Anzeige
Anzeige

Am Puls von Microsoft

Anzeige

Frage Passwortgeschützte Admin- & eingeschränkte Konten, Wahrheit und Mythos

Dose

Dose

gehört zum Inventar
Wir hatten gerade wieder die Diskussion auf der Arbeit, ob und wie sehr einen ein passwortgeschütztes Administratorkonto wirklich schützt. Auf dem privaten PC zuhause.
Wir Laien haben diskutiert, gestritten (freundschaftlich) und kamen natürlich zu keinem Ergebnis...

Das Szenario:
Viele haben einen PC mit nur einem Adminkonto ohne Passwort, andere haben 2-3 Benutzerkonten - alle volle Admins, und manche haben ein passwortgeschütztes Adminkonto welches sie kaum nutzen und ein eingeschränktes Konto ohne Passwort (so wie ich).
Mein PC ist so eingestellt, dass er mit dem eingeschränkten Konto hochfährt, will ich was installieren oder löschen muss ich das Admin-Passwort eingeben.

Nun war ein IT- Experte da, (der eigentlich unsere verseuchten Firmenrechner begutachten sollte) und der meinte, alles wäre Unfug, das Admin-Passwort und meine PC-Konfiguration wären Blödsinn, das schützt nicht wirklich vor Schädlingen und wäre Augenwischerei. Ein ungesichertes Adminkonto mit Firewall und Virenprogramm würde ausreichen. Nun hat der gute Mann meinen ganzen Glauben in Frage gestellt.
Beim googeln habe ich festgestellt, dass das Thema da genauso kontrovers diskutiert wird.

Wie sieht es denn nun wirklich aus? Wie sehr schützt ein eingeschränktes Konto und ein passwortverschlüsseltes Adminkonto?

Danke :)
 
Anzeige
AW: Passwortgeschützte Adminkonten & eingeschränkte Konten, Wahrheit und Mythos

Soviel wie 2 Kartoffelsäcke oder 4 dz Wäscheklammern.

In der Tat gibt es nur relative Sicherheit, nicht mehr und nicht weniger.
Das ist bei den systeminternen Mechanismen von Windows und Linux nicht anders wie
bei den, warum auch immer, hochgelobten Sicherheits-Suiten.

Kein PC ist sicher, aber man kann eine größtmögliche Sicherheitsstufe anstreben.

Und IT-Meldungen von gestohlenen Kundendaten, Passwörtern und Geheimdokumenten zeigen,
daß eher interne Mitarbeiter, mit deren Naivität, Schusseligkeit oder bewußtem Handeln,
für die eine Seite katastrophale und für die andere Seite paradiesische Zustände herzaubern können.

Meine Meinung:
Aufklärung und das Absetzen der rosa Brillen.

Meine, vielleicht etwas illusorische und einfache, Ansicht:
Wenn jeder PC-Nutzer, ob IT-Mensch oder Laie, sich eine halbe Std. Zeit nehmen würde, um zu verstehen,
wie Computer miteinander kommunizieren, ist die halbe Miete schon eingefahren.
Nimmt der Nutzer dann noch die rosa Brille ab und hören Softwarehersteller auf,
1-Klick-Sorglos-Lösungen anzubieten, steht er auf der Gewinnerseite.
 
AW: Passwortgeschützte Adminkonten & eingeschränkte Konten, Wahrheit und Mythos

Guten Morgen Dose!
Ich bin kein Experte, habe aber eine Meinung dazu:
Vor Malware schützt nur eine funktionierende Firewall, ein aktuelles Antivirenprogramm und eine HardwareFirewall des Routers. Und das nicht alternative sondern in Kombination.
Wenn ich in einem eingeschränkten Konto ohne ausreichenden Schutz arbeite, nützt mir ein "Benutzer mit Administratorrechten" und Passwort garnichts. Die Malware kann zwar auf dem eingeschränkten Konto keinen großen Schaden anrichten, aber sobald ich das Admin-Konto starte hat auch die Malware Admin-Rechte und kann ihr Unwesen treiben.
Das Passwort verhindert nur, dass Malware dieses Konto unbemerkt starten kann, zB wenn Du abwesend bist.
Nach Benutzern getrennt sind ja nur die Unterverzeichnisse von c:\Benutzer, nicht aber das Programme-Verzeichnis. Wenn sich also ein Virus über eine eingeschränktes Konto in C:\Programme einnistet, ist es auch für alle anderen Benutzerkonten vorhanden.
Insofern muss ich dem IT-Experten mit meinem bescheidenen IT-Wissen recht geben.
 
AW: Passwortgeschützte Adminkonten & eingeschränkte Konten, Wahrheit und Mythos

Guten Morgen zurück @ Ari & Franz :)

Vielen Dank für eure Antworten, die ich so nicht erwartet habe.

Also ich habe immer eingetrichtert bekommen, dass ein eingeschränktes Benutzerkonto wunderbaren Schutz bieten soll. Landet man mal auf der falschen Seite und hat sich ein Virus o.Ä. eingefangen, kein Problem, einfach das eingeschränkte Konto löschen und weg ist es. Also das ist offenbar totaler Blödsinn, gut zu wissen.
Da ich andauernd irgendwelche Programme (aus Neugier) teste und dann meist bald wieder deinstalliere, nervt die ständige Passworteingabe natürlich schon.
Probleme mit Schädlingen, egal welcher Art, hatte ich bis jetzt zum Glück noch nie, ich klicke allerdings auch nicht alles an, besuche keine fragwürdigen Seiten oder installiere jeden Mist.

Also könnte man im Fazit sagen, dass bei Nutzung (privat, zuhause) in Kombinierung von Firewall & Antivirenprogramm, ev. Hardwarefirewall sowie brain.exe ein Administratorkonto ohne Passwort ausreicht?
 
AW: Passwortgeschützte Adminkonten & eingeschränkte Konten, Wahrheit und Mythos

Ich finde es ist wie in der Werbung für Feuerlöscher:
"Feuer breitet sich nicht aus, hast du Minimax im Haus.
Minimax ist großer Mist, wenn du nicht zu Hause bist."
Oder wie bei den Kriterien für eine Gehaltserhöhung:
"Wer viel arbeitet, macht viele Fehler.
Wer weniger arbeitet, mach wenig Fehler.
Wer aber keine Fehler macht, der bekommt die Gehaltserhöhung."
Der beste Schutz gegen Viren, Würmern, Datenklau:
Nicht mit dem Computer arbeiten. Stecker raus.
Gruß und frohe Weihnachten und einen guten Rutsch
Rainer
 
AW: Passwortgeschützte Adminkonten & eingeschränkte Konten, Wahrheit und Mythos

Frag mal bei "Versicherungen" nach. Man kann sich gegen alles absichern. Tritt der Schadensfall ein, verweisen sie aufs >Kleingedruckte<. Dann gibt es plötzlich : Einschrenkungen, das war nicht gemeint, eignes Risiko.
So ist das beim PC auch.
Sicherheit am PC: http://www.microsoft.com/switzerland/protect/de/default.mspx
 
AW: Passwortgeschützte Adminkonten & eingeschränkte Konten, Wahrheit und Mythos

Dosenöffner schrieb:
Also könnte man im Fazit sagen, dass bei Nutzung (privat, zuhause) in Kombinierung von Firewall & Antivirenprogramm, ev. Hardwarefirewall sowie brain.exe ein Administratorkonto ohne Passwort ausreicht?
Zum Vergrößern anklicken....

Das habe ich bei meinem alten PC so gemacht und bin auch gut damit gefahren. Inzwischen benutze ich aber nurnoch das eingeschränkte Konto und fühle mich damit (warum auch immer) sicherer. Vielleicht folgert man ja, dass man mit dem Admin-Konto selbst mehr kaputtmachen kann und überträgt das dann auf die Viren?:ROFLMAO:
Wie von dir schon gesagt, hilft das aber nichts, wenn man jeden Tag auf fragwürdigen Seite unterwegs ist.
Aber jemand muss mir nochmal erklären, warum Viren auf eingeschränkten Konten genauso viel Schaden anrichten können wie auf Admin-Konten. Wenn die irgendwelche Systemdateien ändern, braucht man ja eigentlich das Admin-Passwort, oder kann man das umgehen? Ari hat ja gesagt, dass die sich im Ordner C:\Programme einnisten können und das dann jeden User betrifft, aber soweit ich weiß hat ein eingeschränkter User nur Leserechte für den Ordner. Dann müsste man den Virus ja als Admin gestartet haben, oder?
 
@all
MrSharkan schrieb:
Ari hat ja gesagt, dass die sich im Ordner C:\Programme einnisten können und das dann jeden User betrifft
Zum Vergrößern anklicken....
Bezüglich dieser (meiner) Aussage muss ich meine Meinung revidieren. Es stimmt, dass man mit einem eingeschränkten Konto nicht in C:\Programme installieren kann und damit auch keine Viren in dieses Verzeichnis einschleppen kann. Das war mir nicht so bewusst, weil ich (oh welche Schande) nicht mit einem eingeschränkten Konto arbeite.
 
Weitere Schutz-Möglichkeiten sind:
Zweifelhafte SW erst in einer Sandbox installieren und prüfen.
oder
ich installiere solche Dinge gern im virtuellen XP - tritt ein Virus
auf, kann ich das infizierte XP (ist ja eine Datei) einfach entsorgen.

Echte Sicherheit wird es nie geben - dafür sind Idioten zu clever ;)
 
Dosenöffner schrieb:
Nun war ein IT- Experte da,...
Ein ungesichertes Adminkonto mit Firewall und Virenprogramm würde ausreichen...
Wie sieht es denn nun wirklich aus? Wie sehr schützt ein eingeschränktes Konto und ein passwortverschlüsseltes Adminkonto?
Zum Vergrößern anklicken....

Den Experten müsst ihr falsch verstanden haben - oder er hat euch verarscht.

1.)Windows Benutzerkonten ohne Passwort sind in Windows Netzen nahezu unbrauchbar, da schon in XP ein Passwort für die Authentifizierung vorausgesetzt wird. (einzige mir bekannte Ausnahme ist die Benutzeranmeldung)

2.) Eingeschränkte Konten haben weniger Rechte -> Das kann man nur mit "mehr Sicherheit" übersetzen.

3.) Vor Viren und deren Verwandtschaft schützt kein eingeschränktes Konto - der Schaden, den so ein Tierchen mit Admin oder gar Systemrechten anstellen kann, ist nur ungleich größer.

MrSharkan schrieb:
Wenn die irgendwelche Systemdateien ändern, braucht man ja eigentlich das Admin-Passwort, oder kann man das umgehen?
Zum Vergrößern anklicken....
Ja, das kann man umgehen.
JimDuggan ist beim Bau von Antizock eher zufällig darauf gestoßen.
Eine Microsoftsche Hintertür, ohne die Windows nicht mal starten würde. Glaube ich.
Da man mit diesem "Von hinten durch die Brust" Feature auch richtig Böse Sachen machen kann, sind nachfragen zum wie zwecklos.
 
Hallo miteinander,

kann nicht umhin auch meinen Senf zum besten zu geben. Als Windows-User seit 3.1 hab ich die Erfahrung gemacht, daß die größte Sicherheitsbedrohung für meinen PC Windows selbst, genereller ausgedrückt Microsoft ist.:ROFLMAO:

Doch leider führt z.Z. kein Weg daran vorbei. Bevor mir jemand was Anderes weismachen möchte, sei ihm gesagt, daß ich mein BS nach den Anwendungen auswähle die ich ausführen möchte und nicht umgekehrt.

Zum Thema (Software-)Sicherheit habe ich persöhnlich ein Konzept, daß an dem Konzept von Hardware-Sicherheit angelehnt ist. Bezüglich Hardware hat man bei sicherheitskritischen Anwendungen früher versucht möglichst hochwertige Bauteile zu verwenden um Ausfälle zu vermeiden. Das Ergebnis war die Erkennis, daß auch die teuerste Hardware nicht ausfallsicher sein kann. Daraus entstanden dann sogenannte Fehlertolerante Systeme (wie z.B. RAID, USV usw) die lapidar gesagt von vorneherein nach dem Motto arbeiten "shit happens".:eek:

Daher lege ich persöhnlich keinen großen Wert auf Sicherheit, sondern gehe ich von vorneherein davon aus, daß ein Windows spätenstens nach ein paar Wochen infiziert ist. Meine Lösung heißt multiple BS auf einem PC + Image-Backup. Sprich nachdem ich Windows, alle Treiber und die mir wichtigen (und als stabil und sicher bekannte) Programme installiert sind mache ich ein Image von meiner Startpartition. Dieses wird gleich dupliziert so daß ich dann zwei C: Partitionen habe. Ein Bootmanager sorgt beim Start des PCs dafür, daß eine dieser Partion selektiert, die andere automatisch ausgeblendet wird.

So ist größtenteils sicher gestellt, daß wenn irgendetwas passiert ich sofort und ohne Zeitverzögerung weiter arbeiten kann. Fällt Partition 1 aus boote ich die 2. arbeite dort weiter und führe derweilst ein Restore der 1. durch.

Weiterhin würde ich vor allem Laien zu einer dritten Partition raten, wenn sie z.B. Home-Banking o.ä. betreiben. Diese wird ausschließlich nur zu diesem einen Zweck genutzt. Zusätzlich empfehle ich dann für diese Partition nur einen manuellen Internetzugang einzurichten, bei dem jeder Verbingungsaufbau zum Internet explizit bestätigt werden muß, auch wenn ein Router zur Verfügung steht.

Jedoch die größte Sicherheit auch wenn es eher paradox erscheint ist das Herdenprinzip. Wie bei dem einem berühmten Tierfilm, wo die Gnuh-Herde jedes Jahr ein Fluß überqueren muß. Die Krokodile sind schon alle längst da und freuen sich auf das leckere Mahl. Die Herde kann jedoch nicht zurück, hinter ihnen erwarte sie nur der sichere Dürre-Tod. Also überqueren sie den Fluß und auch wenn viele den Zähnen der Krokos zum Opfer fallen schafft es der größte Teil zum rettenden Ufer.

Ähnlich ist es auch mit der Internet-Sicherheit: Es gibt sie nicht, doch der zu befürchtende Schaden ist (in den meisten Fällen) geringer als der Vorteil der Nutzung.

Schöne Weihnachten,

:smokin Black Widowmaker :smokin
 
Widowmaker schrieb:
Daher lege ich persöhnlich keinen großen Wert auf Sicherheit, sondern gehe ich von vorneherein davon aus, daß ein Windows spätenstens nach ein paar Wochen infiziert ist. Meine Lösung heißt multiple BS auf einem PC + Image-Backup. Sprich nachdem ich Windows, alle Treiber und die mir wichtigen (und als stabil und sicher bekannte) Programme installiert sind mache ich ein Image von meiner Startpartition. Dieses wird gleich dupliziert so daß ich dann zwei C: Partitionen habe. Ein Bootmanager sorgt beim Start des PCs dafür, daß eine dieser Partion selektiert, die andere automatisch ausgeblendet wird.
Zum Vergrößern anklicken....

Widowmaker schrieb:
Weiterhin würde ich vor allem Laien zu einer dritten Partition raten, wenn sie z.B. Home-Banking o.ä. betreiben. Diese wird ausschließlich nur zu diesem einen Zweck genutzt. Zusätzlich empfehle ich dann für diese Partition nur einen manuellen Internetzugang einzurichten, bei dem jeder Verbingungsaufbau zum Internet explizit bestätigt werden muß, auch wenn ein Router zur Verfügung steht.
Zum Vergrößern anklicken....

Sehr Interessanter Beitrag
besonders die zwei Absätze haben es mir angetan.(y)

Hört sich auf jeden Fall verdammt gut an, und daher werde ich mich mal mit deinen beiden Tipps beschäftigen.

Ich bin zwar kein Profi
aber für die Umsetzung deiner Strategie, ist das wohl auch nicht zwingend notwendig
und falls doch noch fragen auftauchen sollten
dann weiß ich ja wen ich fragen kann...;)
 
Hallo und vielen Dank für die vielen Antworten :)

@Widowmaker: Das sind (für mich) ganz neue Ideen und Ansätze; sehr interessant, schließe mich da Alte Seele's Meinung an.
 
@ Widowmaker Daher lege ich persöhnlich keinen großen Wert auf Sicherheit, sondern gehe ich von vorneherein davon aus, daß ein Windows spätenstens nach ein paar Wochen infiziert ist

Windows infiziert sich nicht von allein.
Meine Erfahrung ist, das die meisten Schäden durch unvorsichtigen Umgang mit e-Mail-Anhängen, USB-Sticks, gebrannten CD/DVD, links von (guten) Freunden, Software die vorgaukelt>Schadsoftware gefunden, kann nur mit dem Tool: XYZ entfernt werden<
auf den PC kommen.
Das Märchen, 5 Min. im Internet und Windows ist befallen, hält sich hartnäckig.
Wie du schon sagst. Datensicherung ist das wichtigste.
Das mache ich auch so. Mit guten Erfahrungen.
Habe Win 7 seit November 2009 auf dem PC. Bis jetzt kein Virus, Malware, Trojaner, Scareware.
Immer wieder wollen Kriminelle über manipulierte Werbebanner Schadprogramme auf Rechner schmuggeln
Wer sich ein bisschen kundig gemacht hat über Vorsichtsmaßnahmen im Umgang mit dem Internet, der weiß, dass man nicht auf alles klicken sollte, was dazu auffordert. Erst denken, dann klicken, heißt die Empfehlung.

Hier mal eine Liste der verbreitesten Schädlinge:
Gierigster Schädling im Bank-Bereich: In dieser Kategorie siegte ein Vertreter der Familie Win32.Banker: Trojan-Banker.Win32.Banker.xkz interessiert sich für die Kunden von 28 Banken. Tendenz steigend: Im Vormonat wurden "nur" die Kunden von 26 Banken angegriffen.

Gierigster Schädling für elektronische Geldsysteme: Im September schob sich Trojan.Win32.Agent.adtp gierig an die Spitze und konnte sich gegen die Konkurrenzschädlinge durchsetzen. Er griff die Kunden von vier elektronischen Geldsystemen an.

Gierigster Schädling für Key Cards: Trojan-Banker.Win32.Banker.xkz, der "gierigste Schädling im Bank-Bereich" war auch hier unschlagbar. Die Kunden von 28 Banken scheinen ihm nicht genügt zu haben – er nahm auch die Kartenbesitzer von fünf Geldkartensystemen ins Visier.

Bestversteckter Schädling: Neunfach von unterschiedlichen Komprimierungsprogrammen verpackt, siegte dieses Mal eine der Modifikationen von Backdoor.Win32.Netbus.160.e.

Kleinster Schädling: Zum kleinsten Sieger wurde eine früher nicht angetroffene Modifikation namens Trojan.BAT.MouseDisable.a, der 31 Byte klein ist. Der fiese Winzling blockiert am PC des Nutzers die Maus.

Größter Schädling: Im September wurde Trojan-Banker.Win32.Banbra.dkj mit einer Größe von 34 MB zum größten Schädling gekürt. Damit stabilisiert sich der Umfang der größten Schädlinge wieder und pendelt sich nach dem Sommerhoch von über 200 MB auf gewohnter Größe ein.

Populärster Exploit: Die am weitesten verbreitete Schwachstelle im Web wurde Exploit.Win32.PowerPlay.a. Auf sein Konto kamen mehr als sechs Prozent aller auf Webseiten entdeckten Schwachstellen, die von den Cyberkriminellen zum Einschleusen eines schädlichen Codes auf die Computer der Anwender genutzt werden.

Am weitesten im Netz verbreiteter Schädling: Trojan-Downloader.Win32.Small.aacq hatte in 20 Prozent aller Fälle seine Schadcode-Finger im Spiel – was einen überaus hohen Wert darstellt.

Am weitesten verbreitete Familie unter den Trojanern: Mit ihren 3.072 bis dato unbekannten Modifikationen führt die Großfamilie von Backdoor.Win32.Hupigon die Hitliste an.

Am weitesten verbreitete Familie unter Viren und Würmern: Hier hält die Familie von Worm.Win32.AutoRun mit ihren 655 neuen Modifikationen souverän die Spitze.
url=http://www.smilies.4-user.de]
smilie_sh_063.gif
[/url]
 
Master of Desaster schrieb:
Windows infiziert sich nicht von allein.
Zum Vergrößern anklicken....

Schon mal von dem Iran-Trojaner gehört? Dieser aktivierte sich allein durch den Anschluß eines USB-Sticks!

Auf einem PC auf dem Windows installiert wird und sonst nichts (auch keine Internet-Verbindung eingerichtet) aber physikalisch mit dem Internet über ein LAN verbunden ist (sprich NIK + Router) erfolgt der erste Angriff im Schnitt nach einer halben Stunden. Diese Zahl sinkt ständig, da viele Bot-Netze ganze IP-Adressbereiche scannen und angreifen, um z.B. Spam zu versenden.

Ich spreche hierbei von "Angriffen" nicht gleichzusetzen mit "erfolgreichen Angriffen". Ein einfacher Ping kann auch schon als Angriff gewertet werden.

Datensicherung ist das wichtigste.
Zum Vergrößern anklicken....

Da bin ich falsch verstanden worden. Datensicherung ist zwar wichtig doch nur im Rahmen der Hardware-Sicherheit. Die größte Datenverluste drohen durch Festplattendefekte. Schadware die Daten befällt oder gar vernichtet tritt kaum noch auf. Diese ist auf kindische Unverantwortlichkeit zurückzuführen.

Die reellen Internet-Gefahren von heute haben größtenteils einen professionellen Charakter mit klar wirtschaftlichem Background. Einerseits von Softwareunternehmen die auf diese fragwürdige Methode versuchen ihre Produkte gegen "Software-Piraterie" zu schützen (z.B. AnyDVD - zu jedem echten Raubkopie-Release finden sich 10 virenverseuchte).

Auch wenn es sich nach Verschwörungtheorie anhört, so bin ich persöhnlich überzeugt, daß gerade Anbieter von Sicherheitssoftware immer wieder einen Teil der Schadprogramme herstellen um die Akutheit der Bedrohungssituation und natürlich den Erwerb ihrer Produkte zu rechtfertigen.

Der dritte Bedrohungsart kann man schließlich mit unerlaubter Werbung beschreiben (Im Prinzip gibt es eigentlich nichts an Viagra auszusetzen - aber wenn man das Zeug verbieten würde hätte man 90% weniger Spam :ROFLMAO:) .

Schließlich die zahlreichen kriminelle Versuche Ahnungslose User um ihr Geld zu prellen per Phishing, Account-Hacking u.ä..

Diese 4 Hauptbedrohungsarten haben eines gemeinsam: Ihnen sind wirkliche "Daten" ziemlich egal, weil nicht Ziel des Angriffs. Wenn überhaupt werden diese ausspionniert aber nicht zerstört.

Abgesehen davon wird schon das Wort "Daten" von den meisten falsch verstanden. Daten sind meiner Meinung nach nur solche Dateien, die selbst produziert sind. Es gibt von ihnen kein echtes Duplikat (außer natürlich Sicherheitskopien). Alles andere was z.B. jederzeit übers Internet oder Freunde / Bekannte wiederbeschafft werden kann fällt hier nicht darunter. Musik von der dreijährigen Tochter (die keinen einzigen Ton trifft) ist unter diesem Aspekt 1000x wertvoller als Musik von Madonna.

Da "echte Daten" bei Home-Usern selten die 100MB-Grenze sprengen (auch wenn man schon fünf 2TB-Platten voll hat) ist deren Sicherung auch nicht das Problem, sondern eher die Einsicht der Leute, was sicherungsbedürfig ist, und was nicht.

Um zum Punkt zu kommen: ich halte die Notwendigkeit der System-Sicherheit wesentlich wichtiger als die der Datensicherheit. Bezogen natürlich auf den Durschnitts-Home-User ohne besondere Ahnung von den "Innerein" seines Systems. Auch bei vielen kleinen Unternehmen die den PC zum größten Teil nur benützen um ins Internet zu gehen und normalen Schriftverkehr zu tätigen ist dies der Fall, zumal schon in der heutigen Praxis Geschäftsdaten in der "Cloud" ausgelagert werden. So z.B. Bestellungen beim Großhändler, die alle Online getätigt werden, und die entsprechene Daten auf deren Server liegen. Aber auch z.B. Kunden-eMails, die über ein entsprechendes IMAP-Konto nicht mehr lokal, sondern z.B. bei Googlemail gehostet werden.

wüsche allen ein gutes Neues

:smokin Black Widowmaker :smokin
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Anzeige
Oben