Benutzerkontensteuerung vollständig abschalten

[Boogeyman]

Wenn man einfach mal voher sein Kopf einschaltet, nicht jeden Schrott installiert und sich die Fragen und Meldungen von Windoof durchliest, bevor man auf Ja und OK klickt, braucht man definitiv keine UAC.

Diese Aussage ist schlichtweg falsch. Informiere dich in aller Ruhe über die Funktion der Kontensteuerung, vielleicht klärt sich manches auf. Sonst halte ich es mit einem Beitrag, den vor vielen Jahren mal ein Nutzer hier geschrieben hat.
"Wer in einem Forum fragen muss, wie er die UAC deaktivieren kann, sollte diese Tipp nicht bekommen"

Selbstverständlich kann aber jeder machen was er möchte, auch wenn es zum Nachteil der allgemeinen Sicherheit ist.

 

[renegade2k]

Da bin ich jetzt genauso offen und sage, ich bin nicht tief genug im Thema um der Aussage konkret zu widersprechen oder diese zu bestätigen.
Fakt ist, ich arbeite mit Windows 7 seit Release (wollte ja auchg so schnell es geht weg von Vista ^^) und seit ich Win7 habe, habe ich stets UAC deaktiviert gehabt, da es in meinem Fall mehr gestört als geholfen hat. Und seit ich Win7 nutze hatte ich, durch entsprechend "bewussten" Umgang mit jedem meiner Systeme nur ein einziges Mal ein Trojaner drauf, den ich dann auch wiederum mit Mühe und Sorgfalt rückstandslos entfernt hatte.
Wie erwähnt, das deaktivieren von UAC ist an sich auch kein Problem unter Win10. Was aber derbe nervt ist diese besch....eidene Benachrichtigung, die einem die UAC wieder voll rein haut und dann muss man wieder jeden Mausklick doppelt und dreifach bestätigen.

 

[hroessler]

solch einen schwachfug habe ich selten gelesen. von sich auf andere aufgeschlossen ist wie mit gelaufen.

Was ist daran bitte schwachfug? Tolle Argumente!

Ich selbst hab UAC an, verwende einen Virenscanner und mache systematisch backups! Jetzt darfst du mir noch erklären wieso das "schwachfug" ist und wie du darauf kommst, dass ich von mir auf andere schliesse!

Danke!

greetz
hroessler

 

[DPXone]

Natürlich bringt das was gegen die Cryptotrojaner weil genau da die Abfrage kommt. Interessant finde ich, daß jemand der die UAC für völlig nutzlos und nervig erachtet weder weiß wie man sie abschaltet noch dazu in der Lage ist nach der Lösung zu googlen

Also für mich ist die ganze Sache bezüglich UAC und Cryptorojaner als PRO-Argument für UAC sehr weit hergeholt und gefährlich (für DAUs, die dann meinen mit UAC sicher davor zu sein).

Gut es mag zwar bei dem ein oder anderen CryptoTrojaner was bringen, wenn dieser Admin-Rechte anfordert um Schattenkopien zu löschen (hat hier im Forum mal jemand geschrieben),
aber sobald dieses Feature nicht im Trojaner enthalten ist und einfach so verschlüsselt wird, was ohne Admin-Rechte funktioniert (selbst erlebt auf dem Fileserver bei einem unserer Außenstandorte wegen einem dort arbeitenden Mitarbeiter mit eingeschränkten Rechten. Schattenkopie sei Dank), ist dieses Argument nichtig.


Aber mal zum Thema UAC komplett deaktivieren:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
EnableLUA (Reg_DWORD)
Wert: 0

Hinweis: Ohne UAC ist keine Windows App funktionsfähig und es können auch sonst seltsame Fehler ab und an auftreten.

 

[ToniMacaroni]

Ich hab das auch ganz deaktiviert, bekomme keine Meldungen mehr und das aber ganz ohne Registry Modding. Zusätzlich zur deaktivierten UAC muss man einfach die dazugehörige Meldung noch deaktivieren, siehe hier:


Dann sollte Ruhe sein.

 

[renegade2k]

Super, danke Leute!!!

@DPXone: Der regwert war bei mir schon auf 0 gesetzt. Es scheint also, als würde es durch den "Regler runter drehen" (Start -> "UAC" -> Enter -> Regler runter -> OK) so bewirkt.
Windows "Apps" nutze ich eh nicht und hatte bis dato auch keine Probleme mit irgendwelchen Programmen.

@ToniMacaroni: OMFG ... genau DAS ist dieser blöde Haken, den ich gesucht habe ... Endlich hört das nervige Gebimmel auf ^^ Danke nochmal.

Problem gelöst.

PS: Es scheint so, als würde diese Benachrichtigung nur bei "alten" Systemen kommen. Habe in den letzten 2 Wochen 3 Notebooks mit Win10 installiert, überall UAC aus und eben keine Benachrichtigung erhalten

 

[cumulonimbus8]

Dann müsste ich zwei «alte» Systeme haben. Nennst du Upgrades von 8.0 → 8.1 → 10 schon alt?

•

Eine UAC die bei Gelegenheiten bimmelt wo es so was von völlig überflüssig ist und einfache Tätigkeiten zur Qual macht ist dasselbe wie »Wer dreimal lügt dem glaubt man nicht«: unzuverlässig und unglaubhaft.

Wer immer sagt man braucht sie dem gebe ich Recht wenn sie genau da eingreift wo ich vor richtigen Fehlern gewarnt werden muss. Und sich darauf beschränkte.

CN8

 

[Boogeyman]

Eine UAC die bei Gelegenheiten bimmelt wo es so was von völlig überflüssig ist und einfache Tätigkeiten zur Qual macht ist dasselbe wie »Wer dreimal lügt dem glaubt man nicht«: unzuverlässig und unglaubhaft.

Die UAC "bimmelt" nicht bei jeder Gelegenheit, sondern nur, wenn ein Vorgang Admin Rechte braucht. Ich habe hier innerhalb einer Woche übehaupt keine Meldungen, außer ich möchte etwas installieren, oder Administrative Tätigkeiten ausführen. Wer nicht planlos im System rum drückt, wird von der UAC so gut wie überhaupt nicht belästigt.
Wer die Funkion der UAC einmal verstanden hat, lässt die Sache gelassener angehen. ev. sind da manche auch beratungsresistent .

Die FAQ habe ja bereits schon einmal erwähnt, aber doppelt hält besser.

FAQ Benutzerkontensteuerung von Windows Vista/Windows 7

 

[cumulonimbus8]

Die UAC "bimmelt" nicht bei jeder Gelegenheit, sondern nur, wenn ein Vorgang Admin Rechte braucht.

Das Symptom kommt von der Krankheit. Und die heißt Rechte für Dinge zu fordern die sie wahrlich nicht bräuchten oder keine Konstrukte bauen die mehr Probleme verursachen als sie lösen.
Wenn Locky - eine auszuführende Anwendung - an allem Alarm vorbei arbeiten kann dann ist jede andere UAC-Schutzfunktion obsolet weil sie sich selbst überlebt hat.

CN8

 

[Boogeyman]

Irgendwie kann ich deinen Ausführungen nicht ganz folgen, vielleicht stehe ich gerade auf dem Schlauch.

Die UAC ist kein Virenscanner, sie kann nur dafür sorgen, das keine schwerwiegenden Schäden am System entstehen. So gesehen, ist dein Vorwurf im Bezug auf Locky unfair. Schreibrechte hast du als angemeldeter Benutzer in deinem Account immer, nur auf Systemdateien (Admin)hast du keinen Zugriff. Die Schattenkopien können von Locky ohne Admin Zugriff nicht gelöscht werden, somit wäre hier die UAC die letzte Barriere um dies zu verhindern, um dann die Dateien dank Schattenkopien wiederherzustellen.
Das die UAC hier eine Schutzfunktion darstellen kann, ist in Fachkreisen allgemein anerkannt.

und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein

https://blog.botfrei.de/2016/02/massnahmen-gegen-die-ransomware-locky/

 

[DPXone]

Die UAC ist kein Virenscanner, sie kann nur dafür sorgen, das keine schwerwiegenden Schäden am System entstehen. So gesehen, ist dein Vorwurf im Bezug auf Locky unfair. Schreibrechte hast du als angemeldeter Benutzer in deinem Account immer, nur auf Systemdateien (Admin)hast du keinen Zugriff. Die Schattenkopien können von Locky ohne Admin Zugriff nicht gelöscht werden, somit wäre hier die UAC die letzte Barriere um dies zu verhindern, um dann die Dateien dank Schattenkopien wiederherzustellen.

Ich weiß jetzt nicht wem du hier antwortest, aber ich bin beruflich vom Fach und will nur mal anmerken:

1. Die Erstellung von Schattenkopien (oder auf Windows 10 Dateiversionsverlauf genannt) ist standardmäßig nicht aktiv. Vor allem nicht auf externen Laufwerken.
   Das einzige was standardmäßig passiert sind die Erstellung von Wiederherstellungspunkten für das Systemlaufwerk (dort sind die persönlichen und wichtigen Dateien aber i.d.R nicht bzw. sollten es nicht sein)
2. Funktioniert ein Cryptotrojaner auch ohne Admin-Rechte!
   Weiß ich aus eigener Erfahrung auf einem Fileserver einer unserer Außenstellen. Verursacht durch einen User ohne Admin-Rechte (da es auf unserem dortigen Fileserver war hätte er demnach auch DomAdmin-Rechte benötigt).

Das die UAC hier eine Schutzfunktion darstellt kann, ist in Fachkreisen allgemein anerkannt.

Richtig. Auf dieses kann kommt es nämlich an!

UAC bietet keinen 100% Schutz davor, weil wegen der Admin-Abfrage der sichere Desktop mit Abfrage kommt.
Aber hier im Thema liest man meistens heraus, dass es einen Schutz bietet und nicht dass es einen Schutz bieten kann.
Und da die meisten hier so in der Art schreiben ist das für unerfahrene Personen, die das hier mitlesen oder lesen werden eine gefährliche Behauptung.
So in der Art: "Die Mehrheit hier sagt, dass UAC vor Cryptotrojanern schützt, also muss das stimmen"


Da ein Cryptotrojaner (vermutlich nicht jeder) so programmiert sein kann, dass er einfach nur das höchste verfügbare Privileg ("highestAvailable") nimmt, was man als angemeldeter Benutzer bekommen kann
(was meiner Erfahrung zutrifft, sonst hätte Punkt 2 oben nicht passieren können),
dann kommt zwar die Abfrage durch die UAC, aber jeder normale Benutzer ohne Adminrechte (bzw. ohne in der Gruppe der Administratoren zu sein) findet seine Dateien verschlüsselt wieder!

Als "asInvoker" würde das ganze nochmal anders aussehen. Hier kommt nämlich nie eine UAC-Abfrage.
Nur bei "requireAdministrator" würde die UAC-Abfrage immer kommen und könnte, sofern mit "Nein" bestätigt, 100% Schutz bieten.

Wer nicht weiß was ich mit diesen Begriffen meine:
siehe: http://www.advancedinstaller.com/user-guide/vista-uac.html

Zudem sollte man auch bedenken, dass ein Prompt in Zukunft unterbunden werden könnte: Wenn kein Admin oder nur durch UAC-Prompt -> kein vssadmin
Damit hätte dann erstmal jeder seine Dateien schön verschlüsselt.
Die Leute mit aktivierter UAC bzw. ohne Admin-Rechte hätten halt noch die Möglichkeit alles wieder durch Schattenkopien wiederherzustellen, sofern sie dies eingerichtet haben.


Aber bevor mich nun wieder jemand niedermachen will:
Ich sage NICHT, dass UAC keinen Schutz bietet.
Ich berichtige hier nur die Leute, die meinen UAC bringt (auf jeden Fall) Schutz -> ohne das Wort "kann" zu benutzen.

 

[Boogeyman]

Danke für deine Ergänzung DPXone, besser hätte man es nicht ausführen können

Die Cryptotrojaner sind natürlich ganz fiese Teile und nehmen hier doch eine Sonderstellung ein. Die meisten Trojaner haben sich relativ wenig um eigene Daten der Nutzer interessiert. Da nur recht wenige Nutzer Schattenkopien/Dateiversionsverlauf aktiv haben, dürfte das nur wenigen geholfen haben.
Trotzdem dürfte es nützlich sein, das Malware/Trojaner usw., nicht an Systemdateien rum fuhrwerken können und die UAC (am besten auf der höchsten Stufe), eine weitere Barriere bieten kann. 100% Sicherheit gibt es halt nirgendwo!

 

[Darlis]

Das "echte" Admin konto würde ich nur ungern verwenden. Das umgeht ja so ziemlich jede Sicherheitsregularie und das ist auch nicht unbedingt meine Absicht.

Das ist so nicht richtig. Das Administratorkonto "umgeht" nur die UAC. Deaktivierst du diese, hast du ein vollwertiges Administratorkonto. Ein eingeschränktes Administratorkonto ohne UAC bietet also keinen Mehrwert an Sicherheit gegenüber dem Administratorkonto.

Übrigens kannst du mit Hilfe der Aufgabenplanung die UAC "übergehen" und so deine Scripte mit Adminrechten ausführen ohne nervige Abfrage.