Definições e configuração do Controle de Conta de Usuário

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Lista de configurações do Controle de Conta de Usuário

A tabela a seguir lista as configurações disponíveis para configurar o comportamento UAC e seus valores padrão.

Nome da configuração	Descrição
Administração modo de aprovação para a conta de administrador interna	Controla o comportamento do modo de aprovação de Administração para a conta de administrador interna. Habilitado: a conta interna do Administrador usa Administração Modo de Aprovação. Por padrão, qualquer operação que exija a elevação do privilégio solicita que o usuário aprove a operação. Desabilitado (padrão): a conta interna do Administrador executa todos os aplicativos com privilégio administrativo completo.
Permitir que aplicativos UIAccess solicitem a elevação sem usar a área de trabalho segura	Controla se os programas UIAccess (UIAccess ou UIA) podem desabilitar automaticamente a área de trabalho segura para prompts de elevação usados por um usuário padrão. Habilitado: programas UIA, incluindo Assistência Remota, desabilitam automaticamente a área de trabalho segura para prompts de elevação. Se você não desabilitar o Switch para a área de trabalho segura ao solicitar a configuração da política de elevação, os prompts aparecerão na área de trabalho do usuário interativo em vez da área de trabalho segura. Essa configuração permite que o administrador remoto forneça as credenciais apropriadas para elevação. Essa configuração de política não altera o comportamento do prompt de elevação do UAC para administradores. Se você planeja habilitar essa configuração de política, também deve examinar o efeito do comportamento do prompt de elevação para a configuração de política de usuários padrão: se ele estiver configurado como negar automaticamente solicitações de elevação, as solicitações de elevação não serão apresentadas ao usuário. Desabilitado (padrão): a área de trabalho segura só pode ser desabilitada pelo usuário da área de trabalho interativa ou desabilitando o Switch para a área de trabalho segura ao solicitar a configuração da política de elevação .
Comportamento do prompt de elevação para administradores no modo de aprovação Administração	Controla o comportamento do prompt de elevação para administradores. Elevar sem solicitar: permite que contas privilegiadas executem uma operação que requer elevação sem exigir consentimento ou credenciais. Use essa opção somente nos ambientes mais restritos. Solicitar credenciais na área de trabalho segura: quando uma operação requer a elevação do privilégio, o usuário é solicitado na área de trabalho segura a inserir um nome de usuário e senha privilegiados. Se o usuário inserir credenciais válidas, a operação continuará com o privilégio mais alto disponível do usuário. Solicitar consentimento na área de trabalho segura: quando uma operação requer a elevação do privilégio, o usuário é solicitado na área de trabalho segura a selecionar Permitir ou Negar. Se o usuário selecionar Permitir, a operação continuará com o privilégio mais alto disponível do usuário. Prompt para credenciais: quando uma operação requer elevação de privilégio, o usuário é solicitado a inserir um nome de usuário administrativo e uma senha. Se o usuário inserir credenciais válidas, a operação continuará com o privilégio aplicável. Solicitação de consentimento: quando uma operação requer a elevação do privilégio, o usuário é solicitado a selecionar Permissão ou Negar. Se o usuário selecionar Permitir, a operação continuará com o privilégio mais alto disponível do usuário. Solicitar consentimento para binários não Windows (padrão): quando uma operação para um aplicativo que não é da Microsoft requer elevação de privilégio, o usuário é solicitado na área de trabalho segura a selecionar Permitir ou Negar. Se o usuário selecionar Permitir, a operação continuará com o privilégio mais alto disponível do usuário.
Comportamento do prompt de elevação para usuários padrão	Controla o comportamento do prompt de elevação para usuários padrão. Prompt para credenciais (padrão): quando uma operação requer a elevação do privilégio, o usuário é solicitado a inserir um nome de usuário administrativo e uma senha. Se o usuário inserir credenciais válidas, a operação continuará com o privilégio aplicável. Negar automaticamente solicitações de elevação: quando uma operação requer a elevação do privilégio, uma mensagem de erro de acesso configurável negada é exibida. Uma empresa que está executando áreas de trabalho como usuário padrão pode escolher essa configuração para reduzir as chamadas do help desk. Solicitar credenciais na área de trabalho segura Quando uma operação requer a elevação do privilégio, o usuário é solicitado na área de trabalho segura a inserir um nome de usuário e uma senha diferentes. Se o usuário inserir credenciais válidas, a operação continuará com o privilégio aplicável.
Detectar instalações de aplicativo e prompt para elevação	Controla o comportamento da detecção de instalação do aplicativo para o computador. Habilitado (padrão): quando um pacote de instalação de aplicativo é detectado que requer a elevação do privilégio, o usuário é solicitado a inserir um nome de usuário administrativo e uma senha. Se o usuário inserir credenciais válidas, a operação continuará com o privilégio aplicável. Desabilitado: os pacotes de instalação do aplicativo não são detectados e solicitados para elevação. As empresas que estão executando áreas de trabalho de usuário padrão e usam tecnologias de instalação delegadas, como Microsoft Intune, devem desabilitar essa configuração de política. Nesse caso, a detecção do instalador é desnecessária.
Apenas elevar executáveis que são assinados e validados	Impõe verificações de assinatura para todos os aplicativos interativos que solicitam a elevação do privilégio. Os administradores de TI podem controlar quais aplicativos podem ser executados adicionando certificados ao repositório de certificados editores confiáveis em dispositivos locais. Habilitado: impõe a validação do caminho de certificação de certificado para um determinado arquivo executável antes de ser permitido executar. Desabilitado (padrão): não impõe a validação do caminho de certificação de certificado antes que um determinado arquivo executável seja autorizado a ser executado.
Apenas elevar aplicativos UIAccess instalados em locais seguros	Controla se os aplicativos que solicitam ser executados com um nível de integridade UIAccess (Acessibilidade da Interface do Usuário) devem residir em um local seguro no sistema de arquivos. Os locais seguros são limitados às seguintes pastas: - %ProgramFiles%, incluindo subpastas - %SystemRoot%\system32\ - %ProgramFiles(x86)%, incluindo subpastas Habilitado (padrão): se um aplicativo reside em um local seguro no sistema de arquivos, ele será executado somente com integridade UIAccess. Desabilitado: um aplicativo é executado com integridade do UIAccess mesmo que ele não resida em um local seguro no sistema de arquivos. Nota: O Windows impõe uma assinatura digital marcar em qualquer aplicativo interativo que solicite a execução com um nível de integridade do UIAccess, independentemente do estado dessa configuração.
Executar todos os administradores no modo de aprovação Administração	Controla o comportamento de todas as configurações de política do UAC. Habilitado (padrão): Administração Modo de Aprovação está habilitado. Essa política deve estar habilitada e configuradas as configurações de UAC relacionadas. A política permite que a conta interna do Administrador e os membros do grupo Administradores sejam executados no Modo de Aprovação Administração. Desabilitado: Administração Modo de Aprovação e todas as configurações de política UAC relacionadas estão desabilitadas. Observação: se essa configuração de política estiver desabilitada, Segurança do Windows notificará que a segurança geral do sistema operacional será reduzida.
Alternar para a área de trabalho segura ao solicitar a elevação	Essa configuração de política controla se o prompt de solicitação de elevação é exibido na área de trabalho do usuário interativo ou na área de trabalho segura. Habilitado (padrão): todas as solicitações de elevação vão para a área de trabalho segura, independentemente das configurações de política de comportamento de prompt para administradores e usuários padrão. Desabilitado: todas as solicitações de elevação vão para a área de trabalho do usuário interativo. As configurações de política de comportamento prompt para administradores e usuários padrão são usadas.
Virtualizar falhas de gravação de arquivo e registro por localização do usuário	Controla se as falhas de gravação do aplicativo são redirecionadas para locais definidos do registro e do sistema de arquivos. Essa configuração mitiga aplicativos que são executados como administrador e gravam dados de aplicativo em tempo de execução para %ProgramFiles%, %Windir%, %Windir%\system32ou HKLM\Software. Habilitados (padrão): as falhas de gravação do aplicativo são redirecionadas em tempo de execução para locais de usuário definidos para o sistema de arquivos e o registro. Desabilitado: os aplicativos que gravam dados para locais protegidos falham.

Configuração de Controle de Conta de Usuário

Para configurar o UAC, você pode usar:

• Microsoft Intune/MDM
• Política de grupo
• Registro

As instruções a seguir fornecem detalhes de como configurar seus dispositivos. Selecione a opção que melhor atende às suas necessidades.

Intune/CSP

Configurar o UAC com uma política de catálogo de configurações

Para configurar dispositivos usando Microsoft Intune, crie uma política de catálogo de configurações e use as configurações listadas na categoria Local Policies Security Options:

Atribua a política a um grupo de segurança que contém como membros os dispositivos ou usuários que você deseja configurar.

Como alternativa, você pode configurar dispositivos usando uma política personalizada com o CSP da Política localPoliciesSecurityOptions.
As configurações de política estão localizadas em: ./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions.

Configuração
Nome da configuração: Administração Modo de Aprovação para a conta de administrador interna Nome da política CSP: UserAccountControl_UseAdminApprovalMode
Nome da configuração: permitir que aplicativos UIAccess solicitem a elevação sem usar a área de trabalho segura Nome da política CSP: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
Nome da configuração: comportamento do prompt de elevação para administradores no modo de aprovação Administração Nome da política CSP: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
Nome da configuração: comportamento do prompt de elevação para usuários padrão Nome da política CSP: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
Nome da configuração: detectar instalações de aplicativo e solicitar elevação Nome da política CSP: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
Nome da configuração: apenas elevar executáveis que são assinados e validados Nome da política CSP: UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated
Nome da configuração: apenas eleve os aplicativos UIAccess instalados em locais seguros Nome da política CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
Nome da configuração: executar todos os administradores no modo de aprovação Administração Nome da política CSP: UserAccountControl_RunAllAdministratorsInAdminApprovalMode
Nome da configuração: alternar para a área de trabalho segura ao solicitar a elevação Nome da política CSP: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
Nome da configuração: virtualizar falhas de gravação de arquivo e registro em locais por usuário Nome da política CSP: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

GPO

Você pode usar políticas de segurança para configurar o modo como o Controle de Conta de Usuário funciona em sua organização. As políticas podem ser configuradas localmente usando o snap-in da Política de Segurança Local (secpol.msc) ou configuradas para o domínio, OU ou grupos específicos por política de grupo.

As configurações de política estão localizadas em: Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options.

Configuração da Política de Grupo	Valor padrão
Controle da conta de usuário: Administração modo de aprovação para a conta de administrador interna	Desabilitado
Controle de Conta de Usuário: permitir que aplicativos UIAccess solicitem elevação sem usar a área de trabalho protegida	Desabilitado
Controle de Conta de Usuário: comportamento da solicitação de elevação de administradores no Modo de Aprovação de Administrador	Solicitar consentimento para binários que não são do Windows
Controle de Conta de Usuário: comportamento da solicitação de elevação de usuários padrão	Solicitar credenciais
Controle de Conta de Usuário: detectar instalações de aplicativos e perguntar se deseja elevar	Habilitado (padrão somente para edição inicial) Desabilitado (padrão)
Controle de Conta de Usuário: elevar somente executáveis assinados e validados	Desabilitado
Controle de Conta de Usuário: elevar apenas aplicativos UIAccess que estejam instalados em locais seguros	Habilitada
Controle de Conta de Usuário: executar todos os administradores no Modo de Aprovação de Administrador	Habilitada
Controle de Conta de Usuário: alternar para a área de trabalho segura ao pedir elevação	Habilitada
Controle de Conta de Usuário: virtualizar falhas de gravação de arquivos e do Registro para locais por usuário	Habilitada

Registro

As chaves do registro são encontradas sob a chave: HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.

Nome da configuração	Nome da chave do registro	Valor
Administração Modo de Aprovação para a conta de administrador interna	FilterAdministratorToken	0 (Padrão) = Desabilitado 1 = Habilitado
Permitir que aplicativos UIAccess solicitem a elevação sem usar a área de trabalho segura	EnableUIADesktopToggle	0 (Padrão) = Desabilitado 1 = Habilitado
Comportamento do prompt de elevação para administradores no modo de aprovação Administração	ConsentPromptBehaviorAdmin	0 = Elevar sem solicitar 1 = Solicitar credenciais na área de trabalho segura 2 = Solicitar consentimento na área de trabalho segura 3 = Prompt para credenciais 4 = Solicitação de consentimento 5 (Padrão) = Solicitar consentimento para binários que não são do Windows
Comportamento do prompt de elevação para usuários padrão	ConsentPromptBehaviorUser	0 = Negar automaticamente solicitações de elevação 1 = Solicitar credenciais na área de trabalho segura 3 (Padrão) = Prompt para credenciais
Detectar instalações de aplicativo e prompt para elevação	EnableInstallerDetection	1 = Habilitado (padrão somente para casa) 0 = Desabilitado (padrão)
Apenas elevar executáveis que são assinados e validados	ValidateAdminCodeSignatures	0 (Padrão) = Desabilitado 1 = Habilitado
Apenas elevar aplicativos UIAccess instalados em locais seguros	EnableSecureUIAPaths	0 = Desabilitada 1 (Padrão) = Habilitado
Executar todos os administradores no modo de aprovação Administração	EnableLUA	0 = Desabilitada 1 (Padrão) = Habilitado
Alternar para a área de trabalho segura ao solicitar a elevação	PromptOnSecureDesktop	0 = Desabilitada 1 (Padrão) = Habilitado
Virtualizar falhas de gravação de arquivo e registro em locais por usuário	EnableVirtualization	0 = Desabilitada 1 (Padrão) = Habilitado