Exportar (0) Imprimir
Expandir Tudo

Práticas recomendadas de Controle de Conta de Usuário no Windows 7

Atualizado: setembro de 2009

Aplica-se a: Windows 7, Windows Server 2008 R2

noteObservação
Este documento contém informações detalhadas sobre o UAC (Controle de Conta de Usuário) no Windows 7 para o profissional de TI. Se você precisar de ajuda e informações de procedimentos sobre como utilizar o Controle de Conta de Usuário do Windows 7 em casa, consulte o seguinte:

Este documento contém informações adicionais sobre o UAC que podem ajudar os profissionais de TI a desenvolver práticas recomendadas de UAC para ambientes Windows 7 e Windows Server 2008 R2. Este documento não inclui informações completas sobre administração do UAC.

Não desabilite o UAC

É recomendável que o UAC não seja desativado nas configurações de Diretiva de Grupo ou mediante alteração na configuração do controle deslizante.

Embora a solicitação de elevação seja a parte mais visível do UAC, o Controle de Conta de Usuário também fornece os componentes básicos que conferem maior segurança com o mínimo de interrupções, principalmente para usuários padrão. Duas dessas vantagens incluem:

  • Modo Protegido no Internet Explorer

  • Virtualização de arquivos e do Registro

Se o UAC for desabilitado para evitar a solicitação de elevação, toda a sua funcionalidade será desabilitada. Em vez disso, considere a possibilidade de configurar o UAC para elevar sem solicitação. Nesse caso, os aplicativos que foram marcados como sendo aplicativos de administrador, além dos aplicativos de instalação, serão executados automaticamente com o token de acesso total de administrador. Todos os outros aplicativos serão executados automaticamente com o token de usuário padrão. A funcionalidade adicional do UAC é mantida.

O controle deslizante do UAC na empresa

  • A configuração do controle deslizante em cada computador cliente com o Windows 7 é derivada da Diretiva de Grupo.

  • Os usuários padrão só podem exibir e alterar as configurações do controle deslizante se fornecerem as credenciais de uma conta de administrador local na solicitação de credenciais do Controle de Conta de Usuário.

  • Os usuários que estão executando como administrador local recebem uma solicitação de consentimento ao exibir ou alterar as configurações do controle deslizante.

  • Desativar o UAC na Diretiva de Grupo ou definir o controle deslizante como Nunca notificar exige uma reinicialização, que atualiza e reaplica configurações da Diretiva de Grupo.

A tabela a seguir mostra configurações equivalentes da Diretiva de Grupo para cada configuração do controle deslizante. Consulte a seção Definir configurações da Diretiva de Grupo para o UAC para obter informações e recomendações sobre configurações da Diretiva de Grupo.

 

Configuração do controle deslizante Configurações equivalentes da Diretiva de Grupo

Sempre notificar

  • A configuração de diretiva Comportamento da solicitação de elevação de administradores no Modo de Aprovação de Administrador é definida como Solicitar consentimento na área de trabalho protegida.

  • A configuração de diretiva Controle de Conta de Usuário: alternar para a área de trabalho segura ao pedir elevação é habilitada.

Notificar somente quando programas tentarem fazer alterações no computador (padrão)

  • A configuração de diretiva Comportamento da solicitação de elevação de administradores no Modo de Aprovação de Administrador é definida como Pedir consentimento para binários que não são do Windows.

  • A configuração de diretiva Controle de Conta de Usuário: alternar para a área de trabalho segura ao pedir elevação é habilitada.

Notificar somente quando programas tentarem fazer alterações no computador (sem área de trabalho protegida)

  • A configuração de diretiva Comportamento da solicitação de elevação de administradores no Modo de Aprovação de Administrador é definida como Pedir consentimento para binários que não são do Windows.

  • A configuração de diretiva Controle de Conta de Usuário: alternar para a área de trabalho segura ao pedir elevação é desabilitada.

  • A configuração de diretiva Comportamento da solicitação de elevação de usuários padrão é definida como Pedir credenciais.

Nunca notificar

noteObservação
Esta configuração exige uma reinicialização para entrar em vigor.

  • A configuração de diretiva Comportamento da solicitação de elevação de administradores no Modo de Aprovação de Administrador é definida como Elevar sem aviso.

  • A configuração de diretiva Controle de Conta de Usuário: alternar para a área de trabalho segura ao pedir elevação é desabilitada.

  • A configuração de diretiva Controle de Conta de Usuário: executar todos os administradores no Modo de Aprovação de Administrador é desabilitada.

  • O UAC é desabilitado.

Usar contas de usuário padrão

Os usuários sempre devem executar como usuários padrão, exceto nestes casos:

Transforme a conta de usuário principal em uma conta de usuário padrão. No caso de usuários que têm permissão para executar tarefas administrativas em seus computadores cliente, crie uma conta de administrador local para executar essas tarefas administrativas. Quando um usuário se conecta como usuário padrão e tenta executar uma tarefa administrativa, a solicitação de credenciais é exibida. O usuário deve inserir um nome de usuário e uma senha de administrador e clicar em Sim para executar a tarefa.

Quando os usuários se conectam como usuários padrão e precisam executar tarefas administrativas, eles também podem alternar rapidamente entre as duas contas usando o recurso Troca Rápida de Usuário. A Troca Rápida de Usuário é um recurso do Windows que permite ao usuário alternar para outra conta sem fechar programas ou arquivos primeiro. O usuário pode fazer a transição para a conta de administrador rapidamente sem precisar interromper as atividades atuais.

Para alternar entre usuários sem fazer logoff

  1. Clique em Iniciar e clique na seta à direita do botão Desligar.

  2. Clique em Trocar usuário.

  3. Clique na conta de usuário que você deseja usar.

    ImportantImportante
    Embora não seja necessário fechar programas ou arquivos antes de trocar de usuário, é uma boa ideia salvar os arquivos abertos. Se o usuário alternar para um segundo usuário e este desligar o computador, todas as alterações não salvas feita pelo primeiro usuário poderão ser perdidas.

Definir configurações da Diretiva de Grupo para o UAC

Existem 10 configurações da Diretiva de Grupo que controlam o comportamento do UAC. Como prática recomendada, defina configurações da Diretiva de Grupo para o UAC de acordo com o seu ambiente. A tabela a seguir descreve práticas recomendadas para configurações da Diretiva de Grupo para o UAC.

 

Configuração da Diretiva de Grupo Padrão Prática recomendada

Controle de Conta de Usuário: Modo de Aprovação de Administrador para a conta interna Administrador

Desabilitada

Quando esta configuração de diretiva está desabilitada, ela é o equivalente de Nunca notificar no controle deslizante quando um usuário está conectado como administrador interno.

Embora não seja recomendável usar a conta interna de administrador, se ela for usada, esta configuração de diretiva deve ser habilitada para que o usuário receba um aviso do UAC. Desabilite esta configuração de diretiva apenas quando houver aplicativos herdados críticos incompatíveis com o UAC e que não podem ser corrigidos com nenhuma outra solução. Para obter informações sobre como resolver problemas de compatibilidade entre aplicativos, consulte Controle de Conta de Usuário: planejando e implantando bancos de dados de compatibilidade de aplicativos para Windows 7 ( (http://go.microsoft.com/fwlink/? LinkID=148442) (a página pode estar em inglês).

Controle de Conta de Usuário: permitir que aplicativos UIAccess solicitem elevação sem usar a área de trabalho protegida

Desabilitada

Quando esta configuração de diretiva está desabilitada, a solicitação de elevação é exibida na área de trabalho protegida. Se você planeja usar o recurso Assistência Remota, esta configuração de diretiva deve estar habilitada. Se a configuração de diretiva não estiver habilitada, o assistente remoto receberá uma tela em branco quando a solicitação de elevação for exibida na área de trabalho protegida do computador remoto.

Controle de Conta de Usuário: Comportamento da solicitação de elevação de administradores no Modo de Aprovação de Administrador

Pedir consentimento para binários que não são do Windows

A configuração padrão (Pedir consentimento para binários que não são do Windows) apenas solicita permissão para executar arquivos executáveis e aplicativos que não são do Windows.

A configuração Pedir consentimento é recomendável em ambientes menos seguros onde não são exigidas credenciais.

A configuração Pedir credenciais é recomendável em ambientes de alta segurança, onde as credenciais são exigidas, mas a segurança adicional da área de trabalho protegida não é necessária.

A configuração Solicitar consentimento na área de trabalho protegida é recomendável em ambientes menos seguros, onde as credenciais não são exigidas, mas a segurança adicional da área de trabalho protegida é necessária.

noteObservação
Alguns problemas com drivers de vídeo podem resultar em atraso durante a alternância para a área de trabalho protegida.

A configuração Solicitar credenciais na área de trabalho protegida é recomendável em ambientes de alta segurança, onde as credenciais e a segurança adicional da área de trabalho protegida são exigidas.

noteObservação
Alguns problemas com drivers de vídeo podem resultar em atraso durante a alternância para a área de trabalho protegida.

A configuração Elevar sem aviso desativa o UAC. Ela só deve ser usada em um controlador de domínio ou servidor para usuários avançados ou administradores de servidor. Esta configuração não deve ser aplicada a computadores cliente.

noteObservação
Os usuários não devem usar a Internet quando esta configuração está aplicada.

Controle de Conta de Usuário: Comportamento da solicitação de elevação de usuários padrão

Solicitar credenciais na área de trabalho protegida

A configuração padrão (Solicitar credenciais na área de trabalho protegida) permite que os usuários padrão executem tarefas que requerem elevação de privilégio apresentando a solicitação de credenciais na área de trabalho protegida. O usuário deve fornecer credenciais válidas para continuar. Esta configuração não é recomendável para ambientes gerenciados. A configuração Negar automaticamente solicitações de elevação é recomendável para ambientes gerenciados. As elevações são negadas automaticamente, e é exibida uma mensagem de acesso configurável negado.

Controle de Conta de Usuário: detectar instalações de aplicativos e perguntar se deseja elevar

Habilitada (casa)

Desabilitada (empresa)

Esta configuração de diretiva deve ficar desabilitada se você tem usuários padrão e utiliza a Diretiva de Grupo de Instalação de Software ou o Microsoft System Center Configuration Manager para implantar aplicativos. Quando esta configuração de diretiva fica desabilitada, a detecção de pacote de instalação de aplicativos não ocorre.

Controle de Conta de Usuário: elevar somente executáveis assinados e validados

Desabilitada

Se houver aplicativos no seu ambiente que não estiverem assinados e validados, esta configuração de diretiva não deverá ser habilitada. Quando ela está habilitada, somente aplicativos e outros arquivos executáveis assinados têm permissão para executar. Dependendo do comportamento das configurações de solicitação de elevação da conta de usuário, é exibida uma solicitação de consentimento ou de credenciais.

Controle de Conta de Usuário: eleve apenas aplicativos UIAccess que estejam instalados em locais seguros

Habilitado

Quando esta configuração de diretiva está habilitada, somente aplicativos UIAccess instalados em locais seguros do sistema de arquivos têm permissão para executar. Os locais seguros limitam-se a:

  • Arquivos de Programas\, inclusive subpastas

  • Windows\System32\

  • Arquivos de programas (x86) \, inclusive subpastas (para versões de 64 bits)

Esta é a configuração recomendável.

Controle de Conta de Usuário: executar todos os administradores no Modo de Aprovação de Administrador

Habilitada

Esta configuração de diretiva deve estar habilitada e as configurações de diretiva do UAC relacionadas devem ser definidas corretamente para que a conta interna Administrador e todas as outras contas de usuário que são membros do grupo Administradores sejam executadas no Modo de Aprovação de Administrador.

Quando desabilitada, o Modo de Aprovação de Administrador e todas as configurações de diretiva do UAC relacionadas também são desabilitados.

noteObservação
Se esta configuração de diretiva fica desabilitada, a Central de Segurança notifica o usuário de que a segurança global do sistema operacional está reduzida.

Controle de Conta de Usuário: alternar para a área de trabalho segura ao pedir elevação

Habilitada

Configurações de diretiva de comportamento de solicitação são utilizadas para os administradores e usuários padrão determinarem se a solicitação de elevação deve ser apresentada na área de trabalho interativa ou na área de trabalho protegida.

Quando esta configuração de diretiva está habilitada, todas as solicitações de elevação são exibidas na área de trabalho segura, independentemente das configurações de comportamento de solicitação para administradores e usuários padrão. Os usuários devem responder à solicitação para poderem continuar. Esta configuração não é recomendável para ambientes gerenciados.

Quando esta configuração de diretiva fica desabilitada, as solicitações de elevação de privilégio têm permissão para acessar a área de trabalho interativa. São usadas configurações de diretiva de comportamento de solicitação para administradores e usuários padrão. A solicitação permanece na área de trabalho interativa até que o usuário responda, mas ele pode continuar trabalhando sem responder.

Controle de Conta de Usuário: virtualizar falhas de gravação de arquivos e Registros para locais por usuário

Habilitada

Quando esta configuração de diretiva está habilitada, as falhas de gravação em aplicativos são redirecionadas em tempo de execução para locais de usuário definidos. Habilite esta configuração de diretiva em ambientes onde é preciso executar aplicativos herdados como se eles estivessem sendo executados no Windows XP.

Quando esta configuração de diretiva fica desabilitada, os aplicativos que tentam gravar em recursos privilegiados, como a pasta Arquivos de Programas, falham. Desabilite esta configuração de diretiva em ambientes onde a virtualização de arquivos e do Registro não é necessária.

Para obter mais informações sobre configurações da Diretiva de Grupo para o UAC, consulte Controle de Conta de Usuário na Referência Técnica do Windows 7 (http://go.microsoft.com/fwlink/?LinkID=146195) (a página pode estar em inglês).

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2015 Microsoft