Administratorschutz (Vorschau)

Der Administratorschutz ist ein Plattformsicherheitsfeature in Windows 11 mit dem Ziel, sicherzustellen, dass Benutzer mit den geringsten erforderlichen Berechtigungen ausgeführt werden. Die Rechte werden nur bei Bedarf und nur mit ausdrücklicher Genehmigung des Benutzers erhöht. Dieses Feature arbeitet nach dem Prinzip der geringsten Rechte, hält Benutzer in einem privilegierten Zustand und gewährt Just-in-Time-Rechte nur bei Bedarf.

In der heutigen digitalen Landschaft verfügen Benutzer mit Administratorrechten unter Windows über leistungsstarke Funktionen, um Konfigurationen zu ändern und systemweite Änderungen vorzunehmen, die sich auf den allgemeinen Sicherheitsstatus eines Windows 11 Geräts auswirken können. Administratorrechte schaffen einen erheblichen Angriffsvektor. Böswillige Akteure nutzen diese Berechtigungen häufig aus, um nicht autorisierten Zugriff auf Benutzerdaten zu erhalten, den Datenschutz zu gefährden und Betriebssystemsicherheitsfeatures ohne Das Wissen des Benutzers zu deaktivieren.

Der Administratorschutz löst diese Herausforderung, indem benutzer aufgefordert werden, ihre Identität mit Windows Hello integrierten Authentifizierung zu überprüfen. Es erzwingt diese Überprüfung, bevor Aktionen zugelassen werden, die Administratorrechte benötigen, z. B. Software installieren, Systemeinstellungen wie Uhrzeit oder Registrierung ändern und auf vertrauliche Daten zugreifen.

Vorteile

Der Administratorschutz bietet mehrere wichtige Vorteile:

• Erhöhte Sicherheit: Durch die explizite Autorisierung durch den Benutzer für jede Administrative Aufgabe schützt der Administratorschutz Windows vor versehentlichen Änderungen durch Benutzer und Änderungen durch Schadsoftware. Es trägt dazu bei, dass Benutzer sich potenziell schädlicher Aktionen bewusst sind, bevor sie auftreten, und bietet eine zusätzliche Schutzebene gegen Bedrohungen.

• Benutzersteuerung: Der Administratorschutz erfordert, dass Benutzer explizit entscheiden, ob eine bestimmte Anwendung mit erhöhten Rechten ausgeführt werden soll. Dadurch wird sichergestellt, dass nur autorisierte Apps Systemänderungen vornehmen können, wodurch das Risiko versehentlicher oder böswilliger Änderungen verringert wird.

• Reduzierung von Schadsoftware: Schadsoftware basiert häufig auf Administratorrechten, um Geräteeinstellungen zu ändern und schädliche Aktionen auszuführen. Der Administratorschutz unterbricht die Kill Chain für Angriffe, da Schadsoftware keine Administratorrechte mehr im Hintergrund erlangen kann.

Systemanforderungen

Administratorschutz wird in Kürze auf Windows 11 Geräten verfügbar sein. Das zuvor im nicht sicherheitsrelevanten Update (KB5067036) vom Oktober 2025 aufgeführte Feature wurde wiederhergestellt und wird zu einem späteren Zeitpunkt veröffentlicht.

Funktionsweise des Administratorschutzes

Im Kern basiert der Administratorschutz auf dem Prinzip der geringsten Rechte. Wenn sich ein Benutzer bei Windows anmeldet, erhält er ein privilegiertes Benutzertoken. Wenn jedoch Administratorrechte erforderlich sind, fordert Windows den Benutzer auf, den Vorgang zu autorisieren. Nach der Autorisierung verwendet Windows ein ausgeblendetes, vom System generiertes, profiltrenntes Benutzerkonto, um ein isoliertes Administratortoken zu erstellen. Dieses Token wird für den anfordernden Prozess ausgestellt und nach Abschluss des Prozesses zerstört, um sicherzustellen, dass administratorrechte nicht beibehalten werden.

Der Administratorschutz führt eine neue Sicherheitsgrenze mit Unterstützung ein, um alle gemeldeten Sicherheitsfehler zu beheben. Die Architekturänderungen stellen sicher, dass niemand ohne ordnungsgemäße Autorisierung auf den Code oder die Daten von Sitzungen mit erhöhten Rechten zugreifen oder diese manipulieren kann.

Einige Anwendungen verlassen sich möglicherweise darauf, dass immer Administratorrechte vorhanden sind und auf das Profil mit erhöhten Rechten zugegriffen werden kann, wenn sie nicht relevant ausgeführt werden. Bei diesem neuen Ansatz benötigen einige Szenarien in diesen Apps möglicherweise Updates, um reibungslos mit dem erweiterten Sicherheitsmodell zu funktionieren. Wir arbeiten aktiv mit App-Entwicklern zusammen, um ihnen bei der Anpassung zu helfen, um sicherzustellen, dass Ihre bevorzugten Erfahrungen nahtlos bleiben und Gleichzeitig Ihr System geschützt bleibt. Anleitungen zum Entwickeln Ihrer Anwendungen finden Sie unter Verbessern der Anwendungssicherheit mit Administratorschutz .

Letztendlich geht es bei diesen Änderungen darum, Windows für Sie sicherer zu machen, sodass Sie leistungsstarke Features mit größerer Sicherheit genießen können.

Wichtige architektonische Highlights

• Just-in-Time-Rechteerweiterung: Benutzer bleiben privilegiert und erhalten nur während eines Administratorvorgangs Rechte zur Just-in-Time-Rechteerweiterung. Das Administratortoken wird nach der Verwendung verworfen und neu erstellt, wenn eine andere Aufgabe ausgeführt wird, die Administratorrechte erfordert.

• Profiltrennung: Der Administratorschutz verwendet ausgeblendete, vom System generierte, profiltrennte Benutzerkonten, um isolierte Administratortoken zu erstellen. Dadurch wird sichergestellt, dass Schadsoftware auf Benutzerebene die Sitzung mit erhöhten Rechten nicht gefährden kann, sodass die Erhöhung zu einer Sicherheitsgrenze wird.

• Keine automatischen Rechteerweiterungen: Benutzer müssen jeden Administratorvorgang interaktiv autorisieren. Dadurch wird sichergestellt, dass der Administratorbenutzer die volle Kontrolle hat und dass Administratorrechte nicht missbraucht werden.

• Windows Hello Integration: Der Administratorschutz ist in Windows Hello integriert, um eine einfache und sichere Autorisierung zu ermöglichen.

Konfiguration

Der Administratorschutz kann über verschiedene Methoden aktiviert werden:

• Microsoft Intune-Einstellungskatalog (Vorschau)
• CSP
• Gruppenrichtlinie
• Windows-Sicherheit-Einstellungen (Vorschau)

Intune

Hinweis

• Diese Option ist derzeit in der Vorschau verfügbar. Es wird schrittweise für alle eingeführt.
• Der Administratorschutz kann mit CSP-Richtlinien (Configuration Service Provider) mithilfe von Intune konfiguriert werden. Verwenden Sie benutzerdefinierte Richtlinien , um Folgendes zu konfigurieren:
  • UserAccountControl_TypeOfAdminApprovalMode [aktivieren]
  • UserAccountControl_BehaviorOfTheElevationPromptForAdministratorProtection [Eingabeaufforderung konfigurieren]

Um Geräte mit Microsoft Intune zu konfigurieren, erstellen Sie eine Einstellungskatalogrichtlinie, und verwenden Sie die Unterkategorie aufgeführten Local Policies Security OptionsEinstellungen:

• Benutzerkontosteuerungsverhalten der Eingabeaufforderung für erhöhte Rechte für den Administratorschutz
  • Benutzerkontosteuerungstyp des Admin Genehmigungsmodus

Weisen Sie die Richtlinie einer Sicherheitsgruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.

GPO

Sie können Sicherheitsrichtlinien verwenden, um zu konfigurieren, wie der Administratorschutz in Ihrem organization funktioniert. Die Richtlinien können lokal mithilfe des Snap-Ins "Lokale Sicherheitsrichtlinie" (secpol.msc) oder für die Domäne, organisationseinheit oder bestimmte Gruppen nach Gruppenrichtlinie konfiguriert werden.

So konfigurieren Sie den Administratorschutz mithilfe einer Gruppenrichtlinie:

1. Navigieren Sie zu Computerkonfiguration>Windows-Einstellungen>Sicherheitseinstellungen>Lokale Richtlinien>Sicherheitsoptionen.
2. Suchen Sie die Richtlinie für "Benutzerkontensteuerung: Typ des Admin Genehmigungsmodus konfigurieren", und ändern Sie die Einstellung in "genehmigungsmodus mit Administratorschutz Admin".
3. Konfigurieren Sie das Eingabeaufforderungsverhalten, indem Sie das gewünschte Verhalten in der Richtlinie "Benutzerkontensteuerung: Verhalten der Eingabeaufforderung zur Erhöhung für Administratoren, die mit Administratorschutz ausgeführt werden" auswählen.
4. Um die Änderungen anzuwenden, starten Sie das Gerät neu.

CSP

Der Administratorschutz kann auch im CSP LocalPoliciesSecurityOptions konfiguriert werden:

• Konfigurieren Sie UserAccountControl_TypeOfAdminApprovalMode, um den Administratorschutz zu aktivieren.
• Verwenden Sie UserAccountControl_BehaviorOfTheElevationPromptForAdministratorProtection, um zwischen Zustimmungsaufforderungen und Anmeldeinformationen zu wählen.

In Microsoft Intune können Sie eine benutzerdefinierte Richtlinie verwenden, um den CSP LocalPoliciesSecurityOptions bereitzustellen.

Windows-Sicherheit

Hinweis

Diese Option ist derzeit im Windows-Insider-Programm als Vorschau verfügbar. Es wird schrittweise für alle eingeführt.

Sie können den Administratorschutz auf Ihrem Gerät aktivieren, indem Sie in der Windows-Sicherheit-App zum Abschnitt Kontoschutz navigieren und die Umschaltfläche auf Ein umschalten.

1. Wählen Sie die Schaltfläche Start aus, suchen Sie nach Windows-Sicherheit, und starten Sie die Windows-Sicherheit-App.
2. Wählen Sie Kontoschutz aus, und suchen Sie dann die Administratorschutzeinstellungen.
3. Wählen Sie die Umschaltfläche aus, um den Administratorschutz zu aktivieren.
4. Wenn Sie dazu aufgefordert werden, starten Sie Ihr Gerät neu, um die Änderungen zu übernehmen.

Wichtig

Ein Neustart ist erforderlich, damit der Administratorschutz wirksam wird.

Überwachen und Melden von Ereignissen

Zum Nachverfolgen von Erhöhungen verfügt der Administratorschutz über zwei neue EREIGNISSE der Ereignisablaufverfolgung für Windows (ETW) unter dem vorhandenen Microsoft-Windows-LUA-Anbieter mit GUID {93c05d69-51a3-485e-877f-1806a8731346}:

Ereignis-ID	Ereignisname	Beschreibung
15031	Rechteerweiterungen genehmigt	Protokolliert, wenn ein Benutzer erfolgreich authentifiziert und Rechteerweiterungen gewährt werden
15032	Rechteerweiterung verweigert/Fehler	Protokolliert, wenn rechte Rechte verweigert, fehlschlägt oder ein Zeitüberschreitung auftritt

Was protokolliert wird

• Die Sicherheits-ID (SID) des Benutzers, der die Erhöhung ausgelöst hat.
• Anwendungsname und -pfad
• Das Ergebnis der Erhöhung (genehmigt, verweigert, Timeout)
• Das systemseitig verwaltete Administratorkonto, das zum Ausführen der Aufgabe verwendet wird
• Die Authentifizierungsmethode (z. B. Kennwort, PIN, Windows Hello)

Erfassen dieser Ereignisse

• Aktivieren des Anbieters Microsoft-Windows-LUA (GUID: {93c05d69-51a3-485e-877f-1806a8731346})

• Verwenden von Logman oder WPR (Windows Performance Recorder) zum Starten einer Ablaufverfolgungssitzung

• Filtern nach Ereignis-IDs 15031 und 15032

• Analysieren der resultierenden ETL-Datei mithilfe von Windows Leistungsanalyse oder Ihrem bevorzugten Tool

Hier sehen Sie einen Beispielbefehl:

logman start AdminProtectionTrace -p {93c05d69-51a3-485e-877f-1806a8731346} -ets

Problembehandlung

• Verwenden Sie lokale SYSTEM- oder dedizierte Dienstkonten für geplante Aufgaben oder Skripts, die so festgelegt sind, dass sie "mit den höchsten Berechtigungen" ausgeführt werden. Im Wesentlichen gestalten Sie Skripts neu, um zu vermeiden, dass ein Always-On-Administratortoken erwartet wird. Jeder Workflow, der davon ausging, dass eine Administratorsitzung verfügbar ist, muss angepasst werden.

• Wenn Apps mit erhöhten Rechten mit Administratorschutz ausgeführt werden, sind SSO-Anmeldeinformationen (Single Sign-On) aus der Standardsitzung für die Sitzung mit erhöhten Rechten nicht verfügbar. Jede Domäne oder Cloudauthentifizierung muss innerhalb dieser Sitzung mit erhöhten Rechten wiederhergestellt werden.

• Auf Netzwerklaufwerke/Ressourcen kann von Apps mit erhöhten Rechten nicht zugegriffen werden. Installieren Sie es im Benutzerkontext, um Eingabeaufforderungen für Netzwerkanmeldeinformationen zu aktivieren. Wenn es wichtig ist, eine Anwendung mit erhöhten Rechten zu installieren, kopieren Sie installationsdateien auf ein lokales Laufwerk, bevor Sie die Rechte erhöhen.

• Einstellungsdaten für Anwendungen werden nicht über das reguläre (nicht relevante) und die erhöhten Profile übertragen. Erhöhen Sie nur Apps, die Sie wirklich benötigen. Erwägen Sie, diese Anwendungen so zu konfigurieren, dass allgemeine Datenverzeichnisse verwendet werden, auf die beide Profile zugreifen können (sofern möglich).

• Bereich des Administratorschutzes: Administratorkonten auf einem Gerät. Remoteanmeldung, Roamingprofile oder Sicherungsadministratoren befinden sich nicht im Bereich.

• Einige Anwendungen zeigen das Startsymbol nach der Installation nicht im Startmenü an. Wenn Sie erhöhte Rechte installiert haben, müssen Sie manuell zum Installationsspeicherort navigieren: AppData\Roaming\Microsoft\Windows\Start Menu\Programs\<App name>

• Wenn das Aktualisieren ihrer Anwendungen blockiert ist, deaktivieren Sie das Feature vorübergehend. (Neustart ist erforderlich).

• Wenn dieses Feature nicht aktiviert werden soll:

  • Für Geräte, die Hyper-V oder Windows-Subsystem für Linux (WSL) erfordern.
  • Wenn Sie Apps verwenden, die nicht profileübergreifend auf Edge-Erweiterungen oder freigegebene Dateien zugreifen können. Beispiel: Einige Installationsprogramme (die WebView2 intern verwenden) fordern möglicherweise erhöhte Berechtigungen an, selbst wenn sie gestartet werden, wenn normalerweise angezeigt wird, dass Microsoft Edge das Datenverzeichnis nicht lesen und schreiben kann.

Verwandte Artikel

• Benutzerkontensteuerung (UAC)

• Windows Hello verbesserte Anmeldesicherheit

• Microsoft Intune-Einstellungskatalog