User Account Control - So überlisten Sie den Windows-Schutz Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


28.11.2010 Hermann Apfelböck*

User Account Control - So überlisten Sie den Windows-Schutz

Die Benutzerkontensteuerung von Windows soll größtmögliche Sicherheit gewähren. Doch zügiges Arbeiten ist damit oft nicht möglich. Wir verraten, wie Sie die lästigen Abfragen umgehen.

Die Benutzerkontensteuerung, englisch "User Account Control" (UAC), erscheint vielen Windows-Nutzern als Ärgernis und Gängelei. "Zur Fortsetzung des Vorgangs ist Ihre Zustimmung erforderlich": Seit Windows Vista muss der PC-Benutzer allzu häufig diesen Hinweis extra bestätigen. Für manche XP-Benutzer ist das sogar der Hauptgrund, bei ihrem alten Betriebssystem zu bleiben.

Bei Windows 7 wurden die lästigen Rückfragen zwar reduziert. Trotzdem werden Sie sich wie Millionen weiterer Windows-Nutzer fragen, ob es wirklich nötig und zielführend ist, beim Start eines Verwaltungsprogramms oder ganz gewöhnlicher Anwendungs-Software jedes Mal dieses Warnfenster wegklicken zu müssen. Lesen Sie hier, wie die Benutzerkontensteuerung funktioniert und wie Sie sie zu optimaler Kooperation überreden.

WAS DIE BENUTZERKONTENSTEUERUNG LEISTEN SOLL Alle Nachfolger von Windows NT – also die Betriebssysteme Windows 2000, XP, Vista und 7 – sind Mehrbenutzersysteme. Das bedeutet nicht nur, dass die Benutzerdateien voneinander getrennt und abgesichert sind, sondern vor allem unterschiedliche Rechte für zwei Kontentypen: die uneingeschränkten Administratorkonten und die eingeschränkten Benutzerkonten.

Im Gegensatz zum Administrator sind dem normalen PC-Benutzer die Installation von Software und Treibern ebenso untersagt wie Schreibzugriffe auf Systemordner oder die Registrierungsdatenbank. Viele Wartungsaufgaben wie das Defragmentieren der Festplatte, die Verwaltung von Datenträgern oder Konten scheitern ebenfalls an mangelnden Rechten.

Die eingeschränkten Rechte des normalen Benutzerkontos bieten zuverlässigen Schutz gegen Systemveränderungen: Wo der Benutzer nichts darf, kann er auch nichts kaputtmachen. Und weil der eingeschränkte Windows-Explorer seine limitierten Rechte an alle durch ihn gestarteten Programme weitervererbt, kann auch ein Virus wenig ausrichten. Denn er darf nichts an den Systemdateien von Windows ändern und sich auch nicht als Autostart-Programm eintragen.

Konsequente PC-Arbeit mit eingeschränkten Konten hat sich aber unter Windows nie durchgesetzt. Viele Benutzer kommen vom alten DOS-basierten Windows und kennen und wollen nur die vollen Zugriffsrechte. Windows 2000 und XP gaben ihnen letztlich sogar recht: Wenn Sie mehr als eine Textverarbeitung und den Internet-Browser starten wollen, stoßen Sie hier bei einem eingeschränkten Konto allzu oft an Grenzen.

Dabei ist der fehlende Bedienkomfort im eingeschränkten Konto nur zum geringeren Teil Windows anzulasten. Hauptproblem sind Tausende von Windows-Programmen, die einfach unlimitierte Administratorrechte voraussetzen. Die Windows-Explorer- Option „Ausführen als“ oder das „Runas"-Hilfsprogramm konnten solche Kompatibilitätsprobleme nicht befriedigend kompensieren. Die bei Windows Vista eingeführte Benutzerkontensteuerung hat zwei Aufgaben: Sie soll Administratorkonten sicherer und Benutzerkonten bequemer machen. In einem Administratorkonto ist die wesentliche Zentrale, der Windows-Explorer, auf eingeschränkte Benutzerrechte herabgesetzt. Da sie alle Programme startet, haben auch diese zunächst nur eingeschränkte Benutzerrechte. Deshalb muss ein Programm, das vollen Zugriff braucht, auch im Administratorkonto erst auf volle Rechte angehoben werden. Die Erlaubnis dazu gibt der Benutzer durch Bestätigen der Anfrage der Benutzerkontensteuerung.

Für ein eingeschränkte Konto ist es im Prinzip nicht mehr erforderlich zu wissen, welche Programme oder Dateiaktionen höhere Rechte benötigen und deshalb mit „Ausführen als“ angehoben werden müssen. Vielmehr erkennt dies die Benutzerkontensteuerung und fordert das Kennwort eines Administratorkontos an.

Die Benutzerkontensteuerung nutzt außerdem die Virtualisierung von Ordnern und Registrierungsdatenbank-Schlüsseln, um Programme mit eingeschränkten Benutzerrechten fehlerfrei ausführen zu können: Ein Programm, das nur eine Konfigurationsdatei im Programme-Ordner schreiben will, muss dazu nicht mit Administratorrechten laufen.

Stattdessen wird die Datei in den Profilordner %userprofile%AppDataLocalVir tualStore umgelenkt, Zugriffe auf die Registrierungsdatenbank landen unter Hkey_Current_UserSoftwareClassesVirtualStore. Sobald das Programm mit eingeschränkten Rechten im Programme-Ordner seine dort nicht vorhandenen Daten sucht, fängt die Benutzerkontensteuerung den Zugriffskonflikt ab und reicht die Daten aus dem „Virtual Store“ weiter.

Diese Virtualisierung leistet eine stille Modernisierung von Software, die ohne Not auf globale Ordner wie das Windows- oder Programme-Verzeichnis zugreifen und in den Registrierungsdatenbank-Schlüssel Hkey_Local_Machine schreiben wollen.

Eine aktive Benutzerkontensteuerung sorgt so auch bei Administratorkonten für eingeschränkte Rechte. Das ist die nachhaltigste Sicherheitsmaßnahme, die ein Windows-Nutzer einsetzen kann. Wer die Abfragen der Benutzerkontensteuerung liest und ernst nimmt, hat einen guten Basisschutz vor Viren und Schadprogrammen aller Art.

WO DIE BENUTZERKONTENSTEUERUNG NACHHILFE BRAUCHT Die Benutzerkontensteuerung weiß (fast) nichts über die startende Software. Das Anheben der Rechte erfolgt nicht aufgrund einer speziellen Analyse, sondern aufgrund einer Anforderung des Programms oder des Windows-Nutzers.

Neuere Software kennt das Konzept der Benutzerkontensteuerung und enthält im Programmcode oder als externe Datei im eigenen Ordner ein so genanntes Manifest. In dem tut sie entweder kund, dass sie mit Benutzerrechten auskommt, oder fordert Administratorrechte an. Im zweiten Fall erhalten Sie das Fenster mit der typischen Abfrage der Benutzerkontensteuerung.

Unabhängig vom Manifest können Sie für ein Programm jederzeit Administratorrechte anfordern, indem Sie es mit der rechten Maustaste anklicken und mit der Option „Als Administrator ausführen“ starten. Trotz dieser direkten Anforderung durch den Benutzer erscheint auch hier die Anfrage der Benutzerkontensteuerung.

Probleme gibt es mit allen Programmen, die Administratorrechte benötigen, diese aber mit keinem Manifest anfordern. Das sind meist ältere Programme, die vor 2007 entstanden, also vor der Einführung von Windows Vista. Aber auch jüngere Software berücksichtigt nicht immer die Benutzerkontensteuerung. Solche Programme können ihre Arbeit nicht erledigen. Im besten Fall erhalten Sie eine aussagekräftige Fehlermeldung über fehlende Rechte. Doch meist, besonders lästig etwa bei Treiberinstallationen, scheitern Ihre Aktionen ohne Rückmeldung.

Sobald Sie das Problem fehlender Rechte erkennen, ist die Lösung denkbar einfach: Was das Programm versäumt, müssen Sie einfach selbst erledigen, nämlich die Benutzerkontensteuerung um Rechteanhebung bitten.

Bei Installationen genügt dazu einmalig die Option „Als Administrator ausführen“. Bei alltäglich genutzter Software können Sie die Rechteanhebung dauerhaft in die Registrierungsdatenbank eintragen. Dies erledigen Sie nach einem Rechtsklick auf das Programmsymbol mit Klicks auf die Einträge „Eigenschaften, Kompatibilität, Programm als Administrator ausführen“.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema


Hosted by:    Security Monitoring by: