Control de cuentas de usuario: comportamiento de la petición de elevación para los administradores en Modo de aprobación de administrador

Se aplica a

  • Windows10

Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las consideraciones de seguridad para el control de cuentas de usuario: comportamiento de la solicitud de elevación para los administradores en Administración configuración de directiva de seguridad del modo de aprobación.

Referencia

Esta configuración de directiva determina el comportamiento de la solicitud de elevación para las cuentas que tienen credenciales administrativas.

Posibles valores

  • Elevar sin preguntar

    Se supone que el administrador permitirá una operación que requiere elevación y no se requiere más consentimiento o credenciales.

    Nota Al seleccionar Elevar sin preguntar , se minimiza la protección proporcionada por UAC. No se recomienda seleccionar este valor a menos que las cuentas de administrador estén estrechamente controladas y el entorno operativo sea muy seguro.

  • Solicitud de credenciales en el escritorio seguro

    Cuando una operación requiere la elevación de privilegios, se pide al usuario en el escritorio seguro que escriba un nombre de usuario y una contraseña con privilegios. Si el usuario escribe credenciales válidas, la operación continúa con el privilegio más alto disponible del usuario.

  • Solicitud de consentimiento en el escritorio seguro

    Cuando una operación requiere la elevación de privilegios, se pide al usuario en el escritorio seguro que seleccione Permitir o Denegar. Si el usuario selecciona Permitir, la operación continúa con el privilegio más alto disponible del usuario.*

  • Solicitud de credencials

    Una operación que requiere la elevación de privilegios solicita al administrador que escriba el nombre de usuario y la contraseña. Si el administrador escribe credenciales válidas, la operación continúa con el privilegio aplicable.

  • Solicitud de consentimiento

    Una operación que requiere la elevación de privilegios solicita al administrador que seleccione Permitir o Denegar. Si el administrador selecciona Permitir, la operación continúa con el privilegio más alto disponible del administrador.

  • Solicitud de consentimiento para archivos binarios que no son de Windows

    Esta solicitud de consentimiento es la predeterminada. Cuando una operación para una aplicación que no es de Microsoft requiere la elevación de privilegios, se pide al usuario en el escritorio seguro que seleccione Permitir o Denegar. Si el usuario selecciona Permitir, la operación continúa con el privilegio más alto disponible del usuario.

*Si ha habilitado la cuenta de administrador integrada y ha configurado Administración modo de aprobación, también debe configurar la opción Solicitar consentimiento en el escritorio seguro. También puede configurar esta opción desde Control de cuentas de usuario; para ello, escriba UAC en el cuadro de búsqueda. En el cuadro de diálogo Configuración del control de cuenta de usuario, establezca el control deslizante en Notificarme solo cuando las aplicaciones intenten realizar cambios en mi equipo (valor predeterminado).

Nota

Después de habilitar Administración modo de aprobación, para activar la configuración, primero debe iniciar y cerrar sesión. Como alternativa, puede realizar gpupdate /force desde un símbolo del sistema con privilegios elevados.

Procedimientos recomendados

  • Al seleccionar la opción Elevar sin preguntar , se minimiza la protección proporcionada por UAC. No se recomienda seleccionar este valor a menos que las cuentas de administrador estén estrechamente controladas y el entorno operativo sea muy seguro.

  • Se recomienda no habilitar la cuenta de administrador integrada en el equipo cliente, sino usar la cuenta de usuario estándar y el Control de cuentas de usuario (UAC) en su lugar. Si desea habilitar la cuenta de administrador integrada para realizar tareas administrativas, por motivos de seguridad también debe habilitar Administración modo de aprobación. Para obtener más información, vea UAC-Administración-Approval-Mode-for-the-Built-in-Administrator-account

Ubicación

Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad

Valores predeterminados

Tipo de servidor o GPO Valor predeterminado
Directiva de dominio predeterminada No definido
Directiva de controlador de dominio predeterminada No definido
configuración predeterminada del servidor de Stand-Alone Solicitud de consentimiento para archivos binarios que no son de Windows
Configuración predeterminada efectiva de DC Solicitud de consentimiento para archivos binarios que no son de Windows
Configuración predeterminada efectiva del servidor miembro Solicitud de consentimiento para archivos binarios que no son de Windows
Configuración predeterminada efectiva del equipo cliente Solicitud de consentimiento para archivos binarios que no son de Windows

Administración de directivas

En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar esta directiva.

Requisito de reinicio

Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el equipo cuando se guardan localmente o se distribuyen a través de directiva de grupo.

Directiva de grupo

Todas las funcionalidades de auditoría se integran en directiva de grupo. Puede configurar, implementar y administrar esta configuración en la consola de administración de directiva de grupo (GPMC) o en el complemento Directiva de seguridad local para un dominio, sitio o unidad organizativa (UO).

Consideraciones de seguridad

En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.

Vulnerabilidad

Uno de los riesgos que la característica UAC intenta mitigar es el de software malintencionado que se ejecuta con credenciales elevadas sin que el usuario o el administrador conozcan su actividad. Esta configuración aumenta la conciencia al administrador de las operaciones con privilegios elevados y permite al administrador evitar que un programa malintencionado elevase sus privilegios cuando el programa intenta hacerlo.

Contramedida

Configure el control de cuenta de usuario: comportamiento de la solicitud de elevación para los administradores en Administración configuración del modo de aprobación en Solicitar consentimiento.

Posible efecto

Los administradores deben tener en cuenta que se les pedirá consentimiento cuando todos los archivos binarios intenten ejecutarse.

Temas relacionados