Udostępnij za pośrednictwem

Jak wyłączyć kontrolę konta użytkownika (UAC) w systemie Windows Server

W tym artykule przedstawiono sposób wyłączania kontroli konta użytkownika (UAC) w systemie Windows Server.

Oryginalny numer KB: 2526083

Podsumowanie

W pewnych ograniczonych okolicznościach wyłączenie kontroli dostępu użytkownika w systemie Windows Server może być akceptowalnym i zalecanym rozwiązaniem. Te okoliczności występują tylko wtedy, gdy spełnione są oba następujące warunki:

  • Tylko administratorzy mogą interaktywnie logować się do serwera z systemem Windows w konsoli programu lub przy użyciu usług pulpitu zdalnego.
  • Administratorzy logują się do serwera z systemem Windows tylko w celu wykonywania legalnych funkcji administracyjnych systemu na serwerze.

Jeśli którykolwiek z tych warunków nie jest spełniony, kontrola konta użytkownika powinna pozostać włączona. Na przykład serwer włącza rolę usług pulpitu zdalnego, aby użytkownicy niebędący administratorami mogli logować się do serwera w celu uruchamiania aplikacji. Kontrola konta użytkownika powinna pozostać włączona w tej sytuacji. Podobnie kontrola konta użytkownika powinna pozostać włączona w następujących sytuacjach:

  • Administratorzy uruchamiają ryzykowne aplikacje na serwerze. Na przykład przeglądarki internetowe, klienci poczty e-mail lub klienci wiadomości błyskawicznych.
  • Administratorzy wykonują inne operacje, które powinny być wykonywane z poziomu systemu operacyjnego klienta, takiego jak Windows 7.

Uwaga 16.

  • Te wskazówki dotyczą tylko systemów operacyjnych Windows Server.
  • Kontrola konta użytkownika jest zawsze wyłączona w wersjach Server Core systemu Windows Server 2008 R2 i nowszych wersji.

Więcej informacji

Kontrola konta użytkownika została zaprojektowana tak, aby ułatwić użytkownikom systemu Windows domyślne korzystanie z praw użytkownika standardowego. Kontrola konta użytkownika obejmuje kilka technologii umożliwiających osiągnięcie tego celu. Do tych technologii należą:

  • Wirtualizacja plików i rejestru: gdy starsza aplikacja próbuje zapisać w chronionych obszarach systemu plików lub rejestru, system Windows dyskretnie i w sposób niewidoczny przekierowuje dostęp do części systemu plików lub rejestru, który użytkownik może zmienić. Umożliwia to wielu aplikacjom, które wymagały uprawnień administracyjnych we wcześniejszych wersjach systemu Windows do pomyślnego uruchomienia z uprawnieniami użytkownika standardowego tylko w systemie Windows Server 2008 i nowszych wersjach.

  • Podniesienie uprawnień do tego samego pulpitu: po uruchomieniu i podniesieniu poziomu programu przez autoryzowanego użytkownika wynikowy proces otrzymuje bardziej zaawansowane prawa niż prawa użytkownika interaktywnego pulpitu. Łącząc podniesienie uprawnień z funkcją filtrowanego tokenu kontroli dostępu użytkownika (zobacz następny punktor), administratorzy mogą uruchamiać programy ze standardowymi prawami użytkownika. Ponadto mogą podnieść poziom uprawnień tylko tych programów, które wymagają uprawnień administracyjnych przy użyciu tego samego konta użytkownika. Ta funkcja podniesienia uprawnień użytkownika jest również znana jako tryb zatwierdzania przez administratora. Programy można również uruchamiać z podwyższonym poziomem uprawnień przy użyciu innego konta użytkownika, aby administrator mógł wykonywać zadania administracyjne na pulpicie użytkownika standardowego.

  • Filtrowany token: gdy użytkownik z uprawnieniami administracyjnymi lub innymi zaawansowanymi uprawnieniami lub członkostwem w grupach loguje się, system Windows tworzy dwa tokeny dostępu do reprezentowania konta użytkownika. Niefiltrowany token ma wszystkie członkostwa i uprawnienia grupy użytkownika. Filtrowany token reprezentuje użytkownika z równoważnymi prawami użytkownika standardowego. Domyślnie ten filtrowany token jest używany do uruchamiania programów użytkownika. Niefiltrowany token jest skojarzony tylko z programami z podwyższonym poziomem uprawnień. Konto nosi nazwę chronionego konta administratora w następujących warunkach:

    • Jest członkiem grupy Administratorzy
    • Otrzymuje on filtrowany token, gdy użytkownik loguje się

  • Izolacja uprawnień interfejsu użytkownika (UIPI): interfejs użytkownika uniemożliwia programowi z niższymi uprawnieniami kontrolowanie procesu z wyższymi uprawnieniami w następujący sposób:
       Wysyłanie komunikatów okna, takich jak syntetyczne zdarzenia myszy lub klawiatury, do okna należącego do procesu o wyższych uprawnieniach

  • Tryb chroniony w programie Internet Explorer (PMIE): PMIE to funkcja ochrony w głębi systemu. Program Windows Internet Explorer działa w trybie chronionym o niskim poziomie uprawnień i nie może zapisywać w większości obszarów systemu plików ani rejestru. Domyślnie tryb chroniony jest włączany, gdy użytkownik przegląda witryny w strefach Witryny internetowe lub Witryny z ograniczeniami. Program PMIE utrudnia złośliwe oprogramowanie, które infekuje uruchomione wystąpienie programu Internet Explorer w celu zmiany ustawień użytkownika. Na przykład konfiguruje się tak, aby uruchamiała się za każdym razem, gdy użytkownik loguje się. PMIE nie jest faktycznie częścią kontroli dostępu użytkownika. Jednak zależy to od funkcji funkcji funkcji interfejsu użytkownika, takich jak interfejs użytkownika.

  • Wykrywanie instalatora: gdy nowy proces ma zostać uruchomiony bez uprawnień administracyjnych, system Windows stosuje heurystyki w celu ustalenia, czy nowy proces może być starszym programem instalacyjnym. System Windows zakłada, że starsze programy instalacyjne prawdopodobnie nie będą działać bez uprawnień administracyjnych. Dlatego system Windows aktywnie monituje użytkownika interakcyjnego o podniesienie uprawnień. Jeśli użytkownik nie ma poświadczeń administracyjnych, użytkownik nie może uruchomić programu.

Jeśli wyłączysz kontrolkę konta użytkownika: uruchom wszystkich administratorów w ustawieniu zasad Tryb zatwierdzania przez administratora. Spowoduje to wyłączenie wszystkich funkcji kontroli dostępu użytkownika opisanych w tej sekcji. To ustawienie zasad jest dostępne za pośrednictwem lokalnych zasad zabezpieczeń komputera, ustawień zabezpieczeń, zasad lokalnych, a następnie opcji zabezpieczeń. Starsze aplikacje, które mają standardowe prawa użytkownika, które oczekują na zapisywanie w folderach chronionych lub kluczach rejestru, zakończy się niepowodzeniem. Odfiltrowane tokeny nie są tworzone. Wszystkie programy są uruchamiane z pełnymi prawami użytkownika, który jest zalogowany na komputerze. Obejmuje on program Internet Explorer, ponieważ tryb chroniony jest wyłączony dla wszystkich stref zabezpieczeń.

Jednym z typowych nieporozumień dotyczących kontroli dostępu użytkownika i podniesienia uprawnień do tego samego pulpitu jest w szczególności: uniemożliwia instalowanie złośliwego oprogramowania lub uzyskiwanie praw administracyjnych. Najpierw można napisać złośliwe oprogramowanie, aby nie wymagać uprawnień administracyjnych. Złośliwe oprogramowanie można zapisywać w celu zapisu tylko w obszarach w profilu użytkownika. Co ważniejsze, podniesienie poziomu tego samego pulpitu w kontroli dostępu użytkownika nie jest granicą zabezpieczeń. Można go porwać przez nieuprzywilejowane oprogramowanie, które działa na tym samym pulpicie. Podniesienie uprawnień na tym samym pulpicie powinno być uważane za funkcję wygody. Z punktu widzenia zabezpieczeń administrator chroniony powinien być traktowany jako odpowiednik administratora. Z kolei użycie szybkiego przełączania użytkowników w celu zalogowania się do innej sesji przy użyciu konta administratora obejmuje granicę zabezpieczeń między kontem administratora a sesją użytkownika standardowego.

W przypadku serwera opartego na systemie Windows, na którym jedynym powodem logowania interakcyjnego jest administrowanie systemem, celem mniejszej liczby monitów o podniesienie uprawnień nie jest wykonalne lub pożądane. Narzędzia administracyjne systemu prawnie wymagają uprawnień administracyjnych. Gdy wszystkie zadania użytkownika administracyjnego wymagają uprawnień administracyjnych, a każde zadanie może wyzwolić monit o podniesienie uprawnień, monity są tylko przeszkodą dla produktywności. W tym kontekście takie monity nie mogą promować celu zachęcania do tworzenia aplikacji wymagających standardowych praw użytkownika. Takie monity nie zwiększają poziomu zabezpieczeń. Te monity zachęcają użytkowników do klikania okien dialogowych bez ich czytania.

Te wskazówki dotyczą tylko dobrze zarządzanych serwerów. Oznacza to, że tylko użytkownicy administracyjni mogą logować się interaktywnie lub za pośrednictwem usług pulpitu zdalnego. I mogą wykonywać tylko uzasadnione funkcje administracyjne. Serwer powinien być uznawany za równoważny systemowi klienckim w następujących sytuacjach:

  • Administratorzy uruchamiają ryzykowne aplikacje, takie jak przeglądarki internetowe, klienci poczty e-mail lub klienci wiadomości błyskawicznych.
  • Administratorzy wykonują inne operacje, które powinny być wykonywane z systemu operacyjnego klienta.

W takim przypadku kontrola konta użytkownika powinna pozostać włączona jako środek ochrony w głębi systemu.

Ponadto jeśli użytkownicy standardowi loguje się do serwera w konsoli programu lub za pośrednictwem usług pulpitu zdalnego w celu uruchamiania aplikacji, zwłaszcza przeglądarek internetowych, kontrola konta użytkownika powinna pozostać włączona w celu obsługi wirtualizacji plików i rejestru, a także trybu chronionego Programu Internet Explorer.

Inną opcją uniknięcia monitów o podniesienie uprawnień bez wyłączania kontroli konta użytkownika jest ustawienie kontroli konta użytkownika: zachowanie monitu o podniesienie uprawnień dla administratorów w zasadach zabezpieczeń trybu zatwierdzania przez administratora na podwyższony poziom bez monitowania. Za pomocą tego ustawienia żądania podniesienia uprawnień są zatwierdzane w trybie dyskretnym, jeśli użytkownik jest członkiem grupy Administratorzy. Ta opcja powoduje również pozostawienie włączonej funkcji PMIE i innych funkcji kontroli dostępu użytkownika. Jednak nie wszystkie operacje wymagające podniesienia uprawnień administracyjnych. Użycie tego ustawienia może spowodować podniesienie poziomu niektórych programów użytkownika, a niektóre nie, bez konieczności rozróżniania między nimi. Na przykład większość narzędzi konsoli wymagających uprawnień administracyjnych oczekuje uruchomienia w wierszu polecenia lub w innym programie, który jest już podwyższony. Takie narzędzia kończą się niepowodzeniem tylko wtedy, gdy są uruchamiane w wierszu polecenia, który nie jest podwyższony.

Dodatkowe efekty wyłączania kontroli dostępu użytkownika

  • Jeśli spróbujesz użyć Eksploratora Windows do przejścia do katalogu, w którym nie masz uprawnień do odczytu, Eksplorator zaoferuje zmianę uprawnień katalogu w celu trwałego udzielenia mu dostępu do konta użytkownika. Wyniki zależą od tego, czy kontrola konta użytkownika jest włączona. Aby uzyskać więcej informacji, zobacz Po kliknięciu przycisku Kontynuuj dostęp do folderu w Eksploratorze Windows konto użytkownika zostanie dodane do listy ACL folderu.
  • Jeśli kontrola konta użytkownika jest wyłączona, Eksplorator Windows nadal wyświetla ikony osłony funkcji Kontrola konta użytkownika dla elementów wymagających podniesienia uprawnień. Eksplorator Windows nadal dołącza polecenie Uruchom jako administrator w menu kontekstowym aplikacji i skrótów aplikacji. Ponieważ mechanizm podniesienia uprawnień kontroli dostępu użytkownika jest wyłączony, te polecenia nie mają wpływu. Aplikacje są uruchamiane w tym samym kontekście zabezpieczeń co użytkownik zalogowany.
  • Jeśli kontrola konta użytkownika jest włączona, gdy narzędzie konsoli Runas.exe jest używane do uruchamiania programu przy użyciu konta użytkownika, które podlega filtrowaniu tokenów, program jest uruchamiany z filtrowanym tokenem użytkownika. Jeśli kontrola konta użytkownika jest wyłączona, program, który jest uruchamiany z pełnym tokenem użytkownika.
  • Jeśli kontrola konta użytkownika jest włączona, konta lokalne, które podlegają filtrowaniu tokenów, nie mogą być używane do administracji zdalnej za pośrednictwem interfejsów sieciowych innych niż pulpit zdalny. Na przykład za pomocą polecenia NET USE lub WinRM. Konto lokalne, które uwierzytelnia się za pośrednictwem takiego interfejsu, uzyskuje tylko uprawnienia przyznane do odfiltrowanego tokenu konta. Jeśli kontrola konta użytkownika jest wyłączona, to ograniczenie zostanie usunięte. Ograniczenie można również usunąć przy użyciu ustawienia opisanego LocalAccountTokenFilterPolicy w KB951016. Usunięcie tego ograniczenia może zwiększyć ryzyko naruszenia zabezpieczeń systemu w środowisku, w którym wiele systemów ma konto lokalne z tą samą nazwą użytkownika i hasłem. Zalecamy upewnienie się, że inne środki zaradcze są stosowane przeciwko temu ryzyku. Aby uzyskać więcej informacji na temat zalecanych środków zaradczych, zobacz Ograniczanie ataków typu Pass-the-Hash (PtH) i Innych kradzieży poświadczeń, wersja 1 i 2.
  • PsExec, kontrola konta użytkownika i granice zabezpieczeń
  • Po wybraniu pozycji Kontynuuj dostęp do folderu w Eksploratorze Windows konto użytkownika zostanie dodane do listy ACL folderu (KB 950934)