Andy's Web Blog

Hallo lieber Leser

In Windows Vista wurde die User Account Control (UAC) erstmals eingeführt. Die im Grunde sehr sinnvolle Funktion verhindert das ungewollte Ausführen von Prozessen mit administrativen Rechten wenn ein entsprechender Benutzer angemeldet ist. Bei den meisten Heimanwendern ist es nun mal der Normalfall dass mit vollen, administrativen Rechten gearbeitet wird. In der Folge wird auch jede Schadsoftware mit Admin Rechten ausgeführt und kann sich ungebremst installieren. Die UAC verhindert dies sehr zuverlässig. Auch Benutzer mit administrativen Rechten arbeiten zunächst mit reduzierten Privilegien. Sollen erhöhte Rechte eingesetzt werden macht Windows darauf optisch und akustisch aufmerksam und fragt nach einer Bestätigung dieser Aktion.

Bei Windows Vista wurde diese Funktion aber schnell als lästig empfunden. Die Abfragen kamen sehr häufig und teilweise mehrfach bei ein und derselben Aktion. Daher haben viele Anwender die UAC komplett abgeschaltet. Ein Schritt welcher absolut nicht zu empfehlen ist, reduziert er doch drastisch die Sicherheit des Systems!

In Windows 7 ist es nun möglich die UAC in verschiedenen Stufen einzustellen. Leider reduziert bereits die zweitschärfste Stufe die Sicherheit so drastisch dass die UAC leicht ausgehebelt werden kann und somit faktisch wirkungslos ist. Um die Abfragen zu reduzieren wurde unter Anderem die sog. „AutoElevate” Funktion eingeführt. Damit können bestimmte Anwendungen, welche mit einer von Microsoft vergebenen Signatur versehen sind, automatisch erhöhte Privilegien anfordern. Leider höhlt diese Funktion die strikte Trennung von administrativen und eingeschränkten Konten aus. Es kursieren bereits Exploits um diese Schwächen auszunutzen. Dies scheint in einigen Fällen gar nicht notwendig zu sein. So lassen sich z.B. in der Standard Einstellung Antiviren Programme ohne Nachfrage der UAC entfernen.

Selbst Microsoft bezeichnet die UAC nicht mehr als „Security Feature” sondern als Funktion zur Erhöhung der Systemstabilität. Allerdings ist es möglich den gleichen Schutz wie unter Windows Vista zu erlangen. Dazu muss lediglich die Einstellung auf die höchste Stufe  „Immer Benachrichtigen” gestellt werden (Start -> UAC). Dann erhöht sich zwar die Anzahl der Nachfragen, es sind aber dennoch weniger als bei Vista da z.B. mehrfache Anfragen nicht mehr auftauchen.

Leider hat Microsoft diese höchste Stufe nicht als Standardeinstellung vorgegeben. Dies ist insbesondere dadurch tragisch als dass sich viele Anwender in falscher Sicherheit glauben. Ich kann daher nur empfehlen diese Einstellung sofort auf jedem Windows 7 Client vorzunehmen!

Andy

Post a Comment