如何在 Windows Server 上禁用用户帐户控制 (UAC)

  • 项目

本文介绍如何在 Windows Server 上禁用用户帐户控制 (UAC) 。

适用于: Windows Server 2012 R2
原始 KB 编号: 2526083

摘要

在某些受约束的情况下,在 Windows Server 上禁用 UAC 可能是可接受的建议做法。 仅当以下两个条件都成立时,才会发生这些情况:

  • 仅允许管理员在控制台上以交互方式或使用远程桌面服务登录到 Windows 服务器。
  • 管理员登录基于 Windows 的服务器只是为了在服务器上执行合法的系统管理功能。

如果上述任一条件不成立,UAC 应保持启用状态。 例如,服务器启用远程桌面服务角色,以便非管理用户可以登录到服务器来运行应用程序。 在这种情况下,UAC 应保持启用状态。 同样,在以下情况下,UAC 应保持启用状态:

  • 管理员在服务器上运行有风险的应用程序。 例如,Web 浏览器、电子邮件客户端或即时消息客户端。
  • 管理员执行应从客户端操作系统执行的其他操作,例如 Windows 7。

注意

  • 本指南仅适用于 Windows Server 操作系统。
  • 在 Windows Server 2008 R2 及更高版本的 Server Core 版本上始终禁用 UAC。

更多信息

UAC 旨在帮助 Windows 用户默认使用标准用户权限。 UAC 包括几种技术来实现此目标。 这些技术包括:

  • 文件和注册表虚拟化:当旧应用程序尝试写入文件系统或注册表的受保护区域时,Windows 以无提示且透明的方式将访问权限重定向到允许用户更改的文件系统或注册表的一部分。 它使许多需要 Windows 早期版本管理权限的应用程序只需在 Windows Server 2008 及更高版本上具有标准用户权限即可成功运行。

  • 同一桌面提升:当授权用户运行并提升程序时,生成的进程将被授予比交互式桌面用户的这些权限更强大的权限。 通过将提升与 UAC 的筛选令牌功能相结合, (查看下一个项目符号) ,管理员可以使用标准用户权限运行程序。 并且他们只能提升需要同一用户帐户管理权限的程序。 此同用户提升功能也称为管理员审批模式。 还可以使用其他用户帐户从提升的权限启动程序,以便管理员可以在标准用户的桌面上执行管理任务。

  • 筛选的令牌:当具有管理权限或其他强大权限或组成员身份的用户登录时,Windows 会创建两个访问令牌来表示用户帐户。 未筛选的令牌具有所有用户的组成员身份和特权。 筛选的令牌表示具有等效标准用户权限的用户。 默认情况下,此筛选令牌用于运行用户的程序。 未筛选的令牌仅与提升的程序相关联。 在以下情况下,帐户称为 受保护的管理员 帐户:

    • 它是管理员组的成员
    • 当用户登录时,它会收到筛选的令牌

  • 用户界面特权隔离 (UIPI) :UIPI 通过以下方式阻止低特权程序控制高特权进程:
       将窗口消息(如合成鼠标或键盘事件)发送到属于更高特权进程的窗口

  • 保护模式 Internet Explorer (PMIE) :PMIE 是一种深层防御功能。 Windows Internet Explorer 在低特权保护模式下运行,无法写入文件系统或注册表的大多数区域。 默认情况下,当用户浏览 Internet 或受限站点区域中的网站时,将启用保护模式。 PMIE 使感染正在运行的 Internet Explorer 实例的恶意软件更难更改用户的设置。 例如,它将自身配置为在每次用户登录时启动。 PMIE 实际上不是 UAC 的一部分。 但这取决于 UAC 功能,例如 UIPI。

  • 安装程序检测:当即将在没有管理权限的情况下启动新进程时,Windows 会应用启发式方法来确定新进程是否可能是旧式安装程序。 Windows 假定在没有管理权限的情况下,旧式安装程序可能会失败。 因此,Windows 会主动提示交互式用户提升权限。 如果用户没有管理凭据,则用户无法运行程序。

如果禁用“用户帐户控制:在管理员审批模式”策略设置中运行所有管理员。 它将禁用本部分所述的所有 UAC 功能。 可通过计算机的“本地安全策略”、“安全设置”、“本地策略”和“安全选项”获取此策略设置。 具有预期写入受保护文件夹或注册表项的标准用户权限的旧应用程序将失败。 不会创建筛选令牌。 所有程序都以登录到计算机的用户的完整权限运行。 它包括 Internet Explorer,因为对所有安全区域禁用了保护模式。

特别是对 UAC 和同一桌面提升的常见误解之一是:它阻止安装恶意软件或获取管理权限。 首先,可以将恶意软件编写为不需要管理权限。 可以编写恶意软件,以便仅写入用户个人资料中的区域。 更重要的是,UAC 中的同一桌面提升不是安全边界。 它可以被在同一桌面上运行的无特权软件劫持。 同桌面提升应被视为一项便利功能。 从安全角度来看,受保护的管理员应被视为等效的管理员。 相比之下,使用快速用户切换通过管理员帐户登录到其他会话涉及管理员帐户与标准用户会话之间的安全边界。

对于基于 Windows 的服务器,交互式登录的唯一原因是管理系统,减少提升提示的目标不可行或不可取。 系统管理工具合法需要管理权限。 当管理用户的所有任务都需要管理权限,并且每个任务都可能触发提升提示时,提示只会阻碍工作效率。 在这种情况下,此类提示不会/无法促进鼓励开发需要标准用户权限的应用程序的目标。 此类提示不会改善安全状况。 这些提示只是鼓励用户单击对话框而不阅读它们。

本指南仅适用于管理良好的服务器。 这意味着只有管理用户可以以交互方式或通过远程桌面服务登录。 他们只能执行合法的行政职能。 在以下情况下,应将服务器视为等效于客户端系统:

  • 管理员运行有风险的应用程序,例如 Web 浏览器、电子邮件客户端或即时消息客户端。
  • 管理员执行应从客户端操作系统执行的其他操作。

在这种情况下,UAC 应保持启用状态,作为深层防御措施。

此外,如果标准用户通过控制台或通过远程桌面服务登录到服务器以运行应用程序(尤其是 Web 浏览器),则 UAC 应保持启用状态,以支持文件和注册表虚拟化以及保护模式 Internet Explorer。

在不禁用 UAC 的情况下避免提升提示的另一个选项是将“用户帐户控制:管理员审批模式中管理员的提升提示行为”安全策略设置为“不提示提升”。 通过使用此设置,如果用户是 Administrators 组的成员,则会以无提示方式批准提升请求。 此选项还会启用 PMIE 和其他 UAC 功能。 但是,并非所有需要管理权限请求提升的操作。 使用此设置可能会导致某些用户的程序被提升,而有些则不提升,而无需通过任何方法来区分它们。 例如,大多数需要管理权限的控制台实用工具都希望在命令提示符或其他已提升的程序下启动。 在未提升的命令提示符下启动此类实用工具时,这些实用工具只会失败。

禁用 UAC 的其他影响

  • 如果你尝试使用 Windows 资源管理器浏览到你没有读取权限的目录,资源管理器将提供更改目录的权限,以永久授予你的用户帐户访问权限。 结果取决于是否启用了 UAC。 有关详细信息,请参阅 在 Windows 资源管理器中单击“继续”访问文件夹时,用户帐户将添加到该文件夹的 ACL
  • 如果 UAC 已禁用,Windows 资源管理器将继续显示需要提升的项目的 UAC 防护图标。 Windows 资源管理器继续在应用程序和应用程序快捷方式的上下文菜单中包括以管理员身份运行。 由于 UAC 提升机制已禁用,因此这些命令不起作用。 应用程序在与登录用户相同的安全上下文中运行。
  • 如果启用了 UAC,则当控制台实用工具 Runas.exe 使用受令牌筛选约束的用户帐户启动程序时,程序将使用用户的筛选令牌运行。 如果 UAC 已禁用,则启动的程序将使用用户的完整令牌运行。
  • 如果启用了 UAC,则受令牌筛选约束的本地帐户不能用于通过远程桌面以外的网络接口进行远程管理。 例如,通过 NET USE 或 WinRM。 通过此类接口进行身份验证的本地帐户仅获取授予帐户筛选令牌的权限。 如果 UAC 处于禁用状态,则会删除此限制。 还可以通过使用 LocalAccountTokenFilterPolicyKB951016 中所述的设置来删除此限制。 如果许多系统具有具有相同用户名和密码的管理本地帐户,则删除此限制可能会增加系统泄露的风险。 建议确保针对此风险采用其他缓解措施。 有关建议的缓解措施的详细信息,请参阅 缓解哈希传递 (PtH) 攻击和其他凭据盗窃,版本 1 和 2
  • PsExec、用户帐户控制和安全边界
  • 在 Windows 资源管理器中选择“继续”进行文件夹访问时,用户帐户将添加到文件夹的 ACL (KB 950934)