Vista: Feintuning für die Benutzerkontensteuerung wie bei Windows 7

WindowsDie Benutzerkontensteuerung von Vista ist mit ihren reichlichen Hinweisen und Rückfragen bei vielen Anwendern nach wie vor ein Grund zu Klage. Windows 7 zeigt, wie es besser hätte gehen können. Aber auch bei Vista lassen sich viele Probleme und Umständlichkeiten dieser an sich nützlichen und sinnvollen Funktion entschärfen.

Ganz tief in den Systemeinstellungen verbergen sich einige Rädchen, an denen man drehen kann, um die Benutzerkontensteuerung ggf. ein wenig zu optimieren. Eigentlich geht das sogar recht bequem per Gruppenrichtlinieneditor. Leider gehört dieser spezielle Editor bei den Home-Editionen nicht zum Lieferumfang und lässt sich auch nicht nachrüsten. Allerdings lassen sich fast alle dessen Einstellungen auch über Parameter in der Registry verändern. So auch die Optionen für die Benutzerkontensteuerung. Die Vorgehensweise ist dabei wie folgt:

  1. Vista_UAC 01Rufen Sie im Startmenü mit Start/Alle Programme/Zubehör/Ausführen den Ausführen-Dialog auf. Alternativ können Sie auch die Eingabeaufforderung starten.
  2. Geben Sie hier den Befehl regedit ein und klicken Sie auf OK bzw. drücken Sie [Eingabe]. Damit rufen Sie den Registrierungs-Editor auf.
  3. Vista_UAC 02Öffnen Sie im Registrierungs-Editor den Schlüssel HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Policies \System.
  4. In der rechten Hälfte des Programmfensters werden nun eine Reihe von Einstellungen angezeigt, mit denen Sie das Verhalten der Benutzerkontensteuerung beeinflussen können.
  5. Vista_UAC 01Wie bei Registry-Einstellungen üblich doppelklicken Sie auf einen Eintrag in der Liste. Sie erhalten dann einen Dialog für diesen Eintrag, wo Sie die Konfiguration per Option oder per Auswahlfeld verändern können.

Welche Anpassungsmöglichkeiten Ihnen die Einstellungen bieten, beschreiben die nachfolgenden Abschnitte. Berücksichtigen Sie dabei aber bitte, dass alle Einstellungen standardmäßig sicher gewählt sind. Änderungen daran machen Ihren PC also ggf. komfortabler, aber eben auch etwas unsicherer.

Tipp: Sollte Ihnen der Umgang mit der Registry nicht so recht vertraut sein, werfen Sie ggf. einen Blick in meinen kleinen Registry-Workshop.

Das Umschalten auf den sicheren Desktop bei Rückfragen vermeiden

Wann immer Vista eine Rückfrage wegen eines sicherheitsrelevanten Vorgangs anzeigt, schaltet es dazu auf den so genannten sicheren Desktop um. Dabei wird die gesamte Benutzeroberfläche ausgeblendet und nur das Rückfragefenster angezeigt. Das geschieht, um auszuschließen, dass die Benutzerkontensteuerung umgangen werden kann, indem z. B. ein Programm den Mausklick auf die Fortsetzen-Schaltfläche ausführt. Das Rückfragefenster kann nur von einem menschlichen Benutzer bedient werden. Wenn Sie das Umschalten aber stört oder falls Ihre Grafikkarte mit dem Wechsel Probleme haben sollte, können Sie den sicheren Desktop vermeiden. Das Rückfragefenster wird dann einfach auf dem normalen Desktop angezeigt und alle anderen Programmfenster sind währenddessen ebenfalls zugänglich. Bearbeiten Sie dazu den Wert PromptOnSecureDesktop bzw. in den Gruppenrichtlinien die Einstellung Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln. Standardmäßig ist der sichere Desktop aktiviert (Registrywert = 1). Ändern Sie die Einstellung auf 0, wird der sichere Desktop deaktiviert.

Administratorbenutzer von Rückfragen verschonen

Eine Möglichkeit der Anpassung besteht darin, die Benutzer der Administratorgruppe von den ständigen Warnhinweisen und Bestätigungen zu verschonen. Dies lässt sich über die Einstellung ConsentPromptBehaviorAdmin erreichen. In den Gruppenrichtlinien heißt diese Einstellung Verhalten der Benutzeraufforderung mit erhöhten Rechten für Administratoren. Sie kann auf drei verschiedene Werte gesetzt werden:

  • Keine Aufforderung: Mit der Einstellung 0 bzw. Erhöhte Rechte ohne Eingabeaufforderung unterdrücken Sie die Sicherheitshinweise vollständig. In diesem Fall gelten die Rückfragen allerdings automatisch als bestätigt. Eine Anwendung, die höhere Rechte einfordert, bekommt diese also automatisch und ohne Rückfrage zugeteilt. Dies entspricht fast dem Zustand bei Windows XP und sollte mit entsprechender Vorsicht verwendet werden.
  • Aufforderung zur Eingabe der Anmeldeinformationen: Der Wert 1 ist die sicherste Wahl für diese Option. Wenn eine Anwendung höhere Rechte einfordert, muss der Administratorbenutzer dies nicht nur per Fortsetzen bestätigen, sondern mit seinem Kennwort autorisieren. Diese Variante kann in Situationen sinnvoll sein, wo die Gefahr besteht, dass jemand unberechtigt Zugriff auf einen PC hat, auf dem der Administrator angemeldet ist. Selbst dann können ohne Kenntnis von dessen Passwort keine Manipulationen am System erfolgen.
  • Aufforderung zur Eingabe der Zustimmung: Der Wert 2 ist die Standardeinstellung für diese Option. Das Erteilen höherer Rechte muss der Administratorbenutzer per Klick auf Fortsetzen bestätigen.

Aus Administratorbenutzern echte Systemadministratoren machen

Zum Grundprinzip der Benutzerkontensteuerung gehört, dass selbst Benutzer der Administratorgruppe nur als Standardbenutzer arbeiten, solange keine höheren Rechte erforderlich sind. Dieses Verhalten können Sie mit der Einstellung EnableLUA steuern. In den Gruppenrichtlinien heißt diese Einstellung Alle Administratoren im Administratorbestätigungsmodus ausführen.

  • Aktiviert: 1 entspricht der Standardeinstellung, d. h., die Administratoren arbeiten als Standardbenutzer. Wichtig: Diese Wahl ist die sicherere!
  • Deaktiviert: Manche Situationen können es erfordern, diese neue Funktion mit 0 abzuschalten. Dann arbeiten alle Benutzer mit einem Administratorkonto genau wie der lokale Systemadministrator selbst mit völlig uneingeschränkten Rechten und ohne jede Rückfrage.

Das Deaktivieren dieser Einstellung ist prinzipiell nicht zu empfehlen, denn es setzt das neue Sicherheitskonzept von Vista praktisch schachmatt. Wenn Sie allerdings massive Probleme mit älteren Anwendungen haben, die mit der Benutzerkontensteuerung überhaupt nicht zurechtkommen, kann diese Variante sinnvoll sein. Da alles, was Sie dann tun, mit vollen Administratorrechten erfolgt, gilt dies auch für die Problemprogramme, die dann störungsfrei laufen sollten. Eine dauerhafte Lösung sollte das aus Sicherheitsgründen aber nicht sein.

Keine Rückfragen für Standardbenutzer

Auch für die Standardbenutzer lässt sich das Verhalten der Benutzerkontensteuerung einstellen. Mit der Einstellung ConsentPromptBehaviorUser regeln Sie, was passieren soll, wenn eine Anwendung bei einem Standardbenutzer höhere Rechte einfordert. In den Gruppenrichtlinien heißt diese Einstellung Verhalten der Anhebungsaufforderung für Standardbenutzer.

  • Aufforderung zur Eingabe der Anmeldeinformationen: Der Wert 1 ist die Standardeinstellung für diese Option. Dann wird ein Hinweisdialog eingeblendet, in dem ein Administratorkennwort eingegeben werden muss, um den Vorgang zu autorisieren.
  • Keine Aufforderung: Wollen Sie solche Rückfragen bei Standardbenutzern vermeiden, wählen Sie stattdessen den Wert 0 für dieser Option bzw. in den Gruppenrichtlinien die Einstellung Aufforderung für erhöhte Rechte automatisch ablehnen. Die Benutzerkontensteuerung verzichtet dann auf den Hinweis. Allerdings gibt es einen wichtigen Unterschied zur gleichen Option für Administratorbenutzer: Dem Programm werden die höheren Rechte in diesem Fall stillschweigend verweigert! Ist die Anwendung tatsächlich auf Administratorrechte angewiesen, wird sie also nicht korrekt funktionieren können. Diese Option bietet sich für unerfahrene Standardbenutzer an, die keinesfalls irgendwelche Änderungen an der Systemkonfiguration vornehmen sollen und die durch die Rückfragen der Benutzerkontensteuerung nur unnötig verwirrt würden.

Softwareinstallationen automatisch mit höheren Rechten versehen

Bei der Installation von Software sind fast immer Administratorrechte erforderlich, sei es, um Einträge in der Registry vorzunehmen, oder weil Dateien ins Programme-Verzeichnis kopiert werden müssen. Vista ist (meistens) in der Lage, Installationsprogramme anhand einer Heuristikfunktion automatisch zu erkennen und sie dementsprechend mit höheren Rechten auszuführen. Auch dann ist allerdings eine Bestätigung bzw. Autorisierung durch den Benutzer erforderlich. Mit der Einstellung EnableInstallerDetection steuern Sie die heuristische Erkennung von Installationsprogrammen. In den Gruppenrichtlinien heißt diese Einstellung Anwendungsinstallationen erkennen und erhöhte Rechte anfordern. Standardmäßig ist diese Funktion mit 1 aktiviert, was auch sinnvoll ist. Mit dem Wert 0 deaktivieren sollte man sie nur, wenn Anwendungen dadurch Probleme verursachen, z. B. weil die Heuristikfunktion nicht präzise genug arbeitet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Schließen