen en privileges van de gebruiker, terwijl het gefilterde token de gebruiker vertegenwoordigt met het equivalent van standaard gebruikersrechten. Standaard wordt dit gefilterde token gebruikt om de programmas van de gebruiker uit te voeren. Het ongefilterde token wordt alleen geassocieerd met verhoogde programmas. Een account dat lid is van de groep Administrators en dat een gefilterd token ontvangt wanneer de gebruiker zich aanmeldt, wordt een Protected Administrator-account genoemd.
  • Privilege Isolation van de gebruikersinterface (UIPI): UIPI voorkomt een programma met lagere rechten om vensterberichten zoals synthetische muis- of toetsenbordgebeurtenissen naar een venster te sturen dat tot een hoger geprivilegieerd proces behoort en door dit te doen om het hoger geprivilegieerde proces te controleren.
  • Beveiligde modus Internet Explorer (PMIE): PMIE is een diepgaande defensiefunctie waarin Windows Internet Explorer in de beschermde modus met lage bevoegdheden werkt en niet naar de meeste delen van het bestandssysteem of het register kan schrijven. De beschermde modus is standaard ingeschakeld wanneer een gebruiker sites in de Zones met internet of beperkte sites PMIE maakt het voor malware die een actief exemplaar van Internet Explorer infecteert, moeilijker om de instellingen van de gebruiker te wijzigen, bijvoorbeeld door zichzelf te configureren om elke keer dat de gebruiker zich aanmeldt te starten. PMIE maakt eigenlijk geen deel uit van UAC. Het hangt echter af van UAC-functies zoals UIPI.
  • Detectie van installatieprogramma: wanneer een nieuw proces op het punt staat te worden gestart zonder beheerdersrechten, past Windows heuristiek toe om te bepalen of het nieuwe proces waarschijnlijk een verouderde installatie is programma. Windows gaat ervan uit dat verouderde installatieprogrammas waarschijnlijk zullen mislukken zonder beheerdersrechten.Daarom vraagt Windows de interactieve gebruiker proactief om verhoging. Als de gebruiker geen beheerdersreferenties heeft, kan de gebruiker het programma niet uitvoeren.

Als u het gebruikersaccountbeheer uitschakelt: voer alle beheerders uit in de beleidsinstelling Admin Approval Mode, hierdoor worden alle UAC-functies die in deze sectie worden beschreven. Deze beleidsinstelling is beschikbaar via het lokale beveiligingsbeleid, de beveiligingsinstellingen, het lokale beleid en vervolgens de beveiligingsopties van de computer. Verouderde toepassingen met standaardgebruikersrechten die verwachten te schrijven naar beveiligde mappen of registersleutels, zullen mislukken. Gefilterde tokens worden niet gemaakt en alle programmas worden uitgevoerd met de volledige rechten van de gebruiker die op de computer is aangemeld. Dit omvat Internet Explorer omdat de beschermde modus is uitgeschakeld voor alle beveiligingszones.

Een van de veelvoorkomende misvattingen over UAC en over Same-desktop Elevation in het bijzonder is dat het voorkomt dat malware wordt geïnstalleerd of beheerdersrechten verkrijgt. gebruikersprofiel. Belangrijker nog, Same-desktop Elevation in UAC is geen beveiligingsgrens en kan worden gekaapt door onbevoegde software die op dezelfde desktop draait. Same-desktop Elevation moet als een gemaksfunctie worden beschouwd, en vanuit een beveiligingsperspectief moet Protected Administrator worden overwogen het equivalent van Administrator. Als u daarentegen Fast User Switching gebruikt om u aan te melden bij een andere sessie met een beheerdersaccount, is er een veiligheidsgrens tussen de beheerdersaccount en de standaardgebruikerssessie.

Voor een Windows-gebaseerde server waarop de enige reden voor interactieve aanmelding is om het systeem te beheren, is het doel van minder verhogingsprompts niet haalbaar of wenselijk. Systeembeheertools vereisen legitiem beheerdersrechten. Wanneer voor alle taken van de gebruiker met beheerdersrechten beheerdersrechten nodig zijn en elke taak een prompt voor een verhoging zou kunnen activeren, zijn de prompts alleen een belemmering voor de productiviteit. In deze context zijn dergelijke prompts niet bevorderlijk voor het doel om de ontwikkeling van applicaties aan te moedigen. waarvoor standaard gebruikersrechten vereist zijn. Ook verbeteren dergelijke prompts de beveiligingshouding niet. In plaats daarvan moedigen deze prompts gebruikers aan om door dialoogvensters te klikken zonder ze te lezen.

Deze richtlijn is alleen van toepassing op goed beheerde servers waarop alleen beheerders met beheerdersrechten interactief of via Remote Desktop-services kunnen inloggen, en alleen voor legitieme administratieve functies uitvoeren. Als beheerders risicovolle toepassingen uitvoeren, zoals webbrowsers, e-mailclients of instant messaging-clients, of andere bewerkingen uitvoeren die moeten worden uitgevoerd vanaf een clientbesturingssysteem, moet de server worden beschouwd als gelijkwaardig aan een clientsysteem. In dit geval moet UAC ingeschakeld blijven als een grondige verdediging.

Ook als standaardgebruikers zich aanmelden bij de server op de console of via Remote Desktop-services om applicaties uit te voeren, met name webbrowsers, UAC moet ingeschakeld blijven om bestands- en registervirtualisatie en ook de beveiligde modus Internet Explorer te ondersteunen.

Een andere optie om verzoeken om verhogingen te vermijden zonder UAC uit te schakelen, is het instellen van Gebruikersaccountbeheer: gedrag van de verhogingsprompt voor beheerders in Admin Beveiligingsbeleid voor goedkeuringsmodus om te verhogen zonder te vragen. Door deze instelling te gebruiken, worden verhogingsverzoeken stilzwijgend goedgekeurd als de gebruiker lid is van de groep Administrators. Deze optie laat ook PMIE en andere UAC-functies ingeschakeld. Niet alle bewerkingen waarvoor beheerdersrechten zijn vereist, vragen echter om verhoging. Het gebruik van deze instelling kan ertoe leiden dat sommige van de programmas van de gebruiker worden verhoogd en andere niet, zonder enige manier om ze te onderscheiden. De meeste consolehulpprogrammas die beheerdersrechten vereisen, verwachten bijvoorbeeld te worden gestart vanaf een opdrachtprompt of een ander programma dat is al verhoogd. Dergelijke hulpprogrammas mislukken alleen wanneer ze worden gestart vanaf een opdrachtprompt die niet is verhoogd.

Extra effecten van het uitschakelen van UAC

  • Als u Windows Verkenner probeert te gebruiken om blader naar een directory waarin u geen leesrechten heeft, zal Explorer aanbieden om de machtigingen van de directory te wijzigen om uw gebruikersaccount er permanent toegang toe te verlenen. De resultaten zijn afhankelijk van of UAC is ingeschakeld. Voor meer informatie, zie Wanneer u klik op Doorgaan voor maptoegang in Windows Verkenner, uw gebruikersaccount wordt toegevoegd aan de ACL voor de map.
  • Als UAC is uitgeschakeld, blijft Windows Verkenner UAC-schildpictogrammen weergeven voor items die een verhoging vereisen en om Uitvoeren op te nemen als beheerder in het contextmenus van applicaties en applicatiesnelkoppelingen. Omdat het UAC-verhogingsmechanisme is uitgeschakeld, hebben deze opdrachten geen effect en worden toepassingen uitgevoerd in dezelfde beveiligingscontext als de gebruiker waarbij is aangemeld.
  • Als UAC is ingeschakeld, wanneer het consoleprogramma Runas.exe wordt gebruikt om een programma te starten door een gebruikersaccount te gebruiken dat is onderworpen aan tokenfiltering, het programma wordt uitgevoerd met het gefilterde token van de gebruiker. Als UAC is uitgeschakeld, wordt het programma dat wordt gestart uitgevoerd met het volledige token van de gebruiker.
  • Als UAC is ingeschakeld, kunnen lokale accounts die zijn onderworpen aan tokenfiltering “niet worden gebruikt voor extern beheer via andere netwerkinterfaces dan Remote Desktop (bijvoorbeeld via NET USE of WinRM). Een lokaal account dat zich verifieert via een dergelijke interface verkrijgt u alleen de privileges die zijn toegekend aan het gefilterde token van de account. Als UAC is uitgeschakeld, wordt deze beperking verwijderd. (De beperking kan ook worden verwijderd door de LocalAccountTokenFilterPolicy -instelling te gebruiken die wordt beschreven in KB951016.) Door deze beperking te verwijderen, kan het risico op systeemcompromis toenemen in een omgeving waar veel systemen een lokale administratieve account met dezelfde gebruikersnaam en hetzelfde wachtwoord. We raden u aan ervoor te zorgen dat andere risicobeperkende maatregelen worden genomen tegen dit risico. Voor meer informatie over aanbevolen oplossingen, zie Pass-the-Hash (PtH) -aanvallen en andere diefstal van legitimatiegegevens beperken, versie 1 en 2.
  • PsExec, gebruikersaccountbeheer en beveiligingsgrenzen
  • Wanneer u Doorgaan selecteert voor maptoegang in Windows Verkenner, wordt uw gebruikersaccount toegevoegd aan de ACL voor de map (KB 950934)

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *