Funktionen und Konfiguration von GPO UAC in Windows 10

Inhaltsverzeichnis

Windows-Betriebssysteme enthalten eine Reihe praktischer Optionen, die uns dabei helfen, die Sicherheit in ihm und seinen Anwendungen zu verbessern.

Eine dieser Sicherheitsmaßnahmen ist die bekannte UAC (User Account Control), da diese entwickelt wurden, um zu verhindern, dass Viren oder Malware in das System eindringen und dessen Funktionsfähigkeit und Betrieb beeinträchtigen. Solvetic wird heute eine vollständige Analyse der Funktionsweise von UAC durchführen Windows 10 und wie wir es konfigurieren können, um das Beste daraus zu machen.

Was ist UACDie Benutzerkontensteuerung oder UAC ist eine Funktion von Windows 10, die uns hilft, zu verhindern, dass eine bestimmte Art von Malware auf dem Computer installiert wird, die ihren Betrieb beeinträchtigt und dabei dazu beiträgt, dass Unternehmen einen Desktop implementieren können Verwaltungs- und Managementverbesserungen.

Dank UAC werden Anwendungen und Aufgaben immer in einer sicheren Umgebung mit einem Administratorkonto ausgeführt.

Mit UAC wird es möglich sein, die automatische Installation nicht autorisierter Anwendungen zu blockieren und unbeabsichtigte Änderungen in der Systemkonfiguration zu vermeiden, da alle Bedrohungen, die eine Malware in ihrem Code enthält, kommen können, um das System zu zerstören, zu stehlen oder das Verhalten des Systems zu ändern.

Durch die Implementierung von UAC können wir Benutzern ermöglichen, sich mit einem Standardbenutzerkonto an ihren Computern anzumelden, wodurch es ihnen erleichtert wird, Aufgaben mit den mit einem Standardkonto verbundenen Zugriffsrechten auszuführen.

So funktioniert UACWenn Sie UAC in Windows 10 verwenden, muss jede Anwendung, die das Administratorzugriffstoken verwenden muss, Ihre Genehmigung anfordern, oder eine Installation ist unmöglich.

Windows 10 schützt Systemprozesse und markiert ihre Integritätsstufen. Integritätsstufen sind Vertrauensmaßnahmen, die implementiert werden, um die Sicherheit bei der Installation eines bestimmten Programms zu optimieren.

Eine Anwendung mit "hoher" Integrität ist eine Anwendung, die Aufgaben ausführt, die das Ändern von Systemdaten umfassen, wie z Punkt kann Auswirkungen auf das Betriebssystem, wie zum Beispiel einen Webbrowser, haben.

Anwendungen mit niedrigeren Integritätsstufen können die Daten in Anwendungen mit höheren Integritätsstufen nicht ändern. Wenn ein Standardbenutzer versucht, eine Anwendung auszuführen, die ein Administratorzugriffstoken erfordert, fordert UAC den Benutzer auf, gültige Administratoranmeldeinformationen anzugeben, damit er die Aufgabe ausführen kann. Aus diesem Grund müssen wir beim Ausführen einer Anwendung die entsprechende Berechtigung bestätigen .

Login-Prozess in UACWenn UAC in Windows 10 implementiert ist, haben standardmäßig alle Benutzer und Administratoren, die sich in der Standardgruppe befinden, Zugriff auf Ressourcen und können Anwendungen im eingeschränkten Sicherheitskontext von Standardbenutzern ausführen.

Wenn sich ein Benutzer nun bei einem Computer anmeldet, erstellt das System automatisch ein Zugriffstoken für diesen bestimmten Benutzer. Dieses Zugriffstoken enthält Informationen über die Zugriffsebene, die dem Benutzer gewährt wird, einschließlich bestimmter Sicherheitskennungen (SID ) und der definierten Windows-Berechtigungen für jede Benutzerebene und die jeweilige Berechtigung erteilt wird oder nicht.

Wenn sich ein Administrator hingegen bei Windows 10 anmeldet, werden für diesen Benutzer zwei separate Zugriffstoken erstellt: ein Standardbenutzerzugriffstoken und ein Administratorzugriffstoken.

Beim Standard-Benutzerzugriffstoken sind dieselben benutzerspezifischen Informationen vorhanden wie beim Administratorzugriffstoken, jedoch werden die Windows-Administratorrechte und die zugehörigen SIDs entfernt.

Das Standardbenutzerzugriffstoken wird für die Ausführung von Anwendungen verwendet, die keine administrativen Aufgaben ausführen (Standardbenutzeranwendungen) und damit für alle Anwendungen, die als Standardbenutzer ausgeführt werden, es sei denn, ein Benutzer gibt seine Zustimmung oder Anmeldeinformationen zur Genehmigung einer Anwendung, die Verwendung eines vollständigen Administratorzugriffstokens.

Auf diese Weise kann sich ein Benutzer, der zur Gruppe Administratoren gehört, anmelden, im Internet surfen und E-Mails lesen, während er ein Standard-Benutzerzugriffstoken verwendet und wenn der Administrator eine Aufgabe ausführen muss, für die das Token erforderlich ist 10 wird den Benutzer automatisch um Genehmigung bitten. Wenn wir also versuchen, eine Anwendung auszuführen, sehen wir die Meldung, dass die Anwendung genehmigt wird oder nicht.

UAC-BenutzererfahrungWenn UAC implementiert ist, unterscheidet sich die Benutzererfahrung für einen Standardbenutzer von der von Administratoren im Administratorgenehmigungsmodus, was sich auf die Ausführung verschiedener Anwendungen auswirken kann.

Der Zugriff auf das System als Standardbenutzer trägt zur Maximierung der Sicherheit einer verwalteten Umgebung bei, da wir wissen, dass dieser Benutzer nicht berechtigt ist, nicht autorisierte Software zu installieren.

Mit der in Windows 10 integrierten UAC-Erhöhungskomponente können Standardbenutzer problemlos eine Verwaltungsaufgabe ausführen, indem sie gültige Anmeldeinformationen für ein lokales Administratorkonto eingeben. Die integrierte UAC-Anhebungskomponente für Standardbenutzer ist der Berechtigungsindikator, der beim Ausführen von Anwendungen bei der Verwaltung von Berechtigungen hilft.

Wenn UAC in Windows 10 aktiviert ist, wird jedes Mal, wenn wir versuchen, eine Anwendung auszuführen, eine Autorisierung oder die Anmeldeinformationen eines gültigen lokalen Administratorkontos angefordert, bevor ein Programm oder eine Aufgabe gestartet wird, die ein vollständiges Administratorzugriffstoken erfordert.

Dieser Hinweis versichert uns, dass keine bösartige Software im Hintergrund installiert werden kann.

UAC-ErhöhungshinweiseEingabeaufforderungen für Erhöhungen in UAC sind anwendungsspezifisch farbcodiert, sodass wir das Sicherheitsrisiko einer Anwendung sofort erkennen können.

Wenn eine Anwendung versucht, mit einem vollständigen Administratorzugriffstoken zu laufen, analysiert Windows 10 zunächst die ausführbare Datei, um ihren Herausgeber zu ermitteln und autorisiert so, falls gültig, den entsprechenden Zugriff darauf. Windows 10 verwendet laut Herausgeber drei Kategorien:

  • Windows 10
  • Verifizierter Herausgeber (signiert)
  • Publisher nicht bestätigt (nicht signiert)
Die Farbcodierung der Höhenanforderung in Windows 10 lautet wie folgt:
  • Roter Hintergrund mit rotem Schildsymbol: Zeigt an, dass diese Anwendung durch die Gruppenrichtlinie blockiert ist oder von einem blockierten Herausgeber stammt.
  • Blauer Hintergrund mit einem blau-goldenen Schildsymbol: Zeigt an, dass die Anwendung eine Windows 10-Verwaltungsanwendung ist, z. B. ein Element der Systemsteuerung.
  • Blauer Hintergrund mit blauem Schildsymbol – Bezieht sich darauf, dass diese Anwendung mit Authenticode signiert und auf dem lokalen Computer vertrauenswürdig ist.
  • Gelber Hintergrund mit gelbem Schildsymbol: Diese App ist nicht signiert oder signiert, aber vom lokalen Computer noch nicht vertrauenswürdig.

SchildsymbolEinige Elemente der Systemsteuerung in Windows 10, zum Beispiel die Datums- und Uhrzeiteigenschaften, haben eine Kombination aus Administrator- und Standardbenutzeroperationen, dort können Standardbenutzer die Uhr sehen und die Zeitzone ändern, aber einen vollständigen Administratorzugriffstoken zum Ändern lokale Systemzeit.

Aus diesem Grund sehen wir das folgende Schild auf der Schaltfläche Datum und Uhrzeit ändern in besagter Option:

Dies weist darauf hin, dass für den Prozess ein vollständiges Administratorzugriffstoken erforderlich ist und beim Klicken eine UAC-Höhenanzeige angezeigt wird.

UAC-ArchitekturIm folgenden Diagramm sehen wir, wie UAC in Windows 10 aufgebaut ist.

Die Bestandteile dieses Schemas sind:

Benutzerlevel

  • Benutzer führt eine privilegierte Operation aus - Der Benutzer führt eine privilegierte Operation aus: In diesem Fall wird Virtualisierung aufgerufen, wenn die Operation das Dateisystem oder die Registrierung ändert. Alle anderen Operationen rufen ShellExecute auf.
  • ShellExecute: ShellExecute sucht nach dem Fehler ERROR_ELEVATION_REQUIRED von CreateProcess. Wenn Sie den Fehler erhalten, ruft ShellExecute den Anwendungsinformationsdienst auf, um zu versuchen, die angeforderte Aufgabe mit dem ausgelösten Symbol auszuführen.
  • CreateProzess: Wenn die Anwendung eine Erhöhung erfordert, lehnt CreateProcess den Aufruf mit ERROR_ELEVATION_REQUIRED ab.

System Level

  • Bewerbungsinformationsdienst: Der Anwendungsinformationsdienst hilft beim Starten von Anwendungen, für die eine oder mehrere erhöhte Berechtigungen oder Benutzerrechte zum Ausführen erforderlich sind, indem ein neuer Prozess für die Anwendung mit einem Token mit vollem Zugriff für Administratoren erstellt wird, wenn eine Erhöhung erforderlich ist.
  • Erhöhen einer ActiveX-Installation - Erhöhen einer ActiveX-Installation: Wenn ActiveX nicht installiert ist, überprüft das System die UAC-Schiebereglerebene. Wenn ActiveX installiert ist, ist die Gruppenrichtlinieneinstellung Benutzerkontensteuerung ausgewählt: Wechseln Sie zum sicheren Desktop, wenn Sie eine Erhöhung anfordern.
  • UAC-Schieberegler-Ebene überprüfen - Überprüfen Sie die UAC-Ebene: UAC hat vier Benachrichtigungsstufen zur Auswahl und einen Schieberegler zur Auswahl der Benachrichtigungsstufe: Hoch, Mittel, Niedrig oder Keine Benachrichtigung.

UAC-BenutzererfahrungSicherheitsrichtlinieneinstellungen der Benutzerkontensteuerung
In Windows 10 können wir Sicherheitsrichtlinien verwenden, um den Betrieb der Benutzerkontensteuerung in unserem Unternehmen zu konfigurieren.

Diese können lokal mit dem Snap-In für lokale Sicherheitsrichtlinien (secpol.msc) oder für die Domäne, Organisationseinheit oder bestimmte Gruppen mithilfe von Gruppenrichtlinien konfiguriert werden. Einige der verfügbaren Richtlinien sind:

Genehmigungsmodus des Benutzerkontensteuerungsadministrators für das integrierte AdministratorkontoMit dieser Richtlinie steuern wir das Verhalten des Administratorgenehmigungsmodus für das integrierte Administratorkonto und die Optionen sind:

  • Ermöglicht: Wenn diese Richtlinie aktiviert ist, verwendet das integrierte Administratorkonto den Administratorgenehmigungsmodus. Standardmäßig fordert jeder Vorgang, der eine Erhöhung von Berechtigungen erfordert, den Benutzer auf, den Vorgang zu genehmigen.
  • Deaktiviert: Dies ist die Standardoption und damit führt das integrierte Administratorkonto alle Anwendungen mit vollen Administratorrechten aus.

Benutzerkontensteuerung – Ermöglicht der UIAccess-Anwendung, eine Erhöhung anzufordern, ohne den sicheren Desktop zu verwendenDank dieser Richtlinie wird es möglich sein zu steuern, ob die Programme zur Barrierefreiheit der Benutzeroberfläche (UIAccess oder UIA) den sicheren Desktop für die von einem Standardbenutzer verwendeten Höhennachrichten automatisch deaktivieren können. Ihre Optionen sind:

  • Ermöglicht: Diese Option deaktiviert automatisch den sicheren Desktop für Aufforderungen zur Erhöhung.
  • Deaktiviert: Der sichere Desktop kann nur vom interaktiven Desktop-Benutzer oder durch Deaktivieren der Richtlinieneinstellung "Benutzerkontensteuerung: Wechseln zum sicheren Desktop bei Erhöhungsanforderung" deaktiviert werden.

Benutzerkontensteuerung - Verhalten von Elevationsnachrichten für Administratoren im AdministratorgenehmigungsmodusIn dieser Richtlinie steuern wir das Verhalten des Höhenindikators für Administratoren. Die verfügbaren Optionen sind:

  • Erhebe ohne zu fragen: Ermöglicht privilegierten Konten das Ausführen eines Vorgangs, der eine Erhöhung erfordert, ohne dass die Zustimmung des Benutzers oder Anmeldeinformationen erforderlich sind.
  • Fordern Sie Anmeldeinformationen auf dem sicheren Desktop an: Wenn ein Vorgang eine Rechteerweiterung erfordert, wird der Benutzer aufgefordert, einen privilegierten Benutzernamen und ein Passwort auf dem sicheren Desktop einzugeben.
  • Einwilligungsanfrage auf dem sicheren Desktop: Wenn für einen Vorgang eine Rechteerweiterung erforderlich ist, wird der Benutzer aufgefordert, die Aktion auf dem sicheren Desktop zulassen oder abzulehnen.
  • Anmeldedaten anfordern: Wenn für einen Vorgang eine Rechteerweiterung erforderlich ist, wird der Benutzer aufgefordert, einen Administratorbenutzernamen und ein Kennwort einzugeben.
  • Einwilligungsanfrage: Wenn ein Vorgang eine Rechteerweiterung erfordert, wird der Benutzer aufgefordert, Zulassen oder Verweigern auszuwählen.
  • Zustimmungsanfrage für Nicht-Windows-Binärdateien (Standard): Wenn ein Vorgang für eine Nicht-Microsoft-Anwendung eine Erhöhung von Berechtigungen erfordert, wird der Benutzer aufgefordert, auf dem sicheren Desktop Zulassen oder Verweigern auszuwählen.

Benutzerkontensteuerung: Verhalten der Höhenanzeige für StandardbenutzerDank dieser Richtlinie können wir das Verhalten des Höhenindikators für Standardbenutzer steuern. Die Optionen sind:

  • Anmeldedaten anfordern (Standard): Wenn für einen Vorgang eine Rechteerweiterung erforderlich ist, wird der Benutzer aufgefordert, einen Administratorbenutzernamen und ein Kennwort einzugeben.
  • Liftanfragen automatisch ablehnen: Wenn für einen Vorgang eine Rechteerweiterung erforderlich ist, wird eine konfigurierbare Fehlermeldung für den Zugriffszugriff angezeigt.
  • Fordern Sie Anmeldeinformationen auf dem sicheren Desktop an: Wenn für einen Vorgang eine Rechteerweiterung erforderlich ist, wird der Benutzer aufgefordert, auf dem sicheren Desktop einen anderen Benutzernamen und ein anderes Kennwort einzugeben.

Benutzerkontensteuerung - App-Installationen erkennen und Erhöhung anfordernMit dieser Richtlinie können wir das Verhalten der Anwendungsinstallationserkennung für den Computer steuern.
Ihre Optionen sind:

  • Aktiviert (Standard): Wenn ein Anwendungsinstallationspaket erkannt wird, das eine Erhöhung von Berechtigungen erfordert, wird der Benutzer aufgefordert, einen Administratorbenutzernamen und ein Kennwort einzugeben.
  • Deaktiviert: Deaktivierte App-Installationspakete werden nicht erkannt und Erhöhungen werden angefordert. Unternehmen, die Standardbenutzerdesktops ausführen und delegierte Installationstechnologien wie Gruppenrichtlinien oder System Center Configuration Manager verwenden, sollten diese Richtlinieneinstellung deaktivieren.

Benutzerkontensteuerung: Laden Sie nur ausführbare Dateien hoch, die signiert und validiert sind
Mit dieser Richtlinie definieren Sie Signaturprüfungen der Public Key Infrastructure (PKI) für jede interaktive Anwendung, die eine Erhöhung von Berechtigungen anfordert.

IT-Administratoren können steuern, welche Anwendungen ausgeführt werden können, indem sie Zertifikate zum Zertifikatspeicher von Trusted Publishers auf lokalen Computern hinzufügen. Ihre Optionen sind:

  • Ermöglicht: Fördert die Validierung des Zertifikatszertifizierungspfads für eine bestimmte ausführbare Datei, bevor sie ausgeführt werden darf.
  • Deaktiviert: Erzwingt keine Validierung des Zertifikatszertifizierungspfads, bevor eine bestimmte ausführbare Datei ausgeführt werden darf.

Benutzerkontensteuerung: Erhöhen Sie nur UIAccess-Anwendungen, die an sicheren Orten installiert sindMit dieser Richtlinie ist es möglich zu steuern, ob Anwendungen, die eine Ausführung mit einem UIAccess-Integritätslevel (UIAccess) für die Benutzeroberfläche anfordern, an einem sicheren Ort im Dateisystem gespeichert sein müssen. Sichere Standorte sind auf die folgenden Routen beschränkt:

 \Programme\,\Windows\system32\,\Programme (x86)\. 
Ihre Optionen sind:
  • Ermöglicht: Wenn sich eine Anwendung an einem sicheren Ort im Dateisystem befindet, wird sie nur mit UIAccess-Integrität ausgeführt.
  • Deaktiviert: Eine Anwendung wird mit UIAccess-Integrität ausgeführt, auch wenn sie sich nicht an einem sicheren Ort im Dateisystem befindet.

Benutzerkontensteuerung - Administratorgenehmigungsmodus aktivierenDurch die Implementierung dieser Richtlinie können wir das Verhalten aller Richtlinieneinstellungen der Benutzerkontensteuerung (User Account Control, UAC) für den Computer steuern. Wenn Sie diese Richtlinieneinstellung ändern, müssen Sie Ihren Computer neu starten. Die verfügbaren Optionen sind:

  • Ermöglicht: Ermöglicht dem integrierten Administratorkonto und allen anderen Benutzern, die Mitglieder der Gruppe Administratoren sind, die Ausführung im Administratorgenehmigungsmodus.
  • Deaktiviert: Wenn diese Richtlinieneinstellung deaktiviert ist, benachrichtigt Sie Security Center, dass die Sicherheit des Betriebssystems insgesamt reduziert wurde.

Benutzerkontensteuerung - Wechseln Sie zum sicheren Desktop, wenn Sie eine Erhöhung anfordernMit dieser Richtlinie wird es möglich sein zu steuern, ob die Aufzugsanfragenachricht auf dem Desktop des interaktiven Benutzers oder auf dem sicheren Desktop angezeigt wird. Dort können wir folgendes feststellen:

  • Ermöglicht: Alle Aufzugsanfragen gehen an den sicheren Desktop, unabhängig von den Richtlinieneinstellungen für das Benachrichtigungsverhalten für Administratoren und Standardbenutzer.
  • Deaktiviert: Alle Liftanfragen gehen auf den Desktop des interaktiven Benutzers. Es werden die Standardrichtlinieneinstellungen für das Benutzer- und Administratorverhalten verwendet.
  • Alle diese Optionen finden Sie mit der Tastenkombination + R und Ausführen des Befehls secpol.msc
Im angezeigten Fenster gehen wir zur Route Lokale Richtlinien / Sicherheitsoptionen.

Konfiguration von RegistrierungsschlüsselnDie UAC-Registrierungsschlüssel finden Sie im folgenden Pfad des Registrierungseditors, auf den wir mit den Schlüsseln zugreifen und ausführen regedit:

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Die verfügbaren Datensätze sind:

FilterAdministratorTokendie optionen sind:

 0 (Standard) = Deaktiviert 1 = Aktiviert

EnableUIADesktopToggleIhre Optionen sind:

 0 (Standard) = Deaktiviert 1 = Aktiviert

EinwilligungsaufforderungVerhaltenAdminIhre Optionen sind:

 0 = Erhöhen ohne Aufforderung 1 = Aufforderung zur Eingabe von Anmeldeinformationen auf dem sicheren Desktop 2 = Aufforderung zur Zustimmung auf dem sicheren Desktop 3 = Aufforderung zur Eingabe von Anmeldeinformationen 4 = Aufforderung zur Zustimmung 5 (Standard) = Aufforderung zur Zustimmung für Nicht-Windows-Binärdateien

EinwilligungsaufforderungVerhaltenBenutzerIhre Möglichkeiten sind:

 0 = Erhöhungsanforderungen automatisch verweigern 1 = Aufforderung zur Eingabe von Anmeldeinformationen auf dem sicheren Desktop 3 (Standard) = Aufforderung zur Eingabe von Anmeldeinformationen

EnableInstallerDetectionIhre Optionen sind:

 1 = Aktiviert (Standard für Home-Editionen) 0 = Deaktiviert (Standard für Enterprise-Editionen)

ValidateAdminCodeSignaturenIhre Optionen sind:

 0 (Standard) = Deaktiviert 1 = Aktiviert

SecureUIAPaths aktivierenIhre Optionen sind:

 0 = Deaktiviert 1 (Standard) = Aktiviert

LUA aktivierenIhre Optionen sind:

 0 = Deaktiviert 1 (Standard) = Aktiviert

Wie wir verstanden haben, wurde UAC entwickelt, um uns zu helfen, die Prozesse, die in Windows 10 ausgeführt werden, besser zu kontrollieren, wobei wir immer an die Sicherheit und den Datenschutz jedes Benutzers denken.

wave wave wave wave wave