Mit der CreateRestrictedToken-Funktion lässt sich eine Art Mini-Benutzerkontensteuerung realisieren. Für Windows XP gibt es beispielsweise das Programm DropMyRights, was diese Funktionalität nutzt, in dem es aus dem Restricted Token die Administratorgruppe entfernt. Allerdings ist es auf diese Weise nicht möglich, einmal freiwillig abgegebene Rechte wieder zurückzuholen. Würde man DropMyRights auf die Explorer-Shell anwenden, hätten alle gestarteten Programme nur die eingeschränkten Rechte.
Um die verlorenen Rechte wiederzuerlangen, ist ein neues Logon bei der LSA erforderlich. Dadurch verlieren Tochterprozesse jedoch ihre Credentials. Somit ist es insbesondere nicht mehr möglich auf Netzwerklaufwerke zuzugreifen. Temporär gemountete Netzlaufwerke, sind im Tochterprozess gar nicht sichtbar. Permanent gemountete (Option „Reconnect at Logon“) sind zwar sichtbar aber nicht nutzbar. Bild 4 zeigt, dass die Administrator-Konsole nur das permanente Laufwerk Y: besitzt, auf das sich aber mittels dir nicht zugreifen lässt.
So wird unmittelbar klar, dass bestimmte Dinge nicht funktionieren: Anwendungen, die nicht „UAC-aware“ sind, jedoch Administratorrechte benötigen, kann man nur mit der Option „Als Administrator ausführen“ starten. Sie haben dann jedoch keine Netzwerklaufwerke und andere Fernressourcen, etwa Drucker oder Named Pipes, zur Verfügung.
Grundsätzlich ist es natürlich aus Sicherheitserwägungen richtig, Prozesse, die über ein erneutes Logon ein neues Token erhalten, nicht mit den Credentials eines anderen Prozesses auszustatten. Jedoch hätte Microsoft einen Mechanismus schaffen müssen, der es erlaubt, ein Token zu erzeugen, das die verlorengegangenen Rechte eines Mutterprozesstokens zurückerhält, ohne dazu einen Logon durchzuführen. Das hätte man mit einer Bestätigung über den Secure Desktop absichern können.
Man könnte argumentieren, dass dies zu gefährlich ist, weil es seinen Grund hat, dass Tochterprozesse sich keine einmal entzogenen Rechte zurückholen dürfen. Da es die Benutzerkontensteuerung in der Standardeinstellung jedoch erlaubt, ohne Eingabe des Passworts ein neues Logon bei der LSA durchzuführen, sind beide Möglichkeiten sicherheitstechnisch gleich gefährlich. So hätte Microsoft die Inkompatibilitäten mit älteren Programmen bei der Benutzerkontensteuerung vermeiden können.
Neueste Kommentare
7 Kommentare zu UAC in Windows 7: keinerlei Sicherheit und inkompatibel
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Windows 7 und codec?
Ein bekannter von mir ist gerade dabei Windows 7 zu testen.
Aber er sagte das Windows 7 Probleme mit gewissen Codecs MP3 ,DIVX usw. habe.
AW: Windows 7 und codec?
Ich habe die RTM installiert und überhaupt keine Probleme. Habe das K-Lite Codec Pack installiert.
UAC wird bei mir sowieso deaktiviert. Da gibt es bessere Möglichkeiten den PC zu schützen. Finde es aber schade, dass M$ wieder einmal die Bequemlichkeit der User, der Sicherheit vorzieht. Mehr Sicherheit bedeutet meistens zusätzliche Einschränkungen. Es sollte sowieso nur mit einem Benutzerkonto ohne lokale Adminrechte gearbeitet werden….
AW: Windows 7 und codec?
Den UAC abschalten und erzählen das man den Rechner besser schützen kann. Tz … wohl kaum, da Schadsoftware sofort mit Adminrechten sich breit machen kann. Oh Oh, da würde ich mal lieber schweigen.
Für Anfänger – Was ist UAC
Dieser Artikel ist ziemlich bedauernswert für einen Autor bzw. eine Redaktion der sich eigentlich mit IT und Security auskennen sollte.
MS hat Recht wenn Sie sagen by Design – UAC war, ist und wird nie ein Schutz vor einem Administrator sein der ein Program installieren will.
Wie genau soll denn so etwas funktionieren? Die öffentlichen Exploits hat Alex Russonich von MS schon vorm Release von Vista gezeigt – wahrscheinlich auch um darauf hinzuweisen das bei UAC by Design um zwei Sachen geht – es soll besser möglich sein als Standard USer unterwegs zu sein – dazu gehört die Ausweitung bestimmter Rechte für Std.Usr., die möglichkeit der Rechteerweiterung für Admins, die virtualisierung von Zugriffen für KOmpatibilität bei gleichzeitiger Abschottung von Services und Modifikationsmöglichen im System für selbige – wegen dieser besseren Abschottung konnte man auch erst die neuen Features einbauen, das hatte MS auch schon gesagt/geschrieben.
Der andere Aspekt von UAC ist die Hoffnung das Entwickler sich auf so etwas einstellen. Fähige Unternehmen können das auch, ich hatte zumindest selten Probleme mit der Komptibilität und für einen ordentlichen Artikel auf einer Seite für IT News gehört es sich doch eigentlich das man genau analysiert, die Probleme exakt schildert und auch auf Möglichkeiten hinweist wie man es besser machen könnte – wenn man schon ständig meckert.
Mich macht das Lesen des Artikels wirklich wütend, weil er so grundlegend falsch ist und nur pures technisches Unverständnis ausdrückt. Für künftige Recherche, basiswissen und für den informierten Leser empfehle ich hierzu die Artikel im Technet Magazine zu UAC. Suche mit Dienst Ihrer Wahl.
AW: Für Anfänger – Was ist UAC
Richtig, dem möchte ich nur beipflichten.
Der Autor des Beitrags ist ein Theoretiker. Er will ein modernes und sicheres System, dass auch noch die veraltetste und unsicherste Anwendung (und damit auch inkompatibelste Software aus der Steinzeit) unter Vista lauffähig ist. Fakt ist: Nur Programme, die sich an den Richtlinien für ein OS halten, können vernünftig betrieben werden. Wer aber alten Klump, der sich noch nie an irgendwelche Richtlinien gehalten hat, denn sonst würde er damals wie heute auch ohne Adminaccount betrieben werden können, weiter betreiben möchte, der sollte weniger über das OS schimpfen, sondern mehr über den Hersteller der Anwendung, für die es ja noch nicht einmal eine Aktualisierung für Vista zu geben scheint. Unter NT konnte man schon immer als normaler User rumwerkeln. Wenn einige Hersteller das nicht unterstützen, wer ist dann wohl schuld? Einfach ausgedrückt: Diese Software gehört dann auf den Müll!
Und wie um alles in der Welt kann man UAC Nachfragen als lästig beschimpfen? Wie führt man denn wohl vergleichbare Funktionen unter anderen Systemen aus? Man muss sich dazu unter einem anderen Benutzer anmelden. Ist das wirklich intuitiver, bequemer und schneller als ein Klick? Anscheinend schon!
AW: AW: Für Anfänger – Was ist UAC
Also dem kann ich mich nur anschliessen. Die technischen Analysen die hier vom Author betrieben werden, zielen an der eigentlichen Funktion der UAC vorbei und zeigen, dass hier in "dezenter" Weise ein Betriebssystem schlecht gemacht werden soll. (Ist nicht der erste Artikel den ich auf dieser Seite gelesen habe, dessen technischer Wahrheitsgehalt, an der Realität vorbei geht, aber versucht ein falsches Licht zu erzeugen).
Umgerechnet auf ein Auto benutzt man doch auch keine alten Kutschenräder nur weil das vielleicht noch möglich wäre und zwingt dabei die Autohersteller dazu auf diese Möglichkeit noch Rücksicht zu nehmen.
Windows XP Anwendungen sind eben Windows XP Anwendungen und dementsprechend auch bereits den Anforderungen eines modernen Betriebssystems teilweise nicht mehr gerecht. Der Code von Anwendungen sollte ebenfalls wie der des Betriebssystem aktualisiert werden.
Ist man auf eine XP-Anwendungen angewiesen, so sollte diese auch unter XP Betrieben werden.
UAC ohne Prompts nutzen
Abhilfe könnte der Privilege Manager von BeyondTrust sein.Er eliminiert viele oder sogar alle UAC Prompts, die Enterprise User sonst sehen. Privilege Manager versorgt Benutzer mit erhöhten Rechten nur wenn diese erforderlich werden. Privilege Manager kann als "Ein-Benutzer" kostenfrei benutzt werden.Allerdings gibt es den noch nicht für Windows 7.