Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisieren
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisieren beschrieben.
Referenz
Diese Richtlinieneinstellung aktiviert oder deaktiviert die Umleitung der Schreibfehler früherer Anwendungen an definierte Speicherorte in der Registrierung und im Dateisystem. Dieses Feature reduziert das Risiko in Bezug auf Anwendungen, die in der Vergangenheit als Administrator ausgeführt wurden und Anwendungsdaten zur Laufzeit in „%Programme%“, „%windir%“, %„windir%\system32“ oder „HKEY_LOCAL_MACHINE\Software\“ geschrieben haben.
Dieses Feature kann für Anwendungen auf Geräten deaktiviert werden, auf denen Windows Vista oder höher ausgeführt wird, da es nicht notwendig ist.
Mögliche Werte
Aktiviert
Dieser Einstellungswert ermöglicht die Umleitung von Anwendungsschreibfehlern zur Laufzeit an definierte Benutzerspeicherorte für das Dateisystem und die Registrierung.
Deaktiviert
Für Anwendungen, von denen Daten in geschützte Orte geschrieben werden, wird ein Fehler zurückgegeben.
Bewährte Methoden
Aktivieren Sie diese Sicherheitsrichtlinie, wenn Sie Anwendungen ausführen, die nicht mit Windows Vista kompatibel sind, um zu verhindern, dass diese älteren Anwendungen Daten an nichtsicheren Speicherorten schreiben.
Wenn Sie nur Anwendungen ausführen, die mit Windows Vista oder höher kompatibel sind, ist dieses Feature nicht notwendig. In diesem Fall können Sie diese Richtlinie deaktivieren.
Speicherort
\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Aktiviert |
Effektive Standardeinstellungen für DC |
Aktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Aktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Aktiviert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Funktionen und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Gruppenrichtlinie
Alle Überwachungsfunktionen sind in die Gruppenrichtlinie integriert. Sie können diese Einstellungen auf der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) oder im Snap-In „Lokale Sicherheitsrichtlinie“ für eine Domäne, Website oder Organisationseinheit (Organizational Unit, OU) konfigurieren, bereitstellen und verwalten.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Ältere Anwendungen schreiben möglicherweise Daten nicht an sicheren Speicherorten.
Gegenmaßnahme
Aktivieren Sie die Einstellung Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisieren.
Mögliche Auswirkung
Keine. Dies ist die Standardkonfiguration.