Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra come disabilitare il controllo dell'account utente in Windows Server.
Numero KB originale: 2526083
Riepilogo
In determinate circostanze vincolate, la disabilitazione del controllo dell'account utente in Windows Server può essere una pratica accettabile e consigliata. Queste circostanze si verificano solo quando entrambe le condizioni seguenti sono vere:
- Solo gli amministratori possono accedere al server Windows in modo interattivo nella console o tramite Servizi Desktop remoto.
- Gli amministratori accedono al server basato su Windows solo per eseguire funzioni amministrative di sistema legittime nel server.
Se una di queste condizioni non è vera, controllo dell'account utente deve rimanere abilitato. Ad esempio, il server abilita il ruolo Servizi Desktop remoto in modo che gli utenti non amministratori possano accedere al server per eseguire le applicazioni. Il controllo dell'account utente deve rimanere abilitato in questa situazione. Analogamente, controllo dell'account utente deve rimanere abilitato nelle situazioni seguenti:
- Gli amministratori eseguono applicazioni rischiose nel server. Ad esempio, Web browser, client di posta elettronica o client di messaggistica istantanea.
- Gli amministratori eseguono altre operazioni da un sistema operativo client, ad esempio Windows 7.
Note
- Queste indicazioni si applicano solo ai sistemi operativi Windows Server.
- Controllo dell'account utente è sempre disabilitato nelle edizioni Server Core di Windows Server 2008 R2 e versioni successive.
Ulteriori informazioni
Controllo dell'account utente è stato progettato per consentire agli utenti di Windows di passare all'uso dei diritti utente standard per impostazione predefinita. Controllo dell'account utente include diverse tecnologie per raggiungere questo obiettivo. Tali tecnologie includono:
Virtualizzazione dei file e del Registro di sistema: quando un'applicazione legacy tenta di scrivere in aree protette del file system o del Registro di sistema, Windows reindirizza in modo automatico e trasparente l'accesso a una parte del file system o al Registro di sistema consentito all'utente. Consente a molte applicazioni che richiedono diritti amministrativi per le versioni precedenti di Windows di essere eseguite correttamente con solo diritti utente standard in Windows Server 2008 e versioni successive.
Elevazione dello stesso desktop: quando un utente autorizzato esegue ed eleva un programma, al processo risultante vengono concessi diritti più potenti rispetto a quelli dell'utente desktop interattivo. Combinando l'elevazione dei privilegi con la funzionalità Token filtrato dell'account utente (vedere il punto elenco successivo), gli amministratori possono eseguire programmi con diritti utente standard. E possono elevare solo i programmi che richiedono diritti amministrativi con lo stesso account utente. Questa funzionalità di elevazione degli stessi utenti è nota anche come modalità approvazione amministratore. I programmi possono anche essere avviati con diritti elevati usando un account utente diverso in modo che un amministratore possa eseguire attività amministrative sul desktop di un utente standard.
Token filtrato: quando un utente con privilegi amministrativi o altri privilegi o appartenenze ai gruppi accede, Windows crea due token di accesso per rappresentare l'account utente. Il token non filtrato ha tutte le appartenenze e i privilegi del gruppo dell'utente. Il token filtrato rappresenta l'utente con l'equivalente dei diritti utente standard. Per impostazione predefinita, questo token filtrato viene usato per eseguire i programmi dell'utente. Il token non filtrato è associato solo ai programmi con privilegi elevati. Un account è denominato account amministratore protetto nelle condizioni seguenti:
- È un membro del gruppo Administrators
- Riceve un token filtrato quando l'utente accede
Isolamento dei privilegi dell'interfaccia utente: UIPI impedisce a un programma con privilegi inferiori di controllare il processo con privilegi più elevati nel modo seguente:
Invio di messaggi di finestra, ad esempio eventi di mouse sintetico o tastiera, a una finestra che appartiene a un processo con privilegi più elevatiModalità protetta Internet Explorer (PMIE): PMIE è una funzionalità di difesa avanzata. Windows Internet Explorer opera in modalità protetta con privilegi limitati e non può scrivere nella maggior parte delle aree del file system o del Registro di sistema. Per impostazione predefinita, la modalità protetta è abilitata quando un utente esplora i siti nelle aree Internet o Siti con restrizioni. PMIE rende più difficile per il malware che infetta un'istanza in esecuzione di Internet Explorer per modificare le impostazioni dell'utente. Ad esempio, si configura per l'avvio ogni volta che l'utente accede. PMIE non fa in realtà parte di Controllo dell'account utente. Ma dipende dalle funzionalità di controllo dell'account utente, ad esempio UIPI.
Rilevamento del programma di installazione: quando un nuovo processo sta per essere avviato senza diritti amministrativi, Windows applica euristica per determinare se il nuovo processo è probabilmente un programma di installazione legacy. Windows presuppone che i programmi di installazione legacy non riescano senza diritti amministrativi. Windows richiede quindi in modo proattivo all'utente interattivo l'elevazione dei privilegi. Se l'utente non dispone di credenziali amministrative, l'utente non può eseguire il programma.
Se si disabilita l'impostazione dei criteri Controllo account utente: eseguire tutti gli amministratori nell'impostazione dei criteri Modalità approvazione amministratore. Disabilita tutte le funzionalità di Controllo dell'account utente descritte in questa sezione. Questa impostazione di criterio è disponibile tramite i criteri di sicurezza locali del computer, le impostazioni di sicurezza, i criteri locali e quindi le opzioni di sicurezza. Le applicazioni legacy con diritti utente standard che prevedono la scrittura in cartelle protette o chiavi del Registro di sistema avranno esito negativo. I token filtrati non vengono creati. E tutti i programmi vengono eseguiti con i diritti completi dell'utente che ha eseguito l'accesso al computer. Include Internet Explorer, perché la modalità protetta è disabilitata per tutte le aree di sicurezza.
Uno dei malconcepimenti comuni su Controllo dell'account utente e elevazione same-desktop in particolare è: impedisce l'installazione di malware o di ottenere diritti amministrativi. Prima di tutto, il malware può essere scritto per non richiedere diritti amministrativi. E il malware può essere scritto per scrivere solo nelle aree nel profilo dell'utente. Più importante, l'elevazione dello stesso desktop in Controllo dell'account utente non è un limite di sicurezza. Può essere dirottato da software senza privilegi che viene eseguito sullo stesso desktop. L'elevazione dello stesso desktop deve essere considerata una funzionalità di praticità. Dal punto di vista della sicurezza, l'amministratore protetto deve essere considerato l'equivalente di Administrator. Al contrario, l'uso di Fast User Switching per accedere a una sessione diversa tramite un account amministratore prevede un limite di sicurezza tra l'account amministratore e la sessione utente standard.
Per un server basato su Windows in cui l'unico motivo per cui l'accesso interattivo è amministrare il sistema, l'obiettivo di un minor numero di richieste di elevazione dei privilegi non è fattibile o auspicabile. Gli strumenti di amministrazione del sistema richiedono legittimamente diritti amministrativi. Quando tutte le attività dell'utente amministratore richiedono diritti amministrativi e ogni attività potrebbe attivare una richiesta di elevazione dei privilegi, le richieste sono solo un ostacolo alla produttività. In questo contesto, tali richieste non possono promuovere l'obiettivo di incoraggiare lo sviluppo di applicazioni che richiedono diritti utente standard. Tali richieste non migliorano il comportamento di sicurezza. Queste richieste invitano gli utenti a fare clic tramite finestre di dialogo senza leggerle.
Queste linee guida si applicano solo ai server ben gestiti. Significa che solo gli utenti amministratori possono accedere in modo interattivo o tramite servizi Desktop remoto. E possono eseguire solo funzioni amministrative legittime. Il server deve essere considerato equivalente a un sistema client nelle situazioni seguenti:
- Gli amministratori eseguono applicazioni rischiose, ad esempio Web browser, client di posta elettronica o client di messaggistica istantanea.
- Gli amministratori eseguono altre operazioni che devono essere eseguite da un sistema operativo client.
In questo caso, controllo dell'account utente deve rimanere abilitato come misura di difesa avanzata.
Inoltre, se gli utenti standard accedono al server nella console o tramite servizi Desktop remoto per eseguire applicazioni, in particolare i Web browser, controllo dell'account utente deve rimanere abilitato per supportare la virtualizzazione dei file e del Registro di sistema e anche Internet Explorer in modalità protetta.
Un'altra opzione per evitare richieste di elevazione dei privilegi senza disabilitare controllo dell'account utente consiste nell'impostare controllo dell'account utente: comportamento della richiesta di elevazione dei privilegi per gli amministratori nei criteri di sicurezza della modalità approvazione amministratore su Elevate senza richiedere conferma. Usando questa impostazione, le richieste di elevazione dei privilegi vengono approvate automaticamente se l'utente è membro del gruppo Administrators. Questa opzione lascia anche PMIE e altre funzionalità di controllo dell'account utente abilitate. Tuttavia, non tutte le operazioni che richiedono l'elevazione dei diritti amministrativi. L'uso di questa impostazione può comportare l'elevazione di alcuni programmi dell'utente e alcuni non, senza alcun modo per distinguerli. Ad esempio, la maggior parte delle utilità della console che richiedono diritti amministrativi prevede l'avvio di un prompt dei comandi o di un altro programma già con privilegi elevati. Tali utilità hanno semplicemente esito negativo quando vengono avviate a un prompt dei comandi che non è elevato.
Effetti aggiuntivi della disabilitazione di Controllo dell'account utente
- Se si tenta di usare Esplora risorse per passare a una directory in cui non si dispone delle autorizzazioni di lettura, Explorer offrirà di modificare le autorizzazioni della directory per concedere l'accesso permanente all'account utente. I risultati dipendono dal fatto che controllo dell'account utente sia abilitato. Per altre informazioni, vedere Quando si fa clic su Continua per l'accesso alle cartelle in Esplora risorse, l'account utente viene aggiunto all'ACL per la cartella.
- Se controllo dell'account utente è disabilitato, Esplora risorse continua a visualizzare le icone dello scudo UAC per gli elementi che richiedono l'elevazione dei privilegi. Esplora risorse continua a includere Esegui come amministratore nei menu di scelta rapida delle applicazioni e dei collegamenti alle applicazioni. Poiché il meccanismo di elevazione dell'account utente è disabilitato, questi comandi non hanno alcun effetto. E le applicazioni vengono eseguite nello stesso contesto di sicurezza dell'utente a cui ha eseguito l'accesso.
- Se controllo dell'account utente è abilitato, quando l'utilità console Runas.exe viene usata per avviare un programma usando un account utente soggetto al filtro dei token, il programma viene eseguito con il token filtrato dell'utente. Se controllo dell'account utente è disabilitato, il programma avviato viene eseguito con il token completo dell'utente.
- Se controllo dell'account utente è abilitato, gli account locali soggetti al filtro dei token non possono essere usati per l'amministrazione remota su interfacce di rete diverse da Desktop remoto. Ad esempio, tramite NET USE o WinRM. Un account locale che esegue l'autenticazione tramite tale interfaccia ottiene solo i privilegi concessi al token filtrato dell'account. Se controllo dell'account utente è disabilitato, questa restrizione viene rimossa. La restrizione può essere rimossa anche usando l'impostazione
LocalAccountTokenFilterPolicydescritta in KB951016. La rimozione di questa restrizione può aumentare il rischio di compromissione del sistema in un ambiente in cui molti sistemi hanno un account locale amministrativo con lo stesso nome utente e password. È consigliabile assicurarsi che vengano usate altre mitigazioni contro questo rischio. Per altre informazioni sulle mitigazioni consigliate, vedere Mitigazione degli attacchi Pass-the-Hash (PtH) e altri furti di credenziali, versione 1 e 2. - PsExec, Controllo dell'account utente e Limiti di sicurezza
- Quando si seleziona Continua per l'accesso alle cartelle in Esplora risorse, l'account utente viene aggiunto all'ACL per la cartella (KB 950934)