Impostazioni e configurazione di Controllo account utente

Elenco delle impostazioni di Controllo account utente

L'elenco seguente mostra le impostazioni disponibili per configurare il comportamento di Controllo dell'account utente e i relativi valori predefiniti.

• Amministrazione modalità di approvazione per l'account amministratore predefinito: controlla il comportamento della modalità di approvazione Amministrazione per l'account amministratore predefinito.

  • Abilitato: l'account amministratore predefinito usa la modalità di approvazione Amministrazione. Per impostazione predefinita, qualsiasi operazione che richiede l'elevazione dei privilegi richiede all'utente di dimostrare l'operazione.
  • Disabilitato (impostazione predefinita): l'account amministratore predefinito esegue tutte le applicazioni con privilegi amministrativi completi.

• Consenti alle applicazioni UIAccess di richiedere l'elevazione senza usare il desktop sicuro: controlla se i programmi UIAccess o UIA (User Interface Accessibility) possono disabilitare automaticamente il desktop sicuro per le richieste di elevazione dei privilegi usate da un utente standard.

  • Abilitato: i programmi UIA, tra cui Assistenza remota, disabilitano automaticamente il desktop sicuro per le richieste di elevazione dei privilegi. Se non disabiliti l'impostazione Passa al desktop sicuro quando richiedi l'impostazione dei criteri di elevazione dei privilegi, i prompt vengono visualizzati sul desktop dell'utente interattivo anziché sul desktop sicuro. Questa impostazione consente all'amministratore remoto di fornire le credenziali appropriate per l'elevazione. Questa impostazione di criterio non modifica il comportamento della richiesta di elevazione dell'account utente per gli amministratori. Se si prevede di abilitare questa impostazione di criterio, è necessario esaminare anche l'effetto dell'impostazione dei criteri Comportamento della richiesta di elevazione dei privilegi per utenti standard . se configurata come Rifiuto automatico delle richieste di elevazione dei privilegi, le richieste di elevazione dei privilegi non vengono presentate all'utente.
  • Disabilitato (impostazione predefinita): il desktop protetto può essere disabilitato solo dall'utente del desktop interattivo o disabilitando l'impostazione Passa al desktop protetto quando viene richiesto l'impostazione dei criteri di elevazione dei privilegi .

• Comportamento della richiesta di elevazione dei privilegi per gli amministratori in modalità di approvazione Amministrazione: controlla il comportamento della richiesta di elevazione dei privilegi per gli amministratori.

  • Elevazione senza richiesta: consente agli account con privilegi di eseguire un'operazione che richiede l'elevazione senza richiedere il consenso o le credenziali. Usare questa opzione solo negli ambienti più vincolati.
  • Richiedi credenziali sul desktop protetto: quando un'operazione richiede l'elevazione dei privilegi, all'utente viene richiesto sul desktop protetto di immettere un nome utente e una password con privilegi. Se l'utente immette credenziali valide, l'operazione continua con il privilegio più alto disponibile dell'utente.
  • Richiedi consenso sul desktop protetto: quando un'operazione richiede l'elevazione dei privilegi, all'utente viene richiesto sul desktop protetto di selezionare Consenti o Nega. Se l'utente seleziona Consenti, l'operazione continua con il privilegio più alto disponibile dell'utente.
  • Richiedi credenziali: quando un'operazione richiede l'elevazione dei privilegi, all'utente viene richiesto di immettere un nome utente e una password amministrativi. Se l'utente immette credenziali valide, l'operazione continua con il privilegio applicabile.
  • Richiedi consenso: quando un'operazione richiede l'elevazione dei privilegi, all'utente viene richiesto di selezionare Consenti o Nega. Se l'utente seleziona Consenti, l'operazione continua con il privilegio più alto disponibile dell'utente.
  • Richiedi il consenso per i file binari non Windows (impostazione predefinita): quando un'operazione per un'applicazione non Microsoft richiede l'elevazione dei privilegi, all'utente viene richiesto sul desktop sicuro di selezionare Consenti o Nega. Se l'utente seleziona Consenti, l'operazione continua con il privilegio più alto disponibile dell'utente.

• Comportamento della richiesta di elevazione dei privilegi per gli utenti standard: controlla il comportamento della richiesta di elevazione dei privilegi per gli utenti standard.

  • Richiedi credenziali (impostazione predefinita): quando un'operazione richiede l'elevazione dei privilegi, all'utente viene richiesto di immettere un nome utente e una password amministrativi. Se l'utente immette credenziali valide, l'operazione continua con il privilegio applicabile.
  • Nega automaticamente le richieste di elevazione dei privilegi: quando un'operazione richiede l'elevazione dei privilegi, viene visualizzato un messaggio di errore di accesso negato configurabile. Un'azienda che esegue desktop come utente standard potrebbe scegliere questa impostazione per ridurre le chiamate al supporto tecnico.
  • Richiedi credenziali sul desktop protetto: quando un'operazione richiede l'elevazione dei privilegi, all'utente viene richiesto sul desktop protetto di immettere un nome utente e una password diversi. Se l'utente immette credenziali valide, l'operazione continua con il privilegio applicabile.

• Rilevare le installazioni dell'applicazione e richiedere l'elevazione dei privilegi: controlla il comportamento del rilevamento dell'installazione dell'applicazione per il computer.

  • Abilitato (impostazione predefinita): quando viene rilevato un pacchetto di installazione dell'app che richiede l'elevazione dei privilegi, all'utente viene richiesto di immettere un nome utente e una password amministrativi. Se l'utente immette credenziali valide, l'operazione continua con il privilegio applicabile.
  • Disabilitato: i pacchetti di installazione dell'app non vengono rilevati e viene richiesta l'elevazione. Le aziende che eseguono desktop utente standard e usano tecnologie di installazione delegate, ad esempio Microsoft Intune, devono disabilitare questa impostazione di criterio. In questo caso, il rilevamento del programma di installazione non è necessario.

• Eleva solo i file eseguibili firmati e convalidati: applica i controlli delle firme per tutte le applicazioni interattive che richiedono l'elevazione dei privilegi. Gli amministratori IT possono controllare quali applicazioni possono essere eseguite aggiungendo certificati all'archivio certificati autori attendibili nei dispositivi locali.

  • Abilitato: applica la convalida del percorso di certificazione del certificato per un determinato file eseguibile prima che sia consentito l'esecuzione.
  • Disabilitato (impostazione predefinita): non applica la convalida del percorso di certificazione del certificato prima che sia consentito l'esecuzione di un determinato file eseguibile.

• Eleva solo le applicazioni UIAccess installate in posizioni sicure: controlla se le applicazioni che richiedono l'esecuzione con un livello di integrità UIAccess (User Interface Accessibility) devono risiedere in un percorso sicuro nel file system.

  • Abilitato (impostazione predefinita): se un'app si trova in un percorso sicuro nel file system, viene eseguita solo con integrità UIAccess.
  • Disabilitata: un'app viene eseguita con integrità UIAccess anche se non si trova in un percorso sicuro nel file system.

  Le posizioni sicure sono limitate alle cartelle seguenti:

  • %ProgramFiles%, incluse le sottocartelle
  • %SystemRoot%\system32\
  • %ProgramFiles(x86)%, incluse le sottocartelle

  Nota

  Windows applica un controllo della firma digitale a tutte le app interattive che richiedono l'esecuzione con un livello di integrità UIAccess indipendentemente dallo stato di questa impostazione.

• Eseguire tutti gli amministratori in modalità approvazione Amministrazione: controlla il comportamento di tutte le impostazioni dei criteri di Controllo dell'account utente.

  • Abilitato (impostazione predefinita): Amministrazione modalità di approvazione è abilitata. Questo criterio deve essere abilitato e devono essere configurate le impostazioni di Controllo dell'account utente correlate. Il criterio consente l'esecuzione dell'account administrator predefinito e dei membri del gruppo Administrators in modalità di approvazione Amministrazione.
  • Disabilitato: Amministrazione modalità approvazione e tutte le impostazioni dei criteri di Controllo dell'account utente correlate sono disabilitate. Nota: Se questa impostazione di criterio è disabilitata, Sicurezza di Windows notifica che la sicurezza complessiva del sistema operativo è ridotta.

• Passare al desktop sicuro quando si richiede l'elevazione: questa impostazione dei criteri controlla se la richiesta di elevazione dei privilegi viene visualizzata sul desktop dell'utente interattivo o sul desktop sicuro.

  • Abilitato (impostazione predefinita): tutte le richieste di elevazione dei privilegi vengono inviate al desktop sicuro indipendentemente dalle impostazioni dei criteri di comportamento delle richieste per amministratori e utenti standard.
  • Disabilitato: tutte le richieste di elevazione dei privilegi vengono inviate al desktop dell'utente interattivo. Vengono usate le impostazioni dei criteri di comportamento della richiesta per gli amministratori e gli utenti standard.

• Virtualize File and Registry Write Failures To Per User Locations (Virtualize File and Registry Write Failures To Per User Locations): controlla se gli errori di scrittura dell'applicazione vengono reindirizzati ai percorsi definiti del Registro di sistema e del file system. Questa impostazione riduce le applicazioni eseguite come amministratore e scrive i dati dell'applicazione in fase di esecuzione in %ProgramFiles%, %Windir%, %Windir%\system32o HKLM\Software.

  • Abilitato (impostazione predefinita): gli errori di scrittura delle app vengono reindirizzati in fase di esecuzione ai percorsi utente definiti sia per il file system che per il Registro di sistema.
  • Disabilitato: le app che scrivono dati in percorsi protetti hanno esito negativo.

Configurazione del controllo dell'account utente

Per configurare Controllo dell'account utente, è possibile usare:

• Microsoft Intune
• CSP
• Criteri di gruppo
• Registro di sistema

Le istruzioni seguenti forniscono informazioni dettagliate su come configurare i dispositivi. Seleziona l'opzione più adatta alle tue esigenze.

Intune

Per configurare i dispositivi usando Microsoft Intune, creare un criterio del catalogo impostazioni e usare le impostazioni elencate sotto la categoria Local Policies Security Options:

Assegnare i criteri a un gruppo di sicurezza che contiene come membri i dispositivi o gli utenti che si desidera configurare.

CSP

È possibile configurare i dispositivi usando il provider di servizi di configurazione criteri LocalPoliciesSecurityOptions.

Impostazione	Nome CSP
Amministrazione modalità di approvazione per l'account amministratore predefinito	UserAccountControl_UseAdminApprovalMode
Consenti alle applicazioni UIAccess di richiedere l'elevazione senza usare il desktop sicuro	UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
Comportamento della richiesta di elevazione dei privilegi per gli amministratori in modalità di approvazione Amministrazione	UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
Comportamento della richiesta di elevazione dei privilegi per gli utenti standard	UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
Rilevare le installazioni delle applicazioni e richiedere l'elevazione	UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
Elevare solo i file eseguibili firmati e convalidati	UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated
Elevare solo le applicazioni UIAccess installate in posizioni sicure	UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
Eseguire tutti gli amministratori in modalità approvazione Amministrazione	UserAccountControl_RunAllAdministratorsInAdminApprovalMode
Passare al desktop sicuro quando si richiede l'elevazione	UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
Virtualizzare gli errori di scrittura dei file e del Registro di sistema nei percorsi per utente	UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

GPO

Puoi usare criteri di sicurezza per configurare la modalità operativa di Controllo dell'account utente nella tua organizzazione. I criteri possono essere configurati in locale usando lo snap-in Criteri di sicurezza locali (secpol.msc) o configurati per il dominio, l'unità organizzativa o gruppi specifici in base ai criteri di gruppo.

Le impostazioni dei criteri si trovano in: Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options.

Impostazione di Criteri di gruppo	Valore predefinito
Controllo dell'account utente: Amministrazione modalità di approvazione per l'account amministratore predefinito	Disabilitato
Controllo dell'account utente: consenti alle applicazioni con accesso all'interfaccia utente di richiedere l'elevazione senza utilizzare il desktop sicuro	Disabilitato
Controllo dell'account utente: comportamento della richiesta di elevazione dei privilegi per gli amministratori in modalità Approvazione amministratore	Richiedere il consenso per i file binari non Windows
Controllo dell'account utente: comportamento della richiesta di elevazione dei privilegi per gli utenti standard	Richiedi credenziali
Controllo dell'account utente: rileva installazione applicazioni e richiedi elevazione	Abilitato (impostazione predefinita solo per l'edizione home) Disabilitato (impostazione predefinita)
Controllo dell'account utente: eleva solo file eseguibili firmati e convalidati	Disabilitato
Controllo dell'account utente: solo applicazioni con accesso all'interfaccia utente e con privilegi elevati installate in percorsi sicuri	Abilitato
Controllo dell'account utente: esegui tutti gli amministratori in modalità Approvazione amministratore	Abilitato
Controllo dell'account utente: alla richiesta di elevazione passa al desktop sicuro	Abilitato
Controllo dell'account utente: virtualizza errori di scrittura su file e nel Registro di sistema in percorsi distinti per ogni utente	Abilitato

Registro di sistema

Le chiavi del Registro di sistema sono disponibili nella chiave : HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.

Nome dell'impostazione	Nome della chiave del Registro di sistema	Value
Amministrazione modalità di approvazione per l'account amministratore predefinito	FilterAdministratorToken	0 (impostazione predefinita) = Disabilitato 1 = Abilitato
Consenti alle applicazioni UIAccess di richiedere l'elevazione senza usare il desktop sicuro	EnableUIADesktopToggle	0 (impostazione predefinita) = Disabilitato 1 = Abilitato
Comportamento della richiesta di elevazione dei privilegi per gli amministratori in modalità di approvazione Amministrazione	ConsentPromptBehaviorAdmin	0 = Elevare senza chiedere conferma 1 = Richiedi credenziali sul desktop protetto 2 = Richiedere il consenso sul desktop protetto 3 = Richiedi credenziali 4 = Richiedi consenso 5 (impostazione predefinita) = Richiedi il consenso per i file binari non Windows
Comportamento della richiesta di elevazione dei privilegi per gli utenti standard	ConsentPromptBehaviorUser	0 = Nega automaticamente le richieste di elevazione dei privilegi 1 = Richiedi credenziali sul desktop protetto 3 (impostazione predefinita) = Richiedi credenziali
Rilevare le installazioni delle applicazioni e richiedere l'elevazione	EnableInstallerDetection	1 = Abilitato (impostazione predefinita solo per la home page) 0 = Disabilitato (impostazione predefinita)
Elevare solo i file eseguibili firmati e convalidati	ValidateAdminCodeSignatures	0 (impostazione predefinita) = Disabilitato 1 = Abilitato
Elevare solo le applicazioni UIAccess installate in posizioni sicure	EnableSecureUIAPaths	0 = Disattivata 1 (impostazione predefinita) = Abilitato
Eseguire tutti gli amministratori in modalità approvazione Amministrazione	EnableLUA	0 = Disattivata 1 (impostazione predefinita) = Abilitato
Passare al desktop sicuro quando si richiede l'elevazione	PromptOnSecureDesktop	0 = Disattivata 1 (impostazione predefinita) = Abilitato
Virtualizzare gli errori di scrittura dei file e del Registro di sistema nei percorsi per utente	EnableVirtualization	0 = Disattivata 1 (impostazione predefinita) = Abilitato
Assegnare priorità agli accessi di rete rispetto agli accessi memorizzati nella cache	InteractiveLogonFirst	0 (impostazione predefinita) = Disabilitato 1 = Abilitato