使用者帳戶控制的運作方式

  • 發行項

適用于:Windows Server 2022、Windows Server 2019、Windows Server 2016

使用者帳戶控制 (UAC) 有助於防止惡意程式 (又稱為惡意程式碼) 破壞電腦,還可以幫助組織部署最佳管理桌面。 使用 UAC,應用程式和作業一律在非系統管理員帳戶的資訊安全內容下執行,除非系統管理員特別授與系統的系統管理員層級存取權。 UAC 可以封鎖未經授權應用程式的自動安裝,以及防止意外變更系統設定。

UAC 程式和互動

每一個需要系統管理員存取權杖的應用程式,必須向系統管理員顯示提示以取得同意。 其中一個例外狀況是父系處理程序和子處理程序間存在的關係。 子處理程序會繼承父系處理程序的使用者存取權杖。 不過,父系和子處理程序二者的整合層級必須相同。 Windows Server 2012藉由標記其完整性層級來保護進程。 整合層級的衡量依據是信任。 「高」整合應用程式負責執行修改系統資料的工作,例如磁碟分割應用程式,「低」整合應用程式則負責執行可能破壞作業系統的工作,例如網頁瀏覽器。 整合層級較低的應用程式無法修改整合層級較高的應用程式資料。 當標準使用者嘗試執行的應用程式需要系統管理員存取權杖,UAC 會要求使用者提供有效的系統管理員認證。

若要進一步瞭解此程式如何發生,請務必檢閱Windows Server 2012登入程式的詳細資料。

Windows Server 2012登入程式

下圖說明系統管理員及標準使用者的登入程序有何不同:

Illustration demonstrating how the logon process for an administrator differs from the logon process for a standard user

根據預設值,標準使用者和系統管理員會在標準使用者的資訊安全內容中存取資源以及執行應用程式。 當使用者登入電腦後,系統會為使用者建立存取權杖。 存取權杖包含授與使用者的存取權層級相關資訊,其中包括特定安全性識別碼 (SID) 以及 Windows 權限。

當系統管理員登入後,會為使用者建立兩個獨立的存取權杖:一個是標準使用者存取權杖,另一個是系統管理員存取權杖。 標準使用者存取權杖和系統管理員存取權杖包含相同的使用者特定資訊,但不包含 Windows 系統管理權限和 SID。 標準使用者存取權杖是用來啟動那些不執行系統管理工作的應用程式 (標準使用者應用程式)。 標準使用者存取權杖之後會再用來顯示桌面 (Explorer.exe)。 Explorer.exe 是父系處理程序,所有其他使用者啟動的處理程序都會繼承其存取權杖。 因此,除非使用者同意或者提供認證來核准應用程式使用完整的系統管理存取權杖,否則所有應用程式會以標準使用者的身分執行。

如果使用者是 Administrators 群組的成員,則可以使用標準使用者存取權杖登入、瀏覽網頁以及閱讀電子郵件。 當系統管理員需要執行需要系統管理員存取權杖的工作時,Windows Server 2012會自動提示使用者核准。 這個提示稱為提高權限提示,使用本機安全性原則嵌入式管理單元 (Secpol.msc) 或群組原則,即可設定其行為。

注意

「提高許可權」一詞用來參考Windows Server 2012中的程式,提示使用者同意或使用完整系統管理員存取權杖的認證。

UAC 使用者體驗

啟用 UAC 之後,標準使用者與管理員核准模式下的系統管理員,會有不同的體驗。 建議且更安全的執行Windows Server 2012方法是讓您的主要使用者帳戶成為標準使用者帳戶。 以標準使用者身分執行有助於大幅提升受管理環境的安全性。 使用內建的 UAC 提高權限元件,標準使用者可以輸入本機 Administrator 帳戶的有效認證,輕鬆執行系統管理工作。 標準使用者的預設內建 UAC 提高權限元件,就是指認證提示。

如果不想使用標準使用者身分執行,可以管理員核准模式下的系統管理員身分執行。 使用內建的 UAC 提高權限元件,本機 Administrators 群組的成員只要提供核准,就可以輕鬆執行系統管理工作。 管理員核准模式下,系統管理員的預設內建 UAC 提高權限元件,稱為同意提示。 使用本機安全性原則嵌入式管理單元 (Secpol.msc) 或群組原則,可以設定 UAC 提高權限提示行為。

同意和認證提示

啟用 UAC 後,Windows Server 2012啟動需要完整系統管理員存取權杖的程式或工作之前,先提示同意或提示輸入有效本機系統管理員帳戶的認證。 此提示可以確保惡意軟體無法進行無訊息安裝。

同意提示

當使用者嘗試執行需要使用者系統管理存取權杖的工作時,就會顯示同意提示。 以下是 UAC 同意提示的螢幕擷取畫面。

Screen shot of the UAC consent prompt

認證提示

當標準使用者嘗試執行需要使用者系統管理存取權杖的工作時,就會顯示認證提示。 您可以使用本機安全性原則嵌入式管理單元 (Secpol.msc) 或群組原則,設定此標準使用者預設提示行為。 系統管理員也需要將 [使用者帳戶控制: 在管理員核准模式,系統管理員之提高權限提示的行為] 原則設定值設定成 [提示認證],借此提供他們的認證。

下列螢幕擷取畫面是 UAC 認證提示的範例。

Screen shot showing an example of the UAC credential prompt

UAC 提高權限提示

UAC 提高權限提示會依應用程式標示不同顏色,讓您可以立即識別應用程式的潛在安全性風險。 當應用程式嘗試以系統管理員的完整存取權杖執行時,Windows Server 2012先分析可執行檔來判斷其發行者。 應用程式會先根據可執行檔的發行者分成三個類別:Windows Server 2012、發行者已驗證 (已簽署) ,且發行者未驗證 (未簽署) 。 下圖說明Windows Server 2012如何決定要向使用者呈現的色彩提高權限提示。

以下是提高權限提示的色彩編碼:

  • 紅色背景加上紅色保護盾圖示:群組原則封鎖了應用程式或者應用程式出自被封鎖的發行者。

  • 藍色背景,具有藍色和金級防護圖示:應用程式是Windows Server 2012系統管理應用程式,例如主控台專案。

  • 藍色背景加藍色保護盾圖示:使用 Authenticode 簽署的應用程式,而且受到本機電腦信任。

  • 黃色背景加黃色保護盾圖示:未簽署或已簽署的應用程式,但不受本機電腦信任。

保護盾圖示

部分控制台項目,如 [日期和時間內容],包含系統管理員和標準使用者作業的結合。 標準使用者可以查看時鐘以及變更時區,不過要想變更本機系統時間,就需要完整系統管理員存取權杖。 以下是日期與時間屬性主控台專案的螢幕擷取畫面。

Screen shot showing the Date and Time Properties Control Panel item

[變更日期和時間] 按鈕上的保護盾圖示代表該處理程序需要完整的系統管理員存取權杖,而且會顯示 UAC 提高權限提示。

保護提高權限提示

將提示導向安全桌面,可以進一步保護提高權限處理程序。 根據預設,同意和認證提示會顯示在安全桌面上,Windows Server 2012 。 只有 Windows 處理程序可以存取安全桌面。 若要取得更高的安全性層級,我們建議您繼續啟用 [使用者帳戶控制: 提示提升權限時切換到安全桌面] 原則設定。

可執行檔要求提高權限時,互動式桌面 (又稱為使用者桌面) 會切換至安全桌面。 安全桌面會將使用者桌面變暗,並顯示提高權限提示,您必須先回應該提示,才能繼續後續動作。 當使用者按一下 [是] 或 [否],桌面就會切換回使用者桌面。

惡意程式碼會模仿安全桌面,不過將 [使用者帳戶控制: 在管理員核准模式,系統管理員之提升權限提示的行為] 原則設定設成 [提示要求同意] 後,即使使用者在模仿的安全桌面上按一下 [是],惡意程式碼也不會被提高權限。 如果原則設定被設定成 [提示要求認證],模仿認證提示的惡意程式碼或許可以從使用者蒐集認證。 不過,惡意程式碼不會得到提高後的權限而且系統會採取其他保護措施,讓惡意程式碼即使使用蒐集到的密碼也無法控制使用者介面。

雖然惡意程式碼會模仿安全桌面,不過除非使用者以前將惡意程式碼安裝到電腦上,否則不會發生這種問題。 由於啟用 UAC 之後,需要系統管理員存取權杖的處理程序就無法進行無訊息安裝,因此使用者必須按一下 [是],或提供系統管理員認證,明確表示同意安裝該處理程序。 UAC 提高權限提示的具體行為,取決於群組原則的設定。

UAC 架構

下圖提供 UAC 架構的詳細資訊。

Diagram detailing the UAC architecture

若要進一步瞭解每個元件,請檢閱下表:

元件 描述
使用者
使用者執行需要權限的作業 如果作業變更了檔案系統或登錄,則會呼叫 Virtualization 。 所有其他作業會呼叫 ShellExecute。
ShellExecute ShellExecute 會呼叫 CreateProcess。 ShellExecute 會從 CreateProcess 尋找 ERROR_ELEVATION_REQUIRED 錯誤。 如果收到錯誤,ShellExecute 便會呼叫應用程式資訊服務,試著藉由提高權限提示來執行要求的工作。
CreateProcess 如果應用程式需要提高權限,CreateProcess 會使用 ERROR_ELEVATION_REQUIRED 拒絕要求。
系統
應用程式資訊服務 一種系統服務,可以協助啟動那些需要一或多個提高的權限或使用者權限才能執行的應用程式,例如本機系統管理作業,以及需要更高整合層級的應用程式。 當需要提高權限且使用者同意 (取決於群組原則) 啟動這類應用程式後,應用程式資訊服務會使用系統管理使用者完整存取權杖為應用程式建立新的處理程序,幫助啟動應用程式。
提高安裝ActiveX 如果未安裝 ActiveX,系統會檢查 UAC 滑桿等級。 如果已安裝 ActiveX,就會選取 [使用者帳戶控制: 提示提升權限時切換到安全桌面] 群組原則。
檢查 UAC 滑桿等級 UAC 現在有 4 個通知等級可以選擇,還有一個用於選擇通知等級的滑桿:

  • 如果滑桿設定為 [一律通知],系統會檢查是否已經啟用安全桌面。

  • 如果滑桿設定成 [預設 - 只在程式嘗試變更我的電腦時才通知我],則會選取 [使用者帳戶控制: 僅針對已簽署與驗證過的可執行檔,提升其權限] 原則設定:

    • 如果啟用該原則設定,在允許執行指定的可執行檔之前,會先強制執行公開金鑰基礎架構 (PKI) 憑證路徑驗證。
    • 如果沒有啟用該原則設定 (預設值),在允許執行指定的可執行檔之前,不會強制執行 PKI 憑證路徑驗證。 系統會選取 [使用者帳戶控制: 提示提升權限時切換到安全桌面] 群組原則設定。

  • 如果滑桿是設定成 [程式嘗試變更我的電腦時才通知我 (不要將桌面變暗)],則會呼叫 CreateProcess。

  • 永不通知

    如果滑杆設定為 [永不通知我] 時,UAC 提示永遠不會在程式嘗試安裝或嘗試在電腦上進行任何變更時通知。 重要: 不建議使用此設定。 此設定與設定使用者帳戶控制:系統管理員核准模式原則設定中的系統管理員提高許可權提示行為相同,而不提示。
安全桌面已啟用 系統會選取 [使用者帳戶控制: 提示提升權限時切換到安全桌面] 群組原則設定。

- 如果已啟用安全桌面,所有提高許可權要求都會移至安全桌面,而不論系統管理員和標準使用者的提示行為原則設定為何。
- 如果未啟用安全桌面,所有提高許可權要求都會移至互動式使用者的桌面,並使用系統管理員和標準使用者的個別使用者設定。
CreateProcess CreateProcess 會呼叫 AppCompat、融合以及安裝程式偵測,評估應用程式是否需要提高權限。 然後會檢查可執行檔,判斷它要求的執行層級 (儲存在可執行檔的應用程式資訊清單中)。 如果資訊清單中指定之要求的執行層級與存取權杖不符,CreateProcess 就會失敗,並將錯誤 (ERROR_ELEVATION_REQUIRED) 傳回 ShellExecute。
AppCompat AppCompat 資料庫儲存應用程式的相容性更正項目資訊。
融合 融合資料庫儲存描述應用程式之應用程式資訊清單的資訊。 系統會更新資訊清單架構描述,以增加新要求的執行層級欄位。
安裝程式偵測 安裝程式偵測會偵測安裝程式可執行檔,有助於防止在使用者不知情且未同意的情況下執行安裝。
核心
虛擬化 虛擬化技術可以確保不相容的應用程式不會無訊息失敗,或者在不明情況下失敗。 UAC 也會為要在受保護區域中寫入資料的應用程式,提供檔案和登錄模擬以及紀錄功能。
檔案系統和登錄 每個使用者檔案和登錄模擬都會將每部電腦登錄和檔案寫入要求,重新導向到對等的每個使用者位置。 讀取要求會先重新導向到虛擬化的每個使用者位置,然後再到每部電腦位置。

從舊版Windows Windows Server 2012 UAC 有所變更。 新的滑杆永遠不會完全關閉 UAC。 新的設定將會:

  • 讓 UAC 服務保持執行。

  • 導致系統管理員所起始的所有提高許可權要求自動核准,而不會顯示 UAC 提示。

  • 自動拒絕標準使用者的所有提高許可權要求。

重要

若要完全停用 UAC,您必須停用 使用者帳戶控制:以系統管理員核准模式執行所有系統管理員的原則。

警告

停用 UAC 時,量身訂做的應用程式不適用於Windows Server 2012。

虛擬化

企業環境中的系統管理員為了保護系統,所以很多特定業務 (LOB) 應用程式都設計為只能使用標準使用者存取權杖。 因此,IT 系統管理員不需要在啟用 UAC 的情況下執行Windows Server 2012時取代大部分的應用程式。

Windows Server 2012包含不符合 UAC 規範且需要系統管理員存取權杖才能正確執行之應用程式的檔案和登錄虛擬化技術。 虛擬化可確保即使是不符合 UAC 規範的應用程式都與 Windows Server 2012 相容。 與 UAC 不相容的系統管理應用程式嘗試在受保護的目錄 (例如 Program Files) 寫入資料時,UAC 會針對要嘗試變更的資源,提供該應用程式專屬的虛擬化檢視。 虛擬化複本會保留在使用者設定檔中。 此策略會針對執行不相容之應用程式的每個使用者建立個別的虛擬化檔案複本。

大部分應用程式工作都可以使用虛擬化功能正常運作。 雖然虛擬化可讓大部分應用程式順利執行,但這只是短期的修復,而非長期解決之道。 應用程式開發人員應該儘快修改其應用程式,使其符合Windows Server 2012標誌程式,而不是依賴檔案、資料夾和登錄虛擬化。

虛擬化不適用於下列案例:

  1. 虛擬化不適用於以完整系統管理存取權杖提升權限並執行的應用程式。

  2. 虛擬化僅支援 32 位元的應用程式。 未提高權限的 64 位元應用程式嘗試取得 Windows 物件的控制碼 (唯一識別碼) 時,只會收到拒絕存取訊息。 原生 Windows 64 位元應用程式必須與 UAC 相容並將資料寫入正確位置。

  3. 如果應用程式包含具有要求之執行層級屬性的應用程式資訊清單,則會停用應用程式的虛擬化。

要求執行層級

所謂應用程式資訊清單,就是說明並識別共用和私用並存組件的 XML 檔,這些並存組件是應用程式要在執行時間加以繫結的組件。 在 Windows Server 2012 中,應用程式資訊清單包含 UAC 應用程式相容性專案。 在應用程式資訊清單中包含項目的系統管理應用程式,會提示使用者提供存取使用者存取權杖的權限。 雖然大部分系統管理應用程式在應用程式資訊清單中沒有相關的項目,但是還是可以使用應用程式相容性修正執行,且不需進行修改。 應用程式相容性修正是資料庫專案,可讓不符合 UAC 規範的應用程式與 Windows Server 2012 正常運作。

所有與 UAC 相容的應用程式都應該在應用程式資訊清單中加入要求的執行層級。 如果應用程式需要系統的系統管理存取權,將應用程式要求的執行層級標示為「需要系統管理員」,可以確保系統將此程式識別為系統管理應用程式,然後執行必要的提高權限步驟。 要求的執行層級會指定應用程式所需的權限。

安裝程式偵測技術

安裝程式是為了部署軟體而設計的應用程式。 大部分的安裝程式會寫入系統目錄以及登錄機碼。 在安裝程式偵測技術中,這些受保護的系統位置通常只有系統管理員才能寫入資料,這表示標準使用者沒有足夠的存取權可以安裝程式。 Windows Server 2012啟發式偵測安裝程式,並從系統管理員使用者要求系統管理員認證或核准,以使用存取權限執行。 Windows Server 2012也會啟發式偵測卸載應用程式的更新和程式。 UAC 的設計目標之一就是防止在使用者不知情和未同意的情況下執行安裝,因為安裝程式會在檔案系統與登錄的受保護區域寫入資料。

安裝程式偵測只適用於下列各項:

  • 32 位元可執行檔。

  • 不具備要求的執行層級屬性的應用程式。

  • 以標準使用者身分執行且啟用 UAC 的互動式處理程序。

建立 32 位元處理程序之前,會檢查下列屬性以判斷是否為安裝程式:

  • 檔案名稱包含如 install、setup 或 update 等關鍵字。

  • [版本設定資源] 欄位包含下列關鍵字:Vendor、Company Name、Product Name、File Description、Original Filename、Internal Name 以及 Export Name。

  • 內嵌到可執行檔的並排資訊清單關鍵字。

  • 可執行檔連結的特定 StringTable 項目關鍵字。

  • 可執行檔連結的資源指令碼資料機碼屬性。

  • 可執行檔中有目標位元組序列。

注意

關鍵字和位元組序列是從各種安裝程式技術觀察到的一般特性衍生而來。

注意

[使用者帳戶控制: 偵測應用程式安裝,並提示提升權限] 原則設定必須啟用,安裝程式偵測才能偵測安裝程式。 這項設定預設為啟用,且可以使用本機安全性原則嵌入式管理單元 (Secpol.msc) 在本機進行設定,或使用群組原則 (Gpedit.msc) 為網域、OU 或特定群組進行設定。