5
Benutzerkontensteuerung - UAC erzwingen
Moin,
ich habe leider ein kleines Problem mit der UAC.
Einige unserer Entwickler PCs haben lokale Adminrechte um Software zu testen.
Wir möchten daher, dass die UAC nicht deaktivierbar ist auf diesen PCs.
Mit den GPOs von MS habe ich diese wohl erzwungen (siehe https://technet.microsoft.com/en-us/library/dd835564(WS.10).aspx) , jedoch lässt sich die UAC weiterhin bedienen
Gibt es eine Möglichkeit den Punkt zu blockieren?
Vielen Dank
Daniel
ich habe leider ein kleines Problem mit der UAC.
Einige unserer Entwickler PCs haben lokale Adminrechte um Software zu testen.
Wir möchten daher, dass die UAC nicht deaktivierbar ist auf diesen PCs.
Mit den GPOs von MS habe ich diese wohl erzwungen (siehe https://technet.microsoft.com/en-us/library/dd835564(WS.10).aspx) , jedoch lässt sich die UAC weiterhin bedienen
Gibt es eine Möglichkeit den Punkt zu blockieren?
Vielen Dank
Daniel
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 269901
Url: https://administrator.de/contentid/269901
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
Ein Admin ist ein Admin ist ein Admin ist ein Admin .....
Gruß,
Peter
Ein Admin ist ein Admin ist ein Admin ist ein Admin .....
Wir möchten daher, dass die UAC nicht deaktivierbar ist auf diesen PCs.
Und ein Admin tut es doch wieder. Warum. Weil er es kann. Warum. Er hat Admin rechte. Ein Admin ist ein Admin ist ein Admin ist ein Admin...jedoch lässt sich die UAC weiterhin bedienen
Warum? Ein Admin ist ein Admin ist ein Admin ist ein Admin ....Gibt es eine Möglichkeit den Punkt zu blockieren?
Konzept überdenken?Gruß,
Peter
1
Ein lokaler Admin, kein Domäne-Admin.
d.h. durch GPO erzwungene Einstellungen sollten da greifen.
d.h. durch GPO erzwungene Einstellungen sollten da greifen.
Moin.
Das Einzige, was zumindest als weiche Schranke funktioniert, ist, dass Du verhinderst, dass die UAC dauerhaft komplett ausgeschaltet wird. Dies benötigt nämlich einen Neustart und bei diesem Neustart würden die GPOs neu eingelesen und die UAC wieder angeschaltet. Dass die UAC jedoch (kurzzeitig bis zum nächsten GPO-Background-Refresh) "abgeschwächt" würde (Schieberegler auf Stufe 2 oder 3 von oben), kannst Du nicht verhindern. Will man, dass die Wiedereinschaltung schon beim Runterfahren geschieht (und somit der Zustand "voll ausgeschaltet" nie erreicht wird), muss man ein Shutdownskript für's Wiedereinschalten via Registry nutzen - kein Witz).
Andererseits: welcher Admin macht das schon, diese Einstellung wieder und wieder zurückzusetzen. Wecher Admin schaltet schon die komplette GPO-Verarbeitung aus?
Also solltest Du das tun, was den bestmöglichen Schutz bietet, setze diese Policy
"User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode" auf den Wert "Prompt for consent on the secure desktop".
Man beachte den Unterschied zum Default (2.-oberste Stufe), welcher
"Prompt for consent for non-Windows binaries" ist.
Nebenbei bemerkt: die UAC ist kein Sicherheitsfeature, sondern ein Convenience-Feature. Man kann sie jederzeit umgehen, da MS es nicht für nötig hält, Bugs unter Win7 oder 8 zu fixen. Im Technetforum steht, dass dies mit win10 strenger werden soll. Info dazu: http://social.technet.microsoft.com/Forums/windows/en-US/52b9c450-72f1- ... ->Führt ein lokaler Admin geeigneten Schadcode aus, umgeht dieser die UAC und läuft sofort mit vollen Rechten.
Ein lokaler Admin, kein Domäne-Admin. D.h. durch GPO erzwungene Einstellungen sollten da greifen.
Das ist leider ein grobes Missverständnis. Für Domänenadmins wie auch für lokale Admins kann man nichts erzwingen im Sinne von "nun kann ich mir sicher sein, dass er es nicht irgendwie ändern kann". Admins können z.B. die GPO-Verarbeitung komplett stoppen - keine GPOs würden mehr angewendet.Das Einzige, was zumindest als weiche Schranke funktioniert, ist, dass Du verhinderst, dass die UAC dauerhaft komplett ausgeschaltet wird. Dies benötigt nämlich einen Neustart und bei diesem Neustart würden die GPOs neu eingelesen und die UAC wieder angeschaltet. Dass die UAC jedoch (kurzzeitig bis zum nächsten GPO-Background-Refresh) "abgeschwächt" würde (Schieberegler auf Stufe 2 oder 3 von oben), kannst Du nicht verhindern. Will man, dass die Wiedereinschaltung schon beim Runterfahren geschieht (und somit der Zustand "voll ausgeschaltet" nie erreicht wird), muss man ein Shutdownskript für's Wiedereinschalten via Registry nutzen - kein Witz).
Andererseits: welcher Admin macht das schon, diese Einstellung wieder und wieder zurückzusetzen. Wecher Admin schaltet schon die komplette GPO-Verarbeitung aus?
Also solltest Du das tun, was den bestmöglichen Schutz bietet, setze diese Policy
"User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode" auf den Wert "Prompt for consent on the secure desktop".
Man beachte den Unterschied zum Default (2.-oberste Stufe), welcher
"Prompt for consent for non-Windows binaries" ist.
Nebenbei bemerkt: die UAC ist kein Sicherheitsfeature, sondern ein Convenience-Feature. Man kann sie jederzeit umgehen, da MS es nicht für nötig hält, Bugs unter Win7 oder 8 zu fixen. Im Technetforum steht, dass dies mit win10 strenger werden soll. Info dazu: http://social.technet.microsoft.com/Forums/windows/en-US/52b9c450-72f1- ... ->Führt ein lokaler Admin geeigneten Schadcode aus, umgeht dieser die UAC und läuft sofort mit vollen Rechten.
Das es nicht schön ist weiß ich ja schon. Ich bin leider nur ausführende Kraft und ne virtuelle Maschine ohne Netzwerkzugriff wollte man nicht.
Daher die Bastelei :/
Aber danke für die Antwort.
War mir gar nicht bewusst, dass die UAC nen knacks hat.
Ich werde mal meinen Abteilungsleiter nochmals drauf hinweisen.
Daher die Bastelei :/
Aber danke für die Antwort.
War mir gar nicht bewusst, dass die UAC nen knacks hat.
Ich werde mal meinen Abteilungsleiter nochmals drauf hinweisen.
Weitaus besser wäre es natürlich, eine Trennwand zu schaffen a la: wo Nutzer mit Adminrechten rumspringen, können per se keine Firmendaten abfließen, also eine Kapselung schaffen, die entweder untersagt, dass dort überhaupt Dokumente gespeichert werden kann und/oder den direkten Zugang dieser Maschinen zum Internet zunagelt, zum Beispiel über den Zwang Browser nur noch als RemoteApp nutzen zu können.
