Cum se dezactivează Controlul contului de utilizator (UAC) pe Windows Server
- 08.08.2020
- 8 minute de citit
-
- D
- s
Acest articol prezintă modul de dezactivare a controlului contului de utilizator (UAC) pe Windows Server.
Versiunea originală a produsului: Windows Server 2012 R2
Număr original KB: 2526083
Rezumat
În anumite circumstanțe restrânse, dezactivarea UAC pe Windows Server poate fi o practică acceptabilă și recomandată. Aceste circumstanțe apar numai atunci când sunt îndeplinite toate condițiile următoare:
- Doar administratorii au voie să se conecteze la serverul bazat pe Windows interactiv la consolă sau utilizând Serviciile de birou la distanță.
- Administratorii se conectează la serverul Windows doar pentru a efectua funcții administrative de sistem legitime pe server.
Dacă oricare dintre aceste condiții nu este adevărată, UAC ar trebui să rămână activat. de exemplu, dacă serverul activează rolul Servicii desktop la distanță, astfel încât utilizatorii neadministrativi să se poată conecta la server pentru a rula aplicații, UAC ar trebui să rămână activat. În mod similar, UAC ar trebui să rămână activat dacă administratorii rulează aplicații riscante pe server, cum ar fi browsere web, e-mail clienți sau clienți de mesagerie instantanee sau dacă administratorii efectuează alte operațiuni care ar trebui făcute de la un sistem de operare client, cum ar fi Windows 7.
Notă
- Acest ghid se aplică numai sistemelor de operare Windows Server.
- UAC este întotdeauna d este activat în edițiile Server Core ale Windows Server 2008 R2 și versiunile ulterioare.
Mai multe informații
UAC a fost conceput pentru a ajuta utilizatorii Windows să se orienteze către utilizarea standard drepturile utilizatorului în mod implicit. UAC include mai multe tehnologii pentru a realiza acest lucru. Aceste tehnologii includ următoarele:
- Virtualizare fișiere și registre: atunci când o aplicație veche încearcă să scrie în zone protejate ale sistemului de fișiere sau din registru, Windows redirecționează în mod silențios și transparent accesul la o parte a sistemului de fișiere sau a registrului pe care utilizatorul este permis să îl modifice. Aceasta permite multor aplicații care au necesitat drepturi administrative pentru versiunile anterioare de Windows să ruleze cu succes, numai cu drepturi de utilizator standard pe Windows Server 2008 și versiunile ulterioare.
- Elevare pe același desktop: când un utilizator autorizat rulează și ridică un program , procesului rezultat i se acordă drepturi mai puternice decât cele ale utilizatorului desktop interactiv. Combinând altitudinea cu caracteristica Jeton filtrat UAC (vezi următorul punct), administratorii pot rula programe cu drepturi de utilizator standard și apoi pot ridica numai acele programe care necesită drepturi administrative cu același cont de utilizator. (Această caracteristică de elevare pentru același utilizator este cunoscut și sub denumirea de modul de aprobare a administratorului.) Programele pot fi, de asemenea, pornite cu drepturi ridicate, utilizând un cont de utilizator diferit, astfel încât un administrator să poată efectua sarcini administrative pe desktopul unui utilizator standard.
- Token filtrat: când un utilizatorul care are privilegii administrative sau alte privilegii puternice sau membrii de grup se conectează, Windows creează două jetoane de acces pentru a reprezenta contul de utilizator. Jetonul nefiltrat are toate apartenențele și privilegiile grupului utilizatorului, în timp ce jetonul filtrat reprezintă utilizatorul cu echivalentul drepturilor standard ale utilizatorului. În mod implicit, acest jeton filtrat este utilizat pentru a rula programele utilizatorului. Jetonul nefiltrat este asociat doar cu programe ridicate. Un cont care este membru al grupului Administratori și care primește un jeton filtrat atunci când utilizatorul se conectează se numește cont de administrator protejat.
- Izolarea privilegiului interfeței utilizatorului (UIPI): UIPI împiedică un program cu privilegii mai mici de la trimiterea de mesaje în fereastră, cum ar fi evenimente de mouse sau tastatură sintetice, către o fereastră care aparține unui proces cu privilegii superioare și prin aceasta, controlând procesul cu privilegii superioare.
- Mod protejat Internet Explorer (PMIE): PMIE este o caracteristică de apărare în profunzime în care Windows Internet Explorer funcționează în mod protejat cu privilegii reduse și nu poate scrie în majoritatea zonelor din sistemul de fișiere sau din registru. În mod implicit, Modul protejat este activat atunci când un utilizator navighează pe site-urile din Zonele de Internet sau Site-uri restricționate. PMIE face mai dificil ca programele malware care infectează o instanță care rulează din Internet Explorer să modifice setările utilizatorului, cum ar fi configurându-se pentru a porni de fiecare dată când utilizatorul se conectează. PMIE nu face de fapt parte din UAC. Totuși, depinde de caracteristicile UAC, cum ar fi UIPI.
- Detectarea instalatorului: când un nou proces este pe cale să fie început fără drepturi administrative, Windows aplică euristică pentru a determina dacă noul proces este probabil o instalare veche. program. Windows presupune că programele de instalare vechi vor eșua probabil fără drepturi administrative.Prin urmare, Windows solicită în mod proactiv utilizatorului interactiv elevarea. Dacă utilizatorul nu are acreditări administrative, utilizatorul nu poate rula programul.
Dacă dezactivați Controlul contului utilizatorului: Rulați toți administratorii în setarea politicii Modului de aprobare administrare, aceasta dezactivează toate Funcțiile UAC care sunt descrise în această secțiune. Această setare de politică este disponibilă prin Politica de securitate locală a computerului, Setările de securitate, Politicile locale și apoi Opțiunile de securitate. Aplicațiile vechi care au drepturi de utilizator standard care se așteaptă să scrie în foldere sau chei de registry protejate vor eșua. Jetoanele filtrate nu sunt create și toate programele rulează cu drepturile depline ale utilizatorului care este conectat la computer. Aceasta include Internet Explorer deoarece Modul protejat este dezactivat pentru toate zonele de securitate.
Unul dintre concepțiile greșite obișnuite despre UAC și despre Same-desktop Elevation în special este că împiedică instalarea malware-ului sau obținerea drepturilor administrative. În primul rând, malware-ul poate fi scris pentru a nu necesita drepturi administrative și malware-ul poate fi scris pentru a scrie doar în zonele din profilul utilizatorului. Mai important, Elevarea aceluiași desktop în UAC nu este o limită de securitate și poate fi deturnată de un software neprivilegiat care rulează pe același desktop. Elevarea aceluiași desktop ar trebui considerată o caracteristică de comoditate și, din perspectiva securității, Administratorul protejat ar trebui luat în considerare echivalentul administratorului. În schimb, utilizarea comutării rapide a utilizatorului pentru a vă conecta la o sesiune diferită utilizând un cont de administrator implică o graniță de securitate între contul de administrator și sesiunea de utilizator standard.
Pentru o versiune bazată pe Windows server pe care singurul motiv al conectării interactive este să administreze sistemul, obiectivul de a solicita mai puține înălțimi nu este fezabil sau de dorit. Instrumentele administrative ale sistemului necesită în mod legitim drepturi administrative. Când toate sarcinile utilizatorului administrativ necesită drepturi administrative și fiecare sarcină ar putea declanșa un prompt de creștere, solicitările sunt doar o piedică pentru productivitate. În acest context, astfel de solicitări nu pot și nu pot promova obiectivul de a încuraja dezvoltarea aplicațiilor care necesită drepturi de utilizator standard. De asemenea, aceste solicitări nu îmbunătățesc postura de securitate. În schimb, aceste solicitări încurajează utilizatorii să facă clic prin casetele de dialog fără a le citi.
Acest ghid se aplică numai serverelor bine gestionate pe care numai utilizatorii administrativi se pot conecta interactiv sau prin intermediul serviciilor Desktop la distanță și numai la îndeplinesc funcții administrative legitime. Dacă administratorii rulează aplicații riscante, cum ar fi browsere web, clienți de e-mail sau clienți de mesagerie instantanee sau efectuează alte operațiuni care ar trebui efectuate de la un sistem de operare client, serverul ar trebui considerat echivalent cu un sistem client. În acest caz, UAC ar trebui să rămână activat ca măsură de apărare în profunzime.
De asemenea, dacă utilizatorii standard se conectează la server la consolă sau prin serviciile Desktop la distanță pentru a rula aplicații, în special browsere web, UAC ar trebui să rămână activat pentru a sprijini virtualizarea fișierelor și a registrului, precum și a modului protejat Internet Explorer.
O altă opțiune pentru a evita solicitările de ridicare fără a dezactiva UAC este să setați Controlul contului de utilizator: Comportamentul promptului de ridicare pentru administratorii din Administrator Politica de securitate a modului de aprobare pentru a ridica fără solicitare. Prin utilizarea acestei setări, cererile de ridicare sunt aprobate în mod silențios dacă utilizatorul este membru al grupului Administratori. Această opțiune lasă PMIE și alte caracteristici UAC activate. Cu toate acestea, nu toate operațiunile care necesită drepturi administrative solicită ridicarea. Utilizarea acestei setări poate duce la ridicarea unor programe ale utilizatorului și a altora nu, fără nici o modalitate de a face distincția între ele. De exemplu, majoritatea utilităților de consolă care necesită drepturi administrative se așteaptă să fie pornite la un prompt de comandă sau alt program care este deja ridicate. Astfel de utilitare nu reușesc decât atunci când sunt pornite la un prompt de comandă care nu este ridicat.
Efecte suplimentare ale dezactivării UAC
- Dacă încercați să utilizați Windows Explorer pentru navigați la un director în care nu aveți permisiuni de citire, Explorer vă va oferi să modificați permisiunile directorului pentru a acorda accesul contului dvs. de utilizator permanent la acesta. Rezultatele depind de dacă UAC este activat. Pentru mai multe informații, consultați Când faceți clic pe Continuați pentru acces la folder în Windows Explorer, contul dvs. de utilizator este adăugat la ACL pentru folder.
- Dacă UAC este dezactivat, Windows Explorer continuă să afișeze pictograme UAC shield pentru elementele care necesită elevare și pentru a include Run ca administrator în meniurile contextuale ale aplicațiilor și comenzile rapide ale aplicației. Deoarece mecanismul de ridicare UAC este dezactivat, aceste comenzi nu au efect, iar aplicațiile rulează în același context de securitate ca și utilizatorul la care s-a conectat.
- Dacă UAC este activat, atunci când utilitarul consolei Runas.exe este folosit pentru a porni un program utilizând un cont de utilizator care este supus filtrării simbolurilor, programul rulează cu simbolul filtrat al utilizatorului. Dacă UAC este dezactivat, programul care este pornit rulează cu simbolul complet al utilizatorului.
- Dacă UAC este activat, conturile locale care sunt supuse filtrării simbolurilor nu pot fi utilizate pentru administrarea la distanță prin interfețe de rețea, altele decât Desktop la distanță (de exemplu, prin NET USE sau WinRM). Un cont local care se autentifică peste o astfel de interfață obține doar privilegiile care sunt acordate jetonului filtrat al contului. Dacă UAC este dezactivat, această restricție este eliminată. (Restricția poate fi, de asemenea, eliminată utilizând setarea
LocalAccountTokenFilterPolicy
descrisă în KB951016.) Eliminarea acestei restricții poate crește riscul compromiterii sistemului într-un mediu în care multe sisteme au un sistem administrativ local cont care are același nume de utilizator și parolă. Vă recomandăm să vă asigurați că sunt utilizate alte atenuări împotriva acestui risc. Pentru mai multe informații despre atenuările recomandate, consultați Atacuri de atenuare și alte furturi de acreditări, versiunea 1 și 2. Atenționare PsExec, Control cont utilizator și limite de securitate - Când selectați Continuare pentru acces la folder în Windows Explorer, contul dvs. de utilizator este adăugat la ACL pentru dosar (KB 950934)