Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается отключение контроля учетных записей пользователей (UAC) в Windows Server.
Исходный номер базы знаний: 2526083
Итоги
При определенных ограниченных обстоятельствах отключение UAC на Windows Server может быть приемлемой и рекомендуемой практикой. Эти обстоятельства происходят только в том случае, если оба следующих условия верны:
- Только администраторы могут входить в систему на сервере Windows в интерактивном режиме на консоли или с помощью служб удаленных рабочих столов.
- Администраторы войдите на сервер под управлением Windows только для выполнения законных системных административных функций на сервере.
Если одно из этих условий не соответствует действительности, UAC должен оставаться включенным. Например, сервер включает роль служб удаленных рабочих столов, чтобы неадминистривные пользователи могли войти на сервер для запуска приложений. UAC должен оставаться включено в этой ситуации. Аналогичным образом UAC должен оставаться включено в следующих ситуациях:
- Администраторы выполняют на сервере рискованные приложения. Например, веб-браузеры, клиенты электронной почты или клиенты обмена мгновенными сообщениями.
- Администраторы выполняют другие операции, которые должны выполняться из клиентской операционной системы, например Windows 7.
Примечание.
- Это руководство относится только к операционным системам Windows Server.
- UAC всегда отключен в выпусках Windows Server 2008 R2 и более поздних версий.
Дополнительная информация
UAC был разработан, чтобы помочь пользователям Windows перейти к использованию стандартных прав пользователей по умолчанию. UAC включает несколько технологий для достижения этой цели. Ниже приведены эти технологии.
Виртуализация файлов и реестра. Когда устаревшее приложение пытается записать в защищенные области файловой системы или реестра, Windows автоматически и прозрачно перенаправляет доступ к части файловой системы или реестру, который пользователь может изменить. Он позволяет многим приложениям, которым необходимы права администратора в более ранних версиях Windows для успешного выполнения только стандартных прав пользователей в Windows Server 2008 и более поздних версиях.
Одностольное повышение прав: когда авторизованный пользователь запускает и повышает уровень программы, результирующий процесс предоставляется более мощные права, чем права пользователя интерактивного рабочего стола. Сочетая повышение прав с функцией отфильтрованного маркера UAC (см. следующую точку маркера), администраторы могут запускать программы со стандартными правами пользователя. И они могут повысить только те программы, которые требуют прав администратора с той же учетной записью пользователя. Эта функция повышения прав пользователей также называется режимом утверждения администратора. Программы также можно запускать с повышенными правами с помощью другой учетной записи пользователя, чтобы администратор может выполнять административные задачи на рабочем столе стандартного пользователя.
Отфильтрованный маркер: если пользователь с правами администратора или другими мощными привилегиями или входами в группы в ней, Windows создает два маркера доступа для представления учетной записи пользователя. Маркер без фильтра имеет все членства в группах и привилегиях пользователя. Отфильтрованный маркер представляет пользователя с эквивалентом стандартных прав пользователя. По умолчанию этот отфильтрованный маркер используется для запуска программ пользователя. Нефильтрованный маркер связан только с повышенными привилегиями. Учетная запись называется защищенной учетной записью администратора в следующих условиях:
- Это член группы "Администраторы"
- Он получает отфильтрованный маркер при входе пользователя
Изоляция привилегий пользовательского интерфейса (UIPI): UIPI запрещает программе с более низким уровнем привилегий управлять процессом с более высоким уровнем привилегий следующим образом:
Отправка сообщений окна, таких как синтетические события мыши или клавиатуры, в окно, которое принадлежит к процессу с более высоким уровнем привилегийInternet Explorer в защищенном режиме (PMIE): PMIE — это встроенная функция защиты. Windows Internet Explorer работает в режиме с низким уровнем привилегий и не может записываться в большинство областей файловой системы или реестра. По умолчанию защищенный режим включен, когда пользователь просматривает сайты в зонах "Интернет" или "Ограниченные сайты". PMIE затрудняет использование вредоносных программ, заражающих запущенный экземпляр Internet Explorer для изменения параметров пользователя. Например, он настраивает себя для запуска при каждом входе пользователя. PMIE не является частью UAC. Но это зависит от функций UAC, таких как UIPI.
Обнаружение установщика. При запуске нового процесса без прав администратора Windows применяет эвристики, чтобы определить, является ли новый процесс устаревшей программой установки. Windows предполагает, что устаревшие программы установки, скорее всего, завершаются ошибкой без прав администратора. Таким образом, Windows заранее запрашивает интерактивного пользователя для повышения прав. Если у пользователя нет учетных данных администратора, пользователь не может запустить программу.
Если отключить контроль учетных записей пользователей: запустите всех администраторов в параметре политики режима утверждения администратора. Он отключает все функции UAC, описанные в этом разделе. Этот параметр политики доступен с помощью локальной политики безопасности компьютера, параметров безопасности, локальных политик и параметров безопасности. Устаревшие приложения, имеющие стандартные права пользователя, которые ожидают записи в защищенные папки или разделы реестра, завершаются ошибкой. Отфильтрованные маркеры не создаются. И все программы выполняются с полными правами пользователя, вошедшего на компьютер. Он включает Internet Explorer, так как защищенный режим отключен для всех зон безопасности.
Одним из распространенных неправильных представлений об UAC и одностольном повышении прав, в частности, является предотвращение установки вредоносных программ или получение прав администратора. Во-первых, вредоносные программы могут быть написаны не для того, чтобы требовать права администратора. И вредоносные программы можно записать только в области профиля пользователя. Более важно, одностольное повышение прав в UAC не является границей безопасности. Его можно взломать непривилегированного программного обеспечения, работающего на одном рабочем столе. Повышение прав на один и тот же рабочий стол должно считаться удобной функцией. С точки зрения безопасности защищенный администратор должен считаться эквивалентом администратора. В отличие от этого, использование быстрого переключения пользователей для входа в другой сеанс с помощью учетной записи администратора включает границу безопасности между учетной записью администратора и стандартным сеансом пользователя.
Для сервера под управлением Windows, на котором единственная причина интерактивного входа заключается в администрировании системы, цель меньшего числа запросов на повышение прав не является возможным или желательным. Системные административные средства законно требуют прав администратора. Если для всех задач администратора требуются права администратора, и каждая задача может активировать запрос на повышение прав, запросы являются лишь помехой для повышения производительности. В этом контексте такие запросы не могут способствовать достижению цели поощрения разработки приложений, требующих стандартных прав пользователей. Такие запросы не повышают уровень безопасности. Эти запросы просто поощряют пользователей щелкать диалоговые окна без их чтения.
Это руководство относится только к хорошо управляемым серверам. Это означает, что только администраторы могут выполнять вход в интерактивном режиме или через службы удаленного рабочего стола. И они могут выполнять только законные административные функции. Сервер должен считаться эквивалентным клиентской системе в следующих ситуациях:
- Администраторы выполняют рискованные приложения, такие как веб-браузеры, клиенты электронной почты или клиенты обмена мгновенными сообщениями.
- Администраторы выполняют другие операции, которые должны выполняться из клиентской операционной системы.
В этом случае UAC должен оставаться включенным в качестве меры глубины обороны.
Кроме того, если стандартные пользователи войдите на сервер в консоли или через службы удаленных рабочих столов для запуска приложений, особенно в веб-браузерах, UAC должна оставаться включено для поддержки виртуализации файлов и реестра, а также защищенного режима Internet Explorer.
Другим вариантом, чтобы избежать запросов на повышение прав без отключения UAC, является настройка элемента управления учетными записями пользователя: поведение запроса на повышение прав администраторам в политике безопасности в режиме утверждения администратора без запроса. С помощью этого параметра запросы на повышение прав автоматически утверждаются, если пользователь является членом группы администраторов. Этот параметр также оставляет PMIE и другие функции UAC включенными. Однако не все операции, требующие повышения прав администратора. Использование этого параметра может привести к повышению уровня некоторых программ пользователя, а некоторые — без каких-либо способов различать их. Например, большинство служебных программ консоли, которым требуются права администратора, должны быть запущены в командной строке или другой программе, которая уже повышена. Такие служебные программы просто завершаются ошибкой при запуске в командной строке, которая не повышена.
Дополнительные эффекты отключения UAC
- Если вы пытаетесь перейти к каталогу, в котором у вас нет разрешений на чтение, обозреватель предложит изменить разрешения каталога, чтобы предоставить ему доступ к учетной записи пользователя навсегда. Результаты зависят от включения UAC. Дополнительные сведения см. в разделе "Продолжить доступ к папкам" в проводнике Windows, учетная запись пользователя добавляется в ACL для папки.
- Если UAC отключен, проводник Windows продолжает отображать значки щита UAC для элементов, требующих повышения прав. И проводник Windows продолжает включать запуск от имени администратора в контекстные меню приложений и ярлыков приложений. Так как механизм повышения прав UAC отключен, эти команды не влияют. И приложения выполняются в том же контексте безопасности, что и пользователь, вошедший в систему.
- Если UAC включен, когда программа консоли Runas.exe используется для запуска программы с помощью учетной записи пользователя, которая подвергается фильтрации маркеров, программа запускается с отфильтрованным маркером пользователя. Если UAC отключен, программа, запущенная с полным маркером пользователя.
- Если UAC включен, локальные учетные записи, которые подвергаются фильтрации маркеров, нельзя использовать для удаленного администрирования через сетевые интерфейсы, отличные от удаленного рабочего стола. Например, с помощью NET USE или WinRM. Локальная учетная запись, которая проходит проверку подлинности через такой интерфейс, получает только привилегии, предоставленные фильтруемого маркеру учетной записи. Если UAC отключен, это ограничение удаляется. Ограничение также можно удалить с помощью параметра, описанного
LocalAccountTokenFilterPolicyв KB951016. Удаление этого ограничения может увеличить риск компрометации системы в среде, в которой многие системы имеют учетную запись администратора с одинаковым именем пользователя и паролем. Мы рекомендуем убедиться, что другие способы устранения рисков используются в отношении этого риска. Дополнительные сведения о рекомендуемых способах устранения рисков см. в разделе "Устранение атак на хэш-хэш" (PtH) и другие кражи учетных данных, версия 1 и 2. - PsExec, контроль учетных записей пользователей и границы безопасности
- При выборе "Продолжить доступ к папкам" в проводнике windows учетная запись пользователя добавляется в ACL для папки (КБ 950934)