Benutzerkontensteuerung (UAC – User Account Control)
Gültig für: Windows Vista | Server 2008 | Windows 7 | Windows 8 | Windows 10
In einigen Tipps wurde schon auf die Konfiguration der Benutzerkontensteuerung eingegangen. Hier wird die neue Funktion - ab Windows Vista- genauer beschrieben und alle entsprechenden Informationen dazu geben.
Die Benutzerkontensteuerung oder wie es in der englischen Version heißt User Account Control (UAC), ist dafür verantwortlich, dass bei der Ausführung von administrativen Aufgaben eine zusätzliche Bestätigung erforderlich ist.
Eingeführt wurde das, da immer noch die meisten Anwender unter administrativen Berechtigungen arbeiten und damit für Viren und Angriffen ein erhöhtes Sicherheitsrisiko darstellen. Bis Windows Vista hatten die Angreifer dadurch immer gleich die vollen Berechtigungen auf dem laufenden System.
Vorgesehen war, die administrativen Berechtigungen nur für die Installation und Konfiguration von Windows und den benötigten Anwendungen zu benutzen. Wenn man ganz normal am System arbeitet, sollte man das eigentlich als normaler Benutzer ohne administrative Berechtigungen machen. Nur wer hat sich in der Praxis schon daran gehalten?
Das UAC stellt also ein Kompromiss zu dem oben aufgeführten Konzept dar. Wenn Sie sich mit aktivem UAC als Administrator am System anmelden, arbeiten Sie mit "normalen" Benutzerrechten. Sobald eine Anwendung administrative Berechtigungen für die Ausführung benötigt, wird ein Dialogfeld angezeigt, welches extra zu bestätigen ist, damit für eine Anwendung die entsprechenden Berechtigungen gewährt werden.
Zur schnellen Sicherheits-Einschätzung benutzt Windows in der Benutzerkontensteuerung eine farbkodierte Fensterleiste:
- blaugrüne Fensterleiste:
Die "sicherste" Kennzeichnung, die anzeigt, dass es sich bei dem Programm um eine von Microsoft signierte, betriebssystemnahe Applikation wie beispielsweise ein Systemsteuerungs-Addin handelt - graue Fensterleiste:
signiertes Programm von einem Drittanbieter - gelbe Fensterleiste:
Unsignierte Anwendung.
Dadurch können keine Anwendungen im Hintergrund mit administrativen Berechtigungen Änderungen am System vornehmen, weil eine entsprechende Bestätigung notwendig ist.
Das UAC bietet also die Sicherheit eines normalen Benutzeraccounts ohne administrative Berechtigungen. Zusätzlich können aber auch administrative Aufgaben ausgeführt werden, ohne dass eine neue Anmeldung mit einem administrativen Account notwendig wird.
Die Arbeitsweise der Benutzerkontensteuerung (UAC)
Die administrativen Benutzer bekommen zwei Security-Token zugewiesen. Standardmäßig wird mit dem Token gearbeitet, das sie als Standardbenutzer identifiziert. Sie haben also die gleichen Berechtigungen wie ein Standardbenutzer und arbeiten mit eingeschränkten Zugriffsberechtigungen. Nur durch eine explizierte Bestätigung des Anwenders kann ein Prozess auf das zweite Token des Anwenders wechseln, welches ihm volle administrative Berechtigungen gibt. Es wird also zwischen zwei Security-Token gewechselt.
Damit das sauber funktioniert, muss Windows auch erkennen, ob die Anwendung administrative Berechtigungen benötigt. Die Anwendungen werden beim Start in "Integrity Level" (siehe hierzu Tipp: Sicherheitsmechanismus "Integrity Level" (IL)) eingestuft.
Wenn eine Anwendung administrative Berechtigungen benötigt und entsprechend gekennzeichnet ist, wird das von Windows erkannt. Bei Aufruf der Anwendung wird ein Dialog zum Bestätigen eingeblendet. Wird hier die Aktion abgebrochen oder eine längere Zeit keine entsprechende Auswahl getroffen, wird die Anwendung nicht mit administrativen Berechtigungen gestartet. Die Windows-Anwendungen, welche administrative Berechtigungen benötigen, können Sie meist auch schon am Symbol erkennen. Hier finden Sie im Symbol ein buntes Schild.
Dabei stellen ältere Anwendungen ein Problem dar, die nicht für UAC entwickelt wurden. Wenn solch eine ältere Anwendung gestartet wird, fehlt diese Information (welche im sogenannten "Application Manifest" gespeichert werden).
Diese Anwendungen werden weiterhin ausgeführt, aber nicht mit administrativen Berechtigungen gestartet. Greift die Anwendung aber auf systemkritische Bereiche (Registry, Systemdateien) zu, dann werden die Veränderungen in einem Virtualisierten-Bereich ausgeführt. Dabei werden diese Änderungen nur im Benutzerbereich gespeichert und nicht im Windows-System ausgeführt. So hat eine Änderung im Virtualisierten-Bereich von "HKEY_LOCAL_MACHINE\ …" keinen Einfluss auf das Windows System.
Wenn diese Anwendungen auch mit echten administrativen Berechtigungen ausgeführt werden sollen, müssen Sie die Anwendungen über "Als Administrator ausführen" starten.
Klicken Sie dazu die Anwendung mit der rechten Maustaste an und wählen aus dem Kontextmenü den Eintrag "Als Administrator ausführen". Wenn Sie das immer bei dieser Anwendung machen wollen, können Sie auch aus dem Kontextmenü den Eintrag "Eigenschaften" auswählen. Hier finden Sie im Tabreiter "Kompatibilität" unter "Berechtigungsstufe" den Eintrag "Programm als ein Administrator ausführen". Wenn Sie das aktivieren, wird die Anwendung immer mit administrativen Berechtigungen gestartet. Über die Anwendungen "RunLegacyCPLElevated.exe" können ältere Anwendungen/CPL-Dateien mit administrativen Rechten gestartet werden.
Administrator-Account
Der "echte" Administrator Account wird ab Windows Vista nach der Installation automatisch gesperrt. Bei der Installation wird nach einem Namen für einen administrativen Account gefragt, der mit dem angegebenen Passwort angelegt wird. Der "echte" Administrator-Account hat eine Besonderheit, trotz aktiver UAC ist diese Funktion bei diesem Account standardmäßig nicht aktiv (kann über "Benutzerkontensteuerung: Administratorbestätigungsmodus für das integrierte Administratorkonto" aktiviert werden). Sie können den Account über das MMC-SNAP-IN "Lokale Benutzer und Gruppen" oder über die Kommandozeile mit dem folgenden Befehl aktivieren:
net user Administrator /active
Sperren können Sie das Konto wieder über:
net user Administrator /active:no
Der Account ist aus Sicherheitsgründen deaktiviert und sollte deshalb nur aktiviert werden, wenn Sie die den Account benötigen. Da der Name des Accounts bekannt ist (meist wird der Account nicht umbenannt) bietet er den Angreifern ein gern gesehenes Ziel.
Zusätzlich werden beim Erstellen neuer Benutzerkonten nur noch Standardberechtigungen vergeben. Die administrativen Berechtigungen müssen extra zugewiesen werden.
Erweiterungen der Benutzerkontensteuerung ab Windows 7
Die Benutzerkontensteuerung kann ab Windows 7 in 4 Stufen konfiguriert werden. Dazu hat Microsoft einen Schieberegler eingeführt. Sie finden diese Einstellung in Tool "MSCONFIG" unter dem Tabreiter "Tools". Hier klicken Sie auf den Eintrag "UAC Einstellungen ändern" und dann auf den Button "Starten". Sie können das "User Account Control Settings" aber auch direkt über den Befehl "%windir%\system32\UserAccountControlSettings.exe" starten.
- Stufe 1 (Schieberegler ganz oben):
Immer Benachrichtigen.
- Stufe 2:
Nur benachrichtigen, wenn Änderungen an meinem Computer vom Programmen vorgenommen werden (Standardeinstellung).
- Stufe 3:
Nur benachrichtigen, wenn Änderungen an meinem Computer vom Programm vorgenommen werden (Desktop nicht abblenden).
- Stufe 4 (Schieberegler ganz unten):
Nie benachrichtigen
Diese Einstellungen können natürlich auch wieder über die Registry verändert werden.
Starten Sie den Registryeditor und ändern Sie in der Registry die Einträge wie beschrieben ab. Beachten Sie dazu bitte folgende Punkte:
Aufrufen von REGEDIT.EXE (alle Betriebssysteme) oder REGEDT32.EXE (nur Windows NT/2000)
Wenn der Pfad zum Schlüssel nicht vorhanden ist, müssen Sie die nötigen Schlüssel selber hinzufügen. Rechtsklick auf den letzten Schlüssel (links im Tree) aus dem Kontextmenü "Neu" -> "Schlüssel" auswählen, und die fehlenden Schlüssel mit den angegebenen Namen anlegen. |
Unter:
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
Erstellen Sie hier die Werte "ConsentPromptBehaviorAdmin" und "PromptOnSecureDesktop" als Datentyp REG_DWORD und setzen Sie die Werte je nach gewünschter Stufe:
Stufe | ConsentPromptBehaviorAdmin | PromptOnSecureDesktop |
---|---|---|
1 | 2 | 1 |
2 | 5 | 1 |
3 | 5 | 0 |
4 | 0 | 0 |
Siehe dazu auch die Links unter "Konfiguration der Benutzerkontensteuerung" in diesem Artikel.
Konfiguration der Benutzerkontensteuerung
Die Benutzerkontensteuerung kann über die Gruppenrichtlinien oder lokalen Systemrichtlinien konfiguriert werden. Die Einstellungen finden Sie dort unter: "Computerkonfiguration" -> "Windows-Einstellungen" -> "Sicherheitseinstellungen" -> "Lokale Richtlinien" -> "Sicherheitsoptionen".
Hier finden Sie folgende Einträge:
- Benutzerkontensteuerung: Administratorbestätigungsmodus für das integrierte Administratorkonto
- Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen
- Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern
- Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln
- Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisieren
- Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und validiert sind
- Benutzerkontensteuerung: Nur erhöhte Rechte für UIAccess-Anwendungen, die an sicheren Orten installiert sind
- Benutzerkontensteuerung: Verhalten der Anhebungsaufforderung für Standardbenutzer
- Benutzerkontensteuerung: Verhalten der Benutzeraufforderung mit erhöhten Rechten für Administratoren im Administratorbestätigungsmodus.
- Benutzerkontensteuerung (UAC) für bestimmte Anwendungen deaktivieren
- Benutzerkontensteuerung: Zugriff auf Netzwerklaufwerke mit erweiterten Rechten "Elevated" nicht möglich
WinFAQ: Startseite | WinFAQ: HTMLMenü | WinFAQ: Java Version
Der Tipp enthält einen Fehler oder Sie haben noch eine Ergänzung dafür? Schreiben Sie uns über die Feedback-Seite an: Feedback-Formular
URL: http://www.winfaq.de/faq_html/Content/tip2500/onlinefaq.php?h=tip2526.htm
WinFAQ ® Version 9.01 Copyright © 1996/2016 by Frank Ullrich