AutoPilot von Microsoft ist ein mächtiges Werkzeug, um Windows 11 Geräte schnell und effizient auszurollen. Aber Achtung! Wenn Sie nicht aufpassen, behalten die Benutzer nach dem Deployment Administratorrechte – ein unnötiges Sicherheitsrisiko. Dieser Artikel zeigt Ihnen, wie Sie das verhindern und Ihren Windows 11 Rollout sicher gestalten.
Warum sind administrative Rechte ein Problem?
Administratorrechte erlauben einem Benutzer, tiefgreifende Änderungen am System vorzunehmen. Das beinhaltet die Installation von Software (auch Schadsoftware!), das Verändern von Systemeinstellungen und im schlimmsten Fall das Kompromittieren des gesamten Geräts. In einem Unternehmensumfeld kann das zu Datenverlust, Systemausfällen und Compliance-Problemen führen. Deshalb ist es ein Best Practice, den Nutzern nur die Rechte zu geben, die sie tatsächlich für ihre Arbeit benötigen – das Prinzip der geringsten Privilegien (Principle of Least Privilege, PoLP).
Die Standardeinstellung von AutoPilot und das Problem
Standardmäßig konfiguriert AutoPilot den ersten Benutzer, der sich auf einem neuen oder zurückgesetzten Gerät anmeldet, als lokalen Administrator. Das ist zwar praktisch für die initiale Einrichtung, aber eben auch ein Sicherheitsrisiko, das Sie unbedingt adressieren müssen.
Wie verhindern Sie, dass Benutzer Administratorrechte erhalten?
Es gibt verschiedene Wege, um zu verhindern, dass Benutzer nach einem AutoPilot Deployment administrative Rechte behalten. Hier sind die gängigsten Methoden:
1. Azure Active Directory (Azure AD) Beitritt und die Globaler Administratorrolle
Wenn Sie Ihre Geräte per Azure AD beitreten, ist die einfachste Methode, sicherzustellen, dass dem Benutzer kein Azure AD Rolle zugewiesen ist, die globale Administratorrechte impliziert. Kontrollieren Sie, ob der betreffende Benutzer oder eine Gruppe, der der Benutzer angehört, die Rolle „Globaler Administrator” innehat. Ist dies der Fall, entfernen Sie die Zuweisung und gewähren Sie nur die notwendigen Berechtigungen über andere Mechanismen.
2. Konfigurationsprofile in Microsoft Intune
Microsoft Intune ist das zentrale Werkzeug, um Windows 11 Geräte zu verwalten. Über Konfigurationsprofile können Sie detaillierte Einstellungen vornehmen, einschließlich der Benutzerkontensteuerung (User Account Control, UAC). Hier sind die Schritte, um ein Konfigurationsprofil zur Einschränkung von Administratorrechten zu erstellen:
- Melden Sie sich im Microsoft Endpoint Manager Admin Center (endpoint.microsoft.com) an.
- Navigieren Sie zu Geräte -> Konfigurationsprofile.
- Klicken Sie auf Profil erstellen.
- Wählen Sie als Plattform Windows 10 und höher und als Profiltyp Einstellungen Katalog.
- Geben Sie dem Profil einen Namen (z.B. „AutoPilot – Keine lokalen Admins”) und eine Beschreibung.
- Klicken Sie auf Weiter.
- Klicken Sie auf Einstellungen hinzufügen.
- Suchen Sie nach „User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode„.
- Wählen Sie diese Einstellung aus.
- Konfigurieren Sie die Einstellung nach Ihren Bedürfnissen. Empfehlungen sind:
- Prompt for consent on the secure desktop (fordert eine Zustimmung auf dem sicheren Desktop an – der Benutzer muss ein Passwort eingeben)
- Automatically deny elevation requests (lehnt Erhöhungsanfragen automatisch ab)
- Suchen Sie nach „User Account Control: Detect application installations and prompt the user„.
- Wählen Sie diese Einstellung aus und setzen Sie sie auf Enabled.
- Klicken Sie auf Weiter.
- Weisen Sie das Profil der Gruppe von Geräten oder Benutzern zu, für die Sie die Administratorrechte einschränken möchten.
- Klicken Sie auf Überprüfen + erstellen und dann auf Erstellen.
Dieses Konfigurationsprofil sorgt dafür, dass Benutzer nur eingeschränkte Rechte haben und bei Aktionen, die administrative Rechte erfordern, um Erlaubnis gefragt werden.
3. Custom OMA-URI Einstellungen
Eine weitere Möglichkeit ist die Verwendung von Custom OMA-URI (Open Mobile Alliance Uniform Resource Identifier) Einstellungen in Intune. Diese Methode ist etwas technischer, bietet aber mehr Flexibilität. Hier ist ein Beispiel für eine OMA-URI Einstellung, die verhindert, dass Benutzer automatisch Administratorrechte erhalten:
- Name: AutoPilot – Lokale Admin Entfernen
- Beschreibung: Entfernt lokale Adminrechte nach AutoPilot Deployment.
- OMA-URI: ./Vendor/MSFT/PolicyManager/My/Autopilot/AccountType
- Datentyp: String
- Wert: StandardUser
Dieses OMA-URI konfiguriert den Benutzer nach dem AutoPilot Prozess als Standardbenutzer, nicht als Administrator.
4. Power Shell Skripts
Sie können auch PowerShell Skripts verwenden, um Benutzer aus der lokalen Administratorgruppe zu entfernen. Diese Skripte können Sie über Intune ausrollen. Hier ist ein Beispielskript:
# Skript zum Entfernen des aktuellen Benutzers aus der lokalen Administratorgruppe
$CurrentUser = $env:USERNAME
$ComputerName = $env:COMPUTERNAME
# Find the local Administrators group
$AdminsGroupName = "Administrators"
$AdminsGroup = [ADSI]"WinNT://$ComputerName/$AdminsGroupName,group"
# Remove the current user from the Administrators group
try {
$AdminsGroup.Remove("WinNT://$ComputerName/$CurrentUser")
Write-Host "User $CurrentUser removed from local Administrators group."
} catch {
Write-Host "Error removing user: $($_.Exception.Message)"
}
Dieses Skript identifiziert den aktuellen Benutzer und entfernt ihn aus der lokalen Administratorgruppe. Verpacken Sie dieses Skript als Win32 App in Intune und stellen Sie es nach dem AutoPilot Deployment bereit.
Wichtige Überlegungen und Best Practices
- Testen Sie Ihre Konfiguration: Bevor Sie Änderungen in der Produktion vornehmen, testen Sie Ihre Konfiguration in einer Testumgebung.
- Dokumentieren Sie Ihre Änderungen: Dokumentieren Sie, welche Einstellungen Sie vorgenommen haben und warum.
- Überwachen Sie die Ergebnisse: Überwachen Sie nach dem Rollout, ob die Konfiguration korrekt angewendet wurde und ob es Probleme gibt.
- Kommunizieren Sie mit den Benutzern: Informieren Sie die Benutzer über die Änderungen und erklären Sie, warum sie wichtig sind.
- Rollback-Plan: Haben Sie einen Plan, falls etwas schief geht. Wie können Sie die Änderungen rückgängig machen?
Fazit
Die sichere Bereitstellung von Windows 11 Geräten mit AutoPilot erfordert eine sorgfältige Planung und Konfiguration. Indem Sie die oben genannten Methoden anwenden, können Sie sicherstellen, dass Ihre Benutzer nicht unnötig Administratorrechte erhalten und das Sicherheitsrisiko minimieren. Die Investition in eine sichere Konfiguration zahlt sich durch geringere Supportkosten, weniger Sicherheitsvorfälle und eine verbesserte Compliance aus.