UAC: Einfacher Benutzer vs. Admin

F

fooBar

Enthusiast
Thread Starter
Mitglied seit
11.11.2006
Beiträge
811
heyho,

habe Win7 Pro neu aufgesetzt und es derzeit so konfiguriert:

Ich bin als Standardbenutzer mit PW unterwegs, UAC aktiviert (auf Standardeinstellung).
Es gibt natürlich noch nen Adminacc ebenfalls mit PW.

Soweit ich das richtig sehe, müsste das eigentlich die höchste Sicherheitsstufe ergeben, korrekt?
Wie wäre es, wenn ich meinen Account zum Admin mache, aber UAC anlasse. Ist das dann unsicherer?
Was mich einfach nervt ist nicht die PW-Eingabe, sondern dass man keine Verknüpfungen erstellen kann, die automatisch mit vollen Rechten gestartet werdne (mittels Aufgabenplanung). Das mag funktionieren, wenn man selbst Admin mit UAC ist, aber so klappts bei mir nicht... (Siehe auch hier: http://www.sevenforums.com/tutorial...shortcut-without-uac-prompt-create.html?ltr=E :
* This shortcut and task can only be created and work while logged in as an administrator account.
* This shortcut will not work in a standard user account.
Zum Vergrößern anklicken....
)


Weiterhin ists doof, dass man als Standardbenutzer nichtmal den Taskmanager durch ProcessExplorer ersetzen kann :(

Was würdet Ihr mir raten?
Oder kennt ihr doch ne Möglichkeit, eine Verknüpfung ohne UAC-Abfrage zu erstellen?

Danke!
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
fooBar schrieb:
Wie wäre es, wenn ich meinen Account zum Admin mache, aber UAC anlasse. Ist das dann unsicherer?
Zum Vergrößern anklicken....

Leider ja. Denn der Witz vom UAC soll ja gerade sein, dass wenn eine Malware versucht, etwas auf deinem PC zu verändern, dies aufgrund der fehlenden Admin Rechte misslingt.

Falls das mit den Admin Rechten über den Aufgabenplaner nicht klappt, könntest du übrigens noch den Weg über das Microsoft Application Compatibility Toolkit ausprobieren: STEITZ® - Windows Benutzerkontensteuerung
 
Grummel schrieb:
Leider ja. Denn der Witz vom UAC soll ja gerade sein, dass wenn eine Malware versucht, etwas auf deinem PC zu verändern, dies aufgrund der fehlenden Admin Rechte misslingt.
Zum Vergrößern anklicken....
Ja aber wenn ich in UAC nicht auf "Okay" drücke, so wird das Programm doch auch unter einem Admin Account mit aktiviertem UAC nicht mit Adminrechten ausgeführt, oder doch?

Grummel schrieb:
Falls das mit den Admin Rechten über den Aufgabenplaner nicht klappt, könntest du übrigens noch den Weg über das Microsoft Application Compatibility Toolkit ausprobieren: STEITZ® - Windows Benutzerkontensteuerung
Zum Vergrößern anklicken....
Danke, das werde ich mal testen!

******* schrieb:
Ich mache es inzwischen so: An meiner Main-Machine wo ich ständig dran bin und irgendwelche Sachen ausprobiere hab ich uac deaktiviert und bin Admin, das hat bei mir auch früher schon funktioniert. ;)
Auf meinem Server, wo auch ständig was läuft steht uac auf der höchsten Stufe. Finde den Kompromiss so am besten.
Zum Vergrößern anklicken....
Nunja, mich stört ja UAC im Grunde genommen nicht direkt, so lange ich es IRGENDWIE für manche Programme deaktivieren kann. Das geht ja, wenn man als Admin drin ist, über die Aufgabenplanung. Aber als Standardnutzer kann man das eben leider nicht erreichen. Daher dieser Post hier!
 
kalkzone schrieb:
versuch mal runas
Zum Vergrößern anklicken....
Du meinst das CMD-Tool?
Habe bereits versucht:

runas /user:meinpc\mein_admin_useracc /savecred "C:\Program Files (x86)\MSI Afterburner\MSIAfterburner.exe"

er fragte auch das PW ab, aber danach passierte einfach nichts :(

EDIT:
RUNAS-FEHLER: C:\Program Files (x86)\MSI Afterburner\MSIAfterburner.exe kann nicht ausgeführt werden
740: Der angeforderte Vorgang erfordert erhöhte Rechte.
 
Zuletzt bearbeitet:
Also ich hab bei mir den Superadmin Account freigeschaltet und nutze diesen.

Wenn man ein bisschen aufpasst und villeicht noch einen Virenscanner laufen hat sehe ich keine Grund, warum man sich selbst in seinen Rechten am eigenen PC so einschränken sollte.
 
Grummel schrieb:
Falls das mit den Admin Rechten über den Aufgabenplaner nicht klappt, könntest du übrigens noch den Weg über das Microsoft Application Compatibility Toolkit ausprobieren: STEITZ® - Windows Benutzerkontensteuerung
Zum Vergrößern anklicken....
getestet, geht nicht :( erscheitn dann zwar keine UAC-abfrage, aber das bedeutet ja automatisch, dass ich das programm mit standard userrechten starte, und das reicht eben nicht aus. die uac abfrage kommt ja nur, weil er adminrechte braucht. sehr doof das ganze :(
 
neo[2k] schrieb:
warum man sich selbst in seinen Rechten am eigenen PC so einschränken sollte.
Zum Vergrößern anklicken....
weil es vernünftiger ist...da du dir jederzeit die benötigten rechte beschaffen kannst schränkst du dich auch nicht ein.

unter linux sind die leute komischerweise nicht so dumm...

fooBar schrieb:
Ich bin als Standardbenutzer mit PW unterwegs, UAC aktiviert (auf Standardeinstellung).
Es gibt natürlich noch nen Adminacc ebenfalls mit PW.

Soweit ich das richtig sehe, müsste das eigentlich die höchste Sicherheitsstufe ergeben, korrekt?
Zum Vergrößern anklicken....
korrekt
fooBar schrieb:
Wie wäre es, wenn ich meinen Account zum Admin mache, aber UAC anlasse. Ist das dann unsicherer?
Zum Vergrößern anklicken....
ja

als normaler benutzer arbeiten, uac aus und mit runas arbeiten wenn du das brauchst. Allerdings verlierst du damit ein teil vom komfort als normaler nutzer mit uac. Bei der verlinkten anleitung von grummel müsstest du das programm mit runas starten.

Wenn du ständig ein programm im autostart mit adminrechten willst, starte es als dienst mit dem recht zum datenaustausch mit dem desktop und dann sollte das auch tun.

Dein Problem mit ProcessExplorer versteh ich nicht, machst du das über die processexplorer möglichkeit?
Geh mal in die registry und schau ob folgender schlüssel existiert
"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]"
Und der Wert für Debugger auf ProcesExplorer gesetzt ist.
Kann ein normaler Benutzer am Ort wo der ProcessExplorer installiert/entpackt ist mindestens lesen?
 
Zuletzt bearbeitet:
0711 schrieb:
als normaler benutzer arbeiten, uac aus und mit runas arbeiten wenn du das brauchst. Allerdings verlierst du damit ein teil vom komfort als normaler nutzer mit uac. Bei der verlinkten anleitung von grummel müsstest du das programm mit runas starten
Zum Vergrößern anklicken....
hm das ist dann aber auch sehhr sehr unkomfortabel ohne uac im normalen benutzeracc, da dann alle "automatischen" abfragen wegfallen. gefällt mir leider auch nicht ganz, sorry. argh dass es hier keine vernünftige lösung von microsoft gibt. wenn schon linux style gewünscht ist, dann doch bitte auch richtig :(

wie kann man beliebige programme als diesn starten? das problem ist, dass ich manche programme auch über startup delayer verzögert autostarten will, weil z.b. eine bestimmte HDD erst nach ner minute gemountet ist (wegen TC...)

EDIT: Was auch MEGA NERVIG ist: Wenn man aus einem als Admin gestarteten Programm heraus auf den Desktop speichet, dann ist das manchmal der Desktop des Admins. Irgendwie auch logisch, andererseits ist das natürlich nicht das gewünschte Verhalten und teilweise kann man es auch garnicht nicht als Admin starten :(
 
Zuletzt bearbeitet:
0711 schrieb:
weil es vernünftiger ist...da du dir jederzeit die benötigten rechte beschaffen kannst schränkst du dich auch nicht ein.

unter linux sind die leute komischerweise nicht so dumm...
Zum Vergrößern anklicken....

Das schränkt mich in sofern in meiner Produktivität ein, weil ich für jeden Klick und jeden Furz das PopUp mit den Adminrechten bestätigen muss.
 
Also bei mir kommen beim normalen Arbeiten als User mit eingeschränkten Rechten überhaupt keine Admin Passwort Abfragen. Nur k10stat musste ich über die Aufgabenplanung hintricksen, damit es mit Admin Rechten startet.

Anfangs hatte ich allerdings auch eine Menge Rückfragen, da ich meine Programme zuerst komplett im Admin Konto installiert hatte und die dann als Standard User genutzt habe. Das war Käse, da die Programme teilweise auf geschütze Verzeichnisse des Admin Kontos zugreifen wollten, um Einstellungen oder was weiß ich was zu speichern. Nachdem ich die Programme nun im User Konto installiert habe, kamen die Admin Passwort Abfragen nicht mehr.

Teilweise kommen die Abfragen wohl nur, weil auf geschützte Verzeichnisse zugegriffen wird. Deshalb kann es evtl. auch helfen, die betreffenden Verzeichnisse für alle Nutzer mit Vollzugriff Rechten freizugeben.
 
fooBar schrieb:
hm das ist dann aber auch sehhr sehr unkomfortabel ohne uac im normalen benutzeracc, da dann alle "automatischen" abfragen wegfallen. gefällt mir leider auch nicht ganz, sorry. argh dass es hier keine vernünftige lösung von microsoft gibt. wenn schon linux style gewünscht ist, dann doch bitte auch richtig :(
Zum Vergrößern anklicken....
microsoft geht hier etwas weiter und schottet einen erhöhten rechteumgebung rigoros von einer nicht erhöhten rechteumgebung ab, genaugenommen ist der weg von ms konsequenter. Dass manche anwendungen bzw entwickler damit nicht umzugehen wissen ist sicher historisch bedingt ;)
fooBar schrieb:
wie kann man beliebige programme als diesn starten? das problem ist, dass ich manche programme auch über startup delayer verzögert autostarten will, weil z.b. eine bestimmte HDD erst nach ner minute gemountet ist (wegen TC...)
Zum Vergrößern anklicken....
du kannst den dienst ja auch verzögert starten lassen
zum dienst erstellen gibt es verschiedene methoden
sc create (boardmittel) kann eine beliebige *.exe als dienst registrieren und starten -> danach nicht vergessen bei anmeldung den austausch mit dem desktop zuzulassen.
nssm (drittlösung) kann auch beliebige *.exe dateien als dienst registrieren, kann teils anwendungen starten die über den normalen dienststart nicht funktionieren (also wenn die variante mit sc nicht funktinoiert -> die hier nutzen) NSSM - the Non-Sucking Service Manager
srvany (ms lösung für vor vista), unter win vista mit kleinen kniffen lauffähig, vo sc und nssm scheitert führt das zum ziel - würde ich aber wirklich nur als fallback lösung sehen. Siehe dazu auch Creating a User Defined Service in Windows 7

fooBar schrieb:
EDIT: Was auch MEGA NERVIG ist: Wenn man aus einem als Admin gestarteten Programm heraus auf den Desktop speichet, dann ist das manchmal der Desktop des Admins. Irgendwie auch logisch, andererseits ist das natürlich nicht das gewünschte Verhalten...
Zum Vergrößern anklicken....
wenn du dich im kontext eines anderen benutzers (z.B. administrator) bewegst landet das gespeicherte selbstverständlich auf dessen desktop wenn du desktop als speicherort angibst da. Wenn du ein icon für alle (C:\Users\Public\Desktop) oder nur für einen anderen benutzer in dessen kontext du dich nicht befindest installieren willst musst du auch entsprechend zum richtigen ordner navigieren alles andere wäre unlogisch
neo[2k] schrieb:
Das schränkt mich in sofern in meiner Produktivität ein, weil ich für jeden Klick und jeden Furz das PopUp mit den Adminrechten bestätigen muss.
Zum Vergrößern anklicken....
sorry aber was tust du? Im normalen alltag sieht man uac praktisch nie, es gibt nur noch wenige programme die adminrechte anfordern und bei den meisten ist das problem dadurch gelöst benutzern auf das programmverzeichnis oder regschlüssel änderungsrechte zu geben.

Von dem abgesehen galt meine kritik nicht uac aus oder nicht sondern dem arbeiten als administrator, wenn du als benutzer ohne uac arbeitest funktioniert deine anwendung schlicht garnicht.
 
Zuletzt bearbeitet:
okay vielen Dank für deine antwort. das mit den diensten klingt echt gut, wenn es damit klappt, wirklich einie programme verzögert und automatisch als admin starten zu lassen (wie z.b. speedfan oder msiafterburner). ich werds mal testen, vielen dank schonmal!

EDIT: habe noch etwas alternatives gefunden: http://technet.microsoft.com/en-us/magazine/2008.06.elevation.aspx klingt ganz cool, muss ich aber erst noch testen. ggf. kann man hier keine daten zwischenspeichern, sondern muss immer wieder username/PW eingeben.


1. Vielleicht könntest Du mir nochmal genaue Infos zu UAC geben (ja ich habe schon viel im Internet gelesen, aber komme nicht ganz selbst drauf):
Wenn ich als Admin mit UAC arbeite, so sind meine Standardrechte ja erstmal 'normal' (nicht-Admin). Das müsste doch dann eigentlich auch sicher sein --> brauchen Programme höhere Rechte, werden diese eben abgefragt (UAC).

arbeite ich nun als Standardbenutzer, so habe ich ja eigentlich das gleiche verhalten. meine grundrechte sind ebenfalls stark limitiert und braucht eine anwendung erhöhte rechte, werden diese eben abgefragt!?

das einzige problem, das ich sehe, wäre: dass malware oder viren UAC umgehen. ist dies der fall, so können sie im normalen userkonto NICHTS anstellen, da das programm NICHT als admin gestartet ist. beim adminkonto jedoch könnten sie was anrichten!? aber wenn es möglich ist für so ein programm, UAC zu umgehen, dann liegt das problem doch eigentlich eher bei microsoft, ein programm, das höhere rechte benötigt, zu erkenen. oder wo genau liegt mein denkfehler?


2. ich nehme an, die rechte unterschieden sich in mehr als den ntfs zugriffsrechten, oder? also angenommen, ich setze einige verzeichnisse unter C:\programme auf volle berechtigungen für den standardbenutzer, ist das ein schwerwiegendes problem? ein virus könnte nun ja theoretisch beliebige sachen in diesen verzeichnissen schreiben und manipulieren, weswegen ja eigentlich die windows theorie ist, dass alle programme erstmal nur auf lesezugriff sind und ihre einstellungen etc in anwendungsdaten des benutzers speichern... aber das widerspricht ja dann z.b. portabler software...?
 
Zuletzt bearbeitet:
1. Bei UAC bekommt ein Administrativer nutzer wärend des Anmeldeprozesses einen "Security Token" übergestülpt - vor dem Autostart aber oft nach dem Netzlaufwerkmapping (läuft etwas parallel ab so dass es hier timingunterschiede je nach system geben kann). Es gibt also hier schon mal einen Bereich ohne diesen Security Token für den Benutzer, bei Netzlaufwerkmappings tritt dieses Problem im negativen Sinn auf dass die Laufwerke zwar gemappt sind aber man sie in der normalen Benutzerumgebung nicht sieht.

Dein letzter Absatz in 1. ist so zutreffend, es ist ein problem von ms bzw uac, wobei hier z.B. die fehlende unterstützung von Prozessisolationsmechanismen in vielen Anwendungen eben gegen uac und dessen korrekte funktionsweise arbeitet oder eben direkte hardwarezugriffe diverser softwareprodukte überwacht uac bewusst nicht. Solche Lücken wenn bekannt werden durchaus auch von MS gefixt sofern möglich ;)
UAC ist aber laut ms primär als erziehungsmaßnahme für drittanbieter gedacht, die unter 2000 und xp weiter wie unter win 9x programmierten/arbeiteten und nicht wie unter einem nt. Nicht nur deshalb ist die Empfehlung von MS selbst mit einem normalen Benutzeraccount zu arbeiten.
Ein netter nebeneffekt von uac ist die möglichkeit ein programm unter einem normalen benutzeraccount mit adminitrativen rechten sicher zu starten, der "gesicherte desktop" von uac gilt bisher als nicht angreifbar so das keylogger eben nicht "sehen" was du tippst oder auch dass uac einfach erkennt dass dort administrative rechte nötig sind.

2. Die zugriffsrechte unterscheiden sich in mehr als nur den ntfs zugriffsrechten. Das sicherheitsniveau nimmt durch das beschriebene vorgehen auf c:\programme ab, denn im falle von schadsoftware hat diese dann die möglichkeit sich an jede *.exe anzuhängen die dort ist. Eine etwaig nötige bereinigung wird dadurch z.B schon weit unwarscheinlicher weil du nicht sagen kannst in diesem bereich des systems (benutzerprofil) tummelt sich der schädling. Auch sind teils ja dienste unter den programmdateien zu finden -> die schadsoftware hängt sich einfach an jede exe und hat am ende systemrechte -> verloren. Das gleiche gilt für manch registrierte dll, treiber oder oder oder die man unter programme findet. Hier findet man ja i.d.R. auch die eingesetzte "schutzsoftware" (antivirus etc pp) und diese kann durch die änderung direkt manipuliert werden.

Portable software ist wieder ne eigene geschichte, denn diese ist nicht weiter im system integriert wie alles andere unter deinem benutzeraccount - einzig dass hier die portablen dateien kompromittiert sein könnten und du die schadsoftware jedesmal beim programmstart mit startest, eine erkennung anhand eines verdächtigen prozesses ist damit also nicht möglich und eine mögliche gefahr.

Aber zur ursprünglichen frage, es gibt neben ntfs rechten noch registry rechte, dienstrechte, treiberrechte(was mehr oder minder denen der dienste entpsricht) und auch privilegien wie Besitz übernehmen, Benutzegruppen ändern und noch ein paar mehr :)
Bei .net Anwendungen gibt es z.B. noch die frameworkrechte

hab hoffentlich nicht zu wirr geschrieben, das ist relativ schwer in so bisschen text unterzubringen
 
Zuletzt bearbeitet:
fooBar schrieb:
das einzige problem, das ich sehe, wäre: dass malware oder viren UAC umgehen. ist dies der fall, so können sie im normalen userkonto NICHTS anstellen, da das programm NICHT als admin gestartet ist. beim adminkonto jedoch könnten sie was anrichten!? aber wenn es möglich ist für so ein programm, UAC zu umgehen, dann liegt das problem doch eigentlich eher bei microsoft, ein programm, das höhere rechte benötigt, zu erkenen. oder wo genau liegt mein denkfehler?
Zum Vergrößern anklicken....

Nein, ein Programm, was höhere Rechte benötigt, muss vom Entwickler so gekennzeichnet werden. Windows erkennt nicht automatisch, ob ein Programm höhere Rechte benötigt. Wenn das Programm nicht derart gekennzeichnet ist, so wie viele ältere Programme, dann kann man es zwar starten ohne dass eine UAC Abfrage kommt, aber das Programm hat dann keine Adminrechte. UAC wird also nicht "umgangen", wie du es formulierst.

Ob Viren beim Adminkonto Schaden anrichten können, hängt ganz davon ab, wie du UAC konfiguriert hast. Wenn du den Prompt abgeschaltet hast, dann können Viren machen was sie wollen, wenn du sie startest. Wenn du den UAC-Prompt eingeschaltet hast (die Standardeinstellung) und nen Virus startest und den Prompt ablehnst, hat der Virus auch keine Adminrechte und kann nichts machen. Programme können UAC nicht umgehen, es sei denn, durch einen Programmfehler bzw. Sicherheitslücke, aber nicht per Design. Wenn das so wäre, wäre das ganze Konzept ja völlig für die Katz.

Zu deinem Problem:

http://www.helmrohr.de/Guides/Vista/TaskCreate.htm

Hilft dir das evtl.?
 
Zuletzt bearbeitet:
Danke barzefuz, für Deine zusätzlichen Worte... Aber wenn dem wirklich so wäre, wie Du es beschreibst, dann dürfte man ja sicher sein, sofern man nicht auf "Ja" klickt. Seltsamerweise ist man das laut diesem Test jedoch nicht: Standardkonfiguration von Windows 7 anfällig für sieben von zehn Viren | Security | News | ZDNet.de Ich verstehe hier nicht, wie auf dem System trotz UAC Viren starten und laufen konnten... Wenn sie doch nicht so markiert worden sind, hätten Sie doch eigentlich garnicht so laufen dürfen Oo

Danke auch für den Link, der hilft leider nicht. Das ganze klappt ja leider nicht unter einem normalen Standard User Account...

@0711: Vielen Dank auch nochmal für Deine ausführliche Antwort. Sie hat mir auf jedne Fall nochmals weitergeholfen, es etwas mehr zu verstehen. Könntest Du mir nochmal einen hilfreichen Link geben, wie man die Dienste aus normalen Programmen erstelt und was genau meinst Du mit Deinem Post "Austausch mit dem Desktop zulassen"? Habe zwar einiges zu sc.exe und SrvAny gefunden, aber so richtg funktioiert hat es bisher leider nicht... :/
 
link hab ich grad keinen

datenaustausch mit dem desktop zulassen findest du in den eigenschaften des dienstes unter dem reiter anmelden

oder scheiterst du schon beim erstellen des dienstes?
 
Na ich wollte nur nicht zu viel rumpfuschen, weil mein System gerade so "schön" neu aufgestzt ist :-) Aber ich werds auf jeden Fall heute abend nochmal testen. Hast Du ne Idee bzlg. dem oben geposteten Link, wo da das Problem in UAC liegt?
 
ganz einfach, uac ist nicht ganz dicht, in der standardeinstellung von w7 kann es das auch garnicht leisten...deshalb sehe ich auch die standardmässige entschärfung von uac unter w7 einen großen rückschritt gegenüber vista aber egal wenn man einen administrativen account nutzt sollte mindestens die höchste stufe von uac genutzt werden, dann scheitern auch die aus dem link genannten schädlinge aber es gab und gibt immer mal wieder möglichkeiten uac zu umgehen - von dem abgesehen dass uac selbstverständlich schädlinge die nur unter nem useraccount laufen nicht stoppen kann.
Wie ich aber schon oben schrieb ist sich ms diesen umstands bewusst und empfiehlt deshalb trotz uac weiterhin ein eingeschränktes benutzerkonto zu verwenden aber mit aktiviertem uac(!)...da ohne uac auch sachen wie prozessisolation u.ä. flöten gehen ;)

User Account Control in Windows 7 Best Practices
"Use standard user accounts"

Um genau zu sein empfiehlt ms ein "least privilege" prinzip woraus in nt die standardgruppe users/benutzer wurde welche für den üblichen anwender genau das darstellt.
Natürlich könnte man noch das system härten, im privatbereich bzw normalen desktops macht das aber in den wenigstens fällen sinn weil es den aufwand schlicht nicht rechtfertigt.
 
Hast recht, klar, es könnte wirklcih theoretisch "schwache" Viren, die ohne Adminrechte laufen... Daran dachte ich nicht. Ebenso nicht daran, dass Win7 UAC ja per Standard herabgestuft hat...
 
@0711: dein Beitrag ist ohne Groß-/Kleinschreibung und Satzzeichen echt schwer zu lesen.

Heisst das man sollte in der UAC irgendwo eine höhere Sicherheitsstufe einstellen? Der einzige Regler, den ich dazu finden kann, steht bei mir schon standardmäßig auf der höchsten Stufe:

 
fooBar schrieb:
Danke barzefuz, für Deine zusätzlichen Worte... Aber wenn dem wirklich so wäre, wie Du es beschreibst, dann dürfte man ja sicher sein, sofern man nicht auf "Ja" klickt. Seltsamerweise ist man das laut diesem Test jedoch nicht: Standardkonfiguration von Windows 7 anfällig für sieben von zehn Viren | Security | News | ZDNet.de Ich verstehe hier nicht, wie auf dem System trotz UAC Viren starten und laufen konnten... Wenn sie doch nicht so markiert worden sind, hätten Sie doch eigentlich garnicht so laufen dürfen Oo
Zum Vergrößern anklicken....

Sicher bist du sowieso nie, UAC soll Sicherheit bieten, genau wie Windows auch sicher sein soll, aber wirklich sicher ist nichts, da es immer irgendwelche Sicherheitslücken gibt.

Zu dem Link: UAC verhindert ja nicht, dass ein Virus startet, wenn dieser keine erweiterten Rechte anfordert. Wenn ein Virus also im Modus mit eingeschränkten Privilegien läuft, kann er möglicherweise immer noch Schaden anrichten, es ist ja nicht so, dass ein Programm ohne Adminprivilegien gar nichts darf. Wobei ich mich mit den dort angegebenen Viren leider nicht auskenne. Nur wenn ein Virus mit eingeschränkten Privilegien gestartet wird und dann Schaden anrichtet, für den er eigentlich Adminrechte benötigten würde, dann wäre es ein Fehler von UAC bzw. eine Sicherheitslücke. Das wird in dem Artikel leider nicht klar.
 
Zuletzt bearbeitet:
Grummel schrieb:
@0711: dein Beitrag ist ohne Groß-/Kleinschreibung und Satzzeichen echt schwer zu lesen.
Zum Vergrößern anklicken....
schlechte angewohnheit an der ich allerdings auch nicht arbeite muss ich gestehen.
Grummel schrieb:
Heisst das man sollte in der UAC irgendwo eine höhere Sicherheitsstufe einstellen? Der einzige Regler, den ich dazu finden kann, steht bei mir schon standardmäßig auf der höchsten Stufe:
Zum Vergrößern anklicken....
Dein screenshot ist von einem eingeschränkten benutzeraccount, hier bringt die höchste uac einstellung vor allem schutz vor keyloggern u.ä. (abgedunkelter desktop in den uac einstellungen genannt). Die standardeinstellung unter einem eingeschränkten nutzerkonto ist unter W7 völlig i.O.

Unter einem administrativen account siehts so aus, was ja der zustand ist welchen man direkt nach dem einrichten/installieren von W7 hat und auf welchen sich der artikel auch stützt.
uackwxug.png

Das ist auch das offensichtlichste an dem man sieht welches umdenken bei MS zwischen Vista und 7 eingesetzt hat...
 
Zuletzt bearbeitet:
danke für die antworten :-) gut, dann bin ich ja mit meinem eingeschränkten nutzer ganz gut aufgehoben.
derzeit fahre iich damit eigentlich auch gut. es geht eigentlich auch mit dem UAC und dem PW eintippen. klar, wnen man windows einstellungen ändert oder ähnliches... aber sonst gehts :)

Andere frage: habe eine 1TB platte mit vielen daten drauf: filme, dokumente, mp3s, studiumskrams etc etc... macht es hier sinn, die ntfs rechte anzupassen? habe derzeit alles auf vollen rechten für alle benutzer, weil es ist schon nervig, für copy&paste aktionen bei reinen daten immer bestätigen zu müssen oO würden hier eingeschränkte rechte überhaupt großartig was bringen? ich schätze ja eig. eher nein, weil eig viren auf einem eingeschränkten user mit UAC und avast sowieso eher nicht auftreten sollten, wenn man bisjen aufpasst.

edit: ich muss nun aber trotzdem nochmal wegen den services fragen: habe es so versucht: http://smallvoid.com/article/winnt-services-srvany.html. nach dem einrichten habe ich dann "net start MyService" versucht, aber das programm öffnet sich nicht (d.h. ich sehe keine GUI). habe ich was falsch gemacht? danke! Edit: Da fällt mir auf, vllt meinst Du das ja mit "Austausch mit Desktop zulassen".
Btw habe ich noch paar ganz coole kostenlose tools gefunden:
http://serviceex.com/
http://tools.sysprogs.org/srvman/
http://techdows.com/2011/10/running-windows-apps-as-services.html
http://www.pirmasoft.de/runassvc.php
http://emutastic.emulation64.com/netosoft/projects.htm (open source)
http://www.sw4me.com/wiki/Winserv
 
Zuletzt bearbeitet:
Wenn es nur ein Programm ist, dann kannst du doch auch einfach einen Shim per Application Compatibility Toolkit erstellen und damit sagen, dass folgendes Programm immer als "Admin" ausgeführt werden soll, ohne gleich die Ganze Sicherheitswand einzureißen.
 
ich hatte auch das problem, ich wollte wegen diesem programm, das der standardbenutzer ein prozess mit adminrechten selber starten kann.



ich hab in der cmd durch folgenden befehl eine aufgabe in der aufgabenplanung erstellt, die bei einem bestimmten ereignis startet.

schtasks /create /tn aufgabenname /tr "C:\programme\meinprogramm.exe" /ru benutzername /rl H”CHSTE /SC BEIEREIGNIS /EC System /MO *[System/EventID=1075] /f


das ereignis auszulösen geht mit folgenden befehlen in einer batchdatei.

shutdown.exe /s /t 3600
shutdown.exe /a

das abbrechen des geplanten herunterfahrens löst die aufgabe dann letzendlich aus.

wenn man nun verschiedene programme nach diesem verfahren starten möchte, müste man die aufgabe so abändern, das eine batchdatei gestartetet wird, die nachschaut welches programm eigentlich gestartet werden soll.


das heisst man müsste eine auslöser_batch erstellen, die die aufgabe auslöst und eine textdatei abspeichert, die den programmpfad enthält, welche dann von der aufgabenbatchdatei eingelesen wird.


folgend ein beispiel für eine aufgabenauslöserbatch

echo "deinprogrammpfad">"d:\programme\programmpfad.txt"
shutdown.exe /s /t 3600
shutdown.exe /a

folgend ein beispiel für die batchdatei die von der aufgabenplanung gestartet werden müsste.

set /p variable=<"d:\programme\programmpfad.txt"
"%variable%"


edit: der nachteil dieser ganzen geschichte ist, das man dann das laufende programm ohne gui sieht.
das heisst man kann es nur nutzen wenn das gewünschte programm nur im hintergrund laufen soll.
 
Zuletzt bearbeitet:
Du kannst den Explorer als Administrator" ausführen
und dann darin die Verknüpfungen erstellen.
 
startet denn der prozess/die anwendung/der dienst? und ja das wäre u.a. ein verhalten welches du durch den asutausch mitm desktop zulassen verhindern kannst....sofern der prozess startet
 
ja der dienst startet, dann öffnet sich im fall dropbox z.b. ein ganz "neuer" desktop und fragt nach meinem konto... gebe ich das ein, dann kann ich im dropbox dialog richtig durchklicken; aber wenn ich zurück auf meinen desktop gehe, ist dropbox nicht im systray zu sehn...

was haltet ihr eig von SuRun (http://kay-bruns.de/wp/software/surun/)? wenn man UAC deaktivieren würde und nur noch SuRun nutzenl, kann man ebenfalls mit LUA arbeiten und sich für sachen zum admin mcahen. vorteile sind, dass man trotzdem in der umgebung des aktuellen benutzers arbeitet (also auch dessen desktop sieht etc), man ausnahmen hinzufügen kann (die immer automatisch als admin gestartet werden und keine bestätigung benötigen) usw... any ideas dazu?

danke

edit: interessant: http://www.wilderssecurity.com/showpost.php?p=1827754&postcount=1 hier sieht man, was es bedeutet, als admin mit UAC zu arbeiten und dass es schlechter ist im gegensatz zum wirklich beschränkten user mit UAC
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh