Sicherheitsrichtlinieneinstellungen für die Benutzerkontensteuerung

  • Artikel

Sie können mithilfe von Sicherheitsrichtlinien die Funktionsweise der Benutzerkontensteuerung in Ihrer Organisation konfigurieren. Diese Richtlinien können lokal über das Snap-In „Lokale Sicherheitsrichtlinie“ (secpol.msc) oder mithilfe der Gruppenrichtlinie für die Domäne, eine Organisationseinheit oder für spezifische Gruppen konfiguriert werden.

Benutzerkontensteuerung: Administratorgenehmigungsmodus für das integrierte Administratorkonto

Diese Richtlinieneinstellung steuert das Verhalten des Administratorgenehmigungsmodus für das integrierte Administratorkonto.

  • Aktiviert: Für das integrierte Administratorkonto wird der Administratorgenehmigungsmodus verwendet. Standardmäßig wird der Benutzer bei jedem Vorgang, der erhöhte Rechte erfordert, zur Genehmigung des Vorgangs aufgefordert.

  • Deaktiviert (Standardeinstellung): Im integrierten Administratorkonto werden alle Anwendungen mit vollständigen Administratorrechten ausgeführt.

Benutzerkontensteuerung: UIAccess-Anwendungen das Anfordern erhöhter Rechte ohne Verwendung des sicheren Desktop erlauben

Mit dieser Richtlinieneinstellung wird gesteuert, ob Programme für die Barrierefreiheit der Benutzeroberfläche (UIAccess oder UIA) den sicheren Desktop für von einem Standardbenutzer verwendete Eingabeaufforderungen für erhöhte Rechte automatisch deaktivieren können.

  • Aktiviert: Von UIA-Programmen, einschließlich Windows-Remoteunterstützung, wird automatisch der sichere Desktop für Eingabeaufforderung für erhöhte Rechte deaktiviert. Sofern Sie nicht auch die Richtlinieneinstellung „Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln“ deaktiviert haben, werden die Benutzeraufforderungen auf dem Desktop des interaktiven Benutzers anstatt auf dem sicheren Desktop angezeigt.

  • Deaktiviert (Standardeinstellung): Der sichere Desktop kann nur vom Benutzer des interaktiven Desktops oder durch Deaktivieren der Richtlinieneinstellung „Benutzerkontensteuerung: Bei Eingabeaufforderung für erhöhte Rechte zum sicheren Desktop wechseln“ deaktiviert werden.

Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorgenehmigungsmodus

Diese Richtlinieneinstellung steuert das Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren.

  • Erhöhte Rechte ohne Eingabeaufforderung: Ermöglicht privilegierten Konten das Ausführen eines Vorgangs, für den Rechteerweiterungen, jedoch keine Zustimmung oder Anmeldeinformationen erforderlich sind.

    Hinweis  Verwenden Sie diese Option nur in Umgebungen, in denen besonders starke Einschränkungen gelten.

     

  • Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop: Wenn für einen Vorgang Rechteerweiterungen erforderlich sind, wird der Benutzer auf dem sicheren Desktop zur Eingabe eines privilegierten Benutzernamens und -kennworts aufgefordert. Gibt der Benutzer gültige Anmeldeinformationen ein, wird der Vorgang mit der höchsten verfügbaren Berechtigung des Benutzers fortgesetzt.

  • Eingabeaufforderung zur Zustimmung auf dem sicheren Desktop: Wenn für einen Vorgang Rechteerweiterungen erforderlich sind, wird der Benutzer auf dem sicheren Desktop dazu aufgefordert, entweder „Zulassen“ oder „Verweigern“ auszuwählen. Wählt der Benutzer „Zulassen“ aus, wird der Vorgang mit der höchsten verfügbaren Berechtigung des Benutzers fortgesetzt.

  • Eingabeaufforderung zu Anmeldeinformationen: Wenn für einen Vorgang Rechteerweiterungen erforderlich sind, wird der Benutzer zur Eingabe eines Benutzernamens und -kennworts mit Administratorrechten aufgefordert. Gibt der Benutzer gültige Anmeldeinformationen ein, wird der Vorgang mit der entsprechenden Berechtigung fortgesetzt.

  • Eingabeaufforderung zur Zustimmung: Wenn für einen Vorgang Rechteerweiterungen erforderlich sind, wird der Benutzer dazu aufgefordert, entweder „Zulassen“ oder „Verweigern“ auszuwählen. Wählt der Benutzer „Zulassen“ aus, wird der Vorgang mit der höchsten verfügbaren Berechtigung des Benutzers fortgesetzt.

  • Eingabeaufforderung zur Zustimmung für Nicht-Windows-Binärdateien (Standardeinstellung): Wenn für einen Vorgang für eine Nicht-Microsoft-Anwendung Rechteerweiterungen erforderlich sind, wird der Benutzer auf dem sicheren Desktop dazu aufgefordert, entweder „Zulassen“ oder „Verweigern“ auszuwählen. Wählt der Benutzer „Zulassen“ aus, wird der Vorgang mit der höchsten verfügbaren Berechtigung des Benutzers fortgesetzt.

Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer

Diese Richtlinieneinstellung steuert das Verhalten der Eingabeaufforderung für Standardbenutzer.

  • Eingabeaufforderung zu Anmeldeinformationen (Standardeinstellung): Wenn für einen Vorgang Rechteerweiterungen erforderlich sind, wird der Benutzer zur Eingabe eines Benutzernamens und -kennworts mit Administratorrechten aufgefordert. Gibt der Benutzer gültige Anmeldeinformationen ein, wird der Vorgang mit der entsprechenden Berechtigung fortgesetzt.

  • Anforderungen für erhöhte Rechte automatisch ablehnen: Wenn für einen Vorgang Rechteerweiterungen erforderlich sind, wird eine konfigurierbare Meldung für Zugriffsfehler angezeigt. Unternehmen, in denen Desktopcomputer als Standardbenutzer ausgeführt werden, können diese Einstellung wählen, um die Anzahl der Anrufe beim Helpdesk zu verringern.

  • Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop: Wenn für einen Vorgang Rechteerweiterungen erforderlich sind, wird der Benutzer auf dem sicheren Desktop zur Eingabe eines anderen Benutzernamens und -kennworts aufgefordert. Gibt der Benutzer gültige Anmeldeinformationen ein, wird der Vorgang mit der entsprechenden Berechtigung fortgesetzt.

Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern

Diese Richtlinieneinstellung steuert das Verhalten der Anwendungsinstallationserkennung für den Computer.

  • Aktiviert (Standardeinstellung): Wird ein App-Installationspaket erkannt, für das Rechteerweiterungen erforderlich sind, wird der Benutzer zur Eingabe eines Benutzernamens und -kennworts mit Administratorrechten aufgefordert. Gibt der Benutzer gültige Anmeldeinformationen ein, wird der Vorgang mit der entsprechenden Berechtigung fortgesetzt.
  • Deaktiviert: App-Installationspakete werden nicht erkannt, und es werden keine Rechteerweiterungen angefordert. In Unternehmen, in denen Desktopcomputer als Standardbenutzer ausgeführt und delegierte Installationstechnologien wie Gruppenrichtlinien oder System Center Configuration Manager verwendet werden, sollte die Richtlinieneinstellung deaktiviert werden. In diesem Fall ist die Erkennung des Installationsprogramms unnötig.

Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und überprüft sind

Mit dieser Richtlinieneinstellung werden Public Key Infrastructure (PKI)-Signaturüberprüfungen für alle interaktiven Anwendungen erzwungen, die Rechteerweiterungen erfordern. Administratoren in Unternehmen können steuern, welche Anwendungen durch Hinzufügen von Zertifikaten im Speicher für vertrauenswürdige Herausgeber auf lokalen Computern ausgeführt werden dürfen.

  • Aktiviert: Erzwingt die Überprüfung des PKI-Zertifizierungspfads für eine angegebene ausführbare Datei, bevor sie ausgeführt werden darf.

  • Deaktiviert (Standardeinstellung): Erzwingt nicht die Überprüfung des Zertifizierungspfads für das Zertifikat, bevor eine angegebene ausführbare Datei ausgeführt werden darf.

Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sind

Mit dieser Richtlinieneinstellung wird gesteuert, ob sich Anwendungen, die gemäß Anforderung mit einer Integritätsebene für die Barrierefreiheit der Benutzeroberfläche (UIAccess) ausgeführt werden sollen, an einem sicheren Ort im Dateisystem befinden müssen. Sichere Speicherorte sind auf die folgenden Verzeichnisse begrenzt: - …\Programme\, einschließlich Unterverzeichnissen - …\Windows\system32\ - …\Programme (x86)\, einschließlich Unterverzeichnissen für 64-Bit-Versionen von Windows

Hinweis  

Von Windows wird unabhängig vom Status dieser Sicherheitseinstellung eine Public Key Infrastructure (PKI)-Signaturüberprüfung für jede interaktive App erzwungen, von der eine Ausführung mit einer UIAccess-Integritätsebene angefordert wird.

 

  • Aktiviert (Standardeinstellung): Befindet sich eine App an einem sicheren Ort im Dateisystem, wird sie nur mit UIAccess-Integrität ausgeführt.

  • Deaktiviert: Eine App wird auch dann mit UIAccess-Integrität gestartet, wenn sie sich nicht an einem sicheren Ort im Dateisystem befindet.

Benutzerkontensteuerung: Administratorgenehmigungsmodus aktivieren

Mit dieser Richtlinieneinstellung wird das Verhalten aller Richtlinieneinstellungen der Benutzerkontensteuerung (UAC) für den Computer gesteuert. Wenn Sie diese Richtlinieneinstellung ändern, müssen Sie den Computer neu starten.

  • Aktiviert (Standardeinstellung): Der Administratorgenehmigungsmodus ist aktiviert. Die Richtlinie muss aktiviert werden, und zugehörige UAC-Richtlinieneinstellungen müssen ebenfalls ordnungsgemäß festgelegt werden, um die Ausführung des integrierten Administratorkontos und aller anderen Benutzer, die Mitglieder der Administratorgruppe sind, im Administratorgenehmigungsmodus zu ermöglichen.

  • Deaktiviert: Der Administratorgenehmigungsmodus und alle zugehörigen UAC-Richtlinieneinstellungen werden deaktiviert. Hinweis: Wird die Richtlinieneinstellung deaktiviert, werden Sie vom Sicherheitscenter benachrichtigt, dass sich die Gesamtsicherheit des Betriebssystems reduziert hat.

Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln

Mit dieser Richtlinieneinstellung wird gesteuert, ob die Anforderung für erhöhte Rechte auf dem interaktiven Benutzerdesktop oder auf dem sicheren Desktop angezeigt wird.

  • Aktiviert (Standardeinstellung): Alle Anforderungen für erhöhte Rechte werden auf dem sicheren Desktop angezeigt. Dies geschieht unabhängig von den für Administratoren und Standardbenutzer geltenden Richtlinieneinstellungen für das Eingabeaufforderungsverhalten.

  • Deaktiviert: Alle Anforderungen für erhöhte Rechte werden auf dem interaktiven Benutzerdesktop angezeigt. Es werden die für Administratoren und Benutzer geltenden Richtlinieneinstellungen für das Eingabeaufforderungsverhalten verwendet.

Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisieren

Mit dieser Richtlinieneinstellung wird gesteuert, ob Schreibfehler in Anwendungen an festgelegte Orte in der Registrierung und im Dateisystem umgeleitet werden. Mit der Richtlinieneinstellung werden Anwendungen aufgefangen, die unter dem Administratorkonto ausgeführt werden, und von denen Laufzeitanwendungsdaten in „%Programme%“, „%Windir%“, %„Windir%\system32“ oder „HKLM\Software\“ geschrieben werden.

  • Aktiviert (Standardeinstellung): Schreibfehler in Apps werden zur Laufzeit an definierte Benutzerorte für das Dateisystem und die Registrierung umgeleitet.

  • Deaktiviert: Für Apps, von denen Daten in geschützte Orte geschrieben werden, wird ein Fehler zurückgegeben.