User Account Control

Weitere Anpassungen können über die lokalen Sicherheitsrichtlinien (Bild 3) respektive die Gruppenrichtlinien erfolgen. Die lokalen Sicherheitsrichtlinien werden über die Programmgruppe Accessoires und dort mit dem Befehl Run gestartet, indem secpol.msc aufgerufen wird. Sowohl in den lokalen Sicherheitsrichtlinien als auch den Gruppenrichtlinien gibt es bei Local Policies die Security Options mit mehreren Einstellungen zu User Account Control:

Bild 3: Die Einstellungen zur User Account Control in den lokalen Sicherheitsrichtlinien.
Bild 3: Die Einstellungen zur User Account Control in den lokalen Sicherheitsrichtlinien.

  • Admin Approval Mode for the Built-In Administrator account: Steuert, ob für den Standardadministrator im System auch Bestätigungen bei der Ausführung von administrativen Aktionen erforderlich sind.

  • Behavior for the elevation prompt for administrators in Admin Approval Mode: Legt fest, ob und welche Abfrage für Administratoren angezeigt wird. Die Abfrage kann deaktiviert werden. Alternativ sind Bestätigungen oder die Eingabe der Credentials, also zum Beispiel von Benutzername und Kennwort, wählbar.

  • Behavior for the elevation prompt for standard users: Legt für Standardbenutzer fest, ob überhaupt eine Abfrage erfolgt und falls ja, in welcher Form.

  • Detect application installations and prompt for elevation: Führt eine Erkennung von Anwendungsinstallationen durch und zeigt in diesem Fall eine Abfrage an, ob die Installation durchgeführt werden soll. Diese Option sollte in jedem Fall aktiviert werden, um Anwendungsinstallationen durch Angriffe auf das System zu verhindern.

  • Only elevate executables that are signed and validated: Lässt eine Ausführung nur von signierten und überprüften Anwendungen im administrativen Modus zu.

  • Run all administrators in Admin Approval Mode: Stellt sicher, dass alle administrativen Konten im Bestätigungsmodus ausgeführt werden.

  • Switch to the secure desktop when prompting for elevation: Mit dieser Standardeinstellung wird zur sicheren Arbeitsoberfläche gewechselt, wenn eine Abfrage für die Ausführung von Anwendungen mit erhöhten Berechtigungen erfolgt. Die Option sollte gesetzt sein, um ein Umgehen der User Account Control zu verhindern.

  • Virtualize file and registry write failures to peruser locations: Bestimmt, dass Fehler beim Schreiben auf das Dateisystem und die Registry nicht im System-, sondern immer nur im Benutzerbereich umgesetzt werden, um die Auswirkungen zu begrenzen.

Wenn man als Administrator mit Windows Vista arbeitet, sind die Abfragen zunächst zweifelsohne etwas gewöhnungsbedürftig. Allerdings kommt man doch schnell damit zurecht, da sie nicht so oft erfolgen. Und letztlich ist es immer noch angenehmer, mit solchen Abfragen zu arbeiten, als sich immer wieder mit anderen Administrator-oder Operator-Konten anmelden zu müssen. Der Preis für mehr Sicherheit ist letztlich nicht allzu hoch, sodass man als Administrator die Einstellungen nicht gleich wieder deaktivieren sollte.