Bestimmte Programme nicht mehr "als Admin ausführen"

[Martinus33]

Hallo,
nachdem ich mein ursprüngliches Admin-Konto zum Standard-Benutzer gemacht habe, gibt es leider relativ viele Programme, deren Start das Admin-PW (eines zweiten Admin-Kontos) erfordern. Zum Beispiel melden sich nach dem Login automatisch immer zwei Programme von Asus, meinem Mainboard-Hersteller. Hinzu kommen noch andere Programme wie z.B. UltraSearch zum Suchen einer Datei im PC.

Eines der Asus-Programme nennt sich EPUHelp.exe. Bei Rechtsklick zeigt das Menü "Als Admin ausführen". Wenn ich unter "Eigenschaften - Kompatibilität/Verknüpfung" schaue, ist "Als Admin ausführen" aber nicht markiert. Unter "Eigenschaften - Sicherheit" habe ich als Standard-Benutzer Vollzugriff, also alle Rechte.

Warum sind da faktisch Admin-Rechte erforderlich? Kann man bei den betreff. Programmen nicht einstellen, dass keine Admin-Rechte erforderlich sind?

 

[Jesterfox]

Die Programme greifen vermutlich auf Dateien oder Ressourcen zu die nur mit vollen Admin Rechten verfügbar sind. Solche Programme können die UAC von sich aus triggern sobald sie die rechte benötigen, von daher ist das nicht von außen Steuerbar. Würde auch wenig helfen wenn sie die rechte bracuhen um zu funktionieren.


Die Frage ist was das für Programme sind und ob du sie überhaupt brauchst.

 

[Martinus33]

Am meisten nerven die beiden Asus-Programme, Al Suite 2 und EPUHelp, die v.a. dem Überwachen und Steuern des Mainboardes dienen, z.B. diverse Temperaturen, Lüfter ect.

Bei den anderen Programmen könnte man z.T. nach Alternativen suchen, aber wer weiß, ob die dann nicht auch Admin-Rechte brauchen.

 

[Jesterfox]

Hm, die greifen direkt auf die Hardware zu um diese auszulesen und zu steuern... das wird ohne die Rechte nicht gehen. Der MSI Afterburner braucht die auch.

Es gibt nen Trick solche Programme über den Taskplaner mit hinterlegten Admindaten zu starten, dann kommt die Nachfrage nicht. Genaueres müsst ich aber auch erst googeln.

 

[Martinus33]

Das heißt, ich würde im Taskplaner festlegen "starte wie bisher nach dem einschalten, hier ist mein Admin-PW, dann brauchst du es nicht mehr nach dem Einschalten"?

Das Problem bei den beiden: Wenn der PC nach 15 Minuten Inaktivität in Standby geht, melden sie sich beim Weiterarbeiten wieder, usw. usw.
Das einzig Positive: mein kryptisches PW aus 17 Stellen kann ich mittlerweile auswendig... nervt aber trotzdem.

 

[Jesterfox]

So ungefähr sollte das funktionieren. Aber wieso musst du da immer dein PW eintippen? Die UAC sollte eigentlich nur nen Klick erfordern. Ach so, ich sehs grad das du vom privilegierten Benutzer auf Standardbenutzer runter bist. Würd ich ehrlich gesagt nicht machen ;-) UAC auf High und beim "PowerUser" bleiben.

 

[Martinus33]

Das Ganze dient der Sicherheit. Wenn z.b. ein Trojaner loslegen will, kann er nicht viel machen, weil er keine Admin-Rechte zum Installieren von Programmen vorfindet ect. Wenn er diese Hürde aber leicht überwinden kann, kann ich mir das Ganz gleich sparen, dachte ich. Und so habe ich dem "neuen" Admin ein geeignetes PW mitgegeben.

UAC ganz hoch, das heißt, es wird oft nachgefragt, aber nicht mehr als nur nachgefragt (ohne PW)? Ist das eine nennenswerte "Behinderung" für einen Angreifer?

 

[Hellblazer]

Hast du vielleicht eine Tastatur mit Makro-Tasten? Wenn ja, leg dein PW auf eine der Tasten. Dann musst du nur noch die Taste drücken und gut. Solange nur du den PC nutzt und in deinem Tastatur-Verwaltungsprogramm das Makro nicht unbedingt eindeutig als PW gekennzeichnet ist, sollte da eigentlich auch nichts passieren.
Wenn du keine Makro-Tasten hast, dann gibts wohl sicherlich auch Programme, die dir ein solches Makro realisieren können (AutoIT etc.)
Vorteil eines solchen Makros ist, dass du sie bei jeder UAC-Frage verwenden kannst. Also auch wenn du etwas installierst, oder irgendein Programm mal eben schnell als Admin ausführen willst.

 

[Martinus33]

Klingt praktisch, selbst für andere sachen.

Allerdings habe ich eine normale Office-Tastatur von HP. Zwar keine schlechte, aber unbelegte Tasten sind mir noch nicht aufgefallen. Eine einzige würde ja genügen, aber da is nix:
Oben die F-Reihe, dann die üblichen 5 Reihen darunter. Rechts zwei Blöcke, einer mit Pfeil/Bild-Tasten und daneben der Zahlenblock.

"Irgendwo" auf dem PC wäe dann halt das PW gespeichert...

 

[Jesterfox]

Das würde nur bei einer Tastatur mit Hardware-Makros gehen, eine Software wie AutoIt hat keinen zugriff auf die Passworteingabemaske. Und das ist der springende Punkt: selbst den "einfachen" Klick bei der UAC kann man nicht ohne weiteres (solange alles nach Plan läuft und Windows keine offene Sicherheitslücke hat: gar nicht) per Software auslösen. Von daher reicht der als Sicherheit, man sollte die UAC nur auf Maximum stellen, per Default fragt die nicht bei allen kritischen Sachen nach (weil sich die Leute bei Vista beschwert haben das sie angeblich zu oft kommt...)

 

[Hellblazer]

Das würde nur bei einer Tastatur mit Hardware-Makros gehen, eine Software wie AutoIt hat keinen zugriff auf die Passworteingabemaske.

Ich weiß ja jetzt nicht, wie die Makros bei Lgitech (G19) umgesetzt sind, aber man erstellt dort die Makros mittels der Logitech gaming-Software und legt diese dann auf eine Makro-Taste. Läuft die Software nicht, funktionieren die Makro-Tasten auch nicht. Drücke ich in der UAC jedoch meine Passwort-Makro-Taste, dann wird das Passwort eingegeben. Das hört sich doch ziemlich nach Software-Makro an, oder habe ich eine falsche Auffassung von "Hardware"- und "Software"-Makro?
Andererseits, kann ich mit meinem in C# geschriebenen Key-Hook nicht in der UAC schreiben (nur wenn der Hook als Admin ausgeführt ist).
Wie Logitech das dann umsetzt, kann ich mir auch nicht erklären.

 

[Martinus33]

@Jesterfox:
Du meinst den Schieberegler für die Benachrichtigungen?

Also wenn ich das Standard-Konto wieder zum Admin-Konto machen würde und "UAC ganz hoch", dann werde ich ab und zu mal gefragt, muss aber kein PW eingeben, weil ich ja schon als Admin unterwegs bin? Öfters mal ein Klick wäre kein Problem für mich. So hatte ich es ja vorher auch (fast, Schieberegler in 2. Position oben), aber ich dachte, die Variante mit dem Standard-Benutzer sei deutlich sicherer. Wobei es mir nur um Online-Angriffe geht.

 

[Jesterfox]

@Martinus33: ja, genau. Du musst dann nur noch per Klick bestätigen, aber die Nachfrage kommt immer wenn irgend etwas am System (auch Malware) versucht auf kritische Bereiche des Systems zuzugreifen. Vom Prinzip her identisch zum Standardbenutzer, nur das kein Kennwort erforderlich ist.


@Hellblazer: vermutlich setzt Logitech im Gerätetreiber an, das ist tief genug im System damit es funktionieren könnte. Musst du eigentlich zum programmieren der G19 die UAC bestätigen? Wenn nicht wär das ne interessante "Lücke" im System. Wär doch glatt mal ne Herausforderung ein G19 Makro zu schreiben das versucht eine Admin-CMD zu öffnen, die UAC bestätigt und dann einen Befehl mit Admin-Rechten absetzt ;-)

 

[Hellblazer]

@Hellblazer: vermutlich setzt Logitech im Gerätetreiber an, das ist tief genug im System damit es funktionieren könnte. Musst du eigentlich zum programmieren der G19 die UAC bestätigen?

Makros kann man ohne UAC erstellen. Auch wenn man die Gaming Software manuell startet (nach einem Absturz).

Wenn nicht wär das ne interessante "Lücke" im System. Wär doch glatt mal ne Herausforderung ein G19 Makro zu schreiben das versucht eine Admin-CMD zu öffnen, die UAC bestätigt und dann einen Befehl mit Admin-Rechten absetzt ;-)

Das könnte sogar klappen. Man muss dabei nur die Zeiten zwischen den Tastendrücken so wählen, damit die darauf folgenden Eingaben nicht zu früh ablaufen. Admin-CMD öffnen gestaltet sich zwar als etwas komplizierter, aber ein einfaches "ping google.de" (in der eingeschränkten cmd) hatte ich in wenigen Sekunden. Ein wirkliches Risiko existiert aber wohl eher nicht. Es sei denn die Software hat eine Lücke mittels der man von außen Makros einfügen kann. Selbst dann muss aber noch die entsprechende Taste gedrückt werden. Wenn man das Makro allerdings in der Tastatur direkt speichert, braucht man die Tastatur nur an einen anderen Rechner (mit Logitech Software) stöpseln, die Taste drücken und schon hat man, mehr oder weniger unauffällig, etwas ausgeführt

 

[Jesterfox]

Ja stimmt, man muss das Makro auch erst noch irgendwie starten.

Aber letzteres mit dem Hardware-Makro ist der Weg wie der zuletzt erst publik gewordene USB Firmware Hack funktioniert: man manipuliert die Firmware eines USB Controllers (muss keine Tastatur sein, geht mit fast allem) so das er sich als Tastatur anmeldet und Tastendrücke sendet.