Benutzerkontensteuerung: Administratorgenehmigungsmodus für das integrierte Administratorkonto
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Benutzerkontensteuerung: Administratorgenehmigungsmodus für das integrierte Administratorkonto beschrieben.
Referenz
Diese Richtlinieneinstellung legt das Verhalten des Administratorgenehmigungsmodus für das integrierte Administratorkonto fest.
Wenn der Administratorgenehmigungsmodus aktiviert ist, funktioniert das lokale Administratorkonto wie ein Standardbenutzerkonto, ist jedoch in der Lage, Rechte zu erhöhen, ohne dass eine Anmeldung oder das Verwenden eines anderen Kontos erforderlich sind. In diesem Modus wird für alle Vorgänge, für die Rechte erhöht werden müssen, eine Eingabeaufforderung angezeigt, die dem Administrator ermöglicht, die Erhöhung der Rechte zuzulassen oder abzulehnen. Wenn der Administratorgenehmigungsmodus nicht aktiviert ist, wird das das integrierte Administratorkonto im Windows XP-Modus angemeldet, und alle Anwendungen werden standardmäßig mit vollständigen Administratorrechten ausgeführt. Standardmäßig ist diese Einstellung als Deaktiviert festgelegt.
Hinweis
Wenn ein Computer von einer früheren Version des Windows-Betriebssystems aktualisiert wurde, und das Administratorkonto das einzige Konto auf dem Computer ist, bleiben das integrierte Administratorkonto und diese Einstellung aktiviert.
Mögliche Werte
Aktiviert
Das integrierte Administratorkonto wird im Administratorgenehmigungsmodus angemeldet, sodass für alle Vorgänge, für die erhöhte Rechte erforderlich sind, eine Eingabeaufforderung angezeigt wird. Der Administrator kann so die Erhöhung der Rechte genehmigen oder ablehnen.
Deaktiviert
Das integrierte Administratorkonto wird im Windows XP-Modus angemeldet, und alle Anwendungen werden standardmäßig mit vollständigen Administratorrechten ausgeführt.
Bewährte Methoden
- Aktivieren Sie das integrierte Administratorkonto nicht auf dem Clientcomputer, sondern verwenden Sie das Standardbenutzerkonto und die Benutzerkontensteuerung (UAC).
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Deaktiviert |
Effektive Standardeinstellungen für DC |
Deaktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Deaktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Deaktiviert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Funktionen und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Die Benutzerkontensteuerung (UAC) soll u. a. das Risiko minimieren, dass Schadsoftware unter erhöhten Rechten ausgeführt wird, ohne dass sich der Benutzer oder der Administrator dieser Aktivität bewusst sind. Eine Angriffstaktik von Schadprogrammen besteht in der Erkennung des Kennworts des Administratorkontos, da dieses Benutzerkonto für alle Installationen des Windows-Betriebssystems erstellt wurde. Um dieses Risiko zu beseitigen, ist das integrierte Administratorkonto auf Computern mit dem Betriebssystem Windows Vista oder höher deaktiviert. Auf Computern mit dem Betriebssystem Windows Server 2008 oder höher ist das Administratorkonto aktiviert, und das Kennwort muss geändert werden, wenn sich der Administrator zum ersten Mal anmeldet. Im Fall einer Standardinstallation eines Computer mit Windows Vista oder höher werden Konten mit administrative Kontrolle über den Computer zunächst auf eine von zwei Arten eingerichtet:
Wenn der Computer keiner Domäne angehört, verfügt das erste von Ihnen erstellte Benutzerkonto über die gleichen Berechtigungen wie ein lokaler Administrator.
Wenn der Computer einer Domäne angehört, werden keine lokalen Administratorkonten erstellt. Der Unternehmens- oder Domänenadministrator muss sich am Computer anmelden und ein lokales Administratorkonto erstellen, wenn ein solches gerechtfertigt ist.
Gegenmaßnahme
Aktivieren Sie die Einstellung Benutzerkontensteuerung: Administratorbestätigungsmodus für das integrierte Administratorkonto, wenn Sie das integrierte Administratorkonto aktiviert haben.
Mögliche Auswirkung
Benutzer, die sich mit dem lokalen Administratorkonto anmelden, werden zur Bestätigung aufgefordert, wenn ein Programm eine Erhöhung der Rechte anfordert.