Funktionsweise der Benutzerkontensteuerung

Gilt für

  • Windows 10
  • Windows 11
  • Windows Server 2016 und höher

Die Benutzerkontensteuerung (User Account Control, UAC) ist ein grundlegender Baustein der Gesamtsicherheitsvision von Microsoft. UAC hilft dabei, die Auswirkung von Schadsoftware zu verringern.

UAC-Prozess und -Interaktionen

Jede App, für die das Administratorzugriffstoken erforderlich ist, muss zur Zustimmung aufgefordert werden. Die einzige Ausnahme ist die Beziehung zwischen übergeordneten und untergeordneten Prozessen. Untergeordnete Prozesse erben das Zugriffstoken des Benutzers vom übergeordneten Prozess. Sowohl der übergeordnete als auch der untergeordnete Prozess müssen jedoch dieselbe Integritätsstufe aufweisen. Windows schützt Prozesse, indem sie ihre Integritätsstufen markieren. Integritätsstufen sind Maßeinheiten der Vertrauensstellung. Eine Anwendung mit hoher Integrität ist eine Anwendung, die Aufgaben ausführt, mit denen Systemdaten geändert werden, z. B. eine Datenträgerpartitionierungsanwendung, während eine Anwendung mit niedriger Integrität Aufgaben ausführt, die das Betriebssystem, z. B. einen Webbrowser, gefährden könnten. Apps mit niedrigeren Integritätsstufen können Daten in Anwendungen mit höheren Integritätsstufen nicht ändern. Wenn ein Standardbenutzer versucht, eine App auszuführen, die ein Administratorzugriffstoken erfordert, erfordert UAC, dass der Benutzer gültige Administratoranmeldeinformationen bereitstellt.

Um besser zu verstehen, wie dieser Prozess geschieht, sehen wir uns den Windows Anmeldevorgang an.

Anmeldevorgang

Im Folgenden wird gezeigt, wie sich der Anmeldevorgang für einen Administrator vom Anmeldevorgang für einen Standardbenutzer unterscheidet.

UAC-Anmeldeprozess für Windows.

Standardmäßig greifen Standardbenutzer und Administratoren auf Ressourcen zu und führen Apps im Sicherheitskontext von Standardbenutzern aus. Wenn sich ein Benutzer bei einem Computer anmeldet, erstellt das System ein Zugriffstoken für diesen Benutzer. Das Zugriffstoken enthält Informationen über die Zugriffsebene, die dem Benutzer gewährt wird, einschließlich bestimmter Sicherheits-IDs (SIDs) und Windows Berechtigungen.

Wenn sich ein Administrator anmeldet, werden zwei separate Zugriffstoken für den Benutzer erstellt: ein Standardbenutzerzugriffstoken und ein Administratorzugriffstoken. Das Standardbenutzerzugriffstoken enthält dieselben benutzerspezifischen Informationen wie das Administratorzugriffstoken, aber die administrativen Windows Berechtigungen und SIDs werden entfernt. Das Standardbenutzerzugriffstoken wird verwendet, um Apps zu starten, die keine administrativen Aufgaben ausführen (Standardbenutzer-Apps). Das Standardbenutzerzugriffstoken wird dann zum Anzeigen des Desktops (explorer.exe) verwendet. Explorer.exe ist der übergeordnete Prozess, von dem alle anderen vom Benutzer initiierten Prozesse ihr Zugriffstoken erben. Daher werden alle Apps als Standardbenutzer ausgeführt, es sei denn, ein Benutzer erteilt seine Zustimmung oder Anmeldeinformationen, um einer App die Verwendung eines vollständigen administrativen Zugriffstokens zu genehmigen.

Ein Benutzer, der Mitglied der Gruppe "Administratoren" ist, kann sich anmelden, das Web durchsuchen und E-Mail lesen, während er ein Standardbenutzerzugriffstoken verwendet. Wenn der Administrator eine Aufgabe ausführen muss, die das Administratorzugriffstoken erfordert, fordert Windows 10 oder Windows 11 den Benutzer automatisch zur Genehmigung auf. Diese Aufforderung wird als Eingabeaufforderung zur Erhöhung bezeichnet, und ihr Verhalten kann mithilfe des Snap-Ins für lokale Sicherheitsrichtlinien (Secpol.msc) oder Gruppenrichtlinie konfiguriert werden. Weitere Informationen finden Sie unter Sicherheitsrichtlinieneinstellungen für die Benutzerkontensteuerung.

Die UAC-Benutzeroberfläche

Wenn UAC aktiviert ist, unterscheidet sich die Benutzererfahrung für Standardbenutzer von der der Administratoren im Administratorgenehmigungsmodus. Die empfohlene und sicherere Methode zum Ausführen von Windows 10 oder Windows 11 besteht darin, Ihr primäres Benutzerkonto zu einem Standardbenutzerkonto zu machen. Die Ausführung als Standardbenutzer trägt dazu bei, die Sicherheit für eine verwaltete Umgebung zu maximieren. Mit der integrierten UAC-Erweiterungskomponente können Standardbenutzer problemlos eine Verwaltungsaufgabe ausführen, indem sie gültige Anmeldeinformationen für ein lokales Administratorkonto eingeben. Die standardmäßige integrierte UAC-Erweiterungskomponente für Standardbenutzer ist die Anmeldeinformationsaufforderung.

Die Alternative zur Ausführung als Standardbenutzer besteht darin, als Administrator im Administratorgenehmigungsmodus ausgeführt zu werden. Mit der integrierten UAC-Erweiterungskomponente können Mitglieder der lokalen Administratorengruppe ganz einfach eine Administrative Aufgabe ausführen, indem sie die Genehmigung erteilen. Die standardmäßige integrierte UAC-Erweiterungskomponente für ein Administratorkonto im Administratorgenehmigungsmodus wird als Zustimmungsaufforderung bezeichnet.

Zustimmung und Aufforderungen zu Anmeldeinformationen

Wenn UAC aktiviert ist, Windows 10 oder Windows 11 Aufforderungen zur Zustimmung oder Aufforderungen zur Eingabe von Anmeldeinformationen eines gültigen lokalen Administratorkontos vor dem Starten eines Programms oder einer Aufgabe, für das ein vollständiges Administratorzugriffstoken erforderlich ist. Diese Eingabeaufforderung stellt sicher, dass keine schadhafte Software im Hintergrund installiert werden kann.

Die Zustimmungsaufforderung

Die Zustimmungsaufforderung wird angezeigt, wenn ein Benutzer versucht, eine Aufgabe auszuführen, die das administrative Zugriffstoken eines Benutzers erfordert. Es folgt ein Beispiel für die UAC-Zustimmungsaufforderung.

UAC-Zustimmungsaufforderung.

Die Eingabeaufforderung für Anmeldeinformationen

Die Anmeldeinformationsaufforderung wird angezeigt, wenn ein Standardbenutzer versucht, eine Aufgabe auszuführen, die das administrative Zugriffstoken eines Benutzers erfordert. Administratoren können auch aufgefordert werden, ihre Anmeldeinformationen anzugeben, indem sie den Wert " Benutzerkontensteuerung: Verhalten der Aufforderung zur Erhöhung" für Administratoren im Richtlinieneinstellungswert für den Administratorgenehmigungsmodus auf "Aufforderung zur Eingabe von Anmeldeinformationen" festlegen.

Es folgt ein Beispiel für die Eingabeaufforderung für UAC-Anmeldeinformationen.

UAC-Anmeldeinformationsaufforderung.

UAC-Rechteerweiterungsaufforderungen

Die UAC-Rechteerweiterungsaufforderungen sind farbcodiert, um app-spezifisch zu sein, sodass das potenzielle Sicherheitsrisiko einer Anwendung sofort identifiziert werden kann. Wenn eine App versucht, mit dem Vollzugriffstoken eines Administrators auszuführen, analysiert Windows 10 oder Windows 11 zuerst die ausführbare Datei, um ihren Herausgeber zu ermitteln. Apps werden zunächst in drei Kategorien unterteilt, die auf dem Herausgeber der Datei basieren: Windows 10 oder Windows 11, Herausgeber überprüft (signiert) und Herausgeber nicht überprüft (nicht signiert). Das folgende Diagramm veranschaulicht, wie Windows bestimmt, welche Farberweiterungsaufforderung dem Benutzer angezeigt werden soll.

Die Farbcodierung der Rechteerweiterungsaufforderung lautet wie folgt:

  • Roter Hintergrund mit einem roten Schildsymbol: Die App wird von Gruppenrichtlinie blockiert oder stammt von einem Herausgeber, der blockiert ist.
  • Blauer Hintergrund mit einem blauen und goldenen Schildsymbol: Die Anwendung ist eine Windows 10 und Windows 11 administrative App, z. B. ein Systemsteuerung Element.
  • Blauer Hintergrund mit einem blauen Schildsymbol: Die Anwendung wird mit Authenticode signiert und vom lokalen Computer als vertrauenswürdig eingestuft.
  • Gelber Hintergrund mit einem gelben Schildsymbol: Die Anwendung ist unsigniert oder signiert, wird aber vom lokalen Computer noch nicht als vertrauenswürdig eingestuft.

Schildsymbol

Einige Systemsteuerung Elemente, z . B. Datums- und Uhrzeiteigenschaften, enthalten eine Kombination aus Administrator- und Standardbenutzervorgängen. Standardbenutzer können die Uhr anzeigen und die Zeitzone ändern, aber ein vollständiges Administratorzugriffstoken ist erforderlich, um die lokale Systemzeit zu ändern. Im Folgenden sehen Sie einen Screenshot der Datums- und Uhrzeiteigenschaften Systemsteuerung Elements.

UAC-Schildsymbol in Datums- und Uhrzeiteigenschaften

Das Schildsymbol auf der Schaltfläche " Datum und Uhrzeit ändern " gibt an, dass für den Prozess ein vollständiges Administratorzugriffstoken erforderlich ist und eine UAC-Aufforderung zur Erhöhung angezeigt wird.

Schützen der Eingabeaufforderung für die Rechteerweiterung

Der Rechteerweiterungsprozess wird weiter gesichert, indem die Eingabeaufforderung an den sicheren Desktop geleitet wird. Die Zustimmungs- und Anmeldeinformationen werden standardmäßig auf dem sicheren Desktop in Windows 10 und Windows 11 angezeigt. Nur Windows Prozesse können auf den sicheren Desktop zugreifen. Für höhere Sicherheitsstufen empfehlen wir, die Benutzerkontensteuerung zu behalten: Wechseln Sie zum sicheren Desktop, wenn Sie zur Aktivierung der Einstellung für die Rechteerweiterungsrichtlinie aufgefordert werden.

Wenn eine ausführbare Datei die Erhöhung anfordert, wird der interaktive Desktop, der auch als Benutzerdesktop bezeichnet wird, auf den sicheren Desktop umgestellt. Der sichere Desktop dims the user desktop and displays an elevation prompt that must be responded to before continuing. Wenn der Benutzer auf "Ja " oder " Nein" klickt, wechselt der Desktop wieder zum Benutzerdesktop.

Schadsoftware kann eine Nachahmung des sicheren Desktops darstellen, aber wenn die Benutzerkontensteuerung: Verhalten der Rechteerweiterungsaufforderung für Administratoren in der Richtlinieneinstellung für den Administratorgenehmigungsmodus auf "Zustimmung auffordern" festgelegt ist, wird die Schadsoftware nicht höher, wenn der Benutzer auf " Ja " bei der Nachahmung klickt. Wenn die Richtlinieneinstellung auf "Aufforderung zur Eingabe von Anmeldeinformationen" festgelegt ist, kann Schadsoftware, die die Anmeldeinformationsaufforderung imitiert, die Anmeldeinformationen möglicherweise vom Benutzer erfassen. Die Schadsoftware erhält jedoch keine erhöhten Berechtigungen, und das System verfügt über andere Schutzmaßnahmen, die schadsoftware daran hindern, die Kontrolle über die Benutzeroberfläche selbst mit einem gesammelten Kennwort zu übernehmen.

Während Schadsoftware eine Nachahmung des sicheren Desktops darstellen könnte, kann dieses Problem nur auftreten, wenn ein Benutzer die Schadsoftware zuvor auf dem PC installiert hat. Da Prozesse, die ein Administratorzugriffstoken erfordern, nicht automatisch installiert werden können, wenn UAC aktiviert ist, muss der Benutzer explizit seine Zustimmung geben, indem er auf "Ja " klickt oder Administratoranmeldeinformationen bereitstellt. Das spezifische Verhalten der UAC-Aufforderung zur Erhöhung hängt von Gruppenrichtlinie ab.

UAC-Architektur

Das folgende Diagramm enthält Details zur UAC-Architektur.

uac-Architektur.

Um die einzelnen Komponenten besser zu verstehen, lesen Sie die folgende Tabelle:

Benutzer

Komponente Beschreibung

Der Benutzer führt einen Vorgang aus, der Berechtigungen erfordert.

Wenn der Vorgang das Dateisystem oder die Registrierung ändert, wird Virtualisierung aufgerufen. Alle anderen Vorgänge rufen ShellExecute auf.

Shellexecute

ShellExecute ruft CreateProcess auf. ShellExecute sucht nach dem ERROR_ELEVATION_REQUIRED Fehler von CreateProcess. Wenn der Fehler angezeigt wird, ruft ShellExecute den Anwendungsinformationsdienst auf, um zu versuchen, die angeforderte Aufgabe mit der Eingabeaufforderung mit erhöhten Rechten auszuführen.

Createprocess

Wenn die Anwendung eine Erhöhung erfordert, lehnt CreateProcess den Aufruf mit ERROR_ELEVATION_REQUIRED ab.

System

Komponente Beschreibung

Anwendungsinformationsdienst

Ein Systemdienst, der beim Starten von Apps hilft, die eine oder mehrere erhöhte Berechtigungen oder Benutzerrechte zum Ausführen erfordern, z. B. lokale Administrative Aufgaben und Apps, die höhere Integritätsstufen erfordern. Der Anwendungsinformationsdienst hilft beim Starten solcher Apps, indem ein neuer Prozess für die Anwendung mit dem Vollzugriffstoken eines Administratorbenutzers erstellt wird, wenn eine Erhöhung erforderlich ist und (je nach Gruppenrichtlinie) der Benutzer seine Zustimmung dazu erteilt.

Erhöhen einer ActiveX-Installation

Wenn ActiveX nicht installiert ist, überprüft das System die UAC-Schiebereglerebene. Wenn ActiveX installiert ist, wird die Einstellung "Benutzerkontensteuerung: Wechseln zum sicheren Desktop" aktiviert, wenn Sie zur Erhöhung Gruppenrichtlinie aufgefordert werden.

Überprüfen der UAC-Schiebereglerebene

UAC verfügt über einen Schieberegler, um aus vier Benachrichtigungsebenen auszuwählen.

  • Immer benachrichtigen wird:

    • Benachrichtigen Sie, wenn Programme versuchen, Software zu installieren oder Änderungen an Ihrem Computer vorzunehmen.
    • Benachrichtigen Sie, wenn Sie Änderungen an Windows Einstellungen vornehmen.
    • Fixieren Sie andere Vorgänge, bis Sie antworten.

    Empfohlen, wenn Sie häufig neue Software installieren oder unbekannte Websites besuchen.

  • Benachrichtigen Sie mich nur, wenn Programme versuchen, Änderungen an meinem Computer vorzunehmen :

    • Benachrichtigen Sie, wenn Programme versuchen, Software zu installieren oder Änderungen an Ihrem Computer vorzunehmen.
    • Sie werden nicht benachrichtigt, wenn Sie Änderungen an Windows Einstellungen vornehmen.
    • Fixieren Sie andere Vorgänge, bis Sie antworten.

    Wird empfohlen, wenn Sie nicht oft Apps installieren oder unbekannte Websites besuchen.

  • Benachrichtigen Sie mich nur, wenn Programme versuchen, Änderungen an meinem Computer vorzunehmen (meinen Desktop nicht abblenden):

    • Benachrichtigen Sie, wenn Programme versuchen, Software zu installieren oder Änderungen an Ihrem Computer vorzunehmen.
    • Sie werden nicht benachrichtigt, wenn Sie Änderungen an Windows Einstellungen vornehmen.
    • Fixieren Sie andere Vorgänge erst, wenn Sie antworten.

    Nicht empfohlen. Wählen Sie diese Option nur aus, wenn es lange dauert, bis der Desktop auf Ihrem Computer abgeblendet wird.

  • Benachrichtigungen (UAC-Eingabeaufforderungen deaktivieren) werden nie benachrichtigt :

    • Benachrichtigen Sie nicht, wenn Programme versuchen, Software zu installieren oder Änderungen an Ihrem Computer vorzunehmen.
    • Sie werden nicht benachrichtigt, wenn Sie Änderungen an Windows Einstellungen vornehmen.
    • Fixieren Sie andere Vorgänge erst, wenn Sie antworten.

    Aus Sicherheitsgründen nicht empfohlen.

Sicherer Desktop aktiviert

Die Benutzerkontensteuerung: Wechseln zum sicheren Desktop, wenn die Aufforderung zur Festlegung der Rechteerweiterungsrichtlinie aktiviert ist:

  • Wenn der sichere Desktop aktiviert ist, werden alle Rechteerweiterungsanforderungen unabhängig von den Richtlinieneinstellungen für Das Eingabeaufforderungsverhalten für Administratoren und Standardbenutzer an den sicheren Desktop gesendet.

  • Wenn der sichere Desktop nicht aktiviert ist, werden alle Rechteerweiterungsanforderungen an den Desktop des interaktiven Benutzers'gesendet, und die Benutzereinstellungen für Administratoren und Standardbenutzer werden verwendet.

Createprocess

CreateProcess ruft die Erkennung von AppCompat, Fusion und Installer auf, um zu bewerten, ob die App eine Erhöhung erfordert. Die Datei wird dann überprüft, um die angeforderte Ausführungsebene zu ermitteln, die im Anwendungsmanifest für die Datei gespeichert wird. CreateProcess schlägt fehl, wenn die im Manifest angegebene angeforderte Ausführungsebene nicht mit dem Zugriffstoken übereinstimmt und einen Fehler (ERROR_ELEVATION_REQUIRED) an ShellExecute zurückgibt.

AppCompat

Die AppCompat-Datenbank speichert Informationen in den Einträgen zur Anwendungskompatibilitätskorrektur für eine Anwendung.

Fusion

Die Fusion-Datenbank speichert Informationen aus Anwendungsmanifesten, die die Anwendungen beschreiben. Das Manifestschema wird aktualisiert, um ein neues angefordertes Ausführungsebenenfeld hinzuzufügen.

Installer-Erkennung

Die Installationserkennung erkennt Setupdateien, wodurch verhindert wird, dass Installationen ausgeführt werden, ohne dass der Benutzer'Wissen und Zustimmung hat.

Kernel

Komponente Beschreibung

Virtualisierung

Die Virtualisierungstechnologie stellt sicher, dass nicht konforme Apps nicht automatisch ausgeführt werden oder in einer Weise fehlschlagen, dass die Ursache nicht ermittelt werden kann. UAC bietet auch Datei- und Registrierungsvirtualisierung und Protokollierung für Anwendungen, die in geschützte Bereiche schreiben.

Dateisystem und Registrierung

Die Datei- und Registrierungsvirtualisierung pro Benutzer leitet Registrierungs- und Dateischreibeanforderungen pro Computer an gleichwertige Speicherorte pro Benutzer um. Leseanforderungen werden zuerst an den virtualisierten Standort pro Benutzer und an den Standort pro Computer an zweiter Stelle umgeleitet.

Der Schieberegler wird UAC nie vollständig deaktivieren. Wenn Sie sie auf "Nie benachrichtigen" festlegen, wird Folgendes ausgeführt:

  • Führen Sie den UAC-Dienst aus.
  • Veranlassen Sie, dass alle von Administratoren initiierten Erhöhungsanforderungen automatisch genehmigt werden, ohne dass eine UAC-Eingabeaufforderung angezeigt wird.
  • Alle Erhöhungsanforderungen für Standardbenutzer automatisch verweigern.

Wichtig

Um die Benutzerkontensteuerung vollständig zu deaktivieren, müssen Sie die Richtlinie "Benutzerkontensteuerung: Alle Administratoren im Administratorgenehmigungsmodus ausführen" deaktivieren.

Warnung

Einige Universelle Windows-Plattform-Apps funktionieren möglicherweise nicht, wenn UAC deaktiviert ist.

Virtualisierung

Da Systemadministratoren in Unternehmensumgebungen versuchen, Systeme zu sichern, sind viele Branchenanwendungen so konzipiert, dass nur ein Standardbenutzerzugriffstoken verwendet wird. Daher müssen Sie die meisten Apps nicht ersetzen, wenn UAC aktiviert ist.

Windows 10 und Windows 11 Datei- und Registrierungsvirtualisierungstechnologie für Apps enthalten, die nicht UAC-kompatibel sind und die eine ordnungsgemäße Ausführung des Zugriffstokens eines Administrators erfordern. Wenn eine nicht UAC-kompatible Verwaltungs-App versucht, in einen geschützten Ordner zu schreiben, z. B. "Programmdateien", gibt die UAC der App eine eigene virtualisierte Ansicht der Ressource, die sie zu ändern versucht. Die virtualisierte Kopie wird im Profil des Benutzers verwaltet. Diese Strategie erstellt eine separate Kopie der virtualisierten Datei für jeden Benutzer, der die nicht konforme App ausführt.

Die meisten App-Aufgaben funktionieren mithilfe von Virtualisierungsfeatures ordnungsgemäß. Obwohl die Virtualisierung die Ausführung einer Mehrheit der Anwendungen zulässt, handelt es sich um einen kurzfristigen Fix und keine langfristige Lösung. App-Entwickler sollten ihre Apps so schnell wie möglich so ändern, dass sie konform sind, anstatt sich auf die Datei-, Ordner- und Registrierungsvirtualisierung zu verlassen.

Virtualisierung ist in den folgenden Szenarien keine Option:

  • Virtualisierung gilt nicht für Apps, die mit erhöhten Rechten versehen sind und mit einem vollständigen Administrativen Zugriffstoken ausgeführt werden.

  • Virtualisierung unterstützt nur 32-Bit-Apps. 64-Bit-Apps ohne erhöhte Rechte erhalten einfach eine Meldung über verweigerten Zugriff, wenn sie versuchen, ein Handle (einen eindeutigen Bezeichner) für ein Windows-Objekt zu erhalten. Systemeigene Windows 64-Bit-Apps müssen mit UAC kompatibel sein und Daten an den richtigen Speicherorten schreiben.

  • Die Virtualisierung ist deaktiviert, wenn die App ein App-Manifest mit einem angeforderten Ausführungsebenenattribut enthält.

Ausführungsebenen anfordern

Ein App-Manifest ist eine XML-Datei, die die freigegebenen und privaten Parallelassemblys beschreibt und identifiziert, an die eine App zur Laufzeit gebunden werden soll. Das App-Manifest enthält Einträge für UAC-App-Kompatibilitätszwecke. Administrative Apps, die einen Eintrag im App-Manifest enthalten, fordern den Benutzer auf, auf das Zugriffstoken des Benutzers zuzugreifen. Obwohl ihnen kein Eintrag im App-Manifest fehlt, können die meisten administrativen Apps ohne Änderungen mithilfe von App-Kompatibilitätsfixes ausgeführt werden. App-Kompatibilitätspatches sind Datenbankeinträge, die es Anwendungen ermöglichen, die nicht UAC-kompatibel sind, ordnungsgemäß zu funktionieren.

Allen UAC-kompatiblen Apps sollte eine angeforderte Ausführungsebene zum Anwendungsmanifest hinzugefügt werden. Wenn die Anwendung administrativen Zugriff auf das System benötigt, wird durch Markieren der App mit der angeforderten Ausführungsstufe "Administrator erforderlich" sichergestellt, dass das System dieses Programm als administrative App identifiziert und die erforderlichen Erhöhungsschritte ausführt. Die angeforderten Ausführungsebenen geben die für eine App erforderlichen Berechtigungen an.

Installer-Erkennungstechnologie

Installationsprogramme sind Apps für die Bereitstellung von Software. Die meisten Installationsprogramme schreiben in Systemverzeichnisse und Registrierungsschlüssel. Diese geschützten Systemspeicherorte können in der Regel nur von einem Administrator in der Installer-Erkennungstechnologie geschrieben werden, was bedeutet, dass Standardbenutzer nicht über ausreichendEn Zugriff auf die Installation von Programmen verfügen. Windows 10 und Windows 11 Heuristically detect installation programs and requests administrator credentials or approval from the administrator user in order to run with access privileges. Windows 10 und Windows 11 auch heuristisch Updates und Programme erkennen, die Anwendungen deinstallieren. Eines der Designziele von UAC besteht darin, zu verhindern, dass Installationen ohne Wissen und Zustimmung des Benutzers ausgeführt werden, da Installationsprogramme in geschützte Bereiche des Dateisystems und der Registrierung schreiben.

Die Installer-Erkennung gilt nur für:

  • Ausführbare 32-Bit-Dateien.
  • Anwendungen ohne angefordertes Ausführungsebenenattribut.
  • Interaktive Prozesse, die als Standardbenutzer mit aktivierter UAC ausgeführt werden.

Bevor ein 32-Bit-Prozess erstellt wird, werden die folgenden Attribute überprüft, um festzustellen, ob es sich um ein Installationsprogramm handelt:

  • Der Dateiname enthält Schlüsselwörter wie "install", "setup" oder "update".
  • Die Felder "Versionsverwaltungsressource" enthalten die folgenden Schlüsselwörter: "Lieferant", "Firmenname", "Produktname", "Dateibeschreibung", "Ursprünglicher Dateiname", "Interner Name" und "Exportname".
  • Schlüsselwörter im parallelen Manifest werden in die ausführbare Datei eingebettet.
  • Schlüsselwörter in bestimmten StringTable-Einträgen werden in der ausführbaren Datei verknüpft.
  • Wichtige Attribute in den Ressourcenskriptdaten werden in der ausführbaren Datei verknüpft.
  • Es gibt gezielte Bytesequenzen innerhalb der ausführbaren Datei.

Hinweis

Die Schlüsselwörter und Sequenzen von Bytes wurden aus allgemeinen Merkmalen abgeleitet, die von verschiedenen Installationstechnologien beobachtet wurden.

Hinweis

Die Benutzerkontensteuerung: Anwendungsinstallationen erkennen und Die Einstellung für die Rechteerweiterungsrichtlinie muss aktiviert sein, damit Installationsprogramme erkannt werden können. Weitere Informationen finden Sie unter Sicherheitsrichtlinieneinstellungen für die Benutzerkontensteuerung.