[English]Microsoft hatte bereits im Umfeld der BUILD 2025-Entwicklerkonferenz zum 19. Mai 2025, eine Neuerung für Windows 11 angekündigt. Der nun eingeführte sogenannte Administratorschutz (Administrator-Protection) ist eine neue Sicherheitsfunktion der Windows 11-Plattform, die darauf abzielt, die Administratorbenutzer auf dem Gerät zu schützen und ihnen gleichzeitig zu ermöglichen seine Aufgaben auszuführen.
Rückblick auf die Benutzerkontensteuerung
Seit Windows Vista ist es so, dass auch Benutzer unter Administratorkonten keine erhöhten Berechtigungen für administrative Aufgaben haben. Die sogenannte Benutzerkontensteuerung dafür sorgt, dass man diese Berechtigungen anfordern kann und erhält.
Eigentlich eine nette Sache, die einen gewissen Schutz davor bietet, dass Angreifer mit administrativen Berechtigungen auf den Windows-Systemen hantieren können. Und Windows bietet die Möglichkeit, dass sich Nutzer unter Standardkonten mit eingeschränkten Berechtigungen über die Benutzerkontensteuerung (UAC, User Account Control) erhöhte Administrator-Rechte anfordern können.
Dieser Ansatz besitzt aber mehrere "Pferdefüße", die gerne verschwiegen werden. Einmal gewährt Microsoft Windows bestimmten Windows-Programmen automatisch diese erhöhten Privilegien, sobald diese von einem Administratorkonto aufgerufen werden. Ich hatte das Problem unter dem Stichwort UAC-Bypassing mehrfach im Blog erwähnt.
Dann gibt es auch Fälle, wo die Anforderung von erhöhten Rechten per UAC in Windows nicht funktioniert – man muss sich zwingend an einem Administratorkonto anmelden, um die Funktion auszuführen (erinnerungsmäßig beispielsweise alles, was mit dem Setup beim Inplace-Upgrade oder dem Media Creation Tool, MCT, zu tun hat).
Und dann gibt es seit Windows 10 noch ein Problem für Administratoren, was ich etwas dedizierter im Blog-Beitrag Windows 10-Administration: Fehlentwicklung in Sachen Sicherheit? beleuchtet habe. In der alten Systemsteuerung kann man bei Befehlen, die administrative Berechtigungen erfordern, das über die Benutzerkontensteuerung anfordern – die Befehle sind mit einem UAC-Schild gekennzeichnet.
In obigem Artikel wird darauf hingewiesen, dass seit Windows 10 viele Aufgaben in der neuen Einstellungen-App zwingend unter Administatorkonten ausgeführt werden müssen (weil die betreffenden Befehle unter Standardbenutzerkonten fehlen). Tenor aus der Kommentarlage zum Artikel: Ist doch kein Problem, melde ich mich für diese Aufgaben am Administratorkonto an.
Windows 11 bekommt Administrator Protection
Obige Erkenntnisse führen zur Beobachtung, dass die meisten Administratoren unter Administratorkonten unterwegs sind. Daher versucht Microsoft seit geraumer Zeit sich am Voodoo der Absicherung des Administrators. 2024 hatte ich im Artikel Windows 11: Arbeitet Microsoft an einer sudo-Umsetzung? schon mal über einen solchen Ansatz berichtet.
Nun ist der nächste Schlenker dran. Nachfolgender Tweet verweist auf den im Windows-Blog zum 19. Mai 2025 erschienenen Artikel Enhance your application security with administrator protection.
Der Administratorschutz (administrator protection) sei eine neue Sicherheitsfunktion der Windows 11-Plattform, die darauf abzielt, die Administratorbenutzer auf dem Gerät zu schützen und ihnen gleichzeitig zu ermöglichen, die notwendigen Funktionen auszuführen, die möglicherweise die Verwendung von Administratorrechten erfordern, heißt es.
Der Artikel stellt Richtlinien und Verfahren für Anwendungen vor, die unter Windows ausgeführt werden, um bei aktiviertem Administratorschutz mehr Sicherheit zu gewährleisten. Microsoft nennt folgende Punkte, die die Sicherheit verbessern sollen.
- Neue Sicherheitsabgrenzung mit separatem Profil: Der Administratorschutz verwendet ein verstecktes, vom System verwaltetes, profilgetrenntes lokales Benutzerkonto, um das isolierte Admin-Token zu erstellen. Dadurch wird sichergestellt, dass Malware auf Benutzerebene nicht auf den im erhöhten Kontext ausgeführten Code zugreifen und diesen kompromittieren kann, so dass die Erhöhung eine Sicherheitsgrenze darstellt. Anwendungsentwickler beachten bitte: Dieses System Managed Administrator Account (SMAA) hat eine andere Sicherheitskennung (SID).
- Just-in-time-Admin-Token: Das Admin-Token, das zur Durchführung von Systemaufgaben erforderlich ist, wird von SMAA generiert. Dieses Token ist nicht persistent und wird nur zum Zeitpunkt der Durchführung der Erhöhung erstellt und nach Abschluss der Aufgabe verworfen. Der gesamte Zyklus wiederholt sich, wenn der Benutzer versucht, eine andere Aufgabe auszuführen, für die er Administratorrechte benötigt.
- Abschaffung der automatischen Berechtigungserweiterung: Automatische Berechtigungserweiterung bedeutet, dass bestimmte Windows-Prozesse und -Anwendungen automatisch erweiterte Berechtigungen erhalten, ohne dass der Benutzer dazu aufgefordert wird. Dies kann ausgenutzt werden, um Angriffe zur Umgehung der Benutzerzugriffskontrolle (UAC) durchzuführen, bei denen Malware die Administratorrechte missbraucht, um eine unerwünschte Anwendung auf dem Gerät zu installieren oder die Sicherheitskonfiguration des Geräts zu ändern und so die Sicherheit zu gefährden. Mit dem Administratorschutz werden alle automatischen Erhöhungen in Windows entfernt, und die Benutzer müssen jeden Verwaltungsvorgang interaktiv autorisieren. Dadurch wird sichergestellt, dass der Benutzer die volle Kontrolle behält und dass die Administratorrechte nicht missbraucht werden.
Der von Microsoft letztgenannte Punkt hat bei mir einen Aha-Effekt ausgelöst, habe ich das doch oben im Artikel unter UAC-Bypassing angesprochen – Administratoren konnten dies über die UAC-Einstellungen beeinflussen. Wie das aber in der Praxis unter Windows 11 funktioniert und ob es weiter "Ausnahmen" gibt, wird man sehen.
Microsoft macht in seinem Beitrag, der weitere Erläuterungen enthält, ein großes Ding daraus, wie die Sicherheit noch mehr erhöht wird. Mir kommt es leider wie ein weiterer Balkon vor, der da aus optischen Gründen mit viel Brimborium angeschraubt wird. Ich muss mal schauen, dass ich die kommenden Tage ein Thema aufbereitet, wie man mit wenigen Handgriffen die Ausführung von Richtlinien unterbinden kann. Ist übrigens ein Thema, was Microsoft nicht angehen will, wenn ich die Diskussion zwischen Stefan Kanthak und Microsofts Sicherheitsgruppe richtig interpretiere.
Ähnliche Artikel:
Erebus Ransomware und die ausgetrickste UAC
Windows10: Neue UAC-Bypassing-Methode (fodhelper.exe)
Wurde das Verhalten der UAC in Windows geändert?
Windows 11: Arbeitet Microsoft an einer sudo-Umsetzung?
Windows 10/11 FoDHelper UAC-Bypassing-Test und Fremdvirenscanner
BSI warnt vor Windows-Schwachstelle (MMC/Task-Planer)
MVP: 2013 – 2016
„Obige Erkenntnisse führen zur Beobachtung, dass die meisten Administratoren unter Administratorkonten unterwegs sind."
Dauerhaft ist das eben ein Problem. Aber es ist eben auch nicht „best Practice". Manchen kann eben nicht geholfen werden. Bzw. helfen lassen.
Ist das schon in einer insider drin zum ausprobieren?
Ich schätze mal, das wird mit 25H2 eingeführt.
Für mich ist der größte "flaw" zur zeit, dass leichtgläubige Leute sich von dubiosen Betrügern am Telefon ohnehin alles diktieren lassen.
Während ich für nirsofts mailpv mittlerweile unglaubliche Kniffe ausführen muss, um es überhaupt herunterladen und starten zu können diktieren dubiose Schattengestalten am Telefon meinen Kunden 4 Stunden lang Befehle, um das Konto um 13.000€ zu erleichtern. Die Blitzüberweisung wird das ganze nochmal beschleunigen, weil jegliche Interventionen bei der Bank nachher zu spät sind.
Alle Schutzmaßnahmen nerven gefühlt nur noch die gute Seite.
>> Abschaffung der automatischen Berechtigungserweiterung: Automatische Berechtigungserweiterung bedeutet, dass bestimmte Windows-Prozesse und -Anwendungen automatisch erweiterte Berechtigungen erhalten, ohne dass der Benutzer dazu aufgefordert wird. <<
Dieser Konkrete Fall ist seit VISTA bekannt.
Die Schutz-Mechanismen von Windows greifen nicht wirklich vollumfänglich.
Warum können sonst Mitte 2025 immer noch ganze Firmennetzwerke per Mausklick übernommen werden?
Nehmen wir das Beispiel RDP (RemoteDesktop):
Man geht davon aus, das die Dienste wenn sie via EINSTELLUNGEN deaktiviert sind nicht laufen. Dabei laufen die Dienste weiter, nur werden via Firewall die Freigabe-Regeln deaktiviert.
Löschst Du alle Build-In Firewallregeln, kann man den RDP-Dienst nicht mehr aktivieren.
Jetzt brauchts nur einen Portweiterleitungs-Dienst wie z.B. ssh/putty auf 127.0.0.1:3389 oder eine Malware, und schon ist RDP auch erreichbar wenn Ichs in den EINSTELLUNGEN deaktiviert habe.
Sowas ist doch crap.
wenn ich den MS Artikel richtig verstehe geht es hier – mal wieder – um User die permanent mit einem Account arbeiten, der in der local admins group ist.
so etwas macht man nicht, und das nicht erst seit diesem Jahr…..
Sag das mal den Usern – was ist mir die Kritik, dass die fehlende UAC-Unterstützung in der Einstellungenseite das Arbeiten mit Admin-Konten provoziert – seinerzeit um die Ohren gehauen worden. Ich selbst arbeite seit Win XP grundsätzlich unter einem Standard-Nutzerkonto und wechsele nur selten zum Admin-Konto.
Seit 2000, und zwar mit einem richtigen Standard-User, nicht dem Hauptbenutzer/Poweruser, der bei der Installation noch bis inklusive XP eingerichtet werden konnte/sollte.
Hatte noch ein Programm, das damit nicht lief, aber das ließ sich mit filemon.exe und geänderten Rechten an einer Konfig-Datei im Installationsordner reparieren.