Bagaimana Cara Menonaktifkan / Mengubah Kontrol Akun Pengguna dengan Kebijakan Grup?

 

Bagaimana Cara Menonaktifkan / Mengubah Kontrol Akun Pengguna dengan Kebijakan Grup?

(Kontrol Akun Pengguna) adalah komponen penting dari keamanan Windows. Saat Anda menjalankan aplikasi atau proses apa pun yang memerlukan hak administrator, mencoba mengubah pengaturan sistem, kunci registri yang dilindungi, atau file sistem, komponen UAC mengalihkan desktop ke mode terlindungi (Desktop Aman) dan meminta administrator untuk mengkonfirmasi tindakan ini. Dengan cara ini, UAC membantu mencegah peluncuran proses dan malware yang berpotensi membahayakan komputer Anda.

Tangkapan layar di bawah ini menunjukkan bahwa ketika Anda mencoba menjalankan Editor Registri (regedit.exe ) di Windows 10, jendela konfirmasi UAC muncul:

Kontrol Akun Pengguna
Apakah Anda ingin mengizinkan aplikasi ini membuat perubahan pada perangkat Anda?

konfirmasi uac pada desktop aman di windows 10

UAC tidak diaktifkan untuk akun administrator internal , yang dinonaktifkan secara default di Windows 10.

Di artikel ini, kita akan melihat cara mengelola pengaturan UAC di satu komputer, atau beberapa komputer di domain menggunakan Kebijakan Grup.

Level Slider Kontrol Akun Pengguna di Windows 10

Di Windows 7 (dan yang lebih baru), pengaturan UAC di komputer dikelola menggunakan penggeser khusus (disebut melalui panel kontrol atau UserAccountControlSettings.exefile). Dengan menggunakan penggeser, Anda dapat memilih satu dari empat tingkat perlindungan Kontrol Akun Pengguna yang telah ditentukan.

  • Level 4 - Selalu beri tahu - level perlindungan UAC tertinggi;
  • Level 3 - Beri tahu hanya jika program mencoba membuat perubahan pada komputer saya (default) - level perlindungan default;
  • Level 2 - Beri tahu hanya jika program mencoba membuat perubahan pada komputer saya (jangan redupkan desktop saya) - hampir sama dengan level sebelumnya, tetapi tanpa beralih ke Secure Desktop dengan penguncian desktop;
  • Level 1 - Jangan pernah beri tahu - UAC dinonaktifkan.

UAC Slider di Windows

Secara default di Windows 10, perlindungan UAC Level 3 digunakan, yang menampilkan pemberitahuan hanya ketika Anda mencoba mengubah file atau pengaturan sistem.

Bagaimana Cara Menonaktifkan Kontrol Akun Pengguna di Windows Menggunakan GPO?

Dalam kebanyakan kasus, tidak disarankan untuk menonaktifkan UAC sepenuhnya. Kontrol Akun Pengguna adalah alat keamanan Windows yang sederhana namun efektif. Dalam praktik saya, saya tidak pernah menonaktifkan UAC di komputer pengguna tanpa memastikan bahwa UAC memblokir fungsi tertentu. Bahkan dalam kasus ini, ada solusi sederhana untuk menonaktifkan UAC untuk aplikasi tertentu , atau menjalankan aplikasi tanpa hak admin dan menekan permintaan UAC.

Anda dapat menonaktifkan UAC menggunakan Kebijakan Grup. Di komputer mandiri, Anda dapat menggunakan Editor Kebijakan Grup Lokalgpedit.msc . Jika Anda perlu menerapkan kebijakan ke komputer domain, Anda perlu menggunakan Konsol Manajemen Kebijakan Grup - gpmc.msc(pertimbangkan opsi ini).

  1. Dalam domain GPO Management Console, klik OU dengan komputer yang ingin Anda nonaktifkan UAC dan buat objek kebijakan baru;buat gpo untuk menonaktifkan uac di windows
  2. Edit kebijakan dan buka bagian Konfigurasi Komputer -> Kebijakan -> Pengaturan Windows -> Pengaturan Keamanan -> Kebijakan Lokal -> Opsi Keamanan ;
  3. Bagian ini memiliki beberapa opsi yang mengontrol pengaturan UAC. Nama parameter ini dimulai dengan Kontrol Akun Pengguna ;kebijakan akun pengguna di editor GPO
  4. Untuk menonaktifkan UAC sepenuhnya, setel nilai parameter berikut:
    • Kontrol Akun Pengguna: Perilaku prompt elevasi untuk administrator dalam Mode Persetujuan Admin = Elevate without prompting;
    • Kontrol Akun Pengguna: Deteksi instalasi aplikasi dan prompt untuk elevasi = Disabled;
    • Kontrol Akun Pengguna: Jalankan semua administrator dalam Mode Persetujuan Admin = Disabled;
    • Kontrol Akun Pengguna: Hanya naikkan aplikasi UIAccess yang diinstal di lokasi aman = Disabled.setel pengaturan kebijakan di editor gpo untuk menonaktifkan uac
  5. Anda perlu memulai ulang komputer klien untuk memperbarui pengaturan Kebijakan Grup dan menonaktifkan UAC. Setelah reboot, UAC akan beralih ke mode "Jangan pernah beri tahu".

Anda juga dapat menonaktifkan UAC hanya untuk beberapa pengguna / komputer melalui registri, dan menerapkan pengaturan melalui Preferensi Kebijakan Grup .

Buat parameter registri baru di bawah bagian GPO Computer Configuration -> Preferences -> Windows Settings -> Registry dengan pengaturan berikut:

  • Tindakan: Ganti
  • Sarang: HKEY_LOCAL_MACHINE
  • Jalur Kunci: SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
  • Nama nilai: EnableLUA
  • Jenis nilai: REG_DWORD
  • Data nilai: 0

Aktifkan parameter registri LUA untuk menonaktifkan kontrol akun pengguna di windows 10

Lalu pergi ke tab Umum dan aktifkan opsi:

  • Hapus item ini jika tidak lagi diterapkan
  • Penargetan Tingkat Item

Klik tombol Penargetan dan tentukan komputer atau grup keamanan domain tempat Anda ingin menerapkan kebijakan penonaktifan UAC.

Meskipun UAC dinonaktifkan, beberapa aplikasi mungkin diblokir agar tidak dapat diluncurkan dengan pesan Aplikasi ini telah diblokir untuk perlindungan Anda .

Pengaturan Kunci Registri UAC

Anda dapat mengelola pengaturan UAC melalui registri. Parameter yang bertanggung jawab atas perilaku Kontrol Akun Pengguna terletak di bawah kunci registri HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System .

Saat Anda mengubah nilai penggeser UAC di Panel Kontrol, Windows mengubah nilai pengaturan registri dari kunci reg ini sebagai berikut (di bawah ini adalah file REG siap untuk berbagai tingkat penggeser Kontrol Akun Pengguna):

UAC level 4 (Selalu beri tahu):

Windows Registry Editor Versi 5.00
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System]
"ConsentPromptBehaviorAdmin" = dword: 00000002
"ConsentPromptBehaviorUser" = dword: 00000003
"EnableInstallerDetection" = dword: 00000001
"EnableLUA" = dword: 00000001
"EnableVirtualization" = dword: 00000001
"PromptOnSecureDesktop" = dword: 00000001
"ValidateAdminCodeSignatures" = dword: 00000000
"FilterAdministratorToken" = dword: 00000000

UAC level 3 (Beri tahu hanya jika program mencoba membuat perubahan pada komputer saya):

"ConsentPromptBehaviorAdmin" = dword: 00000005
"ConsentPromptBehaviorUser" = dword: 00000003
"EnableInstallerDetection" = dword: 00000001
"EnableLUA" = dword: 00000001
"EnableVirtualization" = dword: 00000001
"PromptOnSecureDesktop" = dword: 00000001
"ValidateAdminCodeSignatures" = dword: 00000000
"FilterAdministratorToken" = dword: 00000000

UAC level 2:

"ConsentPromptBehaviorAdmin" = dword: 00000005
"ConsentPromptBehaviorUser" = dword: 00000003
"EnableInstallerDetection" = dword: 00000001
"EnableLUA" = dword: 00000001
"EnableVirtualization" = dword: 00000001
"PromptOnSecureDesktop" = dword: 00000000
"ValidateAdminCodeSignatures" = dword: 00000000
"FilterAdministratorToken" = dword: 00000000

UAC level 1 (Jangan pernah beri tahu - nonaktifkan UAC sepenuhnya):

"ConsentPromptBehaviorAdmin" = dword: 00000000
"ConsentPromptBehaviorUser" = dword: 00000003
"EnableInstallerDetection" = dword: 00000001
"EnableLUA" = dword: 00000001
"EnableVirtualization" = dword: 00000001
"PromptOnSecureDesktop" = dword: 00000000
"ValidateAdminCodeSignatures" = dword: 00000000
"FilterAdministratorToken" = dword: 00000000

pengaturan registri uac

Anda dapat mengubah nilai parameter apa pun menggunakan GUI Editor Registri atau dari prompt perintah. Misalnya, untuk menonaktifkan UAC di komputer (diperlukan reboot), Anda dapat menjalankan perintah:

reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f.

Atau perintah PowerShell serupa:

New-ItemProperty -Path HKLM:Software\Microsoft\Windows\CurrentVersion\policies\system -Name EnableLUA -PropertyType DWord -Value 0 -Force

Ada parameter registri lain di utas ini, LocalAccountTokenFilterPolicy , yang sering disebut sebagai UAC Jarak Jauh . Parameter ini membatasi sambungan jarak jauh untuk berbagi administratif default di bawah akun pengguna lokal dengan hak administrator.

Kontrol Akun Pengguna di Windows Server

Kontrol Akun Pengguna di Windows Server bekerja dan dikelola dengan cara yang sama seperti pada edisi desktop Windows.

Dapat diterima untuk menonaktifkan UAC sepenuhnya di Windows Server 2016/2019 jika kondisi berikut ini benar:

  • Hanya administrator yang memiliki akses jarak jauh ke desktop server ( akses RDP ke server untuk pengguna non-admin harus dinonaktifkan). Pada host RDS, biarkan UAC diaktifkan;
  • Administrator sebaiknya hanya menggunakan Windows Server untuk tugas manajemen administratif. Administrator harus bekerja dengan dokumen kantor, messenger, browser web hanya di workstation dengan akun pengguna non-hak istimewa dengan UAC diaktifkan, dan bukan pada host server (lihat artikel tentang praktik terbaik untuk mengamankan akun administrator ).
UAC selalu dinonaktifkan di edisi Windows Server Core.

Ketika UAC diaktifkan, Windows Server tidak mengizinkan koneksi jarak jauh di bawah akun komputer lokal (melalui penggunaan bersih, winrm, Powershell Remoting). Token pengguna akan difilter oleh LocalAccountTokenFilterPolicyparameter UAC yang diaktifkan (dibahas di bagian sebelumnya).

UAC Slider dan Pengaturan Kebijakan Grup

Anda dapat mengelola pengaturan UAC menggunakan penggeser dan GPO. Tetapi tidak ada satu pun parameter Kebijakan Grup yang memungkinkan untuk memilih salah satu dari empat tingkat perlindungan UAC (sesuai dengan posisi penggeser UAC). Sebaiknya kelola pengaturan UAC menggunakan 10 parameter GPO yang berbeda. Kebijakan ini terdapat di bagian editor GPO berikut: Konfigurasi Komputer -> Kebijakan -> Pengaturan Windows -> Pengaturan Keamanan -> Kebijakan Lokal -> Opsi Keamanan . Parameter Kebijakan Grup terkait UAC dimulai dengan Kontrol Akun Pengguna .

Kebijakan Kontrol Akun Pengguna

Tabel berikut menunjukkan daftar parameter Kebijakan Grup UAC dan kunci registernya yang sesuai.

Nama KebijakanParameter Registri yang Ditetapkan oleh Kebijakan
Kontrol Akun Pengguna: Mode Persetujuan Admin untuk akun Administrator BawaanFilterAdministratorToken
Kontrol Akun Pengguna: Izinkan aplikasi UIAccess untuk meminta elevasi tanpa menggunakan desktop yang amanAktifkanUIADesktopToggle
Kontrol Akun Pengguna: Perilaku perintah elevasi untuk administrator dalam Mode Persetujuan AdminConsentPromptBehaviorAdmin
Kontrol Akun Pengguna: Perilaku perintah elevasi untuk pengguna standarConsentPromptBehaviorUser
Kontrol Akun Pengguna: Mendeteksi penginstalan aplikasi dan meminta ketinggianEnableInstallerDetection
Kontrol Akun Pengguna: Hanya tingkatkan file yang dapat dieksekusi yang ditandatangani dan divalidasiValidateAdminCodeSignatures
Kontrol Akun Pengguna: Hanya naikkan aplikasi UIAccess yang diinstal di lokasi yang amanEnableSecureUIAPaths
Kontrol Akun Pengguna: Jalankan semua administrator dalam Mode Persetujuan AdminEnableLUA
Kontrol Akun Pengguna: Beralih ke desktop aman saat meminta ketinggianPromptOnSecureDesktop
Kontrol Akun Pengguna: Memvirtualisasikan file dan kegagalan penulisan registri ke lokasi per penggunaEnableVirtualization

Secara default, UAC Level 3 menggunakan pengaturan Kebijakan Grup berikut ini:

UAC Level 3 (default)

Mode Persetujuan Admin untuk akun Administrator Disabled
Bawaan Izinkan aplikasi UIAccess untuk meminta elevasi tanpa menggunakan desktop yang aman = Disabled
Perilaku prompt elevasi untuk administrator dalam Mode Persetujuan Admin = Prompt for consent for non-Windows binaries
Perilaku prompt elevasi untuk pengguna standar = Prompt for credentials on the secure desktop
Deteksi penginstalan dan prompt aplikasi untuk elevasi = Enabled  (untuk Workgroup), Disabled (untuk perangkat Windows yang bergabung dengan domain)
Hanya tingkatkan executable yang ditandatangani dan divalidasi = Disabled
Hanya tingkatkan aplikasi UIAccess yang diinstal di lokasi aman = Enabled
Jalankan semua administrator di Admin Approval Mode = Enabled
Alihkan ke desktop aman saat mendorong elevasi =Enabled
Virtualisasi file dan kegagalan penulisan registri ke lokasi per pengguna = Enabled

Komentar

Postingan populer dari blog ini

Login, Session, dan Logout

Cara Membuat File Setup / Installer Aplikasi Sendiri dengan Inno Setup Compiler