User Account Control

01.09.2006 von Martin Kuppinger

Die User Account Control hat die Aufgabe, Windows-Systeme besser vor Angriffen zu schützen. Dieser Mechanismus verhindert, dass ständig im Kontext eines Administrators gearbeitet wird, und verlangt es, dass kritische Zugriffe im System gesondert bestätigt werden.

Die User Account Control (UAC) von Windows Vista ist eine der zentralen neuen Technologien im System. Betrachtet man die in den vergangenen Jahren bekannt gewordenen Angriffszenarien, wird deutlich, dass sehr viele davon auf Benutzer mit administrativen Berechtigungen im System gerichtet sind. Je höher die Berechtigungen des angegriffenen Benutzers, desto höher der Schaden, der angerichtet werden kann.

Das Problem dabei ist, dass sehr viele Benutzer vor allem im privaten Umfeld mit vollen administrativen Berechtigungen arbeiten. Aber auch Administratoren und Operatoren in Unternehmen melden sich häufig mit umfassenden Berechtigungen an, obwohl sie für die aktuelle Arbeit eigentlich nur einen kleinen Teil der Berechtigungen benötigen.

Mit UAC wird nun versucht, die durch administrative Konten entstehenden Risiken zu minimieren. In der Regel wird auf dem Niveau eines Standardbenutzers gearbeitet, der keine anspruchsvolleren Aufgaben ausführen darf, die administrative Berechtigungen erfordern. Falls solche Aufgaben doch ausgeführt werden müssen, ist eine explizite Bestätigung erforderlich.

Damit werden Risiken deutlich minimiert. Denn wenn durch einen Angriff etwa eine Anwendung installiert werden soll, scheitert das entweder an den fehlenden Berechtigungen, oder der Administrator kann durch eine Benachrichtigung informiert werden. Er wird dann die Installation verweigern, weil er sie ja nicht selbst initiiert hat, und hoffentlich Gegenmaßnahmen ergreifen, indem er beispielsweise einen Virenscanner laufen lässt.

Wenn ein Benutzer eine Anwendung ausführt, die administrative Berechtigungen erfordert, wird eine Meldung angezeigt (Bild 1), die auf die potenziellen Sicherheitsrisiken durch diese Anwendung hinweist. Der Benutzer kann mit Continue entscheiden, dass die Anwendung dennoch ausgeführt werden darf. Gut testen lässt sich das mit den Advanced System Settings im Bereich System der Systemsteuerung oder mit dem Tool Disk Cleanup für einen Datenträger. Letzteres kann über den Windows Explorer gestartet werden.

Bild 1: Die Meldung bei der Ausführung einer Anwendung, die spezielle administrative Privilegien benötigt.

Bei einigen Anwendungen kann man den Modus auch generell anpassen. Bei den Eigenschaften von Anwendungen im Register Compatibility lässt sich das Privilege Level in einigen Fällen anpassen. Bei Anwendungen, die mit Windows Vista überarbeitet werden oder die keine administrativen Berechtigungen erfordern, gilt das aber nicht. Bei anderen Anwendungen kann dagegen die Option Run this program as an administrator gesetzt werden, um es generell mit administrativen Berechtigungen auszuführen.

Bild 2: Bei einigen Anwendungen kann das Privilege Level gesetzt werden, um die Abfragen zu umgehen.

Weitere Anpassungen können über die lokalen Sicherheitsrichtlinien (Bild 3) respektive die Gruppenrichtlinien erfolgen. Die lokalen Sicherheitsrichtlinien werden über die Programmgruppe Accessoires und dort mit dem Befehl Run gestartet, indem secpol.msc aufgerufen wird. Sowohl in den lokalen Sicherheitsrichtlinien als auch den Gruppenrichtlinien gibt es bei Local Policies die Security Options mit mehreren Einstellungen zu User Account Control:

Bild 3: Die Einstellungen zur User Account Control in den lokalen Sicherheitsrichtlinien.

Admin Approval Mode for the Built-In Administrator account: Steuert, ob für den Standardadministrator im System auch Bestätigungen bei der Ausführung von administrativen Aktionen erforderlich sind.

Behavior for the elevation prompt for administrators in Admin Approval Mode: Legt fest, ob und welche Abfrage für Administratoren angezeigt wird. Die Abfrage kann deaktiviert werden. Alternativ sind Bestätigungen oder die Eingabe der Credentials, also zum Beispiel von Benutzername und Kennwort, wählbar.

Behavior for the elevation prompt for standard users: Legt für Standardbenutzer fest, ob überhaupt eine Abfrage erfolgt und falls ja, in welcher Form.

Detect application installations and prompt for elevation: Führt eine Erkennung von Anwendungsinstallationen durch und zeigt in diesem Fall eine Abfrage an, ob die Installation durchgeführt werden soll. Diese Option sollte in jedem Fall aktiviert werden, um Anwendungsinstallationen durch Angriffe auf das System zu verhindern.

Only elevate executables that are signed and validated: Lässt eine Ausführung nur von signierten und überprüften Anwendungen im administrativen Modus zu.

Run all administrators in Admin Approval Mode: Stellt sicher, dass alle administrativen Konten im Bestätigungsmodus ausgeführt werden.

Switch to the secure desktop when prompting for elevation: Mit dieser Standardeinstellung wird zur sicheren Arbeitsoberfläche gewechselt, wenn eine Abfrage für die Ausführung von Anwendungen mit erhöhten Berechtigungen erfolgt. Die Option sollte gesetzt sein, um ein Umgehen der User Account Control zu verhindern.

Virtualize file and registry write failures to peruser locations: Bestimmt, dass Fehler beim Schreiben auf das Dateisystem und die Registry nicht im System-, sondern immer nur im Benutzerbereich umgesetzt werden, um die Auswirkungen zu begrenzen.

Wenn man als Administrator mit Windows Vista arbeitet, sind die Abfragen zunächst zweifelsohne etwas gewöhnungsbedürftig. Allerdings kommt man doch schnell damit zurecht, da sie nicht so oft erfolgen. Und letztlich ist es immer noch angenehmer, mit solchen Abfragen zu arbeiten, als sich immer wieder mit anderen Administrator-oder Operator-Konten anmelden zu müssen. Der Preis für mehr Sicherheit ist letztlich nicht allzu hoch, sodass man als Administrator die Einstellungen nicht gleich wieder deaktivieren sollte.