“user normalverbraucher” braucht keine administrativen rechte auf dem pc, um ein wenig zu surfen oder ein office-dokument zu erstellen. in der unixwelt war die abgrenzung der userprivilegien von anfang an sehr konsequent umgesetzt, was dazu führte, dass bis heute das klischee “unix == sicher” herrscht. aber auch microsoft haben in den vergangenen jahren dazu gelernt und fragen mittlerweile zumindest nach, wenn eine potenziell systemkritische aktion ausgeführt werden muss, ebenso wie es osx und verschiedene linux-distributionen seit jahren machen.
das lustige ist, dass sich genau die über jahre vom schlechten sicherheitskonzept ihres produktes gebeutelte windowswelt heute oft über die “nagscreens” à la “wollen sie wirklich…” beschweren. und leider lässt sich das feature auch nur global für den benutzer oder sogar das gesamte windows-vista- bzw. windows-7-system deaktivieren: und zwar, indem man…
- …in den einstellungen des entsprechenden benutzerkontos auf “benutzerkontensteuerung ein- oder auschalten” klickt und nach einer letzten eingabe des adminpasswortes den haken im kontrollkästchen “verwenden sie die benutzerkontensteuerung, um zum schutz des computers beizutragen” entfernt.
- …die systemkonfiguration über den befehl
msconfig
startet, den reiter “tools” wählt, den punkt “uac-einstellungen ändern” doppelklickt, den regler ganz nach unten zieht und das ganze mit “ok” bestätigt.
- …den windows-registry-editor mit dem befehl
regedit
öffnet, zum registryschlüssel “hkey_local_machine software microsoft windows currentversion policies system” navigiert und dort zwei d-word-schlüssel mit den namen “EnableLUA” und “ConsentPromptBehaviorAdmin”, jeweils mit dem wert “0”, erstellt.
reboot natürlich nicht vergessen. 😉
insgesamt eine ziemliche dampfhammermethode, die beweist, dass microsoft nach wie vor nicht wirklich gut im abkupfern von ideen geworden sind … unter allen mir bekannten unix-varianten gibt es -zumindest, so lange ich damit arbeite- eine viel flexiblere und feiner granulierbare lösung: sudo
. klar, unter windows existiert der befehl runas
. hier wird aber die passwortlose anhebung der benutzerrechte (nach einmaligem einsatz des parameters /savecred
) global ermöglicht und nicht befehlsbezogen – was den einsatz des parameters zu einem ernsthaften sicherheitsloch mutieren lassen kann. 🙁
nundenn, wie gesagt: unix kann das besser. ich beziehe mich im folgenden auf meine lieblings-linux-distribution “ubuntu” – das prinzip ist jedoch überall das gleiche und wird -wenn überhaupt- nur minimal abweichen. der befehl sudo
wird einem systemkritischen befehl (z.b. fdisk
) vorangestellt und erlaubt es nach der eingabe des root-passwortes, diesen auch als unprivilegierter benutzer auszuführen.
um sudo
nutzen zu können, muss man in der konfigurationsdatei /etc/sudoers eingetragen sein. unter ubuntu genügt die mitgliedschaft in der gruppe “admin”, was mit den befehlen useradd -G admin $BENUTZERNAME
oder usermod -aG admin $BENUTZERNAME
schnell erledigt ist. soll der unprivilegierte benutzer einen speziellen befehl ohne eingabe des root-passwortes erledigen dürfen, z.b. den pc mit dem befehl halt
herunterzufahren, so erledigt man das ebenfalls in /etc/sudoers, und zwar durch hinzufügen einer zeile nach folgendem muster:
meszi ALL=NOPASSWD: /sbin/halt
nun kann ich den pc ohne eingabe des root-passwortes herunterfahren.