# User Account Control (UAC): Mechanismen & Enterprise Hardening

TL;DR / Management Summary User Account Control (UAC) ist kein lästiges Popup, sondern eine fundamentale Sicherheitsbarriere. Sie sorgt dafür, dass selbst Administratoren standardmäßig nur mit den Rechten eines Standard-Benutzers arbeiten (Filtered Token). Erst bei Bedarf wird das volle Administrator-Token durch eine explizite Bestätigung freigeschaltet. Ein Senior Admin nutzt UAC, um Malware den “Silent Install” zu verwehren und laterale Angriffe im Netzwerk zu erschweren.

# 1. Einführung & Architektur

Die Token-Theorie.

Wenn sich ein Administrator anmeldet, erstellt Windows zwei Zugriffs-Token:

Standard User Token: Genutzt für Explorer, Browser und normale Apps.
Full Administrator Token: Wird vom System “geparkt” und erst durch UAC aktiviert.

# Wie UAC eine Erhöhung erkennt

Windows erkennt Aktionen, die Admin-Rechte erfordern, durch:

Manifeste: Das Programm sagt selbst: requireAdministrator.
Installer Detection: Windows erkennt Begriffe wie “setup” oder “install” im Dateinamen.
File/Registry Virtualization: Versuche, in C:\Windows oder HKLM zu schreiben.

# Architektur-Diagramm (Mermaid)

graph TD
    LOGIN[User Login] --> TOKENS[Create Two Tokens]
    TOKENS --> FILTER[Filtered Token / Standard User]
    TOKENS --> FULL[Full Token / Admin - Suspended]
    
    FILTER --> ACTION{Admin Action Required?}
    ACTION -->|No| RUN[Run Normal]
    ACTION -->|Yes| AIS[App Information Service]
    AIS -->|Consent UI| USER((User Approval))
    USER -->|Approved| ATTACH[Attach Full Token]
    ATTACH --> PRO[Run Process as Admin]

# 2. UAC im Enterprise: GPO-Konfiguration

Weg von den Default-Werten.

Die Standard-Einstellung (“Nur Benachrichtigen, wenn Apps Änderungen vornehmen”) ist für Firmen unzureichend.

# Empfohlene GPO-Einstellungen

Pfad: Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen

UAC: Verhalten der Erhöhungsaufforderung für Administratoren:
- Empfehlung: Eingabeaufforderung für Zustimmung auf dem sicheren Desktop. (Verhindert, dass Malware die Bestätigung simuliert).
UAC: Verhalten der Erhöhungsaufforderung für Standardbenutzer:
- Empfehlung: Anmeldeinformationen anfordern. (Zwingt User, ein Admin-Passwort einzugeben).
UAC: Nur ausführbare Dateien signieren und validieren:
- Empfehlung: Aktiviert. (Blockiert Erhöhung für unsignierte Binaries).

# 3. Deep Dive: Der sichere Desktop (Secure Desktop)

Isolation der UI.

Wenn der Bildschirm dunkel wird und das UAC-Fenster erscheint, wechselt Windows in den Secure Desktop.

Technik: Es wird eine separate Desktop-Instanz gestartet, auf die nur System-Prozesse Zugriff haben.
Sicherheitswert: Malware, die im User-Kontext läuft, kann keine Mausklicks oder Tastatureingaben an diesen Desktop senden.

# 4. Day-2 Operations: Admin-Alltag

Effizientes Arbeiten trotz UAC.

# PowerShell als Admin starten via CLI

# Startet eine neue Instanz mit Elevation-Prompt
Start-Process powershell -Verb RunAs

# Der “Admin-Approval Mode” für lokale Admins

Auf Servern ist UAC oft deaktiviert, was ein Sicherheitsrisiko darstellt. Aktivieren Sie den Admin-Approval Mode auch für Server, um “Pass-the-Hash” Angriffe zu erschweren.

# 5. Troubleshooting & “War Stories”

Wenn die Elevation klemmt.

# Top 3 Fehlerbilder

Symptom: “Der angeforderte Vorgang erfordert erhöhte Rechte”, obwohl der User Admin ist.
- Ursache: Die Applikation wurde nicht “Als Administrator ausgeführt” und das Manifest fehlt.
- Lösung: Rechtsklick -> Als Administrator ausführen oder ein Manifest via mt.exe hinzufügen.
Symptom: UAC-Popup erscheint nicht, Aktion schlägt einfach fehl.
- Ursache: Der Dienst AppInfo (Anwendungsinformationen) ist deaktiviert.
- Lösung: Dienst auf “Automatisch” setzen und starten.
Symptom: Netzlaufwerke sind in der Admin-CMD nicht sichtbar.
- Ursache: Token-Split. Das Netzlaufwerk wurde im Standard-Token gemappt, das Admin-Token kennt es nicht.
- Lösung: Registry-Key EnableLinkedConnections = 1 in HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.

# “War Story”: Das “Silent” Ransomware-Debakel

Ein Unternehmen hatte UAC via Registry auf Level 0 (PromptOnSecureDesktop = 0 und ConsentPromptBehaviorAdmin = 0) gesetzt, “weil die Admins die Klicks nervten”. Das Ergebnis: Ein Helpdesk-Mitarbeiter öffnete einen Anhang. Die Ransomware nutzte die Admin-Rechte des angemeldeten Users, um ohne ein einziges Popup die lokalen Schattenkopien (VSS) zu löschen und die gesamte Disk zu verschlüsseln. Lehre: UAC-Klicks sind keine Belästigung, sondern eine Bestätigung der Absicht. Wer sie abschaltet, öffnet die Tür für vollautomatische Zerstörung.

# 6. Monitoring & Auditing

Elevation-Events tracken.

# Event IDs für UAC

4624 / 4672: Anmeldung mit Admin-Rechten.
4688: Neuer Prozess wurde erstellt (Prüfen Sie das Feld “Token Elevation Type”).
Type 1: Full Token (UAC nicht aktiv).
Type 2: Elevated Token (UAC Bestätigung erfolgt).
Type 3: Limited Token (Standard User).

# 7. Fazit & Empfehlung

UAC ist der wichtigste Schutz vor “Drive-by” Infektionen.

Empfehlung: Nutzen Sie den Secure Desktop.
Strategie: Implementieren Sie LAPS (Artikel 427), damit User keine permanenten Admin-Rechte haben, sondern sich nur für spezifische Tasks erhöhen.

# Anhang: Cheatsheet

Registry Key	Pfad (`HKLM\...\Policies\System`)	Empfohlener Wert
`EnableLUA`	Hauptschalter für UAC	`1`
`ConsentPromptBehaviorAdmin`	Prompt für Admins	`2` (Prompt on Secure Desktop)
`FilterAdministratorToken`	Filtert das ‘Administrator’ Konto	`1`
`PromptOnSecureDesktop`	Desktop Switch	`1`