此安全设置控制用户界面可访问性(UIAccess或UIA)程序是否可以自动禁用安全桌面以获取标准用户使用的提升提示。
如果启用此设置,UIA程序(包括Windows远程协助)可以自动禁用安全桌面以获取提升提示。除非您还禁用了提升提示,否则提示将显示在交互式用户的桌面而不是安全桌面上。
如果禁用或未配置此设置,则只能由交互式桌面的用户禁用安全桌面,或禁用“用户帐户控制:提示提升时切换到安全桌面”设置。
UIA程序旨在代表用户与Windows和应用程序进行交互。此设置允许UIA程序绕过安全桌面以在某些情况下提高可用性,但允许在常规交互式桌面而不是安全桌面上显示提升请求会增加您的安全风险。
由于UIA程序必须能够响应有关安全问题的提示,例如UAC提升提示,因此UIA程序必须高度可信。为了被视为可信任,UIA程序必须进行数字签名。默认情况下,UIA程序只能从以下受保护路径运行:
- .. Program Files (和子文件夹)
- .. Program Files(x86)(和子文件夹,仅限64位版本的Windows)
- .. Windows System32下
可以通过“用户帐户控制:仅提升安全位置中安装的UIAccess应用程序”设置禁用受保护路径的要求。
虽然此设置适用于任何UIA程序,但它主要用于某些Windows远程协助方案。 Windows Vista中的Windows远程协助程序是UIA程序。
如果用户请求管理员提供远程协助并建立远程协助会话,则会在交互式用户的安全桌面上显示任何提升提示,并且管理员的远程会话将暂停。为避免在提升请求期间暂停远程管理员的会话,用户可以在设置远程协助会话时选中“允许IT专家响应用户帐户控制提示”复选框。但是,选中此复选框本身需要交互式用户响应安全桌面上的提升提示。如果交互式用户是标准用户,则用户没有允许提升所需的凭据。
如果启用此设置,(“用户帐户控制:允许UIAccess应用程序在不使用安全桌面的情况下提示提升”),请求提升会自动发送到交互式桌面(不是安全桌面),也会出现在远程管理员的在Windows远程协助会话期间查看桌面,远程管理员可以提供适当的提升凭据。
此设置不会更改管理员的UAC提升提示的行为。
如果您计划启用此设置,还应检查“用户帐户控制:标准用户的提升提示行为”设置的效果。如果将其配置为“自动拒绝提升请求”,则不会向用户显示提升请求。
Andy O'Donnell于2016年8月25日编辑
