Viren, Spyware, Datenschutz 11.021 Themen, 91.068 Beiträge

News: UAC schützt nicht ausreichend vor Viren

Windows 7: Quälmechanismus für die Katz?

Michael Nickles / 15 Antworten / Baumansicht Nickles

Bereits Windows Vista sollte das sicherste Windows aller Zeiten sein. Dafür hat Microsoft unter anderem den User Account Control (UAC) eingeführt. Bei nahezu "jedem Mausklick" ging der bei Vista auf und fragte nach, ob die Aktion wirklich ausgeführt werden soll.

Die ständige Neverei durch den "Quälmechanismus" hat viele Vista-Anwender an den Rand des Wahnsinns getrieben. "Profis" schalteten ihn deshalb ab, "Laien" klickten halt einfach immer auf "Okay" ohne noch mal nachzudenken, was das Sicherheitskonzept natürlich in beiden Fällen ruiniert. Das hat auch Microsoft erkannt und den UAC bei Windows 7 entschärft.

Standardmäßig quengelt er deutlich weniger als bei Vista und wer mag, kann ihn per "Schieberegler" auch bequem komplett ausschalten. Das PC-Sicherheitsunternehmen Sophos hat jetzt mal untersucht, was passiert, wenn man bei Windows 7 auf spezielle Antiviren-Scanner verzichtet und der Standardeinstellung des User Account Control vertraut.

Dazu wurde einem Windows 7 ohne Virenscanner mal eine Ladung Viren drübergeschüttet. Konkret wurden einfach die zehn nächstbesten Viren genommen, die im Sophos-Labor eintrafen. Erschütterndes Ergebnis: sieben der zehn Viren konnten sich mühelos in Windows 7 einnisten und aktivieren - egal ob UAC ein- oder ausgeschaltet wurde.

Zwei Viren schlichen sich zwar am UAC vorbei, konnten sich allerdings nicht ausführen, weil sie mit der neuen Windows Version nicht klarkamen. Nur in einem einzigen Fall gelang es UAC einen Virus zu stoppen, der es bei ausgeschaltetem UAC geschafft hätte.

Welche Viren ausprobiert wurde, zeigt die Tabelle im Blog von Sophos. So bleibt für Sophos schließlich nur die Erkenntnis, dass auch unter Windows 7 ein Virenscanner Pflicht ist, wer nur UAC traut, der hat verloren.

Michael Nickles meint: Okay. Sie haben "nur" zehn Viren ausprobiert. Ob UAC bei "tausend Viren" vielleicht besser abgeschnitten hätte?

Man kann jetzt natürlich argumentieren, dass UAC ja kein "Virenscanner" sondern ein "ganz anderer" Sicherheitsmechanismus ist. Die Frage ist dann allerdings, was er überhaupt bringen soll.

bei Antwort benachrichtigen
PaoloP Michael Nickles

„Windows 7: Quälmechanismus für die Katz?“

Optionen

Das du jetzt schon 2x meinst ist bemerkenswert.

Jedes mal wenn jemand "Cloud" sagt, verliert ein Engel seine Flügel.
bei Antwort benachrichtigen
Devil_McAcid PaoloP

„Das du jetzt schon 2x meinst ist bemerkenswert.“

Optionen

Interessanter Beitrag, aber dass alles irgendwie zweimal dasteht verwirrte mich beim Lesen auch leicht...

bei Antwort benachrichtigen
PaoloP Devil_McAcid

„Interessanter Beitrag, aber dass alles irgendwie zweimal dasteht verwirrte mich...“

Optionen

Vor allem ist das rumgemeinte mal wieder länger als der eigentliche Blog :D

Jedes mal wenn jemand "Cloud" sagt, verliert ein Engel seine Flügel.
bei Antwort benachrichtigen
Jokeman Michael Nickles

„Windows 7: Quälmechanismus für die Katz?“

Optionen

Hallo.
So ein Progi hatte Norton auch 96 oder 97. war angeblich ein "Absturzverhüter" Ich hatte das Ding eine Stunde auf dem Comp. Sofort wieder gelöscht. Bei jedem Spiel was du angeklickt hast, stoppte der Aufbau und du wurdest gefragt, ob das dein Wunsch und Wille ist, dass das Spiel ausgeführt wird. Wurde das Spiel beendet, das gleiche. So weit ich das noch im Kopf habe, war das "Norton Utilities" Konnte ich nur über die Registry komplett löschen.
Gruß Jogi

Wenn alle Politiker das täten, was sie mich könnten, käme ich den ganzen Tag nicht zum sitzen
bei Antwort benachrichtigen
Wiesner Michael Nickles

„Windows 7: Quälmechanismus für die Katz?“

Optionen

Da bei den meisten Windows Usern noch immer die Meinung herscht "Ich bin der Admin, und als solcher arbeite ich auch immer"
wird sich an den Sicherheitslücken nichts ändern.
Aber jede Veränderung in Richtung Sicherheit ist ja ein Quälmechanismus.
Wenn alle als Standarduser (oder besser) arbeiten würden käme es (nicht)weniger zu solchen Meldungen.

Dies währe übrigends ein Nickles - Buch wert! (Kaufempfehlung)

"Nickles Windows-Sicher Report"

Anleitungen wie man unter Windows mit eingeschränkten Rechten arbeitet.
Für Spiele, Instalationen und Programmierung.

Greets
Mike ein Linux- und Windows- User.

bei Antwort benachrichtigen
Olaf19 Wiesner

„Da bei den meisten Windows Usern noch immer die Meinung herscht Ich bin der...“

Optionen

Naja, ich finde schon, dass dieser Sicherheitsaspekt unter anderen Betriebssystemen ziemlich gut gelöst ist.

Bei Ubuntu z.B. bist du nie mit allen Root-Rechten angemeldet - wenn diese wirklich benötigt werden, meldet sich das System, ansonsten wirst du in Ruhe gelassen. Bei Mac OS X funktioniert es ganz analog. Z.B. werde ich nach dem Download einer Software beim ersten Start gefragt, ob ich dieses Programm wirklich starten möchte. Dabei steht noch, dass ich es aus dem Internet geladen habe und wann das war.

Ich finde das ziemlich unaufdringlich.

CU
Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
Wiesner Olaf19

„Naja, ich finde schon, dass dieser Sicherheitsaspekt unter anderen...“

Optionen

Ich halte die UAC auch für lästig, doch ich hoffe das durch diese ein Umdenken bei den Windows Usern stattfindet.
Das mit dem höflich nachfragen funst bei Win-Usern nicht.

Ähnlich Ubuntu läuft es aber unter Win mit einem Standarduser ab. (zumindest ab Vista)

bei Antwort benachrichtigen
dalai Wiesner

„Ich halte die UAC auch für lästig, doch ich hoffe das durch diese ein Umdenken...“

Optionen
Ähnlich Ubuntu läuft es aber unter Win mit einem Standarduser ab. (zumindest ab Vista)
Ne, eben nicht. Die sind nur ganz entfernt ähnlich.

Erstens muss man unter Ubuntu ein Passwort eingeben; unter Vista wird man dazu genötigt, einfach nur zu bestätigen. Das führt dazu, dass die Leute eben einfach abnicken, statt sich mal Gedanken zu machen, warum sie jetzt ein Passwort eingeben müssen. Wobei ich nicht verschweigen will, dass die Infos in dem UAC-Dialog mehr als dürftig sind und immer noch ein in meinen Augen überflüssiger "Details"-Button existiert (man kann die Infos auch gleich einblenden).

Zweitens: muss man unter Ubuntu bei jeder Aktion wieder das Passwort eingeben? Nein, weil es für eine bestimmte Zeit (IIRC 15 Minuten) gecached wird. Das reduziert die Anzahl der Nachfragen nochmals deutlich.

Wenn du mit "Standarduser" tatsächlich die Benutzerklasse "Benutzer" bzw. "Hauptnutzer" meinst: ja, dort wird tatsächlich auch bei Vista nach einem Passwort gefragt, leider existiert auf einer Standardinstallation wie immer nur ein Administrator, auch wenn dieser erstmal keine derartigen Rechte hat und sie sich durch die UAC holen muss.

MfG Dalai
Echte Hilfe kann´s nur bei Rückmeldungen geben.
bei Antwort benachrichtigen
Wiesner dalai

„ Ne, eben nicht. Die sind nur ganz entfernt ähnlich. Erstens muss man unter...“

Optionen

Ja, ich weiss diese Feinheiten sind auch bei mir der Aufreger.
Vieleicht bei Windows 8 :-)

Aber ich muss sagen ich hab mich schon daran gewöhnt.
Bei der Erstinstall wird die UAC abgedreht, später kommt nicht mehr soviel dazu,
so kann man die Abfrage akzeptieren.
Und es werden als StandardUser alle wichtigen Programme mit "runas" gestartet.

Ich fühl mich dadurch bis auf 3 Party und IE Lecks (Firefox User) relativ sicher.

Ich sprach deshalb auch von einem ersten Umdenken der Windows User, deshalb gebt Ihnen keine Adminrechte mehr, sondern Scripts und Anleitungen die das Leben als StandardUser leichter machen.

bei Antwort benachrichtigen
dalai Wiesner

„Ja, ich weiss diese Feinheiten sind auch bei mir der Aufreger. Vieleicht bei...“

Optionen
deshalb gebt Ihnen keine Adminrechte mehr, sondern Scripts und Anleitungen die das Leben als StandardUser leichter machen.
Dem kann ich mich voll und ganz anschließen und noch hinzufügen, dass die Softwareentwickler hier viel mehr Aufwand treiben sollten, damit ihre Anwendungen sauber ohne Adminrechte laufen.

Ich erlebe es immer wieder, dass selbst neu entwickelte Software bei GiveAwayOfTheDay weggegeben wird und die Einstellungsdateien ins Programmeverzeichnis schreiben *grml*. Sowas sollte schon seit ca. 10 Jahren verboten sein, denn so lange gibt's Win2k schon.

MfG Dalai
Echte Hilfe kann´s nur bei Rückmeldungen geben.
bei Antwort benachrichtigen
babbage Michael Nickles

„Windows 7: Quälmechanismus für die Katz?“

Optionen

ich find die UAC auch irgendwie überflüssig.

Als admin sollte man auch admin sein.
Und als user sollte man auch user sein.

Per default halt user und bei installationen/sysconfig-änderung gibts halt ne passwortabfrage, ist in anderen OS'en gut geregelt.

Aber wenn das restliche system nicht darauf designed ist und nach jedem knopf 2 bis 3mal nachfragt bzw. wenn das programm alle designrichtlinen/best practises neu definert wunderts mich nicht wenn das in die hose geht.

ist bei microsoft oft so. Prinzipiell wird ein gutes design geschaffen, aber dann an der implementiertung hoffnungslos gescheitert weil alle anderen programme nicht oder nur notdrüftig/unzumutbar mitspielen.
Als beispiel kann man den win2008server im konsolen modus nennen.
Die shellbefehle sind um ein vielfaches zu lang.
Man kann viele programme nicht installieren,da abhängigkeiten oft sehr fragwürdig sind.
Bei gewissen meldungen muss man erst recht wieder lokal arbeiten um "POPUPS" clicken.
Man kann nachträglich nicht den rest dazuinstallieren.

Und so ist es bei der UAC auch.

Hobbyprogrammierer testet grundsätzlich als root. Konfigurationsdatei des programmes ist hardcoded auf C:\windows\ oder ähnlichem -> kein weiterer comment.

Admin will ne admintätigkeit machen und führt daher ne "root-shell" aus. Drag'n'Drop ist nicht möglich, und die benutzerumgebung wird auch nicht 100%ig übernommen.

Das interface für file-berechtigungen ist derartunübersichtlich geworden. Es gibt 4 fenster mit fast ähnlichem inhalt, bei einem kann man was ändern bei einem andern popt ein neues auf wenn man was ändern will, dann kommt noch ein neues fenster für "Advanced" wo man noch mal clicken muss damit man auf "Advanced" was bearbeiten kann.

Verstehe nicht wie sowas durch die qualitätsicherung kommen kann.

bei Antwort benachrichtigen
Xdata Michael Nickles

„Windows 7: Quälmechanismus für die Katz?“

Optionen

Bei Linux und Apple funktioniert es doch auch, warum soll es bei Windows so einfach umgangen werden können?
Wenn es wahr ist, so ist UAC nur eine Show die nur für den User wirksam ist, aber nicht für Angreifer und Malware.

Andernfalls, sind wohl vordergründig kaufmännische Überlegungen und Auslegungen des Anbieters der Schutzsoftware in den Test eingeflossen.


Bei Linux geht ja beides, wie Ubuntu und Debian zeigen.
Debian hat nicht die sudo 1 User Methode.
Beides ist aber sicher, wie die Praxis zeigt.


Wenn es so ist, also Programme in Windows Xp,Vista und 7
System oder Administratorrechte erreichen können, obwohl der User nur als Normaler drin ist..
Dann wundert mich die anscheinend leichte Kompromittierbarkeit von
Windows
im Vergleich zu Mac oder Linux nicht.

An das Ammenmärchen "es liegt an der viel größeren Verbreitung von Windows"
hab ich nie geglaubt.

Dann doch eher daran "Die Trennung (Benutzerrechte) sind bei Windows nur Fassade" und machen nur dem User Probleme, aber nicht dem Angreifer.

bei Antwort benachrichtigen
Conqueror Michael Nickles

„Windows 7: Quälmechanismus für die Katz?“

Optionen

Wie bekannt wurde UAC aufgeweicht gegenüber Vista. nun ist es auch wieder nicht Recht.
Nur kann die UAC nicht das leisten, was ein Virenscanner zu leisten im Stande ist.
Ergo falsche Diskussion.

bei Antwort benachrichtigen
Olaf19 Conqueror

„Wie bekannt wurde UAC aufgeweicht gegenüber Vista. nun ist es auch wieder nicht...“

Optionen

Ich denke, das ist keine Frage von "härter oder weicher", es geht um das Sinnvolle und das Notwendige.

Meine Windows-Erfahrung reicht nur bis XP, ich habe nicht mehr miterlebt, wie das unter Vista oder jetzt 7 gelöst worden ist. Von anderen Systemen - Linux/Ubuntu und Mac OS X - kenne ich es so:

Grundsätzlich bin ich ohne Administratorrechte unterwegs. Wann immer ich etwas tue, was das System in irgendeiner Form beeinträchtigen könnte - Verändern von Systemordnern oder -Einstellungen, Starten von unbekannter Software aus dem Internet, Einhängen eines unbekannten Datenträgers - werde ich aufgefordert, mein Administratorpasswort einzugeben.

Das geschieht so oft, wie es eben nötig ist - und das ist so selten, dass es nicht nervt, wenigstens mich nicht.

Ehrlich gesagt, ich bin etwas überrascht über diese Diskussion. Ich hatte angenommen, dass dieses Prozedere bei allen relevanten BS - Win ab Vista, Mac, Linux - inzwischen völlig angeglichen ist. Ich kann nur das bekräftigen, was Xdata sagt - an und für sich ist das UAC eine gute Sache. Gegenüber Windows XP ist das eine klare Verbesserung, evtl. fehlt es nur noch etwas am Feintuning.

CU
Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
Xdata Michael Nickles

„Windows 7: Quälmechanismus für die Katz?“

Optionen

Die UAC ist ansich ja eine gute Sache,
Bei Xp war es ja sogar für Nichtanfänger schwierig und umständlich nicht als Adminisistrator zu surfen.

Ausführen als.. hat auch erst ab Server 2003 halbwegs funktioniert.
Wer es nicht glaubt, kann ja als normaler User unter Xp irgendwas damit zu installieren. nichtmal die Temperatur mit
Everest auslesen geht.
Und Server 2003, wo es dann ging ist nicht als Desktop System gedacht.

In Bezug auf Sicherheit und "als Administrator Surfen" gibt es nicht selten Überraschungen.
Ein Xp von jemanden der dies seit Jahren macht hatte nichts meßbares drauf an Malware.
Auch bei einem Scan mit einer externen CD nicht.

Bei mit "Sicherheit" vollgepackten Systemen kann man oft doch was finden.

Es ist schon frustrierend wenn es keinen roten Faden gibt warum einige "mehr drauf haben" als User wo nach einem halben Jahr nichts zu finden ist.

Bestimmtes Verhalten scheint auch ein aktuelles System zu unterwandern.

Jedenfalls ist es nicht allein das Surfen als Administrator.
Aber nochmal, die Trennung von Benutzer und User ist wichtig,
aber ein zahnloser Tiger wenn es von Schädlingen zu leicht umgangen werden kann!


bei Antwort benachrichtigen