Nicht mit Adminkonto "surfen"

[violentviper]

Hallo,

ich wollte mich mal bei euch erkundigen, wie ihr das mit dem Windows 11 Administratorkonto handhabt. Ich arbeite nur mit lokalen Konten und mache seit je her aus Sicherheitsgründen ein separates normales Benutzerkonto ohne Adminrechte. Dieses normale Konto ist mein Hauptkonto, welches verwendet wird. Das Adminkonto nehme ich nur für Installationen oder Konfigurationen.

Ich weiß, dass das viele nicht so machen und die Welt hat sich da auch weiter gedreht. Manche halten es gar für überflüssig. Wie seht ihr das?

 

[madmax2010]

Erst mal wird dein Browser selbst angegriffen. Da muss man erst mal aus der Sanbox raus, oder "uebernimmt" den browser selbst.
Die meisten Prozesse fragen nach ob sie bestimmte recht haben dürfen. Dank UAC auch im Admin Konto.

Und wenn jemand eine sicherheitsluecke angreift, die erlaubt mit erhöhten rechten $Dinge zu tun, ist es auch egal, ob dein aktueller User
Beliebt ist zum Beispiel Antiviren anzugreifen, die diese Sehr viel Angriffsfläche bieten mit vollen Rechten laufen

 

[Fujiyama]

Ich treib mich nicht auf unseriösen Websites herum und halte die Gefahr für überschaubar.

 

[Nero FX]

@violentviper
Wenn UAC und Windows perfekt wären dann würde es keinen Sinn ergeben.
Da aber UAC grundsätzlich umgehbar konfiguriert ist und es Sicherheitslücken gibt, kann diese Maßnahme schon Schadsoftware aufhalten und die Angrifffläche reduzieren.

Wichtig ist aber immer: setze UAC aber auch Maximum! Sonst können sich Windows-Komponeten selbst Adminrechte geben was bereits ausgenutzt wurde. Dann hilft auch keine Kontotrennung.

Mit Maximum UAC ist der Angriffsläche für Rechteausweitung aber ebenfalls stark eingeschränkt.

 

[BFF]

wie ihr das mit dem Windows 11 Administratorkonto handhabt. Ich arbeite nur mit lokalen Konten und mache seit je her aus Sicherheitsgründen ein separates normales Benutzerkonto ohne Adminrechte.

Privat nutze ich zum regulaeren Arbeiten mein lokales administratives Konto. Ich hab noch nicht mal ein extra lokales eingeschraenktes Nutzerkonto auf diesem Geraet mit Windows.

 

[redjack1000]

Wie seht ihr das?

Ich mache es ähnlich.

Cu
redjack

 

[Sensei21]

++

lokales Konto, Browser mit Erweiterungen (standardmäßig kein javascript) - wenn es nicht zu mühsam ist sandboxie um den Browser drumherum - Browser-Sandbox, Sandboxie-Sandbox und beschnittene Berechtigungen sind schonmal ein gutes Sicherheitsnetz

 

[qiller]

 

[zelect0r]

Seit WinXP und aus Gewohnheit mache ich das genau so.
Auch als Admin bist du nur in der Gruppe der Administratoren, sollte eine Anwendung höhere rechte erfordern kommt an dieser Stelle dann die Aufforderung dieses mit JA zu bestätigen, da wo bei deinem Standard Konto die Passwort Abfrage kommt. Aus Bequemlichkeitsgründen könnte man tatsächlich auf das Zweite Konto verzichten. Ich mache es trotzdem so.

 

[EDV-Leiter]

Ich bin seit Windows 7 nur noch mit normalen Benutzerrechten unterwegs, also ein seperater Administator, der mit eigenem Passwort geschützt ist.
Leider gibt es aber immer noch zu viel Software, die mit dieser Konstallation nicht lauffähig ist oder irgendwelche Klimmzüge erfordert.
Beispiele sind der Ubisoft-Laucher oder der Wireguard-GUI-Client.
Rechner, die für Familie oder Bekannte verwaltet werden, werden ebenfalls grundsätzlich nach diesem Prinzip installiert. Das haben mittlerweile auch alle akzeptiert, auch wenn es Anfangs etwas Gegenwind gab.

 

[zivilist]

Ich arbeite unter Windows 11 auch mit lokalem Konto allerdings als Admin. Aktuelle Software (Browser, Defender, Windows Patches) und auf bekannten und seriösen Seiten unterwegs sein. Effektiv sind es vielleicht höchstens 50 Webseiten die ich ansteuere. Keine Probleme.

 

[Siebenschläfer]

Ich arbeite nur mit lokalen Konten und mache seit je her aus Sicherheitsgründen ein separates normales Benutzerkonto ohne Adminrechte. Dieses normale Konto ist mein Hauptkonto, welches verwendet wird. Das Adminkonto nehme ich nur für Installationen oder Konfigurationen.

Das mache ich schon seit Windows NT 4.0 so. Seit NT 6.0 fragt UAC dann nach dem Passwort für den Admin-Account, wenn eine Anwendung irgendwas privilegiertes tun will, was die Sache dann deutlich vereinfachte. Bis Windows XP war manuelles Anmelden oder "Run as" Pflicht.

Wichtig ist aber immer: setze UAC aber auch Maximum! Sonst können sich Windows-Komponeten selbst Adminrechte geben was bereits ausgenutzt wurde. Dann hilft auch keine Kontotrennung.

Wenn ich UAC-Notifications ausschalte, bekommt der unprivilegierte Account nicht automatisch Admin-Rechte. Das wäre ja völlig absurd. Mit UAC off wird dem unprivilegierten User die privilegierte Aktion schlicht verweigert, also am UAC-Prompt direkt "Nein" gesagt. Angemeldet mit einem Admin-Account ist das natürlich anders, aber das ist ja gewollt.

Ich hatte mit getrennten Nutzerkonten in drei Jahrzehnten noch nie eine ungewollte Privilege Escalation. Also dass irgendwas mit Admin-Rechten passierte, was ich nicht wollte.

 

[Nero FX]

@Siebenschläfer

Es gab bereits eine UAC Lücke die ohne Zustimmung Adminrechte verteilte weil die Schadsoftware sich als Eventviewer Ausgab.

 

[Siebenschläfer]

Hier liegt offenbar ein Verständnisproblem vor. UAC verteilt nie Adminrechte an unprivilegierte Benutzerkonten. UAC meldet ggf. einen anderen (!) (Admin-)Benutzer mit den Credentials an, die der Nutzer an der Konsole aber höchstselbst eingeben muss. Automatisch passiert da nichts.

UAC-Bypass-Lücken sind bekannt, die gibt es aber nur, wenn der Admin selbst eingeloggt ist. Genau das wird ja mit dem reinen Nutzerkonto vermieden.

Bei mir läuft der Event Viewer übrigens ganz normal mit Benutzerrechten und bekommt dementsprechend auch nur Zugriff auf lesbare Logdateien (also NICHT auf die Security-Logs). Es gibt da keine gar keine UAC-Prompts. Was hilft es also, sich in einem unprivilegierten Account als Eventviewer auszugeben?

 

[qiller]

Ich hatte diese Trennung (extra Admin-/Standardnutzerkonto) ganz früher auch mal drin (exrta Adminkonto hab ich immer noch, aber nur um darüber den Zugriff auf die Backupsdateien einzuschränken). Aber mit der Zeit wird man halt schlauer und kommt auf den Trichter, dass Malware logischerweise auch als Standardbenutzer ausgeführt werden kann. Und der Witz ist ja, den meisten Angreifern reicht das schon vollkommen aus. Die brauchen nicht unbedingt vollen Systemzugriff, das ist nurn kleines Goodie für die.

Der einzige Vorteil des Standardnutzers wäre, dass man bei nem Malwarebefall "nur" das Nutzerprofil plattmachen müsste und nicht den kompletten Rechner. Und da ich bei sowas eh auf Nummer sicher gehen würde (Privilege Escalation wurde hier ja schon angesprochen) und das System plattmachen würde, kann ich mir das mit dem Admin-/Standardbenutzerkonto auch sparen.

UAC auf max Stufe reicht mir.

 

[Siebenschläfer]

Aber mit der Zeit wird man halt schlauer und kommt auf den Trichter, dass Malware logischerweise auch als Standardbenutzer ausgeführt werden kann.

Es geht dabei ja nicht nur um Malware.

 

[BFF]

dabei ja nicht nur um Malware.

Was kommt denn real bei normalen Nutzungsverhalten überhaupt noch durch auf den PC wenn man nicht das halbe Internet herunter lädt oder sein Netz durch Portfreigaben nach innen durch löchert?

 

[Siebenschläfer]

Was kommt denn real bei normalen Nutzungsverhalten überhaupt noch durch auf den PC

Steam lädt da immer wieder mal nette Sachen runter, die für alles Adminrechte wollen, Kerneltreiber laden und ähnlicher Schmu. Ohne Passwort geht es dann nicht weiter.

Ist halt nicht alles entweder "Malware" oder Trustworthy FOSS. Gibt auch noch viel dazwischen.

Es hilft schon einiges, wenn nicht jeder Hinz und Kunz nach C:\Program Files oder C:\Windows\system32 schreiben kann.

 

[zelect0r]

Genau deswegen mache ich so etwas. Denn oftmals braucht man die Dinge die einem da untergejubelt werden nicht. Und ja ich verwende genau dieses Wort "Untergejubelt",
weil man keine weitere Information darüber bekommt was da genau passiert.
Genauso z.b. wie bei Epic. Nein ich möchte keine weiteren Dienst installieren, also bekommt die Software auch keine Berechtigung von mir.
Das ist mein Computer nicht der des unternehmes bei dem ich angemeldet bin.

 

[qiller]

Naja, bei sowas hilft die UAC genauso, denn mit UAC kann ich auch einfach auf "Nein" klicken und erreiche dasselbe. Die Frage ist dann nur, ob oder wie gut dann die Software o. das Spiel noch funktioniert. Der Kernellevel Anticheat-Software ist es herzlich egal, ob sie per UAC priviligiertem Nutzer-Konto oder per dediziertem Adminkonto installiert wurde. Und ohne sie gibts halt kein Online-Modus (oder das Spiel startet gar nicht erst).