UAC-Ersetzung
In diesem Abschnitt werden folgende Themen behandelt:
- Wissenswertes über die UAC-Ersetzung
- Konfigurieren der UAC-Ersetzung
- Ausschlüsse von der UAC-Ersetzung
Wissenswertes über die UAC-Ersetzung
Die UAC-Ersetzung wurde mit Application Control Release 2020.2 eingeführt. Das Konzept ergänzt die bereits vorhandene Self-Elevation-Funktionalität innerhalb von Application Control und stellt Administratoren konfigurierbare Kontrollebenen bereit.
Innerhalb einer Windows-Umgebung wird für ausführbare Dateien, die Administratorberechtigungen erfordern, eine Sicherheitsschild-Symbolüberlagerung angezeigt. Das Symbol wird auch in Anwendungsdialogfeldern verwendet, um auf Prozesse hinzuweisen, die Administratorzugriff erfordern. Werden solche Anwendungen oder Prozesse durch ein Standardbenutzerprofil ausgelöst, wird die Windows UAC-Erhöhungsaufforderung angezeigt und es wird nach den Anmeldedaten des Administrators gefragt.
Ist die Funktion "UAC-Ersetzung" aktiviert, wird die standardmäßige Windows UAC-Erhöhungsaufforderung durch das Zustimmungsdialogfeld von Application Control ersetzt. Die Funktion gilt unabhängig davon, wo oder wie die Anwendung gestartet wird, sei es etwa über das Startmenü, Explorer, den Desktop oder die Befehlseingabe.
Die Funktion "UAC-Ersetzung" erkennt, ob eine ausgewählte Anwendung die Windows UAC-Eingabeaufforderung anzeigen würde. Falls dem so ist, kann die Funktion für folgende Aktionen konfiguriert werden:
•Der Benutzer wird benachrichtigt, dass erhöhte Berechtigungen erforderlich sind und aufgefordert, die Fortsetzung des Vorgangs zu bestätigen.
•Das Zugriffstoken des Administrators wird automatisch bereitgestellt.
Beachten Sie, dass ab Application Control 2020.3 beim Erhöhen einer App unter Verwendung der UAC-Ersetzung die Erhöhung auf die App und die untergeordneten Elemente angewendet wird.
Es gibt Situationen, in denen die Eingabeaufforderungen für die UAC-Ersetzung nicht angewendet werden. Dies ist beispielsweise der Fall, wenn ein Benutzer mit der rechten Maustaste auf eine Anwendung klickt und im Kontextmenü "Als Administrator ausführen" auswählt, oder wenn ein Benutzer das Installationsprogramm für eine Anwendung startet.
Konfigurieren der UAC-Ersetzung
1.Klicken Sie im Navigationsbereich auf den Knoten Benutzerrechte für die betreffende Gruppe und klicken Sie anschließend auf die Registerkarte UAC-Ersetzung.
2.Markieren Sie das Kontrollkästchen UAC-Ersetzung aktivieren.
3.Aktivieren oder deaktivieren Sie die folgenden Konfigurationsoptionen je nach Bedarf:
Benutzer vor dem Ausführen der erhöhten Anwendung benachrichtigen
•Wenn diese Option ausgewählt ist und ein Benutzer versucht, eine Anwendung auszuführen, für die die UAC-Eingabeaufforderung angezeigt werden würde, wird der Benutzer darüber informiert, dass für den Vorgang erhöhte Rechte erforderlich sind. Der Benutzer kann nun entscheiden, ob er den Vorgang fortsetzen oder abbrechen möchte.
Die Meldung für die UAC-Ersetzung kann in den Meldungseinstellungen konfiguriert werden.
•Deaktivieren Sie dieses Kontrollkästchen, wenn Sie möchten, dass erhöhte Berechtigungen bedarfsorientiert angewendet werden, ohne dass der Benutzer benachrichtigt wird bzw. eine Eingabe machen muss.
Anwendungen auf höchste verfügbare Ebene erhöhen
Diese Option wirkt sich auf Anwendungen aus, die sowohl über Standardprofile als auch Administratorprofile geöffnet werden können, jedoch mit unterschiedlichem Funktionsumfang für die jeweiligen Benutzer. So kann beispielsweise ein Standardbenutzer Regedit ausführen, jedoch mit sehr eingeschränktem Funktionsumfang. Benutzer mit Administratorrechten können ebenfalls Regedit ausführen, jedoch deutlich mehr Funktionen verwenden.
•Markieren Sie dieses Kontrollkästchen, wenn UAC-Ersetzungs-Eingabeaufforderungen für Anwendungen gelten sollen, die soweit möglich mit erhöhten Rechten ausgeführt werden.
•Deaktivieren Sie das Kontrollkästchen, um nur solche Anwendungen zu erhöhen, für deren Ausführung Administratorrechte erforderlich sind.
Ausschlüsse von der UAC-Ersetzung
Es gibt Anwendungen, bei denen es sich anbietet, sie von der Funktion "UAC-Ersetzung" auszuschließen. So ist es sinnvoll, aus Sicherheitsgründen den erhöhten Zugriff auf Regedit und andere Anwendungen mit hoher Tragweite zu verhindern. Vielleicht verfügen Sie jedoch auch über Anwendungen, die mit dieser Funktion nicht kompatibel sind, und möchten diese daher ausschließen.
Alle Anwendungen, die von der UAC-Ersetzung ausgeschlossen wurden, sind in der Ausschlusstabelle aufgeführt. Anwendungen können mithilfe der Schaltflächen "Ausschluss hinzufügen" und "Ausschluss entfernen" zu der Tabelle hinzugefügt bzw. aus ihr entfernt werden.
Ausschluss hinzufügen
1.Klicken Sie innerhalb der Registerkarte "UAC-Ersetzung" auf Ausschluss hinzufügen.
Daraufhin wird oben in der Ausschlusstabelle eine editierbare Zeile eingefügt.
2.Geben Sie die auszuschließende Anwendung an und fügen Sie bei Bedarf eine Beschreibung hinzu.
3.Die Anwendung wird durch Eingeben des Pfads und des Dateinamens der ausführbaren Datei, oder einer Teilzeichenfolge davon, angegeben.
Hinweis: Das Application Control-Regelmodul führt einen Abgleich der eingegebenen Teilzeichenfolge durch. Bei der Suche wird zwischen Groß- und Kleinschreibung unterschieden. Platzhalter werden nicht unterstützt.
Beispiel:
Zum Ausschließen von C:\windows\regedit.exe könnten Sie einen der folgenden Werte eingeben:
•C:\windows\regedit.exe
•windows\reg
•Regedit
Es wird davon abgeraten, lediglich eine kurze Teilzeichenfolge einzugeben, da das Risiko besteht, dass dadurch ungewollt auch viele weitere Anwendungen ausgeschlossen werden.
Ausschluss entfernen
1.Wählen Sie die betreffende Zeile in der Ausschlusstabelle aus.
2.Klicken Sie auf Ausschluss entfernen.
Der ausgewählte Eintrag wird entfernt.