Benutzerkontensteuerung und der abgedunkelte Bildschirm
von caschy | 95 Kommentare
Vielleicht wieder der Anstoß zu einer Grundsatzdiskussion: die Benutzerkontensteuerung von Windows dunkelt standardmäßig den Bildschirm ab, wenn ein Programm systemnah zugreifen will. Das passiert zum Beispiel, wenn man den CCleaner starten will. Man kann diese Einstellung deaktivieren und das ganze auch im Aero-Design darstellen lassen. Dieses kann allerdings auch ein Angriffspunkt sein, deshalb auch bitte den letzten Satz dieses Beitrags beachten.
Dazu muss man einfach einen Wert in der Registry ändern (geht auch über Sicherheitsrichtlinien, allerdings weiss ich jetzt gar nicht, ob die secpol.msc in der Home-Variante von Windows 7 vorhanden ist, meine aber nicht).
Also mal wacker in die Registry und folgenden Schlüssel von 1 auf 0 setzen: PromptOnSecureDesktop im Pfad HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.
Danach bleiben die Meldungen des UACs weiterhin bestehen, allerdings ohne Abdunkeln des Bildschirms:
So, nun zur Diskussion: ich selber habe mir mit Windows 7 angewöhnt die Benutzerkontensteuerung aktiviert zu lassen. Wie würde sich ein nicht verdunkelter Bildschirm auf den Nutzer auswirken? Würde er die Warnung der Benutzerkontensteuerung übersehen oder weniger ernst nehmen? Was meint ihr? Des Weiteren solltet ihr auch beachten, dass diese Umstellung ein Sicherheitsrisiko darstellen kann.
Wird geladen ...
@nicole
Lol. Zur gleichen Zeit kann ich sicherlich nur ein Windows nutzen, aber bei 250 Gig ist genug Platz für etliche Partitionen und der Bootmanager macht bekanntlich den Rest …
…………………
du kanst dir das upgradepack für 80-85 eur kaufen, da hast du beide versionen. Aber was JürgenHugo meinte ist, das du nur 1 von den beiden Version bei MS freischalten kannst, da nützt es auch nichts wenn du es dir 10 mal auf die Platte knallst. Es gibt zwar mittel und wege – auch ohne irgendwelche Knackprogramm oder geklaute Volumenlizenzschlüssel, die Version ewig ohne Aktivierung zu nutzen, aber ich gehe davon aus, das du beide Versionen legal verwenden möchtest. Und da brauchst du eben zwei SB-Versionen a 70 – 77 Eur.
„Oh wei, das ist genau das Problem. Beim UAC geht es um ein Sicherheitseinrichtung gegen unerwünschte Malware deren Installation eben NICHT mehr zu erkennen ist. Und zwar egal was auch immer man dagegen zu unternehmen glaubt. Einfach mal ein Fachblatt wie c’t compakt Security lesen. Es gibt weitaus mehr Möglichkeiten ein Computer zu infizieren als sich auch nur der versierteste Nutzer vorstellen kann.“
Dann frag ich mich nur, warum ich mir bis jetzt noch nie Malware eingefangen habe. Wenn ich wirklich so gefärdet wäre hätte ich ja mit Sicherheit schon welche gehabt.
Und wenn die Malware wirklich so rafiniert ist, was sie zweifelslos seien kann, würde sie mit Sicherheit auch die UAC umgehen können.
Allerdings muss man die Malwar auch irgendwo herbekommen, die fällt nicht einfach so vom Himmel.
@Willi:
Genau so hab ich das gemeint – 2 Versionen legal gleichzeitig nutzen. Für ca. 150,- Home Premium oder 300,- Ultimate. Das muß jeder selber wissen welche er braucht/will.
Ich bin ja arg MS kritisch, aber: So eine Software (OS) zu entwickeln kostet eben viel Geld. Das sehe ich ein, und bezahle auch dafür. Allerdings find ich den „Normalpreis“ von 200,- bzw. 320,- vollkommen überzogen. Von den Upgrades ganz zu schweigen. Da kauf ich mir eben eine Systembuilder – da brauch ich (und jeder andere) überhaupt kein schlechtes Gewissen zu haben.
Soweit ich informiert bin, kommen die Preise in den USA umgerechnet unseren SB-Preisen ziemlich nahe. Auf die bunte Schachtel und das Handbuch kann ich gut verzichten. Ich hab mir 2 ausführliche Manuals (eins deutsch, das zweite, wo auch die Ultimate-Funktionen drinstehen englisch) als PDF geladen. Außerdem kann ich mir für einen Bruchteil der Ersparnis noch ein schlaues Buch kaufen. Eins, das nicht von MS ist, und auch Dinge erklärt, die Win 7 nicht gern mag…
Wenn man dann zusätzlich beim Caschy u.a. eifrig liest, erfährt man eine Menge. Ich finde die ausführliche Beschäftigung mit Win 7 hier ausgesprochen positiv. Der Caschy schreibt über so viele Dinge, das für jeden was dabei ist. Niemand MUSS ja alles klitzegenau lesen. Tu ich auch nicht, wenn´s mich mal nicht interessiert. 😛
@Daniel:
DAS hab ich mir auch schon durchgelesen – abgesehen von der Umständlichkeit würd ich das aber prinzipiell nich machen. Irgendwo ist eine Grenze, wo ich nicht mehr bereit bin Win auszutricksen. Die ist hier überschritten.
Dann schalt ich aus. Ohne Wenn und Aber.
Vielleicht könnten UAC-Verweigerer einen Blick auf SuRun werfen (http://kay-bruns.de/wp/software/surun/). Die Idee: Auch als Standardbenutzer kann man Prozesse bei Bedarf mit erhöhten Rechten (ohne Passwort) starten. Der Vorteil: Wenn man möchte, kann man die Abfrage (die bei SuRun auch über einen sicheren Desktop geschieht) abschalten, d.h. Programme sofort administrativ starten.
Malware hat normalerweise keine Ahnung, welche Programme das sind, so dass sie wohl kaum auf diese Weise angreifen kann. Zudem wird beim Start eines Programms als Admin immer ein kleines Popup unten rechts angezeigt.
Die Benutzung erfolgt allerdings auf eigene Gefahr. Die aktuelle Version funktioniert auf 7, Vista und XP. (Besonders für XP ist es m.E. fast schon ein Muss, um als normaler, eingeschränkter Nutzer arbeiten zu können. Vista- und 7-Nutzer profitieren im Hinblick auf die Sicherheit wohl am meisten, wenn sie als Standardbenutzer, d.h. nicht als UAC-Admin, arbeiten.)
Win7-Nutzer wie ich können im Forum nach der aktuellen Beta sehen, die je nachdem bessere Unterstützung bietet. (Dabei sollte man Beta 7a allerdings nicht einsetzen, weil das System möglicherweise Bluescreens produziert und man das SuRun über ein Live-System von der Festplatte löschen muss.)
In allen Fällen sollte man einen Admin-Account in der Hinterhand haben, falls man sich aus Versehen aussperrt.
@Hannes:
Man soll Computer nicht vermenschlichen…sie mögen es einfach nicht.
UAC? Die habe ich gleich nach der Fertigstellung der Installation ausgeschaltet. Der Sicherheitshype hat auch in den Zeitungen) m.E. mittlerweile verständnislose Züge angenommen.
Wenn ich „richtig sicher“ gehen wollte, dann müsste ich ein entsprechendens alphanumerisches Passwort mit was wie ich vievielen Stellen für die Benutzerkonten angeben und,und, und.
Und das Passwort ist dann trotzdem für jeden einigermaßen versierten Computernutzer zu resetten – dauert keine 10 min.
Und nur weil ich TuneUp oder den CCleaner starten möchte jedesmal deas Passwort eingeben – das nervt schon gewaltig. Mensch, Jungs- bei uns läuft doch der Virenscanner mit Anti-Rootkit, Malwaredetektor, Echtzeitscanner, Email-Checker…und weiß der Teufel, was alles noch. Wozu brauche ich dann obendrein die UAC. Wenn ich ein unbekanntes Programm testen möchte, dann mache ich das in der Try und Decide Zone, notfalls hole ich das ganze System aus dem Backup ratz-fatz wieder her.
Die UAC allein kann mir schließlich auch nicht sagen ob das Programm, was ich ausführe nun schädlich ist oder nicht.
Wie viele Leute haben zusätzliche Software-Firewalls auf dem Rechenkecht und klicken einfach immer fröhlich auf „Erlauben“, wenn die Nachfrage nach irgendwelchen Diensten kommt. Entweder weil sie genervt sind oder aber weil die es eben nicht wissen, was da mit der Meldung gemeint ist.
Hier sollte man mit der Sicherheit ansetzen. Vor dem PC das Hirn einschalten ist doch wesentlich wichtiger.
Obgleich ich sagen muss, dass diese Sache unter der glorreichen „7“ wesentlich besser geregelt ist als unter Vista. Aber auch für mich gilt: entweder ganz (volle Sicherheit) oder gar nicht. Und für mich persönlich ist „garnicht“ zurzeit einfach die bessere Alternative.
In diesem Sinne: eine spannenden Sonntag Euch allen!
@Hundefänger
Oh Mann! Manche haben es echt nicht verstanden, für was die UAC überhaupt da ist. Deine tolle Susisorglos (Virenscanner) Software, kann dich nicht vor allem schützen. Man sollte die UAC in Brain 1.0 umbenennen, vielleicht verstehen es dann manche besser.
[FAQ] Benutzerkontensteuerung von Windows Vista/Windows 7
http://www.computerbase.de/forum/showthread.php?t=332703
@JürgenHugo
Ausnahmen (für Programme die im Autostart sind) kann man mit der Aufgabenplanung definieren, wie das geht steht auch in der FAQ.
@Frank
Mach dir keine Mühe, jemand der Windows Jahre lang als Admin genutzt hat, wird die UAC nie akzeptieren. Lass die Ungläubigen in ihr Verderben rennen 🙂
@Daniel:
Genau – ich renn ins Verderben! Ohne UAC – aber MIT Zigarette im Mundwinkel. 😛 Rauchen is nämlich auch gefährlich. Ich rauch trotzdem.
Vielleicht trink ich noch ´nen atarken Kaffee dabei, wenn ich den beim Rennen nich verschütte…
Das ist ein freies Land – zumindest fast 😀
User die die Benutzerkontensteuerung deaktivieren, identifizieren sich als Noob. Der Noob Indikator überhaupt!
Die UAC soll nicht dein Handeln beim Installieren von Software hinterfragen, sondern die Gefahren beim surfen minimieren. Ein ansurfen einer infizierten Seite reicht hierzu aus! Da kannst du nix machen, wenn du mit Admin Rechten durch das Netz eierst.
Was hier immer vorgetragen wird,“ es stört einem beim flüssigen arbeiten“. Da muss ich immer lachen!
Richtig arbeiten, wenn ich arbeite kommen nie UAC anfragen. Vielleicht kommt das bei Script Kiddies vor, die planlos im OS rum klicken?
Ich gebe der Putzfrau auch nur die Schüssel für die Zimmer in diesen sie putzen muss und nicht noch den Schlüssel für den Tresor. So ist es auch bei normalen Anwendungen von Windows, jedes Programm bekommt nur die Rechte, diese sie für die fehlerfreie Nutzung benötigt.
Die „UAC deaktivieren Fraktion“ wird natürlich nie zugeben, dass sie da einen großen Fehler machen.
Manche hier sollten sich echt mal ein Unix/Linux-System und dessen Rechteverwaltung ansehen… Da ist dieses UAC auch nur ein lahmer Abklatsch.
Kann ich nur zustimmen, aber aus anderem Grund: Bei Ubuntu nervt das ständige Eingeben des Passwort’s bei vielen Aktionen eigentlich noch viel mehr. Da ist UAC noch deutlich angenehmer.
@Matze_B:
Auf zwei Krücken humpeln is auch besseer als im Rollstuhl fahren (konnte ich dieses Jahr nach´m Beinbruch testen) – so richtig doll is das aber nich!
Die UAC is nich ganz so schlimm, das geb ich gern zu. Einschalten würd ich die (so wie sie jetzt is) aber nur, wenn ich dafür Geld kriegen würde…
@Frank: dann sind das aber MEINE Fehler – und die kann ich alleine machen. Hilfe is da nicht vonnöten…
Man könnte jetzt sagen, jeder ist für sein Handeln am Rechner selber verantwortlich. So einfach ist es leider nicht, da jeder unsicher konfigurierte Rechner auch für andere ein Problem wird, wenn diese munter Malware oder Spam und sonstiges verteilt. So gesehen ist es eben nicht nur dein Problem (Fehler), sondern auch unseres. 😉
und noch mal, was muss man am Rechner machen, damit man dauernd die UAC zu Gesicht bekommt? Da muss man wirklich zwanghaft im OS planlos rum klicken, anders geht das überhaupt nicht.
@Frank:
Ich muß garnicht „planlos im OS rumklicken“! Ich brauche nur TuneUp Utilities oder den MooO Systemmonitor zu starten. Das sind weder obskure noch malwareverseuchte Progs. Das das erstere MS evtl. nicht passt – das ist nicht mein Problem.
Wenn die Leute bei MS es nicht schaffen, das man der UAC für bestimmte Programme eine Freigabe erteilen kann (die dann nur für diese gilt) – dann tut´s mir leid – dann bleibt die aus. Da kann mich auch niemand von abbringen. Das ist nämlich eine durchaus vernünftige Forderung. Ich lass mich doch nicht wegen Fehlentscheidungen im Hause MS nerven.
Und zwanghaft tu ich schon mal garnix – im Gegensatz zum CEO von MS. Der sieht bei seinen öffentlichen Auftritten nämlich öfters so aus…
@ JürgenHugo
Wie wärs denn wenn du aufhörst rumzujammern was alles am OS auszusetzen ist und einfach deinen zwei Programmen mit den vorhandenen Mitteln eine Freigabe erteilst? Gut ok, der Weg ist etwas umständlich aber was ist schon dabei wenn du einmal 5 Minuten investiert und zwei Einträge im Taskplaner machst damit du dann diese zwei Programme so oft ohne UAC-Abfrage aufmachen kannst wie du willst? Ich würds ja verstehen wenn dein Problem nicht lösbar wäre, weil du jeden Tag 10 neue Tools verwendest die alle UAC-Abfragen nach sich ziehen, aber das was du da beschreibst ist ja wohl lächerlich.
…Ich lass mich doch nicht wegen Fehlentscheidungen im Hause MS nerven.
*rotfl*
Du hast es nicht verstanden. Genau die „Entscheidungsfreudigkeit“ und das mehr als gefährliche Halbwissen von Hobby-Admins sorgen immer noch für eine ausreichende Anzahl verseuchter Rechner. Und das Microsoft ausgerechnet auf dich und deine _persönlichen_ Wünsche keine Rücksicht genommen hat… tja, damit wirst du wohl leben müssen.
Um es nochmal anders zu formulieren:
Das Sicherheitskonzept der UAC funktioniert eben nur genau dann, wenn _KEINE AUSNAHMEN_ definiert werden können!
@ Jörg
Hat das jetzt mir gegolten?