Impostazioni dei criteri di sicurezza per Controllo dell'account utente

  • Articolo

Puoi usare criteri di sicurezza per configurare la modalità operativa di Controllo dell'account utente nella tua organizzazione. I criteri possono essere configurati in locale con lo snap-in Criteri di sicurezza locale (secpol.msc) o per il dominio, l'unità organizzativa o gruppi specifici con Criteri di gruppo.

Controllo dell'account utente: modalità Approvazione amministratore per l'account amministratore predefinito

Questa impostazione dei criteri controlla il comportamento della modalità Approvazione amministratore per l'account predefinito Administrator.

  • Abilitata l'account predefinito Administrator usa la modalità Approvazione amministratore. Per impostazione predefinita, per qualsiasi operazione che richiede l'elevazione dei privilegi è richiesta l'approvazione dell'utente.

  • Disabilitata (impostazione predefinita) l'account predefinito Administrator esegue tutte le applicazioni con privilegi amministrativi completi.

Controllo dell'account utente: consenti alle applicazioni con accesso all'interfaccia utente di richiedere l'elevazione senza utilizzare il desktop sicuro

Questa impostazione dei criteri determina se i programmi con accesso all'interfaccia utente (UIAccess o UIA) possono disabilitare automaticamente il desktop sicuro per le richieste di elevazione provenienti da un utente standard.

  • Abilitata I programmi UIA, compreso Assistenza remota Windows, disabilitano automaticamente il desktop sicuro per le richieste di elevazione. Se non si disabilita l'impostazione dei criteri "Controllo dell'account utente: alla richiesta di elevazione passa al desktop sicuro", le richieste vengono visualizzate sul desktop dell'utente interattivo anziché sul desktop sicuro.

  • Disabilitata (impostazione predefinita) Il desktop sicuro può essere disabilitato solo dall'utente del desktop interattivo o disabilitando l'impostazione dei criteri "Controllo dell'account utente: alla richiesta di elevazione passa al desktop sicuro".

Controllo dell'account utente: comportamento della richiesta di elevazione dei privilegi per gli amministratori in modalità Approvazione amministratore

Questa impostazione dei criteri controlla il comportamento della richiesta dell'elevazione dei privilegi per gli amministratori.

  • Esegui con privilegi elevati senza chiedere conferma Consente agli account con privilegi di eseguire un'operazione che richiede l'elevazione dei privilegi senza richiedere il consenso o le credenziali.

    Nota  Usa questa opzione solo negli ambienti maggiormente soggetti a vincoli.

     

  • Richiedi credenziali sul desktop sicuro Se un'operazione richiede l'elevazione dei privilegi, all'utente viene chiesto sul desktop sicuro di immettere un nome utente e una password con privilegi. Se l'utente immette credenziali valide, l'operazione continua con i privilegi di livello più alto disponibili per l'utente.

  • Richiedi consenso sul desktop sicuro Se un'operazione richiede l'elevazione dei privilegi, all'utente viene chiesto sul desktop sicuro di selezionare Consenti o Nega. Se l'utente seleziona Consenti, l'operazione continua con i privilegi di livello più alto disponibili per l'utente.

  • Richiedi credenziali Se un'operazione richiede l'elevazione dei privilegi, all'utente viene chiesto di immettere un nome utente amministrativo e la relativa password. Se l'utente immette credenziali valide, l'operazione continua con i privilegi applicabili.

  • Richiedi consenso sul desktop sicuro Se un'operazione richiede l'elevazione dei privilegi, all'utente viene chiesto Consenti o Nega. Se l'utente seleziona Consenti, l'operazione continua con i privilegi di livello più alto disponibili per l'utente.

  • Richiedi consenso per file binari non Windows (impostazione predefinita) Se un'operazione richiede l'elevazione dei privilegi per un'applicazione non Microsoft, all'utente viene chiesto sul desktop sicuro di selezionare Consenti o Nega. Se l'utente seleziona Consenti, l'operazione continua con i privilegi di livello più alto disponibili per l'utente.

Controllo dell'account utente: comportamento della richiesta di elevazione dei privilegi per gli utenti standard

Questa impostazione dei criteri controlla il comportamento della richiesta dell'elevazione dei privilegi per gli utenti standard.

  • Richiedi credenziali (impostazione predefinita) Se un'operazione richiede l'elevazione dei privilegi, all'utente viene chiesto di immettere un nome utente amministrativo e la relativa password. Se l'utente immette credenziali valide, l'operazione continua con i privilegi applicabili.

  • Nega automaticamente richieste di elevazione dei privilegi Se un'operazione richiede l'elevazione dei privilegi, viene visualizzato un messaggio di errore configurabile di accesso negato. Le aziende in cui i desktop rappresentano utenti standard possono scegliere questa impostazione per ridurre le richieste di assistenza.

  • Richiedi credenziali sul desktop sicuro Se un'operazione richiede l'elevazione dei privilegi, all'utente viene chiesto sul desktop sicuro di immettere un nome utente e una password diversi. Se l'utente immette credenziali valide, l'operazione continua con i privilegi applicabili.

Controllo dell'account utente: rileva installazione applicazioni e richiedi elevazione

Questa impostazione dei criteri controlla il comportamento del rilevamento dell'installazione di applicazioni sul computer.

  • Abilitata (impostazione predefinita) Se viene rilevato un pacchetto di installazione che richiede l'elevazione dei privilegi, all'utente viene chiesto di immettere un nome utente amministrativo e la relativa password. Se l'utente immette credenziali valide, l'operazione continua con i privilegi applicabili.
  • Disabilitata I pacchetti di installazione di app non vengono rilevati e non viene richiesta l'elevazione. Le aziende che usano desktop utente standard e tecnologie di in cui i desktop rappresentano utenti standard e usano tecnologie di installazione delegata, ad esempio Criteri di gruppo o System Center Configuration Manager, devono disabilitare questa impostazione. In questo caso, il rilevamento del programma di installazione non è necessario.

Controllo dell'account utente: eleva solo file eseguibili firmati e convalidati

Questa impostazione dei criteri impone controlli della firma con infrastruttura a chiave pubblica (PKI, Public Key Infrastructure) per tutte le applicazioni interattive che richiedono l'elevazione dei privilegi. Gli amministratori aziendali possono controllare le applicazioni che possono essere eseguite aggiungendo certificati nell'archivio certificati Autori attendibili sui computer locali.

  • Abilitata Impone la convalida del percorso di certificazione del certificato per il file eseguibile specificato prima che ne sia consentita l'esecuzione.

  • Disabilitata (impostazione predefinita) Non impone la convalida del percorso di certificazione del certificato per il file eseguibile specificato prima che ne sia consentita l'esecuzione.

Controllo dell'account utente: solo applicazioni con accesso all'interfaccia utente e con privilegi elevati installate in percorsi sicuri

Questa impostazione dei criteri controlla se le applicazioni che richiedono l'esecuzione con livello di integrità di accesso all'interfaccia utente (UIAccess) devono trovarsi in un percorso sicuro nel file system. I percorsi sicuri sono limitati ai seguenti: - …\Programmi\, comprese le sottocartelle - …\Windows\system32\ - …\Programmi (x86)\, comprese le sottocartelle per le versioni a 64 bit di Windows

Nota  

Windows impone il controllo della firma digitale su qualsiasi app interattiva che richieda l'esecuzione con un livello di integrità di accesso all'interfaccia utente, indipendentemente dallo stato di questa impostazione di sicurezza.

 

  • Abilitata (impostazione predefinita) Se un'app si trova in un percorso sicuro nel file system, viene eseguita solo con integrità di accesso all'interfaccia utente.

  • Disabilitata Un'app viene eseguita con integrità di accesso all'interfaccia utente anche se non si trova in un percorso sicuro nel file system.

Controllo dell'account utente: attiva modalità Approvazione amministratore.

Questa impostazione dei criteri controlla il comportamento di tutte le impostazioni dei criteri di Controllo dell'account utente per il computer. Se si modifica questa impostazione, è necessario riavviare il computer.

  • Abilitata (impostazione predefinita) La modalità Approvazione amministratore è abilitata. Questo criterio deve essere abilitato; inoltre le impostazioni dei criteri di Controllo account utente correlate devono essere impostate in modo appropriato per consentire all'account predefinito Administrator e tutti gli altri utenti che sono membri del gruppo Administrators l'esecuzione in modalità Approvazione amministratore.

  • Disabilitata La modalità Approvazione amministratore e tutte le impostazioni dei criteri di Controllo account utente correlate sono disabilitate. Nota: se questa impostazione è disattivata, il Centro sicurezza PC informa l'utente tramite notifica che la sicurezza complessiva del sistema operativo è stata ridotta.

Controllo dell'account utente: alla richiesta di elevazione passa al desktop sicuro

Questa impostazione dei criteri controlla se la richiesta di elevazione dei privilegi viene visualizzata sul desktop dell'utente interattivo o sul desktop sicuro.

  • Abilitata (impostazione predefinita) Tutte le richieste di elevazione dei privilegi passano al desktop sicuro, indipendentemente dalle impostazioni dei criteri relative al comportamento delle richieste per gli amministratori e gli utenti standard.

  • Disabilitata Tutte le richieste di elevazione dei privilegi vengono visualizzate sul desktop dell'utente interattivo. Vengono usate le impostazioni dei criteri relative al comportamento delle richieste per gli amministratori e gli utenti standard.

Controllo dell'account utente: virtualizza errori di scrittura su file e nel Registro di sistema in percorsi distinti per ogni utente

Questa impostazione dei criteri controlla se gli errori di scrittura delle applicazioni devono essere reindirizzati a percorsi definiti del Registro di sistema e del file system. Questa impostazione attenua la potenza delle applicazioni che vengono eseguite con privilegi di amministratore e scrivono dati dell'applicazione in fase di esecuzione in %ProgramFiles%, %Windir%, %Windir%\system32 o HKLM\Software.

  • Abilitata (impostazione predefinita) Gli errori di scrittura delle app vengono reindirizzati in fase di esecuzione a percorsi utente definiti sia per il file system che per il Registro di sistema.

  • Disabilitata Le app non riescono a scrivere dati nei percorsi protetti.