Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorgenehmigungsmodus
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorgenehmigungsmodus beschrieben.
Referenz
Diese Richtlinieneinstellung legt das Verhalten der Eingabeaufforderung für erhöhte Rechte für Konten mit Administratoranmeldeinformationen fest.
Mögliche Werte
Erhöhte Rechte ohne Eingabeanforderung
Setzt voraus, dass der Administrator einen Vorgang zulässt, der erhöhte Rechte erfordert, und zusätzliche Zustimmungen oder Anmeldeinformationen nicht erforderlich sind.
Hinweis
Durch die Auswahl von Erhöhte Rechte ohne Eingabeanforderung wird der Schutz minimiert, den UAC bereitstellt. Es wird nicht empfohlen, diesen Wert auszuwählen, es sei denn, die Administratorkonten werden streng kontrolliert und die Betriebsumgebung ist sehr sicher.
Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop
Wenn für einen Vorgang erhöhte Rechte erforderlich sind, wird der Benutzer auf dem sicheren Desktop zur Eingabe eines privilegierten Benutzernamens und Kennworts aufgefordert. Gibt der Benutzer gültige Anmeldeinformationen ein, wird der Vorgang mit der höchsten verfügbaren Berechtigung des Benutzers fortgesetzt.
Eingabeaufforderung zur Zustimmung auf dem sicheren Desktop
Wenn für einen Vorgang erhöhte Rechte erforderlich sind, wird der Benutzer auf dem sicheren Desktop aufgefordert, die Optionen Zulassen oder Verweigern auszuwählen. Wenn der Benutzer Zulassen auswählt, wird der Vorgang mit der höchsten verfügbaren Berechtigung des Benutzers fortgesetzt.
Aufforderung zur Eingabe der Anmeldeinformationen
Ein Vorgang, für den erhöhte Rechte erforderlich sind, fordert den Administrator zur Eingabe von Benutzernamen und Kennwort auf. Gibt der Administrator gültige Anmeldeinformationen ein, wird der Vorgang mit der entsprechenden Berechtigung fortgesetzt.
Aufforderung zur Eingabe der Zustimmung
Ein Vorgang, der erhöhte Rechte erforderlich sind, fordert den Administrator auf, Zulassen oder Verweigern auszuwählen. Wenn der Administrator Zulassen auswählt, wird der Vorgang mit der höchsten verfügbaren Berechtigung des Administrators fortgesetzt.
Eingabeaufforderung zur Zustimmung für Nicht-Windows-Binärdateien
Dies ist die Standardeinstellung. Eingabeaufforderung zur Zustimmung auf dem sicheren Desktop: Wenn für einen Vorgang für eine andere als eine Microsoft-Anwendung erhöhte Rechte erforderlich sind, wird der Benutzer auf dem sicheren Desktop aufgefordert, Zulassen oder Verweigern auszuwählen. Wenn der Benutzer Zulassen auswählt, wird der Vorgang mit der höchsten verfügbaren Berechtigung des Benutzers fortgesetzt.
Bewährte Methoden
- Durch die Auswahl der Option Erhöhte Rechte ohne Eingabeanforderung wird der Schutz minimiert, den UAC bereitstellt. Es wird nicht empfohlen, diesen Wert auszuwählen, es sei denn, die Administratorkonten werden streng kontrolliert und die Betriebsumgebung ist sehr sicher.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Eingabeaufforderung zur Zustimmung für Nicht-Windows-Binärdateien |
Effektive Standardeinstellungen für DC |
Eingabeaufforderung zur Zustimmung für Nicht-Windows-Binärdateien |
Effektive Standardeinstellungen für Mitgliedsserver |
Eingabeaufforderung zur Zustimmung für Nicht-Windows-Binärdateien |
Effektive Standardeinstellungen für Clientcomputer |
Eingabeaufforderung zur Zustimmung für Nicht-Windows-Binärdateien |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Funktionen und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Computers in Kraft.
Gruppenrichtlinie
Alle Überwachungsfunktionen sind in die Gruppenrichtlinie integriert. Sie können diese Einstellungen auf der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) oder im Snap-In „Lokale Sicherheitsrichtlinie“ für eine Domäne, Website oder Organisationseinheit (Organizational Unit, OU) konfigurieren, bereitstellen und verwalten.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Das UAC-Feature soll u. a. das Risiko minimieren, dass Schadsoftware unter erhöhten Rechten ausgeführt wird, ohne dass sich der Benutzer oder der Administrator dieser Aktivität bewusst sind. Diese Einstellung weist den Administrator auf Vorgänge im Zusammenhang mit erhöhten Rechten hin und ermöglicht ihm, zu verhindern, dass Schadsoftware ihre Rechte erhöht, wenn die Software dies versucht.
Gegenmaßnahme
Konfigurieren Sie die Einstellung Benutzerkontensteuerung: Verhalten der Benutzeraufforderung mit erhöhten Rechten für Administratoren im Administratorgenehmigungsmodus als Aufforderung zur Eingabe der Zustimmung.
Mögliche Auswirkung
Administratoren sollten darauf aufmerksam gemacht werden, dass sie zur Bestätigung aufgefordert werden, wenn alle Binärdateien die Ausführung versuchen.