Benutzerkontensteuerung: UIAccess-Anwendungen können erhöhte Rechte ohne sicheren Desktop anfordern
Hier werden bewährte Methoden, Speicherort, Werte und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Benutzerkontensteuerung: UIAccess-Anwendungen können erhöhte Rechte ohne sicheren Desktop anfordern beschrieben.
Referenz
Mit dieser Sicherheitseinstellung wird gesteuert, ob Programme für die Barrierefreiheit der Benutzeroberfläche (UIAccess oder UIA) für Eingabeaufforderungen für erhöhte Rechte, die von Standardbenutzer verwendet werden, den sicheren Desktop automatisch deaktivieren können.
Hinweis
Diese Einstellung ändert das Verhalten der UAC-Eingabeaufforderung für erhöhte Rechte für Administratoren nicht.
Hintergrund
Die Benutzeroberflächen-Rechteisolierung (User Interface Privilege Isolation, UIPI) implementiert Einschränkungen im Windows-Subsystem, die verhindern, dass Anwendungen mit niedrigeren Berechtigungen Nachrichten senden oder Hooks in Prozessen mit höheren Berechtigungen installieren. Anwendungen mit höheren Berechtigungen dürfen Nachrichten an Prozesse mit niedrigeren Berechtigungen senden. UIPI beeinträchtigt oder ändert das Verhalten von Nachrichten zwischen Anwendungen mit der gleichen Berechtigungsstufe (oder Integritätsstufe) nicht.
Die Microsoft-Benutzeroberflächenautomatisierung stellt das aktuelle Modell für die Unterstützung von Anforderungen an die Barrierefreiheit in Windows-Betriebssystemen dar. Anwendungen, die für die Unterstützung einer barrierefreien Benutzerumgebung entworfen wurden, steuern das Verhalten anderer Windows-Anwendungen für den Benutzer. Wenn alle Anwendungen auf dem Automatisierungsclientcomputer und -server als Standardbenutzer ausgeführt werden (d. h. auf einer Ebene mittlerer Integrität), beeinträchtigen die UIPI-Einschränkungen das Microsoft-Modell für die Benutzeroberflächenautomatisierung nicht.
Möglicherweise gibt es jedoch Zeiten, in denen ein Benutzer mit Administratorrechten eine Anwendung mit erhöhten Berechtigungen basierend auf UAC im Administratorgenehmigungsmodus ausführt. Die Microsoft-Benutzeroberflächenautomatisierung kann die Benutzeroberflächengrafiken von Anwendungen mit erhöhten Rechten auf dem Desktop nicht unterstützen, wenn sie die von UIPI implementierten Einschränkungen nicht umgehen kann. Programme für die Oberflächenautomatisierung können mithilfe von UIAcess UIPI-Einschränkungen über Berechtigungsebenen hinweg umgehen.
Wenn eine Anwendung bei der Anforderung von Berechtigungen ein UIAccess-Attribut angibt, fordert die Anwendung die Umgehung von UIPI-Einschränkungen zum Senden von Nachrichten über Berechtigungsebenen hinweg an. Geräte implementieren die folgenden Richtlinienprüfungen, bevor eine Anwendung mit UIAcess-Berechtigung gestartet wird.
Die Anwendung muss eine digitale Signatur besitzen, die mittels eines digitalen Zertifikats überprüft werden kann, das mit dem Store für vertrauenswürdige Stammzertifizierungsstellen auf dem lokalen Computer verknüpft ist.
Die Anwendung muss in einem lokalen Ordner installiert sein, in dem nur Administratoren schreiben können, z. B. im Verzeichnis „Programme“. Die zulässigen Verzeichnisse für die Benutzeroberflächenautomatisierungs-Apps sind:
%Programme% und Unterverzeichnisse.
%windir% und Unterverzeichnisse mit Ausnahme einiger Unterverzeichnisse, die ausgeschlossen werden, da Standardbenutzer Schreibzugriff haben.
Resultierendes Verhalten
Wenn diese Einstellung aktiviert ist, können UIAcess-Programme (einschließlich Windows-Remoteunterstützung) den sicheren Desktop für Eingabeaufforderungen für erhöhte Rechte automatisch deaktivieren. Wenn Sie Eingabeaufforderungen für erhöhte Rechte nicht ebenfalls deaktiviert haben, werden die Eingabeaufforderungen auf dem interaktiven Benutzerdesktop und nicht auf dem sicheren Desktop angezeigt. Die Eingabeaufforderungen werden auch in der Desktopansicht des Remoteadministrators während Windows-Remoteunterstützungsitzungen angezeigt, und der Remoteadministrator kann die entsprechenden Anmeldeinformationen für die Erhöhung bereitstellen.
Wenn Sie diese Einstellung deaktivieren, kann der sichere Desktop nur vom Benutzer des interaktiven Desktops oder durch Deaktivieren der Einstellung Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln deaktiviert werden, die standardmäßig aktiviert ist.
Mögliche Werte
Aktiviert
UIA-Programme können den sicheren Desktop für erhöhte Rechte automatisch deaktivieren. Wenn Sie die Eingabeaufforderungen nicht ebenfalls deaktiviert haben, werden die Eingabeaufforderungen auf dem interaktiven Desktop des Benutzers und nicht auf dem sicheren Desktop angezeigt. Die Eingabeaufforderungen werden auch in der Desktopansicht des Remoteadministrators während Windows-Remoteunterstützungsitzungen angezeigt, und der Remoteadministrator kann die entsprechenden Anmeldeinformationen für die Erhöhung bereitstellen.
Deaktiviert
Der sichere Desktop kann nur vom Benutzer des interaktiven Desktops oder durch Deaktivieren der Richtlinieneinstellung Benutzerkontensteuerung: Bei Eingabeaufforderung für erhöhte Rechte zum sicheren Desktop wechseln deaktiviert werden.
Bewährte Methoden
- Die bewährten Methoden sind von den Sicherheitsrichtlinien und den Anforderungen an den Remotebetrieb abhängig.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Deaktiviert |
Effektive Standardeinstellungen für DC |
Deaktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Deaktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Deaktiviert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Funktionen und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Computers in Kraft.
Gruppenrichtlinie
Alle Überwachungsfunktionen sind in die Gruppenrichtlinie integriert. Sie können diese Einstellungen auf der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) oder im Snap-In „Lokale Sicherheitsrichtlinie“ für eine Domäne, Website oder Organisationseinheit (Organizational Unit, OU) konfigurieren, bereitstellen und verwalten.
Richtlinieninteraktionen
Wenn Sie diese Einstellung aktivieren möchten, sollten Sie auch die Auswirkungen der Einstellung Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer überprüfen. Wenn diese als Anforderungen für erhöhte Rechte automatisch ablehnen konfiguriert sind, werden dem Benutzer keine Anforderungen hinsichtlich erhöhter Rechte angezeigt. Wenn Sie diese Einstellung deaktivieren, kann der sichere Desktop nur vom Benutzer des interaktiven Desktops oder durch Deaktivieren der Einstellung Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln deaktiviert werden, die standardmäßig aktiviert ist.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
UIA-Programme wurden für die Interaktion mit Windows und Anwendungsprogrammen im Auftrag des Benutzers entwickelt. Mithilfe dieser Einstellung können UIA-Programme den sicheren Desktop umgehen, um die Benutzerfreundlichkeit in bestimmten Fällen zu verbessern. Sie lässt jedoch auch die Anzeige von Anforderungen für erhöhte Rechte auf dem regulären interaktiven Desktop anstelle des sicheren Desktops zu. Dies erhöht das Risiko, das schädliche Programme Daten abfangen können, die zwischen der Benutzeroberfläche und der Anwendung übertragen werden. Da UIA-Programme in der Lage sein müssen, auf sicherheitsrelevante Benutzeraufforderungen antworten zu können, z. B. auf die Benutzeraufforderungen für erhöhte Rechte der Benutzerkontosteuerung, müssen UIA-Programme sehr vertrauenswürdig sein. Ein UIA-Programm muss digital signiert sein, um als vertrauenswürdig angesehen zu werden. UIA-Programme können standardmäßig nur von folgenden geschützten Pfaden ausgeführt werden:
..\Programme\ (und Unterordner)
..\Programme (x86)\ (und Unterordner, nur in 64-Bit-Versionen von Windows)
..\Windows\System32\
Die Anforderung zum Ausführen von einem geschützten Pfad kann mit der Einstellung Benutzerkontensteuerung: Nur erhöhte Rechte für UIAccess-Anwendungen, die an sicheren Orten installiert sind deaktiviert werden. Obwohl diese Einstellung für alle UIA-Programme gilt, wird sie hauptsächlich in bestimmten Szenarien der Windows-Remoteunterstützung verwendet.
Gegenmaßnahme
Deaktivieren Sie die Einstellung Benutzerkontensteuerung: UIAccess-Anwendungen können erhöhte Rechte ohne sicheren Desktop anfordern.
Mögliche Auswirkung
Wenn ein Benutzer Remoteunterstützung von einem Administrator anfordert und die Remoteunterstützungssitzung eingerichtet wurde, werden alle Benutzeraufforderungen für erhöhte Rechte auf dem sicheren Desktop des interaktiven Benutzers angezeigt, und die Remotesitzung des Administrators wird angehalten. Um zu verhindern, dass die Remotesitzung des Administrators angehalten wird, kann der Benutzer beim Einrichten der Remoteunterstützungssitzung das Kontrollkästchen „Antwort auf Eingabeaufforderung zur Benutzerkontensteuerung für IT-Experten zulassen“ aktivieren. Wenn dieses Kontrollkästchen aktiviert ist, muss der interaktive Benutzer jedoch auf eine Eingabeaufforderung für erhöhte Rechte auf dem sicheren Desktop reagieren. Wenn es sich bei dem interaktiven Benutzer um einen Standardbenutzer handelt, verfügt der Benutzer nicht über die erforderlichen Anmeldeinformationen, um erhöhte Rechte zuzulassen.