1. #1
    Lt. Commander
    Dabei seit
    Mär 2005
    Beiträge
    1.132

    Programme mit Admin-Rechten starten ohne Admin-Konto

    Ich stehe vor dem Problem, daß beim Jüngsten immer mehr Programme Admin-Rechte haben wollen. Nun haben bisher immer alle Rechner außer mir in der Familie aus bekannten Gründen keine Admin-Rechte. Es ging bisher auch immer, und zur Not gabs bei Windows 7 und 8 in der Pro-Version den AppLocker, mit dem man für einzelne Programme eine entsprechende Sicherheitsrichtline einrichten konnte. Hier konnte ich beispielweise das Spiel LOL entsprechend mit dem Laucher freigeben.

    Nun wurde der Rechner mittlerweile auch auf Windows 10 aktualisiert, es steht hier selbst in der Pro Version kein AppLocker mehr zur Verfügung, dies gibts nur noch mit der für Privatpersonen nicht erhältlichen Enterprise-Version. Für die damals eingerichtete Richtline LOL funktioniert seltsamerweise noch, aber alle neueren Programme nicht mehr. Selbst Programme über Steam, beispielsweise Black Desert, wollen unbedingt Admin-Rechte beim Start haben. Ebenso will UPlay mittlerweile für Updates auch Admin-Rechte haben.

    Wie kann man das noch anders lösen? Außer AppLocker und den hier beschriebenen Weg configuration service providers (wo ich leider nicht hinbekomme) habe ich keine weitere Idee. Wie macht man das nun, wenn man einem minderjährigen Kind Zugriff auf einem Computer gewähren möchte, und dabei trotzdem die Risiken minimieren möchte? Dauernd daneben stehen möchte man ja als Elternteil auch nicht, um dort das Admin-Kennwort einzugeben.
    Geändert von PHuV (12.10.2017 um 21:39 Uhr)

  2. Anzeige
    Logge dich ein, um diese Anzeige nicht zu sehen.
  3. #2
    Commander
    Dabei seit
    Mai 2010
    Beiträge
    2.101

    AW: Programme mit Admin-Rechten starten ohne Admin-Konto

    uPlay fordert zwar immer höhere Rechte an, lässt sich aber mittels eines einfachen Tasten ESC Taste beenden. Das Programm startet trotzdem normal.

    ​Generell würde ich aber mal überprüfen ob mit dem Rechner irgendwas nicht stimmt. Bei mir ist uPlay das einzige Programm das immer höhere Rechte anfordert, da ich immer mit eingeschränkten Rechten arbeite.
    Intel i5-2500k@3,3GHz - Zalman 9900 - Asus P8Z68V Pro/Gen3 - Asus GTX 670 DC2@Stock - 8GB DDR3-1333 CL7 - Enermax Pro82+ 525W - OCZ Agility 3


  4. #3
    Admiral
    Dabei seit
    Apr 2009
    Beiträge
    8.869

    AW: Programme mit Admin-Rechten starten ohne Admin-Konto

    Man könnte mit dem Restric'tor alle erlaubten Anwendungen außerhalb des System auf eine Whilelist setzen. Etwas anderes (unerlaubtes) kann dann nicht gestartet werden.
    (╯°□°)╯︵ (~ .o.)~ WLP richtig auftragen √(-1) 2³ ∑ ℼ ...and it was delicious!

  5. #4
    Commander
    Dabei seit
    Apr 2010
    Ort
    Ludwigshafen
    Beiträge
    2.091

    AW: Programme mit Admin-Rechten starten ohne Admin-Konto

    Für solche Fälle gibt es bei Windows immer das Kommandozeilentool "Runas". Mit dem kannst Du Programme im Kontext eines anderen Profils starten, so dass dieses Programm dessen Berechtigungen bekommt. Das Benutzerprofil muss dazu nicht geladen werden und Du kannst beim ersten Programmstart das nötige Kennwort abfragen lassen, das dann gespeichert wird. Alle weiteren Starts dieses Programms erfolgen anschliessend ohne Kennwortabfrage und das Programm hat für sich die nötigen Berechtigungen.

    Eine Beispielzeile dazu wäre: runas /noprofile /savecred /user:administrator "C:\Windows\Notepad.exe". Diese würde Notepad mit den Berechtigungen des Administrators starten, das Profil des Administrators wird nicht geladen und das Kennwort wird abgefragt und gespeichert. Für die betreffenden Programme eine Verknüpfung erstellen, die den Programmstart mit dieser Befehlszeile einleitet und schon haben die Programme die nötigen Berechtigungen, ohne dass der Benutzer selbst mit diesen ausgestattet sein muss.

    Das angegebene Benutzerprofil muss natürlich existieren und darf nicht deaktiviert sein!
    Geändert von areiland (12.10.2017 um 23:04 Uhr) Grund: Ergänzungen, Korrekturen!
    Gruss Alex
    Spielen - wozu? Ich hab Windows, das beste Adventure Game der Welt. Windows 8/8.1 jetzt mit Tetris Level.
    MS-Dos 5.0 und 6.22, Windows 1.01, 2.03, 3.0, 3.1, 3.11, 95, 98, NT 3.51, 4.0, ME, 2000, XP, und 7 in VirtualBox virtuellen Maschinen

  6. #5
    Captain
    Dabei seit
    Feb 2015
    Beiträge
    3.565

    AW: Programme mit Admin-Rechten starten ohne Admin-Konto

    Zitat Zitat von PHuV Beitrag anzeigen
    ...aus bekannten Gründen keine Admin-Rechte.
    Was sind die Gründe dafür?! Sollte er nicht lernen selbst Verantwortung zu übernehmen? Ich sehe darin keinen Sinn.

  7. #6
    Ensign
    Dabei seit
    Jun 2012
    Beiträge
    147

    AW: Programme mit Admin-Rechten starten ohne Admin-Konto

    Ich nutze für sowas UAC Pass.

  8. #7
    Lt. Commander
    Ersteller dieses Themas

    Dabei seit
    Mär 2005
    Beiträge
    1.132

    AW: Programme mit Admin-Rechten starten ohne Admin-Konto

    Zitat Zitat von majusss Beitrag anzeigen
    Was sind die Gründe dafür?! Sollte er nicht lernen selbst Verantwortung zu übernehmen? Ich sehe darin keinen Sinn.
    Ist Dein Problem, ich handhabe das so in meinem Zuhause, und eine Diskussion darüber ist müßig und paßt hier nicht rein.

    @areiland
    Das mit Runas ist an sich eine gute Idee, danke. Aber im Falle von dem Spiel Black Desert mußte ich feststellen, daß erst der Launcher und dann nochmal ein anderes Programm gestartet wird, und 2. Mal die Berechtigung abgefragt werden. Ich werde das mal testen.

    @powerfx

    Sieht erst mal gut aus, leider erschließt sich mir trotz Lesen des Artikels (als alter c't Abonnent) nicht ganz, wie es Admin-Rechte für ein Nicht-Adminuser freigibt. Eigentlich mag es ja genau das umgekehrte, es beschränkt Programme, gerade auch für die, die mit Adminrechten unterwegs sind.

  9. #8
    Captain
    Dabei seit
    Apr 2007
    Beiträge
    3.159

    AW: Programme mit Admin-Rechten starten ohne Admin-Konto

    runas /noprofile /savecred /user:administrator "C:\Windows\Notepad.exe"
    ist etwas unzuverlässig oder funktioniert bei mir gar nicht.

    Fehler:
    - erfordert höhere Rechte, obwohl admin-account im admin-cmd
    - Benutzer oder PW falsch, obwohl korrekt

    Bei wem funktionierts? W10 Pro aktuelle Version.
    Geändert von engine (13.10.2017 um 07:36 Uhr)

  10. #9
    Cadet 4th Year
    Dabei seit
    Aug 2017
    Beiträge
    109

    AW: Programme mit Admin-Rechten starten ohne Admin-Konto

    Rechtsklick auf die *.exe-->Eigenschaften-->Kompatibilität-->Haken in "Programm als Administrator ausführen" setzen. Fertig! Hat bei mir bis jetzt immer geklappt.

  11. #10
    Commander
    Dabei seit
    Apr 2010
    Ort
    Ludwigshafen
    Beiträge
    2.091

    AW: Programme mit Admin-Rechten starten ohne Admin-Konto

    @engine
    Funktioniert einwandfrei, wenn man beachtet, dass das genannte Konto auch existiert und ein Passwort besitzt.

    @Dark Matter
    "Programm als Administrator ausführen" nutzt nichts, wenn das Benutzerkonto keine Adminrechte besitzt - und genau darum gehts hier doch.
    Gruss Alex
    Spielen - wozu? Ich hab Windows, das beste Adventure Game der Welt. Windows 8/8.1 jetzt mit Tetris Level.
    MS-Dos 5.0 und 6.22, Windows 1.01, 2.03, 3.0, 3.1, 3.11, 95, 98, NT 3.51, 4.0, ME, 2000, XP, und 7 in VirtualBox virtuellen Maschinen

  12. #11
    Captain
    Dabei seit
    Apr 2007
    Beiträge
    3.159

    AW: Programme mit Admin-Rechten starten ohne Admin-Konto

    ich muss auch sagen, ich arbeite mit PINs und ein PW ist sicher vorhanden und mit 2 Admin-Accounts probiert, den Administrator natürlich aktiviert.

    Ich suche nämlich auch eine Möglichkeit für mich selber 3 PIN eingaben zu umgehen, über die Aufgabenplanung gehts vermutlich nicht, habe jedenfalls noch nichts gutes gefunden.
    Naja, weiter probieren...
    Geändert von engine (13.10.2017 um 09:17 Uhr)

  13. #12
    Admiral
    Dabei seit
    Mai 2008
    Beiträge
    9.388

    AW: Programme mit Admin-Rechten starten ohne Admin-Konto

    Zitat Zitat von majusss Beitrag anzeigen
    Was sind die Gründe dafür?! Sollte er nicht lernen selbst Verantwortung zu übernehmen? Ich sehe darin keinen Sinn.
    Die Gründe sind allgemeine Systemsicherheit, ich zitiere mal etwas älteres von mir
    "Übersicht über die Jahre wie viel Prozent der entdeckten Sicherheitslücken im jeweiligen Jahr ohne Adminrechte gar nicht erst ausgenutzt werden konnten:

    2009 (Quelle report-microsoft-vulnerability-study-2009.pdf von beyondtrust)
    90% der aufgekommen kritischen Windows 7 Lücken
    100% der aufgekommen Microsoft Office Lücken
    94% der aufgekommen Internet Explorer Lücken

    2014 (Quelle report-microsoft-vulnerability-study-2014.pdf von Avecto)
    98% der aufgekommen kritischen Windows Lücken
    95% der aufgekommen Microsoft Office Lücken
    99,5% der aufgekommen Internet Explorer Lücken

    2015 (Quelle report-microsoft-vulnerability-study-2015.pdf von Avecto)
    86% der aufgekommen kritischen Windows Lücken
    82% der aufgekommen Microsoft Office Lücken
    99,5% der aufgekommen Internet Explorer Lücken"
    Die Werte sind auch aktuell nicht großartig abweichend.

    Den UAC Prompt sieht MS selbst nicht als Sicherheitsbarriere, wenn der User Adminrecht ehat, hat er Adminrechte
    „A weakness that would allow to bypass the “Consent Prompt” is not considered a security vulnerability, since that is not considered a security boundary”
    https://msdn.microsoft.com/en-us/library/cc751383.aspx
    (nicht verwechseln mit UAC selbst!)

    Es hat etwas mit Verantwortung tragen zu tun nicht ständig mit adminrechten unterwegs zu sein


    @Topic
    Brauchen denn die Programme tatsächlich Adminrechte? Reicht es nicht z.B. für Benutzer Änderungsrechte auf das Programmverzeichnis zu geben und gegebenenfalls auf die registry pfade? Wenn es ansonsten nichts benötigt kannst du über das Microsoft Application Compatibility Toolkit den UAC Prompt für diese Programme deaktivieren
    Ansonsten natürlich der schon genannte weg über runas, siehe etwas ausführlicher hier
    https://www.howtogeek.com/124087/how...administrator/
    Geändert von 0711 (13.10.2017 um 10:43 Uhr)

  14. #13
    Captain
    Dabei seit
    Apr 2007
    Beiträge
    3.159

    AW: Programme mit Admin-Rechten starten ohne Admin-Konto

    Zitat Zitat von 0711 Beitrag anzeigen
    ...
    (nicht verwechseln mit UAC selbst!)
    ...
    Wie meinst du das?

  15. #14
    Admiral
    Dabei seit
    Mai 2008
    Beiträge
    9.388

    AW: Programme mit Admin-Rechten starten ohne Admin-Konto

    Der UAC Prompt selbst ist der gesicherte Desktop zur Eingabe des Passworts oder bei einem Adminuser, die Bestätigungsseite in einem gesicherten Desktop. Nun ist das "vorbeimogeln" an dem Prompt (Bestätigungsseite) aus MS Sicht offenbar kein Sicherheitsproblem...ein Einbruch in diesen gesicherten Desktop wäre aber z.B. ein Problem (dadurch ist z.B. die Passworteingabe vor Keyloggern im Userkontext geschützt) - bei ersterem bleibt man im selben userkontext, bei letzterem nicht

    Aber UAC ansich ist noch viel mehr, ohne uac z.B. keine prozessisolation oder dateisystemisolation (auch der grund warum ohne uac z.B. die uwp apps nicht einfach so laufen). Wiki gibt da meiner Ansicht nach n relativ soliden überblick
    https://de.wikipedia.org/wiki/Benutzerkontensteuerung

  16. #15
    Captain
    Dabei seit
    Apr 2007
    Beiträge
    3.159

    AW: Programme mit Admin-Rechten starten ohne Admin-Konto

    Den ganzen Artikel kann man für Normalbenutzer zusammenpressen:
    Bereits beim Erscheinen von Vista 2007 stellten Russinovich und Johansson (und andere) klar, dass die Benutzerkontensteuerung weder zum Nerven, noch als Schutz gegen ausgeklügelte Angriffe zur Rechteausweitung gedacht ist.
    Es gibt nur eines, dem eigenen Benutzer die admin. Rechte entziehen. Punkt. (dieser Satz ist doch verständlich, oder? Deswegen meine Frage in #13)

    Für die anderen, die denken, sie müssen den Wiki-Artikel verstehen, die können ihn lesen.

  17. #16
    Lt. Commander
    Ersteller dieses Themas

    Dabei seit
    Mär 2005
    Beiträge
    1.132

    AW: Programme mit Admin-Rechten starten ohne Admin-Konto

    Ein grundsätzliches Problem ist doch, warum braucht eine Anwendung oder ein Spiel überhaupt Admin-Rechte? Wenn ich beispielsweise Anwendungen und Programme im Linux-Umfeld habe, bekommen diese ihr eigenes "Konto", alle Rechte werden entsprechend vergeben, fertig. Dann ist vielleicht bei der Installation ein Admin- bzw. Root-Kennwort notwendig, aber definitiv nicht für den Betrieb. Das würde ich eben für den üblichen Windows-Umgang genau so sehen. Admin- und Rootzugang braucht man an sich nur, wenn man auf kritische Ressourcen zugreifen möchte, bzw. sie ändern möchte. Dafür ist UAC eine gute Sache. Hier ist wieder das Problem, was ist eine kritische Ressource? Zugriff auf CD/DVD-Lauftwerk sehe ich nicht so (Beispiel beim Rippen/Kopieren), wird aber von Windows mit einige Programmen so gesehen.

    Bisher hat eben kein Steam-Spiel Admin-Rechte gefordert. Das Spiel Black Desert aber sehr wohl, und das ist für mich eher kein Windows-Problem, sondern eigentlich ein Problem des Softwareentwicklers (siehe auch die Kommentare in Steam zu diesem Spiel). AppLocker ist ja eine gute Sache, die funktioniert. Vermutlich zugut, so daß sie leider bei Windows 10 nur noch in der Enterprise-Version verfügbar ist.

    Das letzte unlösbare Problem war irgend so ein Android-Emulator für Windows, wo mein Sohn ein Spiel laufen lassen wollte. Keine Chance, läuft nur mit Admin-Rechten, ebenso unverständlich.
    Geändert von PHuV (13.10.2017 um 13:27 Uhr)

  18. #17
    Rear Admiral
    Dabei seit
    Mai 2006
    Ort
    Bielefeld
    Beiträge
    5.337

    AW: Programme mit Admin-Rechten starten ohne Admin-Konto

    Bei Spielen ab 16 Jahren sollte man seinen Kindern dann auch Admin-Rechte einräumen und das Passwort geben wenn man denen erlaubt ein Spiel zu spielen, dass bei jedem Start Admin-Rechte braucht.
    Oder man verbietet seinen 16 Jährigen so ein Spiel.
    Entweder .... oder!
    Mehr habe ich da nicht zu sagen.
    Notebook: Toshiba Satellite L750D, AMD A6-3420M APU (Llano) Windows 10 Pro

  19. #18
    Lt. Commander
    Ersteller dieses Themas

    Dabei seit
    Mär 2005
    Beiträge
    1.132

    AW: Programme mit Admin-Rechten starten ohne Admin-Konto

    Zitat Zitat von Terrier Beitrag anzeigen
    Bei Spielen ab 16 Jahren sollte man seinen Kindern dann auch Admin-Rechte einräumen und das Passwort geben wenn man denen erlaubt ein Spiel zu spielen, dass bei jedem Start Admin-Rechte braucht.
    Blödsinn! Nein.

    Was hat das eine mit dem anderen zu tun? Laßt doch mal diese OT-Diskussionen, die hier nichts verloren haben. Habt erst mal selbst Kinder, und dann reden wir weiter. Und nein, bei mir bekommt zu Hause außer mir keine Admin-Rechte, bis auf Ausnahmen meine Frau. Ich habe ein umfangreiches Netzwerk mit 50-60 Geräten drin, und ich habe nicht das Problem wie anderen Eltern mit verseuchten Rechnern, und das will ich beibehalten. Ich bin oft als Notadmin bei diversen Familien unterwegs gewesen, und hab mitbekommen, was da unsachgemäße Bedienung anrichtet.

    Hier soll nur die technische Frage geklärt werden, und keine Erziehungsfragen!
    Geändert von PHuV (13.10.2017 um 17:21 Uhr)

  20. #19
    Lt. Junior Grade
    Dabei seit
    Aug 2008
    Beiträge
    292

    AW: Programme mit Admin-Rechten starten ohne Admin-Konto

    Sind die betroffenen Programme in C:\Programme installiert? Wenn ja, ist das der Grund für einige der Abfragen da in dem Ordner normale User nichts schreiben dürfen, höchstens der TrustedInstaller oder eben ein Administrator.

    Abhilfe schafft da meist eine eigene Spiele Partition oder ein Spiele Ordner direkt auf C:\ für die/den man dem User dann explizit Schreibrechte oder auch Vollzugriff einräumen kann.

    Grüsse

    Gulp
    Geändert von Gulp (14.10.2017 um 01:12 Uhr)

  21. #20
    Lt. Commander
    Ersteller dieses Themas

    Dabei seit
    Mär 2005
    Beiträge
    1.132

    AW: Programme mit Admin-Rechten starten ohne Admin-Konto

    Ich habe für Steam sogar ein eigenes Laufwerk angelegt G:\ bei mir bzw. D:\ bei Sohnemann. Daran kann es nicht liegen.

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Forum-Layout: Feste Breite / Flexible Breite