Bundesamt für Sicherheit in der Informationstechnik

M 4.340 Einsatz der Windows-Benutzerkontensteuerung UAC ab Windows Vista

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter

Die Benutzerkontensteuerung ( UAC , User Account Control) ist ein Sicherheitsmechanismus in Windows, der clientseitig ab Vista und serverseitig ab Server 2008 verfügbar ist. Die UAC realisiert das Prinzip des Least-Privileged User Account, um die Missbrauchsmöglichkeiten administrativer Berechtigungen zu begrenzen. Sie unterstützt insbesondere die Umsetzung der Maßnahme M 2.32 Einrichtung einer eingeschränkten Benutzerumgebung für normale Benutzer und Administratoren.

Bei aktiver Benutzerkontensteuerung arbeiten alle Benutzer grundsätzlich als Standardbenutzer. Auch Administratoren führen ihre Tätigkeiten zunächst als Standardbenutzer aus. Die UAC erkennt, wenn eine Aktivität erhöhte Rechte benötigt und gibt diese frei oder verweigert sie, je nachdem wie sie konfiguriert wurde. Die UAC wirkt sich ausschließlich auf lokale Benutzersitzungen aus (auch Remotedesktop-Sitzungen). Auf Anmeldungen von Benutzern über das Netz, ausgehend von anderen Rechnern (z. B. Zugriff auf Dateifreigaben), hat sie keine Auswirkung, wenn Domänen-Konten verwendet werden.

Lokale Konten sind bei aktivierter UAC nicht mit allen netzbasierten Verwaltungsdiensten, zum Beispiel beim Zugriff auf die WMI -Schnittstelle (Windows Management Interface) des IT -Systems über das Netz, kompatibel. Verwaltungsdienste und -tätigkeiten sollten daher immer mit Domänenkonten ausgeführt werden.

Bestimmte Aktivitäten erfordern erhöhte Rechte innerhalb der lokalen Sitzung, die Standardbenutzer nicht besitzen. Zu diesen Aktivitäten zählen beispielsweise die Installation von Anwendungen, schreibender Zugriff auf Systemverzeichnisse, ältere Fachapplikationen oder die Ausführung bestimmter Betriebssystemprogramme und administrative Skripte. Doch auch Schadprogramme bedienen sich fast immer erhöhter Rechte. Wenn auf dem IT -System Konten mit Administratorberechtigungen verwendet werden, sollte die UAC immer aktiviert sein. Unter Windows Vista und Windows Server 2008 ist dies standardmäßig der Fall.

Unter Windows 7 und Windows Server 2008 R2 ist die UAC in einer abgeschwächten Form voreingestellt. Administrative Konten können mit uneingeschränkten Berechtigungen weiterarbeiten, ohne dass der Desktop abgeblendet wird. Damit die Schutzfunktionen der UAC gegen Angreifer und Schadprogramme wirksam sind, müssen sie auf Immer benachrichtigen konfiguriert werden (Systemsteuerung | Benutzerkonten | Einstellungen der Benutzerkontensteuerung ändern).

Einfluss auf die Benutzerumgebung

Bevor ein normaler Benutzer eine Aktivität ausführen kann, die erhöhte Rechte erfordert, erscheint ein geschütztes Benutzeranmeldefenster zur Eingabe der Authentisierungsdaten eines Administrators. Dies kann den normalen Benutzer verunsichern oder ihn zu Fehlhandlungen anstiften. Zum anderen kann es zu einer Art "Über-die-Schulter"-Situation kommen, bei der Service-Mitarbeiter mehrfach im Beisein des Benutzers ein Kennwort eingeben müssen. Dadurch kann das Kennwort versehentlich kompromittiert werden. Es ist zu empfehlen, die lokale Sicherheitsoption Benutzerkontensteuerung: Verhalten der Anhebungsaufforderung für Standardbenutzer auf die Einstellung Anforderungen für erhöhte Rechte automatisch ablehnen zu konfigurieren (unter gpedit.msc | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen). Seit Windows 7 / Windows Server 2008 R2 heißt diese Sicherheitsoption: Benutzerkontensteuerung : Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer. In der Folge erhalten Standardbenutzer nur noch eine normale Fehlermeldung. Administratoren können weiterhin die Befehle runas und Ausführen als ... verwenden, wenn sie erhöhte Rechte für eine Tätigkeit benötigen. Werden die Rechner in Umgebungen mit hohen oder sehr hohen Sicherheitsanforderungen eingesetzt, sollte diese Option immer gesetzt sein.

Bevor ein Mitglied der Gruppe Administratoren eine Aktivität mit erhöhten Rechten ausführen kann, erscheint ein einfaches Bestätigungsfenster der UAC . Andere Authentisierungsdaten müssen und können hier nicht eingegeben werden.

Eine Ausnahme bildet unter Windows Server 2008 das vordefinierte Konto "Administrator", das durch die Benutzerkontensteuerung generell nicht eingeschränkt wird (bei Vista ist eine Anmeldung mit dem Konto "Administrator" nicht möglich).

Das Bestätigungsfenster selbst kann die Anzahl der Schritte, die ein Administrator bei seinen regelmäßigen Aufgaben durchführen muss, unangemessen erhöhen. Werden häufig administrative Konsolen benötigt, sollten diese in einer MMC-Konsole (mmc.exe, Microsoft Management Console) gebündelt werden, um mehrfache störende Abfragen zu vermeiden. Andere Möglichkeiten der Bündelung administrativer Vorgänge sind die Aufgabenplanung, Verwaltungs-Tools von Drittanbietern sowie die Kommandozeilenfenster (Powershell mit erhöhten Rechten, "DOS-Box" usw. ).

Es empfiehlt sich, die Auswirkungen der zusätzlichen Schritte und die Möglichkeiten der Bündelung gemeinsam mit den betroffenen Administratoren zu beurteilen. Bei einer zu starken Beeinträchtigung der Arbeitseffizienz der Administratoren kann das Bestätigungsfenster abgeschaltet werden. Dies geschieht, indem der GPO -Richtlinie Benutzerkontensteuerung: Verhalten der Benutzeraufforderung mit erhöhten Rechten für Administratoren im Administratorbestätigungsmodus die Einstellung Keine Aufforderung zugewiesen wird. In der Folge erhöht die UAC die Rechte für den Administrator im Hintergrund, das heißt ohne Interaktion mit dem Administrator. Die beschriebene Einstellung erfordert ein Abwägen von Bedienbarkeit und Sicherheitsniveau und muss dokumentiert werden.

Das häufigste Beispiel für diese Einstellung sind Arbeitsplatzrechner, an denen in einer eingeschränkten Benutzerumgebung gearbeitet wird. Muss ein Administrator Wartungsarbeiten an diesen Rechnern durchführen, dann meldet er sich nur für einen kurzen Zeitraum darauf an und schließt die Wartung schnellstmöglich ab. Er verwendet normale Benutzerapplikationen entweder gar nicht oder nur in sehr geringem Maße.

Ein Gegenbeispiel, bei dem die oben genannte Einstellung nicht verwendet werden darf, sind administrative Konten für normale Benutzer, unter Umständen auch Zweitkonten, die regelmäßig zum Einsatz kommen oder auf mobilen Rechnern zur Verfügung gestellt werden.

Für Arbeitsstationen von Administratoren sollte in einer Richtlinie (M 2.325 Planung der Sicherheitsrichtlinien für Windows-Clients ab Windows XP ) festgelegt werden, ob Teile der Administration in einer eingeschränkten Benutzerumgebung stattfinden müssen. Dies sollte hauptsächlich von den Aufgaben, von der Verwaltungssoftware und vom erforderlichen Sicherheitsniveau abhängen. Ist eine eingeschränkte Benutzerumgebung vorgesehen, dann sollten im Rahmen dieser Richtlinie der sichere Desktop und die Bestätigungsmeldungen nicht deaktiviert werden.

Ist keine eingeschränkte Benutzerumgebung für den jeweiligen Administrationsbereich vorgesehen, empfiehlt es sich, die UAC ganz abzuschalten. Eine UAC mit abgeschwächten Einstellungen würde kaum eine Schutzwirkung erzielen. Andererseits bleiben jedoch die Kompatibilitätsprobleme der UAC erhalten, zum Beispiel mit WMI -Skripten.

Die unter Windows 8 eingeführten Windows App s, die aus dem Windows Store bezogen werden können, erfordern allerdings, dass die Benutzerkontensteuerung aktiviert ist. Sobald die Benutzerkontensteuerung deaktiviert wird, kann dies dazu führen, dass App s nicht mehr ordnungsgemäß funktionieren. Aufgrund der Abhängigkeit der neuen Metro- App s von der Benutzerkontensteuerung kann diese nicht mehr komplett über die Systemsteuerung deaktiviert werden. Ist es erforderlich, die Benutzerkontensteuerung komplett zu deaktivieren, dann muss dies über die Veränderung des entsprechende Eintrags in der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System für den Eintrag EnableLUA erfolgen.

Unabhängig von der Konfiguration der UAC sollten alle Konten mit Administratorenrechten dokumentiert sein. Vergebene Administratorrechte sollten regelmäßig auf ihre Notwendigkeit überprüft und entsprechend angepasst (das heißt auch wieder entzogen) werden, siehe M 2.8 Vergabe von Zugriffsrechten .

Sicherer Desktop

Die Bestätigungsmeldung der UAC oder das zusätzliche Anmeldefenster sind gegen Angreifer und Schadprogramme geschützt, solange sie im sogenannten sicheren Desktop angezeigt werden. Die oben genannte Gruppenrichtlinie enthält eine Reihe weiterer Einstellungen, die den sicheren Desktop umgehen oder deaktivieren. Der sichere Desktop darf jedoch nicht umgangen oder deaktiviert werden.

Geschützter Modus im Internet Explorer

Zur Nutzung des Geschützten Modus des Internet Explorer 7 muss die Benutzerkontensteuerung aktiviert sein, wie es in der Standardkonfiguration ab Windows Vista der Fall ist. Wird die Benutzerkontensteuerung deaktiviert, verliert der Internet Explorer 7 unmittelbar (und ohne Warnmeldung durch das Betriebssystem) den Status des Geschützten Modus. Unter Internet Explorer 11, der mit Windows 8 ausgeliefert wird, ist die Benutzerkontensteuerung für den geschützten Modus nicht erforderlich.

Prüffragen:

  • Ist die Benutzerkontensteuerung (UAC, User Account Control) aktiviert?

  • Ist die GPO -Richtlinie Benutzerkontensteuerung: Verhalten der Anhebungsaufforderung für Standardbenutzer mit der Einstellung Anforderungen für erhöhte Rechte automatisch ablehnen konfiguriert?

  • Ist für Administratoren die GPO-Richtlinie Benutzerkontensteuerung: Verhalten der Benutzeraufforderung mit erhöhten Rechten für Administratoren im Administratorbestätigungsmodus gemäß einer Abwägung von Bedienbarkeit und Sicherheitsniveau konfiguriert und diese Entscheidung dokumentiert?

  • Sind alle Konten mit Administratorrechten dokumentiert?

  • Werden vergebene Administratorrechte regelmäßig auf ihre Notwendigkeit überprüft, entsprechend angepasst und gegebenenfalls wieder entzogen?

Stand: 15. EL Stand 2016