Quick Assist (Remote Hilfe) und UAC Elevation Prompt

Wird in Quick Assist der UAC Elevation Prompt trotz Full Control nur beim unterstützten Benutzer und nicht beim Unterstützer angezeigt, dann liegt dies i.d.R. an den UAC Einstellung bzgl. Secure Desktop. Der Secure Desktop Switch der UAC muss deaktiviert werden über die Einstellung Switch to the secure desktop when prompting for elevation. Je nach Systemumgebung gibt es drei Optionen, die Einstellung zu konfigurieren.

Group Policy

AD joined Geräte können per GPO konfiguriert werden. Die entsprechende Option ist zu finden unter Computer Configuration – Policies – Windows Settings – Security Settings – Local Policies – Security Options.

Group Policy Konfiguration
Intune

Entra ID joined Geräte oder Entra Hybrid Geräte mit MDM können per Intune Configuration Profile konfiguriert werden. Hierzu wird ein Profil vom Typ Settings catalog angelegt und die Einstellung in der Kategorie Local Policies Security Options ausgewählt/eingestellt.

Intune Konfiguration
Registry

Möchte man ein unverwaltetes Gerät fernsteuern oder möchte man den Secure Desktop Switch nur temporär deaktivieren, kann dies über die Registry bewerkstelligt werden. Die entsprechenden Befehle findet ihr unten; natürlich muss das als Admin ausgeführt werden.

Disable Secure Desktop Switch

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v PromptOnSecureDesktop /t REG_DWORD /d 0x0 /f

Enable Secure Desktop Switch

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v PromptOnSecureDesktop /t REG_DWORD /d 0x1 /f
Sicherheitsüberlegungen

Bei der Deaktivierung des Secure Desktop Switch sollte beachtet werden, dass dies ggf. die Systemsicherheit reduziert. Der Secure Desktop Switch ist dazu gedacht, Spoofing Angriffen entgegenzuwirken, indem das Dialogfeld in einem geschützten Speicherbereich angezeigt wird, auf den nur vertrauenswürdige Systemprozesse zugreifen können. Genauere Infos hierzu: siehe Quellenangaben.

Quellen:
https://learn.microsoft.com/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.