UAC
Standardbenutzer statt Administratorrechte: Least Privilege in Windows 7
Eine immer wieder empfohlene Best Practice lautet, normale
Benutzer nicht mit lokalen Administratorrechten auszustatten. Zu viele
Privilegien erhöhen nicht nur die Sicherheitsrisiken, sondern beschäftigen auch
den Helpdesk. Allerdings ließ sich das Least-Privilege-Prinzip unter XP mit
Bordmitteln alleine kaum umsetzen. Vista und Windows 7 brachten hier erhebliche
Fortschritte.
Programm ohne UAC-Prompt mit Administratorrechten starten
Die mit Vista eingeführte Benutzerkontensteuerung (User Account Control = UAC) sorgt bekanntlich dafür, dass Anwender standardmäßig mit reduzierten Rechten arbeiten, auch wenn sie administrative Privilegien besitzen. Wenn jedoch eine Aufgabe höhere Rechte erfordert, dann verlangt Windows vom Benutzer, dass er die Anhebung der Rechte explizit bestätigt. Dieser UAC-Prompt wird von einigen Administratoren als störend empfunden, so dass sie diesen Mechanismus auf Kosten der Sicherheit abschalten. Besser ist jedoch, für einzelne Programme Verknüpfungen anzulegen, die einen UAC-Prompt umgehen.
UAC: Sicherheit der Benutzerkontensteuerung auf Vista-Level erhöhen statt abschalten
Im Zuge der 2007 von Publikumszeitschriften nahezu einstimmig vollzogenen Vista-Verrisse kam auch die Benutzerkontensteuerung (UAC) mit in das Kreuzfeuer der Kritik: Die Sicherheitsfunktion wurde allgemein als Belästigung des Benutzers betrachtet und Anleitungen, wie man UAC abschalten kann, befinden sich nach wie vor stabil auf den Suchmaschinen-Rankings ganz vorne.
Windows-7-PC remote herunterfahren: „Zugriff verweigert“
Mit dem Kommandozeilen-Tool shutdown.exe
kann man, entsprechende Rechte vorausgesetzt, nicht nur den eigenen, sondern per
Parameter -m auch über das Netzwerk
verbundene PCs herunterfahren oder neu starten. Unter Windows 7 funktioniert
dies reibungslos nur noch für Domänen-Mitglieder. Der Versuch, einen Arbeitsgruppen-PC herunterzufahren, scheitert zunächst trotz passender Anmeldeinformationen mit „Zugriff verweigert“.
UAC-Filter für Windows-Fernwartung abschalten
Die Benutzerkontensteuerung alias User Account Control (UAC) besteht für viele Administratoren vor allem aus einem nervigen Dialog, den sie beim Zugriff auf geschützte System-Ressourcen wegklicken müssen. Tatsächlich implementiert die UAC aber das Prinzip der minimalen Benutzerrechte (least privilege), so dass User nicht mehr lokale Admin-Rechte benötigen, um gängige Tätigkeiten ausführen zu können. Allerdings erschwert die UAC den Fernzugriff, wenn dafür ein lokales Konto mit Administrorrechten benutzt wird.
Dateisystem- und Registry-Virtualisierung in Windows 7
Die Dateisystem- und Registry-Virtualisierung gestattet es, viele alte Anwendungen unter Windows 7 zu betreiben, ohne virtuelle Maschinen verwenden zu müssen. Speziell geht es um Programme, die nicht fähig sind (beziehungsweise es bis unter Windows XP nicht waren), ohne Administratorrechte zu laufen, da sie Daten und Benutzereinstellungen in System-Dateiverzeichnissen und System-Registry-Schlüsseln ablegen.
