Quick Assist (Remote Hilfe) und UAC Elevation Prompt
Wird in Quick Assist der UAC Elevation Prompt trotz Full Control nur beim unterstützten Benutzer und nicht beim Unterstützer angezeigt, dann liegt dies i.d.R. an den UAC Einstellung bzgl. Secure Desktop. Der Secure Desktop Switch der UAC muss deaktiviert werden über die Einstellung Switch to the secure desktop when prompting for elevation. Je nach Systemumgebung gibt es drei Optionen, die Einstellung zu konfigurieren.
Group Policy
AD joined Geräte können per GPO konfiguriert werden. Die entsprechende Option ist zu finden unter Computer Configuration – Policies – Windows Settings – Security Settings – Local Policies – Security Options.
Intune
Entra ID joined Geräte oder Entra Hybrid Geräte mit MDM können per Intune Configuration Profile konfiguriert werden. Hierzu wird ein Profil vom Typ Settings catalog angelegt und die Einstellung in der Kategorie Local Policies Security Options ausgewählt/eingestellt.
Registry
Möchte man ein unverwaltetes Gerät fernsteuern oder möchte man den Secure Desktop Switch nur temporär deaktivieren, kann dies über die Registry bewerkstelligt werden. Die entsprechenden Befehle findet ihr unten; natürlich muss das als Admin ausgeführt werden.
Disable Secure Desktop Switch
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v PromptOnSecureDesktop /t REG_DWORD /d 0x0 /f
Enable Secure Desktop Switch
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v PromptOnSecureDesktop /t REG_DWORD /d 0x1 /f
Sicherheitsüberlegungen
Bei der Deaktivierung des Secure Desktop Switch sollte beachtet werden, dass dies ggf. die Systemsicherheit reduziert. Der Secure Desktop Switch ist dazu gedacht, Spoofing Angriffen entgegenzuwirken, indem das Dialogfeld in einem geschützten Speicherbereich angezeigt wird, auf den nur vertrauenswürdige Systemprozesse zugreifen können. Genauere Infos hierzu: siehe Quellenangaben.
Quellen:
https://learn.microsoft.com/
