Configuración y opciones de Control de cuentas de usuario

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Lista de configuración del control de cuentas de usuario

En la tabla siguiente se enumeran los valores disponibles para configurar el comportamiento de UAC y sus valores predeterminados.

Nombre del valor de configuración	Descripción
Administración modo de aprobación para la cuenta de administrador integrada	Controla el comportamiento de Administración modo de aprobación para la cuenta de administrador integrada. Habilitado: la cuenta de administrador integrada usa Administración modo de aprobación. De forma predeterminada, cualquier operación que requiera la elevación de privilegios solicita al usuario que apruebe la operación. Deshabilitado (valor predeterminado): la cuenta de administrador integrada ejecuta todas las aplicaciones con privilegios administrativos completos.
Permitir que las aplicaciones de UIAccess soliciten elevación sin usar el escritorio seguro	Controla si los programas de accesibilidad de la interfaz de usuario (UIAccess o UIA) pueden deshabilitar automáticamente el escritorio seguro para las solicitudes de elevación usadas por un usuario estándar. Habilitado: los programas UIA, incluida la asistencia remota, deshabilitan automáticamente el escritorio seguro para los avisos de elevación. Si no deshabilita switch to the secure desktop when prompting for elevation policy setting, the prompts appear on the interactive user's desktop instead of the secure desktop. Esta configuración permite al administrador remoto proporcionar las credenciales adecuadas para la elevación. Esta configuración de directiva no cambia el comportamiento de la solicitud de elevación de UAC para los administradores. Si tiene previsto habilitar esta configuración de directiva, también debe revisar el efecto del comportamiento del símbolo del sistema de elevación para la configuración de directiva de usuarios estándar: si se ha configurado como Denegación automática de solicitudes de elevación, las solicitudes de elevación no se presentan al usuario. Deshabilitado (valor predeterminado): el escritorio seguro solo lo puede deshabilitar el usuario del escritorio interactivo o deshabilitar el cambio al escritorio seguro al solicitar la configuración de la directiva de elevación.
Comportamiento de la solicitud de elevación de los administradores en Administración modo de aprobación	Controla el comportamiento de la solicitud de elevación para los administradores. Elevar sin preguntar: permite que las cuentas con privilegios realicen una operación que requiere elevación sin necesidad de consentimiento ni credenciales. Use esta opción solo en los entornos más restringidos. Solicitar credenciales en el escritorio seguro: cuando una operación requiere la elevación de privilegios, se pide al usuario en el escritorio seguro que escriba un nombre de usuario y una contraseña con privilegios. Si el usuario escribe credenciales válidas, la operación continúa con el privilegio más alto disponible del usuario. Solicitar consentimiento en el escritorio seguro: cuando una operación requiere la elevación de privilegios, se pide al usuario en el escritorio seguro que seleccione Permitir o Denegar. Si el usuario selecciona Permitir, la operación continúa con el privilegio más alto disponible del usuario. Solicitar credenciales: cuando una operación requiere la elevación de privilegios, se pide al usuario que escriba un nombre de usuario administrativo y una contraseña. Si el usuario escribe credenciales válidas, la operación continúa con el privilegio aplicable. Solicitar consentimiento: cuando una operación requiere la elevación de privilegios, se pide al usuario que seleccione Permitir o Denegar. Si el usuario selecciona Permitir, la operación continúa con el privilegio más alto disponible del usuario. Solicitar consentimiento para archivos binarios que no son de Windows (valor predeterminado): cuando una operación para una aplicación que no es de Microsoft requiere la elevación de privilegios, se pide al usuario en el escritorio seguro que seleccione Permitir o Denegar. Si el usuario selecciona Permitir, la operación continúa con el privilegio más alto disponible del usuario.
Comportamiento de la solicitud de elevación para los usuarios estándar	Controla el comportamiento de la solicitud de elevación para los usuarios estándar. Solicitar credenciales (valor predeterminado): cuando una operación requiere la elevación de privilegios, se pide al usuario que escriba un nombre de usuario administrativo y una contraseña. Si el usuario escribe credenciales válidas, la operación continúa con el privilegio aplicable. Denegar automáticamente solicitudes de elevación: cuando una operación requiere la elevación de privilegios, se muestra un mensaje de error de acceso denegado configurable. Una empresa que ejecuta escritorios como usuario estándar puede elegir esta opción para reducir las llamadas del departamento de soporte técnico. Solicitud de credenciales en el escritorio seguro Cuando una operación requiere la elevación de privilegios, se pide al usuario en el escritorio seguro que escriba un nombre de usuario y una contraseña diferentes. Si el usuario escribe credenciales válidas, la operación continúa con el privilegio aplicable.
Detección de instalaciones de aplicaciones y petición de elevación	Controla el comportamiento de la detección de instalación de aplicaciones para el equipo. Habilitado (valor predeterminado): cuando se detecta un paquete de instalación de la aplicación que requiere la elevación de privilegios, se pide al usuario que escriba un nombre de usuario administrativo y una contraseña. Si el usuario escribe credenciales válidas, la operación continúa con el privilegio aplicable. Deshabilitado: los paquetes de instalación de aplicaciones no se detectan y se les solicita elevación. Las empresas que ejecutan escritorios de usuario estándar y usan tecnologías de instalación delegada, como Microsoft Intune, deben deshabilitar esta configuración de directiva. En este caso, la detección del instalador no es necesaria.
Elevar solo los ejecutables firmados y validados	Aplica comprobaciones de firma para las aplicaciones interactivas que solicitan la elevación de privilegios. Los administradores de TI pueden controlar qué aplicaciones pueden ejecutarse agregando certificados al almacén de certificados de publicadores de confianza en dispositivos locales. Habilitado: aplica la validación de la ruta de certificación del certificado para un archivo ejecutable determinado antes de que se pueda ejecutar. Deshabilitado (valor predeterminado): no aplica la validación de la ruta de certificación del certificado antes de que se pueda ejecutar un archivo ejecutable determinado.
Elevar solo las aplicaciones de UIAccess instaladas en ubicaciones seguras	Controla si las aplicaciones que solicitan ejecutarse con un nivel de integridad de accesibilidad de la interfaz de usuario (UIAccess) deben residir en una ubicación segura en el sistema de archivos. Las ubicaciones seguras se limitan a las siguientes carpetas: - %ProgramFiles%, incluidas las subcarpetas - %SystemRoot%\system32\ - %ProgramFiles(x86)%, incluidas las subcarpetas Habilitado (valor predeterminado): si una aplicación reside en una ubicación segura en el sistema de archivos, solo se ejecuta con la integridad de UIAccess. Deshabilitado: una aplicación se ejecuta con integridad UIAccess incluso si no reside en una ubicación segura en el sistema de archivos. Nota: Windows aplica una comprobación de firma digital en cualquier aplicación interactiva que solicite ejecutarse con un nivel de integridad uiAccess independientemente del estado de esta configuración.
Ejecución de todos los administradores en Administración modo de aprobación	Controla el comportamiento de todas las configuraciones de directiva de UAC. Habilitado (valor predeterminado): Administración modo de aprobación está habilitado. Esta directiva debe estar habilitada y configurar la configuración de UAC relacionada. La directiva permite que la cuenta de administrador integrada y los miembros del grupo Administradores se ejecuten en Administración modo de aprobación. Deshabilitado: Administración modo de aprobación y todas las configuraciones de directiva UAC relacionadas están deshabilitadas. Nota: Si esta configuración de directiva está deshabilitada, Seguridad de Windows le notifica que se reduce la seguridad general del sistema operativo.
Cambiar al escritorio seguro al solicitar elevación	Esta configuración de directiva controla si el símbolo del sistema de solicitud de elevación se muestra en el escritorio del usuario interactivo o en el escritorio seguro. Habilitado (valor predeterminado): todas las solicitudes de elevación van al escritorio seguro, independientemente de la configuración de la directiva de comportamiento de mensajes para administradores y usuarios estándar. Deshabilitado: todas las solicitudes de elevación van al escritorio del usuario interactivo. Se usa la configuración de directivas de comportamiento de aviso para administradores y usuarios estándar.
Virtualización de errores de escritura de archivos y registros en ubicaciones por usuario	Controla si los errores de escritura de la aplicación se redirigen a ubicaciones definidas del registro y del sistema de archivos. Esta configuración mitiga las aplicaciones que se ejecutan como administrador y escriben datos de aplicaciones en tiempo de ejecución en %ProgramFiles%, %Windir%, %Windir%\system32o HKLM\Software. Habilitado (valor predeterminado): los errores de escritura de la aplicación se redirigen en tiempo de ejecución a ubicaciones de usuario definidas para el sistema de archivos y el registro. Deshabilitado: se produce un error en las aplicaciones que escriben datos en ubicaciones protegidas.

Configuración del control de cuentas de usuario

Para configurar UAC, puede usar:

• Microsoft Intune/MDM
• Directiva de grupo
• Registro

Las instrucciones siguientes proporcionan detalles sobre cómo configurar los dispositivos. Seleccione la opción que mejor se adapte a sus necesidades.

Intune/CSP

Configuración de UAC con una directiva de catálogo de configuración

Para configurar dispositivos mediante Microsoft Intune, cree una directiva de catálogo configuración y use la configuración que aparece en la categoría Local Policies Security Options:

Asigne la directiva a un grupo de seguridad que contenga como miembros los dispositivos o usuarios que desea configurar.

Como alternativa, puede configurar dispositivos mediante una directiva personalizada con el CSP de directiva LocalPoliciesSecurityOptions.
La configuración de directiva se encuentra en: ./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions.

Configuración
Nombre de configuración: Administración modo de aprobación para la cuenta de administrador integrada Nombre de CSP de directiva: UserAccountControl_UseAdminApprovalMode
Nombre de configuración: permitir que las aplicaciones de UIAccess soliciten elevación sin usar el escritorio seguro Nombre de CSP de directiva: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
Nombre de configuración: comportamiento del símbolo del sistema de elevación para los administradores en Administración modo de aprobación Nombre de CSP de directiva: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
Nombre de configuración: comportamiento del símbolo del sistema de elevación para los usuarios estándar Nombre de CSP de directiva: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
Nombre de configuración: Detección de instalaciones de aplicaciones y solicitud de elevación Nombre de CSP de directiva: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
Configuración del nombre: elevar solo los ejecutables firmados y validados Nombre de CSP de directiva: UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated
Configuración del nombre: elevar solo las aplicaciones de UIAccess instaladas en ubicaciones seguras Nombre de CSP de directiva: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
Nombre de configuración: ejecutar todos los administradores en Administración modo de aprobación Nombre de CSP de directiva: UserAccountControl_RunAllAdministratorsInAdminApprovalMode
Nombre de configuración: cambie al escritorio seguro al solicitar elevación. Nombre de CSP de directiva: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
Configuración del nombre: Virtualizar errores de escritura de archivos y registro en ubicaciones por usuario Nombre de CSP de directiva: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

GPO

Puedes usar directivas de seguridad para configurar cómo funciona el Control de cuentas de usuario de la organización. Las directivas se pueden configurar localmente mediante el complemento Directiva de seguridad local (secpol.msc) o se pueden configurar para el dominio, la unidad organizativa o grupos específicos por directiva de grupo.

La configuración de directiva se encuentra en: Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options.

Configuración de directiva de grupo	Valor predeterminado
Control de cuentas de usuario: modo de aprobación de Administración para la cuenta de administrador integrada	Deshabilitado
Control de cuentas de usuario: permitir que las aplicaciones UIAccess pidan confirmación de elevación sin usar el escritorio seguro	Deshabilitado
Control de cuentas de usuario: comportamiento de la petición de elevación para los administradores en Modo de aprobación de administrador	Solicitud de consentimiento para archivos binarios que no son de Windows
Control de cuentas de usuario: comportamiento de la petición de elevación para los usuarios estándar	Solicitud de credenciales
Control de cuentas de usuario: detectar instalaciones de aplicaciones y pedir confirmación de elevación	Habilitado (valor predeterminado solo para la edición home) Deshabilitado (valor predeterminado)
Control de cuentas de usuario: elevar sólo los archivos ejecutables firmados y validados	Deshabilitado
Control de cuentas de usuario: elevar sólo aplicaciones UIAccess instaladas en ubicaciones seguras	Habilitado
Control de cuentas de usuario: ejecutar todos los administradores en Modo de aprobación de administrador	Habilitado
Control de cuentas de usuario: cambiar al escritorio seguro cuando se pida confirmación de elevación	Habilitado
Control de cuentas de usuario: virtualizar errores de escritura de archivos y de Registro para ubicaciones por usuario	Habilitado

Registro

Las claves del Registro se encuentran en la clave : HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.

Nombre del valor de configuración	Nombre de clave del Registro	Valor
Administración modo de aprobación para la cuenta de administrador integrada	FilterAdministratorToken	0 (valor predeterminado) = Deshabilitado 1 = Habilitado
Permitir que las aplicaciones de UIAccess soliciten elevación sin usar el escritorio seguro	EnableUIADesktopToggle	0 (valor predeterminado) = Deshabilitado 1 = Habilitado
Comportamiento de la solicitud de elevación de los administradores en Administración modo de aprobación	ConsentPromptBehaviorAdmin	0 = Elevar sin preguntar 1 = Solicitar credenciales en el escritorio seguro 2 = Solicitar consentimiento en el escritorio seguro 3 = Solicitar credenciales 4 = Solicitud de consentimiento 5 (valor predeterminado) = Solicitud de consentimiento para archivos binarios que no son de Windows
Comportamiento de la solicitud de elevación para los usuarios estándar	ConsentPromptBehaviorUser	0 = Denegar automáticamente solicitudes de elevación 1 = Solicitar credenciales en el escritorio seguro 3 (valor predeterminado) = Solicitud de credenciales
Detección de instalaciones de aplicaciones y petición de elevación	EnableInstallerDetection	1 = Habilitado (valor predeterminado solo para el hogar) 0 = Deshabilitado (valor predeterminado)
Elevar solo los ejecutables firmados y validados	ValidateAdminCodeSignatures	0 (valor predeterminado) = Deshabilitado 1 = Habilitado
Elevar solo las aplicaciones de UIAccess instaladas en ubicaciones seguras	EnableSecureUIAPaths	0 = Deshabilitada 1 (valor predeterminado) = Habilitado
Ejecución de todos los administradores en Administración modo de aprobación	EnableLUA	0 = Deshabilitada 1 (valor predeterminado) = Habilitado
Cambiar al escritorio seguro al solicitar elevación	PromptOnSecureDesktop	0 = Deshabilitada 1 (valor predeterminado) = Habilitado
Virtualización de errores de escritura de archivos y registros en ubicaciones por usuario	EnableVirtualization	0 = Deshabilitada 1 (valor predeterminado) = Habilitado