26.
Vista: Kleine Abhandlung und Tips zum leidigen Thema UAC
Die
meisten Tips der Sternenhimmelstuermerhomepage ergeben sich aus meinem
Userleben und sind daher ein Abbild der anfallenden Herausforderungen -
in diesem Falle Vista und UAC.
Seit dem Zwangsumstieg auf
Vista
hatte der Sternenhimmelstuermer UAC aktiviert. Durch die ständigen
Unterbrechungen in der Arbeit gegängelt, war der erste Schritt das
lästige Einfrieren des Bildschirms zu beenden.
Vorsicht
bei
Nachahmung: Der Secure Desktop soll vor dem sogenannten "spoofing"
schützen - Befolgen des Tips auf eigene Gefahr!
Tip
1: Deaktivierung des Secure Desktop
a) Öffnen Sie
regedit.exe: start, regedit ins Suchfeld eingeben -
regedit.exe mit Doppelklick öffnen
b) Gehen Sie nun im
Verzeichnisbaum auf
der linken Seite durch Anklicken der |> Zeichen oder
Doppelklicken des Schlüssels vor den betreffenden
Schlüsseln folgenden Pfad:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
c) Auf der rechten Seite
sehen Sie nun hinter einem blauen Buchstabensymbol u. a. den Wert:
PromptOnSecureDesktop. Klicken Sie diesen doppelt an und ersetzen den
Wert: 1 durch eine 0. Danach mit OK oder Eingabetaste den Wert
bestätigen und übernehmen.
d) Es ist kein
Neustart notwendig. Wenn Sie nun das nächste mal die cmd oder regedit
öffnen, so wird ihr Desktop nicht mehr einfrieren.
Der
Sternenhimmelstuermer schaut oft Fernsehen mit einem USB-Stift von
Terratec und das Einfrieren des Bildschirms ist da sehr abträglich.
Außerdem kam es zur Beendigung des Programmes beim Aktivieren der CMD
(Eingabeaufforderung) -
Das war nur nervend...
-------------
Das
Konzept des User Count Control (UAC) besteht jedoch leider in der
Hauptsache darin, den User mit unsinnigen Abfragen zu überhäufen, so
dass eine vollkommene Abschaltung von UAC nur eine Frage der Zeit ist.
Ein Blick in die Zukunft: Als Windows 7 Beta ist das Herabschrauben der
Sicherheitsstufe bereits über einen Schieberegler Teil des Konzeptes,
so das die o. a. Maßnahme bereits entfällt. Man kann dann bis zum quasi
Abschalten der UAC herrunterregeln. Das Einfrieren des Desktops , die
lästigen Meldungen abschalten - alles unter Vista schon möglich. Auch
die unsinnige Warnmeldung des Sicherheitscenters und daraus folgend
die Abschaltung des Sicherheitscenters (siehe nächsten Tip) entfällt
dann - war auch notwendig. Doch nun zurück zu Vista!
Tipp
2: Deaktivierung von UAC (tun Sie dieses nur, wenn Sie wissen, was Sie
tun!)
Es
gibt mehrere
Möglichkeiten UAC für einen bestimmten Zeitraum oder ganz zu
deaktivieren.
a)
der einfache Weg: Start - Systemsteuerung - dort im Fenster den Punkt
"Benutzerkontensteuerung ein und ausschalten" anklicken - Nach der
letzten nervtötenden Abfrage, ob man denn wirklich den Vorgang
fortsetzen will (der Selbstschutz ist in diesem Fall wirklich
sinnlos...), muss nur noch ein Häkchen deaktiviert werden - nach einem
Neustart ist dann der Spuk fast vorbei.
Denn
bei meinem Vista SP2 kommt nun bei jedem Neustart der
Sicherheitshinweis, dass UAC ausgeschaltet ist. Eine Möglichkeit
(eigentlich nicht
so empfehlenswert) ist, im Windows Sicherheitscenter unter dem Punkt:
"die Sicherheitsbenachrichtigungsmethode verändern" anzuklicken und die
Benachrichtigung zu deaktivieren....so machte ich das!
b)
Den u. a. Befehl in die Kommandozeile angeben (für Puristen und
sogenannte Profis):
C:\Windows\System32\cmd.exe
/k %windir%\System32\reg.exe ADD
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v
EnableLUA /t REG_DWORD /d 0 /f
danach wie o. a.
Windows Sicherheitscenter deaktivieren
c) Mit dem
Befehl im Ausführenfeld msconfig
start - Hinweis ist
die Ausführenzeile nicht angezeigt, dann einfach msconfig oder
msconfig.exe ins Suchfeld eingeben: msconfig.exe wird darauf angezeigt:
im Prinzip können Sie die Ausführenzeile getrost vergessen; über das
Suchfeld bekommen Sie sämtliche Programme wie cmd, regedit und auch
msconfig angezeigt! - in msconfig auf die Registerkarte Tools gehen und
dort können Sie dann uac aktivieren oder deaktivieren.
Netterweise
stehen die in Punkt c genannten Kommandozeilen bei dem Start des
Befehls und können so kopiert werden - auf diese Weise konnte ich den
o.
a. Befehl mal eben ohne Zeitaufwand rüberkopieren - ich bin eben nicht
genial, kann aber lesen.
d) über regedit durch
Hinzufügen eines Wertes: Warum einfach, wenn es nicht auch kompliziert
geht? Aus dem o. a. Punkt c können Sie herleiten, wie sie durch
Hinzufügen eines Registryschlüssels (add) die UAC abschalten. Ich beöle
mich, wie einige Seiten im Netz das als Tip seperat "verkaufen".
Der
Ursprungsbefehl stammt zu 99 % aller Tippseiten aus der Befehlszeile
von msconfig. Wer hier Expertenwissen vortäuscht, der tut dem
Sternenhimmelstuermer einfach nur leid.
Nachtrag vom
08.09.2009
Der
Sternenhimmelstuermer arbeitet zur Zeit unter W 7. Der folgende Tipp
funktioniert dabei ohne Einschränkungen. Auch der Secure
Mode bleibt beim
Browsen erhalten. Der Tipp wurde unter Vista noch nicht
getestet
- tun Sie es, es ist risikolos und Sie machen Ihre eigenen Erfahrungen.
Die Lösung des Problems liegt im
Registrierungseditor im Pfad:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
im Wert: ConsentPromptBehaviorAdmin.
A. Öffnen Sie den Registrierungseditor (start - ins
Suchfeld
regedit.exe eingeben - UAC-Nachfrage bestätigen und auf der linken
Seite in der Schlüsselhierarchie (Ordnersymbole) bis zum Schlüssel
System durchkämpfen).
B. Doppelklicken des o. a. Wertes
ConsentPromptBehaviorAdmin.
Da steht dann je nach Einstellung von UAC eine Zahl drin, die Sie durch
eine der folgenden Zahlen
ersetzen:
0 - Ist fast so gut wie UAC zu deaktivieren - mit zwei gravierenden
Unterschieden:
a) der secure mode des Browsers funktioniert noch !
Dieser wird auf dem normalen Weg der Schieberegelung abgeschaltet!
b) unter Windows 7 kommt es bei der o. a. ersten
Variante zu einer lästigen Frage bei Start
des internetexplorers 8 nach jedem
Start, ob die letzte Browsersitzung wiederhergestellt werden soll.
Dieser Fehler ist die sichtbare Auswirkung der vollständigen
Deaktivierung von UAC und kann mit dem Eintrag 0 in den Wert ConsentPromptBehaviorAdmin
vermieden werden.
Dieses aber nur, wenn Sie zuvor UAC aktiviert
hatten und nchträglich durch diesen Trick mit der 0
die Einstellung herabsetzen...verstanden?
Sollten Sie auf die konventionelle Art UAC deaktiviert haben, so
müssenSie UAC nochmals aktivieren
und dann wieder mit der Null deaktivieren.
Weitere sichtbare Auswirkungen:
Administratorkonto (vom ersten Benutzer automatisch...)
- keine Nachfragen von UAC mehr, Programme werden "normal" gestartet.
- Für den Administrator entfällt "als Administrator ausführen" in
vielen Fällen
- bei einigen Befehlen wie z. B. netstat -abno muss weiterhin (in
diesem Fall. cmd) "als Admin..." verwendet werden!
- keine Verdunklung des Desktops
weitere Benutzer Standartkonto:
- Verdunklung, Nachfragen entfallen
- aber weiter erhöhte Rechte (als Admin ausführen + Kennwort z. B. bei
Ordnerzugriff auf Adminordner
- Secure Mode aktiv
"unsichtbare Auswirkungen":
UAC steht für User account control und ist grob gesagt ein Schutz vor
der unbemerkten Installation von
unerwünschten Programmen (Malware, Viren oder Trojaner).
Dieser
Schutz ist auf Stufe "0" ausgehebelt. Sie arbeiten weitestgehend mit
den Administrationsrechten -
und hebeln den Schutz aller weiteren Benutzerkontos gleichzeitig aus.
Wenn Sie diese Einstellung benutzen, dann sollten Sie ein gutes
Sicherheitskonzept zur Alternative haben.
Z. B. zeigt der Teatimer von Spyboot Search und
Destroy den
Veränderungsversuch wichtiger Schlüssel an und bietet die Möglichkeit
dieses im vornherein zu verhindern - Das ist quasi UAC-lihgt - mit
weniger
nervigen Abfragen - Spyboot war früher da, insofern ist UAC die
misslungene Kopie-:)
Dann Sandboxie zur Virtualisierung des Browsers -
Übrigens ist dann der Secure Mode wieder auf inaktiv
gesetzt! Kein Verlust - Sandboxie ist Für W 7 32 die bessere
Alternative.
Dann Firewall und Antivirenprogramm.....
---------------------------------
Wo
andere Tipseiten aufhören, fängt auf der Sternenhimmelstuermer der Spaß
erst an - Ach übrigens es gibt noch unten neben wüsten Beschimpfungen
noch `ne Menge Tipps - notfalls ein Kapitel überspringen!
UAC
deaktivieren wird nämlich von einer starken Fraktion verteufelt und von
einer Lobby von "Experten" als die Gefahr Nummer eins angesehen.
Also
weiter im Text:
UAC ist also die
Benutzerkontensteuerung. Also erstmal Back to the Roots: Was ist ein
Benutzerkonto und welchen Zweck dient es?
Aus der
Linuxwelt und später XP-Welt dürfte jedem User nicht entgangen sein,
dass es verschiedene Arten von Benutzerkonten gibt. Ursprünlich galt
das Prinzip: Ein Administrationskonto mit allen Rechten und ein
Useraccount (Standarduser) mit eingeschränkten Rechten.
Viele
User erkannten jedoch schon bald, dass es sich mit einem
Administrationskonto leichter arbeiten lässt. Defintiv gilt auch: mit
einem extra angelegten Benutzerkonto (Gastkonto mit sehr niedrigen
Privilegien, Standartuser mit eingeschränkten Rechten) sind Sie gegen
die Installation von Malware, Adware und Trojanern weitestgehend
geschützt, da die Software sich nur installieren kann, wenn Sie ihr
explizit eine Erlaubnis geben - ob Sie nun uac aktiviert oder
deaktiviert haben, ist da so ziemlich egal!!! Auch mit eingeschalteten
UAC würde also nur noch die Nachfrage kommen, ob Sie den Prozess xy
installieren wollen - wenn sie keine Ahnung haben oder einfach ein
Programm aus dem Internet installieren wollen, so werden sie diese
Abfrage zu 99 % mit ja beantworten.
Der
Sternenhimmelstuermer will hier nicht mit Zahlen protzen, aber die
Hauptverbreitungsquellen von Viren sind das Internet und eben
Programme, die bedenkenlos umsonst aus dem Internt geladen werden (in
die Kategorie fallen auch e-mails und deren Anhänge, die Sie
bedenkenlos öffnen). Auch UAC kann Sie hier nicht beschützen. Die .Exe
vererbt die Berechtigungen an sämtliche Prozesse weiter - hier schützt
Sie uac 0 Prozent - bis auf die dämliche und unnötige Abfrage, ob ich
den Treiber oder die Software wirklich benutzen will am Anfang der
Installation....
Bei keiner Folgeaktion des
Installationsprozesses
ergibt sich eine Staatusänderung - Hingegen wird Sie ein
aktueller Virenscanner oder der Teatimer von Spyboot
Search&Destroy zuverlässig warnen und gegebenenfalls Ihnen die
Möglichkeit geben, die Prozesse zu verhindern bzw. zu löschen. Lieber
einmal eine komplizierte Warnmeldung, die ich dann auch ernst nehme und
ausgoogle, als hundertmal die unsinnige Abfrage, ob ich mein
E-Mail-Programm öffnen darf...
Nun, meinem Konzept
der Benutzung der
getrennten Partitionen (Betriebssystem und Daten gehören auf
verschiedene Partitionen!) folgend, benutze ich eine portable Version
von Thunderbird. Diese produziert regelmäßig beim Öffnen zusätzlich
eine Nachfrage. Das sind 100 % Fehlalarme!
Würde
einer der eben genannten Maßnahmen meines Sicherheitskonzeptes auch nur
einen Bruchteil der unnötigen Warnungen von UAC geben, so wären Sie
schon deinstalliert und würden von sämtlichen PC-Zeitschriften ein
Mangelhaft bekommen. Dann noch `ne Routerfirewall und
die Softwarefirewall. Ich
gehe mit dem vom Sandboxie (Freeware) virtualisierten Internetexplorer
ins Netz, so dass mich keine Gefahren schrecken können. Ich lösche
regelmäßig den Inhalt der Sandbox, so dass sich in meinem System
definitiv aus dem Internet keine Viren einnisten können...
-
Noch Nachfragen nach meinem Sicherheitskonzept?
Weiter
im Text
Ist ihr Administrationskonto unter Vista
überhaupt noch ein Administrationskonto?
Nein,
definitiv nicht. Bei der Installation von Programmen wird ihnen schon
aufgefallen sein, dass sie einige Programme nur ausführen können, wenn
Sie die Option der rechten Maustaste als Administrator ausführen
benutzen müssen...Was soll das? Bin ich nun ein Administrator oder bin
ich es nicht?
Also wird brav das Häkchen gesetzt
und die Software
installiert. Um keine Probleme bei einer Installation zu bekommen (auch
mit durchaus seriöser Kaufsoftware) dieses unseelige Prozedere. Dann
noch in den Kompatibilitätsmodus....Installation war selten so
nervenaufreibend wie unter Vista. Klar, ich bin nicht blöd und weiß,
dass diese Maßnahme auch einen Zweck hat, nämlich Schadsoftware eine
weitere Hürde aufzubauen - dass funktioniert aber unabhängig auch ohne
UAC...
Hm,
möchten Sie mal wieder richtiger Administrator sein, dann können Sie
das zumindest in der Premiumversion (- geht glaube ich auch bei Basic)
mit der cmd. Das Öffnen der Eingabekonsole wie oben beschrieben (geht
nur mit Administratorrechten!) und: net user administrator
/active
eingeben.
Nach der Bestätigung durch die
Eingabetaste wird
dann der Kommandozeilenbefehl: net user administrator
meinPassword
(Damit ist jetzt ihr Password gemeint, dass Sie vergeben wollen...).
Nun können Sie sich nach dem Neustart im Administratorkonto mit vollen
Rechten anmelden.
Jetzt sind wir schon fast in einem
anderen
Bereich angekommen, den wir alle schon unter XP kannten, den Befehl
"runas".
Runas ist der Befehl zum Ausführen
einer Software unter den Rechten eines anderen Kontos. In der CMD
(Kommandozeile, cmd.exe) können Sie sich mit dem Befehl
runas
/?
erstmal einen Überblick über diesen Befehl und
dessen Parameter verschaffen. Sinn des Befehls ist es, wie gesagt sich
Administrationsrechte zu verschaffen oder umgekehrt mit niedrigen
Rechten eine Software auszuführen, um Sicherheit zu produzieren.
Keine
Sorge, Sie brauchen nicht sich durch die Kommandozeile zu quälen. Es
gibt hier zwei lohnenswerte Alternativen:
ShellRunas
von Microsoft: download chip online - die sind
seriös....
Baut
sich in das Eigenschaftenmenü ein.
Dann können Sie auch als "Administrator" eine Anwendung aus einem
eingeschränkten Konto öffnen. Vista bietet hier leider nur die
Möglichkeit aus einem eingeschränkten Benutzerkonto eine Anwendung als
Administrator
auszuführen - nach Eingabe des Administratorkennwortes, umgekehrt ist
es im Microsoft Sicherheitskonzept unter Vista nicht vorgesehen als
Administrator eine Software mit eingeschränkten Rechten
auszuführen...also ein
halber implementierter runas-Befehl. Ein eindeutiger Fehler im
Sicherheitskonzept - ach ja, dafür gibt es ja UAC!
Wer
Verknüpfungen anlegen will und ein wenig mehr Komfort mag bedient sich
des Tools pcwRunAs0.3.
Ist
eine tolle Alternative, um sich dann auch Verknüpfungen oft verwendeter
Anwendungen anzulegen! Weitere Ausführungen
Was
hatte das mit UAC zu tun? Ne Menge! Wer ein wenig von Computern
versteht: Das Sicherheitskonzept von XP ist genausogut wie von Vista...
--------------------
Da
UAC jeden vernünftigen User nervt, gehen auch viele User den
beschwerlichen Weg, einzelnen Anwendungen auf die Dauer mehr Rechte zu
verschaffen. Vom Sicherheitsgedanken natürlich total falsch, da dieses
Viren, die sich als Prozesse dieser Anwendung ausgeben, das
Sicherheitskonzept unterlaufen - der Sternenhimmelstuermer sparte sich
diese Phase, die wohl viele User durchmachen - bevor Sie UAC
deaktivieren:
Das geht in dem sie im Taskplaner
einen Task erstellen.....
Eine
andere Variante um UAC für einzelne Anwendungen zu deaktivieren ist der
Weg über das Microsoft Application compatibility Toolcits. Die beste
deutschsprachige Anleitung des englischsprachigen Tools finden sie hier.
Das
ganze ist mal wieder
schön aufwendig und für den durchschnittlichen Masochisten bestens
geeignet....
Übrigens
funktionierten beide Varianten nicht auf Dauer auf dem PC des
Sternenhimmelstuermers, weder unter Vista Premium, noch unter Windows 7
32 und 64.
-------------------
So,
wenn Sie diesen Artikel gelesen haben, können Sie sich nun selbst ein
Bild von der Notwendigkeit von UAC machen. Der Sternenhimmelstuermer
bezieht in diesem Punkt eindeutig Stellung: Der Performanceverlust und
die nervigen Abfragen sind ein wenig zu viel des Guten.
Wenn
man
einigermaßen das Benutzerkontenkonzept umsetzt steht der
zusätzliche Schutz von UAC zu den Nachteilen in keinem Verhältnis. Nach
der Logik der UAC-Befürworter war XP ohne UAC ein unsicheres System.
Sämtliche große Firmen halten aber an dem unsicheren XP fest, da jeder
Administrator weiß, dass UAC kein Argument für Vista ist. Gerade Firmen
mit sensiblen Daten wären schon längst auf Vista umgestiegen, wenn das
Sicherheitskonzept von Vista mit UAC ultimativ wäre. Da es gerade hier
um Millardenwerte geht, frage ich mal ganz naiv - sind die bescheuert
oder wir zwangsverpflichteten von Vista?
Und Sie?
Bauen Sie Ihr eigenes Konzept: aktiver Virenscanner, Firewall,
arbeiten mit eingeschränkten Benutzerkonto, Windowsdefender, Teatimer
von Spyboot und Destroy und Virtualisierung des Browsers - egal welcher
Marke.....wieviel weiter wollen Sie ihren Sicherheitswahn noch treiben?
Ein Tool mit 99 % Fehlmeldungen gehört abgeschafft oder deaktiviert!
Rückfragen
zu diesem Artikel werden definitiv nicht beantwortet und das Thema UAC
ist für den Sternenhimmelsturmer obsolet! Ich besitze zwar noch
weiteres Backgroundwissen, dass ist für Sie aber über Google leicht
nachvollziehbar. Bilden Sie sich ihre subjektive Meinung. Sollten Sie
sich dann einen Virus einfangen - es gibt Millionen User, die sich auch
mit UAC einen Virus einfangen. Absolute Sicherheit gibt es nicht. Aber
unterschiedliche Konzepte zur Sicherheit mit oder ohne UAC. Alle Tipps
auf eigene Gefahr.