no.skill schrieb:
Mich würden gerne mal die Meinungen dazu interessieren wie ihr euren PC unter Windows 7 absichert.
Benutzt ihr ein Admin Konto und stellt die UAC auf max oder habt ihr ein Admin Konto und ein eingeschränktes Benutzerkonto mit dem ihr arbeitet/surft usw.
Die Meinungen in den Foren sind gespalten.
auf trojanerboard heißt es eingeschränktes Benutzerkonto + UAC
auf chip heißt es eingeschänktes Benutzerkonto und UAC komplett aus
hier heißt es UAC alleine reicht
UAC alleine ist weit weniger sicher als ein eingeschränkter benutzeraccount, ersteres ist ja letztlich nur eine künstliche beschränkung anhand eines sicherheitstokens...aktuell sind hierfür zwar keine lücken bekannt aber die gab es schon aber wo keine möglichkeit ist, da kann sie auch nicht genutzt werden.
Das komplette deaktivieren von uac deaktiviert z.B. auch die möglichkeit von prozessen unter win vista/7 auch im "protected mode" zu laufen
desweiteren bietet uac durch den geschützten desktop (da wo dus passwort eingeben musst) schutz vor keyloggern bei der eingabe von passwörtern - um mal ein konkretes beispiel zu nennen.
Hast du ein benutzer ohne uac und benutzt runas (o.ä.), hast du keinen schutz vor nem keylogger.
Dann kommt noch hinzu dass uac bei einem eingeschränkten benutzeraccount auch privilege escalation (rechteerweiterung) verhindern kann -> gibt zwar hier auch aktuell keine bekannten lücken in windows die das zulassen (und generell ist diese art lücke in windows eher selten) aber in der vergangenheit bot uac z.B. vor einer rechteerweiterung durchaus schonmal schutz.
also vom sicherheitsniveau würde folgendes gelten (top down)
- eingeschränkter user + uac
- eingeschränkter user ohne uac
- administrativer account + uac
nebenbei erkennt uac ja auch wenn ein programm adminrechte benötigt und fordert zur eingabe des adminpassworts auf -> usability vorteil/verbesserung gegenüber eingeschränkter account ohne uac
von der usability ist wohl folgendes
- administrativer account + uac
- eingeschränkter user + uac
- eingeschränkter user ohne uac
suma sumarum sehe ich keinen grund uac zu deaktivieren, in keinem fall.
Persönliche empfehlung ist ganz klar:
- eingeschränkter user + uac
Der grund ist einfach, backups sind schön....bringen mir nur nichts wenn man sich trotzdem was einfängt und z.B. passwörter (oder generell authentifzierungsinfos wie cookies/sonstiges) ausgelesen werden und die irgendwo landen mit dem man schindluder treiben will und ich danach nur stress damit hab (da reicht schon mein mailkonto oder irgend n messenger).
Ein eingeschränkter account verhindert dass schadsoftware andere programme debuggen kann um z.B. an die daten zu kommen usw usf.. Der protected mode kann programme am "ausbrechen" aus ihrem prozess hindern (worüber sie "eingefallen" sind).
Auch kommen viele schadprogramme generell mit nem eingeschänkten user nicht klar
Desweiteren stärkst du damit auch weitere schutzbarieren die du u.U. im einsatz hast (virenscanner, softwarewhitelisting per gpo, sonstiges), denn eine manipulation dieser ist mit eingeschränkten rechten i.d.R. nicht möglich
Natürlich schützt ein eingeschränkter user + uac nicht vor allen eventualitäten aber es erhöht den schutzstandard deiner rechners.
Argumente wie "ich weiss was ich tu" und konsorten halte ich im übrigen für wenig stichhaltig
