Win7: Benutzerkonten: wie geht Ihr damit um?

MarcusAgrippa

Active member
Themenstarter
Registriert
16 Juni 2010
Beiträge
4.071
Als - in der Regel - Alleinnutzer meines TPs habe ich ein Benutzerkonto als Administrator, das ich, wenn es sein muss, mit einem Passwort verschliesse, welches ich zuhause aber wieder lösche (um den PC in einem Rutsch ohne Bestätigung hochfahren lassen zu können).

Wenn mal eine Freundin oder ein Freund seine Emails abruft und dgl, kann ich sicher sein, dass sie mir nicht in meinem PC herumfuhrwerken.

Als Test habe ich mal ein 2. Konto eröffnet, aber Win7 installiert dafür den Ursprungsdesktop, der ganz ohne meine eigenen Einstellungen, Icons, Taskbar etc daherkommt, die ich mit Bedacht eingerichtet habe, um schnell und bequem an das zu kommen, was ich häufig brauche.

Akzeptabel wäre für mich ein 2. Konto, das alle meine individuellen Einstellungen übernähme, nur eben bei bestimmten eingeschränkten Rechten. Nur so würde ich das Admin-Konto permanent mit einem PW versehen.

[Das "Gast"-Konto könnte ich bei Bedarf - für jemand anderen! - jederzeit aktivieren, aber es hat eben auch diese 'langsamen' und gleichzeitig überladenen Einstellungen, die Windows vonhausaus mitbringt]

- Wie haltet Ihr es?

- Was macht Ihr mit gelegentlichen "Gästen", die nicht gleich ein eigenes Konto brauchen, die Ihr aber auch nicht mit der Urfassung abspeisen wollt? (Da muss ich ja selbst zu suchen anfangen (!) oder die richtigen Stichwörter fürs Startfenster flüstern)

- Wie überträgt man - auf einfache Weise - die Einstellungen des Admin-Kontos auf ein anderes, natürlich ohne bestimmte Rechte, sozusagen als Konto für jeden Tag? Also ohne die Vielzahl von Einstellungsoptionen durchkauen zu müssen? Ein solches Konto würde ich eigentlich auch gerne als Gastkonto bereitstellen, mit noch mal eingeschränkten Rechten, was das "Computer-Heiligste" betrifft
 
Windows hat nen vernünftiges Sicherheitskonzept?

Nö, als Benutzer sollte man sich ein Sicherheitskonzept aneignen. Und ein eingeschränktes Konto ist ein (wichtiger) Bestandteil davon.
Weitere Bestandteile wären:
- Sicherheitsupdates für Windows, Browser, Flashplayer etc. zeitnah einspielen
- Virenscanner verwenden
- nicht auf alles klicken was blinkt und hupt
- ...

Die Methode die ClausB beschrieben hat, ist bzgl. der Benutzerkonten natürlich auch gut machbar.

Grundsätzlich ist es immer noch fahrlässig, wenn jemand ausschließlich als Admin arbeitet und damit im Netz unterwegs ist... UAC hin oder her.
 
Zuletzt bearbeitet:
Das Problem sitzt zu 99% vor dem Bildschirm.
Sehr richtig. Umso wichtiger ist es, dass der Rechner so konfiguriert wird, dass das vor dem Bildschirm sitzende Problem sowenig Unheil wie möglich anrichtet.

Da kannst du mit deinen Konten rumspielen wie du willst.
Kommen da jetzt auch noch Fakten, oder bleibt es bei Polemik ?

Der Sicherheitsgurt im Auto verleiht dir auch keine Unsterblichkeit - trotzdem käme kein vernünftig denkender Mensch auf die Idee, den als als sinnlose Spielerei hinzustellen, nur weil man trotzdem mit 200 Sachen gegen die Wand rasen kann.

Und genauso ist es mit den Benutzerkonten. Die stellen eine zusätzliche Hürde dar, die erstmal überwunden werden muss. Niemand hat behauptet, dass es ein Allheilmittel ist, das den Anwender vom Nachdenken entbindet.
 
Wie kann man sich denn mit nem Admin-Konto infizieren? Ohne vorherigen Virenscan Warez-EXEs aufmachen?

Was gibt es denn sonst noch für Infektionsmöglichkeiten, wenn man nicht gerade eine Sicherheitslücke im Browser/PDF-Reader/etc. vorhanden ist?

Des Weiteren: Was gibt es für Sicherheitslücken in o.g. Apps, bei denen ein beschränktes Benutzerkonto oder UAC etwas bringen würde?
 
Wie kann man sich denn mit nem Admin-Konto infizieren?
Die Frage hast du bereits selbst beantwortet:

bemymonkey schrieb:
Was gibt es denn sonst noch für Infektionsmöglichkeiten, wenn man nicht gerade eine Sicherheitslücke im Browser/PDF-Reader/etc. vorhanden ist?
Wie man nahezu überall nachlesen kann, sind ungepatche Sicherheitslücken im Flashplayer, Adobe Reader und Browser derzeit die Haupteinfallstore für Schädlinge. Und nicht immer bieten die Hersteller sofort geeignete Patches an, das dauert teilweise Wochen. Und solange die Hersteller keinen passenden Patch anbieten, ist auch das best-gepatchte System in dieser Hinsicht offen und verwundbar.
Wohlgemerkt spreche ich von Systemen, die immer gewissenhaft auf Stand gehalten werden, und nicht von Kisten auf deren Uralt-Versionen laufen.

Des Weiteren: Was gibt es für Sicherheitslücken in o.g. Apps, bei denen ein beschränktes Benutzerkonto oder UAC etwas bringen würde?
Unter einem normalen Benutzerkonto wird dir standardmäßig der Zugriff aufs Programmverzeichnis und Windows-Systemverzeichnis verwehrt. Dieser Schutz mag nicht unüberwindbar sein, ist jedoch eine gewisse Hürde die erstmal genommen werden muss.

Unter einem Adminkonto ist das nicht der Fall, da kann man von vornherein lustig installieren. Insbesondere deshalb, weil die UAC unter Windows 7 standardmäßig relativ lasch eingestellt ist, so dass Systemänderungen teilweise völlig ohne Rückfrage erfolgen.
 
Zuletzt bearbeitet:
Springt UAC eigentlich auch wirklich zuverlässig an? Ich überlege gerade, das wieder einzuschalten...
 
Wie man nahezu überall nachlesen kann, sind ungepatche Sicherheitslücken im Flashplayer, Adobe Reader und Browser derzeit die Haupteinfallstore für Schädlinge. Und nicht immer bieten die Hersteller sofort geeignete Patches an, das dauert teilweise Wochen. Und solange die Hersteller keinen passenden Patch anbieten, ist auch das best-gepatchte System in dieser Hinsicht offen und verwundbar.
Unter einem normalen Benutzerkonto wird dir standardmäßig der Zugriff aufs Programmverzeichnis und Windows-Systemverzeichnis verwehrt. Dieser Schutz mag nicht unüberwindbar sein, ist jedoch eine gewisse Hürde die erstmal genommen werden muss.

Im Adminkonto ist das ebenfalls geschützt, zumindest der Schreibzugriff, da sollte(!!!) UAC einschreiten.
Ich bin zu Windows (XP/VISTA/7) Zeiten immer mit einem Adminkonto unterwegs gewesen .. und oh Wunder, ich hatte niemals ernsthaft Virenbefall/sonstiges. Warum? Ich klick nicht auf Anhänge alà "Sie haben 20400 € gewonnen, genaueres finden sie im Anhang.". :D

Wen übrigens mal interessiert, wie genau Lücken ausgenutzt werden von Flash,PDF usw., dem sei die 5 teillige Reihe in der C't nahe gelegt. (Ich weiß leider nur nicht mehr wie sie hieß und wann sie drin war - es war jedenfalls sehr interessant.). Dort haben "Profis" solche Viren/Trojaner/etcpp. genauer analysiert wie sie das System kompromittieren.
 
Zuletzt bearbeitet:
Im Adminkonto ist das ebenfalls geschützt, zumindest der Schreibzugriff, da sollte(!!!) UAC einschreiten.
Ich bin zu Windows (XP/VISTA/7) Zeiten immer mit einem Adminkonto unterwegs gewesen .. und oh Wunder, ich hatte niemals ernsthaft Virenbefall/sonstiges. Warum? Ich klick nicht auf Anhänge alà "Sie haben 20400 € gewonnen, genaueres finden sie im Anhang.". :D

Trotzdem sollte man IMMER versuchen, mit den niedrigst möglichen Rechten zu arbeiten. Das ist wie beim Autofahren: vorsichtig fahren hilft sicher viel. Trotzdem ist es nicht unbedingt schlau, sich nicht anzuschnallen und den Airbag zu deaktivieren, nur weil man die letzten 10 Jahre keinen Unfall und damit auch keine Verletzung hatte.

Es gibt immer die Möglichkeit, dass ein Zero-Day-Exploit ausgenutzt wird, am besten per Drive by. Dann nützen Patches nix und ein explizites Anklicken ist auch nicht nötig. In so einem Fall ist es dann doch gar nicht schlecht, wenn das Windows-Rechtesystem die Möglichkeiten des Virus ein wenig einschränkt.
 
Ich hab auch ein ganz normales Konto als einziger Nutzer meiner diversen Rechner mit Windows 7 und das reicht völlig. Außerdem sidn alle mit dem selben Passwort versehen, da sich die PCs damit direkt im Heimnetz anmelden und so mir die Shares zur Verfügung stehen sollen (=alle). Am PC meines Vaters hat er so z.B. nur Zugriff auf seine.
 
Ach, für mich selbst sehe da weniger Probleme. Wenn ich etwas Neues installiere, wird vorher immer ein Wiederherstellungspunkt erstellt. Auch bei grossen Updates (Servicepack 1 zB).

Aber die "Spiel"möglichkeiten anderer hätte ich doch gerne eingeschränkt, soweit sie auf meinem TP stattfinden

Die Konten braucht man nicht umkopieren oder sonst was, man kann ganz einfach aus dem bisherigen Admin Konto ein Benutzerkonto machen. Ein neues Admin Konto erstellen, damit anmelden und von diesem aus, das bisherige Konto auf Benutzerkonto umstellen. So kann man uneingeschränkt mit seinen bisherigen Einstellungen weiter "arbeiten" und hat für Administrative zwecke ein Admin Konto.
So hab ich es jetzt auch gemacht. Danke für den Tipp.

Dass du bezweifelst, man könne am PC und mit den darauf befindlichen Programmen auch so etwas tun, das mit dem Begriff "arbeiten" bestens definiert ist, halte ich für die Nachwirkungen einer Laus, die dir mal eben die Leber gekitzelt hat...
 
ist UAC, falls auf höchste Stufe eingestellt, wirklich so unsicher? Es wurde doch gerade deswegen entwickelt, um ein komfortableres und sicheres arbeiten am Desktop zu ermöglichen. Wegen jedem Scheiss an und abmelden, Programme schließen und wieder neustarten ist extrem lässtig, grade bei den vielen Updates heute. Da finde ich UAC sehr sinnvoll. :thumbup:

Den Benutzer angemeldet lassen und sich als Admin mit schneller Benutzerumschaltung anzumelden, ist soweit ich weiß auch vom Sicherheitsaspekt her betrachtet bedenklich.
 
Zum Thema Sicherheitsgurt: Bei 200km/h hilft dir nur noch dein Schutzengel. Genauso ist es mit aggressiven Viren. Hattest du vorhin selber erwähnt (glaube ich, dass du das warst). Wer keine Backups hat ist eben selber Schuld.
 
Es gibt immer die Möglichkeit, dass ein Zero-Day-Exploit ausgenutzt wird, am besten per Drive by. Dann nützen Patches nix und ein explizites Anklicken ist auch nicht nötig. In so einem Fall ist es dann doch gar nicht schlecht, wenn das Windows-Rechtesystem die Möglichkeiten des Virus ein wenig einschränkt.

Da nützt dir dein eingeschränktes Konto vermutlich auch nichts. Zumal der IE z.B. selbst im Admin Mode mit ziemlich stark eingeschränkten Rechten läuft.
 
Ja aber die Implementierung in windows soll recht buggy sein, sicherheitstechnisch betrachtet.
Beide Benutzer befinden sich dann z.B. gleichzeitig im Speicher und teilen sich den. :o
Wenn ich Leute an mein TP liesse, die es auf meine Daten abgesehen hätten...

In der Wirklichkeit (meiner) geht es um Leute, die ich erstens kenne und zweitens, die gelegentlich mal dran wollen, weil sie entweder nur ihre Mails abrufen und beantworten oder mal einen Text auf Word schreiben, eventuell umformatieren und verschicken wollen.

Da hab ich aber auch schon einige ertappt, wie sie anfingen, wild herumzuklicken = nach dem ersten falschen Klick, den sie rückgängig machen wollen, ohne zu wissen, wie. Machen manche so: statt anzuhalten, versuchen sie das wieder hinzukriegen, schnell, ohne Plan und ohne Sinn und Verstand. Solche Leute hab ich gemeint. Die sollen ruhig rumfuhrwerken, wenn ich es einfach wieder wegwischen kann
 
Zum Thema Sicherheitsgurt: Bei 200km/h hilft dir nur noch dein Schutzengel.
Sehr richtig. Ich habe auch nichts anderes behauptet.
Meine Aussage war die gleiche: Bei 200 Sachen hilft dir dein Gurt nicht. Auf unser Thema übertragen heißt das: Ein normales Benutzerkonto schützt nicht vor alles und jedem.

Aber mein Satz ging noch weiter: Trotzdem käme niemand auf die Idee, Sicherheitsgurte als Unfug abzutun. Weil es nämlich auch Situationen gibt, in denen sie sehr wohl nützen und schützen.
Wiederum auf unser Thema übertragen heißt das: Es gibt Situationen, in denen die eingeschränkten Rechte eines normalen Benutzerkontos hilfreich bzw. schützend sein können. Und wer dann als Admin unterwegs ist, hat eben Pech gehabt.

Hattest du vorhin selber erwähnt (glaube ich, dass du das warst).
Nö, war ich nicht.

Wer keine Backups hat ist eben selber Schuld.
Backups habe ich selbstverständlich, sogar mehrfach und an unterschiedlichen Orten in unterschiedlichen Bundesländern.
Selbst wenn meine Bude abbrennt, kann ich auf ein Backup aller meiner Daten zurückgreifen das im ungünstigen Fall 3-4 Wochen alt ist.
Aber wir schweifen vom Thema ab...

Wie man hier im Forum nachlesen kann, waren ja sogar schon die offiziellen Lenovo-Download-Seiten mit Malware versehen... da brauchst du keine Warez und nichts, nichtmal nen Dateianhang zum anklicken.
Wenn du dann als Admin unterwegs bist -womöglich noch ganz ohne UAC - machst du's dem Schädling ziemlich leicht sich in dein System einzunisten. Leichter als nötig.

Nicht dass wir uns falsch verstehen - mir ist völlig egal, wer standardmäßig als Admin rumsurft, und sich dann was auf ner gehackten Seite einfängt (wie z.B. der Lenovo-DL-Seite), dann hält sich mein Mitleid in Grenzen.
Aufs Auto übertragen heißt das, dass man grundsätzlich ohne Sicherheitsgurt rumfährt... kann gutgehen, aber ein Aufprall mit 50 km/h ist dann zumeist schon tödlich. Wohingegen der Angegurtete nur mit ein paar blauen Flecken aussteigt.
 
Wenn du dann als Admin unterwegs bist -womöglich noch ganz ohne UAC - machst du's dem Schädling ziemlich leicht sich in dein System einzunisten. Leichter als nötig.
Du auch, schließlich könntest du zum Surfen auch eine VM nehmen mit Linux/Mac/Windows drauf.
Weiterhin würde die Malware dein eingeschränktes Konto vermutlich gar nicht sonderlich kümmern.
 
Zuletzt bearbeitet:
Weil ein Browser inkl. Plugins mit beiden Konten mit den gleichen Rechten läuft (unter W7),denkst du wirklich, Windows führt den Browser+Flash mit vollen Adminrechten aus? Zusätzlich gibts auch noch so Sachen wie MIC. (analog MAC unter Linux, wie AppArmor/SELinux).

Schafft es nun eine Sicherheitslücke ALSR und DEP zu überwinden und per Jit Spraying einige Nop-Rutschen in den Speicher zu legen und diese anzuspringen (indem der Browser oder das Flashplugin zum Absturz gebracht wird bzw. ein entspr. Fehler produziert wird), dann ist es ihm in dem Moment eher egal, ob du ein eingeschränktes Konto hast oder nicht, weil das nur noch Maschinencode ist der dann ausgeführt wird von der CPU und da ist dann nichts mehr großartig eingeschränkt ;)

Für Windows XP gilt das übrigens nicht, soweit ich weiß, da sind Admins glaube ich tatsächlich durchgängig Admin.

Aber unter W7 ist es nicht so ein großer Sicherheitsgewinn als "nicht"-Admin, weil MS Intention eben genau das war, dass man als Admin auch nur eingeschränkt ist und nur bei Bedarf Adminrechte bekommt. Das kommt natürlich größtenteils von UAC, wenn man die abschaltet sieht es anders aus, das ist irgendwie klar. Andererseits hilft dir beides eben nicht im obigen Fall, wenn das was abstürzt und du präparierter Code direkt ausgeführt werden kann.
(Sowas gibt es übrigens auch unter Linux, man denke nur an Ac1d B1tch3s neulich, das klappte auch trotz den ganzen Sicherheitsgeschichten..)
 
Zuletzt bearbeitet:
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben