Exportar (0) Imprimir
Expandir Tudo

Definir configurações da Diretiva de Grupo para o UAC

Atualizado: junho de 2010

Aplica-se a: Windows 7, Windows Server 2008 R2

Existem 10 configurações da Diretiva de Grupo que podem ser definidas para o UAC (Controle de Conta de Usuário). A tabela lista o padrão de cada uma das configurações de diretiva, e as próximas seções explicam as diferentes configurações da Diretiva de Grupo para o UAC e apresentam recomendações.

 

Configuração da Diretiva de Grupo Padrão

Controle de Conta de Usuário: Modo de Aprovação de Administrador para a conta Interna Administrador

Desabilitada

Controle de Conta de Usuário: permitir que aplicativos UIAccess solicitem elevação sem usar a área de trabalho protegida

Desabilitada

Controle de Conta de Usuário: Comportamento da solicitação de elevação de administradores no Modo de Aprovação de Administrador

Pedir consentimento para binários que não são do Windows

Controle de Conta de Usuário: Comportamento da solicitação de elevação de usuários padrão

Solicitar credenciais na área de trabalho protegida

Controle de Conta de Usuário: detectar instalações de aplicativos e perguntar se deseja elevar

Habilitada (padrão para casa)

Desabilitada (padrão para empresa)

Controle de Conta de Usuário: elevar somente executáveis assinados e validados

Desabilitada

Controle de Conta de Usuário: eleve apenas aplicativos UIAccess que estejam instalados em locais seguros

Habilitada

Controle de Conta de Usuário: executar todos os administradores no Modo de Aprovação de Administrador

Habilitada

Controle de Conta de Usuário: alternar para a área de trabalho segura ao pedir elevação

Habilitada

Controle de Conta de Usuário: virtualizar falhas de gravação de arquivos e Registros para locais por usuário

Habilitada

Para obter mais informações sobre cada uma das configurações da Diretiva de Grupo para o UAC, consulte "Configurações da Diretiva de Grupo para o UAC", em Controle de Conta de Usuário na Referência Técnica do Windows 7 (http://go.microsoft.com/fwlink/?LinkID=146195) (a página pode estar em inglês).

Embora as configurações da Diretiva de Grupo para o UAC permitam aos departamentos de TI escolher como configurar o UAC, existem alguns fatores que devem ser considerados ao criar uma nova diretiva de segurança.

A solicitação de elevação

O Windows 7 inclui uma configuração de diretiva de segurança que pode ser usada para impedir que a solicitação de elevação seja imitada. Esta configuração de diretiva (Controle de Conta de Usuário: alternar para a área de trabalho segura ao pedir elevação) muda a área de trabalho do usuário ativa para a área de trabalho protegida quando um processo pede elevação. A área de trabalho protegida só está acessível para os principais processos do Windows, e o software mal-intencionado (malware) não pode se comunicar com a área de trabalho protegida. Consequentemente, todas as solicitações de elevação na área de trabalho protegida não podem ser controladas por aplicativos na área de trabalho do usuário. Esta configuração de diretiva fica desabilitada por padrão no Windows 7.

Aplicativos que não são compatíveis com o UAC

Desabilitar a configuração de diretiva Controle de Conta de Usuário: executar todos os administradores no Modo de Aprovação de Administrador desativa o UAC. Quando o UAC está desativado, arquivos e pastas não são mais virtualizados para locais por usuário no caso de aplicativos que não são compatíveis com o UAC, e todos os administradores locais são automaticamente conectados com um token de acesso administrativo completo. Desabilitar essa configuração faz com que o Windows 7 volte ao modelo de usuário do Windows XP. Embora alguns aplicativos incompatíveis com o UAC possam recomendar a desativação do UAC, não é necessário fazer isso porque o Windows 7 inclui virtualização de pastas e do Registro para aplicativos que, por padrão, não são compatíveis com o UAC. Desativar o UAC expõe o computador a instalações de malware no sistema inteiro. Se esta configuração for alterada, será preciso reiniciar o sistema para que a alteração entre em vigor.

Configurações não utilizadas da Diretiva de Grupo para o UAC

A virtualização é usada para permitir que aplicativos que não são compatíveis com o UAC funcionem corretamente no Windows 7. Se forem usados somente aplicativos compatíveis com o UAC no seu ambiente, a configuração da Diretiva de Grupo Controle de Conta de Usuário: virtualizar falhas de gravação de arquivos e Registros para locais por usuário será desnecessária e poderá ser desabilitada.

Como normalmente os instaladores gravam em áreas protegidas, como a pasta Arquivos de Programas, o modelo Win32 normalmente exige que os instaladores sejam executados em um contexto administrativo. A configuração de diretiva Controle de Conta de Usuário: detectar instalações de aplicativos e perguntar se deseja elevar chama uma solicitação de elevação quando um instalador é detectado. Se todos os aplicativos disponíveis forem implantados com o Configuration Manager ou outra tecnologia, a elevação nos instaladores não será necessária, pois ela é feita automaticamente pelo serviço de instalador, que é executado como SYSTEM. Neste tipo de ambiente, esta configuração de diretiva pode ser desabilitada.

Comportamento de tempo de execução de aplicativo

A inicialização ou não de um aplicativo depende da combinação do nível de execução solicitado no banco de dados de compatibilidade (correção) de aplicativo e dos direitos de usuário disponíveis para a conta de usuário que inicia o aplicativo. As tabelas a seguir identificam o comportamento de tempo de execução de um aplicativo com base em combinações de privilégios de usuário e correções aplicadas.

Um administrador no Modo de Aprovação de Administrador

A tabela a seguir descreve o comportamento de tempo de execução de um aplicativo para um administrador com base na configuração de diretiva Controle de Conta de Usuário: Comportamento da solicitação de elevação de administradores no Modo de Aprovação de Administrador quando são instaladas diferentes correções.

 

Token de acesso do processo pai Configuração de diretiva Correção aplicada do banco de dados de compatibilidade de aplicativo

Nenhuma ou RunAsInvoker

RunAsHighest

RunAsAdmin

Admin. protegido

Elevar sem aviso

Aplicativo inicia como um usuário padrão sem aviso

Aplicativo inicia com um token de acesso administrativo total e sem aviso

Aplicativo inicia com um token de acesso administrativo total e sem aviso

Admin. protegido

Pedir consentimento na área de trabalho protegida

Aplicativo inicia com um token de acesso administrativo total e solicita consentimento na área de trabalho protegida

Aplicativo inicia com um token de acesso administrativo total e solicita consentimento na área de trabalho protegida

Admin. protegido

Solicitar credenciais na área de trabalho protegida

Aplicativo inicia com um token de acesso administrativo total e solicita credenciais na área de trabalho protegida

Aplicativo inicia com um token de acesso administrativo total e solicita credenciais na área de trabalho protegida

Admin. protegido

Pedir credenciais

Aplicativo inicia com um token de acesso administrativo total e solicita credenciais na área de trabalho interativa do usuário

Aplicativo inicia com um token de acesso administrativo total e solicita credenciais na área de trabalho interativa do usuário

Admin. protegido

Pedir consentimento

Aplicativo inicia com um token de acesso administrativo total e solicita consentimento na área de trabalho interativa do usuário

Aplicativo inicia com um token de acesso administrativo total e solicita consentimento na área de trabalho interativa do usuário

Admin. protegido

Pedir consentimento para binários que não são do Windows

Aplicativo que não é do Windows inicia como um usuário padrão

Aplicativo que não é do Windows inicia com um token de acesso administrativo total e solicita consentimento na área de trabalho interativa do usuário

Aplicativo que não é do Windows inicia com um token de acesso administrativo total e solicita consentimento na área de trabalho interativa do usuário

Administrador (UAC desabilitado)

Não aplicável

Aplicativo inicia com um token de acesso administrativo total e sem aviso

Aplicativo inicia com um token de acesso administrativo total e sem aviso

Aplicativo inicia com um token de acesso administrativo total e sem aviso

Uma conta de usuário padrão

A tabela a seguir descreve o comportamento de tempo de execução de um aplicativo para um usuário padrão com base na configuração de diretiva Controle de Conta de Usuário: Comportamento da solicitação de elevação de usuários padrão quando são instaladas diferentes correções.

 

Token de acesso do processo pai Diretiva de consentimento Correção aplicada do banco de dados de compatibilidade de aplicativo

RunAsInvoker

RunAsHighest

RunAsAdmin

Usuário padrão

Negar automaticamente solicitações de elevação

Aplicativo inicia como um usuário padrão

Aplicativo inicia como um usuário padrão

Aplicativo não inicia

Usuário padrão

Pedir credenciais

Aplicativo inicia como um usuário padrão

Aplicativo inicia como um usuário padrão

Solicita credenciais de administrador na área de trabalho interativa do usuário

Usuário padrão

Solicitar credenciais na área de trabalho protegida

Aplicativo inicia como um usuário padrão

Aplicativo inicia como um usuário padrão

Solicita credenciais de administrador na área de trabalho protegida

Usuário padrão (UAC desabilitado)

Não aplicável

Aplicativo inicia como um usuário padrão

Aplicativo inicia como um usuário padrão

Aplicativo não inicia

Um usuário padrão com privilégios adicionais (como um operador de backup)

A tabela a seguir descreve o comportamento de tempo de execução de um aplicativo para um usuário padrão com base na configuração de diretiva Controle de Conta de Usuário: Comportamento da solicitação de elevação de usuários padrão quando são instaladas diferentes correções.

 

Token de acesso do processo pai Diretiva de consentimento Correção aplicada do banco de dados de compatibilidade de aplicativo

RunAsInvoker

RunAsHighest

RunAsAdmin

Usuário padrão

Sem aviso

Aplicativo inicia como um usuário padrão

Aplicativo não inicia

Aplicativo não inicia

Usuário padrão

Pedir credenciais

Aplicativo inicia como um usuário padrão

Solicita credenciais e executa como usuário padrão com privilégios adicionais

Solicita credenciais de administrador na área de trabalho interativa do usuário

Usuário padrão

Solicitar credenciais na área de trabalho protegida

Aplicativo inicia como um usuário padrão

Solicita credenciais e executa como usuário padrão com privilégios adicionais

Solicita credenciais de administrador na área de trabalho protegida

Usuário padrão (UAC desabilitado)

Não aplicável

Aplicativo inicia como um usuário padrão

Solicita credenciais e executa como usuário padrão com privilégios adicionais

Aplicativo não inicia

Registrar configurações

Use a tabela a seguir para registrar as configurações para sua organização.

 

Configuração da Diretiva de Grupo para o UAC Padrão Configuração para a sua organização

Controle de Conta de Usuário: Modo de Aprovação de Administrador para a conta Interna Administrador

Desabilitada

Controle de Conta de Usuário: permitir que aplicativos UIAccess solicitem elevação sem usar a área de trabalho protegida

Desabilitada

Controle de Conta de Usuário: Comportamento da solicitação de elevação de administradores no Modo de Aprovação de Administrador

Pedir consentimento para binários que não são do Windows

Controle de Conta de Usuário: Comportamento da solicitação de elevação de usuários padrão

Solicitar credenciais na área de trabalho protegida

Controle de Conta de Usuário: detectar instalações de aplicativos e perguntar se deseja elevar

Habilitada (padrão para casa)

Desabilitada (padrão para empresa)

Controle de Conta de Usuário: elevar somente executáveis assinados e validados

Desabilitada

Controle de Conta de Usuário: eleve apenas aplicativos UIAccess que estejam instalados em locais seguros

Habilitada

Controle de Conta de Usuário: executar todos os administradores no Modo de Aprovação de Administrador

Habilitada

Controle de Conta de Usuário: alternar para a área de trabalho segura ao pedir elevação

Habilitada

Controle de Conta de Usuário: virtualizar falhas de gravação de arquivos e Registros para locais por usuário

Habilitada

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft