Das leistet die Benutzerkontensteuerung

Die UAC verleiht einem Nutzer gewissermaßen zwei Identitäten. Für normale Aufgaben kommt die Standard-Identität zum Einsatz. Nur wenn Sie eine systemrelevante Aktion ausführen wollen, erhalten Sie Administratorrechte. Dafür fragt das Betriebssystem nach Ihrer Erlaubnis.

Für das Verständnis der UAC ist ein Blick in die Geschichte von Windows hilfreich: Bis Windows 98 hatte Windows noch keinerlei Sicherheitssystem. Jeder Benutzer und damit jedes Programm durfte alles.

Mit Windows NT kamen die Benutzerkonten mit unbegrenzten Rechten für die Administratoren und sehr eingeschränkten Rechten für die Gäste. Wenn sich ein Standardbenutzer einen Virus einfing, dann konnte dieser zwar die Dateien des Nutzers infizieren und beschädigen, nicht aber die Systemdateien.

Das gilt auch noch für Windows XP. Dort erhält das erste auf dem PC angelegte Benutzerkonto Administratorrechte. Das führt dazu, dass die meisten XP-Nutzer immer als Administrator mit vollen Rechten unterwegs sind.

Die Benutzerkontensteuerung geht einen etwas anderen Weg. Hier gibt es nicht nur verschiedene Konten, deren Mitglieder verschiedene Rollen spielen. Stattdessen erhalten Benutzer aus der Administratorgruppe eine Art gespaltene Persönlichkeit. Sie bekommen alle Administratorrechte und alle Rechte eines Standardbenutzers. Sie wechseln die Identität und damit die Rechte je nachdem, was erforderlich ist. Grundsätzlich teilt Windows dabei jedem Benutzer und jedem Programm zunächst nur eingeschränkte Rechte zu.

Benötigt nun eine Anwendung erweiterte Rechte, werden diese über den UAC-Mechanismus angefordert, und der Bestätigungsdialog erscheint.

Es gibt eine Reihe von Aktivitäten, die das Dialogfenster der UAC zum Vorschein bringen. Ein paar Beispiele: eine Anwendung als Administrator ausführen; systemweite Einstellungen vornehmen; Dateien im System- oder im Programme-Ordner anlegen oder verändern; Programme von unbekannten Herausgebern installieren.

Zusammengefasst heißt dies: Das Dialogfenster der UAC erscheint immer dann, wenn Ihre Benutzer-Identität vom Standardbenutzer zum Administrator wechselt, um eine Aufgabe auszuführen, die entsprechende Rechte erfordert.

Kurz gesagt schützt die UAC das Betriebssystem vor dem Benutzer.

Sie schützt beispielsweise die Systemdateien, die Windows-Einstellungen und die Registry vor einer unsachgemäßen Manipulation durch den Benutzer, indem sie diesen jedes Mal um eine Bestätigung des geplanten Vorgangs bittet.

Bei Nutzern, die ohnehin immer auf „Ja“ oder „Fortsetzen“ klicken, ist auch diese Schutzschicht durchlässig. Der Moment der Wahrheit ist die Installation eines Programms. Vor der Installation blendet die UAC eine Meldung ein. Darin sollen Sie die Ausführung des Programms bestätigen.

Sobald Sie der Installation zugestimmt haben, kann das Programm im schlimmsten Fall alles tun, was es will, ohne dass Sie jemals erneut eine Meldung der UAC sehen.

Um den PC zuverlässig vor Malware zu schützen, ist ein Antivirenprogramm unerlässlich. Auch eine Firewall bietet einen gewissen Schutz. Die UAC kann diese Schutzfunktionen nicht ersetzen.

Die UAC schützt nicht vor Malware wie Viren, Trojanern, Keyloggern und Spyware. Nur wenn ein Übeltäter versucht, Administratorrechte zu erlangen, dann erhalten Sie tatsächlich eine Meldung von der UAC.

Die meiste Malware benötigt aber gar keine Administratorrechte. Sie kann auch mit den Rechten des Standardbenutzers Dateien löschen oder beschädigen — allerdings keine Systemdateien, sondern nur die Dateien des Benutzers —, Spam versenden und Passwörter ausspähen. Kurz: Schadcode darf auf dem PC all das, was Sie als Standardbenutzer ohne Administratorrechte auch dürfen.

Auch Ihre persönlichen Daten werden nicht geschützt: Sie dürfen ohne Warnung der UAC Ihre komplette Musik- oder Fotosammlung löschen oder Programme beschädigen.