Tags: Windows 7, Privileged Access Management, Sicherheit, Gruppenrichtlinien, Rechteverwaltung
Im Zuge der 2007 von Publikumszeitschriften nahezu einstimmig vollzogenen Vista-Verrisse kam auch die Benutzerkontensteuerung (UAC) mit in das Kreuzfeuer der Kritik: Die Sicherheitsfunktion wurde allgemein als Belästigung des Benutzers betrachtet und Anleitungen, wie man UAC abschalten kann, befinden sich nach wie vor stabil auf den Suchmaschinen-Rankings ganz vorne. Das hat sich auch mit Windows 7 nicht geändert, obwohl Microsoft hier die UAC-Implementierung zugunsten der Benutzerfreundlichkeit abgeändert hat: Windows-eigene Programme, die erhöhte Privilegien benötigen, können sich diese etwa selbst freischalten, ohne dass der Benutzer dies bestätigen muss. Nur Fremdprogramme wie etwa Setup-Starter müssen nach wie vor fragen.
Windows-7-UAC ist weniger sicher als die von Vista
Ein Administrator, die für die Sicherheit in ihrem Netzwerk und auf den Arbeitsstationen verantwortlich ist, kann diese Aufweichung allerdings nicht gefallen. Sie hebelt UAC im Prinzip aus, zumindest in der Voreinstellung: Die Auto-Elevation bei der angemeldete Administratoren für bestimmte Ausgaben automatisch höhere Rechte erhalten, funktioniert über eine White List, das heißt bestimmte Anwendungen dürfen sich selbst Privilegien gewähren. Ist ein solcher Mechanismus erst einmal vorhanden, kann er zur Aushebelung der gesamten Benutzerkontensteuerung ausgenutzt werden, indem den privilegierten Programmen Schadcode untergeschoben wird. Detailliert ist dies bei FAQ-O-Matic.net nachzulesen.
UAC-Sicherheit wieder stärker einstellen
Mit einer einfachen Einstellung behebt man das Problem: Konträr zu allen Heimbenutzer-orientierten Publikationen sollte man im Business-Umfeld die UAC wieder so einstellen, dass sie bei jeder Aktion nachfragt, die erhöhte Privilegien benötigt, wie dies ursprünglich unter Vista der Fall war. In der Systemsteuerung unter den Einstellungen für jedes Benutzerkonto findet sich auch der Link „Einstellungen der Benutzerkontensteuerung ändern“. Er ist mit dem UAC-Symbol versehen, lässt sich aber trotzdem ohne Bestätigung öffnen, und illustriert damit anschaulich das Problem. Schiebt man hier den Regler nach ganz oben, ist für den betreffenden Rechner die White List der Programme, welche sich selbst Privilegien zuteilen dürfen, außer Kraft gesetzt.
UAC-Gruppenrichtlinie für Organisation setzen
In den Gruppenrichtlinien finden man die entsprechende Einstellung unter „Computerkonfiguration ⇒ Richtlinien ⇒ Sicherheitseinstellungen ⇒ Lokale Richtlinien ⇒ Sicherheitsoptionen“. Hier konfiguriert man die Sicherheitslevel mittels der Optionen „Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorbestätigungsmodus“ und „Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer“, welche jeweils den Einstellungen des Reglers in der Systemsteuerung für Administratoren und Benutzer entsprechen. Die Einstellungen sind im TechNet dokumentiert – allein sie helfen nicht viel. Erfahrene Administratoren riechen den Braten: Der Richtlinienpfad enthält „Lokale Richtlinien“, und das bedeutet: Die Einstellung wird zwar zunächst wirksam, kann jedoch einfach pro Maschine von jedem lokalen Administrator zurückgesetzt werden.
Die UAC-Einstellmöglichkeit per GPO lokal abzuschalten ist nicht möglich, an dieser Stelle verlässt sich Microsoft anscheinend darauf, dass nur Standard-Benutzer vor den Geräten sitzen und dies mit jeglicher im Unternehmen eingesetzten Software auch funktioniert. Dass man dann gar keine Benutzerkontensteuerung bräuchte, sei dahingestellt – in zahllosen Forenbeiträgen verweisen Admins auf den letzten Ausweg, die UAC-Einstellungen per Startup-Script direkt in die Registry zu schreiben und so wenigstens beim Start jeder Maschine wieder zu aktivieren, wenn sie zwischendurch verstellt waren. Alternativ geht das ein wenig eleganter mit Group Policy Preferences. Der zuständige Registry-Schlüssel ist HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System. Hier müssen 3 DWORD-Werte gesetzt werden:
| Registry-Eintrag | DWORD-Wert |
|---|---|
| ConsentPromptBehaviorAdmin | 2 |
| ConsentPromptBehaviorUser | 3 |
| EnableLUA | 1 |
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Runas, UAC, Fast User Switching: Als Administrator mit Standardrechten arbeiten
- Verzicht auf Administrator-Rechte entschärft Sicherheitslücken
- Häufige Missverständnisse zu Gruppenrichtlinien
- UAC-Prompt über GPO für Administratoren und User konfigurieren
- Standardbenutzer statt Administratorrechte: Least Privilege in Windows 7
Weitere Links