Windows Vista: Alternative zum UAC
von caschy | 55 Kommentare
Ich bin jemand, der alles ausprobieren muss. Also hatte ich im Januar 2007 pünktlich zum Veröffentlichungstermin eine legale Vista-Lizenz in meinen Händen. Bereits am vierten Tag war ich so von der Benutzerkontensteuerung (UAC) genervt dass ich sie deaktivierte. Ein Umstand, den ich bisher nicht bereut habe – denn die Frequenz der Abfragen waren furchtbar. Trotzdem gibt es sie – die Leute für die solche Sicherheitsabfragen gebaut sind. Überall klicken, alles bestätigen – ohne zu lesen. Eine Alternative zum UAC gibt es übrigens auch – von Norton. Der Spaß geisterte schon vor einiger Zeit durch die Blogs und Foren – mangels UAC fand ich persönlich die Software unnütz. Umso überraschter war ich, als ich mich gestern mit einem Freund unterhielt – und dieser die Benutzerkontensteuerung unter Windows Vista noch aktiviert hatte – und prompt Probleme in Verbindung mit seiner Grafiksoftware hatte.
Wie auch immer – gestern schrieb mir René eine E-Mail (Danke!) und erinnerte mich an das Tool von Norton, welches die eingebaute Benutzerkontensteuerung von Windows Vista aufwertet. Vista User Access Control ist Freeware und arbeitet mit einer Whitelist. Heisst: dem Programm können Programme mitgeteilt werden, denen man immer vertrauen möchte. Für diese Programme werden dann keine Abfragen gestellt.
Vista User Access Control ist Freeware – und zudem noch in der Betaphase. Bisher gibt es nur einen englische Version – wen dies nicht stört, der kann sich das Programm hier herunterladen und sich solange in den Foren schlau lesen.
Ein Fazit von mir werdet ihr hier nicht bekommen – da ich ja kein UAC nutze. Sollte Norton die Versprechen halten, dann könnte das Tool eine nützliche Sache sein.
Vielleicht hat von euch ja schon jemand Erfahrungen damit gemacht – dann hinterlasst eure Meinung ruhig in den Kommentaren.
Wird geladen ...
Hallo zusammen 🙂
Also, ich muss jetzt hier auch mal meinen Senf dazugeben ^^
Wie hier ja schon mehrmals gesagt wurde, ist MS mit der UAC schon ein ganzes Stück näher an der Unix/Linux-Welt. Allerdings bin auch ich der Meinung, dass das nur für den Otto-Normalverbraucher gilt, der eben sowieso IMMER als Admin angemeldet ist und je nach Wissensstand ggf. auch überall draufklickt ^^.
Mir geht die UAC auch dermaßen auf den Zeiger, das glaubt ihr nich.. Nur bei mir hat das andere Gründe. Für gewöhnlich arbeite ich immer mit 2 Nutzerkonten, nämlich eins fürs tägliche Arbeiten und eins für administrative Tätigkeiten. Ich weiß ja nicht wer alles von euch mit „runas“ arbeitet, aber unter Vista ist das der absolute Horror. Egal ob ich nur den Explorer öffnen will, oder die erweiterte Firewall konfigurieren (runas /user:admin wf.msc), da bekommst du auf einmal die Meldung „wf.msc ist keine gültige WIN32 Anwendung“ -.-
Ich weiß einfach nicht, ob ich der UAC so gut vertrauen kann, dass ich quasi NUR mit einem (Admin)Konto arbeite, dass sich dann bei Bedarf über nen Token Adminrechte holt.. Schon allein deshalb, weil ich schon oft gelesen hab, wie leicht es sein soll, die UAC auszuhebeln. Also arbeite ich auch unter Vista mit 2 Konten, nur wie gesagt, als eingeschränkter Nutzer Systemeinstellungen per Konsole (runas) zu editieren… rolleyes
@FiSi:
Du kannst nicht beides haben: absolute Sicherheit? oder absolut kein „Nerven“ – du mußt dich schon entscheiden. Meine Meinung ist eben, das man, wenn man sich ein wenig auskennt, auf einem rein privaten, allein genutzten Rechner ein kleines Risiko eingehen kann.
Backup muss natürlich sein. Ich benutze immer nur ein Konto – was anderes wär´ mir viel zu nervig. Und wegen Virusbefall oder sonstigem aus dem Internet hab´ ich noch nicht neu installieren müssen. Wegem anderen schon.
Das ist zwar auch ärgerlich – aber: so what – that´s computing, too… 😛
@JürgenHugo:
Ich glaube du verstehst mich nicht ganz, ich finde, abgesehen von der runas-Geschichte ist die UAC eine prima Sache und „nervt“ keinesfalls! Ein gutes Beispiel, das Kopieren auf Systemebene (z.B. C:\Program Files). Unter XP musst du dich dann entweder abmelden und als Admin anmelden, oder aber du startest den Explorer als Admin per runas (so mach ich das immer ^^). Unter Vista springt die UAC an, man gibt sein Admin-Passwort ein, fertig. Oder das Löschen einer Datei, die der Admin angelegt hat und die nun auf dem Desktop des Standard-Users rumgammelt, der sie aber nicht löschen darf ^^. Auch hier wieder unter XP: runas. Unter Vista: Einfach das Admin-Passwort eingeben, wenn die UAC anspringt und weg ist die Datei. Und ABSOLUTE Sicherheit gibts sowieso nicht, außer du ziehst den Stecker 😀
@FiSi:
Ich muss unter XP (PRO SP3) „garnix“ eingeben – und es gibt bei mir kein Passwort. Meinen Comp hat und wird nur eine einzige Person benutzen – ich.
Natürlich sind im Explorer die anderen Konten zu sehen: Admin, all, default und eben meins. Es gibt aber eben de Facto keinen anderen User. Es gibt auch sonst kein Konto. Und ich hab´ noch nicht gemerkt, das das irgendwelche Nachteile hat.
Was anderes wäre es, wenn mehrere User da wären – „is aber nich“. Ich brauch´ keine Angst zu haben, das irgendwer was falsch macht – das kann ich nur selber. 😛
das Leute immer glauben, Account-Passwörter wären nur zum Schutz vor lokalem Zugriff da… tztzz ^^
Du musst sehr wohl unter XP (egal ob Professional oder Home, SP3 oder SP10 ^^) ein Passwort eingeben, nämlich dann, wenn du von nem Nutzer mit eingeschränkten Rechten einen Prozess mit Admin-Rechten starten willst…
Unter Vista ist da ja jetzt noch die UAC (sofern eingeschaltet) im Weg, aber unter XP nur als Admin, ohne Passwort,… offen wie ein Scheunentor ^^‘
und das nicht nur weil sich jemand anderes an deiner Kiste anmelden könnte.. junge, junge ^^ schon mal was von Cross-Site-Scripting gehört? Wenn nicht, dann schau mal bei Wikipedia…
@FiSi:
Das mag ja alles sein – es könnte etwas passieren – könnte. Ist aber bei mir noch nicht. Ich will doch niemand überreden, das genauso zu machen.
Wenn du mit eingeschränktem Konto „unterwegs“ bist und Passwörter eingibst – das ist doch in Ordnung. Ich bin da einfach zu bequem für. Wenn ich mich dermaßen selbst „reglemetiere“ – das liegt mir einfach nicht.
Da würde mir die ganze „Computerei“ keinen Spaß mehr machen. Wenn nichts passiert – dann mach´ ich so weiter. Und wenn doch – dann mach ich sicher keinen anderen dafür verantwortlich. Wenn ich mal richtig auf „die Schnauze falle“ damit – vielleicht ändert sich dann meine Meinung. Ganz risikofrei ist das Leben eh´ nicht – sebst wenn man sich nur in der Nase bohrt, kann was passieren…
Ich weiß auch, das man vom Rauchen Lungenkrebs kriegen kann – kann – ich rauche trotzdem. 😛
Sehr interessante Diskussion:
Für alle, die meinen, immer der Herr des Systems zu sein: Immer Admin zu sein ohne UAC ist man genauso unsicher unterwegs, wie bei XP oder 95/98/Me.
Sobald der PC im Internet hängt, ist man eben nicht mehr allein Herr des Systems, sondern andere können es auch werden, egal wie versiert man ist.
Man braucht nur eine bekannte Lücke im Browser ausnutzen, die sich unbemerkt einschleicht, schon ist das System verseucht und seit wann braucht ein Browser Adminrechte?
Schadenscode im Browser mit eingeschränkten Rechten kann im schlimmsten Fall nur die Benutzerdaten kaputt machen, nicht aber gleich das ganze System.
Mit UAC bemerkt man es wenigstens. Und wenn ein Browser plötzlich Adminrechte haben will (außer der Firefox-Updater meldet sich, der ja auch digital signiert ist), sollte man misstrauisch sein.
PS: Ist UAC aus, deaktiviert man beim Internet Explorer automatisch den geschützten Modus.
Und ja, wenn man erfahren genug ist, kann man dank UAC auch auf den aktiven Virenscanner verzichten.
Nachteil ist halt nur für unerfahrenen Benutzer, dass die das meist alles wegklicken und ein wenig Überarbeitung bedarft, die ja mit Windows 7 gut gelöst wird.
Achja, als kleine Alternative kann man auch im Adminkonto einige Programme wie der Browser z.B. als Gast (via runas) ausführen lassen, wer mit der UAC komplett unzufrieden ist. Somit könnte der Schadenscode im Browser höchstens den Gastkonto kaputt machen.
@ FiSi
Der Runas-Befehl macht bei Vista einige Probleme, da kann ich dir zustimmen. „runas“ ist aber unsicherer, da man mittels Keylogger das Kennwort abfangen könnte. Durch UAC wird es mit den „dunklen“ Bildschirm verhindert.
PPS: Guter FAQ zu UAC: http://www.computerbase.de/forum/showthread.php?t=332703
@Sebijk:
Ich bilde mir keineswegs ein „immer der Herr des Systems“ zu sein – aber ich bin auch nicht sein Knecht. 😛 Und wenn ich Vista installiere – ich will die UAC nicht. Punkt.
@JürgenHugo
Vielleicht hast/hattest du ja schon ganz viele „Freunde“ auf deinem PC, von denen du gar nix mitbekommst (siehe link von Sebjik). Code Injection is echt ne fiese Sache…
@Sebijk
Sehr guter Artikel, genau so siehts aus ^^ Danke, jetzt bin ich wieder ein Stück schlauer 🙂
@Sebijk
Und wenn du dir nen Keylogger eingefangen hast, is eh schon alles zu spät ^^
@FiSi, Sebijk:
Der Artikel ist gut geschrieben und in sich auch schlüssig. Aber er ist nicht objektiv. Hier schreibt jemand, der der UAC (und evtl. anderen MS-Produkten) unvoreingenommen positiv gegenübersteht.
Es gibt sicher viele Argumente für die UAC – aber eben auch viele dagegen. Der Autor sucht sich aber gerade die Argumente heraus, die er gut entkräften kann. Man kann die Balance zwischen gefühlten/tatsächlichen Sicherheitsgewinn und „Nervfaktor“ durchaus anders sehen – ohne das man deswegen gleich ein Hasardeur ist.
Soviel ich weiß, hat auch Caschy die UAC deaktiviert – und ich glaube nicht, das man dem mangeldes Fachwissen oder Leichtfertigkeit unterstellen kann.
Zur geplanten Verbesserung der UAC-Funktionen in Windows 7 – ja warum nicht gleich so? Warum erst dann?
@ JürgenHugo
Inwiefern nervt die UAC? Eigentlich nur, wenn man ständig administrative Aufgaben erledigen muss oder installierst du jeden Tag neue Programme? Wenn man sein System fertig eingerichtet hat, sollte die UAC-Meldung nur noch kaum vorkommen. Ich selbst bekomme beim täglichen Arbeiten mit Vista die UAC-Meldungen garnicht mehr bis kaum. Das hat nach meiner Meinung nichts mit „Nerven“ zu tun. Nur beim Einrichten des PC nervt es, weswegen ich hier TweakUAC empfehle. Damit kann man die UAC „temporär“ in den „Quiet“-Modus umschalten, wo zwar die UAC noch an ist, aber die Warnmeldungen nicht mehr erscheinen, im Gegensatz zum kompletten Ausschaltung der geschützte Modus im IE aktiv bleibt und Programme weiterhin mit eingeschränkten Rechten arbeitet. Wenn Adminrechte gefordert werden, werden diese dann automatisch zugewiesen.
Dies würde ich jedem Benutzer empfehlen, wenn größere administrative Aufgaben erledigt werden muss und die UAC-Meldungen nerven. Sobald man aber fertig ist und keine Adminrechte mehr gebraucht werden, kann man ganz einfach wieder UAC einschalten. Das beste ist, dass hierbei kein Neustart benötigt wird.
@Sebijk:
Auch wenn du objektiv vielleicht recht hast – bist du in allen anderen Dingen immer 100% objektiv? Ich auf jeden Fall seh´ eine ganze Menge eben subjektiv – für mich.
Meiner Meinung nach nervt die UAC – selbst wenn sie sich nicht meldet – allein dadurch, das sie eben da ist. Mich stört auch, das ich z.B. den IE nicht komplett deinstallieren kann – obwohl ich ihn nicht benutze. Gut die Festplatte hat genug Platz auch für „ruhende“ Programme – mich stört´s aber trotzdem.
Wir werden auf keinen gemeinsamen Nenner kommen – das muß man aber auch nicht immer. Dann muß man eben die zwei Meinungen so stehenlassen.
Ich schätze, das ist dir sicher auch schon mal passiert. Trotzdem Dank für deine sachlichen Anmerkungen. 😛
Nur wie gesagt: Wer die UAC nicht will, ist mit Vista einfach falsch bedient, da vieles eben auf die UAC baut.
Da fehlt z.B. der aktive Dateischutz, den es noch bei 2000, Me und XP gab. Mit der UAC ist sie nach meiner Meinung auch unnötig geworden, da man als eingeschränkter Nutzer eh kein Schreibzugriff auf Systembereiche hat.
Zum IE deinstallieren: Da empfehle ich nLite (für 2000, XP und Server 2003) und vLite (für Windows Vista, Server 2008)
@Sebijk:
Danke für den Tip – nLite + vLite da braucht man aber doch ´ne Original-DVD von Win, oder? Hab´ ich nicht, war vorinstalliert. Beim nächsten Comp will ich versuchen Hardware und OS getrennt zu kaufen, dann könnte ich das ja nutzen. Oder der IE bleibt eben in seinem „Eckchen“ – wie gesagt – die heutigen Festplatten sind ja groß 😛