Benutzerkontensteuerung

Transcrição

201
K A P I T E L
5
Die Benutzerkontensteuerung (User Account Control, UAC) unterteilt Windows-Aufgaben in zwei
Gruppen: solche, die ein Standardbenutzer durchführen kann, und solche, die nur Administratoren
ausführen können. Außerdem bewirkt die UAC, dass Administratorkonten die meiste Zeit als Standardkonten laufen.
Wenn eine Aufgabe eingeleitet wird, die nur Administratoren erlaubt ist, wird dem Benutzer eine
Eingabeaufforderung angezeigt, mit der er zeitweise seine Privilegien erhöhen kann, um diese eine
Aufgabe durchzuführen. Falls der Benutzer mit einem Administratorkonto angemeldet ist, bekommt
er die Berechtigung gewährt, die Aufgabe fortzusetzen. Falls der Benutzer dagegen mit einem Standardkonto angemeldet ist, muss er die Anmeldeinformationen eines Administrators eingeben (indem
er ein Administratorkonto auswählt und ein Kennwort eingibt), um fortfahren zu können.
Dieses Verfahren, dass auch ein Administrator normalerweise als Standardbenutzer agiert, wird als
Administratorbestätigungsmodus (engl. admin approval mode) bezeichnet. In diesem Modus erfordern Anwendungen bestimmte Berechtigungen, wenn sie als Administratoranwendungen ausgeführt
werden sollen. Eine solche Administratoranwendung ist eine Anwendung, die das Zugriffstoken
(oder erhöhte Zugriffstoken) eines echten Administrators benötigt und dieselben Privilegien hat wie
ein Administrator.
Hinweis Administratorkonten
In diesem Kontext verstehen wir unter einem Administratorkonto ein Konto, das zur lokalen Gruppe
Administratoren hinzugefügt wurde. Die UAC schützt nicht das eingebaute Administratorkonto,
weil der Administratorbestätigungsmodus auf dieses Konto standardmäßig nicht angewendet wird.
Ein Benutzer, der mit administrativen Anmeldeinformationen angemeldet ist, aber eine Aufgabe auf
Benutzerebene ausführt, erledigt das im Kontext eines Standardbenutzers. Falls dieser Benutzer
dann eine Aufgabe auf Administratorebene einleitet, fordert das System (in der Standardeinstellung)
die Berechtigung an, diese Aufgabe fortzusetzen. Der Benutzer muss dabei aber nicht erneut seine
Anmeldeinformationen eingeben. Die UAC warnt sowohl Standard- als auch Administratorbenutzer,
falls sie versuchen, eine Anwendung auszuführen, die nicht digital signiert ist.
In diesem Kapitel abgedeckte Prüfungsziele:
Konfigurieren und Problembehandlung der Benutzerkontensteuerung
Lektion in diesem Kapitel:
Lektion 1: Konfigurieren und Problembehandlung der Benutzerkontensteuerung . . . . . . . 203
Ian McLean, Orin Thomas: Konfigurieren von Microsoft Windows Vista - Original Microsoft Training für Examen 70-620. Microsoft Press 2007 (ISBN 978-3-86645-920-5)
202
Kapitel 5: Benutzerkontensteuerung
Bevor Sie beginnen
Um die Lektionen in diesem Kapitel durcharbeiten zu können, müssen Sie folgende Vorbereitungen
abgeschlossen haben:
Sie müssen Windows Vista Ultimate Edition auf einem PC installiert haben, wie in Kapitel 1,
„Installieren eines Windows Vista-Clients“, und Kapitel 2, „Upgrades und Migrationen auf
Windows Vista“, beschrieben.
Sie müssen ein Administratorkonto und Standardkonten angelegt und den Ausführen-Befehl
im Startmenü aktiviert haben, wie in den Übungen 1, 2 und 3 von Kapitel 4, „Konfigurieren
und Problembehandlung des Internetzugangs“, Lektion 1, „Konfigurieren und Problembehandlung von Jugendschutz und Inhaltsratgeber“, beschrieben.
Für dieses Kapitel wird keine zusätzliche Konfiguration benötigt.
Praxistipp
Ian McLean
Selbst unter erfahrenen Administratoren gibt es die Tendenz, erst einmal mit Skepsis zu reagieren,
wenn in einem neuen Betriebssystem noch mehr und wieder neue Sicherheitsfeatures eingebaut
sind. Manchmal wird aber ein Feature entwickelt, das sofortige und offensichtliche Vorteile verspricht und den Einarbeitungsaufwand schnell amortisiert. Ältere Windows-Clientbetriebssysteme
machten es Benutzern einfach, Konten mit Administratorprivilegien zu konfigurieren. Folglich
setzen viele Windows-Anwendungen voraus, dass der Benutzer ein lokaler Administrator ist.
Aber wenn normale Benutzer fast immer Administratorzugriff haben, läuft auch jede Anwendung
und jeder Dienst im System mit vollständigen Administratorprivilegien, also auch Würmer, Trojanische Pferde und andere Arten von Malware.
Ältere Betriebssysteme, zum Beispiel Windows XP, stellten die runas-Funktion zur Verfügung.
Sie dient dazu, die Benutzerprivilegien zu erhöhen und so die Ausführung von Software zu ermöglichen, auch wenn das Anmeldekonto keine hohe Privilegebene hat. Letztlich war es aber
nur ein Tropfen auf den heißen Stein. Es war umständlich, und viele Anwendungen konnten es
einfach nutzen. Ich musste mehrmals Netzwerke untersuchen, von denen nur noch ein Wrack
übrig war. In allen Fällen fiel auf, dass sämtliche Benutzer administrative Privilegien hatten.
„Sie brauchten das“, wurde mir versichert, „weil wir … ausführen mussten“.
Windows Vista geht dieses Problem direkt an. Seine Architektur integriert eine Reihe von Technologien, die Microsoft speziell mit dem Ziel entwickelt hat, das System abzuschotten, aber
trotzdem Kompatibilität anzubieten, sodass Anwendungen, die für ältere Betriebssysteme geschrieben wurden, auch weiterhin so gestartet und ausgeführt werden können wie bisher. Die
Schlüsseltechnik in diesem Bereich ist die UAC. Die Sicherheitsvorteile durch UAC wiegen eine
gelegentliche Gereiztheit des Benutzers wegen der Dialogfelder bei Weitem auf. Ich empfehle
auf jeden Fall, sie zu verwenden.
Hinweis „Designed for Windows“-Logo
Jede Anwendung, die das Logo „Designed for Windows 2000 / XP / Vista“ trägt, kann ausgeführt
werden, ohne dass der Benutzer ein lokaler Administrator ist.
Lektion 1: Konfigurieren und Problembehandlung der Benutzerkontensteuerung
203
Lektion 1: Konfigurieren und Problembehandlung der
Diese Lektion beschreibt, wie die UAC arbeitet, welche Arten von Aufgaben erhöhte Privilegien
erfordern, die Unterschiede zwischen Standardkonten, Administratorkonten und dem eingebauten
Administratorkonto, wie Sie Benutzerprivilegien erhöhen, wie Sie die UAC mithilfe lokaler Sicherheitsrichtlinien konfigurieren und wie Sie den sicheren Desktop deaktivieren. Sie geht auch auf
Probleme im Zusammenhang mit der UAC ein und erklärt, wie Sie eine Problembehandlung für
diesen Bereich durchführen.
Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen:
Erklären, wie die UAC die Sicherheit verbessert, dabei aber Abwärtskompatibilität gewährleistet
Unterscheiden zwischen Standardkonten, Administratorkonten und dem eingebauten Administratorkonto
Erhöhen von Benutzerprivilegien für einen Standardbenutzer
Konfigurieren der UAC mithilfe der lokalen Sicherheitsrichtlinien
Deaktivieren der UAC
Deaktivieren des sicheren Desktops
Verwenden des Programmkompatibilitäts-Assistenten, um ältere Programme in Windows
Vista ausführen zu können
Veranschlagte Zeit für diese Lektion: 85 Minuten
Abbildung 5.1
Windows-Schildsymbol
204
Funktionsweise der Benutzerkontensteuerung
Die UAC ist für Standardbenutzer wie auch Administratoren unsichtbar, solange sie nichtadministrative Aufgaben durchführen, zum Beispiel Microsoft Word-Dokumente anlegen und bearbeiten,
Energieverwaltungseinstellungen ändern oder einen Drucker hinzufügen. Anders sieht es aus, wenn
Sie sich mit einem Standardbenutzerkonto anmelden und dann versuchen, eine administrative Aufgabe auszuführen, zum Beispiel eine Anwendung installieren oder die Systemzeit ändern. Wie Sie
in Abbildung 5.1 sehen, kennzeichnet Microsoft alle Elemente der Benutzeroberfläche (User Interface, UI), die erhöhte Privilegien erfordern, mit einem Schildsymbol.
Wenn Sie auf dieses Symbol klicken, wird ein Dialogfeld geöffnet (Abbildung 5.2). Sie müssen darin
ein Administratorkonto auswählen und das zugehörige Kennwort eingeben (oder eine Smartcard
einstecken und die zugehörige PIN eingeben), um die ausgewählte Aufgabe ausführen zu können.
Abbildung 5.2
Eingabeaufforderung für ein Administratorkennwort
Falls Sie dagegen als Administrator angemeldet sind, wenn Sie auf ein Element mit dem Schildsymbol klicken, wird (in der Standardeinstellung) das Dialogfeld aus Abbildung 5.3 angezeigt. Sie
brauchen Ihre Anmeldeinformationen nicht erneut einzugeben, sondern können auf Fortsetzen
klicken.
Hinweis Verbessern der UAC-Sicherheit
Sie können die Sicherheit noch erhöhen, indem Sie Windows Vista so konfigurieren, dass es immer
eine Eingabeaufforderung anzeigt, in die administrative Anmeldeinformationen eingegeben werden
müssen, also auch dann, wenn der angemeldete Benutzer Administratorprivilegien hat. Sie nehmen
diese Konfiguration in den Übungen am Ende dieser Lektion vor.
Abbildung 5.3
205
Gewähren der Berechtigung, sodass Windows die Aufgabe fortsetzen kann
Falls ein Administrator versucht, eine Anwendung auszuführen, die nicht digital signiert oder validiert ist, erscheint das UAC-Dialogfeld aus Abbildung 5.4. Falls ein Standardbenutzer versucht,
dieses Programm zu starten, muss er im UAC-Dialogfeld ein Administratorkonto auswählen und
das zugehörige Kennwort eingeben.
Abbildung 5.4
Einem unsignierten Programm die Berechtigung zum Ausführen gewähren
Falls das Programm dagegen digital signiert ist, erscheint (in der Standardeinstellung) das UACDialogfeld aus Abbildung 5.5, wenn der Benutzer mit einem Administratorkonto angemeldet ist.
Benutzer, die mit einem Standardkonto angemeldet sind, müssen ein Administratorkonto auswählen
und das zugehörige Kennwort eingeben.
206
Abbildung 5.5
Einem signierten Programm die Berechtigung zum Ausführen gewähren
Digitale Signaturen
Damit eine ausführbare Datei (zum Beispiel eine Anwendung, ein Treiber oder ein Makro) als
vertrauenswürdig eingestuft wird, reicht es nicht aus, wenn sie einfach ein digitales Zertifikat
hat, das von irgendeiner Quelle ausgestellt wurde, der Herausgeber muss auch vertrauenswürdig
sein. Welche Herausgeber vertrauenswürdig sind, ist in einer Liste auf Ihrem Computer verzeichnet. Diese Liste kann seriöse Softwarehersteller, zum Beispiel die Microsoft Corporation, und
vertrauenswürdige externe Zertifikatanbieter wie zum Beispiel Thwaite oder VeriSign umfassen.
Selbst wenn ausführbarer Code digital signiert ist, ist er unter Umständen nicht validiert, weil die
Signatur nicht von einer vertrauenswürdigen Quelle stammt. Falls Sie eine diesbezügliche Warnung erhalten, haben Sie die Wahl, ob Sie das Programm ausführen oder die Operation abbrechen
wollen. Falls Sie dem Softwarehersteller vertrauen, können Sie ihn zur Liste der vertrauenswürdigen Herausgeber hinzufügen, indem Sie das Kontrollkästchen Anwendungen aus dieser Quelle
immer vertrauen aktivieren.
Weitere Informationen Digitale Signaturen
Ausführliche Informationen über digitale Signaturen finden Sie unter http://windowshelp.microsoft.
com/Windows/en-US/Help/077238d3-2e78-4655-872c-6d59462840111033.mspx.
Wenn irgendeines der UAC-Dialogfelder geöffnet wird, fertigt Windows Vista ein Bild Ihres Desktops an und schaltet zum sicheren Desktop um (der auch vom Willkommen-/Anmeldebildschirm
von Windows Vista verwendet wird). Sie können mit Ihrem Computer keine anderen Operationen
durchführen, bis Sie dieses Dialogfeld geschlossen haben. Microsoft implementiert die UAC auf
diese Weise, weil die Sicherheitsexperten des Unternehmens die Ansicht vertreten, dass es möglich
wäre, die UAC-Eingabeaufforderung zu fälschen, würde sie als normales Windows-Dialogfeld auf
dem Bildschirm erscheinen. Und falls ein Benutzer etliche Fenster gleichzeitig geöffnet hat, könnte
ein UAC-Dialogfeld in einem Standardfenster unter anderen Fenstern begraben werden, sodass der
Benutzer nicht merkt, dass eine Autorisierung erforderlich ist.
207
Hinweis Die UAC verbessert den Jugendschutz
Die UAC ermöglicht es Eltern, Standardbenutzerkonten für ihre Kinder einzurichten. Wenn zum
Beispiel ein Kind eine Anwendung installieren will, können die Eltern die Anwendung erst überprüfen und ihre Anmeldeinformationen für die Installation nur dann eingeben, wenn sie überzeugt sind,
dass die Anwendung sicher ist.
Abwärtskompatibilität
Die meisten Programme, die für ältere Betriebssysteme geschrieben wurden, zum Beispiel für Windows XP, funktionieren auch in Windows Vista. Allerdings kann es sein, dass manche alten Programme schlecht oder gar nicht laufen. Falls ein älteres Programm nicht richtig läuft, können Sie
den Programmkompatibilitäts-Assistenten starten (Abbildung 5.6). Die Programmkompatibilität ist
ein Windows-Modus, mit dem Sie Programme ausführen können, die für ältere Windows-Versionen
entwickelt wurden. In Kapitel 2, „Upgrades und Migrationen auf Windows Vista“, wurde der Programmkompatibilitäts-Assistent bereits vorgestellt. In den Übungen am Ende dieser Lektion führen
Sie diesen Assistenten aus.
Abbildung 5.6
Der Programmkompatibilitäts-Assistent
Hinweis Zwei Programmkompatibilitäts-Assistenten
Es gibt auch einen vollautomatischen Programmkompatibilitäts-Assistenten, der als WindowsFeature ausgeführt wird, wenn das Betriebssystem ein Kompatibilitätsproblem beim Starten eines
älteren Programms feststellt. Der hier erwähnte manuelle Programmkompatibilitäts-Assistent ist ein
Tool, das Sie von Hand für ein Programm ausführen können, falls Sie Kompatibilitätsprobleme bemerken. Falls der vollautomatische Programmkompatibilitäts-Assistent das Programm nicht selbst
reparieren kann, sollten Sie den manuellen Programmkompatibilitäts-Assistenten ausführen.
208
Vorsicht Einschränkungen für den Programmkompatibilitäts-Assistenten
Verwenden Sie den Programmkompatibilitäts-Assistenten nicht, um zu versuchen, Antivirenprogramme, Datensicherungsprogramme, Datenträgertools oder andere Systemprogramme auszuführen. Das kann unter Umständen zu Datenverlust führen oder Sicherheitslücken öffnen.
Weitere Informationen Aktualisieren von Treibern
Manche Kompatibilitätsprobleme werden möglicherweise durch Treiber verursacht. Falls ein älterer
Treiber Probleme verursacht, müssen Sie ihn von Hand aktualisieren. Weitere Informationen finden
Sie im Thema „Aktualisieren von Treibern: empfohlene Links“ in Windows-Hilfe und Support.
In älteren Microsoft-Clientbetriebssystemen, zum Beispiel Windows XP, bekommen Anwendungen
normalerweise die vollständige Kontrolle über das System, sodass sie Informationen überall in der
Registrierung und im Dateisystem lesen und verändern können. Windows Vista sperrt dagegen die
Registrierung und das Dateisystem. Um Abwärtskompatibilität zu ermöglichen, stellt UAC Virtualisierungsdienste für Registrierung und Dateisystem zur Verfügung, die Lese- und Schreiboperationen in geschützten Bereichen von Registrierung und Dateisystem im Hintergrund auf ungefährliche Speicherorte im Profil des Benutzers umleiten. Diese Speicherorte sind verborgen, und der
gesamte Prozess läuft automatisch und für den Benutzer unsichtbar ab.
Ausführen von Benutzerkonten als Standardbenutzer
Die UAC verbessert die Sicherheit in Windows Vista, indem sie dafür sorgt, dass Administratorkonten
normalerweise als Standardbenutzer laufen. Nur bei Bedarf werden die Kontoprivilegien erhöht,
was der Benutzer dann bestätigen muss. Umgekehrt können Standardbenutzer die meisten (aber
nicht alle) Administratoraufgaben ausführen, indem sie Anmeldeinformationen für ein Administratorkonto eingeben. Zum Beispiel kann ein Standardbenutzer Administratoranmeldeinformationen
eingeben und dann die Systemzeit ändern. Aber Sie müssen tatsächlich als Administrator angemeldet
sein, um die lokale Sicherheitsrichtlinie zu konfigurieren.
In älteren Clientbetriebssystemen, die keine UAC haben (oder in Windows Vista, wenn die UAC
deaktiviert ist), bekommt ein Administrator automatisch vollständigen Zugriff auf alle Systemressourcen gewährt. Die meisten Benutzer benötigen keine so hohe Zugriffsebene auf den Computer,
und sogar Benutzer, die gelegentlich Administratoraufgaben ausführen, erledigen den Großteil ihrer
Zeit nichtadministrative Aufgaben.
Ohne die UAC kann ein Benutzer, der als Administrator angemeldet ist, Software installieren, wobei
oft nicht einmal eine Eingabeaufforderung oder Warnung angezeigt wird. Das kann dazu führen,
dass aus Versehen oder absichtlich ein böswilliges Programm installiert wird, das die Sicherheit des
Computers unterläuft und alle Benutzer gefährdet.
Im Administratorbestätigungsmodus von Windows Vista wurde das Zugriffssteuerungsmodell verändert, um dieses Problem zu verringern. In diesem Modus werden sowohl Administrator- als auch
Standardbenutzerkonten normalerweise als Standardbenutzer ausgeführt. Falls ein Benutzer eine
Administratoraufgabe ausführen will, muss er seine Privilegien erhöhen. Falls der Benutzer ein
Administrator ist, fordert das UAC-Dialogfeld den Benutzer auf, die Schaltfläche Fortsetzen anzuklicken, wenn er versucht, eine Administratoranwendung zu starten. Erst nach dieser Bestätigung
209
kann die Anwendung das Zugriffstoken eines vollständigen Administrators verwenden. Der Benutzer
hat die Möglichkeit, auf Abbrechen zu klicken, falls er Zweifel bezüglich der Operation hat. Falls
der Benutzer kein Administrator ist, muss er die Anmeldeinformationen eines Administrators eingeben, um das Programm ausführen zu können.
Weil im Administratorbestätigungsmodus auch ein Administrator Anwendungsinstallationen bestätigen muss, können sich unautorisierte Anwendungen nicht automatisch installieren. Sie brauchen
die explizite Zustimmung eines Administrators. Administratoren erhalten immer eine Warnung und
müssen den Vorgang erlauben, bevor irgendwelche Software installiert werden kann.
Erhöhen von Benutzerprivilegien
Die UAC gibt einem Benutzer in der Standardeinstellung die Möglichkeit, seine Privilegien zu
erhöhen, um eine Administratoraufgabe auszuführen. Ein Standardbenutzer muss dazu das Kennwort
für ein Administratorkonto eingeben. Ein Administrator braucht dem Programm lediglich die Berechtigung zum Fortsetzen zu gewähren. Sobald die Aufgabe abgeschlossen ist, kehrt das Benutzerkonto wieder in den Modus zurück, wo es als Standardkonto läuft.
Wie Sie in Abbildung 5.7 sehen, gibt es vier Arten von Benutzerkonten: das vordefinierte Administratorkonto, Administratorkonten, Standardkonten und das vordefinierte Gastkonto.
Abbildung 5.7
Typen von Benutzerkonten
Das vordefinierte Gastkonto ist Mitglied der Gruppe Gäste. Windows Vista deaktiviert dieses Konto
in der Standardeinstellung. Selbst wenn es aktiviert ist, können Benutzer, die mit dem Gastkonto
angemeldet sind, keine Administratoraufgaben ausführen. Kapitel 4, „Konfigurieren und Problembehandlung des Internetzugangs“, beschreibt das Gastkonto genauer. Es erlaubt Benutzern, die kein
ständiges Konto besitzen, den Computer zu verwenden. Sie bekommen dabei aber keinen Zugriff
auf die persönlichen Dateien normaler Benutzer. Zum Beispiel können Sie das Gastkonto aktivieren,
damit Schüler oder Teilnehmer an einem Volkshochschulkurs einen Computer verwenden können.
Administratorkonten sind Mitglieder der Gruppen Administratoren und Benutzer, wie in Abbildung 5.8 zu sehen. Sie werden als Standardbenutzer ausgeführt, sofern sie nicht gerade Administratoraufgaben ausführen. Erst beim Ausführen einer solchen Aufgabe werden diese Konten als
Administratoren mit erhöhten Privilegien ausgeführt.
210
Abbildung 5.8
Gruppenmitgliedschaften für ein Administratorkonto
Standardkonten sind Mitglieder der Gruppe Benutzer, wie in Abbildung 5.9 zu sehen. Sie werden
als Standardbenutzer ausgeführt. Falls ein Benutzer, der mit einem Standardkonto angemeldet
ist, eine Administratoraufgabe ausführen will, muss er ein Administratorkonto auswählen und das
zugehörige Kennwort eingeben. Diese Aufgabe wird dann unter den erhöhten Privilegien des
Administratorkontos ausgeführt.
Abbildung 5.9
Gruppenmitgliedschaften eines Standardkontos
211
Wie Abbildung 5.10 beweist, ist das vordefinierte Administratorkonto nur Mitglied der Gruppe
Administratoren. In der Standardeinstellung wird dieses Konto nicht als Standardbenutzerkonto
ausgeführt, sondern hat immer erhöhte Privilegien. Die UAC schützt dieses Konto in der Standardeinstellung nicht. Sie sollten das vordefinierte Administratorkonto nur aktivieren oder verwenden,
wenn zwingende Gründe vorliegen.
Abbildung 5.10
Gruppenmitgliedschaften des vordefinierten Administratorkontos
Wichtig Umbenennen und Schützen des vordefinierten Administratorkontos
Selbst wenn Sie vorhaben, das vordefinierte Administratorkonto niemals zu aktivieren, sollten Sie
es umbenennen und ihm ein komplexes Kennwort zuweisen. Ein Konto namens Administrator,
das kein Kennwort hat und über dauerhaft erhöhte Privilegien verfügt, ist ein gefährliches Element.
Es muss nur ein Kontrollkästchen verändert werden, und schon ist es aktiviert.
Konfigurieren der Benutzerkontensteuerung über lokale Sicherheitsrichtlinien
Falls Ihr Windows Vista-PC im eigenständigen Modus oder als Teil einer Arbeitsgruppe eingerichtet
ist (also kein Mitglied einer Active Directory-Verzeichnisdienst-Domäne ist), können Sie die UAC
mithilfe der Konsole Lokale Sicherheitsrichtlinie konfigurieren (Abbildung 5.11). In den Übungen
am Ende dieser Lektion wird das Verwenden dieser Konsole genauer beschrieben. Wenn Sie gleich
einen Blick darauf werfen wollen, können Sie das Feld Ausführen öffnen, den Befehl Gpedit.msc
eingeben und auf Fortsetzen klicken, um das UAC-Dialogfeld zu schließen. Erweitern Sie die Knoten Computerkonfiguration, dann Windows-Einstellungen, Sicherheitseinstellungen und Lokale
Richtlinien. Klicken Sie schließlich auf Sicherheitsoptionen. Stattdessen können Sie auch im Suchfeld des Startmenüs den Begriff „Lokale Sicherheitsrichtlinie“ eingeben und das daraufhin ange-
212
zeigte Programm anklicken. Erweitern Sie dann die Knoten Sicherheitseinstellungen sowie Lokale
Richtlinien und klicken Sie schließlich auf Sicherheitsoptionen.
Abbildung 5.11
Die Konsole Lokale Sicherheitsrichtlinie
Folgende UAC-Einstellungen sind unter Lokale Richtlinien/Sicherheitsoptionen aufgeführt:
Benutzerkontensteuerung: Administratorbestätigungsmodus für das integrierte Administratorkonto
Benutzerkontensteuerung: Verhalten der Benutzeraufforderung mit erhöhten Rechten für
Administratoren im Administratorbestätigungsmodus
Benutzerkontensteuerung: Verhalten der Anhebungsaufforderung für Standardbenutzer
Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern
Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und validiert
sind
Benutzerkontensteuerung: Nur erhöhte Rechte für UIAccess-Anwendungen, die an sicheren
Orten installiert sind
Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen
Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren
Desktop wechseln
Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte
virtualisieren
213
Administratorbestätigungsmodus für das integrierte Administratorkonto
Diese Einstellung legt fest, ob der UAC-Administratorbestätigungsmodus auf das vordefinierte
Administratorkonto angewendet wird. Die Standardeinstellung ist Deaktiviert. In der Standardeinstellung kann sich ein Benutzer mit dem vordefinierten Administratorkonto im Windows XP-kompatiblen Modus anmelden und standardmäßig alle Anwendungen mit dauerhaft erhöhten Privilegien
ausführen.
Falls die Einstellung Aktiviert ist, kann sich der Benutzer im Administratorbestätigungsmodus mit
dem vordefinierten Administratorkonto anmelden. In diesem Modus wird für jede Operation, die
erhöhte Privilegien erfordert, eine Bestätigung angefordert, sodass der Benutzer auf Fortsetzen oder
Abbrechen klicken kann.
Verhalten der Benutzeraufforderung mit erhöhten Rechten für Administratoren im
Administratorbestätigungsmodus
Diese legt fest, was passiert, wenn Administratoren eine Operation einleiten, die erhöhte Privilegien
erfordert. Die Standardeinstellung ist Aufforderung zur Eingabe der Zustimmung. Es stehen folgende
Optionen zur Auswahl:
Aufforderung zur Eingabe der Zustimmung Wenn eine Operation eine Erhöhung der Privilegien
erfordert, wird der Benutzer aufgefordert, entweder Fortsetzen oder Abbrechen anzuklicken.
Falls der Administrator Fortsetzen wählt, wird die Operation mit erhöhten Privilegien ausgeführt.
Aufforderung zur Eingabe der Anmeldeinformationen Wenn eine Operation eine Erhöhung der
Privilegien erfordert, wird der Administrator aufgefordert, ein Kennwort einzugeben. Falls der
Benutzer gültige Anmeldeinformationen eingibt, wird die Operation mit erhöhten Privilegien
ausgeführt.
Erhöhte Rechte ohne Eingabeanforderung Der Administrator kann eine Operation, die erhöhte
Privilegien erfordert, ohne Bestätigung oder Eingabe von Anmeldeinformationen ausführen
(XP-kompatibler Modus). Bei dieser Einstellung verhält sich die Oberfläche genauso wie bei
der Benutzung des vordefinierten Administratorkontos in seiner Standardeinstellung. Der
Benutzer könnte versehentlich Malware installieren, ohne eine Eingabeaufforderung oder
Warnung zu erhalten. Aus diesem Grund sollten Sie diese Option nur verwenden, wenn dafür
ein wirklich zwingender Grund vorliegt.
Verhalten der Anhebungsaufforderung für Standardbenutzer
Diese Einstellung legt fest, was passiert, wenn Standardbenutzer versuchen, eine Operation auszuführen, die erhöhte Privilegien erfordert. Die Standardeinstellung in Windows Vista Ultimate besteht
darin, die Eingabe von Anmeldeinformationen anzufordern. Es stehen folgende Optionen zur Auswahl:
Aufforderung zur Eingabe der Anmeldeinformationen Wenn eine Operation erhöhte Privilegien
erfordert, wird der Benutzer aufgefordert, ein Administratorkonto auszuwählen und das zugehörige Kennwort einzugeben. Falls der Benutzer gültige Anmeldeinformationen eingibt, wird
die Operation mit erhöhten Privilegien ausgeführt.
Anforderungen für erhöhte Rechte automatisch ablehnen Bei dieser Option bekommt ein Standardbenutzer die Fehlermeldung, dass der Zugriff verweigert wurde, wenn er versucht, eine
214
Operation auszuführen, die erhöhte Privilegien erfordert. Diese Einstellung wird normalerweise
in einer Unternehmensumgebung verwendet, wo die Clients Mitglieder einer Active DirectoryDomäne sind und die Benutzer keine Administratoraufgaben durchführen.
Schnelltest
Sie wollen sicherstellen, dass Standardbenutzer keine Aufgaben durchführen dürfen, für die
erhöhte Privilegien benötigt werden, und auch nicht aufgefordert werden, Administratoranmeldeinformationen einzugeben, wenn sie versuchen, solche Aufgaben durchzuführen.
Welche UAC-Einstellung sollten Sie konfigurieren?
Antwort zum Schnelltest
Stellen Sie in Benutzerkontensteuerung: Verhalten der Anhebungsaufforderung für Standardbenutzer die Option Anforderungen für erhöhte Rechte automatisch ablehnen ein.
Anwendungsinstallationen erkennen und erhöhte Rechte anfordern
Diese Einstellung legt fest, ob bei der Installation von signierten und unsignierten Anwendungen
eine UAC-Eingabeaufforderung zur Erhöhung der Privilegien angezeigt wird. Die Einstellung gilt
für das gesamte System. Auf einem Windows Vista Ultimate-Client, der in einer Arbeitsgruppe
läuft, ist die Standardeinstellung Aktiviert. Es stehen folgende Optionen zur Auswahl:
Aktiviert Die UAC erkennt Anwendungsinstallationspakete, die erhöhte Privilegien erfordern,
und zeigt die entsprechende Anhebungseingabeaufforderung an. Welche Eingabeaufforderung
angezeigt wird, hängt davon ab, ob der Benutzer mit einem Standard- oder einem Administratorkonto angemeldet ist und ob die Anwendung signiert ist.
Deaktiviert Normalerweise deaktiviert ein Domänenadministrator diese Einstellung in einer
Unternehmensumgebung mit Standardbenutzerdesktops, die Techniken für delegierte Installation einsetzen, zum Beispiel GPSI (Group Policy Software Install) oder SMS (Systems Management Server). In diesem Fall ist die Erkennung von Installern unnötig.
Weitere Informationen GPSI und SMS
Ausführliche Informationen über GPSI finden Sie unter http://support.microsoft.com/default.aspx/
kb/816102, Informationen über SMS unter http://www.microsoft.com/smserver/default.mspx. Diese
Technologien dürften aber kaum in der Prüfung 70-620 abgefragt werden.
Nur ausführbare Dateien heraufstufen, die signiert und validiert sind
Diese Einstellung legt fest, ob die UAC für alle interaktiven Anwendungen, die erhöhte Privilegien
anfordern, eine Signaturüberprüfung durch die Infrastruktur für öffentliche Schlüssel (Public Key
Infrastructure, PKI) erzwingt. Falls eine solche Überprüfung erzwungen wird, können nur signierte
Anwendungen bei ihrer Installation eine UAC-Eingabeaufforderung zur Anhebung von Privilegien
anzeigen lassen und sich die Berechtigung gewähren lassen, die Operation fortzusetzen. Auf einem
Windows Vista Ultimate-Client, der in einer Arbeitsgruppe läuft, ist die Standardeinstellung Deaktiviert. Es stehen folgende Optionen zur Auswahl:
215
Deaktiviert Die UAC erzwingt nicht die Überprüfung der PKI-Zertifikatkette, bevor eine ausführbare Datei gestartet werden kann. Ein Benutzer mit erhöhten Privilegien kann unsignierte
ausführbare Dateien auf dem Computer ausführen.
Aktiviert Die Überprüfung der PKI-Zertifikatkette ist erforderlich, bevor eine ausführbare
Datei gestartet werden kann. Diese Einstellung eignet sich für eine Unternehmensumgebung,
in der ein Domänenadministrator PKI-Zertifikate im Zertifikatspeicher für vertrauenswürdige
Herausgeber auf dem lokalen Computer pflegt, die festlegen, welche Programmdateien ausgeführt werden dürfen.
Weitere Informationen Infrastruktur für öffentliche Schlüssel
Weitere Informationen über eine Infrastruktur für öffentliche Schlüssel und die Signierung von
Anwendungen finden Sie unter http://www.microsoft.com/windowsserver2003/technologies/pki/
default.mspx. Es ist aber äußerst unwahrscheinlich, dass in der Prüfung 70-620 tiefgehende Kenntnisse zu PKI verlangt werden.
Nur erhöhte Rechte für UIAccess-Anwendungen, die an sicheren Orten installiert sind
Diese Einstellung erzwingt, dass sich Anwendungen, die eine Ausführung mit einer UIAccess-Integritätsebene anfordern, an einem sicheren Speicherort im Dateisystem befinden müssen. Sichere
Speicherorte sind nur die folgenden Verzeichnisse:
…\Programme\ inklusive Unterverzeichnissen
…\Windows\system32\r…\Programme (x86)\ inklusive Unterverzeichnissen (für 64-Bit-Windows-Versionen)
Die Standardeinstellung ist Aktiviert. Es stehen folgende Optionen zur Auswahl:
Aktiviert Eine Anwendung kann nur dann mit UIAccess-Integritätsstufe ausgeführt werden,
wenn sie sich an einem sicheren Speicherort im Dateisystem befindet.
Deaktiviert Eine Anwendung kann auch mit UIAccess-Integritätsstufe ausgeführt werden,
wenn sie sich nicht an einem sicheren Speicherort im Dateisystem befindet.
Hinweis PKI-Signaturüberprüfungen für UIAccess-Anwendungen
Windows Vista erzwingt eine PKI-Signaturüberprüfung für alle interaktiven Anwendungen, die eine
Ausführung in der UIAccess-Integritätsstufe anfordern, und zwar unabhängig von der Konfiguration
dieser Sicherheitseinstellung.
Hinweis Automatisieren der Benutzeroberfläche und das UIAccess-Attribut
Ausführliche Informationen über die UI-Automatisierung und das UIAccess-Attribut finden Sie
unter http://windowssdk.msdn.microsoft.com/en-gb/library/ms742884.aspx. Es ist aber unwahrscheinlich, dass in der Prüfung 70-620 tiefgehende Kenntnisse zu diesem Thema verlangt werden.
216
Alle Administratoren im Administratorbestätigungsmodus ausführen
Diese Einstellung steuert das Verhalten aller UAC-Richtlinien für das gesamte System. Sie legt fest,
ob alle Administratorkonten im Administratorbestätigungsmodus laufen, in dem UAC-Eingabeaufforderungen bestätigt werden müssen, um Administratoraufgaben auszuführen. Die Standardeinstellung ist Aktiviert.
Der Administratorbestätigungsmodus und alle anderen UAC-Richtlinien hängen davon ab, ob diese
Einstellung aktiviert ist. Wenn Sie diese Einstellung deaktivieren, schalten Sie praktisch die UAC
aus. In diesem Fall werden Sie vom Sicherheitscenter benachrichtigt, dass die Sicherheit des Betriebssystems verringert wurde. Damit eine Änderung an dieser Einstellung wirksam wird, ist ein
Neustart erforderlich.
Schnelltest
Sie möchten verhindern, dass ein Standardbenutzer irgendwelche Administratoraufgaben
ausführen kann, selbst wenn er Administratoranmeldeinformationen kennt. Welche beiden
UAC-Einstellungen können das verhindern?
Setzen Sie Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen auf den Wert Deaktiviert. Damit wird die UAC deaktiviert.
Setzen Sie Benutzerkontensteuerung: Verhalten der Anhebungsaufforderung für Standardbenutzer auf Anforderungen für erhöhte Rechte automatisch ablehnen. Diese Einstellung
bewirkt, dass ein Standardbenutzer die Fehlermeldung über einen verweigerten Zugriff erhält, wenn er versucht, eine Operation auszuführen, die erhöhte Privilegien erfordert.
Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln
Diese Einstellung legt fest, ob die sichere Desktopumgebung erscheint, wenn das System eine UACEingabeaufforderung anzeigt, und ob die Eingabeaufforderung für die Privilegienanhebung auf dem
Desktop des interaktiven Benutzers oder dem sicheren Desktop angezeigt wird. Die Standardeinstellung ist Aktiviert.
Warum der sichere Desktop sinnvoll ist, wurde weiter oben in diesem Kapitel erläutert. Falls Sie
diese Einstellung deaktivieren, könnte Ihr Computer gegen externen Angriffe verwundbar werden,
die ein UAC-Dialogfeld fälschen.
Praxistipp
Ian McLean
Wenn die Betaversion eines neuen Betriebssystems erscheint, habe ich unter anderem die Aufgabe, einen Bericht über die neuen Features zu schreiben, der an die Kollegen verteilt wird.
Normalerweise werden solche Berichte innerhalb weniger Tage oder sogar Stunden erwartet,
nachdem ich die Software in die Finger bekomme.
217
Natürlich brauche ich Bildschirmfotos. Ich melde mich also an, leite eine Administratoraufgabe
ein und drücke fröhlich die DRUCK -Taste, um das angezeigte UAC-Dialogfeld zu kopieren.
Natürlich funktioniert das nicht. Der sichere Desktop blockiert alle Anwendungen, auch die
Funktion zum Kopieren des Bildschirminhalts.
Der Aufbau von Kameras zum Abfotografieren des Monitors ist zeitaufwendig und kompliziert,
und ich bekomme damit auch kaum jemals gute Ergebnisse. Fotografie ist nicht gerade eine
meiner starken Seiten. Ich gebe aber nicht auf, und schließlich habe ich einige Fotos mit mäßiger
Qualität vorliegen.
Dann sehe ich mir die UAC-Konfigurationsoptionen an und sofort springt mir die Richtlinie Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop
wechseln ins Auge. Hoppla!
Die Moral von der Geschicht’: Egal, wie eilig es ist, recherchieren Sie immer erst, was ein neues
Feature tun kann, bevor Sie es verwenden.
Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisieren
Diese Einstellung legt fest, ob die UAC die Registrierung und das Dateisystem für Legacyanwendungen virtualisiert, die versuchen, in kritischen Teilen des Systems zu lesen oder schreiben. Die
Standardeinstellung ist Aktiviert, das heißt, dass Schreiboperationen von Legacyanwendung in der
Registrierung und dem Dateisystem auf Speicherorte im Profil des Benutzers umgeleitet werden.
Dieses Feature erlaubt es einem Benutzer, Legacyanwendungen auszuführen, die früher immer im
Kontext des Administratorkonto liefen und Anwendungsdaten während der Laufzeit entweder in
%ProgramFiles%, %WinDir%, %WinDir%\system32 oder HKLM\Software\ schrieben.
Dank der Virtualisierung können Anwendungen ausgeführt werden, die vor Windows Vista entwickelt wurden und andernfalls nicht laufen würden. Ein Administrator, der nur Windows Vista-kompatible Anwendungen verwendet, kann dieses Feature deaktivieren (auch wenn davon abgeraten
wird). Wenn das Feature deaktiviert ist, können Anwendungen, die Daten in geschützte Speicherorte schreiben, nicht laufen, genauso wie in älteren Windows-Versionen.
Hinweis
Deaktivieren Sie die Richtlinie „Datei- und Registrierungsschreibfehler an
Einzelbenutzerstandorte virtualisieren“ nicht
Aus Kompatibilitätsgründen empfiehlt Microsoft, dass Sie diese Richtlinie nicht deaktivieren.
Schnelltest
Sie haben eine Anwendung, die eine Benutzeroberfläche anzeigt, von C:\Programme\MyApp
in D:\MyStuff\MyApp verschoben und auf Ihrem Desktop eine Verknüpfung zu dieser Anwendung angelegt. Sie stellen fest, dass die Anwendung nicht mehr läuft. Welche UACEinstellung könnte dafür verantwortlich sein?
218
Die Richtlinie Benutzerkontensteuerung: Nur erhöhte Rechte für UIAccess-Anwendungen,
die an sicheren Orten installiert sind ist in der Standardeinstellung aktiviert. Das bewirkt,
dass Anwendungen, die auf Benutzeroberflächen zugreifen, nur dann ausgeführt werden
können, wenn sie in einem sicheren Speicherort installiert sind (zum Beispiel einem Unterverzeichnis von Programme). Sie können diese UAC-Einstellung zwar ändern, aber das ist
im Allgemeinen schlechte Taktik, weil es Auswirkungen auf die Sicherheit aller solcher
Anwendungen hätte. Wahrscheinlich ist es am besten, wenn Sie die Anwendung wieder an
ihren ursprünglichen Speicherort verschieben.
Prüfungstipp
Die UAC ist ein besonders wichtiges neues Feature in Windows Vista. Die Prüfung 70-620 enthält
wahrscheinlich viele Fragen zur UAC und insbesondere zu UAC-Richtlinieneinstellungen. Stellen
Sie sicher, dass Sie mit diesen Einstellungen vertraut sind.
Problembehandlung für UAC und Programmkompatibilität
Manchmal passieren bei der Bedienung von Windows Vista Dinge, die Sie nicht erwarten. Benutzer
werden aufgefordert, Anmeldeinformationen einzugeben, wenn sie das nicht erwarten. Umgekehrt
müssen sie keine Anmeldeinformationen eingeben, wenn sie es eigentlich erwarten. Programme
laufen nicht und Software kann nicht installiert werden. Oder es laufen Programme, denen die Ausführung eigentlich verboten sein sollte.
Hinweis Prüfen Sie, ob Einschränkungen eingehalten werden
Wenn Benutzern die Privilegien fehlen, etwas zu tun, was sie möchten, oder Software zu installieren
und auszuführen, die sie gerne verwenden möchten, beschweren sie sich recht schnell. Anders sieht
es aus, wenn sie mehr Privilegien haben als erwartet, wenn sie nicht aufgefordert werden, Anmeldeinformationen einzugeben, und Software installieren und ausführen können, von der sie eigentlich
erwarten, dass sie verboten sein müsste.
Als IT-Experte sollten Sie regelmäßig prüfen, ob Benutzer nicht mehr tun können, als ihnen eigentlich erlaubt sein sollte. Falls Sie zum Beispiel unsignierte Programme blockiert haben, sollten Sie
sicherstellen, dass solche Programme wirklich nicht ausgeführt werden können. Benutzer melden
Fehler, die bewirken, dass sie etwas nicht tun können, was sie benötigen. Dagegen ist es Ihre Aufgabe, festzustellen, ob die Benutzer mehr tun können, als sie eigentlich benötigen.
Überprüfen der Gruppenmitgliedschaft
In einer Domänenumgebung wird die Mitgliedschaft im Allgemeinen durch die Domänen-Admins
streng kontrolliert. In einer Arbeitsgruppenumgebung gibt es nach wie vor eine (bedauerliche)
Tendenz, einem Benutzer auf seiner Arbeitsstation Administratorrechte zu gewähren. Falls Sie
im Rahmen eines Supportvertrags ein Heimnetzwerk betreuen müssen, ist mindestens eine Person
im Haushalt ein Administrator.
219
Prüfen Sie in einer solchen Situation die Mitgliedschaft in der lokalen Administratorengruppe.
Möglicherweise haben die Eltern das Konto eines Kindes zu dieser Gruppe hinzugefügt, weil sie
nicht ständig anwesend sein konnten, um ein Administratorkennwort einzugeben. Das Kind hat
dann unter Umständen bestimmte Computereinstellungen umkonfiguriert. Falls ein Benutzer nicht
aufgefordert wird, auf Fortsetzen zu klicken, wenn er Administratoraufgaben ausführt, sollten Sie
prüfen, ob das vordefinierte Administratorkonto aktiviert wurde.
Überprüfen des Softwarestatus
Falls ein Benutzer versucht, Software mithilfe eines unsignierten Setupprogramms zu installieren,
hängt das weitere Vorgehen davon ab, ob das Programm signiert ist. Falls die Einstellung Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und validiert sind den Wert
Aktiviert hat, wird unsignierte Installationssoftware nicht ausgeführt. Es ist aber aufwendig, Software
zu validieren und eine digitale Signatur zu besorgen, daher geben selbst seriöse Softwarehersteller
manchmal unsignierte Programme heraus. Falls sich Software verhält, als wäre sie unsigniert, ist sie
aller Wahrscheinlichkeit nach tatsächlich unsigniert. Falls sie aus einer seriösen und vertrauenswürdigen Quelle stammt, dürfte kaum die Gefahr bestehen, dass sie Ihrem Computer schadet.
In der Standardeinstellung legt die UAC fest, dass UIAccess-Anwendungen nur dann mit erhöhten
Privilegien ausgeführt werden, wenn sie in sicheren Speicherorten installiert sind. Diese Einschränkung gilt unabhängig davon, ob die Anwendung digital signiert ist oder nicht. Standardmäßig sind
solche Anwendungen in sicheren Speicherorten installiert, aber gelegentlich werden sie verschoben
oder kopiert. Falls eine solche Anwendung Probleme verursacht, sollten Sie ihren Speicherort überprüfen.
Windows Vista kann die meisten älteren Programme ausführen, die für ältere Betriebssysteme entwickelt wurden. Manche Fremdherstelleranwendungen, die für Windows 95 (oder älter) entwickelt
wurden, versuchen, direkt auf die Festplatte zuzugreifen. Solche Programme laufen nicht, und das
ist auch gut so. Datenträgermanager von Fremdherstellern und Antivirensoftware verursachen unter
Umständen Kompatibilitätsprobleme. Sie sollten nicht versuchen, solche Programme auszuführen.
Windows Vista stellt eine Virtualisierung für geschützte Speicherorte und den Programmkompatibilitäts-Assistenten zur Verfügung. Falls keine dieser Funktionen die Ausführung eines bestimmten
Legacyprogramms erlaubt, ist das wahrscheinlich auch ganz sinnvoll.
Überprüfen der UAC-Einstellungen
Falls die UAC nicht wie erwartet arbeitet, sollten Sie die UAC-Einstellungen überprüfen. Die Standardeinstellungen funktionieren meist recht gut. Es ist daher wahrscheinlich sinnvoll, die Standardeinstellungen wiederherzustellen, wenn Sie bemerken, dass irgendwelche Änderungen vorgenommen
wurden. Falls Sie es für klug halten, können Sie anschließend bestimmte Einstellungen eine nach
der anderen wieder auf den Wert ändern, den sie vorher hatten. Auf diese Weise können Sie die
Einstellung aufspüren, die für das gemeldete Problem verantwortlich ist.
Denken Sie auch daran, dass Sie die UAC in einer Arbeitsgruppe für jeden Computer einzeln konfigurieren müssen. Falls ein Benutzer normalerweise an einer Arbeitsstation arbeitet und ausnahmsweise eine andere verwendet, kann es sein, dass sich die Abläufe unterscheiden. Was als Fehler
gemeldet wird, ist möglicherweise gar kein Fehler, sondern einfach die Einstellung, die jemand
anders vorgenommen hat.
220
Manchmal sind einem lokalen Administrator die Auswirkungen der UAC-Einstellungen nicht klar.
Ein solcher Benutzer könnte zum Beispiel die Einstellung Datei- und Registrierungsschreibfehler
an Einzelbenutzerstandorte virtualisieren deaktivieren, weil er meint: „Ich verstehe nicht, was diese
Einstellung tut, daher schien es sinnvoll, sie zu deaktivieren.“ Der Benutzer meldet dann, dass wichtige Legacysoftware nicht mehr läuft. Oder ein Benutzer hat die Einstellung Alle Administratoren
im Administratorbestätigungsmodus ausführen deaktiviert, weil er dachte, dass diese Einstellung
nur für Administratoren gilt. Dann meldet er, dass Standardbenutzer keine Programme mehr ausführen
können, indem sie Administratoranmeldeinformationen eingeben.
Indem Sie die UAC-Standardeinstellungen wiederherstellen, schaffen Sie sich einen vernünftigen
Ausgangspunkt. Anschließend können Sie sich von dieser Basis aus vorarbeiten.
Praxisübung: Konfigurieren der UAC und Testen Ihrer Einstellungen
In dieser Übung konfigurieren Sie UAC-Einstellungen und testen sie, während Sie sich mit unterschiedlichen Konten für Standardbenutzer, Administrator und vordefinierten Administrator anmelden. Die Übung verwendet die Benutzerkonten, die Sie in Kapitel 4, „Konfigurieren und Problembehandlung des Internetzugangs“, angelegt haben. Wenn Sie die Übungen genau entsprechend der
Anleitung durcharbeiten wollen, müssen Sie die Übungen 1, 2 und 3 in Kapitel 4, „Konfigurieren
und Problembehandlung des Internetzugangs“, Lektion 1, „Konfigurieren und Problembehandlung
von Jugendschutz und Inhaltsratgeber“, erfolgreich abgeschlossen haben.
Zumindest müssen Sie aber ein Standardbenutzerkonto anlegen. Wenn Sie wollen, können Sie dazu
das Administratorkonto verwenden, das Sie bei der Installation von Windows Vista angelegt haben.
f Übung 1: Hinzufügen des Ordners Verwaltung zu Alle Programme im Startmenü
In Kapitel 4, „Konfigurieren und Problembehandlung des Internetzugangs“, haben Sie den Ausführen-Befehl zum Startmenü hinzugefügt und dann Tools wie Lokale Benutzer und Gruppen gestartet,
indem Sie die Microsoft Management Console (MMC) über das Feld Ausführen gestartet und dort
das nötige Snap-In hinzugefügt haben. Wenn Sie den Ordner Verwaltung zu Alle Programme im
Startmenü hinzufügen, bekommen Sie eine bequemere Methode, um auf diese Tools zuzugreifen.
1. Melden Sie sich mit dem Konto Eltern_Admin an, das Sie in Kapitel 4, „Konfigurieren und
Problembehandlung des Internetzugangs“, erstellt haben. (Das zugehörige Kennwort ist
„P@ssw0rd“.)
2. Klicken Sie mit der rechten Maustaste auf die Start-Schaltfläche und wählen Sie den Befehl
Eigenschaften.
3. Klicken Sie auf der Registerkarte Startmenü auf Anpassen.
4. Blättern Sie zum Eintrag Systemverwaltung und wählen Sie darin die Option Im Menü "Alle
Programme" anzeigen aus (Abbildung 5.12).
5. Klicken Sie auf OK.
6. Klicken Sie auf OK, um das Dialogfeld Eigenschaften von Taskleiste und Startmenü zu schließen.
Abbildung 5.12
221
Anzeigen des Ordners Verwaltung in Alle Programme
f Übung 2: Aktivieren des vordefinierten Administratorkontos
Ausschließlich für Testzwecke aktiviert diese Übung das vordefinierte Administratorkonto. Vorher
benennen Sie das Konto aber um und weisen ihm ein komplexes Kennwort zu. Dieses Konto sollte
immer kennwortgeschützt sein und nicht den Namen Administrator tragen.
1. Melden Sie sich mit dem Konto Eltern_Admin an, sofern noch nicht geschehen.
Abbildung 5.13
Umbenennen des Administratorkontos
222
2. Klicken Sie im Startmenü auf Alle Programme, dann auf Verwaltung und schließlich auf
Computerverwaltung.
3. Klicken Sie im UAC-Dialogfeld auf Fortsetzen.
4. Erweitern Sie den Knoten Lokale Benutzer und Gruppen und klicken Sie auf Benutzer.
5. Klicken Sie in der Detailansicht mit der rechten Maustaste auf das Konto Administrator und
wählen Sie den Befehl Umbenennen (Abbildung 5.13).
6. Geben Sie dem Administratorkonto den Namen Don_Hall.
7. Klicken Sie mit der rechten Maustaste auf Don_Hall und wählen Sie den Befehl Kennwort
festlegen.
8. Lesen Sie die Meldung im Warnfeld und klicken Sie dann auf Fortsetzen.
Wichtig Ändern des Kennworts für einen Benutzer
Falls Sie als Administrator das Kennwort eines Benutzers ändern, kann dieser Benutzer seine
Dateien nicht mehr lesen, falls sie mit dem verschlüsselnden Dateisystem (Encrypting File
System, EFS) geschützt sind. Wenn ein Benutzer dagegen selbst sein Kennwort ändert, wobei
er sein bisheriges Kennwort angeben muss, bleiben mit EFS verschlüsselte Dateien lesbar. Im
ersten Fall müssen die Dateien von einem Entschlüsselungsagenten entschlüsselt und dann
(bei Bedarf) mit dem neuen Verschlüsselungsschlüssel des Benutzers wieder verschlüsselt
werden. Das sollte Benutzer hoffentlich anregen, ihre Kennwörter nicht zu vergessen. Weitere
Informationen finden Sie unter http://technet2.microsoft.com/WindowsServer/en/library/
b505401c-5ec8-4f0f-b82b-ea24b28bfbad1033.mspx?mfr=true.
9. Geben Sie ein komplexes Kennwort ein und bestätigen Sie es, zum Beispiel „P@ssAdm1n“.
10. Klicken Sie auf OK und dann erneut auf OK, um das Meldungsfeld zu schließen, das Sie
informiert, dass das Kennwort gesetzt wurde.
11. Klicken Sie mit der rechten Maustaste auf Don_Hall und wählen Sie den Befehl Eigenschaften.
12. Deaktivieren Sie auf der Registerkarte Allgemein das Kontrollkästchen Konto ist deaktiviert
und klicken Sie auf OK.
13. Wechseln Sie den Benutzer zu Don_Hall.
14. Führen Sie eine Administratoraufgabe aus, zum Beispiel können Sie die Systemzeit ändern.
Es wird kein UAC-Dialogfeld geöffnet und Sie brauchen keine Genehmigung zu erteilen,
damit die Operation durchgeführt werden kann.
15. Führen Sie eine Anwendungsdatei aus, zum Beispiel die Setup.exe-Datei, die auf praktisch
jeder Microsoft-Softwareinstallations-CD-ROM zu finden ist. Das UAC-Dialogfeld wird nicht
angezeigt.
16. Wechseln Sie wieder den Benutzer zurück zu Eltern_Admin.
223
f Übung 3: Konfigurieren von UAC-Einstellungen
In dieser Übung konfigurieren Sie UAC-Einstellungen und testen sie, indem Sie sich als Standardbenutzer, als Administrator und mit dem vordefinierten Administratorkonto anmelden. Die Übung
konfiguriert nicht alle Einstellungen neu, sondern nur einige ausgewählte Beispiele. Sie können die
Übung ausweiten, indem Sie mit den Einstellungen experimentieren, die nicht verändert werden.
Gehen Sie diese Übung erst an, wenn Sie die Übungen 1 und 2 erfolgreich abgeschlossen haben.
2. Klicken Sie im Startmenü auf Alle Programme, dann auf Verwaltung und schließlich auf Lokale
Sicherheitsrichtlinie. Falls Sie den Ordner Verwaltung nicht zum Menü Alle Programme hinzugefügt haben, können Sie dieses Tool auch öffnen, indem Sie in das Feld Ausführen den
Befehl Secpol.msc eingeben und auf OK klicken.
4. Erweitern Sie den Knoten Lokale Richtlinien und klicken Sie auf Sicherheitsoptionen.
5. Blättern Sie die Liste der Richtlinien durch.
6. Klicken Sie doppelt auf Benutzerkontensteuerung: Administratorbestätigungsmodus für das
integrierte Administratorkonto.
7. Wählen Sie auf der Registerkarte Lokale Sicherheitseinstellung die Option Aktiviert aus
(Abbildung 5.14) und klicken Sie auf OK.
Abbildung 5.14 Aktivieren des Administratorbestätigungsmodus
für das eingebaute Administratorkonto
224
8. Wechseln Sie zum Benutzer Don_Hall. Versuchen Sie, die Systemzeit zu ändern und eine
Anwendungsdatei auszuführen. Die UAC fordert Sie jetzt auf, auf Fortsetzen oder Abbrechen
zu klicken.
9. Wechseln Sie zum Benutzer Eltern_Admin.
10. Stellen Sie die Standardeinstellung für Benutzerkontensteuerung: Administratorbestätigungsmodus für das integrierte Administratorkonto wieder her (Deaktiviert).
11. Klicken Sie in der Konsole Lokale Sicherheitsrichtlinie doppelt auf Benutzerkontensteuerung:
Verhalten der Benutzeraufforderung mit erhöhten Rechten für Administratoren im Administratorbestätigungsmodus.
12. Wählen Sie in der Dropdownliste den Eintrag Erhöhte Rechte ohne Eingabeanforderung aus
(Abbildung 5.15). Klicken Sie auf OK.
Abbildung 5.15 Festlegen, dass ein Administratorkonto
mit erhöhten Privilegien ohne Eingabeaufforderung läuft
13. Versuchen Sie, eine Anwendungsdatei auszuführen. Das gelingt jetzt, ohne dass sich eine
UAC-Eingabeaufforderung öffnet und Sie auf Fortsetzen klicken müssen. Das Konto
Eltern_Admin bekommt automatisch erhöhte Privilegien gewährt, ohne dass eine UACWarnung angezeigt wird.
14. Wechseln Sie zu einem Standardbenutzer, zum Beispiel Eltern_Standard.
15. Versuchen Sie, eine Anwendungsdatei auszuführen. In diesem Fall hat sich nichts an den
Abläufen geändert. Ein Standardbenutzer muss ein Administratorkonto auswählen und das
zugehörige Kennwort eingeben.
225
18. Wählen Sie in der Dropdownliste die Option Aufforderung zur Eingabe der Anmeldeinformationen aus (Abbildung 5.16). Klicken Sie auf OK.
Abbildung 5.16
Festlegen, dass ein Administrator Anmeldeinformationen eingeben muss
19. Versuchen Sie, eine Anwendungsdatei auszuführen. Sie müssen jetzt ein Administratorkennwort eingeben, um fortzufahren. Dasselbe passiert, wenn Sie eine administrative Aufgabe
ausführen, zum Beispiel die Systemzeit ändern. Diese Einstellung hat keine Auswirkungen auf
die Abläufe bei einem Standardkonto.
21. Wählen Sie in der Dropdownliste den Eintrag Aufforderung zur Eingabe der Zustimmung aus
(die Standardeinstellung). Klicken Sie auf OK.
Verhalten der Anhebungsaufforderung für Standardbenutzer.
23. Wählen Sie in der Dropdownliste den Eintrag Anforderungen für erhöhte Rechte automatisch
ablehnen aus (Abbildung 5.17). Klicken Sie auf OK.
24. Wechseln Sie zum Benutzer Eltern_Standard und versuchen Sie, die Systemzeit zu ändern.
Sie können keine Administratoranmeldeinformationen mehr eingeben, um Ihre Privilegien zu
erhöhen.
226
Abbildung 5.17
Festlegen, dass ein Standardbenutzer keine Administratoraufgaben ausführen darf
Hinweis Verweigern von Anforderungen nach erhöhten Privilegien
Auf den ersten Blick sieht es so aus, als würde das automatische Verweigern von Anforderungen nach erhöhten Privilegien die Systemsicherheit verbessern, weil Standardbenutzer keine
Administratoraufgaben mehr ausführen können. Aber diese Einstellung verhindert auch, dass
ein Administrator sich mit einem Standardkonto anmelden und dann bei Bedarf zeitweise
seine Privilegien erhöhen kann. Das führt dazu, dass Administratoren ständig mit Administratorkonten arbeiten. Die UAC entschärft diese Situation, indem sie sicherstellt, dass das Administratorkonto den Großteil der Zeit mit Standardkontoprivilegien läuft, aber im Allgemeinen ist es der Sicherheit nicht zuträglich, wenn Anforderungen nach erhöhten Privilegien
automatisch abgelehnt werden.
Verhalten der Anhebungsaufforderung für Standardbenutzer.
27. Wählen Sie in der Dropdownliste den Eintrag Aufforderung zur Eingabe der Anmeldeinformationen aus. Klicken Sie auf OK.
28. Gehen Sie entsprechend den in dieser Übung beschriebenen Schritten vor, um andere UACEinstellungen zu konfigurieren und zu testen.
29. Deaktivieren Sie das vordefinierte Administratorkonto (Don_Hall). Falls Sie nicht mehr
wissen, wie das geht, können Sie in Übung 2 nachlesen.
227
f Übung 4: Deaktivieren des sicheren Desktops
In dieser Übung konfigurieren Sie UAC-Einstellungen, um den sicheren Desktop zu deaktivieren.
Auf diese Weise können Sie andere Aufgaben ausführen, während ein UAC-Dialogfeld offen ist
(zum Beispiel Bildschirmfotos machen).
Beginnen Sie diese Übung erst, wenn Sie die Übungen 1 und 2 erfolgreich abgeschlossen haben.
2. Klicken Sie im Startmenü auf Alle Programme, dann auf Verwaltung und schließlich auf
Lokale Sicherheitsrichtlinie.
5. Blättern Sie durch die Liste der Richtlinien. Klicken Sie doppelt auf Benutzerkontensteuerung:
Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln.
6. Wählen Sie auf der Registerkarte Lokale Sicherheitseinstellung die Option Deaktiviert aus
Abbildung 5.18
Deaktivieren des sicheren Desktops
7. Führen Sie eine Administratoraufgabe aus, ändern Sie zum Beispiel die Systemzeit oder starten
Sie eine Installationsanwendung. Der Desktop wird jetzt nicht mehr abgeblendet und Sie können andere Aufgaben ausführen, während das UAC-Dialogfeld auf dem Bildschirm angezeigt
wird.
8. Stellen Sie wieder die Standardeinstellung für die Einstellung her.
228
f Übung 5: Deaktivieren der UAC
In dieser Übung deaktivieren Sie die UAC. Die Benutzerkonten laufen dann im selben Modus wie
unter Windows XP. Anschließend aktivieren Sie die UAC wieder. Gehen Sie diese Übung erst an,
wenn Sie die Übungen 1 und 2 erfolgreich abgeschlossen haben.
2. Klicken Sie im Startmenü auf Alle Programme, dann Verwaltung und schließlich Lokale
Sicherheitsrichtlinie.
5. Blättern Sie durch die Liste der Richtlinien. Klicken Sie doppelt auf Benutzerkontensteuerung:
Alle Administratoren im Administratorbestätigungsmodus ausführen.
6. Wählen Sie auf der Registerkarte Lokale Sicherheitseinstellung die Option Deaktiviert aus
Abbildung 5.19
Deaktivieren der UAC
7. Öffnen Sie das Windows-Sicherheitscenter, indem Sie in der Systemsteuerung auf Sicherheit
klicken. Wie in Abbildung 5.20 zu sehen, warnt Windows Vista Sie, falls die Benutzerkontensteuerung ausgeschaltet ist.
Abbildung 5.20
229
Das Deaktivieren der UAC beeinträchtigt die Systemsicherheit
8. Schließen Sie alle Fenster und starten Sie den Computer neu.
9. Melden Sie sich mit dem Konto Eltern_Admin an.
10. Führen Sie eine Administratoraufgabe durch, zum Beispiel können Sie die Systemzeit ändern
oder eine Anwendung ausführen. Das Konto Eltern_Admin läuft jetzt dauerhaft mit erhöhten
Privilegien, Sie brauchen daher keine Berechtigung zu erteilen, damit diese Aufgaben fortgesetzt werden können.
11. Wechseln Sie zum Konto Eltern_Standard.
12. Versuchen Sie, eine Administratoraufgabe auszuführen, zum Beispiel können Sie die Systemzeit ändern oder eine Anwendung ausführen. Wie Abbildung 5.21 zeigt, kann ein Benutzer,
der mit einem Standardkonto angemeldet ist, keine Administratoraufgaben mehr durchführen.
Er wird auch nicht aufgefordert, Administratoranmeldeinformationen einzugeben.
Abbildung 5.21 Ein Standardbenutzer kann keine
Administratoranmeldeinformationen mehr eingeben
14. Stellen Sie wieder die Standardeinstellung für Benutzerkontensteuerung: Alle Administratoren
im Administratorbestätigungsmodus ausführen her (Aktiviert).
230
15. Stellen Sie bei allen anderen UAC-Einstellungen, die Sie geändert haben, die Standardeinstellungen wieder her.
16. Schließen Sie alle Fenster und starten Sie den Computer neu.
Optionale Praxisübung: Konfigurieren von Legacysoftware, damit sie in
Windows Vista ausgeführt werden kann
In dieser Übung verwenden Sie den Windows Vista-Programmkompatibilitäts-Assistenten, um
Legacysoftware so zu konfigurieren, dass sie unter Windows Vista läuft. Sie sollten diese Übung
nur durcharbeiten, falls Sie Legacysoftware haben (normalerweise das Programm eines Fremdherstellers), die Sie unter Windows Vista ausführen wollen. Falls Sie keine solche Anforderung haben,
können Sie die Übung überspringen. Falls Sie in Zukunft solche Software zum Laufen bringen
müssen oder für einen Benutzer Support leisten, der dieses Problem hat, können Sie die Übung
nachholen.
f Übung 1: Ausführen des Programmkompatibilitäts-Assistenten
In dieser Übung verwenden Sie den Programmkompatibilitäts-Assistenten. Die Übung demonstriert
auch, dass Sie oft ein Dienstprogramm aus der Windows Vista-Hilfe und Support-Seite heraus starten
können, in dem es beschrieben ist.
2. Suchen Sie die Software, die Sie ausführen wollen. Normalerweise liegt sie auf einer Installations-CD-ROM oder unter Umständen im Unterverzeichnis Windows.old. Die Software darf
kein Antivirenprogramm, Datenträgerverwaltungstool oder anderes Systemprogramm sein.
3. Suchen Sie in Windows Vista-Hilfe und Support nach „Programmkompatibilitäts-Assistent“.
4. Klicken Sie auf den Link Starten des Programmkompatibilitäts-Assistenten.
5. Klicken Sie auf den Link Klicken Sie hier, um den Programmkompatibilitäts-Assistenten zu
öffnen.
Abbildung 5.22
Auswählen des Speicherorts des Programms
Abbildung 5.23
Auswählen eines Programms
Abbildung 5.24
Festlegen der Anzeigeeinstellungen für Legacysoftware
231
6. Die Seite Willkommen wird geöffnet. Klicken Sie auf Weiter.
7. Wählen Sie auf der Seite, die in Abbildung 5.22 zu sehen ist, eine Option aus. Welche Option
Sie verwenden, hängt davon ab, an welchem Speicherort Ihre Legacysoftware liegt. Im Zweifelsfall können Sie die Option Programm manuell auswählen verwenden, dann auf Weiter und
danach auf Durchsuchen klicken.
232
8. Geben Sie ein, welches Legacyprogramm Sie ausführen wollen (Abbildung 5.23). Ihr Legacyprogramm hat wahrscheinlich einen anderen Pfad als in dieser Abbildung. Klicken Sie auf
Weiter.
9. Wählen Sie das Betriebssystem aus, das für das Programm empfohlen wird oder unter dem
das Programm vorher erfolgreich lief. Klicken Sie auf Weiter.
10. Legen Sie Anzeigeeinstellungen fest (Abbildung 5.24). Klicken Sie auf Weiter.
11. Viele Legacyprogramme laufen (leider) nur im Kontext eines Administratorkontos. Falls das
auch bei Ihrem Legacyprogramm so ist, können Sie das Kontrollkästchen Programm als ein
Administrator ausführen aktivieren. Klicken Sie auf Weiter.
12. Überprüfen Sie, ob die Einstellungen richtig sind, und klicken Sie dann auf Weiter.
13. Klicken Sie im UAC-Dialogfeld auf Ausführen.
14. Falls Sie die Einstellungen richtig konfiguriert haben, müsste das Legacyprogramm ausgeführt
werden. Falls es sich um ein Installationsprogramm handelt, können Sie die Software installieren.
15. Windows Vista fragt nach, ob die konfigurierten Kompatibilitätseinstellungen einwandfrei
funktioniert haben (Abbildung 5.25). Klicken Sie in diesem Fall auf Ja, das Programm immer
mit diesen Kompatibilitätseinstellungen ausführen. Klicken Sie anschließend auf Weiter.
Abbildung 5.25 Festlegen, dass das Legacyprogramm auch in Zukunft
die angegebenen Einstellungen verwendet
16. Wenn Sie möchten, können Sie Informationen über Ihre Programmkompatibilitätseinstellungen
an Microsoft senden. Wählen Sie entweder die Option Ja oder Nein und klicken Sie dann auf
Weiter.
17. Klicken Sie auf Fertig stellen, um den Assistenten zu schließen.
233
Zusammenfassung der Lektion
Sie können mit dem Programmkompatibilitäts-Assistenten Legacyprogramme unter Windows
Vista ausführen. Wenn solche Programme versuchen, in geschützte Bereiche zu schreiben,
richtet Windows Vista entsprechende Verzeichnisse im Benutzerprofil ein, die Kopien der
geschützten Bereiche sind.
In der Standardeinstellung stellt die Benutzerkontensteuerung (User Account Control, UAC)
sicher, dass ein Administratorkonto ohne erhöhte Privilegien läuft. Nur wenn solche Privilegien tatsächlich benötigt werden, um eine Administratoraufgabe auszuführen, werden sie
erhöht, sofern der Benutzer die entsprechende Berechtigung erteilt.
Ein Standardbenutzer wird in der Standardeinstellung aufgefordert, Administratoranmeldeinformationen einzugeben, falls er versucht, eine Administratoraufgabe auszuführen.
Das vordefinierte Administratorkonto ist in der Standardeinstellung deaktiviert. Wenn es aktiviert ist, verwendet es in der Standardeinstellung nicht die UAC, sondern läuft ständig mit
erhöhten Privilegien.
Sie können UAC-Einstellungen konfigurieren, um das Verhalten für Administrator-, Standardbenutzer- und das vordefinierte Administratorkonto zu ändern.
Sie können UAC-Einstellungen konfigurieren, um zu verändern, wie Windows Vista unsignierte
Anwendungsdateien und UIAccess-Anwendungen behandelt.
Sie können den sicheren Desktop deaktivieren. Sie können die UAC auch vollständig deaktivieren, davon wird aber abgeraten.
Lernzielkontrolle
Mit den folgenden Fragen können Sie Ihr Wissen zu den Informationen aus Lektion 1, „Konfigurieren und Problembehandlung der Benutzerkontensteuerung“, überprüfen. Die Fragen finden Sie (in
englischer Sprache) auch auf der Begleit-CD, Sie können sie also auch auf dem Computer im Rahmen eines Übungstests beantworten.
Hinweis Die Antworten
Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglichkeiten
richtig oder falsch sind, finden Sie im Abschnitt „Antworten“ am Ende dieses Buchs.
1. Ian McLean schreibt an Kapitel 5 eines Buchs über Windows Vista. Er möchte eine Abbildung
anfertigen, die ein UAC-Dialogfeld zeigt. Er hat keine UAC-Einstellungen verändert. Er ist
mit dem Administratorkonto angemeldet, das er bei der Installation von Windows Vista angelegt hat, und versucht, die Systemzeit zu ändern. Als das UAC-Dialogfeld erscheint, drückt er
die DRUCK -Taste und klickt dann auf Abbrechen, um das Dialogfeld zu schließen. Er öffnet
Microsoft Paint und klappt das Bearbeiten-Menü auf, aber der Befehl Einfügen ist nicht verfügbar. Was hat er falsch gemacht?
A. Er hätte im UAC-Dialogfeld nicht auf Abbrechen klicken dürfen.
B. Er hätte den sicheren Desktop deaktivieren sollen.
234
2.
3.
4.
5.
C. Er hätte sich als Standardbenutzer anmelden sollen. Die UAC wird nicht auf Administratoren angewendet.
D. Er hätte sich mit einem anderen Administratorkonto anmelden sollen. Die UAC wird
nicht auf das Administratorkonto angewendet, das er bei der Installation von Windows
Vista angelegt hat.
Welche Einstellung deaktiviert die UAC?
A. Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus
ausführen ist Deaktiviert
B. Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus
ausführen ist Aktiviert
C. Benutzerkontensteuerung: Verhalten der Benutzeraufforderung mit erhöhten Rechten für
Administratoren im Administratorbestätigungsmodus hat den Wert Erhöhte Rechte ohne
Eingabeanforderung
D. Benutzerkontensteuerung: Verhalten der Benutzeraufforderung mit erhöhten Rechten für
Administratoren im Administratorbestätigungsmodus hat den Wert Aufforderung zur
Eingabe der Anmeldeinformationen
Sie wollen sicherstellen, dass Legacyanwendungen, die in geschützte Bereiche von Registrierung oder Dateisystem schreiben, nicht in Windows Vista ausgeführt werden können. Welche
UAC-Einstellung konfigurieren Sie?
A. Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und validiert sind ist Aktiviert
B. Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und validiert sind ist Deaktiviert
C. Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisieren ist Aktiviert
D. Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisieren ist Deaktiviert
Sie wollen UAC-Einstellungen konfigurieren. Sie öffnen über das Menü Verwaltung die Konsole Lokale Sicherheitsrichtlinie und erweitern den Knoten Sicherheitseinstellungen. Wie
greifen Sie auf die UAC-Einstellungen zu?
A. Erweitern Sie Lokale Richtlinien und klicken Sie auf Sicherheitsoptionen.
B. Erweitern Sie Lokale Richtlinien und klicken Sie auf Überwachungsrichtlinie.
C. Erweitern Sie Lokale Richtlinien und klicken Sie auf Zuweisen von Benutzerrechten.
D. Klicken Sie auf Richtlinien für Softwareeinschränkung.
Sie haben Windows Vista Ultimate auf einem Computer installiert, der Mitglied einer Arbeitsgruppe ist. Welche der folgenden UAC-Einstellungen sind in der Standardeinstellung aktiviert? (Wählen Sie alle zutreffenden Antworten aus.)
A. Benutzerkontensteuerung: Administratorbestätigungsmodus für das integrierte Administratorkonto
B. Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisieren
235
C. Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und validiert sind
D. Benutzerkontensteuerung: Nur erhöhte Rechte für UIAccess-Anwendungen, die an
sicheren Orten installiert sind
E. Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus
ausführen
F. Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln
6. Sie haben Probleme damit, ein Legacyprogramm, das für Windows 95 entwickelt wurde, in
Windows Vista auszuführen. Sie stellen fest, dass das Programm nur im Kontext eines Administratorkontos läuft. Wie können Sie dieses Programm ausführen?
A. Sie können Legacyprogramme, die ausschließlich im Kontext eines Administratorkontos
laufen, nicht ausführen.
B. Sie müssen die Einstellung Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisieren aktivieren.
C. Sie müssen den Programmkompatibilitäts-Assistenten starten und das Kontrollkästchen
Programm als ein Administrator ausführen aktivieren.
D. Sie müssen die Einstellung Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und validiert sind aktivieren.
236
Rückblick auf dieses Kapitel
Sie können die in diesem Kapitel erworbenen Fähigkeiten folgendermaßen einüben und vertiefen:
Lesen Sie die Zusammenfassung des Kapitels sorgfältig durch.
Lesen Sie die Liste der Schlüsselbegriffe durch, die in diesem Kapitel eingeführt wurden.
Arbeiten Sie die Übungen mit Fallbeispielen durch. Diese Szenarien beschreiben Fälle aus der
Praxis, in denen die Themen dieses Kapitels zur Anwendung kommen. Sie werden aufgefordert, eine Lösung zu entwickeln.
Führen Sie die vorgeschlagenen Übungen durch.
Machen Sie einen Übungstest.
Zusammenfassung des Kapitels
Die UAC stellt sicher, dass Benutzerkonten ohne erhöhte Privilegien laufen, sofern die Aufgabe, die der Benutzer durchführen will, keine solchen Privilegien erfordert. In der Standardeinstellung gewähren Administratoren die Berechtigung für diese Erhöhung der Privilegien,
während Standardbenutzer die Anmeldeinformationen eines Administratorkontos eingeben
müssen. In der Standardeinstellung wird die UAC nicht auf das vordefinierte Administratorkonto angewendet.
Windows Vista erlaubt es, Legacysoftware auszuführen, die versucht, in geschützte Bereiche
zu schreiben. Dazu werden diese Bereiche im Benutzerprofil virtualisiert. Sie können mithilfe
des Programmkompatibilitäts-Assistenten Legacyprogramme ausführen, die Kompatibilitätsprobleme verursachen.
UAC-Einstellungen legen fest, wie Windows Vista unsignierte Anwendungsdateien und
UI-Access-Anwendungen behandelt und ob der sichere Desktop verwendet wird, um ein
UAC-Dialogfeld anzuzeigen.
Schlüsselbegriffe
Wissen Sie, was die folgenden Schlüsselbegriffe bedeuten? Sie können Ihre Antworten überprüfen,
indem Sie die Begriffe im Glossar am Ende dieses Buchs nachschlagen.
Zugriffstoken
Erhöhung der Privilegien
Administratorbestätigungsmodus
Administratoranwendung
Kontext
Anmeldeinformationen
digital signiert
Legacyprogramme
lokale Administratorengruppe
Privilegien
sicherer Desktop
Benutzerkontensteuerung (User Account Control, UAC)
237
Übungen mit Fallbeispiel
In den folgenden Fallbeispielen wenden Sie an, was Sie über die Konfiguration und Problembehandlung der UAC und das Ausführen von Legacyanwendungen gelernt haben. Die Lösungen zu
den Fragen finden Sie im Abschnitt „Antworten“ hinten in diesem Buch.
Übung mit Fallbeispiel 1: Empfehlungen zur Benutzerkontensteuerung
Sie arbeiten als IT-Experte für ein Unternehmen, das Zubehörgeräte für Privatbenutzer und kleinere
Firmenkunden fertigt. Die Installationen bei den Kunden Ihres Unternehmens bestehen normalerweise aus vier bis acht Arbeitsstationen, die als Arbeitsgruppe konfiguriert sind. Ihr Unternehmen
hat vor Kurzem Arbeitsstationen ausgeliefert, die unter Windows Vista laufen, und Sie wurden gebeten, Empfehlungen zum Thema UAC zu geben. Beantworten Sie die folgenden Fragen:
1. Don Hall, Chief Executive bei Margie’s Travel, ist nicht überzeugt, dass UAC sinnvoll ist. Er
will wissen, warum er als Administrator jedes Mal, wenn er eine Administrationsaufgabe
durchführen will, auf Fortsetzen klicken muss. Was sagen Sie ihm?
2. Don ist nicht überzeugt. Er als Administrator will alle Aufgaben ausführen können, ohne eine
Bestätigung anklicken zu müssen. Welche Einstellung kann er ändern, um das zu erreichen,
wobei aber die Netzwerksicherheit am wenigsten gefährdet werden soll?
3. Don will nicht, dass irgendwelche Benutzer, die mit einem Standardkonto angemeldet sind,
Konfigurationen ändern, die Auswirkungen auf andere Benutzer haben. Was sagen Sie ihm als
IT-Experte, der unter anderem die Aufgabe hat, Empfehlungen zum Thema Sicherheit zu geben?
Falls er darauf besteht, die UAC umzukonfigurieren: Wie kann er seine Ziele so erreichen,
dass die Netzwerksicherheit möglichst wenig gefährdet wird?
4. Don möchte möglichst wenige Änderungen an der UAC-Konfiguration vornehmen, aber
sicherstellen, dass er als Administrator nicht ständig die Ausführung von administrativen
Aufgaben bestätigen muss. Standardbenutzern soll es verboten sein, solche Aufgaben auszuführen. Wie kann Don die UAC umkonfigurieren, um dieses Ziel zu erreichen, und welche
Warnung sollten Sie aussprechen?
Übung mit Fallbeispiel 2: Ausführen von Legacyprogrammen
Sie bieten als IT-Experte Support für Kunden. Sie müssen Ihre Kunden bezüglich der Ausführung
von Legacyprogrammen beraten. Beantworten Sie die folgenden Fragen:
1. Kim Ackers will verhindern, dass irgendwelche Legacyprogramme ausgeführt werden, die
versuchen, in geschützte Registrierungsbereiche zu schreiben. Welche UAC-Einstellung sollte
sie konfigurieren?
2. Don Hall kann ein Legacyprogramm nicht ausführen, weil es mit einem Administratorzugriffstoken laufen muss. Wie kann er das Programm zum Laufen bekommen?
3. Sie haben ein altes Antivirenprogramm, das Sie in Windows Vista ausführen wollen. Sie haben
gelesen, dass der Windows Vista-Programmkompatibilitäts-Assistent Ihnen helfen kann, die
Legacysoftware so zu konfigurieren, dass sie läuft. Sollten Sie den Assistenten in diesem Fall
verwenden? Begründen Sie Ihre Antwort.
238
Vorgeschlagene Übungen
Sie sollten die folgenden Aufgaben durcharbeiten, wenn Sie die in diesem Kapitel behandelten
Prüfungsziele meistern wollen.
Konfigurieren und Problembehandlung der Benutzerkontensteuerung
Übung: Erforschen weiterer UAC-Einstellungen In der ersten Übung in diesem Kapitel haben Sie
die UAC-Einstellungen konfiguriert, die am häufigsten geändert werden, und sich die Ergebnisse angesehen. Verändern Sie auch die Konfiguration der anderen Einstellungen, die nicht in
den Übungen genannt wurden, und sehen Sie sich die Auswirkungen an.
Konfigurieren von Legacyprogrammen, sodass sie unter Windows Vista laufen
Übung: Suchen und Konfigurieren von Legacyprogrammen Suchen Sie einige Legacyprogramme.
Falls Sie bei sich oder Bekannten alte Softwareinstallations-CD-ROMs für Windows 95, Windows 98 oder Windows ME finden, können Sie die Setupprogramme auf diesen Datenträgern
verwenden. Konfigurieren Sie die Software so, dass sie in Windows Vista läuft.
Machen Sie einen Übungstest
Die Übungstests (in englischer Sprache) auf der Begleit-CD zu diesem Buch bieten zahlreiche
Möglichkeiten. Zum Beispiel können Sie einen Test machen, der ausschließlich die Themen aus
einem Prüfungslernziel behandelt, oder Sie können sich selbst mit dem gesamten Inhalt der Prüfung
70-620 testen. Sie können den Test so konfigurieren, dass er dem Ablauf einer echten Prüfung
entspricht, oder Sie können einen Lernmodus verwenden, in dem Sie sich nach dem Beantworten
einer Frage jeweils sofort die richtige Antwort und Erklärungen ansehen können.
Weitere Informationen Übungstests
Einzelheiten zu allen Optionen, die bei den Übungstests zur Verfügung stehen, finden Sie im
Abschnitt „So benutzen Sie die Übungstests“ in der Einführung am Anfang dieses Buchs.

Benutzerkontensteuerung

Transcrição

Documentos relacionados

Pharmtaxe Benutzerkontensteuerung ausschalten

AutoSketch 9

MICROSOFT LifeCam VX-800

Vista/7 Sidebar: MeteoRadar Gadget

lifebook s7110 - e

lifebook s7110 - e

Windows XP Windows Installer blockiert - FAQ

PSG Commercial Notebook Datasheet

Abstract

HP Drucker-Konnektivitätslösungen für Privatanwender