Diese Sicherheitseinstellung steuert, ob UIAccess- oder UIA-Programme (User Interface Accessibility) den sicheren Desktop automatisch für Eingabeaufforderungen zur Erhöhung deaktivieren können, die von einem Standardbenutzer verwendet werden.
Wenn Sie diese Einstellung aktivieren, können UIA-Programme, einschließlich der Windows-Remoteunterstützung, den sicheren Desktop automatisch für Eingabeaufforderungen für die Elevation deaktivieren. Wenn Sie nicht auch die Höhenansagen deaktiviert haben, werden die Eingabeaufforderungen auf dem Desktop des interaktiven Benutzers anstelle des sicheren Desktops angezeigt.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, kann der sichere Desktop nur vom Benutzer des interaktiven Desktops deaktiviert werden oder durch Deaktivieren der Einstellung "Benutzerkontensteuerung: Zum sicheren Desktop wechseln, wenn Sie zur Erhöhung aufgefordert werden".
UIA-Programme sind so konzipiert, dass sie mit Windows und Anwendungsprogrammen für einen Benutzer interagieren. Mit dieser Einstellung können UIA-Programme den sicheren Desktop umgehen, um in bestimmten Fällen die Benutzerfreundlichkeit zu erhöhen. Wenn jedoch Höhenanfragen auf dem regulären interaktiven Desktop anstelle des sicheren Desktops angezeigt werden, erhöht dies Ihr Sicherheitsrisiko.
Da UIA-Programme in der Lage sein müssen, auf Eingabeaufforderungen zu Sicherheitsproblemen zu reagieren, wie z. B. die Eingabeaufforderung für die UAC-Erhebung, müssen UIA-Programme äußerst vertrauenswürdig sein. Um als vertrauenswürdig eingestuft zu werden, muss ein UIA-Programm digital signiert sein. Standardmäßig können UIA-Programme nur über die folgenden geschützten Pfade ausgeführt werden:
- .. Programme (und Unterordner)
- .. Programme (x86) (und Unterordner, nur in 64-Bit-Versionen von Windows)
- .. Windows System32
Die Anforderung, sich in einem geschützten Pfad zu befinden, kann mit der Einstellung "Benutzerkontensteuerung: Nur UIAccess-Anwendungen, die an sicheren Orten installiert sind" deaktiviert werden.
Diese Einstellung gilt für jedes UIA-Programm, wird jedoch hauptsächlich in bestimmten Windows-Remoteunterstützungsszenarien verwendet. Das Windows Remote Assistance-Programm in Windows Vista ist ein UIA-Programm.
Wenn ein Benutzer Remoteunterstützung von einem Administrator anfordert und die Remoteunterstützungssitzung eingerichtet ist, werden alle Eingabeaufforderungen für die Erhöhung auf dem sicheren Desktop des interaktiven Benutzers angezeigt und die Remote-Sitzung des Administrators wird angehalten. Um zu verhindern, dass die Remote-Administratorsitzung während Höhenanforderungen angehalten wird, kann der Benutzer beim Einrichten der Remoteunterstützungssitzung das Kontrollkästchen "Erlauben, dass IT-Experte auf Eingabeaufforderungen der Benutzerkontensteuerung reagiert" zulassen. Wenn Sie dieses Kontrollkästchen selbst aktivieren, muss der interaktive Benutzer auf eine Eingabeaufforderung für die Erhöhung auf dem sicheren Desktop antworten. Wenn der interaktive Benutzer ein Standardbenutzer ist, verfügt der Benutzer nicht über die erforderlichen Anmeldeinformationen, um die Erhöhung zuzulassen.
Wenn Sie diese Einstellung aktivieren ("Benutzerkontensteuerung: Zulassen, dass UIAccess-Anwendungen ohne Verwendung des sicheren Desktops eine Aufforderung zur Erhöhung anfordern"), werden Anforderungen für die Erhöhung automatisch an den interaktiven Desktop (nicht den sicheren Desktop) gesendet und auch auf dem Remote-Administrator angezeigt Ansicht des Desktops während einer Windows-Remoteunterstützungssitzung, und der Remote-Administrator kann die entsprechenden Anmeldeinformationen für die Erhöhung angeben.
Durch diese Einstellung wird das Verhalten der UAC-Erhöhungsaufforderung für Administratoren nicht geändert.
Wenn Sie diese Einstellung aktivieren möchten, sollten Sie auch die Auswirkung der Einstellung "Benutzerkontensteuerung: Verhalten der Höhenanforderung für Standardbenutzer" überprüfen. Wenn es als "Automatisches Verweigern von Höhenanforderungen" konfiguriert ist, werden dem Benutzer keine Höhenanforderungen angezeigt.
Bearbeitet von Andy O'Donnell am 25.08.2016
