Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Windows 7 - weniger nervig und zugleich weniger sicher?

Blogger weist auf Schwachstelle im System zur Benutzerkontensteuerung hin. Die Benutzerkontensteuerung in Windows 7 ist unsicher, meint Blogger Long Zheng, und verweist auf eine Schwachstelle in dem System. Microsoft hingegen argumentiert, es handelt sich um keine Schwachstelle, sondern eine Designentscheidung.
/ Jens Ihlenfeld
376 Kommentare News folgen (öffnet im neuen Fenster)

Die Benutzerkontensteuerung hat so manchen Vista-Nutzer bereits Nerven gekostet. Mit Windows 7 will Microsoft alles besser machen und Nutzer nicht länger mit zahlreichen Rückfragen quälen. Doch genau darin besteht eine Gefahr, argumentiert Long Zheng(öffnet im neuen Fenster) in seinem Blog "I started something" - und steht mit seiner Kritik nicht allein da.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Cloud Platform & Security Engineer (m/w/d) Amnesty International Deutschland e.V., Berlin (öffnet im neuen Fenster)
Kundenservice im Außendienst (m/w/d) - Quereinsteiger willkommen IN-Software GmbH, Memmingen,Ingolstadt (öffnet im neuen Fenster)
Requirements Engineer (m/w/d) Arbeits- und Servicestelle für Internationale Studienbewerbungen (uni-assist) e.V., Berlin (öffnet im neuen Fenster)
Vertriebsprozessmanager/-in (m/w/d) Sparkasse Ulm, Ulm (öffnet im neuen Fenster)
IT-Sicherheitsexperten (w/m/d) im Referat Onlinezugang und Onlinewahlen Bundesamt für Sicherheit in der Informationstechnik, Freital (öffnet im neuen Fenster)
Mitarbeiter*in digitale Anwendungsprüfung (m/w/d) DevFresh GmbH, Berlin (öffnet im neuen Fenster)
Spezialist:in CRM und Datenmanagement (Vollzeit/Teilzeit) Sparkasse Düren, Düren (öffnet im neuen Fenster)
Werkstudent*in Sales Support & Datenmanagement (18Std./Woche) Dortmunder Energie- und Wasserversorgung GmbH DEW21, Dortmund (öffnet im neuen Fenster)

In der Standardeinstellung fragt Windows 7 nur um eine Nutzerbestätigung, wenn Programme Änderungen an den Windows-Einstellungen vornehmen wollen, nicht wenn dies der Nutzer selbst tut. Dazu hat Microsoft dem Einstellungsmenü ein spezielles Zertifikat verpasst, um zwischen Änderungen von Nutzern über das Einstellungsmenü und Änderungen von Programmen zu unterscheiden.

Das Problem, so Long Zhen, besteht darin, dass auch Änderungen an den Einstellungen der Benutzerkontensteuerung als Änderungen an den Windows-Einstellungen interpretiert werden. Es gibt also keine Nachfragen, wenn die Benutzerkontensteuerung vom Nutzer verändert oder ganz abgeschaltet wird. Dies wiederum lässt sich komplett mit Tastenkürzeln erledigen und die kann auch ein Programm ausführen, so dass ein Angreifer die Benutzerkontensteuerung abschalten kann, ohne dass der Nutzer es merkt.

Zusammen mit Rafael Rivera hat Long Zheng einen Proof-of-Concept entwickelt und veröffentlicht. So lasse sich ohne Zutun des Nutzers auch ein Neustart durchführen und ein Programm im Autostartordner ablegen. Da die Benutzerkontensteuerung abgeschaltet ist, kann es mit vollen Adminrechten laufen, heißt es in dem Blogeintrag.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Zur Abhilfe schlägt Long Zheng vor, dass bei jeder Änderung an der Benutzerkontensteuerung der Nutzer gefragt werden muss, was auch hier über den Secure Desktop(öffnet im neuen Fenster) erfolgen sollte. Microsoft aber lehnt das laut Long Zheng ab(öffnet im neuen Fenster) und verweist darauf, es handle sich um keinen Fehler, sondern eine Designentscheidung.

Abhilfe können Nutzer leicht selbst schaffen, indem sie die Benutzerkontensteuerung auf "Immer Benachrichtigen" stellen. Das sei zwar nervig, aber sicher, so Long Zheng.

Zur Startseite 376 Kommentare

Relevante Themen

SoftwareBetriebssystemeSecuritySicherheitslückeDatensicherheitApplikationenWindows 7