L1 BIO 11.02.05 ISO A.9.2.3 CIS 2.3.17.1

UAC: Admin Approval Mode Ingeschakeld Voor Ingebouwde Administrator

πŸ“… 2025-10-30
β€’
⏱️ 8 minuten lezen
β€’
πŸ”΄ Must-Have

πŸ’Ό Management Samenvatting

Admin Approval Mode voor de ingebouwde Administrator account dwingt gebruikersaccount control (UAC) prompts af zelfs voor het ingebouwde Administrator account, waardoor privilege escalation attacks worden bemoeilijkt en het security principe van least privilege wordt afgedwongen op alle accounts inclusief administrators.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
2u (tech: 1u)
Van toepassing op:
βœ“ Windows 10
βœ“ Windows 11
βœ“ Windows server

De ingebouwde Administrator account (SID-500) heeft historically ALTIJD met volledige administrative privileges gedraaid zonder UAC prompts - ELKE applicatie die Administrator draait heeft onmiddellijk volledige system access zonder elevation confirmation. Dit creΓ«ert ernstige security risks: MALWARE AUTO-ELEVATION waarbij malware gestart door Administrator account onmiddellijk volledige system privileges heeft zonder UAC prompt, drive-by downloads kunnen direct system files wijzigen, ransomware krijgt instant administrator access voor versleuteling, NO USER CONFIRMATION voordat critical system changes worden gemaakt, SOCIAL ENGINEERING EFFECTIVENESS omdat users (admins) niet gewaarschuwd worden bij privilege escalation, phishing links clicked door admin is instant system compromise, nul ACCOUNTABILITY omdat UAC logging ontbreekt voor Administrator account actions (moeilijk om audittrail te maken van wie wat deed), LATERAL MOVEMENT FACILITATION waarbij compromised Administrator account instant domain-wide access geeft zonder aanvullend escalation, Pass-the-Hash attacks met Administrator credentials is immediate privilege escalation. Real-world attack scenarios: Admin browst naar compromised website β†’ Malicious script downloads malware β†’ Malware executes met Administrator privileges Zonder UAC prompt β†’ Instant system compromise + ransomware deployment, Phishing email naar admin β†’ Click malicious attachment β†’ Trojan installs met volledige privileges β†’ Diefstal van inloggegevens + lateral movement binnen minutes. Met Admin Approval Mode ingeschakeld: Administrator account krijgt UAC prompts zoals standard users, Elevation vereist explicit confirmation (veilige desktop prompt), Malware kan NIET silent escalate naar admin privileges, audit logging van privilege escalation attempts, Defense in depth: zelfs if beheerdersaccount compromised, UAC biedt aanvullend barrier. CIS Benchmark classified deze control als CRITICAL L1 requirement.

PowerShell Modules Vereist
Primary API: Intune / Microsoft Graph
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph.DeviceManagement

Implementatie

Deze control configureert de UAC setting 'gebruikersaccount Control: Admin Approval Mode voor de ingebouwde Administrator account' via OMA-URI ./Vendor/MSFT/beleid/Config/LocalPoliciesSecurityOptions/UserAccountControl_UseAdminApprovalMode is 1 (ingeschakeld). Technische werking: ingebouwde Administrator account (SID-500) runs in Admin Approval Mode waarbij access token is split (standard user token + admin token), Bij privilege requiring operation: UAC prompt appears (veilige desktop), User moet approve (Yes/No) β†’ Approved is elevated token used, Denied is operation canceled, alle administrator actions logged via Event ID 4688 (process creation) en 4672 (special privileges assigned). Effect: ingebouwde Administrator gedraagt zich zoals standard beheerdersaccounts (UAC prompts), No silent privilege escalation mogelijk, User awareness van sensitive operations, audittrail van elevated actions. Compatibility: Modern Windows applications UAC-aware (should work normaal), Legacy applications die admin privileges verwachten: kunnen prompts trigeren (acceptable - security over convenience). OPMERKING: Dit is ALLEEN voor ingebouwde Administrator account - named beheerdersaccounts hebben UAC altijd. Best practice: ingebouwde Administrator account moet uitgeschakeld zijn (separate control), gebruiken named beheerdersaccounts, maar IF ingebouwde admin gebruikt wordt (ongewenst maar gebeurt), DAN Admin Approval Mode VERPLICHT.

Vereisten

Voor het implementeren van Admin Approval Mode zijn de volgende voorwaarden vereist:

  1. Windows 10, Windows 11, of Windows server 2016 of hoger
  2. gebruikersaccount control (UAC) ingeschakeld (Standaard in moderne Windows)
  3. Microsoft Intune licentie voor beleid deployment
  4. Endpoint Administrator of beleid Administrator rol in Intune
  5. PowerShell 5.1+ met Microsoft.Graph.DeviceManagement module
  6. Testing phase: Verifieer business applications compatible met UAC prompts
  7. User awareness: Admins moeten trained zijn op UAC behavior
  8. BEST PRACTICE: ingebouwde Administrator account zou moeten be DISABLED (separate control CIS 2.3.1.1)

Implementatie

Implementatie via Intune Settings Catalog (AANBEVOLEN):

Gebruik PowerShell-script uac-admin-approval-mode.ps1 (functie Invoke-Remediation) – PowerShell script voor automatische creatie van Intune beleid via Microsoft Graph API.

  1. Microsoft Intune admin center β†’ Devices β†’ Configuration profiles
  2. Maak aan profile β†’ Platform: Windows 10 en later β†’ Profile type: Settings catalog
  3. Settings zoeken: Local beleidsregels Security Options
  4. Configureer: gebruikersaccount Control: Admin Approval Mode voor de ingebouwde Administrator account is ingeschakeld (1)
  5. BELANGRIJKE GERELATEERDE UAC SETTINGS (configureer together):
  6. - gebruikersaccount Control: Run alle administrators in Admin Approval Mode is ingeschakeld
  7. - gebruikersaccount Control: Switch to de veilige desktop Wanneer prompting voor elevation is ingeschakeld
  8. - gebruikersaccount Control: Behavior of de elevation prompt voor administrators in Admin Approval Mode is Prompt voor consent op de veilige desktop
  9. Assign to: alle devices
  10. monitor deployment via Intune reporting

Implementatie via groep beleid (on-premises AD):

  1. groep beleid Management Console (GPMC)
  2. Edit GPO β†’ Computer Configuration β†’ beleidsregels β†’ Windows Settings β†’ beveiligingsinstellings
  3. Local beleidsregels β†’ Security Options
  4. schakel in: 'gebruikersaccount Control: Admin Approval Mode voor de ingebouwde Administrator account' is ingeschakeld
  5. Link GPO to appropriate OUs
  6. Run gpupdate /force op Test machines

Verificatie van deployment:

  1. Login met ingebouwde Administrator account (if ingeschakeld - zou moeten be disabled volgens CIS)
  2. Try administrative operation (install software, modify system files)
  3. Expected: UAC prompt appears (veilige desktop)
  4. Verify: Event logt show Event ID 4688 met elevated privileges

CRITICAL REMINDER: CIS Benchmark recommends ingebouwde Administrator account be DISABLED entirely (control 2.3.1.1). Admin Approval Mode is secondary defense IF account moet be used.

monitoring

Gebruik PowerShell-script uac-admin-approval-mode.ps1 (functie Invoke-Monitoring) – Controleert Intune beleid presence voor Admin Approval Mode via Graph API.

Continue monitoring:

  1. Intune device compliance: UAC beleid deployment status
  2. Registry verification: HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\beleidsregels\System\FilterAdministratorToken is 1
  3. Windows Event Logs: Event ID 4688 (Process Creation) met Elevated privileges voor Administrator account
  4. Event ID 4672 (Special privileges toegewezen aan new logon) voor Administrator logons
  5. UAC audit: Volg privilege escalation prompts (frequency, approvals/denials)
  6. beveiligingsincidenten: Malware attempting silent escalation (zou moeten zijn blocked)
  7. Quarterly review: Is ingebouwde Administrator account nog steeds in use? (zou moeten zijn disabled)

Remediatie

Gebruik PowerShell-script uac-admin-approval-mode.ps1 (functie Invoke-Remediation) – Herstellen.

Voor devices waar Admin Approval Mode NIET ingeschakeld is:

  1. CRITICAL FINDING: ingebouwde Administrator running Zonder UAC is extreme privilege escalation risk
  2. Immediate: toepassen Intune beleid via remediation script
  3. Verifieer beleid deployment success via device reporting
  4. Controleer voor beleid conflicts (GPO overriding Intune?)
  5. Test UAC behavior: Admin zou moeten receive elevation prompts
  6. ROOT CAUSE: waarom was Admin Approval Mode niet ingeschakeld? Standaard misconfiguration? beleid gap?
  7. BETTER SOLUTION: Schakel uit ingebouwde Administrator entirely, gebruiken named beheerdersaccounts

aanbevolen REMEDIATION PATH:

  1. Step 1: Maak aan named administrator accounts voor actual admins
  2. Step 2: Migrate admin workflows naar named accounts
  3. Step 3: Schakel uit ingebouwde Administrator account (CIS 2.3.1.1)
  4. Step 4: Admin Approval Mode wordt then irrelevant (account disabled)
  5. Result: beter beveiligingspositie (named accounts + UAC + accountability)

Compliance en Auditing

Deze control is verplicht voor naleving van:

  1. CIS Microsoft Windows Benchmark - control 2.3.17.1 (Zorg ervoor dat 'gebruikersaccount Control: Admin Approval Mode voor de ingebouwde Administrator account' is set to 'ingeschakeld')
  2. BIO 11.02.05 - Toegangsbeveiliging - Controle van geprivilegieerde toegangsrechten
  3. ISO 27001:2022 A.9.2.3 - Management of privileged toegangsrechten
  4. ISO 27001:2022 A.9.4.4 - gebruiken of privileged utility programs - Controlled access
  5. NIS2 Artikel 21 - Cybersecurity risicobeheer - Privileged Toegangscontrole en authenticaties
  6. NIST SP 800-53 AC-6 - Least Privilege principle enforcement
  7. PCI-DSS Requirement 7.1 - Limit access gebaseerd op need to know (least privilege)

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS UAC: Admin Approval Mode .DESCRIPTION OMA-URI: ./Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_UseAdminApprovalMode .NOTES Filename: uac-admin-approval-mode.ps1 Author: Nederlandse Baseline voor Veilige Cloud CIS: 2.3.17.1 #> #Requires -Version 5.1 #Requires -Modules Microsoft.Graph.DeviceManagement [CmdletBinding()] param([Parameter(Mandatory = $true, ParameterSetName = 'Monitoring')][switch]$Monitoring, [Parameter(Mandatory = $true, ParameterSetName = 'Remediation')][switch]$Remediation, [Parameter(Mandatory = $true, ParameterSetName = 'Revert')][switch]$Revert, [switch]$WhatIf) $ErrorActionPreference = 'Stop' function Invoke-Monitoring { Connect-MgGraph -Scopes 'DeviceManagementConfiguration.Read.All' -NoWelcome; $uri = "https://graph.microsoft.com/beta/deviceManagement/deviceConfigurations"; $configs = (Invoke-MgGraphRequest -Method GET -Uri $uri).value | Where-Object { $_.displayName -match 'UAC.*Admin.*Approval' }; return @{ isCompliant = ($configs.Count -gt 0) } } function Invoke-Remediation { Connect-MgGraph -Scopes 'DeviceManagementConfiguration.ReadWrite.All' -NoWelcome; $policyBody = @{ '@odata.type' = '#microsoft.graph.windows10CustomConfiguration'; displayName = "Baseline: UAC Admin Approval Mode"; omaSettings = @(@{ '@odata.type' = '#microsoft.graph.omaSettingInteger'; displayName = 'Use Admin Approval Mode'; omaUri = './Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_UseAdminApprovalMode'; value = 1 }) }; Invoke-MgGraphRequest -Method POST -Uri "https://graph.microsoft.com/beta/deviceManagement/deviceConfigurations" -Body ($policyBody | ConvertTo-Json -Depth 10) | Out-Null; Write-Host "[OK] Created" -ForegroundColor Green } function Invoke-Revert { Connect-MgGraph -Scopes 'DeviceManagementConfiguration.ReadWrite.All' -NoWelcome; $uri = "https://graph.microsoft.com/beta/deviceManagement/deviceConfigurations"; (Invoke-MgGraphRequest -Method GET -Uri $uri).value | Where-Object { $_.displayName -match 'Baseline.*UAC.*Admin.*Approval' } | ForEach-Object { Invoke-MgGraphRequest -Method DELETE -Uri "$uri/$($_.id)" } } try { switch ($PSCmdlet.ParameterSetName) { 'Monitoring' { $r = Invoke-Monitoring; exit $(if ($r.isCompliant) { 0 } else { 1 }) } 'Remediation' { Invoke-Remediation } 'Revert' { Invoke-Revert } } } catch { Write-Error $_; exit 2 }

Risico zonder implementatie

Risico zonder implementatie
High: HOOG PRIVILEGE ESCALATION RISICO: ingebouwde Administrator zonder Admin Approval Mode is nul UAC prompts voor privilege escalation. Malware executed door Administrator krijgt instant volledige system privileges zonder user confirmation. Drive-by downloads kunnen direct system files modify. Phishing attacks successful zonder warning prompts. Recent malware families (Emotet, TrickBot) abuse administrator privileges voor lateral movement. Admin Approval Mode adds critical defense layer. ECHTER: BETERE OPLOSSING is ingebouwde Administrator DISABLEN (CIS 2.3.1.1) en named beheerdersaccounts gebruiken.

Management Samenvatting

Schakel in Admin Approval Mode voor ingebouwde Administrator om UAC prompts af te dwingen. Voorkomt silent privilege escalation. ingebouwde Admin moet elevation confirmen zoals standard admins. Voldoet aan CIS 2.3.17.1 (L1), BIO 11.02, ISO 27001 A.9.2.3. Implementatie: 1-2 uur. IMPORTANT OPMERKING: BETERE security practice is Schakel uit ingebouwde Administrator entirely (CIS 2.3.1.1) dan is Admin Approval Mode niet relevant.