Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se presenta cómo deshabilitar el Control de cuentas de usuario (UAC) en Windows Server.
Número de KB original: 2526083
Resumen
En determinadas circunstancias restringidas, deshabilitar UAC en Windows Server puede ser una práctica aceptable y recomendada. Estas circunstancias solo se producen cuando se cumplen las dos condiciones siguientes:
- Solo los administradores pueden iniciar sesión en el servidor de Windows de forma interactiva en la consola o mediante Servicios de Escritorio remoto.
- Los administradores inician sesión en el servidor basado en Windows solo para realizar funciones administrativas legítimas del sistema en el servidor.
Si alguna de estas condiciones no es true, UAC debe permanecer habilitada. Por ejemplo, el servidor habilita el rol Servicios de Escritorio remoto para que los usuarios no administrativos puedan iniciar sesión en el servidor para ejecutar aplicaciones. UAC debe permanecer habilitado en esta situación. Del mismo modo, UAC debe permanecer habilitado en las situaciones siguientes:
- Los administradores ejecutan aplicaciones de riesgo en el servidor. Por ejemplo, exploradores web, clientes de correo electrónico o clientes de mensajería instantánea.
- Los administradores realizan otras operaciones que se deben realizar desde un sistema operativo cliente, como Windows 7.
Nota:
- Esta guía solo se aplica a los sistemas operativos Windows Server.
- UAC siempre está deshabilitado en las ediciones Server Core de Windows Server 2008 R2 y versiones posteriores.
Más información
UAC se diseñó para ayudar a los usuarios de Windows a avanzar hacia el uso de derechos de usuario estándar de forma predeterminada. UAC incluye varias tecnologías para lograr este objetivo. Estas tecnologías incluyen:
Virtualización de archivos y registros: cuando una aplicación heredada intenta escribir en áreas protegidas del sistema de archivos o del registro, Windows redirige de forma silenciosa y transparente el acceso a una parte del sistema de archivos o al registro que el usuario puede cambiar. Permite que muchas aplicaciones que requieran derechos administrativos en versiones anteriores de Windows se ejecuten correctamente con solo derechos de usuario estándar en Windows Server 2008 y versiones posteriores.
Elevación del mismo escritorio: cuando un usuario autorizado ejecuta y eleva un programa, el proceso resultante tiene derechos más eficaces que esos derechos del usuario de escritorio interactivo. Al combinar la elevación con la característica Token filtrado de UAC (consulte el siguiente punto de viñeta), los administradores pueden ejecutar programas con derechos de usuario estándar. Y solo pueden elevar los programas que requieren derechos administrativos con la misma cuenta de usuario. Esta misma característica de elevación de usuario también se conoce como modo de aprobación de administrador. Los programas también se pueden iniciar con derechos elevados mediante una cuenta de usuario diferente para que un administrador pueda realizar tareas administrativas en el escritorio de un usuario estándar.
Token filtrado: cuando un usuario con privilegios administrativos u otros privilegios eficaces o registros de pertenencia a grupos, Windows crea dos tokens de acceso para representar la cuenta de usuario. El token sin filtrar tiene todas las pertenencias y privilegios de grupo del usuario. El token filtrado representa al usuario con el equivalente de derechos de usuario estándar. De forma predeterminada, este token filtrado se usa para ejecutar los programas del usuario. El token sin filtrar solo está asociado a programas elevados. Una cuenta se denomina cuenta de administrador protegido en las condiciones siguientes:
- Es miembro del grupo Administradores.
- Recibe un token filtrado cuando el usuario inicia sesión
Aislamiento de privilegios de la interfaz de usuario (UIPI): UIPI impide que un programa con privilegios inferiores controle el proceso con privilegios más altos de la siguiente manera:
Envío de mensajes de ventana, como eventos sintéticos de mouse o teclado, a una ventana que pertenece a un proceso con privilegios superioresModo protegido Internet Explorer (PMIE): PMIE es una característica de defensa en profundidad. Windows Internet Explorer funciona en modo protegido con pocos privilegios y no puede escribir en la mayoría de las áreas del sistema de archivos o el registro. De forma predeterminada, el modo protegido está habilitado cuando un usuario examina sitios en las zonas de Internet o Sitios restringidos. PMIE dificulta el malware que infecta una instancia en ejecución de Internet Explorer para cambiar la configuración del usuario. Por ejemplo, se configura para iniciarse cada vez que el usuario inicia sesión. PMIE no forma parte realmente de UAC. Pero depende de las características de UAC, como UIPI.
Detección del instalador: cuando un nuevo proceso está a punto de iniciarse sin derechos administrativos, Windows aplica heurística para determinar si es probable que el nuevo proceso sea un programa de instalación heredado. Windows supone que es probable que los programas de instalación heredados produzcan errores sin derechos administrativos. Por lo tanto, Windows solicita proactivamente al usuario interactivo la elevación. Si el usuario no tiene credenciales administrativas, el usuario no puede ejecutar el programa.
Si deshabilita el control de cuentas de usuario: ejecute todos los administradores en la configuración de directiva modo de aprobación de administrador. Deshabilita todas las características de UAC descritas en esta sección. Esta configuración de directiva está disponible a través de la directiva de seguridad local del equipo, la configuración de seguridad, las directivas locales y, a continuación, las opciones de seguridad. Se producirá un error en las aplicaciones heredadas que tienen derechos de usuario estándar que esperan escribir en carpetas protegidas o claves del Registro. No se crean tokens filtrados. Y todos los programas se ejecutan con los derechos completos del usuario que ha iniciado sesión en el equipo. Incluye Internet Explorer, porque el modo protegido está deshabilitado para todas las zonas de seguridad.
Uno de los conceptos erróneos comunes sobre la elevación de UAC y same-desktop en particular es: impide que se instale malware o que obtenga derechos administrativos. En primer lugar, el malware se puede escribir para no requerir derechos administrativos. Y el malware se puede escribir para escribir solo en áreas del perfil del usuario. Más importante, La elevación del mismo escritorio en UAC no es un límite de seguridad. Puede ser secuestrado por software sin privilegios que se ejecuta en el mismo escritorio. La elevación del mismo escritorio debe considerarse una característica de comodidad. Desde una perspectiva de seguridad, el administrador protegido debe considerarse el equivalente de Administrador. Por el contrario, el uso del cambio rápido de usuario para iniciar sesión en una sesión diferente mediante una cuenta de administrador implica un límite de seguridad entre la cuenta de administrador y la sesión de usuario estándar.
Para un servidor basado en Windows en el que el único motivo del inicio de sesión interactivo es administrar el sistema, el objetivo de menos solicitudes de elevación no es factible o deseable. Las herramientas administrativas del sistema requieren legítimamente derechos administrativos. Cuando todas las tareas del usuario administrativo requieren derechos administrativos y cada tarea podría desencadenar un aviso de elevación, las solicitudes son solo un obstáculo para la productividad. En este contexto, estas indicaciones no pueden o no promover el objetivo de fomentar el desarrollo de aplicaciones que requieren derechos de usuario estándar. Estas indicaciones no mejoran la posición de seguridad. Estas indicaciones simplemente animan a los usuarios a hacer clic en los cuadros de diálogo sin leerlos.
Esta guía solo se aplica a los servidores bien administrados. Significa que solo los usuarios administrativos pueden iniciar sesión de forma interactiva o a través de servicios de Escritorio remoto. Y solo pueden realizar funciones administrativas legítimas. El servidor debe considerarse equivalente a un sistema cliente en las situaciones siguientes:
- Los administradores ejecutan aplicaciones de riesgo, como exploradores web, clientes de correo electrónico o clientes de mensajería instantánea.
- Los administradores realizan otras operaciones que se deben realizar desde un sistema operativo cliente.
En este caso, UAC debe permanecer habilitado como medida de defensa en profundidad.
Además, si los usuarios estándar inician sesión en el servidor en la consola o a través de servicios de Escritorio remoto para ejecutar aplicaciones, especialmente exploradores web, UAC debe permanecer habilitado para admitir la virtualización de archivos y registros y también modo protegido Internet Explorer.
Otra opción para evitar avisos de elevación sin deshabilitar UAC es establecer el control de cuentas de usuario: comportamiento de la solicitud de elevación para los administradores en la directiva de seguridad modo de aprobación de administrador en Elevar sin preguntar. Con esta configuración, las solicitudes de elevación se aprueban silenciosamente si el usuario es miembro del grupo Administradores. Esta opción también deja habilitada pmIE y otras características de UAC. Sin embargo, no todas las operaciones que requieren la elevación de derechos administrativos. El uso de esta configuración puede dar lugar a que algunos de los programas del usuario se elevan y algunos no, sin ninguna manera de distinguirlos. Por ejemplo, la mayoría de las utilidades de consola que requieren derechos administrativos esperan iniciarse en un símbolo del sistema u otro programa con privilegios elevados. Estas utilidades simplemente producen un error cuando se inician en un símbolo del sistema que no está elevado.
Efectos adicionales de deshabilitar UAC
- Si intenta usar el Explorador de Windows para ir a un directorio en el que no tiene permisos de lectura, el Explorador le ofrecerá cambiar los permisos del directorio para conceder a su cuenta de usuario acceso permanentemente. Los resultados dependen de si UAC está habilitado. Para obtener más información, consulta Al hacer clic en Continuar para el acceso a carpetas en el Explorador de Windows, la cuenta de usuario se agrega a la ACL de la carpeta.
- Si UAC está deshabilitado, el Explorador de Windows sigue mostrando iconos de escudo UAC para los elementos que requieren elevación. Y el Explorador de Windows sigue incluyendo Ejecutar como administrador en los menús contextuales de las aplicaciones y los accesos directos de aplicaciones. Dado que el mecanismo de elevación UAC está deshabilitado, estos comandos no tienen ningún efecto. Las aplicaciones se ejecutan en el mismo contexto de seguridad que el usuario al que ha iniciado sesión.
- Si UAC está habilitado, cuando la utilidad de consola Runas.exe se usa para iniciar un programa mediante una cuenta de usuario que está sujeta al filtrado de tokens, el programa se ejecuta con el token filtrado del usuario. Si UAC está deshabilitado, el programa que se inicia se ejecuta con el token completo del usuario.
- Si UAC está habilitado, las cuentas locales que están sujetas al filtrado de tokens no se pueden usar para la administración remota a través de interfaces de red distintas de Escritorio remoto. Por ejemplo, a través de NET USE o WinRM. Una cuenta local que se autentica a través de dicha interfaz obtiene solo los privilegios que se conceden al token filtrado de la cuenta. Si UAC está deshabilitado, se quita esta restricción. La restricción también se puede quitar mediante la
LocalAccountTokenFilterPolicyconfiguración que se describe en KB951016. La eliminación de esta restricción puede aumentar el riesgo de riesgo del sistema en un entorno en el que muchos sistemas tienen una cuenta local administrativa con el mismo nombre de usuario y contraseña. Se recomienda asegurarse de que se emplean otras mitigaciones con este riesgo. Para obtener más información sobre las mitigaciones recomendadas, vea Mitigación de ataques pass-the-hash (PtH) y otros robos de credenciales, versión 1 y 2. - Límites de psExec, control de cuentas de usuario y seguridad
- Al seleccionar Continuar para el acceso a carpetas en el Explorador de Windows, la cuenta de usuario se agrega a la ACL de la carpeta (KB 950934)