Der original Blog wurder erstellt von Wolfgang Sommergut von WindowsPro.

Die Benutzerkontensteuerung (User Account Control, UAC) irritierte bei ihrer Einführung mit Vista viele Admins, weil sie die ausdrückliche Genehmigung von allen möglichen Aktionen erzwang. Windows 7 reduzierte die Zahl der als störend empfundenen Prompts und bot feinere Einstellungsmöglichkeiten. Noch genauer als über die Systemsteuerung lässt sich die UAC über Gruppenrichtlinien konfigurieren.

Die Konfiguration der UAC über Systemsteuerung => Wartungscenter => Einstellungen für Benutzerkontensteuerung bewirkt eine systemweite Änderung des Features, unabhängig vom angemeldeten User. Außerdem fasst jede Stufe des Schiebereglers eine ganze Reihe von Einstellungen zusammen, so dass jede Veränderung immer eine bestimmte Kombination von Werten herstellt.

Separate Konfiguration für Admins und Standard-User

Im Gegensatz dazu erlauben lokale Sicherheitsrichtlinien bzw. Gruppenrichtlinien eine feiner abgestufte Konfiguration, die auch zwischen dem eingebauten Administratorkonto, sonstigen Administratoren und Standardbenutzern unterscheidet. So ließe sich die per default für das vorgegebene Administratorkonto deaktivierte UAC einschalten, wenn man aus irgendeinem Grund diesen Account verwenden möchte.

Interessanter dürfte jedoch die Möglichkeit sein, die UAC-Prompts für andere Administratoren zu reduzieren oder zu deaktivieren. Auch wenn es auf der ersten Blick danach aussieht, ist dafür nicht die Einstellung Benutzerkontensteuerung: Alle Administratoren im Administrator­bestätigungs­modus ausführen zuständig.

Vielmehr steuert man damit generell den UAC-Mechanismus, der Administratoren bei der Anmeldung zwei Tokens zuweist, eines mit den Privilegien des Standardbenutzers und das andere mit jenen eines Administrators. Normalerweise arbeitet dann auch ein Admin mit reduzierten Rechten, und wenn höhere Privilegien erforderlich sind, dann kann das System diese über das zweite Token gewähren. Abhängig von den Einstellungen und der ausgeführten Aktion erscheint beim Erhöhen der Privilegien ein UAC-Prompt. Deaktiviert man die genannte Einstellung, dann erhalten Administratoren nur ein Token mit den höchsten Privilegien.

UAC-Prompt für Admins deaktivieren

Während es kaum einen Grund gibt, die UAC komplett zurückzustutzen, kann es aber durchaus sein, dass man für Administratoren die UAC-Prompts abschalten möchte. Dafür ist die Richtlinie Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Lokale Richtlinien => Sicherheitsoptionen => Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administrator­bestätigungs­modus zuständig. Unter den verschiedenen Optionen für die Darstellung des Prompts findet sich das dafür zuständige Erhöhte Rechte ohne Eingabeaufforderung.

Über die Gruppenrichtlinien lässt sich der UAC-Prompt für Administratoren abschalten.

Begreift man den UAC-Prompt als Sicherheitsfunktion, die einem Administrator erlaubt, einem Programm und damit auch einer Malware die erforderliche Erhöhung der Privilegien zu verweigern, bevor sie sich installieren kann, dann sieht man in der Deaktivierung des Prompts ein Risiko. Folgt man allerdings der Argumentation von Windows-Guru Mark Russinovic, dann bietet der UAC-Prompt kaum Schutz gegen Malware, die sich bereits im Kontext des Standardbenutzers Zutritt zum System verschafft hat.

Außerdem seien Schadprogramme auch ohne administrative Privilegien in der Lage, viele ihrer unerwünschten Aktivitäten zu entfalten, etwa automatisch zu starten, wenn sich der Benutzer anmeldet oder seine Daten zu stehlen bzw. zu löschen. Und schließlich sei es einer Malware angesichts der vielen unsignierten Programme möglich, sich erhöhte Privilegien zu erschleichen, weil der Prompt in diesem Fall nur den Dateinamen anzeigt, der die Hochstufung erfordert. Welcher Code sich dahinter wirklich verbirgt und welche DLLs er lade, lasse sich nicht ersehen.

Konfiguration des Prompt für Standardbenutzer

Standardbenutzer erhalten aus naheliegenden Gründen nur einen Token, eine automatische Erhöhung der Privilegien ist nicht möglich, da sie der User gar nicht besitzt. Erfordert eine Software mehr Rechte, dann kann sie diese nur über die Eingabe von Anmeldeinformationen eines privilegierten Kontos erlangen.

Über Gruppenrichtlinien kann man unter steuern, wie das System auf die Anforderung von höheren Rechten reagiert. Zuständig ist dafür die Einstellung Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Lokale Richtlinien => Sicherheitsoptionen => Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer. Zur Auswahl stehen hier eine Eingabeaufforderung auf dem sicheren Desktop oder als normaler Dialog sowie die Möglichkeit, die Anforderung für höhere Rechte automatisch abzulehnen.

Bei der automatischen Ablehnung lässt eine individuell konfigurierbare Meldung anzeigen, die den User über den Vorgang unterrichtet. Wenn Unternehmen das Prinzip des Least Privilege umgesetzt haben und die Benutzer nur mit Standardrechten ausgestattet sind, dann sollte die automatische Abweisung der angefragten Rechteerhöhung zu den wenigsten Missverständnissen und damit auch zu einer geringeren Zahl an Helpdesk-Anfragen führen.