Deaktivieren der Benutzerkontensteuerung (User Account Control, UAC) unter Windows Server
- 08.09.2020
- 8 Minuten zum Lesen
-
- D
- s
In diesem Artikel wird beschrieben, wie Sie die Benutzerkontensteuerung (User Account Control, UAC) unter Windows Server deaktivieren.
Originalproduktversion: Windows Server 2012 R2
Original-KB-Nummer: 2526083
Zusammenfassung
Unter bestimmten Umständen kann das Deaktivieren der Benutzerkontensteuerung unter Windows Server eine akzeptable und empfohlene Vorgehensweise sein. Diese Umstände treten nur auf, wenn alle folgenden Bedingungen erfüllt sind:
- Nur Administratoren dürfen sich interaktiv an der Konsole oder mithilfe von Remotedesktopdiensten beim Windows-basierten Server anmelden.
- Administratoren melden sich beim Windows-basierten Server nur an, um legitime Systemverwaltungsfunktionen auf dem Server auszuführen.
Wenn eine dieser Bedingungen nicht erfüllt ist, sollte die Benutzerkontensteuerung aktiviert bleiben Wenn der Server beispielsweise die Rolle „Remotedesktopdienste“ aktiviert, damit sich nicht administrative Benutzer beim Server anmelden können, um Anwendungen auszuführen, sollte die Benutzerkontensteuerung aktiviert bleiben. Ebenso sollte die Benutzerkontensteuerung aktiviert bleiben, wenn Administratoren riskante Anwendungen auf dem Server ausführen, z. B. Webbrowser oder E-Mail Clients oder Instant Messaging-Clients oder wenn Administratoren andere Vorgänge ausführen, die von einem Client-Betriebssystem wie Windows 7 ausgeführt werden sollten.
Hinweis
- Diese Anleitung gilt nur für Windows Server-Betriebssysteme.
- UAC ist immer d ist in den Server Core-Editionen von Windows Server 2008 R2 und späteren Versionen aktiviert.
Weitere Informationen
Die Benutzerkontensteuerung wurde entwickelt, um Windows-Benutzern bei der Verwendung von Standard zu helfen Benutzerrechte standardmäßig. Die Benutzerkontensteuerung umfasst mehrere Technologien, um dies zu erreichen. Diese Technologien umfassen Folgendes:
- Datei- und Registrierungsvirtualisierung: Wenn eine Legacy-Anwendung versucht, in geschützte Bereiche des Dateisystems oder der Registrierung zu schreiben, leitet Windows den Zugriff auf ein Teil still und transparent um des Dateisystems oder der Registrierung, die der Benutzer ändern darf. Auf diese Weise können viele Anwendungen, für die Administratorrechte in früheren Windows-Versionen erforderlich waren, nur mit Standardbenutzerrechten unter Windows Server 2008 und späteren Versionen erfolgreich ausgeführt werden.
- Gleiche Desktop-Erhöhung: Wenn ein autorisierter Benutzer ein Programm ausführt und erhöht Der resultierende Prozess erhält leistungsfähigere Rechte als die des interaktiven Desktop-Benutzers. Durch Kombinieren der Erhöhung mit der Funktion „Gefiltertes Token“ der Benutzerkontensteuerung (siehe folgenden Punkt) können Administratoren Programme mit Standardbenutzerrechten ausführen und dann nur die Programme erhöhen, für die Administratorrechte mit demselben Benutzerkonto erforderlich sind wird auch als Administrator-Genehmigungsmodus bezeichnet.) Programme können auch mit erhöhten Rechten unter Verwendung eines anderen Benutzerkontos gestartet werden, sodass ein Administrator Verwaltungsaufgaben auf dem Desktop eines Standardbenutzers ausführen kann.
- Gefiltertes Token: Wenn a Windows, der über Administrator- oder andere leistungsstarke Berechtigungen oder Gruppenmitgliedschaften verfügt, erstellt zwei Zugriffstoken, um das Benutzerkonto darzustellen. Das ungefilterte Token verfügt über alle Gruppenmitgliedschaften und -berechtigungen des Benutzers, während das gefilterte Token den Benutzer mit den entsprechenden Benutzerrechten darstellt. Standardmäßig wird dieses gefilterte Token zum Ausführen der Programme des Benutzers verwendet. Das ungefilterte Token ist nur erhöhten Programmen zugeordnet. Ein Konto, das Mitglied der Gruppe Administratoren ist und bei der Anmeldung des Benutzers ein gefiltertes Token erhält, wird als geschütztes Administratorkonto bezeichnet.
- UIPI (User Interface Privilege Isolation): UIPI verhindert ein Programm mit niedrigeren Berechtigungen vom Senden von Fensternachrichten wie synthetischen Maus- oder Tastaturereignissen an ein Fenster, das zu einem Prozess mit höheren Berechtigungen gehört, und durch Steuern des Prozesses mit höheren Berechtigungen.
- Internet Explorer (PMIE) im geschützten Modus: PMIE ist Eine Tiefenverteidigungsfunktion, bei der Windows Internet Explorer im geschützten Modus mit geringen Berechtigungen arbeitet und nicht in die meisten Bereiche des Dateisystems oder der Registrierung schreiben kann. Standardmäßig ist der geschützte Modus aktiviert, wenn ein Benutzer Websites im Internet durchsucht Zonen für Internet oder eingeschränkte Sites. PMIE erschwert es Malware, die eine laufende Instanz von Internet Explorer infiziert, die Einstellungen des Benutzers zu ändern, z. B. indem sie sich so konfiguriert, dass sie jedes Mal gestartet werden, wenn sich der Benutzer anmeldet. PMIE ist eigentlich nicht Teil der Benutzerkontensteuerung. Dies hängt jedoch von UAC-Funktionen wie UIPI ab.
- Installer-Erkennung: Wenn ein neuer Prozess ohne Administratorrechte gestartet werden soll, wendet Windows Heuristiken an, um festzustellen, ob es sich bei dem neuen Prozess wahrscheinlich um eine Legacy-Installation handelt Programm. Windows geht davon aus, dass ältere Installationsprogramme ohne Administratorrechte wahrscheinlich fehlschlagen.Daher fordert Windows den interaktiven Benutzer proaktiv zur Erhöhung auf. Wenn der Benutzer keine Administratoranmeldeinformationen hat, kann er das Programm nicht ausführen.
Wenn Sie die Benutzerkontensteuerung deaktivieren: Führen Sie alle Administratoren in der Richtlinieneinstellung Administrator-Genehmigungsmodus aus, werden alle deaktiviert In diesem Abschnitt beschriebene UAC-Funktionen. Diese Richtlinieneinstellung ist über die lokalen Sicherheitsrichtlinien, Sicherheitseinstellungen, lokalen Richtlinien und dann Sicherheitsoptionen des Computers verfügbar. Legacy-Anwendungen mit Standardbenutzerrechten, die voraussichtlich in geschützte Ordner oder Registrierungsschlüssel schreiben, schlagen fehl. Gefilterte Token werden nicht erstellt, und alle Programme werden mit den vollen Rechten des am Computer angemeldeten Benutzers ausgeführt. Dies schließt Internet Explorer ein, da der geschützte Modus für alle Sicherheitszonen deaktiviert ist.
Einer der Häufige Missverständnisse in Bezug auf die Benutzerkontensteuerung und die Erhöhung des gleichen Desktops bestehen insbesondere darin, dass verhindert wird, dass Malware installiert wird oder Administratorrechte erlangt werden. Erstens kann Malware so geschrieben werden, dass keine Administratorrechte erforderlich sind, und Malware kann so geschrieben werden, dass sie nur in Bereiche in der Umgebung geschrieben wird Benutzerprofil. Noch wichtiger ist, dass die Erhöhung des gleichen Desktops in der Benutzerkontensteuerung keine Sicherheitsgrenze darstellt und von nicht privilegierter Software entführt werden kann, die auf demselben Desktop ausgeführt wird. Die Erhöhung des gleichen Desktops sollte als praktische Funktion betrachtet werden, und aus Sicherheitsgründen sollte der geschützte Administrator in Betracht gezogen werden Das Äquivalent zu Administrator. Im Gegensatz dazu beinhaltet die Verwendung der schnellen Benutzerumschaltung zum Anmelden bei einer anderen Sitzung mithilfe eines Administratorkontos eine Sicherheitsgrenze zwischen dem Administratorkonto und der Standardbenutzersitzung.
Für eine Windows-basierte Sitzung Server, auf dem der einzige Grund für die interaktive Anmeldung die Verwaltung des Systems ist, ist das Ziel weniger Höhenansagen nicht durchführbar oder wünschenswert. Systemadministrationstools erfordern zu Recht Administratorrechte. Wenn für alle Aufgaben des Administratorbenutzers Administratorrechte erforderlich sind und jede Aufgabe eine Aufforderung zur Erhöhung auslösen kann, sind die Eingabeaufforderungen nur ein Hindernis für die Produktivität. In diesem Zusammenhang können und können solche Eingabeaufforderungen das Ziel, die Entwicklung von Anwendungen zu fördern, nicht fördern Dies erfordert Standardbenutzerrechte. Außerdem verbessern solche Eingabeaufforderungen die Sicherheitslage nicht. Stattdessen ermutigen diese Eingabeaufforderungen Benutzer lediglich, durch Dialogfelder zu klicken, ohne sie zu lesen.
Diese Anleitung gilt nur für gut verwaltete Server, auf denen sich nur administrative Benutzer interaktiv oder über Remotedesktopdienste anmelden können, und nur für legitime Verwaltungsfunktionen ausführen. Wenn Administratoren riskante Anwendungen wie Webbrowser, E-Mail-Clients oder Instant Messaging-Clients ausführen oder andere Vorgänge ausführen, die von einem Client-Betriebssystem ausgeführt werden sollen, sollte der Server als einem Client-System gleichwertig angesehen werden. In diesem Fall sollte die Benutzerkontensteuerung als Tiefenschutz aktiviert bleiben.
Wenn sich Standardbenutzer am Server an der Konsole oder über Remotedesktopdienste anmelden, um Anwendungen, insbesondere Webbrowser, auszuführen, Die Benutzerkontensteuerung sollte aktiviert bleiben, um die Datei- und Registrierungsvirtualisierung sowie den Internet Explorer im geschützten Modus zu unterstützen.
Eine weitere Option zum Vermeiden von Eingabeaufforderungen für Erhöhungen ohne Deaktivierung der Benutzerkontensteuerung besteht darin, die Benutzerkontensteuerung festzulegen: Verhalten der Eingabeaufforderung für Administratoren in Admin Sicherheitsrichtlinie für den Genehmigungsmodus zum Erhöhen ohne Aufforderung. Mit dieser Einstellung werden Höhenanforderungen stillschweigend genehmigt, wenn der Benutzer Mitglied der Gruppe Administratoren ist. Diese Option lässt auch PMIE und andere UAC-Funktionen aktiviert. Nicht alle Vorgänge, für die Administratorrechte erforderlich sind, erfordern jedoch eine Erhöhung. Die Verwendung dieser Einstellung kann dazu führen, dass einige Programme des Benutzers erhöht werden und andere nicht, ohne dass zwischen ihnen unterschieden werden kann. Beispielsweise erwarten die meisten Konsolendienstprogramme, für die Administratorrechte erforderlich sind, dass sie an einer Eingabeaufforderung oder einem anderen Programm gestartet werden Diese Dienstprogramme schlagen nur fehl, wenn sie an einer nicht erhöhten Eingabeaufforderung gestartet werden.
Zusätzliche Auswirkungen der Deaktivierung der Benutzerkontensteuerung
- Wenn Sie versuchen, Windows Explorer zu verwenden Navigieren Sie zu einem Verzeichnis, in dem Sie keine Leseberechtigungen haben. Der Explorer bietet an, die Berechtigungen des Verzeichnisses zu ändern, um Ihrem Benutzerkonto dauerhaften Zugriff darauf zu gewähren. Die Ergebnisse hängen davon ab, ob die Benutzerkontensteuerung aktiviert ist. Weitere Informationen finden Sie unter Wann Sie Klicken Sie für den Ordnerzugriff in Windows Explorer auf Weiter. Ihr Benutzerkonto wird der ACL für den Ordner hinzugefügt.
- Wenn die Benutzerkontensteuerung deaktiviert ist, zeigt der Windows Explorer weiterhin UAC-Schutzsymbole für Elemente an, für die eine Erhöhung erforderlich ist, und um Ausführen einzuschließen als Administrator in der Kontextmenüs von Anwendungen und Anwendungsverknüpfungen. Da der UAC-Erhöhungsmechanismus deaktiviert ist, haben diese Befehle keine Auswirkung und Anwendungen werden im selben Sicherheitskontext ausgeführt wie der Benutzer, bei dem Sie angemeldet sind.
- Wenn UAC aktiviert ist, wird das Konsolendienstprogramm Runas ausgeführt.exe wird verwendet, um ein Programm unter Verwendung eines Benutzerkontos zu starten, das einer Tokenfilterung unterliegt. Das Programm wird mit dem gefilterten Token des Benutzers ausgeführt. Wenn die Benutzerkontensteuerung deaktiviert ist, wird das gestartete Programm mit dem vollständigen Token des Benutzers ausgeführt.
- Wenn die Benutzerkontensteuerung aktiviert ist, können lokale Konten, die einer Tokenfilterung unterliegen, nicht für die Remoteverwaltung über andere Netzwerkschnittstellen als Remotedesktop verwendet werden (z. B. über NET USE oder WinRM). Ein lokales Konto, das sich authentifiziert Über eine solche Schnittstelle werden nur die Berechtigungen erhalten, die dem gefilterten Token des Kontos gewährt werden. Wenn die Benutzerkontensteuerung deaktiviert ist, wird diese Einschränkung aufgehoben. (Die Einschränkung kann auch mithilfe der in KB951016 beschriebenen Einstellung
LocalAccountTokenFilterPolicy
aufgehoben werden.) Das Entfernen dieser Einschränkung kann das Risiko von Systemkompromissen in einer Umgebung erhöhen, in der viele Systeme über ein Verwaltungslokal verfügen Konto mit demselben Benutzernamen und Passwort. Wir empfehlen Ihnen, sicherzustellen, dass andere Maßnahmen gegen dieses Risiko ergriffen werden. Weitere Informationen zu empfohlenen Schadensbegrenzungen finden Sie unter Abschwächen von PtH-Angriffen (Pass-the-Hash) und anderem Diebstahl von Anmeldeinformationen, Version 1 und 2. - PsExec, Benutzerkontensteuerung und Sicherheitsgrenzen
- Wenn Sie im Windows Explorer Weiter für den Ordnerzugriff auswählen, wird Ihr Benutzerkonto der ACL für den Ordner (KB 950934)
hinzugefügt