사용자 계정 컨트롤 설정 및 구성

• 적용 대상:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

사용자 계정 컨트롤 설정 목록

다음 표에는 UAC 동작을 구성하는 데 사용할 수 있는 설정과 기본값이 나와 있습니다.

설정 이름	설명
기본 제공 관리자 계정에 대한 관리 승인 모드	기본 제공 관리자 계정에 대한 관리 승인 모드의 동작을 제어합니다. 사용: 기본 제공 관리자 계정은 관리 승인 모드를 사용합니다. 기본적으로 권한 상승이 필요한 작업은 사용자에게 작업을 승인하라는 메시지를 표시합니다. 사용 안 함(기본값): 기본 제공 관리자 계정은 전체 관리 권한으로 모든 애플리케이션을 실행합니다.
UIAccess 애플리케이션이 보안 데스크톱을 사용하지 않고 권한 상승을 요청하도록 허용	사용자 인터페이스 접근성(UIAccess 또는 UIA) 프로그램이 표준 사용자가 사용하는 권한 상승 프롬프트에 대해 보안 데스크톱을 자동으로 사용하지 않도록 설정할 수 있는지 여부를 제어합니다. 사용: 원격 지원을 비롯한 UIA 프로그램은 권한 상승 프롬프트에 대해 보안 데스크톱을 자동으로 사용하지 않도록 설정합니다. 권한 상승 정책 설정을 묻는 메시지가 표시되면 보안 데스크톱으로 전환을 사용하지 않도록 설정하지 않으면 보안 데스크톱 대신 대화형 사용자의 데스크톱에 프롬프트가 표시됩니다. 이 설정을 사용하면 원격 관리자가 권한 상승에 적절한 자격 증명을 제공할 수 있습니다. 이 정책 설정은 관리자에 대한 UAC 권한 상승 프롬프트의 동작을 변경하지 않습니다. 이 정책 설정을 사용하도록 설정하려는 경우 표준 사용자 정책 설정에 대한 권한 상승 프롬프트 동작의 효과도 검토해야 합니다. 권한 상승 요청을 자동으로 거부로 구성된 경우 권한 상승 요청이 사용자에게 표시되지 않습니다. 사용 안 함(기본값): 보안 데스크톱은 대화형 데스크톱의 사용자만 사용하지 않도록 설정하거나 권한 상승 정책 설정을 묻는 메시지가 표시될 때 보안 데스크톱으로 전환을 사용하지 않도록 설정할 수 있습니다.
관리 승인 모드의 관리자 권한 상승 프롬프트 동작	관리자에 대한 권한 상승 프롬프트의 동작을 제어합니다. 확인 메시지를 표시하지 않고 권한 상승: 권한 있는 계정이 동의 또는 자격 증명 없이 권한 상승이 필요한 작업을 수행할 수 있도록 허용합니다. 가장 제한된 환경에서만 이 옵션을 사용합니다. 보안 데스크톱에서 자격 증명 확인: 작업에 권한 상승이 필요한 경우 사용자에게 권한 있는 사용자 이름과 암호를 입력하라는 메시지가 보안 데스크톱에 표시됩니다. 사용자가 유효한 자격 증명을 입력하는 경우 작업은 사용자의 사용 가능한 가장 높은 권한으로 계속됩니다. 보안 데스크톱에 동의하라는 메시지: 작업에 권한 상승이 필요한 경우 보안 데스크톱에서 허용 또는 거부를 선택하라는 메시지가 사용자에게 표시됩니다. 사용자가 허용을 선택하는 경우 작업은 사용자의 사용 가능한 가장 높은 권한으로 계속됩니다. 자격 증명 확인: 작업에 권한 상승이 필요한 경우 사용자에게 관리 사용자 이름 및 암호를 입력하라는 메시지가 표시됩니다. 사용자가 유효한 자격 증명을 입력하면 해당 권한으로 작업이 계속됩니다. 동의 요청: 작업에 권한 상승이 필요한 경우 사용자에게 허용 또는 거부를 선택하라는 메시지가 표시됩니다. 사용자가 허용을 선택하는 경우 작업은 사용자의 사용 가능한 가장 높은 권한으로 계속됩니다. 비 Windows 이진 파일에 대한 동의 확인(기본값): 타사 애플리케이션에 대한 작업에 권한 상승이 필요한 경우 보안 데스크톱에서 허용 또는 거부를 선택하라는 메시지가 사용자에게 표시됩니다. 사용자가 허용을 선택하는 경우 작업은 사용자의 사용 가능한 가장 높은 권한으로 계속됩니다.
표준 사용자에 대한 권한 상승 프롬프트의 동작	표준 사용자에 대한 권한 상승 프롬프트의 동작을 제어합니다. 자격 증명 확인(기본값) : 작업에 권한 상승이 필요한 경우 사용자에게 관리 사용자 이름 및 암호를 입력하라는 메시지가 표시됩니다. 사용자가 유효한 자격 증명을 입력하면 해당 권한으로 작업이 계속됩니다. 권한 상승 요청 자동 거부: 작업에 권한 상승이 필요한 경우 구성 가능한 액세스 거부 오류 메시지가 표시됩니다. 표준 사용자로 데스크톱을 실행하는 기업은 지원 센터 통화를 줄이기 위해 이 설정을 선택할 수 있습니다. 보안 데스크톱에서 자격 증명 확인 작업에 권한 상승이 필요한 경우 보안 데스크톱에서 사용자에게 다른 사용자 이름과 암호를 입력하라는 메시지가 표시됩니다. 사용자가 유효한 자격 증명을 입력하면 해당 권한으로 작업이 계속됩니다.
애플리케이션 설치 검색 및 권한 상승 요청	컴퓨터에 대한 애플리케이션 설치 검색의 동작을 제어합니다. 사용(기본값) : 권한 상승이 필요한 앱 설치 패키지가 검색되면 사용자에게 관리 사용자 이름 및 암호를 입력하라는 메시지가 표시됩니다. 사용자가 유효한 자격 증명을 입력하면 해당 권한으로 작업이 계속됩니다. 사용 안 함: 앱 설치 패키지가 검색되지 않고 상승 메시지가 표시됩니다. 표준 사용자 데스크톱을 실행하고 위임된 설치 기술(예: Microsoft Intune)을 사용하는 기업은 이 정책 설정을 사용하지 않도록 설정해야 합니다. 이 경우 설치 관리자 검색이 필요하지 않습니다.
서명되고 유효성이 검사된 실행 파일만 상승	권한 상승을 요청하는 대화형 애플리케이션에 대한 서명 검사를 적용합니다. IT 관리자는 로컬 디바이스의 신뢰할 수 있는 게시자 인증서 저장소에 인증서를 추가하여 실행할 수 있는 애플리케이션을 제어할 수 있습니다. 사용: 실행이 허용되기 전에 지정된 실행 파일에 대한 인증서 인증 경로 유효성 검사를 적용합니다. 사용 안 함(기본값) : 지정된 실행 파일의 실행이 허용되기 전에 인증서 인증 경로 유효성 검사를 적용하지 않습니다.
보안 위치에 설치된 UIAccess 애플리케이션만 상승	UIAccess(사용자 인터페이스 접근성) 무결성 수준으로 실행하도록 요청하는 애플리케이션이 파일 시스템의 안전한 위치에 있어야 하는지 여부를 제어합니다. 보안 위치는 다음 폴더로 제한됩니다. - %ProgramFiles%하위 폴더 포함 - %SystemRoot%\system32\ - %ProgramFiles(x86)%하위 폴더 포함 사용(기본값) : 앱이 파일 시스템의 안전한 위치에 있는 경우 UIAccess 무결성으로만 실행됩니다. 사용 안 함: 앱이 파일 시스템의 안전한 위치에 있지 않더라도 UIAccess 무결성으로 실행됩니다. 참고: Windows는 이 설정의 상태에 관계없이 UIAccess 무결성 수준으로 실행을 요청하는 대화형 앱에 디지털 서명 검사 적용합니다.
관리 승인 모드에서 모든 관리자 실행	모든 UAC 정책 설정의 동작을 제어합니다. 사용(기본값) : 관리 승인 모드가 사용하도록 설정됩니다. 이 정책을 사용하도록 설정하고 관련 UAC 설정을 구성해야 합니다. 이 정책을 사용하면 기본 제공 관리자 계정 및 Administrators 그룹의 구성원이 관리 승인 모드에서 실행할 수 있습니다. 사용 안 함: 관리 승인 모드 및 모든 관련 UAC 정책 설정이 비활성화됩니다. 참고: 이 정책 설정을 사용하지 않도록 설정하면 Windows 보안 운영 체제의 전반적인 보안이 축소되었음을 알 수 있습니다.
권한 상승을 요청하는 메시지가 표시되면 보안 데스크톱으로 전환	이 정책 설정은 권한 상승 요청 프롬프트가 대화형 사용자의 데스크톱 또는 보안 데스크톱에 표시되는지 여부를 제어합니다. 사용(기본값) : 관리자 및 표준 사용자에 대한 프롬프트 동작 정책 설정에 관계없이 모든 권한 상승 요청이 보안 데스크톱으로 이동합니다. 사용 안 함: 모든 권한 상승 요청은 대화형 사용자의 데스크톱으로 이동합니다. 관리자 및 표준 사용자에 대한 프롬프트 동작 정책 설정이 사용됩니다.
사용자 위치별로 파일 및 레지스트리 쓰기 실패 가상화	애플리케이션 쓰기 오류가 정의된 레지스트리 및 파일 시스템 위치로 리디렉션되는지 여부를 제어합니다. 이 설정은 관리자 권한으로 실행되는 애플리케이션을 완화하고 런타임 애플리케이션 데이터를 %ProgramFiles%, %Windir%, %Windir%\system32또는 HKLM\Software에 씁니다. 사용(기본값) : 앱 쓰기 실패는 런타임에 파일 시스템과 레지스트리 모두에 대해 정의된 사용자 위치로 리디렉션됩니다. 사용 안 함: 보호된 위치에 데이터를 쓰는 앱이 실패합니다.

사용자 계정 컨트롤 구성

UAC를 구성하려면 다음을 사용할 수 있습니다.

• Microsoft Intune/MDM
• 그룹 정책
• 레지스트리

다음 지침에서는 디바이스를 구성하는 방법을 자세히 설명합니다. 요구 사항에 가장 적합한 옵션을 선택합니다.

Intune/CSP

설정 카탈로그 정책을 사용하여 UAC 구성

Microsoft Intune 사용하여 디바이스를 구성하려면 설정 카탈로그 정책을 만들고 범주 Local Policies Security Options아래에 나열된 설정을 사용합니다.

구성하려는 디바이스 또는 사용자를 구성원으로 포함하는 보안 그룹에 정책을 할당합니다.

또는 LocalPoliciesSecurityOptions 정책 CSP를 사용하여 사용자 지정 정책을 사용하여 디바이스를 구성할 수 있습니다.
정책 설정은 아래에 ./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions있습니다.

설정
설정 이름: 기본 제공 관리자 계정에 대한 관리 승인 모드 정책 CSP 이름: UserAccountControl_UseAdminApprovalMode
설정 이름: UIAccess 애플리케이션이 보안 데스크톱을 사용하지 않고 권한 상승을 요청하도록 허용 정책 CSP 이름: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
설정 이름: 관리 승인 모드의 관리자 권한 상승 프롬프트 동작 정책 CSP 이름: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
설정 이름: 표준 사용자에 대한 권한 상승 프롬프트의 동작 정책 CSP 이름: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
설정 이름: 애플리케이션 설치 검색 및 권한 상승 확인 정책 CSP 이름: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
설정 이름: 서명되고 유효성이 검사된 실행 파일만 상승 정책 CSP 이름: UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated
설정 이름: 보안 위치에 설치된 UIAccess 애플리케이션만 상승 정책 CSP 이름: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
설정 이름: 관리 승인 모드에서 모든 관리자 실행 정책 CSP 이름: UserAccountControl_RunAllAdministratorsInAdminApprovalMode
설정 이름: 권한 상승을 묻는 메시지가 표시되면 보안 데스크톱으로 전환 정책 CSP 이름: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
설정 이름: 사용자별 위치에 대한 파일 및 레지스트리 쓰기 실패 가상화 정책 CSP 이름: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

Gpo

보안 정책을 사용하여 사용자 계정 컨트롤이 조직에서 작동하는 방식을 구성할 수 있습니다. 정책은 로컬 보안 정책 스냅인(secpol.msc)을 사용하여 로컬로 구성하거나 그룹 정책별로 도메인, OU 또는 특정 그룹에 대해 구성할 수 있습니다.

정책 설정은 아래에 Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options있습니다.

그룹 정책 설정	기본값
사용자 계정 컨트롤: 기본 제공 관리자 계정에 대한 관리 승인 모드	해제됨
사용자 계정 컨트롤: UIAccess 응용 프로그램이 보안된 데스크톱을 사용하지 않고 권한 상승 메시지를 표시하도록 허용	해제됨
사용자 계정 컨트롤: 관리자 승인 모드에서 관리자에 대한 권한 상승 확인 방법	비 Windows 이진 파일에 대한 동의 확인
사용자 계정 컨트롤: 표준 사용자에 대한 권한 상승 확인 방법	자격 증명 확인
사용자 계정 컨트롤: 응용 프로그램 설치 검색 및 권한 상승 확인	사용(홈 버전에만 기본값) 사용 안 함(기본값)
사용자 계정 컨트롤: 유효성 검사를 통과한 서명된 실행 파일만 권한 상승	해제됨
사용자 계정 컨트롤: 보안 위치에 설치된 UIAccess 응용 프로그램만 권한 상승	설정됨
사용자 계정 컨트롤: 관리자 승인 모드에서 모든 관리자 실행	설정됨
사용자 계정 컨트롤: 권한 상승 요청 시 보안된 데스크톱으로 전환	설정됨
사용자 계정 컨트롤: 사용자별 위치로 파일 및 레지스트리 쓰기 오류 가상화	설정됨

레지스트리

레지스트리 키는 키 HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System아래에 있습니다.

설정 이름	레지스트리 키 이름	값
기본 제공 관리자 계정에 대한 관리 승인 모드	FilterAdministratorToken	0(기본값) = 사용 안 함 1 = 사용
UIAccess 애플리케이션이 보안 데스크톱을 사용하지 않고 권한 상승을 요청하도록 허용	EnableUIADesktopToggle	0(기본값) = 사용 안 함 1 = 사용
관리 승인 모드의 관리자 권한 상승 프롬프트 동작	ConsentPromptBehaviorAdmin	0 = 메시지를 표시하지 않고 상승 1 = 보안 데스크톱에서 자격 증명 확인 2 = 보안 데스크톱에서 동의 요청 3 = 자격 증명 확인 4 = 동의 요청 5(기본값) = 비 Windows 이진 파일에 대한 동의 요청
표준 사용자에 대한 권한 상승 프롬프트의 동작	ConsentPromptBehaviorUser	0 = 권한 상승 요청 자동 거부 1 = 보안 데스크톱에서 자격 증명 확인 3(기본값) = 자격 증명 프롬프트
애플리케이션 설치 검색 및 권한 상승 요청	EnableInstallerDetection	1 = 사용(기본값: 홈에만 해당) 0 = 사용 안 함(기본값)
서명되고 유효성이 검사된 실행 파일만 상승	ValidateAdminCodeSignatures	0(기본값) = 사용 안 함 1 = 사용
보안 위치에 설치된 UIAccess 애플리케이션만 상승	EnableSecureUIAPaths	0 = 사용 안 함 1(기본값) = 사용
관리 승인 모드에서 모든 관리자 실행	EnableLUA	0 = 사용 안 함 1(기본값) = 사용
권한 상승을 요청하는 메시지가 표시되면 보안 데스크톱으로 전환	PromptOnSecureDesktop	0 = 사용 안 함 1(기본값) = 사용
사용자별 위치에 대한 파일 및 레지스트리 쓰기 실패 가상화	EnableVirtualization	0 = 사용 안 함 1(기본값) = 사용