Mehrere Accounts sinnvoll, welche Typen?

[DieKosmokatze]

Hallo allerseits,

ich habe in diesem Forenbereich schon eine Weile gestöbert und gesucht aber nicht die Infos zu Accounttypen in Win 10 gefunden oder verstanden, die ich gesucht habe... daher ein neuer Thread.

Wir verwenden Win 10 Pro 1909 privat auf drei Rechnern im selben lokalen Netzwerk. Ich würde die Rechner - sofern möglich - durch die Verwendung von User-Accounts mit weniger Berechtigungen gerne sicherer gegen Angriffe gestalten.

Mein erster Gedanke war also, jeweils einen nicht-Admin Account auf jedem Rechner für die normale Nutzung zusätzlich anzulegen. (Zusätzlich noch jeweils der primäre Admin Account, den man bei Bedarf verwendet.) Der Gedanke dabei war: Wenn man sich als non-Admin Schadsoftware einfängt, dann hat die erstmal weniger Rechte und man bekommt sie leichter in den Griff.

Ist das ein Trugschluss und aus einem nicht-Admin-Account heraus zu arbeiten bringt keinen Sicherheitsvorteil unter Win10?

Beim recherchieren im WWW habe ich aber auch Artikel gefunden, die der Meinung waren, man wäre genauso sicher, wenn man nur einen Account hätte (der ist ein Admin-Account), weil nicht erst seit Win 10 der "root admin" sowieso immer schlummert, es sei denn man macht ein inplace upgrade oder startet im abgesicherten Modus. (Ich glaube das war in The Guardian - nicht gerade ein IT Zeitung?)

Dann gibt es wohl auch die Ansicht, wenn man Windows Hello aktiviert, wäre Win 10 bei seiner vollen Sicherheit angekommen und dann könne man auch dieselbe Sicherheit gegen Angriffe erreichen - obwohl man nur einen Admin und keinen weniger berechtigten Account hat.

Nach der Recherche bin ich eher verwirrter als vorher - anscheinend habe ich leider keine Quelle gefunden, mit der ich die Situation verstanden habe.

Meine Fragen sind also:

• Ist es sicherer, einen zweiten Account je Rechner anzulegen, der keine Admin-Rechte hat - für die normale Nutzung?
• Ist es sicherer, Windows Hello zu nutzen?
• Wenn auf den drei Rechnern Windows Hello aktiviert ist (für den primären Account), würde dann als zweiter, nicht-Admin-Account jeweils ein lokaler Account oder ein Account mit Emailadresse (die natürlich anders als für den primären Account sein muss) mehr Sinn ergeben? [Ich vermute der Unterschied zwischen diesen zwei Varianten ist, dass im Fall mit der Emailadresse die Einstellungen zwischen den verschiedenen Rechnern synchronisiert werden und bei lokalen Accounts nicht.]

 

[Zuse1]

Ist es sicherer, einen zweiten Account je Rechner anzulegen, der keine Admin-Rechte hat - für die normale Nutzung?

Ja. Das bedeutet aber nicht, dass nichts mehr passieren kann. Das Risiko ist nur etwas geringer.

Die Frage zu Windows Hello kann ich nicht beantworten.

 

[Serana]

Ob ein separater Account ohne Adminrechte sicherer ist dürfte vor allem von deinem Nutzungsverhalten abhängen.

An sich sollte die UAC (jedenfalls wenn sie auf die höchste Stufe geschaltet ist) ausreichen, da sie bei jedem Vorgang der administrative Privilegien erfordert explizit nachfragt. Das gilt in dieser Form allerdings wirklich nur dann, wenn die UAC auf die höchste Stufe gesetzt wurde. Natürlich erfordert diese Vorgehensweise gleichzeitig genügend Selbstdisziplin die aufkommenden Meldungen auch tatsächlich zu lesen UND zu verstehen was das System einem gerade sagen will.

Wenn du aber schon jetzt weißt, daß du auch schon mal ohne groß nachzulesen was da steht auf "Ok" drückst, dann dürfte ein separater Account eindeutig sicherer sein.

Mir persönlich reicht die (auf höchste Stufe geschaltete) UAC aus, aber ich lese auch konsequent jede Dialogbox die das System mir anzeigt bevor ich irgendwas anklicke.

 

[RalphS]

Mehrere Accounts bringen mehr Sicherheit unter jedem Windows, seit es NT gibt.

Aber auch hier gilt, man muß sich damit auseinandersetzen.

Zunächst solltest du von der Idee “Accounttyp” weg. Es gibt prinzipiell nur zwei auf non Domain PCs, nämlich User und Group. Das ist also nicht das, was Du meinst.

Nutzerberechtigungen leiten sich aus Gruppenmitgliedschaften her und Gruppen wiederum sind selbst definierte Container. Es gibt vordefinierte, aber die sind nur beispielhaft und existieren eigentlich nur deswegen, damit Windows out of the box funktioniert.

Für spezifische Sicherheitsmodelle zuallererst hinsetzen mit Zettel und Stift und gut überlegen:

1 Gruppen definieren. Diese Gruppen sollten, soweit das möglich ist, das reale Berechtigungsmodell abbilden. Bspw: Eltern dürfen dies und Kinder dürfen das, also zwei Gruppen anlegen für Eltern und für Kinder. Wenn weiter gesplittet werden soll/muß, weitere Gruppen definieren.

2 An allen Ressourcen gucken, wer was können muß. Idealerweise nimmt man einen positiven (whitelist) Ansatz- Kind darf X im Ggs zu darf nicht Y. Dann setzt man Zugriffe für die Gruppen eins zu eins. Eltern dürfen drucken, also setzt man die Gruppe Eltern am Drucker in die Zugriffsliste und setzt den Haken bei Drucken / Erlauben. Kinder dürfen nicht ü18 gucken, also legt man keinen Zugriff fest und dann gibt es implizit keinen. Verbieten sollte man nach Möglichkeit nie, es ist selten, daß man das muß und auf Privatpcs ist der Bedarf fast ausgeschlossen.

Ressourcen sind dabei alles, was anfaßbar sein soll, egal ob Hard- oder Software, also Dateien ebenso wie externe oder interne Peripherie.

3 Diese Gruppen entsprechend anlegen und die Ressourcen konfigurieren, wo möglich.

4 Jetzt Konten anlegen für die Benutzer, mindestens eines per Person, zwei für jeden mit administrativen Befugnissen. Mama ist Elter, hat aber keine Ahnung von PCs => Gruppe Eltern, kein Adminkonto. Papa hat, selbe Gruppe, zusätzlich Adminkonto. Sohn und Tochter kommen in die Gruppe Kinder. Natürlich kann auch Sohnemann ein Adminkonto haben und trotzdem ein Konto in der Gruppe Kinder haben - deswegen ist es so wichtig, Benutzergruppen möglichst nah an der Realität zu haben, damit man beim Zuweisen nicht groß nachdenken muß. Die Konten selber machen am Ende gar nichts. Sohn wird 18, man ändert die Mitgliedschaften entsprechend und alles paßt sofort ohne weiteren Aufwand.


Allerdings gibt es eine Einschränkung am privaten PC. Gruppen können nicht verschachtelt werden. Wenn es die Situation ergibt und man eigentlich Teilgruppen hätte - kleine Kinder dürfen anders als größere — dann kann man das ohne Domain nur individuell zuweisen und muß Klein Erna in die Gruppe Kinder und die Gruppe Kleine Kinder setzen und den Franz nur in die Kinder oder ggfs zusätzlich in die für ihn passenden Gruppen.

Und es gibt eine zweite Einschränkung. Man muß jeden PC händisch anfassen, und wenn er mangels Backup oder aus anderen Gründen neu installiert wird, dann müssen Gruppen und Konten neu eingerichtet werden (hoffentlich hatte man das Wie irgendwo aufgeschrieben).
Wenn es eine zentrale Ressource gibt, die immer verfügbar ist, zB ein NAS-Gerät, dann sollte man darüber nachdenken, auf der Basis eine Windows-Domain einzurichten. samba ab v4 kann das für zuhause ausreichend gut (Backups nicht vergessen). Dann macht man das nur einmal und das Benutzermodell überlebt Neuinstallationen, plus, wenn man sich damit auseinandersetzt, dann kriegt man ein mächtiges Verwaltungstool namens GPO an die Hand.

 

[DieKosmokatze]

Danke für die ausführlichen Antworten!


@RalphS: Wenn ich mir die Bedürfnisse und Berechtigungen der Gruppen etwa wie von Dir vorgeschlagen überlegt habe und einrichte, frage ich mich noch, welchen Account-Typ (lokal oder mit Emailadresse) ich jeweils für den zweiten (non-power User) und dritten (Kinder) benutze.

Derzeit habe ich den ersten Account (ADmin) auf allen drei Rechner synchronisierend, d.h.mit MS-Konto verknüpft angelegt.

Wenn der sekundäre Account auch mit Emailadresse und MS-Account ausgestattet wäre (z.B. von meiner Frau), würden dann die Einstellungen und Berechtigungen via MS synchronisiert? Oder ist das nicht der Fall bei non-Enterprise/Education Lizenzen?

Die Hardware der Rechner ist unterschiedlich, der Anwendungsfall auch. Daher habe ich mich eh gefragt, ob ich dieselben Accounts überall haben will oder nicht. Andererseits sollten die Bedarfe und Berechtigungen sich nicht groß unterscheiden, weswegen die Synchronisierung schon praktisch wäre.


Und allgemein in die Runde noch einmal: Welche Änderungen an der Accountstruktur bringt Windows Hello? Tatsächlich habe ich das testweise in Benutzung, weil ich die remote Wiederherstellung durch MS für eine Steigerung der Sicherheit im Fall eines Angriffs gehalten habe. (Da kann ich falsch liegen.)

 

[RalphS]

Der Ms Account ist so eine Sache. Am besten fährst Du, wenn Du den MS Account als Erweiterung eines lokalen Kontos verstehst. MS Accounts sind zwar Single sign on - ein Benutzername/PW für jedes Gerät— aber es sind alles unterschiedliche Konten.
Einstellungen und Desktopumgebung und sowas kommt mit, lies: wird über die MSCloud synchronisiert. Aber mehr nicht.
PC1 mit ich@live.de und PC2 mit ich@live.de sind genauso zwei verschiedene Paar Schuhe wie pc1\ich und pc2\ich.