Benutzerkontensteuerung und der abgedunkelte Bildschirm
von caschy | 95 Kommentare
Vielleicht wieder der Anstoß zu einer Grundsatzdiskussion: die Benutzerkontensteuerung von Windows dunkelt standardmäßig den Bildschirm ab, wenn ein Programm systemnah zugreifen will. Das passiert zum Beispiel, wenn man den CCleaner starten will. Man kann diese Einstellung deaktivieren und das ganze auch im Aero-Design darstellen lassen. Dieses kann allerdings auch ein Angriffspunkt sein, deshalb auch bitte den letzten Satz dieses Beitrags beachten.
Dazu muss man einfach einen Wert in der Registry ändern (geht auch über Sicherheitsrichtlinien, allerdings weiss ich jetzt gar nicht, ob die secpol.msc in der Home-Variante von Windows 7 vorhanden ist, meine aber nicht).
Also mal wacker in die Registry und folgenden Schlüssel von 1 auf 0 setzen: PromptOnSecureDesktop im Pfad HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.
Danach bleiben die Meldungen des UACs weiterhin bestehen, allerdings ohne Abdunkeln des Bildschirms:
So, nun zur Diskussion: ich selber habe mir mit Windows 7 angewöhnt die Benutzerkontensteuerung aktiviert zu lassen. Wie würde sich ein nicht verdunkelter Bildschirm auf den Nutzer auswirken? Würde er die Warnung der Benutzerkontensteuerung übersehen oder weniger ernst nehmen? Was meint ihr? Des Weiteren solltet ihr auch beachten, dass diese Umstellung ein Sicherheitsrisiko darstellen kann.
Wird geladen ...
Bis Windows so sicher ist wie Linux, hat selbiges mit Hilfe von Google eh schon die Weltherrschaft übernommen. Dazu fehlt nur noch die Akzeptanz und die Unterstützung von Hardware- und Spieleherstellern.
Ich finde die UAC allerdings einen Schritt in die richtige Richtung. Ob das Ding jetzt auf nem „Secure Desktop“ (was auch immer das sein soll) läuft oder mit einem normalen Fenster angezeigt wird, wäre bei richtiger Programmierung egal (siehe Gnome-Dialoge unter Linux). Allerdings hat Microsoft das große Problem, viel Legacy-Mist unterstützen zu müssen, weil das Konzept eben komplett anders ist.
Deswegen wird Windows auf lange Sicht nicht weiter existieren können – außer wenn mal ein Neuanfang gewagt wird.
Luca, unter Linux ist es – unabhängig von der verwendeten Desktopumgebung – üblich ein Passwort abzufragen, um sich Adminrechte zu geben. Natürlich ist dann sowas wie ein abgeschotteter Dialog nicht notwendig, weil ein einfacher Klick eben nicht ausreicht und nur der jeweilige Nutzer das Passwort kennt. Das hat mit guter oder schlechter Programmierung also nichts zu tun, sondern vielmehr mit unterschiedlichen Konzepten. Ich denke die Eingabe eines Passwortes hätte die Windows-Nutzer noch sehr viel mehr verärgert und verschreckt, wenn man bedenkt, dass sie es selbst bei einem einfach Klick bereits sind.
Ohne jetzt die ganzen Kommentare gelesen zu haben, den Weg über den Registry Editor kann man sich sparen. Einfach die Stufe der UAC auf die 2 stellen. Für sinnvoll halte ich es übrigens nicht. Höchstens in Kombination mit einem Standardbenutzerkonto. Ich bin bei der Standardeinstellung geblieben, hab mir ein Standardbenutzerkonto eingerichtet und brauche nun auch keine Angst mehr von der Sicherheitslücke haben die dadurch in Windows 7 aufgerissen wurde.
Ich benutze etwas viel besseres, als die UAC, nämlich mein Gehirn.
Ich knall mir einfach nicht jeden Scheiß auf die Festplatte.
Und wenn ich einer Software mal nicht ganz vertraue wird sie erst mal auf einer virtuellen Maschine installiert.
Ich wette weit über die Hälfte der Leute, die UAC an haben, können gar nichts mit den Meldung anfangen und klicken einfach auf ja.
Sowas macht wirklich Sinn.
Ich habe die UAC noch nie genutzt und hatte noch nie Probleme damit, daher bleibt sie auch in Zukunft aus.
That’s the only way 🙂
http://unixwiz.net/techtips/win7-limited-user.html
„Hannes sagt
Ich benutze etwas viel besseres, als die UAC, nämlich mein Gehirn.“
Oh wei, das ist genau das Problem. Beim UAC geht es um ein Sicherheitseinrichtung gegen unerwünschte Malware deren Installation eben NICHT mehr zu erkennen ist. Und zwar egal was auch immer man dagegen zu unternehmen glaubt. Einfach mal ein Fachblatt wie c’t compakt Security lesen. Es gibt weitaus mehr Möglichkeiten ein Computer zu infizieren als sich auch nur der versierteste Nutzer vorstellen kann.
Dem kann ich nur beipflichten, denn es hat sich auch schon Schadsoftware in Bilddateien gefunden. Vor solchen Software-Lücken ist auch der erfahrenste Nutzer nicht gefeit.
@maas-neotek:
„Es gibt weitaus mehr Möglichkeiten ein Computer zu infizieren als sich auch nur der versierteste Nutzer vorstellen kann.“
Sicher – nix gegen zu sagen. Aber das ist alles eine Risikoabschätzung. Wenn das alles nämlich so gefährlich wäre, wie es da und dort dargestellt wird – dann müßten viel mehr Computer total verseucht sein. Weil auf der Mehrzahl immer noch ältere OS als Vista und 7 installiert ist. Und da gibts nun mal keine UAC.
Beipflichten muß ich allerdings, das es nur 2 sinnvolle Einstellungen für die UAC gibt: höchste Stufe oder ganz ausgeschaltet. Ganz oder garnicht.
Habe leider „noch“ kein Windows 7 und muss mich mit Vista begnügen.
Ist der UAC-Dialog gleich dem in Vista?
Diese Sicherheitsfunktion direkt zu deaktivieren halte ich eher führ gefährlich.
Irgendwo hier in den Kommentaren fand ich den Tipp zu
„RunAs-LongAdmin“ und setze es für Programme (unter Windows Vista) ein, bei dem diese Meldung kommt.
Kuckst Du hier …
http://svsload.com/wd/runas-longadmin/
Ich möchte halt nichts auf meinem Comp rumpfleuchen haben was da nicht hingehört. Und schon gar nix was ich nicht merke. Kein DOM, keine Flashcookies, kein garnix. Schon schlimm genug was da alles läuft von dem ich null Plan habe. Und alles andere schon mal gar nicht, egal wie groß oder klein das Risiko ist. Null Kompromisse.
Und das wird mit permanentem I-Net Anschluss immer schwieriger. Totale Abschottung ist fast unmöglich; die Infrastruktur ist nur etwas für Hochsicherheits-Bereiche. Privat kann ich das nicht leisten, mein Arbeitgeber macht das aber. Vielleicht daher meine Einstellung.
@NiCOLE:
Ich nörgle ja genug an Windows rum (benutz es aber trotzdem) aber Fortschritte kann ich auch erkennen – so blind bin ich ja nun nicht. Deshalb mein Rat:
Nimm 75,-€, kauf dir Win 7 Home Premium als Systembuilderversion – und hau Vista in die „Tonne“. 😛
@JürgenHugo
Jep, ist aber das Problem, dass es für 75€ mit der Systembuilderversion Version entweder nur die 32Bit, oder 64Bit Version gibt und nicht beides auf einer DVD.
Da aber nicht alle Programme mit 64Bit laufen, brauche ich halt auch ne 2. Partition mit nem 32Bit Win7.
(Und das mit der 50€ promoversion wird eh nix mehr …)
@NiCOLE:
Schon schon – aber die Retailversion für 200,- enthält zwar 32-bit und 64-bit – nutzen kannst du aber immer nur eine!
Wenn man also 32 und 64 bit braucht haben will, dann sind 2 Systembuilder für 150,- (bzw. 300,- für Ultimate) die günstigste Variante. Da hat man 2 Voll-Lizenzen.
Irgendwelche Sonderangebote oder von der Uni+so lass ich mal außen vor – die sind ja nicht für jeden verfügbar.
Oder du lässt dein Vista drauf, und kaufst dir 7 in der anderen Bitvariante.
Hm, ich habe ein eingeschränktes Benutzerkonto und einen Administratoraccount (mit Passwort, aber das ist glaube mittlerweile Standard). Ich darf bei jeder UAC-Abfrage ein Passwort eintippen…es stört mich nicht, ich komme von Linux, da ist das normal. Außerdem kommen diese Fragen wirklich nur an Stellen, an denen ich sie auch nachvollziehen kann (Programminstallation, Firewalleinstellungen, …), also nicht so häufig.
Aber wenn ich den Secure Desktop ausschalte, könnte ein Programm das eingetippte Passwort auslesen – das nützt mir dann auch nix.
Ein Tipp gegen den „Aero Basic Style“ wäre mir deutlich lieber.
@Freakazoid:
Also, als ich die UAC probiert habe, sind in ein paar Minuten 5 Progs geblockt worden. U.a. TuneUp und MooO Systemmonitor. Ersteres benutz ich schon ab und an, letzteres ist im Autostart. Die müßte ich jedesmal abklicken – und dazu bin ich eben nicht bereit (obwohl ich kein Passwort eintippen muß).
Außerdem würden bei dauerndem Einschalten sicher noch einige Progs dazukommen. Ich habs schon einige Male gesagt: wenn ich Ausnahmeregeln hinzufügen könnte, würd ich die UAC wieder einschalten – kann ich aber eben nicht.
Zu den Themes/Style: Ich habe den „normalen“ Style in 7 lediglich auf „Grau“ eingestellt, bis mir die Farbe der Supertaskleistenbar gepasst hat. Zusammen mit der Einstellung „kleine Symbole“ gefällt mir das recht gut.
Alles andere (Anmeldescreen, Wallpaper, Screensaver, Icons etc.) habe ich manuell angepaßt. Es erfordert ein wenig Mühe, ist es mir aber wert. Das Ergebnis kommt meinem Geschmack schon ziemlich nahe.
@JürgenHugo
Zitat:
„Schon schon – aber die Retailversion für 200,- enthält zwar 32-bit und 64-bit – nutzen kannst du aber immer nur eine!“
…
Lol. Zur gleichen Zeit kann ich sicherlich nur ein Windows nutzen, aber bei 250 Gig ist genug Platz für etliche Partitionen und der Bootmanager macht bekanntlich den Rest …
Schauen wir mal, was vor Weihnachten noch für Angebote, oder Promos kommen 😉
@JürgenHugo: Ist es nicht irgendwie logisch, dass Programme die an globalen Einstellungen etwas ändern (TuneUp) oder Ressourcen des Betriebssystems (Systemmonitor – obwohl ich den nicht kenne^^) Administratorrechte benötigen? Hm.
Hm, man kann nicht mehr ändern…da fehlt ein „auslesen“. 😉
@Freakazoid:
Du hast recht – gegen die Warnung der UAC an sich hab ich ja nichts – wenn, ja wenn ich bei bekannten Programmen sagen könnte: „Dieses Programm darf, weil ich, der einzige User das explzit möchte“.
Und die UAC müßte sich das nur merken – jede Firewall kann das in ähnlicher Form. DANN würde ich die auf voll stellen. Weil ich dann nur vor NEUEN und/oder unbekannten Progs gewarnt würde. Nicht dauernd vor den selben – bei jedem Start von z.B. TuneUp. DAS wäre ein gutes Sicherheitsfeature, sogar der dunkle Screen würd mir dann gefallen – weil ich den dann als hilfreich empfinden würde.
Versuchen wir mal das zu vermenschlichen. Bei strömendem Regen geht mein Nachbar die Treppe runter, und ich sag: „Nimm einen Schirm mit, es regenet ganz viel“. Dabei halte ich ihn am Arm fest, damit er JA nich weiterlatschen kann.
Dann sagt er: „Ich hab unten im Hausflur einen Friesennerz hängen, mit Kapuze. Den zieh ich an, dann brauch ich keinen Schirm.“
Glaubst du, ich würde den bei jedem Regen erneut warnen? Sicher nicht – ich würd mir merken, das der eben Friesennerze bevorzugt. Die erste Warnung ist sinnvoll – dann krieg ich die Info: in diesem speziellen Fall ist eine erneute Warnung nicht erforderlich.
Das heißt ja nicht, das ich den NIE mehr vor irgendwas anderem gefährlichen (riesigen bissigen Hunden vor der Haustür z.B.) warnen würde. Würde ich natürlich. Nur bei Regen würd ich nix mehr sagen. Weil ich ja nicht doof bin. So.
@JürgenHugo
Dafür gibts ne Möglichkeit, wenn auch eine umständliche:
http://www.sevenforums.com/tutorials/11949-elevated-program-shortcut-without-uac-prompt-create.html
Ich hatte mir sowas für GlaryUtilities, Snapshot usw. eingerichtet. Damit fragt die UAC bei diesen Tools nicht mehr nach. Allerdings verwende ich mittlerweile einen Standardaccount, da hilft dieser Trick nicht mehr. Aber das tun ja die wenigsten, wenn man sich das hier so durchliest.