Suchen

Windows-7-Bordmittel für mehr Sicherheit – Teil 3 UAC-Konfiguration unter Windows 7 sorgt für praktikable Richtlinien

Autor / Redakteur: Peter Riedlberger / Stephan Augsten

Aufgrund der User Account Control (UAC) bestand die Bedienung von Windows Vista zu einem guten Teil aus dem beständigen Abnicken von Warnmeldungen. In Windows 7 hat diese Benutzerkontensteuerung eine deutliche Überarbeitung erfahren. Security-Insider.de hat sich mit der UAC befasst und erläutert die verschiedenen Möglichkeiten zur Konfiguration.

Firma zum Thema

Weniger bringt mehr: Unter Windows 7 hat Microsoft die UAC-Warnungen deutlich optimiert und reduziert.
Weniger bringt mehr: Unter Windows 7 hat Microsoft die UAC-Warnungen deutlich optimiert und reduziert.
( Archiv: Vogel Business Media )

Wer kennt sie nicht, die alte Fabel vom Hirtenjungen, der ständig „Wolf!“ schrie? Anfangs kommen ihm die Nachbarn zu Hilfe, doch bald stumpfen sie angesichts der vielen Fehlalarme ab; als dann der Wolf wirklich erscheint, kommt es zur Katastrophe, denn niemand nimmt die Warnmeldung mehr ernst.

Ungefähr so funktioniert die Benutzerkontensteuerung (User Account Control, UAC) von Windows Vista: Ganz gleich, was man tut, man kommt kaum hinterher, die Bestätigungsfenster wegzuklicken. Das geht einem so in Fleisch und Blut über, dass man bei einer realen Warnung (ausgelöst etwa durch Malware) kaum anders handeln kann, als mechanisch zu bestätigen.

Bildergalerie

Mit Windows 7 stand Microsoft vor einem Dilemma: Die UAC in der bekannten Form abzuschaffen, wäre unmöglich gewesen. Es hätte gewaltige Proteste gegeben, wenn Windows 7 in dieser Hinsicht deutlich unsicherer gewesen wäre als Windows Vista. Der Hersteller zog die einzig richtige Konsequenz beließ zwar die UAC im Betriebssystem, stellte aber erheblich mehr Konfigurationsmöglichkeiten zur Verfügung.

UAC-Konfiguration über die Systemsteuerung

In Vista gibt es nur zwei Möglichkeiten: Entweder man erduldet die Vielzahl der Warnungen, oder man deaktiviert das Feature komplett. Windows 7 erlaubt Benutzern mit lokalen Administrator-Rechten eine viel präzisere Einstellung der Benutzerkontensteuerung. Dazu ruft man Start\Systemsteuerung\Benutzerkonten und Jugendschutz\Benutzerkonten\Einstellungen der Benutzerkontensteuerung ändern auf.

Ein Fenster mit Schieberegler erscheint, über den sich vier verschiedene Sicherheitsstufen anwählen lassen. Selbst in der restriktivsten Stufe („Immer benachrichtigen“) erscheinen weniger Alarme als in Vista. Beispielsweise verzichtet Microsoft nun zu Recht darauf, das Betrachten mancher Systemeinstellungen bestätigungspflichtig zu machen. Wohlgemerkt: das Ändern solcher Einstellungen muss aber in dieser Stufe bestätigt werden.

Die zweite Stufe ist voreingestellt und heißt daher „Standard“: Hier ist keine Bestätigung notwendig, wenn man selbst Änderungen an den Windows-Einstellung vornimmt. Sehr wohl ist diese aber nötig, sobald Software selbst aktiv wird). Die dritte Stufe „Desktop nicht abblenden“ entspricht der zweiten, nur dass der Farbwechsel des Desktops entfällt.

Völlig unsicher und keinesfalls in Firmenumgebungen empfohlen ist die Stufe „Nie benachrichtigen“: Bei dieser Konfiguration erfolgt nicht einmal dann eine Warnung, wenn Programme beispielsweise Software installieren oder Einstellungen ändern wollen.

Seite 2: UAC-Konfiguration über lokale Sicherheitsrichtlinien

UAC-Konfiguration über lokale Sicherheitsrichtlinien

Weitere Einstellungsoptionen finden sich in den lokalen Sicherheitsrichtlinien, die über Start und die Eingabe von „secpol.msc“ zugänglich sind. Öffnen Sie dort die Lokalen Richtlinien und dann die Sicherheitsoptionen, um die einschlägigen Richtlinien zu finden.

Per Klick auf Richtlinie sortieren Sie die Einträge alphabetisch. So werden schließlich die zehn Richtlinien für die Benutzerkontensteuerung in einer Liste angezeigt.

Mit diesen Richtlinien lassen sich zahlreiche weitere Details regeln. So können Nachfragen für das integrierte Administratorkonto erzwungen werden; oder man kann „Anwendungsinstallationen erkennen und erhöhte Rechte anforden“ deaktivieren, um die Software-Bereitsstellung in Firmenumgebungen reibungslos verlaufen zu lassen.

Es würde den Umfang dieses Artikels bei weitem sprengen, alle zehn Richtlinien samt ihrer verschiedenen Einstellungsmöglichkeiten zu besprochen. Erfreulicherweise bietet Windows 7 selbst umfangreiche Hilfestellungen, wenn man eine einzelne Richtlinie doppelt anklickt und dann den Reiter „Erklärung“ nach vorn holt.

Fazit

Gut gemeint ist das Gegenteil von gut gemacht. Dieser Spruch passt genau zur Benutzerkontensteuerung von Vista. Die UAC erhöhte theoretisch zwar die Anwendersicherheit, in der Praxis aber war das Windows-Betriebssystem höchst unangenehm zu bedienen. Windows 7 bietet filigranere Einstellungsmöglichkeiten und bietet damit Anwendern letzten Endes mehr Sicherheit.

(ID:2043064)