禁用 Windows 服务器上的用户帐户控制 (UAC)

概要
在某些有限的情况下，禁用 Windows 服务器上的用户帐户控制 (UAC) 可以是一种可接受的和推荐做法。这种情况下会出现仅在满足以下所有条件都都为真时才：
只有管理员才能登录到基于 Windows 的服务器控制台上以交互方式或通过使用远程桌面服务。
管理员登录到基于 Windows 的服务器仅用于在服务器上执行合法的系统管理功能。
如果未满足上述任一条件，则 UAC 应保持启用状态。例如，如果服务器允许远程桌面服务角色，以便非管理员用户可以登录到服务器上运行应用程序，应始终启用 UAC。同样，UAC，应始终启用管理员运行风险较大的应用程序，如 web 浏览器、 电子邮件客户端或即时消息客户端，服务器上是否管理员执行应从客户端操作系统中执行其他操作例如，Windows 7。

备注：
本指南仅适用于 Windows Server 操作系统 Windows Server 2008 和 Windows Server 2008 R2 等。
UAC 总是禁用 Windows Server 2008 R2 及更高版本的服务器核心版上，并应始终保持禁用 Windows 服务器 2008年服务器核心上。修补程序 (KB 969371) 仅供 Windows 服务器 2008年服务器核心，以防止被意外地启用了 UAC。
详细信息
UAC 旨在帮助用户移向使用标准用户权限的 Windows 默认情况。UAC 包括几种技术来实现这一点。这些技术包括以下：
文件和注册表虚拟化： 当尝试写入受保护区域的文件系统或注册表的"传统"的应用程序时，Windows 自动、 透明地将重定向到访问文件系统或注册表中用户的一部分允许更改。这使许多应用程序需要在早期版本的 Windows 上的管理权限，若要成功使用只标准用户权限运行 Windows Server 2008 和更高版本上。
同一桌面上提升： 在未授权的用户运行并提升程序，产生的过程被授予比交互式桌面用户功能更强大的权利。通过组合使用 UAC 的筛选标记的提升功能 ，管理员可以使用标准用户权限运行的程序并再提升这些要求相同的用户帐户具有管理权限的程序。（此同一用户提升功能也称为管理员批准模式。）程序还可以使用提升的权限通过使用不同的用户帐户，以便管理员可以执行管理任务，在标准用户的桌面上启动。
筛选标记： 具有强大的管理或其他特权或组成员身份的用户身份登录时，Windows 将创建两个代表该用户帐户的访问令牌。"未筛选"令牌中包含所有用户的组成员身份和权限，而"过滤"的标记表示的等效的标准用户权限的用户。默认情况下，此筛选的标记用于运行的用户程序。未筛选的标记是只和提升程序相关联。这就是管理员组的成员并在用户登录时，它接收筛选的标记的帐户被称为"受保护的管理员"帐户。
用户界面特权隔离 (UIPI): UIPI 防止低特权程序发送到所属更高权限的进程，并通过执行此控制的窗口的窗口消息，如综合的鼠标或键盘事件更高权限的进程。
受保护模式 Internet Explorer (PMIE): PMIE 是一种深层防御功能，Windows Internet Explorer 在低特权保护模式下运行，并不能写到文件系统或注册表的大部分区域。默认情况下，当用户浏览互联网或受限制的站点区域中的站点启用保护模式。PMIE 使得更难恶意软件感染了 Internet Explorer，若要更改用户的设置，如通过配置本身，每次用户登录时启动的运行实例。请注意，PMIE 不是实际上的 UAC 的一部分。但是，这取决于如 UIPI UAC 功能。
安装程序检测： 当没有管理权限启动一个新进程，Windows 应用试探法来确定新的进程是否可能是旧的安装程序。Windows 假定旧版安装程序失败没有管理权限的可能性。因此，Windows 主动提示交互式用户提升。请注意，如果用户不具有管理凭据，则用户无法运行程序。

如果您禁用用户帐户控制： 在管理员批准模式下运行所有管理员策略设置，这将禁用此部分所述的 UAC 功能。通过此策略设置可通过计算机的本地安全策略、 安全设置、 本地策略，然后安全选项。旧式应用程序具有标准用户权限，应写入受保护的文件夹或注册表项将会失败。不创建筛选的标记，并登录到该计算机的用户的全部权利运行的所有程序。这包括 Internet Explorer，因为对于所有安全区域禁用保护模式。

一个常见的误解有关 UAC 和同一桌面上提升特别是它禁止恶意软件安装或获得管理权限。首先，恶意软件可以编写不需要管理权限，并可以编写恶意软件只需写入用户的配置文件中的区域。更重要的是，UAC 在同一桌面上提升不是一种安全边界，并可以在同一桌面上运行的未授权软件的盗用。一个方便的功能，应将其视为同一桌面上提升和从安全的角度看，"受保护的管理员"应被视为等效于"管理员"。与此相反，使用快速用户切换使用管理员帐户登录到一个不同的会话上包括管理员帐户和标准用户会话之间的安全边界。

对于交互式登录的唯一原因是管理系统的基于 Windows 的服务器，更少地提升提示的目标是既不可行也不可取。系统管理工具合法要求管理权限。当所有管理用户的任务需要管理权限以及每个任务可能触发提升提示时，提示是只提升生产力的障碍。在此上下文中，这种提示不能和不能促进鼓励开发的应用程序要求使用标准用户权限的目的。此外，这种提示不会改进安全状况。相反，这些提示只是鼓励而不读取它们，请单击对话框提示用户。

请注意，本指南只适用于管理良好的只有管理员用户可以登录以交互方式或通过远程桌面服务的服务器，仅执行合法的管理功能。如果管理员运行风险较大的应用程序，如 web 浏览器、 电子邮件客户端或即时消息客户端，或者执行其他的操作，应从客户端的操作系统，服务器应被视为等效于客户端系统。在这种情况下，UAC，应始终启用作为深层防御措施。

此外，如果标准用户登录到服务器控制台或通过远程桌面服务运行的应用程序，特别是 web 浏览器上，UAC，应始终启用支持文件和注册表虚拟化以及保护模式 Internet Explorer。

另一个选项，以避免提升提示不用的情况下禁用 UAC 设置用户帐户控制： 管理员批准模式中管理员的提升提示行为安全策略配置为在不提示的情况下提升。通过使用此设置，提升请求用户的管理员组成员是否自行批准。此选项还使 PMIE 和其他启用的 UAC 功能。但是，并非所有需要管理权限的操作需要提升。使用此设置可能会导致一些正在提升用户的程序，一些不是，没有任何方法来区分它们。例如，大多数控制台实用程序需要管理权限期望能够在命令提示符下或另一个程序已经提升启动。这种实用程序只是失败在没有提升的命令提示符下启动时。
禁用 UAC 的其它效果
如果您尝试使用 Windows 资源管理器中浏览到不具有读取权限的目录，资源管理器将提供该目录的权限，以永久地授予您对它的用户帐户访问权限。结果取决于是否启用了 UAC。

如果禁用 UAC，Windows 资源管理器将继续显示 UAC"盾牌"图标需要提升的项目，包括应用程序和应用程序快捷方式的上下文菜单中的以管理员身份运行。禁用 UAC 提升机制，因为这些命令不起作用，并为已登录的用户的同一安全上下文中运行的应用程序。
如果启用了 UAC，当控制台实用程序 Runas.exe 用于通过进行标记筛选，是由用户运行的程序的用户帐户启动程序筛选标记。如果禁用 UAC，程序启动时，运行用户的完整令牌。
如果启用了 UAC，标记筛选属于本地帐户不能用于远程管理 （例如，通过 NET USE 或 WinRM） 远程桌面以外的网络接口上。这种接口上进行身份验证的本地帐户获取权限授予该帐户的已过滤令牌。如果禁用 UAC，则将删除此限制。（此限制还可通过使用 Microsoft 知识库文章 951016 中介绍的 LocalAccountTokenFilterPolicy 设置。）删除此限制可以增加其中许多系统具有管理具有相同的用户名和密码的本地帐户环境中的系统受到危害的风险。