用户帐户控制: 用于内置管理员帐户的管理员批准模式
介绍了有关“用户帐户控制: 用于内置管理员帐户的管理员批准模式”安全策略设置的最佳做法、位置、值、策略管理和安全注意事项。
参考
此策略设置确定用于内置管理员帐户的管理员批准模式的行为。
在启用管理员批准模式时,本地管理员帐户像标准用户帐户那样运行,但它能够在不使用其他帐户登录的情况下提升权限。在此模式下,任何需要提升权限的操作均会显示可让管理员允许或拒绝提升权限的提示。如果未启用管理员批准模式,内置的管理员帐户会在 Windows XP 模式下登录,并且它默认在完全管理权限下运行所有应用程序。默认情况下,此设置设为“已禁用”****。
注意
如果某台计算机从以前版本的 Windows 操作系统升级,并且管理员帐户是该计算机上的唯一帐户,内置管理员帐户将保持启用状态,而此设置也将启用。
可能值
已启用
内置管理员帐户在管理员批准模式下登录,这样任何需要提升权限的操作都将显示让管理员选择允许或拒绝提升权限的提示。
已禁用
内置管理员帐户在 Windows XP 模式下登录,并且它默认使用完全管理权限运行所有应用程序。
最佳做法
- 不要在客户端计算机上启用内置管理员帐户,而是使用标准用户帐户和用户帐户控制 (UAC)。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
下表列出此策略的实际和有效默认值。策略的属性页中还列出了默认值。
| 服务器类型或 GPO | 默认值 |
|---|---|
默认域策略 |
未定义 |
默认域控制器策略 |
未定义 |
独立服务器默认设置 |
禁用 |
DC 有效默认设置 |
禁用 |
成员服务器有效默认设置 |
禁用 |
客户端计算机有效默认设置 |
已禁用 |
策略管理
本部分介绍可用于帮助管理此策略的功能和工具。
重启要求
无。当以本地方式保存或通过组策略分配对本策略的更改时,无需重新启动设备即可使这些更改生效。
安全注意事项
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
漏洞
用户帐户控制 (UAC) 功能的风险之一是它旨在缓解恶意软件在用户或管理员未意识到其活动状态时在提升凭据下运行。恶意程序的攻击平台是发现管理员帐户的密码,因为已为所有 Windows 安装创建该用户帐户。为了解决此风险,已在运行 Windows Vista 及更高版本的计算机中禁用内置管理员帐户。在运行 Windows Server 2008 及更高版本的计算机中,管理员帐户已启用,并且必须在管理员首次登录时更改密码。在运行 Windows Vista 及更高版本的计算机默认安装中,具有对计算机的管理控制的帐户最初通过以下两种方法之一进行设置:
如果计算机未加入域,所创建的首个用户帐户具有与本地管理员相等的权限。
如果计算机未加入域,则不会创建任何本地管理员帐户。如果有必要,企业或域管理员必须登录计算机并创建本地管理员帐户。
对策
如果启用了内置管理员帐户,请启用“用户帐户控制: 用于内置管理员帐户的管理员批准模式”。
潜在影响
使用本地管理员帐户登录的用户会在程序请求提升权限时收到同意该请求的提示。