M 4.340 Einsatz der Windows-Benutzerkontensteuerung UAC ab Windows Vista

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter

Die Benutzerkontensteuerung (UAC, User Account Control) ist ein Sicherheitsmechanismus in Windows, der clientseitig ab Vista und serverseitig ab Server 2008 verfügbar ist. Die UAC realisiert das Prinzip des Least-Privileged User Account, um die Missbrauchsmöglichkeiten administrativer Berechtigungen zu begrenzen. Sie unterstützt insbesondere die Umsetzung der Maßnahme M 2.32 Einrichtung einer eingeschränkten Benutzerumgebung für normale Benutzer und Administratoren.

Bei aktiver Benutzerkontensteuerung arbeiten alle Benutzer grundsätzlich als Standardbenutzer. Auch Administratoren führen ihre Tätigkeiten zunächst als Standardbenutzer aus. Die UAC erkennt, wenn eine Aktivität erhöhte Rechte benötigt und gibt diese frei oder verweigert sie, je nachdem wie sie konfiguriert wurde. Die UAC wirkt sich ausschließlich auf lokale Benutzersitzungen aus (auch Remotedesktop-Sitzungen). Auf Anmeldungen von Benutzern über das Netz, ausgehend von anderen Rechnern (z. B. Zugriff auf Dateifreigaben), hat sie keine Auswirkung, wenn Domänen-Konten verwendet werden.

Lokale Konten sind bei aktivierter UAC nicht mit allen netzbasierten Verwaltungsdiensten, zum Beispiel beim Zugriff auf die WMI-Schnittstelle (Windows Management Interface) des IT-Systems über das Netz, kompatibel. Verwaltungsdienste und -tätigkeiten sollten daher immer mit Domänenkonten ausgeführt werden.

Bestimmte Aktivitäten erfordern erhöhte Rechte innerhalb der lokalen Sitzung, die Standardbenutzer nicht besitzen. Zu diesen Aktivitäten zählen beispielsweise die Installation von Anwendungen, schreibender Zugriff auf Systemverzeichnisse, ältere Fachapplikationen oder die Ausführung bestimmter Betriebssystemprogramme und administrative Skripte. Doch auch Schadprogramme bedienen sich fast immer erhöhter Rechte. Wenn auf dem IT-System Konten mit Administratorberechtigungen verwendet werden, sollte die UAC immer aktiviert sein. Unter Windows Vista und Windows Server 2008 ist dies standardmäßig der Fall.

Unter Windows 7 und Windows Server 2008 R2 ist die UAC in einer abgeschwächten Form voreingestellt. Administrative Konten können mit uneingeschränkten Berechtigungen weiterarbeiten, ohne dass der Desktop abgeblendet wird. Damit die Schutzfunktionen der UAC gegen Angreifer und Schadprogramme wirksam sind, müssen sie auf Immer benachrichtigen konfiguriert werden (Systemsteuerung | Benutzerkonten | Einstellungen der Benutzerkontensteuerung ändern).

Einfluss auf die Benutzerumgebung

Bevor ein normaler Benutzer eine Aktivität ausführen kann, die erhöhte Rechte erfordert, erscheint ein geschütztes Benutzeranmeldefenster zur Eingabe der Authentisierungsdaten eines Administrators. Dies kann den normalen Benutzer verunsichern oder ihn zu Fehlhandlungen anstiften. Zum anderen kann es zu einer Art "Über-die-Schulter"-Situation kommen, bei der Service-Mitarbeiter mehrfach im Beisein des Benutzers ein Kennwort eingeben müssen. Dadurch kann das Kennwort versehentlich kompromittiert werden. Es ist zu empfehlen, die lokale Sicherheitsoption Benutzerkontensteuerung: Verhalten der Anhebungsaufforderung für Standardbenutzer auf die Einstellung Anforderungen für erhöhte Rechte automatisch ablehnen zu konfigurieren (unter gpedit.msc | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen). Seit Windows 7 / Windows Server 2008 R2 heißt diese Sicherheitsoption: Benutzerkontensteuerung : Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer. In der Folge erhalten Standardbenutzer nur noch eine normale Fehlermeldung. Administratoren können weiterhin die Befehle runas und Ausführen als ... verwenden, wenn sie erhöhte Rechte für eine Tätigkeit benötigen. Werden die Rechner in Umgebungen mit hohen oder sehr hohen Sicherheitsanforderungen eingesetzt, sollte diese Option immer gesetzt sein.

Bevor ein Mitglied der Gruppe Administratoren eine Aktivität mit erhöhten Rechten ausführen kann, erscheint ein einfaches Bestätigungsfenster der UAC. Andere Authentisierungsdaten müssen und können hier nicht eingegeben werden.

Eine Ausnahme bildet unter Windows Server 2008 das vordefinierte Konto "Administrator", das durch die Benutzerkontensteuerung generell nicht eingeschränkt wird (bei Vista ist eine Anmeldung mit dem Konto "Administrator" nicht möglich).

Das Bestätigungsfenster selbst kann die Anzahl der Schritte, die ein Administrator bei seinen regelmäßigen Aufgaben durchführen muss, unangemessen erhöhen. Werden häufig administrative Konsolen benötigt, sollten diese in einer MMC-Konsole (mmc.exe, Microsoft Management Console) gebündelt werden, um mehrfache störende Abfragen zu vermeiden. Andere Möglichkeiten der Bündelung administrativer Vorgänge sind die Aufgabenplanung, Verwaltungs-Tools von Drittanbietern sowie die Kommandozeilenfenster (Powershell mit erhöhten Rechten, "DOS-Box" usw.).

Es empfiehlt sich, die Auswirkungen der zusätzlichen Schritte und die Möglichkeiten der Bündelung gemeinsam mit den betroffenen Administratoren zu beurteilen. Bei einer zu starken Beeinträchtigung der Arbeitseffizienz der Administratoren kann das Bestätigungsfenster abgeschaltet werden. Dies geschieht, indem der GPO-Richtlinie Benutzerkontensteuerung: Verhalten der Benutzeraufforderung mit erhöhten Rechten für Administratoren im Administratorbestätigungsmodus die Einstellung Keine Aufforderung zugewiesen wird. In der Folge erhöht die UAC die Rechte für den Administrator im Hintergrund, das heißt ohne Interaktion mit dem Administrator. Die beschriebene Einstellung erfordert ein Abwägen von Bedienbarkeit und Sicherheitsniveau und muss dokumentiert werden.

Das häufigste Beispiel für diese Einstellung sind Arbeitsplatzrechner, an denen in einer eingeschränkten Benutzerumgebung gearbeitet wird. Muss ein Administrator Wartungsarbeiten an diesen Rechnern durchführen, dann meldet er sich nur für einen kurzen Zeitraum darauf an und schließt die Wartung schnellstmöglich ab. Er verwendet normale Benutzerapplikationen entweder gar nicht oder nur in sehr geringem Maße.

Ein Gegenbeispiel, bei dem die oben genannte Einstellung nicht verwendet werden darf, sind administrative Konten für normale Benutzer, unter Umständen auch Zweitkonten, die regelmäßig zum Einsatz kommen oder auf mobilen Rechnern zur Verfügung gestellt werden.

Für Arbeitsstationen von Administratoren sollte in einer Richtlinie (M 2.325 Planung der Sicherheitsrichtlinien von Windows XP, Vista und Windows 7) festgelegt werden, ob Teile der Administration in einer eingeschränkten Benutzerumgebung stattfinden müssen. Dies sollte hauptsächlich von den Aufgaben, von der Verwaltungssoftware und vom erforderlichen Sicherheitsniveau abhängen. Ist eine eingeschränkte Benutzerumgebung vorgesehen, dann sollten im Rahmen dieser Richtlinie der sichere Desktop und die Bestätigungsmeldungen nicht deaktiviert werden.

Ist keine eingeschränkte Benutzerumgebung für den jeweiligen Administrationsbereich vorgesehen, empfiehlt es sich, die UAC ganz abzuschalten. Eine UAC mit abgeschwächten Einstellungen würde kaum eine Schutzwirkung erzielen. Andererseits bleiben jedoch die Kompatibilitätsprobleme der UAC erhalten, zum Beispiel mit WMI-Skripten.

Unabhängig von der Konfiguration der UAC sollten alle Konten mit Administratorenrechten dokumentiert sein. Vergebene Administratorrechte sollten regelmäßig auf ihre Notwendigkeit überprüft und entsprechend angepasst (das heißt auch wieder entzogen) werden, siehe M 2.8 Vergabe von Zugriffsrechten.

Sicherer Desktop

Die Bestätigungsmeldung der UAC oder das zusätzliche Anmeldefenster sind gegen Angreifer und Schadprogramme geschützt, solange sie im sogenannten sicheren Desktop angezeigt werden. Die oben genannte Gruppenrichtlinie enthält eine Reihe weiterer Einstellungen, die den sicheren Desktop umgehen oder deaktivieren. Der sichere Desktop darf jedoch nicht umgangen oder deaktiviert werden.

Geschützter Modus im Internet Explorer

Zur Nutzung des Geschützten Modus des Internet Explorer 7 muss die Benutzerkontensteuerung aktiviert sein, wie es in der Standardkonfiguration von Windows Vista und Windows 7 der Fall ist. Wird die Benutzerkontensteuerung deaktiviert, verliert der Internet Explorer 7 unmittelbar (und ohne Warnmeldung durch das Betriebssystem) den Status des Geschützten Modus.

Prüffragen: