如何禁用 Windows Server 上 (UAC) 的用户帐户控制

本文介绍如何禁用 Windows Server 上 (UAC) 的用户帐户控制。

原始产品版本:   Windows Server 2012 R2
原始 KB 数:   2526083

摘要

在某些受限制的情况下,在 Windows Server 上禁用 UAC 可能是一种可接受且建议的做法。 仅当满足以下所有条件时,才会发生这些情况:

  • 仅允许管理员在控制台上以交互方式或使用远程桌面服务登录到基于 Windows 的服务器。
  • 管理员只需登录到基于 Windows 的服务器即可在服务器上执行合法系统管理功能。

如果这两个条件中的任何一个不为 true,则 UAC 应保持启用状态。 例如,如果服务器启用远程桌面服务角色,以便非管理员用户可以登录到服务器以运行应用程序,则 UAC 应保持启用状态。 同样,如果管理员在服务器(如 web 浏览器、电子邮件客户端或即时消息客户端)上运行有风险的应用程序,或者管理员从客户端操作系统(如 Windows 7)执行其他操作,则 UAC 应仍处于启用状态。

备注

  • 本指南仅适用于 Windows Server 操作系统。
  • UAC 在 Windows Server 2008 R2 和更高版本的服务器核心版本中始终处于禁用状态。

更多信息

UAC 旨在帮助 Windows 用户在默认情况下向使用标准用户权限移动。 UAC 包含实现此目的的几种技术。 这些技术包括以下各项:

  • 文件和注册表虚拟化:当旧版应用程序尝试向文件系统或注册表的受保护区域进行写入时,Windows 会自动将访问重定向到文件系统或注册表中允许用户更改的部分。 这使得很多需要对早期版本的 Windows 的管理权限的应用程序能够在 Windows Server 2008 及更高版本上使用标准用户权限成功运行。
  • 相同-桌面提升:当授权用户运行并提升某个程序时,得到的过程被授予与交互式桌面用户的权限相比更强大的权限。 通过将提升与 UAC 的已筛选令牌功能组合在一起 (请参阅以下项目符号) ,管理员可以使用标准用户权限运行程序,然后仅提升那些需要同一用户帐户的管理权限的程序。 (此同一用户提升功能也称为管理员审批模式。也可以使用其他用户帐户以提升的权限启动 ) 程序,以便管理员可以在标准用户的桌面上执行管理任务。
  • 已筛选令牌:当具有管理或其他强大权限或组成员身份的用户登录时,Windows 将创建两个访问令牌来表示用户帐户。 未筛选的令牌具有所有用户的组成员身份和权限,而筛选出的令牌表示具有等效的标准用户权限的用户。 默认情况下,此筛选令牌用于运行用户的程序。 未筛选的令牌仅与提升的程序关联。 如果帐户是 Administrators 组的成员,并且在用户登录时接收筛选出的令牌,则称为 受保护的管理员 帐户。
  • 用户界面特权隔离 (UIPI) : UIPI 可阻止低特权程序将窗口消息(如综合鼠标或键盘事件)发送到属于更高权限进程的窗口,并通过执行此操作来控制更高权限的进程。
  • 保护模式 Internet Explorer (PMIE) : PMIE 是纵深防御功能,在该功能中,Windows Internet Explorer 在低特权保护模式下运行,无法写入文件系统或注册表的大多数区域。 默认情况下,当用户浏览 Internet 或受限制的站点区域中的网站时,将启用受保护模式。 PMIE 使感染了正在运行的 Internet Explorer 的实例的恶意软件更难更改用户的设置,例如,通过将自己配置为在每次用户登录时启动。 PMIE 实际上不是 UAC 的一部分。 但是,它依赖于 UAC 功能,如 UIPI。
  • 安装程序检测:如果要在没有管理权限的情况下启动新进程,Windows 将应用试探法,以确定新进程是否可能是旧的安装程序。 Windows 假定旧版安装程序可能在没有管理权限的情况下失败。 因此,Windows 会主动提示交互式用户进行提升。 如果用户没有管理凭据,则用户无法运行该程序。

如果禁用用户帐户控制: "在管理员批准模式中运行所有管理员" 策略设置,则会禁用本节中介绍的所有 UAC 功能。 此策略设置可通过计算机的本地安全策略、安全设置、本地策略和安全选项来使用。 具有预期写入受保护的文件夹或注册表项的标准用户权限的旧版应用程序将失败。 不会创建已筛选的令牌,并且所有程序都以登录到计算机的用户的完全权限运行。 这包括 Internet Explorer,因为禁用了所有安全区域的受保护模式。

UAC 的常见 misconceptions 之一(尤其是与桌面提升)是阻止恶意软件安装或获取管理权限。 首先,可以编写恶意软件,而不需要管理权限,并且可以将恶意软件编写为只写入用户配置文件中的区域。 UAC 的更重要的是,UAC 上的相同桌面提升不是安全边界,可以通过在同一桌面上运行的无特权软件劫持。 相同-桌面提升应视为一项便利功能,从安全角度来看,应将受保护的管理员视为管理员的等效项。 相反,使用管理员帐户登录到其他会话的快速用户切换涉及管理员帐户和标准用户会话之间的安全边界。

对于基于 Windows 的服务器,在该服务器上进行交互式登录的唯一原因是管理系统,较少提升提示的目标不可行或不理想。 系统管理工具合法要求管理权限。 当所有管理用户的任务都需要管理权限,并且每个任务都可能触发提升提示时,这些提示只是 hindrance 的工作效率。 在此上下文中,此类提示不会,也不能促进开发需要标准用户权限的应用程序的目标。 此外,此类提示不会改善安全状态。 相反,这些提示只是鼓励用户在对话框中单击,而无需阅读对话框。

本指南仅适用于管理用户可以交互登录或通过远程桌面服务登录的良好管理的服务器,并且仅适用于执行合法管理功能。 如果管理员运行的应用程序(如 web 浏览器、电子邮件客户端或即时消息客户端)或执行其他应从客户端操作系统执行的操作,则应将服务器视为与客户端系统等效。 在这种情况下,UAC 应作为纵深防御措施保留。

此外,如果标准用户在控制台上登录服务器或通过远程桌面服务来运行应用程序(尤其是 web 浏览器),则 UAC 应保持启用以支持文件和注册表虚拟化以及保护模式 Internet Explorer。

在不禁用 UAC 的情况下,避免提升提示的另一种方法是设置用户帐户控制:对管理员审批模式安全策略中的管理员进行提升提示的行为,以在不提示的情况下进行提升。 通过使用此设置,如果用户是 Administrators 组的成员,则会以无提示方式批准提升请求。 此选项还会使 PMIE 和其他 UAC 功能处于启用状态。 但是,并不是所有需要管理权限请求提升的操作。 使用此设置可能会导致部分用户的程序被提升,有些无法区分,而无需任何方式加以区分。 例如,大多数需要管理权限的控制台实用工具应在命令提示符或其他已提升的程序上启动。 此类实用工具仅当在未提升的命令提示符处启动时才会失败。

禁用 UAC 的其他影响

  • 如果您尝试使用 Windows 资源管理器浏览到您不具有读取权限的目录,则资源管理器将提供更改该目录的权限,以向您的用户帐户永久授予对它的访问权限。 结果取决于是否启用了 UAC。 有关详细信息,请参阅在 Windows 资源管理器中单击 "为文件夹访问继续" 时,您的用户帐户将添加到该文件夹的 ACL 中
  • 如果禁用 UAC,Windows 资源管理器将继续为需要提升的项显示 UAC 屏蔽图标,并在应用程序和应用程序快捷方式的上下文菜单中包括 "以管理员身份运行"。 由于禁用了 UAC 提升机制,因此这些命令不起作用,并且应用程序在与已登录的用户相同的安全上下文中运行。
  • 如果启用了 UAC,则当使用受令牌筛选的用户帐户来启动某个程序的控制台实用工具 Runas.exe 时,该程序将使用用户的已筛选令牌运行。 如果 UAC 已禁用,则启动的程序将使用用户的完整令牌运行。
  • 如果启用 UAC,则受令牌筛选的本地帐户不能用于除远程 (桌面之外的网络接口(例如,通过 NET USE or WinRM) )进行的远程管理。 通过此类接口进行身份验证的本地帐户只获取授予该帐户的已筛选令牌的权限。 如果禁用 UAC,则会删除此限制。 (还可以使用 LocalAccountTokenFilterPolicy KB951016中所述的设置删除限制。 ) 删除此限制可能会增加系统危害的风险,在此环境中,多个系统具有具有相同用户名和密码的管理本地帐户。 我们建议您确保对此风险采用其他缓解措施。 有关建议的缓解的详细信息,请参阅 缓解哈希 (PtH) 攻击和其他凭据盗用、版本1和 2
  • PsExec、用户帐户控制和安全边界
  • 当您在 Windows 资源管理器中选择 "继续进行文件夹访问" 时,您的用户帐户将添加到该文件夹的 ACL 中 (KB 950934)