Leserartikel Benutzerkontensteuerung von Windows Vista/Windows 7

Boogeyman

Vice Admiral
Ersteller dieses Themas
Dabei seit
März 2005
Beiträge
6.783
Sicherheitstechnisch ist ein eingeschränktes Benutzerkonto unter Sieben/Vista nicht nötig.
Das macht höchstens Sinn, um dem Bruder/Freund keine Admin Rechte zu geben, damit dieser nichts installieren/mit Admin Rechten starten kann. Richtet man unter Sieben/Vista ein Konto mit eingeschränkten ein, muss bei eingeschränkten für den Admin Vorgang das Passwort (sollte natürlich eines vergeben sein) des Kontos mit Admin Rechten eingegeben sein.

Richtet man sich auch als alleiniger Nutzer ein eingeschränktes Benutzerkonto unter Sieben/Vista ein, bekommt man von Programm Aktualisierungen mancher Programme überhaupt nichts mit, es sei man meldet sich auch mal alle paar Tagen mit dem Konto mit Admin Rechten ein.
Firefox ist so ein Beispiel. Bist du wochenlang mit dem eingeschränkten Konto angemeldet, bekommst du keine Info, das eine aktuellere Version verfügbar ist. Bin gespannt, wann das die Leute von Mozilla mal hin bekommen.

Oder verwendest du Windows XP/2000?
 

aggitron

Commander
Dabei seit
Jan. 2006
Beiträge
2.070
Verwende derzeit noch XP, hab Win7 aber schon hier liegen und werde in Kürze umsteigen. Da ich den Rechner allein nutze brauche ich also kein eingeschränktes Konto.
Muss somit nur dem Admin ein Passwort anhängen.
Bei XP arbeite ich derzeit noch gänzlich ohne PW...
 

[sauba]

Commander
Dabei seit
Jan. 2005
Beiträge
2.315
Wow, hatte diese problematik vollkommen unterschätzt - habe jetzt auch mal die UAC von der zweiten Position auf die erste Position hochgeschoben (Windows 7 ) - Danke für die Review.

Gruß,
[sauba]
 
Dabei seit
Aug. 2004
Beiträge
5.253
Bringt trotzdem nichts.

Das einzige was Sicherheit bietet, sind updates, die die Löcher in Programmen stopft und brain.exe. Die Benutzerkonntensteuerung nervt nur und bringt kaum Sicherheit.

Hab hier gerade Einstellungen vorgenommen, mit welchem Programm .mp4-Dateien geöffnet werden sollen. Nun hat aber winamp in den Einstellungen stehen, dass winamp die .mp4-Dateien standardmäßig abspielen soll. Natürlich könnte ich das ändern, aber darum geht es jetzt erst mal nicht. Beim starten von winamp fragt mich die Benutzerkontensteurung, ob Winamp Einstellungen am System ändern darf. Ich sag "Nein". Und was passiert? Winamp ändert die Einstellungen bezüglich der .mp4-Datei trotzdem.

Wozu hat mich dann die Benutzrerkonntensteurung gefragt, wenn doch alles geändert wird? Und das passiert in der höchsten "Sicherheiststufe" von Windows 7.
 

Boogeyman

Vice Admiral
Ersteller dieses Themas
Dabei seit
März 2005
Beiträge
6.783
Du hast das Funktionsprinzip von eingeschränkten Rechten nicht verstanden! Jeder Nutzer hat uneingeschränkten Zugriff auf seine Einstellungen und Ordner die nicht zum System gehören.
Du kannst ohne Admin Rechte Standard Programme festlegen, das geht ja in der Systemsteuerung ohne. Winamp frägt erst mal generell Admin Rechte ab, obwohl das für gewisse Funktionen in den Einstellungen überhaupt nicht nötig wäre. Da gewisse Änderungen auch ohne Admin Rechte funktionieren, geht das bei den Standard Programmen/Verknüpfungen problemlos.
 
Zuletzt bearbeitet:
Dabei seit
Aug. 2004
Beiträge
5.253
Ne, du hast nicht verstanden worum es hier geht. Winamp fragt nicht einfach so generell nach "Admin Rechten". Wenn ich sonnst Winamp starte, passiert nix, er fragt nicht.
Das passiert eben nur dann, wenn winamp Änderungen an den Standardprogrammen vornehmen will. Nicht ich, sondern winamp. Und wie ich schon sagte, ist diese Abfrage totaler Blödsinn, da die Änderungen auch dann vorgenommen werden, wenn ich auf "nein" klicke. Ergo völlig umsonst sich von UAC mal wieder nerven lassen.

Das ich meine Standardeinstellungen uneingeschränkt machen kann, brauch ich nicht zu "verstehen" das sehe ich daran, dass mich windows nicht fragt, wenn ich die Einstellungen ändere, UAC fragt aber, wenn winamp eingreifen will und das völlig umsonst und ohne Wirkung.
 

Boogeyman

Vice Admiral
Ersteller dieses Themas
Dabei seit
März 2005
Beiträge
6.783
UAC fragt aber, wenn winamp eingreifen will und das völlig umsonst und ohne Wirkung.
Das definiert aber auch Winamp, ob die eine UAC Anfrage kommt, oder nicht. ;) Der Fehler liegt an Winamp und nicht an Windows!
Es gibt viele Programme die eine UAC Anfrage provoziern, obwohl das überhaupt nicht nötig wäre. Auch gibt es diverse Beispiele, in denen Admin Rechte nötig wären, es aber keine UAC Anfrage kommt.
Das es ein Winamp Problem ist, hast du ja schon selber fest gestellt, da sich Standard Programme in Windows selber ohne Probleme verändern lassen, das ist eher ein Winamp Bug. ;)
Das wäre für mich übrigens ein Grund, warum Winamp von der Platte fliegen würde, andere Hersteller haben das nämlich im Griff.
 
Zuletzt bearbeitet:
Dabei seit
Aug. 2004
Beiträge
5.253
Wie können "Programme" einfach so die UAC-Anfrage provozieren? rein technisch gesehen?

Sind die diversen Beispiele in dennen Admin Rechte nötig wären aber keine UAC-Anfrage kommt, nicht ein Beweis dafür, dass UAC viel zu leicht umgangen werden kann?

---

Zum Winamp-Problem allgemein: Der Rat winamp von der Platte fliegen zu lassen ist völliger Käse. Andere Programme haben bloß nicht die Funktion, das diese Programme die Einstellungen der "Standardprogramme" überwachen. Wenn man also winamp auf den Stand der anderen Programme bringen will, muss man in den Einstellungen von Winamp nur das Häckhen wegmachen: "Dateiverknüpfungen beim Start von Winamp wiederherstellen." Dann greift winamp genau wie andere Programme nicht in das System ein. (Die Frage bleibt nur, ob dieses Feature des Eingreifen in das System ohne unnötge Abfrage durch UAC möglich wäre.)

---

Was mir in der FAQ fehlt, wäre eine Erklärung für den Leihen, wie er erkennen kann, was man bei einer UAC-Anfrage erlauben darf und wo man auf "Nein" klicken kann. Da wäre das Problem mit den automatischen Updates, von denen ein User manchmal nichts weiß, weil sie standardmäßig aktiv sind, siehe dort ein Beispiel dazu: https://www.computerbase.de/forum/threads/erstes-service-pack-fuer-windows-7-im-sommer.687965/page-4
 

Boogeyman

Vice Admiral
Ersteller dieses Themas
Dabei seit
März 2005
Beiträge
6.783
Wie können "Programme" einfach so die UAC-Anfrage provozieren? rein technisch gesehen?
Das legt der Hersteller der Software fest, oder sie haben es immer nicht geschafft im Jahre 2010 ihre Software Vista/Windows 7 kompatibel zu machen.
G Data ist da auch so ein Beispiel in der Bedienung, möchte man z.B. manuell einen Scan anschieben, muss man das erst mal mit einem UAC Dialog bestätigen. Andere Hersteller beweisen das es auch einfacher geht, das ist eigentlich jetzt ein Armutszeugnis, drei Jahre nach Vista immer noch nicht voll UAC kompatibel zu sein.
Sind die diversen Beispiele in dennen Admin Rechte nötig wären aber keine UAC-Anfrage kommt, nicht ein Beweis dafür, dass UAC viel zu leicht umgangen werden kann?
:confused_alt:
Äh? Es wird doch nichts umgangen!
Wenn eine Software Admin Rechte anfordert, aber das Programm nur Benutzerrechte benötigt, wird nichts umgangen.
Das sieht man nämlich, wenn man das Ganze umdreht und ein Programm das Admin Rechte braucht, keine UAC Dialog anfordert, manche Funktionen im Programm sind dann nicht verfügbar, bzw. gehen dann einfach nicht. ;)
Was mir in der FAQ fehlt, wäre eine Erklärung für den Leihen, wie er erkennen kann, was man bei einer UAC-Anfrage erlauben darf und wo man auf "Nein" klicken kann. Da wäre das Problem mit den automatischen Updates, von denen ein User manchmal nichts weiß, weil sie standardmäßig aktiv sind, siehe dort ein Beispiel dazu:

Stimmt, guter Einwurf, daran habe ich noch nicht gedacht.


Du kannst problemlos einen UAC Dialog bestätigen, wenn du:

  • Beabsichtigst ein Programm oder Software zu installieren, die aus einer vertrauenswürdigen Quelle bezogen wurde. (Dateien aus Filesharing und Warez Seiten gehören übrigens dazu nicht. ;) )
    Der Programmpfad sollte natürlich mit der gestarteten Datei übereinstimmen.

  • Wenn man Windows System eigene Funktionen nutzt. (Windows Defrag, Gerätemanger usw.)


Die solltest auf keinen Fall auf Fortsetzen drücken wenn:


  • eine Datei bezogen wurde (Internet, USB Stick uws.), die eigentlich ein Bild, Film, Dokument sein soll, aber beim starten einen UAC Dialog nach sich zieht.

  • Wenn beim surfen ohne dein zu tun ein UAC Dialog erscheint, der noch mit einer Orangen Umrandung umgeben ist. (Diese Dateien gehören nicht zum System und haben auch keine Digitale Signatur)
    Hier steht dann im Dialog:
    Dateiursprung: Aus dem Internet heruntergeladen und beim Programmpfad eine Adresse die für das Internet steht, hinterlegt ist. Hier müssen besonderes bei einer Orangen Umrandung die Alarm Glocken läuten. (Das Bild hat keinen Orangen Rahmen, bitte davon nicht irritieren lassen.) Jetzt werden vielleicht manche sagen, das ist bei mir aber noch nie passiert, das liegt oft auch daran, das viele Malware überhaupt nicht UAC kompatibel ist.
    Es ist interessant zu sehen, dass man erstmal Rootkits aussuchen muss, die kompatibel mit Windows Vista sind. Noch interessanter ist die Tatsache, dass der Einsatz von UAC die Installation der verwendeten Rootkits via Drive-by-Download verhindern kann. Ein Aspekt, der deutlich das gesteigerte Sicherheitsniveau für normale Benutzer von Windows Vista zeigt.
    http://blogs.technet.com/dmelanchthon/archive/2008/05/28/uac-vs-rootkits.aspx

uacdialogadobe41zm.jpg


Vertrauenswürdige Hersteller versehen solche Dateien mit einer Digitalen Signatur/Zertifikat. Hier kann man überprüfen, ob die Datei zur Quelle passt. (graue/blaue Umrandung) Diese kannst betrachten, wenn du im UAC Dialog auf Details gehst und die Information zum Zertifikat aufrufst. Aber selbst hier würde ich immer äußert kritisch sein ( (Programmpfad: Web Adresse hinterlegt) und das erst mal mit Abbrechen bestätigen.

zertifikatkrim.jpg



Sollten diverse Programme, durch den Update Mechanismus hervorgerufen, einen UAC Dialog provozieren, sollte der Programm Pfad mit dem Programm selber übereinstimmen. Wenn also der Quick Time Player ein Update haben will, sollte der Pfad aus dem Quick Time Ordner kommen.

Wenn du dir da nicht sicher bist, was hindert dich daran, den Dialog mit Abbrechen zu bestätigen? Du kann dann selber manuell den Quick Time Player starten und dort manuell den Update Mechanismus anschieben.
 
Zuletzt bearbeitet:

HawkEy3

Lieutenant
Dabei seit
Aug. 2006
Beiträge
567

Anhänge

  • benutzerkonten.JPG
    benutzerkonten.JPG
    56,6 KB · Aufrufe: 333
Top