Administratorbestätigungsmodus vs Eingabeaufforderung für erhöhte Rechte

Alle Antworten

• 

  

  0

  Anmelden

  Aus = aus.

  Ich lass mich jedesmal fragen, warum? Weil es nicht stört. Du schliesst ja auch dein Auto per Fernbedienung auf/zu, oder? Genau so ist das auch.

  Windows Taste -> Programmname -> STRG-SHIFT-ENTER -> Pfeil nach links -> ENTER - tuts

  ---

  Tschö
  Mark Heitbrink - MVP Windows Server - Group Policy
  Homepage: www.gruppenrichtlinien.de - deutsch
  GPO Tool: www.reg2xml.com - Registry Export File Converter
  

  Dienstag, 24. September 2013 18:50

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Ich nutze: 
  • Eingabeaufforderung zur Zustimmung auf dem sicheren Desktop:

  ---

  Tschö
  Mark Heitbrink - MVP Windows Server - Group Policy
  Homepage: www.gruppenrichtlinien.de - deutsch
  GPO Tool: www.reg2xml.com - Registry Export File Converter
  

  Dienstag, 24. September 2013 18:52

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Windows Taste -> Programmname -> STRG-SHIFT-ENTER -> Pfeil nach links -> ENTER - tuts

  ---

  Du weißt noch, was MNemonics sind? :-))
  

  Strg-Shift-Enter - Alt-J...

  ---

  Martin
  
  NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
  And if IT bothers me - coke bottle design refreshment :))
  
  Restore the forum design - my user defined Cascading Style Sheet!
  

  Dienstag, 24. September 2013 20:18

  Antworten

  |

  Zitieren

  Beantworter
• 

  

  0

  Anmelden

  Ich nutze Win7 prof zu Hause auf meinem Rechner. Ziel ist, ich möchte die UAC nicht ganz ausschalten, aber möchte nicht andauernd bei jedem Programm gefragt werden ob ich das ausführen möchte...

  Nix für Ungut, aber genau das ist der Grund warum UAC da ist :-)
  

  ---

  MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

  Mittwoch, 25. September 2013 06:41

  Antworten

  |

  Zitieren

  Beantworter
• 

  

  0

  Anmelden

  Hi Leute,

  super jetzt habe ich 3 Fragen:

  • Erhöhte Rechte ohne Eingabeaufforderung" setze vs.
  • "Deaktivieren des Administratorbestätigungsmodus"
  • Was hat es mit dem sicheren Desktop auf sich

  Fall jemand noch Lust hat: Mich würde eher interessieren die Unterschiede zwischen den Optionen erklärt zu bekommen/guten Link dazu als die pauschale  Feststellung: UAC ist toll. Ich weiß auch wie ich die UAC ausschalte, ich hatte sie mit Win7 die letzten 3 Jahre aus und keinerlei Probleme mit Malware...

  Wollte mich mal langsam auf das Thema einlassen mit einer Option die am wenigsten schmerzt und nicht gleich das volle Programm mit  An mit Defaulteinstellungen und 3 Tage später schmeißt man das wieder komplett über Board weil es nicht zum Aushalten ist...

  P.S. @Mark: Ich finde das so extrem anstrengend, mit der links-Taste noch nichteinmal ist O.K. auf default. Mal ehrlich wenn ich word starte ist halt mal 99% Wahscheinlichkeit, dass das gestartet werden soll... Das ist so 0,001% mehr an Sicherheit zerstört die Usibility um 50% - sowas wollen die Leute m. E. nicht

  
  
  

  • Bearbeitet TTC999 Mittwoch, 25. September 2013 12:04 P.S. eingefügt

  Mittwoch, 25. September 2013 11:58

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Bei Word kommt KEINE! Elevation. Wozu auch? 

  Die Elevation brauchst du nur bei Zugriff auf Dinge, die ein Benutzer nicht darf.

  99% alller deiner Programme brauchen keine Elevation und werden nicht danach fragen.

  Wir oft am Tag öffnest du eine MMC? Regedit? Änderst die Netzwerkkarten Eigenschaften?
  Beim Aufruf eben genannter würde das System automatisch zum sicheren Desktop wechseln -> Pfeil links - Enter

  Das ist "eine" Taste mehr  ... stresssfrei

  ---

  Tschö
  Mark Heitbrink - MVP Windows Server - Group Policy
  Homepage: www.gruppenrichtlinien.de - deutsch
  GPO Tool: www.reg2xml.com - Registry Export File Converter
  

  Mittwoch, 25. September 2013 20:11

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Aus nem anderen Thread geklaut: "Hier ist kein Schulungsraum". Google beantwortet Deine Frage erschöpfend.

  Und statt "links" nimmt man "Alt-J", das passt auf deutsch immer. Bei US halt "Alt-Y".
  

  ---

  Martin
  
  NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
  And if IT bothers me - coke bottle design refreshment :))
  
  Restore the forum design - my user defined Cascading Style Sheet!
  

  Mittwoch, 25. September 2013 21:03

  Antworten

  |

  Zitieren

  Beantworter
• 

  

  1

  Anmelden

  • Erhöhte Rechte ohne Eingabeaufforderung" setze vs.
  • "Deaktivieren des Administratorbestätigungsmodus"
  • Was hat es mit dem sicheren Desktop auf sich

  "Erhöhte Rechte ohne Eingabeaufforderung" ist mit UAC = off zu vergleichen.
  Du kannst das jedoch für Administratoren und normale Benutzer unterschiedlich steuern.
  Les dir am besten einmal diese Beschreibung durch:
  
  http://technet.microsoft.com/de-de/library/dd851609.aspx

  "Deaktivieren des Administratorenbestätigungsmodus" bedeutet nichts anderes, als dass du die Zustimmung für Administratoren deaktivieren kannst. 
  Alle Prozesse die der Benutzer (der Mitglied der Gruppe Administratoren ist) startet, werden mit dem vollständigen Access-Token (und den entsprechenden Berechtigungen) ausgeführt.
  
  Für den Built-in Admin ist das standardmäßig bereits deaktiviert.
  Auch hier am besten einlesen.

  http://technet.microsoft.com/de-de/library/cc709691%28v=ws.10%29.aspx

  Der Secure Desktop ist ein spezieller geschützter Desktop, der nur von SYSTEMM Prozessen eingesehen werden kann. Siehe hier:
  
  http://blogs.msdn.com/b/uac/archive/2006/05/03/589561.aspx
  

  ---

  MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

  • Bearbeitet Matthias WolfEditor Mittwoch, 25. September 2013 21:11

  Mittwoch, 25. September 2013 21:10

  Antworten

  |

  Zitieren

  Beantworter
• 

  

  0

  Anmelden

  Heute Linkservice? Wir wollten Suchmaschinen nach vorne bringen... ;-)
  

  ---

  Martin
  
  NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
  And if IT bothers me - coke bottle design refreshment :))
  
  Restore the forum design - my user defined Cascading Style Sheet!
  

  Mittwoch, 25. September 2013 21:43

  Antworten

  |

  Zitieren

  Beantworter
• 

  

  0

  Anmelden

  ALT-J sind 2 Tasten, links-Enter auch ... der Mensch ist ein Gewohnheitstier :-)

  ---

  Tschö
  Mark Heitbrink - MVP Windows Server - Group Policy
  Homepage: www.gruppenrichtlinien.de - deutsch
  GPO Tool: www.reg2xml.com - Registry Export File Converter
  

  Donnerstag, 26. September 2013 07:07

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo Mark,

  Danke für den Link zum Secure Desktop. Die anderen Links hatte ich schon vor Erstellen des Beitrags hier ausgedruckt bei mir.

  Vielleicht liegt es an mir - aber irgendwie komme ich mit dem Thread nicht so voran wie gewünscht - was ich suchen würde ist eine KLARE/pragmatische Erklärung was denn nun der Unterschied zwischen den beiden Optionen ist. Die ganzen Dokumente bringen eine ganze Reihe eher nichtssagender Aussagen.

  Wirklich schlau werde ich daraus nicht, was das denn nun für einen Nutzer mit einem Home PC bedeutet und was typische Vor- Nachteile davon sein könnten.
  

  Ich habe mittleweile 4 Dokumente gelesen und ich könnte nicht den Unterschied zwischen den beiden Optionen erklären. Hier mal ein Beispiel aus den Doks:

  "Deaktivieren des Administratorbestätigungsmodus:"

  • Diese Richtlinieneinstellung muss aktiviert und verwandte UAC-Richtlinieneinstellungen müssen entsprechend festgelegt werden, damit das integrierte Administratorkonto und alle anderen Benutzerkonten, die Mitglieder der Gruppe "Administratoren" sind, im Administratorbestätigungsmodus ausgeführt werden können.
  • Wenn diese Einstellung deaktiviert ist, werden der Administratorbestätigungsmodus und alle verwandten UAC-Richtlinieneinstellungen deaktiviert.

  So eine "Erklärung" z. B. ist auch für einen comutererfahrenen User einfach nicht brauchbar. Muss ich mir Sorgen machen um die UAC-Richtlinieneinstellungen auf einem Home-Pc? Das integrierte Adminkonto ist mir eigentlich auch wurscht das will ich nur im Notafall nutzen - das ist hier gleich der erste Bulletpoint der Erklärung - yeah right das ist ja  auch das ALLERWICHTIGSTE...
  

  Im Kern suche ich eine Antwort auf die Frage: Sagen wir Sicherheit ist ein Kontinuum es fängt mit UAC komplett ausgeschaltet und endet mit UAC eingeschaltet auf Defaultwert (für mich das höchste der Gefühle noch weitere Verschärfungen kommen für mich eh nicht in Frage).

  Nun möchte ich einordnen wo in diesem Kontinuum die beiden Optionen:

  "Deaktivieren des Administratorbestätigungsmodus" und
  "erhöhte Rechte ohne Eingabeaufforderung"

  liegen. Dank Deiner Erklärung denke ich jetzt dass, "erhöhte Rechte" das unsicherste ist, wie du schriebst gleichbedeutend mit Ausschalten der UAC (Wobei in den Artikeln wieder gesagt wird man soll niemals die UAC ausschalten da dann die Virtualisierungen auch ausgeschaltet sind).

  Die Sache mit den Tokens hatte ich auch schon gelesen, nur ist mir jetzt nicht bewusst welche der BEIDEN Optionen im Falle eines Downgeloadeten Virus, denn nun die bessere ist. Es macht wohl nicht viel Unterschied.

  @Martin: Das Du wohl unter Druck stehst Schulungen zu verkaufen ist mir klar. Deinen Comment finde ich für ein Forum sehr deplaciert. Ob Microsoft das wohl auch so sehe? Diese Seite ist von der Seitenführung OFFIZIELLER PART des Microsoft Supports. Mach Dir das bitte mal klar.  Zu dem Google Part: wenn ich 25mal die gleichen nichtssagenden Erklärungen lese, poste ich hier, um von Dir wieder erkärt zu bekommen ich solle googeln???? Wer Fragen dumm findet muss ja nicht antworten....

  
  

  • Bearbeitet TTC999 Donnerstag, 26. September 2013 11:08

  Donnerstag, 26. September 2013 11:05

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo,

  Martin verkauft keine Schulungen, wenn dann Mark.

  Ob Microsoft das wohl auch so sehe? Diese Seite ist von der Seitenführung OFFIZIELLER PART des Microsoft Supports

  Hier ist gar nix mit offiziellem Support.
  Bekommste eine Antwort ist gut, wenn nicht dann hast du Pech.
  Keiner von uns bekommt auch nur einen Cent für das was wir hier machen.
  (mal abgesehen von dem ein oder anderen MVP Benefit)

  Nun möchte ich einordnen wo in diesem Kontinuum die beiden Optionen:

  Die Policies entsprechen den UAC Stufen. Jedoch gibt es aufgrund der verschiedenen Kobinationsmöglichkeiten eben auch "benutzerdefinierte Stufen".

  Level zu Policy, siehe hier:

  http://social.technet.microsoft.com/Forums/windowsserver/en-US/1de0e123-84a0-4ef5-91bd-c3318cf25136/gpo-uac-level-3-default-and-prompt-for-credentials

  ---

  MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

  Donnerstag, 26. September 2013 15:45

  Antworten

  |

  Zitieren

  Beantworter
• 

  

  0

  Anmelden

  @Martin: Das Du wohl unter Druck stehst Schulungen zu verkaufen ist mir klar. Deinen Comment finde ich für ein Forum sehr deplaciert. Ob Microsoft das wohl auch so sehe? Diese Seite ist von der Seitenführung OFFIZIELLER PART des Microsoft Supports. Mach Dir das bitte mal klar.  Zu dem Google Part: wenn ich 25mal die gleichen nichtssagenden Erklärungen lese, poste ich hier, um von Dir wieder erkärt zu bekommen ich solle googeln???? Wer Fragen dumm findet muss ja nicht antworten....

  Hallo TTC999 (seltsamer Name - hätte nie gedacht, daß man das auf dem Standesamt durchkriegt).

  Matthias hat's ja schon erwähnt- offiziell ist hier gar nix. Du bekommst Antworten auf Fragen. Manche davon unqualifiziert und wenig hilfreich (die zeichnen sich oft durch MSFT aus), andere kritisch und offensiv (wie meine) und wieder andere , die wirklich helfen (die zeichnen sich dann oft durch MVP aus). Und warum sollte ich unter Druck stehen, Schulungen zu verkaufen? Ich verkauf höchstens mal ein Buch (bzw. Amazon macht das dann für mich...)
  

  Wenn Du so viele Fragen gelesen hättest wie ich, die sich in den ersten 5 Suchtreffern von Google beantworten lassen, dann würdest Du ähnlich reagieren, wenn einer fragt "was ist UAC".

  Und um jetzt Deine Frage zu erhellen: Die unterschiedlichen Level von UAC sind KEIN Sicherheitsfeature (auch wenn das 99,9% behaupten), es ist lediglich ein Convenience Produkt. Also stelle es so ein, wie Du es gerne hättest, nur schalte es nicht aus. Das hat nämlich zur Folge, daß die Integrity Level ebenfalls ausgeschaltet sind und der Protected Mode des IE nicht mehr aktiviert ist. Und DAS ist ein Sicherheitsfeature.

  "Erhöhte Rechte ohne Eingabeaufforderung" ist dabei auch NICHT gleichbedeutend mit "UAC aus" - Stichwort wieder Integrity Level und als zweites Stichwort "full token versus restricted token".

  Wenn Du jetzt noch mal Google bemühst, findest Du dazu jede Menge weiterführende Infos.

  PS: "Selber denken" ist ausdrücklich erlaubt ;-) SCNR...

  ---

  Martin
  
  NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
  And if IT bothers me - coke bottle design refreshment :))
  
  Restore the forum design - my user defined Cascading Style Sheet!
  

  
  

  • Bearbeitet Martin BinderEditor Donnerstag, 26. September 2013 20:19

  Donnerstag, 26. September 2013 20:18

  Antworten

  |

  Zitieren

  Beantworter
• 

  

  1

  Anmelden

  "Erhöhte Rechte ohne Eingabeaufforderung" ist dabei auch NICHT gleichbedeutend mit "UAC aus" - Stichwort wieder Integrity Level und als zweites Stichwort "full token versus restricted token".

  Man müsste mal testen was bei dieser Einstellung denn überhaupt genau passiert.

  Ich vermute auch, bei dieser Einstellung die Integrity Levels genauso behandelt werden wie ohne diese Einstellung.

  @TTC999

  Wenn du wirklich wissen willst, was du da einstellst, dann wirst du nicht darum herum kommen, dich INTENSIV mit der UAC zu beschäftigen. Und dass kann eine Weile dauern. 

  Hier noch zwei Links, die die UAC und ihre Mechanismen im Detail beschreiben:
  
  http://msdn.microsoft.com/en-us/library/bb625963.aspx

  Mein Favorit:

  http://technet.microsoft.com/de-de/magazine/2007.06.uac%28en-us%29.aspx

  ---

  MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

  Freitag, 27. September 2013 19:45

  Antworten

  |

  Zitieren

  Beantworter
• 

  

  0

  Anmelden

  "Erhöhte Rechte ohne Eingabeaufforderung" ist dabei auch NICHT gleichbedeutend mit "UAC aus" - Stichwort wieder Integrity Level und als zweites Stichwort "full token versus restricted token".

  Man müsste mal testen was bei dieser Einstellung denn überhaupt genau passiert.

  Bei "UAC aus" gibt es kein restricted Token mehr - wenn Du Admin bist, laufen jetzt alle Deine Prozesse mit dem full Token. Und das bedeutet IMHO auch "Integrity Level = high" für alle Prozesse.
  

  ---

  Martin
  
  NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
  And if IT bothers me - coke bottle design refreshment :))
  
  Restore the forum design - my user defined Cascading Style Sheet!
  

  Samstag, 28. September 2013 08:43

  Antworten

  |

  Zitieren

  Beantworter
• 

  

  0

  Anmelden

  Hallo an alle,

  habe mich jetzt mal intensiver in das Thema eingelesen.

  mein Fazit soweit dazu, aber ich muss sagen es war nicht so ganz leicht als Frischling zu dem Thema aus den Dokumenten die richtigen Schlüsse zu sehen, da die Dokumente sprachlich nicht sehr sauber waren, so klangen die gleichen Optionen in unterschiedlichen Dokumenten doch recht unterschiedlich beschrieben. Es wurde teilweise heftig vor einer Option gewarnt, um in einem anderen Dok dann wieder zu sagen das ist aber doch besser als die UAC komplett auszuschalten. Wirklich falsch waren die Beschreibungen in den Dokumenten nicht, aber aus einer "pädagogischen" Perspektive macht es das "Lernen" gelinde gesagt unnötig verwirrend und anstrengend.

  Alle Administratoren im Administratorbestätigungsmodus ausführen: Wird dieses Feature deaktiviert ist die UAC tatsächlich komplett aus. Das ist dann so wie in XP als Admin unterwegs zu sein. Das liegt daran, das bei Benutzeranmeldung nur noch das Token für Vollzugriff erstellt wird und somit alles als Admin ausgeführt wird.

  Verhalten der Eingabeaufforderung für erhöhte Rechte für Admins im Administratorbestätigungsmodus:
  Wird diese Option auf erhöhte Rechte ohne Eingabeaufforderung gesetzt, dann wird die UAC NICHT ausgeschaltet, aber weitgehend entkernt. Es wird bei Benutzeranmeldung noch 2 Tokens erstellt, aber es wird automatisch das Vollzugriffstoken IMMER verwendet. Das führt dazu, dass ein aus dem Internet heruntergeladener Virus sich automatisch installieren könnte ohne Warnung, bzw. Eingriffsmöglichkeit.
  Was in diesem Modus aber noch weiterläuft ist der geschützte Modus des Internet Explorers und die Datei und Registrierungsvirtualisierung um Kompatibilität für nicht UAC-kompatible Anwendungen zu ermöglichen.
  Fazit: nahezu komplett aus

  Das Thema Windows Integrity Levels ist wieder eine Wissenschaft für sich. Mein Verständis soweit:

  • WIM lässt sich nicht deaktivieren ist ein (fast) unabhängiges Subsystem, dass von der Ausschaltung der UAC NICHT betroffen ist. Das steht sehr explizit in vielen Quellen.
  • Integrity Levels sind laut Mike Minasi (www.minasi.com) aber klar über UAC und auch über DACL angeordnet. Aufgrund der "No write up" policy kann ein User oder Prozesse mit einem niedrigeren IL auch nicht ein Objekt mit höherem IL verändern. Windows wird damit mehr oder minder zu einem "verriegeltem System" in der der Admin bei gewissen Dateien nichts mehr machen kann (IL=high für Admin, aber Systemprozesse und Trusted Installer sind höher). Dies kann man dann wieder mit Tools umgehen (ICACLS) oder Minasis chml, aber das ist schon ein eher hackerisches Vorgehen.
  • Was allerdings mit dem Internet Explorer ist, ist nicht ganz klar. Es klingt so, als ob der geschützte Modus (Integrity Level für IE=low) aber ein Feature der UAC ist. Ist diese komplett deaktiviert könnte das aufgehoben sein und der I.E. würde dann mit dem Integrity level des Users (Admin=high) gestartet werden. Ob das so ist ist aber unklar.

  O.K. Leute ich danke euch für eure Zeit und Input. Nicht zuletzt dank eurer Hilfe hat das Thema für mich noch sein befriedigendes Ende gefunden...

  So long...

  
  

  • Bearbeitet TTC999 Donnerstag, 10. Oktober 2013 14:45

  Donnerstag, 10. Oktober 2013 14:43

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Danke für die Infos, schöne Doku!
  

  ---

  MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

  Donnerstag, 10. Oktober 2013 18:07

  Antworten

  |

  Zitieren

  Beantworter
• 

  

  0

  Anmelden

  Hallo,

  ist die Thematik abgeklärt?

  Gruss,
  Raul

  ---

  Raul Talmaciu, MICROSOFT 
  Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

  Mittwoch, 16. Oktober 2013 12:41

  Antworten

  |

  Zitieren