Gerade auf Twitter auf ein Projekt mit dem Namen Defeating Windows User Account Control gestoßen, wo jemand über Wege nachdenkt, die Benutzerkontensteuerung von Windows auszuhebeln. Er hat ein kleines Tool entwickelt, mit dem sich die Windows-Benutzerkontensteuerung durch Missbrauch der integrierten Windows AutoElevate-Backdoor umgehen lässt. Das funktioniert in Windows 7/8/8.1/10/11 (Client, einige Methoden funktionieren jedoch auch auf der Server-Version). Details finden sich auf dieser Github-Seite.
Anzeige
Gibt irgendwo ein Video mit "Mark Russinovich" (Sysinternals Entwickler), wo er schon um 2010 rum sagt das UAC keien Sicherheitsbarriere ist, sondern nur eine Art Warnhinweis. Hier weitere Informationen:
https://www.heise.de/news/Microsoft-relativiert-Vista-Sicherheitsfunktionen-146509.html
https://www.osnews.com/story/21653/microsoft-wont-fix-windows-7s-uac/
UAC die wahr doch von Anfang an kein wirklkicher Schutz sondern diente dazu den User zu nerven… also wenn nen Hacker sich von der UAC aufhalten läßt verdeint er diese Bezeichnung nicht! Aktuelle Malware lächelt da doch auch nur müde.
MS halt gut gedacht, schlecht gemacht.
Da wurde UAC falsch verstanden. "User Account Control" soll die Verwendung der Privilege Token kontrollieren und ggf. eine nötige Privilege Escalation auf einen administrativen Account steuern und kontrollieren.
Und genau das macht es. Ist UAC aktiv (im besten Fall mit dem sicheren Desktop) und ein administrativer privilege Token soll aktiviert werden, bekomme ich es mit, muss es bestätigen (ohne dass es Remote oder per Remote Call umgangen werden kann) und muss u.U. administrative Credentials eingeben.
Ich denke, das ist den meisten Admins klar. Der Punkt ist halt, dass es genügend Wege gibt, genau diese UAC-Abfragen in den Standardeinstellungen zu umgehen.
Ja klar, aber ich glaube da wurde die "Schutz"-Funktion von UAC falsch verstanden oder zu hoch bewertet. Ich glaube UAC sollte eher als Komfortfunktion verstanden werden, welche Schutzfunktionen ergänzt. Mit UAC kann die Privilege Escalation/der Privilege Switch kontrolliert, bzw. "begleitet", werden.
Dennoch hat Microsoft natürlich Nachholbedarf. Das geht sicherlich besser.
Btw.: BeyondTrust Endpoint Privilege Management (EPM) ist eine interessante Lösung. Sicherlich auch kein perfektes Produkt. Spannend daran ist aber, dass die einem normalen Benutzer für spezifische Konfigurationen oder Applikationen ein Token unterschieben können.
Wieso muss eigentlich für alles atens) eine Software eines Drittanbieters her und btens) eine Software her, die so etwas "managed"? Prizipiell sollte ein Betriebssystem alles mitbringen, was notwendig ist, um privilege escalation wirkungsvoll zu verhindern respektive gemäß lokaler Richtlinien zuzulassen.
System Requirements:
"Admin account with UAC set on default settings required."
Also funktioniert die Umgehung nicht, wenn man UAC auf höchste Stufe stellt und oder wenn man nur normale Benutzerrechte hat statt Adminrechte.
Surft ihr alle mit Adminrechten und habt UAC auf Standard oder niedriger?
Hoffentlich nicht, aber das ist leider die Voreinstellung von Windows.
| Surft ihr alle mit Adminrechten und habt UAC auf Standard oder niedriger?
Die meisten Privatnutzer werden das wahrscheinlich tun, denn das erste angelegte Konto ist immer noch in der lokalen Gruppe "Administratoren" und nur per UAC abgesichert. Und ein nicht zu vernachlässigender Anteil wird wohl nicht über die Userverwaltung ein weiteres Konto ohne Adminrechte anlegen, die meisten wissen nicht mal wie/wo/warum man das macht.
Ansonsten hier: Nein. Lokales Adminkonto gibt es und wird ausschließlich für Installationen/Konfigurationen bemüht, gearbeitet wird aber als Standarduser ohne jegliche Adminrechte.
So ist es.
Und die Nutzer, bei denen man das gemacht hat, sind sauer, weil die sich für Adminfunktionen immr ausloggen und mit dem Adminkonto anmelden müssen.
Damit die das nicht müssen, nutzen dann immer das Adminkonto.
Es ist davon auszugehen, das über 90% aller Privatnutzer mit Adminkonto unterwegs sind und i.d.R. auch die Passwortabfrage beim Einloggen abgeschaltet haben.
Das ist immer wieder ein Thema in Foren: "Wie kann ich die lästige Passwortabfrage abschalten".
Auch die Frage, wie man UAC abschalten kann ist immer wieder ein Thema in Foren.
| Und die Nutzer, bei denen man das gemacht hat, sind
| sauer, weil die sich für Adminfunktionen immr
| ausloggen und mit dem Adminkonto anmelden
| müssen.
Nein, das ist nicht unbedingt nötig. Es reicht ein "Als Administrator ausführen" mit Username ". \ " und dem dazu notwendigen Kennwort.
Eine weitere Alternative wäre der temporäre Userwechsel.
Erlauben sollte man das ohnehin nur Usern, die die Notwendigkeit dahinter verstehen! Beim Rest kümmert sich die IT zu 100% um alles; was ziemlich nervig sein kann, wenn eben nicht alle Systeme softwaretechnisch exakt gleich ausgestattet sind sondern je nach Anforderung an die User und Aufgaben hochgradig personalisiert sind.
Ja, ich weiß, es gibt auch Umgebungen/Instituitionen, da ist dieser — ich nenne es mal "Pragmatismus" — nicht möglich bzw. nicht erlaubt. Aber das Fass will ich hier nicht aufmachen. Da kann man ergebnislos im Kreis diskutieren.
Nur soviel: Dieses gesamte Verbarrikadieren und "Verhindern von" fußt auf der Annahme, dass *sämtliche* User außerhalb der IT quasi Vollidioten oder Verbrecher sind. Auf der anderen Seite ist für die User dann eben bei einem Problem/Einbruch/Befall zu 100% die IT der Schuldige, da ja per Vorgabe und Konfiguration der User gar nicht dafür verantwortlich sein *kann*. Mit der Häme, die in so einem Fall auf einen einprasselt, muss man dann aber auch umgehen können.
Nobody is perfect!
;-)
Meine Antwort bezog sich explizit auf Privatbenutzer mit ihren Privat-PC zu Hause.
In meiner Firma hat niemand Adminrechte, auch nicht auf dem eigenen PC.
"Als Administrator ausführen" scheitert, weil
1. der Administrator nicht Administrator heißt
2. das Default-Adminkonto stillgelegt ist (lässt sich nämlich anhand der SID zielsicher identifizieren)
3. die User den Namen des Kontos mit Adminrechten nicht kennen
4. auch dessen Passwort nicht kennen
Bei uns ist das Standard-Adminkonto natürlich auch deaktiviert. Es gibt jeweils getrennte lokale Adminkonten für IT/Besitzer. (Da hatte ich im vorherigen Posting doch tatsächlich Kleiner- und Größerzeichen um den "Usernamen" gesetzt, was zur vollständigen Entsorgung führte. :-)
Ich habe ein paar Jahre versucht, die in meinem privaten Umfeld zu findenden Benutzer entsprechend zu sensibilisieren und dazu zu bringen, während der normalen Nutzung ihrer privaten PC auf administrative Rechte zu verzichten. Ich kann Dich bestätigen: Natürlich siegt die Bequemlichkeit. Immer. Weil jeder Benutzer meint, er sei groß genug, um zu wissen, was er tut. In der Folge stieg dann mein zu versteuerndes Einkommen siginifkant, weil ich mir natürlich die Faulheit des Betroffenen im fehlerfall auch von ihm habe bezahlen lassen, statt das "mal so nebenbei" zu lösen, was er/sie/es verkackt hatte.
In der Firma ist das eine ganz andere Geschichte. Hier braucht tatsächlich niemand administrative Rechte außer den Jungs von der IT, weil die Benutzer eben ihrem Namen gerecht werden und nur benutzen, statt nebenbei auch noch administrieren zu wollen.
Es wäre ja eigentlich die Idee dahinter, dass ein normaler Benutzer zwar Admin-Rechte hat, diese aber in seinem normalen Benutzerkontext nicht zur Anwendung kommen und dann erst via UAC bestätigt werden, sollte ein Programm diese benötigen.
Hier*: nein, was Deine Frage betrifft.
(* sowohl beruflich, als auch privat, sind alle Nutzer von Hardware auch ausschließlich als Nutzer ohne jedes Installations- oder Eskalationsrecht unterwegs)
Moin Moin,
Auf meinen Systemen arbeite Ich nur so.
UAC hoch Anmeldung als Nutzer, bei Systemen wo die Nutzer selbst entscheiden was sie installieren wie zB FamilienUmkreis/Bekannte gibt es das Admin PW bzw ist das gleiche wie das Nutzer Konto.
Und das Admin Konto verstecken und die Sicherheit erhöhen, wie man hier gut lesen kann in dem Beitrag von "DerWoWusste" :-)
https://administrator.de/knowledge/tipp-zur-uac-nutzung-264771.html
Dadurch das KEIN Passwort vergeben wird in dem Beispiel, wird die Sicherheit sogar erhöht ! statt erniedrigt ;-)
Da hat MS was gutes gemacht.
Aber im Gegensatz zur Linux Welt, die sich massiv Windows angenähert haben gegenüber vor 10-20 Jahren,
macht Windows nicht die Möglichkeit das man zwar als sudo Nutzer mit seinem Account alles ( ;-) ) als sudo laufen lassen kann, wenn das Recht entsprechend eingerichtet wurde. Aber man trotzdem kein root ist :-p
Einer der echten großen Fehlentscheidungen meiner Meinung nach.
(Bei Linux wird auch nur mit Wasser gekocht ! Aber vielfach mit mehr Überlegen/Diskutieren entschieden ;-) )
Und der erst erstellte User sollte sowieso entfernt werden.
Im Rahmen von PrintNightmare haben Forscher entdeckt, das das reine "Besuchen" von SystemOrdner mit diesem Benutzer, sich Berechtigungen geändert haben..
"Normale" Admins die händisch erstellt wurden haben die Probleme nicht.
"Aber im Gegensatz zur Linux Welt, die sich massiv Windows angenähert haben gegenüber vor 10-20 Jahren,
macht Windows nicht die Möglichkeit das man zwar als sudo Nutzer mit seinem Account alles ( ;-) ) als sudo laufen lassen kann, wenn das Recht entsprechend eingerichtet wurde. Aber man trotzdem kein root ist :-p"
Doch. Du hast ja gerade selbst beschrieben, wie einfach das ist, genau das Szenario von sudo auf Windows abzubilden. Der Unterschied bei Linux (ich rede hier nicht von irgendeiner Desktop-Variante von irgendeinem Distributor, der so hofft, ein paar Windowsnutzer abgreifen zu können): sudo ist nicht per se installiert, aber wenn ich es installiere, ist das kein workaround, sondern ein Bestandteil des Betriebssystems. Und sudo benötigt (sofern nicht mit visudo an der Standardkonfiguration herum gefummelt wurde) das Kennwort des Benutzers, der den Befehl ausführen will. Was das Ganze in jedem Fall sicherer macht als ein Account mit vollen Rechten, der kein Kennwort hat.
Bedeutet: Du an meinem entsperrten Desktop verbiegst mir nicht in meiner Pinkelpause mein System. Ich Dir an Deinem entsperrten Desktop in Deiner Pinkelpause schon.
So kann man das sehen.
Aber man sollte auch den Desktop bei Abwesenheit sperren.
Mache ich immer, auch bei sehr sehr kurzer Abwesenheit.
Und das geht bei Windows ja extrem fix: Einfach Win+L drücken und schon ist der Desktop gesperrt.