Mit Windows Vista hat Microsoft die Benutzerkontensteuerung (User Account Control, UAC) eingeführt, bei der Anwender Aktionen mit Admin-Rechten bestätigen müssen. Doch hat sich diese als eher lückenhaft erwiesen. Nun möchte Microsoft den Schutz von Windows-11-Arbeitsstationen verbessern und die UAC durch die Administrator Protection [1] ersetzen. In diesem Beitrag zeigen wir Ihnen, was es mit der Neuerung auf sich hat und warum der Wechsel zu dem modernen Schutz aus mehreren Gründen sinnvoll ist.

Im Kern basiert der Administratorschutz auf dem Prinzip der geringsten Rechte (Least Privilege). Dieser neue Ansatz ersetzt permanente Administratorkonten mit zu vielen Privilegien durch ein systemverwaltetes Administratorkonto (auch bekannt als Superadministratorkonto). Dieses erteilt die Privilegien nur dann dynamisch, wenn sie benötigt werden, ansonsten ist das Konto komplett geschützt.

Die User Account Control in Windows 11 ist ein Sicherheitsmechanismus, der zwischen Standard- und Administratorkonten unterscheidet. Bei einer UAC-Aufforderung wird ein Zugriffstoken erstellt, das die notwendigen administrativen Privilegien für die angeforderte Aktion gewährt. Die größte Schwäche dieses Ansatzes liegt in der dauerhaften Zuweisung des erweiterten Tokens an den Prozess bis zu dessen Beendigung. Dies eröffnet Angreifern Möglichkeiten für sogenannte Token-Impersonation-Angriffe. Dabei werden die erweiterten Rechte eines bestehenden Prozesses ausgenutzt, um schädliche Aktionen auszuführen.

Ein weiteres großes Problem ist das UAC-Bypass-Problem. Hierbei nutzen Angreifer gezielt Schwachstellen in vertrauenswürdigen Microsoft-Signaturen oder Systemprozessen, um UAC-Abfragen zu umgehen und sich dennoch erweiterte Privilegien zu verschaffen. Insbesondere Prozesse wie "eventvwr.exe" oder manipulierte Aufgaben in der Aufgabenplanung sind beliebte Angriffsvektoren. Ein weiteres Problem ist, dass die UAC-Popup-Anzeige nicht isoliert erfolgt, sondern im Benutzerkontext. Dadurch können Angreifer mittels Attacken wie DLL-Injections in den aufgerufenen Prozess administrative Kontrolle erlangen. Nicht zuletzt ist auch die Benutzerfreundlichkeit der UAC ein Problem. Durch zu viele Bestätigungsanforderungen besteht die Gefahr, dass Nutzer die Meldungen der UAC einfach bestätigen, ohne diese genau zu lesen.

Administrator Protection oder auch Administratorschutz integriert sich zunächst in Windows Hello und Hello for Business. Nutzer können die Meldung einfach bestätigen, indem Sie entweder in die Kamera schauen oder ihren Fingerabdruckscanner verwenden. Das in jedem Fall sicherer als die UAC und dennoch bequem. Die Eingabe einer PIN ist natürlich auch möglich, genauso wie bei der Anmeldung an Windows.

Die Authentifizierung erfolgt durch Verschlüsselungsschlüssel, die im Trusted Platform Module (TPM) gespeichert sind. Passwörter sind damit überflüssig. Hello for Business ist die Lösung für Unternehmensnetzwerke. Sie integriert eine Public-Key-Infrastruktur (PKI), um sicherheitskritische Anforderungen wie Multifaktor-Authentifizierung zu erfüllen. Die erweiterte Version von Windows Hello unterstützt auch hybride Szenarien mit Entra ID/EntraPass und dem Active Directory und ermöglicht die nahtlose Nutzung von Single Sign-on in Netzwerken sowie Clouddiensten. Im Gegensatz zu Windows Hello, das auf einzelne Geräte beschränkt ist, skaliert Hello for Business für mehrere Geräte. Es setzt auf Schlüsselpaare statt PINs und stellt damit eine deutlich stärkere Authentifizierung für Unternehmen bereit.

Windows Hello ist im Übrigen sicherer als die Eingabe eines Kennworts, denn es basiert auf asymmetrischer Kryptografie. Anstelle eines Passworts kommt ein privater Schlüssel zum Einsatz, der im TPM des Geräts liegt und dieses nie verlässt. Im nächsten Schritt wird dieser Schlüssel mit einem öffentlichen Schlüsselpaar kombiniert, um die Authentifizierung durchzuführen. Da keine Passwörter übertragen oder gespeichert werden, sind Phishing- und Brute-Force-Angriffe wirkungslos. Zudem ermöglichen biometrische Merkmale wie Gesichtserkennung oder Fingerabdruck eine eindeutige Identifikation, die sich nicht einfach kopieren oder erraten lassen.

Im Gegensatz zur UAC erhält der Benutzer nach Aktivierung des Administratorschutzes nach der Bestätigung keine Admin-Rechte für die komplette Sitzung der jeweiligen Anwendung, sondern nur für eine einzelne Aufgabe. Die Administrator Protection funktioniert damit gemäß Least Privilege sowie dem Just-in-Time-Prinzip. Ein notwendiges Recht bleibt nur so lange erhalten, wie es notwendig ist. Es gibt keine automatische Verlängerung. Windows-11-Benutzer arbeiten stets ohne Admin-Rechte. Erfordert ein Verwaltungsvorgang erhöhte Rechte, wird vom Administratorschutz ein Admin-Token zugewiesen. Das gilt für die jeweilige Aufgabe und verliert nach der Durchführung der Aktion seine Gültigkeit. Jede administrative Tätigkeit erfordert damit zwingend ein neues Admin-Token. Dazu gehören die Installation von Software, die Änderung von Systemeinstellungen wie der Uhrzeit oder der Registrierung sowie der Zugriff auf sensible Daten.

Die Administrator Protection nutzt speziell geschützte Konten, die vom System komplett getrennt sind. Malware hat nach diesem Prinzip keine Chance, solche Konten zu übernehmen, denn diese lassen sich im herkömmlichen Benutzerkontext nicht kompromittieren. Microsoft jedenfalls ist überzeugt, dass die neue Technik wesentlich schwieriger zu umgehen ist als die UAC. Auch wenn es einem Angreifer gelingen sollte, den Nutzer einmalig mit dem Administratorschutz zu kompromittieren, kann er nicht das komplette System übernehmen. Die neuen Sicherheitsfunktionen verhindern den automatischen und direkten Zugriff auf den Kernel oder andere kritische Systemressourcen.

Die neue Technologie für den Schutz von Admin-Konten ist in den aktuellen Canary-Previews von Windows 11 ab Version 27718 und neuer als Vorschau integriert. Neben der Aktivierung über den Menüpunkt "Kontoschutz" in der Windows-Sicherheitsapp lässt sich diese Funktion über Gruppenrichtlinien oder lokale Richtlinien aktivieren. Die Einstellungen sind über "Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Lokale Richtlinien / Sicherheitsoptionen" bei der Richtlinieneinstellung "Benutzerkontensteuerung: Typ des Administratorgenehmigungsmodus konfigurieren" gesetzt.

Standardmäßig ist hier der "Genehmigungsmodus für Legacy-Admin (Standard)" festgelegt. Um den neuen Modus zu nutzen, aktivieren Sie "Administratorgenehmigungsmodus mit Administratorschutz". Anschließend ist ein Neustart nötig, damit Windows 11 die Funktion nutzen kann. Nach der Aktivierung ist bei "C:\Benutzer" ein neuer Ordner mit der Bezeichnung "ADMIN_<Benutzername>" zu finden. Über diesen wickelt der Kontenschutz die Berechtigungen ab. Testen lässt sich die Aktivierung durch das Starten des Windows-Terminals mit Admin-Rechten. Wenn der neue Schutz aktiviert ist, zeigt Windows 11 das entsprechende Fenster zur Bestätigung der notwendigen Berechtigungen.

Der neue Administratorschutz in Windows 11 orientiert sich konzeptionell an Sicherheitsprinzipien, die im Linux-Umfeld seit Jahren etabliert sind, zeigt jedoch Unterschiede in der Umsetzung. In Linux-Systemen dient das Root-Konto als zentrale Instanz für administrative Aufgaben, wobei der Zugriff auf dieses Konto klar begrenzt bleibt. Aktionen, die Root-Rechte erfordern, finden über Mechanismen wie sudo statt, wodurch Nutzer privilegierte Befehle temporär ausführen können, ohne dauerhaft Root-Rechte zu besitzen. Ähnlich reduziert der Administratorschutz die Gefahr eines Missbrauchs durch die Just-in-Time-Vergabe von Rechten. Nutzer erhalten lediglich ein temporäres Token für einzelne Aufgaben, das nach der Durchführung erlischt.

Während Linux das Prinzip der geringsten Rechte (Least Privilege) ebenfalls konsequent verfolgt, erweitert Windows 11 dies durch die Integration biometrischer Verfahren über Windows Hello. Damit verbindet Microsoft die Sicherheitsvorteile der rollenbasierten Zugriffskontrolle mit modernen Authentifizierungsmethoden wie Fingerabdruck oder Gesichtserkennung. Ein wesentlicher Unterschied besteht in der Verwaltung der privilegierten Konten: Der Administratorschutz nutzt systemverwaltete Konten, die isoliert vom Benutzerkontext agieren, was die Angriffsfläche für Malware verringert. Im Vergleich dazu bleibt das Root-Konto in Linux direkt ansprechbar und erfordert eine präzise Absicherung durch den Administrator.

Beide Ansätze streben eine Minimierung der Angriffsfläche an, wobei Windows 11 durch die Integration von TPM-gestützten Schlüsseln und der biometrischen Multifaktor-Authentifizierung einen stärkeren Fokus auf Benutzerfreundlichkeit legt. Der Ansatz des Administratorschutzes ist in bestimmten Aspekten sicherer als das traditionelle Root-Konto in Linux, insbesondere in Szenarien mit weniger erfahrenen Anwendern oder in Unternehmen, die eine höhere Standardisierung und Automatisierung anstreben.

Windows 11 vergibt administrative Rechte ausschließlich temporär und nur für einzelne Aufgaben. Diese Rechte erlöschen nach der Durchführung automatisch. Dadurch minimiert Microsoft das Risiko, dass ein kompromittierter Prozess oder ein Nutzer mit administrativen Rechten dauerhaft Zugriff auf kritische Systeme hat. Linux bietet mit sudo eine ähnliche Funktion, doch in der Praxis deaktivieren viele Admins die Protokollierung von sudo-Befehlen oder setzen Root-Sessions ein, wodurch diese Sicherheit teilweise umgangen wird. Biometrische Verfahren wie Gesichtserkennung oder Fingerabdruck erschweren den Missbrauch durch Dritte. Linux kann vergleichbare Sicherheitsmechanismen durch externe Konfigurationen erreichen, doch dies erfordert manuellen Aufwand und ist weniger standardisiert.

Neben dem neuen Kontenschutz überarbeitet Microsoft weitere Sicherheitsfunktionen in Windows. Als Konsequenz des Crowdstrike-Vorfalls im Sommer 2024, bei dem Millionen von PCs und Server durch ein fehlerhaftes Update der Sicherheitslösung von Crowdstrike ausgefallen sind, schränkt Microsoft den Zugriff auf den Kernel nun deutlich ein. Das gilt auch für Antivirensoftware. Diese läuft in Zukunft nicht mehr im Kernel-Modus, sondern im Benutzermodus, erhält aber Zugriff auf Systemressourcen. Das ist auch ein Vorteil für den Administratorschutz, da er dadurch den Kernel besser vor Angriffen schützen kann.

Windows 11 trennt den Kernel-Modus und den Benutzermodus dabei voneinander, um so kritische Systemfunktionen und Anwendungen zu separieren. Der Kernel-Modus bietet uneingeschränkten Zugriff auf die Hardware und alle Systemressourcen. Der Benutzermodus hingegen ist auf Anwendungen und Dienste beschränkt, die keine direkten Eingriffe in das Betriebssystem vornehmen dürfen. Ein Angreifer, der Zugriff auf den Kernel-Modus erlangt, kann tiefgreifende Manipulationen am Betriebssystem vornehmen. Dazu gehören die Installation von Rootkits, die Umgehung von Sicherheitsmechanismen und die Überwachung des gesamten Systemverkehrs.

Ein kompromittierter Kernel-Modus bedeutet also vollständige Kontrolle über das System und hat gravierende Auswirkungen auf die Sicherheit. Daher schützt Windows 11 schon länger den Kernel-Modus durch effektive Mechanismen wie den Virtualization-Based Security (VBS), Hypervisor-Protected Code Integrity (HVCI) und den Secure Boot. Dadurch werden unautorisierte Zugriffe und Manipulationen zuverlässig verhindert. Die neuen Einschränkungen für den Kernel sorgen dafür, dass dieser fortan noch besser vor Angriffen geschützt ist. Die Funktionen der Secure-Future-Initiative stellen außerdem sicher, dass fehlerhafte Updates von Sicherheitsprodukten nicht mehr das komplette Betriebssystem lahmlegen können.

Der Administratorschutz ersetzt in Windows 11 die in die Jahre gekommene UAC durch einen modernen und sichereren Ansatz. Er basiert auf den Prinzipien der geringsten Rechte und Just-in-Time-Rechtevergabe, wodurch administrative Befugnisse nur temporär und aufgabenbezogen zur Verfügung stehen. Dies reduziert das Risiko von Missbrauch durch dauerhafte Admin-Rechte erheblich. Zudem integriert der Administratorschutz die biometrische Authentifizierung über Windows Hello einschließlich Fingerabdruck, Gesichtserkennung und TPM-gesicherter Verschlüsselung. Im Gegensatz zur UAC ermöglicht der Administratorschutz dabei eine vollständige Trennung zwischen Benutzer- und Adminkonten und macht es Malware dadurch schwerer, privilegierte Zugriffe zu erlangen.