So meinte ich das... es kommt der Befehl "Setze Einstellung x auf y", dann überprüft das System ob das erlaubt ist und ändert es oder frägt nach Credentials. Wie ich sehe, läuft dann der Prozess securityd->authorisationhos und regelt den Zugriff auf die Einstellungen.Die Systemeinstellungen haben verschiedene Sicherheitslevel. Manche harmlose darf jeder für sich ändern. Für die kritischeren muß man sich als Admin ausweisen. Manche davon kann man auch "aufschliessen", so daß man sich nicht immer als Admin für diese (nicht die anderen) ausweisen muß. Die ganz kritischen erfordern jedes Mal eine Authentifizierung als Admin. Man sagt praktisch dem System: Ich hätte gerne xy. Dann prüft das System, ob Du einer von denen bist, die sich xy überhaupt wünschen dürfen. Wenn das ok ist, dann sagt das System zu sich selbst: Mach mal xy. Es wird kein Befehl des Users ausgeführt.
Das ist "mein Alltag". Und die mir bekannten Privat-PCs laufen natürlich alle mit Win-Admin, allein schon weil die UAC als Normalo noch nerviger ist.
Für diesen speziellen Fall, OK. Jedoch traue ich einem Windows-Entwickler 1. zu dass er sich nicht irgendwelche Malware einfängt und 2. könnte diese (wie unter jedem anderen System auch) auch ohne Adminrechte schon genug Schaden anrichten.
Aber im Firmenumfeld ist es allgemein eher üblich, normale Benutzer nicht mit Adminrechten auszustatten, bei Entwicklern ists natürlich anders
Bei den Privat-PCs ists halt einfach Bequemlichkeit und der "wird schon nichts passieren"-Faktor. Aber das sieht man ja nich nur bei Win, sondern auch oft genug bei den Macusern.
Wird oftmals gemacht, obwohl meistens die Vergabe von Schreibrechten ins Programmverzeichnis reichen würde. Übrigens: Corel Draw X5 braucht definitv keine Adminrechte. Catia verwende ich nicht, und ka wies bei eurem Warenwirtschaftsprogramm ist.Zum Thema arbeiten als Admin bei Windows kann ich auch noch meinen Senf dazugeben.+
Also bei uns in der Firma war und ist es so das eigentlich alle Benutzer als Administrator angelegt sind da sonst leider einige Programme (z.B. CorelDraw, CatiaV5, Warenwirtschaftsprogramm und noch einige mehr) nicht ausgeführt werden können bzw. nicht richtig funktionieren.
Betriebssystem ist bis auf 2-3 Rechner Win XP. Bei den anderen ist es Win 7, hier bin ich mir aber nicht sicher ob da auch auf Admin eingestellt ist.
Wir sind zwar nur ein ca. 100 Mann betrieb (davon ungefähr 25 - 30 PC Arbeitsplätze) aber hier geht's nicht anders.
Aber manchmal gehts halt leider wirklich nicht anders.
Ich habe dies http://forums.techarena.in/guides-tutorials/1099030.htm gerade mal unter Vista mit aktiver UAC ausprobiert. Ich hatte damit einen Link auf dem Desktop erstellt, der mir eine "volle" Admin-Shell auf Vista aufmacht, ohne daß ein UAC-Prompt für dieses Öffnen kommt. Mit der Admin-Shell kann ich fremde User-Verzeichnisse beispielsweise nach Belieben ändern: Dateien anlegen, vorhandene löschen, alles.
Mh, jap da war mal was... Privilege Escalation durch geplante Tasks wegen schlampiger Validierung. Sollte aber mit akutellstem Patchstand gefixt sein, da sollte zum Anlegen des Tasks die UAC einhaken. Wenn das nicht der Fall ist bitte laut schreien
Im Ernst, das wär dann schon harter Tobak, mal schaun.
Und hier http://www.pretentiousname.com/misc/win7_uac_whitelist2.html gibt es Sourcen und lauffähigen Code und ausführliche Doku, der unter Win 7 (früher hatte er auch eine Version für Vista) mit Hilfe einer der Whitelist-Apps von Windows die UAC umgeht. (Wie auch von mir und Mark R. dokumentiert.) Die UAC ist laut ihm (und da stimme ich zu) nur Security-Theater. Show.
Das ist ein wirklich interessanter Artikel, besonders die Beschreibung unter http://www.pretentiousname.com/misc/W7E_Source/win7_uac_poc_details.html
Werd ich morgen bei Gelegenheit mal ausprobieren, aber laut der Beschreibung ist es ein komplizierter Exploit, der Lücken in sysprep.exe und cryptbase.dll ausnutzt.
Ich schätze halt, dass die Lücken inzwischen mit einem Patch längst behoben wurden, insbesondere wenn das Problem schon öffentlich bekannt und ausnutzbar ist.
so long, schönen Abend
andi42