Microsoft hat auf seiner Entwicklerkonferenz Build 2025 eine neue Sicherheitsfunktion für Windows 11 vorgestellt. Administrator Protection soll die Risiken minimieren, die durch die Ausführung von Anwendungen mit höheren Benutzerrechten entstehen, und zudem die Benutzerfreundlichkeit verbessern.
Administrator Protection nutzt unter anderem Windows Hello, um Administratorrechte Just-in-Time bereitzustellen. Die Sicherheitsfunktion bezeichnet der Softwarekonzern als einen „Paradigmenwechsel“ in der Architektur der Benutzerkontensteuerung für Administratoren. „Damit wird der Grundsatz des geringsten Privilegs durchgesetzt, was zu mehr Transparenz bei der Erhöhung von Nutzerrechten führt“, heißt es im Windows Developer Blog.
Zu diesem Zweck nutzt der Administratorschutz ein verstecktes, vom System verwaltetes und profilgetrenntes Benutzerkonto, das ein Admin-Token erstellt. Dadurch soll sichergestellt werden, dass Malware auf Benutzerebene nicht auf den im erhöhten Kontext ausgeführten Code zugreifen und diesen kompromittieren kann.
Dieser sogenannte System Managed Administrator Account (SMAA) generiert einen Admin-Token, der für die Ausführung von System-Aufgaben benötigt wird. Dieser Token ist Microsoft zufolge nicht persistent und wird nur zum Zeitpunkt der Durchführung der Erhöhung erstellt und nach Abschluss der Aufgabe verworfen. Der Vorgang wird für jede Aufgabe wiederholt, für die Administratorrechte benötigt werden.
Darüber hinaus ersetzt Administrator Protection die derzeit in Windows verwendete automatische Erhöhung von Benutzerrechten. Sie ist auf bestimmte Windows-Prozesse- und -Anwendungen beschränkt und lässt sich für Angriffe nutzen, die die Benutzerkontensteuerung aushebeln sollen. Allerdings müssen Nutzer künftig jegliche Aufgaben, die Administratorrechte erfordern, genehmigen.
Dem Blogeintrag zufolge werden Windows 11 Home, Professional, Enterprise und Education die neue Sicherheitsfunktion unterstützen. Darüber hinaus wird ein nach Version 24H2 veröffentlichtes Build von Windows 11 benötigt – die genaue Build-Nummer wird das Unternehmen zu einem späteren Zeitpunkt festlegen. Windows Server, Windows 365 Cloud PC oder Azure Desktop sowie Windows 10 werden indes nicht unterstützt.
Kommentare