Anzeige

Am Puls von Microsoft

Anzeige

Die UAC - Hintergrund und die Arbeit damit

Sammy_the_Bull

B.O.F.H.
Da die Benutzerkontensteuerung (UAC) immer noch eine der am meissten missverstandenen Features von Vista ist, will ich hier meinen Teil zur Aufklärung beitragen.

Der Hintergrund der UAC - warum es nicht ratsam ist, sie auszuschalten.

Bei der Anmeldung eines Benutzers wird seinem Benutzerkonto ein Access Token zugeteilt, das in der gesamten Arbeitssitzung darüber entscheidet, auf welche Daten und Funktionen der Benutzer zugreifen kann. Dazu enthält das Token die Sicherheitskennung (Security ID, SID) des Benutzers sowie die SIDs aller Gruppen, denen der Benutzer im Moment der Anmeldung angehört. Weiterhin sind im Token alle Systemrechte vermerkt, die dem Konto vom Administrator verliehen wurden z.B. einen Debugger auf Systemebene einzusetzen oder sich als Dienst an das System anzumelden. Bei jedem Zugriff auf eine Funktion oder ein Objekt prüft das Betriebssystem das Access Token, ob die angeforderte Aktivität erlaubt ist. Diese Technik ist sehr effizient, denn sie erfordert zur Prüfung der Berechtigungen keinen Kontakt zum Anmeldeserver - es werden nur die SIDs in der Zugriffsliste (Access Control List, ACL) mit dem Token verglichen. Änderungen an Gruppenmitgliedschaften werden so aber nur wirksam, wenn ein Benutzer sich ab- und neu anmeldet.

Jeder Prozess, der von einem Benutzerkonto gestartet wird (also meistens ein Programm) bekommt das Benutzerrecht des Users übertragen. Dadurch hat ein Prozess nicht mehr, aber auch nicht weniger Rechte als der User, der es aufruft. Zwar gibt es auch Spezialfälle, in denen ein Konto das Benutzerrecht und damit die Identität eines anderen Kontos annimmt, jedoch muss dieses dann auch speziell delegiert und konfiguriert werden.


Warum die UAC so gut ist und Windows "sicher" macht.

Der Zugriff auf Systemfunktionen wird von Windows über die Mitgliedschaft in speziellen Gruppen gesteuert: Nur wer Mitglied der lokalen Gruppe "Administratoren" eines Systems ist, hat tatsächlich auch Administratorrechte. Hier im Falle von Vista ist es aber so, dass das standartmäßig nach der Installation eingerichtete Adminkonto eigentlich nur ein Benutzerkonto ist, welches über etwas erhöhte Rechte verfügt. Auch wer die UAC dann ausschaltet, darf noch lange nicht alles im System tun. Dies darf unter Vista und Server 2008 nur das standartmäßig deaktivierte Konto "Administrator".

Wenn Benutzer als Administratoren arbeiten, entstehen hierraus aber schnell Folgeprobleme: Jede Anwendung hat so auch Adminrechte, also auch ein Virus oder Trojaner, der sich so ungehindert im System austoben kann. Gleichzeitig können Admins das System umkonfigurieren, den Virenscanner und die Firewall abschalten, die Anwendung von Gruppenrichtlinien verhindern - und was ihnen sonst noch so "nettes" einfällt. Daraus resultiert wieder eine Menge unnütze Arbeit für die leidgeplagten Admins.

Da der Mensch an sich faul ist und stets den bequemen Weg geht, wird weiterhin fröhlich mit einem Adminkonto gearbeitet, anstatt normale "alltägliche" Aufgaben nur mit einem normalen Benutzerkonto zu erledigen. Denn Schadsoftware bekäme bei der Arbeit mit einem normalen Benutzerkonto auch nur Benutzerrechte und nicht die zur Funktion notwendigen administartiven Rechte.

Microsoft entschied sich daher bei der Entwicklung von Windows Vista für den radikalen Weg: Die Benutzerkontensteuerung erzwingt, dass alle Benutzer (zunächst) ohne Administratorrechte arbeiten - selbst dann, wenn sie Mitglied der Gruppe "Administratoren" sind. Sollte es tatsächlich notwendig sein, eine Aktivität mit erhöhten Rechten auszuführen, so bietet UAC an, solche Rechte verfügbar zu machen. Diese Funktion ansich stellt bereits eine extreme Weiterentwicklung zu XP dar. Dort musste man sich abmelden um sich mit einem Adminkonto erneut anzumelden. Jetzt wird kurz der Bildschirm dunkel und man klickt auf "Fortsetzen". Auf diese Art und Weise bekommt die Anwendung dann die zur Funktion erhöhten Rechte und kann ausgeführt werden.

Das nervt aber!

Einer der häufigsten Kritikpunkte an der UAC ist, dass die vielen UAC-Aufforderungen nerven und ein geordnetes Arbeiten nicht möglich ist. Diese Kritik ist in der Regel aber unberechtigt. Für die Arbeit, die an einem üblichen Vista-PC verrichtet wird, sind fast nie Adminrechte nötig. Nur wenn Systemeinstellungen geändert werden sollen oder etwa neue Programme zu installieren sind, benötigt UAC eine Bestätigung. Für die weit überwiegende Anzahl der User dürfte dies die rühmliche Ausnahme sein. Hier wird es wohl sich eher um ein Problem des ersten Eindrucks handeln: Wer Windows Vista manuell installiert und einrichtet, wird zunächst tatsächlich sehr viele dieser administrativen Aufgaben ausführen und hat daher natürlich oft die UAC-Abfrage zu bestätigen. Erfahrungsgemäß ist dies aber eine Aufgabe, die in wenigen Stunden (meist noch viel schneller) erledigt ist. Und wer ehrlich ist, wird zugeben, dass bei üblichen Installationsprogrammen derart viele Mausklicks nötig sind, dass es auf jeweils einen UAC-Klick mehr nun wirklich nicht ankommt.

Standartmäßig ist nach der Installation ein Administartorkonto vorhanden, unter dem auch sofort die Benutzerkontensteuerung aktiv ist. Dies ist ein Weg, die UAC einzusetzen, aber nicht der Beste. Außerdem sind hier unter anderem evtl. mehrere Bestätigungen nötig, um eine Aktion auszuführen. Wie bei allem im Leben, gibt es auch hier einen richtigen und einen richtigeren Weg.


So wird Windows zum Einsatz der UAC richtig konfiguriert:



Gleich nach der Erstinstallation steht per default das Standart Adminkonto bereit. Hier sollte ein sicheres Kennwort vergeben werden. Mindestens 8 Zeichen, Buchstaben, Sonderzeichen und Zahlen sollte es enthalten (meine Auffassung eines "sicheren" Kennwortes ist übrigens 25 Zeichen lang ;) ) Anschliessend errichtet man ein normales Benutzerkonto ohne besondere Rechte (auch wieder mit Kennwort), unter dem anschliessend nur und ausschließlich gearbeitet wird. Alle Programme und Anwendungen werden hier im normalen Benutzerkonto installiert.

Bei jeder Aktion, welche nun Adminrechte erfordern, erscheint ein Dialog, wo die Zugangsdaten des Adminkontos eingegeben werden müssen. Hierbei ist der Benutzername des Adminkontos standartmäßig bereits eingetragen und muss nur durch das Passwort ergänzt werden. So erfolgt für jede Aktion, welche Adminrechte erfordert, genau EINE Abfrage der UAC. Selbst wenn nun Schadsoftware auf den Rechner gelangt, kann sie in den Allermeisten Fällen genau Null Schaden anrichten, da sie (allermeistens) administrative Rechte erfordert um zu funktionieren.
 
Zuletzt bearbeitet:
Anzeige
Für die Arbeit, die an einem üblichen Vista-PC verrichtet wird, sind fast nie Adminrechte nötig.

Das ist der größte Quark, den ich je gelesen habe.
Es gibt viele Programme, wie zum Beispiel w2d und das ist bestimmt kein Einzelfall, die immer Admin-Rechte benötigen, um ihre Aufgaben zu erfüllen. Leider gibt hier die UAC keinen Hinweis darauf, sondern das Programm arbeitet fehlerhaft, in dem es Aufgaben nicht erfüllen kann, wie zum Beispiel Datei-Änderungen bzw. das Hochladen von Dateien auf dem Server.
Hier sollte Microsoft unbedingt nachbessern, das heißt erkennbar machen, welche weiteren Aktionen notwendig sind.
 
Ich habe keine Ahnung, was w2d ist, aber ich würde die Aussage nicht als Quark bezeichnen, in meinem Fall beispielsweise trifft sie zu.
Die Benutzerkontensteuerung hat eine Heuristik, anhand der sie versucht zu erkennen, ob eine Anwendung höhere Rechte benötigt oder nicht. Die kann man sicher immer verbessern, der Normalfall sollte aber sein, dass die Anwendung diese Rechte von sich aus gezielt anfordert. Ältere Programme, die vor Vista am Markt waren, tun sich da oft doppelt schwer - einerseits können sie UAC logischerweise noch gar nicht berücksichtigen, andererseits wurden Adminrechte leider sehr oft als selbstverständlich vorausgesetzt, was sie unter XP ja auch waren.
Genau an dieser Stelle wurde jahrelang unglaublich schlampig programmiert.
Hätten die Entwickler konsequent z.B. alle temporären und Einstellungsdateien dort platziert, wo sie hin gehören - nämlich ins Benutzerverzeichnis, wäre uns viel Ärger erspart geblieben.
Microsoft muss man vorwerfen, dass sie es zu lange zu einfach gemacht haben, mit Adminrechten zu arbeiten, davon sind sie glücklicherweise jetzt abgekommen. "Nachbessern" müssen nun hauptsächlich die Software-Entwickler.
 
Für Standard-Programme, die unter Vista eingebunden sind, mag diese Aussage zutreffen. Alle Programme, die zusätzlich eingebunden werden und wo der Benutzer bewusst arbeitet, das heißt auf Dateien zugreift, diese ändert oder in anderweitiger Form zugreift, benötigen Admin-Rechte.
Egal, ob diese Programme älter oder neu sind, hier reicht es nicht, nur die Installation zu bestätigen! Abhängigkeiten werden nicht erkannt und der User im Regen stehen gelassen.
In meinen Augen ist es wichtiger die Firewall zu verbessern, wo ein Angriff von außen erkannt wird und nicht die normale Programminstallation und deren Abhängigkeiten zu blockieren.
Was passiert, wenn die UAC anspringt? Ein Hinweis, das etwas passiert! Bei einer Programminstallation, die der User ausführt, ist diese Installation gewollt. Die UAC sollte anspringen, wenn der User keine Installation vornimmt sondern sich etwas einnisten möchte und hier mit einer klaren Ansage. Davon ist Vista noch weit entfernt, hier den Computernutzer unter die Arme zu greifen und so ist die UAC einfach nur unverständlich.
 
Es gibt schon viele neue Programme, die Adminrechte benötigen und diese auch anfordern, also eine UAC-Abfrage auslösen. Dass es Verbesserungspotenziale gibt, ist unbestritten, aber ich bin es ehrlich gesagt ein bisschen müde, fast jedes Mal, wo UAC erwähnt wird, in die Grundsatzdiskussion abzudriften.
 
Für mich ist es keine Grundsatzdiskussion. Entweder ich entwickle etwas vernümftig oder ich lasse es. Ich bin es leid immer wieder hören zu müssen, das etwas verbessert werden könnte, nachdem das Kind in den Brunnen gefallen ist. Der User möchte arbeiten und sich nicht andauernd als Entwicklungshelfer beweisen...
 
Hi Paulemann!

Also, auch ich muss dem Martin hier mal recht geben. Tatsächlich ist es so, dass Microsoft mal nicht wirklich Schuld an der Sache hat. Die haben nur ein sehr bewährtes Sicherheitskonzept aus alternativen Betriebssystemen übernommen. Bei Linux/Unix zum Beispiel ist das Bestätigen gang und gebe.

Umdenken müssen; wie Martin bereits sagte; die Softwareentwickler. Denn die entwickeln aus reiner Faulheit; weil es so schön bequem ist; unter einem reinen Adminkonto. Das verursacht Klicks, die nicht sein müssten.

Außerdem ist mir auch nicht ganz klar, mit was für Programmen Du arbeitest, dass Du soviel bestätigen mußt. Ich persönlich muss es wirklich nur in seltensten Fällen tun. Und wenn man wie oben beschrieben mit 2 Benutzerkonten arbeitet, kommen tatsächlich weniger nötige Klicks.

Der Artikel hier ist übrigens leicht gekürzt, in der Originalfassung, die Du hier auf meiner Homepage findest, steht auch die von mir und Martin angesprochene Sache mit den Softwareentwicklern.

Ein weiser Mann hat mal gesagt: Erfahrung? Erfahrung heißt gar nichts. Man kann eine Sache auch ein Leben lang falsch machen.

In diesem Sinne ist es an uns, im Sinne der Sicherheit etwas umzudenken und ein paar zusätzliche Klicks für ein deutlich sicheres arbeiten in Kauf zu nehmen.
 
muss da Sammy und Martin auch beipflichten, Paulemann
ich arbeite schon seit w2k mit zwei benutzerkonten
ein administrator und ein "normaler benutzer"
auch unter VISTA habe ich da in der täglichen Arbeit keine Probleme
den Administrator nutze ich wirklich nur für Arbeiten am System oder Installationen

jetzt ist natürlich die Frage was man so unter "täglicher Arbeit" versteht
und auch ich muss zugeben ich kenne das Programm "w2d" nicht, aber ich habe einige Software drauf, die sehr speziell für meinen Job ist, und auch nicht für VISTA neu geschrieben wurde
denen habe ich ich einfach die möglichkeit gegeben als "admin" zu arbeiten und gut ist.
Die UAC "pingt" bei mir so gut wie nie an unter meinem "Arbeits-Konto"
 
Warum wird wohl die UAC für Windows 7 grundlegend überarbeitet?
Wenn Ihr diesen Artikel lest, versteht Ihr mich vielleicht, was ich eigentlich meine. Geht nicht immer nur von Euch, also erfahrenen Computer-Anwender aus, sondern denkt auch einmal ein wenig an den unbedarften Anwender, der oftmals da steht wie Max in der Sonne und unterm Strich gar nichts begreift, weil ihm die UAC nichts erläutert.

w2d heißt Web To Date
 
Nun, der Artikel ist hinlänglich bekannt. Trotzdem danke!

Sicherlich ist die UAC noch verbesserungswürdig. Da gebe ich Dir völlig recht.

Das Problem der doppelten Nachfrage allerdings wird bereits mit der Arbeit unter einem Benutzerkonto (statt unter einem Adminkonto) gelöst. Wie bereits in meinem Artikel beschrieben, gibt es dann nur noch eine Nachfrage.

Und für Aufklärung des "unbedarften Anwenders" sorgen so hervorragende Foren und Communitys wie dieses hier. :D -Jedenfalls geben wir uns die allergrößte Mühe.
 
@Paulemann
Ich zitier mal den Chefarzt
Dass es Verbesserungspotenziale gibt, ist unbestritten
und dem stimme ich auch ohne Einschränkungen zu
und ich gehe auch nicht nur von den "erfahrenen Usern" aus
Wenn ich meine "tägliche Arbeit" verrichte ist für mich mein PC genauso ein Arbeitsgerät wie mein Stift und mein Handy
es muss laufen und ich darf nicht aufgehalten werden von irgendwelchen Hinderlichkeiten, die mich erst einmal 10 Minuten an aufwand kosten, weil ich etwas neu einstellen muss.
Daher hatte ich dir ja mein Beispiel oben beschrieben
 
Das der Artikel hinreichend bekannt ist, mag wiederum bei Leuten wahr sein, die sich mit der Materie beschäftigen. Ansonsten zeigt er doch eindeutig auf, das Microsoft bei der UAC in der jetzigen Form einen Bock geschossen hat.

Und für Aufklärung des "unbedarften Anwenders" sorgen so hervorragende Foren und Communitys wie dieses hier. -Jedenfalls geben wir uns die allergrößte Mühe.

Das ist aber nicht Sinn und Zweck der Geschichte. Der User will arbeiten und nur in Not diese Option nutzen.

es muss laufen und ich darf nicht aufgehalten werden von irgendwelchen Hinderlichkeiten, die mich erst einmal 10 Minuten an aufwand kosten, weil ich etwas neu einstellen muss.

Genau...ohne weitere Worte.
 
Genau...ohne weitere Worte.
(y)(y)

aber bitte nur in Zusammenhang mit meinem o.g. Beitrag:D

jetzt ist natürlich die Frage was man so unter "täglicher Arbeit" versteht
und auch ich muss zugeben ich kenne das Programm "w2d" nicht, aber ich habe einige Software drauf, die sehr speziell für meinen Job ist, und auch nicht für VISTA neu geschrieben wurde
denen habe ich ich einfach die möglichkeit gegeben als "admin" zu arbeiten und gut ist.
Die UAC "pingt" bei mir so gut wie nie an unter meinem "Arbeits-Konto"
 
Selbstverständlich!

Abschließend bleibt da nur zu sagen: die UAC hat Windows um Lichtjahre sicherer gemacht, siehe http://www.drwindows.de/mitglieder-stammtisch/6709-warning-tr-agent-akpu.html, ist aber durchaus verbesserungswürdig.

Doch in den Köpfen der User muss ein Umdenken stattfinden, ob sie es wollen oder nicht. Schließlich ändert sich auch die Welt, in der wir uns surfend bewegen ständig. Immer neue Bedrohungen tauchen auf und demzufolge muss auch MS darauf reagieren.

Und wir können uns sicher sein, dass MS das Ganze noch deutlich besser hinbekommt.
 
Das die UAC grundsätzlich zu verteufeln ist, wollte ich auch nicht zum Ausdruck bringen. Es ist aber nicht Sinn und Zweck eine Sicherungs-Option den User zu verunsichern bzw. ihn neue Arbeit auf zu bürden.
Vielleicht sollte Microsoft mal in diesen Artikel reinschauen, der auch ansonsten sehr interessant ist. Eine Whitelist währe auch für die UAC als zusätzliche Option/Merkmal sinnvoll.
 
Auch dieser Artikel ist bekannt, vielen Dank! (Pflichtlektüre)

Guter Ansatz, aber nicht (oder nicht bezahlbar) für Privatanwender umsetzbar.

Ich zitiere mal:

Doch der Ansatz funktioniert nur, wenn eindeutig definiert werden kann, welche Software an welchem Rechner erlaubt ist.

ot:
Außerdem ist diese Diskussion müßig zu führen, weil wir eh abwarten müßen, was Microsoft sich einfallen läßt, um die UAC zu verbessern. Bis dahin müssen wir mit dem Leben, was wir haben und es so gut wie nur möglich einsetzen.
 
Whitelist währe auch für die UAC als zusätzliche Option/Merkmal sinnvoll.
(y)(y)

Grundsätzliche Idee, die ich für sehr gut halte
ob das so ist, wie Sammy eben schrieb, kann ich nicht beurteilen (wenigstens nicht das finanzielle)
aber unterm Strich hat doch der User dann auch wieder mehr arbeit weil er erst einmal seiner UAC alles beibringen muss
ist ähnlich wie mit den Firewalls, was hatten wir schon Beiträge hier, wie "das ewige gepiepse nervt", usw...
unterm Strich ist es die bequemlichkeit der User und der Umgang mit "allem neuen"
schon ein paar Monate her ein kumpel von mir hat einen Läppi, an dem auch seine Frau und seine 10jährige Tochter dran darf.
andauernd hat er probleme mit dem Teil gehabt, ständige BSOD, proggis die net funzen, virenmeldungen (alles unter XP)
andauernd war was und ich hab ihm geholfen es gerade zu biegen
irgendwann ist mir der Kragen geplatzt, habe die daten gesichert das teil neu aufgesetzt
drei benutzer eingerichtet und das admin-kennwort für mich behalten:D
sein erster besuch war seeeeeehr emotional geladen
cussing.gif

dann haben wir uns darauf verabredet, dass er immer am WE zu mir kommt und ich ihm alle administrativen sachen erledige (neuinstallationen, usw.)
was soll ich sagen, mittlerweile kommt er nur noch selten am WE zu mir und wenn, dann um ein bier zu trinken
sein läppi hatte bisher keine Abstürze mehr und läuft wie "die berühmte Katze"
 
Anzeige
Oben