Windows 10

Windows-Zugriff mit Admin-Rechten zusätzlich absichern

23.09.2020 von Thomas Rieske

Wenn man ein Programm mit Administrator-Berechtigung aufruft, erfolgt standardmäßig nur eine kurze Rückfrage der Benutzerkontensteuerung, die sich einfach mit Klick auf den Ja-Button durchwinken lässt. Den Zugriff kann man aber besser schützen, sogar ohne extra einen eingeschränkten Account anzulegen.

Registrierungsdatenbank anpassen

Um auch für User der Administrator-Gruppe zusätzlich das Admin-Passwort abzufragen, existieren zwei Methoden. Für alle Windows-10-Editionen funktioniert dies über eine Anpassung der Registrierungsdatenbank. Nachdem Sie den Registry-Editor aufgerufen und die UAC-Rückfrage bestätigt haben, wechseln Sie zum Zweig HKEY_LOCAL_MACHINE. Dann navigieren Sie weiter zum Schlüssel SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.

Windows 10 - Zugriff mit Admin-Rechten zusätzlich absichern

Windows 10 Admin-Rechte
Wenn Sie als Mitglied der Admin-Gruppe ein Programm mit erhöhten Rechten aufrufen, genügt im folgenden Dialog ein simpler Klick auf „Ja“, um fortzufahren.

Windows 10 Admin-Rechte
Für eine zusätzliche Passwortabfrage starten Sie den Registry-Editor über den Ausführen-Dialog.

Windows 10 Admin-Rechte
Bestätigen Sie die Rückfrage der Benutzerkontensteuerung mit Klick auf den Ja-Button.

Windows 10 Admin-Rechte
Als Nächstes öffnen Sie den Registry-Zweig „HKEY_LOCAL_MACHINE“.

Windows 10 Admin-Rechte
Navigieren Sie weiter bis zum Key „SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System“. Rechts sehen Sie den Eintrag „ConsentPromptBehaviorAdmin“, den Sie per Doppelklick öffnen.

Windows 10 Admin-Rechte
Anschließend öffnet sich ein separater Dialog. Hier ersetzen Sie den Default-Wert 5 durch den Wert 1 und bestätigen die Änderung mit OK.

Windows 10 Admin-Rechte
Wenn Sie jetzt eine Anwendung mit erweiterten Rechten starten, müssen Sie zusätzlich das zum Admin-Account gehörige Passwort angeben.

Windows 10 Admin-Rechte
Nutzer der Pro-Edition können das Verhalten über eine Richtlinie steuern. Dazu rufen Sie den Policy-Editor auf.

Windows 10 Admin-Rechte
Unter „Lokale Richtlinien / Sicherheitsoptionen“ findet sich die rot hervorgehobene UAC-Einstellung. Sie regelt, was passieren soll, wenn Konten der Admin-Gruppe erhöhte Rechte anfordern. Klicken Sie doppelt auf diese Option.

Windows 10 Admin-Rechte
Anschließend öffnet Windows ein neues Fenster. Auf dem Tab „Lokale Sicherheitseinstellung“ klicken Sie auf die Pulldown-Liste.

Windows 10 Admin-Rechte
Insgesamt umfasst die Liste sechs Einträge. Wählen Sie „Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop“ aus. Nun noch die Änderung mit OK übernehmen und den Policy-Editor schließen – fertig.

Registry-Eintrag modifizieren

Der Eintrag, der das Verhalten steuert, wenn Sie eine Anwendung als Administrator starten, nennt sich ConsentPromptBehaviorAdmin. Dessen Wert ist per Default 5. Doppelklicken Sie auf dieses DWORD, und ändern Sie im folgenden Fenster den Wert auf 1. Ab sofort wird der einfache Ja-/Nein-Dialog durch eine Abfrage ergänzt, bei der Sie auch das entsprechende Kennwort eingeben müssen.

Sicherheitsrichtlinien anpassen

Die zweite Methode führt über die Sicherheitsrichtlinien. Diese lassen sich in den Profi-Editionen von Windows über den dazugehörigen Editor bearbeiten. Starten Sie ihn, indem Sie in den Ausführen-Dialog (erreichbar per Windows-Taste + R) secpol.msc eingeben und auf die OK-Schaltfläche klicken.

Administratorgenehmigungsmodus definieren

Die betreffende Option finden Sie, wenn Sie zur Rubrik Lokale Richtlinien / Sicherheitsoptionen navigieren. Im rechten Bereich klicken Sie nun doppelt auf die Option Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorgenehmigungsmodus.

Option für Eingabeaufforderung auswählen

Anschließend öffnet sich ein neues Fenster, das auf dem Tab Lokale Sicherheitseinstellung eine Dropdown-Liste mit insgesamt sechs Einträgen enthält. Die Standardeinstellung lautet Eingabeaufforderung zur Zustimmung für Nicht-Windows-Binärdateien. Wählen Sie stattdessen aus der Liste die Option Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop.

Bestätigen Sie abschließend die Änderung mit OK und schließen den Policy-Editor. Wie bei der ersten Methode fragt Windows nun auch dann das Admin-Kennwort ab, wenn Sie als Administrator arbeiten und eine Anwendung mit erhöhten Rechten ausführen wollen. (hal)