Zu Windows XP Zeiten durfte üblicherweise jedes Programm auf jede Datei und Einstellung zugreifen und sie verändern. Theoretisch hätte zum Beispiel Paint damals die Möglichkeit gehabt, wichtige Systemdateien durch ein selbst gemaltes Bild zu ersetzen – ein Computervirus natürlich auch.
Mit Windows Vista hielt die Benutzerkontensteuerung (UAC) Einzug. Sie ist ein Sicherheitsfeature, welches dafür sorgt, dass Anwendungen nicht mehr „ohne Weiteres“ Änderungen an dem System vornehmen können. Genauer gesagt geht es um folgendes Fenster:
Dieser Dialog erscheint, wenn eine Anwendung erhöhte Rechte benötigt und fordert den Benutzer zur Bestätigung der Aktion auf. Nebenbei wird der restliche Bildschirm deaktiviert und ausgeblendet. Da sich die Benutzerkontensteuerung deine Antwort nicht merkt, bekommst du sie mit jedem Neustart wiederholt zu Gesicht. Trotz des eigentlich guten Hintergedankens haben sich viele Nutzer beschwert oder die Funktion einfach komplett abgeschaltet.
Mit Windows 7 hat Microsoft auf die Kritik reagiert und neben dem „Ein/Aus“ auch Zwischenstufen eingebaut. So werden jetzt in den Standardeinstellungen vertrauenswürdige Prozesse anhand einer internen Whitelist automatisch zugelassen.
Leider sorgt dieser Automatismus für eine schwerwiegende Sicherheitslücke. Wie ein Proof-of-Concept aus dem Jahr 2009 beweist, ist es möglich, die Benutzerkontensteuerung zu umgehen, wenn nicht die maximale Sicherheitsstufe ausgewählt ist.
Win7Elevate, so der offizielle Name, kann über den angegebenen Link heruntergeladen und getestet werden. Bitte beachte aber, dass mittlerweile die meisten Virenscanner beim Download oder spätestens beim Ausführen der Anwendung ausschlagen werden.
Wieso schreibe ich über ein Thema, welches 2009 bereits behandelt wurde? Ganz einfach – die Sicherheitslücke existiert immer noch. Auch Windows 8 ist von ihr betroffen und da der Quellcode von Win7Elevate für jedermann zugänglich ist, kann auch jeder halbwegs geschickte Programmierer diese Schwachstelle ausnutzen.
Daher rate ich dir: Stelle die Option für die Benutzerkontensteuerung (Start > Systemsteuerung > Benutzerkonten und Jugendschutz >Benutzerkonten > Einstellungen der Benutzerkontensteuerung ändern) auf „Immer benachrichtigen“ oder deaktiviere sie komplett. Ein Feuermelder, welcher nur bei allen zwei Bränden auslöst, kannst du schließlich auch nicht gebrauchen.
