Gebruikersaccountbeheer (UAC) uitschakelen op Windows Server

In dit artikel wordt uitgelegd hoe u Gebruikersaccountbeheer (UAC) op Windows Server kunt uitschakelen.

Van toepassing op: Windows Server 2012 R2
Origineel KB-nummer: 2526083

Samenvatting

Onder bepaalde beperkte omstandigheden kan het uitschakelen van UAC op Windows Server een acceptabele en aanbevolen procedure zijn. Deze omstandigheden treden alleen op wanneer aan beide volgende voorwaarden wordt voldaan:

• Alleen beheerders mogen zich interactief aanmelden bij de Windows-server via de console of met behulp van Extern bureaublad-services.
• Beheerders melden zich alleen aan bij de Windows-server om legitieme systeembeheerfuncties op de server uit te voeren.

Als aan een van deze voorwaarden niet wordt voldaan, moet UAC ingeschakeld blijven. De server schakelt bijvoorbeeld de functie Extern bureaublad-services in, zodat niet-beheerders zich kunnen aanmelden bij de server om toepassingen uit te voeren. UAC moet in deze situatie ingeschakeld blijven. Op dezelfde manier moet UAC ingeschakeld blijven in de volgende situaties:

• Beheerders voeren riskante toepassingen uit op de server. Bijvoorbeeld webbrowsers, e-mailclients of chatclients.
• Beheerders voeren andere bewerkingen uit die moeten worden uitgevoerd vanuit een clientbesturingssysteem, zoals Windows 7.

Meer informatie

UAC is ontworpen om Windows-gebruikers te helpen standaard over te stappen op het gebruik van standaardgebruikersrechten. UAC bevat verschillende technologieën om dit doel te bereiken. Deze technologieën omvatten:

• Bestands- en registervirtualisatie: wanneer een verouderde toepassing probeert te schrijven naar beveiligde gebieden van het bestandssysteem of het register, wordt de toegang op de achtergrond en transparant omgeleid naar een deel van het bestandssysteem of het register dat de gebruiker mag wijzigen. Hiermee kunnen veel toepassingen waarvoor beheerdersrechten op eerdere versies van Windows zijn vereist, worden uitgevoerd met alleen standaardgebruikersrechten op Windows Server 2008 en latere versies.

• Uitbreiding van hetzelfde bureaublad: wanneer een geautoriseerde gebruiker een programma uitvoert en verhoogt, krijgt het resulterende proces krachtigere rechten dan die van de interactieve bureaubladgebruiker. Door uitbreiding te combineren met de functie Gefilterd token van UAC (zie het volgende opsommingsteken), kunnen beheerders programma's uitvoeren met standaardgebruikersrechten. En ze kunnen alleen programma's verhogen waarvoor beheerdersrechten met hetzelfde gebruikersaccount zijn vereist. Deze functie voor uitbreiding van dezelfde gebruiker wordt ook wel Beheer goedkeuringsmodus genoemd. Programma's kunnen ook met verhoogde rechten worden gestart met behulp van een ander gebruikersaccount, zodat een beheerder beheertaken kan uitvoeren op het bureaublad van een standaardgebruiker.

• Gefilterd token: wanneer een gebruiker met beheerdersbevoegdheden of andere krachtige bevoegdheden of groepslidmaatschappen zich aanmeldt, maakt Windows twee toegangstokens die het gebruikersaccount vertegenwoordigen. Het niet-gefilterde token heeft alle groepslidmaatschappen en bevoegdheden van de gebruiker. Het gefilterde token vertegenwoordigt de gebruiker met het equivalent van standaardgebruikersrechten. Dit gefilterde token wordt standaard gebruikt om de programma's van de gebruiker uit te voeren. Het niet-gefilterde token is alleen gekoppeld aan programma's met verhoogde bevoegdheid. Een account wordt onder de volgende voorwaarden een beveiligd beheerdersaccount genoemd:

  • Het is lid van de groep Administrators
  • Het ontvangt een gefilterd token wanneer de gebruiker zich aanmeldt

• User Interface Privilege Isolation (UIPI): UIPI voorkomt dat een programma met lagere bevoegdheden het proces met hogere bevoegdheden beheert via de volgende manier:
     Vensterberichten, zoals synthetische muis- of toetsenbordgebeurtenissen, verzenden naar een venster dat deel uitmaakt van een proces met hogere bevoegdheden

• Beveiligde modus Internet Explorer (PMIE): PMIE is een diepgaande beveiligingsfunctie. Windows Internet Explorer werkt in de beveiligde modus met beperkte bevoegdheden en kan niet schrijven naar de meeste gebieden van het bestandssysteem of het register. De beveiligde modus is standaard ingeschakeld wanneer een gebruiker door sites bladert in de zones Internet of Beperkte sites. PMIE maakt het moeilijker voor malware die een actief exemplaar van Internet Explorer infecteert om de instellingen van de gebruiker te wijzigen. Het configureert zichzelf bijvoorbeeld om te starten telkens wanneer de gebruiker zich aanmeldt. PMIE maakt eigenlijk geen deel uit van UAC. Maar dit is afhankelijk van UAC-functies, zoals UIPI.

• Installatieprogrammadetectie: wanneer een nieuw proces op het punt staat te worden gestart zonder beheerdersrechten, past Windows heuristiek toe om te bepalen of het nieuwe proces waarschijnlijk een verouderd installatieprogramma is. Windows gaat ervan uit dat verouderde installatieprogramma's waarschijnlijk mislukken zonder beheerdersrechten. Windows vraagt de interactieve gebruiker dus proactief om uitbreiding. Als de gebruiker geen beheerdersreferenties heeft, kan de gebruiker het programma niet uitvoeren.

Als u het gebruikersaccountbeheer uitschakelt: voer alle beheerders uit in Beheer beleidsinstelling Goedkeuringsmodus. Hiermee worden alle UAC-functies uitgeschakeld die in deze sectie worden beschreven. Deze beleidsinstelling is beschikbaar via het lokale beveiligingsbeleid van de computer, beveiligingsinstellingen, lokaal beleid en vervolgens beveiligingsopties. Verouderde toepassingen die standaardgebruikersrechten hebben die verwachten te schrijven naar beveiligde mappen of registersleutels, mislukken. Gefilterde tokens worden niet gemaakt. En alle programma's worden uitgevoerd met de volledige rechten van de gebruiker die is aangemeld bij de computer. Het bevat Internet Explorer, omdat de beveiligde modus is uitgeschakeld voor alle beveiligingszones.

Een van de veelvoorkomende misvattingen over UAC en Same-Desktop Elevation in het bijzonder is: het voorkomt dat malware wordt geïnstalleerd of beheerdersrechten verkrijgt. Ten eerste kan malware worden geschreven om geen beheerdersrechten te vereisen. En malware kan worden geschreven om alleen naar gebieden in het profiel van de gebruiker te schrijven. Belangrijker is dat uitbreiding van hetzelfde bureaublad in UAC geen beveiligingsgrens is. Het kan worden gekaapt door niet-gemachtigde software die op hetzelfde bureaublad wordt uitgevoerd. Verhoging van hetzelfde bureaublad moet worden beschouwd als een handige functie. Vanuit een beveiligingsperspectief moet beveiligde beheerder worden beschouwd als het equivalent van Administrator. Het gebruik van Snelle gebruikersoverschakeling om zich aan te melden bij een andere sessie met behulp van een beheerdersaccount omvat daarentegen een beveiligingsgrens tussen het beheerdersaccount en de standaardgebruikerssessie.

Voor een Windows-server waarop de enige reden voor interactieve aanmelding is om het systeem te beheren, is het doel van minder uitbreidingsprompts niet haalbaar of wenselijk. Systeembeheerprogramma's vereisen legitieme beheerdersrechten. Wanneer voor alle taken van de gebruiker met beheerdersrechten beheerdersrechten zijn vereist en elke taak een verhogingsprompt kan activeren, zijn de prompts slechts een belemmering voor de productiviteit. In deze context kunnen dergelijke prompts het doel van het stimuleren van de ontwikkeling van toepassingen waarvoor standaardgebruikersrechten zijn vereist, niet bevorderen. Dergelijke prompts verbeteren de beveiligingspostuur niet. Deze prompts moedigen gebruikers aan om door dialoogvensters te klikken zonder ze te lezen.

Deze richtlijnen zijn alleen van toepassing op goed beheerde servers. Dit betekent dat alleen gebruikers met beheerdersrechten zich interactief of via Extern bureaublad-services kunnen aanmelden. En ze kunnen alleen legitieme beheerfuncties uitvoeren. De server moet in de volgende situaties worden beschouwd als gelijkwaardig aan een clientsysteem:

• Beheerders voeren riskante toepassingen uit, zoals webbrowsers, e-mailclients of chatclients.
• Beheerders voeren andere bewerkingen uit die moeten worden uitgevoerd vanuit een clientbesturingssysteem.

In dit geval moet UAC ingeschakeld blijven als diepgaande verdedigingsmaatregel.

Als standaardgebruikers zich aanmelden bij de server op de console of via Extern bureaublad-services om toepassingen uit te voeren, met name webbrowsers, moet UAC ingeschakeld blijven voor de ondersteuning van bestands- en registervirtualisatie en internet explorer beveiligde modus.

Een andere optie om verhogingsprompts te voorkomen zonder UAC uit te schakelen, is door het beveiligingsbeleid Gebruikersaccountbeheer: gedrag van de prompt voor uitbreiding van bevoegdheden voor beheerders in Beheer goedkeuringsmodus in te stellen op Verhogen zonder te vragen. Als u deze instelling gebruikt, worden aanvragen voor uitbreiding op de achtergrond goedgekeurd als de gebruiker lid is van de groep Administrators. Met deze optie blijven PMIE en andere UAC-functies ingeschakeld. Niet alle bewerkingen waarvoor beheerdersrechten zijn vereist, vragen echter om uitbreiding van bevoegdheden. Het gebruik van deze instelling kan ertoe leiden dat sommige programma's van de gebruiker worden verhoogd en sommige niet, zonder onderscheid tussen deze programma's. De meeste consolehulpprogramma's waarvoor beheerdersrechten zijn vereist, verwachten bijvoorbeeld te worden gestart bij een opdrachtprompt of een ander programma dat al is verhoogd. Dergelijke hulpprogramma's mislukken alleen wanneer ze worden gestart bij een opdrachtprompt die niet is verhoogd.

Aanvullende effecten van het uitschakelen van UAC

• Als u Windows Verkenner probeert te gebruiken om naar een map te bladeren waarin u geen leesmachtigingen hebt, biedt Verkenner aan om de machtigingen van de map te wijzigen om uw gebruikersaccount permanent toegang te verlenen. De resultaten zijn afhankelijk van of UAC is ingeschakeld. Zie Wanneer u klikt op Doorgaan voor maptoegang in Windows Verkenner, wordt uw gebruikersaccount toegevoegd aan de ACL voor de map voor meer informatie.
• Als UAC is uitgeschakeld, blijft Windows Verkenner UAC-schildpictogrammen weergeven voor items waarvoor uitbreiding is vereist. En Windows Verkenner blijft Uitvoeren als beheerder opnemen in de contextmenu's van toepassingen en toepassingssnelkoppelingen. Omdat het UAC-uitbreidingsmechanisme is uitgeschakeld, hebben deze opdrachten geen effect. En toepassingen worden uitgevoerd in dezelfde beveiligingscontext als de gebruiker waarbij is aangemeld.
• Als UAC is ingeschakeld en het consolehulpprogramma Runas.exe wordt gebruikt om een programma te starten met behulp van een gebruikersaccount waarop tokenfiltering is toegepast, wordt het programma uitgevoerd met het gefilterde token van de gebruiker. Als UAC is uitgeschakeld, wordt het programma dat wordt gestart uitgevoerd met het volledige token van de gebruiker.
• Als UAC is ingeschakeld, kunnen lokale accounts waarvoor tokenfiltering is vereist, niet worden gebruikt voor extern beheer via andere netwerkinterfaces dan Extern bureaublad. Bijvoorbeeld via NET USE of WinRM. Een lokaal account dat wordt geverifieerd via een dergelijke interface, krijgt alleen de bevoegdheden die worden verleend aan het gefilterde token van het account. Als UAC is uitgeschakeld, wordt deze beperking verwijderd. De beperking kan ook worden verwijderd met behulp van de LocalAccountTokenFilterPolicy instelling die wordt beschreven in KB951016. Het verwijderen van deze beperking kan het risico op systeeminbreuk vergroten in een omgeving waarin veel systemen een lokaal beheerdersaccount met dezelfde gebruikersnaam en hetzelfde wachtwoord hebben. U wordt aangeraden ervoor te zorgen dat andere risicobeperkingen worden toegepast. Zie Mitigation Pass-the-Hash (PtH) attacks and Other Credential Theft, Version 1 and 2 (Mitigation Pass-the-Hash(PtH) attacks and Other Credential Theft (1 and Other Credential Theft), voor meer informatie over aanbevolen oplossingen.
• PsExec, Gebruikersaccountbeheer en beveiligingsgrenzen
• Wanneer u Doorgaan selecteert voor maptoegang in Windows Verkenner, wordt uw gebruikersaccount toegevoegd aan de ACL voor de map (KB 950934)