UAC: Einfacher Benutzer vs. Admin
- Ersteller fooBar
- Erstellt am
Ja, ebenfalls dort beschrieben: Schreibrechte auf diese Registryeinträge unterbinden:
Wilders Security Forums - View Single Post - SuRun: Easily running Windows XP as a limited user
teils wird einem das bereits abgenommen:
Wilders Security Forums - View Single Post - SuRun elevations can allow malware to elevate in a standard account
Wilders Security Forums - View Single Post - SuRun: Easily running Windows XP as a limited user
teils wird einem das bereits abgenommen:
Wilders Security Forums - View Single Post - SuRun elevations can allow malware to elevate in a standard account
Hatte meinen Post oben editiert, weil ich zuerst verwirrt über dieses SuRun war 
Aber nochmal zu dem von dir gequoteten Forenpost bezüglich des Unterschiedes Admin vs. Standardbenutzer. Den fand ich ziemlich interessant, steige aber nicht ganz durch. In dem Forumpost schreibt er:
"The difference is that malware running in a protected admin account can write to locations that an elevated process can later read from."
Aber welche locations sind das konkret? Meint er damit bestimmte Bereiche im Dateisystem oder in der Registry? Die Registry doch wohl eher nicht, da darf der Standardbenutzer ja reinschreiben, zumindest im Bereich seiner Benutzerdaten.
Aber nochmal zu dem von dir gequoteten Forenpost bezüglich des Unterschiedes Admin vs. Standardbenutzer. Den fand ich ziemlich interessant, steige aber nicht ganz durch. In dem Forumpost schreibt er:
"The difference is that malware running in a protected admin account can write to locations that an elevated process can later read from."
Aber welche locations sind das konkret? Meint er damit bestimmte Bereiche im Dateisystem oder in der Registry? Die Registry doch wohl eher nicht, da darf der Standardbenutzer ja reinschreiben, zumindest im Bereich seiner Benutzerdaten.
Zuletzt bearbeitet:
na schau mal hier:
http://www.wilderssecurity.com/showpost.php?p=1156834&postcount=25
da darf der user immer reinschreiben, auch ohne UAC-elevation. d.h. hier könnte malware schadcode ablegen (z.b. malware an das öffnen von regedit anhängen, wie im bspl. ja gezeigt wurde) und starte ich dann irgendeinen prozess, an den etwas angehängt wurde, mit erhöhten rechten --> so hat der dadurch mitgestartete malware-prozess auch automatisch erhöhte rechte. daher sollte man, wie in meinem voroherigen post beschrieben, diese orte nur vom admin beschreibbar machen
http://www.wilderssecurity.com/showpost.php?p=1156834&postcount=25
da darf der user immer reinschreiben, auch ohne UAC-elevation. d.h. hier könnte malware schadcode ablegen (z.b. malware an das öffnen von regedit anhängen, wie im bspl. ja gezeigt wurde) und starte ich dann irgendeinen prozess, an den etwas angehängt wurde, mit erhöhten rechten --> so hat der dadurch mitgestartete malware-prozess auch automatisch erhöhte rechte. daher sollte man, wie in meinem voroherigen post beschrieben, diese orte nur vom admin beschreibbar machen
Ich habe ein Adminkonto, in dem ich das mache, was ein Admin machen MUSS, und ein Nutzerkonto, mit dem ich Internet und Email mache. Beide Konten sind so, wie sie Gott, äh Microsoft, geschaffen hat, und ich wechsele brav 5mal am Tag hin und her.
Über euren Thread kann ich nur den Kopf schütteln.
Über euren Thread kann ich nur den Kopf schütteln.
na dann erklär mal, warum Oo
Das hat viele Gründe.
- Ich halte mich nicht für klüger, als die Profis von Microsoft.
- Das Thema ist total ausgelutscht und hat nichts gebracht.
- Früher unter XP war ich immer Admin mit DropMyRights: DropMyRights, Download bei heise
- Es lohnt nicht und man kann sich bei solchen Aktionen leicht selbst ein Bein stellen...
die argumentation versteh ich nicht: wenn du doch die profis von microsoft für schlauer hälst, dann sollte es doch auch gut sein, das zu nutzen, was sie dir anbieten: UAC in verbindung mit einem limitierten useracc (und somit ohne das nervige hin und her-gewechsel).
Dafür kann ich aber nichts.
Ich benutze beide Konten, so wie mir das MS vorgibt. Manche Sachen lassen sich (anscheinend) nur über ein "echtes" Adminkonto erledigen, z.B.meinen Virenscanner starten oder konfigurieren, manche Programminstallationen usw.. Die Sache ist mir auch gar keinen Gedanken und Klimmzug wert.
Eigentlich gibt MS genau einen Useraccount mit UAC vor... daher bin ich etwas verwirrt. Der Wechsel zwischen zwei Accounts ist eher noch XP Style...
Aber wenn Du dir doch sowieso keine intensiven gedanken zu dem thema machen willst, wieso hälst du den thread dann für unsinnig? Oo
Aber wenn Du dir doch sowieso keine intensiven gedanken zu dem thema machen willst, wieso hälst du den thread dann für unsinnig? Oo
Unsinnig ist das falsche Wort. Für Windows XP gab es das wunderbare Tool Processguard. Die Firma ist spätestens eingegangen, als Vista mit UAC kam.
Heute gibt es in W7 Enterprise/Ultimate Applocker und in Linux Apparmor. Es gab seit Vista hunderte Artikel und Diskussionen - was ist davon in der Praxis angekommen? Ein Admin und ein Nutzer reicht halbwegs für den Hausgebrauch. Wenn du es besser kannst, dann mach...
---------- Post added at 14:20 ---------- Previous post was at 14:14 ----------
Manche Sachen sind mir als normaler Nutzer zu unbequem: Regedit, Dateifreigaben. Ich habe ganz einfach das Gefühl, dass ich mit den 2 Konten nicht viel verkehrt mache.
Zuletzt bearbeitet:
Also ich finde es viel bequemer, mit UAC mal schnell auf Admindateien zuzugreifen, als extra jedes mal den Benutzer zu wechseln. Stell Dir mal vor, Du lädst ein Winamp plugin runter und willst es in das Winamp verzeichnis kopieren --> beim kopieren per explorer wirst du automatisch per UAC nach dem admin-PW gefragt und dieses wird nur für den kopierprozess genutzt, ergo sicher. dafür extra den benutzer wechseln? Oo
nunja, aber es bleibt wie immer: jedem das seine
nunja, aber es bleibt wie immer: jedem das seine
Anscheinend ja doch, sonst würdest du es so machen, wie es von Microsoft vorgesehen ist (Das standardmäßige Konto mit UAC nutzen, anstatt umständlich zwischen zwei Konten hin und herzuschalten)
Und warum ist das Thema ausgelutscht und bringt nichts? Nur weil es DICH nicht interessiert? Mir hat die Diskussion hier viel neues Wissen gebracht und daher finde ich diesen Thread ganz und gar nicht sinnlos. Ich glaub, ich schreib jetzt auch mal in jeden zweiten Thread hier, wie uninteressant und irrelevant ich ihn finde
na schau mal hier:
http://www.wilderssecurity.com/showpost.php?p=1156834&postcount=25
da darf der user immer reinschreiben, auch ohne UAC-elevation. d.h. hier könnte malware schadcode ablegen (z.b. malware an das öffnen von regedit anhängen, wie im bspl. ja gezeigt wurde) und starte ich dann irgendeinen prozess, an den etwas angehängt wurde, mit erhöhten rechten --> so hat der dadurch mitgestartete malware-prozess auch automatisch erhöhte rechte. daher sollte man, wie in meinem voroherigen post beschrieben, diese orte nur vom admin beschreibbar machen
Aber das bezieht sich doch auf Windows XP und nicht auf Vista/W7? Oder gilt es für beide Betriebssysteme gleichermaßen? Kann es für Windows 7 leider nicht testen, da ich gerade am Laptop (nur XP) sitze.
Aber nehmen wir mal an, es gilt auch für Windows 7: Wenn da der User immer reinschreiben kann, egal ob Admin oder Standardbenutzer, dann ist es doch auch egal, als was ich mich einlogge...
Zuletzt bearbeitet:
genau, so hab ich das auch aufgefasst...
ich denke schon, dass das auch für win7 gilt, sonst hätte der autor von surun ja auch nichts dazu gepostet. es wurde in einem der threads auch beschrieben, dass man eben das kafu noch unter win7 einsetzen kann.
und zu dem user vs. admin: dabei geht es ja wneiger um das schreiben auf solche locations, viel mehr um erweiterte rechte
daher machts schon einen riesen unterschied!Wie soll ich das denn auffassen? Wollt ihr mich anmachen oder versteht ihr nur Bahnhof?
Ich habe doch wohl klar genug erklärt, dass ich an den Standardeinstellungen von Windows nichts verdrehe und auch nicht über MS meckere.
Ihr könntet euch mal mit der Entwicklung NT, XP, Vista, W7 befassen und mit den Grundlagen der Materie:
multi user os system privileges - Google-Suche
Nur so aus meinem Bauchgefühl, es ist es mir nicht wert, das genau zu überprüfen:
Wenn ich etwas als Administrator z.B. installiere oder konfiguriere, dann meistens allgemein "von oben herab" für alle User.
Wenn ich mir als gemeiner User etwas installiere, dann speziell nur für diesen einen User, für mich und ich verschaffe mir "von der Seite herein, von hinten durchs Knie" die Adminrechte dafür.
Das könnte Konsequenzen haben: wenn etwas als Nutzer ABC nicht mehr richtig funktioniert und ich mir das nicht recht erklären kann, dann exportiere ein paar wichtige Einstellungen, lege den Nutzer XYZ an, importiere, teste...und am Ende lösche ich ABC komplett und lege ihn neu an. Und dann möchte ich euren Gesichtsausdruck sehen
, wenn für den neuen Nutzer nicht alle über Jahre installierten Sachen zur Verfügung stehen - dann hat sich die Bequemlichkeit und Zeitersparnis voll gelohnt.Ihr könnt mal was nützliches machen und das verifizieren.
Vielleicht ist das Thema, obwohl es uralt ist, auch nicht ganz unter der Würde für jemanden, der das gelernt hat und der weiter hilft.
Ja, weil ich solche "Sachen" schon seit vielen Jahren im Internet sehe - und die kann jeder finden. Die Entwicklung der Benutzerverwaltung (UAC) XP > Vista > W7 wurde zu Zeiten der Beta von W7 lang und breit erklärt. Die Gründe liegen in der Ignoranz, Ahnungslosigkeit und Meckerei der normalen Benutzer/Anwender. Aber Microsoft muss ja verkaufen und es daher auch dem letzten DAU möglichst bequem und trotzdem hinreichend sicher machen.
Das Wort doof ist aber von mir nicht gekommen. Ich habe nicht mal geschrieben: "Jeder stellt sich so .... an, wie er kann." Aber Kopfschütteln muss schon erlaubt sein.
Zuletzt bearbeitet:
Linux hat das gleiche Problem, nur schlimmer:
Die Woche: Linus' Tochter | heise open
"Linus Torvalds hat sich auf Google Plus bitter über OpenSuse beklagt: Seine Tochter hätte ihn aus der Schule anrufen müssen, weil die Einrichtung des Schuldruckers auf ihrem Macbook Air mit OpenSuse nach dem Root-Passwort fragt."
Die Woche: Linus' Tochter | heise open
"Linus Torvalds hat sich auf Google Plus bitter über OpenSuse beklagt: Seine Tochter hätte ihn aus der Schule anrufen müssen, weil die Einrichtung des Schuldruckers auf ihrem Macbook Air mit OpenSuse nach dem Root-Passwort fragt."
laut diversen technet beiträgen, auch von sinofsky ist der adminaccount mit uac token lediglich ein kompromiss aus usability und sicherheit (der aufgrund von userwünschen* und anwendungskompatibilität gegangen wurde). Microsoft empfiehlt auch weiterhin einen eingeschränkten benutzeraccount für ein höheres sicherheitsniveau
Why use a standard user account instead of an administrator account?
Least Privilege, User Account Control, and Setuid
Man sollte nie vergessen, ms bedient einen markt mit einer teils sehr lauten community. Gesehen bei vista, was war das erste was die ganzen experten machten? uac ausschalten - komischerweise hätte keiner n problem gehabt wenn jeder schon wie von ms empfohlen mit nem standardaccount in vorigen versionen gearbeitet hätte, tja die folge davon war eine entschärfung von uac obwohl ms genau den umgekehrten weg gehen wollte (siehe interviews zu vista zeiten)...man hat sich dem markt gebeugt und nicht das technisch sinnvolle gemacht.
Natürlich gibt microsoft auch weitere tipps wie man ein system härtet (z.B. anwendungen whitelisten o.ä.) aber in der summe ist der aufwand zu nutzen bei einem privatuser mit einem standard user zum arbeiten + adminaccount für administrative in einem vernünftigen verhältnis. *Nur sind die heimanwender gerne so dumm und fühlen sich dadurch gleich beschnitten obwohl sie das adminkennwort kennen und dadurch nicht mal eine reale beschränkung besteht.
Zuletzt bearbeitet: