Microsoft startet einen neuen Anlauf, um die Sicherheit von Windows zu verbessern. "Administrator Protection" heißt dieser Mechanismus, der das Arbeiten mit den niedrigstmöglichen Rechten erlauben und so den Rechner vor ungewollten Folgen aufgrund von schädlichen Admin-Aktionen schützen soll. Wem das bekannt vorkommt: Das sollte ursprünglich bereits die Benutzerkontensteuerung (UAC) aus Windows Vista leisten, die jedoch später von Microsoft offiziell nicht mehr als Sicherheitsfunktion eingestuft und so aufgeweicht wurde, dass Admin-Rechte sogar automatisch vergeben wurden – gelegentlich auch an Malware.
Vor einer administrativen Aufgabe wie der Software-Installation steht mit "Administrator Protection" ein Windows-Hello-Prompt.
(Bild: Microsoft)
Die neue Funktion ist zwar ähnlich, unterscheidet sich jedoch deutlich an entscheidenden Stellen. Bei der Benutzerkontensteuerung fragt Windows vor manchen Admin-Aktionen nach einer Bestätigung, die auf einen isolierten Desktop mit einem Dialog und einem Freigabe- und Abbrechen-Knopf führt – erbittet also eine "geschützte" Autorisierung der Aktion. Die "Administrator Protection" fährt schwerere Geschütze auf: Eine Authentifizierung mittels Windows Hello soll sicherstellen, dass nur Befugte aktiv die Admin-Aufgabe freigeben. Somit handelt es sich um eine Authentifizierung mit anschließender Autorisierung des Vorgangs.
Schärfere Kontrolle nur ein Teil des Schutzes
Die verschärften Kontrollen sind laut Microsoft für alle Aktionen vorgesehen, die Admin-Rechte benötigen: Software-Installation, Ändern von Systemeinstellungen wie die Zeit oder Änderungen an der Registry sowie der Zugriff auf sensible Daten. Die Administrator Protection soll das Risiko reduzieren, dass Nutzerinnen und Nutzer fälschlicherweise Änderungen auf Systemebene vornehmen, schreibt Microsoft in einem Techcommunity-Blog-Beitrag. Wichtiger noch, ergänzt das Unternehmen, helfe das, Malware daran zu hindern, heimlich und unbemerkt Änderungen am System vorzunehmen.
Administrator Protection soll das Prinzip der niedrigsten Berechtigungen umsetzen. Nutzerinnen und Nutzer erhalten ein niedrig privilegiertes User-Token nach der Windows-Anmeldung. Sofern Admin-Rechte benötigt werden, erfordert Windows die Autorisierung der Operation. Jetzt kommt jedoch (nebst der Authentifizierung anstatt lediglich Autorisierung) ein signifikanter Unterschied zur Benutzerkontensteuerung: Windows erstellt ein verstecktes, systemgeneriertes, Profil-separiertes Nutzerkonto, um damit einen isolierten Admin-Token zu erzeugen. Diesen vergibt Windows an den anfragenden Prozess. Bei Beendigung des Prozesses zerstört Windows den Token. Die Benutzerkontensteuerung (User Account Control, UAC) hingegen hatte das administrative Token einfach an das angemeldete Konto angehängt.
Microsoft stellt anschaulich dar, wie Windows einen isolierten Admin-Token für den Prozess, der Admin-Rechte erfordert, erzeugt.
(Bild: Microsoft)
Die Administrator Protection stellt sicher, dass die Admin-Rechte nicht persistent bleiben. Der komplette Vorgang wiederholt sich, sofern Nutzer andere Aufgaben erledigen, die Administratorrechte benötigen.
Microsoft fasst die Architektur folgendermaßen zusammen: Just-in-time-Rechteerhöhung sorgt dafür, dass Nutzerinnen und Nutzer unprivilegiert bleiben und Admin-Rechte nur für die Dauer einer administrativen Aufgabe vergeben werden. Die Profil-Separation sorgt dafür, dass Malware auf User-Ebene die Sitzung mit erhöhten Rechten nicht kompromittieren kann. Die Rechteerhöhung wird damit in Microsofts offiziellen eigenen Worten zur Sicherheitsbeschränkung. Zudem findet keine automatische Rechteerhöhung statt, jede Admin-Aktion muss interaktiv bestätigt werden. Administratoren behalten dadurch die volle Kontrolle und Admin-Rechte sollen nicht missbraucht werden können. Die Integration mit Windows Hello verbessert die Sicherheit weiter.
Microsoft unterstreicht, dass Administrator Protection eine Sicherheitsfunktion darstellt: "Administrator Protection führt eine neue Sicherheitsschranke ein, bei der wir alle gemeldeten Sicherheitslücken beheben. Er sollte nicht mit der Benutzerkontensteuerung (UAC) verwechselt werden, die eher eine Funktion zur Defense-in-Depth ist", schreiben die Redmonder im Blog-Beitrag.
Adminstrator Protection ausprobieren
Die Administrator Protection soll einfach in den lokalen Geräteeinstellungen und mit Windows-Managementtools wie Intune für großflächigen Einsatz in Organisationen aktiviert werden können.
In den "Einstellungen" findet sich die neue Option unter "Datenschutz und Sicherheit", Windows-Sicherheit, Kontoschutz. Der Schalter zu "Administrator Protection" lasst sich dort an- oder ausschalten. Damit die Änderung aktiv wird, ist im Anschluss ein Neustart des Systems nötig. In den Gruppenrichtlinien sorgt die Richtlinie "User Account Control: Behavior of the elevation prompt for administrators running with Administrator protection" für die Konfiguration; standardmäßig will Microsoft sie auf "Prompt for credentials" stellen. Für MDM-Software wie Intune plant Microsoft, ein administratives Template mit der Konfigurationsoption in Kürze anzubieten. Die Redmonder weisen darauf hin, dass auch hier die Maschinen einen Neustart benötigen, um eine geänderte Einstellung zu aktivieren.
Die Funktion ist derzeit für Windows Insider verfügbar. Sie ist also zum jetzigen Zeitpunkt auf die Windows-Vorschau-Versionen beschränkt. Fraglich ist, ob Microsoft die Funktion in Zukunft nicht wieder aufweicht, wie anno dazumal die Benutzerkontensteuerung. Hier hatte Microsoft aufgrund vieler Nachfrage-Dialoge bei der "normalen Arbeit" am Rechner sogar Automatismen eingebaut, die die Rechteerhöhung durchwinken – damit kann das jedoch keine Sicherheitsfunktion mehr sein. Möglicherweise ist die Software mehr als 15 Jahre später, nach den ersten Versuchen, sauberer programmiert, sodass sich die derart geschützten Systeme ohne große Einschränkungen nutzen lassen.
(dmk)
English (US) ·