Was ist der Windows 11-Administratorschutz?

Microsoft kündigt auf seiner Build-2025-Konferenz den Administratorschutz für Windows 11 an und stellt damit eine neue Sicherheitsfunktion vor, die speziell den Schutz von Administratorkonten verbessert. Der Administratorschutz sorgt dafür, dass sensible Systembereiche und erhöhte Berechtigungen besser abgesichert werden, um unbefugten Zugriff und potenzielle Angriffe zu verhindern.

Inhaltsverzeichnis

Was ist der Windows-Administrator-Schutz?
Geschützte Administratoren vs. Standardbenutzer
Wie funktioniert der Administrator-Schutz?
Einschränkungen des Administrator-Schutzes
- Mehr Aufforderungen zur Berechtigungserweiterung
- Separates Benutzerprofil

Diese Neuerung hat direkte Auswirkungen auf die Entwicklung von Anwendungen für Windows 11: Entwickler müssen künftig stärker berücksichtigen, wie ihre Programme mit Administratorrechten umgehen, und ihre Anwendungen entsprechend anpassen, um den neuen Sicherheitsanforderungen zu entsprechen. Dadurch wird insgesamt ein höheres Sicherheitsniveau im Betriebssystem gewährleistet, ohne die Funktionalität für Nutzer und Entwickler unnötig einzuschränken.

Was ist der Windows-Administrator-Schutz?

Der Windows 11-Administrator-Schutz bietet lokalen Administratoren mehr Schutz, ohne die Funktionen einzuschränken, die sie zur Durchführung ihrer Aufgaben benötigen.

Microsoft gab in seinem Digital Defense Report 2024 bekannt, dass es täglich 39.000 Angriffe auf Windows-Geräte zum Diebstahl von Anmeldetoken gab. Wenn Benutzer Anwendungen als Administrator ausführen, sind sie einem höheren Risiko ausgesetzt. Anwendungen mit erhöhten Rechten können leichter von Malware infiziert werden, da sie Zugriff auf Systemressourcen haben, wie beispielsweise Anmeldetoken, die Windows zur Authentifizierung von Benutzern verwendet.

Geschützte Administratoren vs. Standardbenutzer

Administratorkonten in Windows 11 werden auch als "geschützte Administratoren" bezeichnet. Meistens sind geschützte Administratoren nicht auf den Administratorstatus erhoben – sie verfügen stattdessen über Standardbenutzerzugriff. Sie können diesen jedoch bei Bedarf ganz einfach erweitern. Beispielsweise möchten Sie vielleicht eine Anwendung ausführen, die nur mit Administratorrechten funktioniert, oder Sie müssen eine systemweite Änderung über die Systemsteuerung oder die App "Einstellungen" vornehmen.

Die Erhöhung der Berechtigungen wird in Windows 11 durch die Benutzerkontensteuerung (User Account Control, UAC) geregelt. Die Standardkonfiguration der UAC umfasst automatische Erhöhungen. Bei einigen systemweiten Aufgaben des Betriebssystems werden Ihnen stillschweigend Administratorrechte zugewiesen, ohne dass Sie irgendeine Form der Zustimmung erteilen müssen. Es ist jedoch möglich, automatische Erhöhungen in Windows zu deaktivieren.

Microsoft empfiehlt, sich nach Möglichkeit nicht als geschützter Administrator anzumelden, sondern ein Standardbenutzerkonto zu verwenden. Die einzige Möglichkeit, als Standardbenutzer Administratorrechte zu erhalten, ist die "Over-the-Shoulder-Elevation", d. h., jemand, der das Passwort für ein lokales Administratorkonto kennt, muss Ihnen den Benutzernamen und das Passwort mitteilen. Oder Sie geben das Passwort an den Benutzer weiter, was jedoch den Sinn der Einrichtung eines Standardbenutzerkontos zunichte macht, es sei denn, Sie verfügen über einen Prozess, um das Passwort jedes Mal zu ändern, wenn eine Over-the-Shoulder-Elevation durchgeführt wird.

Unternehmen, die es sich leisten können, lassen ihre Benutzer als Standardbenutzer anmelden und fügen dann eine Privileged Access Management (PAM)-Lösung hinzu, wie Beyond Trust PowerBroker oder das Endpoint Privilege Management in Microsoft Intune, die es Unternehmen ermöglichen, Erhöhungen auf Administratorzugriff zentral zu verwalten. Diese Lösungen sind jedoch mit Kosten verbunden und müssen eingerichtet und verwaltet werden.

Der Administrator-Schutz in Windows 11 richtet sich an Unternehmen, die sich keine Endpoint-Privilege-Management-Lösung leisten können und bei denen sich Benutzer zumindest zeitweise als Administrator anmelden müssen.

Wie funktioniert der Administrator-Schutz?

Wenn der Administrator-Schutz aktiviert ist, läuft die Anwendung oder der Prozess unter einem separaten Benutzerprofil, sobald ein geschützter Administrator Administratorrechte erlangt.

Benutzerprofile bieten eine zusätzliche Sicherheitsebene. Der Administrator-Schutz nutzt ein System Managed Administrator Account (SMAA) und ein separates Benutzerprofil, um die Anwendung oder den Prozess mit erhöhten Rechten auszuführen. Diese neue Architektur bietet zusätzlichen Schutz.

Just-in-Time-Erweiterung

Sitzungen mit erhöhten Rechten werden mittels Just-in-Time-Erweiterung eingerichtet. Die Erweiterung erfolgt, sobald Sie sie anfordern, und wird aufgehoben, sobald die Anwendung oder der Prozess geschlossen wird. Sie erhalten erst dann wieder erweiterte Rechte, wenn Sie diese erneut anfordern.

Windows Hello-Integration

Der Administrator-Schutz wurde in Windows Hello integriert. Jedes Mal, wenn ein geschützter Administrator eine Berechtigungserweiterung wünscht, muss er seine Zustimmung entweder über eine PIN oder eine biometrische Geste wie Gesichtserkennung, Fingerabdruck oder eine andere von Windows Hello unterstützte Methode erteilen.

Die automatische Berechtigungserweiterung wird als Standardkonfiguration in Windows 11 entfernt

Die automatische Berechtigungserweiterung wird in Windows 11 entfernt. Geschützte Administratoren müssen der Erweiterung von Berechtigungen immer zustimmen, um zu verhindern, dass Malware unbemerkt im Hintergrund Aktionen ausführt, von denen der Benutzer sonst möglicherweise nichts mitbekommt.

Einschränkungen des Administrator-Schutzes

Der Administrator-Schutz in Windows 11 weist einige Einschränkungen auf.

Mehr Aufforderungen zur Berechtigungserweiterung

Da die automatische Berechtigungserweiterung entfernt wird, werden geschützte Administratoren (PA) mehr Aufforderungen zur Berechtigungserweiterung sehen. Wenn ein PA etwas tun muss, das zuvor automatisch mit erhöhten Rechten ausgeführt wurde, wie z. B. eine systemweite Änderung in der App "Einstellungen", wird er bei aktivierter Administrator-Schutzfunktion zur Zustimmung aufgefordert. Für die meisten Benutzer sollte es jedoch nicht notwendig sein, systemweite Einstellungen häufig zu ändern, sobald ihr Gerät einmal konfiguriert ist.

Separates Benutzerprofil

Der Administrator-Schutz führt zu einem separaten Benutzerprofil, in dem PAs Dateien speichern oder benutzerdefinierte Einstellungen vornehmen können. Wenn dieselbe Anwendung oder derselbe Prozess ohne erweiterte Berechtigungen ausgeführt wird, haben PAs keinen Zugriff auf Dateien und Einstellungen, da diese in einem separaten Benutzerprofil gespeichert sind.

Benutzer könnten gezwungen sein, Apps häufiger mit erweiterten Berechtigungen auszuführen, um einen Wechsel zwischen Benutzerprofilen zu vermeiden und einen konsistenten Zugriff auf Dateien und Konfigurationseinstellungen zu gewährleisten. Microsoft weist Entwickler darauf hin, dass Anwendungen im Benutzermodus ausgeführt werden sollten, damit sie keine Administratorrechte benötigen..

Wichtig ist, den Unterschied zwischen einem PA und einem Standardbenutzerkonto zu verstehen – letzteres hat Microsoft schon immer zur Verwendung empfohlen. Viele Unternehmen verstehen diesen Unterschied jedoch nicht und nutzen ein PA, das bei der Einrichtung von Windows 11 als Standardkonto verwendet wird.

Ob Sie sich für ein PA oder ein Standardbenutzerkonto entscheiden, hängt von der beruflichen Funktion des Benutzers ab. Entwickler benötigen wahrscheinlich immer Administratorzugriff auf ihre Geräte. Anwendungen wie Visual Studio Code und andere Tools erfordern Administratorzugriff auf das Betriebssystem für die Fehlersuche usw., sodass der Administratorschutz dazu beiträgt, Entwickler in Situationen zu schützen, in denen Endpoint Privilege Management nicht praktikabel ist.

windows 11
Verwendung von SYSPREP unter Windows 11

Die Bereitstellung von Windows 11 auf Hunderten oder sogar Tausenden von Geräten lässt sich automatisieren, wenn Sie über ein Systemabbild verfügen, das Sie klonen können.
windows 11
So aktivieren Sie automatische Registry-Backups in Windows 11

Die Registry ist eine Systemdatenbank, die alle wichtigen Konfigurationseinstellungen von Windows enthält.
windows 11
Ihr Windows 11-PC enthält zahlreiche Apps, die Sie wohl nie verwenden werden - hier sind die nutzlosesten

Windows 11 enthält mehrere essenzielle Apps, die Sie sicher täglich nutzen. Daneben gibt es jedoch zahlreiche Apps, die Sie vermutlich nie starten werden.
windows 11
5 einfache Tweaks, die Windows 11 wie Windows 10 aussehen lassen

Der 14. Oktober 2025 bleibt vielen Windows-Nutzern in Erinnerung: An diesem Tag stellte Microsoft sein beliebtes Betriebssystem - Windows 10 - ein.
windows 11
4 Windows-11-Funktionen, deren Vorteile immer wieder hervorzuheben sind

Windows 11 steckt voller versteckter Dienstprogramme und praktischer Tools, deren offenkundige Vorteile immer wieder hervorzuheben sind.

Artikel

windows 10
So ändern Sie die Systempartition unter Windows 10

Immer, wenn Sie Windows-Betriebssysteme über verschiedene physische Festplatten verteilt nutzen, befindet sich die Systempartition meist auf der ersten Festplatte
windows 11
So beheben Sie Probleme mit Apps, die unter Windows 11 nicht funktionieren

Wenn unter Windows 11 eine App aus irgendeinem unerklärlichen Grund nicht geöffnet wird, können Sie sie auf die Standardeinstellungen zurücksetzen.
windows 10
Windows 10 blockiert standardmäßig potenziell unerwünschte Anwendungen

Microsoft hat damit begonnen, den Schutz vor potenziell unerwünschten Apps (PUA) zu aktivieren.
windows 11
Deaktivieren der Einrastfunktion in Windows 11

Die "Einrastfunktion" ist eine großartige Barrierefreiheitsfunktion für Windows-Computer, mit der Sie Tasten unabhängig voneinander nacheinander drücken können, um Tastenkombinationen zu öffnen, statt diese Tasten alle gleichzeitig zu drücken.
office
Tipps und Tricks zur Steigerung der Effizienz in Word

Wenn es um Textverarbeitung geht, ist Microsoft Word der Standard.
hardware
Was ist die Zwei-Faktor-Authentifizierung?

Durch die Einführung von Zwei-Faktor-Authentifizierung (2FA) kann eine zusätzliche Hürde errichtet werden.
software
SpyBot Search & Destroy

Haben Sie Spyware auf Ihrem Computer?
windows 11
So löschen Sie den Cache Ihres Windows 11-PCs

Wenn Ihr Windows 11-PC etwas träge reagiert, ist es möglicherweise an der Zeit für eine Bereinigung.
windows 10
So können Sie farbige Titelleisten in Windows 10 aktivieren

Erscheinen Ihnen die Anwendungsfenster in Windows 10 etwas langweilig.
windows 10
Windows 10 nach beschädigten Systemdateien scannen

Wenn Ihr PC während des Starts Probleme macht, könnte es sein, dass Windows-Systemdateien beschädigt wurden.
windows 11
So aktivieren Sie Bluetooth in Windows 11 und verbinden Ihre Geräte

Wenn Sie einen aufgeräumten Arbeitsplatz und weniger Kabel in Ihrem Leben mögen, sind Bluetooth-Geräte die richtige Wahl.
windows 10
Taskplaner in Windows 10 verwenden

Der Taskplaner in Windows 10 ist in vielerlei Hinsicht sehr ähnlich zu dem in älteren Versionen des Betriebssystems.
windows all
So führen Sie ein Upgrade von Windows 7 auf Windows 10 durch

Seit 2015 bietet Microsoft seinen Nutzern die Möglichkeit, ein kostenloses Upgrade von Windows 7 auf Windows 10 vorzunehmen.
windows 11
So entfernen Sie ein Microsoft-Konto aus Windows 11

Microsoft setzt stark darauf, dass sich Benutzer bei einem Cloud-Konto anmelden und verschiedene Dienste wie OneDrive im Hintergrund laufen.
windows 10
Wie Sie Windows 10 von 32-Bit auf 64-Bit upgraden

Windows 10 ist sowohl als 32-Bit- als auch als 64-Bit-Version erhältlich.