Gebruikersaccountbeheer (UAC) en problemen met beheerrechten

Via het Gebruikersaccountbeheer (ook wel User Account Control (UAC) genoemd) kunnen de nodige beperkingen worden opgelegd zodat niet zomaar software kan worden geÔnstalleerd en/of uitgevoerd. Deze veiligheidsmaatregel moet voorkomen dat Windows besmet raakt met ongewenste, mogelijk schadelijke software. Hoewel Gebruikersaccountbeheer Windows aanzienlijk veiliger maakt, is het voor velen ook een grote bron van ergernis. Gebruikersaccountbeheer onderbreekt namelijk bij diverse (essentiŽle) systeemwijzigingen de werkzaamheden door het scherm en de openstaande programma's te blokkeren totdat al dan niet toestemming is verleend (zie afbeelding). Worden de meldingen echter achteloos weggeklikt, dan krijgt malware vrij spel en is Gebruikersaccountbeheer nutteloos...

Gebruikersaccountbeheer (UAC) en administratorrechten

Enkele lokale beleidsinstellingen wijzigen
Een vervelende bijkomstigheid van Gebruikersaccountbeheer is dat het scherm 'op zwart gaat' (dit dimmen wordt ook wel het beveiligd bureaublad genoemd), totdat er voor de wijziging toestemming is verleend. Deze onderbreking kan worden uitgeschakeld via het onderdeel Systeembeheer van het configuratiescherm, Lokaal beveiligingsbeleid, Lokaal beleid, Beveiligingsopties, deactiveer hier het beleid voor Gebruikersaccountbeheer: naar het beveiligd bureaublad overschakelen tijdens het vragen om benodigde bevoegdheden. Door het beleid Gebruikersaccountbeheer: gedrag bij het vragen om benodigde bevoegdheden voor administrators in modus 'Door administrator goedkeuren' te veranderen van Vraag om toestemming in Met benodigde bevoegdheden uitvoeren zonder hierom te vragen kunnen voor de administratoraccounts ook de herhaaldelijk terugkerende vragen om administratorbevestiging worden uitgeschakeld. Besef dat dit laatste ten koste gaat van de veiligheid van het systeem, het Beveiligingscentrum komt dan ook herhaaldelijk met een waarschuwing.

TIP: Gebruikersaccountbeheer kan ook (tijdelijk) worden uitgeschakeld via het configuratiescherm, onderdeel Gebruikersaccounts, optie Gebruikersaccountbeheer in- of uitschakelen. Dit is handig wanneer er tijdelijk veel essentiŽle aanpassingen moeten worden aangebracht (vergeet niet deze optie na afloop weer in te schakelen).

OPTIE LOKAAL BEVEILIGINGSBELEID NIET BESCHIKBAAR?

De optie Lokaal beveiligingsbeleid is niet in alle Windows Vista versies beschikbaar. Zonder deze optie kunnen de beleidsinstellingen uitsluitend worden gewijzigd door middel van een handmatige registerwijziging. Verander hiervoor de DWORD-waarden PromptOnSecureDesktop in 0 (in plaats van 1) en ConsentPromptBehaviorAdmin in 0 (in plaats van 2) in de volgende registersleutel:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System


GEBRUIKERSACCOUNTBEHEER PERMANENT UITSCHAKELEN?

Windows Vista is niet voor niets uitgerust met Gebruikersaccountbeheer, dus is het wel verstandig deze permanent uit te schakelen? Het blijkt dat het UAC een grote impact heeft op procedures die met veiligheid te maken hebben. Zo wordt de lijst met bezochte websites (een functie waarmee de URL automatisch wordt aangevuld bij het intikken van eerder bezochte websites in de adresbalk van Internet Explorer) bijvoorbeeld anders opgeslagen wanneer Gebruikersaccountbeheer is uitgeschakeld. De statusbalk van Internet Explorer geeft ook een melding dat de beveiligde modus is uitgeschakeld. Het moge dus duidelijk zijn dat Windows Vista bepaalde procedures anders aanpakt zodra het UAC is uitgeschakeld. Uit veiligheidsoverwegingen is het dan ook onverstandig Gebruikersaccountbeheer permanent uit te schakelen.


Problemen met beperkte beheerrechten

De door Gebruikersaccountbeheer opgelegde beperkingen van de gebruikersrechten zijn bedoeld om extra beveiliging te bieden tegen kwaadwillende software en onbedoelde handelingen van de gebruiker. Deze machtigingen kunnen echter ook vaak onbegrijpelijke foutmeldingen tijdens installatie of gebruik van vertrouwde software veroorzaken (zoals het niet kunnen installeren of opstarten van een programma, het niet kunnen opslaan van gegevens, e.d.). Deze problemen worden veroorzaakt doordat de gebruikersrechten niet toestaan dat er met het betreffende gebruikersaccount een wijziging wordt aangebracht in een specifiek bestand en/of registerwaarde (ongeacht of het een administratoraccount betreft). Zoals uit onderstaande foutmelding blijkt, ondervond ik bijvoorbeeld problemen met de toegangsrechten tot een bestand bij het opnieuw opslaan van een foto met het fotobewerkingsprogramma Paint Shop Pro.

geen rechten toegewezen

In dit voorbeeld is het duidelijk dat het om beperkte schrijfrechten gaat, maar soms tonen programma's de vreemdste foutmeldingen die niet zo gemakkelijk thuis te brengen zijn. De oorzaak is dan onduidelijk, zoals bij onderstaande (veelvoorkomende) foutmelding die is opgetreden omdat een website niet aan de favorieten kan worden toegevoegd. Dit specifieke probleem doet zich vaak voor nadat de persoonlijke bestanden van een gebruikersaccount (waaronder dus ook de in Internet Explorer opgeslagen favorieten) naar een aparte datapartitie zijn verplaatst maar de gebruikersaccount (nog) niet beschikt over de juiste machtigingen (zie eventueel de pagina over het wijzigen van de opslaglocatie van persoonlijke bestanden en de problemen die zich daarbij kunnen voordoen).

Foutmelding bij toevoegen webpagina aan favorieten

Eenmalig of structureel probleem?

Om vast te stellen dat een probleem wordt veroorzaakt door te beperkte rechten, kan het betreffende programma eenmalig met administratorrechten worden gestart (klik met rechts op een snelkoppeling of programma en kies voor Als administrator uitvoeren). Is het probleem hiermee opgelost, dan ligt de oorzaak blijkbaar bij de beperkte beheerrechten. Sommige door beperkte gebruikersrechten veroorzaakte problemen zijn van eenmalige aard (bijvoorbeeld systeemwijzigingen die slechts eenmalig doorgevoerd hoeven te worden, zoals de registratie van een recent geÔnstalleerd softwarepakket). Werkt het programma echter probleemloos met administratorrechten maar toont het zůnder die administratorrechten gelijk weer een foutmelding? Dan is het probleem duidelijk van structurele aard en is er dus ook een structurele oplossing nodig.

Er zijn twee manieren om problemen met de beheerrechten structureel op te lossen: door het programma standaard als administrator uit te laten voeren of door het gebruikersaccount zelf te voorzien van beheerrechten. Hoewel het met administrator opstarten van programma's verreweg het eenvoudigst is toe te passen, is dat zeker niet de veiligste oplossing. Het verlaagt het beveiligingsniveau namelijk aanzienlijk waardoor mogelijk schade aan het systeem kan worden aangebracht.

Programma's met administratorrechten opstarten
Biedt het eenmalig opstarten van de software met administratorrechten een oplossing, dan kan de betreffende software ook standaard met administratorrechten worden opgestart. Dit wordt ingesteld via de Eigenschappen van het betreffende programma (tabblad Compatibiliteit, optie Dit programma als Administrator uitvoeren) of via de Eigenschappen van de snelkoppeling naar dit programma (tabblad Snelkoppeling, knop Geavanceerd, optie Als administrator uitvoeren). Gebruik deze procedure echter alleen bij vertrouwde programma's want het beveiligingsniveau wordt hiermee aanzienlijk verlaagd!

TIP: Soms is zelfs het toewijzen van administratorrechten niet voldoende voor het kunnen doorvoeren van een systeemwijziging. Probeer het met administratorrechten opstarten van de software dan eens in combinatie met een tijdelijk uitgeschakeld Gebruikersaccountbeheer (UAC). Dit kan via het configuratiescherm, onderdeel Gebruikersaccounts, optie Instellingen voor Gebruikersaccountbeheer wijzigen. Deze methode wordt echter niet geadviseerd als structurele oplossing!

Machtigen voor specifieke bestanden, mappen en/of registersleutels wijzigen
Een veilige (maar lastigere) manier om het probleem met de beheerrechten op te lossen, is het gebruikersaccount zelf te voorzien van beheerrechten (machtigingen) voor de bestanden, mappen en/of registersleutels waarin het programma wijzigingen wil doorvoeren. Is bekend welke items vanwege te beperkte rechten voor problemen zorgen, dan kunnen de rechten voor volledig beheer er direct aan worden toegewezen. Hierdoor krijgt het programma niet de beschikking over volledige beheerrechten en kan er dus ook geen 'misbruik' van de administratorrechten worden gemaakt. Het toekennen van machtigingen is niet zo lastig, de moeilijkheid zit hem in het bepalen van welke bestanden en/of registersleutels de machtigingen aangepast moet worden. Gebruik eventueel een tool als Process Monitor (van Sysinternals) wanneer het niet direct duidelijk is welke bestanden en/of registersleutels het probleem veroorzaken. …ťn troost: ook voor een specialist is het lang niet altijd even duidelijk!

Machtigingen voor het wijzigen van bestanden of mappen worden aan een gebruiker toegekend door in te loggen met een administratoraccount en vervolgens in de Windows Verkenner met rechts op het bestand of de map te klikken en te kiezen voor Eigenschappen, tabblad Beveiliging. De makkelijkste oplossing is hier de groep Gebruikers de machtiging Volledig beheer te geven. Is het echter niet de bedoeling dat ook de andere gebruikers toegang krijgen tot de betreffende bestanden, voeg dan (via de knop Bewerken, knop Toevoegen) de naam van het gebruikersaccount toe (druk eventueel ter controle op de knop Namen controleren) en geef deze als enige de machtiging Volledig beheer. In dit voorbeeld wordt dat toegepast op het bestand 3.JPG (een foto) dat de veroorzaker was van de getoonde foutmelding in Paint Shop Pro. Door de gehele map (of in dit geval de gehele partitie) waarin dit bestand staat te voorzien van deze machtiging, wordt het probleem voor alle onderliggende bestanden in ťťn keer opgelost.

rechten toekennen

Machtigingen voor het wijzigen van registersleutels (inclusief de onderliggende registerwaarden) worden op vergelijkbare wijze vanuit de registereditor aan een gebruiker toegekend door met rechts op de betreffende sleutel te klikken en via Machtigingen de beheerrechten te wijzigen.

LET OP: Machtigingen kunnen alleen via een gebruikersaccount met administratorrechten worden gewijzigd. Een administratoraccount beschikt overigens niet voor elke bestand, map of registersleutel standaard over beheerrechten. Wanneer een machtiging voor volledig beheer echter noodzakelijk is, kan een administratoraccount deze (in de meeste gevallen) wel aan zichzelf toewijzen.

'TAKE OWNERSHIP' TOEVOEGEN AAN CONTEXTMENU

Is het wijzigen van de machtigingen te ingewikkeld of te tijdrovend, dan kan de optie Take Ownership uitkomst bieden. Nadat deze optie is toegevoegd aan het contextmenu (dat verschijnt wanneer met rechts op een bestand of map wordt geklikt), kan het betreffende gebruikersaccount namelijk met slechts een paar klikken toegang krijgen tot elke willekeurige map of bestand. Het aan het contextmenu toevoegen gaat het makkelijkst door de inhoud van het registerbestand take_ownership.reg aan het register toe te voegen (pak het zip-bestand uit en dubbelklik op het registerbestand). Deze optie kan overigens ook eenvoudig met de tool Ultimate Windows Tweaker worden uitgevoerd (activeer de optie Show 'Take Ownership' bij het onderdeel Additional Tweaks). In beide gevallen wordt de volgende registerwijziging doorgevoerd:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\*\shell\runas]
@="Take Ownership"
"NoWorkingDirectory"=""

[HKEY_CLASSES_ROOT\*\shell\runas\command]
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"

[HKEY_CLASSES_ROOT\Directory\shell\runas]
@="Take Ownership"
"NoWorkingDirectory"=""

[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"


IS EEN MAP ONTOEGANKELIJK NA HERINSTALLATIE?

Het gebeurt regelmatig dat na het herinstalleren van het besturingssysteem geen toegang meer kan worden verkregen tot mappen of bestanden die daarvoor nog wel bereikbaar waren. Vaak wordt dan een hangslot weergegeven in het map-icoontje en/of wordt bij het openen de foutmelding U hebt momenteel geen toegang tot deze map getoond. Dit probleem ontstaat doordat het account (nog) geen toegangsrechten heeft. Dit probleem is op te lossen door als administrator beheerrechten toe te eigenen, bijvoorbeeld door gebruik te maken van het zojuist besproken Take Ownership.


WANNEER DE BESTANDEN GEBLOKKEERD ZIJN...

Lukt het niet een bepaald bestand te verwijderen of te verplaatsen omdat het door een proces bezet wordt gehouden? De boosdoener is in veel gevallen eenvoudig te achterhalen en te beŽindigen met de tool Process Explorer (download: www.microsoft.com). Klik in de menubalk van Process Explorer op Find, Find Handle or DLL en voer de naam van het bezette bestand in om de naam van het verantwoordelijke proces op te sporen. Dit proces kan vervolgens in het basisscherm worden beŽindigd door er met rechts op te klikken en te kiezen voor Kill Process.

TIP: In Windows wordt Windows Taakbeheer (toegankelijk met de toetscombinatie CTRL-SHIFT-ESC) standaard gebruikt voor het beheren van de processen. Gebruikt u liever Process Explorer als standaard beheerder, dan kan dat vanuit Process Explorer worden ingesteld via Options, Replace Task Manager.


 
 
 
HOME
Windows 8.1
Windows 7
Windows XP
BEVEILIGEN
AVG virusscanner
Comodo Internet Security
HOSTS-bestand
SOFTWARE
Dropbox
Bestandssynchronisatie
Gratis software
NETWERK/INTERNET
Draadloos netwerk
Bestanden delen
Outlook
HERINSTALLATIE
10 stappenplan
Back-up gegevens
Partitioneren
SYSTEEMBEHEER
Opstartproces
Windows register
Mijn docs verplaatsen
 

© 2001-2014 - - SchoonePC - Rotterdam - The Netherlands