Tags: Rechteverwaltung, Privileged Access Management, Authentifizierung
Die Benutzerkontensteuerung (UAC) hilft bei der Zuweisung von Privilegien für administrative Aufgaben. Sie ermöglicht es Benutzern, einzelne Anwendungen mit dem Token eines Administrators auszuführen. Dabei erlaubt Windows auch die Wahl zwischen mehreren Methoden der Authentifizierung. Das UAC-Verhalten lässt sich mit Gruppenrichtlinien steuern.
Bösartige Programme können den Kontext privilegierter Benutzer missbrauchen, um sich auf dem Endpunkt und dem Netzwerk im Allgemeinen festzusetzen. Daher ist es eine gängige Praxis, sich für normale Tätigkeiten nicht als Administrator anzumelden und nur bei Bedarf die Berechtigungsebene anheben. Der Benutzerkontext bleibt jener des Standardbenutzers.
Wenn eine Anwendung erhöhte Berechtigungen benötigt, dann fordert die Benutzerkontensteuerung zur Eingabe von Anmeldeinformationen oder zu einer Zustimmung für die Rechteanhebung auf.
PIN und Windows Hello für UAC verwenden
In Windows 10 hat Microsoft die Möglichkeit hinzugefügt, die Berechtigungen durch andere Authentifizierungsmethoden als Benutzername und Passwort zu erhöhen.
Windows Hello bietet mit seinen biometrischen Verfahren robustere Alternativen, die zudem wesentlich komfortabler sind als die Eingabe des Kennworts.
Sobald ein Administrator zusätzliche Authentifizierungsoptionen für sein Konto konfiguriert, wie zum Beispiel PIN oder Windows Hello, dann sind diese auch in den UAC-Prompts für Standardbenutzer verfügbar.
Von diesem Zeitpunkt an erhält auch ein Standardbenutzer die Option, die zusätzlichen Authentifizierungsmethoden für das betreffende privilegierte Konto auszuwählen. Wenn Windows Hello konfiguriert ist, wird es hier ebenfalls angezeigt.
Die Option für die Verwendung von Windows Hello steht zur Verfügung, wenn der Benutzer an ein Microsoft-Konto gebunden ist. Lokale Konten können PIN und Kennwort für die Rechteerhöhung nutzen.
Keine Einstellung für die standardmäßige UAC-Authentifizierung
Offenbar gibt es keine Möglichkeit, eine andere Methode als ein Passwort für die Authentifizierung als Standard festzulegen, auch nicht über die Gruppenrichtlinien. Daher muss man im Dialog erst jedes Mal ein alternatives Verfahren manuell auswählen.
Das Fehlen einer expliziten Möglichkeit, dieses Verhalten zu steuern, ist ein wiederkehrendes Thema in vielen Foren. Siehe dazu beispielsweise folgenden Beitrag im Microsoft-Forum: How to make UAC always default to using Windows Hello Face instead of password.
UAC mit Gruppenrichtlinien steuern
Unternehmen können die Gruppenrichtlinien verwenden, um die UAC und ihr Verhalten für alle Benutzer anzupassen. Microsoft sieht dafür 10 Einstellungen vor.
Diese finden sich unter Computerkonfiguration => Windows-Einstellungen> Sicherheitseinstellungen => Lokale Richtlinien => Sicherheitsoptionen.
| Einstellung | Registry-Schlüssel | Standard |
|---|---|---|
| Benutzerkontensteuerung: Administratorgenehmigungsmodus für das integrierte Administratorkonto ("User Account Control: Admin Approval Mode for the built-in Administrator account") |
FilterAdministratorToken | Nicht definiert |
| Benutzerkontensteuerung: UIAccess-Anwendungen können erhöhte Rechte ohne sicheren Desktop anfordern ("User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop") |
EnableUIADesktopToggle | Deaktiviert |
| Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorgenehmigungsmodus ("User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode") |
ConsentPromptBehaviorAdmin | Eingabeaufforderung zur Zustimmung für Nicht-Windows-Binärdateien |
| Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer ("User Account Control: Behavior of the elevation prompt for standard users") |
ConsentPromptBehaviorUser | Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop |
| Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern ("User Account Control: Detect application installations and prompt for elevation") |
EnableInstallerDetection | Aktiviert (deaktiviert in der Enterprise Edition) |
| Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und überprüft sind ("User Account Control: Only elevate executables that are signed and validated") |
ValidateAdminCodeSignatures | Deaktiviert |
| Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sind ("User Account Control: Only elevate UIAccess applications that are installed in secure locations") |
EnableSecureUIAPaths | Aktiviert |
| Benutzerkontensteuerung: Alle Administratoren im Administratorgenehmigungsmodus ausführen ("User Account Control: Run all administrators in Admin Approval Mode") |
EnableLUA | Aktiviert |
| Benutzerkontensteuerung: Bei Eingabeaufforderung nach erhöhten Rechten zum sicheren Desktop wechseln ("User Account Control: Switch to the secure desktop when prompting for elevation") |
PromptOnSecureDesktop | Aktiviert |
| Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerorte virtualisieren ("User Account Control: Virtualize file and registry write failures to per-user locations") |
EnableVirtualization | Aktiviert |
Erklärung zu den Einstellungen
Es gibt ein paar Richtlinien, die aufgrund ihrer Bedeutung erklärungsbedürftig sind:
Administratorgenehmigungsmodus für das integrierte Administratorkonto: Gemäß den Best Practices von Microsoft sollte man das integrierte Administratorkonto auf dem Client-Computer nicht aktivieren, sondern ein Standardbenutzerkonto mit UAC zu verwenden. Wenn Sie das integrierte Administratorkonto jedoch nutzen, dann sollte diese Einstellung aktiviert werden.
Bei Eingabeaufforderung nach erhöhten Rechten zum sicheren Desktop wechseln: Wenn diese Einstellung aktiviert ist, läuft der UAC-Prompt in einem geschützten Speicherbereich, auf den nur vertrauenswürdige Systemprozesse zugreifen können. Dadurch wird das Spoofing von Eingaben und Ausgaben durch einen Angreifer unterbunden.
Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer: Sie bietet folgende Einstellungen:
- Anforderungen für erhöhte Rechte automatisch ablehnen: Dies führt zur Meldung "Zugriff verweigert".
- Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop: Damit wird sichergestellt, dass UAC-Prompt auf dem sicheren Desktop angezeigt wird
- Eingabeaufforderung zu Anmeldeinformationen: Bei dieser Einstellung wird die Verwendung der sicheren Desktops nicht erzwungen
UAC-Einstellung in der Security Baseline
Da Kennwörter und Benutzernamen für lokale Konten in vielen Umgebungen häufig wiederverwendet werden und anfällig für Angriffe sind, empfiehlt Microsoft in der Security Baseline, die Einstellung Apply UAC restrictions to local accounts on network logons.
Sie veranlasst die UAC, die Zugriffs-Token zu filtern, wenn lokale Konten für die Netzwerkanmeldung verwendet werden. Damit verhindert sie den Zugriff lokaler Administratorkonten auf Ressourcen wie C$. Diese Einstellung wird über die Registry gesetzt:
- HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
DWORD mit dem Namen LocalAccountTokenFilterPolicy - 0 –Token-Filter ist aktiviert (default)
- 1 – Tokens für privilegierten Zugriff sind erlaubt
Zusammenfassung
Die Benutzerkontensteuerung ist ein Sicherheitsmechanismus, mit dem Anwender das Least-Privilege-Prinzip umsetzen können. Admins können normale Tätigkeiten im Kontext eines Standardbenutzers erledigen und für die Systemverwaltung oder Installation von Software höhere Privilegien anfordern.
Die Authentifizierung mittels PIN und Windows Hello erhöhen den Benutzerkomfort, lassen sich aber leider nicht als Standard vorgeben. Das gilt auch für Gruppenrichtlinien, die in einer Domänenumgebung zahlreiche Möglichkeiten bieten, um das Verhalten der UAC anzupassen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Vorzeitiges CU1, CU12, CU22 für Exchange 2019 / 2016 / 2013 wegen Security, Rollup für Version 2010
- Just-In-Time Administration (JIT) in Windows Server 2016
- Task-Manager ohne UAC-Anmeldedialog starten
- Statt runas: Einzelne Programme als Admin starten mit dem kostenlosen ASAP
- Runas, UAC, Fast User Switching: Als Administrator mit Standardrechten arbeiten
Weitere Links