Vielleicht wieder der Anstoß zu einer Grundsatzdiskussion: die Benutzerkontensteuerung von Windows dunkelt standardmäßig den Bildschirm ab, wenn ein Programm systemnah zugreifen will. Das passiert zum Beispiel, wenn man den CCleaner starten will. Man kann diese Einstellung deaktivieren und das ganze auch im Aero-Design darstellen lassen. Dieses kann allerdings auch ein Angriffspunkt sein, deshalb auch bitte den letzten Satz dieses Beitrags beachten.
Dazu muss man einfach einen Wert in der Registry ändern (geht auch über Sicherheitsrichtlinien, allerdings weiss ich jetzt gar nicht, ob die secpol.msc in der Home-Variante von Windows 7 vorhanden ist, meine aber nicht).
Also mal wacker in die Registry und folgenden Schlüssel von 1 auf 0 setzen: PromptOnSecureDesktop im Pfad HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.
Danach bleiben die Meldungen des UACs weiterhin bestehen, allerdings ohne Abdunkeln des Bildschirms:
So, nun zur Diskussion: ich selber habe mir mit Windows 7 angewöhnt die Benutzerkontensteuerung aktiviert zu lassen. Wie würde sich ein nicht verdunkelter Bildschirm auf den Nutzer auswirken? Würde er die Warnung der Benutzerkontensteuerung übersehen oder weniger ernst nehmen? Was meint ihr? Des Weiteren solltet ihr auch beachten, dass diese Umstellung ein Sicherheitsrisiko darstellen kann.
Ich finde das nicht Abdunkeln und nicht Sperren besser. Habe ich bei mir auch so. Dann kann man erst mal in ruhe seine Sachen zuende machen und wird nicht im Fluss unterbrochen.
Es ist aber auch schon mal vorgekommen, dass ich die Meldung uebersehen habe und mich wunderte, warum es nicht weiter geht. Aber ein kurzer Blick zur Taskleiste loest das Problem dann.
Den SecureDesktop würde ich an deiner Stelle nicht deaktivieren, außer du betreibst die UAC sowieso nicht auf der höchsten Sicherheitsstufe.
Durch das Deaktivieren des SecureDesktop kann bösartige Software den UAC-Dialog ggf. fernsteuern …
Ich halte die standardmäßig eingestellte Sicherheitsstufe in der Windows 7 Benutzerkontensteuerung für übertrieben. Die 2. Einstellung von unten, nur die Änderungen von selbstständigen Programmen anzuzeigen, finde ich vollkommen ausreichend. Bei Windows XP hat man auch ohne diese Ausführungskontrolle jahrelang virenfrei arbeiten können.
In diesem Modus wird auch das abdunkeln des Bildschirms deaktiviert, da spar ich mir zusätzlich also den Regkey.
Verdunkelt oder nicht – ich habe die UAC direkt abgeschalten, mich nervt es, dass quasi ständig das Fenter aufpoppt…wenn ich mir das System doch mal zerschießen sollte, zieh ich mir halt das letze Backup (dass Dank Caschys Tipp via [url=http://stadt-bremerhaven.de/vollautomatisches-und-kostenloses-vollbackup-fuer-windows-7/] Kommandozeile[/url] immmer aktuell ist!)
Der “Secure Desktop” macht ja ein wenig mehr als nur dunkel; er macht den UAC-Dialog auch modal und damit unübersehbar und unausweichlich.
Schaltet man den aus, dann besteht (vor allem auf Mehrmonitorsystemen) natürlich die Gefahr, dass man mal eine der UAC-Fragen übersieht und sich dann eine halbe Stunde später wundert, warum die Software immernoch nicht installiert (oder die Netzwerkkarte immernoch nicht aktiviert) ist. Sonst sehe ich da keine Probleme.
“…Durch das Deaktivieren des SecureDesktop kann bösartige Software den UAC-Dialog ggf. fernsteuern…”
Genau das ist der Casus Knacksus – damit würde das komplette Konzept der UAC hinterlaufen.
Mich nervt immer das die bei der Abfrage den Aero style der Fenster abschalten. Und mir dann so ein Aero Basic Style andrehen.
Mal ehrlich. Wie oft ist es bei euch in der vergangenheit vorgekommen, das die aufpoppenden Meldung tatsächlich vor etwas gewarnt hat, was ihr selbst nicht durch eine Programmaufruf verursacht habt.Sprich wie oft wurdet ihr somit vor einem Schadprogram gewarnt ???
Die UAC macht meiner Meinung nach nur auf der höchsten Sicherheitsstufe Sinn. Dazu gehört nun mal auch ein aktiver SecureDesktop. Alles andere ist eher Augenauswischerei.
Wenn der SecureDesktop angezeigt wird, passiert nichts anderes, als das ein Screenshot eures Desktops gemacht und dieser dann am SecureDesktop angezeigt wird. Auf den SecureDesktop hat _keine_ Anwendung Zugriff. Somit kann auch keine Schadsoftware automatisch den UAC-Dialog abnicken, ohne dass ihr den Dialog jemals zu Gesicht bekommt.
Warum kein Aero am SecureDesktop ist? Ich vermute, dass liegt an der oben genannten Einschränkung, dass keine Anwendung Zugriff bekommt. Für Aero wäre aber zumindest der Desktopfenster-Manager (dwm.exe) notwendig.
Den hier veröffentlichten Tipp halte ich auch für grob fahrlässig. Wie bereits beschrieben hat der Secure Desktop durchaus seine Daseinsberechtigung. Wenn jetzt alle Benutzer die UAC wieder soweit beschneiden, dass sie auf dem Sicherheitsniveau von Windows XP sind, wird den Botnetzen auf absehbare Zeit nicht besser.
Daher die Bitte an den Autoren, sich vorher über entsprechende Themen gründlich zu informieren.
@gs: Hat er. Und auch ersten Satz beachten. Denken ist hier immer angesagt
“Vielleicht wieder der Anstoß zu einer Grundsatzdiskussion: die Benutzerkontensteuerung von Windows dunkelt standardmäßig den Bildschirm ab, wenn ein Programm systemnah zugreifen will.”
Das ist der 1. Satz. Den lese ich so wie gs: “mir gefällt nicht, dass da was dunkel wird, also schalte ich es ab”. Da steht nicht, dass damit der Secure Desktop abgeschaltet wird (gertschi hat das prima erklärt), sondern, dass lediglich die Abdunklung ausgeschaltet wird. Mit keinem Satz sind die damit verbundenen Funktionen erklärt. Bestenfalls schlecht formuliert, schlimmstenfalls siehe gs.
Deswegen auch schon längst ergänzt
@gs:
Das liegt nicht an den Autoren, sondern an jedem selber. Niemand wird gezwungen, die Standardeinstellung zu ändern. Die UAC kann noch so gut gemeint sein – gut gedacht ist noch nicht gut gemacht.
Ich persönlich habe die UAC (nach ausprobieren) deaktiviert. Und das bleibt auch so. Wenn ich keine Ausnahmeregel nach der ersten Warnung festlegen kann, bleibt mir nur ausschalten. Wer sie eingeschaltet lässt, der soll das tun – da würd ich nie was gegen sagen.
Also ich weiß nicht was ihr anders macht seit ihr 7 habt, aber ich mache (von den verwendeten Programmen her) nichts anders als ich es unter Vista gemacht habe, und bekomme mit der Standardeinstellung der UAC (3/4 so wie es ausgeliefert wird), fast keine Warnmeldungen mehr. Im Vergleich dazu habe ich bei den selben Aktionen unter Vista 5 mal soviele Meldungen bekommen.
Ausnahmeregeln vom UAC sind von MS nicht vorgesehen und das aus gutem Grund. Hat irgend etwas mit den Manifesten zu tun. Ich müsste jetzt aber wie blöd suchen, um die passende Erklärung wieder zu finden.
Im Grunde frage ich mich gerade, warum es genau dafür eine Systemrichtlinie gibt. Sinnvoll?
@Stardust:
Bei Vista hab ich die garnicht ausprobiert, sondern gleich ausgeschaltet. Diese ganzen Diskussionen bringen aber wirklich nix. Ich werd sie (unter den jetzigen Bedingungen) nich wieder einschalten – und du wirst sie nicht ausschalten.
Muss aber auch nicht – man kann sich nicht in allem einig sein. Dann bleiben eben 2 Meinungen nebeneinander stehen.
Ja, da werden wir niemals auf einen Nenner kommen. Ich kann es mir dennoch nicht verkneifen zu sagen, dass man die UAC dann auch gleich abschalten kann, anstatt diesen gut gemeinten Tipp zu befolgen.
Außerdem ist es schon zum Brüllen, wenn ich hier lese, dass die Standardeinstellung der UAC übertrieben ist. Man bekommt so gut wie gar keine Meldungen mehr, denn alles, was aus der Systemsteuerung heraus gemacht wird, geht ohne Meldung durch. Nur wenn Programme Adminrechte brauchen, dann erhält man sie. Normalerweise sollte dies nur noch in einigen Ausnahmefällen und bei der Installation von Programmen der Fall sein. Ich kann kaum verstehen, wie man selbst davon noch gestört sein kann.
Ich selbst habe den Schieberegler ganz nach oben geschoben, denn ich möchte die Kontrolle darüber haben, was auf meinem Rechner vor sich geht und daher auch wissen, wenn ein Prozess Änderungen am System selbst vornehmen will. Dass dies jedes Programm, also auch ein Browser beispielsweise, dies jederzeit kann ohne, dass ich es mitbekomme halte ich für ein Riesenscheunentor und insofern halte ich es auch für einen großen Fehler, dass man die UAC mit der neuen Standardeinstellung ad absurdum führt und kann nur dazu raten den Schieberegler ganz nach oben zu schieben.
Siehe auch:
http://www.istartedsomething.c.....erability/
http://www.withinwindows.com/2.....ly-easily/
Kurz zusammengefasst kann man sagen, dass mit der Standardeinstellung im Prinzip jede Malware Adminrechte erlangen kann, ohne eine Meldung der UAC zu verursachen, was die UAC hart gesagt vollkommen nutzlos macht. Hier hat einfach die Ignoranz der Nutzer gesiegt, was Schade ist. Unter den Linuxern wäre eine solche Diskussion gar nicht denkbar, denn dort ist allgemein anerkannt, dass man nicht als Root auf einem System arbeitet und sich nur im Bedarfsfall höhere Rechte gibt.
RedSign, da stimme ich dir voll zu, UAC voll aufdrehen. Alles andere ist Kappes, dann kann man auch gleich ganz abschalten. Anzumerken ist noch, dass man ja noch immer über die Aufgabenplanung Ausnahmen konfigurieren kann. Doch auch das stellt streng genommen eine Sicherheitslücke dar.
Bis Windows so sicher ist wie Linux, hat selbiges mit Hilfe von Google eh schon die Weltherrschaft übernommen. Dazu fehlt nur noch die Akzeptanz und die Unterstützung von Hardware- und Spieleherstellern.
Ich finde die UAC allerdings einen Schritt in die richtige Richtung. Ob das Ding jetzt auf nem “Secure Desktop” (was auch immer das sein soll) läuft oder mit einem normalen Fenster angezeigt wird, wäre bei richtiger Programmierung egal (siehe Gnome-Dialoge unter Linux). Allerdings hat Microsoft das große Problem, viel Legacy-Mist unterstützen zu müssen, weil das Konzept eben komplett anders ist.
Deswegen wird Windows auf lange Sicht nicht weiter existieren können – außer wenn mal ein Neuanfang gewagt wird.
Luca, unter Linux ist es – unabhängig von der verwendeten Desktopumgebung – üblich ein Passwort abzufragen, um sich Adminrechte zu geben. Natürlich ist dann sowas wie ein abgeschotteter Dialog nicht notwendig, weil ein einfacher Klick eben nicht ausreicht und nur der jeweilige Nutzer das Passwort kennt. Das hat mit guter oder schlechter Programmierung also nichts zu tun, sondern vielmehr mit unterschiedlichen Konzepten. Ich denke die Eingabe eines Passwortes hätte die Windows-Nutzer noch sehr viel mehr verärgert und verschreckt, wenn man bedenkt, dass sie es selbst bei einem einfach Klick bereits sind.
Ohne jetzt die ganzen Kommentare gelesen zu haben, den Weg über den Registry Editor kann man sich sparen. Einfach die Stufe der UAC auf die 2 stellen. Für sinnvoll halte ich es übrigens nicht. Höchstens in Kombination mit einem Standardbenutzerkonto. Ich bin bei der Standardeinstellung geblieben, hab mir ein Standardbenutzerkonto eingerichtet und brauche nun auch keine Angst mehr von der Sicherheitslücke haben die dadurch in Windows 7 aufgerissen wurde.
Ich benutze etwas viel besseres, als die UAC, nämlich mein Gehirn.
Ich knall mir einfach nicht jeden Scheiß auf die Festplatte.
Und wenn ich einer Software mal nicht ganz vertraue wird sie erst mal auf einer virtuellen Maschine installiert.
Ich wette weit über die Hälfte der Leute, die UAC an haben, können gar nichts mit den Meldung anfangen und klicken einfach auf ja.
Sowas macht wirklich Sinn.
Ich habe die UAC noch nie genutzt und hatte noch nie Probleme damit, daher bleibt sie auch in Zukunft aus.
That’s the only way
http://unixwiz.net/techtips/win7-limited-user.html
“Hannes sagt
Ich benutze etwas viel besseres, als die UAC, nämlich mein Gehirn.”
Oh wei, das ist genau das Problem. Beim UAC geht es um ein Sicherheitseinrichtung gegen unerwünschte Malware deren Installation eben NICHT mehr zu erkennen ist. Und zwar egal was auch immer man dagegen zu unternehmen glaubt. Einfach mal ein Fachblatt wie c’t compakt Security lesen. Es gibt weitaus mehr Möglichkeiten ein Computer zu infizieren als sich auch nur der versierteste Nutzer vorstellen kann.
Dem kann ich nur beipflichten, denn es hat sich auch schon Schadsoftware in Bilddateien gefunden. Vor solchen Software-Lücken ist auch der erfahrenste Nutzer nicht gefeit.
@maas-neotek:
“Es gibt weitaus mehr Möglichkeiten ein Computer zu infizieren als sich auch nur der versierteste Nutzer vorstellen kann.”
Sicher – nix gegen zu sagen. Aber das ist alles eine Risikoabschätzung. Wenn das alles nämlich so gefährlich wäre, wie es da und dort dargestellt wird – dann müßten viel mehr Computer total verseucht sein. Weil auf der Mehrzahl immer noch ältere OS als Vista und 7 installiert ist. Und da gibts nun mal keine UAC.
Beipflichten muß ich allerdings, das es nur 2 sinnvolle Einstellungen für die UAC gibt: höchste Stufe oder ganz ausgeschaltet. Ganz oder garnicht.
Habe leider “noch” kein Windows 7 und muss mich mit Vista begnügen.
Ist der UAC-Dialog gleich dem in Vista?
Diese Sicherheitsfunktion direkt zu deaktivieren halte ich eher führ gefährlich.
Irgendwo hier in den Kommentaren fand ich den Tipp zu
“RunAs-LongAdmin” und setze es für Programme (unter Windows Vista) ein, bei dem diese Meldung kommt.
Kuckst Du hier …
http://svsload.com/wd/runas-longadmin/
Ich möchte halt nichts auf meinem Comp rumpfleuchen haben was da nicht hingehört. Und schon gar nix was ich nicht merke. Kein DOM, keine Flashcookies, kein garnix. Schon schlimm genug was da alles läuft von dem ich null Plan habe. Und alles andere schon mal gar nicht, egal wie groß oder klein das Risiko ist. Null Kompromisse.
Und das wird mit permanentem I-Net Anschluss immer schwieriger. Totale Abschottung ist fast unmöglich; die Infrastruktur ist nur etwas für Hochsicherheits-Bereiche. Privat kann ich das nicht leisten, mein Arbeitgeber macht das aber. Vielleicht daher meine Einstellung.
Deine Meinung ist uns wichtig...