Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln beschrieben.
Referenz
Diese Richtlinieneinstellung legt fest, ob die Eingabeaufforderungen für erhöhte Rechte auf dem interaktiven Benutzerdesktop oder auf dem sicheren Desktop angezeigt werden.
Der sichere Desktop zeigt die Benutzeroberfläche für die Anmeldung an und schränkt die Funktionalität und den Zugriff auf das System ein, bis die Anmeldeanforderungen erfüllt wurden.
Der sichere Desktop unterscheidet sich vom Benutzerdesktop vor allem dadurch, dass nur vertrauenswürdige, als SYSTEM ausgeführte Vorgänge hier ausgeführt werden dürfen (d. h. es wird nichts auf der Berechtigungsstufe des Benutzers ausgeführt). Der Pfad vom Benutzerdesktop zum sicheren Desktop zugreifen muss ebenfalls auf allen Stufen vertrauenswürdig sein.
Mögliche Werte
Aktiviert
Alle Anforderungen erhöhter Rechte werden standardmäßig an den sicheren Desktop geleitet.
Deaktiviert
Alle Anforderungen erhöhter Rechte werden an den interaktiven Benutzerdesktop geleitet.
Bewährte Methoden
- Aktivieren Sie die Einstellung Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln. Der sichere Desktop hilft beim Schutz vor Eingabe- und Ausgabespoofing durch die Anzeige des Feldes für die Anmeldeinformationen in einem geschützten Bereich des Speichers, auf den nur vertrauenswürdige Systemprozesse zugreifen können.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Aktiviert |
Effektive Standardeinstellungen für DC |
Aktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Aktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Aktiviert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Funktionen und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Gruppenrichtlinie
Alle Überwachungsfunktionen sind in die Gruppenrichtlinie integriert. Sie können diese Einstellungen auf der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) oder im Snap-In „Lokale Sicherheitsrichtlinie“ für eine Domäne, Website oder Organisationseinheit (Organizational Unit, OU) konfigurieren, bereitstellen und verwalten.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Dialogfelder mit Eingabeaufforderungen für erhöhte Rechte können gespooft werden, sodass Benutzer ihre Kennwörter an Schadsoftware preisgeben. Mauszeiger können gespooft werden, indem der echte Mauszeiger ausgeblendet und durch einen versetzten Mauszeiger ersetzt wird, sodass der Mauszeiger tatsächlich auf die Schaltfläche Zulassen zeigt.
Gegenmaßnahme
Aktivieren Sie die Einstellung Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln. Der sichere Desktop hilft beim Schutz vor Eingabe- und Ausgabespoofing durch die Anzeige des Feldes für die Anmeldeinformationen in einem geschützten Bereich des Speichers, auf den nur vertrauenswürdige Systemprozesse zugreifen können.
Mögliche Auswirkung
Keine. Dies ist die Standardkonfiguration.