Discussion:
[Win 7] Microsoft Security Essentials vs Avast (+ Threatfire)
(zu alt für eine Antwort)
Judith Baltsar
2010-10-25 15:45:13 UTC
Permalink
Hallo allerseits,
ich habe hier einen neuen PC mit Win7 (64bit). Rein gewohnheitsgemäß
habe ich erstmal Avast und Threatfire installiert wie auf meinem alten
XP Notebook. Erst später habe ich bemerkt, dass Windows mittlerweile
seinen eigenen Virenscanner mitbringt("microsoft security
essentials"). Noch habe ich alle drei Programme laufen (ohne merkbare
Effekte für das System), aber es heist ja normalerweise, dass man
nicht zwei residente Virenscanner kombinieren soll..
Was ist Eure Empfehlung: wer darf bleiben, soll wer runter?

Schönen Dank schon mal für alle Kommentare

Judith
Heiko Schlenker
2010-10-25 17:57:55 UTC
Permalink
Post by Judith Baltsar
Was ist Eure Empfehlung: wer darf bleiben,
MSE
Post by Judith Baltsar
soll wer runter?
Avast + Threatfire

Gruß, Heiko
Judith Baltsar
2010-10-25 18:22:41 UTC
Permalink
Post by Heiko Schlenker
Post by Judith Baltsar
Was ist Eure Empfehlung: wer darf bleiben,
MSE
Post by Judith Baltsar
soll wer runter?
Avast + Threatfire
Gruß, Heiko
Warum?

Gruß
Judith
Helmut Hullen
2010-10-25 18:41:00 UTC
Permalink
Hallo, Judith,
Post by Judith Baltsar
Post by Heiko Schlenker
Post by Judith Baltsar
Was ist Eure Empfehlung: wer darf bleiben,
MSE
Post by Judith Baltsar
soll wer runter?
Avast + Threatfire
Warum?
Lies mal die aktuelle c't (Heft 23/2010, S. 126 - 131) und vielleicht
auch noch c't 05/2010, S. 120 - 127.

Viele Gruesse!
Helmut
Stefan Kanthak
2010-10-25 23:18:50 UTC
Permalink
Post by Judith Baltsar
Post by Heiko Schlenker
Post by Judith Baltsar
Was ist Eure Empfehlung: wer darf bleiben,
MSE
Post by Judith Baltsar
soll wer runter?
Avast + Threatfire
Gruß, Heiko
Warum?
Warum fragst Du? Du wolltest Empfehlungen!

Wirf den ganzen Sicherheitskrimskrams runter, nutze Bordmittel:
- Administrator aktivieren
- UAC ausschalten
- <http://home.arcor.de/skanthak/download/XP_SAFER.INF> installieren

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
Juergen P. Meier
2010-10-26 03:45:43 UTC
Permalink
Post by Stefan Kanthak
- <http://home.arcor.de/skanthak/download/XP_SAFER.INF> installieren
Windows 7/64bit?

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Michael Paul
2010-10-26 13:30:05 UTC
Permalink
Post by Juergen P. Meier
Post by Stefan Kanthak
- <http://home.arcor.de/skanthak/download/XP_SAFER.INF> installieren
Windows 7/64bit?
Ja, geht. Eventuell ist etwas Tuning erforderlich, siehe <news:
4c9d25c0$0$7652$***@newsspool1.arcor-online.net> ff.
Die Version von XP_Safer.inf, um die es in diesem Thread ging, ist
allerdings schon etwas "älter", Stefan hat inzwischen eine
aktualisierte Fassung veröffentlicht.

Michael
Michael Paul
2010-10-26 13:31:03 UTC
Permalink
On 26 Okt., 01:18, "Stefan Kanthak" <dont.delete-this.dont.remove-
Post by Stefan Kanthak
- Administrator aktivieren
(...)

Huch?
Was wird damit bezweckt?

fragend,
Michael
Ansgar -59cobalt- Wiechers
2010-10-26 14:58:44 UTC
Permalink
Post by Michael Paul
On 26 Okt., 01:18, "Stefan Kanthak" <dont.delete-this.dont.remove-
Post by Stefan Kanthak
- Administrator aktivieren
(...)
Huch?
Was wird damit bezweckt?
Man will ein Benutzerkonto haben, mit dem man administrative Aufgaben
durchführen kann. Und man will ein weiteres Benutzerkonto *ohne*
administrative Rechte haben, mit dem man alle anderen Tätigkeiten
durchführt.

cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
Ralph Lehmann
2010-10-26 15:16:20 UTC
Permalink
Post by Ansgar -59cobalt- Wiechers
Post by Michael Paul
On 26 Okt., 01:18, "Stefan Kanthak" <dont.delete-this.dont.remove-
Post by Stefan Kanthak
- Administrator aktivieren
(...)
Huch?
Was wird damit bezweckt?
Man will ein Benutzerkonto haben, mit dem man administrative Aufgaben
durchführen kann.
Hat man doch aber schon. Mit welchem Konto sollte man sonst das
Administrator-Konto aktivieren?

ciao Ralph
Michael Paul
2010-10-27 11:38:27 UTC
Permalink
On 26 Okt., 16:58, Ansgar -59cobalt- Wiechers
Post by Ansgar -59cobalt- Wiechers
Post by Michael Paul
On 26 Okt., 01:18, "Stefan Kanthak" <dont.delete-this.dont.remove-
Post by Stefan Kanthak
- Administrator aktivieren
(...)
Huch?
Was wird damit bezweckt?
Man will ein Benutzerkonto haben, mit dem man administrative Aufgaben
durchführen kann.
Ein solches ist bereits vorhanden, da bei der Erstinstallation
angelegt.
Post by Ansgar -59cobalt- Wiechers
Und man will ein weiteres Benutzerkonto *ohne*
administrative Rechte haben, mit dem man alle anderen Tätigkeiten
durchführt.
Ist ebenfalls vorhanden. Bei meinen Rechnern zumindest.

Hier geht es darum, daß bei neueren Windows-Versionen der Benutzer mit
dem Namen "Administrator" per Voreinstellung deaktiviert ist.

Michael
Ansgar -59cobalt- Wiechers
2010-10-27 17:10:52 UTC
Permalink
Post by Michael Paul
Post by Ansgar -59cobalt- Wiechers
Post by Michael Paul
Post by Stefan Kanthak
- Administrator aktivieren
(...)
Huch?
Was wird damit bezweckt?
Man will ein Benutzerkonto haben, mit dem man administrative Aufgaben
durchführen kann.
Ein solches ist bereits vorhanden, da bei der Erstinstallation
angelegt.
Im Gegensatz zum Konto "Administrator" hat dieses die wenig schöne
Eigenschaft, DoS-bar zu sein (Kontosperrung bei zu häufigen fehlge-
schlagenen Login-Versuchen). Wenn du eh nur einen Administrator auf der
Kiste hast, spricht nichts dagegen, aber einiges dafür, das Konto
"Administrator" zu verwenden.
Post by Michael Paul
Post by Ansgar -59cobalt- Wiechers
Und man will ein weiteres Benutzerkonto *ohne* administrative Rechte
haben, mit dem man alle anderen Tätigkeiten durchführt.
Ist ebenfalls vorhanden. Bei meinen Rechnern zumindest.
Dann bringt dir UAC genau gar keinen Vorteil, sondern ausschließlich
Nachteile.
Post by Michael Paul
Hier geht es darum, daß bei neueren Windows-Versionen der Benutzer mit
dem Namen "Administrator" per Voreinstellung deaktiviert ist.
Was einfach strunzbescheuert ist.

Darüber hinaus ist das Konto AFAIR nicht mal wirklich deaktiviert,
sondern hat lediglich kein Passwort und ist aus diesem Grund im
Normalfall nicht benutzbar.

cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
Michael Paul
2010-10-28 11:10:12 UTC
Permalink
On 27 Okt., 19:10, Ansgar -59cobalt- Wiechers
(Administratorkonto)
Post by Ansgar -59cobalt- Wiechers
Post by Michael Paul
Ein solches ist bereits vorhanden, da bei der Erstinstallation
angelegt.
Im Gegensatz zum Konto "Administrator" hat dieses die wenig schöne
Eigenschaft, DoS-bar zu sein (Kontosperrung bei zu häufigen fehlge-
schlagenen Login-Versuchen).
Kannst Du das bitte etwas näher erläutern?
Vorausgesetzt, die Konten "Administrator" und "selbst angelegter
Admin" haben jeweils ein Passwort, dann sollte das Argument der DoS-
barkeit auch auf den Benutzer "Administrator" anwendbar sein. Ich weiß
jetzt auch nicht, ob eine solche Richtlinie "Account nach x
Fehlversuchen sperren" bei den Home-Versionen von "7" per
Voreinstellung aktiv ist.
Post by Ansgar -59cobalt- Wiechers
Wenn du eh nur einen Administrator auf der
Kiste hast, spricht nichts dagegen, aber einiges dafür, das Konto
"Administrator" zu verwenden.
Bei der Einrichtung eines "7" werde ich ja erstmal gezwungen, einen
zusätzlichen Admin-Account anzulegen.
Post by Ansgar -59cobalt- Wiechers
Post by Michael Paul
Post by Ansgar -59cobalt- Wiechers
Und man will ein weiteres Benutzerkonto *ohne* administrative Rechte
(...)
Post by Ansgar -59cobalt- Wiechers
Post by Michael Paul
Ist ebenfalls vorhanden. Bei meinen Rechnern zumindest.
Dann bringt dir UAC genau gar keinen Vorteil, sondern ausschließlich
Nachteile.
Bisher habe ich das als nicht als nachteilig emfunden, aber vielleicht
habe ich irgendwas noch nicht mitbekommen.
Post by Ansgar -59cobalt- Wiechers
Post by Michael Paul
Hier geht es darum, daß bei neueren Windows-Versionen der Benutzer mit
dem Namen "Administrator" per Voreinstellung deaktiviert ist.
Was einfach strunzbescheuert ist.
War schon bei XP so.
Post by Ansgar -59cobalt- Wiechers
Darüber hinaus ist das Konto AFAIR nicht mal wirklich deaktiviert,
sondern hat lediglich kein Passwort und ist aus diesem Grund im
Normalfall nicht benutzbar.
Am nicht vorhandenen Passwort liegt das nicht. Der Account ist
wirklich deaktiviert, kann aber - ich habe das noch nicht ausprobiert
- möglicherweise wie unter XP im abgesicherten Modus benutzt werden.
Das ist jetzt Spekulation meinerseits.

Gruß,
Michael
Ansgar -59cobalt- Wiechers
2010-10-28 14:41:12 UTC
Permalink
Post by Michael Paul
(Administratorkonto)
Post by Ansgar -59cobalt- Wiechers
Post by Michael Paul
Ein solches ist bereits vorhanden, da bei der Erstinstallation
angelegt.
Im Gegensatz zum Konto "Administrator" hat dieses die wenig schöne
Eigenschaft, DoS-bar zu sein (Kontosperrung bei zu häufigen fehlge-
schlagenen Login-Versuchen).
Kannst Du das bitte etwas näher erläutern?
Vorausgesetzt, die Konten "Administrator" und "selbst angelegter
Admin" haben jeweils ein Passwort, dann sollte das Argument der DoS-
barkeit auch auf den Benutzer "Administrator" anwendbar sein.
Nein. Das Konto "Administrator" wird nie gesperrt, egal was per
Kontosperrungsrichtlinie definiert ist. Das ist eine Besonderheit des
Kontos mit der entsprechenden SID.

[...]
Post by Michael Paul
Post by Ansgar -59cobalt- Wiechers
Wenn du eh nur einen Administrator auf der
Kiste hast, spricht nichts dagegen, aber einiges dafür, das Konto
"Administrator" zu verwenden.
Bei der Einrichtung eines "7" werde ich ja erstmal gezwungen, einen
zusätzlichen Admin-Account anzulegen.
Weiß ich. Ändert aber nichts.
Post by Michael Paul
Post by Ansgar -59cobalt- Wiechers
Post by Michael Paul
Post by Ansgar -59cobalt- Wiechers
Und man will ein weiteres Benutzerkonto *ohne* administrative Rechte
(...)
Post by Ansgar -59cobalt- Wiechers
Post by Michael Paul
Ist ebenfalls vorhanden. Bei meinen Rechnern zumindest.
Dann bringt dir UAC genau gar keinen Vorteil, sondern ausschließlich
Nachteile.
Bisher habe ich das als nicht als nachteilig emfunden, aber vielleicht
habe ich irgendwas noch nicht mitbekommen.
Mag sein, dass du die ständig aufpoppenden Bestätigungsdialoge, sowie
die Einschränkung des Zugriffs auf %SystemRoot% und %ProgramFiles% nicht
als nachteilig empfindest. Ich sehe das allerdings als schwerwiegenden
Nachteil für einen Systemadministrator.

Entweder ich habe irgendwo Zugriff, dann will ich zugreifen können, ohne
dass da jedesmal irgendwas aufpoppt. Oder ich habe keinen Zugriff, dann
sollen Zugriffsversuche fehlschlagen, möglichst ohne dass da jedesmal
irgendwas aufpoppt. Insbesondere bei der Systemadministration erwarte
ich, dass ich nicht ständig gefragt werde, ob ich jetzt tatsächlich die
administrative Aufgabe durchführen will, die ich gerade gestartet habe.
Post by Michael Paul
Post by Ansgar -59cobalt- Wiechers
Post by Michael Paul
Hier geht es darum, daß bei neueren Windows-Versionen der Benutzer mit
dem Namen "Administrator" per Voreinstellung deaktiviert ist.
Was einfach strunzbescheuert ist.
War schon bei XP so.
Ja, das war schon bei XP strunzbescheuert.
Post by Michael Paul
Post by Ansgar -59cobalt- Wiechers
Darüber hinaus ist das Konto AFAIR nicht mal wirklich deaktiviert,
sondern hat lediglich kein Passwort und ist aus diesem Grund im
Normalfall nicht benutzbar.
Am nicht vorhandenen Passwort liegt das nicht. Der Account ist
wirklich deaktiviert,
Hab's gerade verifiziert: du hast Recht.
Post by Michael Paul
kann aber - ich habe das noch nicht ausprobiert - möglicherweise wie
unter XP im abgesicherten Modus benutzt werden.
Nein.

cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
Michael Paul
2010-10-28 20:39:09 UTC
Permalink
Hi,
Post by Ansgar -59cobalt- Wiechers
Post by Michael Paul
(Administratorkonto)
Post by Ansgar -59cobalt- Wiechers
Post by Michael Paul
Ein solches ist bereits vorhanden, da bei der Erstinstallation
angelegt.
Im Gegensatz zum Konto "Administrator" hat dieses die wenig schöne
Eigenschaft, DoS-bar zu sein (Kontosperrung bei zu häufigen fehlge-
schlagenen Login-Versuchen).
Kannst Du das bitte etwas näher erläutern?
Vorausgesetzt, die Konten "Administrator" und "selbst angelegter
Admin" haben jeweils ein Passwort, dann sollte das Argument der DoS-
barkeit auch auf den Benutzer "Administrator" anwendbar sein.
Nein. Das Konto "Administrator" wird nie gesperrt, egal was per
Kontosperrungsrichtlinie definiert ist. Das ist eine Besonderheit des
Kontos mit der entsprechenden SID.
Danke für die Erläuterung.

[...]
Post by Ansgar -59cobalt- Wiechers
Post by Michael Paul
Post by Ansgar -59cobalt- Wiechers
Dann bringt dir UAC genau gar keinen Vorteil, sondern
ausschließlich Nachteile.
Bisher habe ich das als nicht als nachteilig emfunden, aber
vielleicht habe ich irgendwas noch nicht mitbekommen.
Mag sein, dass du die ständig aufpoppenden Bestätigungsdialoge, sowie
die Einschränkung des Zugriffs auf %SystemRoot% und %ProgramFiles%
nicht als nachteilig empfindest. Ich sehe das allerdings als
schwerwiegenden Nachteil für einen Systemadministrator.
YMMV. Nervig stimmt, als Einschränkung habe ich das bislang noch nicht
empfunden, zumal ich nicht häufig in den von Dir genannten
Verzeichnissen Änderungen vornehmen muß.
Post by Ansgar -59cobalt- Wiechers
(...)Insbesondere bei der
Systemadministration erwarte ich, dass ich nicht ständig gefragt
werde, ob ich jetzt tatsächlich die administrative Aufgabe
durchführen will, die ich gerade gestartet habe.
Okay. Argument verstanden. :)

(...)
Post by Ansgar -59cobalt- Wiechers
Post by Michael Paul
kann aber - ich habe das noch nicht ausprobiert - möglicherweise wie
unter XP im abgesicherten Modus benutzt werden.
Nein.
Hast recht. Dann frage ich mich allerdings, was der Blödsinn mit dem
deaktivierten Administrator soll.

Gruß,
Michael
Thomas Wallutis
2010-11-01 10:04:15 UTC
Permalink
Hi,
Post by Ansgar -59cobalt- Wiechers
(...)Insbesondere bei der
Systemadministration erwarte ich, dass ich nicht ständig gefragt
werde, ob ich jetzt tatsächlich die administrative Aufgabe
durchführen will, die ich gerade gestartet habe.
du ahst aber (bei eingeschaltetem UAC) erst in dem Moment administrative
Rechte, in dem du den Dialog bestätigst.

Ansosnten hat der Administrator dieselben Möglichkeiten und
Einschränkungen wie jeder andere User.

AFAIK funktioniert File- und Registry-Virtualisierung auch nur bei
eingeschaltetem UAC.

Bis denn

Thomas
Thomas Wallutis
2010-11-01 10:06:11 UTC
Permalink
Hi,
Post by Michael Paul
Hast recht. Dann frage ich mich allerdings, was der Blödsinn mit dem
deaktivierten Administrator soll.
Vermutung: du kannst dich nicht interaktiv anmelden, sondern nur in
einer laufenden Sitzung diese Rechte bekommen.

Es gibt also kein Administrator-Konto bei dem du das Passwort durch
Ausprobieren herausbekommst.

Bis denn

Thomas
Hans-Peter Matthess
2010-11-07 00:24:13 UTC
Permalink
Post by Ansgar -59cobalt- Wiechers
Mag sein, dass du die ständig aufpoppenden Bestätigungsdialoge, sowie
die Einschränkung des Zugriffs auf %SystemRoot% und %ProgramFiles% nicht
als nachteilig empfindest. Ich sehe das allerdings als schwerwiegenden
Nachteil für einen Systemadministrator.
Was solche Dialoge bekommt, ist nicht wirklich Administrator, denn er
kann sein System nicht vernünftig konfigurieren. Ich bekomme weder in
Vista noch in Win 7 unerwünschte Dialoge und habe mit UAC auch keine
Einschränkung im Zugriff auf die obigen Pfade.

hpm
Juergen Ilse
2010-11-07 18:06:47 UTC
Permalink
Hallo,
Post by Hans-Peter Matthess
Post by Ansgar -59cobalt- Wiechers
Mag sein, dass du die ständig aufpoppenden Bestätigungsdialoge, sowie
die Einschränkung des Zugriffs auf %SystemRoot% und %ProgramFiles% nicht
als nachteilig empfindest. Ich sehe das allerdings als schwerwiegenden
Nachteil für einen Systemadministrator.
Was solche Dialoge bekommt, ist nicht wirklich Administrator, denn er
kann sein System nicht vernünftig konfigurieren. Ich bekomme weder in
Vista noch in Win 7 unerwünschte Dialoge und habe mit UAC auch keine
Einschränkung im Zugriff auf die obigen Pfade.
Es kommt durchaus vor, dass solche Dialoge auftauchen und sie mich nerven,
waehrend ich noch dabei bin das System einzurichten (bei Windows 7 weniger
oft als bei Vista: anscheinend hat M$ da irgendwo nachgebessert).

Der wuenschenswerte Fall fuer einen User der weiss was er tut waere aller-
dings trotzdem ein anderer: Wenn dieser User administrative Aufgaben aus-
fuehrt, sollte er zu einem Account mit Administratorrechten wechseln und
alltaegliches Arbeiten sollte nur mit "einfachen Benutzerrechten" statt-
finden. Die Gruppe "Hauptbenutzer" ist auf einem solchen System i.d.R.
voellig ueberfluessig, und ein Benutzer sollte beim Zugriff auf Kompo-
nenten des Systems, die fuer normale Benutzer nicht zugreifbar sein sol-
len einfach ein "Zugriff verweigert" oder dergleichen bekommen statt der
UAC-Abfrage. Aus diesem Grunde habe ich bei Vista UAC immer abgeschaltet,
bei Windows 7 bin ich noch am auswerten, ob UAC nicht vielleicht doch
sinnvoll sein kann (Windows 7 kennen ich erst seit sehr kurzer Zeit aus
eigener Erfahrung).

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)
--
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...
Stefan Kanthak
2010-11-07 18:23:48 UTC
Permalink
"Juergen Ilse" <***@usenet-verwaltung.de> schrieb:

[ UAC ]
Post by Juergen Ilse
Es kommt durchaus vor, dass solche Dialoge auftauchen und sie mich nerven,
waehrend ich noch dabei bin das System einzurichten (bei Windows 7 weniger
oft als bei Vista: anscheinend hat M$ da irgendwo nachgebessert).
Nur marginal, dafuer aber mit GROSSEM Pferdefuss: es gibt ca. 70 mit dem
System installierte Anwendungen, bei denen die Erhoehung der Priviligien
OHNE Nachfrage erfolgt.
Post by Juergen Ilse
Der wuenschenswerte Fall fuer einen User der weiss was er tut waere aller-
dings trotzdem ein anderer: Wenn dieser User administrative Aufgaben aus-
fuehrt, sollte er zu einem Account mit Administratorrechten wechseln und
alltaegliches Arbeiten sollte nur mit "einfachen Benutzerrechten" statt-
finden. Die Gruppe "Hauptbenutzer" ist auf einem solchen System i.d.R.
voellig ueberfluessig, und ein Benutzer sollte beim Zugriff auf Kompo-
nenten des Systems, die fuer normale Benutzer nicht zugreifbar sein sol-
len einfach ein "Zugriff verweigert" oder dergleichen bekommen statt der
UAC-Abfrage. Aus diesem Grunde habe ich bei Vista UAC immer abgeschaltet,
bei Windows 7 bin ich noch am auswerten, ob UAC nicht vielleicht doch
sinnvoll sein kann (Windows 7 kennen ich erst seit sehr kurzer Zeit aus
eigener Erfahrung).
"Hauptbenutzer" gibt's (zum Glueck) nicht mehr.
Den vorhandenden "Administrator" aktivieren und UAC komplett abschalten
ist in der Tat die sinnvollste Loesung.

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
Hans-Peter Matthess
2010-11-07 21:52:41 UTC
Permalink
Post by Juergen Ilse
Wer solche Dialoge bekommt, ist nicht wirklich Administrator, denn er
kann sein System nicht vernünftig konfigurieren. Ich bekomme weder in
Vista noch in Win 7 unerwünschte Dialoge und habe mit UAC auch keine
Einschränkung im Zugriff auf die obigen Pfade.
Es kommt durchaus vor, dass solche Dialoge auftauchen und sie mich nerven,
waehrend ich noch dabei bin das System einzurichten
die Einrichtungsphase ist ja ein realtiv kurzer, überschaubarer Zustand.
Es geht doch um die spätere komfortable Nutzbarkeit.
Post by Juergen Ilse
(bei Windows 7 weniger
oft als bei Vista: anscheinend hat M$ da irgendwo nachgebessert).
Ja, auf Kosten der Sicherheit, indem etliche Module/Vorgänge in Win 7
einer automatischen Erhöhung unterzogen werden. Man kann UAC aber auf
Vista-Standard setzen, dann ist das vorbei.
Post by Juergen Ilse
Der wuenschenswerte Fall fuer einen User der weiss was er tut waere aller-
dings trotzdem ein anderer: Wenn dieser User administrative Aufgaben aus-
fuehrt, sollte er zu einem Account mit Administratorrechten wechseln und
alltaegliches Arbeiten sollte nur mit "einfachen Benutzerrechten" statt-
finden. Die Gruppe "Hauptbenutzer" ist auf einem solchen System i.d.R.
voellig ueberfluessig, und ein Benutzer sollte beim Zugriff auf Kompo-
nenten des Systems, die fuer normale Benutzer nicht zugreifbar sein sol-
len einfach ein "Zugriff verweigert" oder dergleichen bekommen statt der
UAC-Abfrage.
Der wünschenswerte Fall scheiterte aber wohl leider an der Realität,
weil er einen wünschenswerten Usertyp voraussetzt, den es nicht gibt.
Insofern halt nun UAC. Aber nichts ist endgültig, UAC ist im
übernächsten Windows evtl. schon Geschichte.

hpm
Juergen Ilse
2010-11-07 22:35:28 UTC
Permalink
Post by Hans-Peter Matthess
Post by Juergen Ilse
Der wuenschenswerte Fall fuer einen User der weiss was er tut waere aller-
dings trotzdem ein anderer: Wenn dieser User administrative Aufgaben aus-
fuehrt, sollte er zu einem Account mit Administratorrechten wechseln und
alltaegliches Arbeiten sollte nur mit "einfachen Benutzerrechten" statt-
finden. Die Gruppe "Hauptbenutzer" ist auf einem solchen System i.d.R.
voellig ueberfluessig, und ein Benutzer sollte beim Zugriff auf Kompo-
nenten des Systems, die fuer normale Benutzer nicht zugreifbar sein sol-
len einfach ein "Zugriff verweigert" oder dergleichen bekommen statt der
UAC-Abfrage.
Der wünschenswerte Fall scheiterte aber wohl leider an der Realität,
Keineswegs: Es gibt viele User, die sich genau das wuenschen wuerden.
Post by Hans-Peter Matthess
weil er einen wünschenswerten Usertyp voraussetzt, den es nicht gibt.
Diese User gibt es durchaus, und ich weiss, dass ich nicht das einzige
Exemplar bin ...

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)
--
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...
Ansgar -59cobalt- Wiechers
2010-11-07 20:19:34 UTC
Permalink
Post by Hans-Peter Matthess
Post by Ansgar -59cobalt- Wiechers
Mag sein, dass du die ständig aufpoppenden Bestätigungsdialoge, sowie
die Einschränkung des Zugriffs auf %SystemRoot% und %ProgramFiles%
nicht als nachteilig empfindest. Ich sehe das allerdings als
schwerwiegenden Nachteil für einen Systemadministrator.
Was solche Dialoge bekommt, ist nicht wirklich Administrator, denn er
kann sein System nicht vernünftig konfigurieren.
Ach?! Für den Fall, dass es dir noch nicht aufgefallen sein sollte:
genau das ist das Ziel von UAC.
Post by Hans-Peter Matthess
Ich bekomme weder in Vista noch in Win 7 unerwünschte Dialoge und habe
mit UAC auch keine Einschränkung im Zugriff auf die obigen Pfade.
Da sehe ich drei Möglichkeiten:

a) Du verwendest den Account "Administrator".
b) Du hast UAC abgeschaltet.
c) Du verwendest irgendwas anderes als Win 7 Enterprise.

cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
Hans-Peter Matthess
2010-11-07 21:52:41 UTC
Permalink
Post by Ansgar -59cobalt- Wiechers
Post by Ansgar -59cobalt- Wiechers
Mag sein, dass du die ständig aufpoppenden Bestätigungsdialoge, sowie
die Einschränkung des Zugriffs auf %SystemRoot% und %ProgramFiles%
nicht als nachteilig empfindest. Ich sehe das allerdings als
schwerwiegenden Nachteil für einen Systemadministrator.
Wer solche Dialoge bekommt, ist nicht wirklich Administrator, denn er
kann sein System nicht vernünftig konfigurieren.
genau das ist das Ziel von UAC.
Die Aufgabe von UAC ist es, alle Aktionen, die erhöhte Rechte erfordern,
zu blockieren bzw. zustimmungspflichtig zu machen. Die Aufgabe des
Admins ist es, dies in vernünftige Bahnen zu lenken, so dass letztlich
nur noch erwünschte Meldungen erscheinen, keine unerwünschten, störenden
mehr.
Post by Ansgar -59cobalt- Wiechers
Ich bekomme weder in Vista noch in Win 7 unerwünschte Dialoge und habe
mit UAC auch keine Einschränkung im Zugriff auf die obigen Pfade.
a) Du verwendest den Account "Administrator".
b) Du hast UAC abgeschaltet.
c) Du verwendest irgendwas anderes als Win 7 Enterprise.
Alles voll daneben. ;-)
Beispiel: Zum Start von Regedit will ich nicht immer einen albernen
UAC-Prompt abnicken müssen, also stecke ich ein Icon ins Startmenü oder
in die Taskleiste, das mir Regedit ohne Nachfrage mit erhöhten Rechten
startet. Anderes Beispiel: ich habe administrative Arbeiten an Orten
vor, an denen ich erhöhte Rechte brauche. Also bin ich nicht so dämlich,
dafür einfach ein Explorerfenster zu starten, womit ich dann garantiert
unzählige, nervende Prompts abnicken muss. Ich starte also einfach den
Explorer/alternativen Dateimanager** gleich *automatisch ohne Nachfrage*
mit erhöhten Rechten und erledige damit problemlos und ungestört die
Arbeiten.
Fazit: ich habe niemals störende UAC-Meldungen, nur noch sinnvolle
verbleiben.

**Unter Win 7 ist der Explorer nur nach einer Registry-Änderung mit
erhöhten Rechten startbar. Wer das nicht machen will, kann einfach einen
anderen Dateimanager verwenden.

hpm
Ansgar -59cobalt- Wiechers
2010-11-07 22:22:41 UTC
Permalink
Post by Hans-Peter Matthess
Post by Ansgar -59cobalt- Wiechers
Post by Ansgar -59cobalt- Wiechers
Mag sein, dass du die ständig aufpoppenden Bestätigungsdialoge, sowie
die Einschränkung des Zugriffs auf %SystemRoot% und %ProgramFiles%
nicht als nachteilig empfindest. Ich sehe das allerdings als
schwerwiegenden Nachteil für einen Systemadministrator.
Wer solche Dialoge bekommt, ist nicht wirklich Administrator, denn er
kann sein System nicht vernünftig konfigurieren.
genau das ist das Ziel von UAC.
Die Aufgabe von UAC ist es, alle Aktionen, die erhöhte Rechte erfordern,
zu blockieren bzw. zustimmungspflichtig zu machen.
Äh... ja? Wolltest du mir jetzt zustimmen, oder was?
Post by Hans-Peter Matthess
Die Aufgabe des Admins ist es, dies in vernünftige Bahnen zu lenken,
so dass letztlich nur noch erwünschte Meldungen erscheinen, keine
unerwünschten, störenden mehr.
Okay, lass es mich anders formulieren, da es aus meinen bisherigen
Postings offenbar nicht klar genug hervor gegangen ist:

Für administrative Benutzer sind genau GAR KEINE Meldungen erwünscht.
Post by Hans-Peter Matthess
Post by Ansgar -59cobalt- Wiechers
Ich bekomme weder in Vista noch in Win 7 unerwünschte Dialoge und habe
mit UAC auch keine Einschränkung im Zugriff auf die obigen Pfade.
a) Du verwendest den Account "Administrator".
b) Du hast UAC abgeschaltet.
c) Du verwendest irgendwas anderes als Win 7 Enterprise.
Alles voll daneben. ;-)
Beispiel: Zum Start von Regedit will ich nicht immer einen albernen
UAC-Prompt abnicken müssen, also stecke ich ein Icon ins Startmenü oder
in die Taskleiste, das mir Regedit ohne Nachfrage mit erhöhten Rechten
startet. Anderes Beispiel: ich habe administrative Arbeiten an Orten
vor, an denen ich erhöhte Rechte brauche. Also bin ich nicht so dämlich,
dafür einfach ein Explorerfenster zu starten, womit ich dann garantiert
unzählige, nervende Prompts abnicken muss. Ich starte also einfach den
Explorer/alternativen Dateimanager** gleich *automatisch ohne Nachfrage*
mit erhöhten Rechten und erledige damit problemlos und ungestört die
Arbeiten.
Aha. Und ich deaktiviere UAC genau einmal, und bin danach dieses ganze
Kasperletheater ein für allemal los.
Post by Hans-Peter Matthess
Fazit: ich habe niemals störende UAC-Meldungen, nur noch sinnvolle
verbleiben.
Die Anzahl nicht-störender, sinnvoller UAC-Meldungen für Administratoren
beträgt exakt Null.

cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
Hans-Peter Matthess
2010-11-07 23:12:29 UTC
Permalink
Post by Ansgar -59cobalt- Wiechers
Post by Hans-Peter Matthess
Die Aufgabe des Admins ist es, dies in vernünftige Bahnen zu lenken,
so dass letztlich nur noch erwünschte Meldungen erscheinen, keine
unerwünschten, störenden mehr.
Okay, lass es mich anders formulieren, da es aus meinen bisherigen
Für administrative Benutzer sind genau GAR KEINE Meldungen erwünscht.
Wir sollten aber vom Ist-Zustand ausgehen: Es gibt keine rein
administrativen Benutzer mehr und User arbeitet mit UAC.
Außerdem funktioniert Windows in Standardkonten ohne UAC in einigen
Punkten fehlerhaft. Weiterhin kann UAC in Win 8 vielleicht gar nicht
mehr abgeschaltet werden?
Post by Ansgar -59cobalt- Wiechers
Post by Hans-Peter Matthess
Beispiel: Zum Start von Regedit will ich nicht immer einen albernen
UAC-Prompt abnicken müssen, also stecke ich ein Icon ins Startmenü oder
in die Taskleiste, das mir Regedit ohne Nachfrage mit erhöhten Rechten
startet. Anderes Beispiel: ich habe administrative Arbeiten an Orten
vor, an denen ich erhöhte Rechte brauche. Also bin ich nicht so dämlich,
dafür einfach ein Explorerfenster zu starten, womit ich dann garantiert
unzählige, nervende Prompts abnicken muss. Ich starte also einfach den
Explorer/alternativen Dateimanager** gleich *automatisch ohne Nachfrage*
mit erhöhten Rechten und erledige damit problemlos und ungestört die
Arbeiten.
Aha. Und ich deaktiviere UAC genau einmal, und bin danach dieses ganze
Kasperletheater ein für allemal los.
Andere würden dann meckern: Jetzt muss ich wegen dieser Lappalie extra
ins Adminkonto wechseln, welch ein Kasperletheater. Das Gros arbeitet
dann gleich wieder wie in der Virenschleuder XP immer im Adminkonto...

hpm
Michael Paul
2010-11-08 11:39:10 UTC
Permalink
Hi,
Post by Hans-Peter Matthess
[UAC]
Außerdem funktioniert Windows in Standardkonten ohne UAC in einigen
Punkten fehlerhaft. (...)
Das interessiert mich jetzt aber. Kannst Du das etwas näher erläutern?

Michael
Hans-Peter Matthess
2010-11-08 14:13:51 UTC
Permalink
Post by Michael Paul
Post by Hans-Peter Matthess
Außerdem funktioniert Windows in Standardkonten ohne UAC in einigen
Punkten fehlerhaft. (...)
Das interessiert mich jetzt aber. Kannst Du das etwas näher erläutern?
Man sollte sich halt zu allem, was man liest, sofort Links anlegen. Ich
hab in den MS-Mickimaus-Supportforen in letzter Zeit dazu einige
Seltsamkeiten gelesen. Auf Anhieb fällt mir jetzt nur der Eintrag im
Kontextmenü ein: "Als Admin ausführen". Wenn UAC aus ist, tut Windows
ohne Fehlermeldung so, als würde es diesbezüglich immer noch
funktionieren.
Es gab aber noch weitere Fehler/Seltsamkeiten, die nach Reaktivierung
von UAC weg waren.

hpm
Ansgar -59cobalt- Wiechers
2010-11-08 19:31:25 UTC
Permalink
Post by Hans-Peter Matthess
Post by Ansgar -59cobalt- Wiechers
Post by Hans-Peter Matthess
Die Aufgabe des Admins ist es, dies in vernünftige Bahnen zu lenken,
so dass letztlich nur noch erwünschte Meldungen erscheinen, keine
unerwünschten, störenden mehr.
Okay, lass es mich anders formulieren, da es aus meinen bisherigen
Für administrative Benutzer sind genau GAR KEINE Meldungen erwünscht.
Wir sollten aber vom Ist-Zustand ausgehen: Es gibt keine rein
administrativen Benutzer mehr und User arbeitet mit UAC.
Der Ist-Zustand ist: es gibt eine funktionierende LUA-Umgebung. Alle
Benutzer haben Accounts mit eingeschränkten Rechten. Diejenigen, die
administrative Aufgaben wahrnehmen müssen, haben zusätzlich ein Konto
mit administrativen Rechten.

Und die Anzahl erwünschter Meldungen beträgt immer noch EXAKT NULL.
Post by Hans-Peter Matthess
Außerdem funktioniert Windows in Standardkonten ohne UAC in einigen
Punkten fehlerhaft. Weiterhin kann UAC in Win 8 vielleicht gar nicht
mehr abgeschaltet werden?
Das wäre für mich ein endgültiges No-Go. Wer sich derart gängeln lassen
will: bitte sehr. Mit mir nicht.
Post by Hans-Peter Matthess
Post by Ansgar -59cobalt- Wiechers
Post by Hans-Peter Matthess
Beispiel: Zum Start von Regedit will ich nicht immer einen albernen
UAC-Prompt abnicken müssen, also stecke ich ein Icon ins Startmenü
oder in die Taskleiste, das mir Regedit ohne Nachfrage mit erhöhten
Rechten startet. Anderes Beispiel: ich habe administrative Arbeiten
an Orten vor, an denen ich erhöhte Rechte brauche. Also bin ich
nicht so dämlich, dafür einfach ein Explorerfenster zu starten,
womit ich dann garantiert unzählige, nervende Prompts abnicken muss.
Ich starte also einfach den Explorer/alternativen Dateimanager**
gleich *automatisch ohne Nachfrage* mit erhöhten Rechten und
erledige damit problemlos und ungestört die Arbeiten.
Aha. Und ich deaktiviere UAC genau einmal, und bin danach dieses
ganze Kasperletheater ein für allemal los.
Andere würden dann meckern: Jetzt muss ich wegen dieser Lappalie extra
ins Adminkonto wechseln, welch ein Kasperletheater.
Andere haben offensichtlich keine Ahnung, wie man sinnvoll System-
sicherheit erreicht. LUA funktioniert hier seit 10 Jahren ohne
nennenswerte Probleme. "Ausführen als" existiert.
Post by Hans-Peter Matthess
Das Gros arbeitet dann gleich wieder wie in der Virenschleuder XP
immer im Adminkonto...
Genau diese Leute haben auch zukünftig Adminkonten und immer noch keinen
Plan von Windows oder Systemsicherheit, und werden daher sämtliche
Bestätigungsdialoge mit Lichtgeschwindigkeit wegklicken.

cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
Helmut Hullen
2010-11-08 07:06:00 UTC
Permalink
Hallo, Hans-Peter,
Post by Hans-Peter Matthess
Fazit: ich habe niemals störende UAC-Meldungen, nur noch sinnvolle
verbleiben.
Klar - weil Du "störend" sowie "sinnvoll" selbst definierst. Und zwar
so, dass sie Deine Theorie bestätigen.

Viele Gruesse!
Helmut
Hans-Peter Matthess
2010-11-08 14:13:51 UTC
Permalink
Post by Helmut Hullen
Post by Hans-Peter Matthess
Fazit: ich habe niemals störende UAC-Meldungen, nur noch sinnvolle
verbleiben.
Klar - weil Du "störend" sowie "sinnvoll" selbst definierst. Und zwar
so, dass sie Deine Theorie bestätigen.
Das ist einfach zu definieren: Beim Start von Regedit weiß ich z.B.,
dass eine Meldung kommen MUSS, folglich ist eine ständige Wiederholung
sinnlos und störend. Das empfindet jeder so. Wenn allerdings z.B. beim
Browsen im Internet aus heiterem Himmel ein UAC-Prompt erschiene, fiele
das unter "sinnvolle Warnung". Auch das sollte nachvollziehbar sein.

hpm
Helmut Hullen
2010-11-08 14:22:00 UTC
Permalink
Hallo, Hans-Peter,
Post by Hans-Peter Matthess
Post by Helmut Hullen
Post by Hans-Peter Matthess
Fazit: ich habe niemals störende UAC-Meldungen, nur noch sinnvolle
verbleiben.
Klar - weil Du "störend" sowie "sinnvoll" selbst definierst. Und
zwar so, dass sie Deine Theorie bestätigen.
Das ist einfach zu definieren: Beim Start von Regedit weiß ich z.B.,
dass eine Meldung kommen MUSS, folglich ist eine ständige
Wiederholung sinnlos und störend. Das empfindet jeder so.
Aha - "jeder". Schön, dass Du weisst, was "jeder" zu empfinden hat.

Du postulierst mal wieder Deine sehr eigenwillige Sicht der Dinge als
(vermeintlich) allgemeine Anschauung.

Viele Gruesse!
Helmut
Juergen Ilse
2010-11-08 14:39:31 UTC
Permalink
Hallo,
Post by Hans-Peter Matthess
Post by Helmut Hullen
Post by Hans-Peter Matthess
Fazit: ich habe niemals störende UAC-Meldungen, nur noch sinnvolle
verbleiben.
Klar - weil Du "störend" sowie "sinnvoll" selbst definierst. Und zwar
so, dass sie Deine Theorie bestätigen.
Das ist einfach zu definieren: Beim Start von Regedit weiß ich z.B.,
dass eine Meldung kommen MUSS, folglich ist eine ständige Wiederholung
sinnlos und störend. Das empfindet jeder so. Wenn allerdings z.B. beim
Browsen im Internet aus heiterem Himmel ein UAC-Prompt erschiene, fiele
das unter "sinnvolle Warnung". Auch das sollte nachvollziehbar sein.
Newin, das fiele nicht unter "sinnvolle Warnung", denn es waere sinnvoller,
kein UAC-Prompt auszugeben, sondern die Aktion wegen fehlender Rechte ganz
einfach nicht auszufuehren (und ggfs., wenn denn der Anwender unbedingt
darueber informiert werden moechte) eine Fehlermeldung bzgl. der fehlenden
Rechte auszugeben.

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)
--
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...
Hans-Peter Matthess
2010-11-08 15:03:59 UTC
Permalink
Post by Juergen Ilse
Post by Hans-Peter Matthess
Das ist einfach zu definieren: Beim Start von Regedit weiß ich z.B.,
dass eine Meldung kommen MUSS, folglich ist eine ständige Wiederholung
sinnlos und störend. Das empfindet jeder so. Wenn allerdings z.B. beim
Browsen im Internet aus heiterem Himmel ein UAC-Prompt erschiene, fiele
das unter "sinnvolle Warnung". Auch das sollte nachvollziehbar sein.
Newin, das fiele nicht unter "sinnvolle Warnung", denn es waere sinnvoller,
kein UAC-Prompt auszugeben, sondern die Aktion wegen fehlender Rechte ganz
einfach nicht auszufuehren
Was durch die Blockade ja erst mal geschieht.
Post by Juergen Ilse
(und ggfs., wenn denn der Anwender unbedingt
darueber informiert werden moechte) eine Fehlermeldung bzgl. der fehlenden
Rechte auszugeben.
Auch das geschieht ja. Im einen Falle kann der Anwender das Problem
direkt lösen, im anderen Falle muss er das Konto wechseln und die Aktion
halt wiederholen, wenn sie erwünscht war.

hpm
Stefan Kanthak
2010-10-26 23:10:51 UTC
Permalink
Post by Michael Paul
On 26 Okt., 01:18, "Stefan Kanthak" <dont.delete-this.dont.remove-
Post by Stefan Kanthak
- Administrator aktivieren
(...)
Huch?
Was wird damit bezweckt?
Die Voraussetzung fuer den naechsten Schritt schaffen.

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
Michael Paul
2010-10-27 11:40:32 UTC
Permalink
On 27 Okt., 01:10, "Stefan Kanthak" <dont.delete-this.dont.remove-
Post by Stefan Kanthak
Post by Michael Paul
On 26 Okt., 01:18, "Stefan Kanthak" <dont.delete-this.dont.remove-
Post by Stefan Kanthak
- Administrator aktivieren
(...)
Huch?
Was wird damit bezweckt?
Die Voraussetzung fuer den naechsten Schritt schaffen.
Ich verstehe das immer noch nicht.
Oder ist UAC nur noch vom Benutzer "Administrator" abschaltbar?

Michael
Stefan Kanthak
2010-10-27 15:55:30 UTC
Permalink
Post by Michael Paul
On 27 Okt., 01:10, "Stefan Kanthak" <dont.delete-this.dont.remove-
Post by Stefan Kanthak
Post by Michael Paul
On 26 Okt., 01:18, "Stefan Kanthak" <dont.delete-this.dont.remove-
Post by Stefan Kanthak
- Administrator aktivieren
(...)
Huch?
Was wird damit bezweckt?
Die Voraussetzung fuer den naechsten Schritt schaffen.
Ich verstehe das immer noch nicht.
Oder ist UAC nur noch vom Benutzer "Administrator" abschaltbar?
Nach dem Abschalten der UAC sind die bisher als "eingeschraenkte
Benutzer" angelegten Konten ebensolche. Ohne Aktivierung des nach
wie vor vorhandenen "Administrator"-Kontos sperrst Du Dich mit
Abschalten der UAC aus. Und letzteres macht man, weil UAC BOESE ist:
stille Erhoehung der Benutzerrechte ist Unfug!

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
Ansgar -59cobalt- Wiechers
2010-10-27 17:17:51 UTC
Permalink
Post by Stefan Kanthak
Post by Michael Paul
Oder ist UAC nur noch vom Benutzer "Administrator" abschaltbar?
Nach dem Abschalten der UAC sind die bisher als "eingeschraenkte
Benutzer" angelegten Konten ebensolche. Ohne Aktivierung des nach
wie vor vorhandenen "Administrator"-Kontos sperrst Du Dich mit
Abschalten der UAC aus.
IIRC ist das zwangsweise bei der Installation angelegte Benutzerkonto
automatisch Mitglied der Gruppe "Administratoren", daran sollte auch die
Abschaltung von UAC nichts ändern.
Post by Stefan Kanthak
Und letzteres macht man, weil UAC BOESE ist: stille Erhoehung der
Benutzerrechte ist Unfug!
Sie ist ja nicht still. Das ist Teil des Problems.

cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
Michael Paul
2010-10-28 10:18:02 UTC
Permalink
On 27 Okt., 17:55, "Stefan Kanthak" <dont.delete-this.dont.remove-
(...)
Post by Stefan Kanthak
Post by Michael Paul
Oder ist UAC nur noch vom Benutzer "Administrator" abschaltbar?
Nach dem Abschalten der UAC sind die bisher als "eingeschraenkte
Benutzer" angelegten Konten ebensolche.
Soweit verstanden und wohl auch Ziel der Übung.
Post by Stefan Kanthak
Ohne Aktivierung des nach
wie vor vorhandenen "Administrator"-Kontos sperrst Du Dich mit
Abschalten der UAC aus.
Auch dann, wenn es ein Konto (<> "Administrator") gibt, das zur Gruppe
der Administratoren gehört?
Zumindest unter "7" ist es ja so, daß der erste im Rahmen der
Installation angelegte Benutzer per Voreinstellung Mitglied der
Administratorengruppe ist.

Michael
Stefan Kanthak
2010-10-28 18:22:00 UTC
Permalink
Post by Michael Paul
On 27 Okt., 17:55, "Stefan Kanthak" <dont.delete-this.dont.remove-
Post by Stefan Kanthak
Post by Michael Paul
Oder ist UAC nur noch vom Benutzer "Administrator" abschaltbar?
Nach dem Abschalten der UAC sind die bisher als "eingeschraenkte
Benutzer" angelegten Konten ebensolche.
Soweit verstanden und wohl auch Ziel der Übung.
Post by Stefan Kanthak
Ohne Aktivierung des nach
wie vor vorhandenen "Administrator"-Kontos sperrst Du Dich mit
Abschalten der UAC aus.
Auch dann, wenn es ein Konto (<> "Administrator") gibt, das zur Gruppe
der Administratoren gehört?
Nein. Mein Fehler (die schizophrenen Konten von Wixxa und den Sieben
Todsuenden sind einfach bescheuert).
Post by Michael Paul
Zumindest unter "7" ist es ja so, daß der erste im Rahmen der
Installation angelegte Benutzer per Voreinstellung Mitglied der
Administratorengruppe ist.
Ja, leider. In <news:ia53go$ilb$02$***@news.t-online.com> fehlt also noch:
Alle Benutzerkonten <> "Administrator" aus der Gruppe "Administratoren"
entfernen und zu den "Standardbenutzern" hinzufuegen.

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
Ansgar -59cobalt- Wiechers
2010-10-28 21:49:07 UTC
Permalink
Post by Michael Paul
Zumindest unter "7" ist es ja so, daß der erste im Rahmen der
Installation angelegte Benutzer per Voreinstellung Mitglied der
Administratorengruppe ist.
noch: Alle Benutzerkonten <> "Administrator" aus der Gruppe
"Administratoren" entfernen und zu den "Standardbenutzern"
hinzufuegen.
Nein, das will man definitiv *nicht* machen. Seit XP sind per Default
die Benutzer selbst und nicht mehr die Gruppe "Administratoren" Besitzer
der von ihnen erstellten Objekte. Selbst wenn man diese Benutzer
nachträglich aus der Gruppe "Administratoren" herausnimmt, behalten sie
als Besitzer Vollzugriff auf die von ihnen erstellten Objekte bzw.
zumindest die Möglichkeit, Zugriffsrechte auf diese Objekte vergeben zu
können.

Darum: alle zusätzlichen Administratorkonten löschen, und (soweit
benötigt) als einfache Benutzerkonten neu anlegen. Sinnvollerweise macht
man das über die Computerverwaltung, weil neue Benutzer dann per Default
nur Mitglied der Gruppe "Benutzer" sind. Ausserdem kann man nur da die
Gruppenmitgliedschaften vernünftig konfigurieren.

cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
Stefan Kanthak
2010-10-29 17:13:03 UTC
Permalink
Post by Ansgar -59cobalt- Wiechers
Post by Michael Paul
Zumindest unter "7" ist es ja so, daß der erste im Rahmen der
Installation angelegte Benutzer per Voreinstellung Mitglied der
Administratorengruppe ist.
noch: Alle Benutzerkonten <> "Administrator" aus der Gruppe
"Administratoren" entfernen und zu den "Standardbenutzern"
hinzufuegen.
Nein, das will man definitiv *nicht* machen. Seit XP sind per Default
die Benutzer selbst und nicht mehr die Gruppe "Administratoren" Besitzer
der von ihnen erstellten Objekte. Selbst wenn man diese Benutzer
nachträglich aus der Gruppe "Administratoren" herausnimmt, behalten sie
als Besitzer Vollzugriff auf die von ihnen erstellten Objekte bzw.
zumindest die Möglichkeit, Zugriffsrechte auf diese Objekte vergeben zu
können.
Das galt so fuer XP (und war dort, wie auch in frueheren Versionen, per
Registry umschaltbar), AFAIK aber nicht mehr in Wixxa und Sieben!

JFTR: dieses Problem ist mir wohlbewusst, ich weise regelmaessig darauf
hin, dass nach Herabstufung von Benutzerkonten unter XP die ACLs sowohl im
Dateisystem als auch der Registry beispielsweise per SubInACL.Exe geaendert
werden muessen.
Post by Ansgar -59cobalt- Wiechers
Darum: alle zusätzlichen Administratorkonten löschen,
Wenn Du Dir den Verlust aller Einstellungen etc. leisten kannst/willst: ja.
Ansonstens waere SubInACL.Exe der nicht-destruktive Weg.
Post by Ansgar -59cobalt- Wiechers
und (soweit
benötigt) als einfache Benutzerkonten neu anlegen. Sinnvollerweise macht
man das über die Computerverwaltung, weil neue Benutzer dann per Default
nur Mitglied der Gruppe "Benutzer" sind. Ausserdem kann man nur da die
Gruppenmitgliedschaften vernünftig konfigurieren.
Korrekt.

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
Ansgar -59cobalt- Wiechers
2010-10-29 22:40:50 UTC
Permalink
Post by Stefan Kanthak
Post by Ansgar -59cobalt- Wiechers
Post by Michael Paul
Zumindest unter "7" ist es ja so, daß der erste im Rahmen der
Installation angelegte Benutzer per Voreinstellung Mitglied der
Administratorengruppe ist.
noch: Alle Benutzerkonten <> "Administrator" aus der Gruppe
"Administratoren" entfernen und zu den "Standardbenutzern"
hinzufuegen.
Nein, das will man definitiv *nicht* machen. Seit XP sind per Default
die Benutzer selbst und nicht mehr die Gruppe "Administratoren"
Besitzer der von ihnen erstellten Objekte. Selbst wenn man diese
Benutzer nachträglich aus der Gruppe "Administratoren" herausnimmt,
behalten sie als Besitzer Vollzugriff auf die von ihnen erstellten
Objekte bzw. zumindest die Möglichkeit, Zugriffsrechte auf diese
Objekte vergeben zu können.
Das galt so fuer XP (und war dort, wie auch in frueheren Versionen,
per Registry umschaltbar),
Man muss dazu nicht in der Registry rumfummeln, sondern kann das bequem
über gpedit.msc bzw. secpol.msc konfigurieren (IIRC unter "Lokale
Richtlinien\Sicherheitsoptionen").
Post by Stefan Kanthak
AFAIK aber nicht mehr in Wixxa und Sieben!
Ich habe (sofern ich das nicht falsch erinnere) auf einer Win7-
Testinstallation beobachtet, dass bei einem Mitglied der Gruppe
"Administratoren" neu angelegt Objekte als Owner den Benutzer hatten.
Zumindest bei aktiviertem UAC. Ich habe allerdings gerade kein Windows 7
zur Hand, daher kann ich's nicht verifizieren.

cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
Hans-Peter Matthess
2010-11-07 00:33:19 UTC
Permalink
Post by Ansgar -59cobalt- Wiechers
Seit XP sind per Default
die Benutzer selbst und nicht mehr die Gruppe "Administratoren" Besitzer
der von ihnen erstellten Objekte.
Benutzer in der Gruppe Administratoren sind aber keine Administratoren
und warum sollten sie keine Rechte auf selbst erstellte Objekte haben?
Auch Standardkonten haben Rechte auf selbst erstellte Objekte.
Wenn Admins allerdings Objekte unter erhöhten Rechten erstellen, haben
diese Objekte den Besitzer "Adminstratoren".

hpm
Ralph Lehmann
2010-11-07 08:35:55 UTC
Permalink
Post by Hans-Peter Matthess
Post by Ansgar -59cobalt- Wiechers
Seit XP sind per Default
die Benutzer selbst und nicht mehr die Gruppe "Administratoren" Besitzer
der von ihnen erstellten Objekte.
Benutzer in der Gruppe Administratoren sind aber keine Administratoren
Wie meinen?
Hans-Peter Matthess
2010-11-07 10:03:21 UTC
Permalink
Post by Ralph Lehmann
Post by Hans-Peter Matthess
Benutzer in der Gruppe Administratoren sind aber keine Administratoren
Wie meinen?
Seit Vista haben Adminkonten per Default nur eingeschränkte Userrechte.
Wenn du mit einem Adminkonto X ein Objekt speicherst, hat es den
Besitzer X. Speichert X das Objekt mit erhöhten Rechten z.B. nach
%programfiles%, ist der Besitzer nicht mehr X, sondern die Gruppe
Administratoren. X ist also nie Besitzer des von ihm erstellten
Objektes, unabhängig davon, ob X ein Adminkonto bleibt oder nachträglich
zum Standardkonto gemacht wurde.

hpm
Ansgar -59cobalt- Wiechers
2010-11-07 20:24:13 UTC
Permalink
Post by Hans-Peter Matthess
Seit XP sind per Default die Benutzer selbst und nicht mehr die
Gruppe "Administratoren" Besitzer der von ihnen erstellten Objekte.
Benutzer in der Gruppe Administratoren sind aber keine Administratoren
und warum sollten sie keine Rechte auf selbst erstellte Objekte haben?
m(

cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
Hans-Peter Matthess
2010-11-07 21:57:09 UTC
Permalink
m(
-v

hpm
Stefan Kanthak
2010-11-07 23:02:14 UTC
Permalink
m(
-v
"Das Elend schau ich mir nicht an!"
Schlag Dir einfach mit der Hand vor den Kopf.

Stefan
Hans-Peter Matthess
2010-11-08 14:13:51 UTC
Permalink
Post by Stefan Kanthak
m(
-v
"Das Elend schau ich mir nicht an!"
Schlag Dir einfach mit der Hand vor den Kopf.
Ein Elend wäre eher sowas:

| Ich habe (sofern ich das nicht falsch erinnere) auf einer Win7-
| Testinstallation beobachtet, dass bei einem Mitglied der Gruppe
| "Administratoren" neu angelegt Objekte als Owner den Benutzer hatten.
| Zumindest bei aktiviertem UAC. Ich habe allerdings gerade kein Windows 7
| zur Hand, daher kann ich's nicht verifizieren.

Ich hab's in Message-ID: <ib5th9$1um$03$***@news.t-online.com>
deshalb genauer beschrieben.

hpm
Ansgar -59cobalt- Wiechers
2010-11-08 19:38:26 UTC
Permalink
Post by Hans-Peter Matthess
| Ich habe (sofern ich das nicht falsch erinnere) auf einer Win7-
| Testinstallation beobachtet, dass bei einem Mitglied der Gruppe
| "Administratoren" neu angelegt Objekte als Owner den Benutzer hatten.
| Zumindest bei aktiviertem UAC. Ich habe allerdings gerade kein Windows 7
| zur Hand, daher kann ich's nicht verifizieren.
deshalb genauer beschrieben.
Okay, Schlubi Schlumpf, nochmal für dich zum mitmerken: dass Mitglieder
der Gruppe "Administratoren" (hint: dass die Gruppe so heißt, hat einen
Grund) nur noch ein bisschen sowas ähnliches wie Administratoren sind,
ist Teil des Problems. Nicht die Lösung.

cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
Hans-Peter Matthess
2010-11-09 12:10:17 UTC
Permalink
Post by Ansgar -59cobalt- Wiechers
Post by Hans-Peter Matthess
deshalb genauer beschrieben.
Äffchen. ;-)
Post by Ansgar -59cobalt- Wiechers
dass Mitglieder
der Gruppe "Administratoren" (hint: dass die Gruppe so heißt, hat einen
Grund) nur noch ein bisschen sowas ähnliches wie Administratoren sind,
ist Teil des Problems. Nicht die Lösung.
Was immer man machen wird, eine "Lösung" kann es eh nie geben.
Wie gesagt, UAC ist vielleicht im übernächsten Windows schon wieder
Geschichte, man wird sich dann allerdings mit anderen Problemen
konfrontiert sehen.

hpm
Ansgar -59cobalt- Wiechers
2010-11-09 14:56:08 UTC
Permalink
Post by Hans-Peter Matthess
dass Mitglieder der Gruppe "Administratoren" (hint: dass die Gruppe
so heißt, hat einen Grund) nur noch ein bisschen sowas ähnliches wie
Administratoren sind, ist Teil des Problems. Nicht die Lösung.
Was immer man machen wird, eine "Lösung" kann es eh nie geben.
Die Lösung existiert, heißt LUA, und funktioniert erwiesenermaßen. BTDT,
seit über 10 Jahren.

cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
Hans-Peter Matthess
2010-11-10 15:11:26 UTC
Permalink
Post by Ansgar -59cobalt- Wiechers
Post by Hans-Peter Matthess
Was immer man machen wird, eine "Lösung" kann es eh nie geben.
Die Lösung existiert, heißt LUA, und funktioniert erwiesenermaßen. BTDT,
seit über 10 Jahren.
Dummerweise funktionieren Lösungen nicht für sich allein. Es kommen die
User hinzu, die sie anwenden sollen. Ob eine Lösung also funktioniert,
zeigt sich dann in der Malware-Bilanz - und die sieht düster aus.
Deshalb kam mit Vista das - O-Ton MS - "sicherste Windows aller Zeiten"
und eines hat sich immerhin gezeigt: die Anzahl der Patches hat sich im
Vergleich mit XP drastisch reduziert. Auch die Idee, den DAUs endlich
ihre verdammten Adminkonten aus der Hand zu schlagen, ist so schlecht
nicht und nein, ONU klickt nicht blind bei jedem UAC-Prompt auf
"zulassen".

hpm
Ansgar -59cobalt- Wiechers
2010-11-10 18:41:04 UTC
Permalink
Post by Hans-Peter Matthess
Post by Ansgar -59cobalt- Wiechers
Post by Hans-Peter Matthess
Was immer man machen wird, eine "Lösung" kann es eh nie geben.
Die Lösung existiert, heißt LUA, und funktioniert erwiesenermaßen.
BTDT, seit über 10 Jahren.
Dummerweise funktionieren Lösungen nicht für sich allein. Es kommen
die User hinzu, die sie anwenden sollen. Ob eine Lösung also
funktioniert, zeigt sich dann in der Malware-Bilanz - und die sieht
düster aus.
Damit eine Lösung funktionieren kann, muss man sie anwenden. Mach deine
Malware-Bilanz mal über die Umgebungen, wo die Lösung angewendet wird.

Leider verzichtet Microsoft seit über 10 Jahren darauf, Benutzern die
Anwendung dieser Lösung nahezulegen. Man erinnere sich an grenzdebile
Maßnahmen wie den Zwang, bei der Installation von XP ein zusätzliches
Benutzerkonto anlegen zu müssen, das dann aber doch wieder Adminrechte
hat.

[...]
Post by Hans-Peter Matthess
Auch die Idee, den DAUs endlich ihre verdammten Adminkonten aus der
Hand zu schlagen, ist so schlecht nicht
Die Idee nicht. Die aktuelle Umsetzung hingegen schon.
Post by Hans-Peter Matthess
und nein, ONU klickt nicht blind bei jedem UAC-Prompt auf "zulassen".
Vielleicht jetzt noch nicht. Das Spielzeug ist ja noch neu und
aufregend. Warte ein halbes Jahr, dann sehen wir weiter.

cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
Juergen Ilse
2010-11-10 19:11:07 UTC
Permalink
Hallo,
Post by Hans-Peter Matthess
und nein, ONU klickt nicht blind bei jedem UAC-Prompt auf "zulassen".
Wenn er nur oft genug von solchen Prompts genervt wurde, geht der Klick
auf "zulassen" fast schon automatisch ... Das erinnert an die unix-Nutzer,
die es fuer eine tolle Idee halten, "alias rm="rm i" zu setzen und sich
ob der vielen Nachfragen dann angewoehnen, "\rm" zu tippen, um die nervige
Nachfrage zu umgehen ... Nein, das ist in dieser Kombination keine gute
Idee, weil man sich auf die "Sicherheitsleine beim loeschen von Dateien"
verlaesst, die man mittels der Angewohnheit "\rm" mittlerweile selbst
wieder gekappt hat ...

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)
--
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...
Stefan Kanthak
2010-11-10 19:41:46 UTC
Permalink
Post by Hans-Peter Matthess
Post by Ansgar -59cobalt- Wiechers
Post by Hans-Peter Matthess
Was immer man machen wird, eine "Lösung" kann es eh nie geben.
Die Lösung existiert, heißt LUA, und funktioniert erwiesenermaßen. BTDT,
seit über 10 Jahren.
Dummerweise funktionieren Lösungen nicht für sich allein. Es kommen die
User hinzu, die sie anwenden sollen. Ob eine Lösung also funktioniert,
zeigt sich dann in der Malware-Bilanz - und die sieht düster aus.
Deshalb kam mit Vista das - O-Ton MS - "sicherste Windows aller Zeiten"
und eines hat sich immerhin gezeigt: die Anzahl der Patches hat sich im
Vergleich mit XP drastisch reduziert.
In welchem Universum?
eNTe 6.x hatte an den letzten Patchtagen teilweise MEHR Patches als XP!
Und es hat dieselben URALTEN Macken: noch immer werden wohlbekannte
*.DLL (inkl. *.AX, *.OCX, *.ACM) und *.EXE nur ueber ihren Dateinamen
referenziert, obwohl ihre Pfadnamen konstant sind.
Post by Hans-Peter Matthess
Auch die Idee, den DAUs endlich
ihre verdammten Adminkonten aus der Hand zu schlagen,
Wie bitte?
$DAU hat auch unter Sieben noch immer ein Adminkonto, nur wird ihm von
Bill G^HBo und seinen Kumpanen noch 'ne Narrenkappe aufgesetzt!
Post by Hans-Peter Matthess
ist so schlecht
nicht und nein, ONU klickt nicht blind bei jedem UAC-Prompt auf
"zulassen".
Wirklich? Wenn der typische DAU in seiner "Arbeit" durch eine Meldung
gehindert wird, dann klickt er sie UNBESEHEN weg.

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
Hans-Peter Matthess
2010-11-11 18:55:50 UTC
Permalink
Post by Stefan Kanthak
Post by Hans-Peter Matthess
Dummerweise funktionieren Lösungen nicht für sich allein. Es kommen die
User hinzu, die sie anwenden sollen. Ob eine Lösung also funktioniert,
zeigt sich dann in der Malware-Bilanz - und die sieht düster aus.
Deshalb kam mit Vista das - O-Ton MS - "sicherste Windows aller Zeiten"
und eines hat sich immerhin gezeigt: die Anzahl der Patches hat sich im
Vergleich mit XP drastisch reduziert.
In welchem Universum?
OK, bei dir ist die Frage natürlich berechtigt, da du als Gott in
unzähligen Universen gleichzeitig agierst, insofern isses wirklich nicht
leicht, ein Gott zu sein. <g>
Post by Stefan Kanthak
eNTe 6.x hatte an den letzten Patchtagen teilweise MEHR Patches als XP!
Und es hat dieselben URALTEN Macken: noch immer werden wohlbekannte
*.DLL (inkl. *.AX, *.OCX, *.ACM) und *.EXE nur ueber ihren Dateinamen
referenziert, obwohl ihre Pfadnamen konstant sind.
Wixxa ist halt das erste nach dem neuen Security Development Lifecycle
entwickelte OS und ich hatte mal ne Statisk im Vergleich zu XP gelesen,
in der es um die Anzahl der Sicherheitsupdates im gleichen Zeitraum
ging. Da hatte Vista ca. nur die Hälfte von XP. Leider find ich den URL
nicht mehr.
Post by Stefan Kanthak
Post by Hans-Peter Matthess
Auch die Idee, den DAUs endlich
ihre verdammten Adminkonten aus der Hand zu schlagen,
Wie bitte?
$DAU hat auch unter Sieben noch immer ein Adminkonto, nur wird ihm von
Bill G^HBo und seinen Kumpanen noch 'ne Narrenkappe aufgesetzt!
Das richtige Adminkonto ist halt deaktiviert und das mit der Narrenkappe
funktioniert doch wie geplant. Leider hat man bisher versäumt, die
Möglichkeit, UAC zu deaktivieren, abzuschaffen. Aber man könnte ja
vielleicht zumindest bei den kommenden Home-Versionen mal damit
anfangen. <duck>

hpm
Stefan Kanthak
2010-11-12 07:37:18 UTC
Permalink
[ das - O-Ton MS - "sicherste Windows aller Zeiten" ]
Post by Hans-Peter Matthess
Post by Stefan Kanthak
eNTe 6.x hatte an den letzten Patchtagen teilweise MEHR Patches als XP!
Wixxa ist halt das erste nach dem neuen Security Development Lifecycle
entwickelte OS und ich hatte mal ne Statisk im Vergleich zu XP gelesen,
in der es um die Anzahl der Sicherheitsupdates im gleichen Zeitraum
ging. Da hatte Vista ca. nur die Hälfte von XP. Leider find ich den URL
nicht mehr.
Statistiken aendern sich mit der Zeit.
Sieh Dir die MSRC Bulletins der letzten Monate an: eNTe 6.x steht NICHT
(mehr) besser da als eNTe 5.x!
Post by Hans-Peter Matthess
Post by Stefan Kanthak
$DAU hat auch unter Sieben noch immer ein Adminkonto, nur wird ihm von
Bill G^HBo und seinen Kumpanen noch 'ne Narrenkappe aufgesetzt!
Das richtige Adminkonto ist halt deaktiviert
Der Hardcore-DAU alias "Power User" aktiviert das doch eh (leider oft
genug auch bei Nachbarn, Bekannten und Verwandten, denen er "hilft").
"Anleitungen" fuer Skript-Kinder gips genuegend.
Post by Hans-Peter Matthess
und das mit der Narrenkappe funktioniert doch wie geplant.
JA, genauso gut wie ein wirksamer Schutz durch Virenscanner^WPersonal
Firewalls und deren Fragen:

"Anwendung 'X:\unbekannt\asdf.exe' moechte eine Verbindung von TCP-Port
x zur Adresse ip.ad.re.ss, Port y aufbauen. [ Zulassen ] [ Ablehnen ]

Der gemeine DAU klickt doch ganz selbstverstaendlich auf "Zulassen",
wenn ihn ein solcher (UAC-) Prompt in der Arbeit behindert!
Oder er stellt deren Schieberegler gleich auf "Nie nachfragen".
Eine sinnvolle Entscheidung kann er mangels Hintergrundwissen doch in
den seltensten Faellen treffen, und wenn er "Ablehnen" sagt, dann
funktioniert irgendetwas nicht. Also sagt er "Zulassen". Was soll auch
gross passieren, er verwendet doch das sicherste Windows aller Zeiten!?

Fuer die EINZIG sinnvolle Loesung hat Microsoft nicht genug Arsch in
der Hose, und das seit 17 Jahren.

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
Hans-Peter Matthess
2010-11-12 22:20:09 UTC
Permalink
Post by Stefan Kanthak
Fuer die EINZIG sinnvolle Loesung hat Microsoft nicht genug Arsch in
der Hose, und das seit 17 Jahren.
Du meinst diese hier?

"It is easy to run a secure computer system. You merely have to
disconnect all dial-up connections and permit only direct-wired
terminals, put the machine and ist terminals in a shielded room, and
post a guard at the door."
(F.T. Grampp und R.H. Morris, zitiert in Cheswick/Bellovin: "Firewalls
and Internet Security" ;-)

hpm
Ansgar -59cobalt- Wiechers
2010-11-13 17:32:31 UTC
Permalink
Post by Hans-Peter Matthess
Post by Stefan Kanthak
Fuer die EINZIG sinnvolle Loesung hat Microsoft nicht genug Arsch in
der Hose, und das seit 17 Jahren.
Du meinst diese hier?
"It is easy to run a secure computer system. You merely have to
disconnect all dial-up connections and permit only direct-wired
terminals, put the machine and ist terminals in a shielded room, and
post a guard at the door."
Nein, meint er nicht. Er meint das, was ich dir auch schon skizziert
habe: LUA. Konsequent.

cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
Hans-Peter Matthess
2010-11-16 11:51:41 UTC
Permalink
Post by Ansgar -59cobalt- Wiechers
Post by Hans-Peter Matthess
"It is easy to run a secure computer system. You merely have to
disconnect all dial-up connections and permit only direct-wired
terminals, put the machine and ist terminals in a shielded room, and
post a guard at the door."
Nein, meint er nicht. Er meint das, was ich dir auch schon skizziert
habe: LUA. Konsequent.
"LUA konsequent" hatte seine Chance, war in eNTe auch problemlos
umsetzbar und ist offensichtlich grandios gescheitert, weil es einen
konsequenten Usertyp brauchte, den es eben eher selten gibt. Ich arbeite
deshalb seit Vista nun in einem Adminkonto nicht mit LUA, sondern mit
UAC und erfahre hiermit ein bequemeres Arbeiten als bisher nach dem
alten Prinzip. Aber wie gesagt, warten wir's mal ab, wie es zwei
Windosen später aussehen wird. Da wird UAC evtl. Schnee von gestern
sein.

hpm
Ansgar -59cobalt- Wiechers
2010-11-16 18:24:36 UTC
Permalink
Post by Hans-Peter Matthess
Post by Ansgar -59cobalt- Wiechers
Post by Hans-Peter Matthess
"It is easy to run a secure computer system. You merely have to
disconnect all dial-up connections and permit only direct-wired
terminals, put the machine and ist terminals in a shielded room, and
post a guard at the door."
Nein, meint er nicht. Er meint das, was ich dir auch schon skizziert
habe: LUA. Konsequent.
"LUA konsequent" hatte seine Chance,
Aufgrund mangelnden Durchsetzungswillens seitens des Herstellers: nein.
Post by Hans-Peter Matthess
war in eNTe auch problemlos umsetzbar
Nein. Erst seit Win2k sind die ACLs so weitgehend sinnvoll gesetzt, dass
man LUA mit erträglichen Anpassungen umsetzen kann.
Post by Hans-Peter Matthess
und ist offensichtlich grandios gescheitert,
"Gescheitert" ist es vielleicht da, wo es ohnehin nie eingesetzt wurde.
Wie bereits geschrieben setze ich LUA seit nunmehr über 10 Jahren
erfolgreich in der Praxis ein. Und UAC bringt demgegenüber immer noch
genau 0% Sicherheitsgewinn, aber signifikant umständlichere Handhabung.

cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
Hans-Peter Matthess
2010-11-17 17:15:12 UTC
Permalink
Post by Ansgar -59cobalt- Wiechers
Post by Hans-Peter Matthess
war in eNTe auch problemlos umsetzbar
Nein. Erst seit Win2k sind die ACLs so weitgehend sinnvoll gesetzt, dass
man LUA mit erträglichen Anpassungen umsetzen kann.
OK
Post by Ansgar -59cobalt- Wiechers
Und UAC bringt demgegenüber immer noch
genau 0% Sicherheitsgewinn,
Der Ist-Zustand waren allerdings die unzähligen XP-User in ihren
Adminkonten. Und DEM gegenüber bringt UAC den Gewinn, zusammen mit
geänderten Rechten, Integrity-Levels usw. Das Gefluche der Umsteiger ist
ja schließlich deutlich genug, wenn sie in ihren eingerichteten
Adminkonten die Wahrheit erkennen. <eg>
Ne ganz nette Seite dazu ist
http://www.rz.uni-rostock.de/software/windows/sicherheit/grundlagen/wozu-dient-uac/
http://www.rz.uni-rostock.de/software/windows/sicherheit/wie-installiere-und-konfiguriere-ich-ein-sicheres-und-robustes-windows-system/
Post by Ansgar -59cobalt- Wiechers
aber signifikant umständlichere Handhabung.
NACK. Eine signifikant einfachere Handhabung, sofern man in der Lage
ist, das System sinnvoll zu konfigurieren.

hpm
Ansgar -59cobalt- Wiechers
2010-11-17 17:58:37 UTC
Permalink
Post by Hans-Peter Matthess
Post by Ansgar -59cobalt- Wiechers
Post by Hans-Peter Matthess
war in eNTe auch problemlos umsetzbar
Nein. Erst seit Win2k sind die ACLs so weitgehend sinnvoll gesetzt,
dass man LUA mit erträglichen Anpassungen umsetzen kann.
OK
Post by Ansgar -59cobalt- Wiechers
Und UAC bringt demgegenüber immer noch genau 0% Sicherheitsgewinn,
Der Ist-Zustand waren allerdings die unzähligen XP-User in ihren
Adminkonten.
Daran ändert sich auch mit UAC nichts. In spätestens einem halben Jahr
hat die Zielgruppe entweder UAC deaktiviert, oder sich daran gewöhnt,
jedes Popup mit Lichtgeschwindigkeit wegzuklicken.
Post by Hans-Peter Matthess
Und DEM gegenüber bringt UAC den Gewinn,
Nein.

[...]
Post by Hans-Peter Matthess
Post by Ansgar -59cobalt- Wiechers
aber signifikant umständlichere Handhabung.
NACK. Eine signifikant einfachere Handhabung, sofern man in der Lage
ist, das System sinnvoll zu konfigurieren.
HAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHA! Nein.

cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
Heiko Schlenker
2010-11-18 01:04:38 UTC
Permalink
Post by Ansgar -59cobalt- Wiechers
Post by Hans-Peter Matthess
Post by Ansgar -59cobalt- Wiechers
Und UAC bringt demgegenüber immer noch genau 0% Sicherheitsgewinn,
Der Ist-Zustand waren allerdings die unzähligen XP-User in ihren
Adminkonten.
Daran ändert sich auch mit UAC nichts.
Selbst Microsoft sagt, dass UAC nicht als "Sicherheitsbarriere"
entworfen wurde. Aus
<http://blogs.msdn.com/e7/archive/2009/02/05/update-on-uac.aspx>,
Abschnitt 'The Purpose of UAC':
| One important thing to know is that UAC is not a security boundary

UAC dient eher zur Bequemlichkeit.

Gruß, Heiko
Hans-Peter Matthess
2010-11-19 17:33:54 UTC
Permalink
Post by Heiko Schlenker
Selbst Microsoft sagt, dass UAC nicht als "Sicherheitsbarriere"
entworfen wurde.
Vista ist das sicherste Windows aller Zeiten und UAC ist ein Teil davon
und natürlich ist ein Feature, das sämtliche erhöhten Prozesse
blockiert, auch eine Sicherheitsbarriere in vielen Bereichen, z.B. kein
Protected Mode des IE ohne UAC.
Post by Heiko Schlenker
Aus
<http://blogs.msdn.com/e7/archive/2009/02/05/update-on-uac.aspx>,
| One important thing to know is that UAC is not a security boundary
UAC dient eher zur Bequemlichkeit.
Bequem war Win XP mit seinem Adminkonten und der mangelhaften
Rechteverwaltung, das Paradies für DAUs! Lies dir mal durch, was diese
über UAC sagen, nachdem sie auf Win 7 umgestiegen sind. Deren Meinungen
zu "bequem" sind irgendwie völlig anderes und ich kann mich daran
erinnern, dass ich seinerzeit ähnlich reagiert hatte. :-)

hpm
Hans-Peter Matthess
2010-11-19 17:33:54 UTC
Permalink
Post by Ansgar -59cobalt- Wiechers
Post by Hans-Peter Matthess
Post by Ansgar -59cobalt- Wiechers
Und UAC bringt demgegenüber immer noch genau 0% Sicherheitsgewinn,
Der Ist-Zustand waren allerdings die unzähligen XP-User in ihren
Adminkonten.
Daran ändert sich auch mit UAC nichts. In spätestens einem halben Jahr
hat die Zielgruppe entweder UAC deaktiviert, oder sich daran gewöhnt,
jedes Popup mit Lichtgeschwindigkeit wegzuklicken.
Das ist deine Meinung. Ich erlebe z.B. in den DAU-Niederungen der
MS-Mickimausforen nicht, dass ein signifikanter Prozentsatz der User
sich so verhält.
Post by Ansgar -59cobalt- Wiechers
Post by Hans-Peter Matthess
Post by Ansgar -59cobalt- Wiechers
aber signifikant umständlichere Handhabung.
NACK. Eine signifikant einfachere Handhabung, sofern man in der Lage
ist, das System sinnvoll zu konfigurieren.
HAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHA! Nein.
<rückenklopf> Hammers wieder? ;-)

einfaches Beispiel: Ich will Regedit aufrufen. Früher musste ich dazu
ins Adminkonto wechseln, nun klicke ich auf ein Icon, das mir Regedit
ohne UAC-Nachfrage mit erhöhten Rechten aufruft.

hpm
Ansgar -59cobalt- Wiechers
2010-11-19 18:54:08 UTC
Permalink
Post by Hans-Peter Matthess
Post by Ansgar -59cobalt- Wiechers
Post by Hans-Peter Matthess
NACK. Eine signifikant einfachere Handhabung, sofern man in der Lage
ist, das System sinnvoll zu konfigurieren.
HAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHA! Nein.
<rückenklopf> Hammers wieder? ;-)
einfaches Beispiel: Ich will Regedit aufrufen. Früher musste ich dazu
ins Adminkonto wechseln, nun klicke ich auf ein Icon, das mir Regedit
ohne UAC-Nachfrage mit erhöhten Rechten aufruft.
Bullshit. Früher konnte man Regedit einfach so starten und hatte dann
halt so Zugriff wie die ACLs gesetzt waren. Wer von einem LUA aus
Zugriff mit administrativen Rechten wollte, hat Regedit halt per
"<Shift>-Rechtsklick > Ausführen als..." mit administrativen Rechten
gestartet. Ja, das erfordert Authentifizierung. Ja, das ist gut so.

Das von dir oben geschriebene gilt nur für Konten, die ohnehin latent
Adminrechte haben (d.h. Mitglieder der Gruppe "Administratoren"). Diese
Benutzergruppe konnte Regedit schon immer ohne Authentifizierung mit
vollen Adminrechten starten. Früher sogar ohne dafür extra eine
Verknüpfung anlegen zu müssen.

cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
Hans-Peter Matthess
2010-11-20 20:54:46 UTC
Permalink
Post by Ansgar -59cobalt- Wiechers
Post by Hans-Peter Matthess
einfaches Beispiel: Ich will Regedit aufrufen. Früher musste ich dazu
ins Adminkonto wechseln, nun klicke ich auf ein Icon, das mir Regedit
ohne UAC-Nachfrage mit erhöhten Rechten aufruft.
Bullshit. Früher konnte man Regedit einfach so starten und hatte dann
halt so Zugriff wie die ACLs gesetzt waren. Wer von einem LUA aus
Zugriff mit administrativen Rechten wollte, hat Regedit halt per
"<Shift>-Rechtsklick > Ausführen als..." mit administrativen Rechten
gestartet. Ja, das erfordert Authentifizierung. Ja, das ist gut so.
Richtig, und das ist deiner Meinung nach dann bequemer? Wir sprachen
gerade von Bequemlichkeit. Soll ich jedes Mal also diesen Quatsch
durchführen? Du, ich verfolge dich mit'm Hammer umme halbe Welt!
Post by Ansgar -59cobalt- Wiechers
Das von dir oben geschriebene gilt nur für Konten, die ohnehin latent
Adminrechte haben (d.h. Mitglieder der Gruppe "Administratoren"). Diese
Benutzergruppe konnte Regedit schon immer ohne Authentifizierung mit
vollen Adminrechten starten. Früher sogar ohne dafür extra eine
Verknüpfung anlegen zu müssen.
Ich kenne unter XP nur eingeschränkte Konten oder Adminkonten.
Adminkonten, die nur latent Adminrechte hatten, dürfte kaum jemand
gekannt haben.

hpm
Ansgar -59cobalt- Wiechers
2010-11-20 22:09:50 UTC
Permalink
Post by Hans-Peter Matthess
Post by Ansgar -59cobalt- Wiechers
Post by Hans-Peter Matthess
einfaches Beispiel: Ich will Regedit aufrufen. Früher musste ich dazu
ins Adminkonto wechseln, nun klicke ich auf ein Icon, das mir Regedit
ohne UAC-Nachfrage mit erhöhten Rechten aufruft.
Bullshit. Früher konnte man Regedit einfach so starten und hatte dann
halt so Zugriff wie die ACLs gesetzt waren. Wer von einem LUA aus
Zugriff mit administrativen Rechten wollte, hat Regedit halt per
"<Shift>-Rechtsklick > Ausführen als..." mit administrativen Rechten
gestartet. Ja, das erfordert Authentifizierung. Ja, das ist gut so.
Richtig, und das ist deiner Meinung nach dann bequemer? Wir sprachen
gerade von Bequemlichkeit.
Nein. Wir sprachen von Bequemlichkeit unter Wahrung der System-
sicherheit.

Wenn ein LUA Programme mit administrativen Rechten starten will, dann
hätte ich davor gerne eine Authentisierung. Wenn ein Administrator
Programme mit administrativen Rechten starten will, dann will ich da
keine weitere Authentisierung, und auch sonst keine Popups.
Post by Hans-Peter Matthess
Post by Ansgar -59cobalt- Wiechers
Das von dir oben geschriebene gilt nur für Konten, die ohnehin latent
Adminrechte haben (d.h. Mitglieder der Gruppe "Administratoren"). Diese
Benutzergruppe konnte Regedit schon immer ohne Authentifizierung mit
vollen Adminrechten starten. Früher sogar ohne dafür extra eine
Verknüpfung anlegen zu müssen.
Ich kenne unter XP nur eingeschränkte Konten oder Adminkonten.
Adminkonten, die nur latent Adminrechte hatten, dürfte kaum jemand
gekannt haben.
Okay, noch mal langsam für dich zum Mitmerken:

- ohne UAC: Mitglieder der Gruppe "Administratoren" könne Regedit
einfach starten und damit arbeiten.

- mit UAC: Mitglieder der Gruppe "Administratoren" müssen entweder
jedesmal ein nerviges Popup wegklicken oder sich eine Verknüpfung
anlegen. Oder UAC deaktivieren.

Was einfacher ist, sollte für jeden Menschen mit einem IQ oberhalb von
Normal Null offensichtlich sein.

Um deine Perspektive mal etwas zurecht zu rücken: ich betreue beruflich
etwa 100 Windows-Servern. Auf diesen Kisten melde ich mich ausschließ-
lich dann an, wenn ich administrative Tätigkeiten auszuführen habe. Das
Allerletzte, was ich brauche, ist auf allen diesen Kisten bei jedem
Fliegendreck ein Popup wegklicken zu müssen. Und das Zweitletzte, auf
jeder dieser Kisten für jedes Programm, mit dem ich dort arbeite, noch
mal extra eine Verknüpfung anlegen zu müssen.

Mal ganz davon abgesehen, dass deine tollen Verknüpfungen gar nicht alle
Workflows abdecken (können). Beispielsweise: ich will eine .reg-Datei
mit der Registry zusammenführen. Anstatt das einfach über Rechtsklick >
Zusammenführen zu machen, müsste ich mit UAC eine Eingabeaufforderung
mit Adminrechten starten und dort "regedit XYZ.reg" ausführen. Echt
total viel einfacher. Not.

cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
Stefan Kanthak
2010-11-19 19:01:59 UTC
Permalink
Post by Hans-Peter Matthess
Post by Ansgar -59cobalt- Wiechers
Post by Hans-Peter Matthess
Post by Ansgar -59cobalt- Wiechers
Und UAC bringt demgegenüber immer noch genau 0% Sicherheitsgewinn,
Der Ist-Zustand waren allerdings die unzähligen XP-User in ihren
Adminkonten.
Arme, von Bill G^HBo und seinen Kumpanen fehlgeleitete Irre!
Post by Hans-Peter Matthess
Post by Ansgar -59cobalt- Wiechers
Daran ändert sich auch mit UAC nichts. In spätestens einem halben Jahr
hat die Zielgruppe entweder UAC deaktiviert, oder sich daran gewöhnt,
jedes Popup mit Lichtgeschwindigkeit wegzuklicken.
Das ist deine Meinung.
Falsch. Das ist meine Meinung!
Post by Hans-Peter Matthess
Ich erlebe z.B. in den DAU-Niederungen der MS-Mickimausforen nicht,
dass ein signifikanter Prozentsatz der User sich so verhält.
Hoerensagen!? Oder weisst Du das sicher, aus eigener Beobachtung?
Post by Hans-Peter Matthess
Post by Ansgar -59cobalt- Wiechers
Post by Hans-Peter Matthess
Post by Ansgar -59cobalt- Wiechers
aber signifikant umständlichere Handhabung.
NACK. Eine signifikant einfachere Handhabung, sofern man in der Lage
ist, das System sinnvoll zu konfigurieren.
HAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHA! Nein.
<rückenklopf> Hammers wieder? ;-)
einfaches Beispiel: Ich will Regedit aufrufen. Früher musste ich dazu
ins Adminkonto wechseln,
Mattjes[*], Du luegst!
REGEDIT.EXE kann JEDER Benutzer auch unter einem eingeschraenkten eNTe-
Benutzerkonto aufrufen.
Post by Hans-Peter Matthess
nun klicke ich auf ein Icon, das mir Regedit
ohne UAC-Nachfrage mit erhöhten Rechten aufruft.
Und jeder Schaedling kann das auf Deinem System EBENSO!
Wieso baust Du Dir potentielle Sicherheitsluecken ein?

Stefan

[*] Der Fisch stinkt vom Kopf:-P

[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
Hans-Peter Matthess
2010-11-20 20:54:47 UTC
Permalink
Post by Stefan Kanthak
Post by Hans-Peter Matthess
Post by Ansgar -59cobalt- Wiechers
Daran ändert sich auch mit UAC nichts. In spätestens einem halben Jahr
hat die Zielgruppe entweder UAC deaktiviert, oder sich daran gewöhnt,
jedes Popup mit Lichtgeschwindigkeit wegzuklicken.
Das ist deine Meinung.
Falsch. Das ist meine Meinung!
Is eh klar. Siehe letzte Zeile.
Post by Stefan Kanthak
Post by Hans-Peter Matthess
Ich erlebe z.B. in den DAU-Niederungen der MS-Mickimausforen nicht,
dass ein signifikanter Prozentsatz der User sich so verhält.
Hoerensagen!? Oder weisst Du das sicher, aus eigener Beobachtung?
Ob man dort einen wirklich repräsentativen Querschnitt erhält, ist
fraglich, aber ich erlebe es da als Einzelfälle. Und dort schlägt
wirklich das Volk aus dem Tal der Ahnungslosen auf.
Post by Stefan Kanthak
Post by Hans-Peter Matthess
einfaches Beispiel: Ich will Regedit aufrufen. Früher musste ich dazu
ins Adminkonto wechseln,
Mattjes[*], Du luegst!
REGEDIT.EXE kann JEDER Benutzer auch unter einem eingeschraenkten eNTe-
Benutzerkonto aufrufen.
Ja, da krieg ich das Ding dann allerdings nur mit Userrrechten
aufgerufen. Also müsste man dort exzessiv mit runas arbeiten, um nicht
ständig das Konto wechseln zu müssen. Ne ne...
Post by Stefan Kanthak
Post by Hans-Peter Matthess
nun klicke ich auf ein Icon, das mir Regedit
ohne UAC-Nachfrage mit erhöhten Rechten aufruft.
Und jeder Schaedling kann das auf Deinem System EBENSO!
Wieso baust Du Dir potentielle Sicherheitsluecken ein?
Du glaubst, Schädlinge schauen unter meinen Skripten nach, ob da eines
dabei ist, das Regedit erhöht startet? Nich wirklich, wa?
Post by Stefan Kanthak
[*] Der Fisch stinkt vom Kopf:-P
Bass uff, do! Du bist doch der Kopf. Hier stinkt dann also alles nach
dir! :-)

hpm
Stefan Kanthak
2010-11-21 15:09:24 UTC
Permalink
Post by Hans-Peter Matthess
Post by Stefan Kanthak
Post by Hans-Peter Matthess
Post by Ansgar -59cobalt- Wiechers
Daran ändert sich auch mit UAC nichts. In spätestens einem halben Jahr
hat die Zielgruppe entweder UAC deaktiviert, oder sich daran gewöhnt,
jedes Popup mit Lichtgeschwindigkeit wegzuklicken.
Das ist deine Meinung.
Falsch. Das ist meine Meinung!
Is eh klar. Siehe letzte Zeile.
Soweit les ich nie;-P
Post by Hans-Peter Matthess
Post by Stefan Kanthak
Post by Hans-Peter Matthess
einfaches Beispiel: Ich will Regedit aufrufen. Früher musste ich dazu
ins Adminkonto wechseln,
Mattjes[*], Du luegst!
REGEDIT.EXE kann JEDER Benutzer auch unter einem eingeschraenkten eNTe-
Benutzerkonto aufrufen.
Ja, da krieg ich das Ding dann allerdings nur mit Userrrechten
aufgerufen.
UDIAGS!
Post by Hans-Peter Matthess
Also müsste man dort exzessiv mit runas arbeiten, um nicht
ständig das Konto wechseln zu müssen. Ne ne...
~~~~~~~
Willst Du arbeiten oder rumspielen?
REGEDIT.EXE ist kein Programm fuer Otto Normalbenutzer.
Post by Hans-Peter Matthess
Post by Stefan Kanthak
Post by Hans-Peter Matthess
nun klicke ich auf ein Icon, das mir Regedit
ohne UAC-Nachfrage mit erhöhten Rechten aufruft.
Und jeder Schaedling kann das auf Deinem System EBENSO!
Wieso baust Du Dir potentielle Sicherheitsluecken ein?
~~~~~~~~~~~
Post by Hans-Peter Matthess
Du glaubst, Schädlinge schauen unter meinen Skripten nach, ob da eines
dabei ist, das Regedit erhöht startet? Nich wirklich, wa?
"security through obscurity" ist keine so gute Idee!
Ausserdem sie SIE doch schon laengst hinter Dir her!


Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
Hans-Peter Matthess
2010-11-22 14:30:43 UTC
Permalink
Post by Stefan Kanthak
Post by Hans-Peter Matthess
Also müsste man dort exzessiv mit runas arbeiten, um nicht
ständig das Konto wechseln zu müssen. Ne ne...
~~~~~~~
Willst Du arbeiten oder rumspielen?
REGEDIT.EXE ist kein Programm fuer Otto Normalbenutzer.
Ich will beides, da ich hier in Newsgroups und auch in den
MS-Mickimausforen unterwegs bin. Wenn ich jemandem eine Lösung poste,
teste ich die in der Regel vorher selbst, brauch also testweise auch
ständig Regedit und Systemeinstellungen, die erhöhte Rechte brauchen.
Reine ONUs bekommen natürlich reine Standardkonten verpasst. Die haben
in Adminkonten nichts verloren. Ich bin jedenfalls mit UAC hier gut
bedient.

hpm
Wolfgang Ewert
2010-12-10 16:06:38 UTC
Permalink
Post by Hans-Peter Matthess
Post by Stefan Kanthak
REGEDIT.EXE
Ich will beides, da ich hier in Newsgroups und auch in den
MS-Mickimausforen unterwegs bin. Wenn ich jemandem eine Lösung poste,
teste ich die in der Regel vorher selbst, brauch also testweise auch
ständig Regedit und Systemeinstellungen, die erhöhte Rechte brauchen.
Wie wäre es, zu diesem Zweck eine Shell mit root-Rechten solange
offenzuhalten?

Wolfgang
--
Nirgendwo hängt der Schulerfolg so stark von Einkommen und Vorbildung
der Eltern ab wie in D'land. Das dt. Schulsystem versagt bei der
Förderung von Arbeiter- und Migrantenkindern. (dpa/FTD 22.11.04)
Hans-Peter Matthess
2010-12-11 00:38:17 UTC
Permalink
Post by Wolfgang Ewert
Wie wäre es, zu diesem Zweck eine Shell mit root-Rechten solange
offenzuhalten?
Ich habe da diverse Skripte erstellt, die mir beliebige
Dateimanager/Shells wahlweise mit Admin- oder Systemrechten öffnen
können.

hpm

Ansgar -59cobalt- Wiechers
2010-10-27 17:14:00 UTC
Permalink
Post by Michael Paul
Oder ist UAC nur noch vom Benutzer "Administrator" abschaltbar?
Nein.

Du brauchst einen administrativen Benutzer für die Verwaltung der Kiste.
Per Default heißt dieser Benutzer "Administrator". Du kannst auch einen
anderen Benutzer in die Gruppe "Administatoren" stecken, nur bringt dir
das genau gar keinen Vorteil.

cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
Juergen P. Meier
2010-10-25 18:20:26 UTC
Permalink
Post by Judith Baltsar
Hallo allerseits,
ich habe hier einen neuen PC mit Win7 (64bit). Rein gewohnheitsgemäß
habe ich erstmal Avast und Threatfire installiert wie auf meinem alten
Wozu?
Post by Judith Baltsar
XP Notebook. Erst später habe ich bemerkt, dass Windows mittlerweile
seinen eigenen Virenscanner mitbringt("microsoft security
essentials"). Noch habe ich alle drei Programme laufen (ohne merkbare
Effekte für das System), aber es heist ja normalerweise, dass man
Na, wenn du den Muell schon von vorher gewoehnt bist...
Post by Judith Baltsar
nicht zwei residente Virenscanner kombinieren soll..
Was ist Eure Empfehlung: wer darf bleiben, soll wer runter?
Meine Empfehlung: Die FAQ Lesen.

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Loading...