Trennung von Admin und Userkonto sinnvoll und Arbeiten auf Standardkonto?

[Archetype9000]

Hallo allerseits,

ich beschäftige mich seit einiger Zeit näher mit Sicherheitslösungen unter Windows 7. Ich habe folgende Seite gefunden: http://technet.microsoft.com/de-de/library/ee623984(v=ws.10).aspx

Da ich bald mein System vollständig neu installieren werde, habe ich überlegt, ebenfalls meinen alltäglichen Nutzer vom Adminkonto zu trennen und, so wie ich es beispielsweise von Ubuntu kenne, für Eingriffe in das System eine Passworteingabe zu verlangen. Ziel soll dabei die Einschränkung der Rechte potenzieller Malware und unbefugter Personen sein.

Nun habe ich zu dem Szenario folgende Frage:
Werden Programme, die auf dem Standardnutzer ausgeführt werden (als Beispiel zu nennen die Audio Software Reaper) auf Daten in den Programmordnern zugreifen können (bspw. VST Plugin-Dateien für Reaper, "virtuelle Instrumente") oder müsste dann etwa für jedes Programm, dass seine Daten nicht in den Nutzerverzeichnissen speichert eine eigene Richtlinie erstellt werden? Sprich: Werden Programme durch die Trennung der Konten möglicherweise so weit eingeschränkt, dass sie auf dem Standardnutzer nicht länger funktionieren bzw. würde ich nach jedem Start womöglich viele Anfragen des UAC bestätigen müssen?

Falls dazu jemand Hinweise hätte, wäre ich sehr dankbar, bevor ich umsonst am System herumschraube.


Besten Gruß!

 

[wamp]

wenn das verknuepfungs-symbol kein blau-gelbes schild in der verknuepfung hat, braucht es keine administrator-rechte. lese-zugriff im installations-pfad haben alle programme. nur aendern duerfen sie ohne admin-rechte nichts.

 

[Luxuspur]

Ziel soll dabei die Einschränkung der Rechte potenzieller Malware und unbefugter Personen sein.

na hilft heute aber nur bei 2terem Malware ist heute ohne weiteres in der Lage UAC zu umgehen.

hier mal ein ganz simples Beispiel:
http://www.sempervideo.de/?p=8875

Sprich: Werden Programme durch die Trennung der Konten möglicherweise so weit eingeschränkt, dass sie auf dem Standardnutzer nicht länger funktionieren bzw. würde ich nach jedem Start womöglich viele Anfragen des UAC bestätigen müssen?

hängt davon ab wie sauber der Programmierer gearbeitet hat.

 

[Archetype9000]

Alles klar, danke für die Antworten!

na hilft heute aber nur bei 2terem Malware ist heute ohne weiteres in der Lage UAC zu umgehen.

Gut, das video ist nun ungefähr zwei Jahre alt, meinst du diese Lücken wurden noch nicht gefixt? Klar, ein zu 100% sicheres System existiert nicht, aber ist Windows selbst mit aktuellen updates so schrecklich löchrig, dass sich Sicherheitskonzepte erst gar nicht lohnen?

hängt davon ab wie sauber der Programmierer gearbeitet hat.

Das habe ich auch schon gehört, wie wahrscheinlich ist es, soche Probleme bei "größeren" Programmen vorzufinden? Ich rede hier von Anwendungen wie z.B. Libre Office, FileZilla und dem o.g. Reaper, also keine kleinen Ein-Mann Projekte, wie der 200kB Bildverkleinerer (soll nicht heißten, dass das Tool grundsätzlich unsauber programmiert ist).

 

[Luxuspur]

Gut, das video ist nun ungefähr zwei Jahre alt, meinst du diese Lücken wurden noch nicht gefixt? Klar, ein zu 100% sicheres System existiert nicht, aber ist Windows selbst mit aktuellen updates so schrecklich löchrig, dass sich Sicherheitskonzepte erst gar nicht lohnen?

probiers aus ;p und war ja auch nur als primitivstes Beispiel gedacht ... eingeschränkte Nutzer sind heute absolut keine Lösung mehr! Das umgeht sogar ein Skriptkiddie!

Das habe ich auch schon gehört, wie wahrscheinlich ist es, soche Probleme bei "größeren" Programmen vorzufinden?

Hab hier genügend Tools die mit eingeschränkten Rechten nicht 100% laufen darunter auch große Bekannte!

 

[Lunke]

Man braucht kein getrenntes Standardbenutzerkonto nur wegen der Passwortabfrage. Die kann man auch für ein Administrator-Konto einstellen: http://kostnix-web.de/windows/4411

Das mit dem Video ist Quatsch mit Sauce! Das ist keine Lücke. Normale Programme können sich in die Aufgabenplanung erst eintragen, wenn sie eh schon Administrator-Rechte haben. Wenn ein Programm noch mit normalen Rechten läuft, hat es keine Möglichkeit, diesen "Trick" zu nutzen.

 

[Archetype9000]

Man braucht kein getrenntes Standardbenutzerkonto nur wegen der Passwortabfrage. Die kann man auch für ein Administrator-Konto einstellen: http://kostnix-web.de/windows/4411

Ist die Seite amtlich?

Besonders schnell und einfach geht es, wenn Du die Toolbar von kostnix-web.de installiert hast

Ich weiß nicht, ob ich dabei unbedingt an der Registry rumpfuschen möchte ...
Zumal eine Passwortabfrage generell nicht schwer einzustellen ist. Vor einiger Zeit habe ich mich selbst aus einem anderen Windows ausgesperrt, weil ich in der UAC die Sicherheitseinstellung auf das höchste Level gehoben habe, ohne vorher einen Administratoraccount eingerichtet zu haben. Somit ließ sich auch das gefragte Administratorpasswort nicht eingeben und ich konnte nichts mehr ausführen oder installieren.

Was ist denn eigentlich das standardmäßig bei der Installation eingerichtete Nutzerkonto? Ein vollwertiges Administratorkonto ist es nicht, oder? Bestehen in Win7 noch mehr Abstufungen als User - Admin - System?

 

[Equilibrium42]

na hilft heute aber nur bei 2terem Malware ist heute ohne weiteres in der Lage UAC zu umgehen.

hier mal ein ganz simples Beispiel:
http://www.sempervideo.de/?p=8875

Das Video zeigt nur, dass wenn ein Admin in der Aufgabenplanung eine Aufgabe einrichtet
und diese mit höchsten Rechten ausgeführt wird, keine UAC-Abfrage erscheint. Das ist
wahrscheinlich sogar so gewollt und keine Sicherheitslücke.

Das hat aber nichts zu tun mit dem Arbeiten mit eingeschränkten Benutzerrechten.
Ein eingeschränkter Benutzer kann keine Aufgaben anlegen, und somit kann das auch keine
Malware, die mit eingeschränkten Benutzerrechten läuft.

Wenn, dann ist das Video eher ein Argument dafür, mit eingeschränkten Benutzerkonten zu arbeiten!

 

[MagicAndre1981]

seit Vista und der UAC ist die Trennung überflüssig.

 

[Lunke]

Ist die Seite amtlich?

Die Anleitung auf dieser Seite ist richtig. (Lass das mit der Toolbar halt weg)

Ich weiß nicht, ob ich dabei unbedingt an der Registry rumpfuschen möchte ...

Dann versuch's über die Lokale Sicherheitsrichtlinien. Dann ändert Windows diesen Registry-Key für dich.
Kann aber sein, dass es mit der Home-Version nicht geht, daher hab ich eine Anleitung mit Registry verlinkt. Das geht immer.
http://www.sevenforums.com/tutorials/77389-uac-require-password-administrator.html
"Local Security Policy" = "Lokale Sicherheitsrichtlinien" auf deutsch.

Seit Vista hat ein Administrator ebenfalls eingeschränkte Benutzerrechte, genauso wie ein Standardbenutzer. Der einzige Unterschied ist, dass Administratoren nicht nach einem Passwort gefragt werden, Standardbenutzer schon. Der Nachteil von zwei getrennten Benutzerkonten ist aber, dass man den Verwaltungsaufwand erhöht, weil man zwei mal ein User-Verzeichnis hat, usw. ohne dass einem das wirklich etwas an Sicherheit bringt. (wie MagicAndre1981 auch schon sagte)

Wenn es dir daher nur um die Passwortabfrage geht, würde ich die oben genannte Methode verwenden.

Noch mal zusammengefasst:
Bei der Installation erstellst du einfach ein Benutzerkonto. Das ist dann technisch ein "Administrator", hat aber nur eingeschränkte Benutzerrechte. Nur Programme, die du explizit mit der UAC bestätigt, bekommen echte Administrator-Rechte, so wie man es aus Ubuntu kennt. Windows 7 ist also schon out-of-the-box deutlich sicherer als Windows XP. Getrennte Konten werden nicht benötigt.
Wenn du bei allen Aktionen gefragt werden willst, auch denen von Windows selbst, setzt du den Schieberegler der UAC ganz nach oben. Und wenn du eine Passwortabfrage bevorzugst, siehe oben. Das Passwort ist dann das gleiche wie bei der Anmeldung. Ein "Vergessen" ist daher nicht möglich. (Wenn du das Paswort vergessen solltest, kannst du dich eh schon nicht mehr einloggen )