Descrizione del controllo dell'account utente e delle restrizioni remote in Windows Vista
Questo articolo descrive il controllo dell'account utente e le restrizioni remote.
Si applica a: Windows Vista
Numero KB originale: 951016
Introduzione
Controllo account utente (UAC) è un nuovo componente di sicurezza di Windows Vista. Controllo dell'account utente consente agli utenti di eseguire attività quotidiane comuni come non amministratori. Questi utenti sono chiamati utenti standard in Windows Vista. Gli account utente membri del gruppo Administrators locale eseguiranno la maggior parte delle applicazioni usando il principio dei privilegi minimi. In questo scenario, gli utenti con privilegi minimi hanno diritti simili ai diritti di un account utente standard. Tuttavia, quando un membro del gruppo Administrators locale deve eseguire un'attività che richiede diritti di amministratore, Windows Vista richiede automaticamente l'approvazione dell'utente.
Funzionamento delle restrizioni remote di Controllo dell'account utente
Per proteggere meglio gli utenti membri del gruppo Administrators locale, vengono implementate restrizioni di Controllo dell'account utente nella rete. Questo meccanismo consente di evitare attacchi di loopback . Questo meccanismo consente anche di impedire l'esecuzione remota di software dannoso locale con diritti amministrativi.
Account utente locali (account utente di Security Account Manager)
Quando un utente membro del gruppo Administrators locale nel computer remoto di destinazione stabilisce una connessione amministrativa remota usando il comando net use *\\remotecomputer\Share$
, ad esempio, non si connette come amministratore completo. L'utente non ha alcun potenziale di elevazione dei privilegi nel computer remoto e l'utente non può eseguire attività amministrative. Se l'utente vuole amministrare la workstation con un account SAM (Security Account Manager), l'utente deve accedere in modo interattivo al computer da amministrare con Assistenza remota o Desktop remoto, se questi servizi sono disponibili.
Account utente di dominio (account utente di Active Directory)
Un utente che dispone di un account utente di dominio accede in remoto a un computer Windows Vista. L'utente di dominio è inoltre membro del gruppo Administrators. In questo caso, l'utente di dominio verrà eseguito con un token di accesso amministratore completo nel computer remoto e il controllo dell'account utente non sarà attivo.
Note
Questo comportamento non è diverso dal comportamento in Windows XP.
Come disabilitare le restrizioni remote di Controllo dell'account utente
Importante
In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Se, tuttavia, si modifica il Registro di sistema in modo errato, possono verificarsi gravi problemi. Pertanto, assicurarsi di osservare attentamente la procedura seguente. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Successivamente, è possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e il ripristino del Registro di sistema, vedi Come eseguire il backup e il ripristino del Registro di sistema in Windows.
Per disabilitare le restrizioni remote di Controllo dell'account utente, seguire questa procedura:
Fare clic su Start, quindi su Esegui, digitare regedit e quindi premere INVIO.
Individuare e selezionare la seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Se la
LocalAccountTokenFilterPolicy
voce del Registro di sistema non esiste, seguire questa procedura:- Scegliere Nuovo dal menu Modifica e quindi selezionare Valore DWORD.
- Digitare LocalAccountTokenFilterPolicy e quindi premere INVIO.
Fare clic con il pulsante destro del mouse su LocalAccountTokenFilterPolicy e quindi scegliere Modifica.
Nella casella dati Valore digitare 1 e quindi selezionare OK.
Uscire dall'editor del Registro di sistema.
È stato risolto il problema
Verificare se il problema è stato risolto. Se il problema non viene risolto, contattare il supporto.
Impostazioni remote di Controllo dell'account utente
La voce del Registro di sistema LocalAccountTokenFilterPolicy può avere un valore pari a 0 o 1. Questi valori modificano il comportamento della voce del Registro di sistema in quello descritto nella tabella seguente.
valore | Descrizione |
---|---|
0 | Questo valore compila un token filtrato. Si tratta del valore predefinito. Le credenziali di amministratore vengono rimosse. |
1 | Questo valore compila un token con privilegi elevati. |