Windows Verzeichnis schützen

danpro · Post by **danpro** » Thu Dec 28, 2006 11:02 pm

In MS Windows habe ich es schon immer doof gefunden, dass jede Software einfach was ins Betriebssystem-Verzeichnis schreiben kann.

Unter ReactOS sollte, dass nur als Admin möglich sein. Dann sollte zudem so eine Meldung erscheinen:
"Programm xy.exe versucht Teile des Betriebssystems zu verändern. Soll der Vorgang erlaubt werden?
o Bei diesem Programm immer erlauben
o Bei diesem Programm niemals erlauben
o Bei diesem Programm immer nachfragen
.. Mehr Informationen ... Ja / Nein"
mit Icon der Anwendung, auf Wunsch noch passwortgeschützt, und Auswahl (nachfragen usw.) ein- u. ausblendbar.

Was meint ihr?

phoenix · Post by **phoenix** » Fri Dec 29, 2006 1:20 am

Genau das macht ja Windows XP auch (in NT generell vorhanden?), nur Administratoren dürfen auf Systemdaten bzw. generell Daten außerhalb des Benutzerordners zugreifen, und Ändern der Systemdaten wird standardmäßig verhindert bzw der Benutzer wird auf geänderte Dateien hingewiesen (wenn der entsprechende Dienst aktiv ist).

Das heißt, ReactOS sollte das in Zukunft sowieso können, sobald Benutzer implementiert sind...

Radhad · Post by **Radhad** » Fri Dec 29, 2006 1:37 am

Das Problem ist nur, dass die meisten Anwender einfach den User mit Administratorrechten nutzen anstatt einen User mit eingeschränkten Rechten, einfach, weil es bequemer ist. Ich denke, in Vista wurde dies ganz gut umgesetzt und könnte so übernommen werden.

danpro · Post by **danpro** » Mon Jan 01, 2007 12:40 am

@phoenix
WINXP: Schön.

Wie aktiviere ich diesen Dienst? Bei Vista heißt dieser Dienst Zugriffskontrolle (UAC). Aber bei XP?
ROS: Dazu sollte bei ReactOS auch noch services.msc kommen, damit ich die Dienste verwalten kann.

@Radhad
Warum ist das hier ein Problem? Mit diesem Dienst ist man ja auch als Admin geschützt. (wenn ich phoenix richtig verstanden habe)

phoenix · Post by **phoenix** » Mon Jan 01, 2007 1:44 am

danpro: Hab mich vllt n bisschen unsauber ausgedrückt, ich mein das hier: http://support.microsoft.com/kb/222193

Ja, man ist auch als Admin geschützt. Allerdings nur in dem Sinne, dass Windows meldet, dass Dateien geändert wurden, nicht mehr und nicht weniger.
Dass die meisten Benutzer als Admin angemeldet sind, ist wohl ein psychologisches Problem, allerdings sollte man durch eventuelle geänderte Rechtevergabe in den einzrelnen Ordnern (erst ab Windows XP pro?) auch alle Programme als Nichtadmin laufen lassen können...

danpro · Post by **danpro** » Mon Jan 01, 2007 3:02 am

phoenix wrote:Ja, man ist auch als Admin geschützt. Allerdings nur in dem Sinne, dass Windows meldet, dass Dateien geändert wurden, nicht mehr und nicht weniger.

Dann ist es meist schon zu spät... Bei XP ist das so, nicht Vista, oder?

phoenix · Post by **phoenix** » Mon Jan 01, 2007 5:49 am

Ja, XP.
Zu dem "zu spät": in 99% aller Fälle ist es wohl genug, die Windows-CD einzulegen und die Datei zu überschreiben, wenn eine Datei abgeändert wurde, zurück bleibt normalerweise der Originalzustand. Warum sollte man allerdings das ändern der Systemdateien komplett verbieten? Solche Prjekte wie zB Multipatcher XP, die Windows-Dateien patchen, wären dadurch ja erst mal komplett unmöglich...

danpro · Post by **danpro** » Mon Jan 01, 2007 2:30 pm

@phoenix
Niemand hat das hier gesagt. Für den Theme Multipatcher muss man halt dann Admin-Rechte haben. Einfach beim Benutzen des Programms Admin-Passwort eingeben bzw. wenn man schon einer ist, auf "Ja" klicken, fertig.

danpro · Post by **danpro** » Tue Jan 30, 2007 8:51 pm

Ich habe gerade gemerkt, dass ich beim laufenden System wichtige Systemdateien (auch Kernel) umbennen und verschieben kann. (löschen und anderes vermutlich auch aber nicht getestet) Kann das jedes andere Programm dann auch?

SpoonmAn · Post by **SpoonmAn** » Tue Feb 06, 2007 3:47 pm

vielleicht sollte man das in reactos so lösen das bei verwendung eines eingeschränkten kontos automatisch zur eingabe des adminpassworts aufgefordert wird sollte ein programm derartige aktionen durchführen wollen, was dem programm für diese session adminrechte gewährt. das würde die geringste komplizierung für eingeschränkte user und gleichzeitig einen gewissen schutz vor unerwünschten aktionen darstellen.

danpro · Post by **danpro** » Tue Feb 06, 2007 8:10 pm

@SpoonmAn Ja, siehe Vorschlag im 1. Beitrag von mir. Ein "Admin"-Konto sollte es nicht geben - alle sind Benutzerkonten zu nennen.
--
Kann jemand meinen Vorschlag auf englisch ins englische Forum schreiben? Ich möchte gerne wissen, ob mein Vorschlag als Ziel genommen wird oder nicht. Danke.

SpoonmAn · Post by **SpoonmAn** » Tue Feb 06, 2007 11:34 pm

denke das trifft inetwa deine vorstellungen
http://www.reactos.org/forum/viewtopic. ... 6392#26392

Windows Verzeichnis schützen

Windows Verzeichnis schützen

Who is online