Exportar (0) Imprimir
Expandir Tudo

Controle de Conta de Usuário

Atualizado: maio de 2008

Aplica-se a: Windows Server 2008, Windows Vista

O Controle de Conta de Usuário (UAC) é um novo componente de segurança dos sistemas operacionais Windows Server® 2008 e Windows Vista®.

O que o Controle de Conta de Usuário faz?

O UAC permite que os administradores insiram credenciais durante uma sessão de usuário que não seja de administrador para executar tarefas administrativas ocasionais sem precisar trocar o usuário, fazer logoff ou usar o comando Executar como.

O UAC também pode exigir que os administradores aprovem determinados aplicativos que farão alterações "no sistema inteiro" antes de esses aplicativos receberem permissão para executar, mesmo que seja na sessão de usuário do administrador.

Quem estaria interessado nesse recurso?

Entender o funcionamento do UAC é importante para os seguintes grupos:

  • Administradores

  • Profissionais de segurança de TI

  • Desenvolvedores que criam aplicativos para o Windows Server 2008 ou o Windows Vista

Há considerações especiais?

De início, os usuários poderão encontrar muitos prompts do UAC porque existem inúmeras alterações a serem feitas no sistema inteiro durante a configuração inicial do sistema operacional. No entanto, com o passar do tempo, esses tipos de alterações se tornam bem menos freqüentes.

Apesar de o UAC aparecer no Windows Server 2008 e no Windows Vista, as configurações padrão têm as seguintes diferenças:

  • Por padrão, o Modo de Aprovação de Administrador (AAM) não está habilitado para a Conta Interna Administrador no Windows Server 2008 ou no Windows Vista.

  • A Conta Interna Administrador fica desabilitada por padrão no Windows Vista, a primeira conta de usuário criada é colocada no grupo local Administradores e o AAM é habilitado para essa conta.

  • A Conta Interna Administrador é habilitada por padrão no Windows Server 2008. O AAM fica desabilitado para essa conta.

Que nova funcionalidade é oferecida por esse recurso?

O UAC inclui vários recursos e aprimoramentos de segurança.

Modo de Aprovação de Administrador

O Modo de Aprovação de Administrador (AAM) é uma configuração do UAC na qual um token de acesso decomposto de usuário é criado para um administrador. Quando um administrador faz logon em um computador baseado no Windows Server 2008, o administrador recebe dois tokens de acesso separados. Sem o AAM, uma conta de administrador só recebe um token de acesso, que concede para o administrador acesso a todos os recursos do Windows.

Por que essa funcionalidade é importante?

O AAM ajuda a impedir que programas mal-intencionados se instalem silenciosamente sem o conhecimento do administrador. Ele também ajuda a proteger contra alterações inadvertidas no sistema inteiro. Por fim, ele pode ser usado para impor um nível mais alto de conformidade quando os administradores tiverem de ativamente aprovar ou fornecer credenciais para cada processo administrativo.

O que funciona de maneira diferente?

A principal diferença entre um usuário padrão (um não-administrador) e um administrador no Windows Server 2008 é o nível de acesso que eles têm em áreas centrais protegidas do computador. Os administradores podem alterar o estado do sistema, desativar o firewall, configurar a diretiva de segurança, instalar um serviço ou driver que afete todos os usuários do computador e instalar softwares no computador inteiro. Os usuários padrão não podem executar essas tarefas.

Quando o AAM está habilitado, um administrador recebe um token de acesso total e um segundo token de acesso, chamado token de acesso filtrado. Durante o logon, os componentes de autorização e controle de acesso que identificam um administrador são removidos ou desabilitados para criar o token de acesso filtrado. Esse token é então usado para iniciar Explorer.exe, o processo que cria e detém a área de trabalho do usuário. Como os aplicativos normalmente herdam o token de acesso do processo que os inicia (nesse caso, Explorer.exe), todos eles também são executados com o token de acesso filtrado.

noteObservação
Quando um usuário padrão faz logon, é criado somente um token de acesso de usuário. O token de acesso completo de um usuário padrão não concede mais privilégios de acesso do que o token de acesso filtrado de um administrador.

Depois que um administrador faz logon, seu token de acesso completo não é usado, a menos que ele tente executar uma tarefa administrativa.

ImportantImportante
Como a experiência do usuário pode ser configurada com o Editor de Diretiva de Grupo Local (secpol.msc) e o Console de Gerenciamento de Diretiva de Grupo (GPMC) (gpedit.msc), não há uma experiência de usuário UAC.

Pela natureza da maneira como um servidor é usado, com exceção dos servidores de terminal, um administrador faz logon em um servidor com muito mais freqüência do que precisa fazer logon em uma estação de trabalho cliente. Por isso, o AAM fica desabilitado por padrão para a Conta Interna Administrador no Windows Server 2008. Por padrão, o AAM fica habilitado para outras contas que são membro do grupo local Administradores.

Como corrigir problemas?

Se o sistema operacional não conseguir identificar um aplicativo administrativo corretamente, talvez o aplicativo não seja executado da forma apropriada porque ele não usa o token de acesso completo.

Para obter mais informações sobre como configurar aplicativos existentes, consulte Recursos adicionais mais adiante neste tópico.

Como devo me preparar para essa alteração?

Para obter informações sobre planejamento, consulte Como devo me preparar para implantar esse recurso? mais adiante neste tópico.

Elevação de usuários padrão

A solicitação de elevação aparece quando um usuário padrão tenta executar uma tarefa que requer privilégios que ele não detém. Nesse caso, no entanto, a solicitação requer a entrada de credenciais administrativas.

Por que essa funcionalidade é importante?

O UAC permite que os administradores insiram credenciais durante uma sessão de usuário padrão para executar tarefas administrativas ocasionais sem precisar trocar o usuário, fazer logoff ou usar o comando Executar como.

O que funciona de maneira diferente?

Sem o UAC, os aplicativos tentam executar, mas ocorre uma falha quando tentam executar uma operação que requer privilégios de administrador. Alguns aplicativos detectam isso naturalmente, mas outros não.

Em alguns casos, quando aparece a solicitação de elevação exigindo credenciais, os usuários podem ficar confusos ou o número de chamadas ao suporte técnico pode aumentar. Portanto, talvez você prefira que os usuários não vejam esses prompts e que o aplicativo simplesmente seja impedido de iniciar.

Como corrigir esses problemas?

Esse comportamento de solicitação padrão do usuário padrão pode ser configurado com o Editor de Diretiva de Grupo Local (secpol.msc) e o GPMC (gpedit.msc).

Como devo me preparar para essa alteração?

Para obter informações sobre planejamento, consulte Como devo me preparar para implantar esse recurso? mais adiante neste tópico.

Ícone de escudo

Tarefas e programas administrativos são marcados com um novo ícone de "escudo".

Por que essa funcionalidade é importante?

O ícone de escudo é usado com freqüência no Windows Server 2008 para indicar que, para iniciar uma determinada tarefa ou um programa, são necessários privilégios administrativos. Isso ajuda a deixar claro o que requer elevação, educando usuários e administradores e diminuindo as chamadas ao suporte técnico.

Virtualização de arquivos e do Registro no UAC

O Windows Server 2008 vem com uma tecnologia de virtualização de arquivos e do Registro usada para aplicativos que são incompatíveis com o UAC e que podem exigir o token de acesso de um administrador para executar corretamente.

Por que essa funcionalidade é importante?

A virtualização do UAC ajuda a assegurar que até mesmo aplicativos incompatíveis com o UAC sejam compatíveis com o Windows Server 2008.

O que funciona de maneira diferente?

Quando um aplicativo administrativo incompatível com o UAC tenta gravar em um diretório protegido, como Arquivos de Programas, o UAC mostra para o aplicativo sua própria exibição virtualizada do recurso que ele está tentando alterar, usando uma estratégia de cópia na gravação. A cópia virtualizada é mantida no perfil do usuário. Conseqüentemente, uma cópia à parte do arquivo virtualizado é criada para cada usuário que executa o aplicativo incompatível.

A tecnologia de virtualização assegura que aplicativos incompatíveis não falhem silenciosamente ao executar nem que falhem de uma maneira que seja inconsistente ou que dificulte a solução do problema.

noteObservação
A virtualização não é válida para aplicativos que exigem um token de acesso completo.

Como corrigir esses problemas?

A maioria das tarefas de aplicativo é realizada corretamente usando recursos de virtualização. No entanto, a virtualização do UAC é uma correção de curto prazo e não uma solução de longo prazo. Os desenvolvedores de aplicativos devem modificar seus aplicativos para que sejam compatíveis com o UAC tão logo possível em vez de contar com a virtualização de arquivos, de pastas e do Registro.

Para obter orientação sobre como projetar aplicativos para que eles sejam compatíveis com o UAC, consulte Recursos adicionais.

noteObservação
A virtualização não terá suporte em aplicativos de 64 bits nativos do Windows. Esses aplicativos têm de funcionar com o UAC e gravar dados nos locais corretos.

noteObservação
A virtualização fica desabilitada para um aplicativo se o programa inclui um manifesto do aplicativo com um atributo de nível de execução solicitado.

Como devo me preparar para essa alteração?

Para obter informações sobre planejamento, consulte Como devo me preparar para implantar esse recurso? mais adiante neste tópico.

Que configurações foram adicionadas ou alteradas?

As configurações de sistema a seguir controlam o comportamento do UAC no Windows Server 2008. Elas podem ser definidas usando o Editor de Diretiva de Grupo Local (secpol.msc) ou o GPMC (gpedit.msc).

As configurações a seguir podem ser encontradas no nó Opções de Segurança de Diretiva Local, em Configurações de Segurança.

 

Configuração Descrição Valor padrão

Controle de Conta de Usuário: Modo de Aprovação de Administrador para a conta de Administrador Interno.

Duas configurações possíveis:

  • Habilitada — O Administrador Interno é executado como um administrador no Modo de Aprovação de Administrador.

  • Desabilitada — O administrador sempre é executado com um token de acesso completo.

Desabilitada

Controle de Conta de Usuário: comportamento do prompt de elevação de administradores no Modo de Aprovação de Administrador

Três valores possíveis:

  • Não solicitar confirmação — A elevação ocorre de maneira automática e silenciosa. Esta opção permite que um administrador no Modo de Aprovação de Administrador execute uma operação que requer elevação sem solicitar consentimento ou credenciais.

    noteObservação
    Esse cenário só deve ser usado nos ambientes mais restritos e NÃO é recomendável.

  • Pedir consentimento — Uma operação que requer um token de acesso completo solicita que o administrador no Modo de Aprovação de Administrador selecione Continuar ou Cancelar. Se ele clicar em Continuar, a operação prosseguirá com o privilégio mais alto disponível.

  • Pedir credenciais — Uma operação que requer um token de acesso completo solicita que um administrador no Modo de Aprovação de Administrador digite um nome e uma senha de usuário administrador. Se o usuário digitar credenciais válidas, a operação prosseguirá com o privilégio aplicável.

Pedir consentimento

Controle de Conta de Usuário: comportamento do prompt de elevação de usuários padrão

Dois valores possíveis:

  • Não solicitar confirmação — Nenhuma solicitação de elevação é apresentada, e o usuário não pode executar tarefas administrativas sem usar a opção Executar como administrador ou fazer logon com uma conta de administrador. A maioria das empresas que usam desktops como usuário padrão configurará a diretiva "Não solicitar confirmação" para reduzir as chamadas ao suporte técnico.

  • Pedir credenciais — Uma operação que requer um token de acesso completo solicita que o usuário digite um nome e uma senha de usuário administrativo. Se o usuário digitar credenciais válidas, a operação prosseguirá com o privilégio aplicável.

Pedir credenciais

Controle de Conta de Usuário: detectar instalações de aplicativos e aviso de elevação

Dois valores possíveis:

  • Habilitada — O usuário deve dar seu consentimento ou fornecer credenciais quando o Windows detecta um instalador.

  • Desabilitada — As instalações de aplicativos têm permissão para executar, mas o acesso a recursos do sistema inteiro é negado. Isso pode levar a falhas difíceis de corrigir. Em um ambiente corporativo, com desktops de usuário padrão ou tecnologias de instalação gerenciadas, como o System Management Server (SMS), a detecção do instalador é desnecessária e convém desabilitar essa configuração.

Habilitada

Controle de Conta de Usuário: elevar somente executáveis assinados e validados

Dois valores possíveis:

  • Habilitada — Apenas os arquivos executáveis assinados serão executados. Essa diretiva força verificações de assinatura baseada em PKI em qualquer aplicativo interativo que solicite elevação. Os administradores empresariais podem controlar a lista de aplicativos administrativos permitidos mediante o preenchimento de certificados no Armazenamento de Editores Confiáveis dos computadores locais.

  • Desabilitada — Tanto o código assinado como o não assinado serão executados.

Desabilitada

Controle de Conta de Usuário: eleve apenas aplicativos UIAccess que estejam instalados em locais seguros

Dois valores possíveis:

  • O sistema apenas concederá direitos de usuário e privilégios UIAccess para executáveis iniciados em %ProgramFiles% ou %windir%. As ACLs (listas de controle de acesso) nesses diretórios asseguram que o executável não possa ser modificado pelo usuário (o que, de outro modo, permitiria a elevação de privilégio). Os executáveis UIAccess iniciados de outros locais iniciam sem privilégios adicionais (ou seja, eles executam "asInvoker").

  • Desabilitada — As verificações de local não são feitas, por isso todos os aplicativos UIAccess iniciam com o token de acesso completo do usuário após a aprovação do usuário.

Habilitada

Controle de Conta de Usuário: autorize aplicativos UIAccess a solicitar elevação sem usar a área de trabalho protegida

Dois valores possíveis:

  • Habilitada - Os programas UIAccess, inclusive a Assistência Remota do Windows, podem automaticamente desabilitar a área de trabalho protegida para solicitações de elevação. Isso permite uma maior funcionalidade em certos cenários UIAccess, incluindo situações quando é oferecida assistência remota para um usuário padrão.

  • Desabilitada — a área de trabalho protegida só pode ser desabilitada por um administrador no computador ou por Diretiva de Grupo.

Desabilitada

Controle de Conta de Usuário: executar todos os administradores no Modo de Aprovação de Administrador

Dois valores possíveis:

  • Habilitada — Tanto administradores quanto usuários padrão devem fornecer credenciais quando tentam executar operações administrativas. O estilo do prompt depende da diretiva.

  • Desabilitada — O UAC é basicamente "desativado", e a inicialização automática do AIS (Serviço de Informações de Aplicativos) é desabilitada. A Central de Segurança do Windows também notifica o usuário conectado de que a segurança do sistema operacional como um todo foi reduzida e permite que ele habilite o UAC.

    noteObservação
    Quando alterada, essa configuração exige a reinicialização do sistema.

Habilitada

Controle de Conta de Usuário: alternar para a área de trabalho segura ao pedir elevação

Dois valores possíveis:

  • Habilitada — Exibe a solicitação de elevação do UAC na área de trabalho protegida. A área de trabalho protegida só pode receber mensagens de processos do Windows, o que elimina as mensagens de softwares mal-intencionados.

  • Desabilitada — O prompt de elevação do UAC é exibido na área de trabalho interativa (do usuário).

Habilitada

Controle de Conta de Usuário: virtualizar falhas de gravação de arquivos e Registros para locais por usuário

Dois valores possíveis:

  • Habilitada — Essa diretiva permite redirecionar falhas de gravação de aplicativos anteriores ao Windows Vista para locais definidos no Registro e no sistema de arquivos. Esse recurso atenua os aplicativos que historicamente eram executados como administrador e gravavam dados de aplicativos de tempo de execução em %ProgramFiles%, %Windir%, %Windir%\system32 ou HKLM\Software. Essa configuração deve ser mantida habilitada em ambientes que utilizam softwares incompatíveis com o UAC. Os aplicativos que não têm uma entrada no banco de dados de compatibilidade de aplicativos ou uma marcação de nível de execução solicitado no manifesto do aplicativo não são compatíveis com o UAC.

  • Desabilitada — A virtualização facilita a execução de aplicativos anteriores ao Windows Vista (herdados) que historicamente não executavam como usuário padrão. Um administrador que só executa aplicativos compatíveis com o Windows Vista pode optar por desabilitar esse recurso, uma vez que ele é desnecessário. Os aplicativos incompatíveis com o UAC que tentam gravar em %ProgramFiles%, %Windir%, %Windir%\system32 ou HKLM\Software falham de maneira silenciosa quando essa configuração está desabilitada.

Habilitada

Preciso alterar algum código existente?

Os novos aplicativos devem ser criados para funcionar com o UAC e devem incluir um manifesto incorporado.

Para obter mais informações sobre como criar novos programas para o Windows Server 2008 e o Windows Vista, consulte Recursos adicionais.

Como devo me preparar para implantar esse recurso?

O UAC pode reduzir consideravelmente a sua exposição a softwares mal-intencionados e permitir que aplicativos mais antigos sejam executados com credenciais de usuário padrão. Para ser bem-sucedido no uso do UAC, consulte as informações listadas em Recursos adicionais.

Esse recurso está disponível em todas as edições do Windows Server 2008?

O UAC é parte integrante do sistema operacional em todas as edições do Windows Server 2008. O UAC também faz parte do sistema operacional Windows Vista.

Recursos adicionais

Para obter informações mais detalhadas sobre o UAC, consulte os seguintes recursos:

  • Controle de Conta de Usuário (página de informações do recurso) (http://go.microsoft.com/fwlink/?LinkID=82373 - essa página pode estar em inglês)

  • Visão geral do Controle de Conta de Usuário (http://go.microsoft.com/fwlink/?LinkId=89652 - essa página pode estar em inglês)

    Com o Controle de Conta de Usuário do novo sistema operacional Windows Vista, você diminui o risco de exposição limitando o acesso no nível de administrador para processos autorizados.

  • Noções básicas sobre o Controle de Conta de Usuário no Windows Vista e sua configuração (http://go.microsoft.com/fwlink/?LinkID=79026 - essa página pode estar em inglês)

    Conheça o funcionamento do UAC, inclusive cenários de implantação e como assegurar a compatibilidade de aplicativos herdados.

  • Guia Passo a Passo do Controle de Conta de Usuário do Windows Vista (http://go.microsoft.com/fwlink/?LinkID=53781 - essa página pode estar em inglês)

    Esse guia passo a passo contém as instruções necessárias para usar o UAC em um ambiente de laboratório de testes.

  • Explorando o novo Controle de Conta de Usuário em um laboratório virtual do Windows Vista (http://go.microsoft.com/fwlink/?LinkId=89653 - essa página pode estar em inglês)

    Adquira experiência prática com o Controle de Conta de Usuário do Windows Vista sem precisar instalá-lo em um de seus computadores.

  • Requisitos de desenvolvimento de aplicativos Windows Vista para Controle de Conta de Usuário (UAC) (http://go.microsoft.com/fwlink/?LinkId=89654 - essa página pode estar em inglês)

    Aprenda a desenvolver aplicativos para que eles funcionem com o UAC.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft