Die Microsoft-App “Remotehilfe”, inzwischen auch “Schnellhilfe” genannt (im Englischen “Quick Assist”), ist ein nützliches Fernwartungstool, um Anwendern aus der Ferne behilflich zu sein. Jedoch stößt diese App an ihre Grenzen, sobald privilegierte Benutzerkonten zum Einsatz kommen müssen.
Was bedeutet das genau?
Der helfende Benutzer oder Administrator verbindet sich aus der Ferne mit dem entfernten Computer, wobei der Remote Benutzer keine administrativen Berechtigungen besitzt (Standardbenutzer). Der Administrator kann mithilfe der Remotehilfe ausschließlich mit den Rechten des Standardbenutzers arbeiten, bis administrative Einstellungen vorgenommen werden müssen. Genau dann greift die Benutzerkontensteuerung (UAC) ein, um erhöhte Berechtigungen einzufordern.
Warum ist das ein Problem?
Grundsätzlich stellt die UAC kein wirkliches Problem dar. Im Alltag kann die UAC jedoch in einigen Punkten aufwendig sein. Im Fall der Remotehilfe ist die UAC tatsächlich ein massives Problem. Administratoren können versuchen, etwas mit privilegierten Konten auszuführen, scheitern jedoch an einem schwarzen Bildschirm in der Remotehilfe. Nur der entfernte Benutzer sieht die Aufforderung zur Eingabe der privilegierten Konten, nicht jedoch der eigentliche Administrator.
Dieses Problem lässt sich aus der App heraus leider nicht lösen, es sei denn, Microsoft integriert eine entsprechende Lösung, damit die Remotehilfe in der Lage ist, die UAC-Steuerung nutzbar zu machen.
Wie kann das Problem behoben werden?
Das Anzeigeproblem in der Remotehilfe kann durch Gruppenrichtlinien entschärft werden. Durch die zu setzenden Richtlinien wird beim Aufruf der UAC nicht mehr in den “Secure Desktop”-Modus gewechselt, und die Anzeige erfolgt nur als reine Desktop-Aufforderung (Prompt).
Der Pfad der zu ändernden Richtlinieneinstellungen lautet:
Computer Configuration > Policies > Security Settings > Local Policies > Security Options
Hierzu folgende 3 Einstellungen übernehmen [EN|DE]:
Richtlinie | Wert |
User Account Control: Allow UIAccess applications to prompt for elevation without using secure desktop | Enabled |
Benutzerkontensteuerung: UIAccess-Anwendungen können erhöhte Rechte ohne sicheren Desktop anfordern | Aktiviert |
User Account Control: Behavior of the elevation prompt for standard users | Prompt for credentials |
Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer | Eingabeaufforderung zu Anmeldeinformationen |
User Account Control: Switch to the secure desktop when prompting for elevation | Disabled |
Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln | Deaktiviert |
Alternative Lösungen
Es gibt andere Fernwartungstools, die möglicherweise besser mit privilegierten Konten umgehen können. Beispiele hierfür sind kostenlose Tools wie AnyDesk und kostenpflichtige Tools wie TeamViewer. Diese Tools sind speziell dafür ausgelegt und entwickelt, auch das UAC-Fenster bedienen zu können. Im Gegensatz dazu bieten herkömmliche Kollaborationstools wie Microsoft Teams aktuell keine Lösung für dieses Problem. In solchen Fällen ist weder das Anklicken des UAC-Fensters noch die Eingabe von privilegierten Konten möglich. Der hier aufgezeigte Weg mittels Gruppenrichtlinien ist daher eine elegante Lösung, um den Einsatz weiterer Drittanbieter-Tools zu vermeiden.
Sicherheitswarnung
Änderungen an den Einstellungen der Benutzerkontensteuerung (UAC) können zu einer veränderten Bewertung der Sicherheitsinfrastruktur führen. Das Deaktivieren des “Secure Desktop”-Modus, wie in diesem Artikel beschrieben, kann die Sicherheit des Systems beeinträchtigen und es anfälliger für Angriffe machen.
Bitte beachten Sie, dass der hier beschriebene Weg keine offizielle Lösung von Microsoft darstellt, sondern eher als Workaround zu betrachten ist. Es wird empfohlen, diese Änderungen nur nach sorgfältiger Abwägung der Sicherheitsrisiken und in Absprache mit Ihrem IT-Sicherheitsteam vorzunehmen.