Jump to content

UAC - was löst den Dialog aus?


UKortkamp
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen.

die grundsätzlichen Funktionen der Benutzerkontensteuerung (UAC) sind mir wohl bekannt (und erachte sie auch als sinnvoll).

 

Egal ob gut oder schlecht, es gibt nun einmal lieb gewonnene (alte) Software, auf die ich nicht verzichten möchte - die allerdings jedes mal beim Start den UAC Dialog hochbringt.

 

Wenn möglich möchte ich nicht jedes mal den Dialog bestätigen müssen - geschweige denn diese Programme "als Administrator starten", sondern ihnen nur die zusätzlichen Rechte geben, die sie brauchen um ohne UAC Dialog zu starten (und damit natürlich auch nicht die bekannten Tricks über Aufgabenplanung etc. einsetzen)

 

Bei 1 Programm half es z.B. auf "C:\Program Files\ProgrammName\SubFolder" den "Benutzern" Schreibrechte zu geben, da das Programm dort Dateien ablegen wollte.

 

Nun meine Frage:

Kennt jemand eine Möglichkeit herauszufinden WARUM Windows den Dialog bringt? (klar.. Adminrechte erforderlich) - aber herauszufinden was GENAU an dieser Stelle erfordert Adminrechte?

 

Danke im Voraus

 

Uwe

Link zu diesem Kommentar

Windows zeigt den Dialog an wenn der Entwickler des Programmes in dessen Manifest verankert hat dass das Programm Adminrechte erfordert.

 

Step 6: Create and Embed an Application Manifest (UAC)

 

Das hilft dir also nicht wirklich bei deinem Problem. Der richtige Schritt wäre bei dem Hersteller der Software einen Bugreport zu eröffnen. Falls das aus irgendeinem grund nicht möglich ist, bleibt dir nichts anderes übrig als mit Process Explorer und ähnlichen Tools mühsam herauszufinden was das Programm alles macht.

Link zu diesem Kommentar

Bei 1 Programm half es z.B. auf "C:\Program Files\ProgrammName\SubFolder" den "Benutzern" Schreibrechte zu geben, da das Programm dort Dateien ablegen wollte.

 

Nun meine Frage:

Kennt jemand eine Möglichkeit herauszufinden WARUM Windows den Dialog bringt? (klar.. Adminrechte erforderlich) - aber herauszufinden was GENAU an dieser Stelle erfordert Adminrechte?

 

Schreibende Zugriffe erfordern Adminrechte in %programfiles%. Heute genauso wie schon zu Zeiten von NT4. Es hat sich jemand die Mühe gemacht: Setzten von Berechtigungen für Programme, die als Benutzer nicht ausgeführt werden können, aber als Administrator einwandfrei laufen

Link zu diesem Kommentar

Danke schon mal für eure Antworten.

 

Den Bericht hatte ich wohl auch schon gefunden (und auch damit versucht) - das Problem unter Win7 (und vermtl bei VISTA identisch) scheint zu sein, das Windows einen Schreibversuch abfängt und den UAC Dialog bringt, BEVOR die Monitoring Tools es protokollieren können (da es unter XP kein UAC gab, bekamen die Programme dann eben ein AccessDenied zurück - und das "sehen" FileMon und konsorten)

 

Zum Verständnis:

Gebe ich einem Ordner oder RegKey Vollzugriffsrechte für "Benutzer" dürfte UAC dort doch nicht mehr greifen!? - oder prüft Windows einfach den Versuch dorthin zu schreiben OHNE Überprüfung ob der User Rechte hätte oder nicht?

 

Besten Dank

Uwe

Link zu diesem Kommentar

Hallo Lukas,

den MSDN Link hatte ich wohl auch schon gelesen und (hoffentlich) auch verstanden.

 

In Kurzform interpretiert: der Programmierer übergiebt im Manifest welche minimalen Rechte seine Anwendung benötigt, um korrekt zu funktionieren.

 

 

Was aber ist mit Applikationen, die KEIN Manifest mitbringen - wie z.B. auch jegliche Form von "malicious Code" (Viren, Würmer etc.)?

 

Ich denke, das dies eigentlich der Hauptentwicklungsgrund von UAC war!?

 

Ich habe dort jedenfalls nichts rauslesen können, wie sich eine Anwendung verhält, wenn sie kein Manifest mitbringt.

 

Besten dank weiterhin für eure Mühe und Geduld.

Link zu diesem Kommentar
Was aber ist mit Applikationen, die KEIN Manifest mitbringen - wie z.B. auch jegliche Form von "malicious Code" (Viren, Würmer etc.)?

 

Applikationen ohne Manifest lösen grundsätzlich keinen UAC-Prompt aus, es sei denn die "Setup Detection" schlägt an.

 

How do I enable and disable application setup detection in User Account Control?

 

Setup Detection geht auf den Dateinamen (z.B. setup.exe) oder den Programmnamen (z.B. InstallShield Installer). Irgendwo gibts dafür eine Tabelle, aber ich habe die auf die schnelle nicht gefunden.

 

Anwendungen ohne Manifest laufen auch unter File-Access Virtualization (%APPDATA%\..\Local\VirtualStore) und Registry-Virtualization (HKLM-Redirect).

 

Ich denke, das dies eigentlich der Hauptentwicklungsgrund von UAC war!?

 

Der Hauptgrund für die Entwicklung von UAC war es faule ISVs dazu zu bringen ihre Schrottsoftware endlich auf das Niveau von NT4 zu bringen ;)

 

Ich habe dort jedenfalls nichts rauslesen können, wie sich eine Anwendung verhält, wenn sie kein Manifest mitbringt.

 

Understanding and Configuring User Account Control in Windows Vista

 

Hier ist noch eine gute Beschreibung von Virtualization.

Link zu diesem Kommentar
Was aber ist mit Applikationen, die KEIN Manifest mitbringen - wie z.B. auch jegliche Form von "malicious Code" (Viren, Würmer etc.)?

 

Grundsätzlich läuft jeder Prozess, der unter einer Standard Benutzer Cridential (Mit Admin Rechten) läuft dann in einem Modus in dem er nur Standard User Priviledges erhält. Alle Aktionen für die er keine Berechtigung hat werden entweder mit der Virtualisierungsfunktion gehandhabt oder er bekommt ein ganz einfaches Access Denied als Antwort.

 

Die Virtualisierungsfunktion wird hauptsächlich eingesetzt um Legacy Software kompatibel erscheinen zu lassen mit UAC auch wenn sie nur mit Standard User Priviledges läuft. Meist funktioniert die Software dann jedoch nur so lange, wie sie nur ein User alleine auf dem PC benützt :)

 

Wie oben bereits erwähnt kommt der UAC Dialog nur wenn die Applikation die Elevated User Cridentials wirklich anfordert.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...