mahagon
Goto Top

Benutzerkontensteuerung - UAC erzwingen

Moin,

ich habe leider ein kleines Problem mit der UAC.
Einige unserer Entwickler PCs haben lokale Adminrechte um Software zu testen.
Wir möchten daher, dass die UAC nicht deaktivierbar ist auf diesen PCs.
Mit den GPOs von MS habe ich diese wohl erzwungen (siehe https://technet.microsoft.com/en-us/library/dd835564(WS.10).aspx) , jedoch lässt sich die UAC weiterhin bedienen

Gibt es eine Möglichkeit den Punkt zu blockieren?

Vielen Dank

Daniel

Content-ID: 269901

Url: https://administrator.de/forum/benutzerkontensteuerung-uac-erzwingen-269901.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

Pjordorf
Pjordorf 22.04.2015 um 13:31:28 Uhr
Goto Top
Hallo,

Zitat von @Mahagon:
Einige unserer Entwickler PCs haben lokale Adminrechte um Software zu testen.
Ein Admin ist ein Admin ist ein Admin ist ein Admin .....

Wir möchten daher, dass die UAC nicht deaktivierbar ist auf diesen PCs.
Und ein Admin tut es doch wieder. Warum. Weil er es kann. Warum. Er hat Admin rechte. Ein Admin ist ein Admin ist ein Admin ist ein Admin...

jedoch lässt sich die UAC weiterhin bedienen
Warum? Ein Admin ist ein Admin ist ein Admin ist ein Admin ....

Gibt es eine Möglichkeit den Punkt zu blockieren?
Konzept überdenken?

Gruß,
Peter
Mahagon
Mahagon 22.04.2015 um 14:01:09 Uhr
Goto Top
Ein lokaler Admin, kein Domäne-Admin.

d.h. durch GPO erzwungene Einstellungen sollten da greifen.
DerWoWusste
Lösung DerWoWusste 22.04.2015 aktualisiert um 18:11:03 Uhr
Goto Top
Moin.

Ein lokaler Admin, kein Domäne-Admin. D.h. durch GPO erzwungene Einstellungen sollten da greifen.
Das ist leider ein grobes Missverständnis. Für Domänenadmins wie auch für lokale Admins kann man nichts erzwingen im Sinne von "nun kann ich mir sicher sein, dass er es nicht irgendwie ändern kann". Admins können z.B. die GPO-Verarbeitung komplett stoppen - keine GPOs würden mehr angewendet.

Das Einzige, was zumindest als weiche Schranke funktioniert, ist, dass Du verhinderst, dass die UAC dauerhaft komplett ausgeschaltet wird. Dies benötigt nämlich einen Neustart und bei diesem Neustart würden die GPOs neu eingelesen und die UAC wieder angeschaltet. Dass die UAC jedoch (kurzzeitig bis zum nächsten GPO-Background-Refresh) "abgeschwächt" würde (Schieberegler auf Stufe 2 oder 3 von oben), kannst Du nicht verhindern. Will man, dass die Wiedereinschaltung schon beim Runterfahren geschieht (und somit der Zustand "voll ausgeschaltet" nie erreicht wird), muss man ein Shutdownskript für's Wiedereinschalten via Registry nutzen - kein Witz).
Andererseits: welcher Admin macht das schon, diese Einstellung wieder und wieder zurückzusetzen. Wecher Admin schaltet schon die komplette GPO-Verarbeitung aus?

Also solltest Du das tun, was den bestmöglichen Schutz bietet, setze diese Policy
"User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode" auf den Wert "Prompt for consent on the secure desktop".
Man beachte den Unterschied zum Default (2.-oberste Stufe), welcher
"Prompt for consent for non-Windows binaries" ist.

Nebenbei bemerkt: die UAC ist kein Sicherheitsfeature, sondern ein Convenience-Feature. Man kann sie jederzeit umgehen, da MS es nicht für nötig hält, Bugs unter Win7 oder 8 zu fixen. Im Technetforum steht, dass dies mit win10 strenger werden soll. Info dazu: http://social.technet.microsoft.com/Forums/windows/en-US/52b9c450-72f1- ... ->Führt ein lokaler Admin geeigneten Schadcode aus, umgeht dieser die UAC und läuft sofort mit vollen Rechten.
Mahagon
Mahagon 22.04.2015 um 17:57:30 Uhr
Goto Top
Das es nicht schön ist weiß ich ja schon. Ich bin leider nur ausführende Kraft und ne virtuelle Maschine ohne Netzwerkzugriff wollte man nicht.
Daher die Bastelei :/

Aber danke für die Antwort.

War mir gar nicht bewusst, dass die UAC nen knacks hat.


Ich werde mal meinen Abteilungsleiter nochmals drauf hinweisen.
DerWoWusste
DerWoWusste 22.04.2015 um 18:38:32 Uhr
Goto Top
Weitaus besser wäre es natürlich, eine Trennwand zu schaffen a la: wo Nutzer mit Adminrechten rumspringen, können per se keine Firmendaten abfließen, also eine Kapselung schaffen, die entweder untersagt, dass dort überhaupt Dokumente gespeichert werden kann und/oder den direkten Zugang dieser Maschinen zum Internet zunagelt, zum Beispiel über den Zwang Browser nur noch als RemoteApp nutzen zu können.