本文介绍如何在 Windows Server 上禁用用户帐户控制(UAC)。
原始 KB 数: 2526083
总结
在某些情况下,在 Windows Server 上禁用 UAC 可能是可接受的建议做法。 仅当以下两个条件均为 true 时,才会发生这些情况:
- 仅允许管理员在控制台或使用远程桌面服务以交互方式登录到 Windows 服务器。
- 管理员仅登录到基于 Windows 的服务器,以在服务器上执行合法的系统管理功能。
如果上述任一条件都不正确,UAC 应保持启用状态。 例如,服务器启用远程桌面服务角色,以便非管理员用户可以登录到服务器来运行应用程序。 在这种情况下,UAC 应保持启用状态。 同样,在以下情况下,UAC 应保持启用状态:
- 管理员在服务器上运行有风险的应用程序。 例如,Web 浏览器、电子邮件客户端或即时消息客户端。
- 管理员执行应从客户端操作系统(如 Windows 7)执行的其他操作。
注意
- 本指南仅适用于 Windows Server 操作系统。
- 始终在 Windows Server 2008 R2 及更高版本的 Server Core 版本上禁用 UAC。
详细信息
UAC 旨在帮助 Windows 用户默认使用标准用户权限。 UAC 包括多项实现此目标的技术。 这些技术包括:
文件和注册表虚拟化:当旧版应用程序尝试写入文件系统或注册表的受保护区域时,Windows 以无提示和透明方式将访问权限重定向到文件系统的一部分或允许用户更改的注册表。 它使许多应用程序需要早期版本的 Windows 的管理权限才能在 Windows Server 2008 及更高版本上仅使用标准用户权限成功运行。
同一桌面提升:当授权用户运行并提升程序时,生成的进程将被授予比交互式桌面用户的权限更强大的权限。 通过将提升与 UAC 的筛选令牌功能(请参阅下一个项目符号点)结合使用,管理员可以使用标准用户权限运行程序。 他们只能提升那些需要具有相同用户帐户管理权限的程序。 此同用户提升功能也称为管理员审批模式。 还可以使用不同的用户帐户以提升的权限启动程序,以便管理员可以在标准用户的桌面上执行管理任务。
筛选令牌:当具有管理权限或其他强大权限的用户或组成员身份登录时,Windows 将创建两个访问令牌来表示用户帐户。 未筛选的令牌具有所有用户的组成员身份和特权。 筛选的令牌表示与标准用户权限等效的用户。 默认情况下,此筛选令牌用于运行用户的程序。 未筛选的令牌仅与提升的程序相关联。 在以下情况下,帐户称为 受保护的管理员 帐户:
- 它是管理员组的成员
- 当用户登录时,它会收到筛选的令牌
用户界面特权隔离(UIPI):UIPI 阻止低特权程序通过以下方式控制高特权进程:
将窗口消息(例如合成鼠标或键盘事件)发送到属于更高特权进程的窗口受保护的模式 Internet Explorer(PMIE):PMIE 是深层防御功能。 Windows Internet Explorer 以低特权保护模式运行,无法写入文件系统或注册表的大部分区域。 默认情况下,当用户浏览 Internet 或受限站点区域中的网站时,将启用受保护的模式。 PMIE 使得感染 Internet Explorer 正在运行的实例的恶意软件更难更改用户的设置。 例如,它会将自身配置为每次用户登录时启动。 PMIE 实际上不是 UAC 的一部分。 但它取决于 UAC 功能,如 UIPI。
安装程序检测:当新进程即将启动且没有管理权限时,Windows 会应用启发式方法来确定新进程是否可能是旧版安装程序。 Windows 假定旧版安装程序在没有管理权限的情况下可能会失败。 因此,Windows 会主动提示交互式用户提升。 如果用户没有管理凭据,则用户无法运行程序。
如果禁用用户帐户控制:在管理员批准模式策略设置中运行所有管理员。 它禁用本部分介绍的所有 UAC 功能。 此策略设置可通过计算机的本地安全策略、安全设置、本地策略以及安全选项获得。 具有预期写入受保护文件夹或注册表项的标准用户权限的旧应用程序将失败。 不会创建筛选的令牌。 所有程序都以登录计算机的用户的完整权限运行。 它包括 Internet Explorer,因为所有安全区域都禁用了受保护的模式。
有关 UAC 和同桌面提升的常见误解之一是:它可防止安装恶意软件或获得管理权限。 首先,可以编写恶意软件,不需要管理权限。 恶意软件可以写入到用户配置文件中的区域。 更重要的是,UAC 中的同一桌面提升不是安全边界。 它可以被在同一桌面上运行的未特权软件劫持。 同桌面提升应被视为一项便利功能。 从安全角度来看,受保护的管理员应被视为相当于管理员。 相比之下,使用快速用户切换通过管理员帐户登录到其他会话涉及管理员帐户与标准用户会话之间的安全边界。
对于基于 Windows 的服务器,交互式登录的唯一原因是管理系统,提升提示次数减少的目标不可行或可取。 系统管理工具合法地需要管理权限。 当所有管理用户的任务都需要管理权限,并且每个任务都可以触发提升提示时,提示只会阻碍工作效率。 在此上下文中,此类提示不能/不能促进鼓励开发需要标准用户权限的应用程序的目标。 此类提示不会改善安全状况。 这些提示只是鼓励用户单击对话框而不阅读它们。
本指南仅适用于托管良好的服务器。 这意味着只有管理用户可以以交互方式或通过远程桌面服务登录。 他们只能执行合法的行政职能。 在以下情况下,服务器应被视为等效于客户端系统:
- 管理员运行有风险的应用程序,例如 Web 浏览器、电子邮件客户端或即时消息客户端。
- 管理员执行应从客户端操作系统执行的其他操作。
在这种情况下,UAC 应保持启用为深度防御措施。
此外,如果标准用户在控制台或通过远程桌面服务登录到服务器以运行应用程序(尤其是 Web 浏览器)时,UAC 应保持启用状态以支持文件和注册表虚拟化以及受保护的模式 Internet Explorer。
避免在不禁用 UAC 的情况下避免提升提示的另一个选项是设置用户帐户控制:管理员审批模式安全策略中管理员提升提示的行为,而无需提示。 通过使用此设置,如果用户是 Administrators 组的成员,则以无提示方式批准提升请求。 此选项还会启用 PMIE 和其他 UAC 功能。 但是,并非所有需要管理权限请求提升的操作。 使用此设置可能会导致某些用户的程序被提升,有些程序不能区分它们。 例如,需要管理权限的大多数控制台实用程序应在命令提示符或其他已提升的程序处启动。 在命令提示符下启动这些实用工具时,这些实用工具只会失败,但未提升。
禁用 UAC 的其他效果
- 如果尝试使用 Windows 资源管理器浏览到没有读取权限的目录,资源管理器将提供更改目录的权限,以永久授予用户帐户访问权限。 结果取决于是否启用了 UAC。 有关详细信息,请参阅 在 Windows 资源管理器中单击“继续”获取文件夹访问权限时,用户帐户将添加到该文件夹的 ACL。
- 如果禁用 UAC,Windows 资源管理器将继续显示需要提升的项目的 UAC 防护图标。 Windows 资源管理器继续在应用程序和应用程序快捷方式的上下文菜单中以管理员身份运行。 由于 UAC 提升机制已禁用,因此这些命令不起作用。 应用程序与登录的用户在同一安全上下文中运行。
- 如果启用了 UAC,则当控制台实用工具Runas.exe用于使用受令牌筛选约束的用户帐户启动程序时,程序将使用用户的筛选令牌运行。 如果禁用 UAC,则启动的程序使用用户的完整令牌运行。
- 如果启用了 UAC,则不受令牌筛选约束的本地帐户不能用于通过远程桌面以外的网络接口进行远程管理。 例如,通过 NET USE 或 WinRM。 通过此类接口进行身份验证的本地帐户仅获取授予帐户筛选令牌的权限。 如果禁用 UAC,则会删除此限制。 也可以使用KB951016中所述的设置来删除
LocalAccountTokenFilterPolicy此限制。 删除此限制可能会增加许多系统具有相同用户名和密码的管理本地帐户的环境中系统泄露的风险。 建议确保针对此风险使用其他缓解措施。 有关建议的缓解措施的详细信息,请参阅 缓解传递哈希(PtH)攻击和其他凭据盗窃、版本 1 和版本 2。 - PsExec、用户帐户控制和安全边界
- 在 Windows 资源管理器中选择“继续”以访问文件夹时,用户帐户将添加到文件夹的 ACL(KB 950934)