Jak wyłączyć kontrolę konta użytkownika (UAC) w systemie Windows Server

  • 08.09.2020
  • 8 minut na przeczytanie
    • D
    • s

W tym artykule opisano, jak wyłączyć kontrolę konta użytkownika (UAC) w systemie Windows Server.

Oryginalna wersja produktu: Windows Server 2012 R2
Oryginalny numer KB: 2526083

Podsumowanie

W pewnych ograniczonych okolicznościach wyłączenie UAC w systemie Windows Server może być akceptowalną i zalecaną praktyką. Te okoliczności występują tylko wtedy, gdy spełnione są wszystkie następujące warunki:

  • Tylko administratorzy mogą logować się do serwera z systemem Windows interaktywnie z konsoli lub przy użyciu usług pulpitu zdalnego.
  • Administratorzy logują się na serwer z systemem Windows tylko po to, aby wykonywać prawidłowe funkcje administracyjne systemu na serwerze.

Jeśli którykolwiek z tych warunków nie jest spełniony, kontrola konta użytkownika powinna pozostać włączona. Jeśli na przykład serwer włącza rolę usług pulpitu zdalnego, aby użytkownicy nieadministracyjni mogli logować się na serwerze w celu uruchamiania aplikacji, kontrola konta użytkownika powinna pozostać włączona. Podobnie, kontrola konta użytkownika powinna pozostać włączona, jeśli administratorzy uruchamiają na serwerze ryzykowne aplikacje, takie jak przeglądarki internetowe, poczta e-mail klientów lub klientów wiadomości błyskawicznych lub jeśli administratorzy wykonują inne operacje, które powinny być wykonywane z poziomu systemu operacyjnego klienta, takiego jak Windows 7.

Uwaga

  • Te wskazówki dotyczy tylko systemów operacyjnych Windows Server.
  • UAC jest zawsze d jest włączona w wersjach Server Core systemu Windows Server 2008 R2 i nowszych wersjach.

Więcej informacji

Kontrola konta użytkownika została zaprojektowana, aby pomóc użytkownikom systemu Windows przejść do korzystania ze standardowych uprawnienia użytkownika domyślnie. UAC obejmuje kilka technologii, które pozwalają to osiągnąć. Technologie te obejmują:

  • Wirtualizacja plików i rejestru: gdy starsza aplikacja próbuje pisać w chronionych obszarach systemu plików lub rejestru, system Windows dyskretnie i w sposób przezroczysty przekierowuje dostęp do części systemu plików lub rejestru, który użytkownik może zmieniać. Umożliwia to pomyślne działanie wielu aplikacji, które wymagały praw administratora we wcześniejszych wersjach systemu Windows, przy użyciu tylko standardowych praw użytkownika w systemie Windows Server 2008 i nowszych wersjach.
  • Podniesienie uprawnień do tego samego pulpitu: gdy autoryzowany użytkownik uruchamia program wynikowy proces otrzymuje większe uprawnienia niż uprawnienia użytkownika interaktywnego pulpitu. Łącząc podniesienie uprawnień z funkcją filtrowanego tokenu kontroli konta użytkownika (zobacz poniższy punktor), administratorzy mogą uruchamiać programy ze standardowymi prawami użytkownika, a następnie zwiększać uprawnienia tylko tych programów, które wymagają uprawnień administracyjnych na tym samym koncie użytkownika (ta funkcja podnoszenia uprawnień dla tego samego użytkownika jest znany również jako tryb zatwierdzania przez administratora). Programy można również uruchamiać z podwyższonymi uprawnieniami przy użyciu innego konta użytkownika, dzięki czemu administrator może wykonywać zadania administracyjne na pulpicie użytkownika standardowego.
  • Filtrowany token: gdy loguje się użytkownik z uprawnieniami administratora lub innymi potężnymi uprawnieniami lub członkostwem w grupie, system Windows tworzy dwa tokeny dostępu do reprezentowania konta użytkownika. Niefiltrowany token ma wszystkie członkostwa w grupach i uprawnienia użytkownika, podczas gdy filtrowany token reprezentuje użytkownika z odpowiednikiem standardowych praw użytkownika. Domyślnie ten filtrowany token jest używany do uruchamiania programów użytkownika. Niefiltrowany token jest powiązany tylko z programami z podwyższonym poziomem uprawnień. Konto należące do grupy Administratorzy, które otrzymuje filtrowany token podczas logowania się użytkownika, nazywane jest kontem chronionego administratora.
  • Izolacja uprawnień interfejsu użytkownika (UIPI): UIPI zapobiega programom o niższych uprawnieniach z wysyłania komunikatów okien, takich jak zdarzenia syntetycznej myszy lub klawiatury, do okna, które należy do procesu o wyższych uprawnieniach i kontrolując w ten sposób proces z wyższymi uprawnieniami.
  • Tryb chroniony Internet Explorer (PMIE): PMIE jest zaawansowana funkcja ochrony, w której program Windows Internet Explorer działa w trybie chronionym o niskich przywilejach i nie może zapisywać w większości obszarów systemu plików ani rejestru. Domyślnie tryb chroniony jest włączony, gdy użytkownik przegląda witryny w Strefy Internet lub Witryny z ograniczeniami. PMIE utrudnia złośliwemu oprogramowaniu, które infekuje działające wystąpienie programu Internet Explorer, zmianę ustawień użytkownika, na przykład konfigurując się tak, aby uruchamiał się za każdym razem, gdy użytkownik się loguje. PMIE nie jest w rzeczywistości częścią UAC. Zależy to jednak od funkcji UAC, takich jak UIPI.
  • Wykrywanie instalatora: gdy nowy proces ma zostać uruchomiony bez uprawnień administratora, system Windows stosuje heurystykę, aby określić, czy nowy proces prawdopodobnie jest starszą instalacją program. System Windows zakłada, że starsze programy instalacyjne mogą zawieść bez uprawnień administratora.Dlatego system Windows proaktywnie monituje interaktywnego użytkownika o podniesienie uprawnień. Jeśli użytkownik nie ma poświadczeń administracyjnych, nie może uruchomić programu.

Jeśli wyłączysz opcję Kontrola konta użytkownika: Uruchom wszystkich administratorów w ustawieniu zasad trybu zatwierdzania przez administratora, spowoduje to wyłączenie wszystkich Funkcje UAC, które są opisane w tej sekcji.To ustawienie zasad jest dostępne za pośrednictwem zasad zabezpieczeń lokalnych komputera, ustawień zabezpieczeń, zasad lokalnych, a następnie opcji zabezpieczeń. Starsze aplikacje, które mają standardowe uprawnienia użytkownika, które oczekują zapisu w chronionych folderach lub kluczach rejestru, nie będą działać. Nie są tworzone filtrowane tokeny, a wszystkie programy działają z pełnymi prawami użytkownika zalogowanego na komputerze. Obejmuje to Internet Explorer, ponieważ tryb chroniony jest wyłączony dla wszystkich stref bezpieczeństwa.

Jedna z powszechnym błędnym przekonaniem na temat UAC, a w szczególności na temat podniesienia uprawnień na tym samym pulpicie, jest to, że uniemożliwia instalację złośliwego oprogramowania lub uzyskanie praw administracyjnych. profil użytkownika. Co ważniejsze, podniesienie poziomu uprawnień na tym samym pulpicie w UAC nie jest granicą bezpieczeństwa i może zostać przejęte przez nieuprzywilejowane oprogramowanie działające na tym samym komputerze. Podniesienie uprawnień dla tego samego pulpitu powinno być traktowane jako funkcja wygodna, a z punktu widzenia bezpieczeństwa należy wziąć pod uwagę Chronionego administratora odpowiednik Administratora. Z kolei używanie funkcji szybkiego przełączania użytkowników do logowania się do innej sesji przy użyciu konta administratora wiąże się z granicą bezpieczeństwa między kontem administratora a standardową sesją użytkownika.

W przypadku systemu Windows serwer, na którym jedynym powodem interaktywnego logowania jest administrowanie systemem, zmniejszenie liczby monitów o podniesienie uprawnień jest niewykonalne ani pożądane. Narzędzia administracyjne systemu zgodnie z prawem wymagają uprawnień administracyjnych. Gdy wszystkie zadania użytkownika administracyjnego wymagają uprawnień administracyjnych, a każde zadanie może wywołać monit o podniesienie uprawnień, monity są jedynie przeszkodą dla produktywności. W tym kontekście takie monity nie są i nie mogą promować celu zachęcania do tworzenia aplikacji które wymagają standardowych uprawnień użytkownika. Ponadto takie monity nie poprawiają stanu bezpieczeństwa. Zamiast tego te monity zachęcają użytkowników do klikania okien dialogowych bez ich czytania.

Te wskazówki dotyczą tylko dobrze zarządzanych serwerów, na których tylko użytkownicy administracyjni mogą logować się interaktywnie lub za pośrednictwem usług pulpitu zdalnego i tylko do pełnić uzasadnione funkcje administracyjne. Jeśli administratorzy uruchamiają ryzykowne aplikacje, takie jak przeglądarki internetowe, klienty poczty e-mail lub komunikatory, lub wykonują inne operacje, które powinny być wykonywane z systemu operacyjnego klienta, serwer należy traktować jako odpowiednik systemu klienta. W takim przypadku kontrola konta użytkownika powinna pozostać włączona jako środek ochrony dogłębnej.

Ponadto, jeśli zwykli użytkownicy logują się na serwerze z konsoli lub przez usługi pulpitu zdalnego, aby uruchamiać aplikacje, zwłaszcza przeglądarki internetowe, Kontrola konta użytkownika powinna pozostać włączona, aby obsługiwać wirtualizację plików i rejestru, a także tryb chroniony w przeglądarce Internet Explorer.

Inną opcją pozwalającą uniknąć monitów o podniesienie uprawnień bez wyłączania UAC jest ustawienie Kontroli konta użytkownika: zachowanie monitu o podniesienie uprawnień dla administratorów w panelu Administracja Zasady bezpieczeństwa trybu zatwierdzania, aby podnieść poziom bez monitowania. Przy użyciu tego ustawienia żądania podniesienia uprawnień są dyskretnie zatwierdzane, jeśli użytkownik jest członkiem grupy Administratorzy. Ta opcja pozostawia również włączone PMIE i inne funkcje UAC. Jednak nie wszystkie operacje, które wymagają uprawnień administracyjnych, wymagają podniesienia uprawnień. Użycie tego ustawienia może spowodować podniesienie uprawnień niektórych programów użytkownika, a innych nie, bez możliwości rozróżnienia między nimi. Na przykład większość programów narzędziowych konsoli, które wymagają uprawnień administratora, oczekuje się, że zostaną uruchomione z wiersza polecenia lub innego programu, który jest już podniesiony. Takie narzędzia po prostu zawodzą, gdy są uruchamiane w wierszu polecenia, który nie ma podwyższonego poziomu uprawnień.

Dodatkowe efekty wyłączenia UAC

  • Jeśli spróbujesz użyć Eksploratora Windows do przejdź do katalogu, w którym nie masz uprawnień do odczytu, Eksplorator zaproponuje zmianę uprawnień do katalogu, aby na stałe udzielić kontu użytkownika dostępu do niego. Wyniki zależą od tego, czy włączona jest kontrola konta użytkownika. Aby uzyskać więcej informacji, zobacz Kiedy kliknij Kontynuuj, aby uzyskać dostęp do folderu w Eksploratorze Windows, Twoje konto użytkownika zostanie dodane do listy ACL folderu.
  • Jeśli UAC jest wyłączona, Eksplorator Windows nadal wyświetla ikony osłony UAC dla elementów wymagających podniesienia uprawnień i zawiera opcję Uruchom jako administrator w menu kontekstowe aplikacji i skróty do aplikacji. Ponieważ mechanizm podnoszenia uprawnień UAC jest wyłączony, te polecenia nie działają, a aplikacje działają w tym samym kontekście zabezpieczeń, co użytkownik, do którego jest zalogowany.
  • Jeśli UAC jest włączony, gdy narzędzie konsoli Runas.exe służy do uruchamiania programu przy użyciu konta użytkownika, które podlega filtrowaniu tokenów, program działa z filtrowanym tokenem użytkownika. Jeśli funkcja UAC jest wyłączona, uruchamiany program działa z pełnym tokenem użytkownika.
  • Jeśli włączona jest kontrola konta użytkownika, konta lokalne podlegające filtrowaniu tokenów nie mogą być używane do zdalnego administrowania za pośrednictwem interfejsów sieciowych innych niż Pulpit zdalny (na przykład za pośrednictwem NET USE lub WinRM). Konto lokalne, które uwierzytelnia przez taki interfejs uzyskuje tylko uprawnienia nadane filtrowanemu tokenowi konta. Jeśli kontrola konta użytkownika jest wyłączona, to ograniczenie jest usuwane. (Ograniczenie można również usunąć za pomocą ustawienia LocalAccountTokenFilterPolicy opisanego w KB951016). Usunięcie tego ograniczenia może zwiększyć ryzyko naruszenia bezpieczeństwa systemu w środowisku, w którym wiele systemów ma konto, które ma tę samą nazwę użytkownika i hasło. Zalecamy upewnienie się, że zastosowano inne środki ograniczające to ryzyko. Aby uzyskać więcej informacji na temat zalecanych środków zaradczych, zobacz Łagodzenie ataków typu Pass-the-Hash (PtH) i innych kradzieży poświadczeń, wersja 1 i 2.
  • PsExec, kontrola konta użytkownika i granice bezpieczeństwa
  • Po wybraniu opcji Kontynuuj w celu uzyskania dostępu do folderu w Eksploratorze Windows Twoje konto użytkownika zostanie dodane do listy ACL folderu (KB 950934)

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *