Firefox und Thunderbird

  • Nochmal Hallo zusammen,

    ich Danke für eure Beiträge.

    Trotzdem habe ich wie von Macko beschrieben, die Änderung vorgenommen und es funktioniert!

    Für mich ist dies damit abgeschlossen.

    Gruss Hans

  • Hallo Ingo,

    könntest du erklären, warum %userprofile% NICHT durch UAC geschützt ist? Wie ist das möglich, dass die UAC durch portable Software so mir nix, dir nix ausgehebelt werden kann? Ist diese Betriebssystem-Schwäche Microsoft auch per 2020 NICHT aufgefallen?

  • Bitte keine Rückschlüsse auf Technik ziehen, die du nicht verstanden hast.

    UAC im Benutzerprofil ist Unsinn, wenn man genau drüber nachdenkt. Also keine Lücke, nada, niente.

    Zitat

    Dieser Schutz wird durch portable Programme ausgehebelt.

    Nein, wird es nicht. Ich kann nur von Windows 10 Pro mit normalen Einstellungen reden. Mein XYplorer als Portable will permanent durch den UAC bestätigt werden, die installierte Version nicht. Die UAC meldet sich auch bei system-relevanten Einstellungen, wie zB Defender, jeder Kleinsch* wird abgefragt.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.

  • warum %userprofile% NICHT durch UAC geschützt ist?

    Hallo :)

    warum sollte es? Hast Du verstanden, wozu die UAC dient? %userprofile% ist das Benutzerprofil mit den Daten des Benutzers. Die UAC ist keine Datensicherung für Benutzerdaten.

    Ist diese Betriebssystem-Schwäche Microsoft auch per 2020 NICHT aufgefallen?

    Welche Schwäche? Hier geht es um die (mögliche) Kompromittierung des Systems. Was hat das Benutzerprofil damit zu tun?

    Mein XYplorer als Portable will permanent durch den UAC bestätigt werden, die installierte Version nicht.

    Darum geht es nicht. Meldet sich denn die UAC, wenn Du (oder ein beliebiger Prozess, z.B. Malware) eine Datei (z.B. die EXE) manipuliert? Das dürfte eigentlich nur in einem von der UAC überwachten Ordner passieren. In welchen Ordnern sind die beiden installiert?

    Gruß Ingo

  • Der UAC meldet sich hier, wenn eine Aktion ausgeführt werden soll, die über die normalen Rechte hinaus geht, auch als Admin. Und da ist es egal, ob das vom Programm oder Ordner kommt, wo Windows seine Krallen drauf hat.

    Das sagt MS dazu

    https://docs.microsoft.com/de-de/windows/…t-control-works

    Und da steht nicht, dass die UAC Ordner überwacht. Um dieses Missverständnis direkt aufzuräumen. In dem Moment, wo XYplorer durch den UAC durch ist, hat er das Admin-Token und dann erfolgt auch keine Abfrage mehr sonstige Aktionen, nicht in \Programme\ und auch nicht in \Windows\.

    Portables können daher die Sicherheit auch nur bedingt unterwandern, die sind in sich gefährdet, weil nicht mit Windows-Schutz wie zB \Programme\. Portables können dort auch nicht genutzt werden, weil sie keinen Schreibzugriff haben und das lässt Windows nicht zu. Firefox als Portable dürfte den UAC nicht auslösen, aber falls, sollte man sich Gedanken machen. Es gibt aber auch portable Starter, die sind so programmiert, dass der UAC ausgelöst wird, weil benötigte Zugriffe getätigt werden müssen. Und das sind Fälle, wo man der Quelle sehr vertrauen muss. Denn wie im Artikel beschrieben, erben alle Unterprozesse das Admin-Token.

    Der Artikel beschreibt das Prinzip, während wikipedia im Detail erklärt, wo und wie der UAC, auch in seinen Abstufungen, angewendet wird.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.

  • Der UAC meldet sich hier, wenn eine Aktion ausgeführt werden soll, die über die normalen Rechte hinaus geht, auch als Admin.

    Hallo :)

    richtig. Darum geht es hier aber nicht. Mach doch einen einfachen Test: versuche als eingeschränkter Benutzer ohne Kenntnis des Admin-PW, die EXE eines (in %programfiles%) installierten Programms zu manipulieren, indem Du sie z.B. löscht. Was passiert? Bist Du erfolgreich?

    Jetzt versuche dasselbe mit der EXE einer portablen Anwendung, die nicht in einem durch die UAC überwachten Ordner liegt. Was passiert? Bist Du erfolgreich?

    Dasselbe Ergebnis erreicht auch ein beliebiger Prozess, z.B. Malware.

    Gruß Ingo

  • Mach doch einen einfachen Test: versuche als eingeschränkter Benutzer ohne Kenntnis des Admin-PW, die EXE eines (in %programfiles%) installierten Programms zu manipulieren, indem Du sie z.B. löscht. Was passiert? Bist Du erfolgreich?

    Das sollte nicht möglich sein und ist es auch nicht.

    Jetzt versuche dasselbe mit der EXE einer portablen Anwendung, die nicht in einem durch die UAC überwachten Ordner liegt. Was passiert?

    Nochmal - es gibt keine Überwachung von Ordnern via UAC - vergiss das endlich bitte. Und wie ich bereits oben schrieb, sobald eine Anwendung ausserhalb der Windows-Sicherheit* genutzt wird, ist eine Modifikation möglich. Nur auf dem Level waren wir schon:

    Zitat

    [Firefox] (x-beliebigesProgramm) als Portable dürfte den UAC nicht auslösen, aber falls, sollte man sich Gedanken machen.

    ausserhalb der Windows-Sicherheit* - das lässt sich aber ändern mit einer Rechtevergabe solcher Ordner, man könnte zB den "Trusted Installer" hinzufügen, oder andere Zugriffe begrenzen.

    Portables, die auch im Kontext laufen können - also ohne bestimmte Rechte, sind auch vom eigenen Desktop (der ja bekanntlich im Benutzerordner liegt) nutzbar. Mit Windows 10 war es zudem nie so leicht, bestimmte Ordner auf andere Laufwerke umzulegen, Windows 10 setzt nämlich auch die passenden Rechte dazu gleich mit.

    UAC-Bypass ist auch möglich, nur ohne Passwort kommt man nicht weit als Benutzer. Als Admin hätte man bei Malware verloren. Da leider die meisten so arbeiten, und auch keine zusätzlichen Rechte setzen - das ist der allgemeine Kritikpunkt an Portables.

    Weniger Rechte geht immer, nur mehr nicht ohne entsprechende Freigaben

    http://woshub.com/run-program-wi…ass-uac-prompt/

    https://www.raymond.cc/blog/weaknesse…ccount-control/

    Zitat

    Without the UAC elevation, the malicious file only has limited privileges that can affect the currently logged in user*, but not on the whole system.

    *wobei die hier den "Benutzer" meinen und nicht Admin.

    Persönlich sind für mich Diskussionen in der FOrm überflüssig und sinnfrei, weil es sowieso die Benutzer, die es kümmern müsste, nicht erreicht. Und ich muss mich da nicht schlau lesen, weil ich das genau so praktiziere für andersartige Zugriffe oder Zugriffe von aussen.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.