Windows Vista: User Account Control

Die Anwendungen

Die Sicht auf die Benutzer zeigt aber nur eine Seite der Medaille. Denn um in den administrativen Modus zu wechseln, muss das System auch wissen, ob es sich um eine Anwendung handelt, die entsprechende administrative Privilegien benötigt. Die Herausforderung sind ältere Anwendungen, die nicht für die UAC angepasst wurden.

Grundsätzlich werden bei Anwendungen nun Integritätsniveaus unterschieden. Anwendungen, die ein hohes Niveau erfordern, modifizieren beispielsweise Systemdaten oder können Festplatten partitionieren. Anwendungen auf der niedrigsten Stufe können dagegen keine Änderungen im System durchführen. Das gilt beispielsweise für einen Web Browser, der das nicht können sollte. Anwendungen mit niedrigem Integritätsniveau dürfen keine kritischen Änderungen im System ausführen.

Wenn eine Anwendung nun administrative Berechtigungen erfordert und entsprechend gekennzeichnet ist, wird das vom System erkannt. Beim Aufruf wird der Dialog (Bild 1) mit dem Hinweis angezeigt, dass eine Anwendung höhere Berechtigungen erfordert. Dieser muss gegebenenfalls bestätigt werden.

Bild 1: Die Eingabeaufforderung, die durch die UAC initiiert wird.
Bild 1: Die Eingabeaufforderung, die durch die UAC initiiert wird.

Wenn eine Anwendung aber nicht die UAC unterstützt, fehlen die Informationen bei der Anwendung, die im sogenannten application manifest gespeichert werden. Da Windows Vista aber viele kritische Systembereiche wie Registry-Einträge und die Order Programme schützt, wird mit einem zweiten, als Virtualisierung bezeichneten Ansatz gearbeitet.

Bei der Virtualisierung kann die Anwendung virtuell auf diese Bereiche zugreifen. Tatsächlich werden die Informationen aber im Benutzerprofil gespeichert und nicht in den kritischen Systembereichen.

Wenn mehrere Benutzer eine solche Anwendung ausführen, werden die Informationenm mehrfach in verschiedenen Systembereichen abgelegt. Damit können die Anwendungen genutzt werden, ohne dass es zu Veränderungen in den sensiblen Systembereichen kommt. Für den Benutzer ist das transparent.

Die Virtualisierung ist aber eindeutig eine kurzfristige Lösung. Microsoft arbeitet daher auch mit der Entwickler-Community, damit Anwendungen schnell UAC-kompatibel werden.

Weitere wichtige Änderungen durch UAC

Neben diesen sofort sichtbaren Änderungen gibt es einige weitere Neuerungen im Zusammenhang mit der UAC, die nicht sofort sichtbar sind:

  • Alle Benutzer, die nach dem ersten administrativen Benutzer angelegt werden, werden als Standardbenutzer definiert. Weitere administrative Benutzer müssen also explizit als solche konfiguriert werden.

  • Das Standardbenutzerkonto Administrator ist standardmäßig bei der Neuinstallation deaktiviert. Stattdessen wird ein neues Konto für den ersten Benutzer angelegt. Falls bei einem Upgrade festgestellt wird, dass es nur dieses Administratorenkonto gibt, bleibt es aktiviert.

  • Das Konto Administrator kann standardmäßig nicht für die Anmeldung im sicheren Modus verwendet werden.

Die beiden letztgenannten Punkte sind einfach erklärbar. Das Konto Administrator ist das beliebteste Ziel von Angreifern, weil es ein bekanntes Konto ist, das auch nur in den wenigsten Fällen umbenannt wurde. Um die daraus resultierenden Risiken zu vermeiden, wird es nur noch in Ausnahmefällen verwendet.