Configuración y opciones de Control de cuentas de usuario

Lista de configuración del control de cuentas de usuario

En la tabla siguiente se enumeran los valores disponibles para configurar el comportamiento de UAC y sus valores predeterminados.

Nombre del valor de configuración Descripción
Administración modo de aprobación para la cuenta de administrador integrada Controla el comportamiento de Administración modo de aprobación para la cuenta de administrador integrada.

Habilitado: la cuenta de administrador integrada usa Administración modo de aprobación. De forma predeterminada, cualquier operación que requiera la elevación de privilegios solicita al usuario que apruebe la operación.
Deshabilitado (valor predeterminado): la cuenta de administrador integrada ejecuta todas las aplicaciones con privilegios administrativos completos.
Permitir que las aplicaciones de UIAccess soliciten elevación sin usar el escritorio seguro Controla si los programas de accesibilidad de la interfaz de usuario (UIAccess o UIA) pueden deshabilitar automáticamente el escritorio seguro para las solicitudes de elevación usadas por un usuario estándar.

Habilitado: los programas UIA, incluida la asistencia remota, deshabilitan automáticamente el escritorio seguro para los avisos de elevación. Si no deshabilita switch to the secure desktop when prompting for elevation policy setting, the prompts appear on the interactive user's desktop instead of the secure desktop. Esta configuración permite al administrador remoto proporcionar las credenciales adecuadas para la elevación. Esta configuración de directiva no cambia el comportamiento de la solicitud de elevación de UAC para los administradores. Si tiene previsto habilitar esta configuración de directiva, también debe revisar el efecto del comportamiento del símbolo del sistema de elevación para la configuración de directiva de usuarios estándar: si se ha configurado como Denegación automática de solicitudes de elevación, las solicitudes de elevación no se presentan al usuario.
Deshabilitado (valor predeterminado): el escritorio seguro solo lo puede deshabilitar el usuario del escritorio interactivo o deshabilitar el cambio al escritorio seguro al solicitar la configuración de la directiva de elevación.
Comportamiento de la solicitud de elevación de los administradores en Administración modo de aprobación Controla el comportamiento de la solicitud de elevación para los administradores.

Elevar sin preguntar: permite que las cuentas con privilegios realicen una operación que requiere elevación sin necesidad de consentimiento ni credenciales. Use esta opción solo en los entornos más restringidos.
Solicitar credenciales en el escritorio seguro: cuando una operación requiere la elevación de privilegios, se pide al usuario en el escritorio seguro que escriba un nombre de usuario y una contraseña con privilegios. Si el usuario escribe credenciales válidas, la operación continúa con el privilegio más alto disponible del usuario.
Solicitar consentimiento en el escritorio seguro: cuando una operación requiere la elevación de privilegios, se pide al usuario en el escritorio seguro que seleccione Permitir o Denegar. Si el usuario selecciona Permitir, la operación continúa con el privilegio más alto disponible del usuario.
Solicitar credenciales: cuando una operación requiere la elevación de privilegios, se pide al usuario que escriba un nombre de usuario administrativo y una contraseña. Si el usuario escribe credenciales válidas, la operación continúa con el privilegio aplicable.
Solicitar consentimiento: cuando una operación requiere la elevación de privilegios, se pide al usuario que seleccione Permitir o Denegar. Si el usuario selecciona Permitir, la operación continúa con el privilegio más alto disponible del usuario.
Solicitar consentimiento para archivos binarios que no son de Windows (valor predeterminado): cuando una operación para una aplicación que no es de Microsoft requiere la elevación de privilegios, se pide al usuario en el escritorio seguro que seleccione Permitir o Denegar. Si el usuario selecciona Permitir, la operación continúa con el privilegio más alto disponible del usuario.
Comportamiento de la solicitud de elevación para los usuarios estándar Controla el comportamiento de la solicitud de elevación para los usuarios estándar.

Solicitar credenciales (valor predeterminado): cuando una operación requiere la elevación de privilegios, se pide al usuario que escriba un nombre de usuario administrativo y una contraseña. Si el usuario escribe credenciales válidas, la operación continúa con el privilegio aplicable.
Denegar automáticamente solicitudes de elevación: cuando una operación requiere la elevación de privilegios, se muestra un mensaje de error de acceso denegado configurable. Una empresa que ejecuta escritorios como usuario estándar puede elegir esta opción para reducir las llamadas del departamento de soporte técnico.
Solicitud de credenciales en el escritorio seguro Cuando una operación requiere la elevación de privilegios, se pide al usuario en el escritorio seguro que escriba un nombre de usuario y una contraseña diferentes. Si el usuario escribe credenciales válidas, la operación continúa con el privilegio aplicable.
Detección de instalaciones de aplicaciones y petición de elevación Controla el comportamiento de la detección de instalación de aplicaciones para el equipo.

Habilitado (valor predeterminado): cuando se detecta un paquete de instalación de la aplicación que requiere la elevación de privilegios, se pide al usuario que escriba un nombre de usuario administrativo y una contraseña. Si el usuario escribe credenciales válidas, la operación continúa con el privilegio aplicable.
Deshabilitado: los paquetes de instalación de aplicaciones no se detectan y se les solicita elevación. Las empresas que ejecutan escritorios de usuario estándar y usan tecnologías de instalación delegada, como Microsoft Intune, deben deshabilitar esta configuración de directiva. En este caso, la detección del instalador no es necesaria.
Elevar solo los ejecutables firmados y validados Aplica comprobaciones de firma para las aplicaciones interactivas que solicitan la elevación de privilegios. Los administradores de TI pueden controlar qué aplicaciones pueden ejecutarse agregando certificados al almacén de certificados de publicadores de confianza en dispositivos locales.

Habilitado: aplica la validación de la ruta de certificación del certificado para un archivo ejecutable determinado antes de que se pueda ejecutar.
Deshabilitado (valor predeterminado): no aplica la validación de la ruta de certificación del certificado antes de que se pueda ejecutar un archivo ejecutable determinado.
Elevar solo las aplicaciones de UIAccess instaladas en ubicaciones seguras Controla si las aplicaciones que solicitan ejecutarse con un nivel de integridad de accesibilidad de la interfaz de usuario (UIAccess) deben residir en una ubicación segura en el sistema de archivos. Las ubicaciones seguras se limitan a las siguientes carpetas:
- %ProgramFiles%, incluidas las subcarpetas
- %SystemRoot%\system32\
- %ProgramFiles(x86)%, incluidas las subcarpetas


Habilitado (valor predeterminado): si una aplicación reside en una ubicación segura en el sistema de archivos, solo se ejecuta con la integridad de UIAccess.
Deshabilitado: una aplicación se ejecuta con integridad UIAccess incluso si no reside en una ubicación segura en el sistema de archivos.

Nota: Windows aplica una comprobación de firma digital en cualquier aplicación interactiva que solicite ejecutarse con un nivel de integridad uiAccess independientemente del estado de esta configuración.
Ejecución de todos los administradores en Administración modo de aprobación Controla el comportamiento de todas las configuraciones de directiva de UAC.

Habilitado (valor predeterminado): Administración modo de aprobación está habilitado. Esta directiva debe estar habilitada y configurar la configuración de UAC relacionada. La directiva permite que la cuenta de administrador integrada y los miembros del grupo Administradores se ejecuten en Administración modo de aprobación.
Deshabilitado: Administración modo de aprobación y todas las configuraciones de directiva UAC relacionadas están deshabilitadas. Nota: Si esta configuración de directiva está deshabilitada, Seguridad de Windows le notifica que se reduce la seguridad general del sistema operativo.
Cambiar al escritorio seguro al solicitar elevación Esta configuración de directiva controla si el símbolo del sistema de solicitud de elevación se muestra en el escritorio del usuario interactivo o en el escritorio seguro.

Habilitado (valor predeterminado): todas las solicitudes de elevación van al escritorio seguro, independientemente de la configuración de la directiva de comportamiento de mensajes para administradores y usuarios estándar.
Deshabilitado: todas las solicitudes de elevación van al escritorio del usuario interactivo. Se usa la configuración de directivas de comportamiento de aviso para administradores y usuarios estándar.
Virtualización de errores de escritura de archivos y registros en ubicaciones por usuario Controla si los errores de escritura de la aplicación se redirigen a ubicaciones definidas del registro y del sistema de archivos. Esta configuración mitiga las aplicaciones que se ejecutan como administrador y escriben datos de aplicaciones en tiempo de ejecución en %ProgramFiles%, %Windir%, %Windir%\system32o HKLM\Software.

Habilitado (valor predeterminado): los errores de escritura de la aplicación se redirigen en tiempo de ejecución a ubicaciones de usuario definidas para el sistema de archivos y el registro.
Deshabilitado: se produce un error en las aplicaciones que escriben datos en ubicaciones protegidas.

Configuración del control de cuentas de usuario

Para configurar UAC, puede usar:

  • Microsoft Intune/MDM
  • Directiva de grupo
  • Registro

En las instrucciones siguientes se proporciona información detallada sobre cómo configurar los dispositivos. Seleccione la opción que mejor se adapte a sus necesidades.

Configuración de UAC con una directiva de catálogo de configuración

Para configurar dispositivos mediante Microsoft Intune, cree una directiva de catálogo configuración y use la configuración que aparece en la categoría Local Policies Security Options:

Captura de pantalla que muestra las directivas de UAC en el catálogo de configuración de Intune.

Asigne la directiva a un grupo de seguridad que contenga como miembros los dispositivos o usuarios que desea configurar.

Como alternativa, puede configurar dispositivos mediante una directiva personalizada con el CSP de directiva LocalPoliciesSecurityOptions.
La configuración de directiva se encuentra en: ./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions.

Ajuste
Nombre de configuración: Administración modo de aprobación para la cuenta de administrador integrada
Nombre de CSP de directiva: UserAccountControl_UseAdminApprovalMode
Nombre de configuración: permitir que las aplicaciones de UIAccess soliciten elevación sin usar el escritorio seguro
Nombre de CSP de directiva: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
Nombre de configuración: comportamiento del símbolo del sistema de elevación para los administradores en Administración modo de aprobación
Nombre de CSP de directiva: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
Nombre de configuración: comportamiento del símbolo del sistema de elevación para los usuarios estándar
Nombre de CSP de directiva: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
Nombre de configuración: Detección de instalaciones de aplicaciones y solicitud de elevación
Nombre de CSP de directiva: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
Configuración del nombre: elevar solo los ejecutables firmados y validados
Nombre de CSP de directiva: UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated
Configuración del nombre: elevar solo las aplicaciones de UIAccess instaladas en ubicaciones seguras
Nombre de CSP de directiva: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
Nombre de configuración: ejecutar todos los administradores en Administración modo de aprobación
Nombre de CSP de directiva: UserAccountControl_RunAllAdministratorsInAdminApprovalMode
Nombre de configuración: cambie al escritorio seguro al solicitar elevación.
Nombre de CSP de directiva: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
Configuración del nombre: Virtualizar errores de escritura de archivos y registro en ubicaciones por usuario
Nombre de CSP de directiva: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations