Compartilhar via

Como desativar o Controle de Conta de Usuário (UAC) no Windows Server

Este artigo apresenta como desabilitar o UAC (Controle de Conta de Usuário) no Windows Server.

Número original do KB: 2526083

Resumo

Em determinadas circunstâncias restritas, desabilitar o UAC no Windows Server pode ser uma prática aceitável e recomendada. Essas circunstâncias ocorrem somente quando ambas as seguintes condições são verdadeiras:

  • Somente os administradores têm permissão para entrar no servidor Windows interativamente no console ou usando os Serviços de Área de Trabalho Remota.
  • Os administradores entram no servidor baseado no Windows apenas para executar funções administrativas legítimas do sistema no servidor.

Se qualquer uma dessas condições não for verdadeira, o UAC deverá permanecer habilitado. Por exemplo, o servidor habilita a função Serviços de Área de Trabalho Remota para que usuários não administrativos possam entrar no servidor para executar aplicativos. O UAC deve permanecer habilitado nessa situação. Da mesma forma, o UAC deve permanecer habilitado nas seguintes situações:

  • Os administradores executam aplicativos arriscados no servidor. Por exemplo, navegadores da Web, clientes de e-mail ou clientes de mensagens instantâneas.
  • Os administradores fazem outras operações que devem ser feitas a partir de um sistema operacional cliente, como o Windows 7.

Observação

  • Essas diretrizes se aplicam somente aos sistemas operacionais Windows Server.
  • O UAC está sempre desabilitado nas edições Server Core do Windows Server 2008 R2 e versões posteriores.

Mais informações

O UAC foi projetado para ajudar os usuários do Windows a usar direitos de usuário padrão por padrão. O UAC inclui várias tecnologias para atingir esse objetivo. Essas tecnologias incluem:

  • Virtualização de arquivos e registros: quando um aplicativo herdado tenta gravar em áreas protegidas do sistema de arquivos ou do registro, o Windows redireciona de forma silenciosa e transparente o acesso a uma parte do sistema de arquivos ou do registro que o usuário tem permissão para alterar. Ele permite que muitos aplicativos que exigiam direitos administrativos em versões anteriores do Windows sejam executados com êxito apenas com direitos de usuário padrão no Windows Server 2008 e versões posteriores.

  • Elevação na mesma área de trabalho: quando um usuário autorizado executa e eleva um programa, o processo resultante recebe direitos mais poderosos do que os direitos do usuário da área de trabalho interativa. Ao combinar a elevação com o recurso Token Filtrado do UAC (consulte o próximo ponto), os administradores podem executar programas com direitos de usuário padrão. E eles podem elevar apenas os programas que exigem direitos administrativos com a mesma conta de usuário. Esse recurso de elevação do mesmo usuário também é conhecido como Modo de Aprovação do Administrador. Os programas também podem ser iniciados com direitos elevados usando uma conta de usuário diferente para que um administrador possa executar tarefas administrativas na área de trabalho de um usuário padrão.

  • Token filtrado: quando um usuário com privilégios administrativos ou outros privilégios poderosos ou associações de grupo faz logon, o Windows cria dois tokens de acesso para representar a conta de usuário. O token não filtrado tem todas as associações e privilégios de grupo do usuário. O token filtrado representa o usuário com o equivalente aos direitos de usuário padrão. Por padrão, esse token filtrado é usado para executar os programas do usuário. O token não filtrado está associado apenas a programas elevados. Uma conta é chamada de conta de Administrador Protegido nas seguintes condições:

    • É membro do grupo Administradores
    • Ele recebe um token filtrado quando o usuário faz logon

  • UIPI (Isolamento de Privilégios da Interface do Usuário): o UIPI impede que um programa com privilégios mais baixos controle o processo com privilégios mais altos da seguinte maneira:
       Enviar mensagens de janela, como eventos sintéticos de mouse ou teclado, para uma janela que pertence a um processo com privilégios mais altos

  • Modo Protegido do Internet Explorer (PMIE): PMIE é um recurso de defesa em profundidade. O Windows Internet Explorer opera no Modo Protegido com poucos privilégios e não pode gravar na maioria das áreas do sistema de arquivos ou do Registro. Por padrão, o Modo Protegido é habilitado quando um usuário navega em sites nas zonas da Internet ou de Sites Restritos. O PMIE torna mais difícil para o malware que infecta uma instância em execução do Internet Explorer alterar as configurações do usuário. Por exemplo, ele se configura para iniciar toda vez que o usuário faz logon. O PMIE não faz parte da UAC. Mas depende dos recursos do UAC, como UIPI.

  • Detecção do instalador: quando um novo processo está prestes a ser iniciado sem direitos administrativos, o Windows aplica heurística para determinar se o novo processo provavelmente será um programa de instalação herdado. O Windows pressupõe que os programas de instalação herdados provavelmente falharão sem direitos administrativos. Portanto, o Windows solicita proativamente a elevação do usuário interativo. Se o usuário não tiver credenciais administrativas, ele não poderá executar o programa.

Se você desabilitar a configuração de política Controle de Conta de Usuário: Execute todos os administradores no Modo de Aprovação de Administrador. Ele desabilita todos os recursos do UAC descritos nesta seção. Essa configuração de política está disponível por meio da Política de Segurança Local, Configurações de Segurança, Políticas Locais e, em seguida, Opções de Segurança do computador. Os aplicativos herdados que têm direitos de usuário padrão que esperam gravar em pastas protegidas ou chaves do Registro falharão. Os tokens filtrados não são criados. E todos os programas são executados com todos os direitos do usuário que está conectado ao computador. Ele inclui o Internet Explorer, pois o Modo Protegido está desabilitado para todas as zonas de segurança.

Um dos equívocos comuns sobre o UAC e o Same-desktop Elevation em particular é: ele impede que malware seja instalado ou obtenha direitos administrativos. Primeiro, o malware pode ser escrito para não exigir direitos administrativos. E o malware pode ser escrito para gravar apenas em áreas do perfil do usuário. Mais importante, a elevação da mesma área de trabalho no UAC não é um limite de segurança. Ele pode ser sequestrado por software sem privilégios que é executado na mesma área de trabalho. A elevação na mesma área de trabalho deve ser considerada um recurso de conveniência. Do ponto de vista da segurança, o Administrador Protegido deve ser considerado o equivalente ao Administrador. Por outro lado, usar a Alternância Rápida de Usuário para entrar em uma sessão diferente usando uma conta de administrador envolve um limite de segurança entre a conta de administrador e a sessão de usuário padrão.

Para um servidor baseado em Windows no qual o único motivo para o logon interativo é administrar o sistema, a meta de menos prompts de elevação não é viável ou desejável. As ferramentas administrativas do sistema exigem legitimamente direitos administrativos. Quando todas as tarefas do usuário administrativo exigem direitos administrativos e cada tarefa pode disparar um prompt de elevação, os prompts são apenas um obstáculo à produtividade. Nesse contexto, esses prompts não promovem / não podem promover o objetivo de incentivar o desenvolvimento de aplicativos que exigem direitos de usuário padrão. Esses prompts não melhoram a postura de segurança. Esses prompts apenas incentivam os usuários a clicar nas caixas de diálogo sem lê-las.

Essas diretrizes se aplicam apenas a servidores bem gerenciados. Isso significa que apenas usuários administrativos podem fazer logon interativamente ou por meio de serviços de Área de Trabalho Remota. E eles podem desempenhar apenas funções administrativas legítimas. O servidor deve ser considerado equivalente a um sistema cliente nas seguintes situações:

  • Os administradores executam aplicativos arriscados, como navegadores da Web, clientes de email ou clientes de mensagens instantâneas.
  • Os administradores executam outras operações que devem ser executadas a partir de um sistema operacional cliente.

Nesse caso, o UAC deve permanecer habilitado como uma medida de defesa em profundidade.

Além disso, se os usuários padrão entrarem no servidor no console ou por meio de serviços de Área de Trabalho Remota para executar aplicativos, especialmente navegadores da Web, o UAC deverá permanecer habilitado para dar suporte à virtualização de arquivos e registros e também ao Internet Explorer no Modo Protegido.

Outra opção para evitar prompts de elevação sem desabilitar o UAC é definir a política de segurança Controle de Conta de Usuário: Comportamento do prompt de elevação para administradores no Modo de Aprovação de Administrador como Elevar sem avisar. Usando essa configuração, as solicitações de elevação serão aprovadas silenciosamente se o usuário for membro do grupo Administradores. Essa opção também deixa o PMIE e outros recursos do UAC ativados. No entanto, nem todas as operações que exigem direitos administrativos solicitam elevação. O uso dessa configuração pode resultar em alguns dos programas do usuário sendo elevados e outros não, sem nenhuma maneira de distinguir entre eles. Por exemplo, a maioria dos utilitários de console que exigem direitos administrativos espera ser iniciada em um prompt de comando ou outro programa que já esteja elevado. Esses utilitários simplesmente falham quando são iniciados em um prompt de comando que não é elevado.

Efeitos adicionais da desativação do UAC

  • Se você tentar usar o Windows Explorer para navegar até um diretório no qual não tem permissões de leitura, o Explorer se oferecerá para alterar as permissões do diretório para conceder acesso permanente à sua conta de usuário. Os resultados dependem se o UAC está habilitado. Para obter mais informações, consulte Quando você clica em Continuar para acesso à pasta no Windows Explorer, sua conta de usuário é adicionada à ACL da pasta.
  • Se o UAC estiver desabilitado, o Windows Explorer continuará exibindo ícones de blindagem do UAC para itens que exigem elevação. E o Windows Explorer continua a incluir Executar como administrador nos menus de contexto de aplicativos e atalhos de aplicativos. Como o mecanismo de elevação do UAC está desabilitado, esses comandos não têm efeito. E os aplicativos são executados no mesmo contexto de segurança que o usuário que está conectado.
  • Se o UAC estiver habilitado, quando o utilitário de console Runas.exe for usado para iniciar um programa usando uma conta de usuário sujeita à filtragem de token, o programa será executado com o token filtrado do usuário. Se o UAC estiver desabilitado, o programa iniciado será executado com o token completo do usuário.
  • Se o UAC estiver habilitado, as contas locais sujeitas à filtragem de token não poderão ser usadas para administração remota em interfaces de rede diferentes da Área de Trabalho Remota. Por exemplo, por meio do NET USE ou do WinRM. Uma conta local que se autentica por meio dessa interface obtém apenas os privilégios concedidos ao token filtrado da conta. Se o UAC estiver desabilitado, essa restrição será removida. A restrição também pode ser removida usando a LocalAccountTokenFilterPolicy configuração descrita no KB951016. A remoção dessa restrição pode aumentar o risco de comprometimento do sistema em um ambiente em que muitos sistemas têm uma conta local administrativa com o mesmo nome de usuário e senha. Recomendamos que você verifique se outras mitigações são empregadas contra esse risco. Para obter mais informações sobre mitigações recomendadas, consulte Mitigando ataques de PtH (Pass-the-Hash) e outros roubos de credenciais, versões 1 e 2.
  • PsExec, Controle de Conta de Usuário e Limites de Segurança
  • Quando você seleciona Continuar para acesso à pasta no Windows Explorer, sua conta de usuário é adicionada à ACL da pasta (KB 950934)