UAC: Einfacher Benutzer vs. Admin

[SkynetworX]

Wenn es nur ein Programm ist, dann kannst du doch auch einfach einen Shim per Application Compatibility Toolkit erstellen und damit sagen, dass folgendes Programm immer als "Admin" ausgeführt werden soll, ohne gleich die Ganze Sicherheitswand einzureißen.

[fooBar]

geht nicht, siehe thread

[10101010]

ich hatte auch das problem, ich wollte wegen diesem programm, das der standardbenutzer ein prozess mit adminrechten selber starten kann.



ich hab in der cmd durch folgenden befehl eine aufgabe in der aufgabenplanung erstellt, die bei einem bestimmten ereignis startet.

schtasks /create /tn aufgabenname /tr "C:\programme\meinprogramm.exe" /ru benutzername /rl H”CHSTE /SC BEIEREIGNIS /EC System /MO *[System/EventID=1075] /f


das ereignis auszulösen geht mit folgenden befehlen in einer batchdatei.

shutdown.exe /s /t 3600
shutdown.exe /a

das abbrechen des geplanten herunterfahrens löst die aufgabe dann letzendlich aus.

wenn man nun verschiedene programme nach diesem verfahren starten möchte, müste man die aufgabe so abändern, das eine batchdatei gestartetet wird, die nachschaut welches programm eigentlich gestartet werden soll.


das heisst man müsste eine auslöser_batch erstellen, die die aufgabe auslöst und eine textdatei abspeichert, die den programmpfad enthält, welche dann von der aufgabenbatchdatei eingelesen wird.


folgend ein beispiel für eine aufgabenauslöserbatch

echo "deinprogrammpfad">"d:\programme\programmpfad.txt"
shutdown.exe /s /t 3600
shutdown.exe /a

folgend ein beispiel für die batchdatei die von der aufgabenplanung gestartet werden müsste.

set /p variable=<"d:\programme\programmpfad.txt"
"%variable%"


edit: der nachteil dieser ganzen geschichte ist, das man dann das laufende programm ohne gui sieht.
das heisst man kann es nur nutzen wenn das gewünschte programm nur im hintergrund laufen soll.

[kalkzone]

Du kannst den Explorer als Administrator" ausführen
und dann darin die Verknüpfungen erstellen.

[0711]

startet denn der prozess/die anwendung/der dienst? und ja das wäre u.a. ein verhalten welches du durch den asutausch mitm desktop zulassen verhindern kannst....sofern der prozess startet

[fooBar]

ja der dienst startet, dann öffnet sich im fall dropbox z.b. ein ganz "neuer" desktop und fragt nach meinem konto... gebe ich das ein, dann kann ich im dropbox dialog richtig durchklicken; aber wenn ich zurück auf meinen desktop gehe, ist dropbox nicht im systray zu sehn...

was haltet ihr eig von SuRun (http://kay-bruns.de/wp/software/surun/)? wenn man UAC deaktivieren würde und nur noch SuRun nutzenl, kann man ebenfalls mit LUA arbeiten und sich für sachen zum admin mcahen. vorteile sind, dass man trotzdem in der umgebung des aktuellen benutzers arbeitet (also auch dessen desktop sieht etc), man ausnahmen hinzufügen kann (die immer automatisch als admin gestartet werden und keine bestätigung benötigen) usw... any ideas dazu?

danke

edit: interessant: http://www.wilderssecurity.com/showp...54&postcount=1 hier sieht man, was es bedeutet, als admin mit UAC zu arbeiten und dass es schlechter ist im gegensatz zum wirklich beschränkten user mit UAC

[barzefutz]

Edit: Hier stand Blödsinn

[fooBar]

Ja, ebenfalls dort beschrieben: Schreibrechte auf diese Registryeinträge unterbinden:
Wilders Security Forums - View Single Post - SuRun: Easily running Windows XP as a limited user

teils wird einem das bereits abgenommen:
Wilders Security Forums - View Single Post - SuRun elevations can allow malware to elevate in a standard account

[barzefutz]

Hatte meinen Post oben editiert, weil ich zuerst verwirrt über dieses SuRun war

Aber nochmal zu dem von dir gequoteten Forenpost bezüglich des Unterschiedes Admin vs. Standardbenutzer. Den fand ich ziemlich interessant, steige aber nicht ganz durch. In dem Forumpost schreibt er:

"The difference is that malware running in a protected admin account can write to locations that an elevated process can later read from."

Aber welche locations sind das konkret? Meint er damit bestimmte Bereiche im Dateisystem oder in der Registry? Die Registry doch wohl eher nicht, da darf der Standardbenutzer ja reinschreiben, zumindest im Bereich seiner Benutzerdaten.

[fooBar]

na schau mal hier:
http://www.wilderssecurity.com/showp...4&postcount=25
da darf der user immer reinschreiben, auch ohne UAC-elevation. d.h. hier könnte malware schadcode ablegen (z.b. malware an das öffnen von regedit anhängen, wie im bspl. ja gezeigt wurde) und starte ich dann irgendeinen prozess, an den etwas angehängt wurde, mit erhöhten rechten --> so hat der dadurch mitgestartete malware-prozess auch automatisch erhöhte rechte. daher sollte man, wie in meinem voroherigen post beschrieben, diese orte nur vom admin beschreibbar machen

[BerndH]

Ich habe ein Adminkonto, in dem ich das mache, was ein Admin machen MUSS, und ein Nutzerkonto, mit dem ich Internet und Email mache. Beide Konten sind so, wie sie Gott, äh Microsoft, geschaffen hat, und ich wechsele brav 5mal am Tag hin und her.

Über euren Thread kann ich nur den Kopf schütteln.

[fooBar]

Über euren Thread kann ich nur den Kopf schütteln.

na dann erklär mal, warum Oo

[BerndH]

na dann erklär mal, warum Oo

Das hat viele Gründe.
- Ich halte mich nicht für klüger, als die Profis von Microsoft.
- Das Thema ist total ausgelutscht und hat nichts gebracht.
- Früher unter XP war ich immer Admin mit DropMyRights: DropMyRights, Download bei heise
- Es lohnt nicht und man kann sich bei solchen Aktionen leicht selbst ein Bein stellen...

[fooBar]

die argumentation versteh ich nicht: wenn du doch die profis von microsoft für schlauer hälst, dann sollte es doch auch gut sein, das zu nutzen, was sie dir anbieten: UAC in verbindung mit einem limitierten useracc (und somit ohne das nervige hin und her-gewechsel).

[BerndH]

die argumentation versteh ich nicht...

Dafür kann ich aber nichts.

Ich benutze beide Konten, so wie mir das MS vorgibt. Manche Sachen lassen sich (anscheinend) nur über ein "echtes" Adminkonto erledigen, z.B.meinen Virenscanner starten oder konfigurieren, manche Programminstallationen usw.. Die Sache ist mir auch gar keinen Gedanken und Klimmzug wert.

[fooBar]

Eigentlich gibt MS genau einen Useraccount mit UAC vor... daher bin ich etwas verwirrt. Der Wechsel zwischen zwei Accounts ist eher noch XP Style...
Aber wenn Du dir doch sowieso keine intensiven gedanken zu dem thema machen willst, wieso hälst du den thread dann für unsinnig? Oo

[BerndH]

... unsinnig? Oo

Unsinnig ist das falsche Wort. Für Windows XP gab es das wunderbare Tool Processguard. Die Firma ist spätestens eingegangen, als Vista mit UAC kam.
Heute gibt es in W7 Enterprise/Ultimate Applocker und in Linux Apparmor. Es gab seit Vista hunderte Artikel und Diskussionen - was ist davon in der Praxis angekommen? Ein Admin und ein Nutzer reicht halbwegs für den Hausgebrauch. Wenn du es besser kannst, dann mach...
---------- Post added at 14:20 ---------- Previous post was at 14:14 ----------

Manche Sachen sind mir als normaler Nutzer zu unbequem: Regedit, Dateifreigaben. Ich habe ganz einfach das Gefühl, dass ich mit den 2 Konten nicht viel verkehrt mache.

[fooBar]

Also ich finde es viel bequemer, mit UAC mal schnell auf Admindateien zuzugreifen, als extra jedes mal den Benutzer zu wechseln. Stell Dir mal vor, Du lädst ein Winamp plugin runter und willst es in das Winamp verzeichnis kopieren --> beim kopieren per explorer wirst du automatisch per UAC nach dem admin-PW gefragt und dieses wird nur für den kopierprozess genutzt, ergo sicher. dafür extra den benutzer wechseln? Oo
nunja, aber es bleibt wie immer: jedem das seine

[barzefutz]

- Ich halte mich nicht für klüger, als die Profis von Microsoft.

Anscheinend ja doch, sonst würdest du es so machen, wie es von Microsoft vorgesehen ist (Das standardmäßige Konto mit UAC nutzen, anstatt umständlich zwischen zwei Konten hin und herzuschalten)

Und warum ist das Thema ausgelutscht und bringt nichts? Nur weil es DICH nicht interessiert? Mir hat die Diskussion hier viel neues Wissen gebracht und daher finde ich diesen Thread ganz und gar nicht sinnlos. Ich glaub, ich schreib jetzt auch mal in jeden zweiten Thread hier, wie uninteressant und irrelevant ich ihn finde

na schau mal hier:
http://www.wilderssecurity.com/showp...4&postcount=25
da darf der user immer reinschreiben, auch ohne UAC-elevation. d.h. hier könnte malware schadcode ablegen (z.b. malware an das öffnen von regedit anhängen, wie im bspl. ja gezeigt wurde) und starte ich dann irgendeinen prozess, an den etwas angehängt wurde, mit erhöhten rechten --> so hat der dadurch mitgestartete malware-prozess auch automatisch erhöhte rechte. daher sollte man, wie in meinem voroherigen post beschrieben, diese orte nur vom admin beschreibbar machen

Aber das bezieht sich doch auf Windows XP und nicht auf Vista/W7? Oder gilt es für beide Betriebssysteme gleichermaßen? Kann es für Windows 7 leider nicht testen, da ich gerade am Laptop (nur XP) sitze.

Aber nehmen wir mal an, es gilt auch für Windows 7: Wenn da der User immer reinschreiben kann, egal ob Admin oder Standardbenutzer, dann ist es doch auch egal, als was ich mich einlogge...

[fooBar]

Anscheinend ja doch, sonst würdest du es so machen, wie es von Microsoft vorgesehen ist (Das standardmäßige Konto mit UAC nutzen, anstatt umständlich zwischen zwei Konten hin und herzuschalten)

genau, so hab ich das auch aufgefasst...

Aber das bezieht sich doch auf Windows XP und nicht auf Vista/W7? Oder gilt es für beide Betriebssysteme gleichermaßen? Kann es für Windows 7 leider nicht testen, da ich gerade am Laptop (nur XP) sitze.

Aber nehmen wir mal an, es gilt auch für Windows 7: Wenn da der User immer reinschreiben kann, egal ob Admin oder Standardbenutzer, dann ist es doch auch egal, als was ich mich einlogge...

ich denke schon, dass das auch für win7 gilt, sonst hätte der autor von surun ja auch nichts dazu gepostet. es wurde in einem der threads auch beschrieben, dass man eben das kafu noch unter win7 einsetzen kann.

und zu dem user vs. admin: dabei geht es ja wneiger um das schreiben auf solche locations, viel mehr um erweiterte rechte daher machts schon einen riesen unterschied!

[BerndH]

genau, so hab ich das auch aufgefasst...

Wie soll ich das denn auffassen? Wollt ihr mich anmachen oder versteht ihr nur Bahnhof?
Ich habe doch wohl klar genug erklärt, dass ich an den Standardeinstellungen von Windows nichts verdrehe und auch nicht über MS meckere.

Ihr könntet euch mal mit der Entwicklung NT, XP, Vista, W7 befassen und mit den Grundlagen der Materie:

multi user os system privileges - Google-Suche

Nur so aus meinem Bauchgefühl, es ist es mir nicht wert, das genau zu überprüfen:
Wenn ich etwas als Administrator z.B. installiere oder konfiguriere, dann meistens allgemein "von oben herab" für alle User.
Wenn ich mir als gemeiner User etwas installiere, dann speziell nur für diesen einen User, für mich und ich verschaffe mir "von der Seite herein, von hinten durchs Knie" die Adminrechte dafür.
Das könnte Konsequenzen haben: wenn etwas als Nutzer ABC nicht mehr richtig funktioniert und ich mir das nicht recht erklären kann, dann exportiere ein paar wichtige Einstellungen, lege den Nutzer XYZ an, importiere, teste...und am Ende lösche ich ABC komplett und lege ihn neu an. Und dann möchte ich euren Gesichtsausdruck sehen , wenn für den neuen Nutzer nicht alle über Jahre installierten Sachen zur Verfügung stehen - dann hat sich die Bequemlichkeit und Zeitersparnis voll gelohnt.

Ihr könnt mal was nützliches machen und das verifizieren.
Vielleicht ist das Thema, obwohl es uralt ist, auch nicht ganz unter der Würde für jemanden, der das gelernt hat und der weiter hilft.

[fooBar]

kleiner hinewis: du hast mit dem doof anmachen angefangen.

[BerndH]

kleiner hinewis: du hast mit dem doof anmachen angefangen.

Ja, weil ich solche "Sachen" schon seit vielen Jahren im Internet sehe - und die kann jeder finden. Die Entwicklung der Benutzerverwaltung (UAC) XP > Vista > W7 wurde zu Zeiten der Beta von W7 lang und breit erklärt. Die Gründe liegen in der Ignoranz, Ahnungslosigkeit und Meckerei der normalen Benutzer/Anwender. Aber Microsoft muss ja verkaufen und es daher auch dem letzten DAU möglichst bequem und trotzdem hinreichend sicher machen.
Das Wort doof ist aber von mir nicht gekommen. Ich habe nicht mal geschrieben: "Jeder stellt sich so .... an, wie er kann." Aber Kopfschütteln muss schon erlaubt sein.

[BerndH]

Linux hat das gleiche Problem, nur schlimmer:
Die Woche: Linus' Tochter | heise open

"Linus Torvalds hat sich auf Google Plus bitter über OpenSuse beklagt: Seine Tochter hätte ihn aus der Schule anrufen müssen, weil die Einrichtung des Schuldruckers auf ihrem Macbook Air mit OpenSuse nach dem Root-Passwort fragt."

[0711]

Anscheinend ja doch, sonst würdest du es so machen, wie es von Microsoft vorgesehen ist (Das standardmäßige Konto mit UAC nutzen, anstatt umständlich zwischen zwei Konten hin und herzuschalten)

laut diversen technet beiträgen, auch von sinofsky ist der adminaccount mit uac token lediglich ein kompromiss aus usability und sicherheit (der aufgrund von userwünschen* und anwendungskompatibilität gegangen wurde). Microsoft empfiehlt auch weiterhin einen eingeschränkten benutzeraccount für ein höheres sicherheitsniveau
Why use a standard user account instead of an administrator account?
Least Privilege, User Account Control, and Setuid
Man sollte nie vergessen, ms bedient einen markt mit einer teils sehr lauten community. Gesehen bei vista, was war das erste was die ganzen experten machten? uac ausschalten - komischerweise hätte keiner n problem gehabt wenn jeder schon wie von ms empfohlen mit nem standardaccount in vorigen versionen gearbeitet hätte, tja die folge davon war eine entschärfung von uac obwohl ms genau den umgekehrten weg gehen wollte (siehe interviews zu vista zeiten)...man hat sich dem markt gebeugt und nicht das technisch sinnvolle gemacht.

Natürlich gibt microsoft auch weitere tipps wie man ein system härtet (z.B. anwendungen whitelisten o.ä.) aber in der summe ist der aufwand zu nutzen bei einem privatuser mit einem standard user zum arbeiten + adminaccount für administrative in einem vernünftigen verhältnis. *Nur sind die heimanwender gerne so dumm und fühlen sich dadurch gleich beschnitten obwohl sie das adminkennwort kennen und dadurch nicht mal eine reale beschränkung besteht.