그룹 정책으로 사용자 계정 컨트롤을 비활성화/변경하는 방법은 무엇입니까?

(사용자 계정 컨트롤) Windows 보안의 중요한 구성 요소입니다. 관리자 권한이 필요한 응용 프로그램이나 프로세스를 실행하여 시스템 설정, 보호된 레지스트리 키 또는 시스템 파일을 변경하려고 하면 UAC 구성 요소가 데스크톱을 보호 모드(Secure Desktop)로 전환하고 관리자에게 이러한 작업의 확인을 요청합니다. 이러한 방식으로 UAC는 컴퓨터를 잠재적으로 손상시킬 수 있는 프로세스 및 맬웨어의 시작을 방지하는 데 도움이 됩니다.

아래 스크린샷은 레지스트리 편집기(regedit.exe)를 실행하려고 할 때 보여줍니다. ) Windows 10에서 UAC 확인 창이 나타납니다.

사용자 계정 컨트롤이 앱이 기기를 변경하도록 허용하시겠습니까?

이 문서에서는 그룹 정책을 사용하여 단일 컴퓨터 또는 도메인의 여러 컴퓨터에서 UAC 설정을 관리하는 방법을 살펴보겠습니다.

Windows 10의 사용자 계정 컨트롤 슬라이더 수준

Windows 7(이상)에서 컴퓨터의 UAC 설정은 특수 슬라이더(제어판 또는 UserAccountControlSettings.exe를 통해 호출됨)를 사용하여 관리됩니다. 파일). 슬라이더를 사용하여 미리 정의된 네 가지 사용자 계정 컨트롤 보호 수준 중 하나를 선택할 수 있습니다.

• 레벨 4 — 항상 알림 — 가장 높은 UAC 보호 수준,
• 레벨 3 — 프로그램이 내 컴퓨터를 변경하려고 할 때만 알림(기본값) – 기본 보호 수준;
• 레벨 2 — 프로그램이 내 컴퓨터를 변경하려고 할 때만 알림(내 바탕 화면을 어둡게 하지 않음) – 이전 수준과 거의 동일하지만 데스크톱 잠금 기능이 있는 Secure Desktop으로 전환하지 않습니다.
• 레벨 1 — 알리지 않음 – UAC가 비활성화되었습니다.

기본적으로 Windows 10에서는 UAC 보호 레벨 3 시스템 파일이나 설정을 변경하려고 할 때만 알림을 표시하는 사용됩니다.

GPO를 사용하여 Windows에서 사용자 계정 제어를 비활성화하는 방법

그룹 정책을 사용하여 UAC를 비활성화할 수 있습니다. 독립 실행형 컴퓨터에서는 로컬 그룹 정책 편집기 gpedit.msc를 사용할 수 있습니다. . 정책을 도메인 컴퓨터에 배포해야 하는 경우 그룹 정책 관리 콘솔(gpmc.msc)을 사용해야 합니다. (이 옵션을 고려해 봅시다).

1. 도메인 GPO 관리 콘솔에서 UAC를 비활성화하고 새 정책 개체를 만들 컴퓨터가 있는 OU를 클릭합니다.
2. 정책을 수정하고 섹션 컴퓨터 구성 -> 정책 -> Windows 설정 -> 보안 설정 -> 로컬 정책 -> 보안 옵션으로 이동합니다.;
3. 이 섹션에는 UAC 설정을 제어하는 ​​몇 가지 옵션이 있습니다. 이러한 매개변수의 이름은 사용자 계정 컨트롤로 시작합니다.;
4. UAC를 완전히 비활성화하려면 다음 매개변수 값을 설정하십시오.
   • 사용자 계정 컨트롤:관리자 승인 모드에서 관리자를 위한 권한 상승 프롬프트의 동작 =Elevate without prompting;
   • 사용자 계정 컨트롤:애플리케이션 설치 감지 및 권한 상승 프롬프트 =Disabled;
   • 사용자 계정 제어:모든 관리자를 관리자 승인 모드로 실행 =Disabled;
   • 사용자 계정 컨트롤:안전한 위치에 설치된 UIAccess 애플리케이션만 승격 =Disabled .
5. 그룹 정책 설정을 업데이트하고 UAC를 비활성화하려면 클라이언트 컴퓨터를 다시 시작해야 합니다. 재부팅 후 UAC는 "알림 안 함" 모드로 전환됩니다.

레지스트리를 통해 일부 사용자/컴퓨터에 대해서만 UAC를 비활성화하고 그룹 정책 기본 설정을 통해 설정을 배포할 수도 있습니다.

GPO 섹션 컴퓨터 구성에서 새 레지스트리 매개변수를 만듭니다. -> 기본 설정 -> Windows 설정 -> 레지스트리 다음 설정으로:

• 조치:교체
• 하이브:HKEY_LOCAL_MACHINE
• 키 경로:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
• 값 이름:EnableLUA
• 값 유형:REG_DWORD
• 값 데이터:0

그런 다음 공통 탭을 선택하고 옵션을 활성화하십시오:

• 이 항목이 더 이상 적용되지 않으면 제거하세요.
• 항목 수준 타겟팅

타겟팅을 클릭합니다. 버튼을 누르고 UAC 비활성화 정책을 적용할 컴퓨터 또는 도메인 보안 그룹을 지정합니다.

UAC 레지스트리 키 설정

레지스트리를 통해 UAC 설정을 관리할 수 있습니다. 사용자 계정 컨트롤의 동작을 담당하는 매개변수는 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 레지스트리 키 아래에 있습니다. .

제어판에서 UAC 슬라이더 값을 변경하면 Windows는 이 reg 키의 레지스트리 설정 값을 다음과 같이 변경합니다(아래는 사용자 계정 컨트롤 슬라이더의 다양한 수준에 대한 준비된 REG 파일입니다).

UAC 레벨 4(항상 알림):

Windows 레지스트리 편집기 버전 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]"ConsentPromptBehaviorAdmin"=dword:00000002"ConsentPromptBehaviorUser"=dword:00000003"0EnableInstallerDetection"1 00000001"EnableVirtualization"=dword:00000001"PromptOnSecureDesktop"=dword:00000001"ValidateAdminCodeSignatures"=dword:00000000"FilterAdministratorToken"=dword:00000000

"ConsentPromptBehaviorAdmin"=dword:00000005"ConsentPromptBehaviorUser"=dword:00000003"EnableInstallerDetection"=dword:00000001"EnableLUA000000001"EnableLUA"00000001"EnableLUA"0000000000000000000001"EnableVirtualization"00001"EnableVirtualization"=d00::00000000"FilterAdministratorToken"=dword:00000000

UAC 레벨 2:

"ConsentPromptBehaviorAdmin"=dword:00000005"ConsentPromptBehaviorUser"=dword:00000003"EnableInstallerDetection"=dword:00000001"EnableLUA0000000001"EnableLUA0000000001"EnableLUA"00000000000000000000001"EnableVirtualization"00001"EnableVirtualization"=d00::00000000"FilterAdministratorToken"=dword:00000000

UAC 레벨 1(알리지 않음 — UAC를 완전히 비활성화):

"ConsentPromptBehaviorAdmin"=dword:00000000"ConsentPromptBehaviorUser"=dword:00000003"EnableInstallerDetection"=dword:00000001"EnableLUA000000001"EnableLUA00000000000000000000000"EnableVirtualization"00001"EnableVirtualization"=d00::00000000"FilterAdministratorToken"=dword:00000000

레지스트리 편집기 GUI를 사용하거나 명령 프롬프트에서 매개변수 값을 변경할 수 있습니다. 예를 들어 컴퓨터에서 UAC를 비활성화하려면(재부팅 필요) 다음 명령을 실행할 수 있습니다.

reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f.

또는 유사한 PowerShell 명령:

New-ItemProperty -Path HKLM:Software\Microsoft\Windows\CurrentVersion\policies\system -Name EnableLUA -PropertyType DWord -Value 0 -Force

Windows Server의 사용자 계정 컨트롤

Windows Server의 사용자 계정 컨트롤은 Windows 데스크톱 버전에서와 동일한 방식으로 작동하고 관리됩니다.

다음 조건에 해당하는 경우 Windows Server 2016/2019에서 UAC를 완전히 비활성화할 수 있습니다.

• 관리자만 서버 데스크톱에 원격으로 액세스할 수 있습니다(관리자가 아닌 사용자에 대한 서버에 대한 RDP 액세스는 비활성화되어야 함). RDS 호스트에서 UAC를 활성화된 상태로 둡니다.
• 관리자는 관리 관리 작업에만 Windows Server를 사용해야 합니다. 관리자는 서버 호스트가 아닌 UAC가 활성화된 권한 없는 사용자 계정의 워크스테이션에서만 사무실 문서, 메신저, 웹 브라우저를 사용해야 합니다(관리자 계정 보안을 위한 모범 사례에 대한 문서 참조).

UAC가 활성화되면 Windows Server는 로컬 컴퓨터 계정(net use, winrm, Powershell Remoting을 통해)으로 원격 연결을 허용하지 않습니다. 사용자의 토큰은 활성화된 UAC LocalAccountTokenFilterPolicy에 의해 필터링됩니다. 매개변수(이전 섹션에서 설명).

UAC 슬라이더 및 그룹 정책 설정

슬라이더와 GPO를 사용하여 UAC 설정을 관리할 수 있습니다. 그러나 네 가지 UAC 보호 수준(UAC 슬라이더의 위치에 해당) 중 하나를 선택할 수 있는 단일 그룹 정책 매개 변수는 없습니다. 대신 10개의 다른 GPO 매개변수를 사용하여 UAC 설정을 관리하는 것이 좋습니다. 이러한 정책은 GPO 편집기의 컴퓨터 구성 -> 정책 -> Windows 설정 -> 보안 설정 -> 로컬 정책 -> 보안 옵션 섹션에 있습니다. . UAC 관련 그룹 정책 매개변수는 사용자 계정 컨트롤로 시작합니다. .

다음 표는 UAC 그룹 정책 매개변수 목록과 해당 등록 키를 보여줍니다.

기본적으로 UAC 수준 3은 다음 그룹 정책 설정을 사용합니다.

UAC 레벨 3(기본값)