Bagaimana Cara Menonaktifkan / Mengubah Kontrol Akun Pengguna dengan Kebijakan Grup?
Bagaimana Cara Menonaktifkan / Mengubah Kontrol Akun Pengguna dengan Kebijakan Grup?
(Kontrol Akun Pengguna) adalah komponen penting dari keamanan Windows. Saat Anda menjalankan aplikasi atau proses apa pun yang memerlukan hak administrator, mencoba mengubah pengaturan sistem, kunci registri yang dilindungi, atau file sistem, komponen UAC mengalihkan desktop ke mode terlindungi (Desktop Aman) dan meminta administrator untuk mengkonfirmasi tindakan ini. Dengan cara ini, UAC membantu mencegah peluncuran proses dan malware yang berpotensi membahayakan komputer Anda.
Tangkapan layar di bawah ini menunjukkan bahwa ketika Anda mencoba menjalankan Editor Registri (regedit.exe
) di Windows 10, jendela konfirmasi UAC muncul:
Kontrol Akun Pengguna Apakah Anda ingin mengizinkan aplikasi ini membuat perubahan pada perangkat Anda?
Di artikel ini, kita akan melihat cara mengelola pengaturan UAC di satu komputer, atau beberapa komputer di domain menggunakan Kebijakan Grup.
Level Slider Kontrol Akun Pengguna di Windows 10
Di Windows 7 (dan yang lebih baru), pengaturan UAC di komputer dikelola menggunakan penggeser khusus (disebut melalui panel kontrol atau UserAccountControlSettings.exe
file). Dengan menggunakan penggeser, Anda dapat memilih satu dari empat tingkat perlindungan Kontrol Akun Pengguna yang telah ditentukan.
- Level 4 - Selalu beri tahu - level perlindungan UAC tertinggi;
- Level 3 - Beri tahu hanya jika program mencoba membuat perubahan pada komputer saya (default) - level perlindungan default;
- Level 2 - Beri tahu hanya jika program mencoba membuat perubahan pada komputer saya (jangan redupkan desktop saya) - hampir sama dengan level sebelumnya, tetapi tanpa beralih ke Secure Desktop dengan penguncian desktop;
- Level 1 - Jangan pernah beri tahu - UAC dinonaktifkan.
Secara default di Windows 10, perlindungan UAC Level 3 digunakan, yang menampilkan pemberitahuan hanya ketika Anda mencoba mengubah file atau pengaturan sistem.
Bagaimana Cara Menonaktifkan Kontrol Akun Pengguna di Windows Menggunakan GPO?
Anda dapat menonaktifkan UAC menggunakan Kebijakan Grup. Di komputer mandiri, Anda dapat menggunakan Editor Kebijakan Grup Lokalgpedit.msc
. Jika Anda perlu menerapkan kebijakan ke komputer domain, Anda perlu menggunakan Konsol Manajemen Kebijakan Grup - gpmc.msc
(pertimbangkan opsi ini).
- Dalam domain GPO Management Console, klik OU dengan komputer yang ingin Anda nonaktifkan UAC dan buat objek kebijakan baru;
- Edit kebijakan dan buka bagian Konfigurasi Komputer -> Kebijakan -> Pengaturan Windows -> Pengaturan Keamanan -> Kebijakan Lokal -> Opsi Keamanan ;
- Bagian ini memiliki beberapa opsi yang mengontrol pengaturan UAC. Nama parameter ini dimulai dengan Kontrol Akun Pengguna ;
- Untuk menonaktifkan UAC sepenuhnya, setel nilai parameter berikut:
- Kontrol Akun Pengguna: Perilaku prompt elevasi untuk administrator dalam Mode Persetujuan Admin =
Elevate without prompting
; - Kontrol Akun Pengguna: Deteksi instalasi aplikasi dan prompt untuk elevasi =
Disabled
; - Kontrol Akun Pengguna: Jalankan semua administrator dalam Mode Persetujuan Admin =
Disabled
; - Kontrol Akun Pengguna: Hanya naikkan aplikasi UIAccess yang diinstal di lokasi aman =
Disabled
.
- Kontrol Akun Pengguna: Perilaku prompt elevasi untuk administrator dalam Mode Persetujuan Admin =
- Anda perlu memulai ulang komputer klien untuk memperbarui pengaturan Kebijakan Grup dan menonaktifkan UAC. Setelah reboot, UAC akan beralih ke mode "Jangan pernah beri tahu".
Anda juga dapat menonaktifkan UAC hanya untuk beberapa pengguna / komputer melalui registri, dan menerapkan pengaturan melalui Preferensi Kebijakan Grup .
Buat parameter registri baru di bawah bagian GPO Computer Configuration -> Preferences -> Windows Settings -> Registry dengan pengaturan berikut:
- Tindakan: Ganti
- Sarang: HKEY_LOCAL_MACHINE
- Jalur Kunci: SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
- Nama nilai: EnableLUA
- Jenis nilai: REG_DWORD
- Data nilai: 0
Lalu pergi ke tab Umum dan aktifkan opsi:
- Hapus item ini jika tidak lagi diterapkan
- Penargetan Tingkat Item
Klik tombol Penargetan dan tentukan komputer atau grup keamanan domain tempat Anda ingin menerapkan kebijakan penonaktifan UAC.
Pengaturan Kunci Registri UAC
Anda dapat mengelola pengaturan UAC melalui registri. Parameter yang bertanggung jawab atas perilaku Kontrol Akun Pengguna terletak di bawah kunci registri HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System .
Saat Anda mengubah nilai penggeser UAC di Panel Kontrol, Windows mengubah nilai pengaturan registri dari kunci reg ini sebagai berikut (di bawah ini adalah file REG siap untuk berbagai tingkat penggeser Kontrol Akun Pengguna):
UAC level 4 (Selalu beri tahu):
Windows Registry Editor Versi 5.00 [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System] "ConsentPromptBehaviorAdmin" = dword: 00000002 "ConsentPromptBehaviorUser" = dword: 00000003 "EnableInstallerDetection" = dword: 00000001 "EnableLUA" = dword: 00000001 "EnableVirtualization" = dword: 00000001 "PromptOnSecureDesktop" = dword: 00000001 "ValidateAdminCodeSignatures" = dword: 00000000 "FilterAdministratorToken" = dword: 00000000
UAC level 3 (Beri tahu hanya jika program mencoba membuat perubahan pada komputer saya):
"ConsentPromptBehaviorAdmin" = dword: 00000005 "ConsentPromptBehaviorUser" = dword: 00000003 "EnableInstallerDetection" = dword: 00000001 "EnableLUA" = dword: 00000001 "EnableVirtualization" = dword: 00000001 "PromptOnSecureDesktop" = dword: 00000001 "ValidateAdminCodeSignatures" = dword: 00000000 "FilterAdministratorToken" = dword: 00000000
UAC level 2:
"ConsentPromptBehaviorAdmin" = dword: 00000005 "ConsentPromptBehaviorUser" = dword: 00000003 "EnableInstallerDetection" = dword: 00000001 "EnableLUA" = dword: 00000001 "EnableVirtualization" = dword: 00000001 "PromptOnSecureDesktop" = dword: 00000000 "ValidateAdminCodeSignatures" = dword: 00000000 "FilterAdministratorToken" = dword: 00000000
UAC level 1 (Jangan pernah beri tahu - nonaktifkan UAC sepenuhnya):
"ConsentPromptBehaviorAdmin" = dword: 00000000 "ConsentPromptBehaviorUser" = dword: 00000003 "EnableInstallerDetection" = dword: 00000001 "EnableLUA" = dword: 00000001 "EnableVirtualization" = dword: 00000001 "PromptOnSecureDesktop" = dword: 00000000 "ValidateAdminCodeSignatures" = dword: 00000000 "FilterAdministratorToken" = dword: 00000000
Anda dapat mengubah nilai parameter apa pun menggunakan GUI Editor Registri atau dari prompt perintah. Misalnya, untuk menonaktifkan UAC di komputer (diperlukan reboot), Anda dapat menjalankan perintah:
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f.
Atau perintah PowerShell serupa:
New-ItemProperty -Path HKLM:Software\Microsoft\Windows\CurrentVersion\policies\system -Name EnableLUA -PropertyType DWord -Value 0 -Force
Kontrol Akun Pengguna di Windows Server
Kontrol Akun Pengguna di Windows Server bekerja dan dikelola dengan cara yang sama seperti pada edisi desktop Windows.
Dapat diterima untuk menonaktifkan UAC sepenuhnya di Windows Server 2016/2019 jika kondisi berikut ini benar:
- Hanya administrator yang memiliki akses jarak jauh ke desktop server ( akses RDP ke server untuk pengguna non-admin harus dinonaktifkan). Pada host RDS, biarkan UAC diaktifkan;
- Administrator sebaiknya hanya menggunakan Windows Server untuk tugas manajemen administratif. Administrator harus bekerja dengan dokumen kantor, messenger, browser web hanya di workstation dengan akun pengguna non-hak istimewa dengan UAC diaktifkan, dan bukan pada host server (lihat artikel tentang praktik terbaik untuk mengamankan akun administrator ).
Ketika UAC diaktifkan, Windows Server tidak mengizinkan koneksi jarak jauh di bawah akun komputer lokal (melalui penggunaan bersih, winrm, Powershell Remoting). Token pengguna akan difilter oleh LocalAccountTokenFilterPolicy
parameter UAC yang diaktifkan (dibahas di bagian sebelumnya).
UAC Slider dan Pengaturan Kebijakan Grup
Anda dapat mengelola pengaturan UAC menggunakan penggeser dan GPO. Tetapi tidak ada satu pun parameter Kebijakan Grup yang memungkinkan untuk memilih salah satu dari empat tingkat perlindungan UAC (sesuai dengan posisi penggeser UAC). Sebaiknya kelola pengaturan UAC menggunakan 10 parameter GPO yang berbeda. Kebijakan ini terdapat di bagian editor GPO berikut: Konfigurasi Komputer -> Kebijakan -> Pengaturan Windows -> Pengaturan Keamanan -> Kebijakan Lokal -> Opsi Keamanan . Parameter Kebijakan Grup terkait UAC dimulai dengan Kontrol Akun Pengguna .
Tabel berikut menunjukkan daftar parameter Kebijakan Grup UAC dan kunci registernya yang sesuai.
Nama Kebijakan | Parameter Registri yang Ditetapkan oleh Kebijakan |
Kontrol Akun Pengguna: Mode Persetujuan Admin untuk akun Administrator Bawaan | FilterAdministratorToken |
Kontrol Akun Pengguna: Izinkan aplikasi UIAccess untuk meminta elevasi tanpa menggunakan desktop yang aman | AktifkanUIADesktopToggle |
Kontrol Akun Pengguna: Perilaku perintah elevasi untuk administrator dalam Mode Persetujuan Admin | ConsentPromptBehaviorAdmin |
Kontrol Akun Pengguna: Perilaku perintah elevasi untuk pengguna standar | ConsentPromptBehaviorUser |
Kontrol Akun Pengguna: Mendeteksi penginstalan aplikasi dan meminta ketinggian | EnableInstallerDetection |
Kontrol Akun Pengguna: Hanya tingkatkan file yang dapat dieksekusi yang ditandatangani dan divalidasi | ValidateAdminCodeSignatures |
Kontrol Akun Pengguna: Hanya naikkan aplikasi UIAccess yang diinstal di lokasi yang aman | EnableSecureUIAPaths |
Kontrol Akun Pengguna: Jalankan semua administrator dalam Mode Persetujuan Admin | EnableLUA |
Kontrol Akun Pengguna: Beralih ke desktop aman saat meminta ketinggian | PromptOnSecureDesktop |
Kontrol Akun Pengguna: Memvirtualisasikan file dan kegagalan penulisan registri ke lokasi per pengguna | EnableVirtualization |
Secara default, UAC Level 3 menggunakan pengaturan Kebijakan Grup berikut ini:
UAC Level 3 (default)
Disabled
Bawaan = Izinkan aplikasi UIAccess untuk meminta elevasi tanpa menggunakan desktop yang aman =
Disabled
Perilaku prompt elevasi untuk administrator dalam Mode Persetujuan Admin =
Prompt for consent for non-Windows binaries
Perilaku prompt elevasi untuk pengguna standar =
Prompt for credentials on the secure desktop
Deteksi penginstalan dan prompt aplikasi untuk elevasi =
Enabled
(untuk Workgroup), Disabled
(untuk perangkat Windows yang bergabung dengan domain)Hanya tingkatkan executable yang ditandatangani dan divalidasi =
Disabled
Hanya tingkatkan aplikasi UIAccess yang diinstal di lokasi aman =
Enabled
Jalankan semua administrator di Admin Approval Mode =
Enabled
Alihkan ke desktop aman saat mendorong elevasi =
Enabled
Virtualisasi file dan kegagalan penulisan registri ke lokasi per pengguna =
Enabled
Komentar
Posting Komentar