![\"Windows\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" "\\"Windows\\"")
[English]Microsoft hatte bereits im Umfeld der BUILD 2025-Entwicklerkonferenz zum 19. Mai 2025, eine Neuerung f\u00fcr Windows 11 angek\u00fcndigt. Der nun eingef\u00fchrte sogenannte Administratorschutz (Administrator-Protection) ist eine neue Sicherheitsfunktion der Windows 11-Plattform, die darauf abzielt, die Administratorbenutzer auf dem Ger\u00e4t zu sch\u00fctzen und ihnen gleichzeitig zu erm\u00f6glichen seine Aufgaben auszuf\u00fchren.<\/p>\n
<\/p>\n
Seit Windows Vista ist es so, dass auch Benutzer unter Administratorkonten keine erh\u00f6hten Berechtigungen f\u00fcr administrative Aufgaben haben. Die\u00a0sogenannte Benutzerkontensteuerung daf\u00fcr sorgt, dass man diese Berechtigungen anfordern kann und erh\u00e4lt.<\/p>\n
Eigentlich eine nette Sache, die einen gewissen Schutz davor bietet, dass Angreifer mit administrativen Berechtigungen auf den Windows-Systemen hantieren k\u00f6nnen. Und Windows bietet die M\u00f6glichkeit, dass sich Nutzer unter Standardkonten mit eingeschr\u00e4nkten Berechtigungen \u00fcber die Benutzerkontensteuerung (UAC, User Account Control) erh\u00f6hte Administrator-Rechte anfordern k\u00f6nnen.<\/p>\n
Dieser Ansatz besitzt aber mehrere \"Pferdef\u00fc\u00dfe\", die gerne verschwiegen werden. Einmal gew\u00e4hrt Microsoft Windows bestimmten Windows-Programmen automatisch diese erh\u00f6hten Privilegien, sobald diese von einem Administratorkonto aufgerufen werden. Ich hatte das Problem unter dem Stichwort UAC-Bypassing mehrfach im Blog erw\u00e4hnt.<\/p>\n
Dann gibt es auch F\u00e4lle, wo die Anforderung von erh\u00f6hten Rechten per UAC in Windows nicht funktioniert – man muss sich zwingend an einem Administratorkonto anmelden, um die Funktion auszuf\u00fchren (erinnerungsm\u00e4\u00dfig beispielsweise alles, was mit dem Setup beim Inplace-Upgrade oder dem Media Creation Tool, MCT, zu tun hat).<\/p>\n
Und dann gibt es seit Windows 10 noch ein Problem f\u00fcr Administratoren, was ich etwas dedizierter im Blog-Beitrag Windows 10-Administration: Fehlentwicklung in Sachen Sicherheit?<\/a> beleuchtet habe. In der alten Systemsteuerung kann man bei Befehlen, die administrative Berechtigungen erfordern, das \u00fcber die Benutzerkontensteuerung anfordern – die Befehle sind mit einem UAC-Schild gekennzeichnet.<\/p>\n In obigem Artikel\u00a0wird darauf hingewiesen, dass seit Windows 10 viele Aufgaben in der neuen Einstellungen<\/em>-App zwingend unter Administatorkonten ausgef\u00fchrt werden m\u00fcssen (weil die betreffenden Befehle unter Standardbenutzerkonten fehlen). Tenor aus der Kommentarlage zum Artikel: Ist doch kein Problem, melde ich mich f\u00fcr diese Aufgaben am Administratorkonto an.<\/p>\n Obige Erkenntnisse f\u00fchren zur Beobachtung, dass die meisten Administratoren unter Administratorkonten unterwegs sind. Daher versucht Microsoft seit geraumer Zeit sich am Voodoo der Absicherung des Administrators. 2024 hatte ich im Artikel Windows 11: Arbeitet Microsoft an einer sudo-Umsetzung?<\/a> schon mal \u00fcber einen solchen Ansatz berichtet.<\/p>\n Nun ist der n\u00e4chste Schlenker dran.\u00a0Nachfolgender Tweet verweist auf den im Windows-Blog zum 19. Mai 2025 erschienenen Artikel Enhance your application security with administrator protection<\/a>.<\/p>\n Der Administratorschutz (administrator protection) sei eine neue Sicherheitsfunktion der Windows 11-Plattform, die darauf abzielt, die Administratorbenutzer auf dem Ger\u00e4t zu sch\u00fctzen und ihnen gleichzeitig zu erm\u00f6glichen, die notwendigen Funktionen auszuf\u00fchren, die m\u00f6glicherweise die Verwendung von Administratorrechten erfordern, hei\u00dft es.<\/p>\n Der Artikel stellt Richtlinien und Verfahren f\u00fcr Anwendungen vor, die unter Windows ausgef\u00fchrt werden, um bei aktiviertem Administratorschutz mehr Sicherheit zu gew\u00e4hrleisten. Microsoft nennt folgende Punkte, die die Sicherheit verbessern sollen.<\/p>\n Der von Microsoft letztgenannte Punkt hat bei mir einen Aha-Effekt ausgel\u00f6st, habe ich das doch oben im Artikel unter UAC-Bypassing angesprochen – Administratoren konnten dies \u00fcber die UAC-Einstellungen beeinflussen. Wie das aber in der Praxis unter Windows 11 funktioniert und ob es weiter \"Ausnahmen\" gibt, wird man sehen.<\/p>\n Microsoft macht in seinem Beitrag, der weitere Erl\u00e4uterungen enth\u00e4lt, ein gro\u00dfes Ding daraus, wie die Sicherheit noch mehr erh\u00f6ht wird. Mir kommt es leider wie ein weiterer Balkon vor, der da aus optischen Gr\u00fcnden mit viel Brimborium angeschraubt wird. Ich muss mal schauen, dass ich die kommenden Tage ein Thema aufbereitet, wie man mit wenigen Handgriffen die Ausf\u00fchrung von Richtlinien unterbinden kann. Ist \u00fcbrigens ein Thema, was Microsoft nicht angehen will, wenn ich die Diskussion zwischen Stefan Kanthak und Microsofts Sicherheitsgruppe richtig interpretiere.<\/p>\n \u00c4hnliche Artikel:<\/strong> [English]Microsoft hatte bereits im Umfeld der BUILD 2025-Entwicklerkonferenz zum 19. Mai 2025, eine Neuerung f\u00fcr Windows 11 angek\u00fcndigt. Der nun eingef\u00fchrte sogenannte Administratorschutz (Administrator-Protection) ist eine neue Sicherheitsfunktion der Windows 11-Plattform, die darauf abzielt, die Administratorbenutzer auf dem Ger\u00e4t zu … Weiterlesen Windows 11 bekommt Administrator Protection<\/h2>\n
![\"Administrator](\"https:\/\/i.postimg.cc\/rmMpDhYg\/image.png\")
<\/a><\/p>\n\n
\nErebus Ransomware und die ausgetrickste UAC<\/a>
\nWindows10: Neue UAC-Bypassing-Methode (fodhelper.exe)<\/a>
\nWurde das Verhalten der UAC in Windows ge\u00e4ndert?<\/a>
\nWindows 11: Arbeitet Microsoft an einer sudo-Umsetzung?<\/a>
\nWindows 10\/11 FoDHelper UAC-Bypassing-Test und Fremdvirenscanner<\/a>
\nBSI warnt vor Windows-Schwachstelle (MMC\/Task-Planer)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"