Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern beschrieben.
Referenz
Diese Richtlinieneinstellung bestimmt das Verhalten der Anwendungsinstallationserkennung für das gesamte System.
Bestimmte Software könnte versuchen, sich nach erfolgter Berechtigung zum Ausführen selbst zu installieren. Der Benutzer kann dem Programm die Berechtigung zum Ausführen erteilen, da es vertrauenswürdig ist. Anschließend wird der Benutzer aufgefordert, eine unbekannte Komponente zu installieren. Diese Sicherheitsrichtlinie bietet eine weitere Möglichkeit der Identifizierung und Beendigung dieser versuchten Softwareinstallationen, bevor dadurch Schaden verursacht werden kann.
Mögliche Werte
Aktiviert
Anwendungsinstallationspakete, die für die Installation eine Erhöhung der Rechte erfordern, werden erkannt, und der Benutzer wird aufgefordert, seine Administratorberechtigungen einzugeben.
Deaktiviert
Anwendungsinstallationspakete, die für die Installation eine Erhöhung der Rechte erfordern, werden nicht erkannt, und der Benutzer wird nicht aufgefordert, seine Administratorberechtigungen einzugeben.
Bewährte Methoden
Die Installationserkennung ist nicht erforderlich, wenn Unternehmen Desktopcomputer als Standardbenutzer ausführen, die von delegierten Installationstechnologien wie einer Gruppenrichtlinie für die Softwareinstallation (Group Policy Software Install, GPSI) oder dem Konfigurations-Manager profitieren. Sie können daher für diese Sicherheitsrichtlinie die Option Deaktiviert festlegen.
Aktivieren Sie die Einstellung Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern, damit Standardbenutzer Administratoranmeldeinformationen angeben müssen, bevor die Software installiert wird.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Aktiviert |
Effektive Standardeinstellungen für DC |
Aktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Aktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Aktiviert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Funktionen und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Schadsoftware kann versuchen, sich selbst zu installieren, nachdem die Berechtigung zum Ausführen erteilt wurde, z. B. Schadsoftware mit einer vertrauenswürdigen Anwendungs-Shell. Der Benutzer kann dem Programm die Berechtigung zum Ausführen erteilen, da es vertrauenswürdig ist. Anschließend wird der Benutzer aufgefordert, eine unbekannte Komponente zu installieren. Diese Richtlinie bietet eine weitere Möglichkeit zum Abfangen der Software, bevor Schaden verursacht werden kann.
Gegenmaßnahme
Aktivieren der Einstellung Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern.
Mögliche Auswirkung
Benutzer müssen Administratorkennwörter zum Installieren von Programmen angeben.