Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird erläutert, wie Sie die Benutzerkontensteuerung (User Account Control, UAC) unter Windows Server deaktivieren.
Ursprüngliche KB-Nummer: 2526083
Übersicht
Unter bestimmten eingeschränkten Umständen kann das Deaktivieren von UAC unter Windows Server eine akzeptable und empfohlene Vorgehensweise sein. Diese Umstände treten nur auf, wenn beide folgenden Bedingungen zutreffen:
- Nur Administratoren dürfen sich interaktiv auf der Konsole oder mithilfe von Remotedesktopdiensten beim Windows-Server anmelden.
- Administratoren melden sich nur beim Windows-basierten Server an, um legitime Systemverwaltungsfunktionen auf dem Server zu erledigen.
Wenn eine dieser Bedingungen nicht zutrifft, sollte die UAC aktiviert bleiben. Beispielsweise aktiviert der Server die Remotedesktopdienste-Rolle, sodass sich nichtadministrative Benutzer beim Server anmelden können, um Anwendungen auszuführen. Die UAC sollte in dieser Situation weiterhin aktiviert sein. Ebenso sollte die UAC in den folgenden Situationen aktiviert bleiben:
- Administratoren führen riskante Anwendungen auf dem Server aus. Beispielsweise Webbrowser, E-Mail-Clients oder Chatclients.
- Administratoren führen andere Vorgänge aus, die von einem Clientbetriebssystem ausgeführt werden sollten, z. B. Windows 7.
Notiz
- Dieser Leitfaden gilt nur für Windows Server-Betriebssysteme.
- UAC ist immer in den Server Core-Editionen von Windows Server 2008 R2 und höheren Versionen deaktiviert.
Weitere Informationen
UAC wurde entwickelt, um Windows-Benutzer standardmäßig bei der Verwendung von Standardbenutzerrechten zu unterstützen. UAC umfasst mehrere Technologien, um dieses Ziel zu erreichen. Dazu gehören:
Datei- und Registrierungsvirtualisierung: Wenn eine ältere Anwendung versucht, in geschützte Bereiche des Dateisystems oder der Registrierung zu schreiben, leitet Windows den Zugriff automatisch und transparent auf einen Teil des Dateisystems oder die Registrierung um, die der Benutzer ändern darf. Sie ermöglicht es vielen Anwendungen, die Administratorrechte in früheren Versionen von Windows erfordern, erfolgreich mit nur Standardbenutzerrechten unter Windows Server 2008 und höheren Versionen auszuführen.
Erhöhung desselben Desktops: Wenn ein autorisierter Benutzer ein Programm ausführt und erhöht, erhält der resultierende Prozess leistungsstärkere Rechte als diese Rechte des interaktiven Desktopbenutzers. Durch die Kombination von Erhöhungen mit dem Feature "Gefiltertes Token" von UAC (siehe nächstes Aufzählungspunkt) können Administratoren Programme mit Standardbenutzerrechten ausführen. Und sie können nur die Programme erhöhen, die Administratorrechte mit demselben Benutzerkonto erfordern. Dieses Feature zur Erhöhung der Benutzererweiterung wird auch als Administratorgenehmigungsmodus bezeichnet. Programme können auch mit erhöhten Rechten gestartet werden, indem sie ein anderes Benutzerkonto verwenden, damit ein Administrator administrative Aufgaben auf dem Desktop eines Standardbenutzers ausführen kann.
Gefiltertes Token: Wenn sich ein Benutzer mit administrativen oder anderen leistungsstarken Berechtigungen oder Gruppenmitgliedschaften anmeldet, erstellt Windows zwei Zugriffstoken, die das Benutzerkonto darstellen. Das nicht gefilterte Token verfügt über alle Gruppenmitgliedschaften und Berechtigungen des Benutzers. Das gefilterte Token stellt den Benutzer mit dem Äquivalent von Standardbenutzerrechten dar. Standardmäßig wird dieses gefilterte Token verwendet, um die Programme des Benutzers auszuführen. Das nicht gefilterte Token ist nur mit erhöhten Programmen verknüpft. Ein Konto wird unter den folgenden Bedingungen als geschütztes Administratorkonto bezeichnet:
- Es ist ein Mitglied der Gruppe "Administratoren"
- Es empfängt ein gefiltertes Token, wenn sich der Benutzer anmeldet
Benutzeroberflächenberechtigungsisolation (UIPI): UIPI verhindert, dass ein Programm mit niedrigeren Rechten den prozess höher privilegierten Prozess wie folgt steuert:
Senden von Fenstermeldungen, z. B. synthetischen Maus- oder Tastaturereignissen, an ein Fenster, das zu einem prozess mit höherer Privilegierten gehörtGeschützter Modus Internet Explorer (PMIE): PMIE ist ein umfassendes Verteidigungsfeature. Windows Internet Explorer wird im modus mit niedriger Berechtigung geschützt und kann nicht in die meisten Bereiche des Dateisystems oder der Registrierung geschrieben werden. Der geschützte Modus ist standardmäßig aktiviert, wenn ein Benutzer Websites in den Zonen "Internet" oder "Eingeschränkte Sites" durchsucht. PMIE erschwert Schadsoftware, die eine ausgeführte Instanz von Internet Explorer infiziert, um die Einstellungen des Benutzers zu ändern. Beispielsweise wird sie so konfiguriert, dass sie jedes Mal gestartet wird, wenn sich der Benutzer anmeldet. PMIE ist eigentlich nicht Teil der UAC. Dies hängt jedoch von UAC-Features ab, z. B. UIPI.
Installationsprogrammerkennung: Wenn ein neuer Prozess ohne Administratorrechte gestartet werden soll, wendet Windows Heuristiken an, um festzustellen, ob der neue Prozess wahrscheinlich ein Legacyinstallationsprogramm ist. Windows geht davon aus, dass ältere Installationsprogramme wahrscheinlich ohne Administratorrechte fehlschlagen. Daher fordert Windows den interaktiven Benutzer proaktiv zur Erhöhung auf. Wenn der Benutzer keine Administratoranmeldeinformationen hat, kann der Benutzer das Programm nicht ausführen.
Wenn Sie die Benutzerkontensteuerung deaktivieren: Führen Sie alle Administratoren in der Richtlinieneinstellung für den Administratorgenehmigungsmodus aus. Es deaktiviert alle in diesem Abschnitt beschriebenen UAC-Features. Diese Richtlinieneinstellung ist über die lokale Sicherheitsrichtlinie, Sicherheitseinstellungen, lokale Richtlinien und anschließende Sicherheitsoptionen des Computers verfügbar. Ältere Anwendungen mit Standardbenutzerrechten, die erwarten, dass sie in geschützte Ordner oder Registrierungsschlüssel schreiben, schlagen fehl. Gefilterte Token werden nicht erstellt. Und alle Programme werden mit den vollständigen Rechten des Benutzers ausgeführt, der am Computer angemeldet ist. Es enthält Internet Explorer, da der geschützte Modus für alle Sicherheitszonen deaktiviert ist.
Eine der allgemeinen Fehlverständnissen zu UAC und same-desktop Elevation ist insbesondere: Sie verhindert, dass Schadsoftware installiert wird oder administrative Rechte erhält. Erstens kann Schadsoftware geschrieben werden, um keine Administratorrechte zu verlangen. Und Schadsoftware kann geschrieben werden, um nur in Bereiche im Profil des Benutzers zu schreiben. Wichtiger ist, dass die Gleiche Desktoperweiterung in UAC keine Sicherheitsgrenze darstellt. Es kann von unprivilegierter Software entführert werden, die auf demselben Desktop ausgeführt wird. Die Gleiche Desktoperweiterung sollte als Komfortfeature betrachtet werden. Aus Sicherheitsgründen sollte der geschützte Administrator als gleichwertig betrachtet werden. Im Gegensatz dazu umfasst die Verwendung des schnellen Benutzerwechsels zum Anmelden bei einer anderen Sitzung mithilfe eines Administratorkontos eine Sicherheitsgrenze zwischen dem Administratorkonto und der Standardbenutzersitzung.
Für einen Windows-basierten Server, auf dem der einzige Grund für die interaktive Anmeldung die Verwaltung des Systems ist, ist das Ziel weniger Erhöhungsaufforderungen nicht machbar oder wünschenswert. Systemverwaltungstools erfordern legitim verwaltungsrechtliche Rechte. Wenn alle Administrativen Benutzeraufgaben Administratorrechte erfordern und jede Aufgabe eine Eingabeaufforderung zur Erhöhung auslösen kann, sind die Eingabeaufforderungen nur eine Behinderung der Produktivität. In diesem Zusammenhang werden solche Eingabeaufforderungen nicht/können das Ziel nicht fördern, die Entwicklung von Anwendungen zu fördern, die Standardbenutzerrechte erfordern. Solche Eingabeaufforderungen verbessern den Sicherheitsstatus nicht. Mit diesen Eingabeaufforderungen können Benutzer einfach durch Dialogfelder klicken, ohne sie zu lesen.
Dieser Leitfaden gilt nur für gut verwaltete Server. Dies bedeutet, dass sich nur administrative Benutzer interaktiv oder über Remotedesktopdienste anmelden können. Und sie können nur legitime Verwaltungsfunktionen ausführen. Der Server sollte in den folgenden Situationen als gleichwertig mit einem Clientsystem betrachtet werden:
- Administratoren führen riskante Anwendungen aus, z. B. Webbrowser, E-Mail-Clients oder Chatclients.
- Administratoren führen andere Vorgänge aus, die von einem Clientbetriebssystem ausgeführt werden sollen.
In diesem Fall sollte die UAC als umfassende Verteidigungsmaßnahme aktiviert bleiben.
Wenn sich Standardbenutzer auf dem Server auf der Konsole oder über Remotedesktopdienste anmelden, um Anwendungen auszuführen, insbesondere Webbrowser, sollte UAC weiterhin aktiviert sein, um die Datei- und Registrierungsvirtualisierung und auch den geschützten Modus Internet Explorer zu unterstützen.
Eine weitere Möglichkeit, Rechteerweiterungsaufforderungen ohne Deaktivierung der Benutzerkontensteuerung zu vermeiden, besteht darin, die Benutzerkontensteuerung festzulegen: Verhalten der Eingabeaufforderung zur Erhöhung der Rechteerweiterung für Administratoren im Sicherheitsmodus für Administratoren im Administratorgenehmigungsmodus auf "Erhöhen" ohne Aufforderung. Mithilfe dieser Einstellung werden Rechteerweiterungsanforderungen automatisch genehmigt, wenn der Benutzer Mitglied der Gruppe "Administratoren" ist. Diese Option lässt auch PMIE und andere UAC-Features aktiviert. Allerdings nicht alle Vorgänge, die rechteerweiterung für Administrative Rechte erfordern. Die Verwendung dieser Einstellung kann dazu führen, dass einige der Programme des Benutzers erhöht werden und einige nicht, ohne dass eine Möglichkeit besteht, zwischen ihnen zu unterscheiden. Die meisten Konsolenhilfsprogramme, für die Administratorrechte erforderlich sind, erwarten beispielsweise, dass sie an einer Eingabeaufforderung oder einem anderen Programm gestartet werden, das bereits erhöht wurde. Solche Hilfsprogramme schlagen lediglich fehl, wenn sie an einer Eingabeaufforderung gestartet werden, die nicht mit erhöhten Rechten versehen ist.
Zusätzliche Auswirkungen der Deaktivierung von UAC
- Wenn Sie versuchen, mit Windows Explorer zu einem Verzeichnis zu navigieren, in dem Sie keine Leseberechtigungen besitzen, bietet Explorer an, die Berechtigungen des Verzeichnisses zu ändern, um Ihrem Benutzerkonto dauerhaft Zugriff darauf zu gewähren. Die Ergebnisse hängen davon ab, ob UAC aktiviert ist. Weitere Informationen finden Sie unter "Weiter", wenn Sie im Windows-Explorer auf "Weiter" klicken, wird Ihr Benutzerkonto der ACL für den Ordner hinzugefügt.
- Wenn UAC deaktiviert ist, zeigt Der Windows-Explorer weiterhin UAC-Schildsymbole für Elemente an, die eine Erhöhung erfordern. Und Windows Explorer enthält weiterhin "Als Administrator ausführen" in den Kontextmenüs von Anwendungen und Anwendungsverknüpfungen. Da der UAC-Erweiterungsmechanismus deaktiviert ist, haben diese Befehle keine Auswirkung. Und Anwendungen werden im gleichen Sicherheitskontext ausgeführt wie der Benutzer, der angemeldet ist.
- Wenn UAC aktiviert ist, wird das Programm ausgeführt, wenn das Konsolenhilfsprogramm Runas.exe verwendet wird, um ein Programm mithilfe eines Benutzerkontos zu starten, das der Tokenfilterung unterliegt, das Programm mit dem gefilterten Token des Benutzers ausgeführt wird. Wenn UAC deaktiviert ist, wird das programm, das gestartet wird, mit dem vollständigen Token des Benutzers ausgeführt.
- Wenn UAC aktiviert ist, können lokale Konten, die der Tokenfilterung unterliegen, nicht für die Remoteverwaltung über andere Netzwerkschnittstellen als Remotedesktop verwendet werden. Beispiel: über NET USE oder WinRM. Ein lokales Konto, das sich über eine solche Schnittstelle authentifiziert, erhält nur die Berechtigungen, die dem gefilterten Token des Kontos gewährt werden. Wenn UAC deaktiviert ist, wird diese Einschränkung entfernt. Die Einschränkung kann auch mithilfe der
LocalAccountTokenFilterPolicyin KB951016 beschriebenen Einstellung entfernt werden. Das Entfernen dieser Einschränkung kann das Risiko einer Systemkompromittierung in einer Umgebung erhöhen, in der viele Systeme über ein lokales Administratorkonto mit demselben Benutzernamen und Kennwort verfügen. Es wird empfohlen, sicherzustellen, dass andere Risikominderungen gegen dieses Risiko eingesetzt werden. Weitere Informationen zu empfohlenen Gegenmaßnahmen finden Sie unter "Entschärfung von Pass-the-Hash(PtH)-Angriffen und anderen Diebstahl von Anmeldeinformationen, Version 1 und 2". - PsExec, Benutzerkontensteuerung und Sicherheitsgrenzen
- Wenn Sie "Weiter" für den Ordnerzugriff im Windows-Explorer auswählen, wird Ihr Benutzerkonto der ACL für den Ordner hinzugefügt (KB 950934)