Moin,
sollte ich die Funktion ausstellen? Ich muss nämlich nie mit der rechten Maustaste auf "Als Admin ausführen" klicken. Mein System läuft als Admin selbst. Sprich ich hab alle Rechte auf diesem PC.
Ich frage deshalb, weil ich öfters in euren Anleitungen lese, dass man rechtsklick machen muss bevor man eure Programme startet.

Edit: Hab mal spaßeshalber mbam mit rechtsklick öffnen wollen. Dieses "Schutzschild" erscheint bei mir daneben, kann es auch ohne Probleme öffnen. Diese Meldung die früher immer kam, ob ich es wirklich öffnen will, hab ich ausgeschaltet.
Sollte das wieder eingeschaltet werden? (Ich meinte die Benutzerkontensteuerung. Wusste vorher nicht wie das hieß)
lg

Zitat:

Zitat von P.Lankton

Mein System läuft als Admin selbst. Sprich ich hab alle Rechte auf diesem PC.

Das ist eher ungeschickt.

Zitat:

Zitat von P.Lankton

Diese Meldung die früher immer kam, ob ich es wirklich öffnen will, hab ich ausgeschaltet.

Das ist sogar noch ungeschickter.

Zitat:

Zitat von P.Lankton

Sollte das wieder eingeschaltet werden? (Ich meinte die Benutzerkontensteuerung. Wusste vorher nicht wie das hieß)
lg

Klar, und vor Allem auf die höchste Stufe.
Warum nicht ohnehin ein separates Konto mit Standardrechten benutzen?

Hat ein Schädling einmal Administrator-Rechte, kannst du deinen Rechner vergessen, wenn der Angreifer geschickt vorgeht.

Obwohl ich mich früher tödlich über die ständige Nachfragerei von Vista genervt habe, bin ich im Laufe der Jahre eines Besseren belehrt worden: Immer wieder werden Lücken in der Implementierung der Benutzerkonten-Steuerung entdeckt und erst viel später geschlossen, nachdem längst irgendwelche neuen Bots aufgetaucht sind, die diese Lücken aktiv ausnutzen. Im Internet wimmelt es zudem von Beispielen, wie diese Lücken auszunutzen sind, und kaum wird eine geschlossen, taucht bereits ein neues PoC auf.

Darum wurde es mir irgendwann zu bunt und ich habe begonnen, knallhart einen Standard-Account zu benutzen und so auf dem PC zu arbeiten, dass ich normalerweise so gut wie nie "Probleme" mit der Benutzerkonten-Steuerung bekomme, (wenn ich nicht gerade das System wieder einmal auseinander nehme ). In der "Embedded Systems Software Development"-Vorlesung, in der ich mit Linux arbeitete, musste ich dies ja schliesslich auch, und da hat's ja auch funktioniert. Und nein, ich rede nicht aus "Opfer-Erfahrung". Ich weiss bloss einfach langsam, was alles möglich ist.

Deshalb finde ich es völlig fahrlässig, wenn man heuer ständig mit Administratorrechten arbeitet.


Grüsse - Microwave

P.S.
Bitte keine Diskussionen von wegen "Aber ich hab ja Kaspersky/Emsisoft/Avast drauf!", dem Untergrund-Russen ist das nämlich Jacke wie Hose.

Microwave, was du als ungeschickt versuchst darzustellen, ist für die Windows-User da draußen mehr als der Normalfall. Eingeschränkte Rechte sind unter WIndow für normale User eine Zumutung. Die wollen alles und sofort.
Oder hast du mal versucht alles mögliche mit einem eingeschränkten Konto aus zu machen? Ein Computer-Spezi wird das alles noch verstehen, aber der Laie wirft einfach das Handtuch.

Außerdem gibt es ja Virenscanner und Personal Firewall mit "unknackbarem" Schutz, also wozu noch weitere Maßnahmen wenn es Sicherheit aus Pappschachteln gibt?

@P.Lankton: bitte höre auf die beiden und sichere dein Admin Konto mit einem sicheren passwort, richte für die tägliche Arbeit ein Standard Konto mit Standard Rechten ein und verwende das Admin Konto nur noch zur Rechneradministration.

Das ist die älteste, effektivste und billigste Sicherheitsmaßnahme seit es Computer gibt, und ich verstand nie warum Microsoft diese erst ab Windows NT anbot.

Windows ohne Adminrechte ist tw. leider immer noch extrem störend.

Was die heutige Malware betrifft würden normale Benutzerrechte nichtmal unbedingt etwas bewirken. Zur Installation muss man sich nunmal als Admin anmelden. Und wenn da mal wieder geschlampt wird hilft das nix.

Ganz abgesehen von den Erpresserschädlingen. Die wollen ja nur die Benutzerdateien verschlüsseln. Schattenkopien können die zwar auch nur mit Adminrechten vollständig deaktivieren, aber um ihr Werk zu vollrichten reichen normale Nutzerrechte...

Da bin ich ausnahmsweise mal anderer Meinung: natürlich schützt das Trennen von Admin und Anwenderkonten nicht 100 % vor jeder Bedrohung- das behaupte ich natürlich nicht.

Aber die Schäden sind doch unterschiedlich:

Wenn jemand Klauware (sorry, spreche lieber klartext) mit Schadsoftware im Gepäck installiert verwendet er eh den Admin, dann sind alle Tore offen.

Wenn sich aber jemand per "drive by" was einfängt -z.B. einen Erpressungstrojaner- sind nur die Dateien eines Benutzers betroffen (und die auch nur seit der letzten Systemherstellung) statt alle Dateien aller Nutzer- und noch verbogener Registryschlüssel die euch die Bereinigung erschweren.

Da sehe ich einfach einen Unterschied im Schadensumfang, bzw. dem Aufwand den die Kriminellen treiben müssen (erst eine Lücke finden und Admin werden vs. bereits als Admin angemeldet sein) um den gleichen Schaden anzurichten.

Ja, ich bin auch dafür, dass man eingeschränkte Rechte verwenden soll. Zufällige Systembeschädigungen durch zu hohe Rechte können dann eigentlich nicht mehr auftauchen.
Aber das Verständnis bleibt dann bei manchen Leuten auf der Strecke, wenn ich denen sage, dass man sich neu anmelden muss, wenn Firefox oder Thunderbird mal wieder Updates benötigen...und so Sachen wie Rechtsklick auf Programm, Ausführen als... kommen auch nicht gut an. V.a. dann nicht wenn jedes Mal das Passwort für den Admin eingegeben werden muss.

Ich hab die Befürchtung, dass dann Updates weggelassen werden bevor man sich ständig umständlich neu anmelden muss.
Und dann hat man sich die Sicherheit der einegschränkten Rechte durch Sicherheitslücken wegen fehlender Updates "erkauft"

Ich weiß gar nicht mehr wie lang ich schon uneingeschränkt am Pc unterwegs bin. Sind bestimmt schon n Jahre. An ein großes Problem kann ich mich gar nicht erinnern. Außer das ich XP öfters mal formatiert habe. Learning by doing.

Außer mal hier und da bissel Malware wars eigentlich. Da hab ich zu schnell mal auf weiter geklickt gehabt und schwupps war mal eine Ask Toolbar drauf.

Für "Neulinge" ist das sicher ganz nett.

Zitat:

Zitat von P.Lankton

Da hab ich zu schnell mal auf weiter geklickt gehabt und schwupps war mal eine Ask Toolbar drauf.

Da isses auch wurscht ob man ständig mit Adminrechten arbeitet oder nicht, Setups werden idR eh immer mit vollen Rechten ausgeführt.

Vielleicht löst sich das Problem dass man zum Einspielen von Updates separat als Admin einloggen und bei N+1 Programmen den jeweils unterschiedlichen Update Prozess anstoßen muss in den nächsten Monaten mit dem Paketmanager für Windows den du mal in einem anderen Thread verlinkt hast. Wäre ein enormer Gewinn für die IT Sicherheit.

Ich denke die Information, dass nur die Daten des einen Benutzers betroffen sind hilft dem Thread-Starter und vielen Windows-Anwender nicht weiter. Sie haben ihr eigenes System und somit gehören alle Daten sowieso immer dem einen Benutzer. Ob nun der Systembenutzer betroffen ist oder nur ein unpriviligierter Benutzer mit den Benutzerdaten ist dann auch schon fast egal und bei einem Verschlüsselungs-Trojaner sind trotzdem alle Daten weg. Ok dafür gibt es Backups sonst nichts.

Daher ist viel entscheidener, dass man durch die beiden Benutzer "Admin" und "Benutzer" das System und somit die installierten Anwendungen vom Benutzer trennt. Klar wenn man irgendeine Software downloadet und nicht die Prüfsumme vergleicht und sich Malware einhandelt und die Installation die Adminrechte benötigt dann ist es sowieso egal. Aber wenn man einfache Fehler z.B. im Browser, Flash, Java usw. hat kann es sein, dass der Schadcode ausgeführt als normaler Anwender sich eben nicht in die Registry reinschreiben kann und somit beim nächsten Start vielleicht nicht neu aufgerufen wird. Alleine das ist schon ein Grund als normaler Anwender im Internet unterwegs zu sein. Wer jedoch täglich sein System auf einem nicht permanent erreichbaren Medium (z.B. USB-Platte) sichert der kann natürlich machen was er will sofern er die Malware nicht gleich mit backupt.

Zitat:

Zitat von iceweasel

Ob nun der Systembenutzer betroffen ist oder nur ein unpriviligierter Benutzer mit den Benutzerdaten ist dann auch schon fast egal und bei einem Verschlüsselungs-Trojaner sind trotzdem alle Daten weg. Ok dafür gibt es Backups sonst nichts.

So ganz egal ist das nicht bzw ein Unterschied ist das schon. Aber nur relevant wenn unter Windows die Schattenkopien aktiviert sind. Aktuelle ransoms versuchen die Schattenkopien zu killen, das klappt natürlich nur wenn man Adminrechte hat.

Was ich besonders schwierig zu verstehen finde, ist weshalb der PDF-Reader, der Browser oder der Film-Converter
überhaupt Admin-Rechte für die Installation benötigen, wenn sie diese nachher ohnehin nie mehr wieder benötigen.
Und warum braucht das Ad-Blocker-Plugin Administratorrechte für die Installation?!
Wenn es die HTTP-Verbindung oder DNS-Auflösung im Browser unterwandert (z.B. via Hooks) um Ads zu blockieren, weshalb muss es dann Adminrechte haben, wenn der Browser ohne diese läuft?
Muss es natürlich nicht, aber warum muss der Installer dann erhöhte Rechte haben??
(Natürlich klar vorausgesetzt, dass sich die Software an sich überhaupt daran hält, dass Nicht-Systemprogramme keine besonderen Rechte benötigen...)

Ich wollte es schon lange mal auf den Tisch bringen, dass hier meiner Meinung nach wirklich ein konzeptioneller Fehler vorliegt.
Mit dem Appdata\Local-Verzeichnis hat Microsoft zum Glück bereits früh angefangen, unnötigen Adminrechten ein Ende zu setzen.
Leider machen für meinen Geschmack noch zu wenig Programme davon Gebrauch - Sch***-Kompatibilitätsgründen sei Dank -.-

Ich nerve mich immer mehr daran, dass fast jeder Installationsvorgang immer noch ins Programme-Verzeichnis schreibt
und dies aber "admin"-geschützt ist, d.h. nur mit hohen Rechten schreibend darauf zugegriffen werden kann.

Und solange das Verzeichnis nicht eine niedrigere Schutzstufe erhält, wird jeder noch so winzige Updatevorgang
der dortigen Programme wieder Administrator-Berechtigungen erfordern, und der Benutzer irgendwann entnervt die UAC abschalten.
Die Lösung wäre also, die Berechtigungen (und das Integritätslevel) der "Programme (und Programme (x86))"-Ordner so zu setzen, dass auch Standardbenutzer Schreibzugriff darauf haben.
Um Rechteausweitung durch "DLL-Hijacking" oder "DLL-Planting" zu verhindern, muss natürlich der Ordner, in dem Programme liegen, die im Betrieb
tatsächlich hohe Rechte benötigen, von den Standardprogrammen getrennt sein.
So braucht Malware im Firefox, die diesen Effekt ausnützen möchte, immer noch volle Rechte.
Und wer Malware-Bibliotheken in den Standard-Ordner pflanzt, hat auch nicht viel gewonnen, da die Prozesse aus diesem ja nur mit Standardrechten laufen.

Aber das Problem ist ja, man kann noch eine ganze Menge diskutieren und reden, bloss ändern tut sich dabei meist nicht viel, da das heutige Design
noch zu eingefahren und verbreitet ist.


Freundliche Grüsse - Microwave

EDIT: Mal eine Frage vorweg, warum schreibst du deinen Beitragstext nicht ins eins durch, sondern machst selbst die Zeilenumbrüche mit der Eingabetaste? Die Zeilenumbrüche werden doch automatisch gemacht!

Zitat:

Zitat von Microwave

Was ich besonders schwierig zu verstehen finde, ist weshalb der PDF-Reader, der Browser oder der Film-Converter überhaupt Admin-Rechte für die Installation benötigen, wenn sie diese nachher ohnehin nie mehr wieder benötigen.

Wieso besonders schwierig?
Die Installation benötigt idR Adminrechte weil die Programme ins normale Programmverzeichnis installiert werden. Und darauf haben normale Benutzer keine Schreibrechte.
Bestimmt lassen sich viele Setups auch mit normalen Benutzerrechten ausführen und sich das Programm dann in ein Verzeichnis installieren, auf der Benutzer Schreibrechte hat. Das muss aber nicht funktionieren, zB wenn das Setup irgendwelche Systemdinge umbiegen will. Und für alle Benutzer lässt sich das Programm so auch nicht installieren.

Zitat:

Zitat von Microwave

Und warum braucht das Ad-Blocker-Plugin Administratorrechte für die Installation?!

Plugin oder Erweiterung? Eine Erweiterung für den Firefox ist im Benutzerprofil und deswegen wäre es Quatsch das extra mit Adminrechten zu machen. Aber ein Plugin wird direkt ins Browserprogrammverzeichnis kopiert.

Zitat:

Zitat von Microwave

weshalb muss es dann Adminrechte haben, wenn der Browser ohne diese läuft?
Muss es natürlich nicht, aber warum muss der Installer dann erhöhte Rechte haben??
(Natürlich klar vorausgesetzt, dass sich die Software an sich überhaupt daran hält, dass Nicht-Systemprogramme keine besonderen Rechte benötigen...)

Von was für nem Setup sprichst du da, Firefoxerweiterungen kommen als XPI-Dateien daher und die brauchen defnitiv KEINE Adminrechte!