Angriff via Windows Encrypting File System

[cbtestarossa]

Klar ist das bei einigen Programmen von Nöten.
Aber eher nur wenn sie etwaige Treiber mitbringen die notwendig sind.
Aber das wäre dann Systemsoftware und verständlich.
Für den Rest der normalen Anwendersoftware ist es einfach hirnrissig Administratorrechte vorrauszusetzen nur um etwas nach PROGRAMME installieren zu können.

Aber solche Systemsoftware könnte man auch anders installieren lassen und nicht in jeden Installer integrieren.
Dazu würde man eventuell ein Paketmanagement brauchen oder vielleicht einen Server bei MS der so etwas hostet.

Bzgl. Passwort.
Ob er nun das Administratorpasswort eines anderen Userkontos oder eben das seine eingibt ist egal.
Er ist vorinstalliert eben auch in der Administratorgruppe.
Bringt eventuell noch mehr an Sicherheit und so oft installiert man eh nix mit Adminrechten.

Naja machbar wäre vieles und irgendwann werden sie sowieso etwas ändern müssen.

Bzgl Linux. Es gibt Distris wo man eben ein Passwort eingeben muss.
Klar ist ohne komfortabler.
Und auch "sudo zack insstallier mal" ist ohne vorherige Passwortabfrage nicht besonders schlau.

 

[RalphS]

.... faszinierend, nach 13 Jahren (Vista, Einführung UAC) oder vielleicht sogar sowas mehr als drei Jahrzehnten (Einführung Windows New Technology, Multiuser Support unter Windows) kommt jemand auf die Idee, daß man vielleicht nicht als Admin unterwegs sein muß?

Ohne jetzt irgendwen ansprechen zu wollen, aber exakt das ein exemplarisches Problem. Windows wird installiert (irgendwann mal) aber schon die grundlegende Kompetenz, zuallererstmal ein weiteres Benutzerkonto anzulegen... da versagt Otto Normaluser schon.

Wenn es an dermaßen grundlegenden Dingen schon fehlt, wie soll da irgendwo irgendwie ein sinnvolles sicheres System implementiert werden können? Das geht nicht.

Es fehlt aber eben auch den simpelsten... "Schulungen", nenne ich es mal. Also insbesondere nicht (nur) für den Mitarbeiter in einem Unternehmen, sondern für Privatpersonen. Handbücher gibt es ja nicht und die Ersten Schritte seit XP sind unbrauchbar, da war sogar das Handbuch von 9x brauchbarer.

Natürlich wird die UAC nach dem PW fragen. Kann man anstellen, sogar für Administratoren, und das sogar ziemlich einfach (außer man hat ein kastriertes Home) - für alle anderen ist das notwendiger Standard, wenn das aktuelle Konto keine Admincredentials hat, dann kann man die auch mit "OK" nicht kriegen, man muß schon das Adminkonto (und zugehöriges PW) angeben.


Das sind dann die Momente, wo ich sage, irregeleitet und unüberlegt versucht umzusetzen und politisch motiviert wie es war... .aber ich kann verdammtnochmal nachvollziehen und mich 100% hinter die Forderung "PC-Führerschein" stellen.

Ein paar Dinge müssen einfach da sein. Wenn ich mein Windows nicht bedienen kann (wohlgemerkt: BEDIENEN) dann sollte ich es nicht verwenden, bei nem Herd geht das, da merk ich wenn die Platte heiß is und bei der Waschmaschine geht die Tür nicht auf, aber PCs haben dieses Sicherheitsnetz nicht und können es nicht haben, ebenso wenig wie Straßenfahrzeuge. Wenn ich da auf gerade Straße den Lenker rumreiße, dann ist absehbar was dann passieren wird, und wenn ich mein Windows (oder Linux, natürlich) nicht begreife, dann fahre ich es sozusagen mit Ansage gegen die Wand.


Sorry, people. That's NOT how it works.

 

[cbtestarossa]

Naja diesen PC-Führerschein kenne ich natürlich.
Ist meiner Meinung nichts wert was dieses Thema betrifft.
Auch diverseste Kurse müssen nicht unbedingt den AHA Effekt auslösen.
Teilweise wissen die Teilnehmer schon mehr als dort vorgetragen wird.
Es fehlt halt auch an guten Leuten überall und dieses Thema ist noch schnellebiger als alles andere.
Abgesehen vom ganzen Lehrstoffmaterial was sich ständig ändert.

.... faszinierend, nach 13 Jahren (Vista, Einführung UAC) oder vielleicht sogar sowas mehr als drei Jahrzehnten (Einführung Windows New Technology, Multiuser Support unter Windows) kommt jemand auf die Idee, daß man vielleicht nicht als Admin unterwegs sein muß?

Worauf sich das bezieht kann ich nicht beurteilen.
Es ist aber so dass nach der Windows Installation der User nur in der Gruppe Administratoren erscheint.
Und klar ist man es nicht bis man auf auf ALS ADMINSTRATOR AUSFÜHREN klickt.

Und meines Wissens nach hat auch niemand behauptet dass irgend jemand als Administrator unterwegs sein soll.

Unter OpenSuse und andern Linuxen wird man aber schon bei der Installation dazu angehalten ein extra Passwort für ROOT anzugeben.

Es geht um Voreinstellungen und es geht auch darum was ich für richtig empfinde.
Und ich arbeite lieber mit 2 getrennten Konten und halte Passwortabfrage für gut.

 

[andy_m4]

.aber ich kann verdammtnochmal nachvollziehen und mich 100% hinter die Forderung "PC-Führerschein" stellen.

Ja. Ich muss ja bei solchen Forderungen immer etwas schlucken, weil ich dann daran denke, wie kompetent (oder besser: nicht kompetent) unser Staat in Hinblick auf IT ist.
Und wenn ich dann mal ein wenig Fantasiere was da wohl so gelehrt und in den Prüfungen abgefragt werden wird, dann bin ich überhaupt kein Fan mehr davon.

 

[cbtestarossa]

Naja für Office und Co ist der FS gar nicht mal so schlecht.
Leider eher nur für MS Produkte ausgelegt.

Aber das wichtigste wird nirgends gelehrt.
Über das Verhalten und Gefahren im Netz.
Oder wo und wie man Daten speichert und sie auch wiederfindet.

Tja mir ist das aber abseits von hier und anderen Seiten ehrlich gesagt auch schon Schizko Salami.

 

[cbtestarossa]

Nachtrag.

Und ich bin auch der Meinung dass es auch unter Linux total hirnrissig ist Rootrechte zu benötigen um Anwendersoftware installieren zu können.
Noch dazu wenn sie sowieso aus den REPOS kommt.

Bei Systemsoftware ist es natürlich etwas anderes.

 

[andy_m4]

Und ich bin auch der Meinung dass es auch unter Linux total hirnrissig ist Rootrechte zu benötigen um Anwendersoftware installieren zu können.

Das ist ja vor allem dem Umstand geschuldet, das man in Verzeichnisse wie /usr/bin usw. schreiben können muss. Theoretisch könntest Du einen User install anlegen, der in solche Verzeichnisse schreiben darf und auch noch die Dateien die zur Paketverwaltung beschreiben darf. Dann kämst Du ohne root aus.

 

[cbtestarossa]

Ja ich meine nur denn wenn etwas mal im ROOT Kontext läuft kann es eventuell gekapert werden.
Ist zwar unwahrscheinlich aber möglich ist alles.

 

[Serana]

Gekapert werden kann prinzipiell alles. Das hat nichts damit zu tun, ob etwas im Root-Kontext läuft sondern nur damit, ob der Account wertvoll ist oder nicht. Wenn nur der Account "install" Software systemweit installieren kann, würde eben der im Fall des Falles gekapert werden.

So etwas gehört meiner Ansicht nach in die gleiche Schublade wie die Unsitte die es in meiner Jugend gab. Da meinte man die Systemsicherheit erhöhen zu können indem man den Account "Administrator" in "Admin" umbenannte. Das ist nichts anderes als Security-Voodoo, auch bekannt als Security by Obscurity. Ein Konzept das aus irgendwelchen Gründen nicht tot zu kriegen ist, obwohl es noch nie wirklich zufriedenstellend funktionierte.

In die gleiche Ecke gehört der Vorschlag EFS per Registry-Hack auszuschalten. Wenn ich erstmal so weit bin, daß ich auf dem System irgendwelche Systemfunktionen mißbrauchen kann, dann kann ich auch mal eben so einen Registry-Schlüssel wieder auf Default setzen.

 

[cbtestarossa]

Neee eben nicht. Denn den Schlüssel kannst du nur mit Adminrechten ändern.

Und selbst wenn es gelänge den Schlüssel zu ändern denke ich muss der PC vorher noch neu gestartet werden damit es greift.
Ausserdem könnte hier sowieso ein AV oder Verhaltensanalyseprogramm oder die UAC warnen dass jemand versucht die Registry zu ändern.

Bei Windows fordert z,B. irgendein InstallProgramm Adminrechte weil es eventuell auch irgend ein systemrelevantes Teil mitinstallieren möchte. Ansonst gäbe es doch keinen logischen Grund.
Die meisten Anwenderprogramme brauchen das aber nicht.
Das einzige warum das so gemacht wird ist denk Bequemlichkeit.

In den Ordner Programme schreiben könnte man auch andere Rechte verwenden.
Also ein Recht als Halbgott. Halbadmin oder so.
Nenne es wie du möchtest.
Könnte ich natürlich auch selber anlegen, bringt mir aber nichts wenn ein Installer unnötigerweise Adminrechte verlangt die er eigentlich gar nicht benötigen würde.

Ja und wegen Accountnamensänderung die du ansprachst.
Ist wahrscheinlich deshalb so weil jedes Idiotenprogramm schon mal generell Leserechte über die ganze Platte hat.
Kann mich aber auch täuschen und habe es nicht nachgeprüft.
Aber ich glaub es ist so.
Ergo braucht ein Hackprogramm nicht auch noch zusätzlich zum Passwort einen Accountnamen erraten müssen um diesen dann anzugreifen.

Und bzgl Linux. Wenn das Teil nicht mit Rootrechten läuft und es gekapert werden würde dann kann es noch immer nix mit den Daten anrichten die nur mit Rootrechten änderbar sind.
Dazu müsste es sich erst noch zusätzlich selbst auf magische Weise sein Recht erhöhen.