Die Benutzerkontensteuerung (UAC) hilft bei der Zuweisung von Privilegien für administrative Aufgaben. Sie ermöglicht es Benutzern, einzelne Anwendungen mit dem Token eines Administrators auszuführen. Dabei erlaubt Windows auch die Wahl zwischen mehreren Methoden der Authentifizierung. Das UAC-Verhalten lässt sich mit Gruppenrichtlinien steuern.
Microsoft führte mit dem Oktober-Update eine lokale Gruppenrichtlinie ein, die das eingebaute Administrator-Konto gegen Brute-Force-Angriffe schützen soll. Sie ist per Default deaktiviert, aber wenn man künftig einen neuen PC installiert, dann wird sie automatisch aktiviert. Zusätzlich setzt Microsoft auch für diesen Account die Passwortregeln durch.
Trotz Nutzung von diversen Security-Tools nimmt die Zahl der erfolgreichen Angriffe auf Unternehmen zu, unter anderem mit Ransomware. Auch die Sensibilisierung der User für Sicherheitsthemen hat nur bedingten Erfolg. Die Analyse von Anomalien im Netzwerk erlaubt dagegen eine schnelle Reaktion auf Cyber-Attacken.
Die Local Administrator Password Solution (LAPS) soll verhindern, dass Unternehmen auf allen Rechnern das gleiche Kennwort für lokale Admin-Konten verwenden. Microsoft erweitert LAPS in Windows 11 auf DSRM-Konten von DCs, erlaubt die Verschlüsselung von Passwörtern und bietet eigene Kennwortrichtlinien für LAPS.
Die wichtigsten Funktionen von Microsoft Identity Manager (MIM) bestehen in der Synchronisierung von Objekten zwischen dem (Azure) AD und anderen Verzeichnissen. Außerdem umfasst er ein Self-Service-Portal, ein Modul für die Zertifikatsverwaltung und für Privileged Access Management (PAM).
Microsoft verfolgt seit einiger Zeit das Konzept der Privileged Administrative Workstation (PAW). Es handelt sich dabei um eine dedizierte (virtuelle) Maschine, die ausschließlich der Systemverwaltung dient und die durch zahlreiche strikte Vorkehrungen gegen Angriffe geschützt ist. Neue Features wie Device und Credential Guard können eine PAW nur ergänzen.
Wenn ein administratives Konto in die falschen Hände gerät, dann stehen böswilligen Zeitgenossen Tür und Tor für destruktive Aktivitäten offen. Privileged Account Management (PAM) reduziert diese Gefahr, indem es etwa Berechtigungen nur temporär einräumt. Microsoft bietet in Server 2016 mit Just-In-Time Administration (JIT) eine eigene Lösung an.
Gerade genug Administration (Just enough Administration) ist ein Feature in Windows 10 und Server 2016, mit der sich die Systemverwaltung mittels PowerShell fein granular delegieren lässt. Unabhängig von der Gruppenmitgliedschaft eines Benutzers kann seine Remote-Session mit JEA auf bestimmte Cmdlets oder gar einzelne ihrer Parameter eingeschränkt werden.
Seit Windows 8.1 hat der Task-Manager die Angewohnheit, nach dem Start die Eingabe des Passworts oder alternativer Anmeldedaten zu verlangen. Dies gilt auch dann, wenn man ihn gar nicht mit erhöhten Rechten ausführen will. Während es dafür unter Windows 8.1 eine passgenaue Lösung gibt, muss man in Windows 10 Abstriche machen.
Es gehört zu den goldenen Regeln der Systemverwaltung, dass Administratoren nicht permanent mit vollen Privilegien arbeiten sollen. Für normale Tätigkeiten (Mail, Web, Office) reicht die Anmeldung als Standardnutzer. Die erhöhten Rechte bleiben Situationen vorbehalten, in denen sie erforderlich sind. Windows bietet dafür mehrere Optionen.
An die 97 Prozent der kritischen Sicherheitslücken, die 2014 in Software von Microsoft auftraten, wären ungefährlich gewesen, wenn Anwender nicht mit Administrator-Rechten gearbeitet hätten. Das ergab eine Untersuchung der britischen IT-Sicherheitsfirma Avecto. Sie wertete dazu die Dokumente aus, die Microsoft jeweils an den monatlichen "Patch Tuesdays" veröffentlichte. Der Microsoft Vulnerabilities Report 2014 kann nach Angaben von Adressdaten von dieser Web-Seite von Avecto heruntergeladen werden.