Computer >> 컴퓨터 >  >> 체계 >> Windows Server

그룹 정책으로 사용자 계정 컨트롤을 비활성화/변경하는 방법은 무엇입니까?

(사용자 계정 컨트롤) Windows 보안의 중요한 구성 요소입니다. 관리자 권한이 필요한 응용 프로그램이나 프로세스를 실행하여 시스템 설정, 보호된 레지스트리 키 또는 시스템 파일을 변경하려고 하면 UAC 구성 요소가 데스크톱을 보호 모드(Secure Desktop)로 전환하고 관리자에게 이러한 작업의 확인을 요청합니다. 이러한 방식으로 UAC는 컴퓨터를 잠재적으로 손상시킬 수 있는 프로세스 및 맬웨어의 시작을 방지하는 데 도움이 됩니다.

아래 스크린샷은 레지스트리 편집기(regedit.exe)를 실행하려고 할 때 보여줍니다. ) Windows 10에서 UAC 확인 창이 나타납니다.

사용자 계정 컨트롤이 앱이 기기를 변경하도록 허용하시겠습니까?

그룹 정책으로 사용자 계정 컨트롤을 비활성화/변경하는 방법은 무엇입니까?

UAC는 Windows 10에서 기본적으로 비활성화되어 있는 기본 제공 관리자 계정에 대해 활성화되어 있지 않습니다.

이 문서에서는 그룹 정책을 사용하여 단일 컴퓨터 또는 도메인의 여러 컴퓨터에서 UAC 설정을 관리하는 방법을 살펴보겠습니다.

Windows 10의 사용자 계정 컨트롤 슬라이더 수준

Windows 7(이상)에서 컴퓨터의 UAC 설정은 특수 슬라이더(제어판 또는 UserAccountControlSettings.exe를 통해 호출됨)를 사용하여 관리됩니다. 파일). 슬라이더를 사용하여 미리 정의된 네 가지 사용자 계정 컨트롤 보호 수준 중 하나를 선택할 수 있습니다.

  • 레벨 4 — 항상 알림 — 가장 높은 UAC 보호 수준,
  • 레벨 3 — 프로그램이 내 컴퓨터를 변경하려고 할 때만 알림(기본값) – 기본 보호 수준;
  • 레벨 2 — 프로그램이 내 컴퓨터를 변경하려고 할 때만 알림(내 바탕 화면을 어둡게 하지 않음) – 이전 수준과 거의 동일하지만 데스크톱 잠금 기능이 있는 Secure Desktop으로 전환하지 않습니다.
  • 레벨 1 — 알리지 않음 – UAC가 비활성화되었습니다.

그룹 정책으로 사용자 계정 컨트롤을 비활성화/변경하는 방법은 무엇입니까?

기본적으로 Windows 10에서는 UAC 보호 레벨 3 시스템 파일이나 설정을 변경하려고 할 때만 알림을 표시하는 사용됩니다.

GPO를 사용하여 Windows에서 사용자 계정 제어를 비활성화하는 방법

대부분의 경우 UAC를 완전히 비활성화하지 않는 것이 좋습니다. 사용자 계정 컨트롤은 간단하지만 효과적인 Windows 보안 도구입니다. 내 실습에서는 UAC가 특정 기능을 차단하는지 확인하지 않고 사용자 컴퓨터에서 UAC를 비활성화하지 않습니다. 이러한 경우에도 특정 응용 프로그램에 대해 UAC를 비활성화하거나 관리자 권한 없이 앱을 실행하고 UAC 프롬프트를 표시하지 않는 간단한 해결 방법이 있습니다.

그룹 정책을 사용하여 UAC를 비활성화할 수 있습니다. 독립 실행형 컴퓨터에서는 로컬 그룹 정책 편집기 gpedit.msc를 사용할 수 있습니다. . 정책을 도메인 컴퓨터에 배포해야 하는 경우 그룹 정책 관리 콘솔(gpmc.msc)을 사용해야 합니다. (이 옵션을 고려해 봅시다).

  1. 도메인 GPO 관리 콘솔에서 UAC를 비활성화하고 새 정책 개체를 만들 컴퓨터가 있는 OU를 클릭합니다. 그룹 정책으로 사용자 계정 컨트롤을 비활성화/변경하는 방법은 무엇입니까?
  2. 정책을 수정하고 섹션 컴퓨터 구성 -> 정책 -> Windows 설정 -> 보안 설정 -> 로컬 정책 -> 보안 옵션으로 이동합니다.;
  3. 이 섹션에는 UAC 설정을 제어하는 ​​몇 가지 옵션이 있습니다. 이러한 매개변수의 이름은 사용자 계정 컨트롤로 시작합니다.; 그룹 정책으로 사용자 계정 컨트롤을 비활성화/변경하는 방법은 무엇입니까?
  4. UAC를 완전히 비활성화하려면 다음 매개변수 값을 설정하십시오.
    • 사용자 계정 컨트롤:관리자 승인 모드에서 관리자를 위한 권한 상승 프롬프트의 동작 =Elevate without prompting;
    • 사용자 계정 컨트롤:애플리케이션 설치 감지 및 권한 상승 프롬프트 =Disabled;
    • 사용자 계정 제어:모든 관리자를 관리자 승인 모드로 실행 =Disabled;
    • 사용자 계정 컨트롤:안전한 위치에 설치된 UIAccess 애플리케이션만 승격 =Disabled . 그룹 정책으로 사용자 계정 컨트롤을 비활성화/변경하는 방법은 무엇입니까?
  5. 그룹 정책 설정을 업데이트하고 UAC를 비활성화하려면 클라이언트 컴퓨터를 다시 시작해야 합니다. 재부팅 후 UAC는 "알림 안 함" 모드로 전환됩니다.

레지스트리를 통해 일부 사용자/컴퓨터에 대해서만 UAC를 비활성화하고 그룹 정책 기본 설정을 통해 설정을 배포할 수도 있습니다.

GPO 섹션 컴퓨터 구성에서 새 레지스트리 매개변수를 만듭니다. -> 기본 설정 -> Windows 설정 -> 레지스트리 다음 설정으로:

  • 조치:교체
  • 하이브:HKEY_LOCAL_MACHINE
  • 키 경로:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
  • 값 이름:EnableLUA
  • 값 유형:REG_DWORD
  • 값 데이터:0

그룹 정책으로 사용자 계정 컨트롤을 비활성화/변경하는 방법은 무엇입니까?

그런 다음 공통 탭을 선택하고 옵션을 활성화하십시오:

  • 이 항목이 더 이상 적용되지 않으면 제거하세요.
  • 항목 수준 타겟팅

타겟팅을 클릭합니다. 버튼을 누르고 UAC 비활성화 정책을 적용할 컴퓨터 또는 도메인 보안 그룹을 지정합니다.

UAC가 비활성화된 경우에도 이 앱은 사용자 보호를 위해 차단되었습니다. 메시지와 함께 일부 앱의 실행이 차단될 수 있습니다.

UAC 레지스트리 키 설정

레지스트리를 통해 UAC 설정을 관리할 수 있습니다. 사용자 계정 컨트롤의 동작을 담당하는 매개변수는 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 레지스트리 키 아래에 있습니다. .

제어판에서 UAC 슬라이더 값을 변경하면 Windows는 이 reg 키의 레지스트리 설정 값을 다음과 같이 변경합니다(아래는 사용자 계정 컨트롤 슬라이더의 다양한 수준에 대한 준비된 REG 파일입니다).

UAC 레벨 4(항상 알림):

Windows 레지스트리 편집기 버전 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]"ConsentPromptBehaviorAdmin"=dword:00000002"ConsentPromptBehaviorUser"=dword:00000003"0EnableInstallerDetection"1 00000001"EnableVirtualization"=dword:00000001"PromptOnSecureDesktop"=dword:00000001"ValidateAdminCodeSignatures"=dword:00000000"FilterAdministratorToken"=dword:00000000
UAC 레벨 3(프로그램이 내 컴퓨터를 변경하려고 할 때만 알림):

"ConsentPromptBehaviorAdmin"=dword:00000005"ConsentPromptBehaviorUser"=dword:00000003"EnableInstallerDetection"=dword:00000001"EnableLUA000000001"EnableLUA"00000001"EnableLUA"0000000000000000000001"EnableVirtualization"00001"EnableVirtualization"=d00::00000000"FilterAdministratorToken"=dword:00000000

UAC 레벨 2:

"ConsentPromptBehaviorAdmin"=dword:00000005"ConsentPromptBehaviorUser"=dword:00000003"EnableInstallerDetection"=dword:00000001"EnableLUA0000000001"EnableLUA0000000001"EnableLUA"00000000000000000000001"EnableVirtualization"00001"EnableVirtualization"=d00::00000000"FilterAdministratorToken"=dword:00000000

UAC 레벨 1(알리지 않음 — UAC를 완전히 비활성화):

"ConsentPromptBehaviorAdmin"=dword:00000000"ConsentPromptBehaviorUser"=dword:00000003"EnableInstallerDetection"=dword:00000001"EnableLUA000000001"EnableLUA00000000000000000000000"EnableVirtualization"00001"EnableVirtualization"=d00::00000000"FilterAdministratorToken"=dword:00000000

그룹 정책으로 사용자 계정 컨트롤을 비활성화/변경하는 방법은 무엇입니까?

레지스트리 편집기 GUI를 사용하거나 명령 프롬프트에서 매개변수 값을 변경할 수 있습니다. 예를 들어 컴퓨터에서 UAC를 비활성화하려면(재부팅 필요) 다음 명령을 실행할 수 있습니다.

reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f.

또는 유사한 PowerShell 명령:

New-ItemProperty -Path HKLM:Software\Microsoft\Windows\CurrentVersion\policies\system -Name EnableLUA -PropertyType DWord -Value 0 -Force

이 스레드에는 LocalAccountTokenFilterPolicy라는 또 다른 레지스트리 매개변수가 있습니다. , 원격 UAC라고도 합니다. . 이 매개변수는 관리자 권한이 있는 로컬 사용자 계정의 기본 관리 공유에 대한 원격 연결을 제한합니다.

Windows Server의 사용자 계정 컨트롤

Windows Server의 사용자 계정 컨트롤은 Windows 데스크톱 버전에서와 동일한 방식으로 작동하고 관리됩니다.

다음 조건에 해당하는 경우 Windows Server 2016/2019에서 UAC를 완전히 비활성화할 수 있습니다.

  • 관리자만 서버 데스크톱에 원격으로 액세스할 수 있습니다(관리자가 아닌 사용자에 대한 서버에 대한 RDP 액세스는 비활성화되어야 함). RDS 호스트에서 UAC를 활성화된 상태로 둡니다.
  • 관리자는 관리 관리 작업에만 Windows Server를 사용해야 합니다. 관리자는 서버 호스트가 아닌 UAC가 활성화된 권한 없는 사용자 계정의 워크스테이션에서만 사무실 문서, 메신저, 웹 브라우저를 사용해야 합니다(관리자 계정 보안을 위한 모범 사례에 대한 문서 참조).
UAC는 Windows Server Core 버전에서 항상 비활성화되어 있습니다.

UAC가 활성화되면 Windows Server는 로컬 컴퓨터 계정(net use, winrm, Powershell Remoting을 통해)으로 원격 연결을 허용하지 않습니다. 사용자의 토큰은 활성화된 UAC LocalAccountTokenFilterPolicy에 의해 필터링됩니다. 매개변수(이전 섹션에서 설명).

UAC 슬라이더 및 그룹 정책 설정

슬라이더와 GPO를 사용하여 UAC 설정을 관리할 수 있습니다. 그러나 네 가지 UAC 보호 수준(UAC 슬라이더의 위치에 해당) 중 하나를 선택할 수 있는 단일 그룹 정책 매개 변수는 없습니다. 대신 10개의 다른 GPO 매개변수를 사용하여 UAC 설정을 관리하는 것이 좋습니다. 이러한 정책은 GPO 편집기의 컴퓨터 구성 -> 정책 -> Windows 설정 -> 보안 설정 -> 로컬 정책 -> 보안 옵션 섹션에 있습니다. . UAC 관련 그룹 정책 매개변수는 사용자 계정 컨트롤로 시작합니다. .

그룹 정책으로 사용자 계정 컨트롤을 비활성화/변경하는 방법은 무엇입니까?

다음 표는 UAC 그룹 정책 매개변수 목록과 해당 등록 키를 보여줍니다.

정책 이름 정책에 의해 설정된 레지스트리 매개변수
사용자 계정 컨트롤:기본 제공 관리자 계정에 대한 관리자 승인 모드 FilterAdministratorToken
사용자 계정 컨트롤:보안 데스크톱을 사용하지 않고 UIAccess 애플리케이션이 권한 상승을 요청하도록 허용 UIADesktopToggle 사용
사용자 계정 컨트롤:관리자 승인 모드에서 관리자에 대한 권한 상승 프롬프트의 동작 ConsentPromptBehaviorAdmin
사용자 계정 컨트롤:표준 사용자에 대한 권한 상승 프롬프트의 동작 ConsentPromptBehaviorUser
사용자 계정 컨트롤:애플리케이션 설치 감지 및 권한 상승 프롬프트 설치 프로그램 감지 활성화
사용자 계정 컨트롤:서명되고 검증된 실행 파일만 승격 ValidateAdminCodeSignatures
사용자 계정 컨트롤:안전한 위치에 설치된 UIAccess 애플리케이션만 승격 SecureUIAPath 활성화
사용자 계정 컨트롤:모든 관리자를 관리자 승인 모드로 실행 LUA 활성화
사용자 계정 컨트롤:권한 상승 메시지가 표시되면 보안 데스크톱으로 전환 PromptOnSecureDesktop
사용자 계정 컨트롤:사용자별 위치에 대한 파일 및 레지스트리 쓰기 실패 가상화 가상화 활성화

기본적으로 UAC 수준 3은 다음 그룹 정책 설정을 사용합니다.

UAC 레벨 3(기본값)

기본 제공 관리자 계정에 대한 관리자 승인 모드 =Disabled
보안 데스크톱을 사용하지 않고 UIAccess 애플리케이션이 권한 상승을 요청하도록 허용 =Disabled
관리자 승인 모드에서 관리자에 대한 권한 상승 프롬프트의 동작 =Prompt for consent for non-Windows binaries
표준 사용자에 대한 권한 상승 프롬프트의 동작 =Prompt for credentials on the secure desktop
애플리케이션 설치 감지 및 권한 상승 프롬프트 =Enabled   (작업 그룹의 경우), Disabled (도메인에 가입된 Windows 장치의 경우)
서명되고 검증된 실행 파일만 승격 =Disabled
보안 위치에 설치된 UIAccess 애플리케이션만 승격 =Enabled
관리자 승인 모드에서 모든 관리자 실행 =Enabled
승격을 묻는 메시지가 표시되면 보안 데스크톱으로 전환 =Enabled
사용자별 위치에 대한 파일 및 레지스트리 쓰기 실패 가상화 =Enabled