Configuración y opciones de Control de cuentas de usuario

Lista de configuración del control de cuentas de usuario

En la lista siguiente se muestran los valores disponibles para configurar el comportamiento de UAC y sus valores predeterminados.

• Administración modo de aprobación para la cuenta de administrador integrada: controla el comportamiento de Administración modo de aprobación para la cuenta de administrador integrada.

  • Habilitado: la cuenta de administrador integrada usa Administración modo de aprobación. De forma predeterminada, cualquier operación que requiera la elevación de privilegios solicita al usuario que pruebe la operación.
  • Deshabilitado (valor predeterminado): la cuenta de administrador integrada ejecuta todas las aplicaciones con privilegios administrativos completos.

• Permitir que las aplicaciones uiAccess soliciten elevación sin usar el escritorio seguro: controla si los programas de accesibilidad de la interfaz de usuario (UIAccess o UIA) pueden deshabilitar automáticamente el escritorio seguro para las solicitudes de elevación que usa un usuario estándar.

  • Habilitado: los programas UIA, incluida la asistencia remota, deshabilitan automáticamente el escritorio seguro para los avisos de elevación. Si no deshabilita switch to the secure desktop when prompting for elevation policy setting, the prompts appear on the interactive user's desktop instead of the secure desktop. Esta configuración permite al administrador remoto proporcionar las credenciales adecuadas para la elevación. Esta configuración de directiva no cambia el comportamiento de la solicitud de elevación de UAC para los administradores. Si tiene previsto habilitar esta configuración de directiva, también debe revisar el efecto del comportamiento de la solicitud de elevación para la configuración de directiva de usuarios estándar; Si se configura como Denegación automática de solicitudes de elevación, las solicitudes de elevación no se presentan al usuario.
  • Deshabilitado (valor predeterminado): el escritorio seguro solo lo puede deshabilitar el usuario del escritorio interactivo o deshabilitar el cambio al escritorio seguro al solicitar la configuración de la directiva de elevación.

• Comportamiento de la solicitud de elevación de los administradores en Administración modo de aprobación: controla el comportamiento de la solicitud de elevación para los administradores.

  • Elevar sin preguntar: permite que las cuentas con privilegios realicen una operación que requiere elevación sin necesidad de consentimiento ni credenciales. Use esta opción solo en los entornos más restringidos.
  • Solicitar credenciales en el escritorio seguro: cuando una operación requiere la elevación de privilegios, se pide al usuario en el escritorio seguro que escriba un nombre de usuario y una contraseña con privilegios. Si el usuario escribe credenciales válidas, la operación continúa con el privilegio más alto disponible del usuario.
  • Solicitar consentimiento en el escritorio seguro: cuando una operación requiere la elevación de privilegios, se pide al usuario en el escritorio seguro que seleccione Permitir o Denegar. Si el usuario selecciona Permitir, la operación continúa con el privilegio más alto disponible del usuario.
  • Solicitar credenciales: cuando una operación requiere la elevación de privilegios, se pide al usuario que escriba un nombre de usuario administrativo y una contraseña. Si el usuario escribe credenciales válidas, la operación continúa con el privilegio aplicable.
  • Solicitar consentimiento: cuando una operación requiere la elevación de privilegios, se pide al usuario que seleccione Permitir o Denegar. Si el usuario selecciona Permitir, la operación continúa con el privilegio más alto disponible del usuario.
  • Solicitar consentimiento para archivos binarios que no son de Windows (valor predeterminado): cuando una operación para una aplicación que no es de Microsoft requiere la elevación de privilegios, se pide al usuario en el escritorio seguro que seleccione Permitir o Denegar. Si el usuario selecciona Permitir, la operación continúa con el privilegio más alto disponible del usuario.

• Comportamiento de la solicitud de elevación para los usuarios estándar: controla el comportamiento de la solicitud de elevación para los usuarios estándar.

  • Solicitar credenciales (valor predeterminado): cuando una operación requiere la elevación de privilegios, se pide al usuario que escriba un nombre de usuario administrativo y una contraseña. Si el usuario escribe credenciales válidas, la operación continúa con el privilegio aplicable.
  • Denegar automáticamente solicitudes de elevación: cuando una operación requiere la elevación de privilegios, se muestra un mensaje de error de acceso denegado configurable. Una empresa que ejecuta escritorios como usuario estándar podría elegir esta opción para reducir las llamadas del departamento de soporte técnico.
  • Solicitar credenciales en el escritorio seguro: cuando una operación requiere la elevación de privilegios, se pide al usuario en el escritorio seguro que escriba un nombre de usuario y una contraseña diferentes. Si el usuario escribe credenciales válidas, la operación continúa con el privilegio aplicable.

• Detectar instalaciones de aplicaciones y solicitar elevación: controla el comportamiento de la detección de instalación de aplicaciones para el equipo.

  • Habilitado (valor predeterminado): cuando se detecta un paquete de instalación de la aplicación que requiere la elevación de privilegios, se pide al usuario que escriba un nombre de usuario administrativo y una contraseña. Si el usuario escribe credenciales válidas, la operación continúa con el privilegio aplicable.
  • Deshabilitado: los paquetes de instalación de aplicaciones no se detectan y se les solicita elevación. Las empresas que ejecutan escritorios de usuario estándar y usan tecnologías de instalación delegada, como Microsoft Intune, deben deshabilitar esta configuración de directiva. En este caso, la detección del instalador no es necesaria.

• Elevar solo los archivos ejecutables firmados y validados: aplica comprobaciones de firma para las aplicaciones interactivas que solicitan la elevación de privilegios. Los administradores de TI pueden controlar qué aplicaciones pueden ejecutarse agregando certificados al almacén de certificados de publicadores de confianza en dispositivos locales.

  • Habilitado: aplica la validación de la ruta de certificación del certificado para un archivo ejecutable determinado antes de que se pueda ejecutar.
  • Deshabilitado (valor predeterminado): no aplica la validación de la ruta de certificación del certificado antes de que se pueda ejecutar un archivo ejecutable determinado.

• Elevar solo las aplicaciones de UIAccess instaladas en ubicaciones seguras: controla si las aplicaciones que solicitan ejecutarse con un nivel de integridad de accesibilidad de interfaz de usuario (UIAccess) deben residir en una ubicación segura en el sistema de archivos.

  • Habilitado (valor predeterminado): si una aplicación reside en una ubicación segura en el sistema de archivos, solo se ejecuta con la integridad de UIAccess.
  • Deshabilitado: una aplicación se ejecuta con integridad UIAccess incluso si no reside en una ubicación segura en el sistema de archivos.

  Las ubicaciones seguras se limitan a las siguientes carpetas:

  • %ProgramFiles%, incluidas las subcarpetas
  • %SystemRoot%\system32\
  • %ProgramFiles(x86)%, incluidas las subcarpetas

  Nota

  Windows aplica una comprobación de firma digital en las aplicaciones interactivas que solicitan ejecutarse con un nivel de integridad UIAccess independientemente del estado de esta configuración.

• Ejecutar todos los administradores en Administración modo de aprobación: controla el comportamiento de toda la configuración de directiva de UAC.

  • Habilitado (valor predeterminado): Administración modo de aprobación está habilitado. Esta directiva debe estar habilitada y configurar la configuración de UAC relacionada. La directiva permite que la cuenta de administrador integrada y los miembros del grupo Administradores se ejecuten en Administración modo de aprobación.
  • Deshabilitado: Administración modo de aprobación y todas las configuraciones de directiva UAC relacionadas están deshabilitadas. Nota: Si esta configuración de directiva está deshabilitada, Seguridad de Windows le notifica que se reduce la seguridad general del sistema operativo.

• Cambiar al escritorio seguro al solicitar elevación: esta configuración de directiva controla si el símbolo del sistema de solicitud de elevación se muestra en el escritorio del usuario interactivo o en el escritorio seguro.

  • Habilitado (valor predeterminado): todas las solicitudes de elevación van al escritorio seguro, independientemente de la configuración de la directiva de comportamiento de mensajes para administradores y usuarios estándar.
  • Deshabilitado: todas las solicitudes de elevación van al escritorio del usuario interactivo. Se usa la configuración de directivas de comportamiento de aviso para administradores y usuarios estándar.

• Virtualizar errores de escritura de archivos y registros en ubicaciones por usuario: controla si los errores de escritura de la aplicación se redirigen a ubicaciones definidas del sistema de archivos y registro. Esta configuración mitiga las aplicaciones que se ejecutan como administrador y escriben datos de aplicaciones en tiempo de ejecución en %ProgramFiles%, %Windir%, %Windir%\system32o HKLM\Software.

  • Habilitado (valor predeterminado): los errores de escritura de la aplicación se redirigen en tiempo de ejecución a ubicaciones de usuario definidas para el sistema de archivos y el registro.
  • Deshabilitado: se produce un error en las aplicaciones que escriben datos en ubicaciones protegidas.

Configuración del control de cuentas de usuario

Para configurar UAC, puede usar:

• Microsoft Intune
• CSP
• Directiva de grupo
• Registro

En las instrucciones siguientes se proporciona información detallada sobre cómo configurar los dispositivos. Seleccione la opción que mejor se adapte a sus necesidades.

Intune

Para configurar dispositivos mediante Microsoft Intune, cree una directiva de catálogo configuración y use la configuración que aparece en la categoría Local Policies Security Options:

Asigne la directiva a un grupo de seguridad que contenga como miembros los dispositivos o usuarios que desea configurar.

CSP

Puede configurar dispositivos mediante el CSP de directiva LocalPoliciesSecurityOptions.

Configuración	Nombre de CSP
Administración modo de aprobación para la cuenta de administrador integrada	UserAccountControl_UseAdminApprovalMode
Permitir que las aplicaciones de UIAccess soliciten elevación sin usar el escritorio seguro	UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
Comportamiento de la solicitud de elevación de los administradores en Administración modo de aprobación	UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
Comportamiento de la solicitud de elevación para los usuarios estándar	UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
Detección de instalaciones de aplicaciones y petición de elevación	UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
Elevar solo los ejecutables firmados y validados	UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated
Elevar solo las aplicaciones de UIAccess instaladas en ubicaciones seguras	UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
Ejecución de todos los administradores en Administración modo de aprobación	UserAccountControl_RunAllAdministratorsInAdminApprovalMode
Cambiar al escritorio seguro al solicitar elevación	UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
Virtualización de errores de escritura de archivos y registros en ubicaciones por usuario	UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

GPO

Puedes usar directivas de seguridad para configurar cómo funciona el Control de cuentas de usuario de la organización. Las directivas se pueden configurar localmente mediante el complemento Directiva de seguridad local (secpol.msc) o se pueden configurar para el dominio, la unidad organizativa o grupos específicos por directiva de grupo.

La configuración de directiva se encuentra en: Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options.

Configuración de directiva de grupo	Valor predeterminado
Control de cuentas de usuario: modo de aprobación de Administración para la cuenta de administrador integrada	Deshabilitado
Control de cuentas de usuario: permitir que las aplicaciones UIAccess pidan confirmación de elevación sin usar el escritorio seguro	Deshabilitado
Control de cuentas de usuario: comportamiento de la petición de elevación para los administradores en Modo de aprobación de administrador	Solicitud de consentimiento para archivos binarios que no son de Windows
Control de cuentas de usuario: comportamiento de la petición de elevación para los usuarios estándar	Solicitud de credenciales
Control de cuentas de usuario: detectar instalaciones de aplicaciones y pedir confirmación de elevación	Habilitado (valor predeterminado solo para la edición home) Deshabilitado (valor predeterminado)
Control de cuentas de usuario: elevar sólo los archivos ejecutables firmados y validados	Deshabilitado
Control de cuentas de usuario: elevar sólo aplicaciones UIAccess instaladas en ubicaciones seguras	Habilitado
Control de cuentas de usuario: ejecutar todos los administradores en Modo de aprobación de administrador	Habilitado
Control de cuentas de usuario: cambiar al escritorio seguro cuando se pida confirmación de elevación	Habilitado
Control de cuentas de usuario: virtualizar errores de escritura de archivos y de Registro para ubicaciones por usuario	Habilitado

Registro

Las claves del Registro se encuentran en la clave : HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.

Nombre del valor de configuración	Nombre de clave del Registro	Valor
Administración modo de aprobación para la cuenta de administrador integrada	FilterAdministratorToken	0 (valor predeterminado) = Deshabilitado 1 = Habilitado
Permitir que las aplicaciones de UIAccess soliciten elevación sin usar el escritorio seguro	EnableUIADesktopToggle	0 (valor predeterminado) = Deshabilitado 1 = Habilitado
Comportamiento de la solicitud de elevación de los administradores en Administración modo de aprobación	ConsentPromptBehaviorAdmin	0 = Elevar sin preguntar 1 = Solicitar credenciales en el escritorio seguro 2 = Solicitar consentimiento en el escritorio seguro 3 = Solicitar credenciales 4 = Solicitud de consentimiento 5 (valor predeterminado) = Solicitud de consentimiento para archivos binarios que no son de Windows
Comportamiento de la solicitud de elevación para los usuarios estándar	ConsentPromptBehaviorUser	0 = Denegar automáticamente solicitudes de elevación 1 = Solicitar credenciales en el escritorio seguro 3 (valor predeterminado) = Solicitud de credenciales
Detección de instalaciones de aplicaciones y petición de elevación	EnableInstallerDetection	1 = Habilitado (valor predeterminado solo para el hogar) 0 = Deshabilitado (valor predeterminado)
Elevar solo los ejecutables firmados y validados	ValidateAdminCodeSignatures	0 (valor predeterminado) = Deshabilitado 1 = Habilitado
Elevar solo las aplicaciones de UIAccess instaladas en ubicaciones seguras	EnableSecureUIAPaths	0 = Deshabilitada 1 (valor predeterminado) = Habilitado
Ejecución de todos los administradores en Administración modo de aprobación	EnableLUA	0 = Deshabilitada 1 (valor predeterminado) = Habilitado
Cambiar al escritorio seguro al solicitar elevación	PromptOnSecureDesktop	0 = Deshabilitada 1 (valor predeterminado) = Habilitado
Virtualización de errores de escritura de archivos y registros en ubicaciones por usuario	EnableVirtualization	0 = Deshabilitada 1 (valor predeterminado) = Habilitado
Priorizar los inicios de sesión de red a través de los inicios de sesión almacenados en caché	InteractiveLogonFirst	0 (valor predeterminado) = Deshabilitado 1 = Habilitado