UAC in Windows 7: keinerlei Sicherheit und inkompatibel

Zur Verbesserung der Kompatibilität mit älteren Anwendungen, die nichts von der Benutzerkontensteuerung wissen, hat Microsoft in Windows 7 nichts getan. Dabei wäre das nicht schwierig gewesen. Um zu verstehen, wieso Anwendungen oft nicht kompatibel sind – auch wenn man sie mit der Option „Als Administrator ausführen“ installiert aufruft – muss man sich etwas tiefer mit den Benutzerrechten von Windows auseinandersetzen.

Anders als bei Unix-Betriebssystemen wie Linux und Mac OS sind die globalen Rechte nicht fest mit einem Superuser-Account wie root verdrahtet, sondern einzelnen Benutzern und Gruppen zugewiesen, siehe Bild 3.

Lediglich das SYSTEM-Account, unter dem man sich nicht einloggen kann, besitzt die meisten dieser Rechte automatisch. Seit Windows 2003 sind dem SYSTEM-Account allerdings eine Reihe von Rechten entzogen. Dazu gehört das Recht „Create a process level token“ (SeCreateTokenPrivilege).

Die Rechte sind in jedem Prozess-Token hinterlegt. Beim Start eines Prozesses sind sie alle auf disabled gesetzt. In allen Windows-Version seit Windows NT 3.1 führt das Ändern von Datum und Uhrzeit zu einem Access-Denied-Fehler, weil das Recht „Change the system time“ (SeChangeTimePrivilege) nicht aktiviert ist. Ein vorhandenes globales Recht kann ein Prozess jedoch einfach ohne jede Authentifizierung anfordern. Das dient vor allem Dokumentationszwecken im System-Event-Log. Disabled bedeutet nicht, dass das Recht nicht genutzt werden kann.

Seit Windows 2000 gibt es die Möglichkeit mit der API-Funktion CreateRestrictedToken ein Security-Token zu generieren, das eine Kopie des aktuellen Token ist. Es lassen sich jedoch einzelne Rechte oder Gruppenmitgliedschaften entfernen. Ein Tochterprozess, der mit diesem Token erzeugt wurde, kann die entfernten Rechte und Gruppenmitgliedschaften  weder anfordern noch nutzen.

Themenseiten: Betriebssystem, Microsoft, Security-Analysen, Windows 7

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

7 Kommentare zu UAC in Windows 7: keinerlei Sicherheit und inkompatibel

Kommentar hinzufügen
  • Am 12. August 2009 um 22:55 von Pfau Thomas

    Windows 7 und codec?
    Ein bekannter von mir ist gerade dabei Windows 7 zu testen.
    Aber er sagte das Windows 7 Probleme mit gewissen Codecs MP3 ,DIVX usw. habe.

    • Am 13. August 2009 um 16:01 von S1ic3r

      AW: Windows 7 und codec?
      Ich habe die RTM installiert und überhaupt keine Probleme. Habe das K-Lite Codec Pack installiert.

      UAC wird bei mir sowieso deaktiviert. Da gibt es bessere Möglichkeiten den PC zu schützen. Finde es aber schade, dass M$ wieder einmal die Bequemlichkeit der User, der Sicherheit vorzieht. Mehr Sicherheit bedeutet meistens zusätzliche Einschränkungen. Es sollte sowieso nur mit einem Benutzerkonto ohne lokale Adminrechte gearbeitet werden….

    • Am 2. September 2009 um 16:13 von Ronny

      AW: Windows 7 und codec?
      Den UAC abschalten und erzählen das man den Rechner besser schützen kann. Tz … wohl kaum, da Schadsoftware sofort mit Adminrechten sich breit machen kann. Oh Oh, da würde ich mal lieber schweigen.

  • Am 14. August 2009 um 1:21 von Janosch

    Für Anfänger – Was ist UAC
    Dieser Artikel ist ziemlich bedauernswert für einen Autor bzw. eine Redaktion der sich eigentlich mit IT und Security auskennen sollte.
    MS hat Recht wenn Sie sagen by Design – UAC war, ist und wird nie ein Schutz vor einem Administrator sein der ein Program installieren will.
    Wie genau soll denn so etwas funktionieren? Die öffentlichen Exploits hat Alex Russonich von MS schon vorm Release von Vista gezeigt – wahrscheinlich auch um darauf hinzuweisen das bei UAC by Design um zwei Sachen geht – es soll besser möglich sein als Standard USer unterwegs zu sein – dazu gehört die Ausweitung bestimmter Rechte für Std.Usr., die möglichkeit der Rechteerweiterung für Admins, die virtualisierung von Zugriffen für KOmpatibilität bei gleichzeitiger Abschottung von Services und Modifikationsmöglichen im System für selbige – wegen dieser besseren Abschottung konnte man auch erst die neuen Features einbauen, das hatte MS auch schon gesagt/geschrieben.
    Der andere Aspekt von UAC ist die Hoffnung das Entwickler sich auf so etwas einstellen. Fähige Unternehmen können das auch, ich hatte zumindest selten Probleme mit der Komptibilität und für einen ordentlichen Artikel auf einer Seite für IT News gehört es sich doch eigentlich das man genau analysiert, die Probleme exakt schildert und auch auf Möglichkeiten hinweist wie man es besser machen könnte – wenn man schon ständig meckert.
    Mich macht das Lesen des Artikels wirklich wütend, weil er so grundlegend falsch ist und nur pures technisches Unverständnis ausdrückt. Für künftige Recherche, basiswissen und für den informierten Leser empfehle ich hierzu die Artikel im Technet Magazine zu UAC. Suche mit Dienst Ihrer Wahl.

    • Am 14. August 2009 um 1:43 von Christoph

      AW: Für Anfänger – Was ist UAC
      Richtig, dem möchte ich nur beipflichten.

      Der Autor des Beitrags ist ein Theoretiker. Er will ein modernes und sicheres System, dass auch noch die veraltetste und unsicherste Anwendung (und damit auch inkompatibelste Software aus der Steinzeit) unter Vista lauffähig ist. Fakt ist: Nur Programme, die sich an den Richtlinien für ein OS halten, können vernünftig betrieben werden. Wer aber alten Klump, der sich noch nie an irgendwelche Richtlinien gehalten hat, denn sonst würde er damals wie heute auch ohne Adminaccount betrieben werden können, weiter betreiben möchte, der sollte weniger über das OS schimpfen, sondern mehr über den Hersteller der Anwendung, für die es ja noch nicht einmal eine Aktualisierung für Vista zu geben scheint. Unter NT konnte man schon immer als normaler User rumwerkeln. Wenn einige Hersteller das nicht unterstützen, wer ist dann wohl schuld? Einfach ausgedrückt: Diese Software gehört dann auf den Müll!

      Und wie um alles in der Welt kann man UAC Nachfragen als lästig beschimpfen? Wie führt man denn wohl vergleichbare Funktionen unter anderen Systemen aus? Man muss sich dazu unter einem anderen Benutzer anmelden. Ist das wirklich intuitiver, bequemer und schneller als ein Klick? Anscheinend schon!

      • Am 15. August 2009 um 15:12 von Charity

        AW: AW: Für Anfänger – Was ist UAC
        Also dem kann ich mich nur anschliessen. Die technischen Analysen die hier vom Author betrieben werden, zielen an der eigentlichen Funktion der UAC vorbei und zeigen, dass hier in "dezenter" Weise ein Betriebssystem schlecht gemacht werden soll. (Ist nicht der erste Artikel den ich auf dieser Seite gelesen habe, dessen technischer Wahrheitsgehalt, an der Realität vorbei geht, aber versucht ein falsches Licht zu erzeugen).

        Umgerechnet auf ein Auto benutzt man doch auch keine alten Kutschenräder nur weil das vielleicht noch möglich wäre und zwingt dabei die Autohersteller dazu auf diese Möglichkeit noch Rücksicht zu nehmen.

        Windows XP Anwendungen sind eben Windows XP Anwendungen und dementsprechend auch bereits den Anforderungen eines modernen Betriebssystems teilweise nicht mehr gerecht. Der Code von Anwendungen sollte ebenfalls wie der des Betriebssystem aktualisiert werden.

        Ist man auf eine XP-Anwendungen angewiesen, so sollte diese auch unter XP Betrieben werden.

  • Am 14. August 2009 um 8:13 von Gerd Nogatz

    UAC ohne Prompts nutzen
    Abhilfe könnte der Privilege Manager von BeyondTrust sein.Er eliminiert viele oder sogar alle UAC Prompts, die Enterprise User sonst sehen. Privilege Manager versorgt Benutzer mit erhöhten Rechten nur wenn diese erforderlich werden. Privilege Manager kann als "Ein-Benutzer" kostenfrei benutzt werden.Allerdings gibt es den noch nicht für Windows 7.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *