Windows 7 presenta una función interesante para prevenir intrusos en el PC y/o ejecución sin autorización de software malicioso, User Access Control o Control de acceso de usuarios. Sin embargo esta utilidad puede complicar o resultar molesta para la ejecución de scripts en PCs cuyo rol no requiere de acceso a Internet ni está expuesto a los peligros anteriormente nombrados por estar por ejemplo físicamente en un área sin acceso público. Por estos motivos, a continuación detallamos un par de opciones para deshabilitar esta utilidad mediante GUI de Windows, edición del registro o GPO en Active Directory.
Riesgos de deshabilitar UAC
Comenzamos con el buen consejo de que si no es realmente justificable no deshabiliten esta opción porque el nivel de seguridad de acceso en el equipo disminuye considerablemente ya que si una persona sin autorización logra acceder a una sesión de Windows iniciada con un usuario Administrador o con privilegios puede ejecutar y acceder a configuraciones de Windows sin que se le pida autorización previo a hacerlo. Lo mismo para la ejecución de software malicioso pudiendo modificar parámetros o archivos importantes de Windows dañando seriamente el sistema operativo.
¿Cómo deshabilitar User Access Control en Windows 7?
Comenzamos con la primera y más fácil forma de configurar UAC de forma gráfica:
- Clic en el menú Inicio y tipear en la caja de texto de búsqueda UAC. Inmediatamente se encontrará una opción llamada Cambiar configuración de Control de cuentas de usuario sobre el que se debe hacer clic.
- Se accede de esta forma al panel de configuración, donde se muestran cuatro posibles niveles de notificaciones sobre el requerimiento por parte de una aplicación de acceso o ejecución con privilegios sobre algún archivo o configuración de Windows. Detallo los niveles disponibles por orden ascendente de seguridad:
- Notificarme siempre cuando: un programa intente instalar software o realizar cambios en el equipo, realice cambios en la configuración de Windows.
- Predeterminado: notificarme sólo cuando un programa intente realizar cambios en el equipo, no notificarme cuando realice cambios en la configuración de Windows.
- Notificarme sólo cuando un programa intente realizar cambios en el equipo (no atenuar escritorio), no notificarme cuando realice cambios en la configuración de Windows.
- No notificarme nunca cuando: un programa intente instalar software o realizar cambios en el equipo. Realice cambios en la configuración de Windows.
Considero que la descripción de cada nivel es bastante clara por lo que no ahondaré en detalle sobre cada una de ellas. Sólo comentaré que al seleccionar la última No notificarme nunca cuando:… UAC dejará de pedirnos configuración de autorización cuando se intenta acceder, ejecutar o configurar algún componente de Windows lo que «deshabilita» este control.
Ok, hasta aquí genial, pero ¿que pasa cuando necesitamos deshabilitar esto en cientos de PCs?, sería muy engorroso configurarlo individualmente en cada una. Bueno, si los equipos son parte de un dominio de Active Directory, la mejor opción es utilizar un Group Policy Object para lograr la deshabilitación masiva ejecutando por ejemplo un script que setee las siguiente entradas de registros:
- Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
- Valores: EnableLUA y ConsentPromptBehaviorAdmin debiendo setear ambos valores en cero y lo que hace esto es que se configure el nivel más bajo de notificaciones descripto anteriormente.
Si se trata de un dominio con Windows 2003 comparto aquí una plantilla administrativa que creé para esta finalidad, debiendo importarla dentro de un política de grupo existente o creando una nueva. Esto agregará la opción para, mediante un checkbox, habilitar o deshabilitar las opciones mediante las claves detalladas más arriba.
Finalizo compartiendo un par de links de Microsoft donde se explica con mucho detalle esta función y sus opciones:
What is User Access Control? y What are User Access Control Settings?
