UAC: Sicherheit der Benutzerkontensteuerung auf Vista-Level erhöhen statt abschalten

    UAC thumbnailIm Zuge der 2007 von Publikumszeitschriften nahezu einstimmig vollzogenen Vista-Verrisse kam auch die Benutzerkontensteuerung (UAC) mit in das Kreuzfeuer der Kritik: Die Sicherheitsfunktion wurde allgemein als Belästigung des Benutzers betrachtet und Anleitungen, wie man UAC abschalten kann, befinden sich nach wie vor stabil auf den Suchmaschinen-Rankings ganz vorne. Das hat sich auch mit Windows 7 nicht geändert, obwohl Microsoft hier die UAC-Implementierung zugunsten der Benutzerfreundlichkeit abgeändert hat: Windows-eigene Programme, die erhöhte Privilegien benötigen, können sich diese etwa selbst freischalten, ohne dass der Benutzer dies bestätigen muss. Nur Fremdprogramme wie etwa Setup-Starter müssen nach wie vor fragen.

    Windows-7-UAC ist weniger sicher als die von Vista

    Die Voreinstellung der Benutzerkontensteuerung unter Windows 7 hebelt sie praktisch ausEin Administrator, die für die Sicherheit in ihrem Netzwerk und auf den Arbeitsstationen verantwortlich ist, kann diese Aufweichung allerdings nicht gefallen. Sie hebelt UAC im Prinzip aus, zumindest in der Voreinstellung: Die Auto-Elevation bei der angemeldete Administratoren für bestimmte Ausgaben automatisch höhere Rechte erhalten, funktioniert über eine White List, das heißt bestimmte Anwendungen dürfen sich selbst Privilegien gewähren. Ist ein solcher Mechanismus erst einmal vorhanden, kann er zur Aushebelung der gesamten Benutzerkontensteuerung ausgenutzt werden, indem den privilegierten Programmen Schadcode untergeschoben wird. Detailliert ist dies bei FAQ-O-Matic.net nachzulesen.

    UAC-Sicherheit wieder stärker einstellen

    Mit einer einfachen Einstellung behebt man das Problem: Konträr zu allen Heimbenutzer-orientierten Publikationen sollte man im Business-Umfeld die UAC wieder so einstellen, dass sie bei jeder Aktion nachfragt, die erhöhte Privilegien benötigt, wie dies ursprünglich unter Vista der Fall war. In der Systemsteuerung unter den Einstellungen für jedes Benutzerkonto findet sich auch der Link „Einstellungen der Benutzer­konten­steuerung ändern“. Er ist mit dem UAC-Symbol versehen, lässt sich aber trotzdem ohne Bestätigung öffnen, und illustriert damit anschaulich das Problem. Schiebt man hier den Regler nach ganz oben, ist für den betreffenden Rechner die White List der Programme, welche sich selbst Privilegien zuteilen dürfen, außer Kraft gesetzt.

    UAC-Gruppenrichtlinie für Organisation setzen

    In den Gruppenrichtlinien finden man die entsprechende Einstellung unter „Computerkonfiguration ⇒ Richtlinien ⇒ Sicherheitseinstellungen ⇒ Lokale Richtlinien ⇒ Sicherheitsoptionen“. Hier konfiguriert man die Sicherheitslevel mittels der Optionen „Verhalten der Eingabe­aufforderung für erhöhte Rechte für Administratoren im Administrator­bestätigungs­modus“ und „Verhalten der Eingabe­aufforderung für erhöhte Rechte für Standard­benutzer“, welche jeweils den Einstellungen des Reglers in der Systemsteuerung für Administratoren und Benutzer entsprechen. Die Einstellungen sind im TechNet dokumentiert – allein sie helfen nicht viel. Erfahrene Administratoren riechen den Braten: Der Richtlinienpfad enthält „Lokale Richtlinien“, und das bedeutet: Die Einstellung wird zwar zunächst wirksam, kann jedoch einfach pro Maschine von jedem lokalen Administrator zurückgesetzt werden.

    Die Gruppenrichtlinien zur UAC können von lokalen Administratoren wieder zurückgesetzt werden. Ein möglicher Ausweg sind Group Policy PreferencesDie UAC-Einstellmöglichkeit per GPO lokal abzuschalten ist nicht möglich, an dieser Stelle verlässt sich Microsoft anscheinend darauf, dass nur Standard-Benutzer vor den Geräten sitzen und dies mit jeglicher im Unternehmen eingesetzten Software auch funktioniert. Dass man dann gar keine Benutzer­konten­steuerung bräuchte, sei dahingestellt – in zahllosen Forenbeiträgen verweisen Admins auf den letzten Ausweg, die UAC-Einstellungen per Startup-Script direkt in die Registry zu schreiben und so wenigstens beim Start jeder Maschine wieder zu aktivieren, wenn sie zwischendurch verstellt waren. Alternativ geht das ein wenig eleganter mit Group Policy Preferences. Der zuständige Registry-Schlüssel ist HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System. Hier müssen 3 DWORD-Werte gesetzt werden:

    Registry-EintragDWORD-Wert
    ConsentPromptBehaviorAdmin2
    ConsentPromptBehaviorUser3
    EnableLUA1

    Keine Kommentare