用户帐户控制组策略和注册表项设置
04/19/
本文内容
适用范围
Windows 10
Windows Server
组策略设置
UAC 管理中心可以配置 10 个组策略 (用户帐户) 。 该表列出了每个策略设置的默认值,以下各节介绍了不同的 UAC 策略设置并提供建议。 这些策略设置位于"本地安全策略"管理单元中的"安全设置 \本地策略\ 安全选项"中。 有关每个组策略设置详细信息,请参阅组策略说明。 有关注册表项设置的信息,请参阅 注册表项设置。
组策略设置
注册表项
默认值
FilterAdministratorToken
禁用
ConsentPromptBehaviorAdmin
提示同意非 Windows 二进制文件
ConsentPromptBehaviorUser
在安全桌面上提示输入凭据
EnableInstallerDetection
已启用 (家庭用户默认)
已禁用 (企业版默认设置)
ValidateAdminCodeSignatures
禁用
PromptOnSecureDesktop
启用
用户帐户控制:内置管理员帐户的管理员审批模式
The User Account Control: Admin Approval Mode for the built-in Administrator account policy setting controls the behavior of Admin Approval Mode for the built-in Administrator account.
这些选项有:
已启用。 内置管理员帐户使用管理员审批模式。 默认情况下,任何需要提升特权的操作都将提示用户批准该操作。
已禁用。 (默认) 内置管理员帐户使用完全管理权限运行所有应用程序。
用户帐户控制: 允许 UIAccess 应用程序在不使用安全桌面的情况下提示提升权限
用户帐户控制:允许 UIAccess 应用程序提示提升,而不使用安全桌面策略设置控制用户界面辅助功能 (UIAccess 或 UIA) 程序是否可以针对标准用户使用的提升提示自动禁用安全桌面。
这些选项有:
已启用。 UIA 计划(包括 Windows 远程协助)会自动禁用提升提示的安全桌面。 如果未禁用用户帐户控制 : 提示提升策略设置时切换到安全桌面,则提示将显示在交互式用户的桌面上,而不是安全桌面上。
已禁用。 (默认) 只有交互式桌面的用户或禁用用户帐户控制 : 提示提升策略设置时切换到安全桌面,才能禁用安全桌面。
UIA 程序旨在代表用户与 Windows 和应用程序程序交互。 此策略设置允许 UIA 程序绕过安全桌面以提高在某些情况下的可用性;但是,允许提升请求显示在交互式桌面(而不是安全桌面)可能会增加安全风险。
UIA 计划必须进行数字签名,因为它们必须能够响应有关安全问题的提示,如 UAC 提升提示。 默认情况下,UIA 程序仅从以下受保护的路径运行:
...\Program 文件,包括子文件夹
...\Program Files (x86) ,包括 64 位版本的 Windows 的子文件夹
...\Windows\System32
用户帐户控制:仅提升安装在安全位置中的 UIAccess 应用程序策略设置会禁用从受保护的路径运行的要求。
虽然此策略设置适用于任何 UIA 计划,但它主要用于某些远程协助方案,包括 Windows 7 中的 Windows 远程协助计划。
如果用户向管理员请求远程协助并建立了远程协助会话,则任何提升提示都将显示在交互式用户的安全桌面上,并且管理员的远程会话将暂停。 为了避免在提升请求期间暂停远程管理员会话,用户在设置远程协助会话时可能会选中"允许 IT 专家 响应用户帐户控制提示"复选框。 但是,选中此复选框要求交互式用户响应安全桌面上的提升提示。 如果交互用户是标准用户,则用户没有允许提升所需的凭据。
如果启用此策略设置,提升请求会自动发送到交互式桌面 (而不是安全桌面) 还会在远程协助会话期间显示在远程管理员的桌面视图中。 这允许远程管理员提供适当的凭据进行提升。
此策略设置不会更改管理员的 UAC 提升提示行为。
如果计划启用此策略设置,则还应查看用户帐户控制:标准用户策略设置的提升 提示 行为的效果。 如果配置为"自动 拒绝提升请求", 则提升请求不会呈现给用户。
用户帐户控制: 管理员批准模式中管理员的提升权限提示行为
用户帐户 控制:管理员 批准模式策略设置中管理员的提升权限提示行为控制管理员提升权限提示的行为。
这些选项有:
提升而不提示。 允许特权帐户执行需要提升的操作,而无需征得同意或凭据。
注意 仅在最受限制的环境中使用此选项。
提示在安全桌面上输入凭据。 当操作需要提升特权时,系统会在安全桌面上提示用户输入特权用户名和密码。 如果用户输入了有效的凭据,操作将继续具有用户的最高可用权限。
提示在安全桌面上征得同意。 当操作需要提升特权时,系统会在安全桌面上提示用户选择"允许"或"拒绝 "。 如果用户选择" 允许", 操作将继续使用用户的最高可用权限。
提示输入凭据。 当操作需要提升特权时,系统将提示用户输入管理用户名和密码。 如果用户输入有效的凭据,则操作将继续具有适用的权限。
提示同意。 当操作需要提升特权时,系统将提示用户选择"允许"或"拒绝 "。 如果用户选择" 允许", 操作将继续使用用户的最高可用权限。
提示同意非 Windows 二进制文件。 (默认) 当非 Microsoft 应用程序的操作需要提升特权时,系统会在安全桌面上提示用户选择"允许"或"拒绝"。 **** 如果用户选择" 允许", 操作将继续使用用户的最高可用权限。
用户帐户控制: 标准用户的提升权限提示行为
用户帐户 控制:标准用户提升提示行为 策略设置控制标准用户的提升权限提示行为。
这些选项有:
自动拒绝提升请求。 当操作需要提升特权时,将显示可配置的拒绝访问错误消息。 作为标准用户运行桌面的企业可以选择此设置以减少技术支持呼叫。
提示在安全桌面上输入凭据。 (默认) 当操作需要提升特权时,系统会在安全桌面上提示用户输入不同的用户名和密码。 如果用户输入有效的凭据,则操作将继续具有适用的权限。
提示输入凭据。 当操作需要提升特权时,系统将提示用户输入管理用户名和密码。 如果用户输入有效的凭据,则操作将继续具有适用的权限。
用户帐户控制: 检测应用程序安装并提示提升权限
用户帐户 控制:检测应用程序安装并提示 提升策略设置控制计算机的应用程序安装检测行为。
这些选项有:
已启用。 (家庭) 默认设置 当检测到需要提升特权的应用程序安装程序包时,系统将提示用户输入管理用户名和密码。 如果用户输入有效的凭据,则操作将继续具有适用的权限。
已禁用。 (企业版应用程序) 程序包的默认值,并提示进行提升。 运行标准用户桌面并使用委派安装技术(如组策略软件安装或 Systems Management Server (短信) )的企业应禁用此策略设置。 在这种情况下,不需要安装程序检测。
用户帐户控制: 只提升签名并验证的可执行文件
用户帐户 控制: 仅提升经过签名和验证的策略设置的可执行文件会强制执行公钥基础结构 (PKI) 签名检查以检查请求提升特权的任何交互式应用程序。 Enterprise管理员可通过将证书添加到本地计算机上的"受信任的发布者"证书存储来控制允许运行的应用程序。
这些选项有:
已启用。 在允许运行给定可执行文件之前,对该文件强制执行 PKI 证书路径验证。
已禁用。 (默认) 在允许运行给定可执行文件之前,不强制执行 PKI 证书路径验证。
用户帐户控制: 仅提升安装在安全位置的 UIAccess 应用程序
用户帐户控制:仅提升安装在安全位置中的 UIAccess 应用程序策略设置控制请求使用用户界面辅助功能 (UIAccess) 完整性级别运行的应用程序是否必须驻留在文件系统中的安全位置。 安全位置仅限于以下位置:
...\Program 文件,包括子文件夹
...\Windows\system32
...\Program Files (x86) ,包括 64 位版本的 Windows
请注意Windows请求使用 UIAccess 完整性级别运行的任何交互式应用程序强制执行 PKI 签名检查,无论此安全性设置的状态如何。
这些选项有:
已启用。 (默认值) 如果应用程序驻留在文件系统中的安全位置,则它仅使用 UIAccess 完整性运行。
已禁用。 应用程序使用 UIAccess 完整性运行,即使它不驻留在文件系统中的安全位置。
用户帐户控制: 以管理员批准模式运行所有管理员
用户帐户 控制:运行所有管理员管理员审批模式 策略设置控制计算机的所有 UAC 策略设置的行为。 如果更改此策略设置,则必须重新启动计算机。
这些选项有:
已启用。 (启用) 审批模式的默认权限。 必须启用此策略,并且还必须相应设置相关的 UAC 策略设置,以允许内置管理员帐户和作为 Administrators 组的成员的所有其他用户在管理员审批模式下运行。
已禁用。 管理员审批模式和相关的 UAC 策略设置已禁用。
注意 如果禁用此策略设置,安全中心将通知你操作系统的总体安全性已降低。
用户帐户控制: 提示提升权限时切换到安全桌面
用户帐户 控制:提示 提升策略设置时切换到安全桌面控制提升请求提示是否显示在交互式用户的桌面或安全桌面上。
这些选项有:
已启用。 (默认) 无论管理员和标准用户的提示行为策略设置如何,所有提升请求都将转到安全桌面。
已禁用。 所有提升请求都转到交互式用户的桌面。 使用管理员和标准用户的提示行为策略设置。
启用此策略设置后,它将覆盖用户帐户控制:管理员批准模式策略设置中管理员 的提升权限 提示行为。 下表介绍了启用或禁用"用户帐户控制: 当提示提升策略设置时切换到安全桌面****"时,每个管理员策略设置的提升权限提示行为。
管理员策略设置
已启用
禁用
在安全桌面上提示输入凭据
提示将显示在安全桌面上。
提示将显示在安全桌面上。
在安全桌面上提示同意
提示将显示在安全桌面上。
提示将显示在安全桌面上。
凭据提示
提示将显示在安全桌面上。
该提示将显示在交互用户的桌面上。
提示同意
提示将显示在安全桌面上。
该提示将显示在交互用户的桌面上。
提示同意非二Windows二进制文件
提示将显示在安全桌面上。
该提示将显示在交互用户的桌面上。
启用此策略设置后,它将覆盖用户帐户控制:标准用户策略 设置的提升提示 行为。 下表介绍启用或禁用"用户帐户控制: 当提示提升策略设置时切换到安全桌面"**** 时,每个标准用户策略设置的提升权限提示行为。
标准策略设置
已启用
禁用
自动拒绝提升请求
无提示。 请求将自动被拒绝。
无提示。 请求将自动被拒绝。
在安全桌面上提示输入凭据
提示将显示在安全桌面上。
提示将显示在安全桌面上。
凭据提示
提示将显示在安全桌面上。
该提示将显示在交互用户的桌面上。
用户帐户控制: 将文件和注册表写入错误虚拟化到每用户位置
用户帐户 控制:虚拟化 文件和注册表写入每用户位置失败策略设置控制是否将应用程序写入失败重定向到定义的注册表和文件系统位置。 此策略设置可缓解以管理员角色运行的应用程序,并可将运行时应用程序数据写入 %ProgramFiles、%Windir、%Windir%\system32 或 HKLM\Software。
这些选项有:
已启用。 (默认) 应用程序写入失败会运行时重定向到为文件系统和注册表定义的用户位置。
已禁用。 将数据写入受保护位置的应用程序失败。
注册表项设置
注册表项位于 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 中。 有关每个注册表项的信息,请参阅关联的组策略说明。
注册表项
组策略设置
注册表设置
FilterAdministratorToken
0 (默认值) = 已禁用
1 = 已启用
EnableUIADesktopToggle
0 (默认值) = 已禁用
1 = 已启用
ConsentPromptBehaviorAdmin
0 = 提升而不提示
1 = 提示在安全桌面上输入凭据
2 = 在安全桌面上提示同意
3 = 提示输入凭据
4 = 提示同意
5 (默认) = 提示同意非 Windows 二进制文件
ConsentPromptBehaviorUser
0 = 自动拒绝提升请求
1 = 提示在安全桌面上输入凭据
3 (默认) = 提示输入凭据
EnableInstallerDetection
1 = (家庭用户默认启用)
0 = 禁用 (企业版默认设置)
ValidateAdminCodeSignatures
0 (默认值) = 已禁用
1 = 已启用
EnableSecureUIAPaths
0 = 禁用
1 (默认值) = 已启用
EnableLUA
0 = 禁用
1 (默认值) = 已启用
PromptOnSecureDesktop
0 = 禁用
1 (默认值) = 已启用
EnableVirtualization
0 = 禁用
1 (默认值) = 已启用
组策略 计算机 用户账户控制 Windows 10 (用户帐户控制组策略和注册表) - Microsoft 365 Security | Microsoft Docs...
