Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel wordt uitgelegd hoe u Gebruikersaccountbeheer (UAC) uitschakelt op Windows Server.
Oorspronkelijk KB-nummer: 2526083
Samenvatting
Onder bepaalde beperkte omstandigheden kan het uitschakelen van UAC op Windows Server een acceptabele en aanbevolen procedure zijn. Deze omstandigheden treden alleen op wanneer aan beide volgende voorwaarden wordt voldaan:
- Alleen beheerders mogen zich interactief aanmelden bij de Windows-server in de console of via Extern bureaublad-services.
- Beheerders melden zich alleen aan bij de Windows-server om legitieme systeembeheerfuncties op de server uit te voeren.
Als een van deze voorwaarden niet waar is, moet UAC ingeschakeld blijven. De server schakelt bijvoorbeeld de functie Extern bureaublad-services in, zodat niet-beheerders zich kunnen aanmelden bij de server om toepassingen uit te voeren. UAC moet in deze situatie ingeschakeld blijven. Op dezelfde manier moet UAC in de volgende situaties ingeschakeld blijven:
- Beheerders voeren riskante toepassingen uit op de server. Webbrowsers, e-mailclients of chatclients.
- Beheerders doen andere bewerkingen die moeten worden uitgevoerd vanuit een clientbesturingssysteem, zoals Windows 7.
Notitie
- Deze richtlijnen zijn alleen van toepassing op Windows Server-besturingssystemen.
- UAC is altijd uitgeschakeld in de Server Core-edities van Windows Server 2008 R2 en latere versies.
Meer informatie
UAC is ontworpen om Windows-gebruikers te helpen standaard over te stappen op het gebruik van standaardgebruikersrechten. UAC bevat verschillende technologieën om dit doel te bereiken. Deze technologieën zijn onder andere:
Bestands- en registervirtualisatie: Wanneer een verouderde toepassing probeert te schrijven naar beveiligde gebieden van het bestandssysteem of het register, stuurt Windows op de achtergrond en transparant de toegang om naar een deel van het bestandssysteem of het register dat de gebruiker mag wijzigen. Hiermee kunnen veel toepassingen waarvoor beheerdersrechten zijn vereist voor eerdere versies van Windows, worden uitgevoerd met alleen standaardgebruikersrechten op Windows Server 2008 en latere versies.
Uitbreiding van hetzelfde bureaublad: wanneer een geautoriseerde gebruiker een programma uitvoert en verhoogt, krijgt het resulterende proces krachtigere rechten dan die van de interactieve bureaubladgebruiker. Door uitbreiding te combineren met de functie Gefilterd token van UAC (zie het volgende opsommingsteken), kunnen beheerders programma's uitvoeren met standaardgebruikersrechten. En ze kunnen alleen de programma's uitbreiden waarvoor beheerdersrechten met hetzelfde gebruikersaccount zijn vereist. Deze functie voor uitbreiding van bevoegdheden van dezelfde gebruiker wordt ook wel de modus Door administrator goedkeuren genoemd. Programma's kunnen ook worden gestart met verhoogde rechten met behulp van een ander gebruikersaccount, zodat een beheerder beheertaken kan uitvoeren op het bureaublad van een standaardgebruiker.
Gefilterd token: Wanneer een gebruiker met beheerdersrechten of andere krachtige bevoegdheden of groepslidmaatschappen zich aanmeldt, maakt Windows twee toegangstokens om het gebruikersaccount weer te geven. Het niet-gefilterde token heeft alle groepslidmaatschappen en bevoegdheden van de gebruiker. Het gefilterde token vertegenwoordigt de gebruiker met het equivalent van standaardgebruikersrechten. Dit gefilterde token wordt standaard gebruikt om de programma's van de gebruiker uit te voeren. Het niet-gefilterde token is alleen gekoppeld aan programma's met verhoogde bevoegdheden. Een account wordt een beveiligd administratoraccount genoemd onder de volgende voorwaarden:
- Het is lid van de groep Administrators
- Het ontvangt een gefilterd token wanneer de gebruiker zich aanmeldt
UiPI (User Interface Privilege Isolation): UIPI voorkomt dat een programma met lagere bevoegdheden het proces met hogere bevoegdheden op de volgende manier beheert:
Vensterberichten, zoals synthetische muis- of toetsenbordgebeurtenissen, verzenden naar een venster dat deel uitmaakt van een proces met hogere bevoegdhedenBeveiligde modus Internet Explorer (PMIE): PMIE is een diepgaande functie voor verdediging. Windows Internet Explorer werkt in de beveiligde modus met beperkte bevoegdheden en kan niet schrijven naar de meeste gebieden van het bestandssysteem of het register. De beveiligde modus is standaard ingeschakeld wanneer een gebruiker door sites bladert in de zones Internet of Websites met beperkte toegang. PMIE maakt het moeilijker voor malware die een actief exemplaar van Internet Explorer infecteert om de instellingen van de gebruiker te wijzigen. Het configureert zichzelf bijvoorbeeld om te starten telkens wanneer de gebruiker zich aanmeldt. PMIE maakt geen deel uit van UAC. Maar dit is afhankelijk van UAC-functies, zoals UIPI.
Installatieprogrammadetectie: Wanneer een nieuw proces op het punt staat te worden gestart zonder beheerdersrechten, past Windows heuristiek toe om te bepalen of het nieuwe proces waarschijnlijk een verouderd installatieprogramma is. Windows gaat ervan uit dat verouderde installatieprogramma's waarschijnlijk mislukken zonder beheerdersrechten. Windows vraagt de interactieve gebruiker daarom proactief om benodigde bevoegdheden. Als de gebruiker geen beheerdersreferenties heeft, kan de gebruiker het programma niet uitvoeren.
Als u het gebruikersaccountbeheer uitschakelt: voer alle beheerders uit in de beleidsinstelling Door administratorgoedkeuringsmodus. Hiermee worden alle UAC-functies uitgeschakeld die in deze sectie worden beschreven. Deze beleidsinstelling is beschikbaar via het lokale beveiligingsbeleid van de computer, beveiligingsinstellingen, lokaal beleid en vervolgens beveiligingsopties. Verouderde toepassingen met standaardgebruikersrechten die verwachten te schrijven naar beveiligde mappen of registersleutels mislukken. Gefilterde tokens worden niet gemaakt. En alle programma's worden uitgevoerd met de volledige rechten van de gebruiker die is aangemeld op de computer. Dit omvat Internet Explorer, omdat de beveiligde modus is uitgeschakeld voor alle beveiligingszones.
Een van de veelvoorkomende misvattingen over UAC en Same-desktop Elevation in het bijzonder is: het voorkomt dat malware wordt geïnstalleerd of beheerdersrechten krijgt. Ten eerste kan malware worden geschreven om geen beheerdersrechten te vereisen. En malware kan worden geschreven om alleen naar gebieden in het profiel van de gebruiker te schrijven. Belangrijker is dat Uitbreiding van hetzelfde bureaublad in UAC geen beveiligingsgrens is. Het kan worden gekaapt door niet-gemachtigde software die op hetzelfde bureaublad wordt uitgevoerd. Uitbreiding van hetzelfde bureaublad moet worden beschouwd als een handige functie. Vanuit het oogpunt van beveiliging moet de beveiligde beheerder worden beschouwd als het equivalent van de beheerder. Het gebruik van Fast User Switch om zich aan te melden bij een andere sessie met behulp van een beheerdersaccount omvat daarentegen een beveiligingsgrens tussen het beheerdersaccount en de standaardgebruikerssessie.
Voor een Windows-server waarop de enige reden voor interactieve aanmelding is om het systeem te beheren, is het doel van minder vragen om benodigde bevoegdheden niet haalbaar of wenselijk. Systeembeheerprogramma's vereisen rechtmatig beheerdersrechten. Wanneer voor alle taken van de gebruiker met beheerdersrechten beheerdersrechten zijn vereist en elke taak een vragen om benodigde bevoegdheden kan activeren, zijn de prompts slechts een belemmering voor productiviteit. In deze context kunnen dergelijke prompts het doel van het stimuleren van de ontwikkeling van toepassingen waarvoor standaardgebruikersrechten zijn vereist, niet bevorderen. Dergelijke prompts verbeteren de beveiligingspostuur niet. Deze prompts moedigen gebruikers aan om door dialoogvensters te klikken zonder ze te lezen.
Deze richtlijnen zijn alleen van toepassing op goed beheerde servers. Dit betekent dat alleen gebruikers met beheerdersrechten zich interactief of via extern bureaublad-services kunnen aanmelden. En ze kunnen alleen legitieme administratieve functies uitvoeren. De server moet in de volgende situaties worden beschouwd als gelijkwaardig aan een clientsysteem:
- Beheerders voeren riskante toepassingen uit, zoals webbrowsers, e-mailclients of chatclients.
- Beheerders voeren andere bewerkingen uit die moeten worden uitgevoerd vanaf een clientbesturingssysteem.
In dit geval moet UAC ingeschakeld blijven als een diepgaande verdedigingsmaatregel.
Als standaardgebruikers zich aanmelden bij de server op de console of via Extern bureaublad-services om toepassingen uit te voeren, met name webbrowsers, moet UAC ingeschakeld blijven om bestands- en registervirtualisatie te ondersteunen en ook Internet Explorer met beveiligde modus.
Een andere optie om vragen om benodigde bevoegdheden te voorkomen zonder UAC uit te schakelen, is door het gebruikersaccountbeheer in te stellen: gedrag van de vragen om benodigde bevoegdheden voor beheerders in het beveiligingsbeleid voor de beheergoedkeuringsmodus om te verhogen zonder te vragen. Door deze instelling te gebruiken, worden aanvragen voor benodigde bevoegdheden op de achtergrond goedgekeurd als de gebruiker lid is van de groep Administrators. Met deze optie blijven PMIE en andere UAC-functies ook ingeschakeld. Niet alle bewerkingen waarvoor beheerdersrechten nodig zijn, vragen om uitbreiding van bevoegdheden. Als u deze instelling gebruikt, kunnen sommige programma's van de gebruiker worden verhoogd en sommige niet, zonder onderscheid te maken tussen deze programma's. De meeste consolehulpprogramma's waarvoor beheerdersrechten zijn vereist, verwachten bijvoorbeeld te worden gestart bij een opdrachtprompt of een ander programma dat al is verhoogd. Dergelijke hulpprogramma's mislukken alleen wanneer ze worden gestart bij een opdrachtprompt die niet is verhoogd.
Aanvullende effecten van het uitschakelen van UAC
- Als u Windows Verkenner probeert te gebruiken om te bladeren naar een map waarin u geen leesmachtigingen hebt, kunt u de machtigingen van de directory wijzigen om uw gebruikersaccount permanent toegang te verlenen. De resultaten zijn afhankelijk van of UAC is ingeschakeld. Zie Wanneer u op Doorgaan klikt voor maptoegang in Windows Verkenner, wordt uw gebruikersaccount toegevoegd aan de ACL voor de map voor meer informatie.
- Als UAC is uitgeschakeld, worden in Windows Verkenner nog steeds UAC-afschermingspictogrammen weergegeven voor items waarvoor uitbreiding is vereist. En Windows Verkenner blijft Uitvoeren als beheerder opnemen in de contextmenu's van toepassingen en toepassingssnelkoppelingen. Omdat het UAC-uitbreidingsmechanisme is uitgeschakeld, hebben deze opdrachten geen effect. En toepassingen worden uitgevoerd in dezelfde beveiligingscontext als de gebruiker die is aangemeld.
- Als UAC is ingeschakeld wanneer het consolehulpprogramma Runas.exe wordt gebruikt om een programma te starten met behulp van een gebruikersaccount waarvoor tokenfiltering is vereist, wordt het programma uitgevoerd met het gefilterde token van de gebruiker. Als UAC is uitgeschakeld, wordt het programma dat wordt gestart, uitgevoerd met het volledige token van de gebruiker.
- Als UAC is ingeschakeld, kunnen lokale accounts waarvoor tokenfiltering is vereist, niet worden gebruikt voor extern beheer via andere netwerkinterfaces dan Extern bureaublad. Bijvoorbeeld via NET USE of WinRM. Een lokaal account dat via een dergelijke interface wordt geverifieerd, krijgt alleen de bevoegdheden die worden verleend aan het gefilterde token van het account. Als UAC is uitgeschakeld, wordt deze beperking verwijderd. De beperking kan ook worden verwijderd met behulp van de
LocalAccountTokenFilterPolicyinstelling die wordt beschreven in KB951016. Als u deze beperking verwijdert, kan het risico op systeemcompromittatie in een omgeving worden vergroot waarbij veel systemen een lokaal beheerdersaccount hebben met dezelfde gebruikersnaam en hetzelfde wachtwoord. We raden u aan ervoor te zorgen dat andere risicobeperkende maatregelen worden toegepast op dit risico. Zie Pass-the-Hash-aanvallen (PtH) beperken en andere referentiediefstal, versie 1 en 2 voor meer informatie over aanbevolen oplossingen. - PsExec, Gebruikersaccountbeheer en Beveiligingsgrenzen
- Wanneer u Doorgaan selecteert voor maptoegang in Windows Verkenner, wordt uw gebruikersaccount toegevoegd aan de ACL voor de map (KB 950934)