Cómo configurar el comportamiento del indicador de Windows UAC para administradores y usuarios

Microsoft introdujo el Control de cuentas de usuario en Windows Vista de una manera que puso de los nervios a muchos usuarios del sistema debido a la gran cantidad de mensajes con los que se bombardeaba a los usuarios del sistema operativo. El comportamiento de UAC se ha mejorado desde entonces; la cantidad de avisos que reciben los usuarios cuando trabajan con el sistema informático se redujo significativamente.

Sin embargo, el comportamiento no está demasiado optimizado. Por ejemplo, recibe avisos de UAC incluso si ha iniciado sesión con una cuenta de administrador que a los usuarios experimentados que saben lo que están haciendo puede que no les gusten en absoluto.



Lo que muchos usuarios de Windows no saben es que es posible modificar el comportamiento predeterminado del Control de cuentas de usuario. El Registro de Windows tiene dos claves que definen el comportamiento de UAC para administradores y usuarios estándar.

Primero debe abrir el Registro de Windows para verificar cómo están configuradas las claves en su sistema:

  1. Utilice Windows-R para abrir el cuadro de ejecución en el sistema. Escriba regedit y presione la tecla Intro para cargar el Registro. Recibirá un mensaje de UAC que debe aceptar.
  2. Navegue a la siguiente ruta usando la estructura de carpetas de la barra lateral: HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Policies System

registry uac prompts

ConsentPromptBehaviorAdmin



Esta clave define el comportamiento del Control de cuentas de usuario para los administradores del sistema. El valor predeterminado está configurado para solicitar, pero no requiere que se ingresen credenciales. Aquí están todos los valores posibles:

  • 0: Un valor de 0 permite a los administradores realizar operaciones que requieren elevación sin consentimiento (es decir, indicaciones) o credenciales (es decir, autenticación).
  • 1: Un valor de 1 requiere que el administrador ingrese el nombre de usuario y la contraseña cuando las operaciones requieren privilegios elevados en un escritorio seguro.
  • 2: El valor de 2 muestra el mensaje de UAC que debe permitirse o denegarse en un escritorio seguro. No se requiere autenticación.
  • 3: Un valor de 3 solicitudes de credenciales.
  • 4: Un valor de 4 solicitudes de consentimiento al mostrar la solicitud de UAC.
  • 5: El valor predeterminado de 5 solicitudes de consentimiento para binarios que no son de Windows.

ConsentPromptBehaviorUser

  • 0: Un valor de 0 denegará automáticamente cualquier operación que requiera privilegios elevados si la ejecutan usuarios estándar.
  • 1: El valor de 1 mostrará un mensaje para ingresar el nombre de usuario y la contraseña de un administrador para ejecutar la operación con privilegios elevados en el escritorio seguro.
  • 3: El valor predeterminado de 3 solicitudes de credenciales en un escritorio seguro.

Los cambios deberían surtir efecto de inmediato. Por ejemplo, puede establecer el comportamiento del administrador en 0 para que no se muestren avisos, y el comportamiento del usuario en 0 también para evitar que ejecuten operaciones que requieren privilegios elevados.

Hay claves adicionales disponibles, aquí hay una descripción general rápida de ellas:

  • EnableInstallerDetection se establece en 1 en todas las versiones de Windows excepto Enterprise, donde se establece en 0. Determina si las instalaciones de la aplicación solicitan elevación (0 deshabilitado, 1 habilitado).
  • PromptOnSecureDesktop determina si las solicitudes de UAC se muestran en un escritorio seguro (1, predeterminado) o no (0). Esto elimina el indicador de pantalla completa cuando está desactivado.
  • FilterAdministratorToken está deshabilitado de forma predeterminada (0) pero se puede establecer en (1) en su lugar, lo que requeriría que el usuario apruebe operaciones que requieran elevaciones de privilegios.
  • EnableUIADesktopToggleestá deshabilitado por defecto (0). Determina si las aplicaciones UIAccess pueden solicitar la elevación sin el escritorio seguro. Las aplicaciones UIAccess están firmadas digitalmente y solo se ejecutan desde rutas protegidas (archivos de programa, archivos de programa (x86) y system32). Establecerlo en (1) lo habilita.
  • EnableSecureUIAPaths está habilitado por defecto (1). Si está deshabilitado (0), permitirá la ejecución de aplicaciones UIAccess desde ubicaciones no seguras.
  • ValidateAdminCodeSignatures está deshabilitado por defecto (0). Cuando está habilitado (1), aplica la validación de la ruta de certificación PKI para los archivos ejecutables antes de que se les permita su ejecución.
  • Habilitar LUA habilitado por defecto (1). Si está deshabilitado (0), deshabilitará el modo de aprobación de administrador y todas las configuraciones de políticas de UAC relacionadas.
  • Habilitar virtualización habilitado (1) de forma predeterminada, que redirige las fallas de escritura de la aplicación en tiempo de ejecución a ubicaciones de usuario definidas. Las aplicaciones que escriben datos en ubicaciones protegidas fallarán si están deshabilitadas (0.

Información adicional sobre cada configuración, así como su configuración de directiva de grupo correspondiente, están disponibles en Technet de Microsoft sitio web.