Cómo deshabilitar el Control de cuentas de usuario (UAC) en Windows Server

  • Artículo

En este artículo se presenta cómo deshabilitar el Control de cuentas de usuario (UAC) en Windows Server.

Se aplica a: Windows Server 2012 R2
Número de KB original: 2526083

Resumen

En determinadas circunstancias restringidas, deshabilitar UAC en Windows Server puede ser una práctica aceptable y recomendada. Estas circunstancias solo se producen cuando se cumplen las dos condiciones siguientes:

  • Solo los administradores pueden iniciar sesión en el servidor windows de forma interactiva en la consola o mediante servicios de Escritorio remoto.
  • Los administradores inician sesión en el servidor basado en Windows solo para realizar funciones administrativas legítimas del sistema en el servidor.

Si cualquiera de estas condiciones no es verdadera, UAC debe permanecer habilitado. Por ejemplo, el servidor habilita el rol Servicios de Escritorio remoto para que los usuarios no administrativos puedan iniciar sesión en el servidor para ejecutar aplicaciones. UAC debe permanecer habilitado en esta situación. Del mismo modo, UAC debe permanecer habilitado en las situaciones siguientes:

  • Los administradores ejecutan aplicaciones de riesgo en el servidor. Por ejemplo, exploradores web, clientes de correo electrónico o clientes de mensajería instantánea.
  • Los administradores realizan otras operaciones que deben realizarse desde un sistema operativo cliente, como Windows 7.

Nota:

  • Esta guía solo se aplica a los sistemas operativos Windows Server.
  • UAC siempre está deshabilitado en las ediciones Server Core de Windows Server 2008 R2 y versiones posteriores.

Más información

UAC se diseñó para ayudar a los usuarios de Windows a avanzar hacia el uso de derechos de usuario estándar de forma predeterminada. UAC incluye varias tecnologías para lograr este objetivo. Entre estas tecnologías se incluyen:

  • Virtualización de archivos y registro: cuando una aplicación heredada intenta escribir en áreas protegidas del sistema de archivos o del Registro, Windows redirige de forma silenciosa y transparente el acceso a una parte del sistema de archivos o al registro que el usuario puede cambiar. Permite que muchas aplicaciones que requieren derechos administrativos en versiones anteriores de Windows se ejecuten correctamente solo con derechos de usuario estándar en Windows Server 2008 y versiones posteriores.

  • Elevación del mismo escritorio: cuando un usuario autorizado ejecuta y eleva un programa, se conceden derechos más eficaces al proceso resultante que los derechos del usuario de escritorio interactivo. Al combinar la elevación con la característica token filtrado de UAC (vea el siguiente punto de viñeta), los administradores pueden ejecutar programas con derechos de usuario estándar. Y solo pueden elevar los programas que requieren derechos administrativos con la misma cuenta de usuario. Esta característica de elevación del mismo usuario también se conoce como modo de aprobación de Administración. Los programas también se pueden iniciar con derechos elevados mediante una cuenta de usuario diferente para que un administrador pueda realizar tareas administrativas en el escritorio de un usuario estándar.

  • Token filtrado: cuando un usuario con privilegios administrativos u otros eficaces o pertenencias a grupos inicia sesión, Windows crea dos tokens de acceso para representar la cuenta de usuario. El token sin filtrar tiene todos los privilegios y pertenencias a grupos del usuario. El token filtrado representa al usuario con el equivalente de derechos de usuario estándar. De forma predeterminada, este token filtrado se usa para ejecutar los programas del usuario. El token sin filtrar solo está asociado a programas con privilegios elevados. Una cuenta se denomina cuenta de administrador protegido en las condiciones siguientes:

    • Es miembro del grupo Administradores.
    • Recibe un token filtrado cuando el usuario inicia sesión

  • Aislamiento de privilegios de interfaz de usuario (UIPI): UIPI impide que un programa con privilegios inferiores controle el proceso con privilegios superiores de la siguiente manera:
       Envío de mensajes de ventana, como eventos de teclado o mouse sintéticos, a una ventana que pertenece a un proceso con privilegios superiores

  • Modo protegido Internet Explorer (PMIE): PMIE es una característica de defensa en profundidad. Windows Internet Explorer funciona en modo protegido con privilegios bajos y no puede escribir en la mayoría de las áreas del sistema de archivos o del registro. De forma predeterminada, el modo protegido está habilitado cuando un usuario examina sitios en las zonas de Internet o Sitios restringidos. PMIE hace que sea más difícil que el malware que infecta una instancia en ejecución de Internet Explorer cambie la configuración del usuario. Por ejemplo, se configura para iniciarse cada vez que el usuario inicia sesión. PMIE no forma parte de UAC. Pero depende de las características de UAC, como UIPI.

  • Detección del instalador: cuando un nuevo proceso está a punto de iniciarse sin derechos administrativos, Windows aplica heurística para determinar si es probable que el nuevo proceso sea un programa de instalación heredado. Windows asume que es probable que los programas de instalación heredados no tengan derechos administrativos. Por lo tanto, Windows solicita de forma proactiva al usuario interactivo la elevación. Si el usuario no tiene credenciales administrativas, el usuario no puede ejecutar el programa.

Si deshabilita el control de cuentas de usuario: ejecute todos los administradores en Administración configuración de directiva del modo de aprobación. Deshabilita todas las características de UAC descritas en esta sección. Esta configuración de directiva está disponible a través de la directiva de seguridad local del equipo, la configuración de seguridad, las directivas locales y, a continuación, las opciones de seguridad. Se producirá un error en las aplicaciones heredadas que tienen derechos de usuario estándar que esperan escribir en carpetas protegidas o claves del Registro. No se crean tokens filtrados. Y todos los programas se ejecutan con los derechos completos del usuario que ha iniciado sesión en el equipo. Incluye Internet Explorer, ya que el modo protegido está deshabilitado para todas las zonas de seguridad.

Una de las ideas erróneas comunes sobre UAC y Elevación del mismo escritorio en particular es: evita que se instale malware o obtenga derechos administrativos. En primer lugar, el malware se puede escribir para no requerir derechos administrativos. Y el malware se puede escribir para escribir solo en áreas del perfil del usuario. Más importante, La elevación del mismo escritorio en UAC no es un límite de seguridad. Puede ser secuestrado por software sin privilegios que se ejecuta en el mismo escritorio. Elevación del mismo escritorio debe considerarse una característica de comodidad. Desde una perspectiva de seguridad, el administrador protegido debe considerarse el equivalente de Administrador. Por el contrario, el uso de Fast User Switching para iniciar sesión en otra sesión mediante una cuenta de administrador implica un límite de seguridad entre la cuenta de administrador y la sesión de usuario estándar.

Para un servidor basado en Windows en el que la única razón para el inicio de sesión interactivo es administrar el sistema, el objetivo de menos solicitudes de elevación no es factible ni deseable. Las herramientas administrativas del sistema requieren legítimamente derechos administrativos. Cuando todas las tareas del usuario administrativo requieren derechos administrativos y cada tarea podría desencadenar un aviso de elevación, los mensajes son solo un obstáculo para la productividad. En este contexto, estos avisos no pueden promover el objetivo de fomentar el desarrollo de aplicaciones que requieren derechos de usuario estándar. Estos avisos no mejoran la posición de seguridad. Estos avisos solo animan a los usuarios a hacer clic en los cuadros de diálogo sin leerlos.

Esta guía solo se aplica a servidores bien administrados. Significa que solo los usuarios administrativos pueden iniciar sesión de forma interactiva o a través de servicios de Escritorio remoto. Y solo pueden realizar funciones administrativas legítimas. El servidor debe considerarse equivalente a un sistema cliente en las situaciones siguientes:

  • Los administradores ejecutan aplicaciones de riesgo, como exploradores web, clientes de correo electrónico o clientes de mensajería instantánea.
  • Los administradores realizan otras operaciones que deben realizarse desde un sistema operativo cliente.

En este caso, UAC debe permanecer habilitado como medida de defensa en profundidad.

Además, si los usuarios estándar inician sesión en el servidor en la consola o a través de servicios de Escritorio remoto para ejecutar aplicaciones, especialmente exploradores web, UAC debe permanecer habilitado para admitir la virtualización de archivos y registro y también el modo protegido Internet Explorer.

Otra opción para evitar solicitudes de elevación sin deshabilitar UAC es establecer el control de cuenta de usuario: comportamiento de la solicitud de elevación para los administradores en Administración directiva de seguridad del modo de aprobación en Elevar sin preguntar. Con esta configuración, las solicitudes de elevación se aprueban silenciosamente si el usuario es miembro del grupo Administradores. Esta opción también deja PMIE y otras características de UAC habilitadas. Sin embargo, no todas las operaciones que requieren derechos administrativos solicitan elevación. El uso de esta configuración puede dar lugar a que algunos de los programas del usuario estén elevados y otros no, sin ninguna manera de distinguir entre ellos. Por ejemplo, la mayoría de las utilidades de consola que requieren derechos administrativos esperan que se inicien en un símbolo del sistema u otro programa que ya tenga privilegios elevados. Estas utilidades simplemente producen un error cuando se inician en un símbolo del sistema que no tiene privilegios elevados.

Efectos adicionales de deshabilitar UAC

  • Si intentas usar el Explorador de Windows para ir a un directorio en el que no tienes permisos de lectura, el Explorador ofrecerá cambiar los permisos del directorio para concederle acceso a tu cuenta de usuario de forma permanente. Los resultados dependen de si UAC está habilitado. Para obtener más información, vea Al hacer clic en Continuar para obtener acceso a carpetas en el Explorador de Windows, la cuenta de usuario se agrega a la ACL de la carpeta.
  • Si UAC está deshabilitado, el Explorador de Windows sigue mostrando iconos de escudo de UAC para los elementos que requieren elevación. Y el Explorador de Windows continúa con la inclusión de Ejecutar como administrador en los menús contextuales de las aplicaciones y los accesos directos de la aplicación. Dado que el mecanismo de elevación de UAC está deshabilitado, estos comandos no tienen ningún efecto. Y las aplicaciones se ejecutan en el mismo contexto de seguridad que el usuario en el que ha iniciado sesión.
  • Si UAC está habilitado, cuando se usa la utilidad de consola Runas.exe para iniciar un programa mediante una cuenta de usuario que está sujeta al filtrado de tokens, el programa se ejecuta con el token filtrado del usuario. Si UAC está deshabilitado, el programa que se inicia se ejecuta con el token completo del usuario.
  • Si UAC está habilitado, las cuentas locales que están sujetas al filtrado de tokens no se pueden usar para la administración remota a través de interfaces de red distintas de Escritorio remoto. Por ejemplo, a través de NET USE o WinRM. Una cuenta local que se autentica a través de dicha interfaz obtiene solo los privilegios que se conceden al token filtrado de la cuenta. Si UAC está deshabilitado, se quita esta restricción. La restricción también se puede quitar mediante la LocalAccountTokenFilterPolicy configuración que se describe en KB951016. La eliminación de esta restricción puede aumentar el riesgo de que el sistema se ponga en peligro en un entorno en el que muchos sistemas tienen una cuenta local administrativa con el mismo nombre de usuario y contraseña. Se recomienda asegurarse de que se emplean otras mitigaciones contra este riesgo. Para obtener más información sobre las mitigaciones recomendadas, vea Mitigación de ataques de pass-the-hash (PtH) y otros robos de credenciales, versión 1 y 2.
  • PsExec, control de cuentas de usuario y límites de seguridad
  • Al seleccionar Continuar para el acceso a carpetas en el Explorador de Windows, la cuenta de usuario se agrega a la ACL de la carpeta (KB 950934)