(0) exportieren Drucken
Alle erweitern

Verstehen und Konfigurieren der Benutzerkontensteuerung in Windows Vista

Betrifft: Windows Vista

Unternehmen sehen sich heute der abschreckenden Aufgabe gegenüber, die Standardisierung von Desktopcomputern durchzusetzen. Diese Herausforderung gewinnt dadurch zusätzliches Gewicht, dass die Mehrheit der Benutzer auf Ihren Computern als lokale Administratoren arbeiten. Als lokaler Administrator kann ein Benutzer Anwendungen installieren und deinstallieren und nach eigener Entscheidung System- und Sicherheitseinstellungen anpassen. Das hat zur Folge, dass IT-Abteilungen den intakten Zustand und die Sicherheit ihrer Umgebungen häufig nicht umfassend bewerten können. Außerdem kann jede Anwendung, die von diesen Benutzern gestartet wird, möglicherweise den Zugang ihrer Konten auf Administratorebene verwenden, um in Systemdateien und die Registrierung zu schreiben und systemweite Daten zu ändern. Alltägliche Aufgaben, wie das Browsen im Web und das Abrufen von E-Mail-Nachrichten, können in einem solchen Szenario unsicher werden. Außerdem erhöhen sich durch alle diese Elemente die Gesamtbetriebskosten (TCO) einer Organisation.

IT-Abteilungen muss eine Lösung an die Hand gegeben werden, die sowohl widerstandsfähig gegenüber Angriffen ist als auch den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten gewährleistet. Aus diesem Grund hat sich das Microsoft® Windows VistaTM -Entwicklungsteam entschieden, die Zusammenarbeit zwischen der Sicherheitsinfrastruktur des Windows-Kerns und Anwendungen neu zu entwerfen. Benutzerkontensteuerung (User Account Control, UAC) ist das Ergebnis dieses Neuentwurfsprozesses.

Warum UAC?

Die Geschichte des Windows-Administratorkontos

Standardmäßig erstellt der Windows XP-Setup-Assistent bei der ursprünglichen Installation von Microsoft Windows® XP alle Benutzerkonten als lokale Administratoren. Dieser Kontotyp ermöglicht den Benutzern das Installieren, Aktualisieren und Ausführen von Software, da ein Administratorkonto über systemweiten Zugriff verfügt. Wenn der lokalen Administratorgruppe ein Benutzer hinzugefügt wird, wird diesem Benutzer automatisch jedes Windows-Recht erteilt. Ein Recht ist ein Autorisierungsattribut, das sich auf computerweit gültige Richtlinien bezieht. Beispielsweise ermöglicht SeBackupPrivilege Benutzern das Sichern von Dateien und Verzeichnissen. Rechte sollten jedoch nicht mit Berechtigungen verwechselt werden; Berechtigungen beziehen sich auf Objekte, während Rechte nur für Benutzerkonten gelten. Diese Rechte werden im Zugriffstoken eines Benutzers erfasst und verwaltet. Das Zugriffstoken enthält darüber hinaus benutzerspezifische Daten für Autorisierungszwecke; Windows verwendet Zugriffstoken, um nachzuverfolgen, auf welche Ressourcen ein Benutzer zugreifen darf. Jede Windows-Ressource weist eine Zugriffssteuerungsliste (Access Control List, ACL) auf. Dabei handelt es sich um eine Liste, die verzeichnet, welche Benutzer und Dienste über die Berechtigung zum Zugriff auf die Ressource verfügen und über welche Berechtigungsstufe sie verfügen. Das Autorisierungsmodell von Windows verwendet die im Zugriffstoken eines Benutzers enthaltenen Daten, um zu bestimmen, welcher Zugriff dem Benutzer in der ACL einer Ressource erlaubt/verweigert wird.

Administratorbenutzer verfügen automatisch über:

  • Berechtigungen zum Lesen/Schreiben/Ausführen für alle Ressourcen

  • Alle Windows-Rechte

noteHinweis
Windows Vista schützt die Dateien und Ordner in %systemroot% mit Berechtigungen, die für den Windows-Ressourcenschutz (Windows Resource Protection, WRP) entwickelt wurden und die nur dem Systemdienst zugänglich sind. Administratoren können Systemdateien und -ordner lesen, aber nicht in sie schreiben. Beachten Sie, dass dieses Verhalten von früheren Versionen von Windows abweicht.

Es mag zwar selbstverständlich erscheinen, dass nicht alle Benutzer in der Lage sein sollten, beliebige Windows-Ressourcen zu lesen, zu ändern und zu löschen, trotzdem bleibt vielen IT-Abteilungen in Unternehmen keine andere Wahl, als alle ihre Benutzer zu Administratoren zu machen.

Im Folgenden sind einige der Gründe aufgeführt, warum Unternehmen unter Administratorkonten arbeiten:

  • Anwendungsinstallation (Mitglieder der Gruppe Benutzer können keine Anwendungen installieren oder deinstallieren): Viele Unternehmen verfügen nicht über zentralisierte Methoden zum Bereitstellen von Anwendungen für ihre Benutzer, wie etwa Microsoft Systems Management Server® (SMS), Gruppenrichtlinien-Softwareinstallation (Group Policy Software Installation, GPSI) oder eine andere ähnliche Technologie zur Anwendungsbereitstellung. Unternehmen, die Technologien zur Softwarebereitstellung verwenden, ermöglichen Benutzern wegen der vielen Ad-Hoc-Anwendungsinstallationen für spezialisierte Anwendungen für bestimmte Abteilungen (z. B. eine benutzerdefinierte Tabellenkalkulationsanwendung für die Marketingabteilung) das Arbeiten als Administrator.

  • Benutzerdefinierte Webanwendungen (ActiveX-Steuerelemente): Parallel zum Wachstum der Gemeinde der unabhängigen Softwarehersteller (Independent Software Vendors, ISVs) entscheiden sich viele Unternehmen, für ihre spezifischen Geschäftsanforderungen benutzerdefinierte Anwendungen entwickeln zu lassen. Viele dieser benutzerdefinierten Anwendungen umfassen ein Webbrowser-Front-End, für das die Installation eines ActiveX-Steuerelements erforderlich ist. Da es sich bei ActiveX-Steuerelementen um Programmdateien handelt, die Schadsoftware enthalten können, hindert Windows Mitglieder der Gruppe Benutzer an ihrer Installation.

  • Wahrgenommene geringere TCO (verringerte Anrufe beim Helpdesk gegenüber verringerter Angriffsfläche): Viele Unternehmen glauben, dass sich durch ihre Erlaubnis an die Benutzer, eigene Anwendungen zu installieren, die Anzahl der Anrufe und die Kosten für Anrufe beim Helpdesk einschränken lassen. Unglücklicherweise wird durch das Ausführen von Unternehmens-Arbeitsstationen als Administrator zugleich auch das Netzwerk anfällig für „Schadsoftware“ – der übergreifende Ausdruck für alle Schäden verursachende Software, einschließlich Viren, Trojanische Pferde, Spyware und ein Teil der Adware. Schadsoftware kann den Zugriff eines lokalen Administrators auf der Systemebene nutzen, um Dateien zu beschädigen, Systemkonfigurationen zu ändern und sogar vertrauliche Daten außerhalb des Netzwerks zu übertragen.

Sicherzustellen, dass alle Benutzer als Standardbenutzer ausgeführt werden, ist die wichtigste Maßnahme, um den Einfluss von Schadsoftware einzuschränken. Ein Standardbenutzerkonto ist ein Benutzerkonto, das die kleinste Menge von Benutzerrechten und -berechtigungen umfasst, die für das Ausführen der klassischen Desktopaufgaben erforderlich ist. Während jedoch standardmäßig ein Standardbenutzerkonto in Windows XP vorhanden ist, umfassen viele Routineaufgaben, wie das Ändern der Windows-Zeitzone und das Installieren eines Druckers, Administratorrechte beim Benutzer. Für viele Anwendungen müssen außerdem die Benutzer standardmäßig als Administratoren eingerichtet sein, weil sie vor der Ausführung die Mitgliedschaft bei der Administratorgruppe überprüfen. Für Windows 95 und Windows 98 bestand kein Modell für die Benutzersicherheit. Daher entwickelten Anwendungsentwickler ihre Anwendungen in der Annahme, dass sie unter einem Administratorkonto installiert und ausgeführt werden würden. Ein Modell für Benutzersicherheit wurde für Windows NT erstellt, jedoch wurden alle Benutzer standardmäßig als Administratoren erstellt. Darüber hinaus muss ein Standardbenutzer auf einem Windows XP-Computer Ausführen als verwenden oder sich mit einem Administratorkonto anmelden, um Anwendungen zu installieren und andere Verwaltungsaufgaben auszuführen.

Bis zur Entwicklung von Windows Vista existierte für Benutzer keine eingebaute Methode innerhalb des Windows-Betriebssystems, sich im laufenden Betrieb von einem Standardbenutzerkonto zu einem Administratorkonto „heraufzustufen“, ohne sich abzumelden, den Benutzer zu wechseln oder Ausführen als zu verwenden. Das hat zur Folge, dass die meisten Personen auch weiterhin als Administrator im Web surfen und E-Mails lesen.

Verringern der Gesamtbetriebskosten

Da UAC den Benutzern auf einfache Weise die Ausführung als Standardbenutzer ermöglicht, können IT-Abteilungen mehr Vertrauen in die Integrität ihrer Umgebungen haben, einschließlich Systemdateien, Überwachungsprotokollen und systemweiten Einstellungen. Darüber hinaus entsteht für Administratoren nicht länger hoher Zeitaufwand durch das Autorisieren von Aufgaben auf einzelnen Computern. Dies spart dem IT-Team Zeit, die in die allgemeine Systemwartung investiert werden kann, wodurch sich die Gesamtbetriebskosten für die Unternehmenssoftware-Plattform einer Organisation verringern. Ferner erhalten die IT-Administratoren bessere Kontrolle über die Softwarelizenzierung, weil sie sicherstellen können, dass nur autorisierte Anwendungen installiert werden. Dies hat zur Folge, dass sie sich nicht mehr wegen nicht lizenzierter oder Schäden verursachender Software sorgen müssen, die ihr Netzwerk bedroht, Systemausfallzeiten und Datenverluste verursacht oder Haftung für Lizenzverletzungen nach sich zieht.

Die Arbeitsweise von UAC

Als Antwort auf die Herausforderungen, denen sich Kunden bei der Verwendung ihres Computers als Standardbenutzer gegenüber sehen, hat Microsoft untersucht, wie die Arbeit als Standardbenutzer für alle Beteiligten einfacher gestaltet werden kann.

Das Entwicklungsteam von Microsoft Windows Vista hat einen doppelten Ansatz verfolgt:

  1. Die Zusammenarbeit mit Microsoft-Softwareentwicklern und Softwareentwicklern von Drittanbietern, um unnötige Anforderungen für übertriebenen Zugriff auf Windows-Ressourcen auf Administratorebene zu vermeiden.

  2. Die Weise, in der von Standardbenutzern ausgeführte Anwendungen mit dem Betriebssystem zusammenwirken, durch Aktivieren von Sicherheitsrichtlinien zur Zugriffssteuerung grundlegend zu ändern.

UAC stellt einen bedeutenden Schwerpunkt von Windows Vista dar und bildet eine grundlegende Komponente des Gesamtkonzepts für Sicherheit von Microsoft.

Verfeinern von Benutzermodi

In Windows Vista bestehen zwei Arten von Benutzerkonten: Standardbenutzerkonten und Administratorkonten. Standardbenutzer sind gleichbedeutend mit den Standardbenutzerkonten in früheren Versionen von Windows. Standardbenutzer weisen eingeschränkte Verwaltungsrechte und Benutzerrechte auf – sie können keine Anwendungen mit %systemroot% als Installationsziel installieren oder deinstallieren, Systemeinstellungen ändern oder andere Verwaltungsaufgaben ausführen. Standardbenutzer können diese Aufgaben jedoch ausführen, wenn sie in der Lage sind, auf Aufforderung gültige Administratorberechtigungen einzugeben. Mit aktiviertem UAC werden Mitglieder der lokalen Administratorgruppe mit dem gleichen Zugriffstoken wie Standardbenutzer ausgeführt. Nur wenn ein Mitglied der lokalen Administratorgruppe seine Genehmigung erteilt, kann ein Prozess das Vollzugriffstoken des Administrators verwenden. Dieser Prozess stellt die Grundlage des Prinzips des Administratorbestätigungsmodus dar.

In der folgenden Tabelle sind einige der Aufgaben, die ein Benutzer ausführen kann, detailliert beschrieben und aufgeführt, für welche dieser Aufgaben die Anhebung auf ein Administratorkonto erforderlich ist.

 

Standardbenutzer Administratoren

Einrichten einer LAN-Verbindung

Installieren und Deinstallieren von Anwendungen

Einrichten und Konfigurieren einer Drahtlosverbindung

Installieren eines Treibers für ein Gerät (z. B. eines Digitalkameratreibers)

Ändern der Anzeigeeinstellungen

Installieren von Windows-Updates

Benutzer können die Festplatte nicht defragmentieren, aber ein Dienst erledigt das in ihrem Auftrag

Konfigurieren von Jugendschutzeinstellungen

Wiedergeben von CD/DVD-Medien (über Gruppenrichtlinien konfigurierbar)

Installieren eines ActiveX-Steuerelements

Brennen von CD/DVD-Medien (über Gruppenrichtlinien konfigurierbar)

Öffnen von "Windows-Firewall" in der Systemsteuerung

Ändern des Desktophintergrunds für den aktuellen Benutzer

Ändern des Kontotyps eines Benutzers

Öffnen der Datums-/Uhrzeiteinstellung in der Systemsteuerung und Ändern der Zeitzone

Ändern der UAC-Einstellungen im Editor-Snap-In für Sicherheitsrichtlinien (secpol.msc)

Verwenden von Remotedesktop zum Herstellen einer Verbindung mit einem anderen Computer

Konfigurieren des Remotedesktopzugriffs

Ändern des eigenen Kontokennworts des Benutzers

Hinzufügen oder Entfernen eines Benutzerkontos

Konfigurieren von Akkuleistungsoptionen

Kopieren oder Verschieben von Dateien in das Verzeichnis Programme oder Windows

Konfigurieren von Eingabehilfen

Planen von automatischen Aufgaben

Wiederherstellen der gesicherten Dateien des Benutzers

Wiederherstellen von gesicherten Systemdateien

Einrichten der Computersynchronisation mit einem mobilen Gerät (Smartphone, Laptop oder PDA)

Konfigurieren der automatischen Updates

Anschließen und Konfigurieren eines Bluetoothgeräts

Wechseln in das Verzeichnis eines anderen Benutzers

Migrieren aus der Gruppe Hauptbenutzer

Die Gruppe Hauptbenutzer in Windows XP war dafür vorgesehen, Mitgliedern der Gruppe das Ausführen von Systemaufgaben zu ermöglichen, wie etwa das Installieren von Anwendungen, ohne vollständige Administratorberechtigungen zu erteilen. Hauptbenutzer verfügten außerdem über Schreibzugriff auf Bereiche des Dateisystems und der Registrierung, die normalerweise nur Administratorzugriff erlauben. Hauptbenutzer aktivierten eine Stufe der Anwendungskompatibilität; leider blieb damit jedoch ein grundlegendes Problem ungelöst: Anwendungen, die nicht erforderliche Rechte und Benutzerrechte erforderten. UAC führt die Gruppe Hauptbenutzer nicht weiter, und die Berechtigungen, die der Gruppe Hauptbenutzer in Windows XP erteilt wurden, wurden aus Windows Vista entfernt. UAC ermöglicht Standardbenutzern das Ausführen aller gängigen Konfigurationsaufgaben. Die Gruppe Hauptbenutzer steht jedoch aus Gründen der Abwärtskompatibilität mit anderen Windows-Versionen noch zur Verfügung. Zum Verwenden der Gruppe Hauptbenutzer in Windows Vista muss eine neue Sicherheitsvorlage angewendet werden, um die Standardberechtigungen für Systemordner und die Registrierung so zu ändern, dass der Gruppe Hauptbenutzer gleichwertige Berechtigungen wie in Windows XP erteilt werden.

Administratorbestätigungsmodus

Das Aktivieren des Administratorbestätigungsmodus für ein Administratorkonto macht das Ausführen von Verwaltungsaufgaben für einen Benutzer sicherer, indem ein Unterschied zwischen einer Standardbenutzeraufgabe und einer Administratoraufgabe eingeführt wird. Beispielsweise sollten Änderungen an der Systemregistrierung immer eine Administratoraufgabe, Surfen im Internet jedoch immer eine Standardbenutzeraufgabe sein Durch das UAC-Zugriffstokenmodell wird diese Unterscheidung sogar noch klarer. Im Administratorbestätigungsmodus wird ein Administratorkonto von der Anwendung oder Komponente, die die Berechtigung zum Verwenden des Administrator-Vollzugriffstokens des Benutzers anfordert, um Zustimmung gebeten.

UAC-Architektur

Während der Anmeldeprozess in Windows Vista von Außen genauso erscheint wie in Windows XP, haben sich die internen Mechanismen erheblich geändert. Die folgende Abbildung zeigt im Detail, wie sich der Anmeldeprozess für einen Administrator vom Anmeldeprozess für einen Standardbenutzer unterscheidet.

UAC logon process

Wenn sich ein Administrator anmeldet, werden dem Benutzer zwei Zugriffstoken erteilt: ein vollständiges Administratorzugriffstoken und ein "gefiltertes" Zugriffstoken für Standardbenutzer. Wenn sich ein Mitglied der lokalen Administratorgruppe anmeldet, werden standardmäßig die Windows-Administratorrechte deaktiviert und die erhöhten Benutzerrechte entfernt, wodurch sich ein Standardbenutzer-Zugriffstoken ergibt. Das Standardbenutzer-Zugriffstoken wird dann zum Starten des Desktops (Explorer.exe) verwendet. Explorer.exe ist der übergeordnete Prozess, von dem alle durch Benutzer eingeleiteten Prozesse ihre Zugriffstoken erben. Das hat zur Folge, dass alle Anwendungen standardmäßig als Standardbenutzer ausgeführt werden, sofern eine Benutzer nicht seine Zustimmung erteilt oder seine Anmeldeinformationen verwendet, um einer Anwendung die Verwendung eines Zugriffstokens für den vollen Administratorzugriff zu erlauben. Im Gegensatz zu diesem Vorgang wird nur ein Standardbenutzer-Zugriffstoken erstellt, wenn sich ein Standardbenutzer anmeldet. Dieses Standardbenutzer-Zugriffstoken wird dann zum Starten des Desktops verwendet.

Ein Benutzer, der Mitglied der Administratorgruppe ist, kann sich jetzt anmelden, im Web surfen und seine E-Mails lesen und dazu ein Standardbenutzer-Zugriffstoken verwenden. Wenn der Administrator eine Aufgabe ausführen muss, die das Administrator-Zugriffstoken erfordert, fordert Windows Vista automatisch eine Genehmigung beim Benutzer an. Diese Aufforderung wird als Anhebungsaufforderung bezeichnet, und ihr Verhalten kann im Editor-Snap-In für Sicherheitsrichtlinien (secpol.msc) sowie mit Gruppenrichtlinien konfiguriert werden. Informationen über das Anpassen der UAC-Gruppenrichtlinieneinstellungen finden Sie im Abschnitt "Konfigurieren von UAC-Einstellungen" in diesem Dokument.

noteHinweis
Der Ausdruck "anheben" wird durchgängig in diesem Dokument verwendet und bezeichnet den Vorgang, dass Windows Vista den Benutzer zur Erteilung seiner Zustimmung oder zur Eingabe seiner Anmeldeinformationen auffordert, um das Administrator-Vollzugriffstoken eines Benutzers zu verwenden.

Jede Anwendung, die das Zugriffstoken des Administrators benötigt, muss den Administrator um Zustimmung bitten. Die eine Ausnahme ist die Beziehung, die zwischen über- und untergeordneten Prozessen besteht. Untergeordnete Prozesse erben das Zugriffstoken des Benutzers von ihren übergeordneten Prozessen. Sowohl über- als auch untergeordneter Prozess müssen jedoch die gleiche Integritätsebene aufweisen.

Windows Vista schützt Prozesse, indem es sie mit Integritätsebenen markiert. Integritätsebenen sind Maßeinheiten für Vertrauensstellungen. Eine Anwendung mit „hoher“ Integrität führt Aufgaben aus, die Systemdaten ändern, wie etwa eine Anwendung zur Festplattenpartitionierung, während eine Anwendung mit „niedriger“ Integrität Aufgaben ausführt, die das Betriebssystem möglicherweise beschädigen können, wie etwa ein Webbrowser. Windows Vista hindert Anwendungen mit niedrigeren Integritätsebenen daran, Daten in Anwendungen mit hohen Integritätsebenen zu ändern.

Wenn ein Standardbenutzer versucht, eine Anwendung auszuführen, die ein Administratorzugriffstoken erfordert, verlangt UAC, dass der Benutzer gültige Administratoranmeldeinformationen eingibt. Der Abschnitt "UAC-Benutzererfahrung" in diesem Dokument behandelt diesen Vorgang im Detail.

Im folgenden Diagramm ist die UAC-Architektur ausführlich dargestellt.

UAC architecture

Anwendungsinformationsdienst

Der Anwendungsinformationsdienst (Application Information Service, AIS) ist ein SYSTEM-Dienst, der das Starten von Anwendungen vereinfacht, die für die Ausführung mindestens ein angehobenes Recht oder Benutzerrecht verlangen, wie etwa Verwaltungsaufgaben, sowie Anwendungen, die höhere Integritätsebenen benötigen. AIS erleichtert das Starten derartiger Anwendungen durch Erstellen eines neuen Prozesses für die Anwendung mit einem Vollzugriffstoken eines Administratorbenutzers, wenn die Anhebung erforderlich ist und (abhängig von der Gruppenrichtlinie) die Zustimmung für die Anhebung vom Benutzer erteilt wird. Dieser Dienst wird mit Windows Vista neu eingeführt.

Virtualisierung

Da die Unternehmensumgebung schon lange ein Ort gewesen ist, den Systemadministratoren für Systemzugriffe zu sperren versucht haben, sind Geschäftsbereichsanwendungen (Line-Of-Business, LOB) so ausgelegt, dass sie keinen Vollzugriff mittels Administratortoken benötigen. Das hat zur Folge, dass IT-Administratoren die Mehrzahl der für frühere Versionen als Windows Vista entwickelten Anwendungen bei der Ausführung in Windows Vista mit aktivierter UAC nicht ersetzen müssen.

Windows Vista umfasst Virtualisierungstechnologie auf Datei- und Registrierungsebene für Anwendungen, die nicht UAC-konform sind und in der Vergangenheit für die ordnungsgemäße Ausführung ein Administratorzugriffstoken benötigt haben. Virtualisierung stellt sicher, dass auch Anwendungen, die nicht UAC-konform sind, zu Windows Vista kompatibel sind. Wenn eine nicht UAC-konforme Verwaltungsanwendung versucht, in ein geschütztes Verzeichnis zu schreiben, wie etwa Programme, teilt UAC der Anwendung eine eigene virtualisierte Ansicht der zu ändernden Ressource zu und verwendet dazu eine Kopie-bei-Schreibvorgang-Strategie. Die virtualisierte Kopie wird unter dem Benutzerprofil verwaltet. Im Ergebnis wird für jeden Benutzer, der die nicht konforme Anwendung ausführt, eine separate Kopie der virtualisierten Datei erstellt.

Die Virtualisierungstechnologie stellt sicher, dass nicht-konforme Anwendungen nicht ohne Rückmeldung die Ausführung verweigern oder ihre Ausführung in einer nicht vorhersehbaren Weise fehlschlägt. UAC stellt darüber hinaus Datei- und Registrierungsvirtualisierung für Anwendungen vor Windows Vista zur Verfügung, die in geschützte Bereiche schreiben.

noteHinweis
Virtualisierung bezieht sich nicht auf Anwendungen, die angehoben und mit einem Administratortoken mit Vollzugriff ausgeführt werden.

Die meisten Anwendungsaufgaben werden mithilfe von Virtualisierungsfeatures ordnungsgemäß ausgeführt. Obwohl Virtualisierung die Ausführung der überwiegenden Mehrheit von Anwendungen für frühere Windows-Versionen als Windows Vista ermöglicht, stellt sie nur eine kurzfristige Umgehung und nicht um eine dauerhafte Lösung dar. Anwendungsentwickler sollten ihre Anwendungen so bald wie möglich so ändern, dass sie zum Windows Vista-Logoprogramm konform sind, anstatt sich auf die Virtualisierung von Dateien, Ordnern und der Registrierung zu verlassen.

Hilfestellung zu den Maßnahmen, die ISVs ergreifen können, um ihre Anwendungen für UAC-Konformität zu entwickeln, steht im Dokument Windows Vista Development Requirements for User Account Control Compatibility (englischsprachig) zur Verfügung.

noteHinweis
Virtualisierung wird für native 64-Bit-Windows-Anwendungen nicht unterstützt. Von diesen Anwendungen wird UAC-Konformität und das Schreiben von Daten an die richtigen Speicherorte verlangt.

noteHinweis
Virtualisierung ist für eine Anwendung deaktiviert, wenn ein Programm ein Anwendungsmanifest mit einem Attribut für die angeforderte Ausführungsebene umfasst.

Angeforderte Ausführungsebenen

In Windows Vista enthält das Anwendungsmanifest, eine XML-Datei, die freigegebene und private Seite-an-Seite-Assemblys beschreibt und identifiziert, an die die Anwendung während der Laufzeit anbinden soll, jetzt Einträge für Zwecke der UAC-Anwendungskompatibilität. Verwaltungsanwendungen, die einen Eintrag im Anwendungsmanifest enthalten, fordern den Benutzer zur Eingabe der Berechtigung für den Zugriff auf das Zugriffstoken des Benutzers auf. Die meisten Verwaltungsanwendungen vor Windows Vista können jedoch problemlos ohne Änderung ausgeführt werden, obwohl ihnen ein Eintrag im Anwendungsmanifest fehlt, indem sie Umgehungen für die Anwendungskompatibilität verwenden. Umgehungen zur Anwendungskompatibilität sind Datenbankeinträge, die nicht UAC-konformen Anwendungen die ordnungsgemäße Zusammenarbeit mit Windows Vista ermöglichen.

Alle UAC-konformen Anwendungen sollten über eine angeforderte Ausführungsebene im Anwendungsmanifest verfügen. Wenn die Anwendung Verwaltungszugriff auf das System erfordert, stellt das Markieren der Anwendung mit einer angeforderten Ausführungsebene von „require administrator“ (Administrator vorschreiben) sicher, dass das System dieses Programm als Verwaltungsanwendung erkennt und die erforderlichen Anhebungsschritte ausführt. Mithilfe angeforderter Ausführungsebenen kann das System die spezifischen Rechte erkennen, die für eine Anwendung erforderlich sind. Wenn eine vorhandene Anwendung Verwaltungszugriff erfordert, um ordnungsgemäß in Windows Vista ausgeführt zu werden, lesen Sie den Abschnitt "Konfigurieren von Anwendungen vor Windows Vista für Kompatibliltät mit UAC" in diesem Dokument.

Installationsprogrammerkennungs-Technologie

Installationsprogramme sind Anwendungen, die für das Bereitstellen von Software entwickelt wurden, und die meisten schreiben in Systemverzeichnisse und Registrierungsschlüssel. Diese geschützten Systemspeicherorte können normalerweise nur von Administratorbenutzern beschrieben werden, das bedeutet, dass Standardbenutzer keinen ausreichenden Zugriff zum Installieren von Programmen haben. Windows Vista erkennt Installationsprogramme heuristisch und fordert Administratoranmeldeinformationen oder eine Genehmigung vom Administratorbenutzer an, um mit Zugriffsrechten ausgeführt zu werden. Windows Vista erkennt auch Updater- und Deinstallationsprogramme heuristisch. Beachten Sie, dass ein Entwicklungsziel von UAC darin bestand, die Ausführung von Installationen ohne Wissen und Einverständnis des Benutzers zu verhindern, weil sie in geschützte Bereiche von Dateisystem und Registrierung schreiben.

Die Installationsprogrammerkennung bezieht sich lediglich auf:

1. 32-Bit-Programmdateien

2. Anwendungen ohne requestedExecutionLevel

3. Interaktive Prozesse, die als Standardbenutzer mit aktiviertem LUA ausgeführt werden

Bevor ein 32-Bit-Prozess erstellt wird, werden die folgenden Attribute überprüft, um festzustellen, ob es sich um ein Installationsprogramm handelt:

  • Der Dateiname enthält Schlüsselwörter wie "install", "setup", "update", usw.

  • Schlüsselwörter in den folgenden Versionsinformationsfeldern der Ressource: Hersteller, Firmenname, Produktname, Dateibeschreibung, Originaldateiname, interner Name und Exportname.

  • Schlüsselwörter im Seite-an-Seite-Manifest, das in die Programmdatei eingebettet ist.

  • Schlüsselwörter in spezifischen StringTable-Einträgen, in die Programmdatei gelinkt sind.

  • Schlüsselattribute in den in die Programmdatei eingelinkten RC-Daten.

  • Angezielte Bytesequenzen in der Programmdatei.

noteHinweis
Die Schlüsselwörter und Bytesequenzen wurden aus allgemeinen Merkmalen abgeleitet, die bei verschiedenen Installertechnologien beobachtet wurden.

Stellen Sie sicher, dass Sie dieses Dokument zur Gänze sorgfältig durchlesen, einschließlich des Abschnitts "Schritt 5: Erstellen und Einbetten eines Anwendungsmanifests in Ihrer Anwendung".

noteHinweis
Die Einstellung Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern muss aktiviert sein, damit die Installationsprogrammerkennung Installationsprogramme erkennen kann. Diese Einstellung ist standardmäßig aktiviert und kann mit dem Sicherheitsrichtlinien-Manager-Snap-In (secpol.msc) oder mit Gruppenrichtlinien (gpedit.msc) konfiguriert werden.

Allgemeine Informationen und eine Übersicht zum Microsoft Windows Installer finden Sie auf MSDN (http://go.microsoft.com/fwlink/?LinkId=30197).

Änderungen an der Kernfunktionalität

Die folgenden Updates stellen eine Reaktion auf die kumulativen Änderungen der Kernfunktionalität dar, die in Windows Vista vorgenommen wurden.

UAC ist standardmäßig aktiviert

Das hat zur Folge, dass einige Kompatibilitätsprobleme mit verschiedenen Anwendungen auftreten können, die noch nicht für die UAC-Komponenten von Windows Vista aktualisiert wurden. Wenn eine Anwendung ein Administratorzugriffstoken erfordert (dies weist auf einen Fehler "Zugriff verweigert" beim Versuch, die Anwendung auszuführen, hin), können Sie das Programm mithilfe der Option Als Administrator ausführen im Kontextmenü (Klick mit der rechten Maustaste) als Administrator ausführen. Wie dies erfolgt, ist weiter unten in diesem Dokument im Abschnitt "Ausführen von Programmen als Administrator" dokumentiert.

Alle nachfolgenden Benutzerkonten werden als Standardbenutzer erstellt

Sowohl Standardbenutzerkonten als auch Administratorbenutzerkonten können die erweiterte UAC-Sicherheit nutzen. Bei neuen Installationen wird das erste Benutzerkonto standardmäßig als lokaler Administrator im Administratorbestätigungsmodus (UAC-aktiviert) erstellt. Alle nachfolgenden Konten werden anschließend als Standardbenutzer erstellt.

Das eingebaute Administratorkonto ist in neuen Installationen standardmäßig deaktiviert

In Windows Vista ist das integrierte Administratorkonto standardmäßig deaktiviert. Wenn Windows Vista während eines Upgrades von Windows XP bestimmt, dass der eingebaute Administrator das einzige aktive lokale Administratorkonto ist, lässt Windows Vista das Konto aktiviert und versetzt es in den Administratorbestätigungsmodus. Standardmäßig kann sich das eingebaute Administratorkonto nicht im abgesicherten Modus beim Computer anmelden. Weitere Informationen finden Sie in den folgenden Abschnitten:

Ohne Domänenbeitritt

Wenn mindestens ein aktiviertes lokales Administratorkonto vorhanden ist, erlaubt der abgesicherte Modus keine Anmeldung mit dem deaktivierten eingebauten Administratorkonto. Stattdessen kann jedes lokale Administratorkonto für die Anmeldung verwendet werden. Wenn das letzte lokale Administratorkonto versehentlich herabgestuft, deaktiviert oder gelöscht wird, erlaubt der abgesicherte Modus die Anmeldung mit dem deaktivierten eingebauten Administratorkonto für die Notfallwiederherstellung.

Mit Domänenbeitritt

Das deaktivierte eingebaute Administratorkonto kann sich in allen Fällen nicht im abgesicherten Modus anmelden. Ein Benutzerkonto, das ein Mitglied der Gruppe Domänenadministratoren ist, kann sich beim Computer anmelden, um einen lokalen Administrator zu erstellen, falls keiner vorhanden ist.

ImportantWichtig
Wenn noch nie eine Anmeldung mit dem Domänenverwaltungskonto durchgeführt wurde, müssen Sie den Computer im abgesicherten Modus mit Netzwerkunterstützung starten, da die Anmeldeinformationen nicht zwischengespeichert wurden.

noteHinweis
Sobald der Beitritt des Computers zur Domäne aufgehoben wurde, fällt er in das Verhalten für Computer ohne Domänenbeitritt zurück, das zuvor beschrieben wurde.

Anhebungsaufforderungen werden standardmäßig auf dem sicheren Desktop angezeigt

Die Zustimmungs- und Anmeldeinformationsaufforderungen werden in Windows Vista standardmäßig auf dem sicheren Desktop angezeigt.

Neue UAC-Sicherheitseinstellungen und Namensänderungen für Sicherheitseinstellungen

Der Abschnitt "Konfigurieren von UAC-Einstellungen" dieses Dokuments führt die UAC-Sicherheitsrichtlinien detailliert auf.

Standardbenutzeranalyse

Zum Testen auf Anwendungskompatibilität mit UAC können IT-Administratoren und Anwendungsentwickler die Standardbenutzeranalyse verwenden. Dieses Tool produziert ein Protokoll der angehobenen Operationen einer Anwendung, die normalerweise bei der Ausführung als Standardbenutzer fehlschlagen würden – so steht ein Fahrplan für das Anpassen dieser Aufgaben und das Erreichen von UAC-Konformität zur Verfügung. Darüber hinaus kann die Einstellung Prozessverfolgung überwachen von Windows Vista verwendet werden, um zu bestimmen, welche Anwendungen nicht als Standardbenutzer in einer Unternehmensumgebung ausgeführt werden. Um sicherzustellen, dass die Windows-Benutzererfahrung durch UAC nicht beeinträchtigt wird, empfiehlt Microsoft das Testen aller Komponenten und Anwendungen mit diesen Tools. Der Abschnitt "Konfigurieren von Anwendungen vor Windows Vista für Kompatibliltät mit UAC" in diesem Dokument enthält weitere Informationen zu diesen Tools, einschließlich Konfigurationsinformationen und -prozeduren.

UAC-Benutzererfahrung

Die Benutzererfahrung unterscheidet sich für Standardbenutzer und Administratoren im Administratorbestätigungsmodus, wenn UAC aktiviert ist. In den folgenden Abschnitten werden diese Unterschiede im Detail ausgeführt und das Konzept der UAC-Benutzeroberfläche erläutert.

Die empfohlene, sicherere Methode des Ausführens von Windows Vista besteht im Konfigurieren des primären Benutzerkontos als Standardbenutzerkonto. Das Ausführen als Standardbenutzer ist außerdem eine Anforderung beim Maximieren der Sicherheit in einer verwalteten Umgebung. Mit der eingebauten UAC-Anhebungskomponente können Standardbenutzer auf einfache Weise eine Verwaltungsaufgabe ausführen, indem sie gültige Anmeldeinformationen für ein lokales Administratorkonto eingeben. Die standardmäßige, eingebaute UAC-Anhebungskomponente für Standardbenutzer wird als Administratoranmeldeaufforderung bezeichnet.

Die Alternative zur Ausführung als Standardbenutzer ist die Ausführung als Administrator im Administratorbestätigungsmodus. Mit der eingebauten UAC-Anhebungskomponente können Mitglieder der lokalen Administratorgruppe auf einfache Weise eine Verwaltungsaufgabe ausführen, indem sie ihre Genehmigung erteilten. Die standardmäßige, eingebaute UAC-Anhebungskomponente für ein Administratorkonto im Administratorbestätigungsmodus wird als Zustimmungsaufforderung bezeichnet. Das Anhebungsaufforderungsverhalten von UAC kann mit dem lokalen Snap-In des Sicherheitsrichtlinien-Editors ("secpol.msc") und mit Gruppenrichtlinien konfiguriert werden. Im Abschnitt "Verwalten von UAC mit dem lokalen Sicherheitsrichtlinien-Editor und Gruppenrichtlinien" dieses Dokuments werden die UAC-Sicherheitseinstellungen und ihre Werte detailliert erläutert.

Zustimmungsaufforderung und Administratoranmeldeaufforderung

Mit aktivierter UAC fordert Windows Vista entweder zum Erteilen von Zustimmung oder zur Eingabe von Anmeldeinformationen für ein gültiges Administratorkonto auf, bevor ein Programm oder eine Aufgabe gestartet wird, für das oder die ein Administrator-Vollzugriffstoken erforderlich ist. Mit dieser Aufforderung wird sichergestellt, dass keine böswillige Anwendung unbemerkt Installationen ausführen kann.

Die Zustimmungsaufforderung

Die Zustimmungsaufforderung wird angezeigt, wenn ein Benutzer versucht, eine Aufgabe auszuführen, die das Administratorzugriffstoken eines Benutzers erfordert. Die folgende Abbildung stellt einen Screenshot der Zustimmungsaufforderung der Benutzerkontensteuerung dar.

Consent prompt

Das folgende Beispiel zeigt, wie die Zustimmung erfolgt, bevor ein Verwaltungsvorgang ausgeführt wird.

So zeigen Sie die Zustimmungsaufforderung an
  1. Melden Sie sich mit einem Administratorkonto im Administratorbestätigungsmodus bei einem Computer mit Windows Vista an.

  2. Klicken Sie auf Start, klicken Sie mit der rechten Maustaste auf Arbeitsplatz, und wählen Sie dann im Menü Verwalten aus.

  3. Klicken Sie an der Zustimmungsaufforderung der Benutzerkontensteuerung auf Fortsetzen.

Die Administratoranmeldeaufforderung

Die Administratoranmeldeaufforderung wird angezeigt, wenn ein Standardbenutzer versucht, eine Aufgabe auszuführen, die das Administratorzugriffstoken eines Benutzers erfordert. Dieses standardmäßige Aufforderungsverhalten für Standardbenutzer kann mit dem Snap-In des Sicherheitsrichtlinien-Editors (secpol.msc) und mit Gruppenrichtlinien konfiguriert werden. Für Administratoren kann die Angabe der Anmeldeinformationen ebenfalls vorgeschrieben werden, indem der Wert von Benutzerkontensteuerung: Verhalten der Benutzeraufforderung mit erhöhten Rechten für Administratoren im Administratorbestätigungsmodus auf Zur Angabe der Anmeldeinformationen auffordern festgelegt wird.

Der folgende Screenshot stellt ein Beispiel der Administratoranmeldeaufforderung der Benutzerkontensteuerung dar.

Credential prompt

Im folgenden Beispiel wird verdeutlicht, wie ein Standardbenutzer zur Eingabe der Anmeldeinformationen aufgefordert wird, wenn er oder sie eine Verwaltungsaufgabe auszuführen versucht.

So zeigen Sie die Administratoranmeldeaufforderung an
  1. Melden Sie sich mit einem Standardbenutzerkonto bei einem Windows Vista-Computer an.

  2. Klicken Sie auf Start, klicken Sie mit der rechten Maustaste auf Arbeitsplatz, und wählen Sie dann im Menü Verwalten aus.

  3. Klicken Sie in der Administratoranmeldeaufforderung der Benutzerkontensteuerung auf den Benutzernamen des entsprechenden Administrators, geben Sie das Kennwort für dieses Benutzerkonto ein, und klicken Sie dann auf Übermitteln.

Anhebungsaufforderungen mit Anwendungserkennung

Die UAC-Anhebungsaufforderungen sind farbkodiert und damit anwendungsspezifisch, was die sofortige Identifikation des potenziellen Sicherheitsrisikos einer Anwendung ermöglicht. Wenn eine Anwendung die Ausführung mit dem Vollzugriffstoken eines Administrators versucht, analysiert Windows Vista zuerst die Programmdatei, um ihren Herausgeber zu bestimmen. Anwendungen werden zuerst auf der Grundlage des Herausgebers ihrer Programmdatei in drei Kategorien aufgeteilt: Windows Vista, vom Herausgeber geprüft (signiert) und nicht vom Herausgeber geprüft (nicht signiert). Im folgenden Diagramm wird veranschaulicht, wie Windows Vista bestimmt, welche Farbmarkierung für Anhebungsaufforderungen dem Benutzer angezeigt wird. Die folgenden Abbildung zeigt detailliert die Logik der Anhebungsaufforderung für die entsprechenden Vertrauensstufen.

Application aware elevation prompts

Im Folgenden ist die farbige Codierung der Anhebungsaufforderungen im Detail aufgeführt:

  • Roter Hintergrund und ein rotes Schildsymbol: Die Anwendung stammt von einem blockierten Herausgeber oder ist durch eine Gruppenrichtlinie blockiert.

  • Blauer/grüner Hintergrund: Die Anwendung ist eine Verwaltungsanwendung von Windows Vista, wie etwa ein Applet der Systemsteuerung.

  • Grauer Hintergrund und ein goldfarbenes Schildsymbol: Die Anwendung ist mit Authenticode signiert und besitzt eine Vertrauensstellung beim lokalen Computer.

  • Gelber Hintergrund und ein rotes Schildsymbol: Die Anwendung ist unsigniert oder signiert, besitzt jedoch noch keine Vertrauensstellung beim lokalen Computer.

Die farbig codierten Anhebungsaufforderungen entsprechen den farbig codierten Dialogfeldern in Microsoft Internet Explorer.

Schildsymbol

Einige Applets in der Systemsteuerung, wie etwa das Applet Datums- und Uhrzeiteigenschaften, enthalten eine Mischung aus Administrator- und Standardbenutzervorgängen. Standardbenutzer können die Uhrzeit anzeigen und die Zeitzone ändern, jedoch ist ein Administrator-Vollzugriffstoken erforderlich, um die lokale Systemzeit zu ändern. Das folgende Bild ist ein Screenshot des Applets Datums- und Uhrzeiteigenschaften in der Systemsteuerung.

Shield icon

Wenn ein Benutzer die Uhrzeit ändern muss, kann er auf die Schaltfläche mit dem Schildsymbol klicken. Das Schildsymbol zeigt dem System an, dass der Prozess mit einem Administrator-Vollzugriffstoken gestartet werden muss, für das eine Anhebungsaufforderung der Benutzerkontensteuerung erforderlich ist.

Sichern der Anhebungsaufforderung

Der Anhebungsprozess ist weiter durch das Umleiten der Aufforderung auf den sicheren Desktop gesichert. Die Zustimmungs- und Anmeldeinformationsaufforderungen werden in Windows Vista standardmäßig auf dem sicheren Desktop angezeigt. Nur Windows-Prozesse können auf den sicheren Desktop zugreifen. Über die Empfehlungen für Administratoren und Standardbenutzer hinaus empfiehlt Microsoft außerdem dringend, dass die Einstellung Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln für höhere Sicherheitsstufen aktiviert bleiben sollte.

Wenn eine Programmdatei Anhebung anfordert, wird vom interaktiven Desktop (auch als Benutzerdesktop bezeichnet) zum sicheren Desktop umgeschaltet. Der sichere Desktop zeigt ein alpha-gemischtes Bitmap des Benutzerdesktops und eine hervorgehobene Anhebungsaufforderung sowie ein entsprechendes Fenster der aufrufenden Anwendung an. Wenn der Benutzer auf Fortsetzen oder Abbrechen klickt, schaltet der Desktop wieder zum Benutzerdesktop um.

Es ist sinnvoll darauf hinzuweisen, dass Schadsoftware den interaktiven Desktop überschreiben und eine Nachahmung des sicheren Desktops anzeigen kann, wenn die Einstellung jedoch auf die Zustimmungsaufforderung festgelegt ist, kann die Schadsoftware keine Anhebung erreichen, wenn der Benutzer getäuscht wird und auf der Imitation auf Fortsetzen klickt. Wenn die Einstellung auf die Administratoranmeldungsaufforderung eingestellt ist, kann Schadsoftware, die die Anmeldeaufforderung nachahmt, imstande sein, die Anmeldeinformationen des Benutzers abzufangen. Beachten Sie, dass auch durch diesen Vorgang Schadsoftware keine angehobenen Berechtigungen erreicht und das System über weitere Schutzmechanismen verfügt, die Schadsoftware selbst mit einem abgefangenen Kennwort am automatischen Treiben der Benutzeroberfläche hindert.

ImportantWichtig
Während Schadsoftware zwar eine Nachahmung des sicheren Desktops präsentieren kann, kann dieses Problem jedoch nicht auftreten, sofern nicht zuvor ein Benutzer die Schadsoftware auf dem Computer installiert hat. Da Prozesse, die ein Administratorzugriffstoken benötigen, mit aktiviertem UAC nicht unbemerkt installiert werden können, muss der Benutzer explizit seine Zustimmung erteilen, indem er auf Fortsetzen klickt oder die Administratoranmeldeinformationen eingibt. Das spezifische Verhalten der UAC-Anhebungsanforderung hängt von den Gruppenrichtlinien ab.

Diese Einstellung ist in Windows Vista standardmäßig aktiviert und kann mit dem lokalen Sicherheitsrichtlinien-Editor-Snap-In (secpol.msc) oder zentral mit Gruppenrichtlinien konfiguriert werden. Im Abschnitt "Verwalten von UAC mit dem lokalen Sicherheitsrichtlinien-Editor und Gruppenrichtlinien" dieses Dokuments werden die verfügbaren Einstellungen Konfigurationen detailliert erläutert.

Beibehalten von vor Windows Vista entwickelten Anwendungen

Einige Anwendungen werden jedoch aus einer Vielzahl von Gründen nicht neu entwickelt. UAC verfügt über eingebauten Schutz für derartige vor Windows Vista entwickelte Anwendungen, einschließlich der angeforderten Ausführungsebenen und der Virtualisierung von Dateien, Ordnern und der Registrierung.

Entwickeln von UAC-konformen Anwendungen für Windows Vista

Während das Konzept des Ausführens von Anwendungen mit geringst möglichen Rechten und Benutzerrechten innerhalb der Software-Entwicklergemeinde weitgehend akzeptiert worden ist, wurde es von Herstellern von Anwendungen häufig ignoriert, die sich stattdessen auf eine vereinfachte Bedienung ihrer Software oder Verfeinerungen der Benutzeroberfläche konzentrierten.

Viele Anwendungsentwickler werden gezwungen sein, ihre Anwendungen zu ändern, damit sie mit UAC ordnungsgemäß funktionieren. Anwendungen, die unnötigerweise Administratorrechte erfordern, sollten neu für UAC-Konformität entwickelt werden. Diese Neuentwicklung wird Standardbenutzern die Möglichkeit geben, viele Anwendungen in Windows Vista auszuführen, die sie aktuell nicht in Windows ausführen können.

Microsoft bietet Hilfestellung und Tools für Anwendungsentwickler zur Vereinfachung dieses Neuentwicklungsprozesses an. Weitere Informationen finden Sie auf der Seite „Anwendungskompatibilität“ auf MSDN (http://go.microsoft.com/fwlink/?LinkId=49973) (englischsprachig).

Auch mit diesen Änderungen wird für einige Aufgaben immer noch ein Administrator-Vollzugriffstoken erforderlich sein. Beispiele dafür umfassen die Verwaltung von Benutzerkonten, das Installieren von Gerätetreibern und das Ausführen von Software zur Unternehmensverwaltung. Mit Windows Vista müssen Anwendungsentwickler bestimmen, welche der beiden Zugriffsstufen (Standardzugriff oder Administratorzugriff) ihre Anwendung für bestimmte Aufgaben benötigt. Wenn eine Anwendung kein Administrator-Vollzugriffstoken für eine Aufgabe erfordert, sollte sie so geschrieben werden, dass sie lediglich die Zugriffsprüfungen für Standardbenutzer benötigt. Beispielsweise sollte eine UAC-konforme Anwendung Datendateien in das Profil des Benutzers schreiben, nicht jedoch in die Verzeichnisstruktur Programme.

Windows Vista-Logo-Programm

Das Windows Vista-Logo-Programm stellt beim Erstellen von UAC-konformen Anwendungen einen entscheidenden Vorteil dar. Das Programm erzwingt rigide Richtlinien für die Zertifizierung und gibt so dem Kunden die Sicherheit, dass zertifizierte Produkte sich ordnungsgemäß mit Windows Vista integrieren.

Die Windows Vista-Logo-Zertifizierung stellt ein Unterscheidungsmerkmal im Wettbewerb dar und verschafft unabhängigen Softwareherstellern (ISVs) einen Plausibilitätsvorteil. Kunden wissen beim Erwerb zertifizierter Anwendungen, dass diese vollständig zu Windows Vista kompatibel sind und dass der ISV sich für die Integrität und Sicherheit der Daten des Kunden engagiert. Microsoft erstellt aktuell Betatools, um den Workflow für ISVs beim Generieren und Signieren von Manifesten zu unterstützen. Das Logo-Zertifikat stellt einen Bestandteil der Verpackung dar und gibt der Zertifizierung einen hervorgehobenen Ort. Weitere Informationen über den Windows Vista-Logo-Zertifizierungsprozess finden Sie auf der Microsoft Windows-Logo-Homepage.

Bereitstellen von Anwendungen für Standardbenutzer

Eine besondere Herausforderung für Unternehmen besteht in der Kontrolle der Installation von Anwendungen. Bereitstellungstools, wie Microsoft Systems Management Server (SMS), helfen IT-Abteilungen, die Bereitstellung von Anwendungen zu zentralisieren und die Gesamtbetriebskosten für das Unternehmen zu verringern. Mit der Einführung des UAC-Benutzermodells in Windows Vista hat sich der Einfluss von SMS auf die Gesamtbetriebskosten und die Einfachheit der Verwaltung noch erhöht.

Maximieren der Sicherheit der Anwendungsbereitstellung

IT-Abteilungen können die folgenden drei Stufen von Sicherheit verwenden, um das Szenario ihrer Anwendungsbereitstellung zu modellieren:

  • Hoch: Alle Anwendungen werden mithilfe von SMS, GPSI oder einer anderen, ähnlichen Technologie zur Anwendungsbereitstellung verpackt und bereitgestellt.

  • Mittel: Anwendungen werden fallweise durch die IT-Abteilung installiert.

  • Niedrig: Standardbenutzer können Anwendungen nach ihrem Ermessen installieren.

Im Folgenden sind Szenarien für die vorher aufgeführten drei Sicherheitsstufen beschrieben.

Hoch: Alle Anwendungen werden mithilfe von SMS, GPSI oder einer anderen, ähnlichen Technologie zur Anwendungsbereitstellung bereitgestellt

In diesem Szenario werden alle Anwendungen, Betriebssysteme und Sicherheitspatches mithilfe einer Technologie zur Anwendungsbereitstellung installiert. Die Vorzüge der Verwendung von Technologien wie SMS und GPSI in dieser Instanz umfassen:

  • Vereinfachte Verwaltung: Durch zentrale Verwaltung der Anwendungen kann eine IT-Abteilung auf einfache Weise eine Liste der installierten Anwendungen verwalten und die Installation unerwünschter Anwendungen verhindern.

  • Weniger Installationen von Schadsoftware: Da Schadsoftware mit legitimer Software zusammen gepackt ist, bedeutet das Verweigern der Möglichkeit für Benutzer, solche Software zu installieren, einen zusätzlichen Schutz vor der Installation von Schadsoftware.

  • Insgesamt geringere Gesamtbetriebskosten: Weniger Installationsvorgänge von Schadsoftware und Einschränkung von Schadsoftware an Benutzerspeicherorten.

Die Anforderungen für diese Sicherheitsstufe umfassen:
  • Microsoft SMS 4.0 ist auf einem dedizierten Server installiert (wenn SMS als Technologie für die Anwendungsbereitstellung verwendet wird. Ändern Sie andernfalls diese Anforderung durch die gewählte Technologie).

  • Alle Benutzer verfügen über Standardbenutzerkonten und melden sich mit dem Standardbenutzerkonto an ihren Computern an.

  • Domänenadministratoren verfügen über zwei Konten – ein Standardbenutzerkonto und ein Domänenadministratorkonto mit aktivierter UAC.

  • Die Einstellung Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen wird zentral mithilfe von Gruppenrichtlinien aktiviert und verwaltet.

  • Die Einstellung Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln wird zentral mithilfe von Gruppenrichtlinien aktiviert und verwaltet.

  • Die Einstellung Benutzerkontensteuerung: Verhalten der Anhebungsaufforderung für Standardbenutzer wird als Aufforderung zur Eingabe der Anmeldeinformationen konfiguriert und zentral mithilfe von Gruppenrichtlinien verwaltet.

Vorzüge: Das Implementieren von UAC in diese Weise bietet eine Reihe von Vorzügen. Durch die zentrale Verwaltung der UAC-Sicherheitseinstellungen mithilfe von Gruppenrichtlinien kann die IT-Abteilung sicherstellen, dass Richtlinien auf dem lokalen Computer nicht so geändert werden können, dass die Abteilungsrichtlinien damit umgangen werden können. Da die Benutzer sich bei ihren Computern als Standardbenutzer anmelden und den Benutzernamen oder das Kennwort für ein lokales Administratorkonto nicht kennen, können sie die Systemeinstellungen nicht ändern, keine Software und Schadsoftware installieren und den Computer nicht absichtlich oder unabsichtlich manipulieren. Obwohl alle Benutzer Standardbenutzer sind, können sie Anwendungen mithilfe von SMS installieren und aktualisieren. Die spezifischen Vorzüge der Softwarebereitstellung mithilfe von SMS wurden bereits zuvor in diesem Abschnitt erörtert.

Mittel: Anwendungen werden fallweise durch die IT-Abteilung installiert

Während diese Ebene eine „mittlere“ Sicherheitsstufe aufweist, ist sie am Schwierigsten zu verwalten. In diesem Szenario müssen alle Benutzer jedesmal, wenn sie eine Anwendung installieren möchten, eine Anforderung an den Helpdesk senden. Anschließend muss der Helpdesk entweder Remote Desktop zum Installieren der Anwendung verwenden oder die Anmeldeinformationen physisch am Computer des Benutzers eingeben. Während die IT-Abteilung theoretisch wissen sollte, welche Anwendungen auf welchen Computern installiert sind, kann das Verfolgen dieser Informationen mühsam und schwierig zu verwalten sein. Ferner muss angenommen werden, dass auch nur die einmalige Offenlegung der Anmeldeinformationen für ein lokales Administratorkonto gegenüber einem Standardbenutzer die Gefährdung der Sicherheitsrichtlinie bedeutet.

Niedrig: Benutzer können Anwendungen nach eigenem Ermessen installieren

In diesem Szenario sind drei Konfigurationen möglich. Die folgenden Konfigurationen werden in abnehmender Sicherheitsstufe vorgestellt, wobei die erste die sicherste darstellt:

  1. Die Benutzer sind Standardbenutzer, kennen jedoch den Benutzernamen und das Kennwort für einen lokalen Administrator.

    1. Die Einstellung Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen ist aktiviert.

    2. Benutzer melden sich mit ihren Standardbenutzerkonten an und geben an der Administratoranmeldeaufforderung die Anmeldeinformationen für ein lokales Administratorkonto an, wenn sie Verwaltungsaufgaben ausführen möchten.

    3. Auswirkungen: Für die IT-Abteilung besteht keine wirksame Möglichkeit, die Installation von Anwendungen zu verfolgen oder den intakten Status eines Computers zu erfassen. Darüber hinaus können die Benutzer immer noch unbeabsichtigt Schadsoftware installieren, indem sie an einer Administratoranmeldeaufforderung der Benutzersteuerung Anmeldeinformationen für eine Programmdatei angeben, die sie nicht identifizieren können.

  2. Benutzer sind lokale Administratoren.

    1. Die Einstellung Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen ist aktiviert.

    2. Die Benutzer melden sich mit ihren Administratorkonten an und erteilen an der Zustimmungsaufforderung der Benutzerkontensteuerung ihre Genehmigung, wenn sie Verwaltungsaufgaben ausführen möchten.

    3. Auswirkungen: Obwohl UAC aktiviert ist, kann jeder Benutzer auf einfache Weise Software installieren, Systemeinstellungen ändern und die Sicherheitsrichtlinie des Computers umgehen, da alle Benutzer sich als Administrator anmelden. Außerdem besteht für die IT-Abteilung keine wirksame Möglichkeit, die Installation von Anwendungen zu verfolgen oder den intakten Status eines Computers zu erfassen.

  3. UAC ist deaktiviert, und die Benutzer sind lokale Administratoren.

    1. Die Einstellung Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen ist deaktiviert.

    2. Die Benutzer melden sich mit ihren Administratorkonten an und führen Verwaltungsaufgaben aus.

    3. Auswirkungen: Wenn UAC deaktiviert ist, werden die Benutzer nicht benachrichtigt, wenn Verwaltungsanwendungen versuchen, ihr Administratorzugriffstoken zu verwenden. Daher besteht praktisch für die IT-Abteilung keine wirksame Möglichkeit, die Installation von Anwendungen zu verfolgen oder den intakten Status eines Computers zu erfassen. Ferner kann Schadsoftware unbemerkt installiert werden, weil die Benutzer nicht zur Zustimmung oder zur Eingabe ihrer Anmeldeinformationen aufgefordert werden, bevor eine Verwaltungsprogrammdatei ausgeführt werden kann.

Testen von Anwendungen für den Standardbenutzer

Damit mehr Anwendungen eine bessere Konformität für Standardbenutzer aufweisen, müssen Anwendungsentwickler sicherstellen, dass sie ihre Anwendungen als Standardbenutzer testen. Hilfestellung zum Testen für Windows Vista-konforme Anwendungen steht im Dokument Windows Vista-Entwicklungsanforderungen für die Kompatibilität zur Benutzerkontensteuerung (englischsprachig) zur Verfügung.

Neuverpacken von Anwendungen

Windows Installer 4.0 wurde für vollständige UAC-Erkennung und -Konformität entwickelt. Systemadministratoren, die Anwendungsanpassung und Neuverpacken für ihre IT-Umgebungen benötigen, können die FLEXnet AdminStudio 7 SMS Edition verwenden, um Software mit dem Windows Installer für die SMS-Bereitstellung neu zu verpacken. FLEXnet AdminStudio 7 SMS Edition gibt Unternehmen die Möglichkeit, Softwarepakete mithilfe von SMS 2003 vorzubereiten, zu veröffentlichen und zu verteilen, ohne jemals die SMS-Serverkonsole zu verwenden, was die Effizienz der Anwendungsverwaltung erheblich verbessert.

FLEXnet AdminStudio 7 SMS Edition bietet eine auf einem Assistenten basierende Neuverpackungskomponente, die das Konvertieren jedes beliebigen Setupprogramms – sogar der schwierig zu verpackenden InstallScript-Setups von Windows Installer – in hundertprozentige Windows Installer-Pakete ermöglicht. Die Neuverpackungskomponente umfasst: InstallMonitor für Neuverpackung ohne Snapshots, SmartScan für das Extrahieren des maximalen Informationsgehalts aus InstallScript-Setups während der Konvertierung in Windows Installer-Dateien, Setup Intent, um die Vollständigkeit mit allen wichtigen Dateien in Windows Installer-Installationsprogrammen zu unterstützen und der Packaging Process-Assistent, der Sie auf den richtigen Verpackungsprozess hinweist.

FLEXnet AdminStudio 7 SMS Edition steht als kostenloser Download auf der SMS-Site (http://go.microsoft.com/fwlink/?LinkId=71355) zur Verfügung.

Die folgenden Ressourcen bieten zusätzliche Informationen zur Neuverpackung von Software:

UAC-Bereitstellungsszenario

In diesem Abschnitt erörtern wir ein UAC-Bereitstellungsszenario für das Unternehmen Litware, Inc, eine mittelgroße Organisation. Das folgende Szenario soll IT-Abteilungen dabei unterstützen, den Umfang potenzieller Probleme zu erkennen, die sich beim Betrieb einer Windows Vista-Umgebung mit aktivierter UAC ergeben können.

Litware, Inc (Mittelgroße Organisation)

Nach dem Installieren von Windows Vista auf einem Computer am Firmenhauptsitz von Litware, Inc., meldet sich ein Benutzer als Administrator im Administratorbestätigungsmodus an und navigiert zu einem freigegebenen Ordner, in dem die abteilungsspezifischen Branchenanwendungen (LOB-Anwendungen) gespeichert sind. Diese Freigabe weist einen Ordner für jede Anwendung auf, und die Software verwendet eine Vielzahl verschiedener Technologien zum Installieren von Anwendungen, einschließlich Windows Installer, bootstrapper.exe und ein Installationsprogramm vom xcopy-Typ.

Litware, Inc. verfügt über 2.500 Windows XP-Desktops und hat sich für ein Upgrade auf Windows Vista entschieden, um die Vorzüge von UAC zu nutzen. Die IT-Abteilung muss eine Möglichkeit finden, die verschiedenen Branchenanwendungen des Unternehmens standardmäßig zu installieren, es wurden jedoch die folgenden Probleme identifiziert:

  • Niemand in der IT-Abteilung verfügt über Erfahrungen mit GPSI (Group Policy Software Installation) oder SMS (Microsoft Systems Management Server). Daher muss das Unternehmen in Schulungen für mindestens eine Person im Team investieren.

  • Das Konvertieren der Branchenanwendungen für die Installation mit Windows Installer kann kostenintensiv werden, weil keine Tools zur Unterstützung des Prozesses vorhanden sind. Beispiel: „Wir können alle Anwendungen verpacken, aber die Installationseinstellungen lassen sich nicht einfach festlegen“.

  • Die IT-Abteilung hat einige Anmeldeskripts entwickelt, um Anwendungsinstallationen auszuführen, und möchte den Aufwand an Zeit, Ressourcen und Mühe für ihre Erstellung nicht abschreiben.

Lösungen für den Administrator im Administratorbestätigungsmodus

Dieses Problem betrifft nicht nur Windows Vista. Unternehmen haben sich schon seit einiger Zeit in Richtung auf die Installation von Anwendungen als Standardbenutzer orientiert, mit unterschiedlichem Erfolg. Die folgenden Lösungen sind in ansteigender Vorzüglichkeit aufgeführt: gute, bessere und optimale Lösungen.

Gut

Den Benutzern wird die Installation aus der vorhandenen Freigabe erlaubt und die heuristische Installationsprogrammerkennung verwendet, um die Branchenanwendungen anhand ihrer Installationsprogramme zu erkennen; anschließend wird die angeforderte angehobene Ausführungsebene aufgerufen. Da die stumme Anhebung ausgeschaltet ist, wird den Benutzern keine Zustimmungsaufforderung oder Administratoranmeldeaufforderung angezeigt, stattdessen wird die Installation stumm mit dem Administrator-Vollzugriffstoken ausgeführt, wenn die Anwendungen aus diesen Freigaben ausgeführt werden.

Weitere Informationen zur heuristischen Installationsprogrammerkennung in Windows Vista finden Sie im Abschnitt "Installationsprogrammerkennungs-Technologie" in diesem Dokument.

Unglücklicherweise hat dieser Ansatz Grenzen. Es können Fälle auftreten, in denen die Installationsprogrammerkennung von Windows Vista eine Anwendung als Installationsprogramm identifiziert und die Anwendung automatisch anhebt. Ferner bestehen Bedenken hinsichtlich der Anwendungskompatibilität, wenn die Anwendung nicht für die Installation in der Windows Vista-Umgebung entwickelt wurde.

Besser

Wenn ein Unternehmen mehr in das Sperren der Unternehmensumgebung investiert, besteht eine der ersten Aktivitäten der IT-Abteilung in der Katalogisierung aller Anwendungen, die auf Computern von Benutzern ausgeführt werden. In diesem Szenario hat ein Mitglied der IT-Abteilung die entsprechenden Anwendungen bereits an einem einzelnen Speicherort konsolidiert – in einer Netzwerkfreigabe. Aufgrund der Konsolidierung aller dieser Anwendungen kann die im vorhergehenden Abschnitt erwähnte Einschränkung leicht überwunden werden, indem die Installationsprogramme explizit mit einer angeforderten Ausführungsebene für die Ausführung als Administrator markiert werden. Das Markieren von Anwendungen mit angeforderten Ausführungsebenen bedingt das Hinzufügen von Einträgen für die entsprechenden Anwendungen zur Anwendungskompatibilitäts-Datenbank. Anwendungen können auch für die Ausführung mit einer niedrigeren angeforderten Ausführungsebene markiert werden, wenn sie falsch als Installationsprogramme erkannt werden.

Ferner kann ein Skript erstellt werden, um die Freigabe zu durchsuchen und alle Anwendungen in der Anwendungskompatibilitäts-Datenbank mit der Ausführungsebene RunAsAdmin zu markieren. Weitere Hilfestellung zum Markieren von Anwendungen mit der angeforderten Ausführungsebene finden Sie im Abschnitt "Markieren von Anwendungen mit den angeforderten Ausführungsebenen für die Anwendungskompatibilität" in diesem Dokument.

Die Markierungen in der Anwendungsdatenbank werden einem Gruppenrichtlinienobjekt (GPO) zugeordnet, das anschließend mithilfe von Gruppenrichtlinien im gesamten Unternehmen bereitgestellt wird. Nachdem diese Richtlinie bereitgestellt wurde, ist für jeden Benutzer im Unternehmen sichergestellt, dass die Anwendungen konsistent für die Ausführung mit der angeforderten explizit angegebenen Ausführungsebene markiert wurde.

Optimal

Da die IT-Mitarbeiter jetzt Kenntnis von den verschiedenen von Benutzern installierten Anwendungen haben, kann die Abteilung beginnen, die Installation dieser Anwendungen zu kontrollieren und die Installation anderer Anwendungen zu verhindern. Der erste Schritt besteht im Deaktivieren der Installationsprogrammerkennung und dem Erstellen expliziter Markierungen der angeforderten Ausführungsebene für jede Anwendung, die im Unternehmen ein Produkt installiert. Die Annahme ist in diesem Fall einfach, dass die IT-Abteilung jetzt alle von Benutzern installierte Anwendungen kennt, und da jetzt jede mit einer angeforderten Ausführungsebene markiert ist, wird die Erkennung von Installationsprogrammen nicht mehr benötigt.

Da die Installation von Anwendungen jetzt besser kontrolliert erfolgt, brauchen Benutzer keine Installation von CDs oder anderen externen Medien mehr auszuführen – alles steht im Netzwerk zur Verfügung. Um Benutzer am Installieren von Anwendungen zu hindern, die einen Windows Installer von externen Wechselmedien verwenden, können Sie die folgende Prozedur ausführen, um den Wert Wechselmedienquellen für alle Installationen verhindern in der administrativen Vorlagendatei für den Windows Installer festzulegen:

So verhindern Sie die Installation von Wechselmedienquellen
  1. Klicken Sie auf Start, klicken Sie auf Systemsteuerung, doppelklicken Sie auf Verwaltung, und doppelklicken Sie anschließend auf Active Directory-Benutzer und -Computer.

  2. Erweitern Sie im Konsolenbereich Benutzerkonfiguration, erweitern Sie Administrative Vorlagen, erweitern Sie Windows-Komponenten, und wählen Sie dann Windows Installer aus.

  3. Klicken Sie im Detailbereich mit der rechten Maustaste auf Wechselmedienquellen für alle Installationen verhindern, und wählen Sie Eigenschaften aus.

  4. Wählen Sie in Eigenschaften den Eintrag Aktivieren aus, und klicken Sie dann auf OK.

noteHinweis
Wenn die Einstellung Wechselmedienquellen für alle Installationen verhindern aktiviert ist, wird eine Nachricht angezeigt, die besagt, dass das Feature nicht gefunden werden kann, wenn ein Benutzer versucht, ein Programm von einem Wechselmedium, wie etwa CDs, Disketten und DVDs, zu installieren.

noteHinweis
Die Einstellung Wechselmedienquellen für alle Installationen verhindern ist auch dann gültig, wenn die Installation im Sicherheitskontext des Benutzers ausgeführt wird.

ImportantWichtig
Wie bereits erwähnt besteht, wenn der Endbenutzer als Administrator arbeitet, keine Gewähr, dass die von der IT-Abteilung bereitgestellten Einstellungen tatsächlich auf dem jeweiligen Computer festgelegt sind. Administratorbenutzer können die verschiedenen Einstellungen auf viele Arten umgehen – das ist lediglich eine Frage von Zeit, Erfahrung und Absicht.

Ein weiterer Vorzug der Konsolidierung der Anwendungen auf einer einzelnen Netzwerkfreigabe besteht in der Möglichkeit, alle Binärdateien zu signieren. Nachdem Sie das Signieren der Binärdateien abgeschlossen haben, können Sie Ihr Unternehmen mit einer weiteren Sicherheitsschicht ausstatten, indem Sie die Einstellung Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und validiert sind aktivieren.

Darüber hinaus können Richtlinien für die Softwareeinschränkung (Software Restriction Policies, SRP) hinzugefügt werden, um die Ausführung nicht autorisierter Programmdateien zu verhindern.

Standardbenutzerlösungen

Die folgenden Lösungen sind in umgekehrter Reihenfolge ihrer Vorzüglichkeit aufgeführt: gute, bessere und optimale Lösungen.

Besser

Die IT-Abteilung sollte davon ausgehen, dass Standardbenutzer normalerweise nicht imstande sein werden, Anwendungen zu installieren und dass ihren Zugriffstoken nur eine Zusammenstellung minimaler Benutzerrechte erteilt wird. Die Benutzer haben nicht mehr die Möglichkeit, als Administrator zu arbeiten, und benötigen stattdessen einen Dienst, der als Administrator ausgeführt wird, um den Systemstatus in ihrem Auftrag zu ändern. Glücklicherweise stellt Windows für diese Aufgabe einen Installationsdienst bereit: Windows Installer-Server. Außerdem ist eine Softwareinstallationserweiterung für Gruppenrichtlinien verfügbar, die eine Verteilung von Anwendungen auf die Computer von Benutzern ohne Notwendigkeit zum Benutzereingriff während der Installation ermöglicht.

Weitere Informationen finden Sie in der Dokumentation zur Softwareinstallationserweiterung für Gruppenrichtlinien (http://go.microsoft.com/fwlink/?LinkId=71356) (englischsprachig).

Eine weitere Option besteht im Bereitstellen der Anwendungen mithilfe einer Technologie wie SMS. Die grundlegende Idee ist die gleiche – ein Standardbenutzer benötigt einen Hintergrunddienst, um Aufgaben zu erledigen, für die der Benutzer nicht die erforderlichen Rechte oder Benutzerrechte besitzt.

Hilfestellung zum Bereitstellen von Anwendungen mithilfe von SMS erhalten Sie auf TechNet (http://go.microsoft.com/fwlink/?LinkId=71357) (englischsprachig).

Eine der Herausforderungen beim Einsatz der GPSI-Erweiterung besteht in der Notwendigkeit, dass die Anwendungen in Windows-Installern verteilt werden müssen. Um die Installationsbinarys einer Anwendung in einen Windows-Installer zu konvertieren, müssen Sie einen Prozess ausführen, der als „Neuverpacken“ bezeichnet wird. Die umfasst das Bestimmen der anwendungsspezifischen Einstellungen für die Anwendung sowie ein Verständnis der ordnungsgemäßen Ausführungsreihenfolge für die verschiedenen Ereignisse. Es sind Tools zur Unterstützung dieses Prozesses vorhanden, wie etwa InstallShield DevStudio.

Das Neuverpacken von Anwendungen kann eine mühsame Aufgabe sein, und viele Unternehmen beschäftigen ganze Teams ausschließlich mit dieser Aufgabe. Weitere Informationen zum Neuverpacken von Anwendungen finden Sie im Abschnitt "Neuverpacken von Anwendungen" in diesem Dokument.

Optimal

Dieses Szenario trägt den vielen Aspekten der Softwarebereitstellung Rechnung. Normalerweise besteht eine Kernmenge von Branchenanwendungen, die jeder Unternehmensbenutzer auf seinem Computer benötigt. Dies ist eine hervorragende Softwarezusammenstellung, die für die unternehmensweite Bereitstellung entweder mithilfe von GPSI-Veröffentlichung oder durch Ankündigung vorgesehen ist. In einem Unternehmen, in dem viele Computer bereitzustellen sind, ist es vermutlich sinnvoll, eine Abbildbibliothek der bereits installierten Anwendungen zu erstellen.

Das Systemvorbereitungstool (sysprep.exe), das im Lieferumfang von Windows enthalten ist, ermöglicht das Erstellen eines Abbilds für die Massenbereitstellung. Erstellen Sie mithilfe des Systemvorbereitungstools ein Abbild, das alle erforderlichen Kernanwendungen enthält, und stellen Sie anschließend das Abbild unternehmensweit auf allen Computern bereit. Diese Art von Bereitstellung umgeht den Einfluss mehrerer großer Installationen im Netzwerk auf die Ressourcen. Verwenden Sie schließlich die Organisationseinheiten (Organizational Units, OUs) für jede Abteilung, um die Ergänzungspakete für Benutzer mit GPSI anzukündigen.

Konfigurieren von UAC-Einstellungen

Da jetzt die Funktionsweise von UAC und einige potenzielle Probleme, die bei der Bereitstellung von Windows Vista im Unternehmen auftreten können, erläutert wurden, können wir mit der Erörterung der Konfiguration von UAC für optimale Sicherheit und Benutzerfreundlichkeit fortfahren.

In diesem Abschnitt werden zwei Hauptverfahren für das Konfigurieren von UAC im Detail behandelt:

Das Verwalten von UAC mit dem lokalen Sicherheitsrichtlinien-Editor und Gruppenrichtlinien

Vor Windows Vista hatten Standardbenutzer, die an einem PC oder in einer Netzwerksituation arbeiteten, häufig die Möglichkeit, Anwendungen zu installieren. Der wichtigste Unterschied bestand darin, dass Administratoren zwar Gruppenrichtlinieneinstellungen zum Einschränken von Anwendungsinstallationen erstellen konnten, sie jedoch als Standardeinstellung keinen Zugriff zum Einschränken von Anwendungsinstallationen für Standardbenutzer hatten. In einer UAC-Umgebung haben sie diesen Zugriff jedoch, und Administratoren können darüber hinaus noch Gruppenrichtlinien verwenden, um eine Liste der genehmigten Geräte und bereitgestellten Anwendungen zu definieren.

Es bestehen neun Einstellungen für Gruppenrichtlinienobjekte (GPO), die für UAC konfiguriert werden können. In den folgenden Abschnitten werden die verschiedenen UAC GPO-Einstellungen detailliert beschrieben und Empfehlungen vorgestellt.

Benutzerkontensteuerung: Administratorbestätigungsmodus für das eingebaute Administratorkonto

Diese Einstellung bestimmt, ob UAC auf das standardmäßige eingebaute Administratorkonto angewendet wird.

noteHinweis
Das eingebaute Administratorkonto ist bei Computern in einer Domäne standardmäßig für Installationen und Upgrades deaktiviert.

Konfigurationsoptionen:

  • Aktiviert – Das eingebaute Administratorkonto wird als Administrator im Administratorbestätigungsmodus ausgeführt.

  • Deaktiviert – Das Administratorkonto wird mit einem Administrator-Vollzugriffstoken ausgeführt.

Standardwert:

  • Für Neuinstallationen und für Upgrades deaktiviert, wenn der eingebaute Administrator NICHT der einzige lokale Administrator auf dem Computer ist.

  • Für Upgrades aktiviert, wenn Windows Vista feststellt, dass das eingebaute Administratorkonto das einzige aktive lokale Administratorkonto auf dem Computer ist. Wenn Windows Vista dies feststellt, wird das eingebaute Administratorkonto auch im Anschluss an das Upgrade aktiviert gehalten.

Empfehlung: In einem Unternehmen sollte diese Einstellung als Deaktiviert konfiguriert sein, da Domänenadministratoren immer noch Verwaltungszugriff auf den Computer besitzen.

Benutzerkontensteuerung: Verhalten der Benutzeraufforderung mit erhöhten Rechten für Administratoren im Administratorbestätigungsmodus

Diese Einstellung definiert, wie UAC Administratoren zur Anhebung auffordert.

Konfigurationsoptionen:

  • Keine Aufforderung – Die Anhebung erfolgt automatisch und stumm. Diese Option ermöglicht einem Administrator im Administratorbestätigungsmodus das Ausführen einer Operation, die Anhebung erfordert, ohne Zustimmung oder Anmeldeinformationen anzufordern. Hinweis: Dieses Szenario sollte nur in besonders stark eingeschränkten Umgebungen verwendet werden und wird NICHT empfohlen.

  • Aufforderung zur Eingabe der Zustimmung – Ein Vorgang, der ein Administrator-Vollzugriffstoken erfordert, fordert den Administrator im Administratorbestätigungsmodus auf, entweder Fortsetzen oder Abbrechen zu wählen. Wenn der Administrator auf Fortsetzen klickt, wird der Vorgang mit dem höchsten verfügbaren Recht fortgesetzt.

  • Aufforderung zur Eingabe der Anmeldeinformationen – Ein Vorgang, der ein Administrator-Vollzugriffstoken erfordert, fordert einen Administrator im Administratorbestätigungsmodus zum Eingeben eines Administratorbenutzernamens und des Kennworts auf. Wenn der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit dem entsprechenden Recht fortgesetzt.

Standardwert: Aufforderung zur Eingabe der Zustimmung

Empfehlung: Es wird empfohlen, dass Sie diesen Wert auf Aufforderung zur Eingabe der Zustimmung festlegen, da die Möglichkeit besteht, dass ein Angreifer die Anhebungsaufforderung fälscht (Spoofing). Wenn die Anhebungsaufforderung mittels Spoofing gefälscht wird und der Administrator durch Klicken auf Fortsetzen seine Zustimmung erteilt, kann der Angreifer nur diesen einzelnen Prozess anheben. Wenn jedoch der Anhebungsprozess mittels Spoofing vorgetäuscht wird und die Einstellung auf Aufforderung zur Eingabe der Anmeldeinformationen festgelegt ist, kann der Angreifer Zugriff auf Benutzernamen und Kennwort des Administrators erhalten.

Benutzerkontensteuerung: Verhalten der Anhebungsaufforderung für Standardbenutzer

Diese Einstellung definiert, wie und ob UAC Standardbenutzer zur Anhebung auffordert.

Konfigurationsoptionen:

  • Keine Aufforderung – Es wird keine Anhebungsaufforderung angezeigt, und der Benutzer kann keine Verwaltungsaufgaben ausführen, ohne Als Administrator ausführen zu verwenden oder sich mit einem Administratorkonto anzumelden.

  • Aufforderung zur Eingabe der Anmeldeinformationen – Ein Vorgang, der ein Administrator-Vollzugriffstoken erfordert, fordert den Benutzer auf, den Namen und das Kennwort eines Administratorbenutzers einzugeben. Wenn der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit dem entsprechenden Recht fortgesetzt.

Standardwert: Aufforderung zur Eingabe der Anmeldeinformationen

Empfehlung: Für ein Unternehmen, das aktuell Standardbenutzerdesktops verwendet, wird empfohlen, diese Einstellung als Keine Aufforderung zu konfigurieren. Diese Einstellung kann dabei helfen, die Anzahl der Supportanrufe beim Helpdesk zu verringern.

Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern

Diese Einstellung steuert, ob Windows Vista Heuristik verwendet, um Installationsanwendungen zu identifizieren. Wenn ein Benutzer einen Installer ausführt, erkennt Windows das Programm als Installationsanwendung und zeigt dem Benutzer eine Anhebungsaufforderung an.

Konfigurationsoptionen:

  • Aktiviert – Der Benutzer wird zur Zustimmung oder zur Eingabe der Anmeldeinformationen aufgefordert, wenn Windows Vista ein Installationsprogramm erkennt.

  • Deaktiviert - Die Ausführung von Anwendungsinstallationen schlägt fehl und führt entweder nicht zur Benachrichtigung des Benutzers über das Problem oder zeigt eine Fehlermeldung an, die nicht klar oder für den Benutzer nicht hilfreich ist, um den Grund für das Fehlschlagen der Installation zu erkennen.

Standardwert: Aktiviert

Empfehlung: Für Unternehmen, die Standardbenutzerdesktops ausführen und delegierte Installationstechnologien, wie GPSI oder SMS, implementiert haben, wird das Konfigurieren dieser Einstellung als Deaktiviert empfohlen. Wenn Ihre Organisation keine delegierte Installationstechnologie implementiert hat, wird empfohlen, diese Einstellung als Aktiviert zu konfigurieren, um die Anzahl von Supportanrufen beim Helpdesk zu verringern. Alternativ können Sie diese Einstellung als Deaktiviert konfigurieren und Ihre Benutzer anweisen, mit der rechten Maustaste auf Installationsdateien und anschließend auf Als Administrator ausführen zu klicken, um den Prozess anzuheben.

Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und validiert sind

Diese Einstellung konfiguriert, ob Windows Vista überprüfen soll, ob ein Programm signiert ist, bevor es angehoben werden kann. Die Prüfung wird ausgeführt, nachdem der Prozess interaktiv gestartet wurde (d.h. ein Benutzer hat auf dem Desktop auf eine Installation doppelgeklickt). Wenn die Anwendung nicht signiert ist, [FEHLERMELDUNG]. Wenn die Anwendung signiert ist, die Signatur jedoch ungültig ist, [FEHLERMELDUNG].

Konfigurationsoptionen:

  • Aktiviert – Nur signierte Programmdateien werden ausgeführt. Diese Richtlinie erzwingt Überprüfungen der PKI-Signatur für jede interaktive Anwendung, die Anhebung anfordert.

    noteHinweis
    Unternehmensadministratoren können die Liste der zulässigen Verwaltungsanwendungen durch die Auffüllung der Zertifikate im Informationsspeicher für vertrauenswürdige Herausgeber des lokalen Computers steuern.

  • Deaktiviert – Sowohl signierte als auch nicht signierte Anwendungen werden ausgeführt.

Standardwert: Deaktiviert

Empfehlung: [ERFORDERLICH]

Benutzerkontensteuerung: Nur erhöhte Rechte für UIAccess-Anwendungen, die an sicheren Orten installiert sind

Diese Einstellung steuert, ob eine Anwendung mit geringeren Rechten mit Anwendungen kommunizieren kann, die auf einer höheren Berechtigungsebene ausgeführt werden. uiAccess ist ein Attribut in der Manifestdatei einer Anwendung, die der Entwickler mit der Anwendung verpackt.

Konfigurationsoptionen:

  • Aktiviert – Windows hindert Anwendungen, die aus den Verzeichnissen Programme oder Windows ausgeführt werden, am Zugriff auf Prozesse mit höheren Berechtigungen, sofern ihre Anwendungsmanifeste das uiAccess-Attribut nicht als True definieren. Die ACLs für die Verzeichnisse Programme und Windows sind standardmäßig so konfiguriert, dass Standardbenutzer daran gehindert werden, den Inhalt der Verzeichnisse zu ändern. Wenn eine Anwendung in ihrem Manifest als uiAccess-Anwendung definiert ist, die Anwendung sich jedoch nicht in den Verzeichnissen Programme oder Windows befindet, führt Windows die Anwendung nicht mit dem zusätzlichen Recht zum Zugreifen auf Prozesse mit höheren Rechten aus (d.h. obwohl der Entwickler die Anwendung für uiAccess identifiziert hat, wurde sie an einem unsicheren Speicherort installiert, der von Standardbenutzern geändert werden kann).

  • Deaktiviert - Windows überprüft nicht, ob das Programm unter den Verzeichnissen Programme oder Windows installiert ist, und die Anwendung wird beim Erteilen der Benutzergenehmigung mit dem Vollzugriffstoken des Benutzers gestartet.

Standardwert: Aktiviert

Empfehlung: Es wird empfohlen, diese Einstellung als Aktiviert zu konfigurieren. Wenn diese Einstellung aktiviert ist, hindert Windows Anwendungen mit niedrigeren Berechtigungen, die an unsicheren Orten installiert sind, am Zugriff auf Anwendungen mit höheren Rechten.

Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen

Diese Einstellung definiert, ob Windows zwei Zugriffstoken für Administratoren (Standardbenutzer und Administrator) erstellt, und ob Standardbenutzer die Möglichkeit haben, eine Anwendung auf die Administratorebene anzuheben.

Hinweis   Sie müssen den Computer neu starten, wenn Sie diesen Wert ändern.

Konfigurationsoptionen:

  • Aktiviert – Sowohl Administratoren als auch Standardbenutzer werden benachrichtigt, wenn eine Anwendung die Ausführung mit einem Administratorkonto versucht. Die Einstellung Benutzerkontensteuerung: Verhalten der Benutzeraufforderung mit erhöhten Rechten für Administratoren im Administratorbestätigungsmodus bestimmt, wie die Aufforderung für Benutzer angezeigt wird.

  • Deaktiviert – Benutzer werden nicht benachrichtigt, wenn eine Anwendung die Ausführung als Administrator versucht, und die Anwendung wird automatisch mit dem Administrator-Vollzugriffstoken ausgeführt. Das hat zur Folge, dass UAC grundsätzlich ausgeschaltet ist und der automatische Start des AIS-Diensts deaktiviert ist. Das Windows-Sicherheitscenter benachrichtigt außerdem den angemeldeten Benutzer, dass die Gesamtsicherheit des Betriebssystems reduziert wurde, und gibt dem Benutzer die Möglichkeit, UAC zu aktivieren.

Standardwert: Aktiviert

Empfehlung: Es wird empfohlen, diese Einstellung als Aktiviert zu konfigurieren. Wenn diese Einstellung deaktiviert ist, werden Administratoren nicht benachrichtigt, wenn eine Anwendung (einschließlich Schadsoftware) die Ausführung als Administrator versucht, und Standardbenutzer können Anwendungen nicht als Administrator ausführen.

Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln

Diese Einstellung definiert, ob die Anhebungsaufforderung auf dem Benutzerdesktop oder dem sicheren Desktop angezeigt wird.

Konfigurationsoptionen:

  • Aktiviert – Die UAC-Anhebungsaufforderung wird auf dem sicheren Desktop angezeigt, einem Bereich, der nur Nachrichten von Windows-Prozessen entgegennehmen kann. Wenn diese Einstellung aktiviert ist und eine Anwendung die Anhebung auf Administratorrechte anfordert, wird der Desktophintergrund grau dargestellt, und die Anhebungsaufforderung wird dem Benutzer angezeigt. Der Benutzer kann mit keinem anderen Element des Desktops interagieren, bis er/sie die Anhebung genehmigt oder verweigert, entweder durch Klicken auf Fortsetzen oder Abbrechen im Fall einer Zustimmungsaufforderung oder durch Eingeben gültiger Administratoranmeldeinformationen oder Klicken auf Abbrechen im Fall einer Administratoranmeldeaufforderung.

  • Deaktiviert – Die UAC-Anhebungsaufforderung wird auf dem interaktiven Desktop (Benutzerdesktop) angezeigt.

Standardwert: Aktiviert

Empfehlung: Es wird empfohlen, diese Einstellung als Aktiviert zu konfigurieren. Wenn die Anhebungsaufforderung nicht auf dem sicheren Desktop angezeigt wird, kann ein Angreifer die Anhebungsaufforderung möglicherweise imitieren, um die Rechte von Schadsoftware anzuheben. Ferner wird empfohlen, diese Einstellung in Kombination mit der Einstellung Benutzerkontensteuerung: Verhalten der Benutzeraufforderung mit erhöhten Rechten für Administratoren im Administratorbestätigungsmodus in Konfiguration auf Zur Angabe der Anmeldeinformationen auffordern zu verwenden. Diese Konfiguration schränkt einen Angreifer, der die Anmeldeinformationen eines Administrators durch Anzeigen einer gefälschten Anmeldeaufforderung erfassen möchte, ein.

Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerspeicherorte virtualisieren

Diese Einstellung definiert Virtualisierungseinstellungen für 32-Bit-Anwendungen. Virtualisierung bezieht sich nicht auf 64-Bit-Anwendungen.

Konfigurationsoptionen:

  • Aktiviert – Wenn eine 32-Bit-Anwendung ohne Manifestdatei versucht, an einen geschützten Speicherort, wie etwa das Verzeichnis Programme, zu schreiben, leitet die Virtualisierung derartige Operationen an Speicherorte im Dateisystem und der Registrierung um, auf die alle Benutzer zugreifen können. Diese Einstellung ermöglicht Standardbenutzern das Ausführen von vor Windows Vista entwickelten Anwendungen, deren ausführender Benutzer in der Vergangenheit zwingend Administrator sein musste.

  • Deaktiviert – Wenn eine 32-Bit-Anwendung ohne Manifestdatei versucht, an einen geschützten Speicherort, wie etwa in das Verzeichnis Programme, zu schreiben, schlägt der Schreibversuch fehl, und die Ausführung der Anwendung schlägt ohne Rückmeldung fehl.

Standardwert: Aktiviert

Empfehlung: Lassen Sie diese Einstellungen in Umgebungen aktiviert, in denen nicht vollständig UAC-konforme Software ausgeführt werden muss. Jede 32-Bit-Anwendung, die nicht im Adminstratormodus ausgeführt wird und keine Anwendungsmanifestdatei oder einen Eintrag in der Anwendungsdatenbank aufweist, ist nicht UAC konform. Viele Unternehmen müssen vor Windows Vista entwickelte Software ausführen und sollten diese Einstellung daher als Aktiviert konfigurieren.

Konfigurieren von UAC-Gruppenrichtlinieneinstellungen

Führen Sie die folgende Prozedur aus, um UAC-Gruppenrichtlinieneinstellungen zu konfigurieren. Sie müssen als Mitglied der lokalen Administratorgruppe angemeldet sein, um die Prozedur auszuführen. Sie können die Prozedur auch als Standardbenutzer ausführen, wenn Sie an der Administratoranmeldeaufforderung der Benutzerkontensteuerung gültige Anmeldeinformationen für ein Administratorkonto eingeben können.

So konfigurieren Sie die UAC-Gruppenrichtlinieneinstellungen:
  1. Klicken Sie auf die Schaltfläche Start, geben Sie secpol.msc im Feld Suche starten ein, und drücken Sie dann EINGABE.

  2. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

  3. Erweitern Sie in Sicherheitseinstellungen den Knoten Lokale Richtlinien, und wählen Sie dann Sicherheitsoptionen aus.

  4. Klicken Sie im Detailbereich (dem rechten Bereich) mit der rechten Maustaste auf die entsprechende UAC-Einstellung, und wählen Sie dann Eigenschaften aus.

  5. Verwenden Sie das Dropdown-Listenfeld, um den entsprechenden Wert für die Einstellung auszuwählen.

noteHinweis
Für das Ändern der Einstellung Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen ist ein Neustart des Computers erforderlich, bevor die Einstellung wirksam wird. Alle anderen UAC-Gruppenrichtlinieneinstellungen sind dynamisch und erfordern keinen Neustart.

Überwachen von Anwendungsanhebung und Prozesserstellung

Die Einstellung zur Überwachung der Vorgangsprotokollierung ermöglicht die Überwachung von Prozessanhebungen in Echtzeit. Beispielsweise kann die IT-Abteilung die Überwachung der Vorgangsprotokollierung mit Gruppenrichtlinien aktivieren und jede Anhebung eines Prozesses auf einen Prozess mit vollen Administratorzugriffsrechten durch einen Administrator im Administratorbestätigungsmodus oder einen Standardbenutzer verfolgen.

So überwachen Sie die Vorgangsprotokollierung
  1. Klicken Sie auf die Schaltfläche Start, geben Sie secpol.msc im Feld Suche starten ein, und drücken Sie dann EINGABE.

  2. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

  3. Erweitern Sie im Konsolenbereich Lokale Richtlinien, und wählen Sie anschließend Überwachungsrichtlinie aus.

  4. Klicken Sie im Detailbereich mit der rechten Maustaste auf Vorgangsprotokollierung überwachen, und wählen Sie dann Eigenschaften.

  5. Wählen Sie im Eigenschaften von Vorgangsprotokollierung überwachen den Wert Erfolg aus.

Die Einstellung Rechteverwendung überwachen aktiviert die Überwachung der Erstellung angehobener Prozesse in Echtzeit.

So überwachen Sie die Rechteverwendung
  1. Klicken Sie auf die Schaltfläche Start, geben Sie secpol.msc im Feld Suche starten ein, und drücken Sie dann EINGABE.

  2. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

  3. Erweitern Sie im Konsolenbereich Lokale Richtlinien, und wählen Sie anschließend Überwachungsrichtlinie aus.

  4. Klicken Sie im Detailbereich mit der rechten Maustaste auf Rechteverwendung überwachen, und wählen Sie dann Eigenschaften.

  5. Wählen Sie in Eigenschaften von Rechteverwendung überwachen den Wert Erfolg aus, und klicken Sie dann auf OK.

UAC-Dienste

Der folgende Dienst ist UAC zugeordnet.

 

Dienst Beschreibung

Anwendungsinformationsdienst (AIS)

Erleichtert das Ausführen von interaktiven Anwendungen mit einem Administrator-Vollzugriffstoken in Windows Vista.

Wenn dieser Dienst beendet wird, können die Benutzer keine Anwendungen mit den zusätzlichen Verwaltungsrechten starten, die möglicherweise für die Ausführung der gewünschten Benutzeraufgaben erforderlich sind. Das hat zur Folge, dass Anwendungen, für die ein Administrator-Vollzugriffstoken erforderlich ist, möglicherweise nicht ordnungsgemäß funktionieren, wenn der Anwendungsinformationsdienst nicht ausgeführt wird.

UAC-Sicherheitsaspekte

Jede IT-Abteilung sollte die UAC-Sicherheitsaspekte sorgfältig abwägen. Zwar versetzen die UAC-Gruppenrichtlinieneinstellungen IT-Abteilungen in die Lage, die Konfiguration von UAC zu bestimmen, jedoch sollten einige Aspekte abgewogen werden, bevor die neue Sicherheitsrichtlinie erstellt wird.

Nachahmen der Anhebungsaufforderung

Windows Vista umfasst eine neue Sicherheitseinstellung, um die Nachahmung der Anhebungsaufforderung zu verhindern. Diese neue Einstellung (Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln) schaltet vom aktiven Benutzerdesktop auf den sicheren Desktop um, wenn ein Prozess die Anhebung anfordert. Auf den sicheren Desktop kann nur von Windows-Kernprozessen zugegriffen werden, und Schadsoftware kann mit dem sicheren Desktop nicht kommunizieren. Das hat zur Folge, dass alle Anhebungsaufforderungen auf dem sicheren Desktop nicht von Anwendungen auf dem Benutzerdesktop gesteuert werden können. Alle Anhebungen finden in Windows Vista standardmäßig auf dem sicheren Desktop statt.

Einrichten eines Kennworts für das eingebaute Administratorkonto

Die folgenden Ausführungen beschreiben im Detail den Status des eingebauten Administratorkontos in Windows Vista:

  • Für Neuinstallationen und für Upgrades deaktiviert, wenn der eingebaute Administrator NICHT der einzige lokale Administrator auf dem Computer ist. Das eingebaute Administratorkonto ist bei Computern in einer Domäne standardmäßig für Installationen und Upgrades deaktiviert.

  • Für Upgrades aktiviert, wenn Windows Vista feststellt, dass das eingebaute Administratorkonto das einzige aktive lokale Administratorkonto auf dem Computer ist. Wenn Windows Vista dies feststellt, wird das eingebaute Administratorkonto auch im Anschluss an das Upgrade aktiviert gehalten. Das eingebaute Administratorkonto ist bei Computern in einer Domäne standardmäßig für Installationen und Upgrades deaktiviert.

Wenn das eingebaute Administratorkonto deaktiviert ist, empfiehlt Microsoft dringend das Einrichten eines Kennworts für das Konto, um Offlineangriffe auf das Konto zu verhindern.

Deaktivieren von UAC

Das Deaktivieren der Einstellung Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen stellt UAC „aus“. Dateien und Ordner werden für nicht UAC-konforme Anwendungen nicht mehr zu Speicherorten auf Benutzerbasis virtualisiert, und alle lokalen Administratoren werden automatisch mit einem Administrator-Vollzugriffstoken angemeldet. Das Deaktivieren dieser Einstellung bewirkt effektiv ein Zurücksetzen von Windows Vista auf das Benutzermodell von Windows XP. Während einige nicht UAC-konforme Anwendungen möglicherweise das Ausschalten von UAC empfehlen, ist dies nicht erforderlich, da Windows Vista standardmäßig für die vor Windows Vista entwickelten oder nicht UAC-konformen Anwendungen Virtualisierung von Ordnern und Registrierung umfasst. Das Ausschalten von UAC öffnet Ihren Computer für systemweite Installationen von Schadsoftware. Wenn diese Einstellung geändert wird, ist ein Neustart des Systems erforderlich, damit diese Änderung wirksam wird.

Deaktivieren von nicht verwendeten UAC-Gruppenrichtlinieneinstellungen

Wann Virtualisierung deaktiviert werden soll:

Virtualisierung ist als Brückentechnologie vorgesehen, um Anwendungen, die nicht UAC-konform sind, eine ordnungsgemäße Ausführung in Windows Vista zu ermöglichen. Wenn der IT-Abteilung bekannt ist, dass nur UAC-konforme Anwendungen im Unternehmen ausgeführt werden, wird die Gruppenrichtlinieneinstellung "Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerspeicherorte virtualisieren" überflüssig.

Wann die Erkennung von Installationsprogrammen deaktiviert werden soll:

Da Installationsprogramme in geschützte Bereiche schreiben, wie etwa das Verzeichnis Programme, müssen für das Win32-Modell Installationsprogramme in einem Administratorkontext ausgeführt werden. Die Einstellung Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern ruft eine Anhebungsaufforderung auf, wenn ein Installationsprogramm erkannt wird. In Unternehmen mit gesperrten Desktops, in denen alle verfügbaren Anwendungen mit SMS oder einer anderen Technologie bereitgestellt werden, ist keine Anhebung bei Installationsvorgängen erforderlich, da die Anhebung automatisch von dem Installerdienst vorgenommen wird, der als SYSTEM ausgeführt wird.

Administratoraufgaben auf Remotecomputern

Ein Benutzer, der Mitglied der Gruppe Domänenadministratoren oder einer anderen Netzwerkgruppe mit ähnlichen Berechtigungen ist, sollte das administratorfähige Konto nur verwenden, wenn der Benutzer Administratoraufgaben ausführt. Dies wird im folgenden Szenario in größerer Tiefe beschrieben:

Carol Philips, eine Helpdeskmitarbeiterin bei Litware, Inc, verfügt über zwei Domänenbenutzerkonten: ein Domänenadministratorkonto und ein Standard-Domänenbenutzerkonto. Das Domänenadministratorkonto ist ein Mitglied der lokalen Administratorgruppe ihrer Arbeitsstation. Carol wurde von ihren Vorgesetzten informiert, das Domänenadministratorkonto nur zu benutzen, wenn sie Aufgaben ausführt, für die ein Administrator-Vollzugriffstoken erforderlich ist. Daher meldet sich Carol bei ihrer Arbeitsstation mit ihrem Benutzerkonto an und verwendet entweder Ausführen als oder die Terminaldienste, wenn sie Administratoraufgaben ausführen muss. Eines Tages fällt Carol auf, dass die Festplatte ihres Computers seit einiger Zeit nicht gesichert wurde. Sie verwendet Ausführen als, um eine Eingabeaufforderung zu öffnen, gibt die Anmeldeinformationen für ihr Administratorkonto ein, gibt dann secedit an der Eingabeaufforderung ein, und drückt EINGABE. Zugleich surft sie als Standardbenutzer im Web und lädt versehentlich Schadsoftware aus dem Internet herunter. Die Schadsoftware kann sich jedoch auf andere Computer im Netzwerk nicht auswirken, da Carol mit einem Standardbenutzerkonto im Internet surfte.

Konfigurieren von vor Windows Vista entwickelten Anwendungen für Kompatibilität mit UAC

Der letzte, aber wichtigste Schritt beim Konfigurieren von UAC besteht darin, sicherzustellen, dass Ihre Software entweder für UAC-Konformität entwickelt oder von der IT-Abteilung für die ordnungsgemäße Funktion mit Windows Vista konfiguriert wurde.

Für neue Anwendungen, die zum Windows Vista-Logo konform sind, muss die Anwendung entweder mit einem Standardbenutzerkonto ausgeführt oder, im Fall eine Administratoranwendung, mit einem Eintrag im Anwendungsmanifest markiert werden. Wenn ein Benutzer versucht, eine Anwendung mit einem Eintrag im Anwendungsmanifest zu starten, informiert Windows Vista den Benutzer, dass er versucht, eine Administratoranwendung zu starten und der Benutzer seine Zustimmung erteilen muss. Weitere Informationen zum Microsoft-Logo-Programm finden Sie auf der Microsoft Windows-Logo-Homepage (http://go.microsoft.com/fwlink/?LinkId=71358).

IT-Abteilungen stellen möglicherweise während des Rollouts von Windows Vista fest, dass ihre vorhandenen Branchenanwendungen nicht mehr ordnungsgemäß funktionieren. Dieses Problem ist höchst wahrscheinlich auf Inkompatibilität der Anwendungen mit den in Windows Vista verwirklichten Verbesserungen zurückzuführen. Microsoft bietet ein Anwendungskompatibilitäts-Toolkit an, das IT-Abteilungen beim Identifizieren der Kompatibilitätsprobleme und beim Erstellen von Fixes zur Anwendungskompatibilität unterstützt – also kleinen Codestücken, die zum Beheben von Kompatibilitätsproblemen von Anwendungen verwendet werden.

IT-Abteilungen stellen möglicherweise fest, dass einige Programme Administratoroperationen ausführen müssen, um in Windows Vista ordnungsgemäß zu funktionieren. Damit dies geschehen kann, muss das Programm markiert werden, damit Benutzer zum Erteilen ihrer Zustimmung aufgefordert werden, bevor die Anwendung mit einem Administrator-Vollzugriffstoken ausgeführt werden kann. Dieser Vorgang des Markierens von Anwendungen wird als Markieren einer Anwendung mit einer angeforderten Ausführungsebene bezeichnet. Das Anwendungskompatibilitäts-Toolkit 5.0 bietet die Mittel zum Erstellen und Installieren der Einträge in der Anwendungskompatibilitätsdatenbank die den Markierungsmechanismus für die angeforderte Ausführungsebene vereinfachen.

Weitere Informationen zur Anwendungskompatibilität und dem Anwendungskompatibilitäts-Toolkit 5.0 finden Sie auf TechNet (http://go.microsoft.com/fwlink/?LinkId=23302).

Markieren von Anwendungen mit den angeforderten Ausführungsebenen für die Anwendungskompatibilität

Die ausgewählte angeforderte Ausführungsebene für eine Anwendung hängt vom Typ der Vorgänge auf Systemebene ab, die von der Anwendung ausgeführt werden sollen. Im Folgenden werden die drei verschiedenen verfügbaren Ausführungsebenen beschrieben.

RunAsInvoker: Die Anwendung sollte mit den gleichen Windows-Rechten und Benutzerrechten wie der übergeordnete Prozess ausgeführt werden. Diese Einstellung ist gleichwertig mit dem Fehlen einer Datenbank für die Anwendungskompatibilität für die Datenbank. Die Anwendung wird mit den gleichen Rechten wie der sie startende übergeordnete Prozess gestartet, wodurch sich die Verwundbarkeit der Anwendung durch Sicherheitsverletzungen verringert. Dies hat die Ursache, dass die übergeordnete Anwendung für die meisten Anwendungen Explorer.exe ist, die als Standardbenutzeranwendung ausgeführt wird. RunAsInvoker-Anwendungen, die von einer cmd.exe-Shell mit vollständigen Administratorrechten ausgeführt werden, würden „wie der Aufrufer“ mit einem Administrator-Vollzugriffstoken ausgeführt.

RunAsHighest:

  • Die Anwendung soll mit den höchsten Windows-Rechten und Benutzerrechten ausgeführt werden, die der aktuelle Benutzer erhalten kann, die Anwendung erfordert jedoch nicht zwangsläufig einen Administrator als Benutzer. Diese Markierung wird für zwei Arten von Anwendungen verwendet.

  • Die Anwendung kann sowohl von Administratoren als auch von Standardbenutzern ausgeführt werden, und sie passt ihr Verhalten entsprechend den Benutzerrechten und -berechtigungen an.

  • Die Anwendung erfordert höhere Rechte und Benutzerrechte als die eines Standardbenutzers, der Benutzer muss jedoch kein Mitglied der lokalen Administratorgruppe sein. Ein Benutzer, der Mitglied der Gruppe Sicherungs-Operatoren ist, stellt ein Beispiel dar. Diese Benutzerklasse kann keine Anwendungen ausführen, die ein Administrator-Vollzugriffstoken erfordern, kann jedoch Sicherungsanwendungen ausführen. In diesem Fall sollte die von Windows Vista entwickelte Sicherungsanwendung als RunAsHighest markiert werden.

RunAsAdmin: Die Anwendung soll nur für Administratoren ausgeführt, muss mit einem Administrator-Vollzugriffstoken gestartet und kann in einem Standardbenutzerkontext nicht ordnungsgemäß ausgeführt werden. Die Markierung der angeforderten Ausführungsebene ist für vor Windows Vista entwickelte Anwendungen reserviert, die eine Mitgliedschaft des Benutzers in der lokalen Administratorengruppe erfordern. Ein Unterschied zwischen Windows Vista und früheren Windows-Versionen, wie etwa Windows XP, besteht darin, dass das Betriebssystem dafür Sorge trägt, dass die Anwendung mit einem Administrator-Vollzugriffstoken ausgeführt wird, wenn sie in der Anwendungskompatibilitätsdatenbank als RunAsAdmin markiert ist. In dem Fall, dass Windows Vista kein Administrator-Vollzugriffstoken abrufen kann, wird die Anwendung nicht gestartet.

Markierung zur Virtualisierung

IT-Abteilungen können die folgende Einstellung verwenden, um die Virtualisierung von Dateien und Ordnern zu steuern.

NoVirtualization: Die Anwendung soll ohne Virtualisierung von Ordnern und Dateien ausgeführt werden. NoVirtualization kann aus zwei Gründen festgelegt werden:

  1. Verringern der Angriffsfläche: Anwendungen, die Virtualisierung zulassen, können durch andere Standardbenutzeranwendungen angegriffen werden. In Windows Vista besteht kein Mechanismus, um zwischen Anwendungen zu unterscheiden, denen das Schreiben an spezifische virtuelle Speicherorte erlaubt ist. Durch Ausschalten der Virtualisierung für Anwendungen, die mit Standardbenutzerkonten gut ausgeführt werden können, wird die Gefahr von Angriffen durch Schadsoftware (die mit Standardbenutzerkonten ausgeführt wird) erheblich verringert.

  2. Verringern von Zeit und Kosten des Debuggings virtualisierter Daten durch den Helpdesk. Wenn Sie wissen, dass die Anwendung als Standardbenutzeranwendung ordnungsgemäß ausgeführt wird, unterstützt das Ausschalten der Virtualisierung Ihre Helpdeskmitarbeiter beim Debuggen der Anwendung, weil sie Anwendungskonfigurationsdaten nicht sowohl an realen als auch an virtuellen Speicherorten untersuchen müssen.

Markierung in der Anwendungskompatibilitätsdatenbank und Startverhalten von Anwendungen

Ob eine Anwendung ausgeführt werden und zur Laufzeit ein Administrator-Vollzugriffstoken erhalten kann, hängt von der Kombination der angeforderten Ausführungsebene der Anwendung in der Anwendungskompatibilitätsdatenbank und den für das Benutzerkonto, das die Anwendung gestartet hat, verfügbaren Rechten und Benutzerrechten ab. In den folgenden Tabellen wird das mögliche Verhalten zur Laufzeit auf der Grundlage solcher möglichen Kombinationen identifiziert.

Ein Administrator im Administratorbestätigungsmodus

 

Zugriffstoken des übergeordneten Prozesses Zustimmungsrichtlinie Keine oder RunAsInvoker RunAsHighest RunAsAdmin

Standardbenutzer

Keine Aufforderung zur Bestätigung

Die Anwendung wird als Standardbenutzer gestartet

Die Anwendung wird mit einem Administrator-Vollzugriffstoken gestartet; keine Aufforderung zur Bestätigung

Die Anwendung wird mit einem Administrator-Vollzugriffstoken gestartet; keine Aufforderung zur Bestätigung

Standardbenutzer

Aufforderung zur Eingabe der Zustimmung

Die Anwendung wird als Standardbenutzer gestartet

Die Anwendung wird mit einem Administrator-Vollzugriffstoken gestartet; Zustimmungsaufforderung

Die Anwendung wird mit einem Administrator-Vollzugriffstoken gestartet; Zustimmungsaufforderung

Standardbenutzer

Aufforderung zur Eingabe der Anmeldeinformationen

Die Anwendung wird als Standardbenutzer gestartet

Die Anwendung wird mit einem Administrator-Vollzugriffstoken gestartet; Administratoranmeldeaufforderung

Die Anwendung wird mit einem Administrator-Vollzugriffstoken gestartet; Administratoranmeldeaufforderung

Administrator (UAC ist deaktiviert)

N/V

Die Anwendung wird mit einem Administrator-Vollzugriffstoken gestartet; keine Aufforderung zur Bestätigung

Die Anwendung wird mit einem Administrator-Vollzugriffstoken gestartet; keine Aufforderung zur Bestätigung

Die Anwendung wird mit einem Administrator-Vollzugriffstoken gestartet; keine Aufforderung zur Bestätigung

Ein Standardbenutzerkonto

 

Zugriffstoken des übergeordneten Prozesses Zustimmungsrichtlinie RunAsInvoker RunAsHighest RunAsAdmin

Standardbenutzer

Keine Aufforderung zur Bestätigung

Die Anwendung wird als Standardbenutzer gestartet

Die Anwendung wird als Standardbenutzer gestartet

Fehler beim Starten der Anwendung

Standardbenutzer

Aufforderung zur Eingabe der Anmeldeinformationen

Die Anwendung wird als Standardbenutzer gestartet

Die Anwendung wird als Standardbenutzer gestartet

Administratoranmeldeaufforderung vor dem Ausführen der Anwendung

Standardbenutzer (UAC ist deaktiviert)

N/V

Die Anwendung wird als Standardbenutzer gestartet

Die Anwendung wird als Standardbenutzer gestartet

Fehler beim Starten der Anwendung

Ein Standardbenutzer mit zusätzlichen Rechten (z. B. ein Sicherungs-Operator)

 

Zugriffstoken des übergeordneten Prozesses Zustimmungsrichtlinie RunAsInvoker RunAsHighest RunAsAdmin

Standardbenutzer

Keine Aufforderung zur Bestätigung

Die Anwendung wird als Standardbenutzer gestartet

Die Anwendung wird als Standardbenutzer gestartet

Fehler beim Starten der Anwendung

Standardbenutzer

Aufforderung zur Eingabe der Anmeldeinformationen

Die Anwendung wird als Standardbenutzer gestartet

Die Anwendung wird als Standardbenutzer gestartet

Administratoranmeldeaufforderung vor dem Ausführen der Anwendung

Standardbenutzer (UAC ist deaktiviert)

N/V

Die Anwendung wird als Standardbenutzer gestartet

Die Anwendung wird als Standardbenutzer gestartet

Fehler beim Starten der Anwendung

Verwenden des Anwendungskompatibilitäts-Toolkits 5.0 zum Erstellen von Fehlerbehebungen für Anwendungen

Das Anwendungskompatibilitäts-Toolkit 5.0 ist eine Reihe kostenloser Anwendungen von Microsoft, die von IT-Abteilungen zum Erstellen von Fehlerbehebungen für Anwendungen verwendet werden kann. Das Anwendungskompatibilitäts-Toolkit wurde für Windows Vista um die Fähigkeit erweitert, Datenbankeinträge für Fehlerbehebungen zur Anwendungskompatibilität zu erstellen, die zum Markieren von Anwendungen für eine angeforderte Ausführungsebene verwendet werden.

Für die Vorgehensweisen in diesem Abschnitt werden die folgenden zwei Tools verwendet, die im Download des Anwendungskompatibilitäts-Toolkits 5.0 enthalten sind:

  • Compatibility Administrator: Ein Tool mit grafischer Benutzeroberfläche, das Unternehmensadministratoren beim Erstellen von Problembehebungen für die Programmkompatibilität für vor Windows Vista erstellte Anwendungen unterstützt.

  • Sdbinst.exe: Ein Befehlszeilentool, das Administratoren beim Installieren von Problembehebungen für die Anwendungskompatibilität für vor Windows Vista erstellte Anwendungen unterstützt.

  • Standardbenutzeranalyse: Ein Tool mit grafischer Benutzeroberfläche, das Unternehmensadministratoren beim Identifizieren von Anwendungen mit Kompatibilitätsproblemen unterstützt.

Verwenden Sie den folgenden Workflow, um administrative Abhängigkeiten in Anwendungen zu identifizieren und Anwendungen mit den angeforderten Ausführungsebenen zu markieren:

noteHinweis
Weitere Informationen über die geeignete Markierung für Anwendungen finden Sie im Abschnitt "Markieren von Anwendungen mit den angeforderten Ausführungsebenen für die Anwendungskompatibilität" in diesem Dokument.

Schritt 1: Installieren Sie den Application Verifier.

Der Application Verifier steht als kostenloser Download auf der Microsoft-Website (http://go.microsoft.com/fwlink/?LinkId=41326) zur Verfügung. Der Application Verifier ist eine Voraussetzung für die Installation der Microsoft-Standardbenutzeranalyse, die Teil des Anwendungskompatibilitäts-Toolkits ist.

Schritt 2: Installieren Sie das Anwendungskompatibilitäts-Toolkit 5.0.

Das Anwendungskompatibilitäts-Toolkit 5.0 steht als kostenloser Download auf der Microsoft-Website (http://go.microsoft.com/fwlink/?LinkId=23302) zur Verfügung.

Schritt 3: Verwenden Sie die Standardbenutzeranalyse, um die vor Windows Vista erstellten Verwaltungsanwendungen zu identifizieren, die in Windows Vista nicht ordnungsgemäß ausgeführt werden.

Die folgende Vorgehensweise veranschaulicht, wie die vor Windows Vista erstellten Verwaltungsanwendungen, die in Windows Vista nicht ordnungsgemäß ausgeführt werden, identifiziert werden können.

So identifizieren Sie Probleme bei der Anwendungskompatibilität in Windows Vista erstellten Anwendungen
  1. Melden Sie sich bei einem Windows Vista-Computer als Standardbenutzer an.

  2. Klicken Sie auf Start, klicken Sie auf Alle Programme, auf Microsoft Anwendungskompatibilitäts-Toolkit 5.0, auf Tools für Entwickler und Tester und dann auf Standardbenutzeranalyse.

  3. Geben Sie in der Standardbenutzeranalyse als Zielanwendung den vollständigen Verzeichnispfad für eine zu prüfende Anwendung an, oder klicken Sie auf die Schaltfläche Durchsuchen, um die ausführbare Programmdatei mit Windows Explorer aufzufinden.

  4. Klicken Sie auf Starten, und geben Sie an der Benutzerkontensteuerung die Administratoranmeldeinformationen ein.

  5. Führen Sie nach dem Starten der Testanwendung Standardverwaltungsaufgaben in der Anwendung aus, und schließen Sie die Anwendung, wenn Sie den Vorgang abgeschlossen haben.

  6. Untersuchen Sie in der Standardbenutzeranalyse die Ausgabe auf den einzelnen Registerkarten. Verwenden Sie diese Daten, um die Kompatibilitätsprobleme zu identifizieren, die möglicherweise beim Programm auftreten.

Darüber hinaus können Sie Tests in Application Verifier als Administrator ausführen, falls ein harter Rechtefehler auftritt. Wenn die Anwendung beispielsweise bei der Ausführung ohne Administratorkonto auf eine Zugriffsverletzung stößt, die zur Beendigung der Anwendung führt, haben Sie nur die Codepfade bis zur Zugriffsverletzung geprüft. Wenn Sie die gleiche Anwendung als Administrator ausführen, können Sie in einigen Fällen die Zugriffsverletzung umgehen und die verbleibenden Codepfade ausführen. Die Protokolle bezeichnen trotzdem noch die Vorgänge, die normalerweise als Standardbenutzer fehlgeschlagen wären.

Schritt 4: Bestimmen Sie die angeforderte Ausführungsebene für jede Anwendung.

Verwenden Sie die in Schritt 3 erfassten Daten, um die richtige angeforderte Ausführungsebene für die Anwendung zu bestimmen.

noteHinweis
Informationen zum Bestimmen, welche angeforderte Ausführungsebene für die Anwendung passend ist, finden Sie im Abschnitt "Markieren einer Anwendung mit einer angeforderten Ausführungsebene".

ImportantWichtig
Geben Sie nur eine angeforderte Ausführungsebene an, die eine ordnungsgemäße Ausführung der Anwendung in Windows Vista ermöglicht, und vermeiden Sie das Anfordern überflüssigen Administratorzugangs mit einer höheren angeforderten Ausführungsebene.

Nachdem Sie die Kompatibilitätsprobleme mit dem Application Verifier identifiziert haben, verwenden Sie die folgende Vorgehensweise, um die Anwendung mit einer angeforderten Ausführungsebene zu markieren.

Schritt 5: Führen Sie das Programm Compatibility Administrator aus, um eine Datenbank zur Problembehebung für die Anwendungskompatibilität zu erstellen.

Diese Vorgehensweise bezieht sich auf die Einstellung Benutzerkontensteuerung: Verhalten der Benutzeraufforderung mit erhöhten Rechten für Administratoren im Administratorbestätigungsmodus bei Konfiguration auf Aufforderung zur Angabe der Zustimmung.

So markieren Sie eine Verwaltungsanwendung mit Compatibility Administrator
  1. Melden Sie sich als Administrator im Administratorbestätigungsmodus bei einem Computer mit Windows Vista an.

  2. Klicken Sie auf Start, auf Alle Programme, auf Zubehör, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und wählen Sie Als Administrator ausführen aus; klicken Sie anschließend an der Anhebungsaufforderung der Benutzersteuerung auf Fortsetzen.

  3. Geben Sie an der Eingabeaufforderung, C:\program files\Microsoft Application Compatibility Toolkit\Compatibility Administrator\Compatadmin.exe ein, und drücken Sie EINGABE.

  4. Klicken Sie in Compatibility Administrator auf das Fix-Symbol.

  5. Geben Sie auf der Seite Create new Application Fix auf der Seite Program information den Programmnamen für Name of the program to be fixed ein, geben Sie den Herstellernamen in Name of the vendor for this program ein, und geben Sie den Speicherort der Programmdatei unter Program file location ein. Klicken Sie dann auf Weiter.

  6. Wählen Sie unter Compatibility Modes die Option None aus, und klicken Sie dann auf Weiter.

  7. Wählen Sie unter Compatibility Fixes die gewünschte Ausführungsebene aus, und klicken Sie dann auf Weiter.

  8. Wählen Sie unter Matching Information die Zuordnungsinformationen für die Anwendung aus, und klicken Sie auf Fertig stellen.

  9. Klicken Sie auf Datei und anschließend auf Speichern.

  10. Geben Sie einen Namen für die Anwendungskompatibilitätsdatenbank ein, und klicken Sie auf OK.

  11. Wählen Sie in Speichern Datenbanknameeinen einen Namen für die Datenbankdatei aus, und klicken Sie dann auf Speichern.

noteHinweis
Das Auswählen von SIZE und PE_CHECKSUM auf der Seite Matching Information des Create New Application Fix-Assistenten stellt sicher, dass die Anwendungs-Problembehebung nicht unabsichtlich auf andere Anwendungen angewendet wird, die den gleichen Namen wie die Zielanwendung aufweisen.

noteHinweis
Wählen Sie einen beschreibenden Namen aus, um die Identifikation der Anwendungskompatibilitäts-Problembehebung zu unterstützen. Der hier angegebene Name wird in der Systemsteuerung unter Programme und Funktionen angezeigt, nachdem die Problembehebung zur Anwendungskompatibilität mithilfe des Befehlszeilentools sdbinst.exe installiert wurde.

noteHinweis
Jede erstellte Anwendungskompatibilitätsdatenbank kann eine oder mehrere Problembehebung(en) zur Anwendungskompatibilität für die angezielten Anwendungen enthalten.

Schritt 6: Installieren Sie die Problembehebung für die Anwendungskompatibilität mit dem Befehl sdbinst.exe auf einem Testcomputer.

So installieren Sie die Problembehebung zu Anwendungskompatibilität
  1. Klicken Sie auf Start, auf Alle Programme, auf Zubehör, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und wählen Sie Als Administrator ausführen aus; klicken Sie anschließend an der Zustimmungsaufforderung der Benutzerkontensteuerung auf Fortsetzen.

  2. Geben Sie an der Eingabeaufforderung "cd %windir%" ein, und drücken Sie EINGABE.

  3. Geben Sie an der Eingabeaufforderung "sdbinst.exe Datenbankname.sdb" ein, und drücken Sie EINGABE.

Entfernen einer Problembehebung aus der Anwendungskompatibilitätsdatenbank

Ein Administrator kann zuvor installierte Einträge in der Anwendungskompatibilitätsdatenbank mithilfe von Programme und Funktionen in der Systemsteuerung entfernen. Das Deinstallieren von Einträgen in der Anwendungskompatibilitätsdatenbank ist nützlich, wenn eine Anwendung in der Umgebung nicht mehr benötigt wird, die Problembehebung jedoch noch vorhanden ist, oder wenn die Problembehebung zur Anwendungskompatibilität ihrerseits Änderungen erfordert.

So entfernen Sie eine Problembehebung zur Anwendungskompatibilität
  1. Melden Sie sich als Administrator im Administratorbestätigungsmodus bei einem Computer mit Windows Vista an.

  2. Wählen Sie auf der Startseite der Systemsteuerung unter Programme den Eintrag Programm deinstallieren aus, und klicken Sie dann an der Zustimmungsaufforderung der Benutzerkontensteuerung auf Fortfahren.

  3. Klicken Sie mit der rechten Maustaste auf die Problembehebung zur Anwendungskompatibilität, und wählen Sie Entfernen aus.

Bereitstellen von Problembehebungen zur Anwendungskompatibilität mit Gruppenrichtlinien

In diesem Abschnitt wird beschrieben, wie die im Abschnitt Running von compatAdmin.exe erstellten Problembehebungen der Anwendungskompatibilitätsdatenbank mithilfe von Gruppenrichtlinien bereitgestellt werden. Die IT-Abteilung kann die folgenden Schritte ausführen:

  1. Erstellen eines benutzerdefinierten Installers als Microsoft Visual Basic-Skript (VBScript).

  2. Erstellen eines Windows-Installerpakets für jede SDB-Datenbank.

  3. Signieren des Windows-Installerpakets mit Authenticode.

  4. Testen des Windows-Installerpakets.

  5. Bereitstellen des Windows-Installerpakets mit Gruppenrichtlinien.

Erstellen eines benutzerdefinierten Installers als Microsoft Visual Basic-Skript (VBScript).

Vor dem Erstellen des Windows-Installerpakets muss die IT-Abteilung ein VBScript erstellen, das die benutzerdefinierte Installation ausführen soll. Dieser Vorgang muss nur einmal ausgeführt werden, und die gleiche Skriptdatei kann für alle anderen Windows-Installerpakete verwendet werden.

Das Folgende ist ein Beispielskript:

'-------------------------------------------------------------------------------------- '  Filename         : setsdb.vbs '  Description      : Installiert den SDB-Eintrag in der appcompat-Datenbank '  Version          : 1.0 '-------------------------------------------------------------------------------------- ' History: '   07-19-2005:  Erstellte Version 1.0

dim Ws myCmdArgs = Session.Property("CustomActionData") setDir = "%ComSpec% /C sdbinst.exe -q " & chr(34) & myCmdArgs & chr(34) set Ws = CreateObject("WScript.Shell") retval = Ws.Run( setDir, 2, true )

Erstellen eines Windows-Installerpakets für jede SDB-Datenbank mit Visual Studio 2005

Das folgende Beispiel verdeutlicht, wie ein Windows-Installerpaket zum Bereitstellen der Problembehebungen zur Anwendungskompatibilität mithilfe von Microsoft Visual Studio 2005 erstellt wird.

So erstellen Sie das Windows-Installerpaket
  1. Klicken Sie auf Start, dann auf Alle Programme, und doppelklicken Sie auf Visual Studio 2005.

  2. Klicken Sie in Visual Studio auf Datei, und klicken Sie dann auf Neues Projekt.

  3. Erweitern Sie auf der Seite Neues Projekt den Eintrag Weitere Projekte, und wählen Sie im linken Bereich Setup- und Bereitstellungsprojekt aus. Wählen Sie im rechten Dateibereich Setup-Projekt aus, geben Sie einen Namen für die Bereitstellung der Problembehebung zur Anwendungskompatibilität ein, und klicken Sie dann auf OK.

  4. Klicken Sie im rechten Bereich im Projektmappen-Explorer mit der rechten Maustaste auf den Namen des Bereitstellungsprojekts, zeigen Sie auf Hinzufügen und dann auf Datei….

  5. Wechseln Sie in Dateien hinzufügen zum Speicherort der SDB-Datenbankdatei, und klicken Sie dann auf Öffnen.

  6. Wiederholen Sie die Schritte 4 und 5, und fügen Sie den Namen des zuvor erstellten VBScripts für die benutzerdefinierte Aktion hinzu.

  7. Klicken Sie im rechten Bereich im Projektmappen-Explorer mit der rechten Maustaste auf den Namen Ihres Bereitstellungsprojekts, zeigen Sie auf Ansicht, und klicken Sie dann auf Benutzerdefinierte Aktionen.

  8. Klicken Sie auf der Registerkarte Benutzerdefinierte Aktionen mit der rechten Maustaste auf den Ordner Commit ausführen, und klicken Sie dann auf Benutzerdefinierte Aktion hinzufügen.

  9. Doppelklicken Sie in Element im Projekt auswählen auf den Ordner Anwendung, wählen Sie die VBScript-Datei aus, und klicken Sie dann auf OK.

  10. Klicken Sie im linken Bereich mit der rechten Maustaste auf die Commit-Aktion mit dem Namen setsdb.vbs, und klicken Sie dann auf das Fenster Eigenschaften.

  11. Fügen Sie der Eigenschaft CustomActionData die folgende Zeile hinzu: [Programmdateiordner][Hersteller]\[Produktname]\[DATEINAME].sdb.

    noteHinweis
    Zwischen [Programmdateiordner] und [Hersteller] steht kein umgekehrter Schrägstrich (\).

  12. Klicken Sie im Menü Datei auf Erstellen und dann auf Projektmappeerstellen. Nach dem Abschluss des Buildvorgangs wird das Windows-Installerpaket dem Debugordner hinzugefügt.

Signieren des Windows-Installerpakets mit Authenticode

Nachdem die IT-Abteilung das Windows-Installerpaket erstellt hat, empfiehlt Microsoft dessen Signierung mit Authenticode, bevor es mit Gruppenrichtlinien bereitgestellt wird. Dieses Dokument wurde in der Annahme geschrieben, dass die IT-Abteilung einen Signaturschlüssel für das Unternehmen erstellt hat, mit dem die Windows-Installerpakete für die Bereitstellung signiert werden. Die in den folgenden Beispielen verwendeten Signatur- und Verifizierungstools sind im Microsoft .NET Framework-SDK (http://go.microsoft.com/fwlink/?LinkId=32131) enthalten.

Das folgende Beispiel zeigt das Signieren des Windows-Installerpakets mit dem Signaturschlüssel des Unternehmens:

signaturcode –v <pfad>ihrschlüssel.pvk –spc <pfad>ihrschlüssel.spc (bereitstellungspaket).msi

Zum Einschließen eines Zeitstempels in die Signatur nehmen Sie den folgenden Parameter in die Eingabeaufforderung auf:

–t http://timestamp.verisign.com/scripts/timstamp.dll 

Die IT-Abteilung kann die Gültigkeit der Signatur mit dem folgenden Befehl überprüfen:

ckhtrust (bereitstellungspaket).msi

Wenn die Gültigkeit der Datei bestätigt wird und das Signaturzertifikat in einer Kette zu einem vertrauenswürdigen Herausgeberzertifikat in Ihrer Umgebung zurückverfolgt werden kann, gibt chktrust.exe einfach einen erfolgreichen Rückgabecode zurück.

Weitere Informationen zur Microsoft Authenticode-Technologie finden Sie auf MSDN (http://go.microsoft.com/fwlink/?LinkId=71361).

Testen des Windows-Installerpakets

Nachdem die IT-Abteilung das Windows-Installerpaket erstellt hat, kann sie das Paket durch Kopieren der Windows-Installerdatei auf einen Zielcomputer und anschließendes Doppelklicken auf die Datei zum Öffnen des Microsoft Windows-Setup-Assistenten testen. Die folgende Vorgehensweise stellt ein Beispiel für das Testen eines Windows-Installerpakets dar.

So testen Sie das Windows-Installerpaket
  1. Suchen Sie die Windows-Installerdatei (MSI-Datei) auf, und doppelklicken Sie darauf, um das Setupprogramm zu starten.

  2. Wählen Sie auf der Seite [NameDesWindowsInstallerPakets]-Installationsordner auswählen den Installationsordner aus, und klicken Sie dann auf Weiter.

  3. Klicken Sie auf der Seite Installation bestätigen auf Weiter.

  4. Klicken Sie auf der Seite Installation beendet auf Schließen.

  5. Klicken Sie auf Start, auf Systemsteuerung, und doppelklicken Sie anschließend auf Programme und Funktionen.

  6. Überprüfen Sie im Applet Programme und Funktionen der Systemsteuerung, ob das Installationsprogramm für die Problembehebung zur Anwendungskompatibilität und die Einträge zur Anwendungskompatibilität vorhanden sind.

Bereitstellen des Windows-Installerpakets mit Gruppenrichtlinien

Durch Verwenden von Gruppenrichtlinien kann die IT-Abteilung sicherstellen, dass alle Problembehebungen zur Anwendungskompatibilität automatisch auf allen betreuten Clientcomputern bereitgestellt werden können. Dieser Abschnitt enthält die grundlegenden Schritte, die von der IT-Abteilung zum Einrichten dieser Bereitstellung verwendet werden können. Weitere Informationen zum Staging von Bereitstellungen mithilfe von Gruppenrichtlinien finden Sie auf TechNet (http://go.microsoft.com/fwlink/?LinkId=71349).

Im ersten Schritt wird das Windows Installer-Bereitstellungspaket auf einer Dateifreigabe platziert, die von allen Computern erreichbar ist, die die Problembehebung erhalten sollen. Diese kann die gesamte Domäne oder auf eine Organisationseinheiten (OUs) eingeschränkt sein. Microsoft empfiehlt, dass die IT-Abteilung sicherstellt, dass das Windows-Installerpaket über den richtigen ACL-Eintrag (Access Control List, Zugriffssteuerungsliste) für die Dateifreigabe verfügt, um den Zugriff nur auf geeignete Computer zuzulassen.

Führen Sie die folgende Vorgehensweise aus, sobald sich die Windows-Installerdatei am Speicherort befindet. Sie müssen sich als Domänenadministrator anmelden, um diese Prozedur auszuführen.

Hinzufügen der Gruppenrichtlinie zu Active Directory
  1. Klicken Sie auf Start, zeigen Sie auf Alle Programme und Verwaltung, und klicken Sie anschließend auf Active Directory-Benutzer und -Computer.

  2. Klicken Sie mit der rechten Maustaste im Konsolenbereich (auf der linken Seite) auf den Domänennamen, und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie auf der Seite Eigenschaften auf die Registerkarte Gruppenrichtlinien.

  4. Klicken Sie auf der Registerkarte Gruppenrichtlinien auf Neu, und geben Sie dann einen Namen für das neue Gruppenrichtlinienobjekt (GPO) ein.

  5. Markieren Sie das neu erstellte GPO, und klicken Sie dann auf Eigenschaften.

  6. Da Problembehebungen zur Anwendungskompatibilität auf die Computer in der Domäne und nicht auf die Benutzer angewendet werden, aktivieren Sie das Kontrollkästchen Benutzerdefinierte Konfigurationseinstellungen deaktivieren. Wenn ein Bestätigungsdialogfeld angezeigt wird, klicken Sie auf Ja.

  7. Klicken Sie auf die Registerkarte Sicherheit, und fügen Sie alle erforderlichen ACLs hinzu, um den Domänencomputern den Zugriff zu erteilen. Stellen Sie sicher, dass Lesen und Gruppenrichtlinie übernehmen aktiviert ist, und klicken Sie dann auf OK.

  8. Klicken Sie auf der Seite Eigenschaften auf Bearbeiten.

  9. Erweitern Sie im Gruppenrichtlinienobjekt-Editor im Konsolenbereich den Knoten Computerkonfiguration, und erweitern Sie dann Softwareeinstellungen.

  10. Klicken Sie im Detailbereich mit der rechten Maustaste auf Softwareinstallation, klicken Sie auf Neu, und klicken Sie dann auf Paket.

  11. Wählen Sie das bereitzustellende Paket im Dialogfeld Öffnen aus, und klicken Sie dann auf Öffnen.

  12. Wählen Sie im Dialogfeld Software bereitstellen den Eintrag Zugewiesen aus, und klicken Sie dann auf OK.

  13. Schließen Sie den Gruppenrichtlinienobjekt-Editor.

  14. Schließen Sie die Seite Eigenschaften.

  15. Beenden Sie Active Directory-Benutzer und -Computer.

noteHinweis
Schritt 12 in der vorstehenden Vorgehensweise bewirkt die Installation des Pakets auf den Zielcomputern völlig ohne Benutzereingriff. Anschließend wird das ausgewählte Windows-Installerpaket im Gruppenrichtlinienobjekt-Editor angezeigt.

Testen und Prüfen der Windows-Installer-Bereitstellung

Verwenden Sie die folgende Vorgehensweise, um die Bereitstellung des Windows-Installers zu testen.

So testen Sie die Bereitstellung des Windows-Installers
  1. Führen Sie einen Neustart eines Computers mit Domänenmitgliedschaft aus.

  2. Bevor der Benutzeranmeldebildschirm angezeigt wird, installiert die Gruppenrichtlinie das Windows-Installerpaket automatisch auf dem Computer.

Verwenden Sie die folgende Vorgehensweise, um die Bereitstellung des Windows-Installers zu überprüfen.

So überprüfen Sie die Bereitstellung des Windows-Installers
  1. Melden Sie sich bei dem in der vorhergehenden Prozedur verwendeten Computer als Administrator im Administratorbestätigungsmodus an.

  2. Klicken Sie auf Start, und klicken Sie dann auf Systemsteuerung.

  3. Klicken Sie auf der Startseite der Systemsteuerung auf Programme, und klicken Sie dann auf Installierte Programme.

  4. Überprüfen Sie in Programm hinzufügen oder entfernen, ob das Windows-Installerpaket und der Eintrag der Anwendungskompatibilitätsdatenbank installiert wurden.

Zusammenfassung

UAC stellt einen neuen Ansatz zur Verbesserung der Computersicherheit dar, indem die Weise, in der Anwendungen mit dem Betriebssystem und seinen Dateien zusammenarbeiten, grundlegend geändert wird. Microsoft arbeitet mit Entwicklern zusammen, um Technologien, mit denen sich der Einfluss von Schadsoftware verringern lässt, kontinuierlich zu verbessern und neu zu entwickeln. Mit UAC und bei Benutzung von Windows als Standardbenutzer sind Organisationen und Endbenutzer erheblich weniger anfällig für Verletzungen der Sicherheit, die das System schädigen. Mit der Veröffentlichung von Windows Vista hat Microsoft einen Mechanismus für das Ausführen von Anwendungen im Standardbenutzermodus und für das Ausführen häufiger Konfigurationsaufgaben am Betriebssystem entwickelt, für die normalerweise ein Administrator-Vollzugriffstoken erforderlich ist.

Feedback

Bitte richten Sie Ihr Feedback zu diesem und anderen UAC-Dokument(en) an die Feedbackliste zur Benutzerkontensteuerungs-Dokumentation. Das UAC-Team wird jede Anstrengung unternehmen, um sicherzustellen, das Ihre Anwendungen und Kommentare berücksichtigt werden.

Weitere Informationen zu UAC

  • Entwickler, die am Verbessern des Zusammenwirkens ihrer Anwendungen mit UAC interessiert sind, sollten das Dokument „Windows Vista-Entwicklungsanforderungen für die Kompatibilität zur Benutzerkontensteuerung“ auf MSDN (http://go.microsoft.com/fwlink/?LinkId=66021) (englischsprachig) lesen.

  • Das Dokument „Erste Schritte in der Benutzerkontensteuerung in Windows Vista“ auf TechNet (http://go.microsoft.com/fwlink/?LinkID=66021) (englischsprachig) ist dafür vorgesehen, Informationen über UAC für Leiter/innen der IT-Abteilung und IT-Entscheidungsträger sowie für das Bereitstellen von Test Lab-Informationen bereitzustellen.

  • Das UAC-Teamblog (http://go.microsoft.com/fwlink/?LinkID=62676) enthält Informationen für ISVs, IT-Experten und alle anderen an UAC Interessierten. Wir freuen uns über Ihre Kommentare und Fragen.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft