Wenn ich den TC als Admin ausführe, kann ich keine Dateien in den TC droppen. Ist das gewollt oder ein Bug?
Mit Kopieren/Einfügen geht es wie gewollt.
mike
Kein Drop als Admin
Moderators: Hacker, Stefan2, white
Re: Kein Drop als Admin
Weder noch. Es ist eine (sinnvolle) Beschränkung im Rechtesystem von Windows, damit nicht jeder dahergelaufene Gast einem Admin etwas unterschieben kann.milenke wrote:Ist das gewollt oder ein Bug?
MfG Dalai
#101164 Personal licence
Ryzen 5 2600, 16 GiB RAM, ASUS Prime X370-A, Win7 x64
Plugins: Services2, Startups, CertificateInfo, SignatureInfo, LineBreakInfo - Download-Mirror
Ryzen 5 2600, 16 GiB RAM, ASUS Prime X370-A, Win7 x64
Plugins: Services2, Startups, CertificateInfo, SignatureInfo, LineBreakInfo - Download-Mirror
Ich bin als Nutzer mit Adminrechten angemeldet und der TC wird als Administrator ausgeführt. Welcher Gast soll mir da etwas unterschieben?
Wo ist da ein Sicherheitsgewinn, wenn ich ohne Administratorrechte freudig Droppen kann? Logischerweise müsste auch ein Explorer, den ich mit Adminrechten starte, das Droppen ebenfalls nicht zulassen - es geht aber.
Wenn es denn eine sinnvolle Beschränkung sein soll, warum kann ich das Gleiche mit Copy und Paste ohne Beschränkung machen?
mike
Wo ist da ein Sicherheitsgewinn, wenn ich ohne Administratorrechte freudig Droppen kann? Logischerweise müsste auch ein Explorer, den ich mit Adminrechten starte, das Droppen ebenfalls nicht zulassen - es geht aber.
Wenn es denn eine sinnvolle Beschränkung sein soll, warum kann ich das Gleiche mit Copy und Paste ohne Beschränkung machen?
mike
Und die UAC ist eingeschaltet? Dann hast du eben keine Adminrechte sondern darfst sie dir lediglich verschaffen. Läuft dann der TC mit Adminrechten, so hat er eben einen anderen Rechtekontext, mit dem (nicht nur) Drag'n'Drop aus Prozessen mit anderen Rechten (genauer Token) nicht möglich ist.milenke wrote:Ich bin als Nutzer mit Adminrechten angemeldet und der TC wird als Administrator ausgeführt.
Soweit ich weiß, kann man einen Explorer nicht so ohne Weiteres mit Adminrechten starten. Analog dazu kann man auch einen 32 Bit Explorer auf einem 64 Bit Windows nicht starten, der Prozess wird immer wieder an den bereits laufenden 64 Bit Explorer weitergereicht.Logischerweise müsste auch ein Explorer, den ich mit Adminrechten starte, das Droppen ebenfalls nicht zulassen - es geht aber.
MfG Dalai
#101164 Personal licence
Ryzen 5 2600, 16 GiB RAM, ASUS Prime X370-A, Win7 x64
Plugins: Services2, Startups, CertificateInfo, SignatureInfo, LineBreakInfo - Download-Mirror
Ryzen 5 2600, 16 GiB RAM, ASUS Prime X370-A, Win7 x64
Plugins: Services2, Startups, CertificateInfo, SignatureInfo, LineBreakInfo - Download-Mirror
2milenke,
Starte den Explorer als Administrator (geht über das Kontextmenü) und du wirst sehen, dass dies ein reines Windowssicherheitsfeature ist, das Microsoft sich ausgedacht hat (ich erspare mir jetzt weiterführende Erklärungen zu OLE/COM Drop Mechanismen, die es erlauben, das der Quellprozess(Drag) Code im Zielprozess(Drop) ausführen könnte).
Wenn du gerne deine administrative Allmacht über die Bits und Bytes deines Rechners behalten willst, dann kannst du ja den/die UAC/Benutzerkontensteuerung anders konfigurieren.
Du übernimmst damit aber auch die alleinige Verantwortung für jede Malware, die sich dann ohne weiter von dir bemerkt zu werden, im System verankern kann.
Gruss
Holge
Starte den Explorer als Administrator (geht über das Kontextmenü) und du wirst sehen, dass dies ein reines Windowssicherheitsfeature ist, das Microsoft sich ausgedacht hat (ich erspare mir jetzt weiterführende Erklärungen zu OLE/COM Drop Mechanismen, die es erlauben, das der Quellprozess(Drag) Code im Zielprozess(Drop) ausführen könnte).
Wenn du gerne deine administrative Allmacht über die Bits und Bytes deines Rechners behalten willst, dann kannst du ja den/die UAC/Benutzerkontensteuerung anders konfigurieren.
Du übernimmst damit aber auch die alleinige Verantwortung für jede Malware, die sich dann ohne weiter von dir bemerkt zu werden, im System verankern kann.
Gruss
Holge
Ich starte die Explorer.exe über das Kontextmenü mit Adminrechten. Droppen ohne Probleme.Starte den Explorer als Administrator (geht über das Kontextmenü) und du wirst sehen, dass dies ein reines Windowssicherheitsfeature ist, das Microsoft sich ausgedacht hat
Die UAC ist auf der untersten Stufe - also ausgeschaltet.
Kann jemand eine Kombination zeigen, in der das Droppen blockiert wird, wenn ich das Zielprogramm mit Adminrechten ausführe. Als vergleichbare Situation zum TC.
Wieso kann ich droppen, wenn der TC nicht mit Adminrechten läuft? Da müssten die Rechte doch eher beschränkt sein als im Adminmodus.
mike
Uups, da hatte Dalai doch Recht:
- Notepad "als Administrator" öffnen
- Datei -> Öffnen-Dialog öffnen
- Von einem elevated Programm aus versuchen in den Datei-Öffnen-Dialog etwas per Drag&Drop zu ziehen.
- Von einem nicht elevated Programm aus das gleiche noch mal ausprobieren.
Das erste sollte funktionieren, das zweite nicht.
Gruss
Holger
Dalai wrote:Soweit ich weiß, kann man einen Explorer nicht so ohne Weiteres mit Adminrechten starten.
Aha, du glaubst uns also nicht:milenke wrote:Kann jemand eine Kombination zeigen, in der das Droppen blockiert wird, wenn ich das Zielprogramm mit Adminrechten ausführe. Als vergleichbare Situation zum TC.
- Notepad "als Administrator" öffnen
- Datei -> Öffnen-Dialog öffnen
- Von einem elevated Programm aus versuchen in den Datei-Öffnen-Dialog etwas per Drag&Drop zu ziehen.
- Von einem nicht elevated Programm aus das gleiche noch mal ausprobieren.
Das erste sollte funktionieren, das zweite nicht.
Gruss
Holger
Und der Explorer läuft dann auch wirklich mit Adminrechten? Ich glaube es nicht. Anders gefragt: Kannst du denn ohne weitere Nachfragen in geschützte Verzeichnisse wie \Program Files, \Windows oder ähnliche schreiben?milenke wrote:Ich starte die Explorer.exe über das Kontextmenü mit Adminrechten. Droppen ohne Probleme.Starte den Explorer als Administrator (geht über das Kontextmenü) und du wirst sehen, dass dies ein reines Windowssicherheitsfeature ist, das Microsoft sich ausgedacht hat
Von welchem OS reden wir überhaupt? IIRC bekam ich es bei Windows 8 nicht hin, die UAC komplett abzuschalten. Oder anders gefragt: Musst du denn eine UAC-Abfrage bestätigen, wenn du TC als Admin startest? Wenn ja, dann kann sie nicht abgeschaltet sein. Und schreibt denn TC in die Titelleiste deinen Benutzernamen, gefolgt von einem Zirkumflex (z.B. milenke^), wenn du ihn als Admin startest? Wenn ja, dann ist die UAC ebenfalls nicht abgeschaltet.Die UAC ist auf der untersten Stufe - also ausgeschaltet.
Nimm dir irgendein anderes Programm: Office, WordPad, Notepad ...Kann jemand eine Kombination zeigen, in der das Droppen blockiert wird, wenn ich das Zielprogramm mit Adminrechten ausführe. Als vergleichbare Situation zum TC.
Also nochmal langsam erklärt. Dein Desktop läuft mit Nutzerrechten (sofern nicht tatsächlich die UAC abgeschaltet ist). Von dort in andere Anwendungen droppen, die ebenfalls als Nutzer laufen, z.B. weil sie vom Desktop gestartet wurden, geht problemlos. Ist irgendeine Anwendung via RunAs mit einem anderen Nutzer gestartet oder via UAC als Admin, dann hat sie andere oder höhere Rechte. Um nun zu verhindern, dass diesem Prozess etwas untergeschoben wird von einem Prozess mit weniger/anderen Rechten, wird Drag'n'Drop deaktiviert. Es ist immer der Weg zum Prozess mit höheren Rechten versperrt (ob umgekehrt, weiß ich grad nicht). Jetzt klar geworden?Wieso kann ich droppen, wenn der TC nicht mit Adminrechten läuft? Da müssten die Rechte doch eher beschränkt sein als im Adminmodus.
MfG Dalai
#101164 Personal licence
Ryzen 5 2600, 16 GiB RAM, ASUS Prime X370-A, Win7 x64
Plugins: Services2, Startups, CertificateInfo, SignatureInfo, LineBreakInfo - Download-Mirror
Ryzen 5 2600, 16 GiB RAM, ASUS Prime X370-A, Win7 x64
Plugins: Services2, Startups, CertificateInfo, SignatureInfo, LineBreakInfo - Download-Mirror
Ich kämpfe mit Win 8.1.
Der Explorer läuft anscheinend standardmäßig trotz "als Administrator ausführen" nicht mit Adminrechten. Wenn ich den TC als Admin starte kommt keine UAC-Abfrage. Die UAC ist nach MS-Definition deaktiviert. Der Zirkumflex kommt im TC, aber das soll doch m.W. ein Hinweis sein, dass man mit Adminrechten arbeitet. Das Dropverhalten kann man auch mit anderen Programmen reproduzieren, die mit Adminrechten gestartet wurden.
Mir erschließt sich allerdings die MS-Logik hinter dem ganzen Vorgehen nicht so ganz. Administrator und Administratorrechte sind anscheinend zwei verschiedene Sachen mit unterschiedlichen Berechtigungen. Dass ein Prozess, der mit Administratorrechten gestartet wurde, höhere Rechte hat, als der Benutzer Administrator, der diesen Prozess gestartet hat, na ja .. muss man nicht verstehen.
Insbesondere, wenn ich mit Copy/Paste genau das erreichen kann, was mir mit Drag/Drop versperrt wird, dann erstaunt mich das schon. Ist alles genauso logisch wie Win 8 ohne Touchpad.
mike
Der Explorer läuft anscheinend standardmäßig trotz "als Administrator ausführen" nicht mit Adminrechten. Wenn ich den TC als Admin starte kommt keine UAC-Abfrage. Die UAC ist nach MS-Definition deaktiviert. Der Zirkumflex kommt im TC, aber das soll doch m.W. ein Hinweis sein, dass man mit Adminrechten arbeitet. Das Dropverhalten kann man auch mit anderen Programmen reproduzieren, die mit Adminrechten gestartet wurden.
Mir erschließt sich allerdings die MS-Logik hinter dem ganzen Vorgehen nicht so ganz. Administrator und Administratorrechte sind anscheinend zwei verschiedene Sachen mit unterschiedlichen Berechtigungen. Dass ein Prozess, der mit Administratorrechten gestartet wurde, höhere Rechte hat, als der Benutzer Administrator, der diesen Prozess gestartet hat, na ja .. muss man nicht verstehen.
Insbesondere, wenn ich mit Copy/Paste genau das erreichen kann, was mir mit Drag/Drop versperrt wird, dann erstaunt mich das schon. Ist alles genauso logisch wie Win 8 ohne Touchpad.
mike
Die UAC-Einstellungen werden seit Windows 7 mit einem Schieberegler vorgenommen, der wenn er nicht in der obersten, sichersten Position steht, je nach Vertrauensstatus des Programms auch mal ohne Dialog die Erhöhung der Rechte zulässt.Wenn ich den TC als Admin starte kommt keine UAC-Abfrage. Die UAC ist nach MS-Definition deaktiviert.
Der User "Administrator" hat in der Regel den UAC komplett ausgeschaltet.Mir erschließt sich allerdings die MS-Logik hinter dem ganzen Vorgehen nicht so ganz.
Der User mit Administratorrechten braucht die Administratorrechte eigentlich nur dann, wenn er etwas installieren muss.
Bei der normalen Arbeit (z.B. einen Mailanhang öffnen) wären diese allerdings eine Sicherheitslücke, da jede von ihm gestartet Applikation ebenfalls Administratorrechte und damit uneingeschränkten Zugriff auf Systemresourcen hätte.
Zwei mal das Gleiche ist nicht dasselbe.wenn ich mit Copy/Paste genau das erreichen kann, was mir mit Drag/Drop versperrt wird
Drag&Drop ist von MS als Sicherheitslücke erkannt und deshalb unterbunden worden.
Gruss
Holger
Wenn die Sicherheitsmechanismen von Windows die sinnvolle Arbeit nicht so quälend behindern würden, würden weniger Leute die UAC Komplett deaktivieren. Das hat dann dazu geführt, dass man Admins vor sich selbst schützen muss.
Mein Glaube in Konzept und Logik bei MS war mit Vista angekratzt und ist seit Win 8 verloren.
mike
Mein Glaube in Konzept und Logik bei MS war mit Vista angekratzt und ist seit Win 8 verloren.
mike
Ich arbeite seit Vista mit UAC auf der höchsten Sicherheitseinstellung und habe bisher eigentlich nicht wirklich Probleme damit.
Und glaube mir, ich benötige häufiger als ein normaler Home-Anwender Administratorrechte.
Ist wahrscheinlich einfach nur eine persönliche Einstellung ob man das als Sicherheitsgewinn oder Bevormundung betrachtet.
Wenn ich massenweise Installation vornehmen muss oder ständig in Systemverzeichnissen oder Registry rumwerkeln muss, dann wird eben einmal ein TC als Administrator gestartet (da gibt es auch tricks um das ohne UAC-Abfragen zu erledigen), und dann werden diese Arbeiten eben aus dem TC heraus gemacht.
Mehr als 95% der täglichen Arbeit lässt sich nach meiner Erfahrung allerdings ohne jegliche Einschränkungen auch unter Verzicht auf Administratorrechte durchführen.
Gruss
Holger
Und glaube mir, ich benötige häufiger als ein normaler Home-Anwender Administratorrechte.
Ist wahrscheinlich einfach nur eine persönliche Einstellung ob man das als Sicherheitsgewinn oder Bevormundung betrachtet.
Wenn ich massenweise Installation vornehmen muss oder ständig in Systemverzeichnissen oder Registry rumwerkeln muss, dann wird eben einmal ein TC als Administrator gestartet (da gibt es auch tricks um das ohne UAC-Abfragen zu erledigen), und dann werden diese Arbeiten eben aus dem TC heraus gemacht.
Mehr als 95% der täglichen Arbeit lässt sich nach meiner Erfahrung allerdings ohne jegliche Einschränkungen auch unter Verzicht auf Administratorrechte durchführen.
Gruss
Holger
So könnte in unserer Entwicklungsabteilung keiner Arbeiten. Als die ersten Win8 Rechner gekommen sind, hat es 2 Wochen gedauert, bis die ersten wieder normal arbeiten konnten. Der Support ist fast verzweifelt, als die ersten Kunden reihenweise Probleme mit Win8 hatten und alles natürlich nicht bei MS abgeladen haben.
mike
mike