1. #1
    Commodore
    Dabei seit
    Mär 2005
    Beiträge
    4.753

    Benutzerkontensteuerung von Windows Vista/Windows 7

    Im Forum kommen immer wieder Fragen zur neuen Benutzerkontensteuerung von Windows Vista/Windows 7, deswegen diese FAQ dazu.
    In meinen Ausführungen spreche ich bei der Benutzerkontensteuerung von der UAC (User Account Control) zur Vereinfachung.




    Wer Anregungen, Fragen, Kritik usw. hat, diskutiert in [FAQ] Benutzerkontensteuerung von Windows Vista/Windows 7




    Was soll die blöde Fragerei wenn ich etwas installieren will? Ich bin doch kein kleines Kind, das ständig bemuttert werden muss.

    Bei Vista wurden endlich Administrative und reine Benutzer Aufgaben getrennt, benötigt ein Vorgang Admin Rechte, kommt die UAC. Dieses Sicherungskonzept ist auch nicht neu, man konnte auch unter XP ein eingeschränktes Konto einrichten.
    Auch findet dieses Sicherheitskonzept schon länger bei Linux und beim MAC OS Verwendung, deswegen gelten diese schon länger als sichere Betriebssysteme.


    Die Benutzerkontensteuerung bringt nichts, sie verschiebt eine Aktion nur um einen Klick nach hinten.

    Man kann Microsoft nicht für die Leichtsinnigkeit der Benutzer verantwortlich machen, wer alles ungesehen bestätigen wird, hat tatsächlich keinen Sicherheitsvorteil. Wer aber UAC deaktiviert, wird wenn Malware schwerwiegende Schäden verursachen möchte, überhaupt nichts mitbekommen.


    Ein eingeschränktes Konto habe ich unter XP schon nicht gebraucht, für die Sicherheit ist mein Virenscanner bzw. Firewall zuständig und ich hatte unter XP schon mehrere Jahre nie Probleme.

    Viren sollten eigentlich auch ohne Antiviren Programm nicht auf den Rechner kommen können. Denn ein solches Programm kann nicht alles erkennen - Bei weitem nicht. Ein AV Programm dient nur dazu, eine Chance zu bieten, durchgekommene Viren (meistens wohl durch den Benutzer gestartet) noch frühzeitig zu erkennen. Aber halt nur eine Chance.
    Kein Virenscanner kann eine 100% Erkennung bieten, auch der Beste (Testsieger) nicht.
    Bei Ausbruch von Malware versagen die meisten Virenscanner und lassen Malware anstandslos passieren. Die UAC ist auch nur ein Teil eines Sicherheitskonzeptes, das bedeutet nicht, dass man ohne diese sofort infiziert würde.
    UAC kann man vergleichen, wie mit dem Sicherheitsgurt beim Auto, man wird ihn ev. jahrelang nicht brauchen, bloss wenn es mal kracht, wird er einem das Leben retten.

    Hier mal ein Beispiel, wie Virenscanner versagen können:

    http://oschad.de/wiki/index.php/Virenscanner


    Die UAC ist nur was für unerfahrene Nutzer, ich weiß was ich mache und brauche deswegen die UAC nicht. Auch klicke ich keine Links in Emails an die ich nicht kenne und verhalte mich beim surfen sehr vorsichtig. UAC trägt bei erfahrenen Usern nur wenig zur Sicherheit bei

    Dieses Argument wird besonders oft ins Feld geführt, deswegen halte ich dieses jetzt für besonders wichtig!

    Es geht hier nicht um Programme die man installieren will und dies mit einer UAC Abfrage bestätigen muss.
    Wenn man UAC deaktiviert, bekommt man wenn sich Schadcode, der z.B.: via Sicherheitslücke im Browser eindringen will und sich Administrator Rechte erschleichen möchte, überhaupt nichts mit. Diese würde dann mit den Rechten des angemeldeten Benutzers laufen, was bedeuten würde, System infiziert.
    Surfen und arbeiten mit eingeschränkten Rechten gehört zu den sichersten Methode zum surfen, oder zum arbeiten.

    Wenn der Firefox-Nutzer mit Administratorrechten angemeldet ist, kann damit zudem beliebiger Code innerhalb des Betriebssystems gestartet werden.
    http://www.golem.de/0709/54744.html

    Microsoft weist explizit darauf hin, dass die Schwachstelle weniger weitreichende Auswirkungen auf Anwender hat, die nicht mit Administratorrechten arbeiten.
    http://www.heise.de/newsticker/meldung/97150

    .....können Angreifer mit manipulierten Servern Schadcode einschleusen und mit den Rechten des Benutzers ausführen.
    http://www.heise.de/security/news/meldung/94354


    Die UAC kann doch leicht von jeder Malware umgangen werden, die UAC bringt keine großen Sicherheitsvorteil.

    Vista:

    Bei Vista ist es bis jetzt nicht gelungen die UAC umgehen, ohne das der Benutzer eine UAC Abfrage präsentiert bekommt. Hier kann man einen klaren Vorteil der UAC bei Vista ausmachen, die klar zwischen Admin und Benutzer Rechten trennt.
    Um die UAC deaktivieren zu können, braucht man Admin Rechte (UAC Abfrage auf den sicheren Desktop) und einen neu Start.

    Windows 7:

    Unter Windows 7 bietet die UAC so gut wie keinen Schutz mehr (in der Standard Stufe) vor Malware, die sich mit Administratoren Rechten im System einnisten will. Das demonstrierte ein erst kürzlich kursierender Exploit, um sich volle Admin Rechte zu verschaffen. Dieser kann ohne Nachfrage der UAC eine Eingabeaufforderung mit Admin Rechten öffnen.

    Der Artikel bezieht sich auf Windows 7 RC, das Problem ist aber auch noch in der Final Version vorhanden.
    UAC in Windows 7 immer noch löchrig
    Hier ist auch ein Demo Video verfügbar, bzw. es gibt auf dieser Homepage das Demo Programm zum Download.
    http://www.istartedsomething.com/200...code-released/

    Auch lassen sich zurzeit auch ohne Exploit diverse Anwendungen (Virenscanner) ohne UAC Abfrage entfernen. Eindringende Malware könnte also den Anti Virenscanner komplett außer Gefecht setzen.
    Schutz bietet es hier nur, die UAC auf die höchste Stufe zu stellen (Immer benachrichtigen). Hier verhält sich Windows 7 aber fast wieder wie Vista, ist aber dann genau so sicher.


    Unter Windows 7 kommen UAC Anfragen nun deutlich weniger zum Vorschein als bei Vista, woran liegt dieses?

    In Windows 7 gibt es nun einen Schieberegler, mit dem vier Einstellungen auswählbar sind.
    In der Grundeinstellung ist die zweit höchste Stufe gewählt (Standard), die zur Zeit nicht zu empfehlen ist. Zuverlässigen Schutz bietet nur die höchste Stufe.

    User Account Control wird granular


    Die UAC bringt nichts, mein Virenscanner hat Malware gefunden, trotz aktiver UAC.

    Auch ein eingeschränkter Benutzer hat Schreibzugriff auf gewisse Teile der Festplatte ohne UAC Abfrage, dieses betrifft den Ordner Eigene Dateien und nicht System relevante Bereiche der Festplatte. Hier hat auch ev. Malware Zugriff, diese lässt sich dann aber viel leichter entfernen, da sie das Betriebssystem und auch den Virenscanner nicht manipulieren kann.
    Oft finden Virenscanner nur harmlose Tracking Cookies, viele User interpretieren dieses falsch und meinen, ihr Computer wäre infiziert.

    Auch ist es möglich, dass die Schadsoftware mit Zustimmung vom Benutzer installiert wurde, hier sollte man immer beachten:

    • Software nicht „ergoogeln“, sondern immer aus vertrauenswürdiger Quelle laden. Hier von Computerbase oder von, Chip, Winfuture, Wintotal usw.
      Hier ein Beispiel mit dem Filesharing Programm Shareaza, wie man ev. via Suchmaschine nicht auf er offiziellen Homepage, sondern auf einer anderen landen kann. In diesem Fall wird „nur“ Adware installiert, es wäre in anderen Fällen auch Malware möglich.
      http://www.heise.de/newsticker/meldung/101519


    • Keine Cracks, oder Programme die via Filesharing geladen wurden, installieren.



    Ist man bei gewissenhafter Nutzung des Rechners und aktiver UAC vor jeder Malware sicher?

    Hier muss man ganz klar sagen, NEIN.
    Diverse Malware ist auch unter eingeschränkten Rechten lauffähig. Mit Anwender Rechten (eingeschränkte Rechte), ist es durchaus möglich eine Browser Erweiterung zu installieren um als "Man-in-the-middle" verschlüsselten Datenverkehr mitzulesen, auch Spam Versand und DDoS Attacken auf andere Webseiten ist ohne Administrator Rechte möglich.
    Ich möchte aber hier erwähnen, das die UAC hierbei nicht umgangen wird, es können aber auch mit eingeschränkten Rechten gewisse Einstellungen vorgenommen werden, sonst wäre die Betriebssystem für den Anwender in der Praxis nicht bedienbar.


    Wann kann ich bedenkenlos eine UAC Anfrage bestätigen und wann nicht?


    Man kann problemlos einen UAC Dialog bestätigen, wenn:

    • Beabsichtigt ist ein Programm oder Software zu installieren, die aus einer vertrauenswürdigen Quelle bezogen wurde. (Dateien aus Filesharing und Warez Seiten gehören übrigens dazu nicht. )
      Der Programmpfad sollte natürlich mit der gestarteten Datei übereinstimmen.

    • Wenn man Windows System eigene Funktionen nutzt. (Windows Defrag, Gerätemanger usw.)



    Man solltest auf keinen Fall auf Fortsetzen drücken wenn:


    • eine Datei bezogen wurde (Internet, USB Stick uws.), die eigentlich ein Bild, Film, Dokument sein soll, aber beim starten einen UAC Dialog nach sich zieht.

    • Wenn beim surfen ohne dein zu tun ein UAC Dialog erscheint, der noch mit einer Orangen Umrandung umgeben ist. (Diese Dateien gehören nicht zum System und haben auch keine Digitale Signatur)
      Hier steht dann im Dialog:
      Dateiursprung: Aus dem Internet heruntergeladen und beim Programmpfad eine Adresse die für das Internet steht, hinterlegt ist. Hier müssen besonderes bei einer Orangen Umrandung die Alarm Glocken läuten. (Das Bild hat keinen Orangen Rahmen, bitte davon nicht irritieren lassen.) Jetzt werden vielleicht manche sagen, das ist bei mir aber noch nie passiert, das liegt oft auch daran, das viele Malware überhaupt nicht UAC kompatibel ist.
      Es ist interessant zu sehen, dass man erstmal Rootkits aussuchen muss, die kompatibel mit Windows Vista sind. Noch interessanter ist die Tatsache, dass der Einsatz von UAC die Installation der verwendeten Rootkits via Drive-by-Download verhindern kann. Ein Aspekt, der deutlich das gesteigerte Sicherheitsniveau für normale Benutzer von Windows Vista zeigt.
      http://blogs.technet.com/dmelanchtho...-rootkits.aspx




    Vertrauenswürdige Hersteller versehen solche Dateien mit einer Digitalen Signatur/Zertifikat. Hier kann man überprüfen, ob die Datei zur Quelle passt. (graue/blaue Umrandung) Diese kann man betrachten, wenn man im UAC Dialog auf Details geht und die Information zum Zertifikat aufruft. Aber selbst hier würde ich immer äußert kritisch sein ( (Programmpfad: Web Adresse hinterlegt) und das erst mal mit Abbrechen bestätigen.




    Sollten diverse Programme, durch den Update Mechanismus hervorgerufen, einen UAC Dialog provozieren, sollte der Programm Pfad mit dem Programm selber übereinstimmen. Wenn also der Quick Time Player ein Update haben will, sollte der Pfad aus dem Quick Time Ordner kommen.


    UAC nervt so stark, ich habe sie deaktiviert, falls ich mir mal einen Virus einfange, spiele ich einfach mein Image zurück und bin wieder virenfrei.

    Gute Malware ist so programmiert, du wirst davon nichts mitbekommen, in dieser Zwischenzeit wurden ev. schon deine Passwörter mit protokolliert, oder du wirst als Botnet missbrauchst. Auch ein Virenscanner bietet hier ev. nicht genügend Schutz, da kein Scanner eine 100% Erkennung bieten kann.


    Die UAC brauche ich nicht, da ich der einzige Benutzer bin und auch habe ich keine kritischen Daten auf meinen PC gespeichert

    Der Einsatz von der UAC hat nichts damit zu tun, wie viele Benutzer den Pc verwenden. Auch wenn auf den Pc keine wichtige Daten gespeichert sind, so ist der Einsatz von UAC stark anzuraten, da mach auch bei eindringen von Schadcode für Illegale Aktivitäten anderer missbraucht werden kann. (Botnet)


    Warum muss auch noch der Bildschirm abdunkeln, wenn eine UAC Abfrage kommt?

    Vista:

    Die UAC Abfrage findet auf einen zweiten, sicheren Desktop statt, auf diesen kann die Abfrage nicht von anderen Prozessen manipuliert werden. Dieses führt besonderes auf älteren PCs zu einer kleinen „Denkpause“. Es ist nicht zu empfehlen den sicheren Desktop zu deaktivieren.

    Windows 7:

    Bei Windows 7 gibt es den sicheren Desktop nur in der zweit höchsten und höchsten Sicherheitsstufe.



    Viele normale Programme (Spiele) lassen sich nur nach Bestätigung der Benutzerkontensteuerung starten.

    Dies liegt meistens an zu alten Programmen, es ist zu empfehlen immer die neuste Version des Programms zu installieren und darauf zu achten, dass diese für Vista/Windows 7 zu gelassen sind.
    Auch ist es bei Spielen zu empfehlen, immer die neusten Patches zu installieren.
    Sollte dieses trotzdem nicht helfen, hilft es meistens mit Rechtsklick „Als Administrator ausführen“ zu starten.


    Die UAC nervt selbst wenn ich eine Verknüpfung löschen will, ist das nicht übertrieben?

    Vista:

    Dieses liegt daran, dass bei der Installation des Programmes die Verknüpfungen systemweit eingerichtet wurden. (für alle Benutzer) Verknüpfungen für alle Benutzer darf nur der Administrator löschen. Man möchte ja auch schliesslich nicht, dass die „kleine Schwester“ mal so eben alle Verknüpfungen löschen kann.


    Ich möchte das Startmenü umsortieren, leider muss ich diesen Vorgang oft mehrmals mit der UAC bestätigen, hätte nicht eine Abfrage gereicht?

    Hier kann man sich mit einem kleinen Trick behelfen:
    HowTo: Der Admin-Explorer


    Ich möchte Sytemdateien bearbeiten, selbst das Rechtsklicken "Als Administrator ausführen" brachte nicht den gewünschten Erfolg

    Wichtige Systemdateien werden auch noch durch den TrustedInstaller geschützt. Vorgehensweise siehe Link:
    Windows 7/Vista:TrustedInstaller


    Ich habe auf bestimmte Ordner immer noch keinen Zugriff, obwohl ich auch ich schon die UAC deaktiviert habe, diese Ordner haben einen kleinen(s) Pfeil/Schloss

    Vista:

    Es handelt sich dabei um NTFS Links, die einen virtuellen Ordner darstellen, der in Wirklichkeit auf einen ganz anderen Pfad verweist. In Windows Vista wird diese Technik bevorzugt verwendet, damit Anwendungen, die nicht die Systemfunktion zum Herausfinden des jeweiligen Pfades benutzen, sondern die Pfade hart kodiert haben, trotzdem unter Windows Vista funktionieren.
    http://blogs.technet.com/dmelanchtho...ows-vista.aspx

    Windows 7:

    Unter Windows 7 haben diese Ordner keinen Pfeil, sondern das Schloss Symbol.




    Ich erhalte bei starten/kopieren von diversen Dateien die Meldung: "Auf das angegebene Gerät, bzw. Pfad oder Datei kann nicht zugegriffen werden..."

    Diverse Sicherheitssoftware blockiert oft den Zugriff auf diese Dateien, deswegen diese Fehlermeldung. Hier hilft es die Software für Testzwecke mal zu
    deaktivieren bzw. zu deinstallieren. Besonderes Software Firewalls von Drittherstellern (Zonealarm usw.) führen zu diesen Fehlermeldungen.
    Auch könnte Malware die Rechte am System verändert haben, hier ist ein Scan mit diversen Virenscannern zu empfehlen. (Online Scanner)


    Warum kann sich die UAC nichts merken, wenn ich schon mehrmals ein Programm/Ordner mit Admin Rechten gestartet habe?

    Zurzeit ist es bei Vista/Windows 7 mit Board Mitteln nicht möglich, ein Programm/Ordner immer dauerhaft mit Admin Rechten zu starten, dieses würde auch ein großes Risiko darstellen, da jede Malware sich dann diese Funktion zu Nutze machen würde.

    Es gibt aber ein Zusatz Tool, mit diesem ist es möglich ein Programm dauerhaft mit Administrator Rechten zu starten, ohne das eine UAC Abfrage kommt.

    Benutzerkontensteuerung (UAC) für bestimmte Anwendungen deaktivieren


    Ich hatte vorher ein anderes Betriebssystem installiert (Windows XP), wenn ich jetzt auf meiner anderen Partition (externe Festplatte) ganz normale Daten verändern/verschieben will, kommt eine UAC Anfrage, dieses nervt total

    Man muss für seine alten Daten den Besitz übernehmen, dann kommt auch keine UAC Anfrage mehr.

    Besitz von Dateien und Verzeichnissen übernehmen / Berechtigungen ändern


    Beim Mac OS ist es möglich für bestimmte Ordner in Systembereichen dauerhaft Schreibzugriff zu geben, warum geht dieses bei Vista nicht?

    Diese Funktion ist bei der Windows Architektur nicht praktikabel (Sicherheitsrisiko)
    Beispiel:
    Eine Anwendung xy fordert ein Schreibrecht in den Windows Ordner und bekommt dieses einmalig durch den User, jetzt baue man einen Virus der per DLL-Injektion genau dieses Programm starten .
    Diese Vorgehensweise ist bei der Umgehung von Firewalls bekannt und würde ein großes Risiko darstellen.
    http://de.wikipedia.org/wiki/DLL-Injection


    So ganz wichtig kann die UAC nicht sein, ich habe beim Software Hersteller XY den Support kontaktiert, dort sagte man mir, ich solle damit ihre Software einwandfrei funktioniert, die UAC deaktivieren.

    Eventuell hast du die Aussage des Support falsch verstanden, ein starten der Software mit Rechtsklick „Als Administrator ausführen“ hat den gleichen Effekt, geht diese so auch nicht, hilft es auch nicht, die UAC komplett zu deaktivieren.
    Der Support wird auch nicht zugeben wollen, dass ihre Software schlecht programmiert wurde und diese mit eingeschränkten Rechten nicht lauffähig ist.


    Welche sonstigen Probleme können sich ergeben, wenn ich die UAC deaktiviere?

    Manche Programme werden sich nicht installieren lassen, da bei der Programmierung von einer aktiven UAC ausgegangen wird.
    Der Internet Explorer läuft bei deaktivierter UAC nicht mehr im geschützten Modus.


    Ich habe einige Programme im Autostart, ich muss bei jedem Neustart diese mit der UAC Abfrage bestätigen, dieses ist sehr lästig.

    Programme im Autostart die sofort Admin Rechte anfordern stellen immer ein Risiko dar (Virengefahr), mit der Aufgabenplanung kann man dieses Problem umschiffen. Dies könnte ein ev. Sicherheitsloch sein und es ist möglich, das Microsoft diese Lücke mal schliessen wird.

    Allgemeine Vorgehensweise:

    Erfolgreicher Autostart unter Vista trotz aktivierter UAC
    oder auch hier:
    Warnmeldung der Benutzerkontensteuerung bei Autostart-Programmen deaktivieren

    Anleitungen speziell auf diverse Programme abgestimmt:

    [FAQ] - CPU takten mit dem Rightmark RMClock Utility



    Haben die Farben des UAC Dialogs irgendwelche Bedeutung?

    Blau
    Windows Systemprogramme / -komponenten

    Grau
    Digital signierte Anwendungen/Programme

    Orange
    Nicht signierte Anwendungen/Programme

    Rot
    blockierte Anwendungen/Programme

    Bedeutung der Faben im UAC-Dialog


    Bringt es einen Sicherheitsvorteil, wenn ich wie unter XP ein eingeschränktes Benutzerkonto erstelle und dieses zum surfen und arbeiten verwende?

    Ein weiteres Benutzerkonto mit eingeschränkten Rechten ist in Vista/Windows 7 nicht nötig. Der einzige Unterschied besteht nur darin, dass beim eingeschränkten Konto noch das Passwort für das Konto mit Administrator Rechten eingegeben werden muss. Auch bekommt man bei eingeschränkten Konten bei diversen Programmen von Software Aktualisierungen (Update Funktion) nichts mit, da dies nur mit Benutzerkonten funktioniert, die Mitglied der Administratoren Gruppe sind.


    Ich bin Gamer, kostet mich die UAC wertvolle Ressourcen?

    UAC kosten keine Ressourcen, sie hat keinen Einfluss auch die Geschwindigkeit von Spielen.


    Weitere Informationen zur Benutzerkontensteuerung:
    http://www.microsoft.com/technet/tec...lt.aspx?loc=de
    http://de.wikipedia.org/wiki/User_Account_Control
    http://dr-luthardt.de/vista.htm
    http://www.heise.de/security/artikel/91328
    http://www.faq-o-matic.net/2008/02/2...tig-einsetzen/
    http://www.all-about-security.de/art...cc6f4897e.html
    Geändert von Boogeyman (15.04.2016 um 15:19 Uhr) Grund: Update

  2. Anzeige
    Logge dich ein, um diese Anzeige nicht zu sehen.

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Forum-Layout: Feste Breite / Flexible Breite