Share via

Configuración de directiva de seguridad de Control de cuentas de usuario

  • Artículo

Puedes usar directivas de seguridad para configurar cómo funciona el Control de cuentas de usuario de la organización. Pueden configurarse localmente mediante el complemento de directiva de seguridad local (secpol.msc) o para el dominio, unidad organizativa o grupos específicos mediante la directiva de grupo.

Control de cuentas de usuario: Modo de aprobación de administrador para la cuenta predefinida Administrador

Esta configuración de directiva controla el comportamiento del modo de aprobación de administrador para la cuenta predefinida de administrador.

  • Habilitado La cuenta predefinida de administrador usa el modo de aprobación de administrador. De manera predeterminada, en cualquier operación que requiera elevación de privilegios se pedirá al usuario que apruebe la operación.

  • Deshabilitado (Valor predeterminado) La cuenta predefinida de administrador ejecuta todas las aplicaciones con privilegios administrativos completos.

Control de cuentas de usuario: permitir que la aplicación UIAccess pida la confirmación de elevación sin usar el escritorio seguro

Esta configuración de directiva controla si los programas de accesibilidad de la interfaz de usuario (UIAccess o UIA) pueden deshabilitar automáticamente el escritorio seguro para las peticiones de elevación que usa un usuario estándar.

  • Habilitado Los programas UIA, incluida la asistencia remota de Windows, deshabilitan automáticamente el escritorio seguro para las peticiones de elevación. Si no deshabilitas la configuración de directiva "Control de cuentas de usuario: cambiar al escritorio seguro cuando se pida la elevación", los mensajes aparecerán en el escritorio del usuario interactivo en lugar de en el escritorio seguro.

  • Deshabilitado (predeterminado) El escritorio seguro puede deshabilitarlo solo el usuario del escritorio interactivo o al deshabilitar la configuración de directiva "Control de cuentas de usuario: cambiar al escritorio seguro cuando se pida la elevación".

Control de cuentas de usuario: comportamiento de la petición de elevación para los administradores en el modo de aprobación de administrador

Esta configuración de directiva controla el comportamiento de la petición de elevación para los administradores.

  • Elevar sin pedir confirmación Permite que las cuentas con privilegios realicen una operación que requiere elevación sin solicitar el consentimiento o las credenciales.

    Nota  Usa esta opción solo en los entornos más restringidos.

     

  • Pedir las credenciales en el escritorio seguro Cuando una operación requiere elevación de privilegios, se le pide al usuario en el escritorio seguro que escriba un nombre de usuario con privilegios y una contraseña. Si el usuario escribe las credenciales válidas, la operación continúa con el privilegio más alto disponible del usuario.

  • Pedir consentimiento en el escritorio seguro Cuando una operación requiere elevación de privilegios, se le pide al usuario en el escritorio seguro que seleccione Permitir o Denegar. Si el usuario selecciona Permitir, la operación continúa con el privilegio más alto disponible del usuario.

  • Pedir credenciales Cuando una operación requiere elevación de privilegios, se pide al usuario que escriba un nombre de usuario y una contraseña de administrador. Si el usuario escribe las credenciales válidas, la operación continúa con el privilegio aplicable.

  • Pedir consentimiento Cuando una operación requiere elevación de privilegios, se pide al usuario que seleccione Permitir o Denegar. Si el usuario selecciona Permitir, la operación continúa con el privilegio más alto disponible del usuario.

  • Pedir consentimiento para archivos binarios de que no sean de Windows (Valor predeterminado) Cuando una operación para una aplicación que no sea de Microsoft requiera la elevación de privilegios, se pedirá al usuario en el escritorio seguro que seleccione Permitir o Denegar. Si el usuario selecciona Permitir, la operación continúa con el privilegio más alto disponible del usuario.

Control de cuentas de usuario: comportamiento de la petición de elevación para los usuarios estándar

Esta configuración de directiva controla el comportamiento de la petición de elevación para usuarios estándar.

  • Pedir credenciales (Valor predeterminado) Cuando una operación requiere elevación de privilegios, se pide al usuario que escriba un nombre de usuario y una contraseña de administrador. Si el usuario escribe las credenciales válidas, la operación continúa con el privilegio aplicable.

  • Denegar automáticamente las solicitudes de elevación Cuando una operación requiere elevación de privilegios, se muestra un mensaje de error de acceso denegado configurable. Una empresa que ejecuta escritorios como usuario estándar puede elegir esta configuración para reducir las llamadas al servicio de asistencia.

  • Pedir las credenciales en el escritorio seguro Cuando una operación requiere elevación de privilegios, se le pide al usuario en el escritorio seguro que escriba un nombre de usuario diferente y una contraseña. Si el usuario escribe las credenciales válidas, la operación continúa con el privilegio aplicable.

Control de cuentas de usuario: detectar instalaciones de aplicaciones y pedir confirmación de elevación

Esta configuración de directiva controla el comportamiento de detección de instalación de la aplicación para el equipo.

  • Habilitado (Predeterminada) Cuando se detecte un paquete de instalación de la aplicación que requiera elevación de privilegios, se pedirá al usuario que escriba un nombre de usuario y una contraseña de administrador. Si el usuario escribe las credenciales válidas, la operación continúa con el privilegio aplicable.
  • Deshabilitado Los paquetes de instalación de la aplicación no se detectan ni se pide confirmación de elevación. Las empresas que ejecuten escritorios de usuarios estándar y usen las tecnologías de instalación delegada como la Directiva de grupo o System Center Configuration Manager deben deshabilitar esta configuración de directiva. En este caso, la detección del instalador no es necesaria.

Control de cuentas de usuario: elevar solo los archivos ejecutables que están firmados y validados

Esta configuración de directiva aplica las comprobaciones de firma de infraestructura de clave pública (PKI) de todas las aplicaciones interactivas que requieran la elevación de privilegios. Los administradores de empresa pueden controlar qué aplicaciones se pueden ejecutar agregando certificados al almacén de certificados de editores de confianza en los equipos locales.

  • Habilitado Aplica la validación de rutas de certificación de certificado para un determinado archivo ejecutable antes de permitir su ejecución.

  • Deshabilitado (Valor predeterminado) No aplica la validación de rutas de certificación de certificado antes de que se permita la ejecución de un archivo ejecutable.

Control de cuentas de usuario: elevar solo aplicaciones UIAccess instaladas en ubicaciones seguras

Esta configuración de directiva controla si las aplicaciones que soliciten ejecutarse con un nivel de integridad de accesibilidad de la interfaz de usuario (UIAccess) debe encontrarse en una ubicación segura en el sistema de archivos. Las ubicaciones seguras se limitan a: - …\Program Files\, incluidas las subcarpetas - …\Windows\system32\ - …\Program Files (x86)\, incluidas las subcarpetas para versiones de 64 bits de Windows

Nota  

Windows aplica una comprobación de firma digital en cualquier aplicación interactiva que solicite la ejecución con un nivel de integridad UIAccess independientemente del estado de esta configuración de seguridad.

 

  • Habilitado (Valor predeterminado) Si una aplicación se encuentra en una ubicación segura en el sistema de archivos, se ejecuta solo con la integridad UIAccess.

  • Deshabilitado Una aplicación se ejecuta con la integridad UIAccess aunque no se encuentre en una ubicación segura en el sistema de archivos.

Control de cuentas de usuario: activar el modo de aprobación de administrador

Esta configuración de directiva controla el comportamiento de todas las configuraciones de directiva de Control de cuentas de usuario (UAC) para el equipo. Si cambias esta configuración de directiva, debes reiniciar el equipo.

  • Habilitado (Valor predeterminado) El modo de aprobación de administración está habilitado. Esta directiva debe estar habilitada y la configuración de directiva UAC relacionada también debe configurarse correctamente para permitir que la cuenta predefinida de administrador y todos los demás usuarios que sean miembros del grupo Administradores se ejecuten en modo de aprobación de administrador.

  • Deshabilitado El modo de aprobación de administrador y todas las configuraciones de directiva UAC relacionadas están deshabilitadas. Nota: si se deshabilita esta configuración de directiva, el Centro de seguridad te notifica que se ha reducido la seguridad general del sistema operativo.

Control de cuentas de usuario: cambiar al escritorio seguro cuando se pida confirmación de elevación

Esta configuración de directiva controla si se muestra la solicitud de elevación en el escritorio del usuario interactivo o el escritorio seguro.

  • Habilitado (Valor predeterminado) Todas las solicitudes de elevación van al escritorio seguro independientemente de las configuraciones de directiva de comportamiento de solicitud para administradores y usuarios estándar.

  • Deshabilitado Todas las solicitudes de elevación van al escritorio del usuario interactivo. Se usan las configuraciones de directiva de comportamiento de solicitud para administradores y usuarios estándar.

Control de cuentas de usuario: virtualizar errores de escritura de archivos y de registro para ubicaciones por usuario

Esta configuración de directiva controla si los errores de escritura de aplicación se redirigen a ubicaciones definidas del registro y del sistema de archivos. Esta configuración de directiva mitiga las aplicaciones que se ejecutan como administrador y escriben datos de aplicación en tiempo de ejecución en %ProgramFiles%, %Windir%, %Windir%\system32 o HKLM\Software.

  • Habilitado (Valor predeterminado) Los errores de escritura de aplicación se redirigen en tiempo de ejecución a ubicaciones de usuario definidas tanto para el sistema de archivos como para el registro.

  • Deshabilitado Error en las aplicaciones que escriben datos en ubicaciones protegidas.