UAC in Windows 7: keinerlei Sicherheit und inkompatibel

Die Benutzerkontensteuerung hat Microsoft in Windows 7 entschärft. ZDNet zeigt anhand von Exploits, dass sie dadurch zu einem zahnlosen Tiger ohne jede Sicherheitsrelevanz wird - beim gleichzeitigen Erhalt der Kompatibilitätsprobleme.

Mit Windows 7 hat Microsoft einiges an der Benutzerkontensteuerung (UAC) geändert. Anders als in Vista poppt nicht bei jeder kleinen Änderung an den Einstellungen eine Box hoch, die den Benutzer auffordert, die jeweilige Aktion zu bestätigen. Das hat dazu geführt, dass viele Anwender die Benutzerkontensteuerung abgeschaltet haben.

Windows 7 verfolgt ein anderes Konzept: Die Benutzerkontensteuerung lässt sich nicht nur ein- oder ausschalten, sondern ist in mehreren Stufen implementiert, siehe Bild 1. Die höchste Stufe „Always notify“ entspricht dem Standard-Verhalten in Windows Vista. Jede Aktion, die Administratorrechte erfordert, bringt eine Bestätigungsbox auf den Desktop.

Die Standard-Einstellung unter Windows 7 ist „Notify me only when programs try to make changes to Windows Settings“. Was sich dahinter verbirgt, ist durchaus erklärungsbedürftig: Microsoft geht davon aus, dass Programme, die Bestandteil des Betriebssystems sind, etwa die Systemsteuerung, nicht absichtlich Schaden anrichten. Daher werden diese Programme automatisch mit höheren Rechten versehen, wenn sie ausgeführt werden.

So kann man über die Systemsteuerung oder über die Microsoft-Management-Konsole (MMC) Administrationsaufgaben erledigen, ohne dass der nervige Dialog erscheint, der zur Bestätigung auffordert. Da Windows an der digitalen Signatur erkennen kann, ob es sich tatsächlich um eine Original-Datei handelt, die nicht durch Malware verändert ist, scheint das ein guter Kompromiss zu sein. Die Sicherheit steigt, ohne den Benutzer übermäßig zu nerven.

Leider gibt es Angriffsmöglichkeiten gegen diese UAC-Einstellung. Proof-of-Concept-Exploits zeigen, dass es möglich ist, sich über DLL-Injection in die Original-Windows-Dateien einzuklinken. Mittlerweile ist bekannt, dass die meisten dieser Exploits auch mit der RTM-Version von Windows 7 funktionieren.

Themenseiten: Betriebssystem, Microsoft, Security-Analysen, Windows 7

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

7 Kommentare zu UAC in Windows 7: keinerlei Sicherheit und inkompatibel

Kommentar hinzufügen
  • Am 12. August 2009 um 22:55 von Pfau Thomas

    Windows 7 und codec?
    Ein bekannter von mir ist gerade dabei Windows 7 zu testen.
    Aber er sagte das Windows 7 Probleme mit gewissen Codecs MP3 ,DIVX usw. habe.

    • Am 13. August 2009 um 16:01 von S1ic3r

      AW: Windows 7 und codec?
      Ich habe die RTM installiert und überhaupt keine Probleme. Habe das K-Lite Codec Pack installiert.

      UAC wird bei mir sowieso deaktiviert. Da gibt es bessere Möglichkeiten den PC zu schützen. Finde es aber schade, dass M$ wieder einmal die Bequemlichkeit der User, der Sicherheit vorzieht. Mehr Sicherheit bedeutet meistens zusätzliche Einschränkungen. Es sollte sowieso nur mit einem Benutzerkonto ohne lokale Adminrechte gearbeitet werden….

    • Am 2. September 2009 um 16:13 von Ronny

      AW: Windows 7 und codec?
      Den UAC abschalten und erzählen das man den Rechner besser schützen kann. Tz … wohl kaum, da Schadsoftware sofort mit Adminrechten sich breit machen kann. Oh Oh, da würde ich mal lieber schweigen.

  • Am 14. August 2009 um 1:21 von Janosch

    Für Anfänger – Was ist UAC
    Dieser Artikel ist ziemlich bedauernswert für einen Autor bzw. eine Redaktion der sich eigentlich mit IT und Security auskennen sollte.
    MS hat Recht wenn Sie sagen by Design – UAC war, ist und wird nie ein Schutz vor einem Administrator sein der ein Program installieren will.
    Wie genau soll denn so etwas funktionieren? Die öffentlichen Exploits hat Alex Russonich von MS schon vorm Release von Vista gezeigt – wahrscheinlich auch um darauf hinzuweisen das bei UAC by Design um zwei Sachen geht – es soll besser möglich sein als Standard USer unterwegs zu sein – dazu gehört die Ausweitung bestimmter Rechte für Std.Usr., die möglichkeit der Rechteerweiterung für Admins, die virtualisierung von Zugriffen für KOmpatibilität bei gleichzeitiger Abschottung von Services und Modifikationsmöglichen im System für selbige – wegen dieser besseren Abschottung konnte man auch erst die neuen Features einbauen, das hatte MS auch schon gesagt/geschrieben.
    Der andere Aspekt von UAC ist die Hoffnung das Entwickler sich auf so etwas einstellen. Fähige Unternehmen können das auch, ich hatte zumindest selten Probleme mit der Komptibilität und für einen ordentlichen Artikel auf einer Seite für IT News gehört es sich doch eigentlich das man genau analysiert, die Probleme exakt schildert und auch auf Möglichkeiten hinweist wie man es besser machen könnte – wenn man schon ständig meckert.
    Mich macht das Lesen des Artikels wirklich wütend, weil er so grundlegend falsch ist und nur pures technisches Unverständnis ausdrückt. Für künftige Recherche, basiswissen und für den informierten Leser empfehle ich hierzu die Artikel im Technet Magazine zu UAC. Suche mit Dienst Ihrer Wahl.

    • Am 14. August 2009 um 1:43 von Christoph

      AW: Für Anfänger – Was ist UAC
      Richtig, dem möchte ich nur beipflichten.

      Der Autor des Beitrags ist ein Theoretiker. Er will ein modernes und sicheres System, dass auch noch die veraltetste und unsicherste Anwendung (und damit auch inkompatibelste Software aus der Steinzeit) unter Vista lauffähig ist. Fakt ist: Nur Programme, die sich an den Richtlinien für ein OS halten, können vernünftig betrieben werden. Wer aber alten Klump, der sich noch nie an irgendwelche Richtlinien gehalten hat, denn sonst würde er damals wie heute auch ohne Adminaccount betrieben werden können, weiter betreiben möchte, der sollte weniger über das OS schimpfen, sondern mehr über den Hersteller der Anwendung, für die es ja noch nicht einmal eine Aktualisierung für Vista zu geben scheint. Unter NT konnte man schon immer als normaler User rumwerkeln. Wenn einige Hersteller das nicht unterstützen, wer ist dann wohl schuld? Einfach ausgedrückt: Diese Software gehört dann auf den Müll!

      Und wie um alles in der Welt kann man UAC Nachfragen als lästig beschimpfen? Wie führt man denn wohl vergleichbare Funktionen unter anderen Systemen aus? Man muss sich dazu unter einem anderen Benutzer anmelden. Ist das wirklich intuitiver, bequemer und schneller als ein Klick? Anscheinend schon!

      • Am 15. August 2009 um 15:12 von Charity

        AW: AW: Für Anfänger – Was ist UAC
        Also dem kann ich mich nur anschliessen. Die technischen Analysen die hier vom Author betrieben werden, zielen an der eigentlichen Funktion der UAC vorbei und zeigen, dass hier in "dezenter" Weise ein Betriebssystem schlecht gemacht werden soll. (Ist nicht der erste Artikel den ich auf dieser Seite gelesen habe, dessen technischer Wahrheitsgehalt, an der Realität vorbei geht, aber versucht ein falsches Licht zu erzeugen).

        Umgerechnet auf ein Auto benutzt man doch auch keine alten Kutschenräder nur weil das vielleicht noch möglich wäre und zwingt dabei die Autohersteller dazu auf diese Möglichkeit noch Rücksicht zu nehmen.

        Windows XP Anwendungen sind eben Windows XP Anwendungen und dementsprechend auch bereits den Anforderungen eines modernen Betriebssystems teilweise nicht mehr gerecht. Der Code von Anwendungen sollte ebenfalls wie der des Betriebssystem aktualisiert werden.

        Ist man auf eine XP-Anwendungen angewiesen, so sollte diese auch unter XP Betrieben werden.

  • Am 14. August 2009 um 8:13 von Gerd Nogatz

    UAC ohne Prompts nutzen
    Abhilfe könnte der Privilege Manager von BeyondTrust sein.Er eliminiert viele oder sogar alle UAC Prompts, die Enterprise User sonst sehen. Privilege Manager versorgt Benutzer mit erhöhten Rechten nur wenn diese erforderlich werden. Privilege Manager kann als "Ein-Benutzer" kostenfrei benutzt werden.Allerdings gibt es den noch nicht für Windows 7.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *