Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sind
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sind beschrieben.
Referenz
Diese Richtlinieneinstellung setzt die Anforderung durch, dass sich Apps, die die Ausführung mit einer UIAccess-Integritätsstufe anfordern (indem im App-Manifest „UIAccess=true“ festgelegt ist), an einem sicheren Speicherort im Dateisystem befinden müssen. Relativ sichere Speicherorte sind auf die folgenden Verzeichnisse beschränkt:
\Programme\ einschließlich Unterverzeichnissen
\Windows\System32\
\Programme (X 86) \ einschließlich Unterverzeichnissen für 64-Bit-Versionen von Windows
Hinweis
Windows setzt unabhängig von Zustand dieser Sicherheitseinstellung eine PKI-Signaturprüfung für alle interaktiven Anwendungen durch, die eine Ausführung mit einer UIAccess-Integritätsstufe anfordern.
Hintergrund
Die Benutzeroberflächen-Rechteisolierung (User Interface Privilege Isolation, UIPI) implementiert Einschränkungen im Windows-Subsystem, die verhindern, dass Anwendungen mit niedrigeren Berechtigungen Nachrichten senden oder Hooks in Prozessen mit höheren Berechtigungen installieren. Anwendungen mit höheren Berechtigungen dürfen Nachrichten an Prozesse mit niedrigeren Berechtigungen senden. UIPI beeinträchtigt oder ändert das Verhalten von Nachrichten zwischen Anwendungen mit der gleichen Berechtigungsstufe (oder Integritätsstufe) nicht.
Die Microsoft-Benutzeroberflächenautomatisierung stellt das aktuelle Modell für die Unterstützung von Anforderungen an die Barrierefreiheit in Windows-Betriebssystemen dar. Anwendungen, die für die Unterstützung einer barrierefreien Benutzerumgebung entworfen wurden, steuern das Verhalten anderer Windows-Anwendungen für den Benutzer. Wenn alle Anwendungen auf dem Automatisierungsclientcomputer und -server als Standardbenutzer ausgeführt werden (d. h. auf einer Ebene mittlerer Integrität), beeinträchtigen die UIPI-Einschränkungen das Microsoft-Modell für die Benutzeroberflächenautomatisierung nicht.
Möglicherweise gibt es jedoch Zeiten, in denen ein Benutzer mit Administratorrechten eine Anwendung mit erhöhten Berechtigungen basierend auf UAC im Administratorgenehmigungsmodus ausführt. Die Microsoft-Benutzeroberflächenautomatisierung kann die Benutzeroberflächengrafiken von Anwendungen mit erhöhten Rechten auf dem Desktop nicht unterstützen, wenn sie die von UIPI implementierten Einschränkungen nicht umgehen kann. Programme für die Oberflächenautomatisierung können mithilfe von UIAcess UIPI-Einschränkungen über Berechtigungsebenen hinweg umgehen.
Wenn eine Anwendung bei der Anforderung von Berechtigungen ein UIAccess-Attribut angibt, fordert die Anwendung die Umgehung von UIPI-Einschränkungen zum Senden von Nachrichten über Berechtigungsebenen hinweg an. Geräte implementieren die folgenden Richtlinienprüfungen, bevor eine Anwendung mit UIAcess-Berechtigung gestartet wird.
Die Anwendung muss eine digitale Signatur besitzen, die mit einem digitalen Zertifikat überprüft werden kann, das mit dem Speicher für vertrauenswürdige Stammzertifizierungsstellen auf dem lokalen Gerät verknüpft ist.
Die Anwendung muss in einem lokalen Ordner installiert sein, in dem nur Administratoren schreiben können, z. B. im Verzeichnis „Programme“. Die zulässigen Verzeichnisse für die Benutzeroberflächenautomatisierungs-Apps sind:
%Programme% und Unterverzeichnisse.
%windir% und Unterverzeichnisse mit Ausnahme einiger Unterverzeichnisse, die ausgeschlossen werden, da Standardbenutzer Schreibzugriff haben.
Mögliche Werte
Aktiviert
Eine Anwendung kann nur mit UIAccess-Integrität gestartet werden, wenn sie sich an einem sicheren Speicherort im Dateisystem befindet.
Deaktiviert
Eine Anwendung kann auch dann mit UIAccess-Integrität gestartet werden, wenn sie sich nicht an einem sicheren Speicherort im Dateisystem befindet.
Bewährte Methoden
- Legen Sie diese Richtlinie als Aktiviert fest, um Anwendungen, die sich in einem der angegebenen sicheren Verzeichnisse befinden, die Ausführung mit UIAccess-Integrität zu gestatten.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Aktiviert |
Effektive Standardeinstellungen für DC |
Aktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Aktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Aktiviert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Funktionen und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Gruppenrichtlinie
Alle Überwachungsfunktionen sind in die Gruppenrichtlinie integriert. Sie können diese Einstellungen auf der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) oder im Snap-In „Lokale Sicherheitsrichtlinie“ für eine Domäne, Website oder Organisationseinheit (Organizational Unit, OU) konfigurieren, bereitstellen und verwalten.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Die UIAccess-Integrität ermöglicht Anwendungen, User Interface Privilege Isolation (UIPI)-Einschränkungen zu umgehen, wenn die Berechtigungen der Anwendungen von Standardbenutzer zu Administrator erhöht werden. Wenn diese Einstellung aktiviert ist, kann eine Anwendung, für die das UIAccess-Flag im Manifest als „true“ festgelegt ist, Informationen mit Anwendungen austauschen, die mit höheren Berechtigungen ausgeführt werden, wie Eingabeaufforderungen für Anmeldungen und für die Erhöhung von Rechten. Diese Fähigkeit ist erforderlich, um Eingabehilfen wie Bildschirmleseprogramme zu unterstützen, die Benutzeroberflächen in alternative Formate übertragen. Für die Mehrzahl der Anwendungen ist dies jedoch nicht erforderlich. Ein Vorgang, der mit UIAccess-Rechten gestartet wird, hat folgende Fähigkeiten:
Festlegen des im Vordergrund angezeigten Fensters
Steuern von Anwendungsfenstern mithilfe der Funktion SendInput
Verwenden von Leseeingaben für alle Integritätsstufen mithilfe von Low-Level-Hooks, Rohdateneingaben, GetKeyState, GetAsyncKeyState und GetKeyboardInput
Festlegen von Journalhooks
Verwenden von AttachThreadInput, um einen Thread einer Eingabewarteschlange mit höherer Integrität anzufügen
Gegenmaßnahme
Aktivieren Sie die Einstellung Benutzerkontensteuerung: Nur erhöhte Rechte für UIAccess-Anwendungen, die an sicheren Orten installiert sind.
Mögliche Auswirkung
Wenn die Anwendung, die UIAccess anfordert, die Anforderungen an die UIAccess-Einstellungen erfüllt, wird die Anwendung auf Computern, auf denen das Betriebssystem Windows Vista oder höher ausgeführt wird, mit der Fähigkeit gestartet, die Mehrzahl der UIPI-Einschränkungen zu umgehen. Wenn die Anwendung die Sicherheitseinschränkungen nicht erfüllt, wird sie ohne UIAccess-Rechte gestartet und kann nur mit Anwendungen auf der gleichen oder einer niedrigeren Berechtigungsstufe interagieren.