[Win10 aktuell] - UAC komplett abschalten?

[Lutz E. Cerning]

Hallo allerseits,
ich *ahne* ja die Antwort schon - aber ich möchte gerne definitiv
abschliessende Klarheit. Wie sind Eure Erfahrungen/Probleme?

Ist es gut und richtig
- UAC per Registry zu komplett deaktivieren
- dann als "rechtloser" Benutzer weiter zu machen und bei Bedarf
- den eingebauten Administrator plus einen ReserveAdmin zu nutzen?
So wie ich damals XP benutzt habe...

Oder ist das für einen normalen User leicht übertrieben (Stichwort UAC-
Regler ist ganz oben)?

Sorry, SCNR

--
Grüße von LutzeC*54 aus
(ca.) 52.64736,13.550518

[Takvorian]

Lutz E. Cerning schrieb:

> ich *ahne* ja die Antwort schon - aber ich möchte gerne definitiv
> abschliessende Klarheit. Wie sind Eure Erfahrungen/Probleme?
>
> Ist es gut und richtig
> - UAC per Registry zu komplett deaktivieren

Nein.

> - dann als "rechtloser" Benutzer weiter zu machen

Das Arbeiten im normalen Userkonto läuft ja nur mit den üblichen
Userrechten, dazu muss man UAC nicht deaktivieren. Wäre also eine
Nonsens-Maßnahme. Ergänzend siehe unten.

> und bei Bedarf
> - den eingebauten Administrator plus einen ReserveAdmin zu nutzen?

Im Konto "Administrator" ist UAC eh per Default deaktiviert, also wäre die
Maßnahme auch hier völliger Nonsens. Einen Reserve-Admin braucht man
ebenfalls nicht, wenn man dieses Konto für reine Admin-Arbeiten nutzt. Man
kann es nicht versehentlich löschen. Was man machen kann: UAC auch fürs
Konto "Administrator" zu aktivieren - für Leute die sich selbst nicht recht
trauen. Dann kommt auch in diesem Konto für jeden Vorgang, der erhöhte
Rechte braucht, die Sicherheitsabfrage.

> So wie ich damals XP benutzt habe...

Wenn man in Win 10 oder 11 ein normales Userkonto nutzt und für
Adminarbeiten das Konto "Administrator", hat man ja praktisch die Situation
wie in XP. Beim Arbeiten im Userkonto wird man aber anders als in XP ggf.
gefragt, ob man für eine Aktion, die erhöhte Rechte erfordert, diese
erlauben möchte. Man muss dann das Adminkonto auswählen und dessen Passwort
eingeben. Wer das nicht haben will, kann aber auch das noch fürs Userkonto
deaktivieren. Er muss dann in solchen Fällen halt immer ins Adminkonto
wechseln. UAC fürs Userkonto deaktivieren:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
ConsentPromptBehaviorUser von 3 auf 0 setzen. Das wäre ne sinnvolle
Maßnahme.

> Oder ist das für einen normalen User leicht übertrieben (Stichwort UAC-
> Regler ist ganz oben)?

UAC lässt man weiterhin generell aktiviert und den Regler weiterhin ganz
oben.

[Christoph Schneegans]

Lutz E. Cerning schrieb:

> Ist es gut und richtig
> - UAC per Registry zu komplett deaktivieren
> - dann als "rechtloser" Benutzer weiter zu machen und bei Bedarf
> - den eingebauten Administrator plus einen ReserveAdmin zu nutzen?

Das wichtigste ist – egal ob mit UAC oder ohne – die ordentliche
Trennung von Benutzer- und Administratorkonto, d.h. der Benutzer, mit
dem man primär arbeitet, darf kein Mitglied der Gruppe "Administratoren"
sein.

Idiotischerweise legt das Windows-Setup Benutzer aber als
Administratoren an. Eine (bspw. mit
https://schneegans.de/windows/unattend-generator/ erstellte)
unattend.xml ermöglicht es, während der Installation unmittelbar die
gewünschten Konten anzulegen.

UAC lässt sich per

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=dword:00000000

bekanntlich abschalten. Das ist bei ordentlicher Trennung der Konten im
Prinzip auch völlig in Ordnung. Leider funktionieren dann aber bestimmte
Aktionen wie "Als Administrator ausführen" im Kontextmenü oder die
Tastenkombination Strg+Umschalt+Enter im Startmenü nicht mehr.
(runas.exe und "Als anderer Benutzer ausführen" tun aber weiterhin.)
Probier aus, ob du damit leben kannst. Aktivieren lässt sich UAC ja
jederzeit wieder.

--
<https://schneegans.de/windows/safer/> · SAFER mit Windows

[Takvorian]

Christoph Schneegans schrieb:

> UAC lässt sich per
>
> [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
> "EnableLUA"=dword:00000000
>
> bekanntlich abschalten. Das ist bei ordentlicher Trennung der Konten im
> Prinzip auch völlig in Ordnung. Leider funktionieren dann aber bestimmte
> Aktionen wie "Als Administrator ausführen" im Kontextmenü oder die
> Tastenkombination Strg+Umschalt+Enter im Startmenü nicht mehr.

Und der geschützte Modus des IE funktioniert dann nicht mehr, die geschützte
Ansicht von Office funktioniert nicht mehr usw.....
https://insights.sei.cmu.edu/blog/the-risks-of-disabling-the-windows-uac/

> Probier aus, ob du damit leben kannst. Aktivieren lässt sich UAC ja
> jederzeit wieder.

Leute leben üblicherweise sehr gut mit selbst geschaffenen Sicherheitslücken
- bis es sie eines Tages eben erwischt. Man hat keinen Vorteil von der
Deaktivierung von UAC, also lässt man es einfach bleiben.

[Detlef Wirsing]

Takvorian schrieb:

...

>Leute leben üblicherweise sehr gut mit selbst geschaffenen Sicherheitslücken
>- bis es sie eines Tages eben erwischt. Man hat keinen Vorteil von der
>Deaktivierung von UAC, also lässt man es einfach bleiben.

Kurz nach Einführung der UAC (Vista?) waren alle Benutzer in meinem
Umfeld am Moppern, weil sie so oft Aktionen bestätigen mussten. Ich
habe Vista zwar übersprungen, aber die UAC war für mich DER
wesentliche Fortschritt. Ein echter Schritt nach vorn im Bereich
Computersicherheit. Deshalb hat mich das zusätzliche Klicken auch
nicht gestört. Man gewöhnt sich schnell dran.

Mit freundlichen Grüßen
Detlef Wirsing

[Takvorian]

Detlef Wirsing schrieb:

>>Leute leben üblicherweise sehr gut mit selbst geschaffenen Sicherheitslücken
>>- bis es sie eines Tages eben erwischt. Man hat keinen Vorteil von der
>>Deaktivierung von UAC, also lässt man es einfach bleiben.
>
> Kurz nach Einführung der UAC (Vista?) waren alle Benutzer in meinem
> Umfeld am Moppern, weil sie so oft Aktionen bestätigen mussten. Ich
> habe Vista zwar übersprungen, aber die UAC war für mich DER
> wesentliche Fortschritt. Ein echter Schritt nach vorn im Bereich
> Computersicherheit.

Kommt auf die Perspektive an. Wenn man das UAC-System mit der Realität vor
Vista (= die meisten User arbeiteten im XP-Adminkonto) vergleicht, dann war
UAC sicherheitsmäßig ein großer Fortschritt, weil das dauerhafte Arbeiten
mit Adminrechten dank UAC nun unmöglich war. Vergleicht man es mit einem
System, auf dem korrekte Rechte- und Kontentrennung umgesetzt wurde, dann
war und ist UAC ein Murks.

> Deshalb hat mich das zusätzliche Klicken auch nicht gestört. Man gewöhnt sich schnell dran.

Wobei sich niemand in Vista und später daran gewöhnen musste. Man kann sich
ja bestimmte Aktionen, die immer erhöhte Rechte verlangen, automatisieren,
indem man sie automatisch erhöhen lässt, entweder über die Aufgabenplanung
oder per Skript. Auf die Weise bekommt man UAC nur äußerst selten zu sehen.
Ganz schlimm wurde der UAC-Murks in Win 7 mit der Einführung der
automatischen Erhöhung von vielen Windows-Systemteilen und der Einführung
des hirnrissigen UAC-Schiebereglers. Die sieben Todsünden eben. :o)
DAUs und ONUs gehören damals wie heute in ein reines Userkonto, idealerweise
ohne Möglichkeit, erhöhte Rechte erlangen zu können und in Verbindung mit
SRP.

[Stefan Kanthak]

"Lutz E. Cerning" <luc...@gmail.com> schrieb:

> Hallo allerseits,
> ich *ahne* ja die Antwort schon - aber ich möchte gerne definitiv
> abschliessende Klarheit. Wie sind Eure Erfahrungen/Probleme?
>
> Ist es gut und richtig
> - UAC per Registry zu komplett deaktivieren

Jein, da dann einiges Zeux nicht mehr funktioniert.

> - dann als "rechtloser" Benutzer weiter zu machen

und fuer diese(n) die UAC auf "niemals nach Administratorrechten fragen"
einzustellen!

> und bei Bedarf
> - den eingebauten Administrator

Das ist die EINZIG sinnvolle Arbeitsweise!

> plus einen ReserveAdmin zu nutzen?

Ueberfluessig.

> So wie ich damals XP benutzt habe...
>
> Oder ist das für einen normalen User leicht übertrieben (Stichwort UAC-
> Regler ist ganz oben)?

UAC laesst sich TRIVIALST und auf x-fache Weise umgehen.
Daher: STRIKTE Benutzertrennung!

Stefan
--
<https://www.duden.de/rechtschreibung/Kanthaken>

[Lutz E. Cerning]

Stefan Kanthak schrieb :

>> - dann als "rechtloser" Benutzer weiter zu machen
> und fuer diese(n) die UAC auf "niemals nach Administratorrechten
> fragen" einzustellen!

Das war _der_ Tipp, danke!

[Takvorian]

Lutz E. Cerning schrieb:

> Stefan Kanthak schrieb :
>
>>> - dann als "rechtloser" Benutzer weiter zu machen
>> und fuer diese(n) die UAC auf "niemals nach Administratorrechten
>> fragen" einzustellen!
>
> Das war _der_ Tipp, danke!

Genau _den_ Tipp hatte ich dir ja schon gegeben:
<recycle>

| Wer das nicht haben will, kann aber auch das noch fürs Userkonto
| deaktivieren. Er muss dann in solchen Fällen halt immer ins Adminkonto
| wechseln. UAC fürs Userkonto deaktivieren:
| HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
| ConsentPromptBehaviorUser von 3 auf 0 setzen. Das wäre ne sinnvolle
| Maßnahme.

Da wars nicht _der_ Tipp? :-o
Es stellt sich dann allerdings so dar:
A: Wenn man den Tipp umsetzt, bekommt man bei entsprechenden Aktionen eine
Fehlermeldung, die man wegklicken muss.
B: Wenn man den Tipp nicht umsetzt, erhält man ein Angebot zur Erhöhung,
das man wegklicken kann oder muss.
Also gleicher Arbeitsaufwand: man wird in jedem Fall mit einer Meldung
konfrontiert, auf die man reagieren muss.
Jetzt kannst du dir Gewissensbisse machen: wenn ich B umsetze, könnte ich ja
schwach werden und auf das Angebot eingehen. Ich traue mir selbst aber nicht
über den Weg, also will ich das nicht. Wenn ich hingegen A umsetze, könnte
ich allerdings ebenfalls schwach werden und ins Adminkonto wechseln, weil
ich die Aktion nun mal machen will und muss.... <eg>

[Lutz E. Cerning]

Takvorian schrieb :

> Genau _den_ Tipp hatte ich dir ja schon gegeben:
> <recycle>
>> Wer das nicht haben will, kann aber auch das noch fürs Userkonto
>> deaktivieren. Er muss dann in solchen Fällen halt immer ins
>> Adminkonto wechseln. UAC fürs Userkonto deaktivieren:
>> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
>> ConsentPromptBehaviorUser von 3 auf 0 setzen. Das wäre ne sinnvolle
>> Maßnahme.

Stimmt.
In der GUI war mir das einfach nur ein wenig überschaubarer. Jetzt
fühle ich mich wieder wie in altvertrauten Zeiten...

[Takvorian]

Lutz E. Cerning schrieb:

Ich sehe in Stefans Artikel keine GUI-Angabe. Du meinst das hier?
secpol.msc -> Lokale Richtlinien -> Sicherheitsoptionen ->
Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte
Rechte für Standardbenutzer -> • Anforderungen für erhöhte Rechte
automatisch ablehnen
Sich da durchzuwühlen und alle Erklärungen zu lesen, dauert IMHO erheblich
länger als den obigen Reg-Wert von 3 auf 0 zu setzen. ;-)

[Lutz E. Cerning]

Takvorian schrieb :

> Ich sehe in Stefans Artikel keine GUI-Angabe. Du meinst das hier?

Das hier:

> - dann als "rechtloser" Benutzer weiter zu machen

... "und fuer diese(n) die UAC auf "niemals nach Administratorrechten
fragen" einzustellen!"

[Takvorian]

Lutz E. Cerning schrieb:

> Takvorian schrieb :
>
>> Ich sehe in Stefans Artikel keine GUI-Angabe. Du meinst das hier?
>
> Das hier:
>
>> - dann als "rechtloser" Benutzer weiter zu machen
>
> ... "und fuer diese(n) die UAC auf "niemals nach Administratorrechten
> fragen" einzustellen!"

Ja eben - und in welchem GUI und wo genau im GUI findet man
"niemals nach Administratorrechten fragen"?
Stefan hat ja nicht geschrieben, wo diese mysteriöse Einstellung zu finden
ist. Ich Dummy finde sie nicht.

[Lutz E. Cerning]

Takvorian schrieb :

> Ja eben - und in welchem GUI und wo genau im GUI findet man
> "niemals nach Administratorrechten fragen"?
> Stefan hat ja nicht geschrieben, wo diese mysteriöse Einstellung zu
> finden ist. Ich Dummy finde sie nicht.

Und das isses nicht:?
<https://www.lucer.de/stuff/uac.jpg>

[Lutz E. Cerning]

Lutz E. Cerning schrieb :

> Und das isses nicht:?
> <https://www.lucer.de/stuff/uac.jpg>

Ingrid: Ich sehe gerade, das kann man gar nicht nach ganz unten
einstellen.
Ich habe das zwar als Administrator *unten* eingestellt aber dann
ummelden und ich dann als "Benutzer" habe den Regler wieder ganz
*oben*.
Werde ich wohl doch mal die Registry bemühen...

[Lutz E. Cerning]

Lutz E. Cerning schrieb :

> Ingrid: Ich sehe gerade, das kann man gar nicht nach ganz unten
> einstellen.
> Ich habe das zwar als Administrator *unten* eingestellt aber dann
> ummelden und ich dann als "Benutzer" habe den Regler wieder ganz
> *oben*.
> Werde ich wohl doch mal die Registry bemühen...

Doppel-Ingrid: Dann geht gar nix mehr... Also zurück zur "3".

[Takvorian]

Lutz E. Cerning schrieb:

> Takvorian schrieb :
>
>> Ja eben - und in welchem GUI und wo genau im GUI findet man
>> "niemals nach Administratorrechten fragen"?
>> Stefan hat ja nicht geschrieben, wo diese mysteriöse Einstellung zu
>> finden ist. Ich Dummy finde sie nicht.
>
> Und das isses nicht:?
> <https://www.lucer.de/stuff/uac.jpg>

Ich hatte befürchtet, dass du das meinst, deshalb hatte ich nachgefragt.
Nein, der Regler soll auf der obersten Stellung bleiben. Gemeint ist die
Einstellung im GUI via *secpol.msc* oder eben direkt in der Registrierung.

> Werde ich wohl doch mal die Registry bemühen...

> Dann geht gar nix mehr... Also zurück zur "3".

Was genau meinst du mit "geht nichts mehr"? Was geht dann nicht mehr?
Es muss danach alles wie immer gehen, nur bei Anforderung von erhöhten
Rechten muss eine eine Fehlermeldung kommen:
".....wurde durch eine Gruppenrichtlinie geblockt....."
Also z.B. Start einer Setup.exe funktioniert nicht mehr, das muss dann immer
im Adminkonto gemacht werden. Auch Programme, die immer Adminrechte
brauchen, funktionieren nicht mehr. Hast du solche Programme?

[Lutz E. Cerning]

Takvorian schrieb :

> Was genau meinst du mit "geht nichts mehr"? Was geht dann nicht mehr?
> Es muss danach alles wie immer gehen, nur bei Anforderung von
> erhöhten Rechten muss eine eine Fehlermeldung kommen:

Es geht ja auch (fast) alles "wie immer".

> ".....wurde durch eine Gruppenrichtlinie geblockt....."

Stimmt.

> Also z.B. Start einer Setup.exe funktioniert nicht mehr, das muss
> dann immer im Adminkonto gemacht werden. Auch Programme, die immer
> Adminrechte brauchen, funktionieren nicht mehr. Hast du solche
> Programme?

Nee, ganz normale Sachen: Office, CueCards, Zattoo, Mail- und
Newszeugs, PowerDirector, PDFfer und sowas eben.
Aber wenn z. B. "Speccy" den Admin verweigert, das geht mir dann doch
zu weit...

[Takvorian]

Lutz E. Cerning schrieb:

> Takvorian schrieb :
>
>> Was genau meinst du mit "geht nichts mehr"? Was geht dann nicht mehr?
>> Es muss danach alles wie immer gehen, nur bei Anforderung von
>> erhöhten Rechten muss eine eine Fehlermeldung kommen:

> Es geht ja auch (fast) alles "wie immer".

OK

>> ".....wurde durch eine Gruppenrichtlinie geblockt....."

> Stimmt.

>> Also z.B. Start einer Setup.exe funktioniert nicht mehr, das muss
>> dann immer im Adminkonto gemacht werden. Auch Programme, die immer
>> Adminrechte brauchen, funktionieren nicht mehr. Hast du solche
>> Programme?

> Nee, ganz normale Sachen: Office, CueCards, Zattoo, Mail- und
> Newszeugs, PowerDirector, PDFfer und sowas eben.
> Aber wenn z. B. "Speccy" den Admin verweigert, das geht mir dann doch
> zu weit...

Auch Speccy kann man mit der Einstellung immer noch starten, nämlich mit
Shift-Rechtsklick -> als anderer Benutzer ausführen -> Konto Administrator
Oder man startet es automatisch via Skript als anderer Benutzer mit einem
Klick.... Man hat es dann auch im Userkonto immer sichtbar. Wenn du sowas
machst, kannst du aber auch ebenso gut den UAC-Prompt im Userkonto zulassen
und Speccy via "Als Admin ausführen" starten. Ohne Skript ist das via GUI
immer umständliche Tipperei.
Was man noch machen kann: den Start von Speccy mit Userrechten erzwingen und
schauen, was dann noch anzeigt. Wenn einem das genügt, die beste Lösung.
Ich nutze hier Hwinfo, aber ich will die Werte nicht ständig hypochonderhaft
überwachen, starte es nur in Sonderfällen.