Programme mit Admin-Rechten starten ohne Admin-Konto

[PHuV]

Ich stehe vor dem Problem, daß beim Jüngsten immer mehr Programme Admin-Rechte haben wollen. Nun haben bisher immer alle Rechner außer mir in der Familie aus bekannten Gründen keine Admin-Rechte. Es ging bisher auch immer, und zur Not gabs bei Windows 7 und 8 in der Pro-Version den AppLocker, mit dem man für einzelne Programme eine entsprechende Sicherheitsrichtline einrichten konnte. Hier konnte ich beispielweise das Spiel LOL entsprechend mit dem Laucher freigeben.

Nun wurde der Rechner mittlerweile auch auf Windows 10 aktualisiert, es steht hier selbst in der Pro Version kein AppLocker mehr zur Verfügung, dies gibts nur noch mit der für Privatpersonen nicht erhältlichen Enterprise-Version. Für die damals eingerichtete Richtline LOL funktioniert seltsamerweise noch, aber alle neueren Programme nicht mehr. Selbst Programme über Steam, beispielsweise Black Desert, wollen unbedingt Admin-Rechte beim Start haben. Ebenso will UPlay mittlerweile für Updates auch Admin-Rechte haben.

Wie kann man das noch anders lösen? Außer AppLocker und den hier beschriebenen Weg configuration service providers (wo ich leider nicht hinbekomme) habe ich keine weitere Idee. Wie macht man das nun, wenn man einem minderjährigen Kind Zugriff auf einem Computer gewähren möchte, und dabei trotzdem die Risiken minimieren möchte? Dauernd daneben stehen möchte man ja als Elternteil auch nicht, um dort das Admin-Kennwort einzugeben.

 

[EliteSoldier]

uPlay fordert zwar immer höhere Rechte an, lässt sich aber mittels eines einfachen Tasten ESC Taste beenden. Das Programm startet trotzdem normal.

​Generell würde ich aber mal überprüfen ob mit dem Rechner irgendwas nicht stimmt. Bei mir ist uPlay das einzige Programm das immer höhere Rechte anfordert, da ich immer mit eingeschränkten Rechten arbeite.

 

[powerfx]

Man könnte mit dem Restric'tor alle erlaubten Anwendungen außerhalb des System auf eine Whilelist setzen. Etwas anderes (unerlaubtes) kann dann nicht gestartet werden.

 

[areiland]

Für solche Fälle gibt es bei Windows immer das Kommandozeilentool "Runas". Mit dem kannst Du Programme im Kontext eines anderen Profils starten, so dass dieses Programm dessen Berechtigungen bekommt. Das Benutzerprofil muss dazu nicht geladen werden und Du kannst beim ersten Programmstart das nötige Kennwort abfragen lassen, das dann gespeichert wird. Alle weiteren Starts dieses Programms erfolgen anschliessend ohne Kennwortabfrage und das Programm hat für sich die nötigen Berechtigungen.

Eine Beispielzeile dazu wäre: runas /noprofile /savecred /user:administrator "C:\Windows\Notepad.exe". Diese würde Notepad mit den Berechtigungen des Administrators starten, das Profil des Administrators wird nicht geladen und das Kennwort wird abgefragt und gespeichert. Für die betreffenden Programme eine Verknüpfung erstellen, die den Programmstart mit dieser Befehlszeile einleitet und schon haben die Programme die nötigen Berechtigungen, ohne dass der Benutzer selbst mit diesen ausgestattet sein muss.

Das angegebene Benutzerprofil muss natürlich existieren und darf nicht deaktiviert sein!

 

[majusss]

...aus bekannten Gründen keine Admin-Rechte.

Was sind die Gründe dafür?! Sollte er nicht lernen selbst Verantwortung zu übernehmen? Ich sehe darin keinen Sinn.

 

[DarkStarXxX]

Ich nutze für sowas UAC Pass.

 

[PHuV]

Was sind die Gründe dafür?! Sollte er nicht lernen selbst Verantwortung zu übernehmen? Ich sehe darin keinen Sinn.

Ist Dein Problem, ich handhabe das so in meinem Zuhause, und eine Diskussion darüber ist müßig und paßt hier nicht rein.

@areiland
Das mit Runas ist an sich eine gute Idee, danke. Aber im Falle von dem Spiel Black Desert mußte ich feststellen, daß erst der Launcher und dann nochmal ein anderes Programm gestartet wird, und 2. Mal die Berechtigung abgefragt werden. Ich werde das mal testen.

@powerfx

Sieht erst mal gut aus, leider erschließt sich mir trotz Lesen des Artikels (als alter c't Abonnent) nicht ganz, wie es Admin-Rechte für ein Nicht-Adminuser freigibt. Eigentlich mag es ja genau das umgekehrte, es beschränkt Programme, gerade auch für die, die mit Adminrechten unterwegs sind.

 

[engine]

runas /noprofile /savecred /user:administrator "C:\Windows\Notepad.exe"

ist etwas unzuverlässig oder funktioniert bei mir gar nicht.

Fehler:
- erfordert höhere Rechte, obwohl admin-account im admin-cmd
- Benutzer oder PW falsch, obwohl korrekt

Bei wem funktionierts? W10 Pro aktuelle Version.

 

[Dark Matter]

Rechtsklick auf die *.exe-->Eigenschaften-->Kompatibilität-->Haken in "Programm als Administrator ausführen" setzen. Fertig! Hat bei mir bis jetzt immer geklappt.

 

[areiland]

@engine
Funktioniert einwandfrei, wenn man beachtet, dass das genannte Konto auch existiert und ein Passwort besitzt.

@Dark Matter
"Programm als Administrator ausführen" nutzt nichts, wenn das Benutzerkonto keine Adminrechte besitzt - und genau darum gehts hier doch.

 

[engine]

ich muss auch sagen, ich arbeite mit PINs und ein PW ist sicher vorhanden und mit 2 Admin-Accounts probiert, den Administrator natürlich aktiviert.

Ich suche nämlich auch eine Möglichkeit für mich selber 3 PIN eingaben zu umgehen, über die Aufgabenplanung gehts vermutlich nicht, habe jedenfalls noch nichts gutes gefunden.
Naja, weiter probieren...

 

[0711]

Was sind die Gründe dafür?! Sollte er nicht lernen selbst Verantwortung zu übernehmen? Ich sehe darin keinen Sinn.

Die Gründe sind allgemeine Systemsicherheit, ich zitiere mal etwas älteres von mir
"Übersicht über die Jahre wie viel Prozent der entdeckten Sicherheitslücken im jeweiligen Jahr ohne Adminrechte gar nicht erst ausgenutzt werden konnten:

2009 (Quelle report-microsoft-vulnerability-study-2009.pdf von beyondtrust)
90% der aufgekommen kritischen Windows 7 Lücken
100% der aufgekommen Microsoft Office Lücken
94% der aufgekommen Internet Explorer Lücken

2014 (Quelle report-microsoft-vulnerability-study-2014.pdf von Avecto)
98% der aufgekommen kritischen Windows Lücken
95% der aufgekommen Microsoft Office Lücken
99,5% der aufgekommen Internet Explorer Lücken

2015 (Quelle report-microsoft-vulnerability-study-2015.pdf von Avecto)
86% der aufgekommen kritischen Windows Lücken
82% der aufgekommen Microsoft Office Lücken
99,5% der aufgekommen Internet Explorer Lücken"
Die Werte sind auch aktuell nicht großartig abweichend.

Den UAC Prompt sieht MS selbst nicht als Sicherheitsbarriere, wenn der User Adminrecht ehat, hat er Adminrechte
„A weakness that would allow to bypass the “Consent Prompt” is not considered a security vulnerability, since that is not considered a security boundary”
https://msdn.microsoft.com/en-us/library/cc751383.aspx
(nicht verwechseln mit UAC selbst!)

Es hat etwas mit Verantwortung tragen zu tun nicht ständig mit adminrechten unterwegs zu sein


@Topic
Brauchen denn die Programme tatsächlich Adminrechte? Reicht es nicht z.B. für Benutzer Änderungsrechte auf das Programmverzeichnis zu geben und gegebenenfalls auf die registry pfade? Wenn es ansonsten nichts benötigt kannst du über das Microsoft Application Compatibility Toolkit den UAC Prompt für diese Programme deaktivieren
Ansonsten natürlich der schon genannte weg über runas, siehe etwas ausführlicher hier
https://www.howtogeek.com/124087/ho...ard-user-run-an-application-as-administrator/

 

[engine]

...
(nicht verwechseln mit UAC selbst!)
...

Wie meinst du das?

 

[0711]

Der UAC Prompt selbst ist der gesicherte Desktop zur Eingabe des Passworts oder bei einem Adminuser, die Bestätigungsseite in einem gesicherten Desktop. Nun ist das "vorbeimogeln" an dem Prompt (Bestätigungsseite) aus MS Sicht offenbar kein Sicherheitsproblem...ein Einbruch in diesen gesicherten Desktop wäre aber z.B. ein Problem (dadurch ist z.B. die Passworteingabe vor Keyloggern im Userkontext geschützt) - bei ersterem bleibt man im selben userkontext, bei letzterem nicht

Aber UAC ansich ist noch viel mehr, ohne uac z.B. keine prozessisolation oder dateisystemisolation (auch der grund warum ohne uac z.B. die uwp apps nicht einfach so laufen). Wiki gibt da meiner Ansicht nach n relativ soliden überblick
https://de.wikipedia.org/wiki/Benutzerkontensteuerung

 

[engine]

Den ganzen Artikel kann man für Normalbenutzer zusammenpressen:

Bereits beim Erscheinen von Vista 2007 stellten Russinovich und Johansson (und andere) klar, dass die Benutzerkontensteuerung weder zum Nerven, noch als Schutz gegen ausgeklügelte Angriffe zur Rechteausweitung gedacht ist.

Es gibt nur eines, dem eigenen Benutzer die admin. Rechte entziehen. Punkt. (dieser Satz ist doch verständlich, oder? Deswegen meine Frage in #13)

Für die anderen, die denken, sie müssen den Wiki-Artikel verstehen, die können ihn lesen.

 

[PHuV]

Ein grundsätzliches Problem ist doch, warum braucht eine Anwendung oder ein Spiel überhaupt Admin-Rechte? Wenn ich beispielsweise Anwendungen und Programme im Linux-Umfeld habe, bekommen diese ihr eigenes "Konto", alle Rechte werden entsprechend vergeben, fertig. Dann ist vielleicht bei der Installation ein Admin- bzw. Root-Kennwort notwendig, aber definitiv nicht für den Betrieb. Das würde ich eben für den üblichen Windows-Umgang genau so sehen. Admin- und Rootzugang braucht man an sich nur, wenn man auf kritische Ressourcen zugreifen möchte, bzw. sie ändern möchte. Dafür ist UAC eine gute Sache. Hier ist wieder das Problem, was ist eine kritische Ressource? Zugriff auf CD/DVD-Lauftwerk sehe ich nicht so (Beispiel beim Rippen/Kopieren), wird aber von Windows mit einige Programmen so gesehen.

Bisher hat eben kein Steam-Spiel Admin-Rechte gefordert. Das Spiel Black Desert aber sehr wohl, und das ist für mich eher kein Windows-Problem, sondern eigentlich ein Problem des Softwareentwicklers (siehe auch die Kommentare in Steam zu diesem Spiel). AppLocker ist ja eine gute Sache, die funktioniert. Vermutlich zugut, so daß sie leider bei Windows 10 nur noch in der Enterprise-Version verfügbar ist.

Das letzte unlösbare Problem war irgend so ein Android-Emulator für Windows, wo mein Sohn ein Spiel laufen lassen wollte. Keine Chance, läuft nur mit Admin-Rechten, ebenso unverständlich.

 

[Terrier]

Bei Spielen ab 16 Jahren sollte man seinen Kindern dann auch Admin-Rechte einräumen und das Passwort geben wenn man denen erlaubt ein Spiel zu spielen, dass bei jedem Start Admin-Rechte braucht.
Oder man verbietet seinen 16 Jährigen so ein Spiel.
Entweder .... oder!
Mehr habe ich da nicht zu sagen.

 

[PHuV]

Bei Spielen ab 16 Jahren sollte man seinen Kindern dann auch Admin-Rechte einräumen und das Passwort geben wenn man denen erlaubt ein Spiel zu spielen, dass bei jedem Start Admin-Rechte braucht.

Blödsinn! Nein.

Was hat das eine mit dem anderen zu tun? Laßt doch mal diese OT-Diskussionen, die hier nichts verloren haben. Habt erst mal selbst Kinder, und dann reden wir weiter. Und nein, bei mir bekommt zu Hause außer mir keine Admin-Rechte, bis auf Ausnahmen meine Frau. Ich habe ein umfangreiches Netzwerk mit 50-60 Geräten drin, und ich habe nicht das Problem wie anderen Eltern mit verseuchten Rechnern, und das will ich beibehalten. Ich bin oft als Notadmin bei diversen Familien unterwegs gewesen, und hab mitbekommen, was da unsachgemäße Bedienung anrichtet.

Hier soll nur die technische Frage geklärt werden, und keine Erziehungsfragen!

 

[Gulp]

Sind die betroffenen Programme in C:\Programme installiert? Wenn ja, ist das der Grund für einige der Abfragen da in dem Ordner normale User nichts schreiben dürfen, höchstens der TrustedInstaller oder eben ein Administrator.

Abhilfe schafft da meist eine eigene Spiele Partition oder ein Spiele Ordner direkt auf C:\ für die/den man dem User dann explizit Schreibrechte oder auch Vollzugriff einräumen kann.

Grüsse

Gulp

 

[PHuV]

Ich habe für Steam sogar ein eigenes Laufwerk angelegt G:\ bei mir bzw. D:\ bei Sohnemann. Daran kann es nicht liegen.