Was ist Windows 11 Local Administrator Protection?

Was ist Windows 11 Local Administrator Protection?
Photo by Philipp Katzenberger / Unsplash

Mit Windows 11 stellt Microsoft eine neue Sicherheitsfunktion vor: Local Administrator Protection. Diese Funktion wurde auf der Microsoft Ignite 2024 angekündigt und in der Windows 11 Insider Canary Build 27718 integriert. Ziel ist es, dauerhafte Administratorrechte durch ein System für temporäre, bedarfsorientierte Berechtigungen zu ersetzen. Diese "Just-in-Time"-Rechte basieren auf einem System Managed Admin Account – einem versteckten Administratorkonto, das nur bei Bedarf aktiviert wird.

Warum ist Local Administrator Protection wichtig?

Administratorrechte bieten umfassende Kontrolle über ein System – und stellen gleichzeitig ein erhebliches Sicherheitsrisiko dar.

Herausforderungen bisheriger Ansätze:

  1. Dauerhafte Admin-Tokens: Angreifer können diese nutzen, um Malware zu installieren oder weitere Rechte zu eskalieren.
  2. Angreifbare UAC-Prompts: User Account Control (UAC) versucht zwar, die Risiken zu minimieren, bleibt aber anfällig für Manipulation.

Local Administrator Protection behebt diese Schwachstellen durch:

  • Dynamische Erstellung eines isolierten Admin-Kontos.
  • Temporäre Aktivierung von Administratorrechten nur für spezifische Aufgaben.
  • Automatische Deaktivierung der Admin-Rechte nach Abschluss der Aufgabe.

Funktionsweise von Local Administrator Protection

Vor Administrator Protection:
Windows verwendete das Konzept der Split-Tokens, um Admin-Aufgaben von Standardbenutzer-Aktionen zu trennen. Doch selbst mit UAC blieben Admin-Tokens im Hintergrund aktiv, was Angriffsmöglichkeiten bot.

Mit Administrator Protection:

  1. System Managed Admin Account: Ein separates, verstecktes Administratorkonto wird für jede Admin-Operation erstellt.
  2. Verknüpfte SIDs: Der Haupt-Admin-Account und der System Managed Admin Account sind durch Forward- und Backlink-SIDs miteinander verknüpft.
  3. Isolierte Ausführung: Bei Bedarf wird der Admin-Task in einem komplett isolierten Kontext ausgeführt.

Vorteile im Überblick:

Mit der Einführung von Local Administrator Protection profitieren Unternehmen von einer Reihe wichtiger Sicherheits- und Verwaltungsverbesserungen. Zum einen wird die Angriffsfläche durch die temporäre Aktivierung von Administratorrechten signifikant reduziert. Dies bedeutet, dass Admin-Tokens nur dann aktiv sind, wenn sie tatsächlich benötigt werden, was das Risiko von Missbrauch oder Angriffen minimiert.

CC @ Microsoft (Illustration showing the Administrator protection architecture)

Darüber hinaus sorgt die isolierte Ausführung von Admin-Aufgaben dafür, dass Malware keine Möglichkeit hat, erhöhte Rechte auszunutzen. Diese Methode trennt die privilegierten Operationen vom Hauptbenutzerkontext, wodurch eine zusätzliche Schutzschicht entsteht.

Ein weiterer Vorteil ist die Unterstützung des Least-Privilege-Modells. Dieses Konzept stellt sicher, dass Benutzern nur die minimal notwendigen Rechte für ihre Aufgaben zugewiesen werden. Dadurch wird nicht nur die Sicherheit erhöht, sondern auch die Einhaltung gesetzlicher und unternehmensinterner Compliance-Vorgaben erleichtert.

Weiterlesen

Exchange Managed Services: Zuverlässiger Betrieb, immer und überall

Exchange Managed Services: Zuverlässiger Betrieb, immer und überall

E-Mails sind auch heute noch das Herzstück der geschäftlichen Kommunikation. Um diese zentrale Funktion zu gewährleisten, benötigen Unternehmen eine robuste, sichere und optimal verwaltete Infrastruktur. Unsere Managed Exchange Services im Rahmen unserer Professional Services bieten Ihnen maßgeschneiderte Lösungen, die alle Aspekte der Betreuung, Optimierung und Modernisierung Ihrer Exchange-Umgebung abdecken – von

Von Indeno GmbH
Exchange Zertifikat Fehler: Kein Parameter für ‚FileName‘ gefunden

Exchange Zertifikat Fehler: Kein Parameter für ‚FileName‘ gefunden

Die Verwaltung von Zertifikaten in Microsoft Exchange Server wurde in den letzten Jahren durch gezielte Änderungen in kumulativen Updates (CU) grundlegend überarbeitet. Besonders im Zuge von Vorbereitungen auf Exchange Server Subscription Edition (SE) und den damit verbundenen Migrationen auf Exchange Server 2019 begegnen Administratoren vermehrt einem spezifischen Fehler beim Zertifikatsimport:

Von Indeno GmbH
Microsoft Entra ID Protection: Schutz von Identitäten in einer komplexen digitalen Welt

Microsoft Entra ID Protection: Schutz von Identitäten in einer komplexen digitalen Welt

Einführung in Microsoft Entra ID Protection In der heutigen vernetzten digitalen Welt ist der Schutz von Identitäten wichtiger denn je. Cyberbedrohungen haben sich weiterentwickelt und sind zunehmend ausgefeilter und schwerer zu erkennen. Microsoft Entra ID Protection ist ein leistungsstarkes Tool, das entwickelt wurde, um diesen Herausforderungen zu begegnen und fortschrittlichen

Von Indeno GmbH
Die Einführung der elektronischen Rechnung (E-Rechnung) in Österreich und Deutschland

Die Einführung der elektronischen Rechnung (E-Rechnung) in Österreich und Deutschland

Die Digitalisierung der Geschäftsprozesse schreitet voran, und die Einführung der elektronischen Rechnung (E-Rechnung) in Österreich und Deutschland stellt einen wichtigen Meilenstein dar. Dieser Artikel bietet einen umfassenden Überblick über die Definition, gesetzlichen Anforderungen und Zeitpläne für die verpflichtende Nutzung der E-Rechnung. Was ist eine E-Rechnung? Eine E-Rechnung ist eine Rechnung,

Von Indeno GmbH