Einige unserer Kunden fragen, ob Windows-Administratoren bei jeder administrativen Aktion (z. B. beim Löschen eines Active-Directory-Benutzers) zur Multi-Faktor-Authentifizierung (MFA) mit Rublon aufgefordert werden können – selbst wenn sie bereits als Administrator angemeldet sind.
Während Rublon MFA für Windows lokale Anmeldungen und Remote-Desktop-Sitzungen mit MFA absichert, wird keine MFA-Aufforderung für jede einzelne Administratoraktion standardmäßig unterstützt.
Ist eine echte MFA bei jeder Admin-Aktion möglich?
Obwohl Sie Windows-Systemrichtlinien anpassen können, um eine UAC-Abfrage für jede administrative Aufgabe zu erzwingen, fügt dieser Ansatz lediglich eine zusätzliche Ebene der Passwortüberprüfung hinzu (was eine Rublon MFA-Challenge auslösen kann) und bietet keine echte MFA pro Aktion.
Rublon MFA für Windows ist darauf ausgelegt, die initiale Anmeldung und RDP-Sitzungen zu sichern, nicht aber die MFA für jede einzelne administrative Operation zu erzwingen, sobald man angemeldet ist.
Was können Sie tun?
Windows enthält die Benutzerkontensteuerung (UAC) als integrierten Mechanismus zum Schutz administrativer Aufgaben. Standardmäßig werden Nicht-Admin-Benutzer zur Eingabe von Anmeldeinformationen aufgefordert, wenn eine erhöhte Aktion versucht wird, während Administratoren dies nicht müssen. Sie können jedoch die Systemrichtlinien ändern, um eine UAC-Eingabeaufforderung (die eine erneute Eingabe eines Administratorpassworts erfordert) für jede Admin-Aktion zu erzwingen.
So erzwingen Sie einen UAC-Prompt für Administratoren
Wenn der Rublon MFA for Windows Logon & RDP Connector installiert ist, kann das Erzwingen eines UAC-Prompts den gewünschten MFA-Mechanismus auslösen.
Für eigenständige oder lokal verwaltete Systeme : Verwenden Sie gpedit.msc.
Lokales Active Directory: Verwenden Sie GPMC, um die Einstellungen über ein Domänen-GPO bereitzustellen.
Entra ID/Azure AD mit Intune: Verwenden Sie Konfigurationsrichtlinien in Microsoft Endpoint Manager.
Detaillierte Anweisungen zum Erzwingen einer UAC-Eingabeaufforderung für Administratoren finden Sie in der folgenden Schritt-für-Schritt-Anleitung. Weitere Informationen finden Sie in der offiziellen Microsoft-Dokumentation: Einstellungen und Konfiguration der Benutzerkontensteuerung | Microsoft Learn.
Für eigenständige oder lokal verwaltete Systeme
Folgen Sie diesen Schritten, um die UAC-Einstellungen über den Editor für lokale Gruppenrichtlinien anzupassen:
1. Lokalen Gruppenrichtlinien-Editor öffnen:
Drücken Sie Windows + R, geben Sie gpedit.msc ein und drücken Sie Enter.
2. Navigieren Sie zu den Sicherheitseinstellungen:
Gehen Sie im Editor für lokale Gruppenrichtlinien zu: Computerkonfiguration → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Sicherheitsoptionen
3. Verhalten der Erhöhungsaufforderung ändern:
Doppelklicken Sie auf Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für Administratoren im genehmigungsbasierten Modus und ändern Sie den Wert in Anmeldeinformationen auf dem sicheren Desktop abfragen. Das zwingt Administratoren dazu, ihr Passwort einzugeben , wann immer eine Aktion mit erhöhten Rechten initiiert wird.
4. Zusätzliche UAC-Einstellungen prüfen (optional):
Stellen Sie sicher, dass Alle Administratoren im genehmigungsbasierten Modus ausführen auf Aktiviert gesetzt ist.
Für zusätzliche Sicherheit möchten Sie möglicherweise auch "Benutzerkontensteuerung: Zum sicheren Desktop wechseln, wenn zur Erhöhung der Berechtigungen aufgefordert wird" aktivieren.
5. Speichern und Neustarten:
- Klicken Sie auf Anwenden und dann auf OK , um Ihre Änderungen zu speichern. Schließen Sie anschließend den Editor für Lokale Gruppenrichtlinien. Starten Sie Ihren Computer neu, damit die Änderungen wirksam werden.
Für Domänenumgebungen mit Active Directroy
Führen Sie die folgenden Schritte aus, um die UAC-Einstellungen über die GPMC anzupassen:
1. Gruppenrichtlinien-Verwaltungskonsole (GPMC) öffnen:
Öffnen Sie auf Ihrem Domänencontroller die GPMC.
2. Neue GPO erstellen:
Klicken Sie mit der rechten Maustaste auf Ihre Domäne oder die gewünschte Organisationseinheit (OU) und wählen Sie GPO in dieser Domäne erstellen und verknüpfen...
Benennen Sie es (z.B. „UAC-Eingabeaufforderung für Admin-Aktionen erzwingen“).
3. GPO bearbeiten:
Klicken Sie mit der rechten Maustaste auf das neue GPO und wählen Sie "Bearbeiten"
Navigieren Sie zu: Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Sicherheitsoptionen
4. UAC-Verhalten konfigurieren:
Setzen Sie „Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Admin-Genehmigungsmodus“ auf „Anmeldeinformationen auf dem sicheren Desktop anfordern“. Dies erzwingt, dass Administratoren jedes Mal ihr Passwort eingeben müssen, wenn eine Aktion mit erhöhten Rechten initiiert wird.
5. GPO verknüpfen und anwenden :
Verknüpfen Sie das GPO mit der entsprechenden OU, die Ihre Zielcomputer enthält.
Erzwingen Sie eine Gruppenrichtlinienaktualisierung mithilfe des Befehls gpupdate /force oder warten Sie auf die nächste Richtlinienaktualisierung.
Für Organisationen, die Entra ID (Azure AD) mit Microsoft Intune verwenden
1. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an:
Gehen Sie zum Microsoft Endpoint Manager admin center.
2. Neue Konfigurationsrichtlinie erstellen:
Navigieren Sie zu Geräte → Windows → Konfiguration.
Erstellen Sie eine neue Gerätekonfigurationsrichtlinie für Windows 10 und höher und wählen Sie den Profiltyp Administrative Vorlagen aus.
3. UAC-Einstellung konfigurieren:
Suchen Sie unter den Administrativen Vorlagen nach „Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Admin-Genehmigungsmodus“ und setzen Sie diese auf „Anmeldeinformationen auf dem sicheren Desktop anfordern“. Dies erzwingt, dass Administratoren jedes Mal ihr Passwort eingeben müssen, wenn eine Aktion mit erhöhten Rechten initiiert wird.
4. Richtlinie zuweisen:
Weisen Sie die Richtlinie den entsprechenden Gruppen/Geräten zu und stellen Sie sicher, dass die Geräte synchronisiert werden, damit die neuen Einstellungen angewendet werden.
Bekannte Einschränkungen
Keine echte per-Aktion-MFA: Das Erzwingen von UAC-Abfragen erfordert die erneute Eingabe des Admin-Passworts (und das Abschließen der Rublon MFA), wenn Sie eine administrative Aufgabe starten. Die Abfrage erscheint jedoch beim Öffnen des Admin-Tools oder -Fensters – nicht bei jeder einzelnen administrativen Aktion.
Zeitpunkt der Authentifizierung: Die zusätzliche Authentifizierung erfolgt in dem Moment, in dem Sie eine Admin-Aktion initiieren (zum Beispiel das Öffnen der Verwaltungskonsole), nicht zum Zeitpunkt der Ausführung jeder spezifischen Operation (wie dem Löschen eines Benutzers im Active Directory).
Hilfreiche Links
Wann wird Rublon MFA bei Windows-Anmeldung und RDP ausgelöst?
Einstellungen und Konfiguration der Benutzerkontensteuerung | Microsoft Learn
War dieser Artikel hilfreich?
Das ist großartig!
Vielen Dank für das Feedback
Leider konnten wir nicht helfen
Vielen Dank für das Feedback
Feedback gesendet
Wir wissen Ihre Bemühungen zu schätzen und werden versuchen, den Artikel zu korrigieren