Netzadministrator

Was ist UAC-Virtualisierung?

UAC-Virtualisierung



UAC steht für „ Benutzerkontensteuerung “. Hierbei handelt es sich um einen Bereich der Softwareverwaltung, der die Kernkomponenten des Betriebssystems vor potenziell schädlichen Änderungen schützt. Dies ist die Zugriffsebene, die in Unix-ähnlichen Systemen als „Root“ und in Windows-Systemen als Administratorrechte bezeichnet wird.

Die häufigste Begegnung, die Benutzer von Windows mit der Benutzerkontensteuerung haben, tritt auf, wenn sie versuchen, eine neue Software zu installieren. Diese Popup-Nachricht, in der Sie um Autorisierung gebeten werden, um die Installation zuzulassen, ist das öffentliche Gesicht von UAC.



Fenster zur Benutzerkontensteuerung

Mehr über UAC

Seitdem ist die Benutzerkontensteuerung in Windows integriert Windows Vista im Jahr 2006 und wurde in aufgenommen Windows Server seit Version 2008.



Das UAC-System lässt vom Benutzer installierte Software im Benutzerbereich des Laufwerks laufen und nur die vom Benutzer installierte Software Administrator Das Konto erhält Zugriff auf Systemressourcen. Software, die vom Administrator installiert wurde, kann von Benutzern ausgeführt werden, die keinen Zugriff auf Systemressourcen haben, oder vom Administrator ausgeführt werden, um diesen Systemzugriff zu erhalten.

Der Zweck von UAC besteht darin, die Systemsicherheit zu stärken. Es wird davon ausgegangen, dass der Administrator in einer sicheren Geschäftsumgebung nur für einen IT-Experten zugänglich ist, der nur autorisierte, verifizierte Software installiert. Auf der anderen Seite kann man den Benutzern nicht immer vertrauen, dass sie bei dem, was sie herunterladen, Vorsichtsmaßnahmen treffen.

Benutzer können leicht zum Herunterladen verleitet werden Schadsoftware das in ein Bild oder eine PDF-Datei eingebettet ist. Ohne Administratorrechte kann Software, die über ein Benutzerkonto Zugriff auf den Endpunkt erhält, nicht auf wichtige Dienste zugreifen.

Zu den Bereichen der Festplatte, die für Benutzerkonten gesperrt sind, gehören die Verzeichnisse %ProgramFiles%, %Windir%, %Windir%system32. Der UAC-Dienst blockiert auch den Schreibzugriff auf den Registrierungspfad HKEY_LOCAL_MACHINESoftware.

Das UAC-Popup

Dieses Berechtigungs-Popup ist ein wichtiger Bestandteil der Benutzerkontensteuerung. Es löst eine Einstellung im Betriebssystem aus, um entweder Aktionen in den sensiblen Verzeichnissen des Betriebssystems mit Erlaubnis zu ermöglichen oder diesen Zugriff zu blockieren, wenn die Erlaubnis verweigert wird.

Ein Systemzugriff sollte nur während der Installation und Aktualisierung der Software erforderlich sein. Betriebsvariablen, temporärer Speicher und Sitzungsdaten sollten alle darin gespeichert werden Benutzereigene Ordner . Systemeinstellungen sollten nur auf a geschrieben werden freigegebener, bearbeitbarer Ordner , wie zum Beispiel %programdata%.

Die starre Organisation der Daten und Einstellungen kommt allen Benutzern zugute. Wenn ein Benutzer auf einem Gerät die Software anpassen kann, haben diese persönlichen Vorlieben keinen Einfluss auf die anderen Benutzer auf diesem Computer.

Virtualisierung

Es gibt verschiedene Arten der Virtualisierung. Der allgemeine Zweck dieser Strategie besteht darin, die Software zu verwenden, um eine Umgebung zu schaffen, die ahmt eine echte Ressource nach B. ein separater Server oder die Hardware eines PCs.

Eine der am weitesten verbreiteten Arten der Virtualisierung ist „ virtuelle Maschine ,' oder VM . Dabei handelt es sich um ein separates Betriebssystem, das über dem echten Betriebssystem schwebt. Es stellt die Dienste bereit, die eine Software vom Betriebssystem benötigt, ohne dass diese Software echten, direkten Zugriff auf das eigentliche Betriebssystem erhält.

Die VM vermittelt zwischen der Software und dem Betriebssystem. In einigen Fällen kann diese Konfiguration dazu führen, dass Software, die für ein bestimmtes Betriebssystem geschrieben wurde, auf einem Computer ausgeführt werden kann, auf dem dieses Betriebssystem nicht installiert ist. Beispielsweise ist es möglich, Software, die für Linux geschrieben wurde, auf einem Computer auszuführen, der über dies verfügt Windows Betriebssystem. Wenn eine virtuelle Umgebung zur Verfügung steht, um die Linux-kompatiblen Anforderungen der Software in Anfragen zu interpretieren, die Windows verstehen kann, ist das wie ein Interpreter.

UAC-Virtualisierung

Bei einer UAC-Virtualisierung betreibt die VM Windows und läuft auf Windows. Der Zweck des doppelten Betriebssystems besteht nicht darin, die Kompatibilität des Betriebssystems bereitzustellen, sondern der Validierung gerecht zu werden Legacy-Software das wirklich Zugriff auf diese Systembereiche benötigt, wenn es von Benutzern ausgeführt wird.

Anstatt zwischen zwei verschiedenen Betriebssystemen zu vermitteln, stellt die UAC-Virtualisierung die Dienste bereit, die die Software zum Ausführen in einem Benutzerkonto benötigt, ohne die strikte Systemisolation von UAC zu durchbrechen. Der Zugriff auf die Ordner, die die Software benötigt, ist verstopft und diese Tatsache würde dazu führen, dass das Programm hängen bleibt oder umfällt.

Die Implementierung der UAC-Virtualisierung war ein notwendiger Schritt, um die Einführung von zu überbrücken Benutzerzugriffskontrolle . Ohne diese Notlösung würde ein Großteil der für Windows entwickelten Software nicht mehr funktionieren. Obwohl Softwarehäuser mit der Zeit neue Versionen ihrer Produkte schreiben mussten, hätte die vollständige Neufassung, die UAC erforderte, Zeit in Anspruch genommen. Derartige größere Änderungen sind in der Regel Neuauflagen vorbehalten und gelten nicht als Aktualisierungen.

Softwarehäuser, die sich auf Produkte für Windows spezialisiert haben, konnten sich das nicht leisten die Investition abschreiben bereits in ihren Produkten hergestellt. Bei der Erstellung neuer Editionen berechnen die Anbieter eine Nutzungsdauer und warten, bis alle Kosten amortisiert sind, bevor sie neue Versionen schreiben.

Die UAC-Virtualisierung stellt eine Zuordnung zwischen den Systemordneranforderungen älterer Software und den benutzereigenen Ordnern dar, die Windows jetzt von der Software verwenden soll, wenn sie über Benutzerkonten ausgeführt wird.

Dank der UAC-Virtualisierung schreibt Software nach C:Programme, schreibt wirklich nach %LOCALAPPDATA%VirtualStore. Somit sorgt eine Mapping-Schnittstelle zwischen Ordnern in der Virtualisierung dafür, dass alte Software funktionsfähig bleibt und gleichzeitig reservierte Systemverzeichnisse geschützt werden.

Das Anwendungsmanifest

Nicht jede Software benötigt Zugriff auf geschützte Systembereiche. Einige Programme werden als ausführbare Dateien heruntergeladen und von überall auf dem Computer ausgeführt. Die Hauptfrage, ob ein Programm Dateien in reservierte Verzeichnisse schreiben muss oder nicht, hängt von der Organisation der Ordnerzugriffsanforderungen ab.

Der Installer signalisiert dem Betriebssystem, welchen Ordnerzugriff das Programm sowohl bei der Installation als auch bei jedem Start durch Einträge im erwartet Anwendungsmanifest . Dabei handelt es sich um ein XML-Dokument, das den Programmen in einem Installationspaket beiliegt.

Ein Wert für die Berechtigungsstufenanforderung in der Datei ist der Schlüssel dafür, ob Windows bei jeder Ausführung dieses Programms die UAC-Virtualisierung aufruft. Mögliche Werte für requestExecutionLevel sind:

  • asInvoker Mit demselben Zugriffstoken wie der übergeordnete Prozess ausführen.
  • höchsteVerfügbar Erwerben Sie die höchsten Berechtigungen, die der aktuelle Benutzer erhalten kann.
  • requireAdministrator Dieses Programm kann nur als Administrator ausgeführt werden.

Windows verwendet immer die UAC-Virtualisierung für Software, die mit der Anforderung „RequireAdministrator-Zugriff“ gekennzeichnet ist. Bei dieser Art von Software wird bei jeder Ausführung immer das UAC-Berechtigungs-Popup angezeigt. Dieser Status ist die Standardeinstellung. Wenn also kein Anwendungsmanifest vorhanden ist oder die erforderliche Ausführungsberechtigungsanweisung fehlt, erhält die Software automatisch den Status „requireAdministrator“ und wird immer virtualisiert.

Wenn die UAC-Virtualisierung aufgerufen wird

Die UAC-Virtualisierung ist ein Mechanismus innerhalb von Windows und kann nicht nach Belieben angewendet werden. Es ist kein UAC-Hypervisor-Paket im Umlauf. Es ist kein Dienstprogramm in einem Entwickler-Framework und es gibt keine API dafür. Zusamenfassend, Sie können die Verwendung der UAC-Virtualisierung nicht befehlen .

Der UAC-Virtualisierungsprozess gilt nicht für jede Software. Hier sind einige Umstände, die Sie berücksichtigen sollten, wenn es darum geht, ob UAC-Virtualisierung für eine Anwendung verwendet wird:

  1. Die UAC-Virtualisierung wird nur für Software aufgerufen, wenn sie über ein Benutzerkonto ausgeführt wird. Anwendungen, die als Administratoren ausgeführt werden, benötigen es nicht.
  2. Die UAC-Virtualisierung muss auf dem Host aktiviert und aktiv sein.
  3. Programme, die in einer 64-Bit-Umgebung ausgeführt werden, benötigen keine UAC-Virtualisierung. Dies gilt nur für 32-Bit-Software.
  4. Das Benutzerkonto muss Schreibzugriff auf die Dateien im ursprünglichen Dateipfad haben.

Verwalten der Benutzerkontensteuerung

Das Verhalten der Benutzerkontensteuerung kann auf jedem Computer geändert werden, auf dem Windows ausgeführt wird. Diese Option ist im verfügbar Einstellungen Menü und Sie können dorthin gelangen, indem Sie auf klicken Einstellungen Zahnradsymbol im Start Menü und geben Sie dann „Benutzerkontensteuerung“ in die Suchleiste „Einstellungen“ ein.

Einstellungen zur Benutzerkontensteuerung

Der Einstellungsbildschirm für die Benutzerkontensteuerung wird als Schieberegler angezeigt. Dadurch hat der Benutzer die Möglichkeit, zwischen einer von vier Einstellungen für UAC zu wechseln. Diese Optionen sind:

  • Immer benachrichtigen
  • Benachrichtigen Sie mich nur, wenn Programme versuchen, Änderungen an meinem Computer vorzunehmen
  • Benachrichtigen Sie mich nur, wenn Programme versuchen, Änderungen an meinem Computer vorzunehmen (verdunkeln Sie meinen Desktop nicht).
  • Niemals benachrichtigen

Nachfolgend finden Sie etwas mehr Details zu jeder dieser Optionen.

Immer benachrichtigen

Dies ist die starrste Einstellung. Es ruft das Benachrichtigungs-Popup auf, wenn ein Programm installiert oder aktualisiert werden soll und wenn Sie oder andere Programme versuchen, die Windows-Einstellungen zu ändern. Dadurch werden alle Aufgaben auf dem Computer eingefroren, bis Sie antworten.

Diese Option wird für Computer empfohlen, auf denen häufig neue Software installiert wird, und für Personen, die unbekannte Websites besuchen.

Benachrichtigen Sie mich nur, wenn Programme versuchen, Änderungen an meinem Computer vorzunehmen

Dies ist der Standardwert für UAC. Es benachrichtigt den Benutzer des Computers, wenn Programme versuchen, Software zu installieren oder Änderungen an Ihrem Computer vorzunehmen. Das Berechtigungs-Popup wird nicht angezeigt, wenn Sie selbst Änderungen an den Einstellungen Ihres Computers vornehmen. Dadurch werden alle Aufgaben auf dem Computer eingefroren, bis Sie antworten.

Diese Option wird für diejenigen empfohlen, die häufig neue Software installieren und unbekannte Websites besuchen, aber nicht über ihre eigenen Aktionen benachrichtigt werden möchten, die die Windows-Einstellungen ändern.

Benachrichtigen Sie mich nur, wenn Programme versuchen, Änderungen an meinem Computer vorzunehmen (verdunkeln Sie meinen Desktop nicht).

Diese Option löst das Berechtigungs-Popup aus, wenn Programme versuchen, Software zu installieren oder Änderungen am Computer vorzunehmen. Benutzer werden jedoch nicht benachrichtigt, wenn sie manuell Änderungen an den Windows-Einstellungen vornehmen. Im Gegensatz zu den beiden vorherigen Optionen friert diese Einstellung andere Aufgaben nicht ein und wartet nicht auf eine Antwort.

Diese Option wird nur empfohlen, wenn der Benachrichtigungsprozess auf dem Computer aus irgendeinem Grund so langsam läuft, dass er für den Benutzer zu einer ernsthaften Unannehmlichkeit wird.

Niemals benachrichtigen

Diese Option deaktiviert die Benutzerzugriffskontrolle. Das Berechtigungs-Popup wird unter keinen Umständen angezeigt.

Diese Option stellt ein Sicherheitsrisiko dar.

Registrierungsvirtualisierung

Registrierungsvirtualisierung ist die Anwendung der UAC-Virtualisierung auf die Systemregistrierung. Der Zweck dieser Funktion besteht darin, den Zugriff auf globale Registrierungseinträge zu blockieren und gleichzeitig die Funktionsfähigkeit von Software zu ermöglichen, die einen solchen Zugriff erfordert. Während UAC den Ordnerzugriff interpretiert und Schreibaktionen in benutzergesteuerte Verzeichnisse umleitet, schaltet die Registrierungsvirtualisierung Versuche, in globale Variablen zu schreiben, auf sicherere Benutzerkonto-Registrierungsschlüssel um.

Wie bei der dateibasierten UAC-Virtualisierung führt die Software alle vorab geschriebenen Verfahren aus und erstellt und aktualisiert Registrierungsschlüsselwerte, ohne diese globalen Registrierungsbereiche zu beschädigen.

Die Registry-Virtualisierung wird nur implementiert, um den Weiterbetrieb von Legacy-Systemen zu ermöglichen. Der Bedarf an diesem Service dürfte inzwischen nahezu gestiegen sein völlig außer Funktion . Jede Software, die nach 2006 geschrieben wurde, benötigt den Registrierungsvirtualisierungsdienst nicht, da sie zusammen mit den Microsoft-Entwicklerrichtlinien hätte geschrieben werden müssen. Diese Richtlinien erläutern den Unterschied zwischen der Verwendung globaler Registrierungseinträge und den Registrierungsschlüsseln, die für Benutzerkonten verfügbar sind.

Die Zukunft der UAC-Virtualisierung

Die UAC-Virtualisierung wurde entwickelt, um die Abwärtskompatibilität sicherzustellen, als Microsoft seine neue Architektur auf den Markt brachte. Dies ist eine Methode, um zu verhindern, dass ältere Software ausfällt, weil sie nicht mehr in die Dateien schreiben darf, deren Pfade und Namen fest codiert sind.

Dies zeigt, dass UAC-Virtualisierung hat keine Zukunft – es geht um die Vergangenheit. Das UAC-Virtualisierungssystem ist im Laufe der Zeit immer redundanter geworden. Da UAC seit 2006 Teil von Windows ist, ist es seit 25 Jahren eine Umweltsicherheit. Die Chancen, dass Software, die vor mehr als 25 Jahren geschrieben wurde, auch ohne neue Versionen oder Updates noch aktiv ist, ist gering. Zum einen ist alte Software sehr anfällig für Hackerangriffe . Schwachstellenscanner suchen vor allem nach veralteter Software, wenn sie Computer und Netzwerke auf einen Zugang prüfen.

UAC-Virtualisierung in Windows 10

Wenn Sie Windows 10 verwenden, können Sie nach Ihrer UAC-Virtualisierungseinstellung suchen und prüfen, ob die Funktion aktiviert ist.

Um das tun zu können:

  1. Drücken Sie die Windows-Taste plus „R“, um a zu öffnen Laufen Kasten.
  2. Typ secpol.msc und drücken Sie „OK“, um das zu öffnen Lokale Sicherheitsrichtlinie App.
  3. Im Lokale Sicherheitsrichtlinie Erweitern Sie im Fenster „Lokale Richtlinien“ und klicken Sie im linken Bereich auf „Sicherheitsoptionen“.
  4. Scrollen Sie in der Liste der Richtlinien im Hauptfenster nach unten, bis Sie dort angekommen sind Benutzerkontensteuerung: Virtualisieren Sie Datei- und Registrierungsschreibfehler an benutzerspezifischen Speicherorten .

Fenster „Lokale Sicherheitsrichtlinie“.

Der Status dieser Einstellung sollte sein Ermöglicht . Wenn nicht:

  1. Doppelklicken Sie auf die Zeile „Benutzerkontensteuerung“. Es erscheint ein Popup.
  2. Klick auf das Ermöglicht Radio knopf.
  3. Klicken OK um das Popup zu schließen.

Andere Systemschutzmethoden

Ein typischer Windows-Benutzer sollte sich keine Gedanken über die UAC-Virtualisierung machen müssen, und ein Entwickler von Software, die für die Verwendung unter Windows vorgesehen ist, muss sich ebenfalls keine Gedanken über die UAC-Virtualisierung machen, da die aktuellen Windows-Programmierpraktiken diesen Dienst überflüssig machen.

Es gibt ein umfassendes Windows-Sicherheitssystem, das Geräte vor Manipulationen schützt, und es gibt einige Einstellungen, die Sie in Windows überprüfen können, um den Systemschutz zu verbessern.

Das erste, das Sie sich ansehen könnten, ist Manipulationsschutz , die Malware daran hindert, die Antivireneinstellungen Ihres Geräts zu stören und zu ändern. Um zu überprüfen, ob dies aktiviert ist:

  1. Typ Windows-Sicherheit im Suchfeld des Startmenüs.
  2. Wähle aus Windows-Sicherheits-App aus den Ergebnissen.
  3. Klicke auf Viren- und Bedrohungsschutz.
  4. Schauen Sie auf diesem Bildschirm unten im Hauptfenster nach und klicken Sie auf Einstellungen verwalten .
  5. Manipulationsschutz ist die vierte Option auf diesem Bildschirm. Stellen Sie sicher, dass es eingeschaltet ist.

Auch das sollten Sie sicherstellen Echtzeitschutz , Cloud-basierter Schutz , Und Automatische Probenübermittlung sind eingeschaltet.

Bildschirm „Windows-Sicherheitseinstellungen“.

Der andere wichtige Ersatz für den UAC-Virtualisierungsschutz ist der Kontrollierter Ordnerzugriff System. Dadurch wird verhindert, dass Malware die Erweiterungen von Dateien ändert, um sie zu verbergen, oder Systemordnernamen ändert. Dies kann auch über die zugegriffen werden Einstellungen für den Viren- und Bedrohungsschutz Bildschirm, auf dem Sie eingeschaltet haben Manipulationsschutz .

  1. Im Einstellungen für den Viren- und Bedrohungsschutz Bildschirm. Scrollen Sie nach unten zu Verwalten Sie den kontrollierten Ordnerzugriff und klicken Sie darauf.
  2. Im nächsten Bildschirm ist das der Fall Ransomware-Schutz , bewegen Sie den Schieberegler nach Kontrollierter Ordnerzugriff Zu An .
  3. Sie werden zum Popup-Fenster mit der Berechtigung zur Benutzerkontensteuerung weitergeleitet. Klicke auf Ja um die Änderung zu ermöglichen.

Windows-Sicherheitseinstellungen Ransomware

Abschluss

UAC-Virtualisierung war eine Überbrückungsmaßnahme Dadurch konnte die große Softwarebibliothek für Windows weiterhin funktionieren. Ohne diese Lösung wären viele der für Windows verfügbaren Anwendungen mit der Einführung von Windows Vista nicht mehr funktionsfähig gewesen.

Im Laufe der Zeit ist die UAC-Virtualisierung immer unnötiger geworden. Wie Sie jedoch gesehen haben, ist es immer noch in Windows 10 vorhanden und Sie werden wahrscheinlich feststellen, dass es auf Ihrem Computer aktiviert ist.

Die Virtualisierungslösung für UAC war clever und ihre Methoden würden sich für jedes Systemschutzszenario als nützlich erweisen. Tatsächlich arbeiten viele Sicherheitssysteme mit Virtualisierung und klassifizieren sie als „ virtuelle Appliances .“ Die Isolierung des Betriebssystems und der Anwendungen funktioniert in beide Richtungen. Es kann auch verhindern, dass Hacker in die Software eindringen und diese manipulieren, indem der Zugriffsweg über das Betriebssystem blockiert wird.

Häufig gestellte Fragen zur UAC-Virtualisierung

Sollte ich die UAC-Virtualisierung deaktivieren?

Die UAC-Virtualisierung ist ein grundlegendes Element der Sicherheitsstrategie von Microsoft für Windows. Wenn Sie die Benutzerkontensteuerung deaktivieren, verlieren Sie die Vorteile nativer Sicherheitsverfahren.

Wie stellt man sicher, dass eine ausführbare Datei nicht der UAC-Virtualisierung unterliegt?

Es gibt zwei Möglichkeiten, eine ausführbare Datei von der UAC-Virtualisierung auszunehmen. Die erste besteht darin, die Software als tragbares Paket zu entwerfen, das nicht installiert werden muss, sondern als Datei an dem Ort ausgeführt wird, an dem es heruntergeladen wurde. Die andere Möglichkeit, zu verhindern, dass die UAC-Virtualisierung einsetzt, wenn das Programm ausgeführt wird. Die andere Möglichkeit besteht darin, ein Anwendungsmanifest in das Installationsprogramm einzubinden. Dies sollte einen Eintrag für „requestedExecutionLevel“ mit einem Wert enthalten, der auf „asInvoker“ oder „highestAvailable“ festgelegt ist.

^