Compartilhar via


Definições e configuração do Controle de Conta de Usuário

Lista de definições do Controlo de Conta de Utilizador

A tabela seguinte lista as definições disponíveis para configurar o comportamento do UAC e os respetivos valores predefinidos.

Nome da configuração Descrição
Administração Modo de Aprovação para a conta de Administrador Incorporado Controla o comportamento de Administração Modo de Aprovação para a conta de Administrador incorporada.

Ativada: a conta de Administrador incorporada utiliza Administração Modo de Aprovação. Por predefinição, qualquer operação que necessite de elevação de privilégios pede ao utilizador para aprovar a operação.
Desativado (predefinição): a conta de Administrador incorporada executa todas as aplicações com privilégios administrativos completos.
Permitir que as aplicações UIAccess pedem elevação sem utilizar o ambiente de trabalho seguro Controla se os programas de Acessibilidade da Interface de Utilizador (UIAccess ou UIA) podem desativar automaticamente o ambiente de trabalho seguro para pedidos de elevação utilizados por um utilizador padrão.

Ativado: os programas UIA, incluindo a Assistência Remota, desativam automaticamente o ambiente de trabalho seguro para pedidos de elevação. Se não desativar a definição Mudar para o ambiente de trabalho seguro quando pedir a definição de política de elevação, os pedidos são apresentados no ambiente de trabalho do utilizador interativo em vez do ambiente de trabalho seguro. Esta definição permite que o administrador remoto forneça as credenciais adequadas para elevação. Esta definição de política não altera o comportamento do pedido de elevação UAC para administradores. Se planear ativar esta definição de política, também deve rever o efeito da definição de política Comportamento do pedido de elevação para utilizadores padrão : se estiver configurada como Negar automaticamente pedidos de elevação, os pedidos de elevação não serão apresentados ao utilizador.
Desativado (predefinição): o ambiente de trabalho seguro só pode ser desativado pelo utilizador do ambiente de trabalho interativo ou ao desativar a definição mudar para o ambiente de trabalho seguro quando pedir a definição de política de elevação.
Comportamento do pedido de elevação para administradores no Modo de Aprovação Administração Controla o comportamento do pedido de elevação para administradores.

Elevar sem pedir: permite que as contas com privilégios executem uma operação que requer elevação sem necessidade de consentimento ou credenciais. Utilize esta opção apenas nos ambientes mais restritos.
Pedir credenciais no ambiente de trabalho seguro: quando uma operação requer elevação de privilégios, é pedido ao utilizador no ambiente de trabalho seguro que introduza um nome de utilizador e palavra-passe com privilégios. Se o utilizador introduzir credenciais válidas, a operação continuará com o privilégio mais elevado disponível do utilizador.
Pedir consentimento no ambiente de trabalho seguro: quando uma operação requer elevação de privilégios, é pedido ao utilizador no ambiente de trabalho seguro para selecionar Permitir ou Negar. Se o utilizador selecionar Permitir, a operação continuará com o privilégio mais elevado disponível do utilizador.
Pedir credenciais: quando uma operação requer elevação de privilégios, é pedido ao utilizador que introduza um nome de utilizador administrativo e uma palavra-passe. Se o utilizador introduzir credenciais válidas, a operação continuará com o privilégio aplicável.
Pedir consentimento: quando uma operação requer elevação de privilégios, é pedido ao utilizador que selecione Permitir ou Negar. Se o utilizador selecionar Permitir, a operação continuará com o privilégio mais elevado disponível do utilizador.
Pedir consentimento para binários não Windows (predefinição): quando uma operação para uma aplicação que não seja da Microsoft requer elevação de privilégios, é pedido ao utilizador no ambiente de trabalho seguro que selecione Permitir ou Negar. Se o utilizador selecionar Permitir, a operação continuará com o privilégio mais elevado disponível do utilizador.
Comportamento do pedido de elevação para utilizadores padrão Controla o comportamento do pedido de elevação para utilizadores padrão.

Pedir credenciais (predefinição): quando uma operação requer elevação de privilégios, é pedido ao utilizador que introduza um nome de utilizador administrativo e uma palavra-passe. Se o utilizador introduzir credenciais válidas, a operação continuará com o privilégio aplicável.
Negar automaticamente pedidos de elevação: quando uma operação requer elevação de privilégios, é apresentada uma mensagem de erro de acesso negado configurável. Uma empresa que esteja a executar ambientes de trabalho como utilizador padrão pode escolher esta definição para reduzir as chamadas de suporte técnico.
Pedir credenciais no ambiente de trabalho seguro Quando uma operação requer elevação de privilégios, é pedido ao utilizador no ambiente de trabalho seguro para introduzir um nome de utilizador e palavra-passe diferentes. Se o utilizador introduzir credenciais válidas, a operação continuará com o privilégio aplicável.
Detetar instalações de aplicações e pedir elevação Controla o comportamento da deteção de instalação da aplicação para o computador.

Ativado (predefinição): quando é detetado um pacote de instalação de aplicação que requer elevação de privilégios, é pedido ao utilizador que introduza um nome de utilizador administrativo e uma palavra-passe. Se o utilizador introduzir credenciais válidas, a operação continuará com o privilégio aplicável.
Desativado: não são detetados e pedidos de elevação aos pacotes de instalação de aplicações. As empresas que executam ambientes de trabalho de utilizador padrão e utilizam tecnologias de instalação delegadas, como Microsoft Intune, devem desativar esta definição de política. Neste caso, a deteção do instalador é desnecessária.
Elevar apenas os executáveis assinados e validados Impõe verificações de assinatura para quaisquer aplicações interativas que peçam elevação de privilégios. Os administradores de TI podem controlar as aplicações que podem ser executadas ao adicionar certificados ao arquivo de certificados fabricantes fidedignos em dispositivos locais.

Ativado: impõe a validação do caminho de certificação do certificado para um determinado ficheiro executável antes de ser permitido executar.
Desativado (predefinição): não impõe a validação do caminho de certificação do certificado antes de um determinado ficheiro executável ser autorizado a ser executado.
Elevar apenas as aplicações UIAccess instaladas em localizações seguras Controla se as aplicações que pedem a execução com um nível de integridade de Acessibilidade da Interface de Utilizador (UIAccess) têm de residir numa localização segura no sistema de ficheiros. As localizações seguras estão limitadas às seguintes pastas:
- %ProgramFiles%, incluindo subpastas
- %SystemRoot%\system32\
- %ProgramFiles(x86)%, incluindo subpastas


Ativado (predefinição): se uma aplicação residir numa localização segura no sistema de ficheiros, é executada apenas com integridade UIAccess.
Desativado: uma aplicação é executada com integridade UIAccess, mesmo que não resida numa localização segura no sistema de ficheiros.

Nota: O Windows impõe uma assinatura digital marcar em quaisquer aplicações interativas que peçam a execução com um nível de integridade UIAccess, independentemente do estado desta definição.
Executar todos os administradores no Modo de Aprovação do Administração Controla o comportamento de todas as definições de política UAC.

Ativado (predefinição): Administração Modo de Aprovação está ativado. Esta política tem de estar ativada e as definições de UAC relacionadas configuradas. A política permite que a conta de Administrador incorporada e os membros do grupo Administradores executem no Modo de Aprovação Administração.
Desativado: Administração Modo de Aprovação e todas as definições de política UAC relacionadas estão desativadas. Nota: se esta definição de política estiver desativada, Segurança do Windows notifica-o de que a segurança geral do sistema operativo é reduzida.
Mudar para o ambiente de trabalho seguro quando pedir elevação Esta definição de política controla se o pedido de elevação é apresentado no ambiente de trabalho do utilizador interativo ou no ambiente de trabalho seguro.

Ativado (predefinição): todos os pedidos de elevação vão para o ambiente de trabalho seguro, independentemente das definições de política de comportamento de pedidos para administradores e utilizadores padrão.
Desativado: todos os pedidos de elevação vão para o ambiente de trabalho do utilizador interativo. São utilizadas definições de política de comportamento de pedidos para administradores e utilizadores padrão.
Virtualizar falhas de escrita de ficheiros e registos para localizações por utilizador Controla se as falhas de escrita da aplicação são redirecionadas para localizações definidas do registo e do sistema de ficheiros. Esta definição mitiga as aplicações que são executadas como administrador e escrevem dados de aplicações de tempo de execução em %ProgramFiles%, %Windir%, %Windir%\system32ou HKLM\Software.

Ativado (predefinição): as falhas de escrita de aplicações são redirecionadas no tempo de execução para localizações de utilizador definidas para o sistema de ficheiros e o registo.
Desativado: as aplicações que escrevem dados em localizações protegidas falham.

Configuração do Controlo de Conta de Utilizador

Para configurar o UAC, pode utilizar:

  • Microsoft Intune/MDM
  • Política de grupo
  • Registro

As instruções seguintes fornecem detalhes sobre como configurar os seus dispositivos. Selecione a opção mais adequada às suas necessidades.

Configurar o UAC com uma política de catálogo de Definições

Para configurar dispositivos com Microsoft Intune, crie uma política de catálogo de Definições e utilize as definições listadas na categoria Local Policies Security Options:

Captura de ecrã a mostrar as políticas UAC no catálogo de definições do Intune.

Atribua a política a um grupo de segurança que contém como membros os dispositivos ou utilizadores que pretende configurar.

Em alternativa, pode configurar dispositivos com uma política personalizada com o CSP política LocalPoliciesSecurityOptions.
As definições de política estão localizadas em: ./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions.

Configuração
Nome da definição: Administração Modo de Aprovação para a conta de Administrador incorporada
Nome do CSP da Política: UserAccountControl_UseAdminApprovalMode
Nome da definição: permitir que as aplicações UIAccess pedem elevação sem utilizar o ambiente de trabalho seguro
Nome do CSP da Política: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
Nome da definição: comportamento do pedido de elevação para administradores no Modo de Aprovação Administração
Nome do CSP da Política: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
Nome da definição: comportamento do pedido de elevação para utilizadores padrão
Nome do CSP da Política: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
Nome da definição: detetar instalações de aplicações e pedir elevação
Nome do CSP da Política: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
Nome da definição: elevar apenas os executáveis assinados e validados
Nome do CSP da Política: UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated
Nome da definição: elevar apenas as aplicações UIAccess instaladas em localizações seguras
Nome do CSP da Política: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
Nome da definição: execute todos os administradores no Modo de Aprovação Administração
Nome do CSP da Política: UserAccountControl_RunAllAdministratorsInAdminApprovalMode
Nome da definição: mude para o ambiente de trabalho seguro quando pedir elevação
Nome do CSP da Política: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
Nome da definição: Virtualizar falhas de escrita de ficheiros e registos em localizações por utilizador
Nome do CSP da Política: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations