Hilfe
Neues Thema
Antworten
Zitat (Spiderman: 01.09.2010, 19:57)
Doch UAC macht den Administrator sicherer.…
Nur in der Werbung, ansonsten: Nein.
Dieser Beitrag wurde von MacMark bearbeitet: 01. September 2010 - 19:53
UAC Diskussion
#331
MacMark 
- Gruppe: aktive Mitglieder
- Beiträge: 20
- Beigetreten: 30. August 10
- Reputation: 0
- Geschlecht:Männlich
- Wohnort:Scheeßel
- Interessen:OS X, Objective-C, Warcraft 3: The Frozen Throne, Schach. Beruflich: Diplom Informatiker (Uni), Software Developer (Objective-C, iPhone, iPad, Mac)
geschrieben 01. September 2010 - 19:53
Nur in der Werbung, ansonsten: Nein.
Nach oben
#332 _MagicAndre1981_
geschrieben 01. September 2010 - 20:01
sorry, du hast keinen Plan was du da schreibst. Man hat keine Adminrechte, sondern nutzt einen gefilterten Token. Weißt du überhaupt was das ist?
#333
MacMark
- Gruppe: aktive Mitglieder
- Beiträge: 20
- Beigetreten: 30. August 10
- Reputation: 0
- Geschlecht:Männlich
- Wohnort:Scheeßel
- Interessen:OS X, Objective-C, Warcraft 3: The Frozen Throne, Schach. Beruflich: Diplom Informatiker (Uni), Software Developer (Objective-C, iPhone, iPad, Mac)
geschrieben 01. September 2010 - 20:26
Zitat (MagicAndre1981: 01.09.2010, 21:01)
sorry, du hast keinen Plan was du da schreibst. Man hat keine Adminrechte, sondern nutzt einen gefilterten Token. Weißt du überhaupt was das ist?
Tztztz. Der "geschützte Admin" hat nicht ein Token, sondern zwei. Und das in der gleichen Session. Empfehlung: Lies es mal gründlich. Zusatzaufgabe: Finde raus, wer Mark Russinovich ist.
Dieser Beitrag wurde von MacMark bearbeitet: 01. September 2010 - 20:30
#334
Binabik
geschrieben 01. September 2010 - 20:59
Wie oft willst du noch "Werbung" für deine HP machen? Brauchst du Klicks?
Und ich glaube MagicAndre1981 zu empfehlen rauszufinden wer Mark Russinovich ist, ist ein Schuss der nach hinten losgeht...
Und ich glaube MagicAndre1981 zu empfehlen rauszufinden wer Mark Russinovich ist, ist ein Schuss der nach hinten losgeht...
Dieser Beitrag wurde von Binabik bearbeitet: 01. September 2010 - 21:03
#335 _MagicAndre1981_
geschrieben 02. September 2010 - 00:20
joa der Admin hat 2, ist ja auch toll so. So hantiert man ja nicht mehr mit 2 Konten rum (Ausführen als) wie bei XP. Zudem landen die Einstellungen immer im eigenen Registry-Hive und nicht im 2 Konto. Deine Werbung und Basherei ist unerträglich. Deinen Schrott habe ich mir durchgelesen, ist einfach für die Katz, da du nix verstehst. Die UAC ist kein Sicherheitsfeature, es ist ein Helfer um zu 95% mit Benutzerrechten arbeiten zu können. Für Aktionen die Adminrechte verlangen bestätigst du den UAC Prompt, dann wird das Programm mit dem vollen Admintoken gestartet. Super, macht alles alles Sinn 
Allein bei dem Satz:
hab ich mich vor lauter lachen nicht mehr ein-gekriegt, weil du damit zeigst, dass du die UAC NICHT verstanden hast. Du kannst nur Nachrichten zu Anwendungen schicken die die gleiche IL haben (Low zu low, Medium zu Medium, High zu High)
Zudem trifft die Aussgae mit dem Speicherverändern nur auf Windows 7 in der Standardeinstellung zu. Schaltet man es auf Vista- Level (Regler ganz hoch) kann sich KEINE Anwendung ohne Ausnutzung einer Sicherheitslücke (root rechte Erschleichung durch Sicherheistlücken gibts bei *nix/MacOS auch) Adminrechte einfach so verschaffen.
Heute hab ich es wirklich nur mit Möchtegern "Experten" zu tun, da a) keinen Plan haben aber sich b) wie die Gurus aufführen.
Lass es, du machst dich einfach lächerlich.
Allein bei dem Satz:
Zitat
Ein Schädling, der als nicht-privilegiertes Programm läuft, kann darüber privilegierte Programme des Benutzers beeinflussen und problemlos Systemrechte nutzen.
hab ich mich vor lauter lachen nicht mehr ein-gekriegt, weil du damit zeigst, dass du die UAC NICHT verstanden hast. Du kannst nur Nachrichten zu Anwendungen schicken die die gleiche IL haben (Low zu low, Medium zu Medium, High zu High)
Zudem trifft die Aussgae mit dem Speicherverändern nur auf Windows 7 in der Standardeinstellung zu. Schaltet man es auf Vista- Level (Regler ganz hoch) kann sich KEINE Anwendung ohne Ausnutzung einer Sicherheitslücke (root rechte Erschleichung durch Sicherheistlücken gibts bei *nix/MacOS auch) Adminrechte einfach so verschaffen.
Heute hab ich es wirklich nur mit Möchtegern "Experten" zu tun, da a) keinen Plan haben aber sich b) wie die Gurus aufführen.
Lass es, du machst dich einfach lächerlich.
Dieser Beitrag wurde von MagicAndre1981 bearbeitet: 02. September 2010 - 00:39
#336
MacMark
- Gruppe: aktive Mitglieder
- Beiträge: 20
- Beigetreten: 30. August 10
- Reputation: 0
- Geschlecht:Männlich
- Wohnort:Scheeßel
- Interessen:OS X, Objective-C, Warcraft 3: The Frozen Throne, Schach. Beruflich: Diplom Informatiker (Uni), Software Developer (Objective-C, iPhone, iPad, Mac)
geschrieben 02. September 2010 - 08:44
Zitat (Binabik: 01.09.2010, 21:59)
… Brauchst du Klicks? …
Wozu? Ich habe auf meiner Seite keine Werbung. Ist mein reines Privatvergnügen.
Zitat (MagicAndre1981: 02.09.2010, 01:20)
joa der Admin hat 2, ist ja auch toll so. So hantiert man ja nicht mehr mit 2 Konten rum…
Nein, das ist nicht toll, denn zwei getrennte Konten zu benutzen, eines als Admin, eines als Normalo, ist sicherer, weil die beiden Tokens und die unterschiedlich privilegierten Prozesse des "geschützten" Admins in einer gemeinsamen Session laufen und sich darüber beeinflussen können. Mit zwei Konten wäre die Beeinflussung so nicht mehr möglich.
Zitat (MagicAndre1981: 02.09.2010, 01:20)
Allein bei dem Satz: "Ein Schädling, der als nicht-privilegiertes Programm läuft, kann darüber privilegierte Programme des Benutzers beeinflussen und problemlos Systemrechte nutzen." hab ich mich vor lauter lachen nicht mehr ein-gekriegt, weil du damit zeigst, dass du die UAC NICHT verstanden hast. Du kannst nur Nachrichten zu Anwendungen schicken die die gleiche IL haben (Low zu low, Medium zu Medium, High zu High)
Du hast den Satz aus dem Zusammenhang gerissen. Es geht an der Stelle gar nicht um Anwendungsnachrichten, sondern um gemeinsam genutzte Objekte innerhalb der Session des "geschützten" Admins.
Wenn Du meinen Artikel richtig liest und auch die Quellen, die ich dort wörtlich zitiere und übersetze, nachprüfst, dann siehst Du, daß diese Aussagen von Mark Russinovich vom Microsoft Technet kommen. Wir können davon ausgehen, daß er die UAC verstanden hat
Zitat (MagicAndre1981: 02.09.2010, 01:20)
Zudem trifft die Aussgae mit dem Speicherverändern nur auf Windows 7 in der Standardeinstellung zu. Schaltet man es auf Vista- Level (Regler ganz hoch) kann sich KEINE Anwendung ohne Ausnutzung einer Sicherheitslücke …Adminrechte einfach so verschaffen.
…
…
Das geht, wie schon gesagt, über gemeinsame genutzte Objekte, da die Prozesse sämtlicher Level des "geschützten" Admins in einer gemeinsamen Session laufen bei Vista und 7 und egal, was Du einstellst.
Bei Windows 7 gibt es sogar noch eine weitere Möglichkeit, um von einer unprivilegierten Anwendung an Systemrechte zu kommen, indem man ganz ohne Sicherheitslücke und "by design" die "Auto-Elevation" der Programme nutzt, die bei Windows 7 auf der "weißen Liste" stehen. Aber das habe ich ebenfalls belegt mit Originalzitaten von Mark Russinovich vom Microsoft Technet in meinem Artikel beschrieben.
Und zum Lachen ist das ganz gewiß nicht, weil sich die Leute in falscher Sicherheit wiegen.
#337
slurp
- Gruppe: aktive Mitglieder
- Beiträge: 1.342
- Beigetreten: 25. September 08
- Reputation: 133
- Geschlecht:Männlich
geschrieben 02. September 2010 - 08:56
Und zack, gleich noch zweimal die tolle Website eingebunden
Mal davon abgesehen, dass du die in den letzten Beiträgen auch schon immer drin hast... mal abgesehen davon, dass du die Page eh in deiner SIgnatur drin hast...
Meinst du nicht, dass du dich langsam n bisschen lächerlich machst?
Oder anderes gesagt: wir habens alle kapiert... Eine Verlinkung auf den Artikel reicht vollkommen, und das hast du bereits in deinem ersten Comment getan.
Danke
Mal davon abgesehen, dass du die in den letzten Beiträgen auch schon immer drin hast... mal abgesehen davon, dass du die Page eh in deiner SIgnatur drin hast...
Meinst du nicht, dass du dich langsam n bisschen lächerlich machst?
Oder anderes gesagt: wir habens alle kapiert... Eine Verlinkung auf den Artikel reicht vollkommen, und das hast du bereits in deinem ersten Comment getan.
Danke
#338
Stefan_der_held
- Gruppe: Offizieller Support
- Beiträge: 14.293
- Beigetreten: 08. April 06
- Reputation: 887
- Geschlecht:Männlich
- Wohnort:Dortmund NRW
- Interessen:Alles wo irgendwie Strom durchfließt fasziniert mich einfach weswegen ich halt Elektroinstallateur geworden bin :)
geschrieben 02. September 2010 - 09:02
Zitat (MacMark: 01.09.2010, 18:32)
Die UAC wurde zwar als Sicherheitsfeature verkauft, ist jedoch keins.
Ochgott... geht das getrampel Mac VS Windows wieder los? Also bitte....
Es IST ein Sicherheitsfetaure - auch wenn es nerft.
Der User arbeitet somit nicht durchweg mit Adminrechten - auch wenn er ein solcher ist.
Möchte ein Programm in gesicherten Zonen was ändern (was vormals einfach unterbunden wurde) wird nun vorher gefragt - wobei unter "7" diese Meldungen entsprechend einstellbar sind.
Vorteil: Gewisse Bereiche sind geschützt und "explizite Adminrechte" gibt's nur auf Anforderung.
Nachteil: es wird nochmal vorher gefragt
Nehmen wir einfach mal den aktuellen Fall des 1. Rootkits für x64 Windowssysteme:
Wenn UAC an ist und man sich die Meldungen durchließt hat faktisch dieses Kit keine Changse auf dem Rechner da es den MBR schlichtweg nicht manipulieren kann.
Der zweite Zweck (direkt an die Sicherheit geknüpft) ist vom UAC selbst ohne dauerhafte Adminrechte und "Ausführen als..." durchweg arbeiten kann. Bei eingeschränkten Rechten kommt sofort ein Menü das um Eingabe der Admin-Logindaten bittet da sonst der aktuelle Prozess nicht oder nicht ordnungsgemäß ausgeführt werden kann.
Aber: deaktiviert UAC ruhig, schaltet Brain.Exe und den AV-scanner aus. Wer braucht den Mist schon
Gruß,
Stefan
#339
MacMark
- Gruppe: aktive Mitglieder
- Beiträge: 20
- Beigetreten: 30. August 10
- Reputation: 0
- Geschlecht:Männlich
- Wohnort:Scheeßel
- Interessen:OS X, Objective-C, Warcraft 3: The Frozen Throne, Schach. Beruflich: Diplom Informatiker (Uni), Software Developer (Objective-C, iPhone, iPad, Mac)
geschrieben 02. September 2010 - 09:13
Zitat (Stefan_der_held: 02.09.2010, 10:02)
… Es IST ein Sicherheitsfetaure … Der User arbeitet somit nicht durchweg mit Adminrechten - auch wenn er ein solcher ist.
Nein, es ist kein Sicherheits-Feature siehe oben.
Der "geschützte" Admin hat auch weiterhin Adminrechte, zeitgleich in derselben Session mit den Normalrechten. Und das ist das Problem. Wenn Du mir nicht glauben magst, ist das okay. Dann lies die verlinkten Artikel von Mark Russinovich vom Microsoft Technet. Das steht das Gleiche, nur auf Englisch.
Dieser Beitrag wurde von MacMark bearbeitet: 02. September 2010 - 09:14
#340
slurp
- Gruppe: aktive Mitglieder
- Beiträge: 1.342
- Beigetreten: 25. September 08
- Reputation: 133
- Geschlecht:Männlich
geschrieben 02. September 2010 - 09:16
obvious troll is obvious... sorry, mehr fällt mir dazu echt nicht mehr ein
#341 _MagicAndre1981_
geschrieben 02. September 2010 - 10:19
lass es einfach. Ich habe dir schon gesagt, dass das ein Windows 7 Problem ist, ich kenne diese AutoElevation- Lücke und hab diese hier schon vor 1 1/2 Jahren gepostet und ich nutze immer das Vista level! Da ist MAN SICHER!
Du kannst außer blinden Vermutungen nix belegen! Die Prozesse sind wegen der ILs gegenseitig geschützt! Lies dir die Doku dazu nochmal durch! Starte ein Programm mit Adminrechten (Dateimanager) und versuche Dateien vom Explorer hineinzuziehen, da wirst du sehen, dass das nicht geht!
Du störst dich nur daran, dass der Nutzer in der Admingruppe ist. Tooles Argument. Das es für Otto-Normale-Nutzer wie dich zu kompliziert zu erkennen ist, hab ich MS vor 3 Jahren schon gesagt. Schieb den UAC Regler auf die höchste Stufe und dein Windows ist sicher.
Du kannst außer blinden Vermutungen nix belegen! Die Prozesse sind wegen der ILs gegenseitig geschützt! Lies dir die Doku dazu nochmal durch! Starte ein Programm mit Adminrechten (Dateimanager) und versuche Dateien vom Explorer hineinzuziehen, da wirst du sehen, dass das nicht geht!
Du störst dich nur daran, dass der Nutzer in der Admingruppe ist. Tooles Argument. Das es für Otto-Normale-Nutzer wie dich zu kompliziert zu erkennen ist, hab ich MS vor 3 Jahren schon gesagt. Schieb den UAC Regler auf die höchste Stufe und dein Windows ist sicher.
#342
MacMark
- Gruppe: aktive Mitglieder
- Beiträge: 20
- Beigetreten: 30. August 10
- Reputation: 0
- Geschlecht:Männlich
- Wohnort:Scheeßel
- Interessen:OS X, Objective-C, Warcraft 3: The Frozen Throne, Schach. Beruflich: Diplom Informatiker (Uni), Software Developer (Objective-C, iPhone, iPad, Mac)
geschrieben 02. September 2010 - 10:59
Auto-Elevation für White-List-Programme ist keine Lücke, sondern by Design. Microsoft steht da voll hinter, siehe Jon DeVaan.
Die Integritätsstufen sind aber so oder so kein Sicherheitsgewinn, da die verschiedenen Level in der gleichen Session dieses "geschützten" Admins laufen. Sie können sich dadurch gegenseitig kompromittieren. Dafür nennt Mark diverse Möglichkeiten. Die Level sind nicht gegeneinander sicher. Sie sind keine Sicherheits-Schranke. Dafür sind sie auch nicht gedacht.
Vielleicht fragst Du mal Mark Russinovich vom Microsoft Technet, wenn Du seine von mir zusammengefaßten und übersetzten, verlinkten Artikel schon nicht liest. Du kannst die Zitate allerdings leicht im Original wiederfinden. Erzähl Mark mal "Die Prozesse sind wegen der ILs gegenseitig geschützt!" und dann komm wieder ^^
Die Integritätsstufen sind aber so oder so kein Sicherheitsgewinn, da die verschiedenen Level in der gleichen Session dieses "geschützten" Admins laufen. Sie können sich dadurch gegenseitig kompromittieren. Dafür nennt Mark diverse Möglichkeiten. Die Level sind nicht gegeneinander sicher. Sie sind keine Sicherheits-Schranke. Dafür sind sie auch nicht gedacht.
Vielleicht fragst Du mal Mark Russinovich vom Microsoft Technet, wenn Du seine von mir zusammengefaßten und übersetzten, verlinkten Artikel schon nicht liest. Du kannst die Zitate allerdings leicht im Original wiederfinden. Erzähl Mark mal "Die Prozesse sind wegen der ILs gegenseitig geschützt!" und dann komm wieder ^^
#343 _MagicAndre1981_
geschrieben 02. September 2010 - 11:19
ich lass es einfach. Troll bei heise weiter. Ich weiß im Detail wie die UAC arbeitet, du leider nicht.
#344
MacMark
- Gruppe: aktive Mitglieder
- Beiträge: 20
- Beigetreten: 30. August 10
- Reputation: 0
- Geschlecht:Männlich
- Wohnort:Scheeßel
- Interessen:OS X, Objective-C, Warcraft 3: The Frozen Throne, Schach. Beruflich: Diplom Informatiker (Uni), Software Developer (Objective-C, iPhone, iPad, Mac)
geschrieben 02. September 2010 - 13:27
Zur Kompromittierung unterschiedlich privilegierter Prozesse des "geschützten" Admins, die zwangsläufig in der gleichen Session laufen, kannst Du nichts sagen? Oder zu den Wegen, über die das laut Mark Russinovich vom Microsoft Technet möglich ist?
#345 _MagicAndre1981_
geschrieben 02. September 2010 - 14:23
Zitat (MacMark: 02.09.2010, 14:27)
Zur Kompromittierung unterschiedlich privilegierter Prozesse des "geschützten" Admins, die zwangsläufig in der gleichen Session laufen, kannst Du nichts sagen?
es ist nur möglich wenn man den Regler auf der Standardeinstellung lässt! UNTER Vista (wie auch bei Windows 7 wenn der Regler auf der Höchsten Stufe steht) kannst du niemals von Programmen mit niedriger IL eine Anwendung mit höhere IL kompromittieren.
Willst oder kannst du das nicht begreifen?
Besorg dir den UAC Exploit von Leo Davidson, starte ihn unter vista/Win7 (Regler auf höchster Stufe) und schau was passiert und troll hier nicht so rum. Diese Wissenlücken sind leider viel größer als dein Wissen zum Thema UAC. Sorry, wenn man dir das so deutlich vor den Kopf knallen muss, sonst willst du das nicht verstehen.
Du reist die Statements von Mark aus dem Kontext. Er verteidigt die UAC Whitelist und wie du mitbekommen hast, bin ich auch dagegen und es lässt sich ja schnell abschalten und man ist SICHER!
